SOU 2023:13

Patientöversikter inom EES och Sverige

Till statsrådet och chefen för Socialdepartementet

Regeringen beslutade den 30 juli 2020 att tillsätta en särskild utredare med uppdrag att utreda vad som krävs för en patientsäker och effektiv process för elektroniska recept inom Europeiska ekonomiska samarbetsområdet (dir. 2020:80). Till särskild utredare förordnades tidigare generaldirektören Catarina Andersson Forsman från och med den 21 september 2020.

Som sekreterare i utredningen anställdes från och med den 1 november 2020 till och med den 18 januari 2022 beredningschefen Evelina Kaarme och från och med den 18 januari 2021 till och med den 17 januari 2022 verksjuristen Sarah Svenblad. Som huvudsekreterare i utredningen anställdes från och med den 1 januari 2022 till och med den 21 augusti 2022 Anki Bystedt. Som sekreterare i utredningen anställdes från och med den 17 januari 2022 hovrättsassessorn Niklas Eriksson. Som huvudsekreterare i utredningen anställdes från och med den 8 augusti 2022 farmacie doktor Erika Olsson Lindberg.

Som sakkunniga i utredningen förordnades från och med den 18 december 2020 till och med den 24 maj 2021 ämnesrådet Henrik Moberg, från och med den 18 december till och med den 21 april 2022 kanslirådet Lisa Wiberg, från och med den 25 maj 2021 Omid Mavadati och från och med den 13 juni 2022 Malin Porse, samtliga vid Socialdepartementet.

Som experter i utredningen förordnades från och med den 18 december 2020 till och med den 14 september 2021 juristen Pernilla Andersson, Integritetsskyddsmyndigheten, från och med den 18 december 2020 strategen Daniel Antonsson, Myndigheten för digital förvaltning, från och med den 18 december 2020 seniora farmaceutiska utredaren Annika Ohlson, E-hälsomyndigheten, från och med den 18 december 2020 till och med den 10 februari 2022

medicinska utredaren Johanna Sjögren, Tandvårds- och läkemedelsförmånsverket, från och med den 18 december 2020 till och med den 10 februari 2022 läkemedelsinspektören Gustav Sjöstrand, Läkemedelsverket, från och med den 18 december 2020 till och med den 21 april 2022 rättslige experten Johan Vadengren, Försäkringskassan, från och med den 11 februari 2022 chefsläkaren Max Herulf, E-hälsomyndigheten, från och med den 11 februari 2022 juristen Emmelie Pettersén Uggla, Socialstyrelsen, från och med den 11 februari 2022 till och med den 11 september 2022, Meri Fischerström, IVO, från och med den 22 april 2022 juristen Therese Anundby, Försäkringskassan och från och med den 12 september 2022 utredaren Rikard Owenius, Läkemedelsverket.

Utredningen har antagit namnet Utredningen om e-recept och

patientöversikter inom EES.

Utredningens expertgrupp har under utredningsarbetet bidragit med värdefulla och konstruktiva synpunkter och underlag. När begreppet utredningen används i betänkandet avses den särskilda utredaren samt sekretariatet. Den särskilda utredaren svarar ensam för innehållet i betänkandet.

Den 8 juli 2021 samt den 20 oktober 2021 fick utredningen tilläggsdirektiv (dir. 2021:54 samt dir. 2021:91)

I december 2021 överlämnade utredningen delbetänkandet E-recept inom EES (SOU 2021:102).

Den 22 juni 2022 samt den 22 december 2022 fick utredningen tilläggsdirektiv (dir. 2022:83 samt dir. 2022:143).

I och med detta slutbetänkande är uppdraget avslutat. Utredningen överlämnar härmed betänkandet Patientöversikter inom EES

och Sverige (SOU 2023:13).

Stockholm den 29 mars 2023

Catarina Andersson Forsman

/Erika Olsson Lindberg Niklas Eriksson

Sammanfattning

Om betänkandet

Regeringen fattade den 30 juli 2020 beslut om att tillsätta en särskild utredare med uppdrag att utreda vad som krävs för en patientsäker och effektiv process för elektroniska recept inom Europeiska ekonomiska samarbetsområdet (dir. 2020:80). Utredningen fick den 20 oktober 2021 tilläggsdirektiv avseende uppdraget att utreda frågor som rör gränsöverskridande patientöversikter inom EES. Utredningen tog

namnet E-recept och patientöversikter inom EES.

Utredningen överlämnade i december 2021 sitt delbetänkande Erecept inom EES (SOU 2021:102). I och med detta betänkande är uppdraget slutfört.

Betänkandets form och innehåll

I det följande görs en sammanfattning av betänkandets kapitel, med fokus på det bedömningar och förslag som lämnas. Kapitel 3–7 innehåller en beskrivning av kontexten för utredningens uppdrag, dessa sammanfattas inte nedan. Kapitel 1 och kapitel 19 innehåller författningsförslag samt författningskommentarer, vars innehåll täcks i redovisningen av övriga förslagskapitel och därför inte redovisas separat.

Kapitel 2 Utredningens uppdrag och arbetssätt

Utredningen har arbetat med att ta fram de förslag som utredningen bedömer är nödvändiga för att informationsutbytet av patientöversikter inom EES ska bli möjligt. Av utredningens direktiv framgår att utredningen ska lämna förslag som möjliggör utbyte av patientöversikter med information från alla vårdgivare. Utredningen har

därför utgått från förslag som inkluderar såväl privata som offentliga vårdgivare oavsett finansieringsform. Vidare har utredningen givet formuleringen i tilläggsdirektivet haft sitt fokus på just vårdgivare. Det ingår inte i utredningens uppdrag att möjliggöra information även från omsorgen. Utredningen ser emellertid att nationell reglering avseende sammanhållen journalföring inom Sverige inkluderar omsorgsgivare. Utredningen har därför i det nationella utbytet av patientöversikter även beaktat omsorgsgivare.

De avgränsningar utredningen har gjort i dessa och andra avseenden framgår också under respektive kapitel.

Kapitel 8 Tjänsten patientöversikt inom EES

Patientrörlighetsdirektivet innehåller bestämmelser för att göra det lättare för patienter att få tillgång till en säker och högkvalitativ gränsöverskridande hälso- och sjukvård. Av direktivet framgår att ett nätverk för e-hälsa ska bildas inom vilket EU stödjer och främjar samarbetet och utbytet av information. Nätverket för e-hälsa ska enligt direktivet arbeta för att tillhandahålla hållbara sociala och ekonomiska nyttoeffekter genom europeiska system och tjänster som rör e-hälsa. Inom ramen för samarbetet kring e-hälsa finns för närvarande två tjänster framtagna, e-recept och patientöversikter. Tjänsten patientöversikt inom EES syftar till att ge alla individer samt behandlande hälso- och sjukvårdspersonal, tillgång till utvalda uppgifter om individens hälsa och vård från hemlandet vid behov av oplanerad eller planerad vård i ett annat EES-land. Behandling av patienter utan information om deras medicinska tillstånd och bakgrund är riskfyllt och potentiellt farligt. Genom att möjliggöra tillgång till utvalda uppgifter om patientens hälsa och vård ökar patientsäkerheten och förutsättningar för god och säker vård stärks, bland annat genom att risken för vårdskador reduceras. Bland informationen som delas finns känsliga personuppgifter varför hanteringen bör ske på ett sådant sätt att hög informationssäkerhet garanteras och skyddet av den personliga integriteten värnas.

Kapitel 9 Internationell utblick

I skrivande stund deltar nio länder i tjänsten patientöversikt inom EES och ytterligare 15 länder har fått finansiellt bidrag och planerar att delta fram till och med 2025. Detta kapitel inleds med en översikt över gällande tidsplan för införandet av tjänsten patientöversikt inom EES och statistik över användning av tjänsten. Tjänsten är inne i en intensiv implementationsfas där antalet invånare som har möjlighet att utbyta patientöversikter har ökat från 5,7 miljoner 2021 till 58,8 miljoner 2022. Därefter sammanfattar utredningen genomförandet av tjänsten samt erfarenheter av och eventuella lärdomar från implementeringen från fem länder som i dag utbyter patientöversikter som både land A och land B. Informationen kommer från svar på frågor som utredningen skickat till den eller de som representerar landet i eHealth Member State Expert Group (eHMSEG), medlemsländernas expertgrupp för e-hälsa där de nationella kontaktpunkterna för e-hälsa finns representerade. Vissa länder har haft förutsättningar för att snabbt och med små medel implementera tjänsten medan andra behövt göra ett mer omfattande jobb. Antalet vårdgivare vars digitala uppgifter tillgängliggörs för patentöversikten varierar kraftigt från ett sjukhus på Malta till samtliga vårdgivare i Estland.

Kapitel 10 Definition av begreppet patientöversikt

Utredningen har i uppdrag att föreslå en definition av begreppet patientöversikt. Det finns i Sverige ingen officiell eller legal definition av patientöversikt. Begreppet saknas i Socialstyrelsens termbank och finns inte heller i den gemensamma författningssamlingen avseende hälso- och sjukvård, socialtjänst, läkemedel och folkhälsa (HSLF-FS). Det framgår av utredningens direktiv att patientöversiktens innehåll kan ändras över tid beroende på till exempel nya medicinska rön, utifrån professionens ändrade behov och uppdrag och på grund av den tekniska utvecklingen. Det är därför önskvärt att en definition av begreppet tas fram och att patientöversiktens innehåll kan ändras över tid.

Utredningens förslag på definition har tagit i beaktande befintliga formuleringar i relevant lagtext, Nätverket för e-hälsas definition av Patient Summary, CEN:s definition av The International Patient Summary, förslaget till definition från E-hälsomyndigheten, definitionen

av närliggande och ingående begrepp i Socialstyrelsens termbank samt definitionen av begreppet e-recept inom ESS i delbetänkandet. Utredningen anser, precis som i delbetänkandet vad gäller e-recept, att det är ändamålsenligt att definitionen kan omfatta såväl patientöversikter som tas fram för nationell användning som för användning över landsgränser. Utredningen avser även uppnå, i enlighet med utredningens direktiv, att definitionen tillåter att de uppgifter som patientöversikten innefattar kan variera över tid. Utredningen föreslår att begreppet patientöversikt definieras som:

en sammanställning av utvalda uppgifter om patienten och dess hälsa och vård som syftar till att bidra till en god och säker vård

Kapitel 11 Dokumentation och tillgängliggörande av informationsmängder

Utredningen har i uppdrag att analysera om patientöversikten eller delar av patientöversikten ska vara obligatorisk att dokumentera och tillgängliggöra för vårdgivare vid gränsöverskridande vård, både inom EES och nationellt, och föreslå hur detta skulle kunna regleras. I kommittédirektiven konstaterar regeringen att dagens användning av patientöversikter skiljer sig åt mellan regioner och att det finns en skillnad i vilka informationsmängder som tillgängliggörs av regionerna. Regeringen anför att det därför kan finnas skäl för att det ska vara obligatoriskt att tillgängliggöra vissa informationsmängder nationellt och inom EES för att säkerställa patientsäkerheten, men också ur ett nationellt jämlikhetsperspektiv. Utredningen ska även analysera och bedöma om den reglering som utredningen föreslår för patientöversikter kan innefatta ytterligare kategorier av hälsodata samt följa utvecklingen av EU-kommissionens förslag till förordning om ett europeiskt hälsodataområde.

Utredningen anser att den information om patientens hälsa och vård som en patientöversikt kan innehålla är av sådan karaktär att den väsentligt kan påverka kvaliteten på den vård som ges, framför allt genom att vårdskador undviks. Ytterst kan det handla om skillnad mellan liv och död. Vidare kan beslut om undersökning och behandling fattas på en mer solid grund. Samtidigt är personuppgifterna som behandlas känsliga, varför det är av stor vikt att individens integritet värnas genom att tillgängliggörande och tillgång till informa-

tionen bygger på system och processer med hög informationssäkerhet. Flera utredningar och regeringsuppdrag har behandlat frågan om en elektroniskt sammanhållen journal för varje patient och vårdgivares tillgång till personuppgifter om patientens hälsa och vård. I fallet patientöversikt blir konsekvensen av frivilligheten särskilt tydlig eftersom olika vårdgivare tillgängliggör olika mycket information. En frivillighet resulterar också i att patienten inte med säkerhet kan veta att det som dokumenteras i patientjournalen finns tillgängligt och används när den vänder sig till olika vårdgivare. Utredningen bedömer mot bakgrund av den nytta som erhålls, framför allt i form av stärkt patientsäkerhet, och de konsekvenser som beskrivs i kapitel 12 och 18 att bestämmelser ska införas om krav på vårdgivare att ge elektronisk tillgång till utvalda digitala uppgifter om en patients hälsa och vård, för att tillföras en patientöversikt som kan utbytas inom EES och inom Sverige. Kravet på att vårdgivare ska tillgängliggöra och kunna ta del av patientöversikter inom EES gäller inte vårdgivare som bedriver tandvård eller kommunal hälso- och sjukvård men dessa vårdgivare får ge tillgång till och ta del av uppgifter om de önskar. Kravet på att vårdgivare ska tillgängliggöra och kunna ta del av patientöversikter inom Sverige gäller inte heller vårdgivare som bedriver tandvård eller kommunal hälso- och sjukvård men dessa vårdgivare och omsorgsgivare får ge tillgång till och ta del av uppgifter om de önskar. Hur förslaget regleras beskrivs i kapitel 15.

Kapitel 12 Gränsöverskridande utbyte av patientöversikter

Utredningen har utrett vad som krävs för att Sverige ska ingå i ett gränsöverskridande utbyte av patientöversikter inom EES. Nedan presenteras utredningens bedömningar och förslag för att möjliggöra tjänstens implementation och genomförande. I tjänsten finns informationsflöden i två riktningar, med Sverige som land A respektive land B, och dessa kräver olika funktionalitet. Utredningen kommer att presentera förslag avseende infrastruktur för att möjliggöra flödet i respektive riktning samt förslag avseende de grundläggande förmågor och funktioner som krävs för att Sverige ska uppfylla ställda krav och därigenom kunna implementera tjänsten patientöversikter inom EES.

Utredningen föreslår att E-hälsomyndigheten, i rollen som Sveriges nationella kontaktpunkt för e-hälsa, ges i uppdrag att utveckla och förvalta den funktionalitet och den infrastruktur som krävs för att kunna uppfylla de åtaganden som åligger den nationella kontaktpunkten för e-hälsa i Sverige i samband med att tjänsten implementeras i här, exempelvis en nationell connector och tjänster för mappning och översättning. För att möjliggöra informationsflödet från Sverige till utlandet föreslår utredningen att regeringen ska säkerställa att en infrastruktur för att tillgängliggöra information om patientens hälsa och vård till en patientöversikt finns tillgänglig för alla vårdgivare. Inera äger och förvaltar viktig infrastruktur för detta ändamål och det bredare ändamålet säker informationsöverföring inom hälso- och sjukvården, som är tillgänglig för många men inte alla. Staten har små möjligheter att styra dess utveckling för att säkerställa att nationella och internationella mål och krav uppfylls i tid. Utredningen föreslår att förslaget genomförs genom att staten förvärvar delar av eller hela Inera förvärvas samt att det utreds vidare om och i så fall vilka delar som bör ägas och förvaltas av en myndighet.

För att möjliggöra informationsflödet från utlandet till svensk hälso- och sjukvårdspersonal föreslår utredningen att E-hälsomyndigheten ges i uppdrag att tillhandahålla en digital tjänst för att ta del av patientöversikter från utlandet för hälso- och sjukvårdspersonal. I denna tjänst föreslår utredningen att hälso- och sjukvårdspersonal även ska kunna få tillgång till patientöversikter från Sverige. Tekniska krav på de som tillgängliggör och önskar ta del av uppgifterna i en patientöversikt föreslår utredningen ska regleras i föreskrifter. Utredningen föreslår även att E-hälsomyndigheten får i uppdrag att utveckla en digital samtyckestjänst där patienten kan lämna och överblicka sina samtycken.

Kapitel 13 Grundläggande förutsättningar för E-hälsomyndighetens personuppgiftsbehandling

Utredningen ska enligt uppdraget analysera behovet av att reglera den personuppgiftsbehandling som sker vid utbyte av patientöversikter. En stor mängd personuppgifter, även känsliga personuppgifter, kommer att behandlas av olika aktörer i informationsutbytet. All information i patientöversikterna kommer att förmedlas via den nationella kontaktpunkten för e-hälsa. Som Sveriges kontaktpunkt

för e-hälsa kommer E-hälsomyndigheten att behandla personuppgifter i detta informationsutbyte på ett sätt som inte görs i dag. Utredningen bedömer att den personuppgiftsbehandling som E-hälsomyndigheten kommer att utföra vid hantering av patientöversikter är nödvändig för att fullgöra en rättslig förpliktelse som åvilar myndigheten (artikel 6.1 c i EU:s dataskyddsförordning) och för att utföra en uppgift av allmänt intresse (artikel 6.1 e i EU:s dataskyddsförordning). En nationell reglering behövs för att den rättsliga grunden ska kunna användas. Utredningen bedömer vidare att den rättsliga grunden för E-hälsomyndighetens personuppgiftsbehandling vid utbytet av patientöversikter bör fastställas i förordning. Utredningen föreslår att särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen ska införas i de författningar som ska reglera personuppgiftsbehandlingen vid utbytet av patientöversikter. Behandlingen av känsliga personuppgifter vid utbytet av patientöversikter är enligt utredningens bedömning nödvändig av skäl som hör samman med de hälso- och sjukvårdsverksamheter som anges i artikel 9.2 h i dataskyddsförordningen.

Utredningen föreslår vidare att uppdraget att vara nationell kontaktpunkt för e-hälsa och att tillhandahålla tjänster och infrastruktur för gränsöverskridande informationsutbyte av e-recept och patientöversikter ska regleras i E-hälsomyndighetens instruktion. Vidare föreslås att de närmare bestämmelserna om E-hälsomyndighetens personuppgiftsbehandling vid utbyte av patientöversikter ska regleras i en ny förordning om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter. Ändringar behöver även införas i lag om sammanhållen vård- och omsorgsdokumentation, patientdatalagen och lagen om nationell läkemedelslista.

Förutsättningar för att hantera personer med skyddade personuppgifter i en tjänst för patientöversikter över landsgränser föreligger enligt utredningens bedömning inte för närvarande. Utredningen bedömer att barn bör kunna omfattas av tjänsten patientöversikter över landsgränser först när det är tydligt att skyddet för barnets integritet kan säkerställas av E-hälsomyndigheten som personuppgiftsansvarig. Pågående arbeten och utredningar avseende åldersgränser och andra angränsande och relevanta frågor bör analyseras och utvärderas i strävan efter att kunna erbjuda barn samma rättigheter som vuxna gällande möjligheten att omfattas av utbytet av patientöversikter.

Kapitel 14 En ny förordning om E-hälsomyndighetens personuppgiftsbehandling i samband med hanteringen av patientöversikter

Som redogjorts för i kapitel 13 föreslår utredningen att den rättsliga grunden för E-hälsomyndighetens behandling av personuppgifter vid hantering av patientöversikter ska fastställas dels i E-hälsomyndighetens instruktion, dels i en ny förordning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen. Som exempel kan anges allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling (artikel 6.3). EU-rätten eller den nationella rätten ska även uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen). Nationell rätt kan även innehålla förtydliganden och begränsningar av bestämmelserna i dataskyddsförordningen, i den utsträckning det är nödvändigt för samstämmigheten och för att göra dem begripliga för personer som de ska tillämpas på (skäl 8 till dataskyddsförordningen).

Utredningen anser mot denna bakgrund och med hänsyn till behovet av särskilda skyddsåtgärder att det är lämpligt att i förordning fastställa närmare bestämmelser för hur E-hälsomyndighetens behandling av personuppgifter vid utbyte av patientöversikter ska gå till. De närmare bestämmelserna avser bland annat ändamål med behandlingen och personuppgiftsansvar. Utredningen föreslår vidare att utbytet förutsätter att patienten lämnat ett integritetshöjande samtycke. Förslaget innehåller även bland annat en uppgiftsskyldighet för E-hälsomyndigheten till vårdgivare i Sverige och utländska kontaktpunkter för e-hälsa. Vidare regleras behörighetstillgång och åtkomstkontroll.

Kapitel 15 Ändringar i patientdatalagen , lagen om sammanhållen vård- och omsorgsdokumentation, offentlighets- och sekretesslagen samt lagen om nationell läkemedelslista

Utredningen föreslår ändringar i patientdatalagen (2008:355) genom bland annat införande av krav på att vårdgivare, med vissa undantag, ska ge E-hälsomyndigheten elektronisk tillgång till uppgifter om en patient för att tillföras en patientöversikt inom EES och från E-hälsomyndigheten elektroniskt kunna ta del av sådan patientöversikt. Ett nytt ändamål för behandling av personuppgifter inom hälso- och sjukvården föreslås genom att utlämnande av uppgifter till E-hälsomyndigheten för sammanställning, översättning och förmedling av en svensk patientöversikt till en utländsk kontaktpunkt för e-hälsa i enlighet med 7 § 3 förordningen (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter ska vara tillåtet.

Utredningen föreslår ändringar i lagen (2022:913) om sammanhållande vård- och omsorgsdokumentation genom bland annat införande av krav på att vårdgivare, med vissa undantag, ska ge E-hälsomyndigheten elektronisk tillgång till uppgifter om en patient för att tillföras en patientöversikt inom Sverige och från E-hälsomyndigheten elektroniskt kunna ta del av sådan patientöversikt.

E-hälsomyndighetens uppdrag som nationell kontaktpunkt för e-hälsa enligt patientrörlighetsdirektivet föreslås anges i förordningen (2013:1031) med instruktion för E-hälsomyndigheten. Det föreslås också att E-hälsomyndigheten får ett uppdrag att tillhandahålla tjänster och infrastruktur för informationsutbytet.

Vidare föreslår utredningen sekretessbrytande bestämmelser i offentlighets- och sekretesslagen (2009:400) så att sekretess inte hindrar att uppgift lämnas till E-hälsomyndigheten enligt vad som föreskrivs i patientdatalagen samt i lagen om sammanhållen vård- och omsorgsdokumentation om krav på vårdgivare att tillgängliggöra uppgifter om patienter. Ytterligare en sekretessbrytande bestämmelse föreslås så att uppgift som behandlas med stöd av förordningen (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter får lämnas till en vårdgivare i Sverige eller en utländsk kontaktpunkt för e-hälsa med stöd av bestämmelser i nämnda förordning.

I lagen (2018:1212) om nationell läkemedelslista föreslår utredningen ett nytt ändamål för personuppgiftsbehandling innebärande att personuppgifter får behandlas om det är nödvändigt för tillförande av uppgifter till en patientöversikt som ska sammanställas, översättas och förmedlas i enlighet med 7 § 3 förordningen (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter.

Kapitel 16 Avvägning mellan behov och integritetsrisker vid utbyte av patientöversikter inom EES

Informationsutbytet av patientöversikter inom EES innebär att integritetskänsliga uppgifter om en individs hälsa överförs mellan länderna. I detta kapitel gör utredningen en avvägning mellan behovet av utredningens förslag och de integritetsrisker de kan innebära. Utredningen bedömer att det är vid utbytet av patientöversikter över landsgränser som avvägningen behöver göras då det i det nationella utbytet inte har kunnat identifieras några nytillkomna utmärkande integritetsrisker för patienterna till följd av personuppgiftsbehandlingen, varför kapitlet fokuserar på det förstnämnda informationsutbytet.

Behandling av personuppgifter med anledning av utredningens förslag är nödvändig för att utföra en uppgift av allmänt intresse och för att fullgöra en rättslig förpliktelse. E-hälsomyndighetens uppdrag, dels att vara nationell kontaktpunkt för e-hälsa, dels att tillhandahålla tjänster och infrastruktur för gränsöverskridande informationsutbyte av patientöversikter, föreslås framgå av förordningen (2013:1031) med instruktion för E-hälsomyndigheten. Utredningen föreslår att särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen tas in i den nya förordningen om personuppgiftsbehandling vid E hälsomyndigheten i samband med hantering av patientöversikter.

Av artikel 6.3 i dataskyddsförordningen framgår att den nationella regleringen av grunden för behandlingen som kompletterar förordningen ”ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas”.

Utredningen konstaterar att syftet med utredningens förslag att säkerställa en patientsäker och effektiv vård även när EES-medborgare rör sig inom EES, får anses utgöra ett legitimt mål som upp-

fyller ett mål av allmänt intresse. Något alternativ till utredningens förslag för att uppnå ändamålet finns inte. Den behandling som kommer att utföras med anledning av förslagen är ändamålsbegränsad och de författningsförslag som lämnas ger tillräckliga skyddsåtgärder för att behandlingen ska anses vara proportionell mot det legitima mål som eftersträvas. Genom utredningens förslag kommer E-hälsomyndigheten att ha rättsligt stöd i nationell rätt på det sätt som krävs enligt dataskyddsförordningen.

Det är utredningens sammanfattande bedömning att behoven av, och fördelarna med utredningens förslag överväger de integritetsrisker som behandlingen medför. Behandlingen uppfyller ett mål av allmänt intresse och är proportionell mot det legitima mål som eftersträvas.

Kapitel 17 Ikraftträdande

Den nya förordningen (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter bör träda i kraft den 1 november 2025. Skälen för detta är i huvudsak att när det regelverket är på plats har Sverige de författningsmässiga förutsättningarna för att implementera tjänsten patientöversikt inom EES som land B, det vill säga där utländska patientöversikter kan utbytas till Sverige.

Avseende övriga författningsändringar som föreslås i detta betänkande är det för närvarande inte möjligt att ange en rimlig uppskattning för när de kan träda i kraft. Detta beror på att det är svårt att förutse vilken tidsåtgång de omfattande förslag som utredningen i övrigt lämnar, i synnerhet när det gäller förvärvs-, styrnings- och organisationsfrågorna som behandlas företrädesvis i kapitel 12, kommer att kräva. Då dessa frågor och beslut om en framtida inriktning på området utgör förutsättningar för att kunna börja tillämpa de föreslagna författningarna, ser utredningen att det är lämpligt att avvakta med förslag på när författningarna bör träda i kraft.

Kapitel 18 Konsekvensanalys

I detta kapitel redovisas de konsekvenser som följer av utredningens förslag. Utredningen redogör för den nytta som införandet av tjänsten patientöversikter inom EES kan tänkas medföra. Ett exakt estimat är mycket svårt att lämna men utifrån ett antal antaganden resonerar utredningen kring nyttoeffekter uppdelade i två huvuddelar: a) av nytta för individen i form av bättre hälsa och b) nytta i form av minskade vårdkostnader. Sammantaget är nyttan kraftigt beroende av hur ofta patientöversikten används och det specifika användningsfallet. Utredningen redogör för olika alternativ för genomförande av förslag i 12.2.2 om att staten ska säkerställa att det finns infrastruktur för tillgängliggörande av uppgifter om hälsa och vård till en patientöversikt för alla vårdgivare.

Utredningens förslag får såväl ekonomiska som andra konsekvenser och påverkar att antal aktörer. Utvecklingen av den infrastruktur som krävs för tjänsten patientöversikt inom EES kostar Sveriges nationella kontaktpunkt för e-hälsa sammantaget cirka 90 miljoner att bygga, fördelat över 4 år. Utredningen föreslår att infrastrukturen även används för att förmedla och ta del av svenska patientöversikter inom Sverige för att öka dess nytta. Utredningen föreslår att staten ska säkerställa att det finns infrastruktur för att tillgängliggöra uppgifter om hälsa och vård för alla vårdgivare och att förslaget genomförs genom ett förvärv av Inera eller Ineras tjänster för att tillvarata den viktiga utveckling som gjorts och fortsätta vidareutveckla befintliga tjänster i stället för att bygga nya. Vilka delar av Inera eller Ineras tjänster som ska förvärvas samt om och i så fall vad som bör föras över till en myndighet föreslår utredningen utreds vidare. En sådan förändring av ägarskap påverkar det kommunala självstyret. Regioner och kommuners inflytande över den framtida utvecklingen av informationshanteringen för hälsa-, vård och omsorg och måste, i så fall, garanteras på annat sätt och i andra former vilket kan innebära vissa kostnader. Utredningen bedömer att det behövs en tillitsfull och handlingskraftig samverkan som säkerställer att gemensamma behov och prioriteringar styr utvecklingen av infrastruktur inom sektorn.

Avslutningsvis är patientens inflytande över vilka uppgifter som ska tillgängliggöras inom EES central. Utredningen föreslår att en

digital samtyckestjänst för patienten utvecklas i vilken patienten ska kunna hantera och överblicka sina samtycken.

Till sist vill utredningen tacka alla som bistått med er tid, värdefull kunskap och viktiga perspektiv under utredningens arbete.

1. Författningsförslag

1.1. Förslag till förordning (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter

Härigenom föreskrivs följande.

Förordningens tillämpningsområde

1 § Denna förordning tillämpas vid automatiserad behandling av personuppgifter vid E-hälsomyndighetens hantering av patientöversikter inom Sverige samt vid E-hälsomyndighetens hantering av patientöversikter inom Europeiska ekonomiska samarbetsområdet (EES) i enlighet med de krav som har fastställts av Nätverket för e-hälsa, enligt kommissionens genomförandebeslut (EU) 2019/1765 av den 22 oktober 2019 om regler för inrättande, förvaltning och drift av ett nätverk av nationella myndigheter med ansvar för e-hälsa och om upphävande av genomförandebeslut 2011/890/EU.

Uttryck i förordningen

2 § Med patientöversikt avses i denna förordning en sammanställning av utvalda uppgifter om patienten och dess hälsa och vård som syftar till att bidra till en god och säker vård.

3 § Begreppen vårdgivare samt hälso- och sjukvård ska i denna förordning definieras på samma sätt som uttryckens angivna betydelse i 1 kap. 1 § lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.

4 § Med kontaktpunkt för e-hälsa avses i denna förordning en sådan nationell kontaktpunkt för gränsöverskridande hälso- och sjukvård som har utsetts i en medlemsstat i EES i enlighet med artikel 6 i

Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård.

Förhållandet till annan dataskyddsreglering

5 § Denna förordning kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna förordning gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna förordning.

Personuppgiftsansvar

6 § E-hälsomyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna förordning. När det gäller utbytet av patientöversikter mellan vårdgivare i

Sverige enligt 7 § 1 gäller dock den särskilda regleringen om personuppgiftsansvar i 4 kap. 1 § lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.

Ändamål med personuppgiftsbehandlingen och personuppgifter som får behandlas

7 § E-hälsomyndigheten får behandla personuppgifter om det är nödvändigt för

1. sammanställning och förmedling av patientöversikter mellan vårdgivare i Sverige,

2. översättning och förmedling av patientöversikter från utländska kontaktpunkter för e-hälsa till vårdgivare i Sverige,

3. sammanställning, översättning och förmedling av svenska patientöversikter till utländska kontaktpunkter för e-hälsa,

4. redovisning av uppgifter till Socialstyrelsen för statistikändamål, och

5. framställning av statistik hos E-hälsomyndigheten.

8 § E-hälsomyndigheten får med stöd av denna förordning behandla endast sådana personuppgifter som behövs för de ändamål som anges i 7 §.

9 § Personuppgifter ska tas bort när de inte längre är nödvändiga att behandla för tillåtna ändamål enligt denna förordning.

Krav på tystnadsplikt

10 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 h i förordningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.

Patientens samtycke

11 § E-hälsomyndigheten får behandla personuppgifter om patienten enligt 7 § 2–3 endast om patienten samtyckt till detta.

Om det finns fara för en patients liv eller det annars finns allvarlig risk för dennes hälsa och patientens samtycke inte kan inhämtas enligt första stycket, får E-hälsomyndigheten ändå behandla personuppgifterna enligt första stycket om de kan antas ha betydelse för den vård som patienten oundgängligen behöver.

