SOU 2021:4

Informationsöverföring inom vård och omsorg

Till statsrådet och chefen för Socialdepartementet Lena Hallengren

Genom beslut den 27 juni 2019 beslutade regeringen att tillsätta en särskild utredare med uppdrag att utreda och lämna förslag som rör personuppgiftshantering inom och mellan socialtjänst och hälso- och sjukvård (dir. 2019:37).

Till särskild utredare förordnades från och med den 1 oktober 2019 ordföranden i Arbetsdomstolen Sören Öman.

Som sakkunniga i utredningen förordnades från och med den 15 december 2019 ämnesrådet Jimmy Järvenpää, kanslirådet Henrik Moberg och departementssekreteraren Jenny Wada, samtliga vid Socialdepartementet, samt departementssekreteraren Ingela Alverfors, Infrastrukturdepartementet.

Som experter förordnades från och med den 15 december 2019 avdelningsdirektören Suzanne Isberg, Integritetsskyddsmyndigheten (f.d. Datainspektionen), juristen Maria Jacobsson, E-hälsomyndigheten, juristen Manólis Nymark, Inera AB, juristen Pål Resare, Sveriges Kommuner och Regioner, och juristen Cecilia Östergren, Socialstyrelsen. Ingela Alverfors entledigades från uppdraget från och med den 15 maj 2020 och ersattes från och med den 18 maj 2020 av kanslirådet Nils Fjelkegård, Infrastrukturdepartementet.

Som sekreterare i utredningen har arbetat kammarrättsassessorn Ingrid Floderus från och med den 1 oktober 2019, hovrättsassessorn Magdalena Pettersson från och med den 30 november 2019 och hovrättsassessorn Karin Hagaeus från och med den 1 januari 2020. Magdalena Pettersson avslutade sitt arbete som sekreterare den 31 juli 2020. Hovrättsassessorn Sara Fröding Linebäck har arbetat som sekreterare i utredningen från och med den 28 september 2020.

Utredningen (S 2019:01) har antagit namnet Utredningen om

sammanhållen information inom vård och omsorg.

Härmed får utredningen överlämna delbetänkandet Informa-

tionsöverföring inom vård och omsorg (SOU 2021:4).

Pål Resare, Manólis Nymark och Maria Jacobsson har lämnat ett särskilt yttrande.

Utredningsarbetet fortsätter enligt direktiven (dir. 2019:37 och dir. 2020:112) med återstående utredningsfrågor.

Stockholm i januari 2021

Sören Öman

/Ingrid Floderus Karin Hagaeus

Sammanfattning

Kort sammanfattning

Utredningen föreslår en ny lag om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. Till lagen överförs bestämmelserna i patientdatalagen om sammanhållen journalföring och kvalitetsregister. Det är frivilligt för vårdgivare (statliga myndigheter, regioner, kommuner och privata företag som ansvarar för eller bedriver hälso- och sjukvård) och omsorgsgivare (myndigheter och privata företag som ansvarar för eller utför insatser för äldre eller personer med funktionsnedsättningar) att använda de utökade möjligheter att elektroniskt dela dokumentation som lagen ger. Men väljer de att göra det, måste de följa de integritetsstärkande bestämmelser som finns i lagen.

Inom socialtjänsten gäller förslagen bara dokumentation om insatser för äldre eller personer med funktionsnedsättningar. Den som fått eller får sådana insatser eller som fått eller får behovet av sådana insatser bedömda kallas i lagen omsorgsmottagare.

Sammanhållen vård- och omsorgsdokumentation innebär att vård- och omsorgsgivare får göra dokumentation om patienter och omsorgsmottagare elektroniskt tillgänglig mellan sig, om personen inte motsätter sig det. Olika utförare och den ansvariga nämnden inom socialtjänsten kan därmed ta del av varandras dokumentation, liksom vårdgivare kan ta del av socialtjänstens dokumentation och vice versa. En förutsättning för att någon inom vården eller omsorgen ska få ta del av dokumentation hos någon annan är dock enligt huvudregeln att patienten eller omsorgsmottagaren samtycker till det. Särskilda regler gäller för de som inte kan samtycka. Patienten eller omsorgsmottagaren får ges elektronisk tillgång till sin dokumentation och ska på begäran få information om den elektroniska åtkomst som förekommit till dokumentationen om honom eller henne.

Kvalitetsuppföljning innebär i lagen uppföljning av kvaliteten på hälso- och sjukvård, som en region eller kommun ansvarar för, och insatser för äldre eller personer med funktionsnedsättningar, som en region eller kommun ansvarar för, med hjälp av personuppgifter från flera vårdinstanser (myndigheter och privata företag som ansvarar för eller bedriver hälso- och sjukvård) eller omsorgsgivare. Det är bara fullmäktige i den ansvariga regionen eller kommunen som får besluta om kvalitetsuppföljning. I beslutet ska ett preciserat ändamål med behandlingen av personuppgifter anges, liksom vem som är personuppgiftsansvarig och från vilka personuppgifter kommer att samlas in. Även lagringsperioden för personuppgifterna ska anges, och när perioden löpt ut ska personuppgifterna gallras. Patienter och omsorgsmottagare har rätt att motsätta sig att deras personuppgifter används vid kvalitetsuppföljningen och ska få information om den rätten. Identitetsuppgifter ska så långt det är möjligt vara krypterade, och bara så få personer som möjligt får ha tillgång till eventuella krypteringsnycklar. Brottsuppgifter och andra s.k. känsliga personuppgifter än uppgifter om hälsa får bara behandlas med tillstånd av regeringen eller Integritetsskyddsmyndigheten. Personuppgifterna får bara behandlas för kvalitetsuppföljningen, dock att den ansvariga regionen eller kommunen får använda dem för statistik och föreskriven uppgiftsskyldighet får fullgöras.

Vid både sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning gäller vissa integritetsstärkande bestämmelser om tilldelning av behörighet att ta del av personuppgifter, loggning och kontroll av loggar.

Utredningen lämnar vidare två alternativa förslag till en ny sekretessbrytande bestämmelse för socialtjänsten. Enligt det ena förslaget får en verksamhet hos en myndighet (nämnd) inom socialtjänsten som avser insatser för äldre eller personer med funktionsnedsättningar lämna uppgifter till andra sådana verksamheter inom samma kommun. Detta förslag förutsätter att de integritetsstärkande bestämmelserna i förslaget om en ny lag genomförs. Enligt det andra förslaget får alla myndigheter med verksamhet inom socialtjänsten inom samma kommun lämna uppgifter till varandra, om den enskilde inte motsätter sig utlämnandet. Detta förslag förutsätter att ytterligare generella integritetsstärkande bestämmelser införs i lagen om behandling av personuppgifter inom socialtjänsten, som i huvudsak motsvarar de som finns i patientdatalagen.

Utredningen föreslår slutligen en sekretessbrytande bestämmelse som innebär att en myndighet med hälso- och sjukvårdsverksamhet får lämna uppgifter till en enskild med sådan verksamhet som myndigheten anlitat, om uppgifterna behövs i den individinriktade hälso- och sjukvården.

Bestämmelserna ska enligt förslaget börja gälla den 1 juli 2022. Eftersom det är frivilligt att använda de möjligheter den nya lagen ger, bedöms lagen i sig inte föra med sig några ekonomiska konsekvenser.

Representanterna i utredningen från Sveriges Kommuner och Regioner, Inera AB och E-hälsomyndigheten, som generellt är positiva till utredningens förslag, lämnar ett särskilt yttrande på ett par punkter om kvalitetsuppföljning.

Längre sammanfattning

Bakgrund

Hälso- och sjukvården och socialtjänsten har under de senaste decennierna genomgått stora strukturförändring. Dessa förändringar har påverkat förutsättningarna för att bedriva hälso- och sjukvård och socialtjänst. Hit hör ökningen av antalet utförare som är verksamma inom hälso- och sjukvård och socialtjänst, och den demografiska förändringen med en ökande andel äldre i befolkningen. Därtill har det skett en snabb teknisk utveckling. Den tekniska utvecklingen, och de effektivitetsvinster som den kan medföra, har lett till en allt högre grad av digitalisering i hälso- och sjukvård och socialtjänst.

Det har kommit signaler från flera håll om att sättet att bedriva vård och omsorg kommer att behöva förändras för att regioner och kommuner ska kunna klara sitt uppdrag att leverera god och säker vård och omsorg även i framtiden. Som ett led i detta blir det allt viktigare att utforma de juridiska förutsättningarna för att effektivt och säkert överföra information mellan verksamheter inom hälso- och sjukvård och socialtjänst. Det finns i dag tekniska möjligheter att enkelt överföra digital information på ett sätt som tidigare inte varit möjligt. Samtidigt innebär den ökade digitalisering och möjligheten till elektroniska utlämnanden av känsliga personuppgifter att det uppstår nya sorters risker för intrång i den personliga integriteten.

Gemensamt för utredningens uppdrag, som redovisas i detta delbetänkande, är att de rör frågor om behandling av personuppgifter som innebär att personuppgifter görs tillgängliga mellan olika enheter inom hälso- och sjukvården och socialtjänsten. Det rör sig i princip uteslutande om uppgifter om människors hälsa och livssituation, dvs. information av integritetskänslig karaktär.

Möjligheterna att införa direktåtkomst inom och mellan vissa verksamheter i socialtjänst och hälso- och sjukvård

Överföring inom socialtjänsten av dokumentation om insatser för äldre eller personer med funktionsnedsättningar

Inom hälso- och sjukvården finns möjlighet att på ett enkelt och säkert sätt utbyta information om patienter mellan olika vårdgivare genom bestämmelserna om sammanhållen journalföring i patientdatalagen. Utredningen gör bedömningen att det inom socialtjänsten finns motsvarande behov av att få elektronisk åtkomst till dokumentation om insatser för äldre eller personer med funktionsnedsättningar.

Det finns exempel på verksamheter som i stället för direktåtkomst använder sig av elektroniskt utlämnande som för användaren är identiskt med, eller i vart fall snarlikt direktåtkomst, men är uppbyggt som en s.k. fråga-svar-funktion. Utredningens förslag gäller därför både direktåtkomst annat elektroniskt utlämnande, vilket medför vissa följdjusteringar i patientdatalagen. Direktåtkomsten kombineras med en bestämmelse om absolut sekretess för sådan överskottsinformation som görs tillgänglig, på motsvarande sätt som inom sammanhållen journalföring.

Utredningen har vid en samlad avvägning mellan behoven inom socialtjänsten och risken för integritetsintrång kommit fram till att det är möjligt att tillåta direktåtkomst mellan verksamheter inom socialtjänsten till dokumentation om insatser för äldre eller personer med funktionsnedsättningar om det samtidigt införs vissa integritetsstärkande bestämmelser. Förutsättningarna för elektroniskt utlämnande bör författningsregleras i lag och regleringen bör utformas med sammanhållen journalföring som förebild.

Informationsöverföring mellan socialtjänsten och hälso- och sjukvården

Utredningen gör också bedömningen att det hos verksamheter inom socialtjänsten för äldre eller personer med funktionsnedsättningar och hälso- och sjukvården finns ett tydligt behov av att ta del av varandras dokumentation på ett enkelt och säkert sätt. Även vid överföring av personuppgifter genom direktåtkomst eller annat elektroniskt utlämnande mellan hälso- och sjukvården och socialtjänstens verksamheter för äldre och personer med funktionsnedsättningar finns det stora integritetsrisker. Utredningen har dock vid en samlad avvägning mellan behov och integritetsrisker kommit fram till att det är möjligt att tillåta tillgång genom direktåtkomst eller annat elektronisk utlämnande till personuppgifter mellan verksamheter inom socialtjänsten som avser äldre eller personer med funktionsnedsättningar och hälso- och sjukvården om det samtidigt införs vissa integritetsstärkande bestämmelser. Förutsättningarna för det elektroniska utlämnandet bör författningsregleras i lag. Det framstår som ändamålsenligt att ha regleringen om sammanhållen journalföring i patientdatalagen som utgångspunkt vid utformningen av en sådan reglering.

Sammanhållen vård- och omsorgsdokumentation

Utredningen föreslår därför att det ska bli möjligt att frivilligt inrätta ett system, kallat sammanhållen vård- och omsorgsdokumentation, som ger verksamheter inom socialtjänsten som avser äldre eller personer med funktionsnedsättningar och hälso- och sjukvården möjlighet att få tillgång till varandras vård- och omsorgsdokumentation genom direktåtkomst eller annat elektroniskt utlämnande. Det ska även införas ett antal integritetsstärkande bestämmelser som ska tillämpas av de verksamheter som väljer att använda sig av sådan elektronisk tillgång. Förutsättningarna för sådan elektronisk tillgång ska regleras i lag.

Utredningen bedömer att i de allra flesta fall behöver inte en särskild konsekvensbedömning avseende dataskydd enligt artikel 35 i dataskyddsförordningen göras av de verksamheter som inför sammanhållen vård- och omsorgsdokumentation.

Innebörden av sammanhållen vård- och omsorgsdokumentation

Vård- och omsorgsgivare föreslås genom ett eller flera elektroniska system – under vissa förutsättningar – kunna ge eller få tillgång genom direktåtkomst eller annat elektroniskt utlämnande till personuppgifter om insatser för äldre eller personer med funktionsnedsättningar och personuppgifter i vårddokumentation hos andra vård- och omsorgsgivare. Som omsorgsgivare anses myndighet som har ansvar för eller utför insatser för äldre eller personer med funktionsnedsättningar (offentlig omsorgsgivare) och juridisk person eller enskild näringsidkare som utför sådana insatser (privat omsorgsgivare). Vårdgivare har samma innebörd som i patientdatalagen. Detta elektroniska system ska benämnas sammanhållen vård-

och omsorgsdokumentation.

Nödvändiga sekretessbrytande bestämmelser införs för att uppgifter ska kunna göras tillgängliga inom systemet med sammanhållen vård- och omsorgsdokumentation. Absolut sekretess ska gälla för s.k. överskottsinformation vid direktåtkomst.

Tillämpningsområdet för sammanhållen vård- och omsorgsdokumentation

Bestämmelserna om sammanhållen vård- och omsorgsdokumentation ska få tillämpas på vårdgivares behandling av personuppgifter enligt patientdatalagen. Bestämmelserna om får även tillämpas på socialtjänstens dokumentation enligt 11 kap. 5 § socialtjänstlagen avseende insatser för äldre eller personer med funktionsnedsättningar. Bestämmelserna får också tillämpas på dokumentation enligt 21 a § lagen om stöd och service till vissa funktionshindrade (LSS). Med insatser för äldre eller personer med funktionsnedsättningar avses insatser som ges enligt 4 kap. 1 § socialtjänstlagen som dels beskrivs i 3 kap. 6 § första stycket socialtjänstlagen (hemtjänst, dagverksamheter eller annan liknande social tjänst för att underlätta för den enskilde att bo hemma och att ha kontakt med andra) och lämnas till äldre och personer med funktionsnedsättningar, dels beskrivs i 5 kap.5 och 7 §§socialtjänstlagen. Detta inbegriper därmed insatser till livsföring i övrigt som innebär stöd i daglig livsföring i form av hemtjänst, dagverksamhet, korttidsvistelse, boendestöd, kontaktperson och särskild boendeform. Även dokumentation av

insats i form av hemtjänst till äldre enligt 4 kap. 2 a § socialtjänstlagen, som lämnas utan föregående behovsprövning ingår. Slutligen räknas även samtliga insatser enligt LSS som insatser för äldre eller personer med funktionsnedsättningar.

Bestämmelserna om sammanhållen vård- och omsorgsdokumentation får bara tillämpas på socialtjänstens dokumentation om dokumentationen förs för varje enskild person för sig.

Förutsättningar för tillgång till personuppgifter genom sammanhållen vård- och omsorgsdokumentation

Utredningen föreslår att de förutsättningar som ska gälla för vård- och omsorgsgivares tillgång till personuppgifter genom sammanhållen vård- och omsorgsdokumentation, ska motsvara de som gäller för vårdgivares tillgång till personuppgifter genom sammanhållen journalföring enligt patientdatalagen. Regleringen ska därför innehålla ett antal integritetshöjande bestämmelser.

  • Tillgång till personuppgifter genom sammanhållen vård- och omsorgsdokumentation får bara avse personuppgifter som behandlas för vårddokumentation eller för att ansvara för eller utföra insatser för äldre eller personer med funktionsnedsättningar eller administration eller dokumentation av sådana insatser.
  • Uppgifter om en enskild får inte göras tillgängliga för andra vård- eller omsorgsgivare om den enskilde motsätter sig det. Innan uppgifter görs tillgängliga, ska den enskilde informeras om vad den sammanhållna vård- och omsorgsdokumentation innebär och om att den enskilde kan motsätta sig att uppgifter görs tillgängliga på detta sätt.
  • Den enskilde måste aktivt ha lämnat sitt samtycke till att en vård- eller omsorgsgivare tar del av personuppgifter som en annan vård- eller omsorgsgivare gjort tillgängliga innan detta kan ske.
  • En omsorgsgivare får bara behandla uppgifter som en annan vård- eller omsorgsgivare gjort tillgängliga om uppgifterna rör en enskild som får omsorgsgivarens insatser eller är föremål för en utredning om att få sådana insatser, uppgifterna kan antas ha betydelse för omsorgsgivarens insatser för den enskilde eller utredning om insatser och den enskilde samtycker till det.
  • För att en vårdgivare ska få behandla uppgifter som andra vård- och omsorgsgivare gjort tillgängliga gäller samma förutsättningar som tidigare gällt för sammanhållen journalföring. Det får alltså bara ske om uppgifterna rör en patient som det finns en aktuell patientrelation med, uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården, eller för att bedöma behovet av eller utföra insatser enligt lagen om koordineringsinsatser för sjukskrivna patienter och patienten samtycker till det.
  • Särskilda bestämmelser ska gälla om den enskilde inte kan samtycka.
  • Den enskilde får medges åtkomst till sina personuppgifter och annan dokumentation genom direktåtkomst eller annat elektroniskt utlämnande.
  • Det anges uttryckligen i lagen att vård- eller omsorgsgivaren är personuppgiftsansvarig för den behandling av personuppgifter som vård- eller omsorgsgivaren utför vid sammanhållen vård- och omsorgsdokumentation. I en region och en kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Det framgår också tydligt att personuppgiftsansvaret omfattar även sådan behandling av personuppgifter som utförs när vård- eller omsorgsgivaren genom direktåtkomst eller annat elektronisk utlämnande i ett enskilt fall bereder sig tillgång till personuppgifter hos andra vård- och omsorgsgivare.
  • Vård- och omsorgsgivare ska ha ansvar för tilldelning av behörighet och kontroll av elektronisk åtkomst till personuppgifter.
  • En enskild ska ha rätt att på begäran få information om vilken elektronisk åtkomst som förekommit till uppgifter om honom eller henne (logglistor). Den enskilde får ges tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till denna information.

Samma principer som gäller inom sammanhållen journalföring i patientdatalagen för bevarande och gallring ska gälla inom sammanhållen vård- och omsorgsdokumentation.

Utvidgade möjligheter till informationsöverföring för kvalitetsuppföljning inom vård- och omsorg

Informationsöverföring för kvalitetsuppföljning inom vård och omsorg

Utredningen bedömer att det finns ett klart behov av att kunna genomföra kvalitetsuppföljning med personuppgifter från flera vårdinstanser (myndigheter och privata företag som ansvarar för eller bedriver hälso- och sjukvård) eller omsorgsgivare. Kvalitetsuppföljningen ger regioner och kommuner möjlighet att följa upp all den offentligt finansierade vård eller omsorg som de ansvarar för. Privata vårdinstanser och omsorgsgivare har däremot inte ett lika uttalat behov av att inhämta personuppgifter från andra vårdinstanser eller omsorgsgivare för kvalitetsuppföljning.

Behoven och vinsterna med kvalitetsuppföljning med personuppgifter från flera vårdinstanser eller omsorgsgivare överväger integritetsriskerna. Detta förutsätter dock att vissa integritetsstärkande bestämmelser införs.

Utredningen föreslår därför att det införs bestämmelser som ger möjlighet till kvalitetsuppföljning för regioner och kommuner när det gäller hälso- och sjukvård och insatser för äldre eller personer med funktionsnedsättningar inom socialtjänsten med personuppgifter från flera vårdinstanser eller omsorgsgivare. Förutsättningarna för sådan kvalitetsuppföljning bör regleras i lag.

En särskild konsekvensbedömning avseende dataskydd enligt artikel 35 i dataskyddsförordningen behöver göras inför i princip varje kvalitetsuppföljning.

Innebörden av kvalitetsuppföljning

Kvalitetsuppföljning definieras som uppföljning av kvaliteten på hälso- och sjukvård som en huvudman (region eller kommun) ansvarar för enligt hälso- och sjukvårdslagen och insatser för äldre eller personer med funktionsnedsättningar som en region eller kommun ansvarar för enligt socialtjänstlagen och LSS. Kvalitetsuppföljning omfattar sådana åtgärder som på olika sätt syftar till och är ägnade att förbättra eller utveckla vården och omsorgen. Tanken är inte att kvalitetsuppföljning ska användas för att följa upp hur vården eller omsorgen fallit ut på individnivå, utan kvalitetsuppföljning är något

som ska ske på verksamhetsnivå och ta sikte på större skeden och processer.

Personuppgifter ska utan hinder av patientdatalagen och lagen om behandling av personuppgifter inom socialtjänsten och anknytande föreskrifter samt hälso- och sjukvårds- och socialtjänstsekretess få lämnas ut för att behandlas för sådan kvalitetsuppföljning som är tillåten enligt den föreslagna lagen.

Tillämpningsområdet för kvalitetsuppföljning

Bestämmelserna om kvalitetsuppföljning tillämpas just när personuppgifter från flera vårdinstanser och omsorgsgivare behöver behandlas. Möjligheterna för vård- eller omsorgsgivare till kvalitetsuppföljning med uppgifter från bara den egna organisationen påverkas inte.

Kvalitetsuppföljningen får omfatta sådan hälso- och sjukvård respektive sådana socialtjänstinsatser för äldre eller personer med funktionsnedsättningar som en region eller kommun ansvarar för. En region eller kommun får besluta att följa upp sådan verksamhet som den ansvarar för oberoende av vem som utför verksamheten. Kvalitetsuppföljning av rent privat hälso- och sjukvård eller socialtjänst, som inte någon region eller kommun ansvarar för, faller därmed utanför lagens tillämpningsområde.

Den kunskap som genererats inom ramen för kvalitetsuppföljningen får användas på det sätt som regionen eller kommunen finner lämpligt, om uppgifterna helt avidentifierats.

Lagen gäller i tillämpliga delar även uppgifter om avlidna personer.

Kvalitetsuppföljning förutsätter ett beslut av fullmäktige

Behandling av personuppgifter för kvalitetsuppföljning får genomföras bara om fullmäktige i den ansvariga regionen eller kommunen har beslutat om det. Av fullmäktiges beslut ska framgå

  • för vilka särskilda och berättigade ändamål som personuppgifterna ska behandlas,
  • vilken vårdinstans eller omsorgsgivare som är personuppgiftsansvarig för behandlingen,
  • de kategorier av personer som behandlingen gäller,
  • de kategorier av personuppgifter som behandlingen gäller,
  • från vilka vårdinstanser och omsorgsgivare som personuppgifter kommer att samlas in, och
  • den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period. Personuppgifterna ska gallras när denna period löpt ut.

Beslutet kan överklagas enligt formerna för laglighetsprövning i kommunallagen.

Förutsättningar för kvalitetsuppföljning

Kvalitetsuppföljning innebär att stora mängder känsliga personuppgifter kommer att behandlas. Regleringen innehåller därför ett antal integritetsstärkande bestämmelser.

  • Personuppgifter får inte behandlas för kvalitetsuppföljning om den enskilde, efter att ha informerats om behandlingen, motsätter sig det (s.k. opt out). Särskilda bestämmelser ska gälla om den enskilde inte kan ta ställning.
  • Personuppgifter får som huvudregel bara behandlas för sådan kvalitetsuppföljning som beslutats. Personuppgifterna får dock också behandlas för den ansvariga regionens eller kommunens framställning av statistik och för att fullgöra viss uppgiftsskyldighet.
  • Fullmäktige ska i sitt beslut om kvalitetsuppföljning ange vilken vårdinstans eller omsorgsgivare som ska vara personuppgiftsansvarig.
  • Innan personuppgifter behandlas för kvalitetsuppföljning ska den som är personuppgiftsansvarig se till att patienten eller omsorgsmottagaren bl.a. får information om rätten att när som helst motsätta sig behandlingen. Om det inte är möjligt att lämna informationen innan behandlingen av personuppgifterna påbörjas, ska den lämnas så snart som möjligt därefter.
  • Vid utlämnande av personuppgifter för kvalitetsuppföljning ska uppgifter om patientens eller omsorgsmottagarens identitet vara krypterade på ett sådant sätt att dennes identitet skyddas. Vid den senare behandlingen av personuppgifterna för kvalitetsuppföljning ska uppgifter om patientens eller omsorgsmottagarens identitet också, så långt det är möjligt, vara krypterade på ett sådant sätt att dennes identitet skyddas.
  • Om det finns kompletterande uppgifter som gör identifiering möjlig, får bara så få personer som möjligt hos den personuppgiftsansvarige tilldelas behörighet att ta del av dem. Den personuppgiftsansvarige ska se till att åtkomst till de kompletterande uppgifterna och de personuppgifter som inte är föremål för kryptering dokumenteras och kan kontrolleras. Den personuppgiftsansvarige ska också göra systematiska och återkommande kontroller av om någon obehörigen kommer åt uppgifterna.

En ny lag om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning

En gemensam lag

Utredningen föreslår att möjligheten för vård- och omsorgsgivare att ta del av respektive ge tillgång till personuppgifter genom direktåtkomst eller annat elektroniskt utlämnande genom sammanhållen vård- och omsorgsdokumentation regleras i en ny gemensam lag, tillsammans med bestämmelser om kvalitetsuppföljning och de bestämmelser om kvalitetsregister som i dag finns i patientdatalagen, med den mindre justeringen att samordningsnummer jämställs med personnummer. Det är frivilligt för vårdgivare och omsorgsgivare att använda de utökade möjligheterna till elektronisk överföring av information genom sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning som lagen ger.

De nuvarande bestämmelserna om sammanhållen journalföring i 6 kap. patientdatalagen ersätts av bestämmelserna om sammanhållen vård- och omsorgsdokumentation nästan utan ändring i sak. Utlämnandet av uppgifter ska dock kunna ske både genom direktåtkomst och annat elektroniskt utlämnande. En ändring föreslås också beträffande möjligheten att ta del av barns personuppgifter, så att det bara

är när ett barn inte självt kan samtycka som behandling av personuppgifter får ske utan barnets samtycke.

Den nya lagens förhållande till annan reglering

Den gemensamma lagen kompletterar dataskyddsförordningen, patientdatalagen och lagen om behandling av personuppgifter inom socialtjänsten samt föreskrifter som har meddelats i anslutning till den lagen. Dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av den gemensamma lagen eller föreskrifter som har meddelats med stöd av den.

Sekretessbrytande bestämmelser för socialtjänsten inom en kommun

Utredningen anser att det finns ett tydligt behov av att utbyta information mellan myndigheter inom socialtjänsten i en och samma kommun, men detta är förknippat med vissa integritetsrisker. Utredningen ser två möjliga sätt att begränsa riskerna med en sekretessbrytande bestämmelse och lämnar i denna del två alternativa förslag: Alternativ A om en begränsad sekretessbrytande bestämmelse och alternativ B om en generell sekretessbrytande bestämmelse. Utredningen förordar inte något av alternativen framför det andra utan har valt att lämna just alternativa förslag.

Det ena förslaget (alternativ A) innebär att det i offentlighets- och sekretesslagen införs en bestämmelse med innebörden att socialtjänstsekretessen enligt 26 kap. 1 § offentlighets- och sekretesslagen inte hindrar att uppgift lämnas från en myndighets verksamhet som avser insatser för äldre eller personer med funktionsnedsättningar till en annan sådan verksamhet i samma kommun. De insatser som avses här är samma som inom sammanhållen vård- och omsorgsdokumentation. Alternativ A innebär alltså att enbart viss myndighetsverksamhet inom socialtjänsten i en kommun omfattas av den sekretessbrytande bestämmelsen. Om alternativ A ska kunna införas, behöver även vissa integritetsstärkande bestämmelser enligt förslaget om en lag om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning genomföras.

Utredningens alternativ B innebär att det i offentlighets- och sekretesslagen införs en generellt sekretessbrytande bestämmelse med innebörden att socialtjänstsekretessen inte hindrar att uppgift lämnas från en myndighet som bedriver socialtjänstverksamhet i en kommun till en annan sådan myndighet i samma kommun. Detta gäller dock inte om den enskilde motsätter sig ett sådant utlämnande. Utredningens alternativ B innebär en sekretessbrytande bestämmelse som gäller för all myndighetsverksamhet inom socialtjänsten i en kommun. För att denna sekretessbrytande bestämmelse ska kunna införas är det dock nödvändigt att införa ytterligare integritetsstärkande regler som kan motverka riskerna med bestämmelsen. Därför ska ett antal bestämmelser införas i SoLPUL som syftar till att stärka enskildas integritet generellt inom socialtjänsten.

Uppgiftslämnande mellan hälso- och sjukvårdsmyndigheter och privata hälso- och sjukvårdsföretag

Det kan finnas olika skäl till att uppgifter om patienter behöver lämnas ut från en hälso- och sjukvårdsmyndighet till ett privat hälso- och sjukvårdsföretag. Typiskt sett rör det sig om att patienter som har fått hälso- och sjukvård hos en hälso- och sjukvårdsmyndighet ska få hälso- och sjukvård hos ett privat hälso- och sjukvårdsföretag som myndigheten har anlitat.

Utredningen anser att övervägande skäl talar för att det bör införas en bestämmelse som bryter hälso- och sjukvårdssekretessen mellan en hälso- och sjukvårdsmyndighet och ett privat hälso- och sjukvårdsföretag som myndigheten har anlitat.

Utredningen föreslår att det i offentlighets- och sekretesslagen införs en bestämmelse med innebörden att hälso- och sjukvårdssekretessen enligt 25 kap. 1 § offentlighets- och sekretesslagen inte hindrar att uppgift lämnas från en myndighet som bedriver verksamhet som avses i det nämnda lagrummet till en enskild som bedriver sådan verksamhet och som myndigheten har anlitat. En förutsättning är att uppgifterna behövs i den individinriktade verksamhet som avses i nämnda lagrum.

Ikraftträdande och övergångsbestämmelser

Utredningen föreslår att den nya lagstiftningen ska träda i kraft den 1 juli 2022. Det behövs bara ett par övergångsbestämmelser.

Konsekvenser

De möjligheter som utredningens förslag om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning ger är frivilliga att tillämpa. Enligt utredningens bedömning förväntas inte förslagen i sig medföra några samhällsekonomiska kostnader. Förslagen kombineras med ett flertal integritetsstärkande åtgärder, som de som väljer att använda möjligheterna måste följa, och bedöms därför inte medföra några oacceptabla konsekvenser för den personliga integriteten.

1. Författningsförslag

Utredningens uppdrag avser flera olika frågor, vilket återspeglas i de förslag utredningen lämnar. För att framhäva att utredningens lagförslag beträffande de olika utredningsfrågorna inte är beroende av att samtliga lagförslag genomförs har utredningen valt att dela upp redovisningen av lagförslagen på de olika utredningsfrågorna i skilda avsnitt. Tanken är alltså att lagförslagen i vart och ett av avsnitten 1.1– 1.4 ska kunna genomföras oberoende av om lagförslagen i övriga avsnitt genomförs.

Ett undantag från det sagda utgör lagförslaget om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning (avsnitt 1.1). Den del av lagförslaget som avser kvalitetsuppföljning (3 kap. i den föreslagna lagen) är inte beroende av den del av lagförslaget som avser sammanhållen vård- och omsorgsdokumentation (2 kap. i den föreslagna lagen) och vice versa, men de har ändå redovisats genom ett förslag till en gemensam lag med anknytande förslag till lagändringar. Att skilja de olika delarna från varandra lagtekniskt har bedömts vara så pass enkelt att utredningen inte ansett att framställningen behöver tyngas av en uttrycklig redovisning av dessa alternativ.

Ett annat undantag är lagförslaget om en begränsad sekretessbrytande bestämmelse inom socialtjänsten (avsnitt 1.3). Det lagförslaget förutsätter att förslaget till en lag om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning (avsnitt 1.1.1) genomförs eller att motsvarande bestämmelser som avses i avsnitt 16.14 och 16.15 införs såvitt avser behandling av personuppgifter för insatser för äldre eller personer med funktionsnedsättningar.

Ett ytterligare undantag är lagförslagen i avsnitt 1.2 och 1.3 om sekretessbrytande bestämmelser inom socialtjänsten som är alternativa. Om en generell sekretessbrytande bestämmelse inom socialtjänsten (avsnitt 1.3) införs, behöver förstås inte dessutom en mer

begränsad sekretessbrytande bestämmelse inom socialtjänsten (avsnitt 1.2) införas.

1.1. Sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning

1.1.1. Förslag till lag (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning

Härigenom föreskrivs följande.

1 kap. Gemensamma bestämmelser

Definitioner

1 § I denna lag används följande uttryck med nedan angiven betydelse.

Uttryck Betydelse

EU:s dataskyddsförordning Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utred-

ningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering.

Insatser för äldre eller personer med funktionsnedsättningar

Insatser

1. enligt 4 kap. 1 § socialtjänstlagen (2001:453) som beskrivs i 3 kap. 6 § första stycket socialtjänstlagen och som lämnas till äldre och personer med funktionsnedsättningar,

2. enligt 4 kap. 1 § socialtjänstlagen som beskrivs i 5 kap.5 och 7 §§socialtjänstlagen,

3. enligt 4 kap. 2 a § socialtjänstlagen, och

4. enligt lagen (1993:387) om stöd och service till vissa funktionshindrade.

Kvalitetsuppföljning Uppföljning av kvaliteten på hälso- och sjukvård som en huvudman ansvarar för enligt hälso- och sjukvårdslagen

(2017:30) och insatser för äldre eller personer med funktionsnedsättningar som en region eller kommun ansvarar för enligt socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade.

Omsorgsgivare Myndighet som har ansvar för eller utför insatser för äldre eller personer med funktionsnedsättningar (offentlig omsorgsgivare) och juridisk person eller enskild

näringsidkare som utför sådana insatser (privat omsorgsgivare).

Omsorgsmottagare Person som fått eller får insatser för äldre eller personer med funktionsnedsättningar eller som fått eller får behovet av sådana insatser bedömda.

Patient Person som fått, får eller är registrerad för att få hälso- och sjukvård.

Sammanhållen vård- och omsorgsdokumentation

Ett elektroniskt system, som gör det möjligt för en vård- eller omsorgsgivare att ge eller få tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter hos andra vård- eller omsorgsgivare.

Vårdgivare Statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).

Vårdinstans Myndighet som har ansvar för eller bedriver hälso- och sjukvård (offentlig vårdinstans) och juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdinstans).

I 4 kap. 1 § finns en definition av kvalitetsregister.

Förhållandet till annan dataskyddsreglering

2 § Denna lag innehåller bestämmelser som kompletterar EU:s dataskyddsförordning, patientdatalagen (2008:355) och lagen (2001:454) om behandling av personuppgifter inom socialtjänsten samt föreskrifter som har meddelats i anslutning till den lagen.

Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Personuppgifter får utan hinder av patientdatalagen och lagen om behandling av personuppgifter inom socialtjänsten och anknytande föreskrifter lämnas ut för att behandlas för sådan kvalitetsuppföljning som är tillåten enligt 3 kap. Vid utlämnande av personuppgifter för kvalitetsuppföljning enligt 3 kap. ska uppgifter om patientens eller omsorgsmottagarens identitet vara krypterade på ett sådant sätt att dennes identitet skyddas.

2 kap. Sammanhållen vård- och omsorgsdokumentation

Tillämpningsområde

1 § Bestämmelserna i detta kapitel får tillämpas på vårdgivares behandling av personuppgifter enligt patientdatalagen (2008:355).

Bestämmelserna i detta kapitel får också tillämpas på omsorgsgivares behandling av personuppgifter enligt lagen (2001:454) om behandling av personuppgifter inom socialtjänsten för dokumentation

1. enligt 11 kap. 5 § socialtjänstlagen (2001:453) avseende insatser för äldre eller personer med funktionsnedsättningar, eller

2. enligt 21 a § lagen (1993:387) om stöd och service till vissa funktionshindrade.

Andra stycket gäller dock bara om dokumentationen förs för varje omsorgsmottagare för sig.

Direktåtkomst eller annat elektroniskt utlämnande av personuppgifter till en annan vård- eller omsorgsgivare

2 § En omsorgsgivare får, under de förutsättningar som anges i 3– 5, 7 och 9 §§, ha tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas av andra omsorgsgivare eller av vårdgivare. En vårdgivare får, under de förutsättningar som anges i 3–6, 8 och 10 §§, ha tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas av andra vårdgivare eller av omsorgsgivare.

En vård- eller omsorgsgivare får dock inte ha tillgång, genom direktåtkomst, till personuppgifter som behandlas av en annan vårdgivare i en utredning enligt lagen (2018:744) om försäkringsmedicinska utredningar. I den lagen finns särskilda bestämmelser om direktåtkomst vid sådana utredningar. En omsorgsgivare får inte heller ha sådan tillgång genom annan elektronisk åtkomst än direktåtkomst. I 4 kap. 2 § andra stycket patientdatalagen (2008:355) finns särskilda bestämmelser om elektronisk åtkomst till personuppgifter som behandlas i sådana utredningar.

Tillgången enligt första stycket får bara avse personuppgifter som behandlas

1. för ändamål som anges i 2 kap. 4 § 1 och 2 patientdatalagen, eller

2. för att ansvara för eller utföra insatser för äldre eller personer med funktionsnedsättningar eller för administration av sådana insatser eller sådan dokumentation som avses i 1 § andra stycket.

Patient- och omsorgsmottagarinflytande vid sammanhållen vård- och omsorgsdokumentation

3 § Om en patient eller omsorgsmottagare motsätter sig det, får uppgifter om patienten eller omsorgsmottagaren inte göras tillgängliga för andra vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation. I sådant fall ska uppgifterna genast spärras. Vårdnadshavaren till ett barn får dock inte spärra uppgifter om barnet. En patient eller omsorgsmottagare kan när som helst begära att den omsorgsgivare eller vårdgivare som har spärrat uppgifterna häver spärren. Vissa uppgifter om en patient får dock göras tillgängliga för andra vårdgivare enligt andra stycket.

Uppgift om att det finns spärrade uppgifter om en patient samt uppgift om vilken vårdgivare som har spärrat uppgifterna får göras tillgängliga för andra vårdgivare genom sammanhållen vård- och omsorgsdokumentation. En annan vårdgivare får ta del av uppgift om vilken vårdgivare som har spärrat uppgifterna endast under de förutsättningar som anges i 10 §.

Innan uppgifter om en patient eller en omsorgsmottagare görs tillgängliga för andra vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation, ska patienten eller omsorgsmottagaren informeras om vad den sammanhållna vård- och omsorgsdokumentation innebär och om att patienten eller omsorgsmottagaren kan motsätta sig att uppgifter görs tillgängliga för andra vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation. En patient ska också informeras om innebörden av andra stycket.

4 § Ospärrade uppgifter om patienten eller omsorgsmottagaren ska göras tillgängliga för de vård- och omsorgsgivare som är anslutna till den sammanhållna vård- och omsorgsdokumentationen. Det ska vidare införas en uppgift i den sammanhållna vård- och omsorgsdokumentationen om att det finns ospärrade uppgifter om patienten eller omsorgsmottagaren. Andra vård- och omsorgsgivare ska kunna ta del av denna uppgift utan att ta del av uppgift om vilken vård- eller omsorgsgivare som har gjort uppgiften tillgänglig och övriga uppgifters innehåll.

5 § En vård- eller omsorgsgivare får göra uppgifter om en patient eller omsorgsmottagare, som inte endast tillfälligt saknar förmåga att ta ställning enligt 3 § första stycket, tillgängliga för de vård- och omsorgsgivare som är anslutna till den sammanhållna vård- och omsorgsdokumentationen, om

1. patientens eller omsorgsmottagarens inställning till sådan behandling av personuppgifter så långt som möjligt klarlagts, och

2. det inte finns anledning att anta att patienten eller omsorgsmottagaren skulle ha motsatt sig behandlingen av personuppgifterna.

Vårdgivares tillgång till andras uppgifter genom sammanhållen vård- och omsorgsdokumentation

6 § För att en vårdgivare ska få behandla uppgifter som en annan vårdgivare eller en omsorgsgivare gör tillgängliga genom sammanhållen vård- och omsorgsdokumentation enligt 4 § krävs att

1. uppgifterna rör en patient som det finns en aktuell patientrelation med,

2. uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården, eller för att bedöma behovet av eller utföra insatser enligt lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter, och

3. patienten samtycker till det. Vårdgivaren får även behandla sådana uppgifter om

1. uppgifterna rör en patient som det finns eller har funnits en patientrelation med,

2. uppgifterna kan antas ha betydelse för att utfärda ett sådant intyg som avses i 3 kap. 16 § patientdatalagen (2008:355), och

3. patienten samtycker till det. Samtycke enligt första stycket 3 eller andra stycket 3 krävs dock inte, om patienten är ett barn som inte självt kan samtycka.

Omsorgsgivares tillgång till andras uppgifter genom sammanhållen vård- och omsorgsdokumentation

7 § För att en omsorgsgivare ska få behandla uppgifter som en annan omsorgsgivare eller en vårdgivare gör tillgängliga genom sammanhållen vård- och omsorgsdokumentation enligt 4 § krävs att

1. uppgifterna rör en omsorgsmottagare som får omsorgsgivarens insatser för äldre eller personer med funktionsnedsättningar eller är föremål för en utredning om att få sådana insatser från omsorgsgivaren,

2. uppgifterna kan antas ha betydelse för omsorgsgivarens insatser enligt 1, och

3. omsorgsmottagaren samtycker till det. Samtycke enligt första stycket 3 krävs dock inte, om behandlingen avser uppgifter som en annan omsorgsgivare gör tillgängliga och om omsorgsmottagaren är ett barn som inte självt kan samtycka.

När patienten inte kan samtycka

8 § En vårdgivare får ta del av uppgift om vilka andra vård- och omsorgsgivare som har gjort uppgifter tillgängliga enligt 3–5 §§, om patienten inte endast tillfälligt saknar förmåga att lämna samtycke enligt 6 § första stycket 3.

Vårdgivaren får även behandla de uppgifter som avses i 3–5 §§, om

1. vårdgivaren bedömer att dessa kan antas ha betydelse för den vård som är nödvändig med hänsyn till patientens hälsotillstånd,

2. patientens inställning till sådan behandling av personuppgifter så långt som möjligt klarlagts, och

3. det inte finns anledning att anta att patienten skulle ha motsatt sig behandlingen av personuppgifterna.

När omsorgsmottagaren inte kan samtycka

9 § En omsorgsgivare får ta del av uppgift om vilka andra omsorgsgivare som har gjort uppgifter tillgängliga enligt 3–5 §§, om omsorgsmottagaren inte endast tillfälligt saknar förmåga att lämna samtycke enligt 7 § första stycket 3.

Omsorgsgivaren får även behandla de uppgifter som avses i 3– 5 §§ som andra omsorgsgivare gjort tillgängliga, om

1. omsorgsgivaren bedömer att dessa kan antas ha betydelse för de insatser för äldre eller personer med funktionsnedsättningar som är nödvändiga med hänsyn till omsorgsmottagarens behov, eller en utredning om sådana insatser,

2. omsorgsmottagarens inställning till sådan behandling av personuppgifter så långt som möjligt klarlagts, och

3. det inte finns anledning att anta att omsorgsmottagaren skulle ha motsatt sig behandlingen av personuppgifterna.

Fara för patientens liv eller hälsa

10 § Om det finns spärrade uppgifter om en patient och det finns fara för dennes liv eller det annars finns allvarlig risk för dennes hälsa, får vårdgivaren, om patienten inte kan häva spärren enligt 3 § första stycket, ta del av uppgift om vilken eller vilka vårdgivare som

har spärrat uppgifterna. Om vårdgivaren med ledning av denna uppgift bedömer att de spärrade uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver, får vårdgivaren begära hos den vårdgivare som har spärrat uppgifterna att denne häver spärren.

Om det finns ospärrade uppgifter om en patient och det finns fara för dennes liv eller det annars finns allvarlig risk för dennes hälsa, får vårdgivaren, om patientens samtycke inte kan inhämtas enligt 6 §, ta del av uppgift om vilken eller vilka vårdgivare som har gjort uppgifterna tillgängliga. Om vårdgivaren med ledning av denna uppgift bedömer att ospärrade uppgifter som en annan vårdgivare gjort tillgängliga kan antas ha betydelse för den vård som patienten oundgängligen behöver, får vårdgivaren behandla de ospärrade uppgifterna.

Uttömmande reglering

11 § En vård- eller omsorgsgivare får inte behandla en annan vård- eller omsorgsgivares uppgifter om en patient eller omsorgsmottagare genom sammanhållen vård- och omsorgsdokumentation under andra förutsättningar än dem som anges i 3–10 §§, även om patienten eller omsorgsmottagaren uttryckligen samtycker till det.

Personuppgiftsansvar vid sammanhållen vård- och omsorgsdokumentation

12 § Vård- eller omsorgsgivaren är personuppgiftsansvarig för den behandling av personuppgifter som vård- eller omsorgsgivaren utför vid sammanhållen vård- och omsorgsdokumentation. I en region och en kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Personuppgiftsansvaret enligt första stycket omfattar även sådan behandling av personuppgifter som utförs när någon genom direktåtkomst eller annat elektroniskt utlämnande i ett enskilt fall bereds tillgång till personuppgifter hos en annan vård- eller omsorgsgivare.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vem som ska ha personuppgiftsansvar för

övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen vård- och omsorgsdokumentation.

Patientens och omsorgsmottagarens elektroniska tillgång till dokumentation

13 § En vård- eller omsorgsgivare får medge en patient eller omsorgsmottagare tillgång genom direktåtkomst eller annat elektroniskt utlämnande till sådana uppgifter om patienten eller omsorgsmottagaren själv som får lämnas ut till honom eller henne och som en annan vård- eller omsorgsgivare får ha tillgång till enligt 3 §.

Patienten eller omsorgsmottagaren får också medges tillgång genom direktåtkomst eller annat elektroniskt utlämnande till sådan dokumentation som avses i 15 § första stycket1.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst eller annat elektroniskt utlämnande som avses i första stycket.

I 5 kap. 5 § patientdatalagen (2008:355) finns det ytterligare bestämmelser om patientens tillgång genom direktåtkomst eller annat elektroniskt utlämnande till uppgifter hos vårdgivare om patienten själv.

Tilldelning av behörighet för intern elektronisk åtkomst och kontroll av elektronisk åtkomst

14 § Omsorgsgivaren ska bestämma villkor för tilldelning av behörighet till personalen i den egna organisationen för åtkomst till personuppgifter som hålls tillgängliga för andra vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation. Sådan behörighet ska begränsas till vad som behövs för att den behörige ska kunna fullgöra sina arbetsuppgifter i fråga om insatser för äldre eller personer med funktionsnedsättningar, administration av sådana insatser och dokumentation som avses i 1 § andra stycket.

1 För den händelse utredningens lagförslag i avsnitt 1.3 genomförs samtidigt bör hänvisningen i stället avse 10 a § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tilldelning av behörighet enligt första stycket.

I 4 kap. 2 § patientdatalagen (2008:355) finns det bestämmelser om vårdgivares behörighetstilldelning. Den bestämmelsen gäller även för vårdgivares behörighetstilldelning avseende åtkomst till sammanhållen vård- och omsorgsdokumentation.

Alternativ lagtext2:

14 § I 4 kap. 2 § patientdatalagen (2008:355) finns det bestämmelser om vårdgivares behörighetstilldelning som gäller även för vårdgivares behörighetstilldelning avseende åtkomst till sammanhållen vård- och omsorgsdokumentation. I 4 kap. 3 § patientdatalagen finns det bestämmelser om vårdgivares åtkomstkontroll som gäller även för vårdgivares åtkomstkontroll avseende åtkomst till sammanhållen vård- och omsorgsdokumentation.

I 9 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten finns det bestämmelser om omsorgsgivares behörighetstilldelning. Den bestämmelsen gäller även för omsorgsgivares behörighetstilldelning avseende åtkomst till sammanhållen vård- och omsorgsdokumentation, dock att behörigheten ska begränsas till vad som behövs för att den behörige ska kunna fullgöra sina arbetsuppgifter i fråga om insatser för äldre eller personer med funktionsnedsättningar, administration av sådana insatser och dokumentation som avses i 1 § andra stycket. I 10 § lagen om behandling av personuppgifter inom socialtjänsten finns det bestämmelser om omsorgsgivares åtkomstkontroll som gäller även för omsorgsgivares åtkomstkontroll avseende åtkomst till sammanhållen vård- och omsorgsdokumentation.

15 § Omsorgsgivaren ska se till att åtkomst till personuppgifter som hålls tillgängliga för andra omsorgs- och vårdgivare genom sammanhållen vård- och omsorgsdokumentation dokumenteras och kan kontrolleras. Omsorgsgivaren ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt uppgifterna.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om dokumentation och kontroll enligt första stycket.

2 Alternativ lagtext för den händelse utredningens lagförslag i avsnitt 1.3 genomförs samtidigt.

I 4 kap. 3 § patientdatalagen (2008:355) finns det bestämmelser om vårdgivares åtkomstkontroll. Den bestämmelsen gäller även för vårdgivares åtkomstkontroll avseende åtkomst till sammanhållen vård- och omsorgsdokumentation.

Alternativ lagtext3:

15 §

Information om den elektroniska åtkomst som förekommit

16 § Omsorgsgivaren ska på begäran av en omsorgsmottagare lämna information om den åtkomst som förekommit till de personuppgifter om omsorgsmottagaren som omsorgsgivaren håller tillgängliga för andra omsorgs- och vårdgivare genom sammanhållen vård- och omsorgsdokumentation.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om information enligt första stycket.

I 8 kap. 5 § (2008:355) patientdatalagen finns det bestämmelser om motsvarande skyldighet för vårdgivare.

Alternativ lagtext4:

16 § I 8 kap. 5 § patientdatalagen (2008:355) finns det bestämmelser om vårdgivares skyldighet att på begäran lämna information om den direktåtkomst och elektroniska åtkomst till uppgifter om patienten som förekommit som gäller även i fråga om åtkomst till sammanhållen vård- och omsorgsdokumentation.

I 10 a § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten finns det bestämmelser om skyldighet för den som bedriver verksamhet inom socialtjänsten att på begäran lämna information om den elektroniska åtkomst till uppgifter om den registrerade som förekommit som gäller även i fråga om åtkomst till sammanhållen vård- och omsorgsdokumentation.

3 Alternativ lagtext för den händelse utredningens lagförslag i avsnitt 1.3 genomförs samtidigt. 4 Alternativ lagtext för den händelse utredningens lagförslag i avsnitt 1.3 genomförs samtidigt.

Bevarande och gallring

17 § När en handling är tillgänglig för flera vård- eller omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation gäller skyldigheten enligt 7 kap. 3 § socialtjänstlagen (2001:453), 23 c § lagen (1993:387) om stöd och service till vissa funktionshindrade eller 3 kap. 17 § patientdatalagen (2008:355) att bevara den bara den vård- eller omsorgsgivare som ansvarar för den.

Om en handling är tillgänglig för en myndighet bara genom sammanhållen vård- och omsorgsdokumentation och myndigheten inte ansvarar för den, får myndigheten gallra handlingen från sitt arkiv.

3 kap. Kvalitetsuppföljning

Tillämpningsområde

1 § Bestämmelserna i detta kapitel gäller bara för sådan kvalitetsuppföljning som innebär att personuppgifter samlas in från andra vårdinstanser eller omsorgsgivare. Dessa bestämmelser gäller i tillämpliga delar även uppgifter om avlidna personer.

Beslut om kvalitetsuppföljning

2 § Behandling av personuppgifter för kvalitetsuppföljning får genomföras bara om fullmäktige i den ansvariga regionen eller kommunen har beslutat om det. Av beslutet ska framgå

1. för vilka särskilda och berättigade ändamål som personuppgifterna ska behandlas,

2. vilken vårdinstans eller omsorgsgivare som är personuppgiftsansvarig för behandlingen,

3. de kategorier av personer som behandlingen gäller,

4. de kategorier av personuppgifter som behandlingen gäller,

5. från vilka vårdinstanser och omsorgsgivare som personuppgifter kommer att samlas in, och

6. den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.

Personuppgifterna ska gallras när perioden enligt första stycket 6 löpt ut.

Bestämmelser om hur beslutet överklagas finns i 13 kap. kommunallagen (2017:725).

Ändamål

3 § Personuppgifter får behandlas för kvalitetsuppföljning enligt detta kapitel.

Personuppgifter som behandlas för kvalitetsuppföljning enligt detta kapitel får också behandlas för

1. den ansvariga regionens eller kommunens framställning av statistik, och

2. fullgörande av någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen (2009:400).

Personuppgifter som behandlas för kvalitetsuppföljning får inte behandlas för några andra ändamål än de som anges i första och andra stycket.

Patientens eller omsorgsmottagarens inställning till kvalitetsuppföljningen

4 § Personuppgifter får inte behandlas för kvalitetsuppföljning som beslutats enligt denna lag, om patienten eller omsorgsmottagaren motsätter sig det.

5 § För en patient eller omsorgsmottagare som inte endast tillfälligt saknar förmåga att ta ställning enligt 4 § får personuppgifter behandlas för kvalitetsuppföljning, om

1. hans eller hennes inställning till sådan behandling så långt som möjligt klarlagts, och

2. det inte finns anledning att anta att han eller hon skulle ha motsatt sig behandlingen.

Information

6 § Innan personuppgifter behandlas för kvalitetsuppföljning ska den som är personuppgiftsansvarig se till att patienten eller omsorgsmottagaren, utöver den information som ska lämnas enligt annan författning eller EU:s dataskyddsförordning, får information om rätten att när som helst motsätta sig behandlingen.

Om det inte är möjligt att lämna informationen innan behandlingen av personuppgifterna påbörjas, ska den lämnas så snart som möjligt därefter.

Kryptering

7 § Vid behandling av personuppgifter för kvalitetsuppföljning ska uppgifter om patientens eller omsorgsmottagarens identitet så långt det är möjligt vara krypterade på ett sådant sätt att dennes identitet skyddas.

Om det finns kompletterande uppgifter som gör identifiering möjlig, får bara så få personer som möjligt hos den personuppgiftsansvarige tilldelas behörighet att ta del av dem.

Tilldelning av behörighet för åtkomst och kontroll av åtkomst

8 § Den personuppgiftsansvarige ska bestämma villkor för tilldelning av behörighet för åtkomst till personuppgifter som behandlas för kvalitetsuppföljning och kompletterande uppgifter som gör identifiering möjlig. Sådan behörighet ska begränsas till så få personer som möjligt hos den personuppgiftsansvarige och till vad som behövs för att den behörige ska kunna fullgöra sina arbetsuppgifter.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tilldelning av behörighet enligt första stycket.

I 4 kap. 2 § patientdatalagen (2008:355) finns det bestämmelser om vårdgivares behörighetstilldelning. Den bestämmelsen gäller även för vårdgivares behörighetstilldelning avseende åtkomst till personuppgifter som behandlas för kvalitetsuppföljning och kompletterande uppgifter som gör identifiering möjlig.

Alternativ lagtext5:

8 § I 4 kap. 2 § patientdatalagen (2008:355) finns det bestämmelser om vårdgivares behörighetstilldelning som gäller även för vårdinstansers behörighetstilldelning avseende åtkomst till personuppgifter som behandlas för kvalitetsuppföljning och kompletterande uppgifter som gör identifiering möjlig, dock att behörigheten ska begränsas till så få personer som möjligt hos den personuppgiftsansvarige. I 4 kap. 3 § patientdatalagen finns det bestämmelser om vårdgivares åtkomstkontroll som gäller även för vårdinstansers åtkomstkontroll avseende åtkomst till personuppgifter som behandlas för kvalitetsuppföljning och kompletterande uppgifter som gör identifiering möjlig.

I 9 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten finns det bestämmelser om omsorgsgivares behörighetstilldelning som gäller även för omsorgsgivares behörighetstilldelning avseende åtkomst till personuppgifter som behandlas för kvalitetsuppföljning och kompletterande uppgifter som gör identifiering möjlig, dock att behörigheten ska begränsas till så få personer som möjligt hos den personuppgiftsansvarige. I 10 § lagen om behandling av personuppgifter inom socialtjänsten finns det bestämmelser om omsorgsgivares åtkomstkontroll som gäller även för omsorgsgivares åtkomstkontroll avseende åtkomst till personuppgifter som behandlas för kvalitetsuppföljning och kompletterande uppgifter som gör identifiering möjlig.

9 § Den personuppgiftsansvarige ska se till att åtkomst till personuppgifter som behandlas för kvalitetsuppföljning och kompletterande uppgifter som gör identifiering möjlig dokumenteras och kan kontrolleras. Den personuppgiftsansvarige ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt uppgifterna.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om dokumentation och kontroll enligt första stycket.

Alternativ lagtext6:

9 §

5 Alternativ lagtext för den händelse utredningens lagförslag i avsnitt 1.3 genomförs samtidigt. 6 Alternativ lagtext för den händelse utredningens lagförslag i avsnitt 1.3 genomförs samtidigt.

Känsliga personuppgifter

10 § Personuppgifter om hälsa får behandlas för kvalitetsuppföljning som beslutats enligt denna lag. Andra känsliga personuppgifter enligt artikel 9.1 i EU:s dataskyddsförordning får behandlas för kvalitetsuppföljning som beslutats enligt denna lag bara om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det.

Känsliga personuppgifter får behandlas med stöd av artikel 9.2 h i EU:s dataskyddsförordning under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.

Uppgifter om lagöverträdelser

11 § Uppgifter om lagöverträdelser som avses i artikel 10 i EU:s dataskyddsförordning får behandlas för kvalitetsuppföljning som beslutats enligt denna lag bara om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det.

4 kap. Nationella och regionala kvalitetsregister inom hälso- och sjukvården

Inledande bestämmelse

1 § Med kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra hälso- och sjukvårdens kvalitet. Kvalitetsregistren ska möjliggöra jämförelse inom hälso- och sjukvården på nationell eller regional nivå. Bestämmelserna i detta kapitel gäller för nationella och regionala kvalitetsregister i vilka personuppgifter samlas in från flera vårdgivare.

Patientens inställning till behandling i kvalitetsregister

2 § Personuppgifter får inte behandlas i ett nationellt eller regionalt kvalitetsregister, om patienten motsätter sig det.

Om patienten motsätter sig behandlingen av personuppgifterna sedan den påbörjats, ska uppgifterna utplånas ur registret så snart som möjligt.

3 § För en patient som inte endast tillfälligt saknar förmåga att ta ställning enligt 2 § första stycket får personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister, om

1. hans eller hennes inställning till sådan behandling av personuppgifter så långt som möjligt klarlagts, och

2. det inte finns anledning att anta att han eller hon skulle ha motsatt sig behandlingen.

Personuppgifter i ett kvalitetsregister ska så snart som möjligt utplånas, om det efter att behandlingen av personuppgifterna har påbörjats finns anledning att anta att patienten skulle motsätta sig den.

Information

4 § Innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister ska den som är personuppgiftsansvarig se till att patienten, utöver den information som ska lämnas enligt annan författning eller EU:s dataskyddsförordning, får information om rätten att när som helst få uppgifter om sig själv utplånade ur registret.

Om det inte är möjligt att lämna informationen innan behandlingen av personuppgifterna påbörjas, ska den lämnas så snart som möjligt därefter.

Kvalitetsregisters ändamål

5 § I stället för vad som anges i 2 kap.4 och 5 §§patientdatalagen (2008:355) gäller att personuppgifter i nationella och regionala kvalitetsregister får behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra hälso- och sjukvårdens kvalitet.

6 § Personuppgifter som behandlas för det ändamål som anges i 5 § får också behandlas för ändamålen

1. framställning av statistik,

2. forskning inom hälso- och sjukvården,

3. utlämnande till den som ska använda uppgifterna för ändamål som anges i 1 och 2 eller i 5 §, och

4. fullgörande av någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen (2009:400).

7 § Personuppgifter i nationella och regionala kvalitetsregister får inte behandlas för några andra ändamål än de som anges i 5 och 6 §§.

Personuppgiftsansvar

8 § Endast myndigheter inom hälso- och sjukvården får vara personuppgiftsansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister.

Regeringen eller den myndighet som regeringen bestämmer får besluta om undantag från första stycket.

I 2 kap. 6 § patientdatalagen (2008:355) finns allmänna bestämmelser om personuppgiftsansvar.

Personuppgifter som får behandlas

9 § Endast sådana personuppgifter som behövs för det ändamål som anges i 5 § får behandlas i ett nationellt eller regionalt kvalitetsregister.

En patients personnummer, samordningsnummer eller namn får behandlas i ett nationellt eller regionalt kvalitetsregister endast om det inte är tillräckligt för det ändamål som anges i 5 § att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till patienten.

Uppgifter om hälsa får behandlas i nationella och regionala kvalitetsregister. Andra känsliga personuppgifter enligt artikel 9.1 i EU:s dataskyddsförordning får behandlas i nationella och regionala kvalitetsregister endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det.

Känsliga personuppgifter får behandlas med stöd av artikel 9.2 h i EU:s dataskyddsförordning under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.

10 § Uppgifter om lagöverträdelser som avses i 2 kap. 7 § patientdatalagen (2008:355) får behandlas i nationella och regionala kvalitetsregister endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det.

Utlämnande genom direktåtkomst

11 § En vårdgivare får ha direktåtkomst till de uppgifter som vårdgivaren lämnat till ett nationellt eller regionalt kvalitetsregister.

Bevarande och gallring

12 § Personuppgifter i ett nationellt eller regionalt kvalitetsregister ska gallras när de inte längre behövs för det ändamål som anges i 5 §.

En arkivmyndighet inom en region eller en kommun får dock föreskriva att personuppgifter i ett nationellt eller regionalt kvalitetsregister som förs inom regionen eller kommunen får bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Om regeringen eller den myndighet regeringen bestämt har meddelat föreskrifter enligt 8 § andra stycket, får regeringen eller myndigheten också föreskriva att personuppgifter får bevaras för sådana ändamål.

1. Denna lag träder i kraft den 1 juli 2022.

2. Bestämmelserna i 4 kap. 2 och 3 §§ gäller inte för personuppgifter som behandlats i nationella och regionala kvalitetsregister före den 1 juli 2009.

3. Bestämmelsen i 2 kap. 2 § andra stycket ska inte tillämpas på försäkringsmedicinska utredningar som Försäkringskassan begärt före den 1 januari 2019.

1.1.2. Förslag till lag om ändring i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten

Härigenom föreskrivs i fråga om lagen (2001:454) om behandling av personuppgifter inom socialtjänsten att 4 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

4 §7

Denna lag innehåller bestämmelser som kompletterar EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

I lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning finns ytterligare bestämmelser om behandling av personuppgifter inom socialtjänsten.

Denna lag träder i kraft den 1 juli 2022.

7 Senaste lydelse 2018:440.

1.1.3. Förslag till lag om ändring i patientdatalagen (2008:355)

Härigenom föreskrivs i fråga om patientdatalagen (2008:355)

dels att 6 kap. ska upphöra att gälla,

dels att 1 kap. 3 och 4 §§, 2 kap. 2, 3, 4 och 6 §§, 3 kap. 1 §,

5 kap. 4 och 5 §§ och 8 kap. 6 och 7 §§ ska ha följande lydelse,

dels att rubrikerna närmast före 5 kap. 4 § och 8 kap. 7 § ska ha

följande lydelse.

1 kap.

3 §8

Nuvarande lydelse

I denna lag används följande uttryck med nedan angiven betydelse.

Uttryck Betydelse

Hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utred-

ningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering.

8 Senaste lydelse 2019:1299.

Journalhandling Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder.

Patientjournal En eller flera journalhandlingar som rör samma patient.

Sammanhållen journalföring

Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.

Vårdgivare Statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare). ----------------------------------------------------------------------------

Föreslagen lydelse

I denna lag används följande uttryck med nedan angiven betydelse.

Uttryck Betydelse

Hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (2017:30),

tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering.

Journalhandling Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder.

Patientjournal En eller flera journalhandlingar som rör samma patient.

Vårdgivare Statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedri-

ver hälso- och sjukvård (privat vårdgivare).

----------------------------------------------------------------------------

Nuvarande lydelse Föreslagen lydelse

1 kap.

4 §9

Denna lag innehåller bestämmelser som kompletterar EU:s dataskyddsförordning, vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Vid behandling av personuppgifter som avses i första stycket gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

I lagen ( 0000:000 ) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning finns ytterligare bestämmelser om vårdgivares behandling av personuppgifter inom hälso- och sjukvården.

2 kap.

2 §

Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den. Det gäller dock inte i de fall som anges i 4 kap. 4 §, 6 kap. och

7 kap. 2 § eller om något annat

framgår av annan lag eller förordning.

Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den. Det gäller dock inte i de fall som anges i 4 kap. 4 § eller om något annat framgår av annan lag eller förordning.

9 Senaste lydelse 2018:447.

3 §

Behandling av personuppgifter som inte är tillåten enligt denna lag får ändå ske, om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Det gäller dock inte i de fall som anges i 6 kap. 5 § eller om något annat framgår av annan lag eller förordning.

Behandling av personuppgifter som inte är tillåten enligt denna lag får ändå ske, om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Det gäller dock inte om något annat framgår av annan lag eller förordning.

Regeringen får meddela föreskrifter om att en behandling av personuppgifter som inte är tillåten enligt denna lag inte heller i andra fall får utföras trots att den enskilde lämnat samtycke till behandlingen.

4 §

Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för

1. att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,

2. administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall,

3. att upprätta annan dokumentation som följer av lag, förordning eller annan författning,

4. att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten,

5. administration, planering, uppföljning, utvärdering och tillsyn av verksamheten, eller

6. att framställa statistik om hälso- och sjukvården. I 7 kap. 4 och 5 §§ finns särskilda bestämmelser om ändamålen med behandling av personuppgifter i nationella och regionala kvalitetsregister.

I 4 kap. 5 och 6 §§ lagen

(0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning finns sär-

skilda bestämmelser om ändamålen med behandling av personuppgifter i nationella och regionala kvalitetsregister.

6 §10

En vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I en region och en kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Personuppgiftsansvaret enligt första stycket omfattar även sådan behandling av personuppgifter som vårdgivaren, eller den myndighet i en region eller en kommun som är personuppgiftsansvarig, utför när vårdgivaren eller myndigheten genom direktåtkomst i ett enskilt fall bereder sig tillgång till personuppgifter om en patient hos en annan vårdgivare eller annan myndighet i samma region eller kommun.

I 6 och 7 kap. finns särskilda bestämmelser om personuppgiftsansvar.

I lagen (0000:000) om sam-

manhållen vård- och omsorgsdokumentation och kvalitetsuppföljning finns särskilda bestäm-

melser om personuppgiftsansvar.

3 kap.

1 §

Vid vård av patienter ska det föras patientjournal. En patientjournal ska föras för varje patient och får inte vara gemensam för flera patienter.

I 6 kap. finns bestämmelser om direktåtkomst till andra vårdgivares uppgifter om patienter genom sammanhållen journal-

föring.

I 2 kap. lagen (0000:000) om

sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning finns bestämmelser om tillgång genom direktåtkomst eller annat elektroniskt utlämnande till andra vårdgivares upp-

gifter om patienter genom sammanhållen vård- och omsorgs-

dokumentation enligt 1 kap. 1 § samma lag.

10 Senaste lydelse 2019:931.

5 kap.

Utlämnande genom

direktåtkomst

Direktåtkomst eller annat

elektroniskt utlämnande

4 §11

Utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning.

Om en region eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma region eller kommun.

Ytterligare bestämmelser om

utlämnande genom

direkt-

åtkomst finns i 5 §, 6 kap och i

7 kap. 9 §.

Ytterligare bestämmelser om direktåtkomst och annat elek-

troniskt utlämnande finns i 5 §

och i 2 kap. och 4 kap. 11 § lagen

( 0000:000 ) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.

5 §

En vårdgivare får medge en enskild direktåtkomst till sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2. Den enskilde får under samma förutsättningar medges direktåtkomst till sådan dokumentation som avses i 4 kap. 3 § första stycket första meningen.

En vårdgivare får medge en enskild tillgång genom direktåtkomst eller annat elektroniskt

utlämnande till sådana uppgifter

om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2. Den enskilde får under samma förutsättningar medges tillgång genom direktåtkomst eller annat elektroniskt

utlämnande till sådan doku-

mentation som avses i 4 kap. 3 § första stycket första meningen.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om de

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om de

11 Senaste lydelse 2019:931.

krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst som avses i första stycket.

krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst

eller annat elektroniskt utlämnande som avses i första stycket.

8 kap.

6 §12

Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska den som är personuppgiftsansvarig enligt denna lag lämna information till den registrerade om

1. den uppgiftsskyldighet som kan följa av lag eller förordning,

2. de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen,

3. rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras,

4. rätten enligt 5 § att få information om den direktåtkomst och

elektroniska åtkomst som före-

kommit,

4. rätten enligt 5 § att få information om den åtkomst som förekommit,

5. rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personuppgifter i strid med denna lag, och

6. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling.

6. vad som gäller i fråga om sökbegrepp, direktåtkomst, utlämnande av uppgifter på medium för automatiserad behandling och

annat elektroniskt utlämnande.

I 6 kap. 2 § och 7 kap. 3 § finns ytterligare bestämmelser om vilken information som ska lämnas i vissa fall.

I 2 kap. 3 §, 3 kap. 6 § och 4 kap. 4 § lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning finns ytterligare bestäm-

melser om vilken information som ska lämnas i vissa fall.

12Senaste lydelse 2018:447.

Andra rättigheter enligt denna

lag

Andra rättigheter

7 §

I denna lag finns föreskrifter om andra rättigheter för den enskilde i 3 kap. 8 §, 4 kap. 4 §,

6 kap. 2 § samt 7 kap. 2 och 3 §§.

I denna lag finns föreskrifter om andra rättigheter för den enskilde i 3 kap. 8 § och 4 kap. 4 §.

Sådana föreskrifter finns även i 2 kap. 3 §, 3 kap.4 och 6 §§ och 4 kap.2 och 4 §§ lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.

Denna lag träder i kraft den 1 juli 2022.

1.1.4. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400),

dels att 25 kap. 2 och 11 §§ ska ha följande lydelse,

dels att rubriken närmast före 25 kap. 2 § ska ha följande lydelse,

dels att det i lagen ska införas tre nya paragrafer, 26 kap. 1 a, 9 c

och 9 d §§, och närmast före 26 kap. 1 a § en ny rubrik, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

25 kap.