För den personuppgiftsbehandling som E-hälsomyndigheten utför enligt 7 § 1 gäller särskilda bestämmelser om patientens inställning till behandlingen enligt vad som följer av 2 kap. 1 § första stycket lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.

Uppgiftsskyldighet

12 § E-hälsomyndigheten ska lämna ut uppgifter som är nödvändiga till

1. vårdgivare i Sverige för de ändamål som anges i 7 § 1–3,

2. utländska kontaktpunkter för e-hälsa för de ändamål som anges i 7 § 2–3, och

3. Socialstyrelsen för statistikändamål som anges i 7 § 4.

Behörighetstilldelning

13 § E-hälsomyndigheten ska bestämma villkor för tilldelning av behörighet till den som arbetar hos myndigheten för åtkomst till uppgifter som behandlas enligt denna förordning. Sådan behörighet ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom E-hälsomyndigheten.

Åtkomstkontroll

14 § E-hälsomyndigheten ska se till att åtkomst till uppgifterna som behandlas enligt denna förordning dokumenteras och kan kontrolleras. Myndigheten ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter.

Denna förordning träder i kraft den 1 november 2025.

1.2. Förslag till lag om ändring i lag (2022:913) om sammanhållen vård- och omsorgsdokumentation

Härmed föreskrivs i fråga om lag (2022:913) om sammanhållen vård- och omsorgsdokumentation att 1 kap. 1 § samt 2 kap. 1 och 2 §§ ska ha följande lydelse.

Nuvarande lydelse

1 kap.

1 §1

I denna lag används följande beteckningar med nedan angiven betydelse.

EU:s dataskyddsförordning

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen 1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering.

1 Senaste lydelse 2022:913.

Insatser för äldre personer eller personer med funktionsnedsättning

Insatser

1. enligt 4 kap. 1 § socialtjänstlagen (2001:453) som avses i 3 kap. 6 § första stycket samma lag och som lämnas till äldre personer eller personer med funktionsnedsättning,

2. enligt 4 kap. 1 § socialtjänstlagen som avses i 5 kap. 5 och 7 §§ samma lag,

3. enligt 4 kap. 2 a § socialtjänstlagen, eller

4. enligt lagen (1993:387) om stöd och service till vissa funktionshindrade.

Omsorgsgivare Myndighet i kommun eller region som har ansvar för eller utför insatser för äldre personer eller personer med funktionsnedsättning samt annan juridisk person eller enskild näringsidkare som utför sådana insatser. Omsorgsmottagare Person som fått eller får insatser för äldre personer eller personer med funktionsnedsättning eller som fått eller får behovet av sådana insatser bedömda. Patient Person som fått, får eller är registrerad för att få hälso- och sjukvård. Sammanhållen vård- och omsorgsdokumentation

Ett elektroniskt system som gör det möjligt för en vårdgivare eller omsorgsgivare att ge eller få tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter hos andra vårdgivare eller omsorgsgivare.

Vårdgivare Statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård.

Föreslagen lydelse

1 kap.

1 §2

I denna lag används följande beteckningar med nedan angiven betydelse.

EU:s dataskyddsförordning

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen 1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering.

2 Senaste lydelse 2022:913.

Insatser för äldre personer eller personer med funktionsnedsättning

Insatser

1. enligt 4 kap. 1 § socialtjänstlagen (2001:453) som avses i 3 kap. 6 § första stycket samma lag och som lämnas till äldre personer eller personer med funktionsnedsättning,

2. enligt 4 kap. 1 § socialtjänstlagen som avses i 5 kap. 5 och 7 §§ samma lag,

3. enligt 4 kap. 2 a § socialtjänstlagen, eller

4. enligt lagen (1993:387) om stöd och service till vissa funktionshindrade.

Omsorgsgivare Myndighet i kommun eller region som har ansvar för eller utför insatser för äldre personer eller personer med funktionsnedsättning samt annan juridisk person eller enskild näringsidkare som utför sådana insatser. Omsorgsmottagare Person som fått eller får insatser för äldre personer eller personer med funktionsnedsättning eller som fått eller får behovet av sådana insatser bedömda. Patient Person som fått, får eller är registrerad för att få hälso- och sjukvård.

Patientöversikt Ska i denna lag definieras på samma sätt som uttryckets angivna betydelse i 2 § i förordningen ( 0000:000 ) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter.

Sammanhållen vård- och omsorgsdokumentation

Ett elektroniskt system som gör det möjligt för en vårdgivare eller omsorgsgivare att ge eller få tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter hos andra vårdgivare eller omsorgsgivare.

Vårdgivare Statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård.

Nuvarande lydelse Föreslagen lydelse

2 kap.

1 §3

En vårdgivare får, under de förutsättningar som anges i 2–6 §§ och 3 kap. 1, 3, 5 och 6 §§, ges tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas av andra vårdgivare eller av omsorgsgivare. En omsorgsgivare får, under de förutsättningar som anges i 2–6 §§ och 3 kap. 2 och 4 §§, ges tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas av andra vårdgivare eller av omsorgsgivare.

En vårdgivare ska under de förutsättningar som anges i första stycket första meningen

1. ge E-hälsomyndigheten elektronisk tillgång till uppgifter om en patient för att tillföras en patientöversikt inom Sverige, och

2. från E-hälsomyndigheten elektroniskt kunna ta del av sådan patientöversikt.

3 Senaste lydelse 2022:913.

Kraven enligt andra stycket ska inte gälla vårdgivare som bedriver tandvård eller kommunal hälso- och sjukvård. Dessa vårdgivare samt omsorgsgivare får dock ge tillgång till uppgifter och ta del av patientöversikter i enlighet med andra stycket. Vårdgivaren eller omsorgsgivaren ska då iaktta de skyldigheter i övrigt som följer av andra stycket och av de föreskrifter som meddelas i enlighet med fjärde och femte stycket.

Regeringen eller den myndighet som regeringen bestämmer får meddela förskrifter om vilka uppgifter som ska tillgängliggöras för att tillföras en patientöversikt.

E-hälsomyndigheten får meddela föreskrifter om hur vårdgivarna elektroniskt ska kunna ge E-hälsomyndigheten tillgång till uppgifter och hur vårdgivarna elektroniskt ska kunna ta del av patientöversikter från E-hälsomyndigheten.

Tillgången enligt första stycket får bara avse personuppgifter som behandlas

Tillgången enligt första och

andra stycket får bara avse person-

uppgifter som behandlas

1. för ändamål som anges i 2 kap. 4 § 1 och 2 patientdatalagen (2008:355), eller

2. för att ansvara för eller utföra insatser eller för administration av sådana insatser eller sådan dokumentation som avses i 1 kap. 3 § andra stycket.

2 §4

Innan uppgifter om en patient eller en omsorgsmottagare görs tillgängliga för andra vårdgivare eller omsorgsgivare ska patienten eller omsorgsmottagaren av vårdgivare eller omsorgsgivare informeras om

Innan uppgifter om en patient eller en omsorgsmottagare görs tillgängliga för andra vård-

givare, omsorgsgivare eller E-hälsomyndigheten ska patienten eller

omsorgsmottagaren av vårdgivare eller omsorgsgivare informeras om

1. vad sammanhållen vård- och omsorgsdokumentation innebär, och

1. vad sammanhållen vård- och omsorgsdokumentation samt vad

patientöversikt inom Sverige inne-

bär, och

2. möjligheten att motsätta sig att uppgifter görs tillgängliga för andra vårdgivare eller omsorgsgivare genom sådan dokumentation.

En patient ska också informeras om att

1. uppgiften om att det finns spärrade uppgifter om patienten och vilken vårdgivare som har spärrat uppgifterna ska göras tillgängliga för andra vårdgivare, och

2. vid fara för patientens liv eller när det annars finns allvarlig risk för dennes hälsa får en annan vårdgivare ta del av uppgift om vilken vårdgivare som har spärrat uppgifterna.

Denna lag träder i kraft den XX 202X.

4 Senaste lydelse 2022:913.

1.3. Förslag till lag om ändring i patientdatalagen (2008:355)

Härmed föreskrivs i fråga om patientdatalagen (2008:355),

dels att 1 kap. 3 § och 2 kap. 4 § ska ha följande lydelse,

dels att det ska införas två nya paragrafer, 5 kap. 7–8 §§, av följ-

ande lydelse,

dels att det närmast före 5 kap. 7 § ska införas en ny rubrik av

följande lydelse.

Nuvarande lydelse

1 kap.

3 §5

I denna lag används följande beteckningar med nedan angiven betydelse.

Hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk

tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter, lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar samt den upphävda lagen (1944:133) om kastrering.

Journalhandling Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt

5 Senaste lydelse 2022:915.

uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder.

Patientjournal En eller flera journalhandlingar som rör samma patient. Vårdgivare Statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).

Föreslagen lydelse

1 kap.

3 §6

I denna lag används följande beteckningar med nedan angiven betydelse.

Hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen

6 Senaste lydelse 2022:915.

(2019:1297) om koordineringsinsatser för sjukskrivna patienter, lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar samt den upphävda lagen (1944:133) om kastrering.

Journalhandling Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder. Patientjournal En eller flera journalhandlingar som rör samma patient.

Patientöversikt Ska i denna lag definieras på samma sätt som uttryckets angivna betydelse i 2 § i förordningen ( 0000:000 ) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter.

Vårdgivare Statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).

Nuvarande lydelse Föreslagen lydelse

2 kap.

4 §7

Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för

1. att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,

2. administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall,

3. att upprätta annan dokumentation som följer av lag, förordning eller annan författning,

4. att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten,

5. administration, planering, uppföljning, utvärdering och tillsyn av verksamheten,

6. att framställa statistik om hälso- och sjukvården, eller

7. utlämnande av uppgifter till E-hälsomyndigheten för sammanställning, översättning och förmedling av en svensk patientöversikt till en utländsk kontaktpunkt för e-hälsa i enlighet med 7 § 3 förordningen ( 0000:000 ) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter.

7 Senaste lydelse 2008:355.

5 kap.

Utbyte av patientöversikter inom EES

7 §

Vårdgivare som avses i denna lag ska under förutsättning att patienten har lämnat samtycke i enlighet med 11 § förordningen (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter

1. ge E-hälsomyndigheten elektronisk tillgång till uppgifter om en patient för att tillföras en patientöversikt inom EES, och

2. från E-hälsomyndigheten elektroniskt kunna ta del av sådan patientöversikt.

Innan uppgifter om en patient görs tillgängliga för E-hälsomyndigheten ska patienten av vårdgivaren informeras om

1. vad patientöversikt inom EES innebär, och

2. möjligheten att motsätta sig att uppgifter görs tillgängliga för utbyte av sådan patientöversikt.

Om uppgifter om en patient har spärrats enligt 2 kap. 3 § första stycket lagen ( 2022:913 ) om sammanhållen vård- och omsorgsdokumentation ska spärren gälla även vid hantering av uppgifter om en patient enligt denna paragraf.

Kraven enligt första stycket ska inte heller gälla vårdgivare som bedriver tandvård eller kommu-

nal hälso- och sjukvård. Dessa vårdgivare får dock ge tillgång till uppgifter och ta del av patientöversikter i enlighet med första stycket. Vårdgivaren ska då iaktta de skyldigheter i övrigt som följer av första-tredje stycket och av föreskrifter som meddelas med stöd av 8 §.

Tillgången enligt första stycket får bara avse personuppgifter som behandlas för ändamål som anges i 2 kap. 4 § 1, 2 och 7 i denna lag.

8 §

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vilka uppgifter som ska tillgängliggöras för att tillföras en patientöversikt enligt 7 §.

E-hälsomyndigheten får meddela föreskrifter om hur vårdgivarna elektroniskt ska kunna ge E-hälsomyndigheten tillgång till uppgifter och hur vårdgivarna elektroniskt ska kunna ta del av patientöversikter från E-hälsomyndigheten.

Denna lag träder i kraft den XX 202X.

1.4. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härmed föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400) att 25 kap. 11 och 17 c §§ ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

25 kap.

11 §8

Sekretessen enligt 1 § hindrar inte att uppgift lämnas

1. från en myndighet som bedriver verksamhet som avses i 1 § i en kommun till en annan sådan myndighet i samma kommun,

2. från en myndighet som bedriver verksamhet som avses i 1 § i en region till en annan sådan myndighet i samma region,

3. till en myndighet som bedriver verksamhet som avses i 1 §, 26 kap. 1 §, en enskild vårdgivare eller omsorgsgivare enligt det som föreskrivs i lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation,

4. till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen (2008:355),

5. från en myndighet som bedriver verksamhet som avses i 1 § inom en kommun eller en region till annan sådan myndighet för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs, eller

6. till en enskild enligt vad som föreskrivs i – lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål,

– lagen (1991:1129) om rättspsykiatrisk vård, – lagen (1995:831) om transplantation m.m., – smittskyddslagen (2004:168), – 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m., – lagen (2006:496) om blodsäkerhet – lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler,

8 Senaste lydelse 2022:916.

– lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ eller förordning som har meddelats med stöd av den lagen, eller

2 kap. lagen (2017:612) om samverkan vid utskrivning från sluten hälso- och sjukvård. Lag (2022:916).

7. till E-hälsomyndigheten enligt vad som föreskrivs i 5 kap. 7 § patientdatalagen (2008:355) och 2 kap. 1 § lagen ( 2022:913 ) om sammanhållen vård- och omsorgsdokumentation.

17 c §9

Sekretessen enligt 17 a och 17 b §§ hindrar inte att

1. uppgift i den nationella läkemedelslistan lämnas enligt lagen (2018:1212) om nationell läkemedelslista till hälso- och sjukvårdspersonal som har behörighet att förskriva läkemedel eller andra varor, en sjuksköterska utan behörighet att förskriva läkemedel eller andra varor, en dietist, en farmaceut i hälso- och sjukvården

eller till expedierande personal på

öppenvårdsapotek,

1. uppgift i den nationella läkemedelslistan lämnas enligt lagen (2018:1212) om nationell läkemedelslista till hälso- och sjukvårdspersonal som har behörighet att förskriva läkemedel eller andra varor, en sjuksköterska utan behörighet att förskriva läkemedel eller andra varor, en dietist, en farmaceut i hälso- och sjukvården, till expedierande personal på öppenvårdsapotek, eller till en utländsk

kontaktpunkt för e-hälsa som utsetts enligt artikel 6 i Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård,

2. uppgift lämnas enligt lagen (2016:526) om behandling av personuppgifter i ärenden om licens för läkemedel till öppen-

2. uppgift lämnas enligt lagen (2016:526) om behandling av personuppgifter i ärenden om licens för läkemedel till öppen-

9 Senaste lydelse 2021:1128. När det gäller p. 1 och 4 är föreslagen lydelse i enlighet med förslaget i utredningens delbetänkande.

vårdsapotek eller den som är behörig att förordna läkemedel, eller

vårdsapotek eller den som är behörig att förordna läkemedel,

3. uppgift om förordnande och expediering av läkemedel för behandling av djur lämnas till expedierande personal på öppenvårdsapotek.

3. uppgift om förordnande och expediering av läkemedel för behandling av djur lämnas till expedierande personal på öppenvårdsapotek,

4. uppgift som behandlas med stöd av lagen ( 0000:000 ) om E-hälsomyndighetens hantering av e-recept från Europeiska ekonomiska samarbetsområdet (EES) lämnas till expedierande personal på öppenvårdsapotek eller till en utländsk kontaktpunkt för e-hälsa som avses i 3 § nämnda lag, eller

5. uppgift som behandlas med stöd av förordningen ( 0000:000 ) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter lämnas till en vårdgivare i Sverige eller en utländsk kontaktpunkt för e-hälsa med stöd av bestämmelser i nämnda förordning.

Denna lag träder i kraft den XX 202X.

1.5. Förslag till lag om ändring i lagen (2018:1212) om nationell läkemedelslista

Härmed föreskrivs i fråga om lagen (2018:1212) om nationell läkemedelslista att 3 kap. 4 § ska ha följande lydelse.

Lydelse enligt SFS 2018:1212 Föreslagen lydelse

3 kap.

4 §

Personuppgifterna får behandlas om det är nödvändigt för ändamål som rör hälso- och sjukvården:

1. åstadkommande av en säker ordination av läkemedel och andra varor för en patient,

2. beredande av vård eller behandling av en patient,

3. komplettering av en patientjournal, eller

4. tillförande av uppgifter till en patientöversikt som ska sammanställas, översättas och förmedlas i enlighet med 7 § 3 förordningen ( 0000:000 ) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter.

Denna lag träder i kraft den XX 202X.

1.6. Förslag till förordning om ändring i förordningen (2013:1031) med instruktion för E-hälsomyndigheten

Härmed föreskrivs i fråga om förordningen (2013:1031) med instruktion för E-hälsomyndigheten att det ska införas en ny paragraf, 3 a §, av följande lydelse.

Föreslagen lydelse

3 a §

Myndigheten ska vara nationell kontaktpunkt för e-hälsa enligt artikel 6 i Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård.

Myndigheten ska, inom ramen för samarbetet enligt artikel 14 i nämnda direktiv, tillhandahålla tjänster och infrastruktur för gränsöverskridande informationsutbyte av e-recept i enlighet med lagen ( 2018:1212 ) om nationell läkemedelslista och lagen ( 0000:000 ) om E-hälsomyndighetens hantering av e-recept från Europeiska ekonomiska samarbetsområdet (EES) samt av patientöversikter i enlighet med förordningen ( 0000:000 ) om personuppgiftsbehandling vid Ehälsomyndigheten i samband med hantering av patientöversikter.

Denna förordning träder i kraft den 1 november 2025.

2. Utredningens uppdrag och arbete

I kapitlet redogörs kort för utredningens direktiv, utgångspunkter och avgränsningar samt det arbete som utredningen har genomfört sedan överlämnandet av delbetänkandet E-recept inom EES (SOU 2021:102). Kapitlet avslutas med en beskrivning av betänkandets upplägg.

2.1. Utredningens direktiv

Regeringen beslutade den 30 juli 2020 att tillsätta en utredning för att kartlägga informationsflöden och ansvarsfördelning i frågan om förskrivning och expediering av elektroniska recept (e-recept) inom Europeiska ekonomiska samarbetsområdet (EES). Av direktiven framgår att utredningen ska avlämna ett delbetänkande och att utgångspunkten är att få till en heltäckande reglering från förskrivning till expediering och uppföljning för såväl i Sverige utfärdade e-recept som expedieras i andra EES-länder som e-recept som utfärdas i andra EES-länder och expedieras i Sverige. Regleringen ska syfta till att säkerställa att den gränsöverskridande processen kan vara lika patientsäker och effektiv som den nationella processen. De specifika frågeställningar som utredningen ska se över är bland annat att – kartlägga de olika delarna i läkemedelsprocessen samt beskriva

vilket ansvar som berörda aktörer har när e-recept utfärdade i andra EES-länder ska expedieras i Sverige och e-recept utfärdade i Sverige ska expedieras i andra EES-länder, – analysera behovet av att reglera personuppgiftsbehandlingen för

öppenvårdsapoteken och andra berörda aktörer, till exempel vårdgivare eller myndigheter, vid expedieringar i Sverige av e-recept

utfärdade i annat EES-land eller svenska e-recept som expedieras i andra EES-länder, – vid behov lämna förslag på de författningsändringar och andra

åtgärder som bedöms nödvändiga, – se över behovet av andra åtgärder för att säkerställa en patient-

säker och effektiv läkemedelsprocess såsom att analysera möjligheterna att inkludera uppgifter om förskrivare, farmaceuter och öppenvårdsapotek från andra EES-länder i den nationella läkemedelslistan och krav på öppenvårdsapotek till exempel behov av ändringar i lagen (2009:366) om handel med läkemedel och Läkemedelsverkets föreskrifter, – analysera huruvida förekomsten av digitala vårdtjänster och arbetet

inom Nätverket för e-hälsa motiverar behov av ytterligare insatser för att säkerställa en patientsäker expediering av ett svenskt e-recept i andra EES-länder, – vid behov lämna förslag på nationell reglering eller andra åtgärder

i syfte att säkerställa en patientsäker och effektiv läkemedelsprocess vid ett sådant informationsutbyte, och – i relevanta delar beakta dataskyddsförordningen, offentlighets- och

sekretessperspektivet, samt att särskilt redogöra för hur eventuella författningsförslag förhåller sig till skyddet om betydande intrång i den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen.

Den 20 oktober 2021 beslutade regeringen om Tilläggsdirektiv till

Utredningen om e-recept inom EES (S 2020:10). Uppdraget kom-

pletterades så att utredaren enligt tilläggsdirektivet även ska utreda frågor som rör gränsöverskridande patientöversikter inom EES. Utredaren ska enligt tilläggsdirektivet nu även: – föreslå en definition av patientöversikt, – föreslå åtgärder för en långsiktig förvaltning av patientöversikter, – lämna förslag på de författningsändringar och andra åtgärder som

bedöms vara nödvändiga för att möjliggöra ett gränsöverskridande utbyte av patientöversikter inom EES som inkluderar information från alla vårdgivare i Sverige,

– analysera om patientöversikten eller delar av patientöversikten

ska vara obligatorisk att dokumentera och tillgängliggöra för vårdgivare vid gränsöverskridande vård, både inom EES och nationellt, och hur detta skulle kunna regleras, – särskilt redogöra för hur eventuella författningsförslag förhåller

sig dels till bestämmelserna om skyddet mot betydande intrång i den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen, dels till relevant dataskyddsreglering, med utgångspunkt i EU:s dataskyddsförordning, – särskilt redogöra för hur eventuella författningsförslag förhåller

sig till offentlighets- och sekretesslagstiftningen, och – i övrigt föreslå ändringar som utredaren anser har direkt beröring

med uppdraget.

Utredningstiden förlängdes i samband med tilläggsdirektivet.

Den 22 juni 2022 beslutade regeringen om Tilläggsdirektiv till

Utredningen om e-recept och patientöversikter inom EES (S 2020:10).

Genom tilläggsdirektivet förlängdes utredningstiden och uppdraget utvidgades. Utredaren ska, när det gäller uppdraget att utreda frågor om patientöversikter: – följa utvecklingen av EU-kommissionens förslag till förordning

om ett europeiskt hälsodataområde, och – analysera och bedöma om den reglering som utredningen föreslår

för patientöversikter även kan innefatta ytterligare kategorier av hälsodata.

Utredningens direktiv och tilläggsdirektiv finns intagna som bilagor till detta slutbetänkande.

2.1.1. Redovisning i slutbetänkandet

I delbetänkandet E-recept inom EES (SOU 2021:201) redovisades utredningens uppdrag om att kartlägga informationsflöden och ansvarsfördelning i frågan om förskrivning och expediering av elektroniska recept (e-recept) inom EES. I detta slutbetänkande redovisas utredningens uppdrag i tilläggsdirektiv 2021:91 samt 2022:83. Betänk-

andet innefattar övergripande ett antal förslag på författningsändringar och åtgärder i syfte att möjliggöra ett gränsöverskridande utbyte av patientöversikter inom EES samt förslag i frågan om skyldigheter. Vidare har utredningen analyserat frågan om huruvida hela eller delar av patientöversikten ska vara obligatorisk att dokumentera och tillgängliggöra för gränsöverskridande vård, både inom EES och nationellt.

I och med detta slutbetänkande är uppdraget avslutat.

2.2. Avgränsningar och utgångspunkter

Möjligheten att utbyta uppgifter om patientens hälsa och vård i en patientöversikt baseras på patientrörlighetsdirektivet och det frivilliga samarbete inom Nätverket för e-hälsa som bildats med stöd av direktivet. Utredningens förslag och bedömningar utgår från den tjänst för informationsutbyte av patientöversikter inom EES som Nätverket för e-hälsa tagit fram och hur den är utformad i skrivande stund, våren 2023. Eventuellt kommande ändrade krav och förutsättningar har utredningen inte kunnat beakta. Utredningen har emellertid i enlighet med uppdragsdirektivet utgått från att innehållet i patientöversikten, det vill säga den information om patientens hälsa och vård som avses kunna utbytas inom EES, sannolikt kommer att ändras över tid. Utredningen har arbetat med att ta fram de förslag som utredningen bedömer är nödvändiga för att informationsutbytet av patientöversikter inom EES ska bli möjligt. Utredningen har även när lämpligt försökt att anpassa förslagen efter befintliga regelverk. Utredningen har tidigare utrett frågan om hur e-recept inom EES ska hanteras. Detta slutbetänkande avser enbart tjänsten patientöversikt inom EES.

Samarbetet kring informationsutbytet av patientöversikter är frivilligt. De flesta av EU:s medlemsländer deltar. Island och Norge deltar som observatör. Nätverket för e-hälsas arbetsordning medger att länder i EES, Efta och kandidatländer kan delta som observatörer (artikel 9). E-hälsoavtalet, som behöver undertecknas för deltagande i informationsutbytet, är tillgängligt för deltagare även från Efta. Schweiz är medlem i Efta, men inte i EES. Enligt beslut 153/2014 av den 9 juli 2014 från den gemensamma EES-kommittén ska patientrörlighetdirektivet tillämpas för EES. Motsvarande beslut finns inte

för Schweiz. Utredningen utreder informationsutbyte avseende medlemmarna i EU och EES, inte Schweiz och Storbritannien. Dessa länder deltar inte längre i Nätverket för e-hälsa.

Tjänsten patientöversikter var inledningsvis avsedd för oplanerad vård men har i senaste riktlinjen även utvidgats så att den ska kunna stötta vid planerad vård.

Av utredningens direktiv framgår att utredningen ska lämna förslag som möjliggör utbyte av patientöversikter med information från alla vårdgivare. Utredningen har därför utgått från förslag som inkluderar såväl privata som offentliga vårdgivare oavsett finansieringsform. Utredningen har givet formuleringen i tilläggsdirektivet haft sitt fokus på just vårdgivare. Det ingår inte i utredningens uppdrag att möjliggöra information även från omsorgen. Utredningen ser emellertid att nationell reglering avseende sammanhållen journalföring inom Sverige inkluderar omsorgsgivare. Utredningen har därför i det nationella utbytet av patientöversikter även beaktat omsorgsgivare.

De avgränsningar utredningen har gjort i dessa och andra avseenden framgår också under respektive kapitel.

2.3. Organisation och genomförande

Utredningsarbetet har bedrivits på sedvanligt sätt med regelbundna möten med sakkunniga och experter.

Utredningen har genomfört dialogmöten med och skickat ut explorativa skriftliga frågor till representanter för patient- och intressentföreningar, professionsföreningar, representanter för regioner och hälso- och sjukvårdsverksamhet i offentlig respektive privat regi. Syftet med dialogmötena och de frågor som skickats ut inför dialogmötet är att få en bred bild av vilka olika typer av synpunkter som förekommer och vad som framhålls viktigt ur deras perspektiv. Utredningen har inte genomfört en strukturerad enkätundersökning i syfte att kunna generalisera eller kvantifiera synpunkterna. Enkäterna som skickades ut i samband med inbjudan till dialogmötet var ett sätt att erbjuda flera olika möjligheter att delge synpunkter till utredningen, vissa valde att både besvara enkäten och delta på dialogmötet, andra valde att göra antingen eller.

Utredningen har även haft enskilda dialogmöten med representanter från Sveriges Kommuner och Regioner (SKR), Inera, Regio-

nalt Cancer Centrum, Kungliga Tekniska högskolan, Socialstyrelsen, E-hälsomyndigheten, Försäkringskassan, Cambio och Swedish Medtech. Underhandskontakter har tagits med bland annat företrädare för kommuner, regioner, SKR, företrädare för apoteksaktörerna, privata vårdgivare, patient- och professionsorganisationer, andra intressenter samt berörda myndigheter.

Utredningen har haft samråd med Utredningen om hälsodata som

nationellt intresse – en lagstiftning för interoperabilitet (S 2022:10) Utredningen om sekundäranvändning av hälsodata (S 2022:04) samt Utredningen om interoperabilitet vid datadelning (I 2022:03.

Dessa kontakter har skett genom telefonkontakter, e-post eller digitala möten.

2.4. Betänkandets disposition

Delbetänkandet inleds med författningsförslag i kapitel 1. Därefter följer en redogörelse för bakgrunden till uppdraget i kapitel 3–7, inklusive gällande rätt. Därefter redogör utredningen för tjänsten patientöversikt inom EES i kapitel 8. I kapitel 9 presenterar utredningen en internationell utblick avseende användningen av tjänsten i andra EES-länder. Därefter redogör utredningen för sina överväganden vad gäller definitionen av begreppet patientöversikt i kapitel 10. I kapitel 11 beskriver utredningen sina förslag avseende ett obligatoriskt tillgängliggörande av delar av eller hela patientöversikten, inom EES och nationellt. Utredningens förslag avseende infrastruktur och övriga åtgärder för ett gränsöverskridande utbyte av patientöversikter presenteras i kapitel 12. I kapitel 13 redogör utredningen för grundläggande förutsättningar för E-hälsomyndighetens personuppgiftsbehandling. I kapitel 14 presenteras förslaget på en ny förordning om E-hälsomyndighetens personuppgiftshantering och i kapitel 15 föreslås ändringar i patientdatalagen (2008:355), lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation, offentlighets- och sekretesslagen (2009:400) och lagen (2009:366) om nationell läkemedelslista. I kapitel 16 redogör utredningen för avvägningar mellan behov och integritetsrisker, i kapitel 17 beskriver utredningen när förslagen träder i kraft. Avslutningsvis återfinns utredningens konsekvensanalys i kapitel 18 och författningskommentarer i kapitel 19.

Som bilagor till betänkandet har fogats utredningens ursprungliga direktiv (2020:80) och tilläggsdirektiv om ytterligare tid (2021:54), tilläggsdirektiv (2021:91), tilläggsdirektiv (2022:83), tilläggsdirektiv om ytterligare tid (2022:143), patientrörlighetsdirektivet och genomförandedirektivet 2012/52/EU. Bilaga 8 innefattar en sammanställning av de enkätsvar som utredningen tagit emot och bilaga 9 är en extern bilaga från Kungliga Tekniska Högskolan om förutsättningar för gränslöst nyttjande av hälsodata.

3. Gällande rätt

3.1. Inledning

I detta kapitel redogör utredningen för delar av den gällande rätt som är relevant för betänkandet. Inledningsvis beskrivs regleringen av skyddet för personuppgifter. Därefter redovisas vissa EU-rättsakter och slutligen redogör utredningen för nationell reglering som i olika grad blir relevanta i samband med frågor kring utbyte av patientöversikter. Viss gällande rätt beskrivs även i andra kapitel.

3.2. Bestämmelser om skyddet för personuppgifter

3.2.1. FN:s förklaring om de mänskliga rättigheterna

Förenta nationerna antog 1948 den allmänna förklaringen om de mänskliga rättigheterna. Förklaringen är inte formellt bindande för medlemsländerna, men ses som ett uttryck för sedvanerättsliga regler. Skyddet för den personliga integriteten behandlas i artikel 12 som anger att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende samt att var och en har rätt till lagens skydd mot sådana ingripanden och angrepp. I artikel 29 anges att en person endast får underkastas sådana inskränkningar som har fastställts i lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras rättigheter och friheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd.

3.2.2. Europakonventionen

Den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) skyddar rätten till privat- och familjeliv och är sedan den 1 januari 1995 inkorporerad i svensk rätt och gäller som lag. Av 2 kap. 19 § regeringsformen framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.

Artikel 8 i Europakonventionen beskriver var och ens rätt till respekt för privat- och familjeliv, familj och korrespondens. Vidare anges att en offentlig myndighet inte får inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till landets säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.

Artikel 8 har i Europadomstolens praxis ansetts tillämplig också vid behandling av personuppgifter. Bestämmelsen omfattar dock inte all slags behandling av personuppgifter, det måste gälla privatliv, familjeliv, hem eller korrespondens. Europakonventionen tar i första hand sikte på åtgärder som vidtas av det allmänna.

3.2.3. Dataskyddskonventionen

Europarådets ministerkommitté antog 1980 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Sverige anslöt sig till dataskyddskonventionen före EU-medlemskapet. Övriga EU-medlemsländer är anslutna. Konventionens syfte är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatiserad behandling av personuppgifter. Dess innehåll kan ses som en precisering av skyddet för den personliga integriteten som följer av artikel 8 i Europakonventionen. Konventionen tillämpas på behandling av personuppgifter i automatiserade personregister och automatiserad personuppgiftsbehandling i allmän och enskild verksamhet, men inte för enskilds rent privata verksamhet. Europarådets utrikesministermöte antog i maj 2018 ändringsprotokoll 108 som syftar till att modernisera och uppdatera konventionens integritetsskydd. Dataskyddskonven-

tionen innehåller principer för dataskydd som de konventionsanslutna länderna måste iaktta i sin nationella lagstiftning.

3.2.4. EU-stadgan om de grundläggande rättigheterna

Den Europeiska unionens stadga om de grundläggande rättigheterna (EU-stadgan) skyddar bland annat individers rätt till personlig integritet. Som en följd av Lissabonfördraget, som trädde i kraft år 2009, är stadgan rättsligt bindande för EU-institutionerna och medlemsländerna när dessa tillämpar EU-rätten. I EU-stadgan anges att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer (artikel 7). Av artikel 8 följer vidare att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem (artikel 7 och 8).

3.2.5. Dataskyddsförordningen

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (fortsättningsvis dataskyddsförordningen). Ett av syftena med dataskyddsförordningen är att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Det huvudsakliga syftet är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.

Dataskyddsförordningen är direkt tillämplig i alla medlemsländer och ersatte från och med den 25 maj 2018 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Även om dataskyddsförordningen är direkt tillämplig både möjliggör och förutsätter förordningen kompletterande nationella bestämmelser av

olika slag. Dataskyddsförordningen baseras till stor del på dataskyddsdirektivets struktur och innehåll men det har även tillkommit några nyheter såsom en utökad informationsskyldighet, administrativa sanktionsavgifter och inrättandet av Europeiska dataskyddsstyrelsen.

Dataskyddsförordningen är tillämplig på all helt eller delvis automatiserad behandling av personuppgifter och på manuell behandling av personuppgifter, om uppgifterna ingår i eller kommer att ingå i ett register. Vissa behandlingar av personuppgifter är uttryckligen undantagna från tillämpningsområdet. Dataskyddsförordningen ska inte tillämpas på behandlingar som utförs av en fysisk person och som är av rent privat natur. Detsamma gäller behandlingar som sker inom verksamhet som inte omfattas av EU-rätten, behandling som sker inom EU:s gemensamma utrikes- och säkerhetspolitik och behandling som sker inom brottsbekämpande verksamhet (artikel 2).

För att dataskyddsförordningen ska vara tillämplig krävs att den personuppgiftsansvarige är etablerad inom EES, att den behandlar personuppgifter i samband med att den erbjuder varor och tjänster till personer i det området eller behandlar personuppgifter i samband med övervakning av människors beteende inom EES (artikel 3).

Dataskyddsförordningen förutsätter att det finns en personuppgiftsansvarig för all personuppgiftsbehandling som sker (artikel 4.7). Den som behandlar personuppgifter är antingen personuppgiftsansvarig eller personuppgiftsbiträde. Ett personuppgiftsbiträde är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning (artikel 4.8). Ett personuppgiftsbiträde har inte inflytande över bestämmandet av ändamålet med och medel för behandlingen. Det är de faktiska omständigheterna i det enskilda fallet som är avgörande för om en aktör är personuppgiftsansvarig eller biträde, det vill säga vem eller vilka som faktiskt har bestämt över behandlingen av personuppgifterna. Mellan den personuppgiftsansvarige och biträdet måste ett personuppgiftsbiträdesavtal upprättas. Ett sådant avtal ska innehålla tydliga instruktioner om hur biträdet får behandla personuppgifterna (artikel 28).

Två eller flera kan vara gemensamt personuppgiftsansvariga (artikel 4.7 d). Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga (artikel 26). Ett samarbete mellan flera personuppgiftsansvariga medför inte automatiskt ett gemen-

samt ansvar för behandlingen av personuppgifter. Det avgörande är om de deltagande parterna i någon mån tillsammans bestämmer ändamålen med och medlen för behandlingen.

Av artikel 5 i dataskyddsförordningen följer ett antal grundläggande principer som gäller vid all behandling av personuppgifter. Dessa principer utgör ett ramverk för hur personuppgifter får behandlas. För det första ska uppgifterna behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den enskilde (artikel 5.1 a). Uppgifterna ska vidare samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (artikel 5.1 b). Uppgifterna ska också vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (artikel 5.1 c). Uppgifterna ska dessutom vara riktiga och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (artikel 5.1 d). Personuppgifter får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas (artikel 5.1 e). Slutligen ska uppgifterna behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (artikel 5.1 f).

Av artikel 5.2 följer att det är den personuppgiftsansvarige som ansvarar för och ska kunna visa att de grundläggande principerna efterlevs. Som ett led i den personuppgiftsansvariges ansvarsskyldighet ska denna genomföra en konsekvensbedömning avseende dataskydd (artikel 35). Det är en skyldighet för den personuppgiftsansvarige att göra en konsekvensbedömning före en behandling av personuppgifter som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Konsekvensbedömning avseende dataskydd är ett verktyg för att säkerställa att den personuppgiftsansvarige följer dataskyddsförordningen.

För att det ska vara tillåtet att behandla personuppgifter krävs att behandlingen stödjer sig på någon av de rättsliga grunderna i artikel 6 i dataskyddsförordningen. Bestämmelsen är uttömmande och om inte någon av de uppräknade rättsliga grunderna är tillämpliga är det inte tillåtet att behandla personuppgifter. Ett sådant villkor är

exempelvis att den enskilde har lämnat sitt samtycke till att personuppgifterna behandlas (artikel 6.1 a). Behandling kan också ske om den är nödvändig för att fullgöra ett avtal (artikel 6.1 b) eller nödvändig för att fullgöra en rättslig förpliktelse (artikel 6.1 c), för att skydda intressen som är av grundläggande betydelse för en fysisk person (artikel 6.1 d) eller för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e). Personuppgifter kan slutligen behandlas med stöd av en intresseavvägning (artikel 6.1 f).

Av artikel 6.3 i dataskyddsförordningen följer att grunden för den personuppgiftsbehandling som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse eller en uppgift av allmänt intresse eller som ett led i myndighetsutövning måste fastställas i nationell rätt eller EU-rätt. Det innebär att det inte är möjligt att endast stödja sig på den generella regleringen i dataskyddsförordningen vid sådan behandling. Det finns också möjlighet att i nationell rätt mer detaljerat reglera olika krav på sådan behandling av personuppgifter som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.2). I artikel 6.3 anges dessutom att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen, bland annat de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling.

Den författning eller det beslut som utgör den rättsliga grunden för behandling av personuppgifter enligt förordningen måste uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen).

Behandling av känsliga personuppgifter (i dataskyddsförordningen benämnda särskilda kategorier av personuppgifter, se artikel 9) är som huvudregel förbjuden. Huvudregeln kompletteras med ett antal undantag i artikel 9.2 som anger när behandling av känsliga personuppgifter är tillåten. Ett av undantagen är om den registrerade har uttryckligen samtyckt till behandlingen (artikel 9.2 a). Ett annat

undantag avser behandling av känsliga personuppgifter som är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård, yrkesmedicin och social omsorg, på grundval av EU-rätten eller medlemsländernas nationella rätt, under förutsättning att uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt (artikel 9.2 h).

Dataskyddsförordningen innehåller även ett antal rättigheter för de enskilda vars personuppgifter behandlas. Av artikel 12–14 framgår till exempel att den registrerade har rätt att få omfattande information från den personuppgiftsansvarige. Om personuppgifterna har samlats in från någon annan än den registrerade, behöver information inte lämnas om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan, om erhållande eller utlämnande av personuppgifter är rättsligt reglerat eller om personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt. Den registrerade kan också begära registerutdrag med information om vilka uppgifter som behandlas om honom eller henne (artikel 15) och begära att få sådana uppgifter rättade eller raderade eller att behandlingen ska begränsas (artikel 16–18). Vidare har den registrerade rätt att göra invändningar mot personuppgiftsbehandling avseende honom eller henne som utförs på vissa rättsliga grunder (artikel 21.1). Dessa rättigheter kan begränsas under vissa förutsättningar (artikel 23.1).

3.2.6. Dataskyddslagen

I lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (fortsättningsvis dataskyddslagen) finns kompletterande regler om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. I kapitel 2 förtydligas den rättsliga grunden för behandling av personuppgifter utifrån rättslig förpliktelse (1 §) respektive uppgift av allmänt intresse och myndighetsutövning (2 §). I kapitel 3 regleras behandling av vissa kategorier av personuppgifter. Enligt 3 kap. 5 § får känsliga personuppgifter behandlas med stöd av artikel 9.2 h i EU:s dataskyddsförordning, om behandlingen är nödvändig för förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhanda-

hållande av hälso- och sjukvård eller behandling, social omsorg, eller förvaltning av hälso- och sjukvårdstjänster, social omsorg samt deras system. Sådan behandling får enligt bestämmelsens andra stycke ske under förutsättning att kravet på tystnadsplikt i artikel 9.3 i EU:s dataskyddsförordning är uppfyllt. I 6–7 §§ samma kapitel regleras frågor om arkivering och statistik avseende känsliga personuppgifter.

3.2.7. Regeringsformen

Grundläggande bestämmelser om skydd för den personliga integriteten finns i regeringsformen. Av målsättningsstadgandet i 1 kap. 2 § regeringsformen (fortsättningsvis RF) framgår att den offentliga makten ska utövas med respekt för den enskilda människans frihet och att det allmänna ska värna den enskildes privatliv och familjeliv.

För att stärka skyddet för den personliga integriteten infördes år 2011 ett nytt andra stycke i 2 kap. 6 § RF. I bestämmelsen anges att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Enligt 2 kap. 20 § RF får skyddet begränsas genom lag under de förutsättningar som anges i 2 kap. 21 § RF. Enligt förarbetena avses med begreppet den enskildes personliga förhållanden bland annat namn och andra personliga identifikationsuppgifter, adress, familjeförhållanden, hälsa, fotografisk bild, uppgift om anställning och en persons ekonomi.1 Uttrycket avses ha samma innebörd som i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400).

Vid bedömningen om en åtgärd ska anses innebära övervakning eller kartläggning är det inte åtgärdens huvudsakliga syfte utan vilken effekt åtgärden har som är avgörande. I förarbetena anges som exempel att en åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda ärenden i många fall anses innebära kartläggning av enskildas förhållanden, även om kartläggning inte är avsikten. Ett annat exempel är de myndighetsspecifika verksamhetsregister och databaser med information som är knutna till en myndighets ärendehantering och som i stort sett förekommer i all statlig och kommunal förvaltning. Enligt förarbetena får uppgifterna i flertalet fall anses tillgängliga för

1Prop. 2009/10:80, s. 177.

myndigheterna på sådant sätt att lagringen och behandlingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett helt annat.2 Som exempel på kartläggning angav Integritetskommittén i sitt betänkande hantering av uppgifter om den enskildes hälsa i patientjournaler och hälsodataregister eller inom ramen för forskning i det allmännas regi.3

Behandling av personuppgifter med stöd av samtycke är undantaget i 2 kap. 6 § andra stycket RF. I förarbetena anges att regleringen tar sikte på sådana åtgärder som den enskilde inte själv kan få kännedom om eller påverka genom krav på frivilligt godkännande. Om åtgärderna förutsätter den enskildes godkännande anses intrånget normalt inte vara så allvarligt att det omfattas av det särskilda grundlagsskyddet. Detta bör gälla oberoende av vilka slags uppgifter åtgärden eller behandlingen avser. Vidare hänvisas i förarbetena till den då gällande personuppgiftslagen (1998:204) och att den regleringen kan tjäna som vägledning vid bedömningen av vad som krävs för att en åtgärd ska falla utanför grundlagsskyddet redan på grund av att den vidtas med den enskildes samtycke. De krav som nämns i förarbetena är att de berörda personerna tillfrågats om samtycke och att de därvid fick all den information som kunde tänkas påverka deras beslut att tillåta behandlingen.4

Det särskilda grundlagsskyddet omfattar endast betydande integritetsintrång. Det är således bara vissa kvalificerade intrång i den personliga integriteten som omfattas. Vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden är det enligt förarbetena naturligt att stor vikt läggs vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Även hantering av ett litet fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vid bedömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. Därutöver kan givetvis mängden uppgifter vara en betydelsefull faktor i samman-

2Prop. 2009/10:80, s. 180. 3SOU 2008:3, s. 271. 4Prop. 2009/10:80, s. 178 f.

hanget. Vidare hänvisas i förarbetena till att konstitutionsutskottet i flera lagstiftningsärenden som rört myndigheters personuppgiftsbehandling framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag. Regeringen har flera gånger instämt i denna bedömning.5

Enligt förarbetena bör flera omständigheter vägas in vid bedömningen av vad som kan anses utgöra ett betydande intrång. Uppgifternas karaktär och omfattning utgör endast två faktorer att beakta. Även sådana omständigheter som till exempel ändamålet med behandlingen av uppgifterna och omfattningen av utlämnandet av uppgifter till andra som sker utan omedelbart stöd av offentlighetsprincipen kan vara av betydelse vid bedömningen.6

Skyddet för den personliga integriteten enligt 2 kap. 6 § andra stycket RF är inte absolut och kan under vissa förutsättningar begränsas med hänsyn till andra motstående intressen. Av 2 kap. 20 § RF följer att en sådan begränsning endast får ske genom lag. Enligt 2 kap. 21 § RF följer att begränsningen får endast göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar.

I förarbetena framfördes att en följd av denna reglering är att lagstiftaren tvingas att tydligt redovisa vilka avvägningar som gjorts vid proportionalitetsbedömningen. Detta kan förväntas öka förutsättningarna för att avvägningarna i fråga om integritetsintrånget blir mer ingående belysta och att de presenteras på ett sådant sätt att kvaliteten i lagstiftningen höjs ytterligare.7 Vid en proportionalitetsbedömning ska det intrång som sker i den enskildes personliga integritet vägas mot de fördelar som intrånget innebär. Det intrång som sker i den enskildes personliga integritet måste vara befogat och stå i rimlig proportion till de fördelar som intrånget bidrar med till det motstående intresset. Ett ytterligare krav är att det inte finns några mindre integritetskänsliga alternativ.

5Prop. 2009/10:80, s. 183. I propositionen hänvisas till bet. 1990/91:KU11, s. 11, 1997/98:KU18, s. 43, prop. 1997/98:44, s. 41 och prop. 1999/2000:39, s. 78. 6Prop. 2009/10:80, s. 184. 7Prop. 2009/10:80, s. 177.

Det är bara genom svensk lag som skyddet enligt 2 kap. 6 § andra stycket RF kan inskränkas. Den rätt att behandla personuppgifter som följer av dataskyddsförordningen gör alltså inte att myndigheter får behandla personuppgifter i strid med 2 kap. 6 § andra stycket RF.

3.2.8. Patientdatalagen

Patientdatalagen (2008:355) reglerar vårdgivares behandling av personuppgifter inom hälso- och sjukvården, oavsett om vården bedrivs i offentlig eller privat regi. Patientdatalagen är en ramlagstiftning som anger vilka grundläggande principer som ska gälla för informationshanteringen avseende uppgifter om patienter inom all hälso- och sjukvård. Syftet med lagen är att informationshanteringen inom hälso- och sjukvården ska vara organiserad så att den tillgodoser patientsäkerhet och god kvalitet samt främjar kostnadseffektivitet. Personuppgifter ska utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras. Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem (1 kap. 2 §).

Patientdatalagen tillämpas på all helt eller delvis automatiserad behandling av personuppgifter samt manuell behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (1 kap. 4 §). Lagen omfattar behandling av personuppgifter i all individinriktad patientverksamhet som innefattar vård, undersökning eller behandling. Det är vårdgivaren som är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför (2 kap. 6 §). De ändamål för vilka personuppgifter får behandlas inom hälso- och sjukvården framgår av 2 kap. 4 §.

3.2.9. Lagen om sammanhållen vård- och omsorgsdokumentation

Nationell reglering om utlämnande av uppgifter och åtkomst till patientuppgifter i andra vårdgivares journaler inom ramen för sammanhållen journalföring, som tidigare placerades i patientdatalagen, är sedan den 1 januari 2023 intagna i lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation. Den nya lagen ersätter

alltså patientdatalagens bestämmelser om sammanhållen journalföring och innehåller även bestämmelser rörande de delar av socialtjänstens verksamheter som avser omsorg om äldre personer och personer med funktionsnedsättning. I 1 kap. 3 § anges tillämpningsområdet såsom att bestämmelserna i lagen får tillämpas på vårdgivares behandling av personuppgifter enligt patientdatalagen och att bestämmelserna också får tillämpas på omsorgsgivares behandling av omsorgsmottagares personuppgifter enligt lagen (2001:454) om behandling av personuppgifter inom socialtjänsten.

Lagen innebär att vårdgivare och omsorgsgivare, genom direktåtkomst eller annat elektroniskt utlämnande, får tillgång till personuppgifter hos andra vårdgivare och omsorgsgivare. I lagen har vidare införts integritetsstärkande åtgärder samt uttryckliga bestämmelser om barns samtycke till behandling av personuppgifter. I kapitel 2 regleras således vårdgivares och omsorgsgivares tillgängliggörande av uppgifter, medan kapitel 3 och 4 innehåller bestämmelser om vårdgivares och omsorgsgivares tillgång till och behandling av personuppgifter, personuppgiftsansvar, behörighets- och åtkomstfrågor samt bevarande och gallring.

3.2.10. Lagen om nationell läkemedelslista

Den 1 maj 2021 trädde lagen (2018:1212) om nationell läkemedelslista i kraft. Lagen ersätter lagen (1996:1156) om receptregister och lagen (2005:258) om läkemedelsförteckning. Det övergripande målet med den nationella läkemedelslistan är att skapa en samlad källa av en patients förskrivna läkemedel och andra varor samtidigt som patientens behov av integritetsskydd tillgodoses.

E-hälsomyndigheten ska med automatiserad behandling föra ett register över vissa uppgifter om förskrivna och expedierade läkemedel och andra varor för människor (1 kap. 1 §). E-hälsomyndigheten är personuppgiftsansvarig för den personuppgiftsbehandling myndigheten utför (3 kap. 1 §). I lagen finns kompletterande bestämmelser till dataskyddsförordningen. Känsliga personuppgifter får behandlas med stöd av artikel 9.2 h i dataskyddsförordningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i dataskyddsförordningen är uppfyllt. I 3 kap. 2–5 §§ anges de ändamål för vilka personuppgifterna får behandlas. Uppgifterna får bland annat

behandlas om det är nödvändigt för ändamål som rör registrering av uppgifter om förskrivna läkemedel och för ändamål som rör öppenvårdsapotek, såsom expediering av läkemedel och andra varor som förskrivits. Enligt 4 kap. 1 § första stycket får behandling som är tillåten enligt lagen utföras även om den registrerade inte har lämnat sitt samtycke. Personuppgifterna som behandlas för något av de angivna ändamålen får dessutom, enligt 3 kap. 7 §, behandlas för andra ändamål under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Av samma bestämmelse följer att behandling som inte annars är tillåten enligt lagen får utföras om den registrerade har lämnat uttryckligt samtycke. Vilka uppgifter som får behandlas i registret framgår av 3 kap. 8 §. Registret får också innehålla andra uppgifter som krävs i samband med en förskrivning eller en expediering och uppgifter om samtycke, spärr och fullmakt.

Expedierande personal på öppenvårdsapotek, viss hälso- och sjukvårdspersonal samt patienten själv och dennes ombud får ges direktåtkomst till registret, under vissa förutsättningar och för vissa ändamål. Enligt 5 kap. 1 § får direktåtkomst ges till expedierande personal på öppenvårdsapotek för ändamålet expediering av läkemedel och andra varor. Det krävs inte samtycke för sådan direktåtkomst, förutom när det gäller uppgift om ordinationsorsak. Av kapitel 6 följer att E-hälsomyndigheten har en skyldighet att lämna ut uppgifter från registret till expedierande personal på öppenvårdsapoteken, viss hälso- och sjukvårdspersonal, regioner, och till vissa myndigheter.

Lagen innehåller också vissa skyddsåtgärder som exempelvis integritetshöjande samtycke för vissa ändamål och viss behandling, spärrning (4 kap. 3–4 §§), sökbegränsningar (3 kap. 9 §

)

, bevarande-

tid (3 kap. 10 §) och villkor för tilldelning av behörighet och åtkomstkontroll (8 kap. 1 §).

3.3. Annan EU-reglering

3.3.1. Webbtillgänglighetsdirektivet

Webbtillgänglighetsdirektivet syftar till att offentliga sektorns webbplatser och mobila applikationer ska bli mer tillgängliga för användare och då särskilt för personer med funktionsnedsättning, samt bidra till en ökad harmonisering av standarder (artikel 1). Det innebär att

digital service (offentliga tjänster och information via en webbplats eller mobil applikation) ska vara tillgänglig, det vill säga möjlig att uppfatta, hanterbar, begriplig och robust (artikel 4). Webbplatser och mobila applikationer kan leva upp till kraven genom att följa en viss europeisk standard (artikel 6). Offentliga aktörer ska tillhandahålla en tillgänglighetsredogörelse som beskriver hur webbplatsen eller applikationen uppfyller kraven (artikel 7). Det ska också finnas en mekanism så att användare kan lämna återkoppling om tillgänglighetsproblem. Direktivet har genomförts i Sverige genom lagen (2018:1937) och förordningen (2018:1938) om tillgänglighet till digital offentlig service, samt föreskrifter från Myndigheten för digital förvaltning (fortsättningsvis DIGG).

3.3.2 eIDAS-förordningen

eIDAS-förordningen och genomförandeförordningarna ger ett rättsligt ramverk, tekniska standarder och specifikationer för elektronisk identifiering och betrodda tjänster. Syftet är att säkerställa en väl fungerande inre marknad och uppnå en lämplig säkerhetsnivå för medel för elektronisk identifiering och betrodda tjänster (artikel 1). Utredningen går inte in på frågor om betrodda tjänster och redogör därför enbart för vad som gäller för elektronisk identifiering. Tjänsten patientöversikter över landsgränser innebär inte i sig att gränsöverskridande identifiering görs, utan eIDAS-förordningen kan få betydelse främst beroende på vad Nätverket för e-hälsa ställer för krav.

Förordningen syftar till att undanröja hinder för gränsöverskridande användning av e-legitimationer i medlemsländerna för autentisering för åtminstone offentliga tjänster (skäl 12). Förordningen bör inte tolkas som att den ställer krav på e-legitimationer som endast används nationellt, utan kraven aktualiseras först när de ska användas över landsgränserna. I skäl 10 görs en hänvisning till 14 c i patientrörlighetsdirektivet om att stödja gemensamma åtgärder för identifiering och autentisering för att underlätta överförbara uppgifter i en gränsöverskridande hälso- och sjukvård. Ett sådant ömsesidigt erkännande av elektronisk identifiering och autentisering anges vara en förutsättning för att gränsöverskridande sjukvård ska bli verklighet.

Medel för elektronisk identifiering definieras som en materiell eller immateriell enhet som innehåller personidentifieringsuppgifter och som används för autentisering för nättjänster (artikel 3.2). E-legitimationer är ett medel för elektronisk identifiering. För e-legitimationer i Sverige är det normalt en persons personnummer som är personidentifieringsuppgiften.8 En e-legitimation som uppfyller kraven enligt eIDAS-förordningen och som utfärdats i ett annat medlemsland ska kunna användas för autentisering för nättjänster som tillhandahålls av offentliga organ i Sverige. Nättjänst definieras inte i förordningen, men tjänster som i Sverige kallas e-tjänster anses omfattas enligt Utredningen om betrodda tjänster (SOU 2021:62 s. 58). Förordningen fastställer tillitsnivåerna låg, väsentlig och hög för e-legitimationer.

Förordningen gäller e-legitimationssystem som har anmälts av ett medlemsland (artikel 2). En e-legitimation ska under vissa förutsättningar omfattas av ömsesidigt erkännande (artikel 6). Sverige gjorde sin första föranmälan i december 2020.

För att identifiera sig för åtkomst till en digital tjänst i ett annat medlemsland än det där individens e-legitimation har utfärdats kan det system för gränsöverskridande identifiering som upprättas genom eIDAS-förordningen användas. Identifieringen går då mellan förbindelsepunkter, så kallade noder, i avsändande och mottagande medlemsland för verifiering. I Sverige är DIGG en sådan nod.

Vid utbyte av information över landsgränser är det centralt att informationen knyts till den personidentifieringsuppgift kopplad till eIDAS som det avlämnande landet använder i sin implementation av förordningen. Då denna uppgift är unik säkerställer tillämpningen att informationen kopplas till den aktuella individen.

3.3.3. SDG-förordningen

SDG-förordningen träder gradvis i kraft fram till och med 2023. Förordningen syftar till att göra det enklare för privatpersoner och medborgare att agera över gränserna främst genom tillförlitlig information samt hjälp- och problemlösningstjänster för den som exempelvis ska arbeta i eller flytta till ett annat land.

8Prop. 2020/21:81, s. 8.

Det ska underlättas genom en gemensam digital ingång på EU-nivå (även kallad single digital gateway, SDG). För detta används webbplatsen Ditt Europa. Från den kan användarna ta sig vidare till nationell information. Där ska det finnas uppgifter om lagar, rättigheter och skyldigheter, digitala tjänster för att utföra ett ärende samt hjälp och support för stöd i kontakter med offentliga aktörer. Detta gäller för ett antal utvalda områden som beskrivs i en bilaga till SDG-förordningen, till exempel hälso- och sjukvård. Inom området hälso- och sjukvård anges bland annat att det omfattar att få läkarvård i en annan medlemsstat.

SDG-förordningen ställer även krav på ett tekniskt system för bevisutbyte som grundar sig på engångsprincipen. Engångsprincipen innebär att användare endast ska behöva lämna samma uppgift en gång och att uppgifter i stället ska delas mellan olika myndigheter och organ i EU på användarens initiativ.

För närvarande pågår arbete både på europeisk och på nationell nivå kopplat till SDG-förordningen i enlighet med kommissionens tillkännagivande Riktlinjer för genomförandet av förordningen om in-

rättande av en gemensam digital ingång (2021/C 71/02).

DIGG är nationell samordnare i Sverige och arbetar, bistådda av Kommerskollegium, med den nationella samordningen tillsammans med de behöriga aktörerna. Sedan december 2020 ska de myndigheter som berörs av SDG-förordningen tillhandahålla information samt hjälp- och problemlösningstjänster via Ditt Europa. Motsvarande gäller från december 2022 för kommuner och regioner. I december 2023 ska myndigheter som berörs av SDG-förordningen, samt kommuner och regioner, tillhandahålla digitala tjänster helt online och en uppgift ska bara behöva lämnas en gång.

3.3.4. NIS-direktivet

Utöver kraven enligt dataskyddsförordningen omfattas vårdgivare av kraven på säkerhet i nätverk och informationssystem enligt NISdirektivet.9 NIS-direktivet syftar till att uppnå en hög gemensam nivå på säkerhet i nätverk och informationssystem inom EU. NISregleringen innebär i korthet krav på informationssäkerhet och inci-

9 Europarlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen.

dentrapportering för leverantörer av samhällsviktiga och vissa digitala tjänster. Dessa leverantörer kan finnas i både privat och offentlig sektor. Dessutom har ett antal myndigheter tillsynsansvar i enlighet med regleringen. Hälso- och sjukvård är en av sju sektorer som kategoriseras som samhällsviktiga tjänster. Digitala tjänster är internetbaserade marknadsplatser, internetbaserade sökmotorer och molntjänster. Definitioner av digitala tjänster finns i lagen (2018:1174) om informationssäkerhet i samhällsviktiga och digitala tjänster. Det europeiska NIS-direktivet är svensk lag.10

Under slutet av 2020 publicerade Kommissionen ett förslag till utveckling av NIS-direktivet, benämnt NIS 2.11 NIS 2 innebär mycket mer detaljerade krav som avser att harmonisera införlivandet av reglerna i NIS-direktivet. NIS 2 adresserar den ökande hotbilden mot EU och de ökande interna beroendena mellan sektorer och landsgränser. Direktivet avser att öka den inre marknadens resiliens samt förmåga till respons på incidenter och attacker. Fortfarande är marknadsperspektivet i fokus för regleringen, det vill säga åtgärderna görs med argumentet att det ska underlätta och stärka den inre marknaden och även EU:s konkurrensmöjligheter globalt. NIS 2 avser att öka harmoniseringen mellan medlemsländer för att öka cybersäkerheten inom hela unionen men även för att minska bördan på aktörer som har verksamhet i flera länder. Förslaget föreskriver bland annat mer effektivt samarbete mellan myndigheter och mekanismer för informationsdelning mellan myndigheter, medlemsstater och entiteter. Under slutet av 2022 har Europaparlamentet och EUrådet kommit med sitt slutliga godkännande av NIS 2. Det formella beslutet offentliggjordes i Europeiska unionens officiella tidning den 27 december 2022 och direktivet trädde i kraft 20 dagar därefter. Därefter har medlemsländerna 21 månader på sig att införliva NIS 2 i nationell lagstiftning.

10 Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. 11 Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet).

3.3.5. Tillgänglighetsdirektivet

Europaparlamentets och rådets direktiv (EU) 2019/882 av den 17 april 2019 om tillgänglighetskrav för produkter och tjänster (tillgänglighetsdirektivet) innehåller krav som ska gälla produkter och tjänster efter den 28 juni 2025, med vissa undantag. Syftet är att harmonisera reglerna för tillgänglighetskrav för vissa produkter och tjänster samt att hjälpa medlemsländerna uppfylla nationella och internationella åtaganden som gäller tillgänglighet. Det ska även främja ett fullt och effektivt deltagande på lika villkor genom att förbättra tillgången till konventionella produkter och tjänster som genom sin ursprungliga utformning eller senare anpassning tillgodoser behoven hos personer med funktionsnedsättning.

3.4. Övrig relevant lagstiftning

3.4.1. Reglering av nationella medicinska informationssystem

Medicintekniska produkter

Begreppet medicintekniska produkter innefattar produkter som används inom alla delar av hälso- och sjukvården. Exempel på medicintekniska produkter är kompresser, kontaktlinsprodukter, sprutor, kanyler, infusionsaggregat och pumpar för läkemedelstillförsel. Inom det europeiska samarbetet finns regelverk avseende medicintekniska produkter, bland annat i form av förordning (EU) 2017/745 om medicintekniska produkter (MDR), som tillämpas sedan den 26 maj 2021. Som komplement till förordningen finns i Sverige lagen (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter och förordningen (2021:631) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter. Syftet är att underlätta för tillverkare genom att samma regler ska gälla över hela EU för ett visst produktområde. Produkterna genomgår inte ett godkännande utan tillverkaren märker i stället själv produkten med CE-märket för att visa att regelverkets krav är uppfyllda. De svenska författningarna innehåller bestämmelser som är specifika för vårt land och pekar exempelvis ut myndigheters roll i förhållande till regelverket och på vilket språk som produkter på svensk marknad ska vara märkta.