Sammanhållen journalföring Sammanhållen vård- och

omsorgsdokumentation

2 §13

Sekretess gäller hos en myndighet som bedriver verksamhet som avses i 1 § för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig av en annan vårdgivare enligt bestäm-

melserna om sammanhållen journalföring i patientdatalagen (2008:355), om förutsättningar

enligt 6 kap. 3, 3 a eller 4 § samma lag för att myndigheten ska få behandla uppgiften inte är uppfyllda.

Sekretess gäller hos en myndighet som bedriver verksamhet som avses i 1 § för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig genom

direktåtkomst av en annan vård-

givare eller en omsorgsgivare

enligt 2 kap. lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning, om förutsättningar en-

ligt 2 kap. 6, 8 eller 10 § samma lag för att myndigheten ska få behandla uppgiften inte är uppfyllda.

Om sådana förutsättningar som anges i första stycket är uppfyllda eller myndigheten har behandlat uppgiften enligt nämnda bestämmelser tidigare, gäller sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.

13 Senaste lydelse 2014:830.

Andra stycket gäller inte om annat följer av 7, 8 eller 10 § eller 26 kap. 6 §.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

11 §14

Sekretessen enligt 1 § hindrar inte att uppgift lämnas

1. från en myndighet som bedriver verksamhet som avses i 1 § i en kommun till en annan sådan myndighet i samma kommun,

2. från en myndighet som bedriver verksamhet som avses i 1 § i en region till en annan sådan myndighet i samma region,

3. till en myndighet som bedriver verksamhet som avses i 1 § eller till en enskild vårdgivare enligt det som föreskrivs om

sammanhållen journalföring i patientdatalagen (2008:355),

3. till en myndighet som bedriver verksamhet som avses i 1 § eller 26 kap. 1 § eller till en enskild vård- eller omsorgsgivare enligt det som föreskrivs i 2 kap.

lagen ( 0000:000 ) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning,

4. till ett nationellt eller regionalt kvalitetsregister enligt

patientdatalagen,

4. till ett nationellt eller regionalt kvalitetsregister enligt lagen

om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning,

5. för kvalitetsuppföljning enligt 3 kap. lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning,

5. från en myndighet som

bedriver verksamhet som avses i 1 § inom en kommun eller en region till annan sådan myndighet för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon när-

6. från en myndighet som

bedriver verksamhet som avses i 1 § inom en kommun eller en region till annan sådan myndighet för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon när-

14 Senaste lydelse 2019:937.

stående till den enskilde lider men om uppgiften röjs, eller

stående till den enskilde lider men om uppgiften röjs, eller

6. till en enskild enligt vad

som föreskrivs i

7. till en enskild enligt vad

som föreskrivs i

– lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål,

– lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål,

– lagen (1991:1129) om rättspsykiatrisk vård,

– lagen (1991:1129) om rättspsykiatrisk vård,

smittskyddslagen (2004:168),

smittskyddslagen (2004:168),

– 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m.,

– 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m.,

– lagen (2006:496) om blodsäkerhet,

– lagen (2006:496) om blodsäkerhet,

– lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler,

– lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler,

– lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ eller förordning som har meddelats med stöd av den lagen, eller

– lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ eller förordning som har meddelats med stöd av den lagen, eller

2 kap. lagen (2017:612) om samverkan vid utskrivning från sluten hälso- och sjukvård.

2 kap. lagen (2017:612) om samverkan vid utskrivning från sluten hälso- och sjukvård.

26 kap.

Sammanhållen vård- och omsorgsdokumentation

1 a §

Sekretess gäller hos en myndighet som bedriver verksamhet som avses i 1 § för uppgift om en enskilds personliga förhållanden som

gjorts tillgänglig genom direktåtkomst av en annan omsorgsgivare eller en vårdgivare enligt 2 kap. lagen ( 0000:000 ) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning, om förutsättningar enligt 2 kap. 7 eller 9 § samma lag för att myndigheten ska få behandla uppgiften inte är uppfyllda.

Om sådana förutsättningar som anges i första stycket är uppfyllda eller myndigheten har behandlat uppgiften enligt nämnda bestämmelser tidigare, gäller sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Detta gäller dock inte om annat följer av 5, 6 eller 7 §.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

9 c §

Sekretessen enligt 1 § hindrar inte att uppgift lämnas till en myndighet som bedriver verksamhet som avses i 1 § eller 25 kap. 1 § eller till en enskild omsorgs- eller vårdgivare enligt vad som föreskrivs om sammanhållen vård- och omsorgsdokumentation i 2 kap. lagen ( 0000:000 ) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.

9 d §

Sekretessen enligt 1 § hindrar inte att uppgift lämnas för kvalitetsuppföljning enligt 3 kap. lagen (0000:000) om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.

Denna lag träder i kraft den 1 juli 2022.

1.2. Begränsad sekretessbrytande bestämmelse inom socialtjänsten

1.2.1. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400) att det ska införas en ny paragraf, 26 kap. 9 c §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

26 kap.

9 c §

Sekretessen enligt 1 § hindrar inte att uppgift lämnas från en myndighets verksamhet som avser insatser

1. enligt 4 kap. 1 § socialtjänstlagen (2001:453) som beskrivs i 3 kap. 6 § första stycket socialtjänstlagen och som lämnas till äldre och personer med funktionsnedsättningar,

2. enligt 4 kap. 1 § socialtjänstlagen som beskrivs i 5 kap. 5 och 7 §§ socialtjänstlagen ,

3. enligt 4 kap. 2 a § socialtjänstlagen , och

4. enligt lagen ( 1993:387 ) om stöd och service till vissa funktionshindrade till en annan sådan verksamhet i samma kommun.

Denna lag träder i kraft den den 1 juli 2022.

1.3. Generell sekretessbrytande bestämmelse inom socialtjänsten

1.3.1. Förslag till lag om ändring i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten

Härigenom föreskrivs i fråga om lagen (2001:454) om behandling av personuppgifter inom socialtjänsten,

dels att 3 och 11 §§ ska ha följande lydelse,

dels att det i lagen ska införas sex nya paragrafer, 3 a, 7 c, 8 a, 9,

10 och 10 a §§, och närmast före 3 a, 7 c, 8 a, 9, 10 och 10 a §§ nya rubriker, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

3 §15

Lagen tillämpas inte vid behandling av personuppgifter

1. hos domstolar,

2. för forsknings- och statistikändamål, eller

3. som avses i den ursprungliga lydelsen av artikel 2.2 d i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Bestämmelserna i 3 a § och 7 c § tillämpas vid all behandling av personuppgifter inom socialtjänsten.

Lagens syfte

3 a §

Personuppgifter ska utformas och i övrigt behandlas så att den registrerades integritet respekteras.

15Senaste lydelse 2018:440.

Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem.

Inre sekretess

7 c §

Den som arbetar inom socialtjänsten får ta del av dokumenterade personuppgifter om registrerade endast om han eller hon behöver uppgifterna för sitt arbete inom socialtjänsten.

Den registrerades möjlighet att begränsa elektronisk åtkomst

8 a §

Personuppgifter som behandlas enligt denna lag och som dokumenterats för att lämna den enskilde stöd och omsorg hos en omsorgsenhet eller inom en omsorgsprocess får inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan omsorgsenhet eller inom en annan omsorgsprocess inom socialtjänsten, om den registrerade motsätter sig det. I sådana fall ska uppgifterna genast spärras. En spärr enligt första stycket får hävas av en behörig befattningshavare inom socialtjänsten om den registrerade samtycker till det. Vårdnadshavare till ett barn har inte rätt att spärra uppgifter om barnet.

Förbudet mot elektroniskt tillgängliggörande enligt första stycket gäller inte om annat framgår av lag eller förordning.

Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska den som är personuppgiftsansvarig lämna information till den registrerade om rätten enligt första stycket att begära att uppgifter spärras och rätten att enligt 26 kap. 9 c § offentlighets- och sekretesslagen motsätta sig ett utlämnande av uppgifter.

Tilldelning av behörighet för elektronisk åtkomst

9 §

Den som bedriver verksamhet inom socialtjänsten ska bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om enskilda som förs helt eller delvis automatiserat.

Sådan behörighet ska anpassas och begränsas till vad som behövs för att befattningshavaren ska kunna fullgöra sina arbetsuppgifter inom socialtjänsten.

Ansvar för kontroll av elektronisk åtkomst (loggar)

10 §

Den som bedriver verksamhet inom socialtjänsten ska se till att åtkomst till sådana uppgifter om enskilda som förs helt eller delvis automatiserat dokumenteras och kan kontrolleras.

Den som bedriver verksamhet inom socialtjänsten ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter.

Information om elektronisk åtkomst

10 a §

Den som bedriver verksamhet inom socialtjänsten ska på begäran av en registrerad lämna information om den elektroniska åtkomst till uppgifter om den registrerade som förekommit.

11 §

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vilka som är personuppgiftsansvariga

och om begränsning av den i 6 §

tillåtna behandlingen av personuppgifter samt om sökbegrepp, direktåtkomst och samkörning av personuppgifter.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1. vilka som är personupp-

giftsansvariga,

2. begränsning av den i 6 §

tillåtna behandlingen av personuppgifter,

3. sökbegrepp,

4. direktåtkomst,

5. samkörning av personupp-

gifter,

6. tilldelning av behörighet för åtkomst till uppgifter som förs helt eller delvis automatiserat,

7. dokumentation och kontroll av elektronisk åtkomst, och

8. information som ska lämnas till den registrerade om den elektroniska åtkomst till uppgifter om den registrerade som förekommit.

Regeringen får även meddela föreskrifter om när personuppgifter får föras över till tredje

land.

Regeringen får även meddela föreskrifter om när personuppgifter får föras över till tredje-

land.

Denna lag träder i kraft den 1 juli 2022.

1.3.2. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400) att det ska införas en ny paragraf, 26 kap. 9 c §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

26 kap.

9 c §

Sekretessen enligt 1 § hindrar inte att uppgift lämnas från en myndighet som bedriver verksamhet som avses i 1 § i en kommun till en annan sådan myndighet i samma kommun. Detta gäller dock inte om den enskilde motsätter sig ett sådant utlämnande.

Denna lag träder i kraft den 1 juli 2022.

1.4. Sekretessbrytande bestämmelse för utlämnanden från offentlig till privat hälso- och sjukvård

1.4.1. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400) att 25 kap. 11 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

25 kap.

11 §16

Sekretessen enligt 1 § hindrar inte att uppgift lämnas

1. från en myndighet som bedriver verksamhet som avses i 1 § i en kommun till en annan sådan myndighet i samma kommun,

2. från en myndighet som bedriver verksamhet som avses i 1 § i en region till en annan sådan myndighet i samma region,

3. från en myndighet som bedriver verksamhet som avses i 1 § till en enskild som bedriver sådan verksamhet och som myndigheten har anlitat, om uppgiften behövs i den individinriktade verksamhet som avses i 1 §,

3. till en myndighet som be-

driver verksamhet som avses i 1 § eller till en enskild vårdgivare enligt det som föreskrivs om sammanhållen journalföring i patientdatalagen (2008:355),

4. till en myndighet som be-

driver verksamhet som avses i 1 § eller till en enskild vårdgivare enligt det som föreskrivs om sammanhållen journalföring i patientdatalagen (2008:355),

4. till ett nationellt eller

regionalt kvalitetsregister enligt patientdatalagen,

5. till ett nationellt eller

regionalt kvalitetsregister enligt patientdatalagen,

5. från en myndighet som

bedriver verksamhet som avses i 1 § inom en kommun eller en region till annan sådan myndig-

6. från en myndighet som

bedriver verksamhet som avses i 1 § inom en kommun eller en region till annan sådan myndig-

16 Senaste lydelse 2019:937.

het för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs, eller

het för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs, eller

6. till en enskild enligt vad

som föreskrivs i

7. till en enskild enligt vad

som föreskrivs i

– lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål,

– lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål,

– lagen (1991:1129) om rättspsykiatrisk vård,

– lagen (1991:1129) om rättspsykiatrisk vård,

smittskyddslagen (2004:168),

smittskyddslagen (2004:168),

– 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m.,

– 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m.,

– lagen (2006:496) om blodsäkerhet,

– lagen (2006:496) om blodsäkerhet,

– lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler,

– lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler,

– lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ eller förordning som har meddelats med stöd av den lagen, eller

– lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ eller förordning som har meddelats med stöd av den lagen, eller

2 kap. lagen (2017:612) om samverkan vid utskrivning från sluten hälso- och sjukvård.

2 kap. lagen (2017:612) om samverkan vid utskrivning från sluten hälso- och sjukvård.

Denna lag träder i kraft den 1 juli 2022.

2. Utredningsarbetet och delbetänkandet

2.1. Utredningsarbetet

Utredningens direktiv (dir. 2019:37) finns intagna som bilaga till detta delbetänkande.1 Av direktiven framgår att utredningen först ska avlämna ett betänkande – detta delbetänkande – som ska ta upp frågorna om

  • möjligheterna att införa direktåtkomst inom och mellan vissa verksamheter i socialtjänst och hälso- och sjukvård,
  • utvidgade möjligheter till informationsöverföring för kvalitetsuppföljning mellan bl.a. vårdgivare i hälso- och sjukvård och kommunala nämnder, och
  • möjligheterna att införa sekretessbrytande bestämmelser för viss hantering av personuppgifter i socialtjänst och hälso- och sjukvård.

Utredningen har bedrivits på sedvanligt sätt med regelbundna sammanträden och andra kontakter med experter och sakkunniga. Sammanlagt har sex utredningssammanträden hållits. Därutöver har en hearing hållits med inbjudna företrädare från ett antal regioner och kommuner samt från vårdinstanser, omsorgsgivare och andra berörda organisationer. Inför hearingen har ett antal frågeställningar skickats ut som diskuterats vid hearingen. Efteråt har inbjudna aktörer fått möjlighet att ge in sina synpunkter i skriftlig form.

Utredningen har haft kontakter med ett antal andra utredningar som har haft närliggande uppdrag inom hälso- och sjukvård och om-

1 Utredningen har sedermera fått tilläggsdirektiv (dir. 2020:112) med ytterligare utredningsfrågor som ska redovisas först i utredningens slutbetänkande.

sorg enligt vad som föreskrivits i direktiven. Dessa kontakter har i huvudsak skett genom telefonkontakter eller digitala möten. Vid något tillfälle har ett fysiskt möte hållits. Utredningen haft samråd med företrädare för Utredningen Sammanhållen kunskapsstyrning (S 2018:12),

Utredningen om välfärdsteknik i äldreomsorgen (S 2018:11), Framtidens socialtjänst (S 2017:03) och Samordnad utveckling för god och nära vård

(S 2017:01).

Utöver vad som föreskrivits i direktiven har utredningen haft kontakt med Utredningen om en sammanhållen god och nära vård för barn

och unga (S 2019:05) och utredningen Stärkt assistans (S 2020:01). Ut-

redningen har även haft ett möte med företrädare för Inspektionen för vård och omsorg.

2.2. Delbetänkandets disposition

Betänkandet är indelat i tre delar, förutom detta kapitel och författningsförslagen samt sammanfattningen.

Den första delen, som omfattar kapitel 3–10, innehåller en allmän bakgrund med bl.a. en beskrivning av den rättsliga regleringen av skyddet för personuppgifter. Kapitel 3 innehåller en kort beskrivning av det internationella regelverket. I kapitel 4 beskrivs innehållet i dataskyddsförordningen översiktligt. Kapitel 5 innehåller en redogörelse för bestämmelser om sekretess och tystnadsplikt. I kapitel 6 redogörs för gällande rätt enligt patientdatalagen och i kapitel 7 redogörs för bestämmelser som reglerar dokumentation av personuppgifter inom socialtjänsten. Kapitel 8 innehåller en beskrivning av regleringen av ansvar för vård och omsorg och samverkan mellan vård och omsorg.

En redogörelse för tidigare, närliggande utredningar görs i kapi-

tel 9. I kapitel 10 finns en kort beskrivning av annat pågående lagstift-

ningsarbete som har samband med utredningens uppdrag.

I betänkandets andra del, kapitel 11–20, redogörs för utredningens generella överväganden och förslag. Kapitel 11 innehåller en beskrivning av strukturförändringar i samhället som påverkar förutsättningarna att bedriva hälso- och sjukvård och socialtjänst. Därefter följer kapitel 12 och 13 med allmän motivering av utredningens förslag om sammanhållen vård- och omsorgsdokumentation. Kapi-

tel 14 innehåller allmän motivering av förslaget om kvalitetsupp-

följning inom vård- och omsorg. I kapitel 15–17 presenteras en närmare motivering av utredningens förslag om att samla bestämmelserna i en gemensam lag, lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning. I kapitel 18 motiveras vissa följdändringar i annan lagstiftning och i kapitel 19 presenteras den allmänna motiveringen till utredningens förslag om sekretess och tystnadsplikt vid sammanhållen vård- och omsorgsdokumentation respektive kvalitetsuppföljning. I kapitel 20 presenteras motiveringen till utredningens förslag om ytterligare sekretessbrytande bestämmelser inom hälso- och sjukvård och socialtjänst.

I betänkandets tredje del, kapitel 21–23, finns de avslutande kapitlen. I kapitel 21 berörs ikraftträdande och övergångsbestämmelser.

Kapitel 22 innehåller en beskrivning av konsekvenserna av utred-

ningens förslag. En författningskommentar som bl.a. innehåller hänvisningar till de avsnitt där respektive författningsförslag motiveras finns i kapitel 23.

Till betänkandet har fogats ett särskilt yttrande av experterna Pål Resare, Manólis Nymark och Maria Jacobsson.

Som bilaga till betänkandet har fogats utredningens ursprungliga direktiv (dir. 2019:37).

Sidhänvisningar till förarbeten avser den elektroniska versionen på regeringens webbplats.

BAKGRUND

3. Reglering av skyddet för personuppgifter på internationell nivå

3.1. Kort bakgrund

Den enskildes rätt till skydd för personuppgifter är ett utflöde av skyddet för den personliga integriteten och rätten till respekt för privatlivet. Dessa grundläggande rättigheter skyddas både av internationella regelverk och av nationell rätt. För allmänheten är EU:s dataskyddsförordning sannolikt det mest kända regelverket numera. Dataskyddsförordningen är den generella regleringen av personuppgiftsbehandling inom EU. Förordningen fick stor uppmärksamhet i samband med att den skulle börja tillämpas i medlemsstaterna den 25 maj 2018. Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) kompletterar dataskyddsförordningen när det gäller svensk hantering av personuppgifter.

På nationell nivå finns en grundlagsstadgad rätt till skydd för den enskildes personliga integritet i 2 kap. 6 § regeringsformen. Det finns också registerförfattningar som specifikt reglerar behandling av personuppgifter, både sådana som gäller för flera organisationer inom en sektor och sådana som bara gäller för en viss myndighet. Här kan nämnas patientdatalagen (2008:355) och lagen (2001:454) om behandling av personuppgifter inom socialtjänsten som exempel på sektorsspecifika registerförfattningar.

Skyddet för personuppgifter upprätthålls också genom bestämmelser i offentlighets- och sekretesslagen (2009:400), förkortad OSL. Sekretess gäller t.ex. för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen (21 kap. 7 § OSL). Offentlighets- och sekretesslagen

innehåller också bestämmelser om sekretess för uppgifter om enskilds hälsotillstånd och andra personliga förhållanden inom hälso- och sjukvården respektive inom socialtjänsten.

I detta och följande avsnitt redogörs det närmare för olika regelverk som skyddar enskildas personuppgifter, både på internationell och på nationell nivå.

3.2. Regeringsformen

Regeringsformen innehåller vissa grundläggande bestämmelser till skydd för den personliga integriteten. Enligt målsättningsstadgandet i 1 kap. 2 § första stycket regeringsformen ska den offentliga makten utövas med respekt bl.a. för den enskilda människans frihet. I fjärde stycket samma paragraf anges att det allmänna ska värna om den enskildes privat- och familjeliv.

Av 2 kap. 6 § andra stycket regeringsformen framgår att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Med enskildas personliga förhållanden avses enligt förarbetena till bestämmelsen vitt skilda slag av information som är knuten till den enskildes person, t.ex. uppgifter om namn och andra personliga identifikationsuppgifter, adress, familjeförhållanden, hälsa och vandel.1 Uttrycket avses ha samma innebörd som i tryckfrihetsförordningen och offentlighets- och sekretesslagen. Även uppgifter som inte är direkt knutna till den enskildes privata sfär, t.ex. uppgift om anställning och uppgift om en persons ekonomi omfattas av uttrycket personliga förhållanden.

När det gäller frågan om samtycke anförs i förarbetena att integritetsskyddet bör ta sikte på sådana åtgärder som den enskilde själv inte kan få kännedom om eller påverka genom ett krav på frivilligt godkännande.

2

Om åtgärden däremot förutsätter den enskildes god-

kännande, kan det intrång som åtgärden innebär normalt inte anses vara av så allvarlig beskaffenhet att den bör omfattas av ett stärkt grundlagsskydd. Detta gäller oberoende av vilka slags uppgifter åtgärden eller behandlingen avser. I förarbetena hänvisas till den då

1Prop. 2009/10:80 s. 177. 2Prop. 2009/10:80 s. 178.

gällande personuppgiftslagen (1998:204). Det anfördes att den regleringen kan tjäna som vägledning vid bedömningen av vad som fordras för att en åtgärd ska falla utanför grundlagsskyddet redan på grund av att den vidtas med den enskildes samtycke. De krav som nämns i förarbetena är att de berörda personerna tillfrågats om samtycke och att de därvid fick all den information som kunde tänkas påverka deras beslut att tillåta behandlingen.3

Vid bedömningen av om en åtgärd ska anses innebära övervakning eller kartläggning är det, enligt förarbetena, inte åtgärdens huvudsakliga syfte utan vilken effekt åtgärden har som är avgörande.4Exempelvis kan en åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda ärenden i många fall anses innebära kartläggning av enskildas förhållanden, även om kartläggning inte är avsikten.5 Ett annat exempel som nämns är de myndighetsspecifika verksamhetsregister och databaser med information som är knuten till en myndighets ärendehantering som förekommer inom i stort sett all statlig och kommunal förvaltning. Det konstateras att uppgifterna i flertalet fall är tillgängliga för myndigheterna på sådant sätt att lagringen och behandlingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett helt annat.

Grundlagsskyddet omfattar endast betydande integritetsintrång och i förarbetena betonas att grundlagsbestämmelsen bara omfattar vissa kvalificerade intrång i den personliga integriteten.6 Vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden är det enligt förarbetena naturligt att stor vikt läggs vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Även hantering av ett litet fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vidare kan givetvis mängden uppgifter vara en viktig faktor i sammanhanget. I förarbetena hänvisas till att konstitutionsutskottet i flera lagstiftningsärenden som rört myndig-

3Prop. 2009/10:80 s. 179. 4Prop. 2009/10:80 s. 250. 5Prop. 2009/10:80 s. 180. 6Prop. 2009/10:80 s. 183.

heters behandling av personuppgifter framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag och att regeringen vid åtskilliga tillfällen har instämt i denna bedömning.7

Av förarbetena framgår att uppgifternas karaktär och omfattning endast utgör två faktorer att beakta vid bedömningen av vad som kan anses utgöra ett betydande intrång. Exempel på andra omständigheter som bör vägas in är t.ex. ändamålet med behandlingen av uppgifterna och omfattningen av utlämnandet av uppgifter till andra som sker utan omedelbart stöd av offentlighetsprincipen.8

Det skydd för den personliga integriteten som grundlagsbestämmelsen innebär är inte absolut, utan kan under vissa förutsättningar begränsas med hänsyn till andra motstående intressen. Av 2 kap. 20 § regeringsformen följer att en sådan begränsning endast får ske genom lag. Det ställs också, enligt 2 kap. 21 § regeringsformen, krav på att begränsningarna ska vara nödvändiga för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. En begränsning får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Vidare får begränsningen inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.

Av förarbetena framgår att en önskad följd av regleringen bl.a. är att lagstiftaren tydligt ska redovisa vilka avvägningar som gjorts vid proportionalitetsbedömningen. Detta kan, enligt förarbetena, förväntas öka förutsättningarna för att avvägningarna i fråga om integritetsintrånget blir mer ingående belysta och att de presenteras på ett sådant sätt att kvaliteten i lagstiftningen höjs.9 Vid proportionalitetsbedömningen ska det intrång som sker i den enskildes personliga integritet vägas mot de fördelar som intrånget innebär. För att en reglering som inskränker integriteten ska vara tillåten ska intrånget vara befogat och stå i rimlig proportion till de fördelar som intrånget bidrar med till det motstående intresset. Ytterligare ett krav är att det inte finns några mindre integritetskänsliga alternativ.

Skyddet enligt 2 kap. 6 § andra stycket regeringsformen kan endast inskränkas genom svensk lag. Den rätt att behandla personuppgifter

7Prop. 2009/10:80 s. 183. I propositionen hänvisas till bet. 1990/91:KU11 s. 11, 1997/98:KU18 s. 43, prop. 1997/98:44 s. 41 och prop. 1999/2000:39 s. 78. 8Prop. 2009/10:80 s. 184. 9Prop. 2009/10:80 s. 177.

som följer av dataskyddsförordningen gör därmed inte att myndigheter får behandla personuppgifter i strid med 2 kap. 6 § andra stycket regeringsformen.

3.3. Internationell nivå

3.3.1. FN:s förklaring om de mänskliga rättigheterna

Förenta nationerna (FN) antog år 1948 den allmänna förklaringen om de mänskliga rättigheterna. Förklaringen är inte formellt bindande för medlemsstaterna, men ses som ett uttryck för sedvanerättsliga regler.

FN:s förklaring om de mänskliga rättigheterna innehåller artiklar som skyddar privatlivet och den personliga integriteten. Ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp (artikel 12). En person som utövar sina rättigheter och friheter får endast underkastas sådana inskränkningar som har fastställts i lag. Inskränkningarna får ske i syfte att trygga tillbörlig hänsyn till och respekt för andras rättigheter och friheter samt för att för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd (artikel 29).

3.3.2. Europakonventionen

Den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) skyddar rätten till privat- och familjeliv. För svensk del gäller Europakonvention som lag. Ingen lag eller föreskrift får meddelas i strid med Sveriges åtaganden enligt Europakonventionen (2 kap. 19 § regeringsformen).

Artikel 8 i Europakonventionen, om rätt till skydd för privat- och familjeliv, innehåller följande.

1. Var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens.

2. Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

Artikel 8 har i Europadomstolens praxis ansetts tillämplig också vid behandling av personuppgifter. Bestämmelsen omfattar dock inte all slags behandling av personuppgifter – det måste gälla privatliv, familjeliv, hem eller korrespondens. Europakonventionen tar i första hand sikte på åtgärder som vidtas av det allmänna.

3.3.3. Dataskyddskonventionen

Europarådets ministerkommitté antog 1980 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Dataskyddskonventionen trädde i kraft den 1 oktober 1985 och Sverige anslöt sig till den före EUmedlemskapet. Även övriga medlemsstater i EU är anslutna. Konventionen är det enda rättsligt bindande multilaterala avtalet om personuppgiftsskydd. Konventionens syfte är att skydda den enskildes rätt till integritet och privatliv vid behandling av hans eller hennes personuppgifter.

Efter en översyn antog Europarådets utrikesministermöte i maj 2018 ändringsprotokoll 108. Ändringarna syftar till att modernisera och uppdatera konventionens integritetsskydd utifrån ny informations- och kommunikationsteknik. Syftet med översynen har även varit att anpassa konventionen till andra dataskyddsregler, i synnerhet EU:s dataskyddsförordning.

Dataskyddskonventionen tillämpas på databehandling av personuppgifter i allmän och enskild verksamhet. Konventionen gäller inte för enskilds rent privata verksamhet.

Dataskyddskonventionens kapitel II innehåller de grundläggande principerna för dataskydd. Konventionsstaterna ska vidta nödvändiga åtgärder i sin nationella lagstiftning för att ge principerna effekt (artikel 4).

Behandling av personuppgifter ska vara proportionell i relation till ändamålet med behandlingen och utgöra en balans mellan berörda intressen och motstående rättigheter och friheter. Medlemsstaterna ska se till att behandling av personuppgifter grundas antingen på ett frivilligt, specifikt, informerat och entydigt samtycke eller på någon annan laglig grund (artikel 5 12).

Vid all behandling gäller ett antal grundläggande principer. Det handlar bl.a. om att personuppgifter ska inhämtas och behandlas på ett korrekt och lagligt sätt och för särskilt angivna ändamål. Som huvudregel ska uppgifterna inte senare användas på ett sätt som är oförenligt med dessa ändamål. Personuppgifterna ska vara relevanta med hänsyn till ändamålet och vid behov uppdateras (artikel 5.4).

Särskilda kategorier av personuppgifter är exempelvis uppgifter om genetiska data, biometriska data, uppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös tro eller annan övertygelse, hälsa och sexualliv. Sådana uppgifter får bara behandlas, om tillräckliga säkerhetsåtgärder finns i kompletterande nationell lagstiftning (artikel 6).

Lämpliga säkerhetsåtgärder ska vidtas för att skydda personuppgifter mot risker som att obehöriga får tillgång till dem eller att uppgifterna förstörs (artikel 7). Vidare föreskrivs bl.a. att alla som är registrerade i ett personregister ska ha möjlighet till insyn i registret och möjlighet att få felaktiga uppgifter rättade (artikel 8).

Som huvudregel får staterna inte göra undantag från de grundläggande principerna i dataskyddskonventionen. I undantagsfall får man avvika från principerna, bl.a. under förutsättning att avvikelserna anges i lag och är nödvändiga i ett demokratiskt samhälle för att skydda den registrerades eller andra personers fri- och rättigheter (artikel 11).

Kapitel III innehåller bestämmelser om överföring av personuppgifter över gränserna. En konventionsstat får inte hindra gränsöverskridande överföring av personuppgifter till en annan konventionsstat bara av skäl som rör integritetsskydd (artikel 14.1). Till mottagare som inte är bundna av konventionen, får personuppgifter endast överföras om en godtagbar skyddsnivå kan säkerställas (artikel 14.2).

3.4. Europarådets rekommendationer

3.4.1. Inledning

I anslutning till Europakonventionen har Europarådets ministerkommitté även antagit rekommendationer om behandling av personuppgifter på vissa områden. Rekommendationerna är inte rättsligt bindande på samma sätt som en konvention. Europarådets rekommendationer kan ändå sägas uttrycka en slags europeisk standard som kan ha sin betydelse i olika sammanhang och även åberopas inför domstol eller i administrativa ärenden10.

3.4.2. Europarådets rekommendation om skyddet för hälsouppgifter

En av rekommendationerna antogs 1997 i syfte att förtydliga vad som gäller för personuppgifter om hälsa (hälsouppgifter) enligt artikel 6 i dataskyddskonventionen. Rekommendationen går under beteckningen Recommendation No. R (97) 5 of the Committee of Ministers to

Member States on the protection of medical data. Rekommendationen

är tillämplig på insamling och automatiserad behandling av hälsouppgifter. Verksamhet utanför hälso- och sjukvårdssektorn, som omfattas av lämpliga skyddsåtgärder i nationell rätt omfattas dock inte av rekommendationen. Här följer en översiktlig redogörelse för innehållet i rekommendationen.

Hälsouppgifter ska som huvudregel behandlas endast av sjukvårdspersonal med tystnadsplikt och i övrigt i enlighet med lämpliga säkerhetsåtgärder som ska framgå av nationell rätt (princip 3).

Hälsouppgifter ska i regel samlas in från den registrerade och får behandlas enbart för vissa angivna ändamål. Det ska också finnas stöd för behandlingen i lagstiftning. Ändamålen i rekommendationen avser dels allmänna intressen – folkhälsa, förhindrande av stor fara eller viss brottslighet samt andra allmänna intressen – och dels enskilda intressen. Hälsouppgifter får behandlas för förebyggande hälso- och sjukvård, diagnosticering och behandling av den registrerade eller anhörig med genetisk anknytning, för att skydda den registrerades eller tredje persons grundläggande intressen, för att uppfylla en kontraktuell skyldighet, för att fastställa, göra gällande eller

10 Hans G Nilsson, Europarådet och dess juridiska arbete, i SvJT 1996 s. 549.

försvara rättsliga anspråk eller med stöd av samtycke utom då nationell rätt föreskriver att samtycke inte kan lämnas (princip 4.1–3).

Ett samtycke till behandling av hälsouppgifter ska vara frivilligt, uttryckligt och informerat (princip 6).

Om genetiska uppgifter samlats in för förebyggande hälso- och sjukvård, diagnosticering eller behandling av den registrerade eller för forskning, ska uppgifterna behandlas endast för dessa ändamål. Det kan dock finnas överordnade intressen som motiverar att genetiska uppgifter används även för andra ändamål under förutsättning att lämpliga säkerhetsåtgärder föreskrivs i lagstiftning (princip 4.7–9).

Hälsouppgifter får under vissa förutsättningar lämnas ut, om mottagaren också följer principerna i rekommendationen. Utlämnande får ske endast till den som omfattas av sådan tystnadsplikt som gäller sjukvårdspersonal, eller motsvarande tystnadsplikt. Utlämnande kan också ske med stöd i lagstiftning om det utgör en nödvändig åtgärd i ett demokratiskt samhälle (princip 7).

Den registrerade ska få information om vilka hälsouppgifter som behandlas om honom eller henne, för vilka ändamål de behandlas, varifrån hälsouppgifterna samlats in, till vilka hälsouppgifterna kan komma att lämnas ut, möjligheten att ta tillbaka ett samtycke, vem som är ansvarig för hälsouppgifterna och möjligheten att ta del av och begära rättelse av hälsouppgifterna. Informationsskyldigheten begränsas dock av vissa undantag (princip 5).

Den registrerade ska ha möjlighet att ta del av vilka hälsouppgifter som behandlas om honom eller henne. Begränsningar i rätten att få del av hälsouppgifterna kan göras i lagstiftning om det exempelvis är nödvändigt av skäl som berör allmän säkerhet eller om uppgifterna endast behandlas för statistiska eller forskningsrelaterade skäl och det inte finns någon risk för integritetsintrång (princip 8.1–2).

Den registrerade ska också ha möjlighet att begära rättelse av felaktiga hälsouppgifter och, om begäran av rättelse avslås, kunna överklaga beslutet (princip 8.3).

Lämpliga tekniska och organisatoriska åtgärder ska vidtas för att skydda personuppgifter mot oavsiktlig eller otillåten förstörelse, oavsiktlig förlust samt otillåten tillgång, ändring, utlämnande eller i övrigt otillåten behandling (princip 9). Hälsouppgifter får inte bevaras längre än vad som är nödvändigt för det ändamål för vilket uppgifterna samlats in (princip 10).

Principerna gäller även överföring av hälsouppgifter till andra länder. Överföring ska som utgångspunkt inte ske till länder som inte tillhandahåller sådant skydd som dataskyddskonventionen och rekommendationen föreskriver (princip 11).

Hälsouppgifter som används för forskningsändamål ska, när det är möjligt, vara anonymiserade. Om anonymisering inte är möjlig, får hälsouppgifter ändå behandlas under vissa särskilda förutsättningar (princip 12).

3.4.3. Rekommendation om skyddet för uppgifter i medicinska databanker

En annan rekommendation som kan nämnas i sammanhanget är Europarådets rekommendation från 1981 om skydd för uppgifter i automatiserade medicinska databanker, Recommendation No. R(81)

1 on regulations for automated medical data banks. Rekommenda-

tionen är tillämplig på databanker som innehåller medicinska uppgifter som ska användas för medicinsk behandling, hälsovård eller medicinsk forskning (artikel 1).

Rekommendationen föreskriver att allmänheten ska informeras om inrättandet av och innehållet i en databank (artikel 2). Varje registrerad ska också som utgångspunkt ha rätt att få information om databankens innehåll beträffande honom eller henne (artikel 6). Som huvudregel får endast medicinsk personal ta del av innehållet i banken, och då endast sådana uppgifter som han eller hon behöver i tjänsten. Den registrerade kan dock lämna samtycke till att annan får del av materialet beträffande honom eller henne. Det är tillåtet att koppla samman information om en viss individ från olika databanker, under förutsättning att det sker för ändamål som hänger samman med medicinsk behandling, hälsovård eller medicinsk forskning (artikel 5).

3.5. EU-stadgan

Den Europeiska unionens stadga om de grundläggande rättigheterna (förkortad EU-stadgan) skyddar bl.a. individers rätt till personlig integritet. I samband med att Lissabonfördraget antogs den 1 december 2009 fick EU-stadgan direkt effekt. Detta följer av arti-

kel 6.1 i fördraget om Europeiska unionen (EU-fördraget). Därmed blev stadgan rättsligt bindande för EU:s medlemsstater.

Stadgan uttrycker att var och en har rätt till fysisk och mental integritet. Inom medicin och biologi ska i synnerhet den berörda personens fria och informerade samtycke respekteras, på de villkor som föreskrivs i lag (artikel 3). Var och en har rätt till respekt för sitt privat- och familjeliv (artikel 7).

EU-stadgan föreskriver att var och en har rätt till skydd av de personuppgifter som rör honom eller henne (artikel 8.1). Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem (artikel 7 och 8).

4. Dataskyddsförordningen

4.1. Inledning

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). I fortsättningen används förkortningen dataskyddsförordningen. Dataskyddsförordningen syftar till att skydda fysiska personerna grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Ett övergripande syfte med dataskyddsförordningen är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.

Dataskyddsförordningen började tillämpas i medlemsstaterna den 25 maj 2018 och ersatte då den allmänna regleringen om behandling av personuppgifter inom EU som fanns i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, förkortat dataskyddsdirektivet.

Ett direktiv är bindande för medlemsstaterna i fråga om resultatet men medlemsstaterna har frihet att själva bestämma på vilket sätt det ska införlivas i den nationella lagstiftningen. En EU-förordning är däremot bindande och direkt tillämplig i alla medlemsländer från och med det datum då den träder i kraft (artikel 288 i EU-fördraget).

I svensk rätt hade dataskyddsdirektivet implementerats genom personuppgiftslagen (1998:204). Dataskyddsförordningen är i egenskap av en EU-förordningen direkt tillämplig i medlemsstaterna. Därför behövde medlemsstaterna inte vidta några särskilda författningsåtgärder för att förordningen skulle börja gälla. En annan sak

är att dataskyddsförordningen möjliggör – och i vissa fall förutsätter – att medlemsstaterna inför kompletterande nationella bestämmelser. I Sverige har generella kompletterande bestämmelser samlats i dataskyddslagen, som trädde i kraft den 25 maj 2018 samtidigt som dataskyddsförordningen började tillämpas.

Dataskyddsförordningen baseras till stor del på dataskyddsdirektivets struktur och innehåll men det har tillkommit några nyheter, som en utökad informationsskyldighet till registrerade, administrativa sanktionsavgifter och inrättandet av den Europeiska dataskyddsstyrelsen. I det följande görs en genomgång av dataskyddsförordningens principer och krav med särskilt fokus på sådana bestämmelser som kan ha relevans för behandling av personuppgifter inom vård och omsorg.

4.2. Dataskyddsförordningens syfte

Dataskyddsförordningen syftar till att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Samtidigt syftar förordningen till att få till stånd ett fritt flöde av personuppgifter inom EU som inte begränsas av dataskyddsskäl (jfr artikel 1 punkt 2 och 3).

I skälen till dataskyddsförordningen anges att behandlingen av personuppgifter bör utformas så att den tjänar människor. Rätten till skydd av personuppgifter är inte en absolut rättighet. Rättigheten måste förstås utifrån sin kontext i samhället och vägas mot andra grundläggande rättigheter utifrån en proportionalitetsbedömning (skäl 4).

Den snabba tekniska utvecklingen och globaliseringen har skapat nya utmaningar när det gäller skyddet av personuppgifter. Omfattningen av insamling och delning av personuppgifter har ökat avsevärt. Tekniken gör det möjligt för både privata företag och offentliga myndigheter att använda personuppgifter i sin verksamhet i en helt ny omfattning. Samtidigt gör allt fler fysiska personer sina personliga uppgifter allmänt tillgängliga världen över. Tekniken har omvandlat både ekonomin och det sociala livet och bör ytterligare underlätta för det fria flödet av personuppgifter inom unionen samt överföringar utanför unionen. På samma gång behöver man säkerställa en hög skyddsnivå för personuppgifter (skäl 6).

4.3. Dataskyddsförordningens tillämpningsområde

Dataskyddsförordningen ska tillämpas på all helt eller delvis automatiserad (automatisk) behandling av personuppgifter. Detta gäller oavsett om personuppgifterna finns i ett register eller inte. Dataskyddsförordningen ska dessutom tillämpas på manuell (icke-automatisk) behandling av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1). Detta innebär t.ex. att dataskyddsförordningen gäller behandling av personuppgifter i löpande text i en dator eller bilder på individer i skannade dokument. Dataskyddsförordningen har alltså ett brett tillämpningsområde.

Vissa behandlingar av personuppgifter är uttryckligen undantagna från tillämpningsområdet. Dataskyddsförordningen ska inte tillämpas på behandlingar som utförs av en fysisk person och som är av rent privat natur. Detsamma gäller behandlingar som sker inom verksamhet som inte omfattas av EU-rätten (t.ex. försvar och nationell säkerhet), behandling som sker inom EU:s gemensamma utrikes- och säkerhetspolitik och behandling som sker inom brottsbekämpande verksamhet. (artikel 2.2).

Dataskyddsförordningen är tillämplig på verksamhet som bedrivs av personuppgiftsansvariga som är etablerade i EU/EES, oavsett om själva behandlingen utförs i EU eller inte (artikel 3.1).

Dataskyddsförordningen är även tillämplig på behandlingar som utförs av personuppgiftsansvariga som inte är etablerade i EU/EES. Då krävs det att behandlingen avser registrerade som befinner sig i unionen. Dessutom ska behandlingen av personuppgifterna ha anknytning till

  • utbjudande av varor eller tjänster till sådana registrerade i unionen

(led a), eller

  • övervakning av de registrerades beteende så länge beteendet sker inom EU (led b) (artikel 3.2).

4.4. Definitioner

4.4.1. Personuppgifter

Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person (det är detta som avses med begreppet registrerad) (artikel 4.1). Redan ordalydelsen tyder på att en vid tolkning ska göras (”varje upplysning”).

Exempel på personuppgifter är namn, adress och personnummer. Andra upplysningar som identifierar en fysisk person kan vara identifikationsnummer, lokaliseringsuppgift eller online-identifikator (t.ex. ip-adress). Information som är specifik för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet kan utgöra personuppgifter. Bilder på och ljudupptagningar av individer kan vara personuppgifter, även om inga namn nämns. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person.

Dataskyddsförordningen är tillämplig på pseudonymiserade upp-

gifter. Med pseudonymisering avses åtgärder som innebär att person-

uppgifterna inte längre direkt kan hänföras till en specifik registrerad utan att kompletterande information används (artikel 4.5). Även om man har kodat, krypterat eller på annat sätt pseudonymiserat uppgifterna är de personuppgifter i dataskyddsförordningens mening så länge de kan hänföras till en identifierbar fysisk person med hjälp av kompletterande uppgifter.

Av skäl 26 framgår följande.

För att avgöra om en fysisk person är identifierbar bör man beakta alla hjälpmedel, som t.ex. utgallring, som, antingen av den personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen.

Det krävs inte att den personuppgiftsansvarige själv förfogar över de uppgifter som gör identifieringen möjlig. Krypterade uppgifter omfattas också av definitionen, så länge någon har tillgång till en krypteringsnyckel som kan göra uppgifterna läsbara och därmed identifiera individer.

När det däremot gäller anonymiserade uppgifter är principerna i dataskyddsförordningen inte tillämpliga. Med anonymiserade uppgifter avses uppgifter som inte ens med kompletterande information kan hänföras till en viss individ. Någon koppling till individen ska inte rimligen kunna skapas. Det innebär att dataskyddsförordningen inte gäller vid behandling av anonymiserad information inom t.ex. forskning eller för statistiska ändamål (skäl 26).

Uppgifter om avlidna fysiska personer utgör inte personuppgifter enligt dataskyddsförordningen. Definitionen omfattar alltså bara levande fysiska personer, oavsett medborgarskap och hemvist (skäl 14 och 27).

4.4.2. Behandling av personuppgifter

Begreppet behandling (av personuppgifter) omfattar alla åtgärder som vidtas beträffande personuppgifter. Så snart personuppgifter på något sätt hanteras – automatiserat eller manuellt, oberoende av teknik – är det fråga om behandling i dataskyddsförordningens mening. Begreppet ska således tolkas extensivt. Följande åtgärder utgör exempel på behandling av personuppgifter.

  • Insamling
  • Registrering
  • Lagring
  • Bearbetning
  • Läsning
  • Användning
  • Utlämning genom överföring
  • Spridning
  • Radering
  • Arkivering
  • Förstöring

4.4.3. Register

Med register avses en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden (artikel 4.6). Genom att det räcker att manuellt behandlade personuppgifter är avsedda att ingå i ett register är dataskyddsförordningen tillämplig redan när personuppgifterna samlas in.

EU-domstolen har i ett mål som gällde tolkningen av register enligt dataskyddsdirektivet ansett att det räckte att information om en viss person med lätthet i praktiken kunde sökas fram i samlingen (dom av den 10 juli 2018, Jehovas vittnen, C-25/17, EU:C:2018:551, punkt 61). Motsvarande får antas gälla enligt dataskyddsförordningen.

4.4.4. Den personuppgiftsansvarige

Dataskyddsförordningen definierar den personuppgiftsansvarige enligt följande (artikel 4.7 d).

En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.

Det avgörande rekvisitet är den som bestämmer ändamålen och med-

len med behandlingen. Den som är personuppgiftsansvarig bestäm-

mer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Den som är personuppgiftsansvarig kan överlåta den faktiska behandlingen av personuppgifter till någon annan, men personuppgiftsansvaret i sig kan aldrig överlåtas En personuppgiftsansvarig har per definition alltid bestämmanderätt över ändamålen och medlen för behandlingen.

Datainspektionen1 har i fråga om motsvarande definition i personuppgiftslagen uttryckt sig så här (beslut 2010-07-02, dnr 686-2010, se också t.ex. beslut 2012-04-18, dnr 811-2011).

1 Den 1 januari 2021 bytte Datainspektionen namn och heter numera Integritetsskyddsmyndigheten.

Vem som bestämmer över ändamålen avgörs genom en bedömning av de faktiska omständigheterna i det enskilda fallet. Avgörande för denna bedömning är bl.a. varför behandlingen utförs och vem som är initiativtagare till behandlingen. Att bestämma över medlen för behandlingen avser främst att bestämma över de tekniska och organisatoriska medlen för behandlingen, dvs. ”hur” behandlingen ska gå till, t.ex. vilka personuppgifter som ska behandlas, vilka tredje män som ska få tillgång till de behandlade personuppgifter och när uppgifter ska raderas.

Förvaltningsrätten i Stockholm har godtagit Datainspektionens bedömning (dom 2013-10-14 i mål nr 9987-12).

Den personuppgiftsansvarige har ett skadeståndssanktionerat ansvar för att behandlingen av personuppgifter sker i enlighet med bestämmelserna i dataskyddsförordningen (artikel 82) och de eventuella kompletterande svenska dataskyddsbestämmelser som kan gälla (7 kap. 1 § dataskyddslagen). Som huvudregel kan därför bara fysiska personer, juridiska personer, utländska filialer och myndigheter betraktas som personuppgiftsansvariga. När en juridisk person eller en myndighet bedriver en viss behandling av personuppgifter, bör således den juridiska personen som sådan eller myndigheten som sådan anses som personuppgiftsansvarig även om verksamheten i Sverige bedrivs i filialer eller andra organisatoriska enheter.2

En medlemsstat har rätt att i sin nationella rätt precisera vem som är personuppgiftsansvarig, t.ex. i en registerförfattning. Ett exempel där personuppgiftsansvaret pekas ut i lag är patientdatalagen (2008:355), förkortad PDL. Lagen, som tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården, preciserar att en vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. Inom den allmänna hälso- och sjukvården hos sjukvårdshuvudmännen är det den juridiska personen, dvs. regionen eller kommunen, som är vårdgivare. Det är dock inte den juridiska personen i sig som är personuppgiftsansvarig. Lagen anger att i region och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför (2 kap. 6 § PDL). Det innebär att det är den nämnd eller annan myndighet som utövar ledningen av eller utför den faktiska hälso- och sjukvården (dvs. den myndighet som de facto behandlar personuppgifterna) som pekas ut som person-

2 Sören Öman, Dataskyddsförordningen (GDPR) m.m. – En kommentar, kommentaren till artikel 4, JUNO version:1A.

uppgiftsansvarig i patientdatalagen. Härmed avses exempelvis s.k. beställar- och utförarnämnder i en region eller en kommun.3

När det gäller behandling av personuppgifter inom socialtjänsten finns särskilda bestämmelser om personuppgiftsansvar i förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPUF. Där anges att en kommunal myndighet är personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som myndigheten utför (11 § SoLPUF).

Gränsdragningen mellan personuppgiftsansvarig och personuppgiftsbiträde

Den som behandlar personuppgifter ansvarar antingen för behandlingen (personuppgiftsansvarig), eller utför behandlingen för den personuppgiftsansvariges räkning (personuppgiftsbiträde).

Den personuppgiftsansvarige och personuppgiftsbiträdet måste upprätta ett s.k. personuppgiftsbiträdesavtal sinsemellan. Avtalet ska bl.a. innehålla tydliga instruktioner som föreskriver hur biträdet får behandla personuppgifterna (jfr artikel 28).

I en del fall kan det vara svårt att bedöma på förhand vem som är personuppgiftsansvarig för en viss behandling och vem som är biträde. Det är de faktiska omständigheterna i det enskilda fallet som är avgörande, dvs. vem eller vilka som faktiskt har bestämt över behandlingen av personuppgifterna. Olika överenskommelser eller avtalskonstruktioner kan visserligen beaktas vid bedömningen, men det är de faktiska omständigheterna som i slutändan är avgörande. Vem som är personuppgiftsansvarig för en viss behandling av personuppgifter är en fråga om fakta som alltid kan bli föremål för bedömning, i sista hand av domstol.

Gemensamt personuppgiftsansvar

Av definitionen av den personuppgiftsansvarige framgår att flera aktörer kan vara personuppgiftsansvariga, jfr skrivningen […] som ensamt eller tillsammans med andra bestämmer ändamålen och medlen (jfr artikel 4.7 d). Om flera aktörer är inblandade i samma eller närliggande behandlingar av personuppgifter, måste det utredas vem eller vilka av

3Prop. 2007/08:122 s. 50 och s. 230.

dessa aktörer som är personuppgiftsansvarig för behandlingen. Det kan då hända att flera aktörer anses gemensamt personuppgiftsansvariga.

Det finns en särskild bestämmelse i dataskyddsförordningen som definierar vad som kännetecknar ett gemensamt personuppgiftsansvar (artikel 26).

1. Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt denna förordning, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 13 och 14, genom ett inbördes arrangemang, såvida inte de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.

2. Det arrangemang som avses i punkt 1 ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas respektive roller och förhållanden gentemot registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade.

3. Oavsett formerna för det arrangemang som avses i punkt 1 får den registrerade utöva sina rättigheter enligt denna förordning med avseende på och emot var och en av de personuppgiftsansvariga.

Avgörande är om de faktiska omständigheterna är sådana att det i praktiken är två eller fler personuppgiftsansvariga som gemensamt fastställer ändamålen. Även i denna situation kan det uppstå svårigheter att avgöra om en aktör är exempelvis biträde eller ansvarig för behandlingen. Den s.k. Artikel 29-gruppen har uttalat att graden av självbestämmande och manöverutrymme i beslutsfattandet utgör viktiga parametrar för att avgöra bestämmanderätten. Det viktigaste måste vara att se till att efterlevnaden av dataskyddsbestämmelserna och ansvaret för eventuella brott mot bestämmelserna är tydligt fördelade. Detta gäller även i komplexa behandlingsmiljöer där olika registeransvariga har del i behandlingen av personuppgifter, för att undvika att skyddet av personuppgifter minskar.4

4 Artikel 29-gruppens yttrande 1/2010 om begreppen registeransvarig och registerförare (WP 169), s. 13 och s. 22. Artikel 29-gruppen (på engelska Article 29 data protection working party) är ett avvecklat rådgivande EU-organ som skulle se till att dataskyddsförordningen respektive dataskyddsdirektivet tillämpades likformigt i hela EU. Den har ersatts av Europeiska dataskyddsstyrelsen men dessa yttranden kan fortfarande tjäna till vägledning.

Vid gemensamt personuppgiftsansvar behöver de inblandade inte skriva ett avtal, däremot ska de ”under öppna former fastställa sitt respektive ansvar”. Det är något oklart vad som avses med detta. Förmodligen ska den fastställda inbördes fördelningen av skyldigheterna göras tillgänglig för de registrerade, jämför andra punkten. Det finns inget formkrav för hur parterna ska fastställa ansvaret, men det är att rekommendera att det sker skriftligen.5 De gemensamt personuppgiftsansvariga är skyldiga att fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt dataskyddsförordningen. Om de gemensamt personuppgiftsansvarigas respektive skyldigheter fastställs genom EU-rätten eller en medlemsstats nationella rätt, behöver de inte fastställa formerna.

En behandling som sker hos flera aktörer kan ibland utgöra ett utlämnande från en personuppgiftsansvarig till en annan (mottagande) personuppgiftsansvarig. Den mottagande aktören är då ansvarig för de behandlingar som denne utför efter överföringen. Man kan fråga sig vem som är ansvarig för själva överföringen, som ju i sig är en behandling av personuppgifter. Det finns inget generellt svar att ge. I vissa fall kan man tänka sig att utlämnande och mottagande aktör är gemensamt personuppgiftsansvariga för den tekniska överföringen.

Ett praktiskt vanligt förekommenade exempel kan vara utlämnanden inom ramen för gemensamma databaser eller it-system inom hälso- och sjukvården. Gränsdragningen är inte helt tydlig och i vissa fall kan man ändå landa i bedömningen att endast en av aktörerna utövar ansvar för överföringen som sådan. Så kan t.ex. vara fallet när en myndighet bestämmer att ett bolag ska lämna ut vissa personuppgifter.

4.4.5. Samtycke

Ett samtycke är varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne (artikel 4.11).

Med frivilligt menas att den registrerade har ett genuint fritt val att medverka i behandlingen. Är situationen sådan att den registre-

5 Sören Öman, Dataskyddsförordningen (GDPR) m.m. – En kommentar, kommentaren till artikel 26, JUNO version:1A.

rade i praktiken inte kan avstå, kan samtycket inte gärna vara ”frivilligt”. Samtycke bör därför inte utgöra giltig rättslig grund för behandling av personuppgifter om det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Detta gäller särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar (skäl 43). Datainspektionen har uttalat att bedömningen om ett samtycke har lämnats frivilligt inte bara ska ske utifrån vilken valfrihet som råder, utan även vilket förhållande som föreligger mellan den registrerade och den personuppgiftsansvarige. Utrymmet för ett frivilligt samtycke inom det offentliga området är därför begränsat.6

För att samtycket ska vara informerat, bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda (skäl 42). Det är bara behandling av personuppgifter för det ändamål som den registrerade blivit informerad om som samtycket kan avse. Har den personuppgiftsansvarige informerat om att behandlingen av personuppgifterna ska gå till på visst sätt, men denne senare önskar göra på något annat sätt, måste ett nytt samtycke hämtas in.7

Datainspektionen har på personuppgiftslagens tid ansett att det inte var tillräckligt att den registrerade generellt medgav att hälsouppgifter fick behandlas för att utveckla nya vårdbehandlingsformer för vilka sjukdomar som helst8 eller att registrerade generellt samtyckte till “framtida forskning”9.

Om en behandling av personuppgifter grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandlingen. Det krävs inte att samtycket är skriftligt, men vid tvist har den personuppgiftsansvarige bevisbördan för att samtycke lämnats. Den registrerade ska ha rätt att när som helst kunna återkalla ett samtycke (artikel 7).

6 Datainspektionens beslut 2019-08-20, dnr DI-2019-2221. 7 Sören Öman, Dataskyddsförordningen (GDPR) m.m. – En kommentar, kommentaren till artikel 4, JUNO version:1A. 8 Datainspektionens beslut 2008-06-19, dnr 164-2008. 9 Datainspektionens beslut 2011-12-16, dnr 766-2011, jämför också beslut 2015-10-15, dnr 1382-2014.

4.4.6. Andra definitioner av intresse i dataskyddsförordningen

Artikel 4 i dataskyddsförordningen innehåller en rad definitioner av olika begrepp. Utöver de grundläggande begreppen personuppgifter, behandling och personuppgiftsansvar respektive personuppgiftsbiträde (se ovan) anges här några av definitionerna.

Profilering är varje form av automatisk behandling av person-

uppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.

Mottagare är en fysisk eller juridisk person, offentlig myndighet,

institution eller annat organ till vilket personuppgifterna utlämnas, vare sig det är till tredje part eller inte; offentliga myndigheter som kan komma att motta personuppgifter inom ramen för ett särskilt uppdrag i enlighet med unionsrätten eller medlemsstaternas nationella rätt ska dock inte betraktas som mottagare; offentliga myndigheters behandling av dessa uppgifter ska vara förenlig med tillämpliga bestämmelser om dataskydd beroende på behandlingens syfte.

Personuppgiftsincident är en säkerhetsincident som leder till oav-

siktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Genetiska uppgifter är alla personuppgifter som rör nedärvda eller

förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga.

Biometriska uppgifter är personuppgifter som erhållits genom en

särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter.

Uppgifter om hälsa är personuppgifter som rör en fysisk persons

fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus.

4.5. Grundläggande principer vid behandling av personuppgifter

Dataskyddsförordningen kräver att personuppgifter bara behandlas utifrån vissa grundläggande principer. Dessa principer finns i artikel 5 och gäller som ett ramverk vid all behandling av personuppgifter.

  • Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppen-

het).

  • De ska som huvudregel samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning, även

kallad finalitetsprincipen).

  • De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).
  • De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet).
  • Personuppgifterna får som huvudregel inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (lagringsminimering).
  • De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).

Observera att det alltid är den personuppgiftsansvarige som ansvarar för och ska kunna visa att principerna ovan efterlevs (ansvarsskyl-

dighet). Principen om ansvarsskyldighet är en nyhet i dataskydds-

förordningen i förhållande till tidigare reglering. Som ett led i den personuppgiftsansvariges ansvarsskyldighet ska denna bl.a. genomföra en konsekvensbedömning avseende dataskydd (artikel 35 i data-

skyddsförordningen). Det är en skyldighet för den personuppgiftsansvarige att göra en konsekvensbedömning före en behandling av personuppgifter som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Konsekvensbedömning avseende dataskydd är ett verktyg för att säkerställa att den personuppgiftsansvarige följer dataskyddsförordningen.

4.5.1. Principen om ändamålsbegränsning (finalitetsprincipen)

Principen innebär att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Den innebär vidare att den personuppgiftsansvarige under hela behandlingstiden måste hålla reda på för vilka ändamål varje personuppgift har samlats in. Bestämmelsen gör det extra viktigt att tänka efter före och att vid insamlingen av personuppgifterna ange alla de ändamål för vilka man kan tänkas behöva använda de insamlade personuppgifterna.

Undantag från finalitetsprincipen får göras om den registrerade har samtyckt till behandling för det nya ändamålet eller om behandlingen grundar sig på någon rättslig reglering (artikel 5.1 b och 6.4).

Av skäl 50 till dataskyddsförordningen framgår att vid sådan vidarebehandling som inte hindras av finalitetsprincipen krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Detta är en nyhet i förhållande till dataskyddsdirektivet. Om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i en myndighetsutövning, kan EU-rätten eller medlemsstaterna i sin nationella rätt närmare fastställa för vilka uppgifter och syften en behandling är tillåten.

4.5.2. Principen om uppgiftsminimering

Personuppgifter får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får dock lagras under längre perioder i den mån som

personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. Detta gäller under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt dataskyddsförordningen genomförs för att säkerställa den registrerades rättigheter och friheter.

4.5.3. Principen om integritet och konfidentialitet

Den som är personuppgiftsansvarig har ett ansvar att se till att personuppgifter skyddas så att ingen obehörig kommer åt dem och så att de inte används på ett otillåtet sätt. Principen är särskilt viktig när det handlar om känsliga personuppgifter, exempelvis personuppgifter om hälsa som det ofta är fråga om i hälso- och sjukvården och socialtjänsten.

4.6. Rättsliga grunder för behandling av personuppgifter

4.6.1. Inledning

Behandling av personuppgifter är endast tillåten om den stöder sig på minst en av de rättsliga grunder som räknas upp i artikel 6.1 i dataskyddsförordningen. Bestämmelsen räknar uttömmande upp de rättsliga grunder som finns för att det över huvud taget ska vara tillåtet att behandla personuppgifter.

  • Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål (led a).
  • Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås (led b).
  • Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (led c).
  • Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person (led d).
  • Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (led e).
  • Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn (led f).

Led f gäller inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.

4.6.2. Arbetsuppgift av allmänt intresse

Vad som är ett allmänt intresse10 definieras inte i dataskyddsförordningen. Innebörden av begreppet allmänt intresse i dataskyddsförordningens mening har ännu inte närmare utvecklats av EU-domstolen i mål om behandling av personuppgifter. Det finns dock inget som tyder på att begreppet allmänt intresse ska uppfattas mer restriktivt enligt dataskyddsförordningen än enligt dataskyddsdirektivet. Dataskyddsutredningen har tvärtom ansett att mycket talar för att begreppet allmänt intresse bör ha en vidare EU-rättslig betydelse genom dataskyddsförordningen än det hittills har haft.11Regeringen har ansett att sådan verksamhet som en statlig eller kommunal myndighet bedriver, inom ramen för sin befogenhet, är av allmänt intresse. Det är därmed den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av myndigheten.12

Rent språkligt torde begreppet allmänt intresse avse något som är av intresse för eller berör många människor på ett bredare plan, i motsats till ett särintresse eller ett enskilt intresse. Av skäl 45 följer att allmänintresset inbegriper hälso- och sjukvårdsändamål, folkhälsa, socialt skydd och förvaltning av hälso- och sjukvårdstjänster. Det framgår också att arkivändamål kan vara av allmänt intresse (t.ex. artikel 5.1 b).

10 I detta sammanhang avses det EU-rättsliga begreppet allmänt intresse enligt dataskyddsförordningen, inte begreppet allmänt intresse enligt kommunallagen. 11SOU 2017:39 s. 123. 12Prop. 2017/18:105 s. 57.

Arbetsuppgiften av allmänt intresse respektive myndighetsutövningen ska ha stöd i tillämplig rättsordning, i praktiken i EU-rätten eller den nationella rätten. Svenska myndigheters uppdrag och åligganden följer av författningar, regeringsbeslut och kommunala reglementen. Dessa är i sin tur antagna i enlighet med regeringsformens bestämmelser om normgivningskompetens och kommunalt självstyre.

Regeringen anförde i förarbetena till dataskyddslagen att uppgift av allmänt intresse måste ges en vid betydelse för att myndigheternas verksamhet ska kunna fungera.13 Uttalanden i förarbeten, bestämmelsens syfte och den rättsliga kontexten i övrigt kan beaktas för att avgöra om en arbetsuppgift eller myndighetsutövning följer av lag. Det är alltså inte bara lagtextens ordalydelse som är av relevans för att avgöra om något följer av lag.

Dataskyddsutredningen har bedömt att det med hänsyn till svensk

förvaltningstradition är rimligt att alla arbetsuppgifter som utförs av statliga myndigheter i syfte att uppfylla ett uttryckligt uppdrag av riksdag eller regering är av allmänt intresse. Även obligatoriska arbetsuppgifter som utförs av kommuner och regioner, till följd av deras åligganden enligt lag eller förordning, bedöms av Dataskyddsutred-

ningen vara av allmänt intresse i dataskyddsförordningens mening.14

Socialdataskyddsutredningen har konstaterat att det krävs en om-

fattande administration för att vidta åtgärder i syfte att tillhandahålla de rättigheter som föreskrivs i de internationella rättighetsstadgorna. Att de ansvariga institutionerna kan administrera sin verksamhet på ett ändamålsenligt sätt är en förutsättning bl.a. för att det ska gå att tillhandahålla en säker och trygg hälso- och sjukvård och för att de sociala trygghetssystemen ska kunna fungera. Även den administration som krävs för att tillhandahålla förmåner, vård och andra rättigheter, får därmed anses ligga inom ramen både för vad som är ett allmänt intresse och ett viktigt allmänt intresse 15 . Social-

dataskyddsutredningen har också bedömt att det är ett allmänt

intresse att bedriva sådan verksamhet som ska finnas i enlighet med internationella rättighetsstadgor, som omfattar alla medlemsstater i EU, bl.a. hälso- och sjukvård, socialförsäkring och pensioner samt sociala förmåner som tillhandahålls inom socialtjänsten.16

13Prop. 2017/18:105 s. 56. 14SOU 2017:39 s. 124. 15 Se nedan i avsnitt 4.8.3 om viktigt allmänt intresse, som ger stöd för att behandla känsliga personuppgifter enligt artikel 9.2 g. 16SOU 2017:66 s. 219 ff.

Den kommunala kompetensen slås fast i kommunallagen (2017:725) och anger de yttre ramarna för vad kommuner och regioner får ägna sig åt. De kommunala myndigheternas obligatoriska arbetsuppgifter följer av lag. Åtgärder som myndigheterna vidtar i syfte att utföra dessa arbetsuppgifter har därmed i sig en laglig grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler. Den kommunala kompetensen som ges i kommunallagen syftar just till att angelägenheter av allmänt intresse kan utföras. Kommuner och regioner har – utöver sina obligatoriska arbetsuppgifter – en långtgående möjlighet att göra frivilliga åtaganden så länge principen om allmänt intresse följs. Kommuner och regioner får driva t.ex. näringsverksamhet, men bara om den drivs utan vinstsyfte och syftar till att tillhandahålla allmännyttiga anläggningar eller tjänster åt invånarna. Även sådana arbetsuppgifter torde ha ett allmänt intresse i dataskyddsförordningens mening.

Även privata aktörer kan utföra arbetsuppgifter av allmänt intresse på uppdrag av en myndighet eller på eget initiativ. Bedömningen av om arbetsuppgiften är av allmänt intresse bör göras mot bakgrund av verksamhetens syfte, oavsett om den faktiskt utförs i myndighetens regi eller av någon annan.17 Som exempel på verksamheter med arbetsuppgifter av allmänt intresse kan nämnas hälso- och sjukvård, skola, stöd och service till personer med funktionsnedsättningar, kommunikation och energiförsörjning. Flera av dessa verksamheter har sina arbetsuppgifter fastställda i lag, t.ex. hälso- och sjukvården och skolan.

4.6.3. Nödvändighetskravet

Behandling av personuppgifter måste vara nödvändig för att fullgöra en rättslig förpliktelse, utföra arbetsuppgiften av allmänt intresse eller myndighetsutövningen (artikel 6.1c och e). Det måste därmed finnas ett samband mellan behandlingen och arbetsuppgiften eller myndighetsutövningen. Begreppet nödvändig ska inte tolkas så att arbetsuppgiften eller myndighetsutövningen bara kan fullgöras på just det valda sättet. Den metod som den personuppgiftsansvarige väljer måste dock vara ändamålsenlig, effektiv och proportionerlig och får därmed inte medföra ett onödigt intrång i enskildas privatliv.

17 Jfr prop. 2017/18:105 s. 58.

I verksamheter med arbetsuppgifter av allmänt intresse eller myndighetsutövning, som har stöd i rättsordningen kan en mängd olika sorters administrativa åtgärder behöva vidtas för att verksamheten ska fungera. Det kan handla om åtgärder av varierande slag och som inte i sig omfattas av någon särskild reglering i den nationella rättsordningen. Dessa åtgärder bör enligt förarbetena till dataskyddslagen ses som arbetsuppgifter av allmänt intresse. Regeringen har för dessa fall uttalat följande.18

Den specifika behandlingen måste vara nödvändig för ett ändamål som i sin tur är nödvändigt för att myndigheten ska kunna utföra sitt uppdrag. Om myndigheten inte fungerar kan den inte utföra sina fastställda uppgifter. Behandling av personuppgifter som utförs som ett led i sådana administrativa åtgärder som är nödvändiga för myndighetens förvaltning och funktion är därmed enligt regeringens uppfattning rättsligt grundad i dataskyddsförordningens mening. Det krävs alltså inte att de administrativa åtgärderna är fastställda i enlighet med svensk rätt […]. Däremot måste de administrativa åtgärderna vara nödvändiga för att myndigheten ska kunna utföra sina uppgifter. Dessa uppgifter måste vara fastställda i enlighet med gällande rätt, vilket de som framgår ovan redan är.

4.6.4. Grunden måste vara fastställd i nationell rätt

Grunden för sådan behandling av personuppgifter som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse (artikel 6.1 c) eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e) måste fastställas i nationell rätt eller EU-rätt (artikel 6.3).

Det innebär att det inte är möjligt att endast stödja sig på den generella regleringen i dataskyddsförordningen vid sådan behandling. Dataskyddsutredningen har analyserat om det med anledning av detta krav behöver införas generella nationella bestämmelser till stöd för åtminstone den offentliga sektorns behandling av personuppgifter. Enligt Dataskyddsutredningens bedömning krävdes det inte någon särskild reglering med anledning av dataskyddsförordningens ikraftträdande. Däremot är förekomsten av reglering avgörande för i vilken utsträckning personuppgiftsansvariga kan behandla personuppgifter på den grunden att det är nödvändigt för att uppfylla en rättslig förpliktelse eller utföra en arbetsuppgift av allmänt intresse

18Prop. 2017/18:105 s. 61.

eller som ett led i myndighetsutövning. Kravet på att grunden för behandlingen ska vara fastställd i enlighet med unionsrätten eller den nationella rätten utgör således ett villkor som måste vara uppfyllt för att de lagliga grunderna för behandling av personuppgifter i artikel 6.1 c och e ska vara tillämpliga.19

4.7. Utlämnande av personuppgifter och förhållandet till offentlighetsprincipen

Dataskyddsförordningen innehåller ingen definition av begreppet utlämnande av personuppgifter. I likhet med begreppet allmänt intresse handlar det också här om ett EU-rättsligt begrepp. Utlämnandebegreppet är inte synonymt med utlämnande av uppgifter i allmänna handlingar enligt svensk rätt, även om viss överlappning finns. När en myndighet lämnar ut allmänna handlingar som innehåller personuppgifter, utgör själva utlämnandet en behandling av personuppgifter enligt dataskyddsförordningen. Samtidigt är det fråga om ett utlämnande som sker med stöd av offentlighetsprincipen och de övriga principerna i tryckfrihetsförordningen.

Som tidigare nämnts ska något av villkoren i artikel 6.1 vara uppfyllt för att behandlingen av personuppgifter ska vara tillåten. Dataskyddsförordningen innehåller därutöver specialregler för vad som kallas särskilda behandlingssituationer. Som särskilda behandlingssituationer räknas yttrande- och informationsfriheten samt allmänhetens tillgång till allmänna handlingar.

Dataskyddsförordningen föreskriver att medlemsstaterna i lag ska förena rätten till integritet med yttrande- och informationsfriheten, inbegripet behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Medlemsstaterna ska, för behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande, fastställa undantag eller avvikelser från bl.a. de grundläggande principerna i artikel 6, om dessa är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten (artikel 85).