Nationella medicinska informationssystem

Nationella medicinska informationssystem (NMI) är informationssystem som i sig själva inte är medicintekniska produkter men i sin avsedda användning ligger nära medicintekniska produkter. NMI interagerar också i många fall med olika medicintekniska system. Eftersom NMI inte är medicintekniska produkter omfattas de inte direkt av MDR, men de bör omfattas av motsvarande krav på säkerhet och prestanda. Därför finns nationell lagstiftning i Sverige som omfattar NMI.

Sedan 2014 har Läkemedelsverket haft regler som har inneburit att NMI ska uppfylla samma krav på säkerhet och prestanda som medicintekniska produkter. För att följa utvecklingen av regelverket för medicintekniska produkter har Läkemedelsverket utvecklat nya föreskrifter för NMI som började gälla den 1 augusti 2022.12 De nya heltäckande föreskrifterna har bestämmelserna i MDR som utgångspunkt med målsättning att bland annat vara tydliga med vilka krav i MDR som är tillämpliga, exkludera krav i förordningen som inte är relevanta för informationssystem, anpassa krav och terminologi till informationssystem samt tydliggöra gränsdragningen mellan NMI och medicintekniska produkter. Föreskrifterna innehåller vidare ett förtydligande av definitionen av ett NMI, införande av NMI-märkning och NMI-ID för ökad identifiering och spårbarhet, ökade krav på övervakning av NMI som släppts ut på marknaden eller tagits i bruk samt införande av tydligare krav på teknisk dokumentation och evidens.

Enligt de nya föreskrifterna definieras ett NMI enligt följande. – Informationssystem som är utvecklat för gemensam användning

på rikstäckande, regional eller kommunal nivå eller för spridning på en annan motsvarande nivå i Sverige och – som hanterar medicinsk information av betydelse för enskilda

patienters hälso- och sjukvård men som inte har någon inverkan på de uppgifter som matas in eller vars verkan är begränsad till lagring, kommunikation, arkivering, datakomprimering utan förlust eller enkel sökning, eller

12 Läkemedelsverkets föreskrifter (HSLF-FS 2022:42) om nationella medicinska informationssystem.

– som hanterar medicinsk information av betydelse för enskilda

patienters hälso- och sjukvård och som är avsedda för direktåtkomst till och uppdatering av information i register hos en myndighet.

3.4.2. Offentlighets- och sekretesslagen

Sekretess gäller enligt 25 kap. 1 § offentlighets- och sekretesslagen (2009:400), fortsättningsvis OSL, inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Motsvarande regler om tystnadsplikt för den privata hälso- och sjukvården finns i patientsäkerhetslagen. Den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården får enligt 6 kap. 12 § patientsäkerhetslagen inte obehörigen röja vad denne i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning.

För att en vårdgivare ska kunna lämna ut uppgifter som enligt 25 kap. 1 § OSL omfattas av sekretess till exempelvis en myndighet utan att i varje enskilt fall göra en menprövning, behöver det finnas en sekretessbrytande bestämmelse i OSL. Sekretess hos E-hälsomyndigheten regleras i 25 kap. 17 a–b §§ och det finns en sekretessbrytande bestämmelse i 25 kap. 17 c §.

3.4.3. E-hälsomyndighetens instruktion

E-hälsomyndigheten ska enligt 1 § förordningen (2013:1031) med instruktion för E-hälsomyndigheten ansvara för register och itfunktioner som öppenvårdsapotek och vårdgivare behöver ha tillgång till för en patientsäker och kostnadseffektiv läkemedelshantering. Myndigheten ska vidare samordna regeringens satsningar på ehälsa samt övergripande följa utvecklingen på e-hälsoområdet. I 2 § finns en uppräkning av flera av myndighetens uppdrag och i 3 § regleras att E-hälsomyndigheten ska utveckla och tillhandahålla digitala tjänster för att redovisa uppgifter i myndighetens register i syfte att underlätta för den enskilde utifrån myndighetens verksamhetsområde.

4. Genomförandet av patientrörlighetsdirektivet

I detta kapitel beskrivs översiktligt bakgrunden till utredningens deluppdrag att utreda frågor som rör patientöversikter över landsgränser inom EES. Genomförandet av patientrörlighetsdirektivet samt vissa ersättningsregleringar vid vård utomlands behandlas liksom förslaget till ny förordning om ett europeiskt hälsodataområde.

4.1. Patientrörlighetsdirektivet

Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård (fortsättningsvis patientrörlighetsdirektivet) innehåller bestämmelser för att göra det lättare för patienter att få tillgång till en säker och högkvalitativ gränsöverskridande hälso- och sjukvård, garanterar patienterna rörlighet i överensstämmelse med de principer som fastslagits av Europeiska unionens domstol och uppmuntrar till samarbete mellan medlemsländer. Patientrörlighetsdirektivet trädde i kraft våren 2011 och skulle vara införlivat av medlemsstaterna senast i oktober 2013. Direktivet är genomfört i svensk rätt bland annat genom lagen (2013:513) om ersättning för kostnader till följd av vård i ett annat land inom Europeiska ekonomiska samarbetsområdet (EES).

Den rättsliga grunden för direktivet är artikel 114 i EUF-fördraget eftersom huvuddelen av bestämmelserna syftar till att främja den fria rörligheten av personer, varor och tjänster (skäl 2). Det finns även en hänvisning till artikel 168.1 i EUF-fördraget som anger att en hög hälsoskyddsnivå för människor måste säkerställas vid utformning och genomförande av all EU-politik och alla EU-åtgärder (skäl 1).

Fullständig hänsyn ska tas till nationell kompetens i frågan om organisation och tillhandahållande av hälso- och sjukvård. Det innebär att respektive medlemsstat har ett eget ansvar för att organisera och tillhandahålla hälso- och sjukvård och socialförsäkringsförmåner som avser hälso- och sjukvård, särskilt förmåner vid sjukdom, vilket ska respekteras fullt ut. Det finns med andra ord ingen tvingande EUrätt som reglerar hur hälso- och sjukvården ska organiseras och tillhandahållas. Direktivet tillämpas på tillhandahållandet av hälso- och sjukvård till patienter som söker hälso- och sjukvård i en annan medlemsstat än försäkringsmedlemsstaten, oavsett hur vården organiseras, tillhandahålls och finansieras. I patientrörlighetsdirektivet pekas ett antal områden ut där en fördjupad samverkan eftersträvas för att uppnå direktivets syften (skäl 51 och kapitel IV). Ett av dessa områden rör e-hälsa och i artikel 14 stadgas att Unionen ska stödja och främja samarbete om och utbyte av information mellan medlemsstaterna inom ramen för ett frivilligt nätverk som kopplar ihop nationella myndigheter som är ansvariga för e-hälsa, utsedda av medlemsstaterna. Samarbetet ska göras inom ramen för det frivilliga Nätverket för e-hälsa och syftar till att göra utbyte av patientrelaterad information möjlig.

Kommissionen beskriver e-hälsa som digital vård och omsorg. Begreppet omfattar ”it-baserade verktyg och tjänster för att förbättra förebyggande åtgärder, diagnos och behandling samt övervakning och hantering av hälsofrågor och levnadsvanor som påverkar hälsan”. I samband med att begreppet definieras framhåller kommissionen att digitala lösningar är innovativa och kan innebära nya och bättre sätt att få vård, ökad tillgänglighet och en effektivare vård.

Genomförande av patientrörlighetsdirektivets bestämmelser i svensk rätt

I regeringens proposition Patientrörlighet i EU – förslag till ny lagstiftning (prop. 2012/13:150), finns regeringens förslag till hur direktivets bestämmelser genomförs i svensk rätt. Bestämmelserna trädde i kraft den 1 oktober 2013. Tidsfristen för att genomföra direktivet i nationell lagstiftning gick ut den 23 oktober 2013. Genomförandet bestod huvudsakligen i införandet av två lagar: lagen (2013:513) om ersättning för kostnader till följd av vård i ett annat land inom Europeiska ekonomiska samarbetsområdet (ersättningslagen) och lagen

(2013:514) om landstingens och kommunernas kostnadsansvar för viss vård i utlandet (kostnadsansvarslagen). Ersättningslagen innehåller bestämmelser om ersättning för kostnader som har uppkommit till följd av att en person har mottagit vård i ett annat land inom EES. Vårdkostnader som uppkommit i ett annat EES-land kan ersättas antingen enligt patientrörlighetsdirektivets bestämmelser genom ersättningslagen eller enligt Europaparlamentets och rådets förordning (EG) nr 883/2004 (fortsättningsvis förordning 883/2004). Det finns skillnader mellan de olika regelverken och därför finns det i ersättningslagen en upplysning om rätten till ersättning för vårdkostnader enligt förordning 883/2004. Avsikten är att en patient som mottagit gränsöverskridande vård så långt möjligt ska kunna välja att få kostnader för denna vård ersatta på det sätt som är förmånligast för patienten. I de fall patientens rätt till ersättning grundar sig på förordning 883/2004 ska ersättningslagens bestämmelser inte tillämpas.

I artikel 19 och 20 i förordning 883/2004 regleras rätten till vårdförmåner av nödvändig och planerad karaktär. En person som är försäkrad för vårdförmåner i Sverige enligt förordningen 883/2004 kan få nödvändig eller viss planerad vård i ett annat EES-land eller i Schweiz till samma patientavgift som invånarna i det landet. Motsvarande situation gäller för personer som är försäkrade i ett annat EES-land eller Schweiz. Ett förhandstillstånd ska beviljas om den aktuella behandlingen finns bland de förmåner som tillhandahålls enligt lagstiftningen där patienten är bosatt och behandlingen inte kan ges inom en tid som är medicinskt försvarbar (artikel 20.2).

Försäkringskassan, som fattar beslut enligt ersättningslagen, måste i ett ersättningsärende inhämta yttranden från patientens hemregion och regionernas beslutsinflytande i medicinska frågor har på så sätt säkerställts. I och med kostnadsansvarslagen har kostnadsansvaret för viss gränsöverskridande vård flyttats över från Försäkringskassan till regionerna och kommunerna. Enligt lagen har regioner under vissa förutsättningar kostnadsansvar för dels ersättning som bestämts enligt 7, 8 eller 9 §§ ersättningslagen, dels ersättningar som har bestämts enligt förordning 883/2004. För att genomföra direktivets bestämmelser gjordes även vissa ändringar som rör kostnadsberäkning och ersättning i hälso- och sjukvårdslagen (1982:763), lagen (2002:160) om läkemedelsförmåner m.m. och i lagen (2008:145) om statligt tandvårdsstöd.

4.2. Patientrörlighetsdirektivet och samarbetet inom Nätverket för e-hälsa

EU stödjer och främjar samarbetet och utbytet av information inom ramen för det frivilliga Nätverket för e-hälsa. Nätverket baseras på artikel 14 i patientrörlighetsdirektivet och på Kommissionens genomförandebeslut 2019/1765 av den 22 oktober 2019 om regler för inrättande, förvaltning och drift av ett nätverk av nationella myndigheter med ansvar för e-hälsa och om upphävande av genomförandebeslut 2011/890/EU. Nätverket ska koppla ihop nationella myndigheter som är ansvariga för e-hälsa, utsedda av medlemsstaterna. I december 2011 fattade kommissionen ett genomförandebeslut om att starta ett sådant nätverk av nationella myndigheter med ansvar för e-hälsa.1Samarbetet i Nätverket för e-hälsa bygger på tillit mellan länderna och för att uppnå det behövs en teknisk, semantisk, organisatorisk och juridisk interoperabilitet mellan länderna och de nationella system som ska användas. Kommissionen stöder arbetet och agerar som medordförande på nätverkets möten. Medlemsländerna i EU deltar och Norge deltar som observatör. Länder från EES, Efta och kandidatländer kan vara observatörer.2

Nätverket för e-hälsa ska enligt direktivet arbeta för att tillhandahålla hållbara sociala och ekonomiska nyttoeffekter genom europeiska system och tjänster som rör e-hälsa. Inom ramen för samarbetet finns för närvarande två tjänster framtagna. En tjänst för gränsöverskridande utbyte av elektroniska recept (e-recept) och en tjänst för patientöversikter över landsgränser. Syftet med samarbetet är främst att skapa en infrastruktur för informationsutbyte som gör att hälsouppgifter kan förmedlas över landsgränser. Medlemsländerna kan välja att delta i samarbetet om e-recept och/eller patientöversikter, antingen genom att tillhandahålla uppgifter om deras medborgare till andra länder (i betänkandet benämnt land A), kunna ta del av information om utländska medborgare (i betänkandet benämnt land B) eller både och.3

1 Europakommissionens genomförandebeslut 2011/890/EU av den 22 december 2011 om regler för inrättande, förvaltning och drift av ett nätverk av nationella myndigheter med ansvar för ehälsa. 2Artikel 5.9 i genomförandebeslutet och artikel 9 i eHealth Network Rules of Procedure. 3 Med land A avses ett land som anslutit sig till tjänsterna och vars invånare kan utnyttja tjänsterna i ett annat land inom EES. Med land B avses ett land som kan expediera e-recept respektive begära patientöversikt över landsgränser för en invånare från ett annat land inom EES förutsatt att detta land har anslutit sig till respektive tjänst.

Nätverket för e-hälsa har beslutat om ett antal expert- och arbetsgrupper. De nationella kontaktpunkterna för e-hälsa, i Sverige E-hälsomyndigheten, finns representerade i medlemsländernas expertgrupp för e-hälsa, eHealth Member State Expert Group (eHMSEG), som definierar och beslutar om genomförandet av e-hälsotjänsterna. eHealth Operational Management Board övervakar tillhandahållandet av tjänster samt fattar taktiska och operativa beslut om den gemensamma digitala infrastrukturen. Socialdepartementet deltar i Nätverket för e-hälsa för Sveriges del och E-hälsomyndigheten deltar i egenskap av nationell kontaktpunkt för e-hälsa och expertmyndighet. eHMSEG Legal Work Group (LWG) består av jurister och andra experter från deltagande länder. E-hälsomyndigheten och andra myndigheter deltar i flera av arbets- och expertgrupperna.

4.3. Patientrörlighet inom EU/EES

Den patientrörlighet som äger rum inom EU/EES går att följa genom de rapporter som kommissionen publicerar och där statistiken baseras på uppgifter från medlemsstaterna. En allmän information om regelverket samt ett antal uppföljningsrapporter finns publicerade på kommissionens webbplats.4 Information i rapporterna utgår från patientrörligheten inom ramen för patientrörlighetsdirektivet. Patientrörligheten kan även följas inom ramen för den rörlighet som sker utifrån förordning 883/204 om samordning av de sociala trygghetssystemen. Båda regelverken omfattar system för reglering av kostnader mellan det land där personen i fråga är försäkrad för vårdförmåner och det land där vården utförs.

Utöver den vård som lämnas utifrån dessa regelverk, och där det finns offentlig statistik, förekommer även annan patientrörlighet mellan länder som kan finansieras antingen av den enskilde personen själv eller genom till exempel privata försäkringar.

Kommissionen publicerade i juni 2022 en statistikrapport för åren 2018–2020 avseende patientrörlighet inom ramen för patientrörlighetsdirektivet.5 Inledningsvis i rapporten påtalas att jämförelser mellan åren är svåra att göra då Covid-19 pandemin påverkat resandet

4 https://health.ec.europa.eu/cross-border-healthcare/overview_en. 5 European Commission, Data on patient mobility under Directive 2011/24/EU – Trend report

reference years 2018–2020, https://health.ec.europa.eu/system/files/2022-05/crossborder_

2018-2020_patient-mobility_data_en.pdf.

under 2020. Det föreligger även variationer i den utsträckning länderna redovisar den efterfrågade statistiken. Det konstateras bland annat att vad gäller vård av personer med ett beviljat så kallat förhandsbesked så är flödet mellan angränsande länder, till exempel mellan Storbritannien/Irland och Slovakien/Tjeckien av stor betydelse.

Vad gäller ersättning utan förhandsbesked så beviljades sammanlagt drygt 155 000 begäran om ersättning under 2020 av de 20 medlemsstater som redovisat data samt av Norge och Storbritannien. Även här noteras att patientflödet mellan angränsande länder är betydande. Det noteras även ett betydande flöde mellan de nordiska länderna och Spanien. De länder där vården utförts för samtliga ersättningsärenden är framför allt Spanien, Portugal, Tyskland, Belgien och Tjeckien. För vård som utförts i Sverige är det till mycket stor del patienter från Danmark som fått vård.

4.4. Ersättning vid sjukvård i ett annat land inom EU/EES

4.4.1. Patientrörlighetsdirektivet och ersättning enligt förordning 883/2004

Som anförts ovan syftar patientrörlighetsdirektivet till att göra det lättare för invånare i EES att få tillgång till gränsöverskridande hälso- och sjukvård och att förtydliga förhållandet till förordningen 883/2004 vid tillämpning av patienträttigheter (artikel 1.1). Medlemsländernas ansvar för socialförsäkringsförmåner, särskilt förmåner vid sjukdom, ska respekteras fullt ut (artikel 1.1). Bakgrunden till direktivet är ett antal domar i EU-domstolen som slog fast att sjukvård omfattas av EUF-fördragets regler om fri rörlighet för tjänster, oavsett hur den är finansierad och organiserad.6 Patientrörlighetsdirektivet definierar vad som avses med hälso- och sjukvård och att vård anses som gränsöverskridande när den ges i ett annat medlemsland (artiklarna 3 a och 3 e).

Patientrörlighetsdirektivet pekar ut behörigt land (land A) genom att hänvisa till det land som är ansvarigt för personens vårdförmåner enligt förordningen 883/2004. Behandlande medlemsland, det vill säga där vården utförs, är land B. En försäkrad person definieras i

6 Se prop. 2012/13:150, s. 17 inklusive hänvisningarna till rättsfall i not 1.

artikel 3 b och kan som beskrivits ovan ha rätt till ersättning för kostnader för hälso- och sjukvård i ett annat EES-land. Ersättning kan ges upp till försäkringsmedlemslandets kostnadsnivå (artikel 7.2). Land A ska även fastställa vilken hälso- och sjukvård som en försäkrad person kan få ersättning för, samt kostnader och nivå, oberoende av var vården tillhandahålls och beräkningen ska vara transparent (artikel 7.3). Grundtanken i patientrörlighetsdirektivet är således att en patient som får gränsöverskridande vård ska sättas i samma situation, så långt det är möjligt, som om patienten hade fått vård i sitt hemland.7

4.4.2. Ersättning enligt ersättningslagen

I ersättningslagen anges villkor för rätt till ersättning för kostnader till följd av gränsöverskridande vård i ett annat EES-land och hur ersättningens storlek ska bestämmas. Lagen omfattar även ersättning för humanläkemedel. Ersättningslagen är enligt 2 § i vissa fall inte tillämplig om förordningen 883/2004 är tillämplig.

En patient har rätt till ersättning för kostnader för vård i ett annat EES-land om han eller hon omfattas av den personkrets som Sverige är behörigt att meddela ett sådant tillstånd till. Rätten gäller under förutsättning att han eller hon skulle ha haft rätt att få vården bekostad av det allmänna om den givits i Sverige (5 § ersättningslagen). Ersättningen kan som högst avse de faktiska kostnader patienten haft för vården (6 § ersättningslagen) och ska motsvara den vårdkostnad som skulle ha uppkommit om patienten fått vård i Sverige (7 § första stycket ersättningslagen). Avdrag ska göras motsvarande de avgifter för vården som patienten skulle ha betalat i Sverige.

Medlemsländerna kan komma överens om att avstå från all återbetalning enligt artikel 35 i förordning 883/2004. Sverige har ingått vissa sådana så kallade betalningsavståenden som innebär att land B står för kostnaden för patienten från land A.

I ersättningslagen beskrivs även hur patienten kan ansöka om förhandsbesked för planerad vård i ett annat EES-land (11 § ersättningslagen). Ett sådant besked är som regel bindande när patienten senare ansöker om ersättning.

7Prop. 2012/13:150, s. 60.

Försäkringskassan prövar, efter ansökan från en patient, frågor om ersättning och ska särskilt beakta sjukdomens eller skadans karaktär och förväntade utveckling, patientens individuella omständigheter i övrigt och om det finns skäl att prioritera hanteringen av ansökan. Beslutade ersättningar betalas ut av Försäkringskassan (14 § ersättningslagen).

Sammanfattningsvis kan alltså en patient som är försäkrad för vårdförmåner i Sverige få ersättning för vård i ett annat EES-land, om villkoren är uppfyllda, antingen enligt förordningen 883/2004 eller ersättningslagen. Avsikten är alltså att en patient som fått gränsöverskridande vård, så långt det är möjligt, ska kunna välja att få kostnader för vården ersatta på det sätt som är förmånligast.

4.4.3. Lagen om regionernas och kommunernas kostnadsansvar för viss vård i utlandet

Lagen om regionernas och kommunernas kostnadsansvar för viss vård i utlandet innebär bland annat att en region har, om inget annat sägs i lag, kostnadsansvar för ersättningar för viss hälso- och sjukvård och tandvård samt för vissa produkter, exempelvis läkemedel, som patienter får vid vård i ett annat EES-land enligt ersättningslagen eller förordningen 883/2004.

Regionernas kostnadsansvar gäller ersättningar som betalats ut till patienter som var bosatta, kvarskrivna eller stadigvarande vistades i regionen när vården som ersättningen avser gavs (2 § kostnadsansvarslagen). En region ska ersätta Försäkringskassan för sådana utbetalda ersättningar till en patient (3 § kostnadsansvarslagen).

När någon får vård i Sverige med stöd av förordningen 883/2004 kan regioner ha rätt till ersättning för kostnader som uppstått i samband med vården. Dessa kostnader regleras enligt förordning (2013:711) om ersättningar för vissa vårdkostnader i internationella förhållanden.

4.4.4. Försäkringskassans roll

Försäkringskassan spelar en central roll i frågor om ersättning vid gränsöverskridande vård och är Sveriges förbindelseorgan inom ramen för förordning 883/2004. Försäkringskassan lämnar till exem-

pel information om vård i andra EES-länder, villkoren för ersättning och kontaktuppgifter till kontaktpunkter för e-hälsa i andra EESländer.8 Försäkringskassan beslutar och betalar ut ersättningar baserat på förordningen 883/2004, EUF-fördraget, patientrörlighetsdirektivet och annan reglering om gränsöverskridande hälso- och sjukvård. Regelsystemen är delvis parallella, så inte minst av rättssäkerhetsskäl har det ansetts vara viktigt att rättsfrågor som är aktuella i både patientrörlighetsdirektivet och förordningen 883/2004 bedöms likartat. Det var bland annat mot den bakgrunden som regeringen föreslog att beslutsansvaret för den gränsöverskridande vården skulle vara samlat hos Försäkringskassan.9

4.5. Det europeiska hälsodataområdet

I EU:s datastrategi som lades fram år 2020 tillkännagavs att nio datautrymmen ska inrättas inom EU:s inre marknad för att bidra till en europeisk konkurrenskraftig och datadriven ekonomi samtidigt som en hög nivå av säkerhet, dataskydd och personlig integritet säkerställs.10

Kommissionen har tidigare föreslagit att ett europeiskt hälsodataområde, European Health Data Space (EHDS), ska inrättas i syfte att främja gränsöverskridande användning av hälsodata inom forskning, innovation och för att skapa nya regelverk och ny lagstiftning inom området.11 I arbetet med EHDS ingår att öka den tekniska och semantiska interoperabiliteten. Infrastrukturen ska beakta hälso- och sjukvårdssektorns särdrag och utgå från pågående initiativ såsom infrastrukturen för digitala e-hälsotjänster.12

Den 3 maj 2022 presenterade kommissionen ett meddelande och ett förslag till förordning om ett europeiskt hälsodataområde (förordningen om EHDS).13 Det övergripande syftet med förordningen

8 Det är Socialstyrelsen som ska informera en person från ett annat EES-land om vilka rättigheter som personen har vid vård i Sverige enligt patientrörlighetsdirektivet. E-hälsomyndigheten är kontaktpunkt för e-hälsa enligt patientrörlighetsdirektivet. 9Prop. 2012/13:150, s. 66 f. 10 Meddelande från kommissionen till Europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén, En EU-strategi för data, Bryssel den 19.2.2020 COM (2020) 66 final. 11 https://ec.europa.eu/health/ehealth/dataspace. 12 https://ec.europa.eu/health/ehealth/electronic_crossborder_healthservices. 13 Bryssel den 3.5.2022. Meddelande från kommissionen och rådet – Ett europeiskt hälsodataområde: tillvarata kraften hos hälsodata för människor, patienter och innovation COM(2022) 196 final. Förslag till europaparlamentets och rådets förordning om ett europeiskt hälsodataområde COM(2022) 197 final.

är att göra det lättare att dela och få tillgång till olika typer av uppgifter – bland annat elektroniska patientjournaler och data från patientregister – både inom själva vården (primäranvändning) och för forskning, innovation och beslutsfattande (sekundäranvändning). Enligt förslaget syftar förordningen vidare till att skapa förutsättningar för enskilda att få större kontroll över sina egna hälsodata samt att främja tillgången till relevant hälsodata för forskning, innovation och beslutsfattande, för att förbättra för enskilda vad gäller diagnosticering, vård och välmående. Förslaget avser därför göra det lättare att överföra hälsodata inom medlemsstaterna och över medlemsstaternas landsgränser. Ett europeiskt hälsodataområde är även avsett att utgöra ett led i att skapa en gemensam marknad för hälsoprodukter och hälsotjänster genom att harmonisera regler och effektivisera hälso- och sjukvården.

Kapitel II i förordningen innehåller förslag till bestämmelser om primäranvändning av elektroniska hälsodata. Där regleras både tillgång till och överföring av elektroniska hälsodata. I kapitlet anges vissa rättigheter för enskilda i fråga om primäranvändning av sina hälsodata avsedda att komplettera de rättigheter som följer av EU:s dataskyddsförordning. Bland annat ska enskilda ha rätt att utan kostnad, omedelbart och på ett lättillgängligt sätt, kunna få tillgång till egna elektroniska hälsodata och enskilda ska också ha rätt att begränsa tillgången till sina hälsodata för sjukvårdspersonal. Vidare ska de omedelbart och utan kostnad kunna få information om vilka som fått tillgång till sina egna hälsodata. Enskilda ska även ha rätt att via digitala tjänster lägga till information i sin egen patientjournal eller i en journal som avser en person vars hälsodata de har rätt att ta del av.

I kapitlet regleras därtill skyldigheter för sjukvårdspersonal i samband med att de behandlar elektroniska hälsodata. Bland annat anges att sjukvårdspersonal ska ha tillgång till elektroniska hälsodata som rör en patient de behandlar, oberoende av i vilken medlemsstat som behandling ges, samt att sjukvårdspersonalen ska se till att patientens elektroniska hälsodata blir uppdaterade med aktuell information. Vidare anges vissa kategorier av hälsodata som är prioriterade för att ingå i det europeiska hälsodataområdet i fråga om primäranvändning, bland annat patientöversikter, e-recept, medicinska bilder, laboratorieresultat och epikriser.

Av förordningen följer vidare att varje medlemsstat ska utse en myndighet för digital hälsa (en e-hälsomyndighet) med flera uppräk-

nade uppgifter. Myndigheten ska bland annat genom tekniska lösningar och nödvändiga regleringar se till att kraven avseende rättigheter och skyldigheter i kapitel II och kapitel III i förordningen uppfylls. Myndigheten ska vidare samverka med relevanta aktörer och organ på nationell och EU-nivå, för att garantera interoperabilitet, dataportabilitet och säkerhet i fråga om elektroniska hälsodata.

Förordningen innehåller mer specifikt förslag till vissa bestämmelser om patientjournalsystem, bland annat regler om ett obligatoriskt certifieringssystem för elektroniska patientjournalsystem. Dessa regler syftar till att säkerställa att elektroniska journaler är interoperabla med olika journalsystem för att möjliggöra enkel överföring av hälsodata mellan sådana system.

Förslaget från kommissionen kommer att förhandlas parallellt med utredningens arbete. Det slutliga utfallet kan komma att påverka både tjänsterna e-recept och patientöversikter över landsgränser. Det är dock svårt för utredningen att beakta detta i det pågående arbetet. Utredningen återkommer emellertid i kommande kapitel till förslaget till förordningen där det är relevant.

5. Ansvaret för och styrningen av hälso- och sjukvården i Sverige

I det här kapitlet beskrivs övergripande hur hälso- och sjukvården styrs och vem som har ansvar för vilka delar av dess genomförande. Inledningsvis sammanfattas övergripande utvecklingen av hälso- och sjukvårdens styrning, därefter beskrivs statens respektive regioners och kommuners ansvar för att leverera hälso- och sjukvård och omsorg. Vidare beskrivs förhållandet mellan EU-rätt och den nationella styrningen av vården. Kapitlet avslutas med att sammanfatta hur vården organiseras.

5.1. Utvecklingen av hälso- och sjukvårdens styrning

Fram till slutet av 1970-talet handlade utvecklingen av den svenska vården primärt om expansion och att gå från små lasarett och provinsialläkare till stora sjukhus och primärvård som omfattade flera professioner.1 I samband med den första hälso- och sjukvårdslagen (1982:763) ersattes dåvarande detaljerade lagstiftning av en målinriktad lagstiftning. I propositionen2 till lagen framgår att det övergripande målet för hälso- och sjukvården ska vara en god hälsa och en vård på lika villkor för hela befolkningen. Den nya hälso- och sjukvårdslagen gav ett utvidgat ansvar för befolkningens hälsa till landstingskommunerna och ett stort utrymme för dem att utforma vården efter lokala och regionala behov och förutsättningar. Vidare framhålls att syftet med flera av förslagen är att stärka patientens ställning i hälso- och sjukvården. Staten gavs ansvar för den centrala,

1SOU 2019:29, s. 53. 2 Prop. 81/82:97 om hälso- och sjukvårdslag m.m., s. 1.

övergripande planeringen och samordningen av hälso- och sjukvården. Detta var i linje med den allmänna decentraliseringen som pågick där staten framgent utfärdade riktlinjer för kommunal verksamhet i stället för att vara delaktig i den operativa styrningen av hälso- och sjukvården. Många regioner hade i mitten av 1970-talet regionala utvecklingsplaner avseende bland annat en stärkt primärvård men på grund av samhällsekonomins utveckling och begränsade möjligheter till personalförsörjning kunde målen inte realiseras i önskad utsträckning. Därav kom den kliniska verksamheten i stället att centraliseras till sjukhusen som utvecklades mot större enheter och mot mer specialisering. Det medförde en ökad byråkratisering och centralstyrning framför allt av de största sjukhusen. Sammantaget blev det ett vårdlandskap men ökad organisatorisk komplexitet och därmed ett större behov av samordning och styrning.3

Landstingens självbestämmande kom att stärkas än mer av kommunallagen (1991:900) som hade i syfte att ge kommunerna och landstingen större friheter och att minska statlig kontroll.4 Under 1990-talet genomfördes sedan ett stort antal förändringar av den interna styrningen av hälso- och sjukvården. En av drivkrafterna till förändringarna var den kritik avseende låg effektivitet som hade riktats mot sjukvården5. Även den ekonomiska stagnation som svensk ekonomi upplevde i början av 1990-talet drev behovet av att prioritera. Det tvingade fram prioriteringar i en större omfattning än vad som tidigare hade behövts för att öka effektiviteten och tillgängligheten till sjukvården samt stärka demokratin genom valfrihet för patienten och tydligare mandat för politiker. Landstingen och kommunerna började då införa nya styrmodeller som syftade till att skapa mer marknadsstyrning. De nya styrmodellerna skiljde på uppdragen som producent/utförare och beställare/finansiär inom sjukvården. Detta ledde till att privata aktörer började komma in på vårdmarknaden genom offentlig upphandling av tjänster. Under detta decennium tillkom därigenom sammantaget en stor mängd nya aktörer både genom kommunernas huvudmannaskap och den ökade mängden privata alternativ. Framväxten av nya vårdproducenter och driftfor-

3 Hallin, & Siverbo, S. (2003). Styrning och organisering inom hälso- och sjukvård. Studentlitteratur. 4Prop. 1990/91:117 om en ny kommunallag. 5 SOU 1999.66, s. 14–18.

mer ökade patientens valfrihet men medförde också större skillnader.6

År 1992 infördes en vårdgaranti i primärvården för vissa diagnoser genom ett avtal mellan landstingsförbundet och staten. Garantin avsåg tre månaders väntetid och tolv olika specificerade behandlingar med en särskilt omfattande väntetidssituation.7 År 1996 utvidgades garantin att även gälla kontakt med primärvården och ett första besök hos en primärvårdsläkare eller en specialist. Året därefter ändrades den ytterligare för att omfatta alla insatser.8 Regeringen och SKR (då SKL) tecknade 2005 en överenskommelse om att inkludera väntetider i vårdgarantin.9 Denna infördes år 2010 i hälso- och sjukvårdslagen.