En sådan bestämmelse har förts in i nationell rätt genom 1 kap. 7 § dataskyddslagen som anger att dataskyddsförordningen och dataskyddslagen inte ska tillämpas i den utsträckning det skulle strida mot

19SOU 2017:39 s. 111.

tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Enligt samma bestämmelse ska vissa bestämmelser i dataskyddsförordningen och dataskyddslagen inte tillämpas vid behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

Personuppgifter i allmänna handlingar som förvaras av en myndighet får lämnas ut av myndigheten i enlighet med EU-rätten eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av. Syftet är att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med dataskyddsförordningen (artikel 86).

Personuppgifter som finns i allmänna handlingar hos en myndighet, får därmed lämnas ut i enlighet med medlemsstatens nationella rätt. Det innebär att reglerna om utlämnande av allmänna handlingar med stöd av offentlighetsprincipen i 2 kap. tryckfrihetsförordningen har företräde framför dataskyddsförordningen, enligt den nyss nämnda bestämmelsen i dataskyddslagen.

4.8. Känsliga personuppgifter

4.8.1. Förbudet att behandla känsliga personuppgifter och möjligheten till undantag

Av artikel 9.1 i dataskyddsförordningen framgår att behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.

De angivna kategorierna av personuppgifter benämns i artikeln som särskilda kategorier av uppgifter, men kommer att i detta betänkande kallas känsliga personuppgifter.

Dataskyddsförordningens huvudregel om förbud mot behandling av känsliga personuppgifter har tillkommit eftersom dessa uppgifter anses vara särskilt skyddsvärda. Huvudregeln i dataskyddsförordningen är alltså att behandling av känsliga personuppgifter är förbjuden. Huvudregeln kompletteras med ett antal undantag i artikel 9.2. Om någon av förutsättningarna i den bestämmelsen är

uppfylld, får behandling av känsliga personuppgifter trots allt ske. Vissa av undantagen är direkt tillämpliga, medan andra kräver viss reglering i den nationella lagstiftningen för att behandling av känsliga personuppgifter ska få ske.

4.8.2. Uppgifter om hälsa

Uppgifter om hälsa är personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus (artikel 4.15). En upplysning om att en person fått hälso- och sjukvårdstjänster rör dennes fysiska eller psykiska hälsa och kan dessutom ge information om personens hälsostatus. En upplysning om att någon har besökt eller undersökts av en läkare med viss specialistkompetens eller tagit vissa prover ger inte i sig information om personens hälsostatus. I skäl 63 exemplifieras uppgifter om hälsa som uppgifter i läkarjournaler med t.ex. diagnoser, undersökningsresultat, bedömningar av behandlande läkare och eventuella vårdbehandlingar eller interventioner.

I skäl 35 utvecklas detta enligt följande.

Personuppgifter om hälsa bör innefatta alla de uppgifter som hänför sig till en registrerad persons hälsotillstånd som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd. Detta inbegriper uppgifter om den fysiska personen som insamlats i samband med registrering för eller tillhandahållande av hälso- och sjukvårdstjänster till den fysiska personen enligt Europaparlamentets och rådets direktiv 2011/24/EU, ett nummer, en symbol eller ett kännetecken som den fysiska personen tilldelats för att identifiera denne för hälso- och sjukvårdsändamål, uppgifter som härrör från tester eller undersökning av en kroppsdel eller kroppssubstans, däribland genetiska uppgifter och biologiska prov, och andra uppgifter om exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling eller den registrerades fysiologiska eller biomedicinska tillstånd, oberoende av källan, exempelvis från en läkare eller från annan sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitro-test.

En stor del av sådana personuppgifter som används inom hälso- och sjukvården och socialtjänsten kan sannolikt utgöra personuppgifter om hälsa i dataskyddsförordningens mening och därmed också känsliga personuppgifter.

Uppgifter som rör alla aspekter, såväl fysiska som psykiska, av en persons hälsa är uppgifter om hälsa, om de ger information om personens hälsostatus. Uppgifter om olika former av sjukligt missbruk av t.ex. droger lär som regel vara uppgifter om hälsa.20

Praxis från Datainspektionen och domstolar ger stöd för en tämligen vid tolkning av vad som är personuppgifter om hälsa.

Enligt Datainspektionen kunde till och med en uppgift om att någon på grund av för hög alkoholkoncentration i sin utandningsluft fått en signal om ett icke godkänt blåsprov vara en sådan personuppgift som rörde hälsa enligt personuppgiftslagen, i vart fall om den utgjorde en indikation på alkoholmissbruk.21 Redan en uppgift om resultat från ett alkoholtest eller en uppgift om att någon avböjt att medverka i ett sådant test kunde utgöra en indikation på alkoholmissbruk och borde därför enligt Datainspektionen betraktas som en uppgift som rörde hälsa enligt personuppgiftslagen.22 Datainspektionen har ansett att en uppgift om att någon har ett spelberoende eller spelmissbruk var en uppgift som rörde hälsa enligt personuppgiftslagen.23

Uppgifter om läkemedel och andra varor som förskrivits en enskild har ansetts röra dennes hälsa enligt personuppgiftslagen.24

Färdtjänstutredningen ansåg att personuppgifter som indirekt rör

hälsotillstånd, t.ex. uppgift om behov av rullstol, ledarhund eller andra hjälpmedel, utgjorde känsliga personuppgifter som rörde hälsa enligt personuppgiftslagen.25 Också Datainspektionen har ansett att en uppgift om att någon har ett handikapp var en uppgift som rörde hälsa enligt personuppgiftslagen.26 I samma beslut kom Datainspektionen även fram till att redan en uppgift om att någon var registrerad som medlem i dåvarande De Handikappades Riksförbund, där Datainspektionen antog att det stora flertalet medlemmar var funktionsnedsatta, skulle betraktas som en känslig personuppgift enligt personuppgiftslagen.

All information som kan ge upplysning om att någon på grund av sjukdom inte kan arbeta lär röra personens hälsa och ger information

20 Jämför SOU 1997:39 s. 131 f. och SOU 2002:18 s. 160. 21 Beslut 2011-01-12, dnr 500-2010. 22 Beslut 2014-01-23, dnr 52-2013. 23 Beslut 2015-10-15, dnr 1382-2014. 24Prop. 2008/09:145 s. 305. Jfr Justitiekanslerns beslut 2008-06-23, dnr 7692-06-42. 25SOU 2003:4 s. 56, 63 och 64 f. samt SOU 2003:87 s. 178 f. 26 Beslut 2008-10-15, dnr 1176-2008.

om dennes hälsostatus (för sjuk för att arbeta), dvs. att det är fråga om uppgifter om hälsa.

4.8.3. Undantag för att få behandla känsliga personuppgifter inom vård och omsorg

Behandling av känsliga personuppgifter omgärdas av särskilda krav som – utöver de grundläggande principer och krav på rättslig grund som alltid gäller vid behandling av personuppgifter (artikel 5 och 6) – måste vara uppfyllda för att de känsliga personuppgifterna ska få behandlas.

När det gäller myndigheter som behandlar känsliga personuppgifter inom vård och socialtjänst är det något av nedanstående led i artikel 9.2 i dataskyddsförordningen som torde vara aktuella som stöd för att få behandla känsliga personuppgifter. Myndigheter kan i regel inte använda samtycke som laglig grund för behandling av personuppgifter. Därför är det inte heller aktuellt att använda led a om samtycke som grund för att behandla känsliga personuppgifter (se ovan under avsnitt 4.4.5).

  • Behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs (led b).
  • Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (led g).
  • Behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhanda-

hållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet och under förutsättning att de villkor och skyddsåtgärder som avses i artikel 9.3 är uppfyllda (led h).

  • Behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter, på grundval av unionsrätten eller medlemsstaternas nationella rätt, där lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt tystnadsplikt (led i).

Fullgörande av skyldigheter och rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd (artikel 9.2 b)

Områdena social trygghet respektive socialt skydd är nya i förhållande till dataskyddsdirektivet. Det framgår inte av artikeln eller av skälen till dataskyddsförordningen vad områdena är avsedda att omfatta. Begreppet social trygghet antyder att socialförsäkringen är tänkt att vara en del av området. Dataskyddsutredningen gjorde bedömningen att avsikten sannolikt är att reglera behandling som är nödvändig för att arbetsgivare och arbetsgivar- eller arbetstagarorganisationer ska kunna erbjuda eller förmedla pensioner och försäkringar med anknytning till den registrerades anställning eller yrkesliv, såsom tjänstepensioner och olika typer av gruppförsäkringar. Denna bedömning gjordes mot bakgrund av det sammanhang där begreppen social trygghet och socialt skydd förekommer – att artikeln i övrigt avser skyldigheter och rättigheter inom arbetsrätten.27Socialdataskyddsutred-

ningen gjorde samma bedömning.28

27SOU 2017:39 s. 169171. 28SOU 2017:66 s. 239.

Viktigt allmänt intresse (artikel 9.2 g)

Det är svårt att på ett generellt plan definiera vad som skiljer ett

allmänt intresse från ett viktigt allmänt intresse. Ordalydelsen ger vid

handen att det krävs något ytterligare, en form av kvalificerat allmänt intresse. Enligt regeringens bedömning i förarbetena till dataskyddslagen står det klart att verksamhet som innefattar myndighetsutövning utgör ett viktigt allmänt intresse. När det gäller myndigheters behandling måste det enligt regeringen också anses utgöra ett viktigt allmänt intresse att svenska myndigheter, även utanför området för myndighetsutövning, kan bedriva den verksamhet som tydligt faller inom ramen för deras befogenheter på ett korrekt, rättssäkert och effektivt sätt.29

Det finns inget som tyder på att begreppet allmänt intresse ska uppfattas mer restriktivt enligt dataskyddsförordningen än enligt dataskyddsdirektivet. Detta innebär att när behandling av känsliga personuppgifter tillåtits i en registerförfattning med stöd av artikel 8.4 i dataskyddsdirektivet har det redan, även om övervägandena inte alltid framgår uttryckligen av förarbetena, bedömts att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och därmed också nödvändig för att utföra en arbetsuppgift av allmänt intresse enligt artikel 7 e i dataskyddsdirektivet. Socialdataskyddsut-

redningen ansåg att en behandling som regleras i en registerför-

fattning utan vidare kan stödjas på artikel 6.1 e i dataskyddsförordningen som rättslig grund. Dessutom kan behandlingen, under förutsättning att proportionalitet och bestämmelser om skyddsåtgärder iakttas, innefatta känsliga personuppgifter i samma utsträckning som tidigare med stöd av artikel 9.2 g i dataskyddsförordningen.30

Dataskyddsutredningen bedömde att det utöver detaljerad reglering

i registerförfattningar var möjligt att införa en generell reglering som ger myndigheter möjlighet att behandla känsliga personuppgifter även när det inte finns särskilt stöd i en registerlagstiftning. Med stöd av artikel 9.2 g i dataskyddsförordningen har därför undantag för behandling av viktiga allmänna intressen förts in i dataskyddslagen.

En sådan bestämmelse har förts in i 3 kap. 3 § dataskyddslagen och anger att känsliga personuppgifter får behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning

29Prop. 2017/18:105 s. 83. 30SOU 2017:66 s. 221 f.

  • om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag,
  • om behandlingen är nödvändig för handläggningen av ett ärende, eller
  • i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

I syfte att begränsa de integritetsrisker som den generella bestämmelsen medför, infördes i andra stycket i samma bestämmelse också ett förbud för myndigheter att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Datainspektionen har prövat om 3 kap. 3 § dataskyddslagen kunde tillämpas på en gymnasienämnds närvarokontroll av elever som innefattade känsliga personuppgifter. Närvarokontrollen skedde genom att elevernas biometriska personuppgifter behandlades för ansiktsigenkänning via kamera. Datainspektionen konstaterade att närvarohantering är en omfattande och central uppgift i skolväsendet samt att bestämmelsen om viktigt allmänt intresse inte är avsedd att tillämpas slentrianmässigt i den löpande verksamheten. Gymnasienämnden behandlade känsliga personuppgifter genom kameraövervakning i elevernas vardagliga miljö. Detta var enligt Datainspektionen ett otillbörligt intrång i elevernas integritet. Eftersom syftet med ansiktsigenkänningen var att identifiera elever, förutsatte närvarokontrollen dessutom otillåtna sökningar baserade på känsliga personuppgifter. Bestämmelserna i 3 kap. 3 § dataskyddslagen och 9.2 g i dataskyddsförordningen var därmed inte tillämpliga på behandlingen.31 Datainspektionens beslut överklagades till förvaltningsrätten, som gjorde samma bedömning som Datainspektionen.32

31 Datainspektionens beslut 2019-08-20, dnr DI-2019-2221. 32 Förvaltningsrätten i Stockholms dom 2020-08-14 i mål nr 20577-19. Domen har överklagats till kammarrätten, som har meddelat prövningstillstånd (Kammarrätten i Stockholms beslut 2020-12-11 i mål nr 5888-20).

Hälso- och sjukvård samt social omsorg (led h)

I skäl 53 till dataskyddsförordningen klargörs att förvaltning av tjänster för hälso- och sjukvård och social omsorg omfattar

behandling som utförs av förvaltningen och centrala nationella hälsovårdsmyndigheter av sådana uppgifter för syften som hör samman med kvalitetskontroll, information om förvaltningen samt allmän nationell och lokal tillsyn över hälso- och sjukvårdssystemet och systemet för social omsorg och säkerställande av kontinuitet inom hälso- och sjukvård och social omsorg samt gränsöverskridande hälso- och sjukvård eller hälsosäkerhet, syften som hör samman med övervakning samt varningssyften eller för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål som baseras på unionsrätten eller på medlemsstaternas nationella rätt, vilka måste ha ett syfte av allmänt intresse, samt studier som genomförs av allmänt intresse på folkhälsoområdet.

Uppräkningen av syften lär i praktiken täcka nästan all behandling av känsliga personuppgifter som förekommer inom hälso- och sjukvårdsområdet samt socialtjänsten.33

I Sverige är hälso- och sjukvården samt socialtjänsten reglerade i lag på det sätt som krävs. Därtill har man i nationell rätt fört in en bestämmelse i 3 kap. 5 § dataskyddslagen som ger ett rättsligt stöd för att behandla känsliga personuppgifter med stöd av artikel 9.2 h, om behandlingen är nödvändig för

  • förebyggande hälso- och sjukvård och yrkesmedicin,
  • bedömningen av en arbetstagares arbetskapacitet,
  • medicinska diagnoser,
  • tillhandahållande av hälso- och sjukvård eller behandling,
  • social omsorg, eller
  • förvaltning av hälso- och sjukvårdstjänster, social omsorg samt deras system.

Behandling får ske under förutsättning att kravet på tystnadsplikt som följer av artikel 9.3 i dataskyddsförordningen är uppfyllt. Inom hälso- och sjukvårdens och socialtjänstens områden gäller i Sverige som regel

33 Sören Öman, Dataskyddsförordningen (GDPR) m.m. – En kommentar, kommentaren till artikel 9, JUNO version:1A.

tystnadsplikt, både i den offentliga sektorn, enligt offentlighets- och sekretesslagen (2009:400), och i den privata sektorn, enligt bl.a. patientsäkerhetslagen (2010:659) och 15 kap. socialtjänstlagen (2001:453).

4.9. Bestämmelser som ger rättigheter till den registrerade

Den registrerade har enligt bestämmelserna i dataskyddsförordningen bl.a. rätt att vända sig till den personuppgiftsansvarige för att få bekräftelse på om personuppgifter som rör honom eller henne behandlas, ett s.k. registerutdrag. I registerutdraget ska den personuppgiftsansvarige ge den registrerade tillgång till personuppgifterna samt lämna information om bl.a. ändamålen med behandlingen samt de kategorier av personuppgifter som behandlingen omfattar (artikel 15). Den registrerade har även rätt att begära rättelse (artikel 16), radering (artikel 17) och begränsning av behandling (artikel 18). Det är dock möjligt att i medlemsstaternas nationella rätt införa bestämmelser som för vissa syften begränsar dessa rättigheter, under förutsättning att begränsningen sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd. En sådan begränsning får exempelvis ske i syfte att säkerställa en medlemsstats nationella mål av generellt allmänt intresse, däribland folkhälsa och social trygghet.

Kapitel IV i dataskyddsförordningen innehåller bestämmelser om personuppgiftsansvariga och personuppgiftsbiträden. Det är den personuppgiftsansvarige som ansvarar för och ska kunna visa att principerna ovan efterlevs (principen om ansvarsskyldighet, artikel 24). Varje personuppgiftsansvarig ska föra ett register över behandling som utförs under dennes ansvar (artikel 30). Om det inträffar en personuppgiftsincident är den personuppgiftsansvarige skyldig att utan onödigt dröjsmål anmäla denna till tillsynsmyndigheten (artikel 33). Den personuppgiftsansvarige är även skyldig att utnämna ett dataskyddsombud under förutsättningar som närmare anges i dataskyddsförordningen (artikel 37).

I kapitel V finns bestämmelser som reglerar förutsättningarna för att få överföra personuppgifter till ett tredje land eller till en internationell organisation. Sådana överföringar får endast ske under särskilda förutsättning som räknas upp i kapitlet. Det handlar t.ex. om

att mottagaren kan säkerställa en adekvat skyddsnivå enligt ett särskilt beslut från Europeiska kommissionen eller att överföringen i sig omfattas av lämpliga skyddsåtgärder.

Kapitel VII innehåller bestämmelser om inrättandet av den Europeiska dataskyddsstyrelsen (artikel 68). Genom kapitel VIII infördes bestämmelser om administrativa sanktionsavgifter (artikel 83). Möjligheten att påföra sanktionsavgifter vid överträdelser är en nyhet i förhållande till dataskyddsdirektivet.

5. Sekretess och tystnadsplikt

5.1. Kort bakgrund

Personal inom hälso- och sjukvården och inom socialtjänsten kommer dagligen i kontakt med uppgifter som rör enskilda personer. Många av uppgifterna rör hälsa och andra personliga förhållanden. Det är därför av vikt att personer kan vända sig till vård och omsorg i trygg förvissning om att deras uppgifter skyddas mot bl.a. obehörig åtkomst. Tidigare har utredningen beskrivit dataskyddsförordningen och andra regelverk som syftar till att skydda enskildas personuppgifter (se kapitel 3 och 4). Därutöver finns bestämmelser om sekretess och tystnadsplikt som också ger skydd mot spridning av integritetskänsliga uppgifter. För det allmännas verksamhet finns bestämmelser om sekretess och tystnadsplikt i offentlighets- och sekretesslagen (2009:400), förkortad OSL. Flera av sekretessreglerna skyddar uppgifter om personliga förhållanden. Sådana uppgifter torde i många fall samtidigt utgöra personuppgifter i dataskyddsförordningens mening.

I 21 kap. 7 § offentlighets- och sekretesslagen finns en sekretessbestämmelse som innehåller en direkt koppling till regelverket om dataskydd. Enligt den bestämmelsen gäller sekretess för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen. Bestämmelsen gäller när myndigheter lämnar ut personuppgifter, oavsett i vilket sammanhang personuppgifterna förekommer.

Det finns särskilda sekretessregler som tillämpas i verksamheter som avser hälso- och sjukvård och socialtjänst. Bestämmelserna syftar till att skydda uppgifter om personers hälsa och andra personliga förhållanden. I många fall rör det sig om sådana känsliga personuppgifter om hälsa som beskrivits i det föregående (se avsnitt 4.8.2). I det följande beskrivs regelverket om sekretess och tystnadsplikt

översiktligt, med fokus på regleringen om sekretess för personuppgifter inom hälso- och sjukvården och socialtjänsten.

5.2. Allmänt om sekretess och tystnadsplikt

Sekretess definieras som ett förbud att röja en uppgift, vare sig det sker muntligen eller genom att lämna ut en allmän handling, eller på annat sätt (3 kap. 1 § OSL). En sekretessbelagd uppgift får inte röjas för enskilda eller för andra myndigheter (8 kap. 1 § OSL). Förbudet att röja uppgifter riktar sig både till myndigheten som sådan och till dess personal (2 kap. 1 § OSL). Kommunala företag där kommuner eller region utövar ett rättsligt bestämmande inflytande, jämställs i detta sammanhang med myndigheter (2 kap. 3 § OSL). För enskild (icke offentlig) verksamhet finns bestämmelser som föreskriver tystnadsplikt inom olika verksamheter där man behandlar sådana personuppgifter som typiskt sett är av känslig natur. Exempelvis finns bestämmelser i 6 kap. patientsäkerhetslagen (2010:659) om tystnadsplikt för personal inom enskild hälso- och sjukvård. Syftet är att personuppgifter inte ska få ett sämre skydd när de behandlas i enskild verksamhet än när motsvarande hantering sker hos en myndighet.

Otillåtet röjande av en sekretessbelagd uppgift är straffsanktionerat som brott mot tystnadsplikt enligt 20 kap. 3 § brottsbalken. Straffbestämmelsen avser både sådan tystnadsplikt som gäller offentliga funktionärer enligt offentlighets- och sekretesslagen och sådana tystnadsplikter som gäller i enskild verksamhet och följer av andra författningar. Avgörande för straffansvar är att man obehörigen åsidosätter en lagstadgad tystnadsplikt.

Ett röjande sker när uppgift eller allmän handling som omfattas av sekretess lämnas ut eller uppgifterna berättas vidare. I förarbetena till sekretesslagstiftningen betonas att bestämmelsen avser varje form av röjande, oavsett på vilket sätt det sker.1 Syftet är att skydda den sekretessbelagda uppgiften från att spridas utanför den aktuella verksamheten.

Vid en sekretessprövning görs i princip en bedömning av den skada eller det men (olägenhet) som uppstår om uppgifterna skulle lämnas ut i det aktuella fallet. För att en person ska lida skada eller

1Prop. 1979/80:2 Del A, s. 119 f.

men krävs att uppgifterna är hänförliga till personen. Avidentifierade uppgifter kan därför i princip lämnas ut utan hinder av sekretess.2

En grundprincip är att personen själv kan bestämma över de uppgifter som rör honom eller henne och därmed också kan välja att efterge sekretessen (12 kap. 2 § OSL). Man kan följaktligen lämna sitt samtycke till att en sekretesskyddad uppgift lämnas till annan person eller myndighet. I sådana fall utgör utlämnandet inte ett otillåtet röjande.

5.3. Sekretess gäller mellan myndigheter och mellan självständiga verksamhetsgrenar

Av offentlighets- och sekretesslagen följer att sekretess gäller mellan myndigheter. Nämnder inom en kommun eller region är att betrakta som egna myndigheter. Tidigare fanns det i princip en kommunal nämnd för varje verksamhetsområde. Införandet av den fria kommunala nämndorganisationen har inneburit att en kommun eller region har möjlighet att dela in t.ex. hälso- och sjukvården på flera sektorer som organisatoriskt hör till olika nämnder. Likaså kan en kommun på motsvarande sätt välja att dela upp socialtjänstens arbetsuppgifter på flera nämnder. Om en kommun eller en region av organisatoriska skäl väljer att dela upp en verksamhet på t.ex. olika distriktsnämnder, uppstår därför sekretessgränser mellan verksamheterna, trots att verksamheterna tidigare ansetts utgöra en enhet från sekretessynpunkt.3

Sekretess råder också mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra (8 kap. 2 § OSL). Det är inte helt lätt att avgöra när det finns självständiga verksamhetsgrenar inom en myndighet. Problematiken har bl.a. berörts i förarbetena till patientdatalagen (2008:355). Där beskrivs svårigheterna med att klargöra var sekretessgränser går när exempelvis hälso- och sjukvård respektive socialtjänst – som är olika verksamhetsgrenar i offentlighets- och sekretesslagens mening – bedrivs inom samma myndighet.4 I samma förarbeten uttalade regeringen att när det gäller sådan hälso- och sjukvård som lyder under

2Prop. 1979/80:2 Del A s. 84.

3Prop. 2007/08:126 s. 164 f. 4Prop. 2007/08:126 s. 167 f.

samma nämnd inom ett landsting eller en kommun utgör de en och samma verksamhetsgren i sekretesslagstiftningens mening.5 Det innebär att någon sekretessprövning enligt offentlighets- och sekretesslagen inte behöver göras när uppgifter överförs mellan olika vårdinrättningar, t.ex. från ett sjukhus till en vårdcentral, så länge som dessa sorterar under samma nämnd.

Offentlighets- och sekretesslagen innehåller en sekretessbrytande bestämmelse som säger att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning (10 kap. 28 § OSL). Det är en generell regel som medför att sekretessen mellan myndighet ger vika för uppgifter som omfattas av uppgiftsskyldighet. Bestämmelsen är tillämplig både när det gäller att lämna uppgifter mellan myndigheter och mellan självständiga verksamhetsgrenar inom en och samma myndighet. Däremot är bestämmelsen inte tillämplig vid utlämnande till enskild verksamhet.

Sekretess följer inte automatiskt med när en uppgift lämnas till en annan myndighet. För att uppgiften ska omfattas av sekretess även hos den mottagande myndigheten ska sekretess antingen följa av en primär sekretessbestämmelse som är tillämplig hos den mottagande myndigheten, eller av en bestämmelse om överföring av sekretess. Motsvarande gäller även om en myndighet har elektronisk tillgång till en sekretessreglerad uppgift hos en annan myndighet (7 kap. 2 § OSL). Med elektronisk tillgång avses t.ex. sådan direktåtkomst till journaluppgifter som sker inom hälso- och sjukvård genom sammanhållen journalföring. Det finns en särskild regel om överföring av sekretess vid myndigheters direktåtkomst till andra myndigheters upptagningar för automatiserad behandling (11 kap. 4 § OSL). Vid direktåtkomst gäller alltså sekretessen hos ursprungsmyndigheten även hos den mottagande myndigheten.

5.4. Sekretess och tystnadsplikt inom hälso- och sjukvården

Personuppgifter om hälsa och andra personliga förhållanden är av naturliga skäl integritetskänsliga. Sekretess gäller inom hälso- och sjukvården för uppgift om hälsotillstånd eller andra personliga för-

5Prop. 2007/08:126 s. 163.

hållanden, om det inte står klart att uppgiften kan röjas utan att personen eller någon närstående lider men. Detsamma gäller i annan medicinsk verksamhet, exempelvis rättsmedicinsk och rättspsykiatrisk undersökning, insemination, befruktning utanför kroppen, fastställande av könstillhörighet, abort, sterilisering, omskärelse och åtgärder mot smittsamma sjukdomar (25 kap. 1 § OSL). Sekretessbestämmelsen är utformad med ett s.k. omvänt skaderekvisit vilket innebär att presumtionen är att uppgifterna skyddas av sekretess.

Med uttrycket hälso- och sjukvård förstås först och främst den öppna och slutna sjukvård som regleras i hälso- och sjukvårdslagen (2017:30). Hit hör också den förebyggande medicinska hälsovården, t.ex. den som bedrivs vid mödra- och barnavårdscentralerna och inom den psykiatriska barn- och ungdomsvården. Även tandvården hör till hälso- och sjukvården.6

För personal inom enskild hälso- och sjukvård finns en lagstadgad tystnadsplikt i 6 kap.1214 §§patientsäkerhetslagen. Där anges bl.a. att den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen får röja vad han eller hon i sin verksamhet har fått veta om en persons hälsotillstånd eller andra personliga förhållanden.

Begreppet ”personliga förhållanden” ska enligt offentlighets- och sekretesslagens förarbeten tolkas utifrån vanligt språkbruk och kan avse en mängd olika uppgifter. Allt från uppgifter om en psykisk sjukdom till uppgifter om en enskilds adress och ekonomi omfattas.7Av det sagda följer att i stort sett alla personuppgifter som förekommer i hälso- och sjukvårdens verksamhet omfattas av sekretess.

5.5. Sekretess och tystnadsplikt inom socialtjänsten

Uppgifter om enskilds personliga förhållanden i socialtjänsten skyddas i regel av stark sekretess När det gäller den offentligt utförda socialtjänsten gäller sekretess för uppgift om enskilds personliga förhållanden om det inte står klart att uppgiften kan röjas utan att den enskilde eller närstående lider men (26 kap. 1 § OSL).

Med socialtjänst förstås enligt samma bestämmelse huvudsakligen verksamhet enligt lagstiftningen om socialtjänst och den sär-

6 Eva Lenberg m.fl., Offentlighets- och sekretesslagen, kommentaren till 25 kap. 1 § offentlighets- och sekretesslagen, JUNO version:21. 7Prop. 1979/80:2 Del A, s. 84.

skilda lagstiftningen om vård av unga och missbrukare utan samtycke samt verksamhet som i annat fall enligt lag bedrivs av socialnämnd eller av Statens institutionsstyrelse. Begreppet ”personliga förhållanden” ska ges motsvarande breda tolkning som gäller beträffande hälso- och sjukvårdssekretessen (jfr avsnitt 5.4). Allt från uppgifter om en psykisk sjukdom till uppgifter om en enskilds adress och ekonomi omfattas följaktligen.8

Inom enskild verksamhet i socialtjänsten finns bestämmelser om tystnadsplikt i 15 kap.1 och 2 §§socialtjänstlagen. Tystnadsplikten innebär ett förbud för den som är eller har varit verksam inom yrkesmässigt bedriven enskild verksamhet enligt socialtjänstlagen att obehörigen röja vad han eller hon därvid har fått veta om enskildas personliga förhållanden. Motsvarande tystnadsplikt finns i 29 § lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS. Den som bryter mot bestämmelsen kan dömas för brott mot tystnadsplikten enligt 20 kap. 3 § brottsbalken.

Uppgiften får lämnas ut om det i det enskilda fallet finns grund för att bryta sekretessen, t.ex. en uppgiftsskyldighet eller personens samtycke, alternativt att en sekretessprövning resulterar i att uppgifterna kan lämnas ut.

5.6. Sekretessbrytande regler inom hälso- och sjukvård och socialtjänst

För att sekretesskyddade uppgifter ska få överföras mellan myndigheter krävs att det finns bestämmelser som bryter sekretessen mellan myndigheterna. Som ovan nämnts finns en generell bestämmelse i offentlighets- och sekretesslagen som bryter sekretessen när det finns en lagstadgad uppgiftsskyldighet (se avsnitt 5.3). För hälso- och sjukvårdens del finns ett antal sekretessbrytande bestämmelser i 25 kap. offentlighets- och sekretesslagen. Sekretess hindrar exempelvis inte att uppgift lämnas från myndighet som bedriver verksamhet som avses i 25 kap. 1 §, dvs. hälso- och sjukvård eller annan medicinsk verksamhet, till en annan sådan myndighet i samma kommun eller region, dvs. som ingår i samma juridiska person (25 kap. 11 § punkt 1 och 2 OSL). Bestämmelsen gör det möjligt för en region eller kommun att fritt organisera sin hälso- och sjukvård utan

8Prop. 1979/80:2 Del A, s. 84.

hänsyn till att sekretess i princip råder mellan myndigheter. Regeln medför t.ex. ökade möjligheter till verksamhetsuppföljning inom en region eller en kommun. Även kommunala företag är att jämställa med myndigheter i detta sammanhang. Därmed är det tillåtet att utan hinder av sekretess lämna uppgifter mellan ett kommunalt bolag och den eller de nämnder i regionen som fullgör regionens arbetsuppgifter när det gäller hälso- och sjukvård.9 Någon motsvarande bestämmelse finns inte på socialtjänstens område.

Hälso- och sjukvårdssekretess hindrar inte att uppgift om en person, som på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till utlämnandet, lämnas ut för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd (25 kap. 13 § OSL). Under de förutsättningarna får en myndighet inom hälso- och sjukvården lämna ut uppgifterna till en annan sådan myndighet inom hälso- och sjukvården eller inom socialtjänsten, eller till enskild vårdgivare eller en enskild verksamhet på socialtjänstens område. Bestämmelsen möjliggör ett uppgiftsutlämnande både inom sjukvården och från sjukvården till socialtjänsten. Någon motsvarande bestämmelse finns inte på socialtjänstens område. En myndighet inom socialtjänsten kan alltså inte under motsvarande förutsättningar lämna ut uppgifter till andra myndigheter eller privata utförare inom socialtjänsten eller hälso- och sjukvården.

I 25 kap. 12 § offentlighets- och sekretesslagen finns en sekretessbrytande bestämmelse som ger möjlighet till uppgiftslämnande inom hälso- och sjukvården samt socialtjänsten i vissa situationer där den stränga sekretessen för dessa verksamheter har ansetts försvåra angeläget samarbete när man inte kan räkna med att få samtycke till uppgiftslämnande. De fall som avses gäller barn eller ungdomar som far illa, personer med missbruksproblem, patienter som vårdas enligt lagen om psykiatrisk tvångsvård (LPT) och lagen (1991:1129) om rättspsykiatrisk vård (LRV) samt väntade barn som behöver skydd under graviditeten. Motsvarande sekretessbrytande bestämmelse finns i 26 kap. 9 § offentlighets- och sekretesslagen i fråga om sekretess till skydd för personer inom socialtjänsten. Bestämmelserna möjliggör samverkan mellan socialtjänst och hälso- och sjukvård om vissa grupper av enskilda.

9 Eva Lenberg m.fl., Offentlighets- och sekretesslagen, kommentaren till 25 kap. 11 § offentlighets- och sekretesslagen, JUNO version:21.

Det finns en sekretessbrytande bestämmelse i 25 kap. 11 § punkt 3 offentlighets- och sekretesslagen som bryter hälso- och sjukvårdssekretessen när en uppgift lämnas till en myndighet som bedriver hälso- och sjukvård eller till en enskild vårdgivare i ett system med sammanhållen journalföring. En närmare genomgång av sekretess för uppgift som ingår i system med sammanhållen journalföring i hälso- och sjukvården görs i avsnitt 6.10. Det finns inga motsvarande bestämmelser om elektronisk direktåtkomst mellan olika verksamheter inom socialtjänsten. Således finns inte några motsvarande sekretessbrytande bestämmelser för socialtjänstens verksamheter.

6. Patientdatalagen

6.1. Allmänt om patientdatalagen

Patientdatalagen (2008:355), förkortad PDL, reglerar vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal. Patientdatalagen trädde i kraft 2008 och ersatte dåvarande patientjournallagen (1985:562) och lagen (1998:544) om vårdregister. I förarbetena till patientdatalagen angavs att en utgångspunkt med den nya patientdatalagen var att underlätta hanteringen av personuppgifter inom hälso- och sjukvården samtidigt som patientsäkerheten och patientens egen möjlighet till medverkan skulle stärkas. Regelverket anpassades för att på ett bättre sätt svara mot de nya möjligheter som fanns att utbyta patientinformation som lagrats elektroniskt. Ett uttalat syfte var också att underlätta informationsutbyte mellan vårdgivare och mellan vårdgivare och patient. Det betonades samtidigt att skyddet för patientens integritet skulle vara första prioritet.1

En av de stora nyheterna med patientdatalagen var möjligheten till sammanhållen journalföring över vårdgivargränser som infördes i 6 kap. patientdatalagen. Sammanhållen journalföring gör det möjligt för olika vårdgivare att genom elektronisk direktåtkomst utbyta information om patienter. Patientdatalagen innehåller även grundläggande bestämmelser om s.k. inre sekretess och elektronisk åtkomst i en vårdgivares verksamhet (4 kap. PDL). Därtill finns bestämmelser om skyldighet att föra patientjournal (3 kap. PDL) och om nationella och regionala kvalitetsregister (7 kap. PDL).

Patientdatalagen är en ramlagstiftning, som anger vilka grundläggande principer som ska gälla för informationshanteringen avseende uppgifter om patienter inom all hälso- och sjukvård. Patient-

1Prop. 2007/08:126 s. 34.

datalagen syftar till att informationshantering inom hälso- och sjukvården ska vara organiserad så att den tillgodoser patientsäkerhet och god kvalitet samt främjar kostnadseffektivitet. Samtidigt ska personuppgifter utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras. Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem (1 kap. 2 § PDL). Kompletterande och mer detaljerade bestämmelser finns i patientdataförordningen (2008:360) och i Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40).

I det följande görs en genomgång av de bestämmelser i patientdatalagen som är av särskilt intresse för utredningens uppdrag. Särskilt fokus läggs på bestämmelserna om direktåtkomst genom sammanhållen journalföring.

6.2. Patientdatalagens tillämpningsområde

Patientdatalagen är tillämplig på vårdgivares behandling av personuppgifter, oavsett om vården bedrivs i offentlig eller enskild regi. Med offentlig vårdgivare avses statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för. Med privat vårdgivare avses annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (1 kap. 3 § PDL). Vårdgivare definieras på motsvarande sätt i patientsäkerhetslagen (2010:659), förkortad PSL.

Begreppet hälso- och sjukvård i patientdatalagen omfattar verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering.

Patientdatalagen omfattar behandling av personuppgifter i all

individinriktad patientverksamhet som innefattar vård, undersök-

ning eller behandling. Det betyder att även sådan individinriktad

patientvård som inte ingår i begreppet hälso- och sjukvård enligt hälso- och sjukvårdslagen omfattas av patientdatalagen.2Patientdatalagen är däremot inte tillämplig på den behandling av personuppgifter som förekommer hos myndigheter som visserligen agerar inom hälso- och sjukvårdssektorn men som inte bedriver individinriktad patientvård, såsom Socialstyrelsen, Läkemedelsverket, Smittskyddsinstitutet och Hälso- och sjukvårdens ansvarsnämnd. Även verksamhet vid sjukvårdshuvudmännens läkemedelskommittéer och patientnämnder faller utanför patientdatalagens tillämpningsområde. Medicinsk forskning omfattas inte heller av patientdatalagens regelverk. Undantaget är patientnära eller klinisk forskning hos en vårdgivare som innefattar journalföring eller annan dokumentation som hör till vården. Behandling av personuppgifter i den rent administrativa verksamheten hos en vårdgivare faller också utanför patientdatalagens tillämpningsområde.3 Behandling av personuppgifter i verksamhet som faller utanför patientdatalagen regleras av dataskyddsförordningen, dataskyddslagen eller annan registerförfattning.

Patientdatalagen tillämpas på all helt eller delvis automatiserad behandling av personuppgifter samt manuell behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Regleringen är således inte begränsad till särskilda datoriserade register, databaser eller andra elektroniska uppgiftssamlingar inom hälso- och sjukvården.4

6.3. Patientdatalagens förhållande till dataskyddsförordningen

Som tidigare nämnts är dataskyddsförordningen direkt tillämplig i varje medlemsstat och har företräde framför nationell lagstiftning. Dataskyddsförordningen ger dock utrymme för kompletterande nationella bestämmelser av olika slag. Patientdatalagen är en sådan registerförfattning vars bestämmelser utgör en kompletterande nationell reglering på hälso- och sjukvårdens område. I patientdatalagen har

2 I 2 kap. 1 § hälso- och sjukvårdslagen definieras begreppet hälso- och sjukvård som åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador, sjuktransporter, och omhändertagande av avlidna. Hälso- och sjukvårdslagen omfattar inte tandvård enligt tandvårdslagen. 3Prop. 2007/08:126 s. 49 ff. och 222. 4Prop. 2007/08:126 s. 48.

man tagit in en upplysning om att patientdatalagen kompletterar dataskyddsförordningen (1 kap. 4 § PDL). Patientdatalagen innehåller bestämmelser som särskilt gäller för vårdgivares behandling av patientuppgifter i förhållande till annan behandling av personuppgifter.

Inför att dataskyddsförordningen skulle börja tillämpas i Sverige gjorde Socialdataskyddsutredningen en översyn av registerförfattningarna inom Socialdepartementets verksamhetsområde. Socialdataskydds-

utredningens slutsats var att bestämmelser i registerförfattningar som

reglerar vilka typer av behandlingar och uppgifter författningen ska tillämpas på inte behövde ändras med anledning av dataskyddsförordningen. Dataskyddsförordningen ledde alltså inte till någon ändring av patientdatalagens tillämpningsområde.5

6.4. Tillåtna ändamål för behandling enligt 2 kap. 4 § patientdatalagen

6.4.1. Inledning

Stora delar av hälso- och sjukvårdens behandling av personuppgifter rör integritetskänsliga uppgifter. Grundprincipen är att aktörer inom hälso- och sjukvården får behandla sådana personuppgifter utan personens samtycke. I samband med att patientdatalagen infördes ansågs det därför av principiella skäl viktigt att uttryckligen och så uttömmande som möjligt reglera för vilka ändamål personuppgifter får behandlas i patientdatalagen. Syftet med ändamålsbestämningen i patientdatalagen är att ange en yttersta ram för när personuppgifter får samlas in och behandlas. En och samma behandling av personuppgifter kan ske för mer än ett ändamål. Särskilt gäller detta i sådana stora elektroniska informationssystem som integrerar en mängd olika funktioner.6

Patientdatalagens ändamålbestämning anger att personuppgifter får behandlas inom hälso- och sjukvården om det behövs för något av följande ändamål (2 kap. 4 § PDL).7

5SOU 2017:66 s. 208 f. och 317 f. 6Prop. 2007/08:126 s. 56 f. 7 Observera att 7 kap. patientdatalagen innehåller särskilda bestämmelser om ändamål med behandling av personuppgifter i nationella och regionala kvalitetsregister, se avsnitt 6.11.

  • Att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter (p 1),
  • Administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall (p 2),
  • Att upprätta annan dokumentation som följer av lag, förordning eller annan författning (p 3),
  • Att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten (p 4),
  • Administration, planering, uppföljning, utvärdering och tillsyn av verksamheten (p 5), eller
  • Att framställa statistik om hälso- och sjukvården (p 6).

6.4.2. Vårddokumentation (2 kap. 4 § 1 och 2 PDL)

De ändamål som anges i punkterna 1 och 2 kan beskrivas som vårddokumentation. Att ändamålen tas upp i två punkter och inte i en enda har ingen saklig betydelse. Båda punkterna tar sikte på den individinriktade patientverksamheten. En viktig bas i denna informationshantering är patientjournalhanteringen och den administration som behövs av patientvården. Med administration i punkten 2 avses såväl patientrelaterad ekonomiadministration som annan administration som behövs för eller föranleds av vård i enskilda fall.8

6.4.3. Annan dokumentation (2 kap. 4 § 3 PDL)

Punkten 3 avser annan dokumentation än vårddokumentation som hälso- och sjukvården är skyldig att utföra. Det finns t.ex. en rad författningar som föreskriver att hälso- och sjukvården ska lämna ut uppgifter till olika myndigheter. I allmänhet rör det sig här om utlämnande av uppgifter som primärt har samlats in som vårddokumentation. Uppgifterna kan då normalt tillhandahållas utan någon föregående bearbetning av dem (”återanvändning”). Ibland kan emellertid uppgiftsskyldigheten förutsätta en viss särskild personuppgiftsbehandling där dokumentationen utformas utifrån hur upp-

8Prop. 2007/08:126 s. 228.

giftsskyldigheten ska fullgöras. I sådana fall är det inte fråga om en ren ”återanvändning” av redan insamlade personuppgifter. Personuppgiftsbehandling av det slaget kan bli aktuell exempelvis då en myndighet inom hälso- och sjukvården är skyldig att anmäla misstanke om att ett barn far illa enligt 14 kap. 1 § socialtjänstlagen.

6.4.4. Kvalitetssäkring (2 kap. 4 § 4 PDL)

Kravet på hälso- och sjukvården att kvalitetssäkra framgår av 31 § hälso- och sjukvårdslagen (1982:763), som föreskriver att kvaliteten inom hälso- och sjukvården systematiskt och fortlöpande ska utvecklas och säkras. I 16 § tandvårdslagen (1985:125) finns en motsvarande bestämmelse om kvalitetssäkring. Detta ändamål ger lagstöd för behandling av personuppgifter inom vad som brukar kallas systematiskt kvalitetsarbete. Lydelsen har en direkt koppling till vårdgivares skyldighet enligt hälso- och sjukvårdslagen att aktivt arbeta med verksamhets- och kvalitetsutveckling (jfr formuleringen att ”kvaliteten inom hälso- och sjukvården systematiskt och fortlöpande ska utvecklas och säkras” i 5 kap. 4 § HSL).

Att kvalitetssäkring tas upp som en särskild punkt beror bl.a. på den centrala roll som kvalitetssäkringsarbetet har inom hälso- och sjukvården. Kvalitetssäkringsarbete kan ske i många former och med olika metoder. En speciell form är verksamheten med hälso- och sjukvårdens kvalitetsregister.9

I förarbetena till bestämmelsen anges att användning av modern informationsteknik avsevärt förbättrat möjligheterna att arbeta med kvalitetssäkring. I huvudsak rör det sig om att personuppgifter som samlats in och behandlas för det primära ändamålet vårddokumentation, men det förekommer också behandling av personuppgifter för det primära ändamålet kvalitetssäkring. Ibland är denna uppgiftsinsamling integrerad med det individinriktade arbetet. Det kan därför vara svårt att i praktiken avgöra vad som är det övergripande syftet med en viss behandling av personuppgifter. Det ansågs dock inte vara något problem att ändamålen ibland är överlappande, så länge som den personuppgiftsansvarige är klar över och tydlig med

9Prop. 2007/08:126 s. 228.

för vilka olika ändamål behandlingen av personuppgifter genom insamling sker.10

6.4.5. Administration m.m. (2 kap. 4 § 5 PDL)

I punkten 5 avses administration och planering på ett mer övergripande plan än vad som avses med den patientadministration som omfattas av ändamålet vårddokumentation (punkterna 1 och 2). Punkten 5 gör det möjligt för hälso- och sjukvården att bedriva verksamhetsuppföljning med individuppgifter. Med utvärdering avses analys och värdering av kvalitet, effektivitet och resultat av en verksamhet i förhållande till de mål som bestämts för denna. Personuppgiftsbehandling får också förekomma för att vårdgivaren ska kunna bedriva tillsyn av sin verksamhet.11

6.4.6. Statistik (2 kap. 4 § 6 PDL)

Enligt punkten 6 får personuppgifter behandlas för statistikändamål. Med detta menas inte s.k. verksamhetsstatistik, som ryms inom ändamålet i punkten 5, utan annan statistik. Exempel är sådan statistik som regionerna tar fram för att informera befolkningen om hälso- och sjukvårdsverksamheten. Det är tillåtet att samköra personuppgifter i olika register eller datasystem inom hälso- och sjukvården, om samkörningen sker för något eller några av de ändamål som anges i paragrafen. Detsamma gäller om samkörningen sker för ändamål som inte är oförenliga med dessa ändamål.

6.4.7. Principen om ändamålsbegränsning (finalitetsprincipen, 2 kap. 5 § PDL)

Finalitetsprincipen följer av artikel 5.1 b i dataskyddsförordningen och innebär att personuppgifter som har samlats för att behandlas för särskilda, uttryckligt angivna och berättigade ändamål inte får behandlas även för andra, nya ändamål, om dessa är oförenliga med de ursprungliga ändamålen. Principen hindrar inte att insamlade

10Prop. 2007/08:156 s. 57 f. 11Prop. 2007/08:126 s. 228 f.

personuppgifter får behandlas för historiska, statistiska eller vetenskapliga ändamål, eftersom sådana ändamål per definition inte ska anses vara oförenliga med de ursprungliga insamlingsändamålen.12

En motsvarighet till finalitetsprincipen har tagits in i 2 kap. 5 § patientdatalagen. Där klargörs att personuppgifter som behandlas enligt 2 kap. 4 § patientdatalagen även får behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Uppräkningen i 2 kap. 4 § patientdatalagen är därför inte en helt uttömmande beskrivning av för vilka ändamål vårdgivare får behandla personuppgifter.

Personuppgifter som behandlas för ändamål som anges i 2 kap. 4 § patientdatalagen får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

6.4.8. Den enskildes inställning till behandling av personuppgifter

Behandling av personuppgifter som är tillåten enligt patientdatalagen får utföras även om den enskilde motsätter sig den (2 kap. 3 § PDL). Det gäller dock inte i de fall som anges i 4 kap. 4 §, 6 kap. och 7 kap. 2 § eller om något annat framgår av annan lag eller förordning.

  • I 4 kap. 4 § patientdatalagen finns bestämmelser om att en patient har möjlighet att begränsa hälso- och sjukvårdspersonalens elektroniska åtkomst till uppgifter om patienten.
  • Av 6 kap. patientdatalagen framgår att en patient på olika sätt kan bestämma huruvida uppgifter om denne ska vara tillgängliga vid sammanhållen journalföring.
  • I 7 kap. 2 § patientdatalagen föreskrivs att en patient kan motsätta sig att uppgifter om patienten behandlas i ett nationellt eller regionalt kvalitetsregister.

12Prop. 2007/08:126 s. 60. Finalitetsprincipen kommer till uttryck i dataskyddsförordningen, se närmare beskrivning ovan under avsnitt 4.5.1.

Behandling av personuppgifter som inte är tillåten enligt patientdatalagen får ändå ske, om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Paragrafen kan sägas ge uttryck för principen att en enskilds uttryckliga samtycke till en viss behandling av personuppgifter normalt ska respekteras.13 Det gäller dock inte i de fall som anges i 6 kap. 5 § patientdatalagen. Enligt den bestämmelsen får en vårdgivare inte behandla en annan vårdgivares uppgifter om en patient i systemet med sammanhållen journalföring under andra förutsättningar än dem som anges i 3 och 4 §§ även om patienten uttryckligen samtycker till det. När det gäller sammanhållen journalföring har man således gjort ett undantag från principen att en persons samtycke normalt ska respekteras.

Man kan fråga sig hur bestämmelsen i 2 kap. 3 § patientdatalagen är förenlig med skrivningarna i dataskyddsförordningen om att samtycke inte är en tillåten grund för behandling av personuppgifter i de fall då det råder betydande ojämlikhet mellan parterna, särskilt då den personuppgiftsansvarige är en offentlig myndighet (jfr skäl 43 i dataskyddsförordningen).

Socialdataskyddsutredningen bedömde vid sin genomgång av

registerförfattningars förenlighet med dataskyddsförordningen att bestämmelsen i 2 kap. 3 § om samtycke kan behållas. Utredningen ansåg att i de fall det finns bestämmelser om samtycke i registerförfattningar, har lagstiftaren tidigare gjort en avvägning och bedömt att det är lämpligt för en myndighet eller någon annan aktör att grunda en behandling av personuppgifter i ett särskilt fall på ett giltigt samtycke.14 Även regeringen ansåg att bestämmelsen kan behållas, och framhöll att även en myndighet har utrymme för samtycke som rättslig grund t.ex. om den registrerade har fri valmöjlighet eller utan problem kan vägra eller ta tillbaka sitt samtycke, jfr slutet av skäl 42 dataskyddsförordningen.15 Detta stämmer väl med hälso- och sjukvårdslagens grundsats att all vård är frivillig och inte kan tvingas på någon (här bortses från viss tvångslagstiftning). Regleringen i 2 kap. 3 § patientdatalagen får därmed – baserat på

Socialdataskyddsutredningens och regeringens uttalanden – anses ut-

göra ett undantag från skrivningen i skäl 43 dataskyddsförordningen.16

13Prop. 2007/07:126 s. 227. 14SOU 2017:66 s. 230. 15Prop. 2017/18:171 s. 87 f. 16 Manólis Nymark, Patientdatalagen,kommentaren till 2 kap. 3 §, JUNO version:1C.

6.5. Vårdgivares personuppgiftsansvar enligt patientdatalagen

I patientdatalagen finns en bestämmelse som slår fast att vårdgivaren är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I region och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför (2 kap. 6 § första stycket PDL). Regleringen kan ses som ett utflöde av den grundläggande principen i dataskyddsförordningen att den som bestämmer ändamål och medel för behandlingen av personuppgifter är personuppgiftsansvarig.

En vårdgivare som använder sig av direktåtkomst och bereder sig tillgång till personuppgifter hos andra vårdgivare för att söka efter eller läsa vårddokumentation blir personuppgiftsansvarig för den personuppgiftsbehandling som detta innebär (2 kap. 6 § andra stycket PDL). Detta hänger samman med att begreppet behandling av personuppgifter infattar alla åtgärder som vidtas beträffande personuppgifter. Vid hantering av personuppgifter i elektronisk form omfattas därmed varje åtgärd som vidtas av vårdgivaren i fråga om en personuppgift, även att endast ha sådan åtkomst som avses med direktåtkomst. Bestämmelsen har förts in som ett klargörande av principen i 2 kap. 6 § första stycket patientdatalagen.17 Den har betydelse främst i fråga om sådan åtkomst som förekommer vid sammanhållen journalföring, se nedan under avsnitt 6.6.2.

Vem eller vilka som är personuppgiftsansvariga vid samverkan mellan olika vårdgivare kan vara komplicerat att avgöra. Frågan har blivit allt mer aktuell, eftersom samarbeten mellan vårdgivare och andra aktörer ökar och den tekniska utvecklingen öppnar nya möjligheter att digitalt dela information kring patienter. I dataskyddsförordningen finns en allmän bestämmelse om vad som kännetecknar ett gemensamt personuppgiftsansvar (artikel 26 i dataskyddsförordningen, se närmare under avsnitt 4.4.4). Förutom klargörandet om personuppgiftsansvaret vid direktåtkomst innehåller patientdatalagen inga närmare bestämmelser om personuppgiftsansvaret vid samverkan mellan flera olika vårdgivare.

Patientdatautredningen uppmärksammade frågan och reflekte-

rade särskilt över vad som borde gälla när flera vårdgivare samverkar

17Prop. 2007/08:126 s. 61 f. och 230.

i system med sammanhållen journalföring. Utredningen konstaterade att det visserligen kan finnas skäl från integritetsskyddssynpunkt att peka ut vem som ska vara personuppgiftsansvarig. Det bedömdes dock som både olämpligt och omöjligt med hänsyn till de faktiska omständigheter och skiftande samarbetsformer som förekommer. Utredningen föreslog i stället att regleringen skulle ta sin utgångspunkt i att det vid sammanhållen journalföring är den som faktiskt har möjlighet att påverka om och hur en enskild behandling av personuppgifter ska företas, som bör vara personuppgiftsansvarig för den behandlingen. Vidare anförde utredningen att patientdatalagens allmänna bestämmelse om personuppgiftsansvar innebär att den vårdgivare som gör en personuppgift tillgänglig för andra genom att uppgiften dokumenteras utan att spärras, har personuppgiftsansvaret för att tillgängliggörandet sker på ett lagligt sätt. I ansvaret ingår således att se till att patienten ges sådan information om den sammanhållna journalföringen så att han eller hon kan ta ställning till en eventuell spärrning. Personuppgiftsansvaret omfattar även den fortsatta lagringen och det tillgängliggörande som sker därefter. Den vårdgivare som använder sin direktåtkomst och bereder sig tillgång till andra vårdgivares uppgifter för att söka efter och läsa vårddokumentation, blir som nämnts personuppgiftsansvarig för den personuppgiftsbehandling som detta innebär.18

6.6. Elektroniska former för att lämna ut personuppgifter

6.6.1. Inledning

Personuppgifter kan lämnas ut på olika sätt. Traditionellt har utlämnanden av patientuppgifter från en vårdgivare vanligen skett på papper, t.ex. via kopia av pappersjournal eller utskrift från dator. Till följd av den tekniska utvecklingen har det blivit allt vanligare att utlämnanden sker i elektronisk form. Det kan exempelvis ske via mejl, lagring på usb-minne, direktöverföring från ett datorsystem till ett annat eller att en mottagare får elektronisk tillgång till den utlämnande aktörens it-system. Informationsutbyten mellan myndigheter sker i dag vanligen elektroniskt genom en fråga-svar-funk-

18SOU 2006:82 s. 339 f.

tion. Den tekniska utvecklingen kommer sannolikt leda till att det utvecklas ytterligare former för att överföra uppgifter i elektronisk form.

Det är värt att notera att alla former för att lämna ut personuppgifter, elektroniska eller inte, utgör behandling av personuppgifter i dataskyddsförordningens mening. Dataskyddsförordningen gör i princip ingen åtskillnad mellan om utlämnandet av behandlade personuppgifter sker elektroniskt, manuellt på papper eller muntligt. Skyddet för fysiska personer ska vara detsamma, oberoende vilken teknik som används, och den personuppgiftsansvarige ska använda lämpliga tekniska eller organisatoriska åtgärder för att säkerställa detta (jfr skäl 15 och artikel 5.1 f i dataskyddsförordningen).

Registerförfattningar innehåller ofta bestämmelser som närmare preciserar formen för hur utlämnanden i elektronisk form får gå till. Motivet för att reglera sättet för utlämnandet är att själva den elektroniska formen kan medföra risker för otillbörliga integritetsintrång. Man har också ansett att mottagaren har större möjligheter att bearbeta den digitala informationen än om utlämnandet skett på papper.19 I registerförfattningar används olika begrepp för att beskriva elektroniska utlämnanden av personuppgifter. Följande begrepp används exempelvis i patientdatalagen.

  • Utlämnande på medium för automatiserad behandling
  • Elektronisk åtkomst
  • Direktåtkomst

Begreppsbildningen är inte entydig och det saknas legaldefinitioner för begreppen. Det finns dock viktiga distinktioner mellan begreppen som bl.a. handlar om vilken sorts sekretessprövning den utlämnande myndighet har att göra och i vilken mån mottagaren har möjlighet att självständigt bereda sig tillgång till uppgifterna. Nedan görs en översiktlig genomgång av begreppen direktåtkomst, elektronisk åtkomst och utlämnande på medium för automatiserad behandling.

19Prop. 2007/98:126 s 73.

6.6.2. Direktåtkomst

Enligt förarbetena till patientdatalagen är direktåtkomst en viss form av elektroniskt utlämnande till en extern mottagare. Den som är ansvarig för informationen har inte kontroll över vilka uppgifter som en mottagare vid ett visst tillfälle tar del av (automatiserad tillgång) och mottagaren av informationen kan inte påverka innehållet i det informationssystem som informationen lämnas ut från.20 Ett annat sätt att uttrycka det är att den som behöver ta del av informationen kan bereda sig åtkomst på eget initiativ. Personuppgifterna finns potentiellt tillgängliga för den som önskar ta del dem, utan att den som gjort uppgifterna tillgängliga behöver fatta något formellt beslut om utlämnande i det enskilda fallet.21

Vid direktåtkomst anses de uppgifter som omfattas av åtkomsten och finns potentiellt tillgängliga för andra vara utlämnande i tryckfrihetsförordningens mening redan genom att åtkomst medges.22Detta avviker från ett traditionellt utlämnande av allmänna handlingar som förutsätter att en sekretessprövning görs i det enskilda fallet innan uppgifterna lämnas ut.

Bestämmelser som bara medger direktåtkomst har inte i sig sekretessbrytande effekt utan de måste kombineras med särskilda sekretessbrytande regler om direktåtkomsten ska omfatta sådana uppgifter som det kan gälla sekretess för. Sådana bestämmelser har tagits in i offentlighets- och sekretesslagen (2009:400) förkortad OSL, se avsnitt 5.6. Det finns också en särskild regel om överföring av sekretess i offentlighets- och sekretesslagen vid myndigheters direktåtkomst till andra myndigheters upptagningar för automatiserad behandling (se 11 kap. 4 § OSL).

Direktåtkomst inom hälso- och sjukvården anses vara en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter.23 Det har därför angetts i patientdatalagen att utlämnanden genom direktåtkomst bara får ske i den utsträckning som medges i lag eller förordning (5 kap. 4 § PDL). Något motsvarande krav på att direktåtkomst förutsätter stöd i författning finns dock inte i socialtjänsten.

20 Se t.ex. prop. 2004/05:164 s. 83. 21SOU 2014:23 s. 97. 22Prop. 2007/08:126 s. 120 ff. 23Prop. 2007/08:126 s. 76.

En lagstadgad form av direktåtkomst har förts in i 5 kap. 4 § andra stycket patientdatalagen. Om en region eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma region eller kommun.

Patientdatalagen medger vidare att en person får ges direktåtkomst till sådana uppgifter om sig själv som behandlas för ändamålet vårddokumentation (5 kap. 5 § andra stycket PDL). Sådan direktåtkomst sker i dag t.ex. genom vårdens e-tjänst Journalen via 1177 Vårdguiden.

6.6.3. Elektronisk åtkomst

I 4 kap. patientdatalagen används begreppet elektronisk åtkomst för att beskriva personalens möjligheter att inom vårdgivaren bereda sig tillgång till personuppgifter som finns elektroniskt tillgängliga inom organisationen. Medan direktåtkomst beskriver ett sätt för utlämnande, beskriver elektronisk åtkomst uteslutande ett sätt att få tillgång till handlingar inom en organisation.24 Egentligen är det ingen skillnad i innebörden mellan direktåtkomst och elektronisk åtkomst, däremot i vilken situation de används. Båda begreppen definierar sättet eller formen för ett elektroniskt utlämnande, dvs. teknisk åtkomst till information. Elektronisk åtkomst enligt 4 kap. patientdatalagen medger dock – till skillnad från direktåtkomst – en möjlighet att också skriva och ändra informationen.25

6.6.4. Utlämnande på medium för automatiserad behandling

I princip anses elektroniskt utlämnande som inte sker genom direktåtkomst göras genom utlämnande på medium för automatiserad behandling. I patientdatalagen finns en bestämmelse som anger att om en personuppgift får lämnas ut, kan det ske på medium för automatiserad behandling (5 kap. 6 § PDL). Den bestämmelsen är alltså inte sekretessbrytande.

24Prop. 2007/08:126 s. 75. 25 Manólis Nymark, Patientdatalagen, inledningen till kommentarerna om 4 kap., JUNO version:1C.

Utlämnande på medium för automatiserad behandling innebär enligt förarbetena till patientdatalagen ett elektroniskt utlämnande utan möjlighet för mottagaren att själv bereda sig tillgång till uppgifterna. Exempel på utlämnande på medium för automatiserad behandling är t.ex. genom användning av mejl, utlämnande på cd-rom eller genom filöverföring från ett datorsystem till ett annat. Vid denna typ av utlämnande fattas ett beslut i varje enskilt fall om uppgifterna kan lämnas ut eller om de omfattas av sekretess. Som regel lämnas informationen ut i en form som medför att mottagaren kan bearbeta den. Bearbetningsmöjligheterna är dock inte avgörande för om det är fråga om ett utlämnande på automatiserat medium eller inte. Regeringen har anfört att de skäl som från integritetssynpunkt gör det befogat att särreglera elektronisk åtkomst och direktåtkomst väger avsevärt lättare när det handlar om utlämnande på medium för automatiserad behandling på hälso- och sjukvårdens område.26

Gränsdragningen mellan direktåtkomst och utlämnande på medium för automatiserad behandling har belysts av Högsta förvaltningsdomstolen i den s.k. LEFIOnline-domen (HFD 2015 ref. 61). Försäkringskassan hade gett handläggare hos socialnämnder tillgång till uppgifter ur Försäkringskassans databas LEFI Online. Informationsutbytet skedde genom en fråga-svar-funktion. Frågan i målet var om socialnämndernas åtkomst till uppgifterna var att anse som direktåtkomst i socialförsäkringsbalkens mening – vilket i sådana fall ställde krav på vissa begränsningar när det gällde vilka uppgifter handläggarna fick ta del av – eller om det i stället var fråga om utlämnande på medium för automatiserad behandling. Högsta förvaltningsdomstolen tog utgångspunkt i tryckfrihetsförordningens bestämmelser om allmänna handlingar. Av den tidigare lydelsen av 2 kap. 3 § andra stycket tryckfrihetsförordningen (nuvarande 2 kap. 6 § första stycket tryckfrihetsförordningen) framgår att en upptagning anses förvarad hos myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller uppfattas på annat sätt. De allmänna handlingar hos en myndighet som en annan myndighet får tillgång till genom direktåtkomst utgör allmänna handlingar även hos denna myndighet.27 Högsta förvaltningsdomstolen ansåg att den avgränsning som på detta sätt görs av

26Prop. 2007/08:126 s. 77. 27Prop. 2002/03:135 s. 90.

begreppet direktåtkomst enligt tryckfrihetsförordningen även kunde användas för att bestämma innehållet i begreppet direktåtkomst i socialförsäkringsbalkens mening. Det avgörande blev alltså om upptagningen kunde anses förvarad hos socialnämnderna i tryckfrihetsförordningens mening. I den delen gjorde Högsta förvaltningsdomstolen följande uttalande.

Socialnämnderna kan inte på egen hand söka information i socialförsäkringsdatabasen, utan ett utlämnande genom LEFI Online förutsätter att Försäkringskassan reagerar på en begäran om att de efterfrågade uppgifterna ska lämnas ut. Försäkringskassan får därigenom anses förfoga över frågan om och i så fall vilka uppgifter som ska lämnas ut. Någon sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket tryckfrihetsförordningen kan socialnämnderna således inte anses ha. Detta innebär att förfarandet inte är att betrakta som direktåtkomst enligt socialförsäkringsbalken.

6.7. Sammanhållen journalföring

Sammanhållen journalföring var av de stora nyheter som infördes i och med patientdatalagen. Reglerna om sammanhållen journalföring innebär att olika vårdgivare under vissa förutsättningar kan få direktåtkomst till varandras elektroniska journalhandlingar och andra personuppgifter som behandlas för ändamål som rör vårddokumentation. Genom systemet med sammanhållen journalföring får sjukvårdshuvudmännen och de privata vårdgivarna möjlighet att på frivillig väg bygga upp system för elektroniskt utlämnande i gemensamma databaser eller andra gränsöverskridande informationssystem för vårddokumentation.28 För socialtjänstens del har man inte infört någon reglering som likt sammanhållen journalföring tillåter olika utförare att under särskilda förutsättningar ha direktåtkomst till varandras dokumentation.

Vid sammanhållen journalföring dokumenterar varje vårdgivare uppgifter i sin egen journal. Det rör sig inte om någon gemensam journalhandling. Däremot tillåter sammanhållen journalföring vårdgivare att genom direktåtkomst ta del av varandras dokumenterade uppgifter.

Tanken är att dokumentation i form av patientjournalföring ska kunna följa med patienten i kontakten med olika vårdgivare. Syftet

28Prop. 2007/08:126 s. 103.

med sammanhållen journalföring är att, med bibehållet integritetsskydd, öka patientsäkerheten genom enkel och snabb tillgång till information. Det handlar om att reducera risker för enskilda patienter i form av t.ex. felmedicineringar eller andra felbehandlingar, men även om att inte utsätta patienter för onödiga undersökningar, provtagningar m.m.29

Hur uppgifterna får behandlas i system med sammanhållen journalföring regleras i 6 kap. patientdatalagen. Utmärkande för sammanhållen journalföring är att uppgifterna finns potentiellt tillgängliga för den mottagande vårdgivaren utan att den vårdgivare som gjort uppgifterna tillgängliga behöver göra en sekretessprövning i det enskilda fallet. Bestämmelser som bryter sekretessen hos en vårdgivare som gör uppgifter tillgängliga respektive som föreskriver sekretess hos en vårdgivare som tar emot uppgifterna genom sammanhållen journalföring har tagits in i 25 kap. 11 § 3 och 25 kap. 2 § offentlighets- och sekretesslagen (se närmare under avsnitt 6.10). En vårdgivare som behöver ta del av information hos en annan vårdgivare kan på eget initiativ bereda sig åtkomst till informationen, utan att behöva gå den administrativt mer betungande vägen som ett traditionellt utlämnande av allmänna handlingar innebär.

6.8. Villkor för att göra uppgifter tillgängliga genom sammanhållen journalföring

Som nämnts ovan är det frivilligt för vårdgivare att delta i system med sammanhållen journalföring. Patientdatalagen ställer upp ett antal förutsättningar för att vårdgivaren ska få göra patienters uppgifter tillgängliga i system med sammanhållen journalföring (6 kap. 2 § PDL). Enligt huvudregeln gäller att följande förutsättningar ska vara uppfyllda.

  • Vårdgivaren är skyldig att informera patienten om vad sammanhållen journalföring innebär. Sådan information ska lämnas innan uppgifterna görs tillgängliga i system med sammanhållen journalföring. Patientdatalagen reglerar inte närmare hur informationen ska ske, utan det är upp till vårdgivaren att hitta lämpliga former.30

29Prop. 2013/14:202 s. 10. 30SOU 2014:23 s. 97.

  • Patienten har rätt att – efter att ha blivit informerad – motsätta sig att vårddokumentation om honom eller henne görs tillgänglig för andra vårdgivare genom direktåtkomst. Det krävs därmed inte något aktivt samtycke i detta första skede, utan regleringen är uppbyggd som en rätt att motsätta sig, s.k. opt out.
  • Om patienten motsätter sig sammanhållen journalföring, får vårdgivaren inte göra uppgifterna tillgängliga för andra vårdgivare genom direktåtkomst (spärrade uppgifter). Observera att spärrade uppgifter kan begäras ut från vårdgivaren som en begäran att ta del av allmänna handlingar, men då får en sedvanlig sekretessprövning ske i det enskilda fallet.
  • Om patienten inte motsätter sig detta, får vårddokumentation om honom eller henne göras tillgänglig genom direktåtkomst. Detta kallas ospärrade uppgifter. Dessa uppgifter finns då potentiellt tillgängliga för andra vårdgivare.

Från huvudregeln om att patienten själv styr vilka uppgifter som ska göras tillgängliga för andra vårdgivare har det i vissa fall funnits skäl att göra vissa undantag. Det ställs därför inte något krav på att samtycke ska ges av barnets vårdnadshavare för möjlighet att ta del av andra vårdgivares vårddokumentation. Det beror enligt förarbetena på att vårdnadshavare inte ges möjlighet att spärra barnets uppgifter i det första skedet.31 En vårdnadshavare till ett barn har alltså inte rätt att spärra sitt barns patientuppgifter (6 kap. 2 § fjärde stycket PDL). I det fallet anses skyddet för barnet väga tyngre än skyddet för den enskildes, i detta fall barnets, integritet. I takt med barnets stigande ålder och mognad får dock barnet självt spärra uppgifterna, se 6 kap. 11 § föräldrabalken.32

När det gäller patienter som inte endast tillfälligt saknar förmåga att ta ställning (nedan kallade patienter med permanent nedsatt beslutsförmåga) har man fört in en särskild bestämmelse i 6 kap. 2 a § patientdatalagen. Enligt denna bestämmelse får vårdgivare göra uppgifterna om en patient med permanent nedsatt beslutsförmåga tillgängliga för andra vårdgivare genom direktåtkomst om patientens inställning till sådan personuppgiftsbehandling så långt som möjligt klarlagts och det inte finns anledning att anta att patienten skulle ha

31Prop. 2007/08:126 s. 116. 32Prop. 2007/08:126 s. 116.

motsatt sig behandlingen av personuppgifterna. I samband med att bestämmelsen infördes angav regeringen att patienter som har permanent nedsatt beslutsförmåga, exempelvis äldre personer med sammansatta vårdbehov, stod utanför systemet med sammanhållen journalföring och därmed gick miste om de vinster i patientsäkerhet och kvalitet detta medför. Regeringen bedömde att behovet av skydd för dessa patienters liv och hälsa vägde tyngre än deras behov av skydd för den personliga integriteten.33

6.9. Förutsättningar för att mottagande vårdgivare ska få behandla uppgifter som gjorts tillgängliga genom sammanhållen journalföring

6.9.1. Grundläggande förutsättningar

För att en vårdgivare som är ansluten till ett system med sammanhållen journalföring ska få bereda sig åtkomst till uppgifter som en annan vårdgivare har gjort tillgängliga krävs enligt reglerna i patientdatalagen

  • att uppgifterna rör en patient som vårdgivaren har en aktuell patientrelation med,
  • att uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården, eller för att bedöma behovet av eller utföra insatser enligt lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter,34 och
  • att patienten samtycker till det (6 kap. 3 § första stycket PDL).

Regeringen ansåg att det dessutom var befogat att införa bestämmelser (6 kap. 4 § PDL) som innebär en möjlighet för vårdgivaren att i en akut nödsituation forcera en spärr i journalen vid en situation där patienten själv inte kan ge sitt medgivande, men där de spärrade upp-

33Prop. 2013/14:202 s. 21. 34 Notera att en vårdgivare inte får ha direktåtkomst genom sammanhållen journalföring till till personuppgifter som behandlas av en annan vårdgivare i en utredning enligt lagen (2018:744) om försäkringsmedicinska utredningar. I den lagen finns särskilda bestämmelser om direktåtkomst vid sådana utredningar. Detta framgår av 6 kap. 1 § patientdatalagen.

gifterna i journalen behövs för att kunna rädda patientens liv eller förhindra att patienten drabbas av allvarlig invaliditet. Liknande bestämmelser finns även för ospärrade uppgifter i fall där det föreligger en akut nödsituation och patientens samtycke inte kan inhämtas.35

Personuppgifter avseende en patient som har permanent nedsatt beslutsförmåga får som nämnts tidigare göras tillgängliga i sammanhållen journalföringen under vissa förutsättningar. I konsekvens med detta finns en bestämmelse som medger en mottagande vårdgivare att behandla dessa personuppgifter för patienter som inte har förmåga att samtycka till behandlingen av personuppgifter (6 kap. 3 a § PDL). För att få behandla uppgifterna krävs en bedömning av om patienten saknar förmåga att lämna det samtycke som i normala fall krävs för åtkomst till uppgifter i system med sammanhållen journalföring. Dessutom ska det vara uppgifter som rör en patient för vilken det finns en aktuell patientrelation och uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården. Hur omfattande åtgärder vårdgivaren behöver vidta för att klarlägga inställningen får avgöras av förhållandena i det enskilda fallet. Med ”inte finns anled-

ning att anta” menas att det inte ska föreligga konkreta omständig-

heter som visar att patienten skulle motsätta sig personuppgiftsbehandlingen36.

6.9.2. Aktuell patientrelation

Begreppet patientrelation är inte definierat i lagstiftningen. Patient-

datautredningen ansåg att det normalt inte borde uppstå några tvek-

samheter huruvida det finns en aktuell patientrelation eller inte. Enligt utredningen bör en patientrelation anses avslutad då en intagen sjukhuspatient skrivs ut som färdigbehandlad utan inplanerade återbesök, efterkontroller eller liknande. Vidare ansåg utredningen att detsamma bör gälla om patienten skrivs ut för fortsatt vård eller uppföljning hos primärvård i annan vårdgivares regi. Mer tveksamt kan det vara om en husläkare, och därmed den vårdgivare husläkaren hör till, ska anses ha en ständig aktuell patientrelation med alla de personer som tecknat sig hos läkaren. Enligt regeringen bör så

35Prop. 2007/08:126 s. 114. 36Prop. 2013/14:202 s. 43.

normalt inte vara fallet, men beträffande sådana patienter som regelbundet och relativt frekvent besöker eller har kontakt med sin husläkare kan en annan bedömning behöva göras. Trots att det är möjligt att komma åt även andra patienters information, får vårdgivaren således endast bereda sig åtkomst till information om de patienter som vårdas eller behandlas inom den egna verksamheten. Det är t.ex. inte tillåtet för en vårdgivare att i en behandlingssituation med en patient söka efter och bereda sig tillgång till vårddokumentation avseende en annan patient som vårdas hos en annan vårdgivare, exempelvis en nära släkting med samma sjukdomsdiagnos.37

Patientrelationen behöver inte uppstå genom ett fysiskt möte med personal hos en vårdgivare. Exempelvis måste den vårdgivare som tar emot en remiss från en annan vårdgivare, vare sig den är elektronisk eller i pappersform, anses ha en aktuell patientrelation med den patient som omfattas av remissen.38

Observera att det är vårdgivaren som sådan som ska ha en aktuell relation med patienten, inte hälso- och sjukvårdspersonalen. Bestämmelsen handlar alltså inte om vilka yrkesutövare hos en vårdgivare som får ta del av uppgifter. Detta regleras i stället i reglerna om inre sekretess i 4 kap. patientdatalagen. Med inre sekretess avses i patientdatalagen att endast den som arbetar hos en vårdgivare och som deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete får ta del av patientuppgifterna (4 kap. 1 § PDL).

6.9.3. Kan antas ha betydelse för patientens vård eller behandling

Det är enligt förarbetena till patientdatalagen av avgörande betydelse för allmänhetens förtroende för sammanhållen journalföring att den gränsöverskridande direktåtkomsten i huvudsak bara används för syften och i situationer som den enskilde kan förutse och ha kontroll över.39 Direktåtkomst vid sammanhållen journalföring får därför, med ett undantag, bara användas i vårdsyfte. Undantaget avser utfärdande av intyg om vården.

Den personal som avser att ta del av uppgifter om patienten måste därför bedöma att uppgifterna kan antas ha betydelse för patientens

37Prop. 2007/08:126 s. 252. 38SOU 2014:23 s. 373. 39Prop. 2007/08:126 s. 117.

vård eller behandling. Rekvisitet ”kan antas” är ett förhållandevis lågt ställt krav, men innebär ändå att ett ställningstagande görs. Det ska på goda grunder kunna antas att uppgifterna har någon betydelse. Samtidigt kan inte alltför stora krav ställas på en vårdgivare. För att ta ett exempel torde det normalt kunna antas sakna betydelse för den somatiska vården av en patient att ta del av vad som antecknats hos en psykiatrisk öppenvårdsmottagning i en annan region för flera år sedan.40

Bestämmelsen bör ses som ett uttryck för att direktåtkomsten till andra vårdgivares uppgifter inte får användas för andra syften än vård och behandling eller intygsutfärdande, dvs. som en grundläggande bestämmelse om tillåtna ändamål för behandlingen av personuppgifter. Det innebär att det bara är tillåtet för vårdgivaren att använda uppgifterna för de uppräknade ändamålen.41

6.9.4. Patienten samtycker till det

Det tredje villkoret för att få bereda sig åtkomst genom sammanhållen journalföring är att patienten samtycker till det. I den situationen räcker det således inte att patienten inte motsätter sig att vårdgivaren tar del av uppgifterna. Med samtycke avses i detta skede ett aktivt samtycke från patienten till att direktåtkomst till en annan vårdgivares vårddokumentation används. Vidare ska det vara fråga om ett samtycke enligt den terminologi som används i dataskyddsförordningen, dvs. att samtycket är frivilligt, särskilt och otvetydigt.

Kravet på att samtycket ska vara frivilligt ger uttryck för att den enskilde verkligen ska ha ett val. En registrerad kan vidare inte lämna ett giltigt generellt samtycke till behandling av personuppgifter som inte är preciserad till något eller några ändamål. Det följer av kravet på att samtycket ska vara särskilt. Att samtycket ska vara otvetydigt anses innebära att det inte får råda någon tvekan om att den registrerade godtar behandlingen av personuppgifterna.42 Något formellt krav på att samtycket ska vara uttryckligt eller att det ska dokumenteras har dock inte uppställts, annat än att den personuppgiftsansvarige enligt artikel 5.2 ska kunna visa bl.a. att behandlingen är

40Prop. 2006/07:126 s. 252. 41 Manólis Nymark, Patientdatalagen, kommentaren till 6 kap. 5 §, JUNO version:1C. 42Prop. 2007/08:126 s. 252 f

laglig. Det anges i förarbetena att det är lämpligt att samtycket dokumenteras.43

Samtycket ska givetvis föregås av att patienten får information om vad han eller hon samtyckt till. Samtycket bör inhämtas då en person kommit som patient till en annan vårdgivare än den som har vårddokumentationen. Under förutsättning att kravet på att ett samtycke ska vara särskilt och otvetydigt uppfylls, kan det dock i vissa fall finnas utrymme att lämna ett samtycke i förväg, innan den aktuella patientrelationen har uppstått. Redan i det första skedet, dvs. då patienten är hos den vårdgivare som dokumenterat uppgifterna, kan med andra ord patienten inte bara låta bli att kräva en spärr, utan också lämna samtycke i förväg till att en viss eller vissa vårdgivare får använda direktåtkomst vid en planerad och konkret vårdsituation. Ett praktiskt exempel på då samtycke kan lämnas i förväg är då patienten befinner sig i en vårdprocess där patienten utreds eller får vård av flera olika vårdgivare i ett remissförfarande44

Hur länge ett samtycke gäller är beroende av den aktuella situationen. Bedömningen av hur lång tid samtycket ska gälla blir olika beroende på om det gäller ett enstaka besök på en mottagning eller en längre vårdprocess under ett visst sjukdomsförlopp. Om det går att förklara för patienten hur vårdperioden och den planerade vården ser ut och vad samtycket omfattar, kan det vara rimligt att hämta in ett samtycke för t.ex. en episod av hemsjukvård eller en vistelse på ett särskilt boende.45

6.10. Sekretess för uppgifter som ingår i system med sammanhållen journalföring inom hälso- och sjukvården

Bestämmelserna om direktåtkomst i patientdatalagen har i sig inte någon sekretessbrytande effekt, eftersom de bara anger vad som får ske, inte att uppgifter ska lämnas ut. Reglerna i patientdatalagen måste därför förstås utifrån reglerna om sekretess, uppgiftsskyldighet och sekretessbrytande regler. Patientuppgifter som ingår i systemen med sammanhållen journalföring omfattas i regel av den starka

43Prop. 2007/08:126 s. 252 f 44Prop. 2007/08:126 s. 116 och 252 f. 45 Utredningen om rätt information i vård och omsorgs promemoria [2013-12-31] Att ta del

av patientuppgifter i system för sammanhållen journalföring, s. 131 bilaga 4 till SOU 2014:23.

hälso- och sjukvårdssekretessen i 25 kap. 1 § offentlighets- och sekretesslagen. För att uppgifter som omfattas av sekretess överhuvudtaget ska få lämnas ut krävs att det finns sekretessbrytande regler i offentlighets- och sekretesslagen eller att det, vid utlämnanden mellan myndigheter, finns en uppgiftsskyldighet i annan lag eller förordning.

Redan då vårddokumentation förs in i den sammanhållna journalföringen utan att spärras, så att den är potentiellt tillgänglig för andra, sker ett utlämnande i tryckfrihetsförordningens och offentlighets- och sekretesslagens mening.46 För att den vårdgivare som gör uppgifter tillgängliga för andra vårdgivare vid sammanhållen journalföring inte ska behöva göra en sekretessprövning i varje enskilt fall, har man tagit in en bestämmelse om undantag från sekretess.47 Bestämmelsen anger att hälso- och sjukvårdssekretessen inte hindrar att en uppgift lämnas till en myndighet som bedriver hälso- och sjukvård eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen (25 kap. 11 § punkt 3 OSL).

När det gäller den vårdgivare som tar del av uppgifter genom sammanhållen journalföring finns en särskild sekretessbestämmelse. Bestämmelsen säger att sekretess gäller hos en myndighet som bedriver hälso- och sjukvårdsverksamhet för uppgift om personliga förhållanden som gjorts tillgänglig av en annan vårdgivare enligt bestämmelserna om sammanhållen journalföring. Sekretess gäller när de närmare förutsättningarna i 6 kap. patientdatalagen för att få behandla patientuppgifterna inte är uppfyllda (25 kap. 2 § första stycket OSL). Absolut sekretess gäller alltså hos en vårdgivare för sådana ospärrade uppgifter som finns potentiellt tillgängliga men som vårdgivaren saknar befogenhet att ta del av enligt patientdatalagen.

Handlingar med ospärrade uppgifter utgör som huvudregel allmänna handlingar hos alla offentliga vårdgivare som är anslutna till ett system med sammanhållen journalföring. Syftet med bestämmelsen om absolut sekretess i 25 kap. 2 § första stycket offentlighets- och sekretesslagen är ett en vårdgivare, som saknar befogenhet att ta del av ospärrade uppgifter från en annan vårdgivare, inte ska behöva ta del av dessa uppgifter bara för att kunna avgöra sekretessfrågan om uppgifterna begärs ut. Om en slagning i systemet med sammanhållen journalföring visar att det finns ospärrade uppgifter avseende

46 Prop 2007/08:126 s. 127 ff. 47Prop. 2007/08:126 s. 271.

den person som en begäran om att få ut allmänna handlingar avser, och vårdgivaren inte har rätt att del av uppgifterna enligt villkoren i patientdatalagen, behöver myndigheten alltså inte ta del av de ospärrade uppgifterna för att avgöra sekretessfrågan. Det räcker att konstatera att uppgifterna omfattas av absolut sekretess.48

Om förutsättningarna i patientdatalagen för att den anslutna vårdgivaren ska få behandla uppgifterna är uppfyllda, eller om myndigheten har behandlat uppgifterna enligt nämnda bestämmelser tidigare, gäller däremot sekretess med ett omvänt skaderekvisit. Sekretess gäller om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (25 kap. 2 § andra stycket OSL).

Observera att 25 kap. 2 § offentlighets- och sekretesslagen är tillämplig hos den mottagande myndigheten beträffande vårddokumentation hos annan vårdgivare som myndigheten har potentiell tillgång till genom elektronisk direktåtkomst. För den ”egna” vårddokumentationen som myndigheten gör tillgänglig i systemet tillämpas den vanliga bestämmelsen om hälso- och sjukvårdssekretess i 25 kap. 1 § offentlighets- och sekretesslagen.

Till skillnad från hälso- och sjukvårdspersonal i allmän hälso- och sjukvård omfattas inte personal i enskild hälso- och sjukvård av bestämmelserna i offentlighets- och sekretesslagen. För den enskilda hälso- och sjukvården gäller i stället bestämmelser om tystnadsplikt i 6 kap. patientsäkerhetslagen. Tystnadsplikten innebär ett förbud mot att obehörigen röja uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. Vid tolkningen av obehörighetsrekvisitet har det ansetts naturligt att söka ledning i skaderekvisitet som finns i offentlighets- och sekretesslagstiftningen.49 Tystnadsplikten i den enskilda hälso- och sjukvården anses därför inte utgöra något hinder mot att enskilda vårdgivare gör uppgifter om patienter tillgängliga genom sammanhållen journalföring.50

48Prop. 2007/08:126 s. 269 f. 49Prop. 1980/81:28 s. 23 och prop. 1981/82:186 s. 26. 50Prop. 2007/08:126 s. 132 f.

6.11. Bestämmelser om kvalitetsregister

Nationella kvalitetsregister är en särskild kategori uppgiftssamlingar som finns inom hälso- och sjukvården, främst inom medicinska specialiteter. De har oftast byggts upp genom frivilliga initiativ av specialistföreningar för att användas som stöd för kvalitetsutveckling i det kliniska arbetet. Gemensamt för kvalitetsregistren är att inrapporteringen sker till följd av ett frivilligt åtagande från vårdgivarnas sida.51 Hanteringen av personuppgifter som samlas in från flera vårdgivare och behandlas i nationella eller regionala kvalitetsregister finns i 7 kap. patientdatalagen.

Med kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet (7 kap. 1 § PDL). Kvalitetsregistren gör det möjligt att göra jämförelser inom hälso- och sjukvården på nationell och regional nivå. Regelverket ger således stöd för en särskild form av verksamhetsuppföljning över vårdgivargränser.52

För att få registrera uppgifter i ett nationellt kvalitetsregister krävs att patienten inte motsatt sig det (7 kap. 2 § PDL). Det är alltså fråga om motsvarande princip för s.k. opt out som gäller vid sammanhållen journalföring. För personer som har permanent nedsatt beslutsförmåga får personuppgifter behandlas i ett kvalitetsregister om hans eller hennes inställning till sådan personuppgiftsbehandling så långt som möjligt klarlagts, och det inte finns anledning att anta att han eller hon skulle ha motsatt sig personuppgiftsbehandlingen (7 kap. 2 a § PDL).

Innan uppgifterna registreras är den personuppgiftsansvarige skyldig att lämna patienten utförlig information om den hantering av personuppgifter som gäller för det aktuella kvalitetsregistret (7 kap. 3 § och 8 kap. 6 § PDL).

Personuppgifter i nationella och regionala kvalitetsregister får primärt behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet (7 kap. 4 § PDL). Det handlar följaktligen i första hand om att följa upp medicinsk och annan kvalitet i själva vårdinsatserna. Som huvudregel får kvalitetsregister därmed endast innehålla sådana personuppgifter som behövs för de

51Prop. 2007/08:126 s. 176. 52SOU 2014:23 s. 103.

ändamål för vilket det enskilda kvalitetsregistret verkar, exempelvis att säkra och utveckla kvaliteten i vården av en viss diagnos, t.ex. diabetes, eller för en viss åtgärd, t.ex. höftoperationer.53

De personuppgifter som samlats in för det primära ändamålet enligt 7 kap. 4 § patientdatalagen får även behandlas för något av följande, sekundära ändamål.

  • Framställning av statistik,
  • Forskning inom hälso- och sjukvården,
  • Fullgörande av någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen, och
  • Utlämnande till den som ska använda uppgifterna för något av ändamålen punkterna ovan.

Personuppgifter i kvalitetsregister får inte behandlas för andra än dessa uppräknade primära och sekundära ändamål (7 kap. 6 § PDL).

Det ska framhållas att det finns ett undantag från ovanstående förbud, nämligen om den enskilde har lämnat ett särskilt och uttryckligt samtycke till en personuppgiftsbehandling för andra ändamål (2 kap. 3 § första stycket PDL).

När personuppgifter registreras i ett kvalitetsregister innebär det att uppgifterna lämnas ut från den inrapporterande vårdgivaren till den mottagande aktören. För att möjliggöra detta utlämnande har det införts en bestämmelse i offentlighets- och sekretesslagen som bryter sekretessen när uppgifter lämnas till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen (25 kap. 11 § 4 OSL).

Personuppgiftsansvaret för behandling i nationella kvalitetsregister kan delas i två nivåer. För den personuppgiftsbehandling som vårdgivare utför när de samlar in och registrerar uppgifter till ett nationellt kvalitetsregister, ansvarar respektive vårdgivare enligt den allmänna principen i 2 kap. 6 § första stycket PDL. När det gäller ansvaret för att föra kvalitetsregistret som sådant anges att endast myndigheter inom hälso- och sjukvården får vara personuppgiftsansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister (7 kap. 7 § PDL).

53SOU 2014:23 s. 104.

Patientdatalagen medger att en vårdgivare får ha direktåtkomst till de uppgifter som vårdgivaren lämnat till ett regionalt eller nationellt kvalitetsregister. Direktåtkomsten kan användas av den inrapporterande vårdgivaren för att lokalt arbeta med att utveckla och säkra verksamhetens kvalitet (7 kap. 9 § PDL).

7. Dokumentation av personuppgifter inom socialtjänsten

7.1. Allmänt om socialtjänsternas verksamhet och deras behandling av personuppgifter

Varje kommun svarar för socialtjänsten inom sitt område, och har det yttersta ansvaret för att personer får det stöd och den hjälp som de behöver (2 kap. 1 § socialtjänstlagen [2001:452], förkortad SoL). Socialtjänstens individinriktade verksamheter omfattar ett brett område och information behöver hanteras för många olika ändamål. Exempel på områden inom kommunernas socialtjänst är hemtjänst för äldre, stöd och service till personer med psykisk ohälsa eller funktionsnedsättningar, stöd till äldre personer i särskilt boende och stöd till barn och unga. Utredningens direktiv gör emellertid en avgränsning till att avse endast två slags verksamheter inom socialtjänsten, verksamhet som rör äldre personer och verksamhet som rör personer med funktionsnedsättningar.

Socialtjänstens verksamheter har i hög grad behov av att behandla uppgifter om personers hälsa och andra personliga förhållanden. Liksom i hälso- och sjukvården handlar det ofta om känsliga personuppgifter som omfattas av sekretess. Den rättsliga regleringen för informationshantering i socialtjänsten är emellertid inte lika detaljerad som den för hälso- och sjukvården, där det finns detaljerade bestämmelser kring journalföring och direktåtkomst.

Lagen (2001:454) om behandling av personuppgifter inom socialtjänsten är den registerförfattning som särskilt reglerar behandling av personuppgifter inom socialtjänstens verksamheter. Lagen om behandling av personuppgifter inom socialtjänsten har under personuppgiftslagens tid brukat förkortas SoLPUL och även utred-

ningen använder i det följande förkortningen SoLPUL. SoLPUL kompletteras av förordningen (2001:637) om behandling av personuppgifter i socialtjänsten, här kallad SoLPUF.

Även socialtjänstlagen innehåller vissa regler om behandling av personuppgifter och gallring av uppgifter inom socialtjänstens verksamhet. Socialstyrelsen har också utfärdat föreskrifter och allmänna råd om dokumentation vid handläggning av ärenden och genomförande av insatser enligt viss lagstiftning, bl.a. socialtjänstlagen och lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS (Socialstyrelsens föreskrifter och allmänna råd om dokumentation i verksamhet som bedrivs med stöd av SoL, LVU, LVM och LSS [SOSFS 2014:5]). Föreskrifterna gäller både offentlig och enskild verksamhet. Vidare finns det särskilda regler som styr handläggning och dokumentation i verksamhet enligt LSS (bestämmelser finns bl.a. i 21 a och 21 b §§ LSS när det gäller offentlig verksamhet och i 23 a § LSS när det gäller enskild verksamhet).

Dataskyddslagen gäller som ett yttre ramverk när det inte finns specialregler på socialtjänstens område. På ett mer övergripande plan gäller tryckfrihetsförordningen, offentlighets- och sekretesslagen (2009:400), förkortad OSL, förvaltningslagen (2017:900) och arkivlagen (1990:782).

Nedan redogörs närmare för reglerna om dokumentationsskyldighet och behandling av personuppgifter inom socialtjänstens område. Fokus läggs på de verksamheter som avses i utredningsdirektiven, dvs. verksamheter för äldre och personer med funktionsnedsättning som får insatser enligt socialtjänstlagen eller LSS.

7.2. Krav på att dokumentera uppgifter inom socialtjänsten

Både socialtjänstlagen och LSS innehåller bestämmelser om krav på dokumentation. Den rättsliga regleringen är dock inte lika omfattande som den för hälso- och sjukvården.

Socialtjänsten ska dokumentera handläggningen av ärenden som rör enskilda, och genomförande av beslut om stödinsatser, vård och behandling ska dokumenteras (11 kap. 5 § SoL och 21 a § LSS). Denna skyldighet gäller även för enskild verksamhet (7 kap. 3 § SoL och 23 c § LSS). Socialtjänsten ska vidare tillämpa förvaltningslagens

regler om bl.a. partsinsyn, motivering av beslut m.m. Handlingar som rör enskildas personliga förhållanden ska förvaras så att obehöriga inte får tillgång till dem och dokumentationen ska utformas med respekt för den enskildes integritet. Om den enskilde anser att någon uppgift i dokumentationen är oriktig, ska detta antecknas (11 kap. 5 och 6 §§ SoL och 21 a och 21 b §§ LSS). En person kan alltså inte motsätta sig sådan dokumentation som socialtjänsten enligt lag ska göra.

Hos socialtjänsten finns personuppgifter om enskilda framförallt i s.k. personakter.1 Socialstyrelsens föreskrifter (SOSFS 2014:5) innehåller krav på hur socialtjänstens dokumentation ska gå till. I föreskrifterna definieras begreppet personakt som den akt som innehåller journalanteckningar och andra handlingar om en eller flera personer som är eller har varit aktuella för utredning eller insats inom socialtjänsten eller verksamhet som bedrivs med stöd av LSS (2 kap. 1 § SOSFS 2014:5). Med journal i socialtjänstens verksamhet avses enligt samma föreskrifter den del av en personakt där anteckningar av betydelse för handläggning av ett ärende samt för genomförande och uppföljning av en insats görs i kronologisk ordning. En personakt ska innehålla en journal samt upprättade och inkomna handlingar av betydelse för handläggningen av ett ärende eller för genomförande eller uppföljning av insatser (4 kap. 6 § SOSFS 2014:5).

Av 2 kap. 3 § SOSFS 2014:5 framgår att en personakt som huvudregel endast ska avse en person. Av samma bestämmelse framgår att en personakt hos nämnden dock får avse flera personer i en familj om det gäller

  • ansökan om ekonomiskt bistånd för två eller flera personer i ett hushåll,
  • utredning och bedömning av ett tänkbart familjehem,
  • gemensam ansökan om medgivande för internationell adoption enligt 6 kap. 12 § socialtjänstlagen, eller
  • gemensam ansökan om medgivande att ta emot ett barn för stadigvarande vård och fostran enligt 6 kap. 6 § första stycket socialtjänstlagen.

Till skillnad från inom hälso- och sjukvården kan alltså en journal inom socialtjänsten, i vissa undantagsfall, föras gemensamt för flera

1SOU 2014:23 s. 571.

personer. När det gäller de verksamheter inom socialtjänsten som rör äldre personer och personer med funktionsnedsättningar gäller dock huvudregeln att en personakt endast ska avse en person.

7.3. Lagen om behandling av personuppgifter inom socialtjänsten, SoLPUL

7.3.1. Inledning

SoLPUL tillämpas vid behandling av personuppgifter inom socialtjänsten om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (1 § SoLPUL). SoLPUL är därmed tillämplig på motsvarande behandlingar av personuppgifter som patientdatalagen (2008:355), förkortad PDL (jfr 1 kap. 1 § PDL).

SoLPUL omfattar både myndigheter och enskilda verksamheter som hanterar personuppgifter inom socialtjänstens område.

Det finns ingen enhetlig definition av begreppet socialtjänst. I SoLPUL:s mening avses dock med socialtjänst följande verksamheter (2 §).

  • verksamhet enligt lagstiftningen om socialtjänst och den särskilda lagstiftningen om vård utan samtycke av unga eller av missbrukare,
  • verksamhet som i annat fall enligt lag handhas av socialnämnd,
  • verksamhet som i övrigt bedrivs av Statens institutionsstyrelse,
  • verksamhet hos kommunal invandrarbyrå,
  • verksamhet enligt lagstiftningen om stöd och service till vissa funktionshindrade,
  • handläggning av ärenden om bistånd som lämnas av socialnämnd enligt lagstiftning om mottagande av asylsökande m.fl.,
  • handläggning av ärenden om tillstånd till parkering för rörelsehindrade, och
  • verksamhet enligt lagen (2007:606) om utredningar för att förebygga vissa skador och dödsfall.
  • Tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheterna som anges i punkterna ovan.

SoLPUL kompletterar dataskyddsförordningen. Om SoLPUL innehåller bestämmelser som avviker från vad som anges i dataskyddslagen, ska bestämmelserna i SoLPUL ha företräde (4 § SoLPUL).

Observera att i de fall en kommun bedriver hälso- och sjukvård enligt hälso- och sjukvårdslagen är i stället patientdatalagen tillämplig på behandlingen av personuppgifter inom den verksamheten.

7.3.2. När behandling av personuppgifter är tillåten inom socialtjänsten

Enligt 6 § SoLPUL får personuppgifter bara behandlas om behandlingen är nödvändig för att arbetsuppgifter inom socialtjänsten ska kunna utföras. Det finns inte i SoLPUL en sådan reglering som den i patientdatalagen som räknar upp för vilka mer konkreta ändamål personuppgifter får behandlas. Bestämmelsen innebär emellertid att det läggs en yttersta ram för när behandling av personuppgifter är tillåten. Endast sådan behandling är berättigad.2 Regeringen, eller den myndighet som regeringen bestämmer, får också meddela föreskrifter om bl.a. begränsning av den tillåtna behandlingen av personuppgifter (11 §). Så har i viss utsträckning skett i SoLPUF.

Personuppgifter får även behandlas för uppgiftsutlämnande som föreskrivs i lag eller förordning. En registrerad person har inte rätt att motsätta sig sådan behandling av uppgifter som är tillåten enligt SoLPUL (6 §).

Behandlingen av personuppgifter får därmed ske oavsett om personen samtycker till det. Detta överensstämmer med huvudregeln i 2 kap. 2 § patientdatalagen, som säger att behandling av personuppgifter som är tillåten enligt patientdatalagen får utföras även om den enskilde motsätter sig detta.

2 Lars Lundgren och Per-Anders Sunesson, Nya Sociallagarna, kommentar till 6 § SoLPUL, JUNO version:32.

Tillåtna ändamål enligt förordningen om behandling av personuppgifter i socialtjänsten, SoLPUF

I SoLPUF räknas upp ett antal tillåtna ändamål för att behandla personuppgifter. Förordningen skiljer på kommunal myndighet och privat verksamhet. Kommunal myndighet får enligt 12 § SoLPUF behandla personuppgifter för bl.a. följande ändamål.

  • Handläggning av ärenden om bistånd och annat stöd samt genomförande av beslut om bistånd, stödinsatser, vård och behandling samt annan social service som följer av bestämmelserna i socialtjänstlagen och lagen om vissa kommunala befogenheter.
  • Handläggning av ärenden om insatser och för särskilda uppgifter som följer av bestämmelserna i LSS.
  • Tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten.

Enskild verksamhet får enligt 17 § SoLPUF behandla personuppgifter för dokumentation av sådan vård, behandling eller omsorg av enskilda som ges inom verksamheten. Personuppgifter får också behandlas för administrationen av verksamheten. Enskild verksamhet har alltså inte någon motsvarande bestämmelse som inom den privata hälso- och sjukvården som ger rätt att behandla personuppgifter för tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten.

7.3.3. Vilken typ av personuppgifter som får behandlas inom socialtjänsten

Socialtjänsten får behandla följande typer av personuppgifter (7 § första stycket SoLPUL).

  • Person- och samordningsnummer.
  • Personuppgifter som avses i artikel 9.1 i dataskyddsförordningen

(känsliga personuppgifter).

  • Uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Personuppgifter enligt 7 § första stycket SoLPUL får behandlas endast om uppgifterna har lämnats i ett ärende eller är nödvändiga för verksamheten. Känsliga personuppgifter får behandlas med stöd av artikel 9.2 h i dataskyddsförordningen under förutsättning att kravet på tystnadsplikt är uppfyllt.

Förutom personakter som upprättas inom socialtjänstverksamheten görs även olika typer av sammanställningar av personuppgifter om klienterna (s.k. sammanställningsregister). Ur integritetssynpunkt skiljer sig dessa från personakterna. De lämnar uppgifter om den enskilde utan att samtidigt kunna ge en fullständig och objektiv beskrivning av hans eller hennes förhållanden. Därtill kommer att de är mer lättillgängliga och används av ett långt större antal tjänstemän vid socialförvaltningen än som är fallet med den enskilda personakten. Sammanställningsregister framstår därför som särskilt känsliga från integritetssynpunkt. Mot den bakgrunden har ett förbud införts mot att i sådana register ta in känsliga personuppgifter eller uppgifter i övrigt om ömtåliga personliga förhållanden (7 a § SoLPUL).3 Från huvudregeln finns vissa undantag, bl.a. för uppgifter om åtgärder som har beslutats inom socialtjänsten som innebär myndighetsutövning och om uppföljning, utvärdering och kvalitetssäkring.

7.4. Personuppgiftsansvar inom socialtjänsten

SoLPUL innehåller inga regler om personuppgiftsansvar. Sådana regler finns dock i SoLPUF.

Av 11 § SoLPUF framgår att en kommunal myndighet är personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som myndigheten utför. Om behandlingen görs gemensamt för flera myndigheter inom kommunen är varje myndighet personuppgiftsansvarig för sin egen behandling.

Enskilda utförare av socialtjänst är enligt 17 § SoLPUF personuppgiftsansvariga för den behandling av personuppgifter som utförs i dess verksamhet.

3 Lars Lundgren och Per-Anders Sunesson, Nya Sociallagarna, kommentar till 7 a § SoLPUL, JUNO version:32.

7.5. Utlämnande av uppgifter mellan personuppgiftsansvariga inom socialtjänsten

SoLPUL innehåller inga särskilda bestämmelser om direktåtkomst. Det finns alltså ingen motsvarighet till de bestämmelser som reglerar tillåtna former av direktåtkomst i patientdatalagen. Det finns därmed inte heller någon motsvarighet till bestämmelsen i patientdatalagen som stipulerar att utlämnanden genom direktåtkomst bara får ske i den utsträckning som medges i lag eller förordning (5 kap. 4 § PDL). I stället finns en hänvisning som anger att i fråga om utlämnande av personuppgifter som finns inom socialtjänsten gäller de begränsningar som följer av offentlighets- och sekretesslagen, socialtjänstlagen och LSS (8 § SoLPUL).

Avsaknaden av bestämmelser om elektroniskt utlämnande betyder inte att det är förbjudet att lämna ut uppgifter från socialtjänsten i elektronisk form.4 Uppgifter som får lämnas ut, kan lämnas ut genom direktåtkomst eller på medium för automatiserad behandling om den behandling som utlämnandet utgör är tillåten.5 Mer generell direktåtkomst över sekretessgränser inom socialtjänsten, t.ex. mellan olika utförare, hindras dock av socialtjänstsekretessen och tystnadsplikten. Det finns inga bestämmelser för socialtjänsten som motsvarar hälso- och sjukvårdens möjligheter att göra uppgifter potentiellt tillgängliga för andra vårdgivare i system med sammanhållen journalföring. Regeringen, eller den myndighet som regeringen bestämmer, får meddela föreskrifter om direktåtkomst (11 § SoLPUL).

Att samköra personregister beskrivs som en vanlig anledning till den oro som personer kan känna inför behandling av känsliga uppgifter. Samkörning har inte ansetts behöva förbjudas, men inhämtande av uppgifter från andra register som hanterar personuppgifter bör begränsas när den enskildes integritet kan påverkas negativt6. Regeringen har meddelat ett förbud att samköra vissa register inom privat verksamhet i socialtjänsten (21 § SoLPUF). Av bestämmelsen

4 Av 2 kap. 16 § tryckfrihetsförordningen framgår att en myndighet inte är skyldig att i större utsträckning än vad som följer av lag lämna ut en upptagning för automatiserad behandling i annan form än utskrift. Inskränkningen är inget förbud mot att lämna ut en elektronisk kopia av en elektronisk handling. Enskilda myndigheters dataskyddsreglering kan dock utgöra hinder mot att lämna ut sådana kopior (Lenberg m.fl., Offentlighets- och sekretesslagen, kommentar till 2 kap. 16 § tryckfrihetsförordningen, JUNO version:21). 5SOU 2014:23 s. 570 f. 6Prop. 2000/01:80 s. 148.

framgår att ett boende, en öppen verksamhet eller en annan enhet i privat verksamhet inte får hämta personuppgifter från annat boende, annan öppen verksamhet eller annan enhet inom privat verksamhet för behandling av uppgifter genom samkörning (21 § SoLPUF).

Sammanfattningsvis gäller att uppgifter kan lämnas ut elektroniskt mellan socialtjänstens olika verksamheter om personuppgiftsbehandlingen som sådan är tillåten och sekretessen och tystnadsplikten för uppgifterna inte hindrar det.

8. Reglering av ansvar för vård och omsorg och samverkan mellan vård och omsorg

8.1. Inledning

Utredningen har i det föregående beskrivit de regelverk och principer som styr hälso- och sjukvårdens respektive socialtjänstens behandling av personuppgifter. Dokumentation och annan behandling av personuppgifter är emellertid inte isolerade från verksamhetsfrågor. Tvärtom är de en integrerad del av vård- och omsorgsprocesserna. Ett av målen med patientdatalagen (2008:355) är att informationshantering inom hälso- och sjukvården ska vara organiserad så att den tillgodoser patientsäkerhet och god kvalitet samtidigt som den främjar kostnadseffektivitet.1 Även inom socialtjänsten är informationshantering avseende människor som på olika sätt ges stöd och omsorg av stor betydelse för att socialtjänsten ska kunna utföra sitt uppdrag. Det kan vara avgörande för patientsäkerheten att personalen har en helhetsbild över personens hälsotillstånd. Utredningen om rätt infor-

mation i vård och omsorg konstaterade att rätt information i rätt tid

för rätt användare är en nyckel till personalens möjligheter att göra ett bra arbete för den enskilde personen.2

Verksamhetsfrågor och frågor om informationshantering hör alltså ihop. De är tillsammans nödvändiga för att tillgodose den enskildes behov av en god vård och omsorg. I det följande beskrivs därför översiktligt regler som styr organisation och verksamhet inom hälso- och sjukvård och socialtjänst. För att ge en bild av nuläget och behovet av samverkan mellan olika aktörer kommer utredningen inledningsvis nämna något om de centrala reformer som genomförts

11 kap. 2 § patientdatalagen. 2SOU 2014:23 s. 29.

inom vård och omsorg sedan 1990-talet. Vidare beskrivs den ansvarsfördelning som råder mellan regioner och kommuner samt områden där det finns legala möjligheter till – och i vissa fall krav på – samverkan mellan aktörer kring en person, exempelvis vid s.k. samordnad vårdplanering.

8.2. Centrala reformer på vård- och omsorgsområdet

Efter 1960-talet hade regionerna (dvs. de dåvarande landstingen) i princip ett enhetligt huvudmannaskap för sjukvården inom sin region. Dock var detta ansvar på vissa områden delat med andra aktörer. I äldreomsorgen ansvarade t.ex. kommunerna för vissa insatser. Socialstyrelsen beskriver i en rapport att kommunernas och regionernas delade ansvar har varit problematiskt och att huvudmännen haft betydande svårigheter att samordna sina uppdrag. Ett problem var även de olika angreppssätten då kommunerna bedrev äldreomsorg utifrån socialt perspektiv medan regionerna hade ett medicinskt perspektiv.3

För att komma tillrätta med detta genomfördes under 1990-talet flera stora huvudmannaskapsreformer. Den första var den s.k. ädel-

reformen4. Genom ädelreformen fick kommunerna ta över det

samlade ansvaret för långvarig vård och omsorg till äldre och funktionshindrade personer. Ädelreformen hade som utgångspunkt att människors behov av vård och omsorg är sammansatta och skiftar över tid. Den uppdelning som tidigare gällt mellan sociala och medicinska insatser ansågs inte ändamålsenlig. Tanken var därför att på ett mer sammanhållet sätt tillgodose människors sociala och medicinska behov. Yrkesroller och arbetsorganisation inom socialtjänsten och delar av hälso- och sjukvården skulle samordnas. Ädelreformen innebar en stor strukturförändring i hälso- och sjukvårdssystemet genom att kommunerna fick ta över som huvudman för delar av hälso- och sjukvården. Kommunerna fick skyldighet att inrätta särskilda boendeformer för service och omvårdnad för äldre personer respektive bostäder med särskild service för funktions-

3 Socialstyrelsen 1996:2, Ädelreformen slutrapport, s. 4. 4Prop. 1990/91:14Om ansvaret för service och vård till äldre och handikappade m.m.

hindrade (numera funktionsnedsatta5) personer. Kommunerna fick ansvaret för att tillhandahålla hälso- och sjukvård åt personer som bor i särskilda boendeformer och bostäder eller som vistas i dagverksamhet. Kommunerna fick också möjlighet att erbjuda hälso- och sjukvård till personer som bor hemma (hemsjukvård). Regionerna fick emellertid ha kvar det övergripande sjukvårdsuppdraget och ansvaret för läkarinsatser.6

Efter ädelreformen har ytterligare reformer genomförts i syfte att skapa ett bättre och mer samlat omhändertagande av äldre och personer med sammansatta behov av medicinska och sociala insatser. Genom reformerna har huvudmannaskapet för hälso- och sjukvård ytterligare övergått till kommunerna.

Lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS, infördes 1994. Lagen är en del av det som kallas för handikappreformen.7 Genom lagen gavs personer med vissa funktionshinder rätt till stöd och service. Kommunerna fick det primära ansvaret för det stöd som skulle ges i vardagen, antingen i eget hem eller i särskilda boenden. Vårdhemmen och specialistsjukhusen för funktionsnedsättningar avvecklades.

Genom psykiatrireformen8 1995 överfördes huvudmannaskapet för insatser riktade till psykiskt långtidssjuka från regionerna till kommunerna. Genom reformen fick kommunerna krav på att erbjuda lämpliga boendeformer och stöd i hemmet för personer med omfattande psykiska funktionshinder.

Genom vårdvalsreformen9 infördes ändringar i hälso- och sjukvårdslagen i syfte att öka patienternas valfrihet och underlätta för privata vårdgivare att etablera sig i primärvården med offentlig ersättning. Kärnan i reformen var att regionerna ska organisera primärvården så att patienten har valfrihet mellan olika utförare i primärvården. Som en del av vårdvalsreformen trädde lagen (2008:962) om valfrihetssystem, förkortad LOV, i kraft 2009. Lagen innebär ett alternativt sätt för huvudmännen att upphandla privata utförare av offentligt finansierad hälso- och sjukvård och socialtjänst (utöver lagen [2016:1145] om

5 Regeringen har i prop. 2008/09:28 s. 8 och prop. 2008/09:160 s. 117 uttalat att termen funktionsnedsättning, som beskriver nedsättning av fysisk, psykisk eller intellektuell förmåga, bör få genomslag i den svenska lagstiftningen efter hand. 6Prop. 1990/91:14 s. 3 f. och 57 ff. 7Prop. 1992/93:159om stöd och service till vissa funktionshindrade. 8Prop. 1993/94:218Psykiskt stördas villkor. 9Prop. 2008/09:74Vårdval i primärvården.

offentlig upphandling). Upphandling enligt lagen om valfrihetssystem innebär, till skillnad från enligt lagen om offentlig upphandling, att regionen ska godkänna samtliga sökande som uppfyller de krav som angetts i förfrågningsunderlaget.10 Vårdvalsreformen innebar att det blev obligatoriskt för regionerna att införa valfrihetssystem i primärvården.11 För kommunerna är det däremot frivilligt att införa valfrihetssystem inom den kommunala hälso- och sjukvården och socialtjänsten.

8.3. Ansvaret för att bedriva hälso- och sjukvård

8.3.1. Inledning

Den svenska hälso- och sjukvården karakteriseras bl.a. av en stark decentralisering. Staten ansvarar för den övergripande hälso- och sjukvårdspolitiken, men det är de 21 regionerna och de 290 kommunerna som tillsammans har ansvaret för att genomföra hälso- och sjukvården i landet. Den svenska modellen innebär också att i princip all hälso- och sjukvård är offentligt finansierad, antingen av regioner eller av kommuner som huvudmän.12Hälso- och sjukvårdslagen (2017:30), förkortad HSL, karaktäriseras som en målinriktad ramlag. Den sätter upp mål för hälso- och sjukvården men har få preciserade regler om hälso- och sjukvårdens utformning. Regionerna får därmed betydande frihet att själva organisera verksamheten utifrån de egna förutsättningarna och behoven.

Enligt 2 kap. 2 § hälso- och sjukvårdslagen avses med huvudman den region eller kommun som enligt lagen ansvarar för att erbjuda hälso- och sjukvård. Inom en huvudmans geografiska område kan en eller flera vårdgivare bedriva verksamhet. Med hälso- och sjukvård avses enligt hälso- och sjukvårdslagen bl.a. åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador (2 kap. 1 § HSL). Begreppet hälso- och sjukvård omfattar således såväl de sjukdomsförebyggande och hälsofrämjande åtgärderna som den egentliga sjukvården.

10 8 kap. 1 § LOV. 117 kap. 3 § HSL och prop. 2008/09:74 s. 26 f. 12 Hälso- och sjukvård kan givetvis också bedrivas helt i privat regi, då utan avtal med regionen eller kommunen och utan inslag av offentlig finansiering. I dessa fall finns inget offentligt huvudmannaskap. Denna sektor av hälso- och sjukvården är emellertid liten.

Målet med hälso- och sjukvården är en god hälsa och en vård på lika villkor för hela befolkningen. Vården ska ges med respekt för alla människors lika värde och för den enskilda människans värdighet. Den som har det största behovet av hälso- och sjukvård ska ges företräde till vården. Hälso- och sjukvården ska arbeta för att förebygga ohälsa (3 kap. 1 och 2 §§ HSL). Hälso- och sjukvårdsverksamhet ska vidare bedrivas så att kraven på en god vård uppfylls. Det innebär bl.a. att vården särskilt ska tillgodose patientens behov av trygghet, kontinuitet och säkerhet och bygga på respekt för patientens självbestämmande och integritet (5 kap. 1 § 2 och 3 HSL). Dessa grundläggande principer slås fast i hälso- och sjukvårdslagens allmänna bestämmelser och gäller oavsett om det är en region eller kommun som är huvudman för hälso- och sjukvårdsinsatserna.

8.3.2. Regionernas ansvar för hälso- och sjukvård

Regionerna har ansvar för att erbjuda en god hälso- och sjukvård åt personer som är bosatta inom regionen (8 kap. 1 § HSL). I regionernas planeringsansvar ingår att planera hälso- och sjukvården med utgångspunkt i behovet av vård hos dem som omfattas av regionens ansvar för hälso- och sjukvård. Regionen ska vid planeringen beakta den hälso- och sjukvård som erbjuds av andra vårdgivare. Regionen ska även planera sin hälso- och sjukvård så att en katastrofmedicinsk beredskap upprätthålls (7 kap. 2 § HSL). Regionernas totalansvar för planeringen av hälso- och sjukvården inom regionen inskränks enbart genom det ansvar kommunerna har för sin hälso- och sjukvård.13

Regionerna ansvarar för att det ska finnas sjukhus för sådan hälso- och sjukvård som kräver intagning i vårdinrättning, s.k. sluten

vård (2 kap. 4 § HSL). Annan hälso- och sjukvård benämns öppen vård (2 kap. 5 § HSL).

Primärvården är en del av den öppna vården. Med primärvård avses i hälso- och sjukvårdslagen hälso- och sjukvårdsverksamhet där öppen vård ges utan avgränsning när det gäller sjukdomar, ålder eller patientgrupper. Primärvården svarar för behovet av sådan grundläggande medicinsk behandling, omvårdnad, förebyggande arbete och rehabilitering som inte kräver sjukhusens medicinska och tekniska resurser eller annan särskild kompetens (2 kap. 6 § HSL).

13Prop. 1990/91:14 s. 151 f.

Regeringen har betonat att primärvård är en vårdnivå, inte en specifik organisationsform. Primärvården kallas ”den första vårdnivån” och ska tillgodose befolkningens basala behov av hälso- och sjukvård. Primärvården inkluderar både regional och kommunal hälso- och sjukvård.14

Både regioner och kommuner kan således vara huvudmän för insatser inom primärvård, men regioner har ett visst utpekat ansvar enligt hälso- och sjukvårdslagen. Regionen ska organisera primärvården så att alla som omfattas av regionens ansvar för hälso- och sjukvård kan välja utförare av hälso- och sjukvårdstjänster samt få tillgång till och välja en fast läkarkontakt (vårdvalssystem). Regionen får inte begränsa den enskildes val till ett visst geografiskt område inom regionen. Regionen ska utforma vårdvalssystemet så att alla utförare behandlas lika, om det inte finns skäl för något annat. Ersättningen från regionen till utförare inom ett vårdvalssystem ska följa den enskildes val av utförare. När regionen beslutat att införa ett vårdvalssystem ska lagen om valfrihetssystem tillämpas (7 kap. 3 § HSL).

Regionen har ett särskilt ansvar för sådan hälso- och sjukvård som kräver insats av läkare. Regionen ska avsätta de läkarresurser som behövs till kommunerna för att personer ska kunna erbjudas en god hälso- och sjukvård i särskilt boende och i dagverksamhet (16 kap. 1 § HSL).

En region får sluta avtal med någon annan aktör, exempelvis en enskild vårdgivare, om att utföra de uppgifter som regionen ansvarar för (15 kap. 1 § HSL). Regionen är fortfarande huvudman i sådana fall.

8.3.3. Kommunernas ansvar för hälso- och sjukvård

Varje kommun ska erbjuda en god hälso- och sjukvård åt äldre och personer med funktionsnedsättningar som efter beslut av kommunen bor i särskilda boendeformer enligt socialtjänstlagen (2001:453), förkortad SoL. Kommunen ska även erbjuda hälso- och sjukvård åt dem som vistas i sådan dagverksamhet som avses i 3 kap. 6 § socialtjänstlagen (12 kap. 1 § HSL). Kommunens ansvar för hälso- och sjukvård är alltså avgränsad till att avse dessa särskilt utpekade patientgrupper (”äldre eller funktionshindrade”).

14Prop. 1994/95:195Primärvård, privata vårdgivare m.m. s. 46.

Kommunen ska planera sin hälso- och sjukvård med utgångspunkt i befolkningens behov. Vid planeringen ska även beaktas den hälso- och sjukvård som erbjuds av andra vårdgivare, t.ex. enskilda vårdgivare (11 kap. 2 § HSL).

När det gäller hälso- och sjukvård i hemmet (hemsjukvård) ligger det formella ansvaret på regionen. Kommunerna har dock möjlighet att på frivillig väg erbjuda personer som vistas i kommunen hemsjukvård (12 kap. 2 § HSL). Regionen har även möjlighet att överlåta skyldigheten att erbjuda hemsjukvård till en kommun inom regionen genom en särskild överenskommelse. Överenskommelsen får inte avse ansvar för sådan hälso- och sjukvård som ges av läkare (14 kap. 1 § HSL). I praktiken har i dag alla regioner utom Region Stockholm gjort överenskommelser om att kommunerna ska ansvara för hemsjukvården.15

Läkarinsatser ingår inte i kommunernas ansvar för hälso- och sjukvård. Regionerna har som nämnts ovan det särskilda ansvaret för läkarinsatser och ska avsätta de läkarresurser som behövs till kommunerna. Regionen har kvar ansvaret för de läkarinsatser som behövs, även efter att kommunen övertagit ansvaret för hemsjukvården. Detta ställer krav på samverkan med kommuner och enskilda utförare av hälso- och sjukvård. Den kommunala hemsjukvården behöver exempelvis samarbeta med läkare på vårdcentraler, mottagningar och sjukhus för att den enskilde patienten ska få de insatser som denne behöver.

Även en kommun får sluta avtal med någon annan aktör, exempelvis en enskild vårdgivare, om att utföra de uppgifter som kommunen ansvarar för (15 kap. 1 § HSL) Kommunen är fortfarande huvudman i sådana fall.

8.3.4. Krav på god kvalitet och kvalitetsuppföljning

Vårdgivaren ska planera, leda och kontrollera verksamheten så att kravet på god vård i hälso- och sjukvårdslagen och tandvårdslagen upprätthålls (3 kap. 1 § patientsäkerhetslagen [2010:650], förkortad PSL). Hälso- och sjukvårdsverksamhet ska bedrivas så att kraven på en god vård uppfylls (5 kap. 1 § HSL). Kvaliteten inom hälso- och sjukvården ska systematiskt och fortlöpande utvecklas och säkras

15 Socialstyrelsen, Kommunalt finansierad hälso- och sjukvård – Förstudie, 2019, s. 19.

(5 kap. 4 § HSL respektive 16 § tandvårdslagen [1985:125]). Detta brukar kallas för att bedriva systematiskt kvalitetsarbete.

I förarbetena till bestämmelsen i 5 kap. 4 § hälso- och sjukvårdslagen anges att vårdgivaren inom hälso- och sjukvården ska utveckla metoder för att noga följa och analysera utvecklingen vad gäller kvalitet och säkerhet. Det gäller t.ex. system som synliggör förekomsten av risktillbud eller s.k. avvikande händelser (onormala vårdtider, infektioner, komplikationer, reoperationer, återintagningar etc.) eller som mäter servicegrad och patienttillfredsställelse. Resultatet av kvalitetsarbetet är en viktig del av att vidareutveckla vården, höja kvaliteten och stärka patientens ställning och ska fortlöpande återföras till dem som deltar i vård- och behandlingsarbetet.16

8.4. Allmänt om socialtjänstens verksamhet

8.4.1. Inledning

Socialtjänstlagen (2001:453), SoL, karakteriseras som en målinriktad ramlag. Beteckningen ramlag innebär att den innehåller tämligen få preciserade regler om socialtjänstens utformning. Kommunerna får därigenom betydande frihet att själva organisera verksamheten utifrån sina förutsättningar och kommunmedlemmarnas behov. Lagens målinriktning innebär att lagstiftaren har angett vissa mål för socialtjänsten i stället för att i detalj reglera dess gestaltning. Kommunens frihet att utöva socialtjänstverksamheten kan anses definieras av flera bestämmelser i socialtjänstlagen som anger vad kommunen eller socialnämnden har att följa. Vidare avgörs kommunens åtagande av annat såsom allmän förvaltningsdomstolars domar t.ex. bedömning av den enskildes rätt till bistånd enligt socialtjänstlagen och myndigheters tillsyn av socialtjänstens verksamhet. I 1 kap. 1 § socialtjänstlagen anges målen för socialtjänsten. Enligt den bestämmelsen ska samhällets socialtjänst främja människors ekonomiska och sociala trygghet, jämlikhet i levnadsvillkor och aktiva deltagande i samhällslivet. Av samma bestämmelse framgår att socialtjänsten under hänsynstagande till människans ansvar för sin och andras sociala situation ska inriktas på att frigöra och utveckla enskildas och gruppers egna resurser samt att

16Prop. 1995/96:176 s. 53 f.

verksamheten ska bygga på respekt för människornas självbestämmanderätt och integritet.

Varje kommun svarar för socialtjänsten inom sitt område, och har det yttersta ansvaret för att enskilda får det stöd och den hjälp som de behöver (2 kap. 1 § SoL). Kommunens uppgifter inom socialtjänsten fullgörs av den eller de nämnder som kommunfullmäktige bestämmer (2 kap. 4 § SoL). Tidigare var socialnämnden en obligatorisk kommunal nämnd, men sedan år 1992 har kommunen frihet att bestämma nämndorganisationen inom socialtjänsten.17 Utöver avtalssamverkan enligt 9 kap. 37 § kommunallagen (2017:725), förkortad KL, får en kommun sluta avtal med en enskild person om att utföra kommunens uppgifter inom socialtjänsten. Arbetsuppgifter som innefattar myndighetsutövning får dock inte överlämnas.

När det gäller utförandet av kommunens arbetsuppgifter inom socialtjänsten får kommunen sluta avtal med en enskild person (fysisk eller juridisk person tex. bolag, föreningar, samfälligheter och stiftelser) om att utföra kommunens uppgifter. Arbetsuppgifter som innefattar myndighetsutövning får dock inte överlämnas (2 kap. 5 § SoL). Kommunen får även träffa överenskommelse med regionen, Försäkringskassan och Arbetsförmedlingen om att, inom ramen för socialtjänstens arbetsuppgifter, samverka i syfte att uppnå en effektivare användning av tillgängliga resurser (2 kap. 6 § SoL).

När den enskilde har behov av insatser både från socialtjänsten och från hälso- och sjukvården ska kommunen tillsammans med regionen upprätta en individuell plan (2 kap. 7 § SoL). För en närmare beskrivning av en sådan individuell plan, se avsnitt 8.7.2.

8.4.2. Socialtjänstens tre huvudfunktioner

Socialtjänstens insatser kan delas in i följande tre huvudfunktioner.18

  • Strukturinriktade insatser, som syftar till en god samhällsmiljö.

Några exempel som nämns är medverkan i samhällsplaneringen och uppsökande verksamhet.

17 Se även 6 kap. kommunallagen. 18 Lars Lundgren och Per-Anders Sunesson, Nya Sociallagarna, kommentar till 3 kap. 1 § SoL, JUNO version:33.

  • Allmänt inriktade insatser, som är generellt utformade sociala insatser inom socialtjänsten som t.ex. riktar sig till äldre personer och inte förutsätter biståndsprövning. Öppna dagcentraler och träffpunkter för social samvaro och gemenskap är i dag exempel på sådana verksamheter.19
  • Individuellt inriktade insatser, som avser insatser som är direkt anpassade till den enskilde individens behov. Enligt propositionen räknas hit bl.a. behovsprövad hjälp, upplysningar, samtal och rådgivning, andra förebyggande insatser och hjälpåtgärder som motiveras av den aktuella situationen.

8.4.3. Utredning och beslut om behovsprövade insatser

Enligt 4 kap. 1 § socialtjänstlagen har den som inte själv kan tillgodose sina behov eller kan få dem tillgodosedda på annat sätt rätt till bistånd av socialnämnden för sin försörjning (försörjningsstöd) och för sin livsföring i övrigt. Bistånd enligt socialtjänstlagen förutsätter således som huvudregel en individuell behovsprövning.20

Hur ärenden som gäller stöd och hjälp till enskilda ska hanteras följer av bestämmelser i socialtjänstlagen och förvaltningslagen (2017:900). När en ansökan om bistånd har tagits emot ska socialnämnden inleda en utredning och bedöma vilka uppgifter som nämnden behöver samla in för att kunna göra en bedömning av ansökan. Kan det konstateras att den enskilde har behov av stöd och hjälp för att uppnå en skälig levnadsnivå, och behoven inte kan tillgodoses på annat sätt, beviljas rätt till bistånd (4 kap. 1 § SoL). Den som bedöms sakna behov av stöd och hjälp har inte rätt till bistånd. Går beslutet den enskilde emot, helt eller i någon del, finns möjlighet att överklaga beslutet till förvaltningsrätt. Socialnämnden får även ge bistånd utöver vad som följer av 4 kap. 1 § socialtjänstlagen, om det finns skäl för det (4 kap. 2 § SoL).

19Prop. 1996/97:124 s. 55. 20 Se tex. RÅ 1991 ref. 61.

8.4.4. Bistånd eller service

När insatser är direkt anpassade till den enskildes behov ska en utredning alltså genomföras och beslut fattas i enlighet med 4 kap. 1 § socialtjänstlagen. Kommunerna kan dock erbjuda allmänt inriktade och allmänt utformade tjänster utan föregående behovsprövning som service. Det kan röra sig om hemtjänst, dagverksamheter eller annan liknande social tjänst enligt 3 kap. 6 § socialtjänstlagen. Det kan även göras inom ramen för den arbetsuppgift som socialtjänsten har enligt 3 kap. 1 § socialtjänstlagen att svara för omsorg och service, upplysningar, råd, stöd och vård, ekonomisk hjälp och annat bistånd till familjer och enskilda som behöver det. Det är framför allt förebyggande, rådgivande och informerande insatser som kan erbjudas som service. Sådana insatser är inte individanpassade utan tillhandahålls lika för alla. När nämnden får en ansökan om bistånd ska nämnden i första hand pröva om den enskilde har rätt till den begärda hjälpen enligt 4 kap. 1 § socialtjänstlagen.21 Det finns även möjlighet att erbjuda hemtjänst till äldre utan föregående behovsprövning enligt 4 kap. 1 § socialtjänstlagen, se avsnitt 8.5.2.

8.4.5. Krav på god kvalitet och kvalitetsuppföljning

I 3 kap. 3 § socialtjänstlagen anges att insatser inom socialtjänsten ska vara av god kvalitet och att det för utförande av arbetsuppgifter inom socialtjänsten ska finnas personal med lämplig utbildning och erfarenhet. Det anges även i denna bestämmelse att kvaliteten i verksamheten ska systematiskt och fortlöpande utvecklas och säkras. Av förarbetena till bestämmelsen framgår att avsikten med bestämmelsen är att ställa krav på uppföljning och utvärdering av de insatser som görs liksom på en anpassning av utbud och innehåll med hänsyn till utvecklingen i omvärlden.22

21 JO 2003/04 s. 236. 22Prop. 1997/98:113 s. 92.

8.5. Socialtjänstens insatser för äldre och personer med funktionsnedsättningar

8.5.1. Inledning

Bestämmelserna i socialtjänstlagen i övrigt gäller för äldre och personer med funktionshinder likaväl som för andra människor. I 5 kap. socialtjänstlagen har dock särskilda bestämmelser införts för olika grupper, däribland äldre och personer med funktionsnedsättningar, för att markera att vissa grupper har ett särskilt behov av stöd.

8.5.2. Socialtjänstens insatser för äldre enligt socialtjänstlagen

I 5 kap.46 §§socialtjänstlagen finns det särskilda bestämmelser om äldre. Bestämmelserna handlar om såväl strukturinriktade och allmänt inriktade insatser som individuella åtgärder. Som exempel på strukturinriktade och allmänt inriktade insatser kan nämnas att socialnämnden har ett ansvar för att verka för att äldre personer får möjlighet att leva och bo självständigt under trygga förhållanden och ha en aktiv och meningsfull tillvaro i gemenskap med andra (5 kap. 4 § SoL). Det anges i samma paragraf att socialtjänstens omsorg om äldre ska inriktas på att äldre personer får leva ett värdigt liv och känna välbefinnande, vilket benämns som värdegrund. Socialnämnden ska även verka för att äldre människor får goda bostäder (5 kap. 5 § SoL).

När det gäller individuella åtgärder kan nämnas att socialnämnden enligt 5 kap. 5 § socialtjänstlagen ska ge de äldre som behöver det stöd och hjälp i hemmet och annan lättåtkomlig service. Sådan hjälp ges oftast genom hemtjänst, se avsnitt 8.5.5.

Kommunen ska även inrätta särskilda boendeformer för service och omvårdnad för äldre som behöver särskilt stöd, s.k. särskilt boende (5 kap. 5 § SoL). Till sådana boendeformer räknas bl.a. ålderdomshem, servicehus, gruppboende, platser för korttidsvård eller korttidsboende.23 Bostaden ska uppfylla tre grundläggande krav, nämligen a) vara så utformad och utrustad att den boende kan utveckla sina personliga resurser att leva ett självständigt liv, b) bereda denne möjlighet att vid varje tid på dygnet erhålla de tjänster som

23Prop. 2005/06:115 s. 23.

krävs för att klara sin tillvaro och känna sig trygg, samt c) ha tillgång till personal som kan bedöma när det behövs social eller medicinsk vård och som kan svara för att sådan ges.24 Sådana boenden ska även ha dygnet-runt-tillgänglig personal.25

Kommunen har även möjlighet att inrätta särskilda boenden för den grupp äldre som inte har så omfattande omsorgsbehov att heldygnsvård är nödvändig, men som däremot bedöms behöva få ökad trygghet och gemenskap med andra, när kvarboende i ordinarie boende inte längre upplevs tryggt, s.k. trygghetsboenden (5 kap. 5 § SoL). Denna form av särskilt boende bör t.ex. kunna erbjuda gemensamma måltider, kulturella aktiviteter och umgänge för att öka tryggheten och tillgodose behovet av gemenskap hos äldre. Det stöd och den hjälp och service som den enskilde kan behöva bör efter biståndsbedömning kunna erbjudas genom hemtjänstinsatser på samma sätt som vid hemtjänst i ordinarie boende. Kommunens ansvar för hälso- och sjukvård i särskilda boendeformer omfattar inte biståndsbedömt trygghetsboende. Kommunen får däremot erbjuda hemsjukvård.

Till socialtjänstens uppgifter hör även att göra sig väl förtrogen med kommunmedborgarnas levnadsförhållanden och att genom uppsökande verksamhet och på annat sätt främja förutsättningarna för goda levnadsförhållanden (5 kap. 6 § SoL).

Ansökan om bistånd till äldre i form av exempelvis hemtjänst eller bostad i en särskild boendeform för service och omvårdnad prövas i allmänhet som bistånd enligt 4 kap. 1 § socialtjänstlagen.

De individuella insatser som nämnts kan beviljas efter en behovsprövning. Enligt 4 kap. 2 a § socialtjänstlagen får dock socialnämnden utan föregående behovsprövning erbjuda hemtjänst till äldre om åldringen har informerats om i vilken utsträckning och på vilket sätt han eller hon kan påverka utförandet av insatserna, på vilket sätt kommunen följer upp insatserna, och rätten att alltid kunna ansöka om bistånd enligt 4 kap. 1 § socialtjänstlagen. Kommunen ska sedan följa upp insatserna med utgångspunkt i kommunens riktlinjer, insatsernas kvalitet enligt 3 kap. 3 § och värdegrunden i 5 kap. 4 § socialtjänstlagen.

24Prop. 2005/06:115 s. 78. 252 kap. 3 § socialtjänstförordningen (2001:937).

8.5.3. Socialtjänstens insatser till äldre enligt annan lagstiftning

Kommunerna har möjlighet att tillhandahålla insatser till äldre utan föregående behovsprövning. Vissa insatser, förutom hemtjänst, tillhandahålls dock inte enligt socialtjänstlagen utan enligt lagen (2009:47) om vissa kommunala befogenheter, den s.k. befogenhetslagen.

Lagen ger kommunerna en befogenhet att tillhandahålla servicetjänster utan någon individuell behovsprövning till äldre kommunmedlemmar (2 kap. 7 § befogenhetslagen). Det är kommunen som beslutar om den vill tillhandahålla servicetjänster med stöd av lagen och i så fall vilka servicetjänster som ska erbjudas, i vilken utsträckning och till vilken åldersgrupp samt vilken avgift som ska tas ut. Kommunen får dock endast tillhandahålla tjänster till de som är 68 år eller äldre.

Samma nämnd eller de nämnder som enligt 2 kap. 4 § socialtjänstlagen har hand om verksamhet enligt socialtjänstlagen ska ha hand om verksamhet enligt befogenhetslagen (1 kap. 4 § befogenhetslagen). Befogenhetslagen inskränker dock inte de skyldigheter en kommun har enligt socialtjänstlagen (1 kap. 4 § befogenhetslagen). Det betyder bl.a. att en ansökan om bistånd inte kan avslås med hänvisning till att den enskilde personens behov kan tillgodoses genom de tjänster som ges med stöd av befogenhetslagen.26

Med servicetjänster avses enligt 2 kap. 7 § befogenhetslagen tjänster som är avsedda att förebygga skador, olycksfall eller ohälsa och som inte utgör personlig omvårdnad. I förarbetena anges att servicetjänster kan avse en rad olika tjänster, men att det inte går att exakt ange vad som utgör sådana tjänster. Det ska dock vara fråga om tjänster eller uppgifter som en yngre frisk person utan funktionsnedsättning kan utföra själv, exempelvis byta glödlampor eller göra tunga lyft. Andra exempel på fallförebyggande servicetjänster som nämns är montering av halkskydd och städning.27 Regeringen ansåg det inte nödvändigt att i dåvarande sekretesslagen införa någon särskild bestämmelse om sekretess eller att i lag införa bestämmelser om dokumentation av eller tillsyn över den verksamhet som bedrivs för äldre enligt befogenhetslagen.28

26Prop. 2005/06:115 s. 148. 27Prop. 2005/06:115 s. 149. 28Prop. 2005/06:115 s. 152 f.

8.5.4. Socialtjänstens insatser för funktionshindrade enligt socialtjänstlagen

I 5 kap.78 a §§socialtjänstlagen finns särskilda bestämmelser om personer med funktionshinder som innefattar en skyldighet för kommunen att ge erforderlig service, omvårdnad m.m. åt alla personer i kommunen med såväl fysiska som psykiska funktionshinder. Funktionshinder innebär enligt Världshälsoorganisationens (WHO) definition den begränsning eller det hinder som gör att en människa till följd av en skada inte kan utföra en aktivitet på det sätt eller inom de gränser som kan anses som normalt. I Socialstyrelsens termbank beskrivs funktionshinder som en begränsning som en funktionsnedsättning innebär för en person i relation till omgivningen.

Till skillnad från vad som gäller insatser enligt LSS, är kommunernas skyldigheter enligt socialtjänstlagen inte avgränsade till personer med vissa funktionsnedsättningar.

Enligt 5 kap. 7 § socialtjänstlagen ska socialnämnden verka för att människor som av fysiska, psykiska eller andra skäl möter betydande svårigheter i sin livsföring får möjlighet att delta i samhällets gemenskap och att leva som andra. Socialnämnden ska även medverka till att den enskilde får en meningsfull sysselsättning och får bo på ett sätt som är anpassat efter hans eller hennes behov av särskilt stöd. Kommunen ska också inrätta bostäder med särskild service för dem som till följd av sådana svårigheter som nämnts behöver ett sådant boende.

Socialtjänstens insatser för funktionshindrade gäller såväl strukturinriktade och allmänt inriktade insatser som individuellt inriktade insatser. I det förra fallet är det en viktig uppgift för socialtjänsten att i sin medverkan i samhällsplaneringen bevaka att bostadsområden och servicefunktioner utformas med hänsyn till funktionshindrades behov.

I fråga om individuella insatser kan särskilt nämnas social hemhjälp, hjälp med bostad och kurativa insatser. Detta kan ske genom stöd i den egna bostaden, vilket ofta kallas boendestöd. Boendestöd är en praktisk, pedagogisk och social insats för personer med funktionsnedsättning som syftar till att underlätta för den enskilde att hantera sin vardag. Boendestödet anpassas till den enskildes behov av och möjligheter att utveckla ett normalt vardagsliv. Härmed avses såväl det egna boendet som boende i bostad med särskild service.29

29 Det är mitt hem – vägledning om boende och boendestöd för personer med psykisk funktionsnedsättning, Socialstyrelsen 2010 s. 8.

Även insats i form av hemtjänst kan vara ett alternativ för stöd i den egna bostaden, se avsnitt 8.5.5.

I 5 kap. 8 § socialtjänstlagen anges att kommunerna har en skyldighet att bedriva uppsökande verksamhet och att göra sig väl förtrogna med funktionshindrades levnadsförhållanden samt att planera sina insatser för människor med funktionshinder.

Ansökan om bostad i en särskild boendeform för service och omvårdnad kommer i allmänhet att prövas som bistånd enligt 4 kap. 1 § socialtjänstlagen.

8.5.5. Hemtjänst och dagverksamhet

Kommunen har som nämnts enligt 3 kap. 6 § socialtjänstlagen ett ansvar för att underlätta för alla kommuninvånare att bo hemma och att ha kontakt med andra genom att anordna hemtjänst, dagverksamheter eller annan liknande social tjänst.