Den politiska inriktningen inom hälso- och sjukvården hade under första decenniet av 2000-talet fortsatt att vara inriktad mot att öka patienternas valfrihet och underlätta för privata vårdgivare att etablera sig i primärvården med offentlig ersättning. I samband med att lagen (2008:962) om valfrihetssystem (LOV) trädde i kraft år 2009 introducerades ett alternativt sätt för huvudmännen att upphandla privata utförare av offentligt finansierad hälso- och sjukvård och socialtjänst utöver befintlig lag om offentlig upphandling (LOU). I propositionen framgår att den föreslagna lagen reglerar vad som ska gälla för de landsting och kommuner som vill konkurrenspröva kommunala och landstingskommunala verksamheter genom att överlåta utförandet av stöd, vård och omsorgstjänster. Såväl privata företag som ideella organisationer kan enligt den nya lagen ansöka om att bli godkända som leverantörer10. Året efter blev det obligatoriskt för landstingen att inrätta ett vårdvalssystem som gav medborgarna rätt att välja mellan olika vårdgivare i primärvården. Alla vårdgivare som uppfyllde de landstingsbeslutade kraven på kvalitet hade rätt att etablera sig i primärvården med offentlig ersättning11. Övriga delar av hälso- och sjukvården kunde respektive huvudman bestämma om den ville utföra den i egen regi eller om utförandet skulle upphandlas, i så fall tillämpades antingen LOV eller LOU. Genom dessa för-

6SOU 1999:66, s. 180. 7 Socialstyrelsen (2012). Vårdgaranti och kömiljard – uppföljning 2009–2011. 8 Socialstyrelsen (1997). Fyra år med vårdgaranti: erfarenheter och effekter: en sammanfattande rapport från uppföljningen av 1992 års nationella vårdgaranti, rapport 1997:2, s. 7. 9 Staten och Sveriges Kommuner och Landsting 2005. Överenskommelse mellan staten och Sveriges Kommuner och Landsting om en nationell satsning för en fungerande vårdgaranti. 10Prop. 2008/09:29. Lag om valfrihetssystem. 11Prop. 2008/09:74. Vårdval i primärvården.

ändringar var inte människor längre geografiskt bundna till vissa aktörer inom primärvården. Samtidigt började digitaliseringen tillta i hastighet. År 2008 infördes patientdatalagen (2008:355).

5.2. Statens ansvar och styrning

Av 1 kap. 2 § regeringsformen följer att det allmänna ska verka för goda förutsättningar för hälsa. Ansvaret för hälso- och sjukvården är fördelat mellan stat, regioner och kommuner. Det är riksdagen, regeringen, statliga myndigheter och EU som sätter ramarna för kommunala verksamheten genom exempelvis lagar, förordningar och myndighetsföreskrifter. Staten har ett övergripande ansvar för att hälso- och sjukvården bedrivs enligt de nationella målen om god hälsa och vård på lika villkor för hela befolkningen och i enlighet med bland annat hälso- och sjukvårdslagen (2017:30), fortsättningsvis HSL, patientsäkerhetslagen (2010:659) och patientlagen (2014:821).

I budgetpropositionen för 2021 anges att statens ansvar för hälso- och sjukvården innebär att främja goda förutsättningar för hälso- och sjukvårdssystemet.12 Det kommunala självstyret innebär att varje region självständigt ansvarar för att finansiera och tillhandahålla hälso- och sjukvård i sitt geografiska område. Även kommunerna tillhandahåller viss vård och omsorg. Därmed har staten delegerat ansvaret för vården till kommunerna och regionerna. Staten måste i sin styrning trots delegerat ansvar se till att vården uppfyller kravet på likvärdighet. Vidare har staten ett intresse av att de uppgifter som givits kommuner och regioner utförs på det sätt som är avsett samt att den nationella politikens mål och ambitioner får genomslag i den kommunala sektorn. Styrningen från staten är därmed ofta inriktad på att skapa likvärdighet mellan kommuner och regioner inom viktiga samhällsområden.13

Historiskt har staten styrt och påverkat vården främst genom traditionella styrmedel. Dessa innefattar exempelvis: Reglerande styr-

medel som lagar, förordningar och föreskrifter. Ekonomisk styrning

genom att med hjälp av ekonomiska incitament få mottagaren av styrningen – kommunerna och regionerna i det här fallet – att agera på ett visst sätt med exempelvis statsbidrag eller överenskommelser.

12Prop. 2020/21:1 Utgiftsområde 9, s. 12. 13 Statskontoret (2019). Utvecklingen av den statliga styrningen av kommuner och landsting – En analys. Rapport 2019:2.

Kontrollstyrning som är ett sätt för staten att i efterhand kontrollera

hur kommunerna och landstingen efterlever den styrning som staten ger med andra styrmedel. Tillsyn, uppföljning och utvärdering är typiska exempel på kontrollstyrning. Kunskapsstyrning som kan ske i form av exempelvis föreskrifter, nationella riktlinjer, allmänna råd eller metodstöd. På senare tid har även olika former av mindre traditionella styrmedel blivit allt vanligare. Detta innefattar exempelvis överenskommelser, öppna jämförelser, nationella samordnare, nationella strategier, nationella samlingar och nationella handlingsplaner inom vården.14

5.3. Regioners och kommuners ansvar och styrning

Regionerna ansvarar för att erbjuda en god hälso- och sjukvård åt den som är bosatt inom regionen och åt den som är kvarskriven och stadigvarande vistas inom regionen (8 kap. 1 § HSL). Regionen har ansvar för vård även i vissa andra situationer, exempelvis för de patienter som enligt 9 kap. 1 § patientlagen väljer utförare av offentligfinansierad vård utanför sin hemmaregion (8 kap. 3 § HSL).

Regionens ansvar som huvudman består även av att finansiera, organisera och planera vården. Som ett led i rätten att organisera verksamheten kan regionen välja att antingen som vårdgivare bedriva verksamhet i egen regi eller anlita andra, exempelvis privata vårdgivare för viss verksamhet. Även om en region överlämnar en viss uppgift som annars skulle ha utförts i egen regi åt en privat vårdgivare har regionen kvar huvudmannaskapet och därigenom det övergripande ansvaret för verksamheten. Regionen har också ansvar för att följa upp den vård som utförs på regionens uppdrag.

I 3 kap. 12 § kommunallagen (2017:725), fortsättningsvis KL, anges att kommuner och regioner får, med de begränsningar som framgår av lag, överlämna skötseln av kommunala angelägenheter till privata utförare. Att regioner och kommuner har möjlighet att lämna över vården av en kommunal angelägenhet till en juridisk person eller en enskild individ framgår också av 10 kap. 1 § KL.

Av 15 kap. 1 § HSL framgår dessutom att en region och en kommun med bibehållet huvudmannaskap får sluta avtal med någon

14 Riksrevisionen (2017). Staten och SKL – en slutrapport om statens styrning på vårdområdet. RIR 2017:3.

annan om att utföra de uppgifter som regionen ansvarar för enligt lagen, såvida de inte innefattar myndighetsutövning.

För att fullgöra det ansvar som följer av huvudmannaskapet måste regionen kontrollera och följa upp verksamhet som bedrivs av privata vårdgivare. Detta regleras i 10 kap. 8 § KL. Regionen ska, enligt 10 kap. 9 § KL, genom avtalet tillförsäkra sig information som gör det möjligt att ge allmänheten insyn i den verksamhet som lämnas över.

5.3.1. SKR som aktör i vårdens styrning

Huvudprincipen för statens styrning med ekonomiska medel är att bidrag ska ges till kommuner och landsting via det generella statsbidraget. Det förekommer även att riktade statsbidrag ges, exempelvis i samband med överenskommelser. Dessa finns oftast inom områdena hälso- och sjukvård och social omsorg samt utbildning.15Överenskommelser har blivit vanligare på vårdområdet sedan den så kallade kömiljarden tillkom 2009. En av anledningarna till att Socialdepartementet använder styrmedel så som överenskommelser är att det är kommuner och regioner som ansvarar för verksamheten, till skillnad från statlig verksamhet där regeringen kan styra mer direkt genom till exempel en myndighets instruktioner eller regleringsbrev.16

Regeringen har slutit ett stort antal överenskommelser med Sveriges kommuner och regioner (SKR). Sådana överenskommelser kan användas för att stimulera en utveckling i önskad riktning inom områden där regeringen och SKR gemensamt identifierat ett utvecklingsbehov. Genom överenskommelser ges förutsättningar för att insatser kan ske samordnat på nationell, regional och lokal nivå. Överenskommelser kan också uppnås genom andra former av avtal där parter förbinder sig till vissa åtaganden.

SKR är en medlems- och arbetsgivarorganisation vars medlemmar utgörs av samtliga Sveriges kommuner och regioner. Deras uppdrag är att stödja och bidra till att utveckla regioners och kommuners verksamhet. SKR fungerar i praktiken som ett nätverk för kunskapsutbyte och samordning, ger kurser och konferenser samt service och professionell rådgivning till tjänstepersoner och förtroendevalda i kommuner och regioner inom alla sektorer och frågor som deras med-

15 Statskontoret (2022). Utvecklingen av statens styrning av kommuner och regioner 2021. 16 Riksrevisionen (2017). Staten och SKL – en slutrapport om statens styrning på vårdområdet. RIR 2017:3.

lemmar är verksamma inom. SKR är en politiskt styrd organisation med kongress som högsta beslutande organ. Kongressen anger riktningen för SKR:s arbete och utser styrelse och ordförande. Mellan kongresserna leder styrelsen det politiska arbetet. Till stöd har styrelsen förtroendevalda politiker i delegationer och beredningar. SKR äger samtliga aktier i SKR Företag AB som är ett moderbolag för ett antal dotter- och intresseföretag i SKR Företag-koncernen. Bolagen inom koncernen ska verka för uppfyllelse av de mål som anges i uppdrag från SKR:s kongress samt i SKR:s verksamhetsplan.17 Bland SKR:s dotterbolag finns Inera AB som har i uppdrag att skapa förutsättningar för att digitalisera välfärden, genom att förse ägarna med gemensam digital infrastruktur och arkitektur.18

5.4. Processer inom EU kan påverka förhållandet mellan stat och region

Utvecklingsinriktningen och de regelverk som beslutas inom EU kan påverka nationella förhållanden och sättet att organisera verksamheter. EU-rätt utgör en egen rättsordning som upprättats genom samarbetet mellan medlemsstaterna i EU. EU:s rättsakter består framför allt av förordningar, direktiv och beslut. Förordningar är direkt tillämpliga i alla medlemsstater medan EU:s medlemsländer ska följa de regler som EU-länderna beslutar om tillsammans i EU:s institutioner. Ett land som inte gör det kan ställas inför rätta i EUdomstolen. EU-rätten har företräde framför svensk lagstiftning. Det finns olika typer av lagar och regler i EU, vissa är bindande och måste följas, andra är rekommendationer.19 En förordning är en bindande rättsakt som alla EU-länder ska tillämpa i dess helhet. Ett direktiv sätter upp mål som medlemsländerna ska nå, men de får själva bestämma hur det ska gå till. Direktiv införlivas i nationell rätt vilket innebär att det finns nationella lagar och regler som motsvarar de krav som finns i direktivet. Beslut är också bindande för dem det riktar sig till, exempelvis ett EU-land eller företag, och är direkt tillämpligt. Rekommendationer är inte bindande och yttranden är ett uttalande från institutionerna som inte innebär några rättsliga skyldigheter för

17 SKR. (2022). Om SKR. URL : Om SKR | SKR. Publicerad 2022-060-3. Hämtad 2022-08-24. 18 Inera. Om Inera. UR L: Om Inera - Inera. Uppdaterad 2022-04-25. 19 Sveriges riksdag . EU:s lagar och regler – Sveriges riksdags EU-information (riksdagen.se).U ppdaterad 2021-07-26. Hämtad 2023-02-18.

mottagarna.20 I kapitel 3 beskrivs andra EU-direktiv och förordningar med relevans för uppdraget. I kapitel 4 redogörs även för det förslag till förordning om ett europeiskt hälsodataområde (EHDS) som kommissionen presenterat. Om förslaget till förordning antas så kommer detta att påverka hanteringen av bland annat patientjournaler och patientöversikter i Sverige och inom EU.

5.5. Hälso- och sjukvårdens organisation och finansiering

5.5.1. Gällande rätt avseende organisation och finansiering

Hälso- och sjukvårdslagen (HSL) innehåller bestämmelser om hur hälso- och sjukvårdsverksamhet ska organiseras och bedrivas. Lagen gäller för alla vårdgivare. Av lagen framgår att kommuner och regioner ansvarar för att tillhandahålla offentligt finansierad hälso- och sjukvård i egenskap av sjukvårdshuvudmän (1 kap. 1 § HSL). Med hälso- och sjukvård avses åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador, sjuktransporter och omhändertagande av avlidna. Målet med hälso- och sjukvården är enligt lagen en god hälsa och en vård på lika villkor för hela befolkningen. Vården ska ges med respekt för alla människors lika värde och för den enskilda människans värdighet. Den som har det största behovet av hälso- och sjukvård ska ges företräde till vården. Hälso- och sjukvården ska arbeta för att förebygga ohälsa (3 kap. 1 och 2 §§ HSL). Hälso- och sjukvårdsverksamhet ska bedrivas så att kraven på en god vård uppfylls. Där det bedrivs hälso- och sjukvårdsverksamhet ska det finnas den personal, de lokaler och den utrustning som behövs för att god vård ska kunna ges (5 kap. 2 § HSL). Kvaliteten i verksamheten ska systematiskt och fortlöpande utvecklas och säkras (5 kap. 4 § HSL).

Patientlagen syftar till att inom hälso- och sjukvårdsverksamhet stärka och tydliggöra patientens ställning samt till att främja patientens integritet, självbestämmande och delaktighet. Lagen innehåller bland annat bestämmelser om tillgänglighet, information och samtycke.

Patientsäkerhetslagen syftar till att främja hög patientsäkerhet inom hälso- och sjukvård och därmed jämförlig verksamhet. I lagen

20 Europakommissionen. Typer av rättsakter. UR L: Typer av rättsakter (europa.eu). Hämtad 2023-02-18.

finns bestämmelser om anmälan av verksamhet, vårdgivarens skyldighet att bedriva ett systematiskt patientsäkerhetsarbete, behörighetsfrågor, begränsningar i rätten för andra än hälso- och sjukvårdspersonal att vidta vissa hälso- och sjukvårdande åtgärder, skyldigheter för hälso- och sjukvårdspersonal, Inspektionen för vård och omsorgs tillsyn, prövotid och återkallelse av legitimation, Hälso- och sjukvårdens ansvarsnämnd samt straffbestämmelser.

5.5.2. Organisation och finansiering

Som framgår ovan har det skett stora strukturförändringar inom hälso- och sjukvården under de senaste årtiondena som bland annat inneburit att allt fler privata vårdgivare driver offentligt finansierad vård. Enligt statistik från SKR drevs år 2020 sammanlagt 515 av de totalt 1 170 (44 procent) vårdcentralerna i Sverige i privat regi.21Inom ramen för den offentligt finansierade vården skedde under år 2021 drygt 64 procent av alla kontanter i öppenvården hos vårdgivare i offentlig regi och resterande hos vårdgivare i privat regi, se tabell 5.1.

21 SKR (2021). Statistik om hälso- och sjukvård samt regional utveckling 2020. Verksamhet och ekonomi i regioner. UR L: Statistik om hälso- och sjukvård samt regional utveckling 2019 VERKSAMHET OCH EKONOMI I REGIONER (skr.se).

Tabell 5.1 Antalet kontakter i öppenvård hos vårdgivare i privat respektive offentlig regi. Avser enbart den offentligt finansierade vården

Region Kontakter i öppenvård

(privat regi)

Kontakter i öppenvård

(offentlig regi)

Stockholm

7 918 377

5 825 018

Uppsala

825 663

1 245 051

Sörmland

305 471

1 159 706

Östergötland

497 120

2 064 379

Jönköping

406 650

1 516 421

Kronoberg

226 036

738 330

Kalmar

169 465

1 110 465

Gotland

47 720

292 273

Blekinge

126 072

656 450

Skåne

3 509 023

4 761 849

Halland

718 240

1 183 632

Västra Götaland

3 002 462

6 356 606

Värmland

199 564

1 055 577

Örebro

213 980

1 327 692

Västmanland

497 295

856 078

Dalarna

199 741

1 222 122

Gävleborg

330 392

1 043 522

Västernorrland

243 895

842 215

Jämtland Härjedalen

92 058

582 888

Västerbotten

177 639

1 147 867

Norrbotten

225 189

927 766

Riket 19 932 052 35 915 907

Källa: SKR, 2022.

Hälso- och sjukvården finansieras på det sätt som framgår av tabell 5.2. Huvuddelen av den totala kostnaden för hälso- och sjukvården, under 2020 knappt 80 procent, finansieras av regionerna. Av den totala kostnaden för hälso- och sjukvården år 2020 kan knappt 19 procent hänföras till verksamhet utförd av privatägda företag. Det kan också noteras att av kostnaderna för verksamhet utförd av privatägda företag finansierade hushåll och individer cirka 25 procent och regioner cirka 50 procent av dessa. För verksamhet utförd av regioner finansierade hushåll och individer 1,7 procent av kostnaderna.

Tabell 5.2 Finansiella flöden mellan finansiärer och utförare inom hälso- och sjukvårdsområdet 2020 i miljoner kronor

Finansiär

Utförare

Stat Regioner Primär-

kommun

Kommunal-

förbund

Offentligt

ägda företag

Privatägda

företag

Ideella organisa-

tioner

Hushåll

och individer

Utlandet

Staten 0 27 235 378 173 175 2 739

Regioner 441 297 413 59 900 15 531 42 294

14 39

Primärkommun

0 396 1 768

0 141 4 777

0

Kommunalförbund

16

Offentligt ägda företag

65

27 564

Privatägda företag

288

505 11 994

Ideella organisationer

1

1 40

Hushåll och individer

5 827 61

3 082 20 994

Utlandet

107 0

73 517

Okänt 0 5 099 54 99 0 0 2 401

Total 441 336 447 2 320 1 172 19 535 83 919 2 401 14 534

Källa: SCB, räkenskapssammandrag för regioner, kommuner och kommunalförbund, företagens ekonomi, organisationers ekonomi etc.

Utredningen konstaterar att den offentligt finansierade vården finns väl beskriven i offentlig statistik men att uppgifter om den vård som finansieras privat, till exempel av hushållen själva eller privata sjukvårdsförsäkringar, är mycket svåra att hitta. Av statistiken i tabell 5.2 framkommer enbart att privatägda vårdföretag finansieras till 40 procent av icke offentliga finansiärer. Utredningen om privata sjukvårdsförsäkringar har i delbetänkandet SOU 2021:80Reglering av privata

sjukvårdsförsäkringar – ökad kunskap och kontroll bland annat be-

handlat frågan om tillgången till uppgifter om finansiering av hälso- och sjukvården. Det finns även en genomgång av tillgången till uppgifter hos olika myndigheter samt i kvalitetsregister där det framgår att det inte finns några myndigheter som i dagsläget samlar in uppgifter om finansiering av hälso- och sjukvården.22 Myndigheten Vård-

22SOU 2021:80. Reglering av privata sjukvårdsförsäkringar – ökad kunskap och kontroll, s. 235.

och omsorgsanalys har bland annat i en rapport påtalat att det saknas information om hur patientvolymer fördelar sig mellan offentligt och privat finansierad vård, till exempel via försäkringar, och föreslår att regeringen bör ge en lämplig aktör i uppgift att se över möjligheten att på nationell nivå samla in och sammanställa uppgifter om hur hälso- och sjukvården finansieras.23

Såväl offentliga som privata vårdgivare är enligt patientsäkerhetslagen skyldiga att anmäla sin hälso- och sjukvårdsverksamhet till IVO. Alla vårdgivare, oavsett finansieringsform, är anmälningspliktiga. Huvudsyftet med anmälningsplikten är att IVO ska få kännedom om de verksamheter som IVO har tillsynsansvar för.24 Vårdgivarregistret saknar i dag information om finansieringsform för vården, det vill säga om vårdgivare bedriver offentligfinansierad vård, privatfinansierad vård eller både och. Där finns emellertid uppgifter om ägarskap, se tabell 5.3.

Tabell 5.3 Uppgifter om antal offentliga och privata vårdgivare

*Samma data som ligger till grund för tabell 5.4

2022 maj* 2023 februari

Offentlig

Kommun

288

288

Kommunalförbund

11

12

Region

21

21

Statlig

34

35

Privat

Bolag

9 861

10 290

Enskild firma

6 306

6 403

Förening

160

163

Stiftelse

112

Övriga privata

214

107

Källa: IV0, 2023.

Vårdgivare måste själva anmäla sig till IVO. Det finns i dag inget sätt för IVO att fastställa hur stort mörkertalet är avseende de som av olika skäl inte anmäler sig till registret så tekniskt sätt är det svårt att avgöra hur heltäckande registret är. Den generella uppfattningen är att de flesta vårdgivarna är med i registret, speciellt de stora sådana. Om en verksamhet helt eller till väsentlig del förändras eller flyttas

23 Vård- och omsorgsanalys (2020). Privata sjukvårdsförsäkringar. Artikelnummer: Rapport 2020:3, s. 10 och 94 f. 24 IVO. UR L: Vårdgivarregistret | IVO.se. Hämtad 2023-02-19.

ska detta anmälas till IVO inom en månad efter genomförandet, detsamma gäller om en verksamhet upphör eller läggs ner. Anmälan ska innehålla uppgifter om vilken förändring som skett. Det sker inte någon gallring från registret utan företag som går i konkurs eller läggs ner markeras som inaktiva. Om företaget är kopplat till Bolagsverket får IVO uppgifter om nedläggningen, samma sak gäller stiftelser som är kopplade till Länsstyrelserna.

Även hos SCB finns uppgifter om finansiärer och utförare inom hälso- och sjukvårdsområdet i det så kallade utförarregistret. Utförarregistret är en årlig insamling av de företag som kommuner och regioner köpt verksamhet av. Den privata vårdgivaren som inte bedriver någon verksamhet åt region eller kommun finns därför inte med. Det finns heller inget krav på regioner och kommuner att rapportera vårdgivare som utfört verksamhet men fakturerat lägre än 100 000 kronor för kommuner och 250 000 kronor för regioner. För att få en bild av hur många privata vårdgivare som bedrev hälso- och sjukvård åt regioner och kommuner under 2021 har uppgifter från IVO:s vårdgivarregister i maj 2022 samkörts med uppgifterna om antal unika privata utförare som utför region och kommunal verksamhet för kommuner och regioner 2021, se tabell 5.4.

Tabell 5.4 Antal unika privata vårdgivare i IVO:s vårdgivarregister som utfört region och kommunal verksamhet för kommuner och regioner under 2021

Antal

Unika utförare som utför verksamhet åt kommuner

840

Unika utförare som utför verksamhet åt regioner

2 320

Unika utförare som utför verksamhet åt både kommuner och regioner

83

Antal unika utförare totalt

3 243

Källa: SCB, 2023.

6. Hälso- och sjukvårdens digitala omställning

I detta kapitel ges en översiktlig beskrivning av inriktningen på den digitala omställningen som gjorts sektorsövergripande och inom hälso- och sjukvården de senaste 20 åren. Kapitlet inleds med en redogörelse av inriktningen för digitaliseringspolitiken i EU och Sverige. Därefter beskrivs statens och det myndighetsgemensamma arbetet mot en sektorsövergripande förvaltningsgemensam digital infrastruktur samt kommuner och regioners arbete med den digitala omställningen. Vidare beskrivs övergripande inriktningen för och arbetet med den digitala omställningen av hälso- och sjukvården och dess informationssystem.

6.1. Den digitala omställningen

Dagens samhällsutveckling drivs och formas till stor del av digitaliseringen. Den förändring som följer därav påverkar hela samhället i grunden och berör alltifrån hur vi studerar, arbetar, förebygger och behandlar sjukdom, fattar beslut och interagerar med andra till hur vi inordnar vardagslivet. Digitaliseringen möjliggör att saker vi redan gör kan göras på helt nya sätt och att vi kan göra helt nya saker. Genom de stora datamängder som skapas och med hjälp av artificiell intelligens kan analyser genomföras och slutsatser dras som tidigare varit omöjliga. Den demografiska utvecklingen där vi lever allt längre, både med och utan sjukdom, utmanar välfärden. Att ta vara på digitaliseringens möjligheter framhålls som centralt såväl nationellt som internationellt för att kunna möta samhällets behov och tillhandahålla en vård och omsorg med hög kvalitet och patientsäkerhet.

6.1.1. Ett Europa rustat för den digitala tidsåldern

Sedan 2014 har Europeiska kommissionen vidtagit ett antal åtgärder för att underlätta framväxten av en smidig dataekonomi bland annat genom den nya cybersäkerhetsakten1, direktivet om öppna data2 och den allmänna dataskyddsförordningen3. de politiska riktlinjer som kommissionens ordförande Ursula von der Leyen presenterade 2019 betonades behovet av att leda övergången till en frisk planet och en ny digital värld.4 En av Europeiska kommissionens sex prioriteringar för 2019–2024 är att skapa ett Europa rustat för den digitala tidsåldern. Detta genom att stärka EU:s digitala oberoende och sätta egna standarder med fokus på data, teknik och infrastruktur, och därigenom bidra till att den digitala omställningen fungerar för alla människor och företag och samtidigt bidrar till ett klimatneutralt EU 2050.5 Efter Europaparlamentet godkände Europeiska unionens råd i maj 2022 en ny lag för att främja tillgången till uppgifter och skapa en tillförlitlig miljö för att underlägga användningen av uppgifter för forskningsändamål och för skapandet av nya innovativa tjänster och produkter, dataförvaltningsakten. Genom dataförvaltningsakten inrättas robusta mekanismer för att underlätta vidareutnyttjandet av vissa kategorier av skyddade uppgifter från den offentliga sektorn, öka förtroendet för dataförmedlingstjänster och främja dataaltruism över hela EU. Den är en viktig del av EU-strategin för data, som syftar till att stärka dataekonomin.6 Genom dataförvaltningsakten skapas en mekanism som gör det möjligt att på ett säkert sätt vidareutnyttja vissa kategorier av uppgifter från den offentliga sektorn som omfattas av andras rättigheter. Det handlar till exempel om företagshemligheter, personuppgifter och uppgifter som skyddas av immateriella rättigheter. Offentliga myndigheter som tillåter

1 Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens säkerhetsbyrå) om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten). 2 Europaparlamentets och Rådets direktiv (EU) 2019/1024 av den 20 juni 2019 om öppna data och vidareutnyttjande av information från den offentliga sektorn. 3 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 4 Von der Leyen (2018). En ambitiösare union. Min agenda för Europa. Politiska riktlinjer för nästa europeiska kommission, 2019–2024. 5 Europeiska kommissionen (2020). Shaping Europe’s digital future. 6 Europaparlamentets och rådets förordning EU 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten).

denna typ av vidareutnyttjande behöver vara tekniskt rustade för att se till att integriteten och sekretessen bevaras fullt ut. I detta avseende kommer dataförvaltningsakten att komplettera direktivet om öppna data från 2019, som inte omfattar sådana typer av data. Målet med insatserna är att till 2030 etablera en inre marknad för data. Utöver dessa förordningar har kommissionen som utredningen beskriver i kapitel 4 och återkommer till längre fram även lagt fram ett förslag till förordning om ett europeiskt hälsodatautrymme i syfte att ge enskilda inom EU bättre kontroll på sina hälsodata samt göra det lättare att dela och få tillgång till olika typer av hälsodata.

Ramverk för interoperabilitet

Inom ramen för kommissionens prioritet att skapa en digital inre marknad för data i Europa antogs 2017 European Interoperability Framework (EIF).7 EIF syftar till att öka offentliga organisationers förmåga att möta det ökande antalet initiativ, förordningar och direktiv som lanseras på EU-nivå med koppling till digitalisering. Begreppet interoperabilitet definierades under början av 1990-talet som förmågan hos två eller flera system eller komponenter att utbyta information och använda informationen som har utbytts (IEEE, 1990).8Begreppet har sedan dess utvidgats och definieras i dag i EIF som:

The ability of organisations to interact towards mutually beneficial goals, involving the sharing of information and knowledge between these organisations, through the business processes they support, by means of the exchange of data between their ICT systems (Europeiska kommissionen, 2017).

EIF ger vägledning och rekommendationer om hur offentliga organisationer kan stärka styrningen över initiativ avseende interoperabilitet, etablera organisationsöverskridande relationer, effektivisera processer som stödjer digitala tjänster och säkerställa att existerande och ny lagstiftning inte motverkar interoperabilitet. EU står i dag inför ett stort antal initiativ som påverkar digitaliseringsarbetet i Sverige och dessa kommer, oavsett sektor, att utgå ifrån EIF. För att

7 The European Interoperability Framework (EIF), Communication (COM(2017)134) antagen av Europeiska kommissionen 23 mars 2017. 8 IEEE (1990). 610-1990 – IEEE standard Computer Dictionary: A Compilation of IEEE Standard Computer Glossaries. UR L: 610-1990 - IEEE Standard Computer Dictionary: A Compilation of IEEE Standard Computer Glossaries | IEEE Standard | IEEE Xplore.

underlätta för svenska organisationer att fungera effektivt tillsammans – såväl nationellt som inom EU – har Myndigheten för digital förvaltning (DIGG) skapat ett motsvarande nationellt ramverk: Det

svenska ramverket för digital samverkan9. Ramverket utgår från det

europeiska ramverket för interoperabilitet, med en anpassning till svenska förutsättningar och förvaltas av DIGG.

6.1.2. Regeringens inriktning för digitaliseringspolitiken

Digitaliseringspolitiken är ett tvärsektoriellt område som utvecklas snabbt. För ett decennium sedan beskrevs it som en avskild del av en verksamhet. I Sverige formulerade regeringen 2011 sin strategi för den övergripande it-politiken It i människans tjänst – en digital agenda

för Sverige. Året efter kom regeringens strategi för digitalt samverkande förvaltning – Med medborgaren i centrum. När digitaliseringsstrategin

kom 2017 omnämndes inte längre it som en avskild del av verksamheten. I stället användes begreppet digitaliseringen och i begreppet innefattas en omställning som påverkar och förändrar verksamheter i grunden och som alla är delaktiga i. Digitaliseringsstrategin För ett

hållbart digitaliserat Sverige är utgångspunkten för regeringens styr-

ning av digitaliseringspolitiken. Det övergripande målet för såväl agendan från 2011 som den nya strategin är att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter.