Hemtjänsten bör medverka till att den enskilde behåller sin intellektuella, emotionella och fysiska förmåga. Därigenom kan den som får hjälp leva ett aktivt liv.30 Begreppet hemtjänst är inte närmare preciserat i lagtexten, men av förarbetena framgår det vilka typer av insatser som ska ingå i hemtjänsten.31 Hemtjänstens arbetsuppgifter delas upp i två olika kategorier, en med inriktning mot arbetsuppgifter av servicekaraktär och en med inriktning mot personlig omvårdnad. Med serviceuppgifter avses bl.a. praktisk hjälp med hemmets skötsel, såsom städning, tvätt, hjälp med inköp, ärenden på post och bank och hjälp med tillredning av måltider eller distribution av färdiglagad mat. Med personlig omvårdnad avses de insatser som därutöver behövs för att tillgodose fysiska, psykiska och sociala behov. Det kan handla om hjälp för att kunna äta och dricka, klä sig och förflytta sig, sköta personlig hygien och i övrigt insatser för att bryta isolering och för att kunna känna trygghet och säkerhet i det egna hemmet. En annan viktig del av hemtjänsten är det sociala inslaget – att få en medmänniska och få stimulans genom umgänge med andra. Till omvårdnadsinsatserna räknas därför sociala insatser såsom samtal med den enskilde, aktivering samt hjälp med kontakt med närstående och serviceinrättningar.32 Det kan också vara led-

30Prop. 2005/06:115 s. 84. 31Prop. 1997/98:113 s. 119, prop. 1996/97:124 s. 87 ff. och prop. 2005/06:115 s. 83 f. 32Prop. 2005/06:115 s. 84.

sagning eller andra insatser som behövs för att bryta isolering eller insatser för att den enskilde ska känna sig trygg och säker i det egna hemmet. I begreppet hemtjänst ingår även avlösning av anhörigvårdare i hemmet. Trygghetslarm är också en sådan insats som innefattas i begreppet hemtjänst. Även samtalsstöd och rådgivning kan anses ingå i begreppet hemtjänst.33 Syftet med hemtjänstinsatser är att underlätta och möjliggöra människors dagliga livsföring i det egna hemmet. Insatserna gör det i många fall möjligt att bo kvar i det egna hemmet. Det kan handla om att människor som på grund av sjukdom, psykiska eller sociala funktionsnedsättningar eller annan orsak behöver stöd och hjälp i den dagliga livsföringen.34 Begreppet hemtjänst omfattar såväl insatser i ordinärt boende som i särskilt boende.35

Som ett komplement till hemtjänsten kan äldre som har behov av det även få tillgång till biståndsbedömd dagverksamhet. Syftet med dagverksamheten är bl.a. att underlätta för äldre att bo kvar i ordinärt boende, men den kan också ges som ett stöd i särskilt boende. Denna typ av dagverksamhet riktar sig främst till personer med demenssjukdomar eller psykiska funktionshinder, men den kan även ges till andra som behöver aktivering och rehabilitering. Dagverksamhet kan också fungera som avlösning för anhöriga. Utöver den behovsprövade dagverksamheten finns en stor flora av öppna verksamheter (dagcentraler, träffpunkter m.m.) som äldre kan besöka utan behovsprövning och beslut. Öppna verksamheter bedrivs ibland av frivilligorganisationer.36

8.5.6. Socialtjänstens insatser enligt LSS

Kommunen är också enligt LSS skyldig att svara för insatser för vissa funktionshindrade. Enligt lagen har den som har en viss diagnos som innebär en funktionsnedsättning rätt att få stödinsats beviljad för att kunna leva ett så gott och självständigt liv som möjligt. Enligt 7 § LSS är den som omfattas av lagen berättigad till insatser i form av särskilt stöd och särskild service om han eller hon behöver sådan hjälp i sin livsföring och om behovet inte tillgodoses på annat sätt. Den enskilde ska genom insatserna tillförsäkras goda levnadsvillkor.

33Prop. 2017/18:106 s. 19. 34Prop. 1996/97:124 s. 88. 35Prop. 2005/06:115 s. 84. 36Prop. 2005/06:115 s. 84 f.

Insatserna ska vara varaktiga och samordnade. De ska anpassas till mottagarens individuella behov samt utformas så att de är lätt tillgängliga för de personer som behöver dem och stärker deras förmåga att leva ett självständigt liv.

I 9 § LSS räknas ett antal insatser upp. Som exempel på sådana särskilda insatser som kan begäras kan nämnas personlig assistans, vilket innebär biträde av personlig assistent, eller ekonomiskt stöd till sådan assistans som exempelvis rör hjälp med personlig hygien, måltider, påklädning eller kommunikation med andra. Biträde av personlig assistent kan ges genom personligt vårdbiträde som är anställt hos kommunen, kooperativ, organisation eller företag. En personlig assistent kan också vara anställd av den funktionshindrade själv. Om den enskilde själv önskar vara arbetsgivare för den personliga assistenten eller själv anlita annat organ än kommunen, kan han av kommunen få ekonomiskt stöd till skäliga kostnader för personlig assistans. Den enskilde personen får då själv ordna sin personliga assistans på det sätt som han eller hon anser är bäst. Den grundläggande principen är att rätten till bidraget från kommunen följer samma villkor som rätten till biträde av personlig assistent. Andra exempel är ledsagarservice, kontaktperson, avlösarservice, korttidsvistelse utanför det egna hemmet och korttidstillsyn.

Kommunen ska även medverka till att personer med funktionsnedsättningar får meningsfull sysselsättning. Kommunen ska erbjuda daglig verksamhet för personer i yrkesverksam ålder som saknar arbete och som inte utbildar sig. Sådan daglig verksamhet bör innehålla både aktiviteter med habilitering och mer produktionsinriktade arbetsuppgifter. Det senare innebär dock inte att det är fråga om något avlönat arbete där syftet är att tillhandahålla tjänster eller producera varor.

Kommunen har även ansvaret för att personer med funktionshinder får bo på ett sätt som är anpassat efter den enskildes behov av särskilt stöd. Kommunen ska även inrätta bostäder med särskild service för dem som till följd av funktionshinder behöver ett sådant boende. Ett av de grundläggande syften med LSS är just att tillförsäkra personer med funktionshinder goda levnadsvillkor och rätten till en bostad som är särskilt anpassad efter den enskildes behov. Boendet kan vara ett gruppboende, serviceboende eller något annat särskilt anpassat boende.

Regionerna har dock ansvaret för insatsen rådgivning och annat personligt stöd enligt LSS. Här avses stödinsatser av övergripande natur som till viss del ligger hälso- och sjukvården nära. Insatserna kan vara av rådgivande och allmänt stödjande art och ges bl.a. av kurator, psykolog, dietist, sjukgymnast, talpedagog, logoped, arbetsterapeut, förskolekonsulent m.fl. yrkeskategorier som kan behövas för att erbjuda ett fullgott stöd. För att kunna bedöma insatsernas karaktär kan det också vara lämpligt att ha tillgång till konsultläkare. Avsikten är inte att ge sjukvårdande behandling, rehabilitering eller andra insatser som klart faller inom hälso- och sjukvårdslagens tillämpningsområde och inte heller att ge den typ av social service som socialtjänsten ska erbjuda eller pedagogiska insatser som hör till undervisning.37

I samband med att en insats enligt LSS beviljas ska den enskilde erbjudas att en individuell plan med beslutade och planerade insatser upprättas i samråd med honom eller henne, gällande både de insatser som kommunen ansvarar för och de som regionen ansvarar för (10 § LSS).

Stödet är avsett att lämnas till personer under 65 år. För att stöd ska kunna lämnas efter 65-årsdagen måste insatserna ha beviljats eller ansökan ha gjorts dessförinnan (9 b § LSS). Behov som uppkommer senare ska tas om hand inom äldreomsorgen.

8.5.7. Informationshantering inom socialtjänstens verksamhet för äldre och personer med funktionsnedsättningar 38

Hantering av information om enskilda inom socialtjänsten och verksamhet enligt LSS, hädanefter gemensamt benämnd socialtjänsten, förekommer kontinuerligt under ett ärendes gång. Det finns dock vissa skeden då hanteringen av information är mer intensiv. En stor del av informationshanteringen görs när en individuell behovsbedömning görs. I det skedet dokumenteras och inhämtas uppgifter för att en biståndshandläggare ska kunna fatta beslut om socialtjänstinsatser som den enskilde har ansökt om, t.ex. hemtjänst.

När insatserna sedan genomförs av personal inom hemtjänsten behöver även detta dokumenteras. Under genomförandefasen kan

37 Lars Lundgren och Per-Anders Sunesson, Nya sociallagarna, kommentaren till 9 § LSS, JUNO version:32. 38 Delar av denna beskrivning av är hämtad från betänkandet Rätt information på rätt plats i rätt

tid (SOU 2014:23) s. 565 f.

såväl kommunala som privata utförare stå för insatserna och dokumentationen, i många fall beroende på vilken utförare den enskilde själv har valt. För att de beslutade insatserna ska kunna genomföras på ett ändamålsenligt sätt görs ett informationsutbyte mellan den kommunala verksamhet som fattat beslut om insatsen och den eller de utförare som ska genomföra beslutet.

I nästa steg hanteras ofta uppgifter om enskilda för att följa upp de insatser som har genomförts. Det kan exempelvis handla om att kommunen som huvudman följer upp att den enskilde får den beviljade insatsen utförd enligt nämndens beslut och gällande författningar.

När socialtjänsten genom myndighetsutövning utreder och fattar beslut i ärenden hanteras information i första hand av kommunen som huvudman. I detta skede inhämtas vanligtvis information från andra källor som bedöms nödvändiga för att driva utredningen framåt och fatta ett beslut på goda grunder. Förutom från den enskilde som omfattas av utredningen förekommer att kommunen inhämtar information från anhöriga, hälso- och sjukvården, skolan, Polismyndigheten m.fl.

En beskrivning av regleringen av hanteringen av personuppgifter inom socialtjänsten finns i avsnitt 7.3.

8.5.8. Omfattningen av socialtjänstens insatser för äldre och personer med funktionsnedsättningar

Av Socialstyrelsens statistik för år 2019 framgår att drygt 329 000

äldre personer hade minst en verkställd insats enligt socialtjänstlagen,

den 31 oktober 2019, vilket motsvarar 16 procent av befolkningen 65 år eller äldre.39 Av Socialstyrelsens statistik framgår vidare att 237 000 äldre hade hemtjänstinsatser i sitt ordinära boende den 31 oktober 2019.40

När det gäller insatser för personer med funktionsnedsättningar framgår av Socialstyrelsens statistik att den 31 oktober 2019 hade 57 200 personer med funktionsnedsättning en pågående insats enligt socialtjänstlagen. De vanligaste insatserna var boendestöd, följt av

39Statistik om socialtjänstinsatser till äldre 2019, Socialstyrelsen (2020). 40Statistik om äldre och personer med funktionsnedsättning efter regiform 2019, Socialstyrelsen (2020).

hemtjänst i ordinärt boende och trygghetslarm.41 Pågående insats enligt LSS som kommunen ansvarar för hade den 1 oktober 2019 75 000 personer.42

Det är upp till varje kommun att avgöra om valfrihetssystem enligt lagen om valfrihetssystem ska införas inom socialtjänstens verksamhet rörande äldre personer och kommunens insatser enligt LSS till personer med funktionsnedsättning eller inte. Av Sveriges 290 kommuner hade den 1 juli 2020, drygt hälften – 160 kommuner – valfrihetssystem i drift. I dessa kommuner är valfrihet inom hemtjänst vanligast. Men flera kommuner har även valfrihet inom ramen för LSS.43

Socialstyrelsen för även statistik över hur stor andel av socialtjänstens insatser som utförs i enskild regi.44 Av denna statistik framgår att när det gäller hemtjänst för äldre personer, dvs. personer 65 år eller äldre, utfördes 17 procent av hemtjänsttimmarna i enskild regi och cirka 20 procent av de som bodde på enskilt boende bodde på ett enskilt boende som drevs i enskild regi. När det gäller personer under 65 år med funktionsnedsättning bodde år 2019 20 procent på särskilt boende i enskild regi och 24 procent av hemtjänsttimmarna skedde i enskild regi.

Mot denna bakgrund står det enligt utredningens mening klart att de aktuella verksamheterna är av betydande storlek räknat till antal personer som får insatser. Det står även klart att en stor del av verksamheten bedrivs i enskild regi.

8.6. Ansvaret när privata utförare utför vård och omsorg

Allmänt gäller att kommuner och regioner, med de begränsningar som framgår av lag, får överlämna skötseln av kommunala angelägenheter till privata utförare. Detta framgår av 3 kap. 12 § respektive 10 kap. 1 § kommunallagen. Vidare finns en bestämmelse som ger kommuner och regioner en generell rätt till avtalssamverkan. Enligt

41Statistik om socialtjänstinsatser till personer med funktionsnedsättning 2019, Socialstyrelsen (2020). 42Statistik om insatser enligt lagen om stöd och service till vissa funktionshindrade 2019, Socialstyrelsen (2020). 43 Sveriges Kommuner och Regioner, Beslutsläge LOV-införande Juli 2020. 44Statistik om äldre och personer med funktionsnedsättning efter regiform 2019, Socialstyrelsen (2020).

bestämmelsen får en kommun eller en region ingå avtal om att någon av dess uppgifter helt eller delvis ska utföras av en annan kommun eller en annan region (avtalssamverkan) (9 kap. 37 § KL). Sådan avtalssamverkan hindras inte av det annars gällande kravet i kommunallagen på anknytning till kommunens eller regionens område eller dess medlemmar (den s.k. lokaliseringsprincipen i 2 kap. 1 § KL).

I 15 kap. 1 § hälso- och sjukvårdslagen, 2 kap. 5 § socialtjänstlagen och 17 § LSS finns specialregler som, utöver den generella rätten till avtalssamverkan i kommunallagen, anger att region eller kommun får överlåta utförandet till privata aktörer.

Enskilda vårdgivare med offentlig finansiering grundar vanligen sin verksamhet på i huvudsak någon av följande avtalsrelationer med region eller kommun:

  • Vårdval enligt lagen om valfrihetssystem.
  • Upphandling enligt lagen om offentlig upphandling.
  • Ersättningsetablering enligt lagen (1993:1651) om läkarvårdsersättning och enligt lagen (1993:1652) om ersättning för fysioterapi.
  • Direktavtal.

Ansvaret mot de egna kommunmedlemmarna ligger på kommunen eller regionen som huvudman även om vissa uppgifter lämnats över till en enskild utförare. Detta kan indirekt utläsas av kommunallagen, där det anges att de kommunala nämnderna har ett ansvar att kontrollera att verksamheten bedrivs på ett tillfredsställande sätt, även när en kommunal angelägenhet har lämnats över till någon annan (6 kap. 6 § KL). I 10 kap.8 och 9 §§kommunallagen finns vidare särskilda bestämmelser som reglerar kommunens skyldighet att kontrollera och genomföra verksamhetsuppföljning när kommunala angelägenheter lämnats över till privata utförare. Detta innebär att regionen eller kommunen har det yttersta ansvaret även för förvaltningsuppgifter som har anförtrotts åt en entreprenör.45 Även när kommuner och regioner lämnat över utförandet av verksamhet till privata aktörer, kvarstår därför det kommunala huvudmannaskapet och därmed det yttersta ansvaret för verksamheten. Man kan beskriva det som att den enskilda utföraren tillhandahåller en tjänst

45 Olle Lundin och Tom Madell,Kommunallagen, kommentaren till 10 kap. 8 §, JUNO, version:2A.

och kommunen eller regionen behåller det övergripande ansvaret på samma sätt som när den bedriver verksamhet i egen regi. Region och kommun är alltså huvudmän och beställare av vård och omsorg. I den egenskapen är de ansvariga för att följa upp och kontrollera hur de privata utförarna sköter den offentligt finansierade vården och omsorgen.

8.7. Regelverk om samverkan i hälso- och sjukvård och socialtjänst

8.7.1. Allmän samverkan

Ett övergripande krav på samverkan som gäller både regioner och kommuner, är att de vid planeringen och utvecklingen av hälso- och sjukvården ska samverka med samhällsorgan, organisationer och vårdgivare (7 kap. 7 § HSL och 11 kap. 3 § HSL). En precisering av denna samverkansskyldighet är regionens skyldighet att till kommunerna inom regionen avsätta de läkarresurser som behövs för att kommunerna ska kunna fullgöra sina uppgifter inom hälso- och sjukvården (16 kap. 1 § HSL). Den regionanställda läkarens uppgift är att regelbundet besöka de boende och ge stöd till övriga professioner. Läkaren ska i den kommunala vården även akut kunna ge nödvändiga insatser i olika boendeformer där kommunen ansvarar för vården.46

Regionen och kommunen ska även samverka så att den som bor i särskilt boende, vistas i dagverksamhet eller får hemsjukvård från kommunen också får övrig vård och behandling, hjälpmedel och sådana förbrukningsartiklar som denne kan behöva (16 kap. 2 § HSL).

Regionen ska ingå en överenskommelse med kommunen om ett samarbete i fråga om bl.a. personer med psykiska funktionsnedsättningar (16 kap. 3 § 1 HSL). Motsvarande skyldighet finns för kommunen att ingå överenskommelse med regionen om ett samarbete i fråga om personer med psykiska funktionsnedsättningar (5 kap. 8 a § socialtjänstlagen). Kommunen ska även planera sina insatser för människor med fysiska och psykiska funktionsnedsättningar och i denna planering ska kommunen samverka med regionen

46Prop. 2005/06:115 s. 178.

samt andra samhällsorgan och organisationer (5 kap. 8 a § socialtjänstlagen).

Inom socialtjänsten ska kommunen planera sina insatser för äldre och personer med funktionsnedsättningar i samverkan med regionen samt andra samhällsorgan och organisationer (5 kap. 6 och 8 §§ SoL).

Den 1 januari 2018 infördes lagen (2017:612) om samverkan vid utskrivning från sluten hälso- och sjukvård (samverkanslagen). Samverkanslagen syftar till att främja en god vård och en socialtjänst av god kvalitet för enskilda som efter utskrivning från sluten vård behöver insatser från socialtjänsten, den kommunalt finansierade hälso- och sjukvården eller den regionalt finansierade öppna vården (1 kap. 2 § samverkanslagen). Regeringens mål med den föreslagna regleringen var att den skulle leda till en trygg och säker utskrivningsprocess och att så långt möjligt bidra till att den enskilde inte i onödan ska behöva tillbringa tid på sjukhus. Ambitionen var att bidra till en säkrare och för patienterna tryggare förflyttning från vård på sjukhus till vård och omsorg i eget eller särskilt boende.47

I lagen (2003:192) om gemensam nämnd inom vård- och omsorgsområdet finns bestämmelser som möjliggör samverkan i en gemensam nämnd. En region och en eller flera kommuner som ingår i regionen får genom samverkan i en gemensam nämnd gemensamt fullgöra regionens arbetsuppgifter enligt bl.a. hälso- och sjukvårdslagen och tandvårdslagen (1985:125) (1 § 1). Vidare får en sådan gemensam nämnd fullgöra kommunens arbetsuppgifter enligt bl.a. socialtjänstlagen och hälso- och sjukvårdslagen (1 § 2).

8.7.2. Samordnade vårdplaner inom vård och omsorg

I vissa fall finns särskilda bestämmelser som föreskriver att samordnad vårdplanering kring en individ ska göras gemensamt mellan olika verksamheter. Detta ska i regel dokumenteras i en samordnad vårdplan. Det finns ett flertal krav på individuella planer i olika författningar i både hälso- och sjukvård och socialtjänst. Nedan ges några exempel där det finns författningskrav på samordnade vårdplaner samt hur dessa ska dokumenteras beskrivs nedan.

47Prop. 2016/17:106 s. 27.

Samordnad individuell vårdplan (SIP)

Kommuner och regioner ska gemensamt upprätta en s.k. samordnad individuell vårdplan (förkortad SIP) för en person som har behov av insatser både från hälso- och sjukvården och från socialtjänsten. Detta framgår av 16 kap. 4 § HSL. Socialstyrelsens termbank ger följande definition för samordnad individuell vårdplan.48

Vård- och omsorgsplan som beskriver insatser/åtgärder som den enskilde har behov av från både hälso- och sjukvård och socialtjänst och som tagits fram genom samordnad vård- och omsorgsplanering.

Av den samordnade individuella vårdplanen ska det framgå

  • vilka insatser som behövs,
  • vilka insatser som respektive huvudman ska svara för,
  • vilka åtgärder som vidtas av någon annan än regionen eller kommunen, och
  • vem av huvudmännen som ska ha det övergripande ansvaret för planen (16 kap. 4 § HSL).

Motsvarande skyldighet för socialtjänsten i en kommun finns i 2 kap. 7 § socialtjänstlagen.

Bestämmelserna om SIP är inte avsedda för någon särskild grupp utan omfattar alla personer som behöver en individuell plan för att få sina behov tillgodosedda. Missbruksvården och äldreomsorgen är dock exempel på verksamheter inom socialtjänsten där bestämmelserna om SIP ofta får betydelse. Skyldigheten att upprätta en individuell plan är inte heller avgränsad till vissa åldersgrupper utan gäller insatser till både vuxna och barn.49

En tydlig situation när en SIP behövs är när insatser från andra huvudmän är nödvändiga för att den som gör bedömningen av planeringsbehovet ska kunna fullgöra sitt ansvar. Det kan handla om en person som har sociala insatser från kommunen men som har svårt att ta emot dessa om han eller hon inte samtidigt får medicinska rehabiliteringsinsatser.50

48 Socialstyrelsens termbank, länk https://termbank.socialstyrelsen.se.49Prop. 2008/09:193 s. 20. 50Prop. 2008/09:193 s. 21.

Skyldigheten att upprätta en SIP omfattar samtliga personer som har behov av socialtjänstens insatser och hälso- och sjukvård, dvs. även de som får dessa behov tillgodosedda av enskilda vårdgivare eller andra enskilda aktörer som region och kommun har slutit avtal med. Det är alltså regioner och kommuners skyldighet att försäkra sig om att individuella planer upprättas även för patienter och klienter som får omsorg av enskilda vårdgivare.

Samordnad vårdplan vid utskrivning från sluten hälso- och sjukvård

Samverkanslagen innehåller bestämmelser om vårdplanering vid övergången när en patient skrivs ut från inneliggande (sluten) vård till öppen vård. Samverkanslagen reglerar bl.a. samverkan vid planering av insatser för enskilda som efter att de skrivits ut från sluten vård kan komma att behöva insatser från socialtjänsten, den kommunalt finansierade hälso- och sjukvården eller den regionalt finansierade öppna vården (1 kap. 1 § samverkanslagen).

Samordnad plan vid utskrivning definieras enligt Socialstyrelsens termbank enligt följande.51

Vård- och omsorgsplan som upprättats vid utskrivning från sluten vård för att beskriva den enskildes fortsatta behov av insatser/åtgärder från hälso- och sjukvård och/eller socialtjänst och som är ett resultat av samordnad vård- och omsorgsplanering.

Om patienten efter utskrivningen behöver insatser från både region och kommun i form av hälso- och sjukvård eller socialtjänst, ska en samordnad individuell planering genomföras av representanter för de enheter som ansvarar för insatserna (4 kap. 1 § samverkanslagen). Om insatser behövs från den kommunalt finansierade hälso- och sjukvården, ska även den regionfinansierade öppna vården medverka i den samordnade individuella planeringen.

51 Socialstyrelsens termbank, länk https://termbank.socialstyrelsen.se.

Dokumentation av vårdplaner och insatser vid samverkan

En vårdgivare ska säkerställa att en patientjournal innehåller bl.a. uppgift om sådan vårdplanering som genomförts för patienten (5 kap. 5 § första stycket 13 Socialstyrelsens föreskrifter och allmänna råd [HSLF-FS 2016:40] om journalföring och behandling av personuppgifter i hälso- och sjukvården). I Socialstyrelsens handbok till föreskrifterna skriver Socialstyrelsen att dokumentationen kan omfatta ”en beskrivning av vårdens planering, genomförande och resultat”.52

I 3 kap. Socialstyrelsens föreskrifter (SOSFS 2005:27) om samverkan vid in- och utskrivning av patienter i sluten vård finns särskilda bestämmelser om vårdplanering. Där anges att all vårdplanering enligt dessa föreskrifter ska dokumenteras i patientjournalen i den slutna vården (3 kap. 6 § SOSFS 2005:27).

Bestämmelser om dokumentation av planer inom socialtjänsten finns i Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2014:5) om dokumentation i verksamhet som bedrivs med stöd av SoL, LVU, LVM och LSS. Det framgår bl.a. att planer ska tillföras den enskildes personakt så snart planen är upprättad (6 kap. 2 § SOSFS 2014:5).

Socialstyrelsens föreskrifter och allmänna råd om ledningssystem för systematiskt kvalitetsarbete (SOSFS 2011:9) gäller för hälso- och sjukvård, tandvård, socialtjänst och verksamhet enligt LSS. Föreskrifterna ställer krav på att vårdgivaren (eller den som bedriver socialtjänst eller verksamhet enligt LSS) utarbetar och fastställer de rutiner som behövs för att säkra verksamhetens kvalitet53 (4 kap. 4 § första stycket). Föreskrifterna beskriver bl.a. processer kring överföring av information om enskilda patienter och samverkan i vårdprocesserna.

52 Journalföring och behandling av personuppgifter i hälso- och sjukvården Handbok vid tillämp-

ningen av Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården, s. 67.

53 Kvalitet definieras i detta sammanhang som att en verksamhet uppfyller de krav och mål som gäller för verksamheten enligt lagar och andra föreskrifter om hälso- och sjukvård, socialtjänst och stöd och service till vissa funktionshindrade och beslut som har meddelats med stöd av sådana föreskrifter (2 kap. 1 § SOSFS 2011:9).

9. Tidigare utredningsförslag

9.1. Äldre utredningar

Övergången till en i huvudsak digital hantering av personuppgifter inom socialtjänsten och hälso- och sjukvården har pågått under lång tid. Det har gjorts flera översyner av regleringen av behandling av personuppgifter inom dessa områden. Några exempel är Socialdata-

utredningen vars slutbetänkande (SOU 1999:109)1 låg till grund för

lagen om behandling av personuppgifter inom socialtjänsten som trädde i kraft 2001, Patientdatautredningen vars slutbetänkande (SOU 2006:82)2 låg till grund för patientdatalagen som trädde i kraft 2008 och Socialtjänstdatautredningen vars slutbetänkande (SOU 2009:32)3 lämnades i mars 2009.

Socialtjänstdatautredningen förslog bl.a. regler som skulle ge

förbättrade möjligheter för utbyte av personuppgifter mellan socialtjänsten och hälso- och sjukvården. Utredningen menade att det finns ett påtagligt ökat behov av informationsutbyte mellan socialtjänsten och hälso- och sjukvården. En grundläggande förutsättning för att samverkan ska kunna fungera genom hela vårdkedjan är att den information som behövs för att planera den enskildes vård och omsorg finns tillgänglig, bl.a. för gemensamma verksamhetsuppföljningar. Därför föreslog utredningen att införa ändamålsbestämmelser som anger att personuppgifter inom socialtjänsten respektive hälso- och sjukvården får behandlas för gemensamma verksamhetsuppföljningar mellan de båda verksamhetsområdena. Utredningen föreslog även, för att likställa socialtjänstens regelverk med hälso- och sjukvårdens, en ny sekretessbestämmelse som bryter sekretessen mellan olika myndigheter som bedriver viss socialtjänstverk-

1Behandling av personuppgifter inom socialtjänsten (SOU 1999:109). 2Patientdatalag (SOU 2006:82). 3Socialtjänsten – Integritet – Effektivitet (SOU 2009:32).

samhet inom en och samma kommun. Vidare föreslogs en sekretessbestämmelse som skulle gälla för gemensam uppföljning, utvärdering och kvalitetssäkring (verksamhetsuppföljning).4Socialtjänst-

datautredningens förslag ledde dock inte till några lagstiftnings-

åtgärder.

9.2. Anpassningen till dataskyddsförordningen

Inför att dataskyddsförordningen skulle börja tillämpas tillsattes

Dataskyddsutredningen vars uppdrag var att föreslå en nationell regler-

ing som kompletterar dataskyddsförordningen. I uppdraget ingick inte att se över registerförfattningarna eller annan sektorsspecifik reglering om behandling av personuppgifter. Förslagen i utredningens betänkande5 ledde bl.a. till att personuppgiftslagen och personuppgiftsförordningen upphävdes och att kompletterande bestämmelser samlades i den nya dataskyddslagen.

Socialdataskyddsutredningen undersökte vilka konsekvenser data-

skyddsförordningen medför i fråga om behandling av personuppgifter inom Socialdepartementets verksamhetsområde, samt föreslog anpassningar i nationell rätt (SOU 2017:66).6 Utredningens förslag ledde till ändringar i ett stort antal lagar inom Socialdepartementets verksamhetsområde. I den efterföljande propositionen uttalade regeringen att laglig behandling av personuppgifter som sedan tidigare förekom i olika verksamheter bör kunna fortsätta. Ändringar i förutsättningarna för att ytterligare behandla personuppgifter skulle få övervägas i annan ordning. Lagförslagen avgränsades till att hantera de anpassningar i författningar inom Socialdepartementets verksamhetsområde som vid det tillfället bedömdes behövas med anledning av dataskyddsförordningen.7

4SOU 2009:32 s. 25 ff. 5Ny dataskyddslag – Kompletterande bestämmelser till EU:s dataskyddsförordning (SOU 2017:39). 6Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s data-

skyddsförordning (SOU 2017:66).

7Prop. 2017/18:171 s. 58.

9.3. Digitaliseringsrättsutredningen

Det har också genomförts utredningar som på ett generellt plan berör övergången till ett digitalt arbetssätt och hantering av digital information. Digitaliseringsrättsutredningen hade i uppdrag att kartlägga och analysera i vilken utsträckning det förekommer lagstiftning som i onödan försvårar digital utveckling och samverkan inom den offentliga förvaltningen. Utredningen ansåg att en allt mer digitaliserad förvaltning samtidigt kan innebära att samhället öppnar upp för olika risker. God informationssäkerhet är därför nödvändig i den digitala förvaltningen. Vad som ur integritetssynpunkt kan anses tillåtet, såväl när det gäller dataskyddsreglering som sekretessreglering, är också centralt. Digitaliseringsrättsutredningen föreslog i sitt slutbetänkande (SOU 2018:25)8 bl.a. en ny reglering om digital kommunikation i förvaltningslagen (2017:900). Förslaget innehåller en ny huvudregel om att myndigheters kommunikation med personer ska vara digital, om det inte är olämpligt av säkerhetsskäl eller av andra skäl.9 Förslaget har ännu inte lett till några lagändringar utan bereds för närvarande.

9.4. Integritetskommittén

Integritetskommittén ansåg i sitt slutbetänkande (SOU 2017:52)10 att

det behövs en ny reglering för den behandling av personuppgifter som förekommer inom socialtjänsten och att behandling av personuppgifter inom socialtjänsten i likhet med vad som gäller i hälso- och sjukvården bör regleras i en egen lag. Vidare ansåg kommittén att nya integritetsstärkande regler borde införas i patientdatalagen där vårdgivarens övergripande ansvar för en säker och ändamålsenlig hantering av personuppgifter skulle uttryckas tydligare och på ett samlat sätt i patientdatalagen.11 I sitt delbetänkande (SOU 2016:41)12 gjorde kommittén en kartläggning av de integritetsrisker som en vanlig medborgare kan utsättas för. Det som är förknippat med den högsta risken för den personliga integriteten ansågs oftast handla om den stora

8Juridik som stöd för förvaltningens digitalisering (SOU 2018:25). 9SOU 2018:25 s. 20. 10Så stärker vi den personliga integriteten. Slutbetänkande av integritetskommittén (SOU 2017:52). 11SOU 2017:52 s. 24 f. 12Hur står det till med den personliga integriteten? (SOU 2016:41

).

insamling och hantering av personuppgifter som stora delar av befolkningen genomgår. Här ingår informationshanteringen inom hälso- och sjukvård och s.k. välfärdstjänster inom socialtjänsten, inte minst frågor om rätt behörighet och åtkomstkontroller.13

Riksdagen har ansett att regeringen bör överväga om det finns anledning att göra en översyn av patientdatalagen och annan relevant lagstiftning. Det är enligt riksdagen angeläget att lagstiftningen på området är anpassad till de krav som dagens teknik ställer, samtidigt som den personliga integriteten beaktas.14

9.5. Styrning för en mer jämlik vård

Utredningen Styrning för en mer jämlik vård lämnade sitt slutbetänkande i oktober 2019 (SOU 2019:42)15. Utredningen ansåg att en avgörande komponent för att nå målbilden en vård på lika villkor för hela befolkningen är att skapa ett fungerande informationsutbyte om patienten. Särskilt viktig är en sådan utveckling för de patienter som har de största behoven, som konsumerar mest vård och som ofta har behov av insatser från både region och kommun. Att olika vårdgivare behöver få del av varandras vårddokumentation för att kunna ge bästa möjliga vård, var enligt utredningen ett centralt tema under hearingar, i samtal med nätläkare och med andra privata vårdgivare. Utredningen hänvisade till att flera tidigare utredningar (SOU 2014:23, SOU 2015:32 och SOU 2016:2) slagit fast att nuvarande lagstiftning om informationsutbyte inte ger tillräckliga förutsättningar för de gränsöverskridande organisationer och arbetssätt som hälso- och sjukvården behöver utveckla. Trots de senaste årens utveckling mot en ökad mångfald av vårdgivare, större valmöjligheter för patienten, samt ett ökat åtagande för kommuner som hälso- och sjukvårdshuvudmän, har frågan om hur informationen enkelt ska kunna följa med patienten över vårdgivargränser inte beaktats.16

13SOU 2016:41 s. 76 f och 245. 14 Socialutskottets betänkande 2018/19:SoU8 punkt 58, rskr. 2018/19:233. 15Digifysiskt vårdval – Tillgänglig primärvård baserad på behov och kontinuitet (SOU 2019:42). 16SOU 2019:42 s. 338.

9.6. Rätt information i vård och omsorg

Utredningen Rätt information i vård och omsorg tillsattes år 2011 med uppdraget att utreda och lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Utredningen lämnade ett omfattande slutbetänkande (SOU 2014:23)17 med ett stort antal förslag som på olika sätt syftade till att öka förutsättningarna för en mer ändamålsenlig och sammanhållen informationshantering. Utredningen föreslog exempelvis att man skulle införa två nya lagar som reglerar informationshantering inom hälso- och sjukvården och socialtjänsten, en socialtjänstdatalag och en hälso- och sjukvårdsdatalag. Vidare föreslog utredningen att man skulle ändra reglerna om direktåtkomst genom sammanhållen journalföring på så sätt att samtliga vårdgivare som finansieras av samma huvudman ska kunna dela uppgifter om en patient med hjälp av direktåtkomst under samma förutsättningar, oavsett om verksamheten drivs i offentlig eller privat regi.18

Utredningen identifierade ett antal faktorer av stor betydelse för att skapa en ännu mer ändamålsenlig och sammanhållen informationshantering inom hälso- och sjukvården. Dit hörde bl.a. att de rättsliga förutsättningarna för samverkan kring patienter ligger i linje med de krav på samverkan som finns i lagstiftningen och de behov som finns hos patienten. En annan viktig faktor var att de rättsliga förutsättningarna för att säkra och utveckla hälso- och sjukvårdens kvalitet ligger i linje med de krav som finns i lagstiftningen. Utredningen ansåg bl.a. att dagens lagstiftning är alltför organisationsorienterad och har lett till negativa följder som inte varit avsedda när det gäller informationshantering i vård och omsorg. Utredningen gjorde antagandet att personer i allmänhet sannolikt förutsätter att den information som behövs i en vårdprocess finns tillgänglig för samtliga vårdgivare på ett likvärdigt sätt, oavsett om vården utförs av en eller flera utförare. Utredningen förespråkade därför en informationshantering med individen i centrum för att leva upp till personers behov och förväntningar.19 Utredningen påtalade att den under arbetets gång fått höra synpunkter om att informationshan-

17Rätt information på rätt plats i rätt tid (SOU 2014:23). 18 För en sammanfattning av utredningens förslag, se SOU 2014:23 s. 27 ff. 19SOU 2014:23 s. 283 f.

teringen inte ligger i linje med de politiska initiativen kring ökad mångfald, större valfrihet och tydligare fokus på folkhälsa och prevention.20

Förslagen fick blandad kritik av remissinstanserna. Vissa menade att utredningens förslag på ett bra sätt väger in behovet av skydd för patienternas personliga integritet. Justitieombudsmannen, Justitiekanslern, Myndigheten för samhällsskydd och beredskap, Datainspektionen och Sveriges advokatsamfund kritiserade dock förslagen skarpt för att de inte tillräckligt beaktade den personliga integriteten.21

Utredningens förslag har medfört endast mindre lagändringar, bl.a. har bestämmelser i patientdatalagen som gäller personer med permanent nedsatt beslutsförmåga införts.22 Förslagen om en genomgripande förändring och en ny socialtjänstdatalag respektive en hälso- och sjukvårdsdatalag har inte genomförts.

9.7. Framtidens socialtjänst

Utredningen Framtidens socialtjänst hade i uppdrag att göra en översyn av socialtjänstlagen (2001:453) och vissa av socialtjänstens uppgifter. Syftet med uppdraget var bl.a. att utforma en socialtjänst som bidrar till social hållbarhet med individen i fokus och som med ett förebyggande perspektiv ger människor lika möjligheter och rättigheter. Utredningen lämnade sitt slutbetänkande Hållbar social-

tjänst – En ny socialtjänstlag (SOU 2020:47) i augusti 2020. Utred-

ningen lämnade bl.a. förslag om en ny socialtjänstlag som ska ersätta den nuvarande lagen. Utredningen uttalade att uppföljning är en nödvändig förutsättning för att säkerställa god kvalitet i socialtjänsten och att det finns starka indikationer på att kvalitetsarbetet inte fungerar tillfredställande i socialtjänsten i dag. Utredningen föreslog därför att det ska klargöras i socialtjänstlagen att kvaliteten i verksamheten systematiskt och fortlöpande ska följas upp, utvecklas och säkras. Vidare föreslog utredningen att det ska införas en ny

20SOU 2014:23 s. 296. 21 För närmare information om remissinstansernas synpunkter, se Socialdepartementets promemoria Remissammanställning över betänkande Rätt information på rätt plats i rätt tid 2014-10-09 S2014/00112/FS. 22SOU 2013:45, prop. 2013/14:202, bet. 2013/14:SoU20,och rskr. 2013/14:328.

lag om socialtjänstdataregister. Syftet med den lagen är att utöka Socialstyrelsens möjlighet att behandla personuppgifter för nationell statistik till att i större utsträckning motsvara de förutsättningar som finns inom hälso- och sjukvården.23

Förslaget bereds för närvarande i Regeringskansliet.

23SOU 2020:47 s. 35 ff.

10. Pågående utredningsarbete

10.1. Utredningen samordnad utveckling för god och nära vård

Utredningen tillsattes år 2017 med uppdraget att stödja regioner, berörda myndigheter och organisationer i arbetet med att samordnat utveckla en modern, jämlik, tillgänglig och effektiv hälso- och sjukvård med fokus på primärvården. Utredningen har överlämnat tre delbetänkanden. Det andra delbetänkandet God och nära vård. En pri-

märvårdsreform (SOU 2018:39) har utmynnat i en proposition som

lämnades i maj 2020. Enligt regeringen bör hälso- och sjukvården ställas om så att primärvården är navet i vården och samspelar med annan hälso- och sjukvård och med socialtjänsten. Målet med omställningen är att patienten ska få en god, nära och samordnad vård som stärker hälsan.1

Utredningens huvudbetänkande, God och nära vård – En reform

för ett hållbart hälso- och sjukvårdssystem (SOU 2020:19) överlämnades

i mars 2020. Förslagen i huvudbetänkandet, tillsammans med tidigare förslag, syftar till att bidra till en reform av hälso- och sjukvårdssystemen ur ett flertal aspekter, med en stark och resursstark primärvård som bas. Ett av utredningens uppdrag rör hur samverkan mellan primärvården och den kommunala hälso- och sjukvården kan underlättas. I detta ingår hur gränssnittet mellan dessa verksamheter bör se ut och hur förutsättningar för att samordna vårdinsatser för patienter och brukare i alla åldrar med omfattande och komplexa vårdbehov kan förbättras.2

Utredningen har identifierat ett behov av att stärka samverkan mellan regioner och kommuner för att säkerställa att patienter får en sammanhängande, personcentrerad hälso- och sjukvård. Utredningen

1Prop. 2019/20:164, bet. 2020/21:SoU2, rskr. 2020/21:61. Lagändringarna träder i kraft den 1 juli 2021 (SFS 2020:1043). 2SOU 2020:19 s. 19 f.

har även pekat på behovet av förebyggande och rehabiliterande vård- och omsorgsinsatser. I sitt huvudbetänkande lämnade utredningen ett antal förslag för att stärka samverkan mellan primärvården och den kommunala hälso- och sjukvården, bl.a. när det gäller regleringen av individuella vårdplaner. Utredningen har även lämnat förslag om att där det bedrivs hälso- och sjukvårdsverksamhet ska det finnas de förutsättningar för den samverkan som behövs för att en god vård ska kunna ges. Detta tydliggör kravet på ett hälso- och sjukvårdssystem som hänger ihop även på utförarnivå.3

Utredningens arbete pågår enligt tilläggsdirektiv som gäller tidiga insatser vid psykisk ohälsa och ska redovisas senast i slutet av januari 2021.

3SOU 2020:19 s. 21 ff.

ÖVERVÄGANDEN

och FÖRSLAG

11. Strukturförändringar som påverkar förutsättningarna att bedriva hälso- och sjukvård och socialtjänst

11.1. Inledning

Det har skett stora strukturförändringar inom socialtjänsten och hälso- och sjukvården under de senaste årtiondena. Följande förändringar påverkar på olika sätt förutsättningarna att bedriva hälso- och sjukvård och socialtjänst.

  • Det finns i dag fler olika utförare som är verksamma inom hälso- och sjukvård och socialtjänst än tidigare. Allt fler privata vårdgivare bedriver vård- och omsorg med eller utan offentlig finansiering.
  • Demografin förändras med en ökande andel äldre personer i befolkningen.
  • Den tekniska utvecklingen och ekonomiska skäl leder till en allt högre grad av digitalisering och ökade möjligheter att enkelt dela digitaliserad information.

11.2. Fler olika utförare av verksamheterna än tidigare

Det är regioner och kommuner som ansvarar för att invånarna får tillgång till hälso- och sjukvård och socialtjänst. Tidigare bedrev regioner och kommuner i princip all hälso- och sjukvård i egen regi och privat finansierad hälso- och sjukvård, utanför företagshälsovården, var sällsynt. Utvecklingen på senare år med den nationella vård-

garantin och det fria vårdvalet har dock ritat om kartan för det svenska vårdlandskapet. Utvecklingen har lett till att det finns allt fler privata vårdgivare som bedriver hälso- och sjukvård med offentlig finansiering. Denna utveckling ligger i linje med en politisk ambition att öka andelen privata aktörer inom vård och omsorg.

Som huvudman har regioner och kommuner alltid det yttersta ansvaret för den hälso- och sjukvård som bedrivs med offentlig finansiering och inte är statlig. Detta gäller även när en privat vårdgivare står för utförandet. Huvudmannen behöver bl.a. ha tillgång till uppgifter om patienten för att följa upp och utveckla vården. För patienten innebär utvecklingen en större valfrihet, samtidigt som han eller hon kan komma att få vård och omsorg av flera aktörer. Detta medför ökade behov av att information om patienten kan överföras mellan de olika aktörerna i vårdkedjan.

Den kommunala självstyrelsen och den fria kommunala nämndorganisationen ger regioner och kommuner stor frihet att välja sin organisationsform. Det är sannolikt andra aspekter än möjligheterna till informationsutbyte som avgör hur regioner och kommuner organiserar sina verksamheter. Geografiska och ekonomiska aspekter kan styra men även indelning utifrån kompetensområden eller enligt en s.k. beställar- och utförarmodell är vanligt förekommande. Det är inte ovanligt att en kommun har flera nämnder inom ett och samma verksamhetsområde. Den svenska offentlighets- och sekretesslagstiftningen bygger dock på principen att sekretessgränserna följer myndighetsgränserna. Detta kan leda till att det uppstår ”oönskade” sekretessgränser till följd av hur regioner och kommuner väljer att organisera sin verksamhet.

I en rapport från Riksrevisionen granskades de statliga insatserna som gjorts för att vårdpersonal ska ha tillgång till all relevant patientinformation vid rätt tillfälle. Riksrevisionen anförde att med regeringens ambition att öka andelen privata aktörer inom vård och omsorg blir det allt viktigare att säkerställa ett effektivt utbyte av information över organisationsgränserna. Riksrevisionens granskning visade att hur vården är organiserad får konsekvenser för hanteringen av patientinformation. Granskningen visade exempelvis att det i en region med få vårdgivare är enklare att få tillgång till patientinformation då

patientdatalagen ställer hårdare krav vid informationsutbyte mellan olika vårdgivare än inom en vårdgivare.1

11.3. Demografin förändras med en ökande andel äldre personer

Parallellt med utvecklingen mot fler utförare inom vård och omsorg pågår en demografisk förändring. Det handlar om den i grunden positiva utvecklingen att människor i Sverige lever allt längre. Andelen personer som är 80 år eller äldre förväntas öka kraftigt. År 2019 utgjorde andelen personer över 80 år cirka 5 procent av befolkningen. År 2050 förväntas andelen äldre ha ökat till 9 procent av befolkningen.2

Många äldre personer har flera sjukdomar och sammansatta vårdbehov. Myndigheten för vård-och omsorgsanalys konstaterar i en rapport att 85 procent av personerna över 65 år har minst en kronisk sjukdom. En majoritet av sjukvårdens resurser riktas till gruppen med kronisk sjukdom; de står för cirka 80–85 procent av sjukvårdskostnaderna.3

Kostnaden för sjukvården förväntas öka med cirka 30 procent under perioden 2010–2050.4 Kostnaden för äldreomsorgen förväntas öka med cirka 70 procent. Eftersom antalet äldre kommer att öka och ohälsan är som störst i denna grupp, förväntas antalet personer med svår ohälsa i befolkningen öka med 45 procent perioden 2010–2050.5

Många äldre som får vård i den kommunalt finansierade hälso- och sjukvården har också beviljats socialtjänstinsatser från kommunen. En person kan ta emot socialtjänstinsatser från flera olika utförare, t.ex. hemtjänst och dagverksamhet. Drygt 70 procent av de som är 65 år eller äldre och som tar emot vård från den kommunalt finansierade hälso- och sjukvården har också beviljats socialtjänstinsatser.

Att befolkningen blir äldre medför att fler personer kommer att utveckla de kroniska sjukdomar som normalt följer av hög ålder. Detta leder till ett ökat behov av vård och omsorg. Samtidigt som

1Rätt information vid rätt tillfälle inom vård och omsorg – samverkan utan verkan? (RiR 2011:19) s. 10 f. 2 Se utredningens direktiv s. 3. 3 Myndigheten för vård-och omsorgsanalys rapport VIP i vården – Om utmaningar i vården

av personer med kronisk sjukdom (Rapport 2014:2) s. 8 f. och 21.

4Den ljusnande framtid är vård: delresultat från LEV-projektet, Socialdepartementet, Regeringskansliet (2010). 5 Myndigheten för vård-och omsorgsanalys rapport VIP i vården – Om utmaningar i vården

av personer med kronisk sjukdom (Rapport 2014:2) s. 21.

andelen äldre ökar, kommer andelen personer i arbetsför ålder att minska trots att flera kan arbeta längre. Verksamheter inom hälso- och sjukvård och socialtjänst kommer därför att behöva tillgodose ökade behov utifrån en minskande skattebas i form av inkomst av tjänst och näringsverksamhet. Att ta tillvara de resurser som finns på bästa sätt blir avgörande.

11.4. Den digitala utvecklingen leder till både nya möjligheter och nya utmaningar

Digitaliseringen gör det möjligt att använda sig av personuppgifter i en ny omfattning och för andra ändamål än tidigare. Digitaliseringen gör det även möjligt med nya sätt att lagra, dela och sprida information om patienter. Hälso- och sjukvårdens informationshantering handlar i dag om mycket mer än den traditionella journalföringen där vårdpersonalen dokumenterat i efterhand på papper. Nya tekniska lösningar har potential att ge vårdgivare och huvudmän tillgång till patientdata, som skulle kunna användas för att utveckla och följa upp verksamheten. Också för socialtjänstens del kan digitalisering vara ett sätt att bättre utnyttja resurser och effektivisera verksamheter. Samtidigt måste skyddet för den personliga integriteten respekteras. Hälso- och sjukvården och socialtjänsten är informationsintensiva sektorer som behandlar stora mängder personuppgifter. Många av uppgifterna rör hälsa och personliga förhållanden och är av integritetskänslig karaktär. Sverige har internationellt sett en hög digitaliseringsgrad. EU gör sedan 2014 årliga mätningar av medlemsstaternas utveckling inom digitaliseringsområdet som publiceras i ett s.k. DESI-index (the Digital Economy and Society Index) som bygger på undersökningar inom fem olika områden, bl.a. tillgången till fast bredband, medborgarnas digitala kommunikationer samt e-förvaltning och e-hälsa. Sverige har alltid placerat sig bland de tre länder som ligger högst på listan och låg år 2018 på andra plats efter Danmark.

Att människor i Sverige i allmänhet är vana digitala användare medför också förväntningar på att kunna sköta kontakter med myndigheter digitalt. Enligt en studie från Sveriges Kommuner och Regioner om invånarnas inställning till digital service är drygt tre fjärde-

delar av invånarna positivt inställda till att regioner och kommuner erbjuder digital service och kommunicerar digitalt.6

11.5. Regelverket behöver anpassas

Som framgår ovan finns ett antal faktorer som påverkar de faktiska möjligheterna att hantera och utbyta information om patienter. Det har kommit signaler från flera håll att sättet att bedriva vård kommer att behöva förändras för att klara uppdraget att leverera god och patientsäker vård även i framtiden. För att klara utmaningarna kommer det även att handla om att flytta fokus, från reaktiv vård på sjukhus till preventiv vård i primärvården. Regeringen framhåller i ett utredningsdirektiv att svensk hälso- och sjukvård historiskt har dominerats av investeringar i specialistvård och akutsjukhus. Primärvården har emellertid en central roll att fylla. Det är dit patienten förväntas vända sig först för att få en bedömning, sjukvårdsbehandling eller skickas vidare för utredning eller sjukvårdsbehandling inom specialistsjukvården. I dag vänder sig dock en stor andel av patienterna till andra vårdnivån, t.ex. akutmottagningar, bl.a. på grund av brist på annan tillgänglig vårdinstans. Att personer som egentligen hade kunnat tas om hand inom primärvården eller med preventiva åtgärder vårdas på sjukhus leder till stora belastningar för sjukvårdssystemen. Regeringen framhåller att primärvårdens samordnande roll kan bidra till en helhetssyn på patienten och skapa förutsättningar för samverkan mellan olika yrkeskategorier. Det möjliggör ett förebyggande förhållningssätt som är en viktig förutsättning för en hållbar hälsoutveckling. Regeringen betonar att det är angeläget att primärvården förmår bidra till livsstilsförändringar för att förebygga kroniska eller andra långvariga sjukdomar samt till att minska risken för felaktig läkemedelsanvändning.7 Som ett led i detta blir det allt

6Invånarnas inställning till digital service i välfärden 2020. 7 Se dir. 2017:24 Samordnad utveckling för en modern, jämlik, tillgänglig och effektiv vård med fokus

på primärvården. Genom direktiven tillsattes utredningen Samordnad utveckling för god och nära vård (S 2017:01). Utredningen ska bl.a. samordnat utveckla en modern, jämlik, tillgänglig och

effektiv hälso- och sjukvård med fokus på primärvården. Arbetet utgör ett steg i en strukturförändring av det svenska hälso- och sjukvårdssystemet, som innebär att primärvården blir den verkliga basen och första linjen i hälso- och sjukvården. Utredningen ska även utreda och lämna förslag på hur samverkan mellan primärvården och den kommunala hälso- och sjukvården och omsorgen kan underlättas och hur gränssnittet mellan dessa verksamheter bör se ut. Vidare ska utredningen se över förutsättningarna för att samordna vårdinsatser för patienter med omfattande och komplexa vårdbehov. Se utredningens hemsida : www.sou.gov.se/godochnaravard/.

viktigare att utforma de juridiska förutsättningarna för ett effektivt och säkert utbyte av information mellan verksamheter inom socialtjänst och hälso- och sjukvård.

Socialstyrelsen har i en undersökning från år 2019 kartlagt hur den kommunala hälso- och sjukvården är organiserad. Kartläggningen visar att de många kontakterna mellan olika vårdgivare eller utförare när en person går över från en verksamhet till en annan ställer krav på en väl fungerande samverkan för att inte innebära risker i form av t.ex. missförstånd eller avsaknad av information om nästa behandlingssteg. Socialstyrelsen konstaterar att kontinuiteten i vården och omsorgen är mycket viktig för personers upplevelse av trygghet.8

Datainspektionen har genomfört riktade tillsynsinsatser med fokus på behandling av personuppgifter inom vård och omsorg. Flera av de tillsynsinsatser som gjorts under åren har belyst gränserna och problematiken för hur personuppgifter får hanteras i socialtjänsten och hälso- och sjukvården. I Datainspektionens tillsynsplan för 2019 och 2020 var hälso- och sjukvården ett särskilt utpekat område för insatser under 2019.

Riksdagen har i ett tillkännagivande anfört att regeringen bör överväga om det finns anledning att göra en översyn av patientdatalagen och annan relevant lagstiftning. Det är enligt riksdagen angeläget att lagstiftningen på området är anpassad till de krav som dagens teknik ställer, samtidigt som den personliga integriteten beaktas.9

Regeringen konstaterar i utredningens direktiv (bilaga 1) att en översyn av vissa frågor som gäller hantering av personuppgifter i socialtjänst och hälso- och sjukvårdsverksamhet behöver göras. Bedömningen bygger på förändrade organisationsformer i socialtjänsten och hälso- och sjukvården, den ökade användningen av digitala stöd för personuppgiftshantering samt behovet av klargöranden kring lagstiftningen utifrån vad Datainspektionen uttryckt i sina tillsynsinsatser. Regeringen lyfter i direktiven fram det ökade antalet aktörer inom hälso- och sjukvård och socialtjänst, den allt äldre befolkningen och den allmänna digitaliseringen i samhället som faktorer som påverkar förutsättningarna att bedriva vård- och omsorg. Regeringen hänvisar även till rapporter som visar att patienter och brukare generellt har en positiv inställning till digital service i välfärden, så länge personuppgifterna skyddas på ett tillfredsställande sätt.

8Kommunalt finansierad hälso-och sjukvård – förstudie, art nr. 2019-2-17 s. 7 f. 9 Bet. 2018/19:SoU8 punkt 58 och rskr. 2018/19:233.

Samtliga uppdrag i direktiven rör frågor kring hanteringen av personuppgifter i socialtjänst och hälso- och sjukvård. Regeringen konstaterar att det i princip uteslutande handlar om uppgifter som rör människors hälsa och livssituation, dvs. information av integritetskänslig karaktär. Utredningen ska därför särskilt ta hänsyn till och redogöra för behovet av informationssäkerhet, rättssäkerhet och skydd för den personliga integriteten. Eventuella inskränkningar i integritetsskyddet ska följas av analyser och proportionerliga och tydliga avvägningar där alternativa och mindre integritetskränkande alternativ ska övervägas.

I detta delbetänkande tar utredningen upp frågorna om – möjligheterna att införa direktåtkomst inom och mellan vissa verk-

samheter i socialtjänst och hälso- och sjukvård, – utvidgade möjligheter till informationsöverföring för kvalitets-

utveckling mellan bl.a. vårdgivare i hälso- och sjukvård och kommunala nämnder, och – möjligheterna att införa sekretessbrytande bestämmelser för viss

hantering av personuppgifter i socialtjänst och hälso- och sjukvård.

I följande kapitel berörs dessa frågor i huvudsak utifrån ovan angiven ordning. Utredningen redovisar också den integritetsanalys som gjorts i respektive avsnitt.

12. Sammanhållen omsorgsdokumentation inom socialtjänsten för äldre och personer med funktionsnedsättningar

12.1. Inledning

Behovet av att kunna utbyta information mellan vårdgivare och utförare inom socialtjänsten i syfte att ge en god och säker omsorg, med bibehållen integritet och säkerhet, har ökat under senare år. Utredningens uppdrag är att se över möjligheterna att införa direktåtkomst, i likhet med den möjlighet som i dag ges genom sammanhållen journalföring, genom en s.k. sammanhållen vård- och omsorgsdokumentation mellan på ena sidan verksamheter som avser äldre personer, t.ex. hemtjänst eller dagverksamhet för personer med demenssjukdom, och personer med funktionsnedsättningar som har insatser enligt socialtjänstlagen (2001:453) (SoL) t.ex. boendestöd och insatser enligt lagen (1993:387) om stöd och service till vissa funktionshindrade (LSS) och på andra sidan hälso- och sjukvård. I detta kapitel berörs frågan om sammanhållen omsorgsdokumentation i socialtjänsten för äldre och personer med funktionsnedsättningar. Frågan om en sammanhållen vård- och omsorgsdokumentation mellan hälso- och sjukvården och socialtjänsten berörs i kapitel 13.

Ett väl fungerande informationssystem där all omsorgsdokumentation om en person inom verksamheter som avser äldre eller personer med funktionsnedsättningar samlas i strukturerad form kan å

ena sidan vara till stor nytta, både för omsorgsmottagaren1 och för omsorgsgivarna2 och, i förlängningen, för samhället i stort. Å andra sidan rör det sig i stor utsträckning om behandling av känsliga personuppgifter och personuppgifter som på annat sätt är av känslig karaktär. Om dokumentationen görs tillgänglig mellan olika omsorgsgivare inom socialtjänsten genom direktåtkomst, innebär det att sekretesskyddade uppgifter blir elektroniskt tillgängliga för andra omsorgsgivare utan att det i varje enskilt fall görs en sekretessprövning i samband med utlämnandet. Att öppna en möjlighet till enkel elektronisk åtkomst till sådana uppgifter väcker därför frågor om risker för intrång i den enskildes integritet.

Direktåtkomst brukar således, av skäl som beskrivs närmare i avsnitt 12.3.3 och 12.3.4, anses innebära särskilda integritetsrisker. Utredningen bör därför, vid bedömningen av om det är möjligt att införa direktåtkomst mellan olika verksamheter inom socialtjänsten som avser äldre och personer med funktionsnedsättningar, göra en avvägning mellan behovet av sådan åtkomst till personuppgifterna och de integritetsrisker ett sådant system skulle medföra. För att direktåtkomst ska vara möjlig i detta sammanhang krävs det att behovet, nyttan, väger tyngre än riskerna med åtkomsten till uppgifterna. Vid denna avvägning bör även alternativet utlämnande på medium för automatiserad behandling, dvs. annat elektroniskt utlämnande än direktåtkomst, övervägas, eftersom detta ansetts vara ett mindre integritetskränkande alternativ jämfört med direktåtkomst.

Kapitlet inleds med en beskrivning av behovet av elektronisk åtkomst till personuppgifter mellan socialtjänstens verksamheter avseende äldre och personer med funktionsnedsättningar. Därefter berörs olika former av elektroniskt utlämnande och vilka risker direktåtkomst kan antas innebära ur ett sekretess- och dataskyddsperspektiv samt vilka övriga risker direktåtkomst eller annat elektroniskt utlämnande kan medföra. Utredningens överväganden när det gäller avvägningen mellan verksamhetens behov och risker för integritetsintrång redovisas i avsnitt 12.3.

1 Med omsorgsmottagare avses person som fått eller får insatser för äldre eller personer med funktionsnedsättningar eller som fått eller får behovet av sådana insatser bedömda, se avsnitt 16.1.6. 2 Med omsorgsgivare avses myndighet som har ansvar för eller utför insatser för äldre eller personer med funktionsnedsättningar (offentlig omsorgsgivare) och juridisk person eller enskild näringsidkare som utför sådana insatser (privat omsorgsgivare) (se avsnitt 16.2).

Utredningens överväganden och förslag till bestämmelser om sammanhållen vård- och omsorgsdokumentation inom socialtjänsten finns i kapitel 15 och 16.

Bestämmelser om direktåtkomst eller annat elektroniskt utlämnande har inte någon sekretessbrytande effekt i sig. Om myndigheter och andra omsorgsgivare ska kunna medges direktåtkomst till sekretessbelagda uppgifter, måste bestämmelserna om direktåtkomst kombineras med särskilda sekretessbrytande regler som bryter igenom även tystnadsplikten hos privata omsorgsgivare. Utredningens överväganden och förslag till vilka sekretessbrytande regler som krävs för att förslaget om direktåtkomst mellan olika omsorgsgivare inom socialtjänsten ska kunna genomföras finns i kapitel 19.

12.2. Behovet av informationsutbyte

Utredningens bedömning: På motsvarande sätt som inom hälso-

och sjukvården finns det hos verksamheter inom socialtjänsten ett behov av att enkelt och säkert kunna få elektronisk åtkomst till dokumentation om äldre och personer med funktionsnedsättningar.

12.2.1. Bakgrund

Flera statliga utredningar har pekat på att behovet av informationsutbyte inom den individinriktade omsorgsverksamheten inom socialtjänsten för äldre och personer med funktionsnedsättningar är stort, även över omsorgsgivargränser. Bland annat har detta påpekats i betänkandena Äldreomsorgen under pandemin (SOU 2020:80), Läs

mig! Nationell kvalitetsplan för vård och omsorg om äldre personer

(SOU 2017:21) och Rätt information på rätt plats i rätt tid (SOU 2014:23). Beskrivningen i detta avsnitt är delvis hämtad från det sistnämnda betänkandet.

Den kommunala nämnd som är beställare av tjänster behöver kunna följa upp att en omsorgsmottagare får den insats som beviljats. Den personal som utför insatserna behöver ha tillräcklig information om omsorgsmottagaren och dennes situation för att kunna ge en bra omsorg och ett bra bemötande. Den individinriktade omsorgsverk-

samheten inom socialtjänsten för äldre och personer med funktionsnedsättningar vänder sig till omsorgsmottagare som ofta har svårt att själva redogöra för sin situation och sina behov. Många har t.ex. nedsatt kognitiv förmåga på grund av ålder eller funktionsnedsättning, utan att för den skull vara beslutsoförmögna. I många fall får anhöriga ta ett stort ansvar för att förmedla information mellan de olika personer som omsorgsmottagaren möter. För att omsorgsmottagare ska få säkra insatser av hög kvalitet, behöver personal inom socialtjänsten på ett säkert och ändamålsenligt sätt som uppfyller krav på kontinuitet, säkerhet och respekt för omsorgsmottagaren, ha tillgång till uppgifter om omsorgsmottagaren och information om såväl pågående insatser som insatser som omsorgsmottagaren fått tidigare. Personalen behöver såväl ta del av uppgifter som dokumentera uppgifter för att kunna utföra sitt arbete på ett ändamålsenligt och säkert sätt.

12.2.2. Den beslutande nämnden behöver ta del av utförares och andra nämnders dokumentation

Den beslutande kommunala nämnden behöver ta del av utförarnas dokumentation om genomförda insatser för att kunna följa upp att de beslutade insatserna utförs och hur resultatet av dessa blir. Detta är av stor betydelse för den omsorgsmottagare som fått en insats beviljad men även för den beslutande nämnden som ska kunna uppfylla det lagstadgade kravet på god kvalitet och kvalitetsuppföljning i 3 kap. 3 § socialtjänstlagen genom att följa upp att omsorgsmottagaren får den beviljade insatsen utförd enligt nämndens beslut och gällande författningar. Detta gör den beslutande nämnden genom att ta del av den dokumentation som utföraren är skyldig att göra om uppföljning av sina insatser. Av denna dokumentation ska det bl.a. framgå vilka åtgärder som utföraren vidtagit för att omsorgsmottagaren ska få den beviljade insatsen utförd, om det har tillkommit omständigheter eller inträffat händelser som har medfört att insatsen helt eller delvis inte har kunnat genomföras som planerat och om omsorgsmottagaren har framfört några klagomål till utföraren på genomförandet av insatsen.3 Denna dokumentation innehåller i många fall uppgifter som omfattas av sekretess och tystnadsplikt. Doku-

3 6 kap. 3 och 4 §§ Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2014:5) om dokumentation i verksamhet som bedrivs med stöd av SoL, LVU, LVM och LSS.

mentationen är av avgörande betydelse för att omsorgsmottagaren ska kunna få den omsorg som omsorgsmottagaren är i behov av.

I en kommun där det finns en enda socialnämnd som har ansvaret för och själv utför alla insatser som ges enligt socialtjänstlagen och inom socialtjänsten uppstår inga sekretessgränser mellan socialnämnden och de som utför de insatser socialnämnden beslutat om. Det innebär att uppgifter som omfattas av sekretess kan delas mellan personalen hos socialnämnden utan att en sekretessprövning behöver göras.

Många kommuner har dock valt att organisera sin verksamhet så att det inte längre finns bara en kommunal nämnd (myndighet) för varje verksamhetsområde. Införandet av den fria kommunala nämndorganisationen har inneburit att en del kommuner kommit att dela upp socialtjänsten på flera sektorer som organisatoriskt hör till olika nämnder. Det kan exempelvis handla om att kommunen delar upp verksamheten enligt en beställar- och utförarmodell, där det som tidigare var en socialnämnd splittras och blir en eller flera beställar- och utförarnämnder. Ett annat exempel är att dela upp nämndstrukturen geografiskt, t.ex. i kommundels- eller stadsdelsnämnder. Det förekommer även att den organisatoriska uppdelningen är uppbyggd efter olika ämnesområden inom socialtjänsten, t.ex. äldreomsorg, hälso- och sjukvård, stöd till personer med funktionsnedsättningar och individ- och familjeomsorg samt övrig socialtjänst.

I en kommun som organiserat sina nämnder så att det finns en beställar- och en utförarnämnd inom exempelvis äldreomsorgen uppstår det sekretessgränser mellan biståndshandläggaren hos den nämnd som beslutat om en viss insats och den nämnd som fått i uppdrag att se till att insatsen blir utförd. Detta påverkar biståndshandläggarens möjlighet att på ett enkelt och säkert sätt ta del av den kommunala utförarens dokumentation om de utförda insatserna. Vid utredningens kontakter med företrädare för socialtjänsten har det påtalats att det ofta kan uppstå behov av att snabbt kunna justera biståndsbeslut. Det kan exempelvis vara så att hemtjänst beviljats en omsorgsmottagare men att behoven snabbt ändras så att insatsen borde ändras till särskilt boende. Det är då viktigt för omsorgsmottagaren att biståndshandläggaren snabbt och enkelt får tillgång till utförarnas dokumentation så att utförarens uppdrag kan ändras så att det passar omsorgsmottagarens aktuella stödbehov. Den beslutande nämnden ska även dokumentera om behoven hos omsorgsmottagaren förändras på ett

sätt som gör att nämnden bedömer att den beslutade insatsen inte längre svarar mot omsorgsmottagarens behov. Av dokumentationen ska det också framgå vilka åtgärder som har vidtagits av nämnden för att anpassa insatsen till omsorgsmottagarens behov.4 En annan sak som företrädare för socialtjänsten påtalat är att det skulle underlätta om biståndshandläggare kan få elektronisk åtkomst till den genomförandeplan med aktiviteter och mål för insatsen som tas fram hos utföraren och som används som utgångspunkt för de kontinuerliga journalanteckningar som förs hos utföraren. En sådan åtkomst skulle innebära att man inte behöver skicka genomförandeplanen fram och tillbaka mellan biståndshandläggare och utförare.

Olika kommunala nämnder kan även i andra fall ha behov av varandras dokumentation. Som exempel kan nämnas fall då den organisatoriska uppdelningen är uppbyggd efter olika ämnesområden inom socialtjänsten så att ansvaret för äldreomsorg respektive stöd till personer med funktionsnedsättningar är placerat på olika nämnder. Då kan behov uppstå av att de båda nämnderna på ett enkelt sätt kan få tillgång till dokumentation avseende en viss omsorgsmottagare som har insatser från båda nämnderna. Exempelvis när en omsorgsmottagare ansöker om personlig assistans behöver handläggande nämnd veta om omsorgsmottagaren redan har insats i form av hemtjänst beviljad från någon annan nämnd och hur denna insats är utformad.

Som beskrivits i kapitel 11 har valfrihetsreformer och ökat antal privata utförare i socialtjänsten medfört att allt fler aktörer är inblandade i verkställigheten av de insatser som beviljas en omsorgsmottagare. Privata utförares dokumentation avseende de insatser som de utför omfattas av tystnadsplikt gentemot den kommunala nämnd som är beställare av insatsen. Även i detta fall påverkas biståndshandläggarens möjlighet att på ett enkelt sätt ta del av den privata utförarens dokumentation om utförda insatser. Det finns därför en risk att en omsorgsmottagare som har valt en privat utförare inte får omsorg av likvärdig kvalitet som den omsorgsmottagare som har valt en kommunal utförare.

4 5 kap. 24 § Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2014:5) om dokumentation i verksamhet som bedrivs med stöd av SoL, LVU, LVM och LSS.

12.2.3. Olika utförare behöver utbyta uppgifter

Även olika utförare som sida vid sida arbetar för att ge omsorgsmottagaren insatser av god kvalitet kan behöva utbyta uppgifter på ett effektivt och säkert sätt genom att ta del av varandras daganteckningar. Det finns flera exempel på situationer när sådana behov kan uppstå.

En omsorgsmottagare kan exempelvis få olika hemtjänstinsatser utförda av skilda utförare. Det kan röra sig om städning, tvättning, inköp, personlig omvårdnad, matlagning, promenadsällskap, ledsagning m.m. Det kan även vara så att en omsorgsmottagare får en eller flera hemtjänstinsatser av samma slag utförda av olika aktörer beroende när på dygnet de utförs.

I vissa av dessa fall finns behov av att information om omsorgsmottagaren som kan vara relevant når en utförare innan utföraren kommer hem till omsorgsmottagaren för att utföra en insats, eftersom det ger personalen möjlighet att förbereda sitt besök och ytterligare anpassa verksamheten efter omsorgsmottagarens aktuella behov. Det skulle även ge en mer sammanhållen verksamhet över dygnet, vilket är av stort värde för omsorgsmottagarna som ofta är sköra och befinner sig i en utsatt situation på grund av hög ålder eller funktionsnedsättning. Utförarnas information i denna del kan i princip förväntas innehålla uppgifter om aktuell sinnesstämning, mat- och vätskeintag, om omsorgsmottagaren haft avföring, hur omsorgsmottagaren velat ha en viss insats utförd, vilka arbetsuppgifter som utförts vid ett besök samt vilka arbetsuppgifter som inte utförts och av vilken anledning de inte utförts.

12.2.4. Dagens informationsöverföring

I dag hanteras ofta överföring av information genom olika former av elektroniskt utlämnande. Det kan exempelvis handla om att lämna uppgifter på usb-minne eller optiska lagringsmedia eller genom en säker filöverföring av uppgifterna via nätverk.5 Sådant elektroniskt utlämnande kan ske om omsorgsmottagaren lämnat sitt samtycke till behandling av personuppgifterna hos den mottagande omsorgsgivaren samt att den utlämnande verksamheten antingen har omsorgsmottagarens samtycke att bryta sekretessen, eller vid en sekretess-

5Rätt information på rätt plats i rätt tid (SOU 2014:23), Bilaga 4, s. 162.

prövning kommer fram till att uppgifterna kan lämnas ut utan att omsorgsmottagaren lider men. I något fall har kommunen försökt lösa behovet av att följa upp och dokumentera beslutade insatser genom att socialnämnden fått direktåtkomst till vissa sekretesskyddade personuppgifter hos en privat utförare. I ett tillsynsbeslut har dock Datainspektionen förelagt kommunen att upphöra med denna behandling av personuppgifter med hänvisning till att sådan direktåtkomst inte var tillåten på grund av sekretessbestämmelser.6

I praktiken innebär dagens informationsöverföring därmed att dokument skickas fram och tillbaka mellan olika aktörer. Ett exempel på detta är att den genomförandeplan med aktiviteter och mål för en insats som tas fram hos utföraren och som används som utgångspunkt för de kontinuerliga journalanteckningar som förs hos utföraren, skickas fram och tillbaka mellan biståndshandläggare och utförare.

Ett annat sätt att lösa behovet av informationsöverföring i praktiken har under lång tid varit att, med stöd av omsorgsmottagarens samtycke eller åtminstone med omsorgsmottagarens kännedom, anteckna det viktigaste i en pärm eller dagbok som förvaras hos omsorgsmottagaren och som de olika utförarna kan läsa och dokumentera i. Ett annat sätt är att anteckna informationen på post-it-lappar eller att muntlig information överförs genom telefonsamtal eller då personal möts i hallen hos omsorgsmottagaren.

12.2.5. Sammanfattande synpunkter

Regeringen har som mål att tillgången till socialtjänsten ska vara förutsägbar, likvärdig, jämlik, jämställd och rättssäker.7 Det kan dock konstateras att rådande regelverk innebär att möjligheterna till en effektiv och säker informationshantering är mycket beroende av hur kommunen organiserar sig och om privata utförare väljs, vilket påverkar likvärdigheten i socialtjänsten. En kommun med få kommunala nämnder inom socialtjänsten och få privata aktörer bland utförarna har i dag väsentligt bättre förutsättningar till en ändamålsenlig informationshantering, än kommuner med många nämnder och privata utförare i den offentligt finansierade verksamheten.

6 Datainspektionen, dnr 876-2010. 7 Dir. 2017:39 s.1.

De organisatoriska förändringarna påverkar såväl den individinriktade informationshanteringen i samband med beslut och genomförande av insatser i socialtjänsten som den hantering av information som behöver göras i form av uppföljning, kvalitetssäkring, verksamhetsutveckling m.m. Detta drabbar omsorgsmottagarnas möjligheter att få den omsorg som de är i behov av.

Det sätt som information överförs på i dag kan visserligen fungera i vissa situationer och för vissa ändamål men det finns alltid en risk att viktig information inte förs vidare, att den förvanskas på vägen eller att obehöriga tar del av informationen. För att få till stånd en mer säker informationsöverföring för att möta omsorgsmottagarnas behov på ett bättre sätt är dock ett användande av modern teknik mer ändamålsenligt och effektivt.

Det är därför angeläget att socialtjänsten får rättsliga förutsättningar som stimulerar och möjliggör en ändamålsenlig samverkan och informationshantering i den individinriktade verksamheten för äldre och personer med funktionsnedsättningar. Utredningen bedömer därför att det på motsvarande sätt som inom hälso- och sjukvården, finns ett behov av att på ett enkelt och säkert sätt utbyta omsorgsdokumentation över sekretessgränser mellan olika omsorgsgivare inom socialtjänsten.

12.3. En avvägning mellan behov och integritetsrisker

Utredningens bedömning: Det är möjligt att tillåta direktåtkomst

eller annat elektroniskt utlämnande mellan verksamheter inom socialtjänsten som avser äldre och personer med funktionsnedsättningar om det samtidigt införs vissa integritetsstärkande bestämmelser. Regleringen av detta bör utformas med sammanhållen journalföring som förebild.

Vid regleringen av ett frivilligt system med sammanhållen omsorgsdokumentation mellan verksamheter inom socialtjänsten som avser äldre och personer med funktionsnedsättningar, är det enklast och mest ändamålsenligt att, på motsvarande sätt som gäller i fråga om sammanhållen journalföring, tillåta direktåtkomst i kombination med föreskrift om absolut sekretess för överskottsinformation. Det finns dock övervägande fördelar med att i systemet ge möjlighet till åtkomst genom både direktåtkomst och annat elektroniskt utlämnande.

Förutsättningarna för elektroniskt utlämnande mellan verksamheter inom socialtjänsten behöver författningsregleras i lag.

En särskild konsekvensbedömning avseende dataskydd behöver i de allra flesta fall inte göras av de verksamheter som inför sammanhållen omsorgsdokumentation.

Utredningens förslag: Bestämmelser som ger verksamheter inom

socialtjänsten för äldre och personer med funktionsnedsättningar möjlighet att få tillgång till varandras dokumentation genom direktåtkomst eller annat elektroniskt utlämnande införs. Det införs även ett antal integritetsstärkande bestämmelser som ska tillämpas av de verksamheter som väljer att använda sig av sådan elektronisk tillgång. Förutsättningarna för sådan elektronisk tillgång ska regleras i lag.

12.3.1. Bakgrund

Av närmast föregående avsnitt framgår att det finns ett behov av utbyte av omsorgsdokumentation över sekretessgränser mellan olika verksamheter inom socialtjänsten. Elektronisk överföring av information genom direktåtkomst eller annat elektroniskt utlämnande

mellan de olika omsorgsgivarna skulle kunna vara till nytta på många sätt. Snabb och enkel tillgång till information om omsorgsmottagarna kan ge utförligare och säkrare fakta- och kunskapsunderlag vilket är till fördel för omsorgsmottagaren och för dem som arbetar i verksamheten. Sådan informationsöverföring skulle också kunna medföra effektivitetsvinster för den offentliga förvaltningen.

Samtidigt kan det konstateras att ett system som möjliggör direktåtkomst till personuppgifter inom socialtjänsten kan innebära risker ur ett integritetsperspektiv. Inom socialtjänstens verksamhet avseende äldre och personer med funktionsnedsättningar finns ofta behov av att behandla känsliga personuppgifter, särskilt uppgifter om hälsa. Det kan också finnas skäl att behandla uppgifter som inte faller under dataskyddsförordningens definition av känsliga personuppgifter, men som ändå kan vara av integritetskänslig karaktär. Att de personuppgifter som omsorgsgivarna hanterar i sin verksamhet i allt större utsträckning samlas in och lagras elektroniskt i stället för i pappersform kan innebära nackdelar från integritetssynpunkt. Vidare kan direktåtkomst och andra former av elektroniskt utlämnande innebära ökad risk för otillbörliga intrång i omsorgsmottagarnas personliga integritet.

Det kan konstateras att personer kan ha olika uppfattning om vad som utgör en integritetskränkning och vilka förhållanden som medför risker för intrång i den personliga integriteten. När det gäller direktåtkomst finns det dock vissa omständigheter som typiskt sett kan sägas innebära risk för integritetsintrång. Utredningen berör i det följande de risker som direktåtkomst kan innebära ur ett sekretessperspektiv respektive ur ett dataskyddsperspektiv.

Omsorgsmottagaren har rätt till skydd för sin personliga integritet, men denna rätt är inte absolut. I fall som detta, då det är fråga om det är möjligt att införa ett system med direktåtkomst eller annat elektroniskt utlämnande mellan olika omsorgsgivare, måste en avvägning göras mellan behovet av en snabb och enkel tillgång till personuppgifter och eventuella integritetsrisker som ett sådant system kan innebära. För att det ska vara motiverat att införa direktåtkomst eller annat elektroniskt utlämnande måste behovet av behandlingen av personuppgifterna väga tyngre än omsorgsmottagarens intresse av skydd för den personliga integriteten.

12.3.2. Olika former av elektroniskt utlämnande

Direktåtkomst är en form av elektroniskt utlämnande av uppgifter. Uppgifter kan dock lämnas ut elektroniskt även på andra sätt än genom direktåtkomst. I s.k. registerförfattningar används ofta begreppet ”utlämnande på medium för automatiserad behandling”, men även begrepp som ”elektronisk åtkomst” och ”elektroniskt utlämnande” används. Några legaldefinitioner av dessa begrepp finns inte. Vad som avses med begreppen anges ofta i förarbetena till de olika registerförfattningarna.8 Utredningen har i detta betänkande valt att använda begreppet annat elektroniskt utlämnande för sådan elektronisk överföring av uppgifter som inte sker genom direktåtkomst.

Informationshanteringsutredningen, som bl.a. hade i uppdrag att

avgöra om det fanns skäl att i registerförfattningar upprätthålla åtskillnaden mellan olika former av elektroniskt utlämnande, beskrev begreppen direktåtkomst och medium för automatiserad behandling på följande sätt.

Med direktåtkomst avses vanligtvis att någon har direkt tillgång till någon annans register eller databas och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen.9 I begreppet ligger också att den som är personuppgiftsansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av.10

Med begreppet utlämnande på medium för automatiserad behand-

ling avses vanligen ett överlämnande av elektroniskt lagrade uppgifter

via något slags medium för lagring eller överföring, exempelvis e-post eller USB-minne. Som regel innefattar denna typ av utlämnande att informationen lämnas ut i en form som medför att mottagaren kan bearbeta informationen.11 Utlämnande kan också ske elektroniskt genom en s.k. fråga-svarsfunktion, se vidare nedan.

Informationshanteringsutredningen anförde vidare att det, genom

informationsteknikens utveckling, har blivit allt svårare att dra gränsen mellan de olika utlämnandeformerna.12

8SOU 2012:90 s. 198 f. 9SOU 2012:90 s. 198 f. 10SOU 2012:90 s. 198. som hänvisar till prop. 2004/05:164 s. 83 och prop. 2011/12:45 s. 133. 11SOU 2012:90 s. 198 som hänvisar till prop. 2007/08:126 s. 77. 12SOU 2012:90 s. 199.

Ett visst klargörande har skett genom ett avgörande från Högsta förvaltningsdomstolen, där frågan var om socialnämnderna kunde anses ha direktåtkomst till Försäkringskassans socialförsäkringsdatabas.13 Domstolen konstaterade att de allmänna handlingar hos en myndighet som en annan myndighet genom direktåtkomst får tillgång till utgör allmänna handlingar även hos denna myndighet.14 Av dåvarande 2 kap. 3 § andra stycket tryckfrihetsförordningen (nuvarande 2 kap. 6 § första stycket) framgick att en upptagning anses förvarad hos en myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt.

Domstolen anförde vidare att den avgränsning som på detta sätt görs av begreppet direktåtkomst, genom tillämpning av tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet, kan användas även för att bestämma innehållet i detta begrepp i 114 kap. 22 § socialförsäkringsbalken. I det aktuella fallet var alltså frågan om upptagningen kunde anses förvarad hos socialnämnderna i tryckfrihetsförordningens mening. Socialnämnderna kunde inte på egen hand söka information i socialförsäkringsdatabasen, utan ett utlämnande förutsatte att Försäkringskassan reagerade på en begäran om att de efterfrågade uppgifterna skulle lämnas ut. Försäkringskassan ansågs därmed förfoga över frågan om och i så fall vilka uppgifter som skulle lämnas ut. Någon sådan teknisk tillgång till upptagningar som avses enligt nuvarande 2 kap. 6 § första stycket tryckfrihetsförordningen ansågs socialnämnderna inte ha, vilket innebar att förfarandet inte var att betrakta som direktåtkomst enligt socialförsäkringsbalken.

Sammanfattningsvis kan därför sägas att för att ett elektroniskt utlämnande ska anses utgöra direktåtkomst krävs det att den aktuella upptagningen anses förvarad hos mottagaren på det sätt som avses i 2 kap. 6 § första stycket tryckfrihetsförordningen, dvs. att upptagningen är tillgänglig för mottagaren med tekniskt hjälpmedel som mottagaren själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt.

13HFD 2015 ref. 61, den s.k. LEFI Online-domen. 14Prop. 2002/03:135 s. 90.

12.3.3. Risker med direktåtkomst ur ett sekretessperspektiv

Gäller sekretess, som inom socialtjänsten, för uppgift om enskildes personliga förhållanden med omvänt skaderekvisit, ska sekretessprövningen innefatta en prövning av samtliga omständigheter i det enskilda fallet, för att bedöma om uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (se vidare avsnitt 5.5). Många gånger måste handläggaren ta reda på t.ex. mottagarens identitet och avsikter för att kunna avgöra om uppgifterna ska lämnas ut.15 Vid direktåtkomst sker emellertid utlämnandet redan när uppgiften görs tillgänglig för andra, och en skade- och menprövning kan inte göras i det skedet. För att ett system med utlämnande genom direktåtkomst ska fungera i realiteten krävs det att det samtidigt införs en sekretessbrytande bestämmelse eller en uppgiftsskyldighet som gör det möjligt att lämna ut uppgifter som är skyddade av sekretess utan någon sekretessprövning i det enskilda fallet, om de i förväg bestämda förutsättningarna för direktåtkomst är uppfyllda. Skyddet för uppgifterna är således beroende av att den person som inhämtar uppgiften gör en korrekt bedömning av vad han eller hon har rätt att ta del av.

Ytterligare en konsekvens av direktåtkomst som kan ha betydelse ur ett integritetsperspektiv är, som berörs närmare i avsnitt 6.6, att en allmän handling hos en myndighet också utgör en allmän handling hos den myndighet som har tillgång till handlingen genom ett system med direktåtkomst. Exempelvis utgör ospärrade uppgifter i en allmän handling i ett system med sammanhållen journalföring i regel en allmän handling hos alla anslutna myndigheter, oberoende av vilken myndighet som har fört in uppgifterna i systemet, och en begäran om utlämnande kan göras hos alla de anslutna myndigheterna. Ju fler myndigheter som har direktåtkomst till uppgifter i ett gemensamt informationshanteringssystem, desto större blir alltså, typiskt sett, allmänhetens möjlighet att få tillgång till dessa uppgifter. Om det som i det här fallet är fråga om direktåtkomst mellan omsorgsgivare eller utlämnande genom direktåtkomst från sådana omsorgsgivare till hälso- och sjukvård kan det konstateras att sekretesskyddet är lika starkt hos både den utlämnande och mottagande myndigheten. Allmänhetens möjlighet att få ut uppgifter från de anslutna myndigheterna är således i realiteten inte större endast på grund av begäran

15Prop. 1979/80:2 del A s. 82 och SOU 2003:99 s. 132.

kan ställas till fler myndigheter. Däremot kan omständigheten att en upptagning utgör en allmän handling hos samtliga myndigheter som förvarar dem på det sätt som avses i 2 kap. 6 § första stycket tryckfrihetsförordningen innebära att den myndighet som får en framställan om utlämnande av allmän handling, som utgör en sådan upptagning, måste ta del av handlingen för att kunna göra en sekretessprövning. Detta oaktat att de villkor som uppställs för att få behandla uppgifterna i handlingen inte är uppfyllda (se vidare avsnitt 16.5.7). Uppgifterna i den allmänna handlingen kan på så sätt komma att spridas till den eller de personer hos de mottagande myndigheterna som har att göra en sekretessprövning. Förhållandet kan därför innebära en oförutsebar spridning av uppgifterna utanför den myndighet som samlat in dem från omsorgsmottagaren.

Vid sammanhållen journalföring har dock problemet med att vårdgivare som inte uppfyller kraven för att ta del av en handling genom sammanhållen journalföring ändå kan behöva göra det för att kunna pröva en sekretessfråga, lösts genom införandet av en bestämmelse om absolut sekretess i vissa fall. Enligt 25 kap. 2 § offentlighets- och sekretesslagen, OSL, gäller sekretess hos en hälso- och sjukvårdsmyndighet för uppgift om enskilds personliga förhållanden som gjorts tillgänglig av en annan vårdgivare enligt bestämmelserna om sammanhållen journalföring enligt patientdatalagen, om de särskilda förutsättningar som anges för sammanhållen journalföring i samma lag inte är uppfyllda (se vidare avsnitt 6.10). Är de särskilda villkoren för sammanhållen journalföring inte uppfyllda gäller alltså absolut sekretess för uppgifterna och någon sekretessprövning behöver inte göras.

12.3.4. Risker med direktåtkomst ur ett dataskyddsperspektiv

Direktåtkomst anses även utgöra en särskild integritetsrisk ur ett dataskyddsperspektiv. Ett skäl till detta kan vara den omständigheten att den utlämnande myndigheten eller aktören, i det här fallet omsorgsgivaren, inte har kontroll över vilka uppgifter som mottagaren vid varje enskilt tillfälle tar del av och vem som tar del av uppgifterna. Möjligheten att införa direktåtkomst mellan olika omsorgsgivare innebär att informationen potentiellt kan förmedlas till en betydligt större krets av personer än tidigare, eftersom många fler

användare kommer att kunna ta del av omsorgsmottagarnas personuppgifter. Direktåtkomst kan också innebära att det är svårare att säkerställa att obehöriga inte tar del av personuppgifter.

En annan omständighet som typiskt sett brukar ses som en integritetsrisk är att det, som i detta fall, rör sig om behandling av känsliga personuppgifter. Inom socialtjänstens verksamhet avseende äldre och personer med funktionsnedsättningar finns det som regel behov av att behandla uppgifter om omsorgsmottagarens hälsa, eftersom hälsan oftast är anledningen till de beviljade insatserna. Detta gäller inte bara uppgifter om psykisk och fysisk hälsa, utan även uppgifter om mediciner, hjälpmedel och socialt välbefinnande. Det rör sig vidare ofta om en omfattande behandling av sådana uppgifter. Att stora mängder personuppgifter av känslig natur hålls samlade och finns potentiellt tillgängliga för ett större antal omsorgsgivare kan naturligtvis uppfattas som oroande av vissa omsorgsmottagare.

Inom socialtjänsten kan det också finnas behov av att behandla uppgifter som inte definieras som känsliga personuppgifter enligt dataskyddsförordningen, men ändå anses vara av känslig karaktär och av sådant slag att omsorgsmottagaren kan känna oro för att de ska spridas till obehöriga. Exempelvis har uppgifter om att någon är föremål för ekonomiskt eller annat stöd från socialtjänsten eller över huvud taget är föremål för utredning hos socialtjänsten ansetts utgöra personuppgifter av känslig natur.

Vid utredningens kontakter med olika omsorgsgivare inom omsorgsverksamheten har det framförts att det ibland kan röra sig om detaljerad information om omsorgsmottagarens vanor, sinnesstämning eller erfarenheter, uppgifter som sammantaget närmar sig en form av kartläggning av omsorgsmottagaren. Denna information kan i förening ge en mycket närgången bild av omsorgsmottagarens liv. Det har framförts att vissa omsorgsmottagare uppfattar denna typ av information som än mer utlämnande eller integritetskänslig än uppgifter om hälsa, och därmed också som en större integritetsrisk att fler personer potentiellt kan få tillgång till uppgifterna. Ju fler personer som har möjlighet att ta del av uppgifterna, desto större är risken för att någon tar del av uppgifterna utan att det är motiverat i tjänsten, av nyfikenhet.

Det är av avgörande betydelse för omsorgsmottagarens förtroende för ett system med sammanhållen omsorgsdokumentation, som möjliggör direktåtkomst för flera omsorgsgivare, att direktåtkomsten

bara används för syften och i situationer som omsorgsmottagaren kan förutse och ha kontroll över. En viktig del av skyddet för den personliga integriteten är omsorgsmottagarens möjlighet att själv bestämma över tillgången till, och behandlingen av, hans eller hennes personuppgifter. Systemet för sammanhållen journalföring i patientdatalagen lutar sig mot det faktum att patienten har möjlighet att motsätta sig behandlingen i sammanhållen journalföring, samt måste lämna sitt samtycke till behandling hos en mottagande vårdgivare. I de grupper av omsorgsmottagare som det är fråga om här, äldre och personer med funktionsnedsättningar, finns det många som, av olika skäl, har nedsatt beslutsförmåga. De kan t.ex. ha svårt att ta till sig information om vad ett system med sammanhållen omsorgsdokumentation är, vad ett samtycke till sådan behandling av personuppgifter innebär och att det finns möjlighet att motsätta sig att uppgifter görs tillgängliga för andra omsorgsgivare genom sammanhållen omsorgsdokumentation. Det har under utredningstiden framförts att det just när det gäller omsorgsmottagare inom grupperna äldre och personer med funktionsnedsättningar kan vara svårare att bedöma om omsorgsmottagaren har tagit till sig informationen och vad han eller hon vill, och därmed om omsorgsmottagaren kan lämna ett giltigt samtycke.

Omsorgsgivare har påtalat att det finns vissa integritetsrisker förknippade särskilt med verksamhet som avser äldre och personer med funktionsnedsättningar. Dessa personer kan få insatser av socialtjänsten av många olika skäl, inte bara för att de är äldre eller har funktionsnedsättningar. Det kan därför finnas dokumentation hos socialtjänsten gällande insatser på grund av att det t.ex. förekommer våld i nära relationer, att personerna är dömda för brott, eller för att de har missbruk, eller andra uppgifter som kan uppfattas som särskilt känsliga. Det har framförts att det många gånger är omöjligt att särskilja de olika insatserna åt och att det därför är viktigt att tydligt avgränsa vilken dokumentation som direktåtkomsten ska omfatta. Det finns annars risk för att mottagaren får del av överskottsinformation, som inte är relevant för de aktuella insatserna.

12.3.5. Övriga risker med direktåtkomst eller annat elektroniskt utlämnande

Som konstaterats i avsnitt 12.2 kan en omsorgsmottagare inom socialtjänsten ha kontakt med många olika omsorgsgivare, som är ansvariga för skilda typer av insatser. Det kan framstå som självklart att elektronisk tillgång till uppgifter om omsorgsmottagaren är det som är snabbast och enklast för omsorggivaren, och därmed också mest ändamålsenligt för omsorgsmottagaren. Det har dock framförts att muntlig kommunikation mellan de personer som utför insatserna inte alltid kan ersättas med uppgifter i ett gemensamt dokumentationssystem. Olika yrkesgrupper kan ha skilda sätt att dokumentera information på och informationen kan tolkas eller bedömas på olika sätt beroende på vem som tar del av den. Det finns därför en risk för att information som kan vara viktig för andra omsorgsgivare utelämnas och att dokumenterade uppgifter feltolkas. Följden skulle kunna bli, har det framförts, att uppgifterna om omsorgsmottagaren tas ur sitt sammanhang, vilket kan leda till ökad risk för fel och missförstånd.

Det har också framförts att många av socialtjänstens omsorgsmottagare inte känner till vad som finns dokumenterat om dem i omsorgsgivarnas informationssystem, vilket gör det svårt för dem att bedöma vilken information som omsorgsgivare kommer att kunna ta del av vid direktåtkomst eller annat elektroniskt utlämnande. Det finns en risk för att omsorgsmottagarna tappar förtroendet för socialtjänsten och inte lämnar all relevant information, alternativt inte ens söker hjälp hos socialtjänsten, på grund av oro för att tillgången till uppgifterna i systemet inte kommer att vara begränsad. Det har påpekats att det därför är viktigt att omsorgsmottagaren själv får bestämma om informationen ska delas och kan spärra viss eller all information.

12.3.6. Vilken form av elektroniskt utlämnande bör väljas?

Inledning

Utredningen ska se över möjligheterna att införa direktåtkomst mellan vissa verksamheter inom socialtjänsten. Direktåtkomst är en specialform av elektroniskt uppgiftsutlämnande till mottagare utanför en myndighet eller annan verksamhet (se vidare i avsnitt 6.6.2 och 12.3.2). Mottagaren kan exempelvis vara en annan myndighet

eller en privatperson. Som beskrivs i avsnitt 12.3.3 och 12.3.4 är direktåtkomst förknippad med särskilda integritetsrisker. Som utredningen i dessa avsnitt konstaterat är personuppgifter avseende äldre och personer med funktionsnedsättningar inom socialtjänsten ofta är av integritetskänslig karaktär och att stark sekretess gäller för sådana personuppgifter. Det finns därför anledning att vara restriktiv med möjligheten till direktåtkomst till personuppgifter mellan olika aktörer inom socialtjänsten och sådan åtkomst bör endast vara tillåten om det finns särskilda skäl.

Alternativet utlämnande på medium för automatiserad behandling, även kallat annat elektroniskt utlämnande, anses vara mindre integritetskänsligt än utlämnande genom direktåtkomst. Det finns exempel på verksamheter som använder sig av elektroniskt utlämnande som är snarlikt direktåtkomst men är uppbyggt så att det sker en automatiserad prövning i varje enskilt fall innan uppgifterna lämnas ut, en s.k. fråga-svar-funktion, se beskrivningen av Högsta förvaltningsdomstolens prövning i den s.k. LEFI Online-domen16 i avsnitt 12.3.2. Med en sådan tolkning av begreppet direktåtkomst som Högsta förvaltningsdomstolen gjorde i denna dom finns det, enligt utredningens mening, inte från integritetsskyddssynpunkt någon egentlig praktisk skillnad mellan direktåtkomst och elektroniskt utlämnande via en fråga-svar-funktion. I båda fallen kan den utomstående användaren snabbt (”direkt”) och på distans bereda sig tillgång till önskad information om en viss individ.

Det finns ett behov av möjlighet till enkelt digitalt utlämnande

Med hänsyn till detta och till vad som framkommit om behoven av informationsöverföring finns det enligt utredningens mening inom socialtjänstens verksamhet för äldre och personer med funktionsnedsättningar övervägande fördelar med att ge möjlighet till åtkomst genom både direktåtkomst och annat elektroniskt utlämnande. Direktåtkomst, eller en elektronisk fråga-svar-funktion, ger möjlighet för den som behöver en uppgift att snabbt få åtkomst till denna. Som konkret exempel på en vanligt förekommande situation då detta är särskilt värdefullt kan nämnas biståndshandläggares behov av att få information från utföraren om omsorgsmottagarens situation för

16HFD 2015 ref. 61.

att snabbt kunna följa upp omsorgsmottagarens behov av insatser och kunna justera utförarens uppdrag när omsorgsmottagarens situation förändras. Åtkomst genom direktåtkomst eller annat elektroniskt utlämnande till sådan information besparar också utföraren arbete, eftersom utföraren annars måste kontakta biståndshandläggaren och beskriva den ändrade situationen. Detta är ur effektivitetssynpunkt viktigt, eftersom socialtjänstens resurser blir alltmer ansträngda med en ökande andel äldre. Direktåtkomst, eller elektroniskt utlämnande genom en fråga-svar-funktion, innebär även fördelar från informationssäkerhetssynpunkt i denna situation. Detta eftersom utlämnande på annat sätt, t.ex. via mejl, utöver att det ofta inte uppfyller dataskyddskraven när det gäller säkerhet, även i övrigt allmänt sett innebär en mindre säker överföring av uppgifter då obehöriga lättare kan få tillgång till dem. Uppgifter som lämnas ut via exempelvis mejl riskerar också att bli inaktuella, eftersom de inte uppdateras automatiskt.

Direktåtkomst, eller en elektronisk fråga-svar-funktion, har också fördelen att den minskar risken för förvanskning av den information som överförs och för att man missar att överföra relevant information. Detta blir särskilt tydligt när man ser till behovet hos utförare, som arbetar sida vid sida hos en omsorgsmottagare, av att få del av personuppgifter rörande omsorgsmottagaren. Att göra som man gör i dag, dvs. anteckna det viktigaste på post-it-lappar eller i en pärm eller dagbok som förvaras hos omsorgsmottagaren och som de olika utförarna kan läsa och dokumentera i, är inte ett tillräckligt säkert sätt att hantera så viktig och känslig information. Att överföra information muntligen på telefon eller då personal möts i hallen hos omsorgsmottagaren är inte heller tillräckligt säkert. Ett system med annat elektroniskt utlämnande, t.ex. genom usb-minnen som postas eller genom krypterad mejl efter förfrågan, skulle i detta fall enligt utredningens bedömning inte vara tillräckligt, utan det är just utlämnande genom direktåtkomst eller en elektronisk fråga-svar-funktion som för det allra mesta är nödvändigt.

Är direktåtkomst nödvändig?

Det kan ifrågasättas om det inom socialtjänstens verksamhet för äldre och personer med funktionsnedsättningar är nödvändigt med direktåtkomst eller om det skulle vara tillräckligt att åtkomsten sker genom något annat elektroniskt utlämnande, t.ex. via en fråga-svar-funktion.

Samverkansprogrammet för digital utveckling, eSam, rekommen-

derar i sin vägledning för utlämnande i elektronisk form att när myndigheter ska införa tjänster för att lämna ut uppgifter automatiserat, ska nya tjänster inte utformas för direktåtkomst. Som skäl till detta anges att gränsen mellan de uppgiftsutbytande myndigheterna delvis tas bort och att det uppstår överskottsinformation, vilket ökar risken för integritetsintrång och annan spridning av känsliga uppgifter. Man hänvisar även till att det av ingresspunkt 31 i EU:s dataskyddsförordning framgår att varje begäran från en myndighet ska vara skriftlig, motiverad, läggas fram i det enskilda fallet och inte gälla ett helt register eller leda till att register kopplas samman.17

Digitaliseringsrättsutredningen har i sitt betänkande Juridik som stöd för förvaltningens digitalisering (SOU 2018:25) i en kartläggning

konstaterat att när myndigheterna utvecklar system för informationsöverföring synes målsättningen i regel vara att systemen ska spegla den tekniska lösningen i socialförsäkringsdatabasen LEFI Online så att det inte blir inte fråga om direktåtkomst för den mottagande myndigheten. Uppgifterna anses i stället utlämnade på medium för automatiserad behandling och myndigheterna slipper den särskilda problematik med överskottsinformation som blir en effekt av direktåtkomst.18 Mot bakgrund av detta kan det ifrågasättas om det verkligen är nödvändigt att tillåta utlämnande genom direktåtkomst inom socialtjänstens verksamhet för äldre och personer med funktionsnedsättningar. Utredningen ska emellertid, enligt utredningsdirektiven, se över möjligheterna att mellan vissa verksamheter inom socialtjänsten införa direktåtkomst, i likhet med den möjlighet som i dag finns till sammanhållen journalföring inom hälso- och sjukvården. Utredningen konstaterar i avsnitt 12.3.8. nedan att det därför faller sig naturligt att använda systemet med sammanhållen journalföring inom hälso- och sjukvården som utgångspunkt när ett förslag till ett motsvarande system med sammanhållen omsorgsdokumenta-

17Elektroniskt informationsutbyte – en vägledning för utlämnande i elektronisk form, eSam, maj 2016, s.3, och Rättsliga förutsättningar för digitalt i första hand, eSam, mars 2018, s 38. 18SOU 2018:25 s. 84.

tion inom socialtjänsten ska utformas. Dessutom ska utredningen enligt direktiven även se över möjligheterna att införa samma sorts direktåtkomst mellan dessa verksamheter inom socialtjänsten och hälso- och sjukvården. Mot denna bakgrund bedömer utredningen att det skulle vara enklast och mest ändamålsenligt att även inom socialtjänstens verksamhet för äldre och personer med funktionsnedsättningar tillåta direktåtkomst mellan verksamheterna i kombination med en bestämmelse om absolut sekretess för överskottsinformation på motsvarande sätt som i fråga om sammanhållen journalföring. I utredningens uppdrag ingår även att sammanställa och översiktligt beskriva eventuella ytterligare frågeställningar som utredningen under arbetet med utredningsuppdraget uppmärksammat och som utredningen bedömer kräver vidare analys ur ett dataskydds- eller sekretessperspektiv. Denna del av utredningens uppdrag ska dock inte redovisas i detta delbetänkande utan i utredningens slutbetänkande. Utredningen kan därför komma att återkomma till frågan om det finns anledning att utreda om möjligheten till direktåtkomst i patientdatalagen bör ersättas med något annat elektroniskt utlämnande.

12.3.7. Förutsättningarna för elektroniskt utlämnande behöver författningsregleras

Som tidigare redogjorts för (avsnitt 12.2.2) gäller att uppgifter kan lämnas ut elektroniskt mellan olika omsorgsgivare om behandlingen av personuppgifter som sådan är tillåten och sekretessen för uppgifterna bryts, t.ex. genom omsorgsmottagarens samtycke. Elektronisk åtkomst över sekretessgränser mellan olika omsorgsgivare är därför i dag tillåten i många fall. Däremot är den särskilda form av elektroniskt utlämnande som kallas direktåtkomst, så som den används inom systemet med sammanhållen journalföring inom hälso- och sjukvården, inte möjlig mellan olika omsorgsgivare med sekretessgränser mellan sig. Detta beror på att vid sådan direktåtkomst lämnas handlingarna ut redan genom att de förs in i systemet, utan att det i det skedet finns samtycke från omsorgsmottagaren, på ett sätt som innebär att dokumentationen har gjorts elektroniskt tillgänglig hos andra. Sådan direktåtkomst måste därför kombineras med särskilda sekretessbrytande regler.19

19 Jfr förarbetena till patientdatalagenprop. 2007/08:126 s. 75.

Det finns dock ingen bestämmelse i SoLPUL eller förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, SoLPUF, som hindrar att direktåtkomst eller annat elektroniskt utlämnande används inom socialtjänsten om behandlingen av personuppgifter som sådan är tillåten.

För att någon annan vårdgivare än den som fört in uppgifterna ska få bereda sig tillgång till en patients uppgifter krävs det att patienten samtycker (se avsnitt 6.9.1). Som ovan nämnts kan, med dagens lagstiftning, uppgifter lämnas ut elektroniskt mellan olika omsorgsgivare om omsorgsmottagaren samtycker till det (och om behandlingen av personuppgifter som sådan är tillåten). Eftersom det för att utomstående ska få bereda sig tillgång till uppgifterna enligt bestämmelserna om sammanhållen journalföring alltid krävs ett samtycke av patienten, skiljer sig sådan åtkomst egentligen inte nämnvärt från den elektroniska åtkomst som i dag är tillåten inom socialtjänsten när omsorgsmottagaren samtycker till det. Det innebär att en motsvarande elektronisk åtkomst som finns inom hälso- och sjukvården genom sammanhållen journalföring i praktiken redan är tillåten inom socialtjänsten. Dock är det inom socialtjänsten inte tillåtet att på det sätt som sker vid sammanhållen journalföring göra uppgifter tillgängliga för andra redan innan den enskilde samtyckt till ett utlämnande.

För att en vårdgivare som är ansluten till ett system med sammanhållen journalföring ska få bereda sig åtkomst till uppgifter som en annan vårdgivare har gjort tillgängliga krävs enligt reglerna i patientdatalagen, utöver att patienten samtycker till det, även att uppgifterna rör en patient som vårdgivaren har en aktuell patientrelation med och att uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten. En reglering av sammanhållen omsorgsdokumentation inom socialtjänsten skulle därför även kunna ge möjlighet att på liknande sätt strama upp möjligheten till elektronisk åtkomst till dokumentationen om omsorgsmottagarna. En reglering ger också möjlighet att införa andra integritetsstärkande åtgärder för informationsutbyte inom socialtjänsten, som exempelvis att förtydliga vem som har personuppgiftsansvaret för dokumentationen och krav på tilldelning av behörighet för elektronisk åtkomst, loggning och kontroll av elektronisk åtkomst. Se vidare om integritetsstärkande åtgärder i avsnitt 12.3.9.

Det är även så att det i dag finns en stor osäkerhet inom socialtjänsten om när och hur information får utbytas. Det är rimligt att

anta att denna osäkerhet medför att information utbyts i mindre utsträckning än vad som faktiskt är möjligt med nuvarande lagstiftning. En lagreglering som klargör villkoren för informationsutbyte inom socialtjänsten skulle därför även kunna främja informationsutbytet som sådant. Om det finns en tydlig reglering, kommer den antagligen att användas. Härtill kommer att en omsorgsgivares införande av elektronisk åtkomst för utomstående förmodligen i dag måste föregås av en konsekvensbedömning avseende dataskydd enligt artikel 35 i dataskyddsförordningen, vilket i de allra flesta fall kan undvikas om en motsvarande bedömning gjorts i samband med att en lagreglering av åtkomsten införs (se avsnitt 12.3.12).

12.3.8. Regleringen bör utformas med sammanhållen journalföring som förebild

Direktåtkomst till personuppgifter som behandlas av andra vårdgivare genom sammanhållen journalföring har varit möjligt inom hälso- och sjukvården sedan år 2008, när patientdatalagen trädde i kraft. Lagstiftningen avseende sammanhållen journalföring har, enligt vad som framkommit, varit ändamålsenlig och uppfyllt det avsedda syftet att med bibehållet integritetsskydd öka patientsäkerheten genom enkel och snabb tillgång till information. Dessa bestämmelser har nu alltså tillämpats under drygt ett decennium utan att det kommit fram någon allvarligare kritik mot själva lagstiftningen i sig från integritetsskyddssynpunkt, även om det har funnits vissa tillämpningsproblem på grund av bristande vägledning för att tillämpa lagen.20I de fall det förekommit brister i skyddet av patientens integritet har detta vanligtvis berott på en felaktig tillämpning av bestämmelserna och inte på lagstiftningen i sig och de föreskrivna skyddsåtgärderna. Den avvägning mellan integritet och effektivitet som gjordes när patientdatalagen kom till har accepterats och visat sig fungera. Att anknyta till befintlig lagstiftning ger dessutom ökade möjligheter till en enhetlig tolkning genom rättspraxis. Mot denna bakgrund och utifrån uppdragets utformning anser utredningen det lämpligt att utgå från patientdatalagens bestämmelser om sammanhållen journalföring inom hälso- och sjukvård vid utformningen av sammanhållen vård- och omsorgsdokumentation. I de fall förhållandena inom hälso-

20 Riksrevisionens rapport RiR 2011:19 Rätt information vid rätt tillfälle inom vård och omsorg

– samverkan utan verkan? s. 10 och regeringens skrivelse skr. 2011/12:34.

och sjukvården och socialtjänsten skiljer sig åt på ett avgörande sätt, kommer skillnaderna och vilken betydelse de har för lagstiftningens utformning att analyseras.

12.3.9. Föreslagna integritetsstärkande åtgärder

Vid avvägningen mellan behovet av snabbt och enkelt utbyte av omsorgsdokumentation mellan olika omsorgsgivare inom socialtjänsten och de integritetsrisker ett system med direktåtkomst inom sådan verksamhet kan innebära är det av betydelse vilka integritetsstärkande åtgärder som kan vidtas för att förhindra och försvåra intrång i omsorgsmottagarens personliga integritet.

Med utgångspunkt i patientdatalagens reglering av sammanhållen journalföring inom hälso- och sjukvården föreslår utredningen att en lagstiftning som möjliggör direktåtkomst eller annat elektroniskt utlämnande av uppgifter mellan olika omsorgsgivare inom socialtjänsten ska kombineras med en rad bestämmelser som syftar till att stärka integritetsskyddet.

För det första kan det konstateras att omsorgsmottagarens möjlighet till inflytande över behandlingen av personuppgifter bör vara av avgörande betydelse för om behandlingen uppfattas som en integritetskränkning eller inte. Många ser det som skrämmande med ett system där personuppgifter, även känsliga sådana, finns potentiellt tillgängliga för ett stort antal personer. Om omsorgsmottagaren har ett avgörande inflytande över behandlingen av och tillgången till personuppgifterna, kan det antas att acceptansen för ett system med direktåtkomst är större. Utredningen föreslår att, i likhet med vad som gäller för sammanhållen journalföring, uppgifter om en omsorgsmottagare inte görs tillgängliga för andra omsorgsgivare genom sammanhållen omsorgsdokumentation om omsorgsmottagaren motsätter sig det. Omsorgsmottagaren har därmed möjlighet att motsätta sig behandlingen genom sammanhållen omsorgsdokumentation redan vid det tillfälle då uppgifterna om honom eller henne dokumenteras. Om omsorgsmottagaren motsätter sig sådan behandling, ska uppgifterna, på samma sätt som sker vid sammanhållen journalföring, genast spärras så att andra omsorgsgivare inte kan ta del av dem (se vidare avsnitt 16.5). Att uppgifterna spärras innebär alltså att det på något sätt dokumenteras att omsorgsmottagaren motsatt sig sammanhållen

omsorgsdokumentation, så att uppgifterna inte görs tillgängliga genom direktåtkomst eller annars lämnas ut elektroniskt. Utredningen föreslår dock att vissa särskilda regler ska gälla för barn och för personer som inte endast tillfälligt saknar förmåga att ta ställning, se vidare avsnitt 16.5.5 och 16.5.6.

Rätten att spärra uppgifter ska inte vara tidsbegränsad. Möjligheten att omsorgsgivaren kan forcera en spärr kan upplevas som ett integritetsintrång av den vars uppgifter dokumenteras hos socialtjänsten. Av skäl som utvecklas vidare i avsnitt 16.5.3 föreslår utredningen inte någon möjlighet att häva spärren vid akuta situationer, motsvarande den som finns vid sammanhållen journalföring.

För att omsorgsmottagaren ska kunna ta ställning till om dokumentationen ska göras tillgänglig för andra omsorgsgivare krävs det att han eller hon får korrekt och begriplig information om vad systemet med sammanhållen omsorgsdokumentation innebär och att det är möjligt att motsätta sig sådan behandling av personuppgifter. Utredningen föreslår därför en bestämmelse om krav på information till omsorgsmottagaren innan uppgifterna görs tillgängliga.

Utredningen föreslår också att omsorgsmottagaren ska ha lämnat sitt samtycke till att en omsorgsgivare tar del av personuppgifter som en annan omsorgsgivare gjort tillgängliga i systemet med sammanhållen omsorgsdokumentation. I sådana fall är det alltså inte tillräckligt att den enskilde inte motsätter sig behandlingen, utan ett aktivt samtycke krävs. Vad som ska anses utgöra ett giltigt samtycke i detta sammanhang berörs närmare i avsnitt 16.7.4. Även i detta sammanhang föreslås särskilda bestämmelser för barn och personer som inte endast tillfälligt saknar förmåga att ta ställning, se vidare avsnitt 16.7.5 och 16.9.

Utöver bestämmelser som ska garantera omsorgsmottagaren inflytande över behandlingen av personuppgifter innehåller utredningens förslag ytterligare bestämmelser med syfte att stärka skyddet för omsorgsmottagarens integritet.

Utredningen föreslår att tillämpningsområdet för ett system med sammanhållen omsorgsdokumentation inom socialtjänsten ska vara klart och tydligt definierat, och begränsas till viss verksamhet inom socialtjänsten som avser äldre och personer med funktionsnedsättningar. Regleringens tillämpningsområde på socialtjänstens område berörs vidare i avsnitt 16.1.2-16.1.4. Definitionen är utformad så att

bara omsorgsinsatser omfattas och inte t.ex. insatser i form av ekonomiskt bistånd.

Som beskrivs närmare i avsnitt 7.2 kan dokumentation inom socialtjänsten, till skillnad från en journal inom hälso- och sjukvården, i vissa fall vara gemensam för flera personer. Det kan naturligtvis uppfattas som oroande för den enskilde att uppgifter om honom eller henne kan bli tillgängliga genom ett system med sammanhållen omsorgsdokumentation på grund av att de förekommer i en gemensam dokumentation. Utredningen föreslår därför en förtydligande bestämmelse, som slår fast att reglerna om sammanhållen omsorgsdokumentation bara gäller om dokumentationen förs för varje omsorgsmottagare för sig (se avsnitt 16.1.5).

En annan integritetsstärkande åtgärd är att förtydliga vem som har personuppgiftsansvaret vid sammanhållen omsorgsdokumentation. Vidare krävs för direktåtkomst, enligt utredningens förslag, att vissa grundläggande förutsättningar är uppfyllda. En omsorgsgivare får ha direktåtkomst till personuppgifter bara om uppgifterna rör en omsorgsmottagare som får omsorgsgivarens insatser för äldre eller personer med funktionsnedsättningar eller är föremål för en utredning om att få sådana insatser från omsorgsgivaren och uppgifterna kan antas ha betydelse för dessa insatser. Det är också avgörande att tillgången till personuppgifter inte är större än det finns behov av. För att en omsorgsgivare ska få behandla personuppgifter som en annan omsorgsgivare gjort tillgängliga i systemet med sammanhållen omsorgsdokumentation krävs, utöver att omsorgsmottagaren lämnat sitt samtycke, att uppgifterna rör en omsorgsmottagare som får omsorgsgivarens insatser för äldre eller personer med funktionsnedsättningar eller är föremål för en utredning om att få sådana insatser från omsorgsgivaren. Det krävs också att personuppgifterna kan antas ha betydelse för omsorgsgivarens insatser för omsorgsmottagaren. Vidare ska direktåtkomst vid sammanhållen omsorgsdokumentation bara få användas för de uttryckliga ändamål som anges i regleringen. Undantag ska inte vara möjliga, trots att omsorgsmottagaren har gett sitt uttryckliga samtycke.

Det torde underlätta för omsorgsmottagaren att ta ställning till frågan om direktåtkomst om han eller hon kan kontrollera vilka uppgifter dokumentationen innehåller. För att omsorgsmottagaren på ett enkelt sätt ska kunna ha insyn i vilka uppgifter som finns i hans eller hennes dokumentation inom socialtjänsten, och därmed lättare

kunna ta ställning i fråga om samtycke, föreslår utredningen att omsorgsmottagaren ska kunna få åtkomst till sina personuppgifter och annan dokumentation genom direktåtkomst eller annat elektroniskt utlämnande.

Slutligen bör det förtydligas att det är den som bedriver verksamheten som har ansvar för att den interna elektroniska åtkomsten till uppgifter inte är mer omfattande än vad som krävs för att insatserna för omsorgsmottagaren ska kunna utföras. Utredningen föreslår därför bestämmelser med krav på tilldelning av behörighet för elektronisk åtkomst, loggning och kontroll av elektronisk åtkomst.

I sammanhanget bör också påpekas att den föreslagna regleringen medför en möjlighet för omsorgsgivare att ingå i ett system med sammanhållen omsorgsdokumentation och ger en yttre ram för vad som ska vara tillåtet vid sådan dokumentation och direktåtkomst samt annat elektroniskt utlämnande. Inget hindrar givetvis att omsorgsgivare i sådana samarbeten tillämpar strängare krav än vad den föreslagna regleringen uppställer.

12.3.10. Utredningens samlade avvägning mellan behov och risk för integritetsintrång

Utredningens förslag innebär att samtliga omsorgsgivare inom en viss del av socialtjänsten, såväl offentliga som privata, kan ingå i ett system med möjlighet till snabbare och enklare tillgång till de personuppgifter som behövs i verksamheten. Det huvudsakliga syftet med en sådan reglering är att ge omsorgsmottagarna god och säker omsorg. Andra möjliga effekter av en sådan reglering är minskad administration för omsorgsgivarna då sekretessprövningar kan avskaffas och onödig dubbeldokumentation kan undvikas samt att omsorgsgivare i de allra flesta fall kan låta bli att göra en konsekvensbedömning avseende dataskydd. Samtidigt är det fråga om behandling av ytterst integritetskänsliga personuppgifter, som genom direktåtkomst potentiellt finns tillgängliga för en betydligt större krets av personer än tidigare. Givetvis är integritetsriskerna större när information om ett stort antal individer samlas och lagras elektroniskt så att de är tillgängliga för mer än ett fåtal personer. Det är därför särskilt viktigt att sådan behandling av personuppgifter omgärdas av integritetsskyddande regler. De fördelar som snabb och enkel tillgång till personuppgifter som direktåtkomst i ett system med sam-

manhållen omsorgsdokumentation innebär måste vägas mot de nackdelar och risker för integritetsintrång som en sådan ordning kan medföra.

Som beskrivs i avsnitt 12.2 finns det ett behov av direktåtkomst eller annat elektroniskt utlämnande av personuppgifter mellan olika verksamheter inom socialtjänsten som avser äldre och personer med funktionsnedsättningar. Enligt utredningens förslag får omsorgsmottagarens personuppgifter som huvudregel inte ingå i ett system med sammanhållen omsorgsdokumentation om omsorgsmottagaren motsätter sig det, och omsorgsmottagaren har en icke tidsbegränsad möjlighet att spärra personuppgifterna för sådan behandling. Vidare ska omsorgsmottagarens samtycke krävas för att en omsorgsgivare som är ansluten till systemet ska få åtkomst till personuppgifterna. Det är därmed frivilligt för omsorgsmottagaren att ingå i systemet med sammanhållen omsorgsdokumentation. Särskilda bestämmelser ska gälla för de omsorgsmottagare som behöver särskilt skydd, dvs. barn och personer som inte endast tillfälligt saknar förmåga att ta ställning eller samtycka. Dessutom innehåller utredningens förslag ytterligare integritetsstärkande åtgärder som har till syfte att begränsa och kontrollera behandlingen av personuppgifter. Enligt utredningens bedömning utgör den föreslagna regleringen en lämplig avvägning mellan behovet av en ändamålsenlig reglering för behandlingen av personuppgifter om äldre och personer med funktionsnedsättningar på socialtjänstens område och behovet av skydd för omsorgsmottagarens integritet. De integritetsstärkande åtgärderna är tillräckliga för att väga upp de risker som en ordning med direktåtkomst kan innebära. Utredningens bedömning är därför att det, med de integritetsstärkande bestämmelser som föreslås, är möjligt att införa direktåtkomst eller annat elektroniskt utlämnande mellan verksamheter inom socialtjänsten som avser äldre och personer med funktionsnedsättningar.

Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begränsningar av skyddet får dock enligt 2 kap. 20 § regeringsformen ske i lag, om de krav som följer av 2 kap. 21 § regeringsformen är uppfyllda (se närmare i avsnitt 3.2).

För den behandling av personuppgifter som sker genom varje omsorgsgivares dokumentation av insatser finns redan lagstöd i SoLPUL och 3 kap. 2 § dataskyddslagen. Att omsorgsgivaren för in denna dokumentation i ett system med sammanhållen omsorgsdokumentation innebär enligt förslaget inte att andra än omsorgsgivaren får ta del av dokumentationen. För att andra omsorgsgivare ska få ta del av dokumentationen ska det enligt förslaget krävas samtycke. Den kartläggning av enskildas personliga förhållanden och det intrång i den personliga integriteten som det innebär att en omsorgsgivare tar del av andra omsorgsgivares dokumentation av insatser förutsätter alltså samtycke. När det gäller utlämnande genom direktåtkomst anses dock allmänna handlingar utlämnade redan när den mottagande myndigheten av annan ges en sådan teknisk tillgång till den utlämnande myndighetens upptagningar som avses i 2 kap. 6 § första stycket tryckfrihetsförordningen, dvs. om upptagningen är tillgänglig för den mottagande myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. Enligt utredningens förslag ska det inte krävas något samtycke från omsorgsmottagaren för att en omsorgsgivare ska kunna göra uppgifterna potentiellt tillgängliga för andra omsorgsgivare genom sammanhållen omsorgsdokumentation. Sammanhållen omsorgsdokumentation som bygger på direktåtkomst innebär alltså att handlingarna, oavsett samtycke, anses förvarade och därmed tillgängliga för den mottagande myndigheten. När det är fråga om direktåtkomst skulle det därför kunna diskuteras om det enligt 2 kap. 6 § andra stycket och 20 §regeringsformen krävs reglering i lag. Det saknas dock skäl att göra närmare avvägningar i denna fråga, eftersom utredningen bedömer att inrättandet av ett system där flera omsorgsgivare kan få del av varandras omsorgsdokumentation genom direktåtkomst (eller annat elektroniskt utlämnande) redan av andra skäl bör regleras i lag (se vidare avsnitt 12.3.11).

12.3.11. Reglering i lag

Som beskrivs närmare i avsnitt 3.2 är riksdagen och regeringen överens om att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll bör regleras särskilt i lag. En reglering

som gör det möjligt för flera myndigheter inom socialtjänsten att inrätta ett system där flera myndigheter, men också privata omsorgsgivare, kan få del av olika omsorgsgivares omsorgsdokumentation om en omsorgsmottagare bör därför regleras i lag. Hur en sådan reglering bör utformas berörs i kapitel 15.

12.3.12. Konsekvensbedömning avseende dataskydd

En nyhet i dataskyddsförordningen i förhållande till tidigare reglering är principen om ansvarsskyldighet i artikel 5.2 i dataskyddsförordningen, som innebär att det är den personuppgiftsansvarige som ska säkerställa och kunna visa att principerna i artikel 5.1 i dataskyddsförordningen efterlevs (principerna berörs närmare i avsnitt 4.5).

Genom artikel 35 i dataskyddsförordningen har den personuppgiftsansvarige ett verktyg för att säkerställa och visa att den personuppgiftsansvarige följer dataskyddsförordningen. Enligt artikeln finns det en skyldighet för den personuppgiftsansvarige att göra en konsekvensbedömning innan en behandling av personuppgifter som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter påbörjas. En konsekvensbedömning är en process för att kunna identifiera risker med behandlingen av personuppgifter och ta fram rutiner och åtgärder för att hantera riskerna, och därmed bedöma om det intrång som behandlingen utgör är proportionerligt. Av artikel 35.7 i dataskyddsförordningen framgår minimikraven på vad en konsekvensbedömning ska innehålla.

Det finns en möjlighet att genomföra en konsekvensbedömning redan i lagstiftningsarbetet (artikel 35.10 i dataskyddsförordningen). Det kan underlätta om lagstiftaren så långt det är möjligt genomför en konsekvensbedömning, trots att lagstiftaren inte har exempelvis de tekniska förutsättningarna och därmed inte behovet av konkreta säkerhets- och skyddsåtgärder helt klart för sig. Dessa frågor behöver den personuppgiftsansvarige, som har kunskap om det specifika systemet, själv ta ställning till för att kunna minimera eventuella höga risker.

Den personuppgiftsansvarige ska samråda med Integritetsskyddsmyndigheten före behandlingen om en konsekvensbedömning avseende dataskydd enligt artikel 35 i dataskyddsförordningen visar att behandlingen skulle leda till en hög risk om inte den personuppgifts-

ansvarige vidtar åtgärder för att minska risken (artikel 36 i dataskyddsförordningen).

I artikel 35.3 i dataskyddsförordningen anges i vilka fall en konsekvensbedömning avseende dataskydd särskilt ska krävas. Därutöver ska tillsynsmyndigheten enligt artikel 35.4 i dataskyddsförordningen upprätta och offentliggöra en förteckning över behandlingar som kräver en sådan bedömning. Datainspektionen (numera Integritetsskyddsmyndigheten) har antagit en förteckning över när en konsekvensbedömning avseende dataskydd ska göras.21

Om en behandling enligt artikel 6.1 c eller e i dataskyddsförordningen har en rättslig grund i EU-rätten eller svensk lag, om denna lagstiftning reglerar den specifika behandlingsåtgärden och om en konsekvensbedömning avseende dataskydd har genomförts som en del av en allmän konsekvensbedömning i samband med antagandet av denna rättsliga grund, gäller inte artikel 35.1-7 i dataskyddsförordningen. I sådana fall behöver inte var och en av de som behandlar personuppgifter enligt lagstiftningen göra en egen konsekvensbedömning avseende dataskydd. Enligt Datainspektionen kan dock en bedömning som görs under utarbetandet av lagstiftningen behöva ses över om den antagna lagstiftningen skiljer sig från det bedömda förslaget på ett sätt som påverkar integriteten och frågor som rör uppgiftsskydd.22

Den behandling av personuppgifter som möjliggörs genom sammanhållen omsorgsdokumentation med direktåtkomst eller annat elektroniskt utlämnande kan, med beaktande av vissa omständigheter, sannolikt leda till hög risk för intrång i omsorgsmottagarnas personliga integritet. Den personuppgiftsansvarige skulle alltså i sådana fall innan behandlingen påbörjas behöva göra en konsekvensbedömning avseende dataskydd. Arbetsuppgifter inom socialtjänsten är emellertid arbetsuppgifter av allmänt intresse, vilket betyder att behandlingen har stöd i artikel 6.1 e i dataskyddsförordningen.23Undantaget från kravet på konsekvensbedömning avseende dataskydd kan därför vara tillämpligt. Den behandling av personuppgifter som sker i ett system med sammanhållen omsorgsdokumentation

21 www.datainspektionen.se/globalassets/dokument/beslut/forteckning-konsekvensbedomningar.pdf. 22 Datainspektionens förteckning enligt artikel 35.4 i Dataskyddsförordningen, 2019-01-16, DI-2018-13200 s. 2. 23SOU 2017:66 s. 219 f. och 396 f. och prop. 2017/18:171 s. 78 ff.

kommer vidare att ha stöd i dataskyddslagen, SoLPUL, SoLPUF och den föreslagna lagen.

Utredningen gör bedömningen att den riskanalys som genomförts i avsnitt 12.3 och 13.3 samt de gjorda avvägningarna mellan behov och risk för integritetsintrång är en sådan konsekvensbedömning avseende dataskydd som krävs enligt artikel 35.10 i dataskyddsförordningen. Det innebär att en särskild konsekvensbedömning avseende dataskydd i de allra flesta fall inte behöver göras av varje omsorgsgivare som inför sammanhållen omsorgsdokumentation enligt den föreslagna lagen. I undantagsfall, t.ex. om omsorgsgivaren vill nyttja teknik som inte används i dag och som kan påverka den personliga integriteten, kan det förmodligen krävas att omsorgsgivaren – som har kännedom om det specifika IT-stödet – gör en konsekvensbedömning avseende dataskydd. Det är den personuppgiftsansvarige omsorgsgivaren som har att ta ställning till om det krävs en konsekvensbedömning avseende dataskydd i det enskilda fallet och i så fall hur eventuella risker ska kunna minimeras.

13. Sammanhållen vård- och omsorgsdokumentation mellan hälso- och sjukvård och socialtjänst

13.1. Inledning

I kapitel 12 har utredningen föreslagit att det ska inrättas ett system där omsorgsgivare kan få del av varandras omsorgsdokumentation genom direktåtkomst (eller annat elektroniskt utlämnande) och att detta bör regleras i lag. Ett sådant system för omsorgsdokumentation innebär att omsorgsgivare inom socialtjänstens verksamhet för äldre och personer med funktionsnedsättningar får möjlighet att på frivillig basis föra in omsorgsdokumentation i ett elektroniskt system som andra omsorgsgivare har tillgång till genom direktåtkomst eller annat elektroniskt utlämnande. Behovet av att kunna utbyta information även mellan socialtjänsten och hälso- och sjukvården i syfte att ge en god och säker vård och omsorg, med bibehållen integritet och säkerhet, har ökat under senare år. I utredningens uppdrag ingår att se över möjligheterna att införa direktåtkomst mellan de verksamheter som omfattas av systemet för omsorgsdokumentation och hälso- och sjukvården.

Inom hälso- och sjukvården är direktåtkomst möjlig mellan olika vårdgivare1 genom bestämmelserna om sammanhållen journalföring i 6 kap. patientdatalagen (2008:355). Det kan antas att ett väl fungerande informationssystem där all vård- och omsorgsdokumentation

1 Med vårdgivare avses statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).

om en person inom verksamheter som avser äldre eller personer med funktionsnedsättningar samlas i strukturerad form kan vara till stor nytta, både för omsorgsmottagaren eller patienten och för vård- och omsorgsgivarna2, och i förlängningen för samhället i stort. Å andra sidan rör det sig i stor utsträckning om behandling av känsliga personuppgifter och personuppgifter som på annat sätt är av känslig karaktär. Om dokumentationen görs tillgänglig mellan olika vård- och omsorgsgivare genom direktåtkomst, innebär det att sekretesskyddade uppgifter blir elektroniskt tillgängliga för andra vård- och omsorgsgivare utan att det i varje enskilt fall görs en sekretessprövning i samband med utlämnandet. Att ge möjlighet till enkel elektronisk åtkomst till sådana uppgifter väcker frågor om risker för intrång i den personliga integriteten.

Direktåtkomst brukar således, av skäl som beskrivs närmare i avsnitt 12.3.3 och 12.3.4, anses innebära särskilda integritetsrisker. Utredningen bör därför, vid bedömningen av om det är möjligt att införa direktåtkomst mellan hälso- och sjukvården och verksamheter inom socialtjänsten som avser äldre och personer med funktionsnedsättningar, göra en avvägning mellan behovet av sådan åtkomst till personuppgifterna och vilka integritetsrisker ett sådant system skulle medföra. För att direktåtkomst ska vara möjligt krävs det att behovet, nyttan, väger tyngre än riskerna med åtkomsten.

Kapitlet inleds med en beskrivning av behovet av elektronisk åtkomst till personuppgifter mellan hälso- och sjukvården och verksamheter inom socialtjänsten som avser äldre och personer med funktionsnedsättningar. Därefter berörs frågan om vilka generella integritetsrisker ett system med elektronisk tillgång i form av direktåtkomst kan antas innebära samt vilka konkreta risker det medför i hälso- och sjukvården och verksamheter inom socialtjänsten som avser äldre och personer med funktionsnedsättningar. Utredningens överväganden när det gäller avvägningen mellan verksamheternas behov och riskerna för integritetsintrång redovisas i avsnitt 13.3.

Bestämmelser om direktåtkomst har inte någon sekretessbrytande effekt i sig. Om andra vård- och omsorgsgivare ska kunna medges direktåtkomst till sekretessbelagda uppgifter, måste bestämmelserna om direktåtkomst kombineras med särskilda sekretessbrytande reg-

2 Med omsorgsgivare avses myndighet som har ansvar för eller utför insatser för äldre eller personer med funktionsnedsättningar (offentlig omsorgsgivare) och juridisk person eller enskild näringsidkare som utför sådana insatser (privat omsorgsgivare) (se avsnitt 16.2 )16.2.4.

ler som bryter igenom även tystnadsplikten hos privata vård- och omsorgsgivare. De sekretessbrytande regler som krävs för att förslaget om direktåtkomst mellan vårdgivare inom hälso- och sjukvården och omsorgsgivare inom socialtjänsten ska kunna genomföras berörs i kapitel 19.

13.2. Behovet av informationsutbyte

Utredningens bedömning: Det finns ett tydligt behov hos verk-

samheter inom socialtjänsten för äldre och personer med funktionsnedsättningar och hälso- och sjukvården att ta del av varandras dokumentation på ett enkelt och säkert sätt.

13.2.1. Bakgrund

Det har länge påtalats att det finns ett stort behov av informationsutbyte mellan hälso- och sjukvårdens och socialtjänstens individinriktade verksamhet för äldre och personer med funktionsnedsättningar.3 Anledningen till detta har angetts vara att det för dessa grupper krävs en omfattande samverkan över organisationsgränser för att patienten eller omsorgsmottagaren i praktiken ska få sina behov tillgodosedda. Behov av informationsöverföring mellan hälso- och sjukvården och socialtjänsten kan uppstå i en mängd olika situationer och avse flera olika typer av verksamheter. Det kan exempelvis handla om sådana integrerade verksamheter där en eller flera vårdgivare arbetar tätt tillsammans med en eller flera utförare av socialtjänst. Äldreomsorgen är ett sådant exempel där man organisatoriskt delat in verksamheten i hälso- och sjukvård och socialtjänst, trots att patienten eller omsorgsmottagaren ofta har så sammansatta behov att det i praktiken kan vara svårt att avgöra om de insatser som han eller hon behöver ska hänföras till hälso- och sjukvård eller socialtjänst. Många äldre som drabbas av både olika typer av sjukdomar och olika fysiska eller kognitiva funktionsnedsättningar är beroende av att insatserna från socialtjänsten och hälso- och sjukvården fungerar och är samordnade. I dag får äldre dessa behov tillgodosedda

3 Se bl.a. betänkandena Äldreomsorgen under pandemin (SOU 2020:80) och Rätt information

på rätt plats i rätt tid (SOU 2014:23).

antingen inom ramen för särskilt boende eller genom hemsjukvård, rehabilitering och hemtjänstinsatser. Utvecklingen har dessutom gått mot att fler äldre med omfattande och komplexa behov av vård och omsorg bor kvar i sina hem. Även för personer med funktionsnedsättningar finns motsvarande situation.

Frågan om informationsutbyte mellan vård- och omsorgsgivare har därför kommit att bli central för att individens behov ska kunna tillgodoses. Såväl i hälso- och sjukvården som i socialtjänsten har antalet aktörer ökat markant under den senaste tjugoårsperioden. Ur ett informationshanteringsperspektiv har det bl.a. medfört att den information som tidigare hölls samman i en eller ett fåtal organisationer nu hanteras av ett flertal aktörer och informationslandskapet är därför i än högre grad än tidigare splittrat. En konsekvens av den organisatoriska ansvarsfördelningen och den ökade mångfalden av aktörer har blivit att samverkan mellan olika aktörer, såväl i frågor om utförandet av själva vården och omsorgen som kring informationshanteringen, är avgörande för att människor med sammansatta behov ska få en vård och omsorg av god kvalitet och säkerhet. Detta är särskilt tydligt för den som bor i särskilt boende och för den som bor i ordinärt boende med insatser från hemsjukvården och socialtjänsten. I sådana verksamheter arbetar all inblandad personal, oavsett organisatorisk tillhörighet, med den enskildes totala hälso- och livssituation. I många fall får anhöriga ta ett stort ansvar för att förmedla information mellan de olika personer som omsorgsmottagaren och patienten möter.

Utredningen kommer nedan att belysa ett antal situationer då behov av informationsutbyte genom elektronisk åtkomst uppstår rörande äldre och personer med funktionsnedsättningar mellan vård och omsorg.

13.2.2. Behovet vid samverkan och samordnade vårdplaner

Som framgår av avsnitt 8.7 finns det i lagstiftningen både krav på allmän samverkan mellan socialtjänsten och hälso- och sjukvården och särskilda bestämmelser om att samordnad vårdplanering ska göras gemensamt mellan olika verksamheter. Det gäller både vid s.k. samordnad individuell plan (SIP) enligt socialtjänstlagen och hälso- och sjukvårdslagen och samordnad individuell plan vid utskrivning från

sluten hälso- och sjukvård. Vid utredningens kontakter med företrädare för vård- och omsorgsgivare har påtalats att behov av elektronisk åtkomst till varandras dokumentation finns i samtliga dessa fall.

13.2.3. Hälso- och sjukvårdens behov av elektronisk åtkomst till socialtjänstens dokumentation

Vid utredningens kontakter med företrädare för vård- och omsorgsgivare har det framkommit att det även utöver de författningsreglerade kraven på samverkan i många situationer finns behov för hälso- och sjukvården att ha elektronisk åtkomst till socialtjänstens dokumentation.

Särskilda behov gällande äldre och personer med funktionsnedsättning

Vid medicinsk utredning av äldre eller personer som har funktionsnedsättningar är helhetsbilden kring personen särskilt viktig för att kunna välja rätt sjukvårdsbehandling och behandlingsnivå. Det kan gälla olika typer av läkemedel, olika typer av undersökningar, var undersökningarna ska utföras och vilken hjälp patienten behöver vid undersökningstillfället. Personer med kognitiva nedsättningar, t.ex. demenssjukdomar, kan inte alltid själva beskriva sina besvär, sin situation eller sina behov. Vissa åtgärder för en äldre person eller en person med en funktionsnedsättning är ibland av sådan typ att de kan klassas både som omsorgsinsatser och medicinska åtgärder. Vid behandling av ett medicinskt tillstånd är ofta en kombination av medicinska åtgärder och omvårdnads- och omsorgsåtgärder nödvändiga för att uppnå ett gott resultat. Det är därför viktigt för den som ansvarar för vården att kunna se helheten av alla insatta åtgärder. Exempelvis har kosten stor betydelse för en diabetessjuk person med svårbehandlat högt blodsocker.

Vid akutvård

Behov att ta del av socialtjänstens dokumentation finns bl.a. i situationer då det krävs relativt snabba medicinska bedömningar och det inte finns tid för att manuellt söka information. Vid akuta besök inom somatisk eller psykiatrisk verksamhet kan tillgång till information från socialtjänstens verksamhet ha avgörande betydelse för bedömning och fortsatt handläggning, exempelvis information om patientens mat- och dryckesintag, aktivitet, mående och beteende den senaste tiden. Även information om särskilda hänsyn som bör tas utifrån personens funktionsnedsättning (exempelvis kommunikationsstöd), och patientens falltendens är av intresse för hälso- och sjukvården i detta skede. Detta behov finns hos även vårdpersonal vid utryckning med ambulans eller läkarbil.

Det är även vanligt att sjuksköterskor inom den kommunala hälso- och sjukvården blir kontaktade av personal från hemtjänsten om att en omsorgsmottagares hälsa försämrats. En sjuksköterska inom den kommunala hälso- och sjukvården har ofta ansvar för många boenden, och behöver i det läget ta del av den omsorgsinformation som finns om patienten för att veta vilket som är patientens normala tillstånd så att en bedömning kan göras av om läget är så allvarligt att ambulans behöver tillkallas eller det är tillräckligt med vård på boendet. Vid mer akuta situationer ökar risken för felaktiga bedömningar när det inte finns tid att ringa eller annars kontakta den aktuella omsorgsgivaren, eller när omsorgsgivaren inte är tillgänglig. Till exempel arbetar vissa hemtjänstutförare endast helgtid respektive kontorstid och de är därmed inte tillgängliga övrig tid. Då finns risk för att beslut fattas med otillräcklig information. Information om vilken hemtjänstutförare en patient har kan ibland ta tid att få fram. Möjligheten att välja bland utförare i en kommun gör att hälso- och sjukvårdspersonal kan behöva leta sig fram bland ett stort antal utförare. Som exempel kan nämnas att i mars 2020 kunde man i Stockholms kommun välja mellan 189 utförare av hemtjänst.

Även då en person som får insatser från socialtjänsten besöker primärvården kan den samlade informationen från omsorgen vara av stor vikt.

Samordning och koordinering av insatser

Om hälso- och sjukvården skulle ha elektronisk åtkomst till socialtjänstens dokumentation, kan även samordningsvinster uppkomma. Det finns ofta ett stort behov att samordna gemensamma insatser kring en patient, t.ex. vid teambesök och samplanering med distriktsläkare, distriktssköterska, hemtjänst och biståndshandläggare i patientens hem. Det kan också vara angeläget utifrån patientens tillstånd att vissa insatser tidsmässigt samordnas. Exempelvis är det optimalt att en patient som samma dag ska få hjälp med omläggning av ett sår på benet och hjälp med dusch, först får hjälp med dusch av hemtjänsten så att det våta förbandet snarast därefter kan bytas av distriktssköterskan. Även andra insatser kan krocka tidsmässigt. Det är t.ex. olyckligt om distriktssköterskan kommer för att lägga om ett sår precis när patienten fått hjälp att komma till matbordet för att äta eller precis ska gå ut på en beviljad promenad med sin ledsagare. Detta hade enklare kunnat undvikas om informationen kunde delas elektroniskt mellan vård- och omsorgspersonal.

Helhetsbild av patientens situation

Även sjuksköterskorna i den kommunala hälso- och sjukvården har stort behov av sådan direktåtkomst för att kunna få en helhetsbild av patientens situation, bl.a. hur patienten äter, hur mycket patienten rör på sig och sover samt om och när patienten har utagerande beteende, för att kunna bedöma vilka åtgärder som behövs för att komma till rätta med problem som kan vara kopplade till detta. Även för att följa risker över tid, såsom fallrisk och risk för malnutrition, eller för att uppmärksamma ett förändrat allmäntillstånd hos patienten finns ett sådant behov. Detta är viktigt för att få en helhetsbild patienten så att rätt bedömningar görs och patientens behov blir tillgodosedda. Åtkomst till socialtjänstens dokumentation skulle även kunna underlätta att spåra och identifiera förändrat beteende så att hälso- och sjukvården kan uppmärksamma saker tidigare och därmed arbeta mer preventivt.

Det faktum att medelvårdtiden på sjukhus blir allt kortare innebär dessutom att sjukvården får mindre tid på sig att skaffa sig en helhetsbild av patientens situation genom omsorgskontakter.

Fysioterapeuter och arbetsterapeuter är en annan grupp inom hälso- och sjukvården som behöver få del av socialtjänstens dokumentation om en patient för att få en helhetsbild av patientens situation i det särskilda boendet eller hemmet för att kunna bedöma behovet av rehabiliteringsinsatser.

Även när en patient ska flytta in på ett särskilt boende behöver den kommunala hälso- och sjukvården få information om patienten i förväg för att inte insatser ska fördröjas. Det finns även ett behov av att få inblick i vård- och omsorgskedjan och information om biståndsbeslutet, t.ex. varför patienten beviljats vissa insatser.