För att nå målen i den digitala agendan från 2011 tillsatte regeringen 2012 Digitaliseringskommissionen. Digitaliseringskommissionen hade i uppgift att verka för att målet för Sverige uppnås och att regeringens ambitioner inom området fullföljs.10 Deras arbete sammanfattades i fyra betänkanden som bland annat presenterade förslag på hur digitaliseringen av Sverige kan mätas och hur den digitala kompetensen kan stärkas. De gav även en bild av Sveriges position i internationella jämförelser och utvecklingen inom agendans sakområden. Vidare identifierade Digitaliseringskommissionen sex strategiska områden som behöver prioriteras i den framtida digitaliseringspolitiken. Många av dem återfinns i de fem delmål som lyfts i digitaliseringsstrategin från 2017 om: digital kompetens, digital trygghet, digital innovation, digital ledning och digital infrastruktur.

9 DIGG. Svenskt ramverk för digital samverkan. UR L: https://www.digg.se/kunskap-ochstod/svenskt-ramverk-for-digital-samverkan. Uppdaterad 2022-05-25. Hämtad 2023-02-19. 10 Digitaliseringskommissionen – en kommission för den digitala agendan. Dir 2012:61.

Under 2017 tillsatte regeringen Digitaliseringsrådet som en del i arbetet med den nya digitaliseringsstrategin. Digitaliseringsrådet fick i uppdrag att bidra med analyser och inspel som kommer ligga till grund för att genomföra och utveckla regeringens strategiska arbete med digitaliseringen. Dess ledamöter representerar näringsliv, akademi, myndigheter, fackförbund, SKR med flera. De skulle bland annat analysera och utvärdera genomförandet och effekter av regeringens insatser, följa utvecklingen i omvärlden och jämföra hur Sverige presterar mot andra länder samt utvärdera, vidareutveckla och lämna förslag till insatser.11 Post- och telestyrelsen (PTS) fick i uppdrag att, i form av ett kansli, ansvara för analys och uppföljning av digitaliseringspolitiken samt vara ett administrativt stöd åt regeringens Digitaliseringsråd. I ett flertal rapporter och betänkanden lyftes samtidigt behovet av ett samlat grepp och en tydligare nationell styrning för en nationell digital infrastruktur fram (se exempelvis SOU 2017:23).

I SOU 2017:23 digitalförvaltning.nu framhålls behovet av en förvaltningspolitik för en nationell digital infrastruktur för att stärka digitaliseringen av den statliga förvaltningen. Regeringen bedömde i budgetpropositionen för 2018 att Sverige saknar flera av de förvaltningsgemensamma grundläggande komponenterna som finns i andra jämförbara länder. Bristen på nationell digital infrastruktur har lett till många myndighetsspecifika lösningar som skiljer sig från varandra. Till följd av detta skapas en ineffektiv ordning för den offentliga sektorn som helhet. Regeringen framhöll att resultatet i de internationella mätningarna visade ett behov av att främja innovation och användardriven design samt användning av öppen data. De konstaterade vidare att den offentliga förvaltningen behövde öka sin förmåga att ta tillvara digitaliseringens möjligheter för att möta behoven hos företag och privatpersoner samt genomföra en miljö- och klimatomställning. För att nå målet för digitaliseringen av den offentliga förvaltningen samt stärka och effektivisera styrningen av digitaliseringen i den offentliga sektorn inrättades en ny myndighet.12 Myndigheten för digital förvaltning (Digg) ska enligt förordning (2018:1486) med instruktion för Myndigheten för digital förvaltning samordna och stödja den förvaltningsgemensamma digitaliseringen i syfte att göra den offentliga förvaltningen mer effektiv och ändamåls-

11 Digitaliseringsrådet. Vårt uppdrag. UR L: Vårt uppdrag - Digitaliseringsrådet (digitaliseringsradet.se). Hämtad 2023-02-19. 12 Proposition 2017/18:1. Budgetproposition för 2018, s. 98–100.

enlig. I samband med regeringsbildningen 2019 omformulerades så digitaliseringsrådets uppdrag så att dess uppdrag blev mer renodlat och deras uppgifter färre med ett tydligare fokus på att arbeta mot digitaliseringspolitikens övergripande mål. Post- och telestyrelsens uppdrag att vara administrativt stöd till Digitaliseringsrådet upphörde 1 september 2021 och den del som rör analys och uppföljning av digitaliseringspolitiken överfördes till Digg.

6.1.3. En digital infrastruktur för den offentliga förvaltningen

Regeringen framhöll redan i budgetpropositionen för 2007 sin avsikt att stärka styrningen av den förvaltningsgemensamma utvecklingen genom att säkerställa att förvaltningen utvecklar gemensamma principer för hur statlig registerinformation enklare ska kunna utbytas och se till att myndigheter använder enhetliga format för övrig informationsöverföring. Vidare att för att se till att statsförvaltningen i samverkan med kommuner och regioner (då landsting) utvecklar och tillämpar förvaltningsgemensamma metoder för säker elektronisk kommunikation och dokumenthantering.13 I 2009 tillsattes en delegation för e-förvaltning i syfte att bidra till att stärka utvecklingen av e-förvaltningen och offentliga tjänster samt skapa goda möjligheter för myndighetsövergripande samordning.14 E-förvaltningen lämnade 10 betänkanden som presenterade förslag avseende såväl juridiska förutsättningar som organisation och samverkan, standardisering och infrastruktur innan slutbetänkandet publicerades i november 2014.15 När e-delegationen slutfört sitt uppdrag beslutade generaldirektörerna för myndigheterna som ingick i E-delegationen att, på frivillig grund, fortsätta samarbetet kring digital utveckling genom att bilda eSamverkansprogrammet (eSam) 2015. I dag ingår 34 medlemsorganisationer i samverkan kring tillgängliga och rättssäkra digitala lösningar.16

I budgetpropositionen för 2018 bedömde regeringen att det finns behov av en framtidssäkrad och resurseffektiv nationell digital infrastruktur. Vidare lyftes behovet av åtgärder för att få ordning på den

13 Proposition 2006/07:1. Budgetproposition för 2007. Utgiftsområde 2. Bilaga 1, avsnitt 2. 14 Delegation för e-förvaltning. Dir 2009:19. 15 Se delegationens samtliga SOU:er på UR L: Delegation för e-förvaltning - Regeringen.se. 16 eSam. Om eSam. Offentlig samverkan för ökad digitalisering. UR L: Om eSam - eSamverka. Hämtad 2023-02-19.

offentliga sektorns gemensamma informationsförsörjning.17 Regeringen gav i maj 2018 DIGG samt ett flertal andra myndigheter i uppdrag att lämna förslag som syftar till att skapa ökad säkerhet och effektivitet i samband med elektroniska informationsutbyten inom och med den offentliga sektorn.18 I arbetet ingick att öka standardiseringen. I slutrapporteringen av uppdraget föreslog myndigheterna bland annat att regeringen ska säkerställa en nationell styrform för att kunna besluta om aktiviteter för utveckling och realisering av den digitala infrastrukturen, samt att ett rättsligt beredningsorgan inrättas för att säkerställa långsiktiga rättsliga förutsättningar.19. I december 2019 fick DIGG, Bolagsverket, Domstolsverket, E-hälsomyndigheten, Försäkringskassan, Lantmäteriet, MSB, Riksarkivet och Skatteverket i uppdrag att etablera en förvaltningsgemensam digital infrastruktur för informationsutbyte samt ett nationellt ramverk för grunddata. Hösten 2020 gavs DIGG även i uppdrag att i nära samverkan med SKR analysera kommuners och regioners förutsättningar att delta i den förvaltningsgemensamma digitala infrastrukturen, i syfte att stärka välfärdens digitalisering. I december 2021 slutrapporterade DIGG uppdragen om en förvaltningsgemensam digital infrastruktur.20 Genom arbetet som utförts i samband med uppdragen har grunden för med den förvaltningsgemensamma digitala infrastrukturen lagts. En utgångspunkt för arbetet med Sveriges digitala infrastruktur, Ena, är att svensk offentlig förvaltning ska utveckla nya gemensamma lösningar och att dessa byggs för att fungera tillsammans. Infrastrukturen består i huvudsak av ett antal så kallade byggblock. Därtill finns ett ramverk för nationella grunddata och en struktur för styrning. Vissa delar av den digitala infrastrukturen används i stor omfattning redan i dag, så som digital post och e-legitimationer. Byggblocken har delats in i fyra kategorier: Digitala tjänster, Informationsutbyte, Informationshantering, och Tillit och säkerhet. Inom ramen för Ena har E-hälsomyndigheten genomfört en förstudie om en grunddatadomän för hälsa, vård och

17 Regeringens proposition 2017/18:1. Budgetproposition för 2018, s. 96–100. 18 Fi2018/02150DF. 19 DIGG et al. (2019). Säkert och effektivt elektroniskt informationsutbyte inom den offentliga sektorn. 20 DIGG (2021). Uppdrag att etablera en förvaltningsgemensam digital infrastruktur för informationsutbyte samt uppdrag att etablera ett nationellt ramverk för grunddata inom den offentliga förvaltningen. Dnr I2019/03306/DF, I2019/01036/DF (delvis), I2019/01361/DF (delvis), I2019/02220/DF, I2020/03366, I2020/02753, I2019/03307/DF, I2019/01412/DF, I2019/01447/DF, I2020/03367 I2020/02753 (delvis).

omsorg. Förstudien konstaterar att en stor mängd aktörer producerar och konsumerar data inom hälsoområdet. Masterdatahanteringen sker ofta i stuprör och efterfrågan är stor på nationella enhetliga data. Vidare konstateras att det finns en rad register som är potentiella grunddata och att det statliga åtagandet inom domänen växer med anledning av EU och olika regeringsuppdrag. Förstudien föreslår att domänen grunddata Hälsa, vård och omsorg initieras med utgångspunkt i de statliga register som redan finns eller är under uppbyggnad.21,22

I en rapport från 2021 redogör DIGG för kommuners och regioners förutsättningar för att delta i den förvaltningsgemensamma digitala infrastrukturen och lyfter fram ett antal utvecklingsområden.23I rapporten framhålls vikten av att den offentliga förvaltningen arbetar mer tillsammans och att kommuner och regioner ges samma möjligheter som statliga myndigheter. För att säkerställa en behovsdriven utveckling av infrastrukturen behöver kommuner, regioner och privata aktörer tillsammans med statliga myndigheter bidra i utveckling och styrning. Vidare konstateras och görs bedömningen att:

Privata aktörer tillgodoser i allt större utsträckning invånarnas behov av välfärdstjänster. De behöver på samma sätt som kommuner, regioner och statliga myndigheter få tillgång till och användning för infrastrukturen, i syfte att öka den samlade förmågan att tillhandahålla framtidens välfärd.

DIGG:s rekommendation till regeringen är att infrastrukturen bör ses som samhällsinvestering och finansieras genom anslag. Att använda avgifter som finansieringskälla riskerar att motverka anslutning och användning, särskilt mot bakgrund av kommuners och regioners varierade förutsättningar att kunna digitalisera sin verksamhet och därmed nyttiggöra sig infrastrukturen.

Det framgår av utredningens direktiv att den infrastruktur som används för ändamålet patientöversikter i den mån möjligt ska ta sin utgångspunkt i den förvaltningsgemensamma digitala infrastruktur som är under framtagande.

21 E-hälsomyndigheten (2021). Förstudie grunddatadomän för hälsodata. Dnr 2021/03564. samt 2022a). 22 E-hälsomyndigheten (2022). Grunddatadomän Hälsodata. Kompletterande underlag till den utforskande förstudien. Dnr 2021/03564. 23 DIGG (2021). Uppdrag att genomföra en analys om förutsättningarna för kommuners och regioners deltagande i den förvaltningsgemensamma digitala infrastrukturen. Dnr I2022/02241, I2021/00941.

6.1.4. Regioner och kommuners arbete med digitalisering

Regioner och kommuner befinner sig mitt i en förändringsresa för att tillhandahålla välfärd på nya sätt. För att kunna möta välfärdens utmaningar genom att utmana arbetssätt och strukturer, använda data som strategisk resurs och kraften i ny teknologi behöver rätt förutsättningar finnas på plats. I den strategi för digital utveckling24 som SKR publicerade i mars 2022 i syfte att skapa en gemensam riktning för kommuner, regioner, SKR, Adda och Inera om grundläggande förutsättningar för utveckling i en digital tid presenteras fyra målområden:

  • Ledning, styrning och organisation
  • Arkitektur och säkerhet
  • Informationsförsörjning och digital infrastruktur
  • Sammanhållen digital service.

Strategin förhåller sig till de 13 grundläggande principerna i Svenskt ramverk för digital samverkan. I strategin framgår att välfärdsleveransen sker till största del hos regioner och kommuner och att det är på lokal nivå som det stora arbetet med digital utveckling genomförs. SKR arbetar tillsammans med Inera och Adda för att ge kommuner och regioner stöd i deras verksamhetsutveckling med hjälp av digitalisering. SKR ger stöd och service och bidrar till medlemmarnas förändringsarbete inom respektive verksamhetsområde med fakta och jämförelser, kompetenshöjande insatser samt bedriver ett proaktivt påverkansarbete för att bland annat snabba på processen att minska rättsliga hinder för digitalisering och har ansvaret för koordinering av koncernens gemensamma digitaliseringssatsning. Inera samordnar, tillhandahåller och utvecklar sektorsspecifik samverkansarkitektur, infrastruktur, tjänster och lösningar till kommuner och regioner. Inera erbjuder bland annat kompetens inom arkitektur, interoperabilitet, standarder, informationssäkerhet och juridik. Adda (tidigare SKL Kommentus) genomför gemensam kravfångst och tillhandahåller avtal för verksamhets- och användarnära tjänster och produkter samt ger stöd och råd i kommuner och regioners anskaffningsprocesser.

24 Sveriges kommuner och regioner (2022). Utveckling i en digital tid. En strategi för grundläggande förutsättningar.

Upphandling används som ett strategiskt verktyg för ökad standardisering och växla upp lokala innovationer nationellt.25

6.2. Digitaliseringen av hälso- och sjukvården

It har länge beskrivits som en förutsättning för att förbättra sjukvårdens kvalitet, patientsäkerheten och tillgängligheten inom vård och omsorg. Redan under början av 2000-talet var elektroniska patientjournaler och läkemedelsrecept samt digital meddelandehantering är en naturlig del av vårdens vardag. Ändå gav inte de dåvarande itverktygen de positiva effekter som skulle vara möjliga. Detta sades dels bero på att it-användningen varierar kraftigt inom vård- och omsorgssektorn, dels på att många av de it-stöd som används inte kan kommunicera med varandra. Tillgång till relevant information avsågs vara är en nödvändighet för att kunna garantera en god och säker vård. Mot den bakgrunden etablerade regeringen och Sveriges Kommuner och Landsting redan 2004 ett samarbete kring it-utvecklingen inom vård- och omsorgssektorn. Inom ramen för Dagmaröverenskommelsen hösten 2004 startades ett samarbete som resulterade i att Socialdepartementet i mars 2005 tillsatte den nationella ledningsgruppen för it i vård och omsorg.26 Även i budgetpropositionen för 2006 framkommer att det fanns en bred enighet mellan vårdsektorns aktörer kring behovet av en nationell kraftsamling för att skapa en gemensam strategi för hur nya it-baserade verktyg ska implementeras och användas för att på bästa sätt stödja verksamheten och förbättra patientsäkerheten. Regeringen och Landstingsförbundet tecknade inom ramen för den så kallade Dagmaröverenskommelsen för 2006 ett avtal där man understryker it-områdets stora betydelse för att utveckla vård och omsorg. För att förverkliga överenskommelsen mellan parterna fick den nationella ledningsgruppen bestående av representanter från Socialdepartementet, Socialstyrelsen, Läkemedelsverket, Apoteket AB, Carelink samt Landstingsförbundet som fick i uppdrag att ta fram en nationell it-policy för vård och omsorg.27

25 SKR (2023). Strategi för digital utveckling. UR L: Strategi för digital utveckling | SKR. Publicerad 2023-01-20. Hämtad 2023-02-19. 26 Nationell IT-strategi för vård och omsorg. Skr. 2005/06:139. 27Prop. 2005/06:1 Utgiftsområde 9, s. 26.

6.2.1. Den nationella it-strategin för vård och omsorg

I den Nationella it-strategin för vård- och omsorg som presenterades 2006 anförs att en rad frågor av betydelse för it-användningen måste lösas på nationell nivå i samverkan mellan alla aktörer inom vården. Huvuddelen av arbetet med att effektivisera it-användningen sades av naturliga skäl utföras av de enskilda landstingen, kommunerna och de privata vårdgivarna. Därutöver uppgavs staten på olika beslutsnivåer vidta en rad åtgärder. En ökad användning av it inom vård och omsorg skulle kombineras med effektiva säkerhetslösningar som ska garantera att starkt integritetskänsliga uppgifter om enskilda individer ska hanteras på ett säkert sätt av alla som medverkar i dennes vård och omsorg. Arbetet som behöver uträttas gemensamt var uppdelade i sex insatsområden, bland annat att skapa en gemensam teknisk infrastruktur samt en gemensam informationsstruktur och möjliggöra åtkomst till information över organisationsgränserna.28 I Dagmaröverenskommelsen för 2007 beslutade parterna om att initiera ett flerårigt samarbete mellan kommuner och landsting för att regionvis och i nationell samverkan öka utvecklingstakten på detta område. Satsningarna innefattade uppdrag till Socialstyrelsen om att begreppssystemet SNOMED CT översätts, förvaltas och tillhandahålls till svenska vårdgivare, it-leverantörer och andra aktörer samt att införande och användning ska stimuleras av Socialstyrelsen och SKR gemensamt. Vidare gavs medel från staten, regioner och kommuner bland annat för att skapa tekniska förutsättningar för en ändamålsenlig och säker informationshantering med gemensamma tjänster för autentisering och identifiering av vårdpersonal, vidareutveckling av hälso- och sjukvårdens adressregister (HSAkatalogen) samt bättre informationsutbyte mellan kommuner, regioner (då landsting) och privata vårdgivare. Insatserna som avsåg teknisk it-infrastruktur och enhetlig informationsstruktur avsattes 41 miljoner.29 Även nästa års Dagmaröverenskommelse innefattade medel om totalt 35 miljoner för att fortsatta med motsvarande arbete.30Utredningen återkommer till denna infrastruktur i kapitel 13.

År 2010 investerade regionerna (då landstingen) omkring 6,7 miljarder på olika e-hälsotjänster, och allt större belopp sattes därutöver av i en gemensam utvecklingsbudget. För att ta nästa steg i syfte

28 Nationell IT-strategi för vård och omsorg. Skr. 2005/06:139. 29 Dagmaröverenskommelsen 2007, s. 18. 30 Dagmaröverenskommelsen 2008, s. 10.

att förbättra informationshanteringen i vård- och omsorgs presenterades 2010 strategin Nationell eHälsa – strategi för tillgänglig och

säker information inom vård och omsorg. Strategin togs fram av led-

ningsgruppen för Nationell eHälsa med representanter från Socialdepartementet, SKL, Vårdföretagarna, Socialstyrelsen och Famna. I strategin framgår att vård och omsorgssektorn är en av de mest informationsintensiva sektorerna i samhället och att behovet av en välfungerad informationsförsörjning mellan olika nivåer och aktörer är helt avgörande. Arbetet inom strategin inriktades på att skapa synliga och konkreta förbättringar för tre huvudsakliga målgrupper: individen, vård- och omsorgspersonalen samt beslutsfattare inom hälso- och sjukvården.

6.2.2. Vision e-hälsa 2025

Sedan 2016 finns en överenskommelse mellan regeringen och Sveriges Kommuner och Regioner (SKR) om att Sverige ska vara bäst i världen på att ta tillvara digitaliseringens möjligheter inom hälso- och sjukvård och socialtjänst till 2025. Överenskommelsen benämns Vision e-hälsa 2025.31 Utgångspunkten är att med hjälp av e-hälsa ska individen vara i centrum, verksamheter få hjälp att utvecklas och vården och omsorgen ska vara jämlik, effektiv, tillgänglig och säker. Parterna har inrättat en samverkansorganisation med personer från staten, SKR, kommuner och regioner som ska verka för att visionen ska nås. Organisationen består av en styrgrupp med politiska företrädare, en beredningsgrupp med tjänstepersoner och ett samordningskansli som E-hälsomyndigheten och SKR ansvarar för. Samverkansgrupper är knutna till beredningsgruppen. Arbetet i samverkansorganisationen utgår överenskommelsen (visionen), en strategi med fyra inriktningsmål och en genomförandeplan med runt femton prioriterade insatser. I strategin32 för 2020–2022 har fyra inriktningsmål fastställts:

  • Individen som medskapare,
  • Rätt kunskap och information,

31 Vision e-hälsa 2025 – gemensamma utgångspunkter för digitaliseringen i socialtjänst och hälso- och sjukvård. 32 Vision e-hälsa 2025. En strategi för genomförande av Vision e-hälsa 2025. Nästa steg på vägen 2020–2022.

  • Trygg och säker informationshantering, och
  • Utveckling och digital transformation i samverkan.

Statskontoret redovisade 2021 regeringsuppdraget att följa upp och analysera parternas samverkan och det arbete som de bedriver.33I rapporten konstaterade Statskontoret att Regeringen och SKR har samverkat i olika former i drygt 15 år för att stödja digitaliseringen inom vård- och omsorgssektorn och att den svenska förvaltningsmodellen medför att staten och huvudmännen behöver samverka när hälso- och sjukvården och socialtjänsten ska utvecklas. De anför att samverkan har förbättrats över tid men att den fortfarande inte är tillräckligt effektiv för att nå målen i visionen samt att det gemensamma arbetet hittills gett få tydliga resultat i form av exempelvis en mer samordnad digitaliseringen sektorn. Ett flertal slutsatser har särskilt stor bäring på utredningens arbete. Dels anser Statskontoret att samverkansorganisationen inte har anpassat sitt arbete till de förutsättningar som förvaltningsmodellen med myndigheter som lyder under regeringen och 311 självstyrande kommunala enheter (kommuner och regioner) ger. De framhåller vidare att en både ökad och nationellt samordnad digitaliseringen av hälso- och sjukvården och socialtjänsten kräver både tid och investeringar där nyttan av investeringarna kommer först senare. De bedömer att staten, kommuner och regioner kommer att behöva avsätta medel för det konkreta arbetet med e-hälsa. Staten ger redan i dag i särskilda överenskommelser med SKR statsbidrag för investeringar för att digitalisera verksamheter, där visionen till en del används som ram. Men styrkraften i överenskommelserna är enligt Statskontoret inte tillräcklig för att samordna digitaliseringen i regioner och kommuner. Regeringen har överlåtit den nationella samordningen till SKR, men SKR har inte mandat att styra regioner och kommuner. Utredningen återkommer till Statskontorets slutsatser senare i betänkandet.

33 Statskontoret (2021). Vision e-hälsa – ett försök att styra genom samverkan. 2021:17.

6.2.3. Nationell strategi för life science

Regeringens mål är att Sverige ska vara en ledande life science-nation.

En nationell strategi för life science presenterades i december 2019 och har tagits fram i bred dialog med aktörer från sektorn.34I strategin konstateras att life science bidrar till att förbättra hälsa och livskvalitet hos befolkningen, säkerställa ekonomiskt välstånd, utveckla landet vidare som en ledande kunskapsnation och förverkliga Agenda 2030. Inom ramen för strategin har 30 målsättningar som bedömts som särskilt angelägna slagits fast inom följande åtta prioriterade områden.

1. Strukturer för samverkan,

2. Nyttiggörande av hälso- och vårddata för forskning och innovation,

3. Ansvarsfull, säker och etisk policyutveckling,

4. Integrering av forskning och innovation i vården,

5. Välfärdsteknik för ökad självständighet, delaktighet och hälsa,

6. Forskning och infrastruktur,

7. Kompetensförsörjning, talangattraktion och livslångt lärande, och

8. Internationell attraktivitet och konkurrenskraft.

Utredningens uppdrag berör särskilt arbetet inom område två, Nyt-

tiggörande av hälso- och vårddata för forskning och innovation och den

underliggande målsättningen om Effektivt och säkert utbyte av pati-

entdata. Regeringen anser här att regioner och kommuner behöver bättre förutsättningar att dela patientdata mellan olika vårdgivare. Utgångspunkten är att stärka den databaserade utvecklingen under fortsatt leverans av god och säker vård, samtidigt som den personliga integriteten respekteras och krav på informationssäkerhet tillgodoses.

I bakgrundstexten lyfts bland annat fram att systemlösningar för nyttiggörande av hälso- och vårddata är en förutsättning för att Sverige ska kunna leda utvecklingen inom life science. För att data ska kunna användas till forskning, innovation och utvecklingsarbete

34 En nationell strategi för life science. URL: www.regeringen.se/4aac74/contentassets/cdda3e9fc7be4ea5b55afc99c5221fab/en-nationellstrategi-for-life-science.pdf. Hämtad 2023-03-08.

krävs interoperabilitet. Det handlar till exempel om att det ska finnas tekniska möjligheter att dela data (teknisk interoperabilitet), att samma begrepp används/ samma kontext avses av de aktörer som för in informationen i systemet (semantisk interoperabilitet) och att det finns juridiskt stöd för att behandla data som genererats i en annan verksamhet (juridisk interoperabilitet). En förutsättning är även säkra identifierings- och behörighetslösningar.

7. Digital information och infrastruktur för informationsutbyte

Utredningen har i det föregående beskrivit de regelverk och principer som styr hälso- och sjukvården, det arbete som pågår på EUnivå för att genomföra patientrörlighetsdirektivet samt ansvaret för hälso- och sjukvårdens inriktning och genomförande. Vidare skildrades i föregående kapitel den digitaliseringen i stort och i hälso- och sjukvården specifikt. Detta kapitel avser komplettera föregående kapitel genom att övergripande beskriva vart digital information om hälsa- och sjukvård som är aktuell för en patientöversikt finns i Sverige i dag. Vidare sammanfattas gällande reglering avseende dokumentation, skyldigheten att föra patientjournal samt dess innehåll. Därefter skildras arbetet med att strukturera och standardisera den digitala informationen från hälso- och sjukvården. Avslutningsvis sammanfattas nuvarande reglering kring och förutsättningar för att dela och ta del av information från hälso- och sjukvården över organisations- och regiongränser inom Sverige.

7.1. Digitala uppgifter från hälso- och sjukvården

Vid vård av patienter ska det föras patientjournal. Den som för journal ansvarar för sina uppgifter i journalen. Beroende på vart patienten sökt vård och vilken typ av vård kan informationen finnas i flera olika vårdgivares och organisationers vårdinformationssystem och i flera olika regioner. Den information om patienten som är aktuell för en patientöversikt enligt överenskomna kriterier för tjänsten inom EU produceras av såväl små som stora vårdgivare, i offentlig och privat regi och med offentlig eller privat finansiering. Vård-

givares behandling av personuppgifter inom hälso- och sjukvården regleras i patientdatalagen samt i lagen om sammanhållen vård och omsorgsdokumentation. I patientdatalagen samt Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 16:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården regleras även skyldigheten att föra patientjournal för varje patient.

Informationen kan också ha registrerats i olika regionala eller nationella kvalitetsregister.

Sammanfattningsvis finns den information som ingår i en patientöversikt enligt de specifikationer som tagits fram av Nätverket för e-hälsa liksom de uppgifter som omnämns i EHDS att hitta i flera olika digitala vårdinformationssystem och register. Nedan presenteras de för utredningen mest centrala informationsmiljöer och register samt aktuella informationsproducenter.

7.1.1. Patientjournalen

Vid vård av patienter ska det föras patientjournal. Skyldig att föra patientjournal är enligt 3 kap. 3 § patientdatalagen (2008:355)

1. den som enligt 4 kap. patientsäkerhetslagen (2010:659) har legi-

timation eller särskilt förordnande att utöva ett visst yrke,

2. den som utan att ha legitimation för yrket utför arbetsuppgifter

som annars bara ska utföras av logoped, psykolog eller psykoterapeut inom den allmänna hälso- och sjukvården eller utför sådana arbetsuppgifter inom den enskilda hälso- och sjukvården som biträde åt legitimerad yrkesutövare,

3. den som utan att ha legitimation för yrket utför samma arbets-

uppgifter inom den allmänna hälso- och sjukvården som en hälso- och sjukvårdskurator, och

4. den som utför insatser enligt lag (2019:1297) om koordine-

ringsinsatser för sjukskrivna patienter.

Den som för patientjournal ansvarar för sina uppgifter i journalen. Patientdatalagen reglerar innehållet i en patientjournal. Av 3 kap. 6 § framgår att en patientjournal ska innehålla de uppgifter som behövs för en god och säker vård av patienten. Patientjournalen ska innehålla nedanstående uppgifter om de finns tillgängliga.

– uppgift om patientens identitet, – väsentliga uppgifter om bakgrunden till vården, – uppgift om ställd diagnos och anledning till mer betydande åt-

gärder, – väsentliga uppgifter om vidtagna och planerade åtgärder, – uppgift om den information som lämnats till patienten, dennes

vårdnadshavare och övriga närstående och om de ställningstaganden som gjorts i fråga om val av behandlingsalternativ och om möjligheten till en ny medicinsk bedömning, samt – uppgift om en patient har beslutat att avstå från viss vård eller

behandling.

Det framgår vidare att informationshantering inom hälso- och sjukvården ska vara organiserad så att den tillgodoser patientsäkerhet och god kvalitet samt främjar kostnadseffektivitet. Patientjournalen uppges vara en informationskälla för: patienten, uppföljning och utveckling av verksamheten, tillsyn och rättsliga krav, uppgiftsskyldighet enligt lag samt forskning. I patientdatalagen anges att journalhandlingar ska bevaras i minst 10 år. Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården innehåller kompletterande bestämmelser till patientdatalagen avseende bland annat behandling av personuppgifter i öppna nät, åtkomst till uppgifter om patienter, patientjournalens struktur och innehåll samt hantering av patientuppgifter. Enligt 5 kap. 5 § ska vårdgivaren säkerställa att en patientjournal, i förekommande fall, ska innehålla uppgifter om bland annat: aktuellt hälsotillstånd och medicinska bedömningar, överkänslighet för läkemedel eller vissa ämnen, samtycken och återkallade samtycken, de medicintekniska produkter som har förskrivits till, utlämnats till eller tillförts en patient på ett sådant sätt att de kan spåras, ordinationer och ordinationsorsak, utredande och behandlande åtgärder samt bakgrunden till dessa samt patientens önskemål om vård och behandling. Flera av dessa uppgifter återfinns i kravspecifikationen för tjänsten patientöversikt inom EES. Utredningen återkommer till beskrivning av tjänsten i kapitel 8.

Dagens reglering avseende journalföring innefattar ett antal krav men inte krav på användning av någon särskild teknisk lösning för

journalföring. Det har resulterat i att olika vårdgivare har använt olika informationssystem för journalföring, framöver hänvisat till som informationssystem.

Sammanfattningsvis finns omfattande krav på att föra journal över den vård som ges och information om en patient finns över tiden sannolikt i ett antal olika journalsystem. Vilka och hur många beror framför allt på patientens vårdhistorik, men också på till exempel geografisk rörlighet.