Uppföljning av ordinerade åtgärder

Hälso- och sjukvården har även ett behov av att följa upp de medicinska åtgärder som ordinerats för att se om åtgärderna genomförts enligt ordinationen. Om åtgärderna inte genomförts, är det viktigt att få veta varför så inte skett så att rättelse snabbt kan ske. Elektronisk åtkomst skulle också ge en möjlighet att följa symtom och effekter av medicinering i daganteckningarna. Vid uppföljning och utvärdering av en medicinsk åtgärd kan ofta information från hemtjänst, boendestödjare och ledsagare vara mycket värdefull för att ta ställning till behov av justering eller ändring av åtgärden.

Ett annat exempel på en konkret situation när åtkomst till socialtjänstens dokumentation skulle vara värdefull är när en patient med nedsatt immunförsvar blir förkyld. Om en patient med nedsatt immunförsvar får en förkylning, måste sjuksköterskan få veta detta så att åtgärder kan vidtas direkt. Socialtjänstpersonal har inte alltid den kompetens som behövs för att i rätt tid uppmärksamma sjuksköterskan på detta och har i många fall inte heller fått information från hälso- och sjukvården om att patienten har nedsatt immunförsvar.

13.2.4. Socialtjänstens behov av elektronisk åtkomst till hälso- och sjukvårdens dokumentation

Vid utredningens kontakter med företrädare för vård- och omsorgsgivare har det framkommit att det i många situationer även finns behov för socialtjänsten att ha elektronisk åtkomst till hälso- och sjukvårdens dokumentation. Bland annat har följande situationer nämnts.

I många fall behöver omsorgsmottagare hjälp med att genomföra åtgärder som ordinerats av hälso- och sjukvårdspersonal. Exempelvis behöver en omsorgsmottagare som får bloddialys motionera och det kan därför stå i ordinationen från hälso- och sjukvården att omsorgsmottagaren ska promenera två gånger om dagen. Även fysioterapeuter som är anställda inom hälso- och sjukvården kan i rehabiliteringssituationer behöva ge direktiv till omsorgspersonalen om hur de ska få patienten att röra sig mera på ett ofarligt sätt. All denna information finns i omsorgsmottagarens hälso- och sjukvårdsjournal. Därför behöver omsorgspersonalen få tillgång till hälso- och sjukvårdsjournalen.

Hälso- och sjukvårdsjournalen kan även innehålla viktig bakgrundsinformation om en omsorgsmottagare som omsorgspersonalen behöver ha tillgång till för att kunna ge omsorg av god kvalitet till omsorgsmottagaren. Exempelvis kan det finnas information om att en omsorgsmottagare blivit friskförklarad från cancer. Denna information behöver omsorgspersonalen ha kännedom om för att kunna hjälpa omsorgsmottagaren att vara uppmärksam på tecken på att cancern eller symptom på cancer (t.ex. en knöl i bröstet) kommit tillbaka så att omsorgsmottagaren kan få vård.

Omsorgspersonal kan också ha behov av att få tillgång till information om allergier och smittsamma sjukdomar som omsorgsmottagaren har. Journalanteckningar om exempelvis mun-ohälsa eller risk för undernäring kan vara viktig information som ska planeras in i patientens genomförandeplan och ge ett förtydligande på varför och hur ett uppdrag ska utföras. Omsorgspersonal kan även ha behov av information om begränsningar som omsorgsmottagaren har, exempelvis sväljsvårigheter, samt restriktioner som omsorgsmottagaren fått av hälso- och sjukvården, exempelvis rörelsebegränsningar vid höftoperationer. Det kan även finnas behov av information om vissa diagnoser för att kunna hantera eventuellt insjuknande i kramper eller frånvaroattacker.

Även socialnämndens biståndshandläggare och LSS-handläggare kan ha behov av information om omsorgsmottagaren från hälso- och sjukvårdsjournalen. Detta kan vara information om egenvårdsbedömning som hälso- och sjukvården gjort, vilka diagnoser som omsorgsmottagaren har som påverkar omvårdnaden och bedömningen av patients vårdbehov (t.ex. demens, funktionsvariationer eller epilepsi). Även information om rehabiliteringsinsatser och hälso- och sjukvårdens bedömning av den allmänna dagliga livsföringen (ADL) och

andra funktionsbedömningar är viktig för biståndshandläggare och LSS-handläggare att ha kännedom om.

Vid rena omsorgsinsatser hos omsorgsmottagare är det viktigt för patientsäkerheten att omsorgspersonal har möjlighet att kontrollera information i hälso- och sjukvårdsdokumentationen, t.ex. ordinationslista när omsorgsmottagaren nyligen varit på läkarbesök eller annat besök i hälso- och sjukvården så att ordinationer inte ändrats.

Vid avancerad sjukvård i hemmet, ofta förkortad ASIH, samarbetar personal från många aktörer, exempelvis läkare från hälso- och sjukvården, sjuksköterskor från hemsjukvården och omsorgspersonal från socialtjänsten. Trots att de arbetar ihop med vård och omsorg om en och samma person får de inte läsa varandras anteckningar utan får överföra informationen muntligen med patientens samtycke. Ofta kan det också vara så att flera personer har i uppgift att utföra i princip samma arbetsuppgifter hos omsorgsmottagaren utan att få kommunicera med varandra via verksamhetssystemen vad som är utfört och när. Det blir då svårt att använda resurserna effektivt. Avancerad sjukvård i hemmet spås öka i stor utsträckning i framtiden såtillvida att mer vård kommer att ske på detta sätt och att det kommer att bli allt fler aktörer inblandade i vården.

13.2.5. Dagens informationsöverföring

Företrädare för socialtjänst och hälso- och sjukvård beskriver det som att eftersom det inte finns något bra system för informationsöverföring mellan dessa verksamheter löser olika verksamheter det på olika sätt. Till och med enheter och avdelningar inom samma verksamhet kan ha egna system för att lösa informationsöverföringen. I princip går det till så att socialtjänsten och hälso- och sjukvården dokumenterar i sina respektive verksamhetssystem och sedan överförs denna information till den andra parten, ofta via en pappershandling, som sedan lägger in denna information i sitt eget system.

I vissa fall förvarar socialtjänstpersonal utskrivna patientjournalblad i pärmar för att ha enkel tillgång till informationen. En risk med detta är att informationen inte uppdateras när den blir inaktuell. På särskilda boenden skriver personalen ofta viktig information i ett block i personalrummet där omsorgsmottagarens rumsnummer blir

själva identifikationen. Ett annat sätt att lösa informationsöverföringen är att anteckna information på handskrivna papper som lämnas över eller att muntlig information överförs genom telefonsamtal eller personliga möten. Alla dessa sätt ökar risken för att information kommer på avvägar. Det genererar även merarbete i form av dubbeldokumentation, lång tid i telefon och risker för patientsäkerheten, eftersom papper riskerar att försvinna och muntlig information kan missuppfattas eller glömmas bort. Ofta inhämtas information från sektionschefer vilket innebär att informationen tar en omväg med risk för missuppfattningar och att information missas.

För personal som arbetar med omsorgsuppgifter och dessutom har delegation att utföra kommunal hälso- och sjukvård finns laglig möjlighet att föra in information i båda systemen, men även detta innebär dubbeldokumentation som tar extra tid. Det förekommer att sjuksköterskor på särskilda boenden skriver i socialtjänstens verksamhetssystem under en flik som benämns hälso- och sjukvårdsanteckningar även om detta inte är tillåtet med nuvarande lagstiftning. Man kan dock inte se att det är möjligt att göra på annat sätt med bibehållen patientsäkerhet.

13.2.6. Sammanfattande synpunkter

Det finns ett omfattande regelverk rörande samverkan mellan hälso- och sjukvård och socialtjänst. För att kunna samverka behöver de två verksamheterna ha tillgång till information från varandra. Även då det inte finns någon uttrycklig bestämmelse som föreskriver samverkan är det inte möjligt att ge patienter och omsorgsmottagare god och säker vård och omsorg om inte information kan överföras på ett enkelt och säkert sätt mellan vården och omsorgen. Av det ovan anförda framgår att det med den ordning som tillämpas i dag finns stora risker för att väsentlig information inte förs vidare eller finns enkelt åtkomlig, vilket kan resultera i att omsorgsmottagaren/patienten inte får nödvändig vård och omsorg. Det finns även stora risker för integritetsskyddet.

För att förbättra säkerheten och kvaliteten i vården och omsorgen för äldre och personer med funktionsnedsättningar är det nödvändigt att relevant information enkelt och säkert kan överföras

mellan den slutna vården, regionfinansierad primärvård och övrig öppenvård, kommunal hälso- och sjukvård samt socialtjänst.

Det är därför angeläget att socialtjänsten och hälso- och sjukvården får rättsliga förutsättningar som stimulerar och möjliggör en ändamålsenlig samverkan och informationshantering i den individinriktade verksamheten för äldre och personer med funktionsnedsättningar. Utredningen bedömer därför att det på motsvarande sätt som inom hälso- och sjukvården finns ett tydligt behov av att på ett enkelt och säkert sätt ta del av vård- och omsorgsdokumentation hos andra omsorgsgivare inom socialtjänsten och vårdgivare inom hälso- och sjukvården.

13.3. En avvägning mellan behov och integritetsrisker

Utredningens bedömning: Det är möjligt att tillåta tillgång ge-

nom direktåtkomst eller annat elektronisk utlämnande till personuppgifter mellan verksamheter inom socialtjänsten som avser äldre eller personer med funktionsnedsättningar och hälso- och sjukvården om det samtidigt införs vissa integritetsstärkande bestämmelser.

Förutsättningarna för elektroniskt utlämnande mellan verksamheter inom socialtjänsten som avser äldre eller personer med funktionsnedsättningar och hälso- och sjukvården, här kallad sammanhållen vård- och omsorgsdokumentation, bör författningsregleras i lag. Det framstår som ändamålsenligt att ha regleringen avseende sammanhållen journalföring inom hälso- och sjukvården i patientdatalagen som utgångspunkt vid utformningen av en sådan reglering.

En särskild konsekvensbedömning avseende dataskydd behöver i de allra flesta fall inte göras av de verksamheter som väljer att införa sammanhållen vård- och omsorgsdokumentation.

Utredningens förslag: Det ska var möjligt att frivilligt inrätta ett

system, kallat sammanhållen vård- och omsorgsdokumentation, som ger verksamheter inom socialtjänsten som avser äldre eller personer med funktionsnedsättningar och hälso- och sjukvården möjlighet att få tillgång till varandras vård- och omsorgsdokumentation genom direktåtkomst eller annat elektroniskt utläm-

nande. Det införs ett antal integritetsstärkande bestämmelser som ska tillämpas av de verksamheter som väljer att använda sig av sådan elektronisk tillgång. Förutsättningarna för sådan elektronisk tillgång regleras i lag.

13.3.1. Integritetsrisker

Som anges i avsnitt 12.3.1 finns det olika uppfattning om vad som utgör en integritetsrisk eller ett intrång i den personliga integriteten. Det finns dock vissa förhållanden som man brukar säga typiskt sett innebär integritetsrisker när det är fråga om direktåtkomst.4 De kan därmed antas gälla även vid överföring genom direktåtkomst av personuppgifter mellan olika vårdgivare inom hälso- och sjukvården, mellan olika omsorgsgivare inom socialtjänsten och mellan vårdgivare och omsorgsgivare.

När det gäller risker med direktåtkomst ur ett sekretessperspektiv kan, liksom i avsnitt 12.3.3, konstateras att vid direktåtkomst sker utlämnandet redan när uppgiften görs tillgänglig för andra. En skade- och menprövning kan inte göras i det skedet. För att ett system med sammanhållen vård- och omsorgsdokumentation som bygger på utlämnande genom direktåtkomst ska fungera i praktiken krävs det att det samtidigt införs en sekretessbrytande bestämmelse eller en uppgiftsskyldighet som gör det möjligt att lämna ut uppgifter som är skyddade av sekretess utan någon sekretessprövning i det enskilda fallet, om de i förväg bestämda förutsättningarna för direktåtkomst är uppfyllda. Skyddet för uppgifterna är således beroende av att den person som inhämtar uppgifterna gör en korrekt bedömning av vad han eller hon har rätt att ta del av.

Som berörs närmare i avsnitt 6.6 så innebär direktåtkomst att en allmän handling hos en myndighet också utgör en allmän handling hos den myndighet som har tillgång till handlingen genom ett system med direktåtkomst. En begäran om utlämnande kan därmed göras hos alla de anslutna myndigheterna. Ju fler myndigheter som har direktåtkomst till uppgifter i ett gemensamt informationshanteringssystem, desto större blir alltså, typiskt sett, allmänhetens möjlighet att få tillgång till dessa uppgifter. I nu aktuellt sammanhang,

4 Vad som avses med direktåtkomst och annat elektroniskt utlämnande berörs närmare i avsnitt 6.6.

när det rör sig om direktåtkomst mellan vård- eller omsorgsgivare, är sekretesskyddet lika starkt hos både den utlämnande och mottagande myndigheten. Allmänhetens möjlighet att få ut uppgifter från de anslutna myndigheterna är således i teorin inte större endast på grund av begäran kan ställas till fler myndigheter. Dock innebär direktåtkomst att den myndighet som får en framställan om utlämnande av allmän handling måste ta del av handlingen för att kunna göra en sekretessprövning, oavsett om de villkor som uppställs för att få behandla uppgifterna i handlingen inte är uppfyllda (se vidare avsnitt 16.5.7). Uppgifterna i den allmänna handlingen kan på så sätt komma att spridas till den eller de personer hos de mottagande myndigheterna som har att göra en sekretessprövning. Förhållandet kan därför innebära en oförutsebar spridning av uppgifterna utanför den myndighet som samlat in dem från patienten eller omsorgsmottagaren.

I fråga om risker med direktåtkomst ur ett dataskyddsperspektiv kan på samma sätt som i avsnitt 12.3.4 konstateras att sådan åtkomst anses utgöra en särskild risk, eftersom den utlämnande vård- eller omsorgsgivaren inte har kontroll över vilka uppgifter som mottagaren vid varje enskilt tillfälle tar del av och vem som tar del av uppgifterna. Möjligheten att införa direktåtkomst mellan olika vård- och omsorgsgivare innebär att informationen potentiellt kan förmedlas till en betydligt större krets av personer än tidigare, eftersom många fler användare kan komma att ta del av patienternas och omsorgsmottagarnas personuppgifter. Direktåtkomst kan också innebära att det är svårare att säkerställa att obehöriga inte tar del av personuppgifter.

Ytterligare en riskfaktor är att det är fråga om behandling av känsliga personuppgifter. Både inom hälso- och sjukvård och inom socialtjänst finns det behov av att behandla uppgifter om hälsa, som utgör känsliga personuppgifter enligt dataskyddsförordningens definition. Begreppet innefattar inte endast uppgifter om psykisk och fysisk hälsa, utan även uppgifter om mediciner, hjälpmedel och socialt välbefinnande. Därutöver finns det i hälso- och sjukvård och socialtjänst behov av att behandla personuppgifter som inte utgör känsliga personuppgifter, men som tillsammans med andra uppgifter eller enskilt är av integritetskänslig karaktär. Vidare rör det sig ofta om omfattande behandling av sådana uppgifter. Att stora mängder personuppgifter av känslig natur hålls samlade och finns potentiellt till-

gängliga för ett större antal vård- och omsorgsgivare kan uppfattas som en integritetsrisk. En generell utgångspunkt är, som anges i avsnitt 12.3.4, att ju större informationsmängder som finns samlade elektroniskt så att personuppgifter kan sökas och sammanställas på ett allt enklare sätt, desto mer ökar möjligheterna till kontroll över och kartläggning av enskilda.Därmed också risken för att omsorgsmottagaren drabbas av oacceptabla intrång i sin personliga sfär.

Möjligheten att införa direktåtkomst mellan vårdgivare och omsorgsgivare innebär att informationen potentiellt kan förmedlas till en betydligt större krets av personer än tidigare, eftersom många fler användare kommer att kunna ta del av patienternas och omsorgsmottagarnas personuppgifter. Därmed ökar också risken att personer som inte har rätt till det tar del av uppgifterna eller att uppgifterna sprids utanför den tillåtna kretsen. De sätt som finns att förhindra att personer som inte har rätt till det tar del av uppgifter är att begränsa tillgången på uppgifter och kontrollera åtkomsten, t.ex. genom loggning och tekniska åtgärder. Sådana åtgärder torde minska risken för att personer som inte har rätt till det tar del av uppgifter, men risken elimineras inte helt och hållet. Det är även viktigt att den personuppgiftsansvarige ger medarbetarna instruktioner för behandlingen av personuppgifter.

Ytterligare en risk med direktåtkomst och annat elektroniskt utlämnande som kan bli aktuell i dessa sammanhang är att personuppgifter kan få en större spridning, eftersom de på ett lättare sätt kan ”hämtas hem” och lagras hos mottagande vård- eller omsorgsgivare, även om det inte finns något behov av sådan lagring. Sådan hantering av personuppgifter kan stå i strid med dataskyddsförordningens princip om uppgiftsminimering (se avsnitt 4.5).

I sammanhanget kan också uppmärksammas att det finns bestämmelser i dataskyddsförordningen som är generellt tillämpliga och som har betydelse i detta sammanhang. Enligt artikel 29 i dataskyddsförordningen får personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandla uppgifterna på instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt EUrätten eller medlemsstaternas nationella rätt. Vidare gäller enligt artikel 32.4 i dataskyddsförordningen att den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att

varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte EU-rätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det.

Omsorgsgivare har påtalat för utredningen att det finns vissa integritetsrisker förknippade särskilt med verksamhet som avser äldre och personer med funktionsnedsättningar. Dessa personer kan få insatser av socialtjänsten av många olika skäl, inte bara för att de är äldre eller har funktionsnedsättningar. Det kan därför finnas dokumentation hos socialtjänsten gällande insatser på grund av att det t.ex. förekommer våld i nära relationer, att personerna är dömda för brott eller för att de har missbruksproblem, eller andra uppgifter som kan uppfattas som särskilt känsliga Det har framförts att det många gånger är omöjligt att särskilja de olika insatserna åt och att det därför är viktigt att tydligt avgränsa vilken dokumentation som direktåtkomsten ska omfatta. Det finns annars risk för att mottagaren får del av information som inte är relevant för de aktuella insatserna.

När det gäller övriga risker som är förknippade med direktåtkomst eller annat elektroniskt utlämnande av uppgifter från vård- eller omsorgsgivare har det, som berörs i avsnitt 12.3.4, framförts att det kan innebära ett problem att åtkomsten till uppgifter i systemet är villkorad av att patienten eller omsorgsmottagaren lämnar ett informerat samtycke till sådan behandling. Många äldre och personer med funktionsnedsättningar kan inte tillgodogöra sig information på ett tillfredsställande sätt och har inte heller förmåga att ta ställning i fråga om samtycke. Det är därför inte helt okomplicerat att uppställa krav på informerat samtycke som villkor för att vård- och omsorgsgivare ska få ta del av uppgifter genom sammanhållen vård- och omsorgsdokumentation.

En omständighet som berörts i avsnitt 12. 3.5 som är relevant även i detta sammanhang är att många omsorgsmottagare inte känner till vad som finns dokumenterat om dem i omsorgsgivarnas informationssystem, vilket gör det svårt för dem att bedöma vilken information som vårdgivare kommer att kunna ta del av vid direktåtkomst. Det finns en risk för att omsorgsmottagarna tappar förtroendet för socialtjänsten och inte lämnar all relevant information, alternativt inte ens söker hjälp hos socialtjänsten, på grund av oro för att tillgången till uppgifterna i systemet inte kommer att vara begränsad.

Det har vid utredningens kontakter med vård- och omsorgsgivare framkommit att det finns risker med att omsorgsgivare inom socialtjänsten kan få del av uppgifter från hälso- och sjukvården om äldre och personer med funktionsnedsättningar. I många fall rör det sig då om personal som inte är sjukvårdsutbildad, vilket ökar risken för feltolkning av informationen. Vidare är det ibland fråga om personal som inte har någon utbildning alls i sekretessfrågor, vilket ökar risken för att sekretessen inte respekteras och uppgifterna sprids vidare till anhöriga och andra utanför den tillåtna kretsen.

Vidare har det framförts att den dokumentation som görs inom socialtjänsten är av skiftande kvalitet och att det ibland förekommer att för mycket dokumenteras. Det kan medföra att det blir svårt för hälso- och sjukvårdspersonalen att urskilja vilken information som är relevant. Det finns då risk för att syftet med regleringen, dvs. enkel och smidig kommunikation, går förlorad, eftersom det finns för mycket information att läsa för att det ska vara överskådligt och personalen ska hinna läsa den.

Slutligen har det påtalats att en oönskad effekt av direktåtkomst eller annan elektronisk åtkomst till uppgifter hos en annan vårdgivare eller omsorgsgivare är att personal tar del av dokumentation i stället för att fråga patienten eller omsorgsmottagaren själv, även när det är möjligt, vilket minskar personens delaktighet i vården eller omsorgen.

13.3.2. Föreslagna integritetsstärkande åtgärder

Som konstaterats i föregående avsnitt kan risken för integritetsintrång inte helt och hållet elimineras. Trots det kan det ändå vara motiverat att göra det möjligt för vård- och omsorgsgivare att få åtkomst till uppgifter om patienter och omsorgsmottagare genom sammanhållen vård- och omsorgsdokumentation, om nyttan med en sådan ordning överväger risken för intrång i enskildas personliga integritet. Avvägningen mellan nyttan av snabbt och enkelt utbyte av information mellan vård- och omsorgsgivare och de integritetsrisker ett system med direktåtkomst eller annan elektronisk åtkomst mellan dessa verksamheter kan innebära påverkas av vilka integritetsstärkande åtgärder som kan vidtas för att förhindra och försvåra intrång i den personliga integriteten.

Utredningen ska, enligt utredningsdirektiven, se över möjligheterna att införa direktåtkomst genom en s.k. sammanhållen vård- och omsorgsdokumentation mellan å ena sidan verksamheter som avser äldre och personer med funktionsnedsättningar som har insatser enligt socialtjänstlagen och LSS och å andra sidan hälso- och sjukvård. Av samma skäl som anges i avsnitt 12.3.8 framstår det som ändamålsenligt att ha regleringen avseende sammanhållen journalföring inom hälso- och sjukvården i patientdatalagen som utgångspunkt vid utformningen av ett sådant system.

Patientens eller omsorgsmottagarens möjlighet till inflytande över behandlingen av personuppgifter kan, som sägs i avsnitt 12.3.9, antas vara av avgörande betydelse för om behandlingen uppfattas som en integritetskränkning eller inte. Det kan vidare antas att patienter och omsorgsmottagare har lättare att acceptera ett system med sammanhållen vård- och omsorgsdokumentation, om patienten eller omsorgsmottagaren har kontroll över om uppgifterna över huvud taget får behandlas och vilka uppgifter som får behandlas i ett sådant system. En förutsättning för att uppgifter ska få göras tillgängliga genom sammanhållen journalföring är att patienten inte motsätter sig det (6 kap. 2 § patientdatalagen). Utredningen föreslår en motsvarande bestämmelse i den föreslagna regleringen (se avsnitt 16.5). Det innebär att uppgifter om en patient eller omsorgsmottagare inte görs tillgängliga för andra vård- och omsorgsgivare genom sammanhållen vård- och omsorgsdokumentation, om patienten eller omsorgsmottagaren motsätter sig det. Patienten och omsorgsmottagaren har därmed möjlighet att motsätta sig behandlingen redan vid det tillfälle då kontakten med hälso- och sjukvården eller socialtjänsten inleds och uppgifterna om honom eller henne dokumenteras. Regleringen innebär att om patienten eller omsorgsmottagaren motsätter sig sådan behandling eller behandling av vissa uppgifter, ska uppgifterna genast spärras så att andra vård- och omsorgsgivare inte kan ta del av dem. Att uppgifterna spärras innebär alltså att det på något sätt dokumenteras att patienten eller omsorgsmottagaren motsatt sig, så att uppgifterna inte görs tillgängliga genom direktåtkomst eller annars lämnas ut elektroniskt genom systemet med sammanhållen vård- och omsorgsdokumentation. Utredningen föreslår dock att vissa särskilda regler ska gälla för barn (se avsnitt 16.5.5). När det gäller personer som inte endast tillfälligt saknar förmåga att ta ställning ska vårdgivaren respektive omsorgsgivaren ansvara för att patientens eller

omsorgsmottagarens inställning utreds så långt som möjligt samt att uppgifter om honom eller henne inte görs tillgängliga om det finns anledning att anta att personen skulle ha motsatt sig behandlingen (se 6 kap. 2 a § patientdatalagen och utredningens förslag i avsnitt 16.5.6).

En viktig förutsättning för att patienten eller omsorgsmottagaren ska kunna ta ställning i frågan om tillgängliggörande av dokumentation är att han eller hon får korrekt och tydlig information om vad systemet med sammanhållen vård- och omsorgsdokumentation innebär och att det är möjligt att motsätta sig sådan behandling av personuppgifter. Den registrerade, i det här fallet patienten eller omsorgsmottagaren, har enligt artikel 13 och 14 i dataskyddsförordningen rätt att få viss information från den personuppgiftsansvarige när personuppgifter samlas in från honom eller henne eller om personuppgifterna har erhållits från någon annan än den registrerade. Vård- och omsorgsgivaren är således redan enligt dataskyddsförordningen skyldig att lämna viss information till patienten eller omsorgsmottagaren. Utredningen konstaterar i avsnitt 12.3.9 att rätten till information och omsorgsmottagarens möjlighet att därmed tillvarata sin rätt är ett viktigt led i skyddet av den personliga integriteten och föreslår mot den bakgrunden att det i den föreslagna regleringen tas med en bestämmelse som slår fast att omsorgsmottagaren, innan uppgifter om omsorgsmottagaren görs tillgängliga för andra omsorgsgivare genom sammanhållen omsorgsdokumentation, ska informeras om vad sammanhållen omsorgsdokumentation innebär och rätten att motsätta sig tillgängliggörandet. Motsvarande gäller vid sammanhållen journalföring. Denna rätt till information bör gälla även vid sammanhållen vård- och omsorgsdokumentation. Det bör i detta sammanhang påpekas att patienten eller omsorgsmottagaren, i de fall det rör sig om sammanhållen vård- och omsorgsdokumentation, ska informeras om att omsorgsdokumentation kan lämnas ut till vårdgivare och att vårddokumentation kan lämnas ut till omsorgsgivare genom direktåtkomst eller annat elektroniskt utlämnande.

När det gäller vård- eller omsorgsgivarens möjlighet att ta del av uppgifter om en patient eller omsorgsmottagare i en senare vård- eller omsorgssituation genom sammanhållen vård- och omsorgsdokumentation föreslår utredningen att det ska krävas ett informerat samtycke från patienten eller omsorgsmottagaren. I sådana fall är det, i likhet med vad som i dag gäller vid sammanhållen journalföring, inte till-

räckligt att den enskilde inte motsätter sig behandlingen, utan ett aktivt samtycke krävs (se vidare avsnitt 16.6 och 16.7). För vårdgivares möjlighet att ta del av uppgifter om en patient i sammanhållen omsorgsdokumentation föreslås även särskilda bestämmelser för barn och personer som inte endast tillfälligt saknar förmåga att ta ställning (se vidare avsnitt 16.6.3 och 16.8).

Förutom bestämmelser som ger patienten eller omsorgsmottagaren bestämmanderätt över behandlingen av personuppgifter innehåller utredningens förslag ytterligare bestämmelser med syfte att stärka skyddet för den personliga integriteten. Utöver ett uttryckligt samtycke från patienten krävs det för att en vårdgivare ska få ta del av uppgifter i sammanhållen vård- och omsorgsdokumentation att uppgifterna rör en patient som det finns en aktuell patientrelation med och att uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar hos patienten inom hälso- och sjukvården. På motsvarande sätt ska det uppställas som krav för att en omsorgsgivare ska få ta del av vård- och omsorgsdokumentation genom sammanhållen vård- och omsorgsdokumentation att uppgifterna rör en person som får omsorgsgivarens insatser för äldre eller funktionshindrade, eller är föremål för en utredning om att få sådana insatser, och uppgifterna kan antas ha betydelse för dessa insatser. På så sätt avgränsas tillämpningsområdet till de situationer där det finns ett verkligt och aktuellt behov av behandlingen av personuppgifter. En vård- eller omsorgsgivare ska inte få behandla uppgifter om en patient eller en omsorgsmottagare i ett system med sammanhållen vård- och omsorgsdokumentation under andra förutsättningar än de som regleras, även om patienten eller omsorgsmottagaren samtycker till det. Ytterligare en integritetsstärkande åtgärd som utredningen föreslår är att förtydliga vem som har personuppgiftsansvaret vid sammanhållen vård- och omsorgsdokumentation.

Det kan antas att det är lättare för patienten eller omsorgsmottagaren att ta ställning till frågan om direktåtkomst om han eller hon har insyn i vilka uppgifter vård- och omsorgsdokumentationen innehåller. I patientdatalagen finns det bestämmelser om att en vårdgivare, under vissa förutsättningar, får medge en enskild direktåtkomst till uppgifter om den enskilde själv (5 kap. 5 § patientdatalagen). På motsvarande sätt bör en patient kunna ta del av vård- och omsorgsdokumentation och en omsorgsmottagare ta del av vård- och omsorgsdokumentation om sig själv i ett system med sammanhållen vård- och

omsorgsdokumentation (se avsnitt 12.3.9). Detta för att patienten eller omsorgsmottagaren på ett enkelt sätt ska kunna ha insyn i vilka uppgifter som finns i hans eller hennes dokumentation och därmed lättare kunna ta ställning i fråga om inställning till behandling och samtycke.

Slutligen bör det förtydligas att det är den personuppgiftsansvarige vård- eller omsorgsgivaren som har ansvar för att den interna elektroniska åtkomsten till uppgifter hos vård- eller omsorgsgivaren inte är mer omfattande än vad som krävs för att vården eller insatserna för patienten eller omsorgsmottagaren ska kunna utföras. Utredningen föreslår därför bestämmelser med krav på tilldelning av behörighet för elektronisk åtkomst samt dokumentation och kontroll av elektronisk åtkomst vid sammanhållen vård- och omsorgsdokumentation.

I sammanhanget bör också påpekas att den föreslagna regleringen som möjliggör sammanhållen vård- och omsorgsdokumentation innebär just en möjlighet för vård- och omsorgsgivare att ingå i ett sådant system. Bestämmelserna anger de grundläggande förutsättningarna för behandling av personuppgifter genom sammanhållen vård- och omsorgsdokumentation. Det finns dock ingenting som hindrar att de vård- och omsorgsgivare som samarbetar i ett sådant system ställer upp strängare krav än den föreslagna lagstiftningen.

13.3.3. Utredningens samlade avvägning mellan behov och risk för integritetsintrång

Utredningens förslag innebär att vård- och omsorgsgivare får möjlighet att samarbeta genom sammanhållen vård- och omsorgsdokumentation om äldre och personer med funktionsnedsättningar. Syftet med sammanhållen vård- och omsorgsdokumentation är att möjliggöra snabbare och smidigare informationsöverföring mellan vård- och omsorgsgivarna, vilket i förlängningen ska leda till god och säker vård och omsorg för den enskilde. Andra möjliga positiva effekter av en sådan reglering är tidsvinster för vård- och omsorgsgivare, då mindre tid behöver läggas på sekretessprövningar, sökning och inhämtande av information samt onödig dubbeldokumentation. I stället för att som i dag lägga tid på att ringa runt för att nå rätt person i en annan verksamhet kan den som behöver viss information för att kunna utföra en arbetsuppgift ta del av den, om förutsätt-

ningarna för det är uppfyllda, genom den gemensamma vård- och omsorgsdokumentationen. Tid och resurser kan också sparas, eftersom det i de flesta fall inte finns något krav på att vård- och omsorgsgivare ska göra en konsekvensbedömning avseende dataskydd inför varje behandling av personuppgifter, eftersom en bedömning härmed redan gjorts (se vidare avsnitt 12.3.10 och 12.3.12).

Samtidigt rör det sig om omfattande behandling av uppgifter om människors hälsa och andra personuppgifter av ytterst integritetskänslig karaktär. Ett system med sammanhållen vård- och omsorgsdokumentation innebär vidare att sådana uppgifter kommer att finnas potentiellt tillgängliga för en betydligt större krets än tidigare. Som konstateras i avsnitt 12.3.10 kan integritetsriskerna antas vara större när känslig information om ett stort antal individer samlas och lagras elektroniskt så att de är tillgängliga för mer än ett fåtal personer. Med möjlighet för vård-och omsorgsgivare att ”hämta hem” uppgifter på elektronisk väg ökar också risken för att uppgifter lagras hos mottagaren även om det inte finns behov av sådan lagring. Det är därför särskilt viktigt att sådan behandling av personuppgifter omgärdas av integritetsskyddande regler. Nyttan av snabb och enkel tillgång till personuppgifter mellan vård- och omsorgsgivare genom ett system med sammanhållen vård- och omsorgsdokumentation måste vägas mot de risker för integritetsintrång som ett sådant system kan innebära.

Som beskrivs i avsnitt 13.2 finns det ett behov av att ta del av omsorgsinformation avseende äldre och personer med funktionsnedsättningar inom hälso- och sjukvården. Det finns också ett behov av att ta del av vårddokumentation inom verksamhet inom socialtjänsten som avser äldre och personer med funktionsnedsättningar. Som anges i föregående avsnitt finns det många risker förknippade med direktåtkomst. Direktåtkomst innebär dock inte i sig en ovillkorlig rätt för alla vård- och omsorgsgivare som ingår i systemet med sammanhållen vård- och omsorgsdokumentation att ta del av samtliga uppgifter, utan tillgången kan begränsas på olika sätt. Utredningens förslag innebär att uppgifterna får göras tillgängliga genom sammanhållen vård- och omsorgsdokumentation under förutsättning att patienten eller omsorgsmottagaren inte motsätter sig det. Patienten eller omsorgsmottagaren ska kunna spärra samtliga eller vissa uppgifter, vilket innebär att uppgifterna inte är tillgängliga för andra vård- och omsorgsgivare i systemet. Möjligheten att spärra

uppgifterna ska inte vara tidsbegränsad. Vidare ska som huvudregel patientens eller omsorgsmottagarens samtycke krävas för att en vård- och omsorgsgivare som är ansluten till systemet i en aktuell vård- eller omsorgsrelation ska få åtkomst till personuppgifterna. Det föreslagna systemet med sammanhållen vård- och omsorgsdokumentation bygger alltså på patientens eller omsorgsmottagarens frivilliga deltagande. Särskilda bestämmelser ska dock, av skyddsskäl, gälla för barn. När det gäller personer som inte endast tillfälligt saknar förmåga att ta ställning eller samtycka föreslår utredningen en långtgående skyldighet för vård- och omsorgsgivaren att utröna patientens eller omsorgsmottagarens inställning. Sådan reglering finns redan när det gäller sammanhållen journalföring inom hälso- och sjukvården (6 kap.2 a och 3 a §§patientdatalagen).

Tillgängligheten ska inte endast vara beroende av patientens eller omsorgsmottagarens inställning. Direktåtkomst eller annan elektroniskt utlämnande ska endast vara tillåtet om vissa angivna villkor är uppfyllda, nämligen om det rör sig om en aktuell vårdrelation eller omsorgsmottagaren får insatser eller är föremål för utredning om insatser av omsorgsgivaren. Vidare föreslås, avseende vårdgivares åtkomst till uppgifter som en annan vårdgivare eller en omsorgsgivare har gjort tillgängliga genom sammanhållen omsorgsdokumentation, att det krävs att uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten. För att en omsorgsgivare ska få behandla uppgifter som en annan omsorgsgivare eller en vårdgivare gör tillgängliga genom sammanhållen omsorgsdokumentation uppställs också som krav att uppgifterna kan antas ha betydelse för omsorgsgivarens insatser. En sådan reglering ställer således krav på att det ska vara fråga om uppgifter som behövs och är aktuella i det enskilda fallet eller ärendet. Den föreslagna regleringen ger alltså inte stöd för behandling av personuppgifter genom lagring hos den mottagande vård- eller omsorgsivaren för att uppgifterna eventuellt kan vara ”bra att ha”. Det är lämpligt att här erinra om den generellt tillämpliga principen om uppgiftsminimering i dataskyddsförordningen (se avsnitt 4.5). Utredningen berör frågan om möjligheten att ”ladda ner” uppgifter och att det så långt som möjligt ska undvikas i avsnitt 16.18.4.

Som ovan beskrivs kan direktåtkomst eller annan elektronisk åtkomst leda till oro för att uppgifterna kan komma att spridas till obehöriga. Denna risk kan motverkas genom att förtydliga vård- och

omsorgsgivarnas ansvar för att ha adekvata regler för behörighet för elektronisk åtkomst. Vård- och omsorgsgivare ska också ansvara för att åtkomsten till uppgifter genom sammanhållen vård- och omsorgsdokumentation dokumenteras och kontrolleras.

När det gäller risken för större spridning av uppgifterna genom utlämnande av allmän handling med stöd av offentlighetsprincipen kan som i avsnitt 13.3.1 konstateras att risken för spridning inte torde öka på grund av att en begäran om att få ut en handling kan ställas till vilken som helst av de anslutna vård- och omsorgsgivarna. För uppgift om enskilds personliga förhållanden gäller nämligen sekretess med ett omvänt skaderekvisit både inom hälso- och sjukvård och socialtjänst (25 kap. 1 § och 26 kap. 1 § OSL).

Det har av vissa framförts att det inte skulle finnas ett så stort behov för omsorgsgivare att ta del av vårddokumentation. Det har också för utredningen påtalats att sådan tillgång till dokumentation kan leda till risker då personal hos omsorgsgivaren, som inte är sjukvårdsutbildad, kan misstolka informationen och därför ge fel omsorg. Utredningen menar dock att det under utredningstiden har framkommit att det finns ett klart behov hos omsorgsgivare av att ta del av vårddokumentation och att enkel tillgång till sådan dokumentation kan medföra att omsorgen effektiviseras och förbättras. De eventuella risker som sådan informationsöverföring kan innebära bör kunna undvikas genom tydliga rutiner för vilka uppgifter som ska dokumenteras och på vilket sätt samt utbildning om hur sammanhållen vård- och omsorgsdokumentation ska tolkas och användas. Även den angivna risken för överdokumentation borde kunna motverkas genom tydliga regler för vad som ska dokumenteras och utbildning till personalen.

Ett system med sammanhållen vård- och omsorgsdokumentation innebär vissa integritetsrisker, men enligt utredningens bedömning kan de föreslagna integritetsstärkande åtgärderna eliminera, eller i vart fall effektivt motverka dessa risker. Utredningens bedömning är alltså att det, med de särskilda krav på den enskildes samtycke och andra begränsningar som uppställs, är möjligt att införa direktåtkomst eller annan elektronisk åtkomst för vård- och omsorgsgivare till dokumentation om äldre och personer med funktionsnedsättningar.

13.3.4. Reglering i lag

Syftet med den föreslagna regleringen är att göra det möjligt för vård- och omsorgsgivare att ge tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter för andra vård- eller omsorgsgivare, eller få åtkomst, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter hos andra vård- eller omsorgsgivare. När det gäller vårdgivares behandling av personuppgifter framgår det av 5 kap. 4 § patientdatalagen att utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning. Vårdgivares möjlighet att ge åtkomst genom direktåtkomst genom sammanhållen vård- och omsorgsdokumentation måste således regleras i lag eller förordning. Det finns inte något motsvarande krav när det gäller annat elektroniskt utlämnande, men av skäl som berörs närmare i avsnitt 16.3.2 bör regleringen omfatta alla former av elektroniskt utlämnande av uppgifter. Något motsvarande krav på reglering av direktåtkomst i lag eller förordning finns inte i SoLPUL.

Som tidigare nämnts är riksdagen och regeringen överens om att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll bör regleras särskilt i lag (se avsnitt 3.2). Den reglering som utredningen föreslår möjliggör inrättande av system där flera vård- och omsorgsgivare har tillgång till känsliga personuppgifter om ett stort antal patienter och omsorgsmottagare i vad som kan framstå som ett gemensamt register. Denna omständighet talar för att en reglering i lag är mest lämpligt.

Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begränsningar av skyddet får dock enligt 2 kap. 20 § regeringsformen ske i lag, om de krav som följer av 2 kap. 21 § regeringsformen är uppfyllda (se närmare i avsnitt 3.2).

För den behandling av personuppgifter som sker i form av varje vård- eller omsorgsgivares dokumentation av insatser finns redan lagstöd i patientdatalagen, SoLPUL och 3 kap. 2 § dataskyddslagen. Att vård- eller omsorgsgivaren för in denna dokumentation i ett system med sammanhållen vård- och omsorgsdokumentation innebär enligt förslaget inte att andra än vård- eller omsorgsgivaren får ta del av

dokumentationen. För att andra vård- eller omsorgsgivare ska få ta del av dokumentationen ska det enligt förslaget krävas samtycke från patienten eller omsorgsmottagaren. Den kartläggning av enskildas personliga förhållanden och det intrång i den personliga integriteten som det innebär att en vård- eller omsorgsgivare tar del av andra vård- eller omsorgsgivares dokumentation av insatser förutsätter alltså samtycke. När det gäller utlämnande genom direktåtkomst anses dock allmänna handlingar utlämnande redan när den mottagande myndigheten av annan ges en sådan teknisk tillgång till den utlämnande myndighetens upptagningar som avses i 2 kap. 6 § första stycket tryckfrihetsförordningen, dvs. om upptagningen är tillgänglig för den mottagande myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. Enligt utredningens förslag ska det inte krävas något samtycke från patienten eller omsorgsmottagaren för att en vård- eller omsorgsgivare ska kunna göra uppgifterna potentiellt tillgängliga för andra omsorgsgivare genom direktåtkomst vid sammanhållen vård- och omsorgsdokumentation. Sammanhållen vård- och omsorgsdokumentation som bygger på direktåtkomst innebär därför att handlingarna, oavsett samtycke, anses förvarade och därmed tillgängliga för den mottagande myndigheten. När det är fråga om direktåtkomst skulle det därför kunna diskuteras om det enligt 2 kap. 6 § andra stycket och 20 §regeringsformen krävs reglering i lag. Det saknas dock skäl att göra närmare avvägningar i denna fråga, eftersom utredningen bedömer att inrättandet av ett system där vård- och omsorgsgivare kan få del av varandras vård- och omsorgsdokumentation genom direktåtkomst (eller annat elektroniskt utlämnande) redan med hänsyn till riksdagens och regeringens ovan nämnda överenskommelse bör regleras särskilt i lag.

13.3.5. Konsekvensbedömning avseende dataskydd

I avsnitt 12.3.12 har det redogjorts för vilka krav på konsekvensbedömning avseende dataskydd som ställs enligt dataskyddsförordningen. Där konstateras i fråga om sammanhållen omsorgsdokumentation att den riskanalys och avvägning som gjorts i avsnitt 12.3 och 13.3 innebär att en särskild konsekvensbedömning avseende dataskydd i de allra flesta fall inte behöver göras av varje omsorgsgivare

som inför sammanhållen vård- och omsorgsdokumentation enligt den föreslagna lagen. Utredningen gör med hänvisning till den riskanalys och avvägning som gjorts i detta kapitel och i förarbetena till patientdatalagen och ändringar i den lagen motsvarande bedömning i fråga om sammanhållen vårddokumentation inom hälso- och sjukvården.

Även behandlingen av personuppgifter för den sammanhållna vårddokumentationen har stöd i artikel 6.1 c eller e i dataskyddsförordningen.5

I förarbetena till patientdatalagen redovisas ingående resonemang och avvägningar för att uppnå ett tillfredsställande skydd med avseende på skyddet för den personliga integriteten. En utgångspunkt med sammanhållen journalföring var att konstruera ett tillfredsställande integritetsskydd. I syfte att nå ett högt integritetsskydd infördes krav på att patienten ska kunna bestämma vilka uppgifter om sig själv som ska få ingå i sammanhållen journalföring.6 Även vid viktigare ändringar i bestämmelserna om sammanhållen journalföring i patientdatalagen redovisades ingående resonemang och avvägningar i förarbetena.7 I detta kapitel har en riskanalys och avvägning gjorts i fråga om omsorgsgivares tillgång till uppgifter om omsorgsmottagare hos vårdgivare och vårdgivares tillgång till uppgifter om patienter hos omsorgsgivare. Att bestämmelser från patientdatalagen i stället tas in i den föreslagna lagen innebär i sig inte någon ökad risk för fysiska personers rättigheter och friheter.

Utredningen anser därmed att inte heller vårdgivare i regel behöver göra någon konsekvensbedömning avseende dataskydd innan de inför sammanhållen vård- och omsorgsdokumentation enligt den föreslagna lagen.

5SOU 2017:66 s. 327. 6Prop. 2007/08:126 s. 111 ff. 7Prop. 2013/14:202Förbättrad informationshantering avseende vissa patienter inom hälso- och

sjukvården.

14. Kvalitetsuppföljning med personuppgifter från flera vårdinstanser och omsorgsgivare

14.1. Inledning

Regioner och kommuner är ansvariga för att verksamhet inom vård och omsorg drivs på ett säkert sätt och med hög kvalitet. För att kunna ge god vård och omsorg behöver verksamheterna hantera uppgifter om personer och genomförda insatser. Som beskrivits i tidigare avsnitt finns det många situationer där man behöver använda personuppgifter från flera vårdinstanser1 och omsorgsgivare2. Utredningen har i kapitel 12 och 13 lämnat förslag om att införa utökade möjligheter till tillgång till information över organisationsgränser i arbetet med patienter och omsorgsmottagare3 genom direktåtkomst och annat elektroniskt utlämnande.

Det finns emellertid också behov av att behandla personuppgifter och att samla in dessa från andra vårdinstanser och omsorgsgivare i arbetet med att följa upp och utveckla kvaliteten i vård- och omsorgsverksamheterna. Sådan kvalitetsuppföljning kan ske på många sätt och på olika nivåer inom vård- och omsorgsverksamheterna, kliniken, vårdinrättningen, det särskilda boendet, nämnden, regionen, kommunen eller nationen. När en läkare följer upp hur det gått

1 Med vårdinstans avser utredningen myndighet som har ansvar för eller bedriver hälso- och sjukvård (offentlig vårdinstans) och juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdinstans). Utredningen föreslår att begreppet vårdinstans definieras särskilt enligt den föreslagna lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning, se närmare motivering i avsnitt 17.1.2. 2 Med omsorgsgivare avser utredningen myndighet som har ansvar för eller utför insatser för äldre eller personer med funktionsnedsättningar (offentlig omsorgsgivare) och juridisk person eller enskild näringsidkare som utför sådana insatser (privat omsorgsgivare) (se avsnitt 16.2). 3 Med omsorgsmottagare avser utredningen person som fått eller får insatser för äldre eller personer med funktionsnedsättningar eller som fått eller får behovet av sådana insatser bedömda (se avsnitt 16.1.6 ).

för en patient som denne behandlat, är det en form av kvalitetsuppföljning på individnivå. När en region eller kommun analyserar stora mängder patientuppgifter och samkör dessa för att mäta resultatet utifrån vissa parametrar, exempelvis kostnadseffektivitet, är det också en form av kvalitetsuppföljning, fast på verksamhetsnivå.

Som regeringen har uppmärksammat varierar möjligheterna till kvalitetsuppföljning beroende på hur regioner och kommuner valt att organisera sina nämnder och i vilken omfattning de använder sig av privata vårdinstanser eller omsorgsgivare. Det råder i regel sekretess mellan olika nämnder för sådana personuppgifter som används inom vård och omsorg. Stark sekretess gäller även i förhållande till privata vårdinstanser och omsorgsgivare. För att kunna använda personuppgifter från andra vårdinstanser och omsorgsgivare för kvalitetsuppföljning krävs dels rättsligt stöd för att lämna ut uppgifterna, dels att mottagaren har stöd för sin vidare behandling av personuppgifterna. Dagens regelverk medför att i en region med flera privata vårdinstanser är möjligheterna till kvalitetsuppföljning sämre än vad de är i en region med få vårdinstanser. Motsvarande gäller för kvalitetsuppföljning inom en kommun med flera privata omsorgsgivare respektive med få omsorgsgivare. Samtidigt är förmodligen behovet av kvalitetsuppföljning större ju flera vårdinstanser och omsorgsgivare som är inblandade i en patients eller omsorgsmottagares vård och omsorg.

Vårdinstanser och omsorgsgivare har skyldighet enligt lag att arbeta med att säkra och utveckla kvaliteten inom sina respektive verksamheter. Förutom regelverket för nationella och regionala kvalitetsregister inom hälso- och sjukvården, finns det dock inga särskilda bestämmelser som syftar till att möjliggöra gemensamma verksamhetsuppföljningar, dvs. där man samlar in personuppgifter från andra vårdinstanser och omsorgsgivare.4 Inom socialtjänsten finns inget regelverk som motsvarar regleringen av kvalitetsregister.

Datainspektionen har vid tillsyn granskat en gemensam verksamhetsuppföljning som innefattade samkörning av personuppgifter från en region och en kommun. Datainspektionen bedömde att det inte fanns legala förutsättningar enligt gällande regler för att använda personuppgifter över region- och kommungränserna och samköra

4Prop. 2007/08:126 s. 174 f.

dessa i gemensamma system.5 För en närmare beskrivning av besluten, se avsnitt 14.4.4 nedan.

I tillsynsbesluten hänvisade Datainspektionen till en skrivning i förarbetena till patientdatalagen (2008:355): ”När det gäller frågan om att förbättra landstingens och kommunernas möjligheter att göra gemensamma uppföljningar av sådana insatser som involverar både hälso-och sjukvård och socialtjänst så utreds detta för närvarande av Socialtjänstdatautredningen (S 2007:92).”6

Frågan om att se över regelverket för att möjliggöra kvalitetsuppföljning med personuppgifter från flera vårdinstanser och omsorgsgivare har uppmärksammats i flera tidigare utredningar. Patient-

datautredningen uttalade att den inte hade någon anledning att betvivla

att det just på vård- och omsorgsområdet finns stora möjligheter att förbättra det samlade omhändertagandet, om gemensam verksamhetsuppföljning av insatserna kan göras över de formella gränser som i dag finns mellan huvudmännen. Patientdatautredningen hade emellertid inte mandat att se över sekretessfrågor i samband med verksamhetsuppföljning på vård- och omsorgsområdet.7Socialtjänstdata-

utredningen8 och Utredningen om rätt information i vård och omsorg9

har lämnat förslag till lagstiftning för att möjliggöra gemensam verksamhetsuppföljning över organisationsgränserna, men dessa förslag har inte lett till några lagstiftningsåtgärder.

14.2. Direktiven samt avgränsning av uppdraget

Utredningens uppdrag är att se över möjligheterna till en utvidgad informationsöverföring för kvalitetsutveckling inom och mellan hälso-och sjukvård och socialtjänst. Enligt direktiven ska utredaren se över möjligheterna till en utvidgad informationsöverföring för kvalitetsutveckling mellan

5 Prövningen skedde i ett tillsynsärende som rörde dåvarande Stockholms läns landsting och Österåkers kommun. Se Datainspektionens beslut den 3 juli 2015, dnr 518-2015 respektive 643-2015. 6Prop. 2007/08:126 s. 175. 7SOU 2006:82 s. 421 ff. 8SOU 2009:32. 9SOU 2014:23.

– vårdinstanser10 i hälso- och sjukvård, – vårdinstanser i hälso- och sjukvård och kommunal nämnd eller ut-

förare av kommunens arbetsuppgifter inom socialtjänst för äldre personer och personer med funktionsnedsättning, och – kommunala nämnder eller utförare av kommunens arbetsuppgif-

ter inom socialtjänsten för äldre personer och personer med funktionsnedsättning.

Möjligheter till kvalitetsuppföljning för privata vårdinstanser inom hälso- och sjukvården respektive privata omsorgsgivare i förhållande till andra myndigheter och andra enskilda än omsorgsmottagaren ska också ingå i utredningens analys.

Direktiven har begränsat på vilken nivå inom region och kommun ett beslut om behandling av personuppgifter för kvalitetsuppföljning får fattas. Detta framgår av att det anges att ett sådant beslutsfattande bör vara förbehållet det högsta politiska organet hos huvudmannen (dvs. regionfullmäktige eller kommunfullmäktige).

Vidare anger direktiven att besluten bör avse – hela eller åtminstone väsentliga delar av huvudmannens hälso-

och sjukvårdsverksamhet, respektive – hela eller åtminstone väsentliga delar av kommunens verksamhet

med omsorg om äldre personer och personer med funktionsnedsättning, samt – att personuppgifter inte bör få spridas utanför regionen eller kom-

munen.

Kvalitetsuppföljning och utvecklingsarbete kan se olika ut och ske med skilda metoder. En av många olika saker som görs inom ramen för ett kvalitetsarbete för att följa upp och säkra verksamhetens resultat är att använda sig av personuppgifter.11 Det finns även sätt att mäta och kvalitetssäkra som inte innefattar användning av personupp-

10 I direktiven används begreppet ”vårdgivare”. När det gäller kvalitetsuppföljning använder utredningen dock i stället ett begrepp, vårdinstans, med en något annorlunda betydelse. För beskrivning av begreppet vårdinstans, se avsnitt 17.1.2. 11 Bilaga 4 till SOU 2014:23 s. 219.

gifter. Utredningens uppdrag begränsar sig dock till sådant kvalitetsarbete som innebär behandling av personuppgifter.

Utredningens uppdrag gäller vidare endast sådan kvalitetsuppföljning som innebär att personuppgifter samlas in från andra vårdinstanser och omsorgsgivare. Behandling av personuppgifter för kvalitetssäkring och verksamhetsuppföljning inom en och samma vårdgivare regleras i patientdatalagen (PDL). Lagen (2001:454) om behandling av personuppgifter inom socialtjänstens område (SoLPUL) och förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten (SoLPUF) innehåller bestämmelser som ger möjlighet för en kommunal myndighet att behandla personuppgifter inom socialtjänsten för tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten.

Utredningen kommer inledningsvis att redogöra för valet av det samlande begreppet kvalitetsuppföljning som kommer att användas i utredningens förslag. Utredningen beskriver i anslutning till detta också vilka förutsättningar som finns enligt gällande rätt att använda personuppgifter från andra vårdinstanser eller omsorgsgivare för kvalitetsuppföljning.

Därefter kommer utredningen att beskriva och analysera behovet av att införa ytterligare regelverk för kvalitetsuppföljning med personuppgifter från andra vårdinstanser eller omsorgsgivare. En avvägning kommer att göras mellan behoven och de integritetsrisker som kan uppstå. Utredningen kommer därför att beakta de generella och mer specifika risker för den personliga integriteten som en utvidgad informationsöverföring för kvalitetsuppföljning kan innebära. I anslutning till detta kommer även en beskrivning av integritetsstärkande åtgärder att göras. Utredningen gör sedan en samlad avvägning av behovet att använda personuppgifter för kvalitetsuppföljning i förhållande till riskerna för den personliga integriteten.

14.3. Utredningen använder begreppet kvalitetsuppföljning

Det förekommer en mängd olika begrepp för att beskriva arbete med kvalitet inom vård och omsorg. Kvalitetsutveckling, kvalitetssäkring, utvärdering, uppföljning, verksamhetsuppföljning och systematiskt kvalitetsarbete är några exempel. Dessa begrepp har inte legaldefini-

tioner och används såvitt utredningen kan bedöma utan någon klar distinktion och med överlappande betydelser i olika sammanhang. Gemensamt är att begreppen omfattar åtgärder som syftar till och är ägnade att förbättra kvaliteten och därmed bidra till en god och säker vård och omsorg.

I patientdatalagens ändamålskatalog (2 kap. 4 § PDL) används formuleringarna systematiskt och fortlöpande utveckla och säkra kva-

liteten i verksamheten (punkt 4) samt administration, planering, uppföljning, utvärdering och tillsyn av verksamheten (punkt 5).

Enligt 6 § SoLPUL får personuppgifter bara behandlas om behandlingen är nödvändig för att arbetsuppgifter inom socialtjänsten ska kunna utföras. I 12 § SoLPUF preciseras att tillsyn,

uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten är tillåtna ändamål för kommunala myndigheter att

behandla personuppgifter inom socialtjänsten.

I utredningens direktiv används omväxlande begreppen utveck-

lingsarbete, kvalitetssäkringsarbete, kvalitetsutveckling, verksamhetsuppföljning och kvalitetsuppföljning i beskrivningen av utredningens

uppdrag.12 Som utredningen uppfattar direktiven, är syftet med att där använda olika begrepp inte att göra någon egentligen skillnad i sak mellan dessa. Det avgörande verkar i stället vara att direktiven syftar på en översyn av möjligheterna att samla in personuppgifter från andra vårdinstanser och omsorgsgivare i samband med åtgärder som görs för att förbättra och utveckla kvaliteten i vård- och omsorg.

I förarbetena till patientdatalagen poängteras att verksamhetsuppföljning inte är något självändamål. Syftet med verksamhetsuppföljning är att generera kunskap som i sin tur används för att på olika sätt förbättra eller förändra verksamheten i fråga.13

Utredningen anser inte att det är avgörande vilket begrepp som används, utan det väsentliga är att syftet med åtgärderna är att på olika sätt förbättra eller förändra vården och omsorgen. Utredningen avser i det följande med begreppet kvalitetsuppföljning olika åtgärder som i vid mening syftar till och är ägnade att förbättra och utveckla kvaliteten inom vård och omsorg. Utgångspunkten är att det är främst vid kvalitetsuppföljning mellan olika vårdinstanser och omsorgsgivare som det behövs personuppgifter för att få fram information om en individ från olika vårdinstanser och omsorgsgivare.

12 Se utredningens direktiv (dir. 2019:37) s. 15–17. 13Prop. 2007/08:126 s. 174.

När väl kvalitetsuppföljningen har skett, behöver sannolikt inte personuppgifter användas så ofta för att med hjälp av slutsatserna från kvalitetsuppföljningen utföra kvalitetssäkring och kvalitetsutveckling. Observera att tanken inte är att kvalitetsuppföljning ska användas för att följa upp insatser för en viss patient eller omsorgsmottagare, utan det ska vara fråga om en mer generell uppföljning på verksamhetsnivå. För att göra detta, behöver man dock utgå från uppgifter om patienter och omsorgsmottagare som hämtats från vården och omsorgen.

Utredningen vill framhålla att den nya lagen är tillämplig just när

personuppgifter från andra vårdinstanser eller omsorgsgivare behand-

las. När kopplingen till personuppgifter har tagits bort och det rör sig om data utan koppling till fysiska personer, får den kunskap som genererats inom ramen för en kvalitetsuppföljning givetvis användas på det sätt som regionen eller kommunen finner lämpligt och nyttigt för verksamheten. I det skedet finns det från utredningens perspektiv inget hinder mot att man använder modern teknik där man t.ex. samkör data eller använder sig av AI-tekniker (artificiell intelligens) för att med hjälp av algoritmer ta fram beslutsstöd som är till nytta i den individuella vården och omsorgen.

En fördel med begreppet kvalitetsuppföljning är att det inte används i de gällande registerförfattningarna för vård och omsorg och därmed är frikopplat från dessa. Att använda det bredare begreppet kvalitetsuppföljning kommer förhoppningsvis leda till att färre gränsdragningsproblem uppstår när vårdinstanser och omsorgsgivare behandlar personuppgifter från olika vårdinstanser och omsorgsgivare i syfte att följa upp kvaliteten.

14.4. De legala förutsättningarna för att behandla personuppgifter för kvalitetsuppföljning inom vård och omsorg

Bakgrund

Att vårdgivaren ska planera, leda och kontrollera verksamheten så att kravet på god vård i hälso- och sjukvårdslagen och tandvårdslagen upprätthålls framgår av lag (3 kap. 1 § patientsäkerhetslagen [2010:650], förkortad PSL). Det är också reglerat i lag att kvaliteten inom hälso-

och sjukvården systematiskt och fortlöpande ska utvecklas och säkras (5 kap. 4 § hälso- och sjukvårdslagen [2017:30]). En motsvarande bestämmelse om kvalitetssäkring finns för tandvården (16 § tandvårdslagen [1985:125]). Att kvaliteten i verksamheten systematiskt och fortlöpande ska utvecklas och säkras gäller även för socialtjänsten (se bl.a. 3 kap. 3 § socialtjänstlagen [2001:453] [SoL] och 6 § lagen [1993:387] om stöd och service till vissa funktionshindrade [LSS]). Detta kallas vanligen för systematiskt kvalitetsarbete.

Socialstyrelsen har utfärdat föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete. Dessa föreskrifter och allmänna råd gäller både vård- och omsorgsgivare och innehåller närmare bestämmelser om hur det systematiska kvalitetsarbetet ska bedrivas. Tanken är att gemensamma regler för ledningssystem underlättar för verksamheter som bedriver både hälso- och sjukvård och socialtjänst eller verksamhet enligt LSS att ta fram ändamålsenliga och verksamhetsanpassade ledningssystem för systematiskt kvalitetsarbete.

Registerförfattningarna för vården och omsorgen ger möjlighet till behandling av personuppgifter för kvalitetsuppföljning av den egna verksamheten. Dessa registerförfattningar kompletterar dataskyddsförordningen.

I dag gäller olika förutsättningar för att samla in personuppgifter för kvalitetsuppföljning inom en och samma organisation respektive över organisationsgränser. Det beror bl.a. på hur registerförfattningarna och offentlighets- och sekretesslagen är konstruerade och på den kommunala friheten att välja sin organisationsform. Möjligheten till kvalitetsuppföljning av verksamheter som har patienter eller omsorgsmottagare som får vård och omsorg av flera vårdinstanser och omsorgsgivare varierar därför beroende på hur verksamheterna är organiserade inom regionen eller kommunen.

14.4.1. Innebörden av kvalitet och god kvalitet

Att insatser och verksamheter inom hälso- och sjukvård och socialtjänst ska vara av god kvalitet är ett av de grundläggande kraven som uppställs enligt lag. Som nämnts finns också krav på att den som

bedriver vård eller omsorg ska bedriva ett systematiskt kvalitetsarbete för att bl.a. följa upp att kraven på god kvalitet upprätthålls.14

Förarbetena till hälso- och sjukvårdslagen anger att god kvalitet innebär bl.a. att vården ska ha den medicinskt tekniska kvalitet som behövs och även tillgodose kraven på en god omvårdnad samt vara anpassad till den enskilde patientens särskilda förhållanden. Det måste förutsättas att vården tillgodoser människornas behov av trygghet och säkerhet i medicinskt hänseende.15

I förarbetena till socialtjänstlagen och LSS uttalar regeringen att kvalitet är ett svårfångat begrepp. Vad som utgör god kvalitet låter sig inte fastställas på ett entydigt och objektivt sätt. Människors olika behov, intressen och förväntningar påverkar uppfattningen om vad som är god kvalitet.16

Enligt Socialstyrelsens föreskrifter och allmänna råd om ledningssystem för systematiskt kvalitetsarbete (SOSFS 2011:9) menas med kvalitet

att en verksamhet uppfyller de krav och mål som gäller för verksamheten enligt lagar och andra föreskrifter om hälso- och sjukvård, socialtjänst och stöd och service till vissa funktionshindrade och beslut som har meddelats med stöd av sådana föreskrifter (2 kap. 1 § föreskrifterna).17

God kvalitet i hälso-och sjukvård och socialtjänst beskrivs alltså här i termer av att verksamheterna kan svara mot målen i gällande lagstiftning. Detta kan tjäna som ett riktmärke för vilka åtgärder som kan ingå i kvalitetsuppföljning inom hälso- och sjukvården och socialtjänsten.

I samband med att kravet på kvalitetssäkring lagfästes i hälso- och sjukvårdslagen uttalade regeringen att det är en förpliktelse för vårdgivare att utveckla metoder för att noga följa upp och analysera utvecklingen av kvalitet och säkerhet. Eftersom det ibland saknas samstämmighet om vad som ger en rättvisande belysning av kvaliteten och då olika verksamheter har skilda förutsättningar och problem, är det inte möjligt att fastställa en mall för kvalitet som alla kan tillämpa. Det måste bli en uppgift för Socialstyrelsen att i nära samråd med

14 Se 3 kap. 3 § socialtjänstlagen, 6 § LSS och 5 kap. 1 § hälso- och sjukvårdslagen. 15Prop. 1981/82:97 s. 56. 16 Se prop. 1996/97:124 s. 52 och prop. 2004/05 39 s. 25. 17 För vårdgivare som endast bedriver verksamhet som omfattas av lagen (2001:499) om omskärelse av pojkar eller lagen (2009:366) om handel med läkemedel avses i SOSFS 2011:9 med kvalitet endast att en verksamhet uppfyller de krav och mål som gäller för verksamheten enligt 3 kap. patientsäkerhetslagen (2010:659).

sjukvårdshuvudmännen och berörda professioner inom hälso- och sjukvården konkretisera vilka grundläggande indikatorer som de verksamhetsansvariga ska följa upp.18

När kravet på kvalitetssäkring några år senare skulle införas i socialtjänstlagen anförde regeringen bl.a. att det är önskvärt att det även på socialtjänstområdet sker ett motsvarande arbete för att utvärdera olika vårdinsatser och analysera förekommande förändringsbehov. Samtidigt erinrades om att förutsättningarna i vissa avseenden är olika. Vad som krävs av sjukvården är ofta tämligen klart. Det kan vara svårare att precisera vad som är kvalitet inom socialtjänsten, bl.a. med hänsyn till de varierande lösningar som där kan förekomma, inte minst inom äldreomsorgen. Avsikten med kravet på kvalitetssäkring inom socialtjänsten är att ställa krav på uppföljning och utvärdering av de insatser som görs liksom på en anpassning av utbud och innehåll med hänsyn till utvecklingen i omvärlden.19

Ytterligare några år senare tillkom liknande krav på kvalitet i verksamhet enligt LSS. Verksamheten ska vara av god kvalitet och kvaliteten i verksamheten ska systematiskt och fortlöpande utvecklas och säkras (6 § LSS). Regeringen uttalade när bestämmelsen infördes att vissa faktorer har avgörande betydelse för att verksamhet enligt LSS ska kunna sägas ha god kvalitet, exempelvis att det finns en överensstämmelse med de mål som gäller för verksamheten och att verksamheten uppfyller de bestämmelser som LSS anger. För att kontinuerligt utveckla kvaliteten i verksamheten måste såväl organisation och arbetsprocesser som resultat och mål vara föremål för uppföljning och utvärdering. Det är av vikt att kvalitetsarbetet utförs på alla nivåer i organisationen. Egenutvärdering eller egenkontroll bör utgöra ett centralt inslag i kvalitetsarbetet.20

14.4.2. Kvalitetsuppföljning inom en region eller kommun

Av offentlighets- och sekretesslagen (2009:400) (OSL) följer att sekretess gäller mellan myndigheter och mellan olika verksamhetsgrenar inom en myndighet. Utredningen har i avsnitt 5.3 redogjort närmare för reglerna om sekretess mellan myndigheter och mellan självständiga verksamhetsgrenar. Eftersom nämnder inom en region

18Prop. 1995/96:176 s. 54 f. 19Prop. 1997/98:113 s. 92. 20Prop. 2004/05:39 s. 25.

eller kommun är att betrakta som egna myndigheter, har införandet av den fria kommunala nämndorganisationen inneburit att sekretessgränser uppstått när en region eller kommun valt att organisera sin verksamhet så att flera nämnder har ansvar för hälso- och sjukvården respektive socialtjänsten.

Uppgifter om enskilds hälsotillstånd och andra personliga förhållanden omfattas i regel av sekretess och tystnadsplikt. Hälso- och sjukvårdssekretessen hindrar dock inte att uppgifter lämnas från en myndighet som bedriver hälso- och sjukvård eller annan medicinsk verksamhet i en region till en annan sådan myndighet i samma region (25 kap. 11 § 1 och 2 OSL). Så kallade kommunala företag räknas i detta sammanhang som myndigheter (2 kap. 3 § OSL). Dessa sekretessbrytande regler medför möjligheter till verksamhetsuppföljning när det gäller hälso- och sjukvård som utförs av olika vårdgivare inom en region. Om en region eller kommun delat in sin hälso- och sjukvårdsverksamhet efter geografiska områden kan därmed sekretessbelagda uppgifter lämnas från exempelvis ”Södra hälso- och sjukvårdsnämnden” till ”Norra hälso- och sjukvårdsnämnden” utan hinder av sekretess. På motsvarande sätt kan uppgifter lämnas från ett kommunalt företag med hälso- och sjukvårdsverksamhet i en region till en myndighet med sådan verksamhet inom regionen. Man kan därmed jämföra uppgifter och utveckla kvaliteten inom regionen eller kommunen som sådan. Det finns dock ingen uttrycklig regel som bryter tystnadsplikten hos sådana privata vårdgivare som regionen eller kommunen valt att anlita. Av förarbeten framgår dock att sådant uppgiftslämnande som inte skulle ha hindrats av sekretess om den privata vårdgivaren hade varit en myndighet inte anses vara ett obehörigt röjande av uppgifterna.21

Det finns inte någon motsvarighet till de sekretessbrytande reglerna i 25 kap. 11 § 1 och 2 offentlighets- och sekretesslagen för en myndighet (nämnd) i den kommunala socialtjänsten i förhållande till andra myndigheter (nämnder). Det innebär att om en kommun har organiserat sin socialtjänst på flera nämnder, bryts inte sekretessen mellan dem för exempelvis verksamhetsuppföljningar. Det finns inte heller någon uttrycklig regel som bryter enskilda utförares tystnadsplikt i förhållande till den uppdragsgivande nämnden (se närmare beskrivning i avsnitt 5.5 och 5.6 om sekretess och tystnadsplikt i 26 kap. OSL).

21Prop. 2007/08:126 s. 46.

Med patientens eller omsorgsmottagarens samtycke får uppgifter dock lämnas ut och behandlas för kvalitetsuppföljning.

14.4.3. Kvalitetsuppföljning som innebär att personuppgifter samlas in från andra regioner och kommuner

När det gäller möjligheten att bedriva kvalitetsuppföljning av vårdverksamhet över regiongränser gäller andra rättsliga förutsättningar än för kvalitetsuppföljning av sådan verksamhet inom en region. Det finns inga regler som bryter sekretessen i förhållande till vårdgivande myndigheter med verksamhet i en annan region.22 För uppgiftslämnande mellan hälso- och sjukvård och socialtjänst finns inte heller några särskilda sekretessbrytande regler som möjliggör kvalitetsuppföljning. Om två regioner eller kommuner vill samköra personuppgifter för att analysera resultatet av ett gemensamt vård- eller omsorgsförlopp, finns inte någon särskild bestämmelse som bryter sekretessen. Datainspektionen har uttalat sig om frågan om sådana gemensamma verksamhetsuppföljningar i tillsynsbeslut, vilket närmare beskrivs i avsnittet nedan.

I förarbetena till patientdatalagen tog regeringen upp frågan om gemensamma verksamhetsuppföljningar mellan socialtjänst och hälso- och sjukvård. Regeringen anförde då bl.a. följande. Patientdata-

utredningen23 har bl.a. vid samråd med företrädare för Socialstyrelsen

och Sveriges Kommuner och Landsting24 samt med Nationell psykiatrisamordning funnit att nuvarande lagstiftning försvårar samverkan mellan kommun och region när det främst gäller äldre och de med psykiska funktionshinder eller sjukdom vilka behöver stöd och insatser i form av både hälso- och sjukvård och socialtjänst. Patient-

datautredningen anför att bristande legala möjligheter till gemensam

verksamhetsuppföljning baserad på personuppgifter, enligt Socialstyrelsen och Sveriges Kommuner och Landsting, utgör en tillbakahållande faktor när det gäller skapande av gemensamma nämnder eller andra former av samverkansorgan över huvudmannagränser. Samtidigt har huvudmännen i andra författningar ålagts ett ansvar att samverka och tillsammans skapa ett förbättrat omhändertagande av dessa patientkategorier. De legala kraven på samverkan går inte

22 Här bortses från möjligheten att bedriva hälso- och sjukvård genom kommunalförbund. 23 S 2003:03. 24 Numera Sveriges Kommuner och Regioner.

ihop med de legala förutsättningarna för samverkan. Enligt vad Pati-

entdatautredningen erfarit finns ett behov av att utforma en ny

lagstiftning för behandling av personuppgifter inom vård och omsorg. Såväl sekretesslagstiftningen som vårdregisterlagen begränsar landstingens och kommunernas möjligheter att göra gemensamma uppföljningar av sådana insatser som involverar både hälso- och sjukvård och socialtjänst. När det gäller frågan om att förbättra regionernas och kommunernas möjligheter att göra gemensamma uppföljningar av sådana insatser som involverar både hälso- och sjukvård och socialtjänst hänvisade regeringen till att frågan utreddes av Social-

tjänstdatautredningen (S2007:92).25

Socialtjänstdatautredningen föreslog i sitt betänkande, Socialtjänsten – Integritet – Effektivitet (SOU 2009:32) regler som skulle ge

förbättrade möjligheter för utbyte av personuppgifter mellan socialtjänsten och hälso- och sjukvården. Utredningen menade att det fanns ett påtagligt ökat behov av informationsutbyte mellan socialtjänsten och hälso- och sjukvården. En grundläggande förutsättning för att samverkan ska kunna fungera är enligt den utredningen att den information som behövs för att planera den enskildes vård och omsorg finns tillgänglig, bl.a. för gemensamma verksamhetsuppföljningar.

Socialtjänstdatautredningen föreslog därför att man skulle införa

ändamålsbestämmelser som anger att personuppgifter inom socialtjänsten respektive hälso- och sjukvården får behandlas för gemensamma verksamhetsuppföljningar mellan de båda verksamhetsområdena. Vidare föreslogs en sekretessbestämmelse som skulle gälla för gemensam uppföljning, utvärdering och kvalitetssäkring (verksamhetsuppföljning).26Socialtjänstdatautredningens förslag ledde dock inte till några lagstiftningsåtgärder.

Utredningen om rätt information i vård och omsorg lämnade i sitt

betänkande Rätt information på rätt plats i rätt tid (SOU 2014:23) förslag som skulle ge förbättrade möjligheter till kvalitetssäkring och kvalitetsutveckling i hälso- och sjukvården och socialtjänsten. Den utredningen ansåg bl.a. att detta behövdes för att underlätta för regioner och kommuner att leva upp till sitt ansvar som huvudmän för hälso- och sjukvård och socialtjänst.27 Inte heller den utredning-

25Prop. 2007/08:126 s. 175. 26SOU 2009:32 s. 25 ff. 27SOU 2014:23 s. 42 ff.

ens förslag ledde emellertid till några lagstiftningsåtgärder när det gäller att behandla personuppgifter för kvalitetsändamål.

Datainspektionens beslut om samkörning av personuppgifter för gemensam verksamhetsuppföljning

Datainspektionen har i tillsynsbeslut från år 201528 granskat om det finns legala möjligheter för att göra gemensamma verksamhetsuppföljningar som innefattar samkörning av personuppgifter mellan en kommun och en region. Prövningen skedde i ett tillsynsärende som rörde dåvarande Stockholms läns landsting och Österåkers kommun. Datainspektionens bedömning var att kommunens behandling – insamling av personuppgifter och samkörningen över huvudmannagränserna – var oförenlig med SoLPUL och SoLPUF.

Bakgrunden var att kommunen och regionen hade ett samverkansprojekt för att analysera förutsättningar för ersättningsmodeller för vård och omsorg om äldre. Den behandling av personuppgifter som skedde i den gemensamma verksamhetsuppföljningen kan förenklat beskrivas enligt följande. Kommunen gjorde ett uttag ur sin databas av personuppgifter, bl.a. personnummer, som hänfördes till kommunala omsorgsmottagare. Regionen gjorde ett motsvarande uttag avseende patienter ur sin databas. Därefter gjorde ett personuppgiftsbiträde olika former av teknisk bearbetning följt av samkörning och analys av personuppgifterna. I samkörningen ingick alltså personuppgifter som hämtats såväl från kommunen som från regionen.

Bestämmelserna i SoLPUL samt SoLPUF var tillämpliga på den behandling av personuppgifter som kommunen hade genomfört. Patientdatalagen var tillämplig på regionens behandling.

Kommunen bedömdes – i vart fall tillsammans med regionen – vara personuppgiftsansvarig. Kommunen fick anses ha samlat in och behandlat de personuppgifter som hämtats från regionens databas. När det gällde regionen utgick Datainspektionen från att regionen var ensam personuppgiftsansvarig för personuppgiftsbiträdets samkörning av personuppgifter och för den behandling som utfördes av biträdet på uppdrag av regionen.

28 Datainspektionens beslut den 3 juli 2015, dnr 518-2015 respektive 643-2015.

Kommunens behandling av personuppgifter

För att kommunen skulle ha lagliga förutsättningar att samla in personuppgifter från regionen och samköra dessa med kommunens egna personuppgifter var behandlingen tvungen att vara förenlig med SoLPUL och SoLPUF.

Datainspektionen hänvisade till 6 § SoLPUL som ställer upp de yttersta ramarna för när behandling av personuppgifter är tillåten. Enligt bestämmelsen får personuppgifter behandlas bara om behandlingen är nödvändig för att kunna utföra arbetsuppgifter inom socialtjänsten.

En mer detaljerade uppräkning av för vilka ändamål kommunen får behandla personuppgifter finns i 12 § SoLPUF. Dessa ändamål är enligt Datainspektionen liktydiga med arbetsuppgifter för vilka behandlingen av personuppgifter är nödvändig. Exempelvis får en kommunal nämnd, enligt 12 § 10 SoLPUF, behandla personuppgifter för tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten.

Vilken typ av personuppgifter som får behandlas inom socialtjänsten regleras i sin tur i 7 § SoLPUL. Det är bl.a. tillåtet för socialtjänsten att behandla personnummer och samordningsnummer och känsliga personuppgifter (7 § första stycket 1 och 2 SoLPUL). I bestämmelsen anges att personuppgifterna som räknas upp i första stycket endast får behandlas om uppgifterna har lämnats i ett ärende eller är nödvändiga för verksamheten.

Datainspektionen betonade att kommunen bara får behandla personuppgifter enligt SoLPUL om behandlingen är nödvändig för att arbetsuppgifter inom socialtjänsten ska kunna utföras. Vad som omfattas av begreppet ”arbetsuppgifter inom socialtjänsten” får tolkas bl.a. utifrån uppräkningen av tillåtna ändamål i 12 § SoLPUF. Datainspektionen slog fast att för att kommunen ska få behandla personuppgifter för ett tillåtet ändamål måste uppgifterna som kommunen vill behandla antingen ha lämnats i ett ärende eller vara nödvändiga för verksamheten.

Härefter konstaterade Datainspektionen att kommunens samkörning av de egna personuppgifterna med de personuppgifter som hämtats från regionen inte omfattades av något av de tillåtna ändamålen i 6 § SoLPUL och 12 § SoLPUF.

De angivna bestämmelserna inbegriper enbart behandling av personuppgifter som är hänförliga till kommunens egen verksamhet. Bestämmelserna ger inte stöd för kommunen att samköra personuppgifter i syfte att göra en gemensam verksamhetsuppföljning med regionen. Vidare hade de uppgifter som kommunen hämtat in från regionen inte lämnats i ett ärende och de kunde inte heller anses nödvändiga för kommunens egen interna socialtjänstverksamhet. Kommunen hade därmed saknat lagligt stöd för insamlingen av personuppgifter från regionen.

Datainspektionens slutsats var att behandlingen av personuppgifter inte var nödvändig för att kommunen skulle kunna utföra arbetsuppgifter inom socialtjänsten. Personuppgifterna som samlats in från regionen – som alltså hade sitt ursprung i en annan verksamhet – var inte nödvändiga för kommunens verksamhet. Om en verksamhet ska ta del av uppgifter från en annan verksamhet, så måste det finnas rättsligt stöd för ett utlämnande och mottagaren måste ha stöd för sin behandling. Om flera aktörer agerar tillsammans och är gemensamt personuppgiftsansvariga, måste behandlingen på motsvarande sätt vara tillåten hos respektive aktör. Sammanfattningsvis konstaterade Datainspektionen att det inte fanns legala förutsättningar för kommuner och regioner att göra gemensamma verksamhetsuppföljningar på det sätt som skett.

Regionens behandling av personuppgifter

Datainspektionen tog avstamp i bestämmelsen i 2 kap. 4 § patientdatalagen. För att det skulle vara tillåtet för regionen att samla in och samköra personuppgifterna var behandlingen tvungen att omfattas av något av de tillåtna ändamål som räknas upp i den bestämmelsen. Av särskilt intresse var punkterna 4–6 som anger att personuppgifter får behandlas inom hälso- och sjukvården om det behövs för

– att systematiskt och fortlöpande utveckla och säkra kvaliteten i

verksamheten, – administration, planering, uppföljning, utvärdering och tillsyn av

verksamheten, eller – att framställa statistik om hälso- och sjukvården.

Vilka kategorier av personuppgifter som regionen får behandla (för de ändamål som anges i 2 kap. 4 § PDL) regleras i 2 kap. 7 § patientdatalagen. Datainspektionen hänvisade till att begreppet ”verksamhet” i 2 kap. 4 § första stycket 4 och 5 patientdatalagen syftar på vårdgivarens egen verksamhet. Bland annat uttalades följande i patientdatalagens förarbeten när det gäller regleringen av tillåtna ändamål för behandling av personuppgifter.

Eftersom patientdatalagen får ett väsentligen mera vidsträckt tillämpningsområde i förhållande till vårdregisterlagen är det olämpligt att som idag dela in ändamålen i primära och sekundära ändamål. Både primära och sekundära ändamål handlar om personuppgiftsbehandlingar som, mer eller mindre integrerat, normalt äger rum i varje vårdgivares egen verksamhet.

När det gäller det specifika ändamålet verksamhetsuppföljning framgår följande av förarbetena.

Förslagen undanröjer de oklarheter som idag anses gälla i fråga om de rättsliga förutsättningarna för myndigheter inom hälso- och sjukvården och privata vårdgivare att behandla personuppgifter för ändamålet att följa upp sin egen verksamhet. --- När det gäller frågan om att förbättra landstingens och kommunernas möjligheter att göra gemensamma uppföljningar av sådana insatser som involverar både hälso- och sjukvård och socialtjänst så utreds detta för närvarande av Socialtjänstdatautredningen (S 2007:92).

Att ändamålsbestämmelserna i 2 kap. 4 § patientdatalagen är uttömmande i förhållande till insamling av personuppgifter framgår också av förarbetena.

Patientdatalagens ändamålsreglering blir därmed tydligare och uttömmande i den meningen att vårdgivarna inte själva får besluta om ytterligare ändamål för vilket eller vilka personuppgifter kan samlas in i verksamheten, i vart fall inte utan den registrerades samtycke. Detta är en viktig reglering i integritetshänseende. --- Syftet med ändamålsbestämningen är att ange en yttersta ram för när personuppgifter får samlas in

och fortsättningsvis behandlas med stöd av patientdatalagen och personuppgiftslagen.

Datainspektionen gjorde bedömningen att regionens insamling och samkörning av personuppgifterna inte omfattades av de tillåtna ändamålen i 2 kap. 4 § första stycket 4 och 5 patientdatalagen. Anledningen till detta var att behandlingen inte varit begränsad till regionens egen verksamhet. Dessutom konstaterade Datainspektionen att syftet med behandlingen inte primärt var att framställa statistik om hälso- och sjukvården. Behandlingen omfattades därför inte heller av 2 kap. 4 §första stycket 6 patientdatalagen.

Datainspektionen prövade härefter om finalitetsprincipen kunde ge stöd för behandlingen (för en närmare beskrivning av finalitetsprincipen, även kallad principen om ändamålsbegränsning, se avsnitt 4.5.1). Finalitetsprincipen anger att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Därtill kräver 2 kap. 7 § patientdatalagen att en vårdgivare endast får behandla sådana personuppgifter som behövs för de ändamål som anges i 2 kap. 4 § patientdatalagen. Därmed gav inte heller finalitetsprincipen regionen någon möjlighet att samla in och bearbeta de personuppgifter som inhämtats från kommunen.

Även här konstaterade Datainspektionen att för att en verksamhet ska ta del av uppgifter från en annan verksamhet, måste det finnas rättsligt stöd för ett utlämnande och mottagaren måste ha stöd för sin behandling. Om flera aktörer agerar tillsammans och är gemensamt personuppgiftsansvariga, måste behandlingen på motsvarande sätt vara tillåten hos respektive aktör. Sammanfattningsvis konstaterade Datainspektionen att det inte fanns legala förutsättningar för kommuner och regioner att göra gemensamma verksamhetsuppföljningar på det sätt som skett.

Analys av Datainspektionens beslut

Datainspektionens bedömning bygger på en tolkning av ordalydelsen i ändamålsbestämmelserna i patientdatalagen respektive i SoLPUL och SoLPUF. I författningarna används begreppet ”i verk-

samheten” och ”av verksamheten” (jfr 2 kap. 4 § 4 och 5 PDL)

respektive ”arbetsuppgifter inom socialtjänsten” (6 § SoLPUL) och ”nödvändiga för verksamheten” (7 § SoLPUL) samt ”tillsyn, upp-

följning, utvärdering, kvalitetssäkring och administration av verksamheten” (12 § 10 SoLPUF).

Utgången i besluten bygger på att bestämmelserna endast avser behandling av personuppgifter som hämtats från regionens respektive kommunens egen verksamhet. När det gäller personuppgifter som hämtats över organisationsgränserna, avser dessa inte den egna verksamheten. Därför menar Datainspektionen att det inte finns något stöd i gällande rätt för den behandlingen det innebär att samköra personuppgifterna.

Avgörande för utgången i Datainspektionens beslut var alltså att bestämmelserna i patientdatalagen och SoLPUL respektive SoLPUF inte ger stöd för att göra gemensamma verksamhetsuppföljningar med personuppgifter som har sitt ursprung i en annan verksamhet. Så är t.ex. fallet om uppgifterna rör personer som inte vårdats i den egna verksamheten, dvs. där det inte finns en patient- eller brukarrelation. Personuppgifter som inhämtats från den egna verksamheten får däremot användas för att göra verksamhetsuppföljningar.

För att kommunen skulle ha haft möjlighet att ta del av regionens uppgifter hade det således behövt finnas ett rättsligt stöd för utlämnandet. Kommunen måste också ha haft stöd för sin behandling av de mottagna personuppgifterna. Motsvarande gäller för regionen. För att regionen skulle ha haft möjlighet att ta del av kommunens personuppgifter hade det behövt finnas ett rättsligt stöd för utlämnandet. Regionen måste också ha haft stöd för sin behandling av de mottagna personuppgifterna.

14.5. Behov av personuppgifter från andra vårdinstanser och omsorgsgivare för kvalitetsuppföljning

Utredningens bedömning: Det finns ett klart behov av kvalitets-

uppföljning med personuppgifter från flera vårdinstanser eller omsorgsgivare. Privata vårdinstanser och omsorgsgivare har inte ett lika uttalat behov som offentliga vårdinstanser och omsorgsmottagare av att inhämta personuppgifter från andra vårdinstanser eller omsorgsgivare för kvalitetsuppföljning.

14.5.1. Bakgrund

Förutom regelverket för nationella och regionala kvalitetsregister i patientdatalagen finns det inga särskilda bestämmelser som syftar till att möjliggöra uppföljning av en hälso- och sjukvårdsverksamhet med personuppgifter från flera vårdinstanser. För socialtjänsten finns det ingen motsvarighet till reglerna om kvalitetsregister och inte heller i övrigt några regler som syftar till att möjliggöra behandling av personuppgifter för kvalitetsuppföljning av en socialtjänstverksamhet med personuppgifter från flera omsorgsgivare. Inte heller finns det några regler som tillåter att kvalitetsuppföljning av en hälso- och sjukvårds- eller socialtjänstverksamhet görs med personuppgifter från både vårdinstanser och omsorgsgivare.

Som utredningen konstaterat i tidigare avsnitt finns det ett stort behov av smidig åtkomst till personuppgifter inom den individinriktade vården och omsorgen, även från andra vårdinstanser och omsorgsgivare. Utredningen har i kapitel 12 och 13 lämnat förslag till utökade möjligheter till åtkomst till personuppgifter i det individnära arbetet med patienter och omsorgsmottagare genom sammanhållen vård- och omsorgsdokumentation.

Utredningen anser att det också finns behov av att använda personuppgifter från flera vårdinstanser och omsorgsgivare för kvalitetsuppföljning. Flera tidigare utredningar har också konstaterat att det finns ett sådant behov. Socialtjänstdatautredningen konstaterade redan år 2009 att det fanns ett påtagligt ökat behov av informationsutbyte mellan socialtjänsten och hälso- och sjukvården för att underlätta möjligheterna till en gemensam verksamhetsuppföljning.

Utredningen har hållit en hearing med företrädare för vårdinstanser och omsorgsgivare m.fl. som bekräftat att det fortfarande finns ett sådant behov. Företrädarna har gett exempel på situationer där det finns behov av att kunna ta del av personuppgifter från andra vårdinstanser och omsorgsgivare för kvalitetsuppföljning.

Nedan redogörs för olika behov som kan finnas av att använda personuppgifter från flera vårdinstanser och omsorgsgivare, där dagens lagstiftning inte ger tillräckliga förutsättningar.

14.5.2. En vårdinstans behöver samla in personuppgifter från andra vårdinstanser

En sjukvårdshuvudman, dvs. en region eller kommun, har det yttersta ansvaret för att tillgodose invånarnas behov av hälso- och sjukvård. Sjukvårdshuvudmannen ska styra, planera, beställa, följa upp och ersätta hälso- och sjukvårdsverksamhet. Därför behöver sjukvårdshuvudmannen också kunna följa upp hälso- och sjukvårdsystemet som helhet, även över organisationsgränserna. För huvudmannen – som är beställare av vård i förhållande till privata vårdinstanser – finns det ett stort behov av att kunna inhämta information från andra vårdinstanser för att kunna följa upp kvaliteten på den hälso- och sjukvård som huvudmannen har ansvar att säkerställa.

Ett tydligt exempel är att en region eller kommun som beställt en hälso- och sjukvårdstjänst av en privat vårdinstans behöver kunna följa upp att patienten fått den insats som beställts och att insatsen varit av beställd kvalitet.

Företrädare för offentliga vårdinstanser har påtalat att det i dag uppstår problem då de begär att få ta del av personuppgifter från privata vårdinstanser för att samköra uppgifterna. Det är enligt deras uppfattning inte ovanligt att den privata vårdinstansen hänvisar till sin tystnadsplikt och nekar att lämna ut personuppgifter. Flera offentliga vårdinstanser har påtalat att olika driftsformer inte bör få medföra hinder för att bedriva en god och säker vård eller för att styra och avvända pengarna på ett effektivt sätt.

Att kunna hämta in personuppgifter från andra vårdinstanser för kvalitetsuppföljning av ett vårdförlopp som omfattar flera vårdinstanser kan vara en viktig faktor för bättre resultat i vården. Företrädare för regioner har lyft fram behovet av att kunna söka efter och ta del av personuppgifter hos andra vårdinstanser. Det är i dag svårt att följa en patient när denne flyttas mellan vårdcentraler i olika vårdinstansers regi.

Offentliga vårdinstanser har också behov av utvidgade möjligheter till kvalitetsuppföljning för att kunna möta befolkningens behov av hälso- och sjukvård och fokusera mer på preventiv (förebyggande) vård. Det kan handla om att samköra och analysera data för att kunna förutse vårdbehov utifrån t.ex. geografi och åldersfördelning. För att kunna bedriva förebyggande vård har regionerna ett behov av att använda sig av information från andra vårdinstanser,

så att uppgifterna är så heltäckande som möjligt. I många fall, men inte alltid, räcker det med avidentifierade uppgifter. Det har påtalats att ny teknik ger möjligheter att på ett helt annat sätt än tidigare analysera och samköra uppgifter. Det handlar i detta fall om att använda uppgifter i form av s.k. big data där man plockar ut och analyserar stora mängder data med hjälp av algoritmer. I dag sätter lagstiftningen begränsningar för att få del av personuppgifter på sådant sätt.

Det finns också ett behov av att använda data från andra vårdinstanser för att kunna ta fram beslutsstöd och varningssignaler som kan användas i den individuella vården. Det har från regionernas håll påpekats att det finns stora vinster att göra om de tillåts att använda tekniska funktioner i journalsystemen för att söka och ge varningssignaler, t.ex. om det rör sig om en patient som har särskilda hälsomässiga riskfaktorer. Uppgifterna kan ge en bättre helhetsbild och användas som bas för att kunna ta fram relevanta beslutsunderlag till beslutsfattare för grupper som har insatser från flera vårdinstanser. Det finns även ett behov av att samköra uppgifter för att ha stöd inför beslut kring samverkanslösningar mellan vårdinstanser.

Det finns behov av att enklare få fram en helhetsbild av exempelvis invånarnas nuvarande och kommande behov av hälso- och sjukvård. Man har ett behov av att kunna följa specifika patientflöden mellan vårdinstanserna, bl.a. för att kunna identifiera grupper där stora samordningsvinster och synergieffekter kan uppnås. Att kunna följa patientgrupper över vårdinstansgränserna kan leda till effektiviseringar i flödena. Ur ett folkhälsoperspektiv kan det leda till hälsovinster, samtidigt som det ur ett samhällsperspektiv kan leda till vinster genom att kostnaderna för bostadsanpassningar, färdtjänst, sjukresor etc. kan analyseras.

Företrädare för offentliga vårdinstanser har påpekat att nationella kvalitetsregister innehåller information enligt de konkreta frågor man ställt inom ramen för ett visst register, men att de inte kan användas för mer patientnära uppföljning av den vård en patient fått från andra vårdinstanser.

Den omfattande digitaliseringen av vården som pågår leder också till ökade behov av att följa upp nya, digitala vårdlösningar. De senaste åren har offentligfinansierade vårdinstanser med digital profil, s.k. nätläkare, växt i snabb takt. Patienter söker sig allt oftare till nätläkare för att snabbare få en första läkarkontakt. Om nätläkaren

bedömer att provtagning eller vidare uppföljning genom ett fysiskt läkarbesök krävs, kommer patienten sedan ofta att behöva söka sig till en annan vårdinstans. Därmed ökar sannolikheten för att en patient under ett vårdförlopp kommer i kontakt med flera vårdinstanser. Behovet av kvalitetsuppföljning av sådana förlopp kommer således också att öka.

Digitaliseringen leder vidare till att vård i hemmet ökar allt mer. Det hänger ihop med ökade tekniska möjligheter till detta, exempelvis i form av att vården kan använda sig av monitorering av patienter i hemmet med hjälp av digital teknik som sensorer eller kameror, som ett led i den individnära vården. I sådana situationer ser utredningen att behovet av kvalitetsuppföljning med personuppgifter från flera vårdinstanser kommer att öka.

Företrädare för kommunal hälso- och sjukvård har påpekat att de har behov av uppgifter från regional hälso- och sjukvårdsverksamhet. I den kommunala hälso- och sjukvårdens uppdrag ligger exempelvis att göra utredningar om resursåtgång för multisjuka patienter. I sådana fall kan kommunala vårdinstanser behöva analysera vissa läkemedel, insatser eller kostnader. Då behöver de uppgifter från den regionala hälso- och sjukvården för att t.ex. undersöka skillnader mellan vård som ges i hemmet via kommunal hälso- och sjukvård och vård som bedrivs på sjukhus. Det är administrativt betungande att – vilket krävs i dag – inhämta individuellt samtycke från alla patienter vars uppgifter man behöver analysera, när det handlar om rena kvalitetsuppföljningar.

Det finns slutligen behov av gemensam hantering av avvikelser när det handlar om patienter som rör sig mellan olika vårdinstanser. Det behövs en reglering som gör det möjligt att dela personuppgifter när det gäller det systematiska arbetet med utredning av allvarliga vårdskador och händelser (t.ex. lex Maria). Att kunna göra en utredning som omfattar hela vårdkedjan vore värdefullt så att en upprepning kan undvikas.

14.5.3. En omsorgsgivare behöver samla in personuppgifter från andra omsorgsgivare

När omsorgsmottagare övergår mellan olika omsorgsgivare gör sig liknande behov gällande för att följa upp verksamheten som vid motsvarande övergångar mellan olika vårdinstanser. Den kommunala om-

sorgsgivaren har behov av att följa upp insatser i den offentligt finansierade omsorgen. Behovet gör sig särskilt gällande i de fall en kommun har många privata omsorgsgivare. Det kan exempelvis handla om en omsorgsmottagare som får insatser på ett särskilt boende, där vissa insatser utförs av den kommunalt anställda personalen och andra insatser av personer som är anställda hos en privat utförare. Då finns det ett behov av att analysera omsorgsprocessen som helhet.

När insatser för en omsorgsmottagare har ett nära samband med varandra men utförs av olika omsorgsgivare framstår det som rationellt att en omsorgsgivare, t.ex. socialnämnden, kan göra en kvalitetsuppföljning av alla insatser. Kommunen kan behöva följa upp kostnaderna för exempelvis bostadsanpassningsbidrag enligt LSS. Inom socialtjänsten pågår en utveckling där kommuner anlitar enskilda omsorgsgivare i allt högre grad. Denna utveckling kommer att ytterligare driva på behovet av att kunna följa upp privata omsorgsgivares insatser.

Det har från kommunala företrädare påtalats att äldre eller personer med funktionsnedsättningar inom socialtjänstens omsorg samtidigt kan ha en missbruksproblematik. Vissa kommuner är organiserade så att insatser för personer med missbruk hanteras av en viss nämnd, medan insatser för äldre respektive personer med funktionsnedsättningar sorterar under en annan nämnd. Då en person får insatser från båda dessa nämnder finns sekretessgränser trots att det i praktiken rör sig om insatser för samma person som överlappar varandra. Det finns ett behov av att utan hinder av sekretess kunna följa upp verksamheten och säkra kvaliteten även i dessa fall.

14.5.4. Vårdinstanser och omsorgsgivare behöver samla in personuppgifter från varandra om äldre och personer med funktionsnedsättningar

En patient eller omsorgsmottagare kan i många fall övergå mellan eller samtidigt vara aktuell hos en eller flera vårdinstanser och en eller flera omsorgsgivare. Vid sådana övergångar från en vårdinstans till en omsorgsgivare och vice versa finns i många delar motsvarande behov som gör sig gällande vid övergångar mellan vårdinstanser. Det handlar även här om behovet av att kunna följa specifika flöden mellan vårdinstanser och omsorgsgivare, att identifiera avvikelser och fånga upp och analysera förbättringsområden. En gemensam

uppföljning av vården och omsorgen skulle vara särskilt värdefull för att kunna anpassa samhället till en åldrande befolkning med åtföljande behov av ett förebyggande hälsoarbete, särskilt när det gäller äldre.

När det gäller övergångar mellan vård och omsorg finns ett antal olika bestämmelser som ställer krav på samverkan (se beskrivningen i avsnitt 8.7). Regionen och kommunen ska exempelvis samverka så att den som bor i ett särskilt boende, vistas i en dagverksamhet eller får hemsjukvård från kommunen också får övrig vård, hjälpmedel och sådana förbrukningsartiklar som denne kan behöva (16 kap. 2 § HSL). Regionen ska ingå en överenskommelse med kommunen om ett samarbete i fråga om bl.a. personer med psykiska funktionsnedsättningar (16 kap. 3 § 1 HSL). Motsvarande skyldighet finns för kommunen att ingå överenskommelse med regionen om ett samarbete i fråga om personer med psykiska funktionsnedsättningar (5 kap. 8 a § SoL). Vidare finns bestämmelser som kräver att verksamheterna upprättar en gemensam samordnad vårdplanering i form av särskilda vårdplaner.

Den 1 januari 2018 infördes lagen (2017:612) om samverkan vid utskrivning från sluten hälso- och sjukvård (samverkanslagen). Myndigheten för vård- och omsorgsanalys (Vårdanalys) har på regeringens uppdrag genomfört en uppföljning av samverkanslagen och lämnat sina slutsatser i en rapport i mars 2020. Vårdanalys anser att det är angeläget att utveckla uppföljningen så att det går att följa den omställning som sker av vård och omsorg och de effekter det får för såväl sluten- och primärvården som kommunerna. Vårdanalys poängterar att uppföljningen behöver fokusera på vård- och omsorgssystemet som en sammanhängande helhet och inte som separata delar. Då behövs data och analyser som beskriver hela vård- och omsorgskedjan. Det handlar exempelvis om att kunna följa hela vård- och omsorgskedjan så att ett slutenvårdsbesök går att koppla till efterföljande vård i primärvården, vård- och omsorgsinsatser inom kommunerna, och även till eventuella återinläggningar.29

Utredningen delar Vårdanalys uppfattning som kom fram i rapporten, dvs. att uppföljningen behöver kunna följa hela vård- och omsorgsförloppet. Till följd av lagstiftningens krav på samverkan kommer en patient eller omsorgsmottagare i många fall att övergå

29Laga efter läge, Uppföljning av lagen om samverkan vid utskrivning från slutenvården, Myndigheten för vård- och omsorgsanalys, Rapport 2020:4 s. 10 och 16.

mellan alternativt samtidigt vara aktuell hos en region och en kommun. När insatser som rör äldre eller personer med funktionsnedsättningar har ett sådant nära samband med varandra är det enligt utredning naturligt att dessa insatser kan följas upp av både vården och omsorgen med hjälp av varandras personuppgifter.

Att samköra personuppgifter om personer som har insatser från både vården och omsorgen kan ge en bättre helhetsbild av vård- och omsorgsbehovet. Denna helhetsbild kan sedan användas som bas för att ta fram relevanta beslutsunderlag, både inför beslut som rör inriktningen av verksamheten och inför beslut som rör den individuella vården av enskilda. Uppgifterna kan även användas för stöd inför beslut kring samverkanslösningar mellan vårdinstanser och omsorgsgivare eller för att analysera förutsättningar för ersättningsmodeller för vård och omsorg.30

Kommunföreträdare har särskilt lyft fram att det finns problem med bristande kommunikation till följd av dagens lagstiftning med strikta sekretessgränser som följer organisationerna. Detta kan leda till att information inte kan utbytas mellan hälso- och sjukvård och verksamheter som bedrivs enligt socialtjänstlagen och LSS, och därmed kan man inte på ett tillräckligt sätt fånga upp brister och utveckla verksamheternas kvalitet. Möjligheten att samköra uppgifter från vårdinstanser och omsorgsgivare skulle sannolikt medföra stora förbättringar av den gemensamma processutvecklingen.

Vårdinstanser behöver också ha rutiner för att identifiera, åtgärda och följa upp avvikelser i hälso- och sjukvården. Sådan avvikelsehantering är en form av kvalitetsuppföljning. Det finns behov av gemensam hantering av avvikelser när det handlar om personer som rör sig från en vårdinstans till en omsorgsgivare.

Företrädare för kommuner har även lyft behovet av samkörning av olika register vid exempelvis hjälpmedelsuppföljning. Det finns även behov av att kunna följa upp kostnader för en viss grupp, såsom. personer som ingår i personkretsen för LSS och som får insatser från både vården och omsorgen.

30 Så skedde i Datainspektionens beslut mot Österåkers kommun och Stockholms läns landsting som redogjorts för i avsnitt 14.4.4.

14.5.5. Privata vårdinstansers och omsorgsgivares behov av att samla in personuppgifter från andra vårdinstanser och omsorgsgivare

Privata vårdinstanser och omsorgsgivare har inte ett huvudmannaansvar för vården och omsorgen på det sätt som regioner och kommuner, med offentliga vårdinstanser och omsorgsgivare, har. Också privata vårdinstanser och omsorgsgivare är emellertid skyldiga att säkerställa att de bedriver en god och säker vård och omsorg. För att kunna göra detta, kan även dessa ha behov av personuppgifter från andra vårdinstanser och omsorgsgivare för kvalitetsuppföljning av vård- eller omsorgsprocesser som involverar flera vårdinstanser och omsorgsgivare. Det kan t.ex. handla om en privat vårdinstans eller omsorgsgivare som upphandlat andra aktörer för vissa delar av vård- eller omsorgsprocessen. Det kan även finnas behov av tillgång till personuppgifter för att kunna ta fram kliniska beslutsstöd baserade på mer än den egna journaldatan. Särskilt för små vårdinstanser och omsorgsgivare blir informationen annars begränsad. Det finns även vissa större vårdföretag som bedriver sin verksamhet i koncernform, där sjukhus bedrivs i ett bolag och vårdcentraler i ett eller flera andra bolag utifrån en regional indelning. Man kan även tänka sig att viss öppen specialiserad vård drivs i eget bolag. I den situationen kan det finnas behov av att kunna följa upp kvaliteten hos den vård som sker hos andra bolag genom att använda patientuppgifter över organisationsgränser. Som beskrivs i avsnitt 19.4.6 har privata vårdinstanser och omsorgsgivare visserligen ett utrymme enligt obehörighetsrekvisitet att lämna ut uppgifter för kvalitetsuppföljning utan hinder av tystnadsplikten i patientsäkerhetslagen. Likväl saknar de stöd för att behandla personuppgifter från en annan verksamhet för kvalitetsuppföljning. Inom socialtjänsten kan det också råda liknande förhållanden för de större privata utförarna som bedriver sin verksamhet i koncernform.

Utredningens bedömning är trots det ovanstående att privata vårdinstansers och omsorgsgivares behov av personuppgifter från andra, för kvalitetsuppföljning av den egna verksamheten, förefaller vara mindre uttalat än offentliga vårdinstansers och omsorgsgivares behov. Detta hänger samman med att privata vårdinstanser och omsorgsgivare inte har det helhetsansvar för att bedriva vård och omsorg och säkerställa kvaliteten för den offentligt finansierade vård och omsorg

som bedrivs av andra, som regioner och kommuner, med offentliga vårdinstanser och omsorgsgivare, har. Behovet av att samla in personuppgifter från andra för kvalitetsuppföljning framstår alltså som större hos de offentliga vårdinstanserna och omsorgsgivarna.

14.5.6. Är det nödvändigt att samla in personuppgifter för kvalitetsuppföljning?

Grunden i kvalitetsarbete är att göra riskanalyser och utreda resultatet av dessa för att kunna ge en god och säker vård och omsorg. Inom vård och omsorg finns stora mängder personuppgifter dokumenterade i individuella journaler och personakter. Vid kvalitetsuppföljning återanvänds vanligen dessa personuppgifter.

Socialstyrelsen fick år 2001 regeringens uppdrag31 att svara för samordningen av arbetet med att förbättra informationsförsörjningen och verksamhetsuppföljningen inom hälso- och sjukvården. Arbetet bedrevs i projektet InfoVU.32 InfoVU har drivit ett antal delprojekt där olika modeller och metoder för verksamhetsuppföljning testats och utvecklats. Dessutom har InfoVU publicerat flera rapporter som berör frågor om verksamhetsuppföljning av resultat, kvalitet och kostnader. Samtliga rapporter framhåller vikten av att verksamhetsuppföljningen sker med individbaserade patientdata, dvs. personuppgifter som direkt eller indirekt kan härledas till enskilda patienter.33

Utredningen anser att det säger sig självt att man på ett eller annat sätt behöver utbyta just personuppgifter för att en vårdinstans eller omsorgsgivare ska kunna göra en kvalitetsuppföljning av ett helt vård- eller omsorgsförlopp som involverar flera vårdinstanser eller omsorgsgivare. Personuppgifter är enligt dataskyddsförordningen varje upplysning som avser en identifierad eller identifierbar fysisk person. En annan sak är att personuppgifterna, när de väl har samlats in från de olika vårdinstanserna och omsorgsgivarna, kan avidentifieras så att informationen inte längre hänför sig till en identifierad eller identifierbar fysisk person. Det är också möjligt att, om personuppgifterna senare behöver kompletteras med ytterligare uppgifter på

31 Tillsammans med Landstingsförbundet och Svenska Kommunförbundet (numera Sveriges Kommuner och Regioner, SKR). 32 Se propositionen Nationell handlingsplan för utveckling av hälso- och sjukvården, prop. 1999/2000:149. 33SOU 2006:82 s. 413.

individnivå, uppgifterna kan pseudonymiseras eller krypteras genom att exempelvis en kod används i stället för namn eller personnummer. Pseudonymiserade och krypterade uppgifter är fortfarande personuppgifter i dataskyddsförordningens mening34, medan avidentifierade uppgifter inte är personuppgifter.

Företrädare för vårdinstanser och omsorgsgivare har uppgett att det visserligen ofta går att pseudonymisera uppgifterna, men att det måste finnas en nyckel någonstans så att man kan tillbakaspåra individen. Det måste vara möjligt att ha kontroll över vilken person som registrerats med en kod eller nyckel, för att kunna lita på resultaten av kvalitetsuppföljningen och så att samma person inte registreras flera gånger.

Utifrån vad som beskrivits ovan anser utredningen att det står klart att kvalitetsuppföljning med uppgifter från flera vårdinstanser eller omsorgsgivare ofta behöver innefatta åtminstone en momentan behandling av personuppgifter.

14.5.7. Sammanfattande synpunkter

Regioner och kommuner, med offentliga vårdinstanser och omsorgsgivare, beställer, finansierar och är ytterst ansvariga för kvaliteten och säkerheten i den utförda vården och omsorgen Utredningen bedömer därför att en offentlig vårdinstans eller omsorgsgivare har ett klart och berättigat behov av att följa upp all den offentligt finansierade vård eller omsorg som vårdinstansen eller omsorgsgivaren ansvarar för. Detta behövs för att kunna ta ansvar som offentlig vårdinstans eller omsorgsgivare genom att styra, planera, beställa och följa upp vården.

Som redogjorts för finns det ett antal regelverk som kräver att vårdinstanser och omsorgsgivare samarbetar med varandra runt individer. Utredningen anser att det finns ett tydligt och berättigat behov av att i sådana fall kunna göra kvalitetsuppföljningar med personuppgifter från andra vårdinstanser och omsorgsgivare i syfte att förbättra och säkra kvaliteten på den vård eller omsorg man ansvarar för eller utför. Denna typ av kvalitetsuppföljning kan inte göras inom ramen för sammanhållen journalföring, eller sammanhållen vård- och omsorgsdokumentation enligt utredningens förslag, eller

34 Se definitionen av personuppgifter och pseudonymisering i artikel 4 i dataskyddsförordningen och skäl 26.

med de kvalitetsregister som finns i dag. Vård- och omsorgsprocessen i sin helhet behöver kunna följas upp för att identifiera hos vilken vårdinstans eller omsorgsgivare det kan finnas brister och hur dessa kan åtgärdas. Vid kvalitetsuppföljning med personuppgifter från andra vårdinstanser eller omsorgsgivare ligger det i sakens natur att just personuppgifter ofta behöver användas, åtminstone momentant.

Utvecklingen med allt fler privata vårdinstanser och omsorgsgivare, digital vård, en allt äldre befolkning med behov av insatser från flera vårdinstanser och omsorgsgivare och en ökad patientrörlighet leder sammantaget till ett allt större behov av att göra kvalitetsuppföljningar med personuppgifter från flera vårdinstanser eller omsorgsgivare.

Sammantaget är det utredningens bedömning att det finns ett klart behov av informationsöverföring för kvalitetsuppföljning – mellan vårdinstanser, – mellan vårdinstanser och omsorgsgivare, såvitt gäller äldre och per-

soner med funktionsnedsättningar, och – mellan omsorgsgivare, såvitt avser äldre och personer med funk-

tionsnedsättningar.

Privata vårdinstanser och omsorgsgivare har enligt utredningens bedömning inte ett lika uttalat behov av kvalitetsuppföljning med personuppgifter från andra vårdinstanser och omsorgsgivare. Anledningen till detta är att de privata vårdinstanserna och omsorgsgivarna inte har något helhetsansvar för den totala vården och omsorgen inom en region eller en kommun. Det är främst när en privat vårdinstans eller omsorgsgivare har anlitat andra vårdinstanser eller omsorgsgivare för att utföra delar av vården och omsorgen som denne har behov av att inhämta personuppgifter från dessa andra vårdinstanser och omsorgsgivare för kvalitetsuppföljning.

14.6. En avvägning mellan behov och integritetsrisker

Utredningens bedömning: Behoven och vinsterna med kvalitets-

uppföljning med personuppgifter från flera vårdinstanser eller omsorgsgivare överväger integritetsriskerna. Detta förutsätter dock att vissa integritetsstärkande bestämmelser införs.

Regleringen av kvalitetsuppföljning med personuppgifter från andra vårdinstanser och omsorgsgivare bör finnas i lag.

En särskild konsekvensbedömning avseende dataskydd behöver göras inför i princip varje kvalitetsuppföljning.

Utredningens förslag: Det införs bestämmelser som tillåter kva-

litetsuppföljning med personuppgifter från flera vårdinstanser eller omsorgsmottagare. Förutsättningarna för sådan kvalitetsuppföljning regleras i lag.

Bakgrund

Av föregående avsnitt framgår att det finns ett behov av kvalitetsuppföljning som innefattar användning av personuppgifter från andra vårdinstanser och omsorgsgivare. Utvidgade möjligheter till sådan kvalitetsuppföljning skulle kunna vara till nytta på många sätt för vården och omsorgen.

Vårdens och omsorgens behov och intresse av att kunna behandla personuppgifter behöver dock vägas mot de integritetsrisker som är förknippade med behandlingen. Risker för den personliga integriteten gör sig särskilt starkt gällande när det, som i detta fall, rör sig om personuppgifter av känslig natur.

Rätten till skydd för den personliga integriteten är dock inte absolut utan får inskränkas. Rättigheten måste förstås utifrån sin kontext i samhället och vägas mot andra grundläggande rättigheter utifrån en proportionalitetsbedömning (skäl 4 i dataskyddsförordningen). För att det ska vara motiverat att införa utvidgade möjligheter till informationsdelning måste behovet av behandlingen av personuppgifterna väga tyngre än den enskildes intresse av skydd för den personliga integriteten.

14.6.1. Generella integritetsrisker

Generellt kan sägas att ju större informationsmängder som finns samlade så att personuppgifter kan sökas och sammanställas på ett enkelt sätt, desto mer ökar möjligheterna till kontroll över och kartläggning av individer. Ju fler organisationer, it-system och användare som har tillgång till uppgifter om en viss person, desto större blir allmänt sett risken för integritetskränkningar, obehörigt röjande och andra former av missbruk.

Dataskyddsförordningen ställer krav på uppgiftsminimering. Man kan argumentera för att redan en stor spridning av personuppgifter i sig, särskilt när det rör sig om känsliga personuppgifter, utgör en integritetsrisk. Risken är också att personal eller användare av it-system kan ta del av mer information än vad de behöver för att kunna utföra sina arbetsuppgifter, vilket i sig motverkar de syften som anges i dataskyddsförordningen om uppgiftsminimering och skydd mot obehörig behandling.

Användningen av personnummer eller samordningsnummer och förekomsten av stora informationssamlingar kan ses som en integritetsrisk, särskilt då det möjliggör samkörning av uppgifter och att personuppgifter behandlas för andra ändamål än de ursprungliga.

Särskild stor risk finns för personer med skyddade personuppgifter och personer som är utsatta för våld eller hedersrelaterat förtryck. Det ska vidare noteras att, i den mån det rör sig om barn, förtjänar deras personuppgifter ett särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter (se skäl 38 till dataskyddsförordningen).

14.6.2. Specifika integritetsrisker när man behandlar personuppgifter från olika vårdinstanser och omsorgsgivare

I hälso- och sjukvårdens patientjournaler är det i princip uteslutande uppgifter om hälsa som dokumenteras. Sådana uppgifter är känsliga personuppgifter i dataskyddsförordningens mening och kräver extra skydd. Också inom socialtjänstens verksamhet avseende äldre och personer med funktionsnedsättningar behandlas i hög grad uppgifter om omsorgsmottagarens hälsa. Detta gäller inte bara uppgifter om psykisk och fysisk hälsa, utan även uppgifter om mediciner, hjälp-

medel och socialt välbefinnande. Inom socialtjänstens verksamhet kan det också finnas behov av att behandla uppgifter som inte definieras som känsliga personuppgifter enligt dataskyddsförordningen, men som ändå är av känslig karaktär. Exempelvis har uppgifter om att någon är föremål för ekonomiskt eller annat stöd från socialtjänsten, eller över huvud taget är föremål för utredning hos socialtjänsten ansetts utgöra personuppgifter av känslig natur. Inom socialtjänsten används ibland begreppet ”uppgifter om ömtåliga personliga förhållanden”. Begreppet omfattar förutom vad som räknas som känsliga personuppgifter även andra uppgifter om personliga förhållanden som kan förekomma inom socialtjänsten och vars behandling kan anses vara kränkande för den personliga integriteten. Det kan t.ex. vara uppgifter om försörjningsförmåga och familjeförhållanden.35

Vid kvalitetsuppföljning, som innebär att man tar del av personuppgifter från andra vårdinstanser eller omsorgsgivare, kommer känsliga personuppgifter som inhämtats för vård och omsorg att användas hos andra vårdinstanser och omsorgsgivare. Där kommer de att behandlas för andra ändamål än vården av eller omsorgen om patienten eller omsorgsmottagaren. Detta utgör i sig en integritetsrisk. Samtidigt ska beaktas att även mottagarna av personuppgifterna har att tillämpa motsvarande bestämmelser om sekretess och tystnadsplikt som utlämnarna, vilket skyddar uppgifterna från ytterligare spridning.

14.6.3. Föreslagna integritetsstärkande åtgärder

Vid avvägningen mellan behovet av kvalitetsuppföljning som innefattar användning av personuppgifter från andra vårdinstanser och omsorgsgivare och de integritetsrisker detta kan innebära, är det av betydelse vilka integritetsstärkande åtgärder som kan vidtas.

En viktig del av skyddet för den personliga integriteten är den enskildes möjlighet att själv bestämma över tillgången till och behandlingen av hans eller hennes personuppgifter. Utredningen föreslår att kvalitetsuppföljning som innefattar användning av personuppgifter från andra vårdinstanser och omsorgsgivare inte ska få ske om den enskilde motsätter sig detta (opt out). Utredningen anser att en sådan konstruktion är en väl avvägd åtgärd för att skydda

35Prop. 2002/03:36 s. 18 och 7 a § SoLPUL.

patienternas och brukarnas personliga integritet. En jämförelse kan göras med bestämmelserna i patientdatalagen. Enligt den allmänna regeln i 2 kap. 2 § första meningen patientdatalagen får behandling av personuppgifter ske även om den enskilde motsätter sig det. Annat gäller dock enligt den andra meningen vid bl.a. sammanhållen journalföring (som förutsätter opt out i ett första skede och samtycke i nästa skede) och nationella och regionala kvalitetsregister (som bygger på en opt out-konstruktion).

Utredningen lämnar förslag om sammanhållen vård- och omsorgsdokumentation som innefattar en lösning motsvarande den vid sammanhållen journalföring där opt out används i ett första skede, när personuppgifterna görs tillgängliga för andra vård- och omsorgsgivare, följt av den enskildas aktiva samtycke i nästa skede, när en vård- och omsorgsgivare ska ta del av de tillgängliggjorda personuppgifterna (se kap. 16). Syftet med behandling för kvalitetsuppföljning är dock ett annat än vid direktåtkomst till omsorgsdokumentation. Dessutom kommer personuppgifterna inte att göras potentiellt tillgängliga utanför organisationen på så sätt som görs vid direktåtkomst. Integritetsriskerna och risken för att någon obehörigen ska ta del av personuppgifter som denne inte behöver för att utföra sina arbetsuppgifter är därför inte lika höga enligt utredningens förslag om kvalitetsuppföljning som vid direktåtkomst.

Behandling av personuppgifter för kvalitetsuppföljning har snarare likheter med systemet med nationella och regionala kvalitetsregister (kvalitetsregister) i 7 kap. patientdatalagen. I kvalitetsregister behandlas personuppgifter för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Behandling av personuppgifter i kvalitetsregister förutsätter inte samtycke, men patienten har en rätt att motsätta sig behandlingen, vilket patienten ska få information om. Utredningen anser att det framstår som en rimlig avvägning mellan behov och integritet att också här föreslå en konstruktion med opt out likt vad som gäller för kvalitetsregister.

Genom att ställa krav på information till patienterna och omsorgsmottagarna om rätten att motsätta sig behandlingen innan deras personuppgifter behandlas för kvalitetsuppföljning, kombinerat med möjligheten att när som helst motsätta sig behandlingen, har patienten eller omsorgsmottagaren fullt självbestämmande. Detta är enligt utredningens bedömning en effektiv integritetsstärkande åtgärd.

Av skäl 28 till dataskyddsförordningen framgår att ett sätt att minska riskerna för de registrerade som berörs är att använda sig av pseudonymisering. Kryptering är en annan integritetsstärkande åtgärd som kan användas för att upprätthålla säkerheten och förhindra behandling som bryter mot dataskyddsförordningen (jfr skäl 83). Både kryptering och pseudonymisering tillgodoser principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen samt bidrar till att uppfylla principen om integritet och konfidentialitet i artikel 5.1 f i dataskyddsförordningen. Pseudonymisering och kryptering utgör också sådana säkerhetsåtgärder som nämns i artikel 32 i dataskyddsförordningen och som kan vidtas för att öka säkerheten vid behandling av personuppgifter. För kvalitetsuppföljning är det inte kopplingen i sig till en viss patient eller omsorgsmottagare som är det intressanta. Kryptering av identitetsuppgifterna bör i de allra flesta fall kunna vidtas. Utredningen föreslår att vid behandling av personuppgifter för kvalitetsuppföljning ska uppgifter om patientens eller omsorgsmottagarens identitet så långt det är möjligt vara krypterade på ett sådant sätt att dennes identitet skyddas (se utredningens närmare övervägande om kryptering i avsnitt 17.7). Även vid utlämnande av personuppgifter för kvalitetsuppföljning ska uppgifter om patientens eller omsorgsmottagarens identitet vara krypterade.

En ytterligare integritetsstärkande åtgärd som utredningen föreslår är att kvalitetsuppföljning bara ska få genomföras om fullmäktige i en region eller en kommun har beslutat om det.36 Genom att reglera att beslutet ska tas på fullmäktigenivå, vilket är det högsta beslutande organet inom regionen eller kommunen, tydliggörs vikten av att beslutet inte får tas slentrianmässigt utan att det är fråga om ett viktigt beslut. Redan det förhållandet att det högsta politiska beslutande organet ska besluta innebär en garanti för att även integritetsaspekterna beaktas på ett tillbörligt sätt i det enskilda fallet. Vidare blir beslutet transparent och offentligt tillgängligt för medborgarna. Enligt utredningens förslag ska beslutet bl.a. beskriva för vilka särskilda och berättigade ändamål som personuppgifterna ska behandlas och klargöra vilka kategorier av personer som behandlingen gäller och de kategorier av personuppgifter som behandlingen gäller. Utredningen föreslår även att beslutet ska offentliggöras på lämpligt sätt samt att det ska kunna överklagas i den ordning som

36 I förekommande fall gäller motsvarande för den beslutande församlingen i ett kommunalförbund.

gäller för laglighetsprövning enligt 13 kap. kommunallagen (se avsnitt 17.3). Därmed kommer beslutet att vara öppet och transparent och dess laglighet kommer att kunna prövas i förvaltningsdomstol.

En viktig metod för att skydda den personliga integriteten vid behandling av personuppgifter i olika it-system är att arbeta aktivt med behörighetsstyrningar, som begränsar vilka som har åtkomst till personuppgifterna. När det gäller uppgifter som ska användas för kvalitetsuppföljning torde det t.ex. vara ett relativt begränsat antal personer som har behov av att ta del av personuppgifterna. Behörighetstilldelningen bör bli därefter, dvs. den allmänna principen att behörighet ska begränsas till sådant som man behöver för sitt aktuella arbete. När kryptering används, torde det för de allra flesta användarna vara tillräckligt att ta del av de krypterade uppgifterna. Om det finns kompletterande uppgifter som gör identifiering möjlig, får bara så få personer som möjligt hos den personuppgiftsansvarige tilldelas behörighet att ta del av dessa.

Kvalitetsuppföljning enligt utredningens förslag bygger på att det finns ett beslut från fullmäktige om vilken vårdinstans eller omsorgsgivare som är personuppgiftsansvarig för behandlingen. Därefter bör det lämpligen ges ett dokumenterat uppdrag från exempelvis verksamhetschef till den personal som ansvarar för att verkställa uppdraget. Det ska alltså inte vara fråga om någon allmän spridning av uppgifterna. Vidare bör verkställigheten av beslutet förenas med exempelvis systematiska och återkommande logg-kontroller, utbildning av och instruktioner till personal och inloggning med autentisering. Detta är krav på personuppgiftsansvariga som framgår av dataskyddsförordningen och exempelvis Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40).

Nya it-system ger nya tekniska möjligheter att skräddarsy och snäva ner användarnas roller i systemen. Ju mer information det finns i ett it-system, desto större krav ställs på ett behörighetstilldelningen och rutinerna för behörighetsstyrning. Här kan verksamheterna genom exempelvis kravställning i upphandling av it-system se till att använda tekniska system som möjliggör att de kan skräddarsy behörighet så personer inte får tillgång till mer information än vad som krävs för att de ska kunna utföra sina arbetsuppgifter. Detta är dock inget som utredningen avser att reglera särskilt i lagen utan

det följer redan av dataskyddsförordningens princip om inbyggt dataskydd (se artikel 25 dataskyddsförordningen).

I detta sammanhang ska även framhållas vikten av att den personuppgiftsansvarige i regel ska göra en konsekvensbedömning avseende dataskyddet samt när det behövs gör en framställning om s.k. förhandssamråd till Datainspektionen (artikel 35 och 36 i dataskyddsförordningen).

De överväganden som utredningen redovisar i detta avsnitt är alltså inte avsedda att utgöra en sådan konsekvensbedömning som ersätter kravet på en konsekvensbedömning avseende dataskydd enligt dataskyddsförordningen (se närmare nedan i avsnitt 14.6.7 om konsekvensbedömning).

14.6.4. Utredningens samlade avvägning mellan behov och risk för integritetsintrång

Ju större spridning personuppgifter får, desto större är allmänt sett riskerna för att den personliga integriteten drabbas. Samtidigt måste integritetsriskerna ses i ett sammanhang där vårdinstanser och omsorgsgivare har ansvar för att bedriva god och säker vård och omsorg, och medborgarna har ett berättigat intresse av att vårdinstanser och omsorgsgivare lever upp till detta.

Den ökade privatiseringen och patientrörligheten gör att allt mer av den offentligt finansierade vården och omsorgen utförs av privata vårdinstanser och omsorgsgivare. Den fria kommunala nämndorganisationen kan leda till att omotiverade sekretessgränser uppstår mellan nämnder inom samma region eller kommun som har närliggande ansvarsområden. De organisatoriska förändringarna påverkar såväl den individinriktade informationshanteringen i vården och omsorgen som behoven av efterföljande kvalitetsuppföljning.

Det lär vara obestridligt att kvalitetsuppföljning av hela vård- och omsorgsprocesser med olika vårdinstanser och omsorgsgivare involverade är nödvändig för att en god och säker vård och omsorg ska kunna uppnås. Fel och andra ofullkomligheter i vård- och omsorgsprocesser kan leda till svåra skador för redan utsatta människor och dessutom innebära slöseri med våra skattepengar och förlängt mänskligt lidande.

Det står följaktligen enligt utredningen klart att offentliga vårdinstanser och omsorgsgivare har ett stort behov av att följa upp sådan

vård och omsorg som finansieras med offentliga medel. Sådan kvalitetsuppföljning skulle också kunna medföra synergieffekter och effektivitetsvinster i stort för den offentliga förvaltningen. En utvidgad möjlighet till kvalitetsuppföljning kommer ge utförligare och säkrare fakta- och kunskapsunderlag. Detta är till fördel för vården och omsorgen i stort, men i förlängningen även för den enskilde patienten eller omsorgsmottagaren. Utredningen bedömer att behoven och vinsterna överväger integritetsriskerna och föreslår därför bestämmelser som tillåter kvalitetsuppföljning som innebär att personuppgifter får samlas in – från andra vårdinstanser och omsorgsgivare, – mellan vårdinstanser, – mellan vårdinstanser och omsorgsgivare, såvitt avser för äldre och

personer med funktionsnedsättningar, och – mellan omsorgsgivare, såvitt avser äldre och personer med funk-

tionsnedsättningar.

Utredningens förslag tar i första hand sikte på offentliga vårdinstansers och omsorgsgivares kvalitetsuppföljning av den verksamhet de ansvarar för eller bedriver. Det finns dock inget som hindrar att fullmäktige beslutar att en privat vårdinstans eller omsorgsgivare får utföra kvalitetsuppföljning av den verksamhet vårdinstansen eller omsorgsgivaren ansvarar för eller bedriver, om det bedöms nödvändigt.

14.6.5. Reglering i lag

Som beskrivs närmare i tidigare avsnitt är riksdagen och regeringen överens om att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll bör regleras särskilt i lag. En reglering som gör det möjligt för vårdinstanser och omsorgsgivare att samla in känsliga personuppgifter för kvalitetsuppföljning bör därför, i likhet med systemet med sammanhållen vård- och omsorgsdokumentation, regleras i lag. Utredningens förslag om hur denna lagstiftning bör utformas berörs i kapitel 15.

14.6.6. Krav på en konsekvensbedömning avseende dataskydd

Utredningen har tidigare beskrivit principen om ansvarsskyldighet i artikel 5.2 i dataskyddsförordningen, som innebär att det är den personuppgiftsansvarige som ska säkerställa och kunna visa att dataskyddsförordningens grundläggande principer efterlevs (principerna berörs närmare i avsnitt 4.5). Huvudregeln är att den personuppgiftsansvarige ska genomföra en konsekvensbedömning avseende dataskydd före en behandling som sannolikt medför hög risk för de registrerade.

Utredningen anser inte att den riskanalys som genomförts i detta kapitel är en sådan konsekvensbedömning avseende dataskydd enligt artikel 35.10 i dataskyddsförordningen som görs i samband med ett lagstiftningsärende. Detta är en skillnad från utredningens bedömning när det gäller sammanhållen vård- och omsorgsdokumentation (se avsnitt 12.3.12 och 13.3.6). Det beror på att den föreslagna lagen till stor del överlåter åt fullmäktige att genom sitt beslut skapa nationell rätt om den aktuella kvalitetsuppföljningen. Då är det viktigt att kravet i dataskyddsförordningen på att en behandling som sannolikt leder till hög risk för fysiska personers rättigheter och friheter ska föregås av en konsekvensbedömning avseende dataskydd (artikel 35 i dataskyddsförordningen) gäller vid kvalitetsuppföljning. Inför i princip varje fullmäktigebeslut om kvalitetsuppföljning, eller i vart fall före igångsättandet av den beslutade kvalitetsuppföljningen, måste det således ofta göras en detaljerad konsekvensbedömning avseende dataskydd. Det bör åligga den vårdinstans eller omsorgsgivare som är utsedd till eller tänkt att bli personuppgiftsansvarig. Konsekvensbedömningen avseende dataskydd kan göras efter att fullmäktige utsett den personuppgiftsansvarige genom beslutet. Det finns dock inget som hindrar att en tilltänkt personuppgiftsansvarig gör en konsekvensbedömning avseende dataskydd innan denne blivit formellt utpekad genom fullmäktiges beslut. Den tilltänkte personuppgiftsansvarige ska även samråda med Datainspektionen om konsekvensbedömningen avseende dataskydd visar att behandlingen skulle leda till hög risk om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken (artikel 36 i dataskyddsförordningen).

15. En ny lag om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning

15.1. En ny gemensam lag

Utredningens förslag: Möjligheten för vårdgivare och omsorgs-

givare att ta del av respektive ge tillgång till personuppgifter genom direktåtkomst eller annat elektroniskt utlämnande genom sammanhållen vård- och omsorgsdokumentation regleras i en ny gemensam lag.

Bestämmelserna om sammanhållen journalföring flyttas därför från patientdatalagen till den föreslagna lagen. I den föreslagna lagen finns även bestämmelser som ger möjlighet att göra kvalitetsuppföljningar där personuppgifter samlas in från andra vårdinstanser eller omsorgsgivare.

Den föreslagna lagen har namnet lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.

Utredningen har tidigare redogjort för att de nya bestämmelser som föreslås när det gäller sammanhållen journalföring respektive sammanhållen omsorgsdokumentation samt kvalitetsuppföljning bör regleras i lag. Frågan är då hur en sådan lagreglering ska utformas. Man kan tänka sig olika lösningar. En lösning är att föra in bestämmelserna i redan existerande lagar. De lagar som ligger närmast till hands är patientdatalagen (2008:355) (PDL) och lagen (2001:454) om behandling av personuppgifter inom socialtjänsten (SoLPUL) som innehåller bestämmelser om behandling av personuppgifter inom hälso- och sjukvården respektive socialtjänsten. Ett annat alternativ är att ta in bestämmelserna i särskilda nya lagar, t.ex. en ny lag om sammanhållen

vård- och omsorgsdokumentation respektive en ny lag om kvalitetsuppföljning. Ytterligare en lösning är att samla bestämmelserna om sammanhållen vård- och omsorgsdokumentation samt kvalitetsuppföljning i en ny, gemensam lag.

Utredningen har övervägt olika alternativ för reglering. Nedan redogörs närmare för utredningens överväganden i denna del.

15.1.1. Sammanhållen journalföring och sammanhållen omsorgsdokumentation bör regleras i en ny lag

Utredningen har övervägt att föra in ett tillägg i patientdatalagen som reglerar vårdgivares åtkomst till sammanhållen omsorgsdokumentation inom socialtjänsten. Samtidigt skulle då bestämmelserna om sammanhållen omsorgsdokumentation föras in i ett eget avsnitt i SoLPUL. En sådan uppdelning riskerar dock att bli svår att överblicka. Det kan också konstateras att bestämmelserna i SoLPUL är allmänt hållna, och endast anger de övergripande bestämmelserna om behandling av personuppgifter inom socialtjänsten. Behandlingen av personuppgifter regleras inte så detaljerat som i patientdatalagen. Exempelvis finns det inte i SoLPUL en närmare definition av för vilka ändamål personuppgifter får behandlas inom socialtjänsten. SoLPUL innehåller, till skillnad från patientdatalagen, inte heller något principiellt förbud mot direktåtkomst.

Utredningens uppdrag rör vidare endast en avgränsad del av hela den verksamhet vars behandling av personuppgifter regleras av SoLPUL. Av skäl som framgår i avsnitt 12.3.8 bör de föreslagna bestämmelserna formuleras med regleringen av sammanhållen journalföring i patientdatalagen som förebild. Möjligheten till tillgång genom direktåtkomst eller annat elektroniskt utlämnande mellan olika omsorgsgivare inom socialtjänsten kommer att kräva en förhållandevis detaljerad reglering på lagnivå. Det kommer t.ex. att krävas bestämmelser som anger tillämpningsområde, definitioner av begrepp som används, regler om inflytande för omsorgsmottagarna, särskilda villkor för att direktåtkomst eller annan elektroniskt utlämnande ska vara tillåten samt regler om tilldelning av behörighet och kontroll. Även denna omständighet talar för att en gemensam lag är den mest lämpliga lösningen.

Mot denna bakgrund gör utredningen bedömningen att det är mest lämpligt att inte ta in de nya bestämmelserna om direktåtkomst eller

annat elektroniskt utlämnande genom sammanhållen omsorgsdokumentation inom socialtjänsten i befintliga lagar. Utredningen anser i stället att det skulle förenkla för tillämparna att samla bestämmelser som rör direktåtkomst genom sammanhållen journalföring respektive genom sammanhållen omsorgsdokumentation (nedan sammanhållen vård- och omsorgsdokumentation) i en och samma lag. Det framstår som lättare att överblicka och därmed mer förutsebart och transparent. Bestämmelserna om sammanhållen vård- och omsorgsdokumentation får tillämpas av vård- och omsorgsgivare avseende samma grupp av patienter och omsorgsmottagare. Bestämmelserna är till sin struktur uppbyggda på ett likartat sätt. De har ett naturligt samband med varandra. Sammanfattningsvis anser utredningen alltså att den bästa lösningen är att ta in bestämmelserna om sammanhållen vård- och omsorgsdokumentation i en ny lag.

En fråga som uppstår är om bestämmelser som riktar sig till enbart vårdgivare bör finnas kvar i 6 kap. patientdatalagen (men kompletteras med att det även ska gälla tillgång till omsorgsdokumentation) eller om samtliga bestämmelser som reglerar direktåtkomst inom vård och omsorg bör hållas samman i en lag. Utredningen anser att det framstår som mest lämpligt och överskådligt att i en lag ha bestämmelserna om sammanhållen journalföring och sammanhållen omsorgsdokumentation. De bägge regelverken med sammanhållen journalföring enligt patientdatalagen och sammanhållen omsorgsdokumentation enligt utredningens förslag har nära beröringspunkter med varandra. De är modulerade enligt samma principer och kommer att ha ett tillämpningsområde som överlappar, när det gäller sammanhållen vård- och omsorgsdokumentation för äldre och funktionshindrade. Utredningen föreslår därför att bestämmelserna om sammanhållen journalföring (nuvarande 6 kap. PDL) flyttas från patientdatalagen och förs in i den nya lagen, som kommer att bli ett samlat, överskådligt regelverk som reglerar vård- och omsorgsgivares möjligheter att ta del av personuppgifter hos varandra genom direktåtkomst eller annat elektroniskt utlämnande.

Utredningen vill betona att någon materiell ändring av gällande bestämmelser i patientdatalagen inte är avsedd. Bestämmelserna ska tillämpas som tidigare med samma materiella innehåll. En ändring görs dock när det gäller formen för utlämnande som kan ske genom direktåtkomst eller annat elektroniskt utlämnande, se närmare utredningens beskrivning av detta i avsnitt 16.3.2. En ändring görs också

beträffande möjligheten att ta del av barns personuppgifter, se avsnitt 16.6.3.

15.1.2. Kvalitetsuppföljning bör regleras i en ny lag

En lagreglering som gör det möjligt att använda personuppgifter från flera vårdinstanser och omsorgsgivare för kvalitetsuppföljning kan utformas på olika sätt. En lösning är att föra in de nya bestämmelserna i redan existerande lagar. De lagar som i så fall ligger närmast till hands är även här patientdatalagen och SoLPUL. Utredningens förslag om kvalitetsuppföljning liknar till sin konstruktion delvis bestämmelserna i 7 kap. patientdatalagen om kvalitetsregister, som handlar om kvalitetssäkring över vårdgivargränser. Ett alternativ skulle kunna vara att ta in de nya bestämmelserna i ett eget kapitel i patientdatalagen. Kvalitetsuppföljning ska emellertid även få ske mellan olika omsorgsgivare, samt mellan olika vårdinstanser och omsorgsgivare. I den delen passar inte en placering i patientdatalagen, som riktar sig till vårdgivare men inte till omsorgsgivare. Att föra in vissa bestämmelser i patientdatalagen och vissa andra i SoLPUL framstår som något svårt att överblicka. Därtill framstår ett införande i SoLPUL som mindre lämpligt, utifrån hur den lagen är konstruerad. Bestämmelserna i SoLPUL är allmänt hållna och i SoLPUL finns bara de övergripande bestämmelserna om behandling av personuppgifter inom socialtjänsten. Den föreslagna regleringen om kvalitetsuppföljning rör vidare en specifik typ av behandling av personuppgifter inom hälso- och sjukvård och socialtjänst. Utredningen föreslår att ett särskilt beslut om kvalitetsuppföljning, med krav på ett visst innehåll, ska fattas på fullmäktigenivå hos respektive region och kommun (se avsnitt 17.3.1). Någon motsvarighet till denna typ av beslutsfattande finns inte i patientdatalagen, SoLPUL eller förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, SoLPUF. Den särskilda bestämmelsen med krav på fullmäktigebeslut talar enligt utrednings mening också för att en ny lag som reglerar formerna för kvalitetsuppföljning är den mest lämpliga lösningen.

Mot denna bakgrund föreslår utredningen att även möjligheten att göra kvalitetsuppföljning där man använder personuppgifter från flera vårdinstanser och omsorgsgivare regleras i en ny lag.

15.1.3. Sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning regleras i en ny gemensam lag

Utredningen anser således att både sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning ska regleras i ny lagstiftning. Eftersom det i båda fallen handlar om förutsättningarna för att utbyta personuppgifter mellan olika instanser inom vården och omsorgen, anser utredningen att det framstår som mest ändamålsenligt att ta in bestämmelserna i samma, gemensamma lag i stället för att föreslå två separata lagar.

Visserligen har sammanhållen vård- och omsorgsdokumentation respektive kvalitetsuppföljning olika användningsområden och syften. Det rör sig dock om känsliga personuppgifter avseende samma grupper av patienter och omsorgsmottagare, som får överföras mellan olika instanser inom vården och omsorgen. Definitionen av kvalitetsuppföljning tar därtill avstamp i definitionen av insatser för äldre

eller personer med funktionsnedsättningar som en kommun eller en region ansvarar för enligt förslaget om sammanhållen omsorgsdoku-

mentation. Kvalitetsuppföljningen har på så sätt ett tillämpningsområde som överlappar tillämpningsområdet för den sammanhållna omsorgsdokumentationen.

Utredningen har fått synpunkter om att dagens regelverk för behandling av personuppgifter inom vård och omsorg kan upplevas som fragmentiserat och svårt att överblicka. Utredningen anser därför att det kan finnas en pedagogisk vinst med att reglera överföring av personuppgifter i en och samma lag. En sådan lösning innebär också bättre överskådlighet och transparens för de registrerade. Därmed kan det också ge en fördel ur integritetsperspektiv.

Slutligen framstår det rent lagtekniskt som smidigare att samla bestämmelserna i en och samma gemensamma lag i stället för att sprida ut bestämmelserna i två separata lagar.

Utredningen föreslår alltså att bestämmelser om sammanhållen vård- och omsorgsdokumentation respektive kvalitetsuppföljning samlas i en ny gemensam lag. Lagen ska få namnet lagen om sammanhållen vård- och omsorgsdokumentation och kvalitetsuppföljning.

15.2. Bestämmelserna om kvalitetsregister i 7 kap. patientdatalagen flyttas till den nya gemensamma lagen

Utredningens förslag: Bestämmelserna om nationella och regio-

nala kvalitetsregister i patientdatalagen förs över till den föreslagna nya lagen.

En patients personnummer, samordningsnummer eller namn får behandlas i ett nationellt eller regionalt kvalitetsregister endast om det inte är tillräckligt, för att systematiskt och fortl