7.1.2. Nationella register inom vård och omsorg

Nationella kvalitetsregister för vård och omsorg

I den senaste överenskommelsen mellan staten och SKR framgår att de nationella kvalitetsregistren utgör en stor tillgång för svensk hälso- och sjukvård samt omsorg och har bidragit till de goda resultaten för patienterna som svensk sjukvård kan uppvisa i internationella jämförelser. Det finns i dag drygt 100 nationella kvalitetsregister i drift med gemensamt ekonomiskt stöd från sjukvårdshuvudmännen och staten. Kvalitetsregistren har utvecklats primärt för syftet att stödja det kliniska förbättringsarbetet och är en av huvudkällorna i öppen redovisning av hälso-och sjukvårdens resultat bland annat i Öppna jämförelser och i Socialstyrelsens utvärderingar av vårdens kvalitet i relation till de nationella riktlinjerna och de är även viktiga källor för forskning och innovation.1 Enligt patientdatalagen definieras ett kvalitetsregister som:

/…/ en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Kvalitetsregistren ska möjliggöra jämförelse inom hälso- och sjukvården på nationell eller regional nivå.

Gemensamt för alla register är att de är individbaserade och att de innehåller diagnos, resultat för patient/brukare samt insatta åtgärder. Verksamhetens behov ska ligga till grund för registrens design och därför har kvalitetsregistren i dag olika utformning. I utvecklingsarbetet av kvalitetsregistren har ambitionen varit att de ska följa patientens väg genom vården.

1 Sammanhållen, jämlik och säker vård 2023. Överenskommelse mellan staten och Sveriges Kommuner och Regioner, s. 6.

Hälsodataregister

Nationella hälsodataregister är reglerat i lagen (1998:543) om hälsodataregister (hälsodataregisterlagen) och i ett antal förordningar. Lagen reglerar särskilt viktiga och gemensamma frågor för samtliga hälsodataregister utifrån automatiserad behandling av personuppgifter. Rikstäckande register med uppgifter från hälso- och sjukvården, så kallade hälsodataregister, finns i dag hos Socialstyrelsen, Läkemedelsverket, Folkhälsomyndigheten och IVO. Enligt prop. 1997/98:108 Hälsodata och vårdregister ska de bestämmelser som är gemensamma för samtliga hälsodataregister regleras i hälsodataregisterlagen medan närmare föreskrifter om enskilda hälsodataregister ska meddelas av regeringen inom de ramar som lagen anger.

Av 3 § och 6 § framgår att den som bedriver verksamhet inom hälso- och sjukvården ska lämna uppgifter till ett hälsodataregister för tre ändamål:

  • framställning av statistik,
  • uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård, och
  • forskning och epidemiologiska undersökningar.

Vidare följer av 8 § att endast den som är personuppgiftsansvarig får ha direktåtkomst till uppgifter i ett hälsodataregister och av 9 § att uppgifterna endast får lämnas ut på medium för automatiserad behandling om de används för de ändamål som beskrivs i lagen. På liknande sätt får den som är personuppgiftsansvarig för behandlingen av personuppgifter i ett hälsodataregister enligt 5 § hämta personuppgifter till registret genom samkörning för de ändamål som anges i 3 §.

Det föreligger inget krav på samtycke från den enskilde för att uppgifter om denne ska få föras in i registret men enligt patientdatalagen är vårdgivaren skyldig att informera om registret. Patienten kan välja att inte delta.

Ett hälsodataregister som är särskilt intressant som källa till en patientöversikt är Patientregistret som innehåller patientuppgifter om alla läkarbesök i sluten och specialiserad öppen sjukvård.

Nationella Läkemedelslistan

Den 1 maj 2021 trädde lagen (2018:1212) om nationell läkemedelslista i kraft. Samma dag introducerade E-hälsomyndigheten det nya registret Nationella läkemedelslistan (NLL). NLL ger hälso- och sjukvården, apoteken och patienten en gemensam och aktuell bild av receptförskrivna och uthämtade läkemedel. Det gäller även andra varor som patienten fått på recept så som förbrukningsartiklar, teknisk sprit samt livsmedel till barn under 16 år. Läkemedel som ges i slutenvården, även kallat rekvisitionsläkemedel, ingår i dag inte i registret. I nuläget går NLL endast att nå via webbtjänsten Förskrivningskollen, men i framtiden kommer den också vara nåbar direkt från journalsystemen.

Register med information om vårdgivare

  • IVO:s vårdgivarregister Såväl offentliga som privata vårdgivare är enligt patientsäkerhetslagen (2010:659) skyldiga att anmäla sin hälso- och sjukvårdsverksamhet till IVO. Alla vårdgivare, oavsett finansieringsform, är anmälningspliktiga. Huvudsyftet med anmälningsplikten är att IVO ska få kännedom om de verksamheter som IVO har tillsynsansvar för. Vårdgivarregistret saknar i dag information om finansieringsform för vården, det vill säga om vårdgivare bedriver offentligfinansierad vård, privatfinansierad vård eller både och. Registret innehåller emellertid uppgifter om ägarskap.
  • Uppgifter hos SCB Hos SCB finns uppgifter om finansiärer och utförare inom hälsooch sjukvårdsområdet. Det så kallade utförarregistret är en årlig insamling av de företag som kommuner och regioner har köpt verksamhet av. Den privata vårdgivaren som inte bedriver någon verksamhet åt region eller kommun finns därför inte med. Det finns heller inget krav på regioner och kommuner att rapportera vårdgivare som utfört verksamhet men fakturerat lägre än 100 000 kronor för kommuner och 250 000 kronor för regioner.

7.1.3. Relaterade initiativ och insikter om tillgång till data

Ett antal relaterade initiativ pågår eller har nyligen slutrapporterats. Socialstyrelsen slutrapporterade under hösten 2022 uppdraget att kartlägga datamängder inom hälsodataområdet, som kan anses vara av nationellt intresse (Socialstyrelsen, 2022). I slutrapporten framkommer att registrens innehåll inte har utvecklats i takt med behovet av data och förändringar i samhället. Registerdata samlas in och tillgängliggörs på olika sätt beroende på syftet med behandlingen av data vilket påverkar datatillgången. Tre angelägna dataområden valdes ut för en fördjupad utredning av förutsättningar och hinder för potentiell nationell statlig datainsamling, där myndigheten ger förslag på fortsatt arbete inom respektive område: data från primärvården, data om rekvisitionsläkemedel samt data för nationell krisberedskap. Socialstyrelsen framhåller att det i dag saknas data på individnivå från primärvården och annan öppen icke-specialiserad vård vilket innebär att en betydande del av hälso- och sjukvårdens insatser inte går att beskriva eller följa med data för hela landet. Vidare framkommer att det finns stora behov av att belysa frågor om vård och behandling som rör patientgrupper och tillstånd som i stor utsträckning omhändertas av primärvården och annan öppenvård snarare än specialiserad vård vid sjukhus. Ett nationellt heltäckande register som omfattar primärvård uppges i rapporten öka nyttan av data som redan samlas in samt ge underlag till forskning och innovation. Individbaserade nationella data från primärvården har potential att ge stor nytta för flertalet olika intressenter och har många potentiella användningsområden nu och i framtiden. Socialstyrelsen uppger vidare att det finns ett mycket stort behov av att få en heltäckande bild av läkemedelsanvändningen. Individbaserade data avseende användningen av rekvisitionsläkemedel i slutenvården saknas i dag. För att det ska vara möjligt att samla in data om rekvisitionsläkemedel bedömer Socialstyrelsen att det krävs författningsändringar och en förstärkning hos regionerna för att anpassa system och processer för insamling av dessa uppgifter. De föreslår bland annat att en reglering avseende insamling av rekvisitionsläkemedel till ett register vid Socialstyrelsen tas fram samt att Socialstyrelsen tilldelas nödvändiga resurser för att förstärka arbetet med att samla in rekvisitionsläkemedel till patientregistret i enlighet med nuvarande förordning om patientregistret.

E-hälsomyndigheten fick under 2021 i uppdrag att genomföra en förstudie om digital nationell infrastruktur för nationella kvalitetsregister. I uppdraget ingick att beskriva hur myndigheten ska kunna tillhandahålla en nationell digital infrastruktur för kommuner och regioner som bedriver nationella kvalitetsregister. Regeringen framhåller i uppdraget att en gemensam nationell statlig infrastruktur ska öka nyttan samt underlätta och minska administrationen för regioner, kommuner och statliga myndigheter.2 E-hälsomyndighetens uppdrag motiverades bland annat av Riksrevisionens iakttagelser angående arbetet med kvalitetsregister från 2006, 2013 och 2020 samt den utvärdering av statens och SKR:s gemensamma satsning på nationella kvalitetsregister som Myndigheten för vård och omsorgsanalys publicerade 2017. I delrapporten beskriver E-hälsomyndigheten att det finns behov av automatisk överföring från vårdinformationssystem till kvalitetsregister för att minska vårdens administrativa börda samt att det finns en efterfrågan av att samköra data mot till exempel hälsodataregister och befolkningsregister. Det framgår vidare att det stora antalet registerplattformar upplevs orimligt och att det finns vinster med att konsolidera.3 I slutredovisningen av uppdraget föreslår myndigheten att E-hälsomyndigheten i samverkan med berörda aktörer, etablerar och ansvarar för en nationell funktion för interoperabilitet inom hälsa, vård och omsorg. Funktionen ska bland annat främja arbetet med att ta fram och öka användningen av gemensamma specifikationer.4

7.2. Interoperabilitet

Det som krävs för att möjliggöra ett gränsöverskridande utbyte av patientöversikter över landsgränser, regiongränser eller organisationsgränser utgörs till stor del av interoperabilitet. Kungliga Tekniska högskolans Centrum för datadriven hälsa (CDDH) har beretts möjlighet att inkomma med en bilaga till utredningen, se bilaga 9. Stora delar av informationen om interoperabilitet och förutsätt-

2 Uppdrag att genomföra en förstudie om digital nationell infrastruktur för nationella kvalitetsregister. Dnr S2021/06170. 3 E-hälsomyndigheten (2022). Uppdrag att genomföra en förstudie om digital nationell infrastruktur för nationella kvalitetsregister. Delredovisning, regeringsuppdrag S2021/06170. Dnr 2021/03991. 4 E-hälsomyndigheten (2023). Förstudie digital nationell infrastruktur för nationella kvalitetsregister. Slutredovisning, regeringsuppdrag S2021/06170.

ningar för att utbyta hälsodata i detta avsnitt utgår från deras slutsatser. I bilagan framgår att en av de definitioner av interoperabilitet som används i medicinska sammanhang är den som anges av HIMSS, Healthcare Information and Management Systems Society5, där interoperabilitet betyder utbyte av data mellan tekniska system. HIMSS anger fyra olika förutsättningar för interoperabilitet:

  • Teknisk interoperabilitet (HIMSS level 1: Foundational) beskriver förmågan hos system att över huvud taget utbyta data. Det handlar alltså om fysisk koppling (sladdar, fiberoptik, etc.) och olika standarder för överföring (t.ex. TCP-IP).
  • Syntaktisk interoperabilitet (HIMSS level 2: Structural) beskriver att man enats om hur data ska kodas när det skickas via den tekniska infrastrukturen, mellan olika system. Exempel är xml, json, FHIR etc.
  • Semantisk interoperabilitet (HIMSS level 3: Semantic) beskriver det faktum att data, till exempel ett numeriskt värde, måste betyda samma sak för sändande och mottagande enhet (t ex att ett numeriskt värde som skickas mellan två system betyder systoliskt blodtryck i bägge systemen).
  • Organisatorisk interoperabilitet (HIMSS level 4: Organizational) beskriver det faktum att allt meningsfullt utbyte av data mellan system också kräver organisation, överenskommelser, policys, lagstöd och förvaltning över tid.

Alla fyra komponenter krävs för att utbyte av data ska kunna ske på ett meningsfullt sätt och för att lösningen ska hålla över tid. HIMSS definition bör inte tolkas som att man kan uppnå olika nivåer av interoperabilitet i tur och ordning. Samtliga nivåer krävs.

Inom EU:s European Interoperabilitiy Framework, EIF, senaste version 2017 (EC, 2017 03), definieras interoperabilitet annorlunda, mindre teknikorienterat, som förmågan hos organisationer att samverka genom datautbyte mellan system. Även EIF anger fyra nivåer av interoperabilitet: Legal, organisatorisk, semantisk och teknisk, med likartade benämningar som HIMSS men med delvis annorlunda innebörd. Särskilt värt att notera är att organisatorisk interope-

5 HIMSS (2023). UR L: https://www.himss.org/resources/interoperability-healthcare. Hämtad 2023-01-23.

rabilitet enligt HIMSS snarast motsvaras av det som i EIF benämns ”interoperability governance”. I EIF definieras i stället organisatorisk interoperabilitet som harmonisering av processer mellan olika aktörer.

Ordet interoperabilitet används inte sällan för att beteckna ett generellt tillstånd som man vill uppnå, där olika system delar data med varandra. Ordet blir då närmast en beteckning av den gemensamma målbilden att göra hälsodata generellt användbara. Men implicit i detta språkbruk ligger ofta att detta tillstånd kan uppnås genom interoperabilitet enligt HIMSS definition. Det är problematiskt då det tenderar att låsa diskussionen till denna specifika lösning och därmed försvåra nytänkande och innovation.

Vidare framhåller CDDH i bilaga 9 att begreppet semantisk interoperabilitet har använts för att beskriva en tänkt situation där olika tekniska system som lagrar data, automatiskt kan utbyta data med varandra på ett säkert sätt, om dessa system hanterar sina data enligt en och samma standard. Tanken är att den gemensamma standarden garanterar att innebörden av data blir densamma i sändande och mottagande system. Då det saknas någon sammanhängande beskrivning av hur detta ska fungera i praktiken är det svårt att säga mer än att idén är konceptuellt problematisk på många nivåer.6,7

7.2.1. Strukturerade data med tydliga definitioner

Av bilaga 9 framgår att begreppet strukturerade data ofta används om data som lagras som parametrar i ett systems databas och därför är direkt användbara för datorn i till exempel beräkningar. Ostrukturerade data brukar betyda skriven text, som inte är direkt användbar för datorn. Därför eftersträvas så långt som möjligt strukturerade data i våra system. En ökad strukturering av hälsodata ger direkta nyttor när sammanhållen vård- och omsorgsdokumentation tillämpas över vårdgivargränser men bidrar även till att på sikt förbättra förutsättningarna för en datadriven hälso- och sjukvård. Det bidrar även till att minska den administrativa bördan i olika system. För att kunna tolka strukturerade data krävs emellertid information om

6 Adnan, K., Akbar, R., Khor, S. W., & Ali, A. B. A. (2020). Role and Challenges of Unstruc-

tured Big Data in Healthcare (pp. 301–323).

7 Teodoro, D., Choquet, R., Schober, D., Mels, G., Pasche, E., Ruch, P., & Lovis, C. (2011). Interoperability driven integration of biomedical data sources. Studies in Health Technology

and Informatics, 169, 185–189. https://doi.org/10.3233/978-1-60750-806-9-185.

strukturen. Strukturinformation kan vara implicit, det vill säga bara tekniskt implementerad i systemet. Den kan också vara explicit lagrad i systemet, eller dokumenterad utanför systemet i till exempel en manual.

Det finns en uppsjö av begrepp relaterade till hur vi förmedlar information samt hur vi förmedlar den behövda kunskapen om data, vilket inom information kallas informationsstrukturer. Till exempel används semantik, syntax, ontologi, termer, ord, begrepp och definitioner. CDDH konstaterar i bilaga 9 att det finns mängder av definitioner av dessa ord inom olika vetenskapliga domäner men utan ett specifikt sammanhang i åtanke blir alla försök att definiera dem, såsom generella begrepp inom hälsodata, fruktlösa. I enlighet med CDDH:s slutsatser använder utredningen framöver ordet definitioner för att visa att data behöver beskrivas.

I diskussioner om hälsodata brukar även begrepp som metadata och kontext användas. Kontext betyder sammanhang. CDDH skriver i bilaga 9 att kontextuell information är en typ av metadata som ofta behövs för att rätt kunna tolka data. Vidare att metadata betyder data om data, det vill säga dokumenterad kunskap om vad data betyder. Ett blodtryck har till exempel uppmätts under vissa omständigheter, med en viss utrustning. Beskrivningen av dessa senare aspekter brukar benämnas ”metadata”, och själva mätvärdet är ”data”. Distinktionen mellan metadata och data är emellertid alltid godtycklig, beroende på hur vi väljer att betrakta situationen och bygga våra system. Om systemet bara kan lagra ”blodtryck” så får vi på något sätt parallellt lagra det faktum att det uppmättes efter fem minuters vila, i sittande, om vi behöver dokumentera det. Det senare blir då att betrakta som metadata. Men om systemet kan lagra olika sorters blodtryck så kan vi kanske välja att registrera alternativet ”blodtryck efter 5 minuters vila, i sittande” och då blir allt detta ”data”. Men om vi dessutom vill dokumentera om patienten hade ätit innan eller var fastande, eller vilken utrustning vi använde för mätningen, så blir detta metadata. Det är alltid en fråga om gränsdragning och här finns ingen konsensus eller exakt definition av vad som avses med metadata. I vissa sammanhang används begreppet helt enkelt för att beteckna en redogörelse för vad data betyder, alltså en definition. För att kunna tolka och använda data utanför den verksamhet och de system där de skapades så behöver alla aspekter av datans definition finnas tillgängliga. Om vi kallar allt detta för bara data, eller gör någon form

av uppdelning i data och metadata, har ingen betydelse så länge all kunskap som behövs för att tolka data finns med.

Myndigheters arbete med informationsstruktur och definitioner

Enhetligare begreppsanvändning är prioriterat inom Vision e-hälsa 2025, regeringens och SKR:s gemensamma vision för e-hälsoarbetet. Arbetet med regelverk, standarder och enhetligare begreppsanvändning beskrivs som grundläggande förutsättningar för utvecklingen i strategidokumentet för perioden 2020–2022.8 Arbetet har dock bedrivits av myndigheter, regioner och kommuner i snart 20 år. Som utredningen beskriver i avsnitt 6.2.1.om den nationella IT-strategin från 2006 framgår att parterna var eniga om att en svensk anslutning till Snomed Standards Development Organisation var angelägen och att Sverige ska vara en aktiv deltagare i det internationella arbetet för att utveckla, förbättra och förvalta Snomed CT (Systemized Nomenclature of Medicine – Clinical Terms). Detta är ett internationellt begreppssystem för att enhetligt beskriva och kategorisera kliniska termer och begrepp inom hälso- och sjukvården. Systemet innehåller begrepp som inordnats i ett system som beskriver deras innebörd, synonymer och relationer till andra begrepp. Det kan exempelvis handla om kliniska fynd, åtgärder och anatomiska strukturer. I samband med detta fick Socialstyrelsen regeringens uppdrag att initiera två projekt för att säkerställa en hög informationskvalitet. Regeringen gav Socialstyrelsen i uppdrag att ta det övergripande ansvaret för att begreppssystemet Snomed CT översätts, förvaltas och tillhandahålls till svenska vårdgivare, IT-leverantörer och andra aktörer. Införandet och användningen av Snomed CT skulle gemensamt stimuleras av Socialstyrelsen och SKR.9

Gemensam informationsstruktur

I dag har Socialstyrelsen enligt sin instruktion i uppdrag att skapa och tillhandahålla enhetliga begrepp, termer och klassifikationer samt att skapa, beskriva och tillhandahålla en ändamålsenlig infor-

8 Vision e-hälsa 2005. En strategi för genomförandet av Vision e-hälsa 2025. Nästa steg på vägen 2020–2022. 9 Dagmaröverenskommelsen 2007, s. 7–8.

mationsstruktur. För att skapa förutsättningar för att personal och system ska förstå varandra genom information som dokumenteras erbjuder Socialstyrelsen verktyg för en ändamålsenlig och strukturerad dokumentation i vård och omsorg.10 Gemensam informationsstruktur är ett samlingsnamn för verktyg som skapar förutsättningar för ändamålsenlig och strukturerad dokumentation. Verktygen kan användas oberoende av teknisk lösning för att strukturera och koda information som behöver dokumenteras i patienters och brukares processer. Verktygen används tillsammans för att beskriva sammanhanget och specificera informationsinnehållet i patientjournalen och personakten. Verktygen är nationell informationsstruktur (NI) samt de fackspråkliga resurserna i begreppssystemet Snomed CT, hälsorelaterade klassifikationer och Socialstyrelsens termbank. Tillsammans benämns verktygen Gemensam informationsstruktur.

NI är ett ramverk för strukturerad dokumentation inom vård och omsorg. NI består av process-, begrepps- och informationsmodeller som används som referensmodeller för att utveckla strukturerad dokumentation kring patienter och brukare. NI används för att identifiera, beskriva och hantera dokumentationsbehov inom vård och omsorg och är ett verktyg för att uppnå interoperabilitet inom och mellan olika aktörer. Interoperabilitet definieras som förmågan hos system, organisationer eller verksamhetsprocesser att fungera tillsammans och kunna kommunicera med varandra genom att följa överenskomna regler. Förvaltningen och vidareutvecklingen av NI fokuserar på det innehåll som har störst betydelse för verksamheterna inom vård och omsorg, utifrån behovet av en strukturerad dokumentation. Vidareutvecklingen innefattar begreppsutredning, juridisk utredning samt modellering och genomförs i ett nära samarbete mellan informatiker, terminologer, jurister och verksamhetsrepresentanter.

Socialstyrelsen utvecklar även nationella informationsmängder (NIM) som bidrar till att skapa en strukturerad och ändamålsenlig dokumentation kring patienter och brukare. En NIM är en standardiserad beskrivning av hur en avgränsad informationsmängd kan dokumenteras på ett strukturerat och entydigt sätt oberoende av i vilken del av vård och omsorg den dokumenterats. I dag lagras information om en individ ofta i olika informationssystem vilket kan försvåra för organisationer att dela data med varandra, men pro-

10 Socialstyrelsen. E-hälsa. Gemensam informationsstruktur. UR L: E-hälsa - Socialstyrelsen. Hämtad 2023-02-21.

blemet kan även finnas inom enskilda organisationer som exempelvis sjukhus. Nationella informationsmängder kan fungera som en gemensam referens för hur information kan dokumenteras för att kunna återanvändas inom och mellan olika informationsmiljöer. På detta sätt kan NIM:ar användas för att överbrygga barriärer som itstöden ofta stöter på och bidra till att information tolkas lika när den delas mellan verksamheter och system. NIM:ar utvecklas utifrån NI, Snomed CT, hälsorelaterade klassifikationer samt Socialstyrelsens termbank och är oberoende av kommunikationsformat och teknik som används för att utbyta information mellan system.

Metodutvecklingen för nationella informationsmängder är inspirerat av och utgår delvis från det arbete som pågår i USA samt Nederländerna och Belgien. Socialstyrelsen har dialog och samarbeten med Nictiz och Snomed CT international i dessa frågor. Informationsarkitekturstandarden SS-ISO/IEC/IEEE 42010 har använts som grund för processen i NI-utvecklingen och utgör också en grund i processen för utvecklingen av NIM. Detta säkerställer att NI och tillämpningar av NI är lösningsneutrala och kan tillämpas oberoende av ITstöd eller teknisk standard. NIM styr inte hur den underliggande databasstrukturen ser ut eller ska fungera. De beskriver hur informationen (innehållet) kan dokumenteras på ett enhetligt sätt. De möjliggör också att flertalet kommunikationsformat kan användas för att utbyta information med bibehållen innebörd, oberoende av vald teknik och teknisk standard.

Snomed CT är ett internationellt begreppssystem som är utvecklat för att användas i elektroniska informationssystem och är översatt till svenska. Snomed CT syftar till att göra den kliniska dokumentationen inom hälso- och sjukvård enhetlig, entydig och ändamålsenlig. För flertalet av de kliniska informationsmängder som ingår i patientöversikt inom ESS anges Snomed CT som rekommenderat kodverk. Den svenska utgåvan av Snomed CT innehåller cirka 360 000 aktiva begrepp och rekommenderade termer. Snomed CT lämpar sig för standardiserad dokumentation och ger förutsättningar för att information kan kommuniceras och överföras mellan olika system med bibehållen betydelse. Användning av Snomed CT gör det möjligt för informationssystemen att tolka informationens innebörd och presentera rätt information eller beslutsunderlag i olika situationer.

Socialstyrelsen är så kallat nationellt releasecenter för Snomed CT.

Nationella specifikationer (NGS)

E-hälsomyndigheten fick 2019 av regeringen i uppdrag att ansvara för att fastställa vilka e-hälsospecifikationer som ska vara nationella och gemensamma och tillgängliggöra information om dessa samt samordna och stödja berörda aktörers arbete med att ta fram och använda sådana specifikationer.11 Som ett resultat av uppdraget skapades NGS-tjänsten. Tjänsten är en kvalitetssäkrad katalog med information om e-hälsospecifikationer. En e-hälsospecifikation kan till exempel innehålla informationsmodeller, kunskapsunderlag, urval av koder från Snomed CT, NIM eller klassifikationer av vårdåtgärder. En del av dem har status som nationella gemensamma ehälsospecifikationer, NGS.

E-hälsospecifikationer behövs för att olika system ska kunna kommunicera med varandra. När IT-system utbyter standardiserad och strukturerad information om individen ökar säkerheten för patienter och brukare inom hälso- och sjukvård och socialtjänst. Informationen kan enklare återanvändas där den behövs, vilket minskar dubbeldokumentation. Rapportering och jämförelse av hälsodata blir enklare och mer tillförlitlig och det underlättar även i forskningssammanhang. E-hälsomyndigheten är i uppstartsfasen av att inrätta ett kompetenscentrum för att samla kunskap, samordna utveckling och främja användande av e‑hälsospecifikationer i Sverige. E-hälsomyndigheten har tillsammans med övriga berörda aktörer utvecklat kriterier för att bedöma e‑hälsospecifikationer av nationellt intresse. Om specifikationerna uppfyller kriterierna är avsikten att de ska få status som NGS:er. Myndigheten har även tagit fram en process för hur bedömningen går till. Bedömningskriterierna baseras på tidigare EU-arbeten avseende interoperabilitet och har anpassats efter svenska förhållanden.

7.2.2. Standarder för informationsutbyte

För att underlätta integration och interoperabilitet mellan system har det på EU-nivå tagits fram ett ramverk för interoperabilitet (EIF) och en referensarkitektur för interoperabilitetsarkitekturer (EIRA). I kapitel 6 framgår även att det på nationell nivå har det tagits fram en svensk anpassning av EIF och att det pågår etablering av en för-

11 Uppdrag att tillgängliggöra och förvalta gemensamma nationella specifikationer. Dnr S2019/01521/FS.

valtningsgemensam infrastruktur för informationsutbyte inom den offentliga förvaltningen.

Sedan ett antal år har en ny standard för informationsutbyte inom vård och omsorg fått spridning – HL7 FHIR.12 Den används för att standardisera hur man utbyter information mellan olika system. FHIR är framtagen av standardiseringsorganisationen HL7 (Health Level Seven) som är en internationell organisation bestående av experter inom hälso- och sjukvård som samarbetar för att skapa standarder för utbyte, hantering och integration av elektronisk hälsoinformation. FHIR har stöd för nationell anpassning och har stor spridning inom EU. Ramverket innehåller definierade informationsobjekt i form av cirka 150 byggblock med resurser såsom datatyper med begrepp, informationsstruktur och möjlighet att koppla på kodverk. E-hälsomyndigheten har bland annat valt standarden FHIR för Nationella läkemedelslistan.13

Inom IT-industrin är det även vanligt att utforma tjänster enligt den arkitekturella stilen REST.14 Av flera skäl önskar svensk vård och omsorg att arkitektur och infrastruktur har stöd för REST-baserade digitala tjänster generellt, och FHIR specifikt

7.3. Att ge och få tillgång till vårdinformation i Sverige

7.3.1. Gällande rätt

Redan år 2001 vid en översyn av patientjournallagen (1985:562) på uppdrag av regeringen anförde Socialstyrelsen i en skrivelse ett förslag om en helt ny bestämmelse om att dokumentation bör göras i en sammanhållen patientjournal, om inte särskilda skäl talar emot det.15 Där föreslogs även att uppgifter i ett visst hänseende endast bör förekomma en gång i journalen. Målet med den nya bestämmelsen var att förhindra onödig dokumentation och dubbelarbete. Socialstyrelsen anförde vidare att journalen skulle kunna följa patienten genom vårdkedjan oavsett om fler vårdgivare inbegrips eller ej. De konsta-

12 HL7. Welcome to FHIR. UR L: Index - FHIR v4.3.0 (hl7.org). 13 E-hälsomyndigheten. Handbok för vård- och apotekstjänster. 14 Inera. Referensarkitektur för vård och omsorg – T2 välfärden. UR L: T2 - vård och omsorg, PA1 - T2 - vård och omsorg - Confluence (atlassian.net). Hämtad 2023-03-08. 15 Socialstyrelsen (2001). Till Regeringen. Patientjournallagen – en översyn med förslag till författningsändringar. Dnr 02-3852/2000.

terade emellertid att detta var omöjligt med tanke på att journalerna utgör allmänna handlingar enligt tryckfrihetsförordningen, som myndigheten måste bevara och inte får dela med nästa vårdgivare som kan vara en annan myndighet eller enskild. En elektroniskt sammanhållen journal för varje patient som är gemensam för samtliga vårdgivare, på nationell nivå, har bland annat utretts av Patientdatautredningen. Utredningens förslag presenteras i SOU 2006:82 och innefattade en sammanhängande reglering av personuppgiftsbehandlingen inom hälso- och sjukvården i en helt ny lag, patientdatalagen. Regleringen avsåg ersätta patientjournallagen samt lagen (1998:544) om vårdregister. I betänkandet anförs att en livslång patientjournal i ett sammanhållet informationssystem, med strukturerade journalanteckningar enligt en enhetlig begrepps- och terminologiapparat, även skulle vara mycket värdefullt för all slags kvalitetssäkring av hälso- och sjukvården, ekonomisk uppföljning och andra sekundära ändamål såsom forskning. Vidare att de nationella hälsodataregistren hos Socialstyrelsen och Läkemedelsverket samt de nationella kvalitetsregistren i ett sådant scenario skulle tappa betydelse eftersom mycket information redan skulle finnas samlad i ett heltäckande journalsystem.16

Bedömningen som gjordes i SOU 2006:82 var att någon lagstiftning om en skyldighet att journalföra i ett sammanhållet system inte är genomförbar och att det inte skulle vara lämpligt att införa ett sådant obligatoriskt totalsystem. De konstaterade att det inom överskådlig tid saknas förutsättningar för att införa en för samtliga vårdgivare sammanhållen journal för varje patient. Regeringen gjorde i efterföljande proposition (2007/08:126) samma bedömning som utredningen. I stället infördes genom den nya patientdatalagen (2008:355) en reglering som innebär att vårdgivare – under vissa förutsättningar – kan få direktåtkomst till varandras elektroniska journalhandlingar.

Den nya lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation (fortsättningsvis SVOD) ersätter bestämmelserna i patientdatalagen om sammanhållen journalföring och innehåller även bestämmelser rörande de delar av socialtjänstens verksamheter som avser omsorg om äldre personer och personer med funktionsnedsättning. Uttrycket sammanhållen vård- och omsorgsdokumentation definieras i lagens 1 kap. 1 § enligt följande:

16SOU 2006:82. Patientdatalag, s. 235–243.

Ett elektroniskt system som gör det möjligt för en vårdgivare eller omsorgsgivare att ge eller få tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter hos andra vårdgivare eller omsorgsgivare.

Genom bestämmelserna i lagen får vårdgivare och omsorgsgivare ta del av personuppgifter som behandlats av en annan vårdgivare eller omsorgsgivare. Den nya lagen innebär också att det även fortsättningsvis ska vara frivilligt att upprätta en sammanhållen vård- och omsorgsdokumentation. I skälen för regeringens förslag i propositionen fördes resonemang om huruvida det ska vara frivilligt eller obligatoriskt att upprätta en sammanhållen vård- och omsorgsdokumentation. Regeringen ansåg bland annat att möjligheten till att upprätta system för sammanhållen vård- och omsorgsdokumentation är en del av ett långsiktigt utvecklingsarbete inom både regioner och kommuner för att en säker och god vård och omsorg ska kunna tillhandahållas, samtidigt som enskildas integritetskänsliga uppgifter behandlas på ett sätt som tillgodoser fysiska personers skydd avseende behandling av personuppgifter. Regeringen ansåg också i förarbetena (prop. 2021/22:117) att möjligheten att upprätta en sammanhållen vård- och omsorgsdokumentation för vissa grupper ökar förutsättningarna för en säker och trygg vård och omsorg ytterligare, för både regioner och kommuner. Det skulle i sin tur öka incitamentet att investera i teknisk utveckling av användarvänliga system som är anpassade till både regioners och kommuners behov och förutsättningar. Förutom de tekniska förutsättningarna behöver ytterligare arbete ske hos både myndigheter och huvudmän respektive utförare för att främja användningen av enhetliga begrepp, strukturerad dokumentation och journalföring. I dag tillämpar sjukvårdshuvudmännen bestämmelserna om sammanhållen journalföring genom olika tekniska lösningar. Även om de flesta av sjukvårdshuvudmännen på något sätt har anslutit sig till system som möjliggör sammanhållen journalföring, så använder de möjligheten på olika sätt och i olika utsträckning.

7.3.2. Befintlig digital infrastruktur för informationsutbyte

Det finns i dag en digital infrastruktur som gör det möjligt för regioner, kommuner och privata vårdgivare som bedriver offentlig vård att utbyta information mellan vårdgivare. Denna infrastruktur ägs och förvaltas av Inera AB (Inera). Tjänsten som erbjuder funktionaliteten heter Nationell patientöversikt (NPÖ). NPÖ har ett beroende till ett antal stödtjänster för att informationsutbytet ska kunna vara möjligt i enlighet med gällande lagar. Det innebär att organisationen behöver vara ansluten till flera av Ineras tjänster för att kunna dela med sig eller ta del av information i NPÖ. Tjänsterna omfattar Säkerhetstjänster (idP, Spärrtjänsten, Samtyckestjänsten och Loggtjänsten) identifieringstjänst SITHS samt Katalogtjänst HSA för att kontrollera och styra behörighet.

IdP står för identitetsintygsutfärdare och används för att kontrollera och fastställa användarens identitet vid inloggning i anslutna e-tjänster. När en användare loggar in i en ansluten e-tjänst kontrollerar IdP:n vem det är som vill logga in och sammanställer uppgifter om användaren i en så kallad biljett. Uppgifterna hämtas från Katalogtjänsten HSA. Biljetten styr vad användaren ska få se och göra. IdP:n har stöd för Single Sign On som innebär att användaren endast behöver logga in en gång för att få tillgång till flera olika tjänster. E-tjänster där användare loggar in med SITHS e-legitimation kan anslutas till IdP:n.17 IdP:n integrerar mot autentiseringstjänsten för att tillhandahålla registrering, legitimering och underskrift med SITHS eID inklusive Mobilt SITHS. Katalogtjänst HSA innehåller information om användare och organisation som används för att kontrollera och styra behörighet. Det behövs både för styrning av användares behörigheter och för att visa hos vilken vårdgivare information finns.18

Det går som ett alternativ att ansluta andra IdP:er än Ineras direkt till Autentiseringstjänsten. På så sätt uppnås motsvarande funktionalitet som för e-tjänster som ansluter till Ineras IdP men med möjlighet att hantera egen attributkälla och utforma sin egen användardialog. Detta kräver emellertid viss funktionalitet.19

17 Inera. IdP. URL : Så fungerar Säkerhetstjänster - Inera - Identitet och åtkomst - Confluence (cgiostersund.se). Uppdaterad 2021-05-03. Hämtad 2023-02-02. 18 Inera. Katalogtjänst HSA. UR L: HSA Katalogtjänst - Inera. Hämtad 2023-02-21. 19 Inera. Autentiseringstjänst. UR L: Så fungerar Säkerhetstjänster - Inera - Identitet och åtkomst - Confluence (cgiostersund.se). Uppdaterad 2021-05-03. Hämtad 2023-02-02.

Som utredningen beskriver i kapitel 3 om gällande rätt äger patienterna enligt 2 kap. 3 § SVOD rätten att införa restriktioner i hur deras patientinformation blir åtkomlig, kallat spärrar. För att skapa denna funktionalitet innefattar Ineras säkerhetstjänster en Spärrtjänst. En spärr fungerar så att patientuppgifter inom en viss vårdenhet (inre spärr) eller inom en vårdgivare (yttre spärr) blir spärrade för hälso- och sjukvårdspersonalen som arbetar utanför denna vårdenhet eller vårdgivare. Spärrar kan tillfälligt hävas i enlighet med patientdatalagen. Den tillfälliga hävningen är tidsbegränsad och kan återkallas innan tidsbegränsningen gått ut. För att omsätta krav på samtycke som framgår av 3 kap. 1 § SVOD innefattas även Samtyckestjänsten i Säkerhetstjänsterna. Samtyckestjänsten gör det möjligt att registrera patienters samtycke till att dela sin information med andra vårdenheter eller vårdgivare. Tjänsten används för att registrera, lagra och läsa information om samtycke till åtkomst av sammanhållen vårddokumentation. Patienters samtycke registreras till exempel av vårdpersonalen vid vårdbesöket, vanligtvis i en e-tjänst som är ansluten till Samtyckestjänsten. Det går även att registrera samtycket i Säkerhetstjänstens administrationsgränssnitt. Av samtycket framgår vem och vilka som får ta del av patientens uppgifter. Patientens spärrar hanteras via Spärrtjänsten. Avslutningsvis innehåller Säkerhetstjänster även Loggtjänsten som lagrar uppgifter om vem som haft åtkomst till patientinformation. När vårdpersonal tagit del av informationen måste det loggas. Tjänsten tar emot åtkomstloggar med uppgifter om användare, vårdenhet, aktuell patient, vilka åtgärder som vidtagits med patientuppgifterna och när det skedde från anslutna vårdinformationssystem samt lagrar informationen på ett strukturerat sätt.

Infrastrukturen bygger på principen hämta vid behov där endast engagemangsindexets tjänstekontrakt utgör den information som lagras centralt hos tjänsteplattformen. Engagemangsindexet stödjer NPÖ-tjänstens anropslogik med information om i vilket källsystem som det finns patientinformation av en specifik typ för en specifik patient. Denna information används enbart internt i NPÖ-tjänsten. För NPÖ är det huvudsakliga syftet med att använda engagemangsindex att NPÖ inte ska behöva skicka en fråga till alla anslutna källsystem om de har information om en specifik patient, utan bara till de som de facto har det.

Rättsligt stöd för behandling av personuppgifter

I dessa tjänster behandlas personuppgifter helt eller delvis automatiserat. Inera är personuppgiftsbiträde för regioner och kommuner. Regionerna och kommunerna behandlar uppgifterna i Ineras tjänster med stöd av artikel 6.1 c och e i EU:s dataskyddsförordning och behandlar känsliga personuppgifter enligt dataskyddsförordningens artikel 9.2 h och 9.3 i kombination med nationell reglering så som patientdatalagen och SVOD.20

Anslutning till NPÖ

För närvarande kan regioner, kommuner och offentligt finansierade privata vårdgivare ansluta till och använda tjänsten NPÖ och beroende stödtjänster. I figur 7.1–7.3 nedan framgår vilka informationsmängder respektive region, kommun samt privat vårdgivare tillgängliggör i NPÖ.

Figur 7.1 Regioner som visar information i NPÖ samt vilken information som visas

Källa: Inera. Uppdaterad 2023-01-13.

20 Inera. Behandling av personuppgifter. UR L: Behandling av personuppgifter - Inera. Uppdaterad 2022-11-09. Hämtad 2022-12-07.

NPÖ

Blekinge

1 1 1 1 1 1 1 1

1 Diagnoser

Dalarna

1 1 1 1 1 1 1

2 Läkemedel

Gotland

1 1 1 1 1

3 Röntgenremisser

Gävleborg

1 1 1 1 1 1 1

4 Provsvar

Halland

1 1 1 1 1 1

5 Konsultationsremisser

Jämtland Härjedalen

1 1 1 1 1 1 1 1 1

6 Uppmärksamhetsinformation

Jönköping

1 1 1 1 1 1 1 1 1 1

7 Vårdkontakter

Kalmar

1 1 1 1 1 1 1 1

8 Anteckningar

Kronoberg

1 1 1 1 1 1 1 1 1

9 Vaccinationer

Norrbotten

1 1 1 1 1 1

10 Funktionsstatus & ADL

Skåne

1 1 1 1 1 1 1 1

11 Vårdplan

Stockholm

1 1 1 1 1

12 Tillväxtkurvor

Sörmland

1 1 1 1 1 1 1

Uppsala

1 1 1 1 1 1 1 1 1

Värmland

1 1 1 1 1 1 1 1 1 1

Västerbotten

1 1 1 1 1 1 1

Västernorrland

1 1 1 1 1 1 1

Västmanland

1 1 1 1 1 1

Västra Götalandsregionen

1 1 1 1 1 1

Örebro

1 1 1 1 1 1 1

Östergötland

1 1 1 1 1 1 1 1 1

1 2 3 4 5 6 7 8 9 10 11 12

Figur 7.2 Kommuner som visar information i NPÖ samt vilken information som visas

Källa: Inera. Uppdaterad 2023-01-02.

Av statistik på Ineras webbplats framgår att användningen av NPÖ har ökat de senaste åren från drygt 6 000 användare i januari 2016 till drygt 40 000 användare i oktober 2022.21 Den yrkesgrupp som använder NPÖ mest är sjuksköterskor följt av läkare.

21 Inera. Statistik för Nationell patientöversikt. Användare. UR L: Användare - Inera. Hämtad 2023-01-10.

1 2 3 4 5 6 7 8 9 10 11 12

NPÖ

Alvesta kommun

1 1 Diagnoser

Borgholms kommun

1 2 Läkemedel

Boxholm kommun

1 1 3 Röntgenremisser

Eskilstuna kommun

1 1 1 4 Provsvar

Finspångs kommun

1 1 5 Konsultationsremisser

Gislaveds kommun

1 1 1 6 Uppmärksamhetsinformation

Habo kommun

1 1 1 7 Vårdkontakter

Haparanda kommun

1

1 1 8 Anteckningar

Högsby kommun

1 9 Vaccinationer

Hörby kommun

1

1 1 10 Funktionsstatus & ADL

Höörs kommun

1 1 11 Vårdplan

Kalmar kommun

1 12 Tillväxtkurvor

Karlshamn kommun

1

1 1

Karlskrona kommun

1

1 1

Kinda kommun

1 1

Kävlinge kommun

1 1

Leksands kommun

1

1 1

Lessebo kommun

1

Lidingö stad

1

1 1

Lomma kommun

1 1

Malmö stad

1

1 1

Mjölby kommun

1 1

Markaryds kommun

1

Motala kommun

1 1 1

Mönsterås kommun

1

Mörbylånga kommun

1

Nybro kommun

1

Nyköpings kommun

1

1 1

Olofström kommun

1

1 1

Oskarshamns kommun

1

Partille kommun 1 1 1 1 1 1 Ronneby kommun 1 1 1

Sölvesborgs kommun

1

1 1

Tierp kommun

1 1 1

Torsås kommun

1

Uppvidinge kommun

1

Vadstena kommun

1 1 1

Varbergs kommun

1

1 1

Valdemarsvik kommun

1 1

Vellinge kommun

1 1

Västerviks kommun

1

Västerås stad

1 1

Växjö kommun

1

Ydre kommun

1 1

Åtvidabergs kommun

1 1

Älmhults kommun

1

Ängelholm kommun

1

1 1

Ödeshög kommun

1 1

Önsköldsvik kommun

1

1 1

1 2 3 4 5 6 7 8 9 10 11 12

Figur 7.3 Privata vårdgivare som visar information i NPÖ samt vilken information som visas

Källa: Inera. Uppdaterad 2023-02-02.

1 2 3 4 5 6 7 8 9 10 11 12

NPÖ

Active City Göteborg AB

1 1 1 1 1 1

1 Diagnoser

Active Landvetter AB

11 1 1 1 1

2 Läkemedel

Adina Hälsan AB

11 1 1 1 1

3 Röntgenremisser

Aleris AB

1 1 1 1 1

4 Provsvar

Aleris sjukvård AB

11 1 1 1 1

5 Konsultationsremisser

Allemanshälsan Aleroz Lunden AB

11 1 1 1 1

6 Uppmärksamhetsinformation

Allemanshälsan City AB

11 1 1 1 1

7 Vårdkontakter

Apalby Praktikerservice Aktiebolag

11 1 1

8 Anteckningar

Attendo Sverige AB

1 1

9 Vaccinationer

Aveny Ögonklinik AB

11 1 1 1

10 Funktionsstatus & ADL

Banérgatans Husläkarmottagning

1

1

11 Vårdplan

Barnmorskegruppen i Göteborg

1

1

12 Tillväxtkurvor

Barnmorskemottagningen i Göteborg AB

1

1

Bonliva Care AB

11 1 1 1 1

Bo Sjögren Urologi AB

11 1 1

Capio Hjärnhälsan AB

11 1 1 1 1 1

Capio Läkargruppen Capio Närsjukvård AB

11 1 1 1

Capio online

11 1 1 1

Capio Primärvård AB

1 1 1 1 1

Capio Sportsmedicine Umeå

11 1 1 1 1

Capio St:Görans sjukhus

11 1 1 1 1

Capio Ätstörningscenter AB

11 1 1 1 1

CityAkuten Praktikertjänst AB

11 1 1

Citysjukhuset +7 kommanditbolag

11 1 1 1 1

CK Vård och omsorg

1 1

Continuum Hemsjukvård

1 1

DBI Ortopedi Västerås AB

1 1 1 1

Distriktsläkarna i Västra Götaland AB

11 1 1 1 1

Doktor.se via Vingåkers vårdcentral AB

11 1 1 1

Face and nose Shemal Celiker AB

11 1 1

Familjeläkarna i Mölnlycke Vårdcentral och BVC AB

1

1

Forsåker vårdcentral AB

11 1 1 1

Färjestadens Fysioterapi och Friskvård

11 1 1 1 1 1 1 1

GHP Gastro Center Göteborg AB

11 1 1 1 1

GHP Gastro Center Skåne AB

1 1 1 1 1 1

GHP Idrottscentrum AB

1 1 1

GHP Kirurgkliniken Stockholm AB

11 1 1 1

GHP Neuro Center Göteborg AB

1 1 1 1 1 1

GHP Ortho Center Göteborg AB

11 1 1 1 1

GHP Ortho Center Stockholm AB

1 1 1

GHP Ortho Center Storängsbotten AB

1 1 1

GHP Spine Center Göteborg AB

1 1 1

GHP Stockholm Spine Center AB

1 1 1

Global Hand Surgery Clinics AB

11 1 1 1

Göteborgs Hjärtmottagning AB

11 1 1 1

H.S. Ögonklinik AB

1 1 1 1 1

Hagakliniken Aktiebolag

11 1 1 1

Husläkarna Varmbadhuset Varberg

1

1

HVO AB (from 15 juli 2021)

1 1

Hälsa Hemma Sverige AB

11 1 1 1 1

Hönö Vårdcentral AB

1

1

Hötorgets Vårdcentral AB

1

1

Kirurgiskt Hudcenter Skandinavian Handelsbolag

11 1 1

Klemming Idrottsrehab och Fysioterapi AB

1 1 1 1 1 1 1

Kooperativet Hjärtpunkt Skiljebo

1 1

Kronogården Vårdcentral AB

11 1 1 1

Kry Primärvård AB

1

1 1

Kungsportsläkarna AB

1

1

Kvinnoläkarna i Västmanland AB

11 1 1

Leanderson Artrocenter AB

11 1 1 1 1

Logopedbyrån Dynamica

11 1 1 1 1

Lotusläkarna Håkan Bonevik AB

1 1 1 1 1

Medicheck Healthcare

11 1 1 1 1

Läkargruppen Mölndalsbro KB

11 1 1 1 1

Medhelp AB

1 1

Medipart AB

11 1 1 1 1

Medpro Clinic

1

1

Mindler

11 1 1 1 1

Modigo AB

11 1 1 1 1

Moment Psykologi

1

1

Nacka Kirurgi AB

11 1 1 1 1

Neurologi Jaan Albo AB

11 1 1 1 1

Neurology Clinic Stockholm AB

11 1 1 1 1

Norlandia Care AB

1 1

Nytida AB

1 1

Nötkärnan Bergsjön Vårdcentral och BVC

1

1

Nötkärnan Hovås Askim Familjeläkare och BVC

1

1

Nötkärnan Friskväderstorget Vårdcentral och BVC

1

1

Nötkärnan Kortedala Vårdcentral och BVC

1

1

Nötkärnan Kållered Familjeläkare och BVC

1

1

Nötkärnan Masthugget Familjeläkare och BVC

1

1

Nötkärnan Sävelången Familjeläkare och BVC

1

1

Omtanken Allemanshälsan Vård AB

11 1 1 1 1

Omtanken Järnhälsan Kommanditbolag

11 1 1 1 1

Omtanken Västerleden Vård AB

11 1 1 1 1

Optalmica Stockholm

1 1 1 1 1 1

Optalmica Västerås AB

11 1 1

Ortopedi Blekinge AB

11 1 1 1 1

Personstöd Mälardalen

1 1

Praktikertjänst

11 1 1 1

Primapraktiken

1

1

Promedicus AB

11 1 1 1

RPT Sportsrehab AB

11 1 1 1 1

Qvinnolivet

1

1

Skepplanda Läkarhus AB

11 1 1 1 1

SLG Kalmar AB

11 1 1 1 1

SMART Psykiatri i Sverige AB

1 1 1 1 1 1

Stiftelsen Bräcke Diakoni

11 1 1 1

Stiftelsen Carlanderska Sjukhuset

11 1 1 1

Stockholms Kiropraktor & Rehabklinik & förvaltning AB

11 1 1 1

Stockholms ögonklinik

11 1 1 1

Stora Höga Läkarhus AB

1 1 1 1 1

Södermalms Ortopedi

11 1 1 1 1

Söderögon AB

11 1 1 1 1

Tillberga Grannskapsservice ekonomisk förening

1 1

Ugglans Vårdcentral Landvetter AB

11 1 1 1 1

Unicare vårdcentral Mariestad

1

1

Vardaga AB

1 1

Västmanlands Fysio Rehab AB

11 1 1

Wästerläkarna AB

11 1 1 1

Älvängens Läkarhus AB

11 1 1 1 1

Ögonlasern i Stockholm AB

11 1 1 1

Ögon Praktiken I Trollhättan AB

1 1 1 1 1

1 2 3 4 5 6 7 8 9 10 11 12

7.3.3. Styrningen av Inera

Som nämnts ovan utvecklas och förvaltas den digitala infrastruktur som i dag används av vårdverksamheter inom regioner och kommuner för att dela information om patientens hälsa och vård av Inera AB. Ineras verksamhet bedrivs i aktiebolagsform och företaget ingår i SKR-koncernen. Ägarrådet är det högsta beslutande organet för Inera som annars leds av en styrelse som ska se till att verksamheten bedrivs i enlighet med ägarnas intention.22 Den 1 januari 2023 ägde förutom SKR företag, 21 regioner och 289 kommuner aktier i bolaget. Fördelningen av aktier mellan ägarna är: SKR Företag AB cirka 51 procent, regioner cirka 3 procent och kommuner cirka 46 procent.23

SKR äger samtliga aktier i SKR Företag AB som är moderbolag i SKR:s bolagskoncern samt Sveriges regioner och kommuner.24 SKR är en medlems- och arbetsgivarorganisation. Alla Sveriges kommuner och regioner är medlemmar. Förbundets verksamhet leds av en styrelse bestående av 21 ledamöter och lika många ersättare som ansvarar för dess organisation och förvaltning. Till sitt stöd har den arbetsutskott, delegationer och beredningar.25 SKR:s uppgift är att stödja och bidra till att utveckla kommuners och regioners verksamhet. SKR uppger att det övergripande målet med SKR:s ägande i bolag är att skapa värde för SKR:s medlemmar och SKR som förbund. Bolagen ska bedriva verksamhet om alternativ saknas på marknaden eller om konkurrensen anses otillräcklig, ha fokus på långsiktigt värdeskapande samt bedrivas inom strategiskt och ekonomiskt viktiga områden för SKR, kommuner, regioner och deras bolag. Inera ska enligt ägardirektiven bland annat samordna, tillhandahålla och utveckla sektorsspecifik samverkansarkitektur, infrastruktur, tjänster och lösningar till kommuner, regioner samt bolag och organisationer som de utövar ett rättsligt inflytande över, inom deras verksamhetsområden och ansvar. Vidare ska de ta fram av ägarna efterfrågade gemensamma tjänster och lösningar till stöd för digitalisering och verksamhetsutveckling inom områden där marknaden inte bedöms kunna tillgodose ägarnas behov och intressen. De ska så långt som möjligt

22 Inera. Så styrs Inera. UR L: Så styrs Inera - Inera. 23 Inera AB (2022). Årsredovisning 2021. 24 SKR Företag (2022). Ägardirektiv för Inera AB – antas på ägarråd 2022-05-02 och bolagsstämma 2022-06-16. 25 SKR. Styrelse och beredningar SKR. Publicerad 2023-11-22. Hämtad 2022-12-22. UR L: Styrelse och beredningar | SKR.

nyttja marknaden och föreliggande konkurrensförhållanden samt stimulera innovation och konkurrens26

Ineras ägarstruktur som den ser ut i dag tog sin form efter att styrelsen för SKR i oktober 2016 godkände att SKR Företag AB förvärvar merparten av aktierna i Inera samt att regionerna uttalat sitt stöd för en förändring som innebär att verksamheten breddas och även omfattar kommunerna samt ger en närmare anknytning till SKR:s arbete med verksamhetsutveckling.27 Samtliga regioner fattade beslut om att sälja 145 av sina 150 aktier i Inera. Därefter erbjöds kommuner köpa 5 aktier vardera och bli delägare på samma villkor som landsting och regioner. Fram till 2017 har Ineras verksamhet varit inriktad på hälso- och sjukvårdsområdet, men genom det breddade ägandet ska bolaget kunna verka inom betydligt fler verksamhetsområden, till exempel skola, omsorg och samhällsbyggnad.

Genom att kommunen blev delägare i företaget, blev det möjligt även för dem att köpa tjänster från Inera AB utan föregående upphandling, genom det så kallade Teckal-undantaget i upphandlingslagstiftningen. Teckal-undantaget innebär att vissa upphandlade organisationer kan träffa avtal med varandra utan att genomföra upphandlingar enligt lagen (2016:1145) om offentlig upphandling, lagen (2016:1146) om upphandling inom försörjningssektorerna och lagen (2016:1147) om upphandling av koncessioner. Undantaget gäller enkelt utryckt fall där den upphandlande organisationen kontrollerar den part som den ingår avtal med enligt det så kallade ”kontrollkriteriet” och att avtalsparten bedriver huvuddelen av sin verksamhet tillsammans med den upphandlande organisationen kallat ”verksamhetskriteriet”. För verksamhetskriteriet gäller att den andel av verksamheten som bedrivs mellan de aktuella organisatoriska enheterna måste vara mer än 80 procent. Bedömningen ska som huvudregel grunda sig på de tre åren innan tilldelningen av kontraktet.28 Undantaget har skapats av EU-domstolen.29

Inera är ett aktiebolag som enligt 2 kap. 3 § offentlighets- och sekretesslagen (2009:400) ska jämställas med myndighet vad gäller tillämpningen av tryckfrihetsförordningens bestämmelser om rätt

26 SKR Företag (2022). Ägardirektiv för Inera AB – antas på ägarråd 2022-05-02 och bolagsstämma 2022-06-16. 27 SKR. Förvärv av aktier i Inera AB. Kommunens beslutsunderlag. 28 Upphandlingsmyndigheten. Avtal som är undantagna från reglerna. UR L: Avtal som är undantagna från reglerna om upphandling | Upphandlingsmyndigheten. Hämtad 2023-02-05. 29 EU-domstolens dom (femte avdelningen) den 18 november 1999. Mål c-107/98. URL: https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:61998CJ0107.

att ta del av allmänna handlingar hos myndigheter och vid tillämpningen av offentlighets- och sekretesslagen.

Med nuvarande styrning och organisation kan staten inte direkt finansiera Ineras verksamhet och bara i undantagsfall styra eller begränsa verksamheten (se 2 kap. 17 § första stycket regeringsformen och artikel 107 i Fördraget om Europeiska unionens funktionssätt).

8. Tjänsten patientöversikt inom EES

Tjänsten patientöversikt inom EES syftar till att ge alla individer och behandlande hälso- och sjukvårdspersonal tillgång till utvalda uppgifter om individens hälsa och vård från hemlandet vid behov av oplanerad eller planerad vård i ett annat EES-land. Det finns flera situationer där en patient kan behöva uppsöka hälso- och sjukvården i ett annat EES-land, till exempel vid arbete, studier, boende i flera länder eller vid resa. Behandling av patienter utan information om deras medicinska tillstånd och bakgrund är riskfyllt och potentiellt farligt. Genom att möjliggöra tillgång till utvalda uppgifter om patientens hälsa och vård ökar patientsäkerheten och förutsättningar för god och säker vård stärks, bland annat genom att risken för vårdskador reduceras. Bland informationen som delas finns känsliga personuppgifter varför hanteringen bör ske på ett sådant sätt att hög informationssäkerhet garanteras och skyddet av den personliga integriteten värnas.

I det delbetänkande som utredningen tidigare lämnat har förslag till reglering lämnats om hur läkemedel förskrivna på ett e-recept kan hämtas ut genom tjänsten E-recept inom EES. I detta betänkande behandlas tjänsten patientöversikt inom EES. Då förutsättningarna för att delta i utbytet av patientöversikter delvis är desamma som för e-recept är beskrivningen av förutsättningarna delvis desamma som i delbetänkandet. Kapitlet inleds med att beskriva tjänstens syfte och utformning. Därefter redogör utredningen för själva tjänsten patientöversikt inom EES och hur informationen övergripande är tänkt att flöda utifrån de kraven som Nätverket för e-hälsa fastställt.

8.1. Tjänstens syfte och utformning

Patientrörlighetsdirektivet innehåller bestämmelser för att göra det lättare för patienter att få tillgång till en säker och högkvalitativ gränsöverskridande hälso- och sjukvård. Direktivet är genomfört i svensk rätt bland annat genom lagen (2013:512) om ersättning för kostnader till följd av vård i ett annat land inom Europeiska ekonomiska samarbetsområdet. Bestämmelserna i patientrörlighetsdirektivet syftar till att göra det lättare att få tillgång till en säker gränsöverskridande hälso- och sjukvård av god kvalitet i Europeiska unionen och att garantera patienterna rörlighet i överensstämmelse med de principer som fastslagits av EU-domstolen. Patientrörlighetsdirektivet är grunden för erkännande av tjänsten patientöversikter. Direktivets förutsättningar bör gälla som för annan gränsöverskridande vård.1Det frivilliga samarbetet om e-recept och patientöversikter innebär att bestämmelserna i artikel 11 i patientrörlighetsdirektivet och genomförandedirektivet 2012/52/EU har anpassats för dessa tjänster, till exempel omfattas inte medicinska hjälpmedel av tjänsten e-recept över landsgränser som de gör i patientrörlighetsdirektivet. Medlemsländerna kan även ingå avtal sinsemellan (artikel 10.3 i patientrörlighetsdirektivet) och e-hälsoavtalet kan ses som ett sådant avtal.2

Tjänsten patientöversikter syftar till att möjliggöra det fria flödet av patienter över landsgränser samt skapa nationell interoperabilitet, undvika upprepade kostnader för exempelvis undersökningar eller provtagningar som redan genomförts och möjliggöra besparingar för patienter och hälso- och sjukvårdssystemet. Genom tjänsten förmedlas och översätts information till det språk som är aktuellt i det tillfälliga vistelselandet. Beskrivningen av tjänsten i detta kapitel baseras på styrande dokument och krav som tagits fram inom Nätverket för e-hälsa.3

Eftersom samarbetet baseras på frivillighet är det enligt utredningens bedömning ibland oklart hur bestämmelserna i patientrörlighetsdirektivet och genomförandedirektivet är avsedda att tillämpas i

1 För överväganden vid genomförandet av patientrörlighetsdirektivet, se prop. 2012/13:150 och prop. 2015/16:139. 2 eHealth Network, 9th eHealth Network meeting Cover note by Secretariat, den 25 maj 2016, s. 1 och Summary minutes 9th Meeting of the eHealth Network, den 7 juni 2016, s. 3. 3 Styrande dokument, krav, specifikationer och andra beskrivningar av tjänsten finns samlade på webbplatsen My Health @ EU – eHealth Digital Service Infrastructure (eHDSI) Home, under en folder som heter eHDSI Operations Home. Det krävs en EU-inloggning för webbplatsen som alla kan skaffa. https://webgate.ec.europa.eu/fpfis/wikis/display/EHDSI/ OPERATIONS+Home (hämtad 2022-06-10).

tjänsterna e-recept och patientöversikt över landsgränser. Klart är dock att medlemsländerna kommer överens om gemensamma krav inom Nätverket för e-hälsa. Medlemsländerna åtar sig att följa dessa krav för att ansluta sig till tjänsterna. Kraven finns inte i någon sammanhållen rättsakt, utan är resultatet av ett pågående arbete och framgår av riktlinjer, kravkatalog med mera. Nationella förutsättningar kan få betydelse för ländernas deltagande i tjänsterna. Vad gäller patientöversikter kan till exempel informationshanteringen vara nationell eller regional, hanteras centraliserat eller decentraliserat, komma från statliga eller privata vårdgivare och vara obligatorisk eller frivillig att delge.

8.1.1. Nätverket för e-hälsa

EU stödjer och främjar samarbetet och utbytet av information inom ramen för det frivilliga Nätverket för e-hälsa. Nätverket baseras på artikel 14 i patientrörlighetsdirektivet och på Kommissionens genomförandebeslut 2019/1765 av den 22 oktober 2019 om regler för inrättande, förvaltning och drift av ett nätverk av nationella myndigheter med ansvar för e-hälsa och om upphävande av genomförandebeslut 2011/890/EU. Nätverket ska koppla ihop nationella myndigheter som är ansvariga för e-hälsa, utsedda av medlemsstaterna. I december 2011 fattade kommissionen ett genomförandebeslut om att starta ett sådant nätverk av nationella myndigheter med ansvar för e-hälsa4. Nätverket för e-hälsa ska enligt direktivet arbeta för att tillhandahålla hållbara sociala och ekonomiska nyttoeffekter genom europeiska system och tjänster som rör e-hälsa. Inom ramen för samarbetet kring e-hälsa finns för närvarande två tjänster framtagna, e-recept och patientöversikter inom EES.

8.1.2. Nationell kontaktpunkt för e-hälsa

Varje medlemsland ska utse endast en nationell kontaktpunkt för e-hälsa som ska ansvara för de organisatoriska och tekniska förutsättningarna för tillhandahållande av gränsöverskridande informationstjänster för e-hälsa under medlemslandets ansvar. Dessa kon-

4 Europakommissionens genomförandebeslut 2011/890/EU av den 22 december 2011 om regler för inrättande, förvaltning och drift av ett nätverk av nationella myndigheter med ansvar för e-hälsa.

taktpunkter ska anslutas till varandra och all information som utbyts av medlemsländerna ska gå genom dem. Varje kontaktpunkt för ehälsa ska vara ansluten till aktuella vårdgivare i det egna landet. E-hälsomyndigheten är Sveriges kontaktpunkt för e-hälsa.5

Utländska vårdgivare ska följaktligen inte vara direkt anslutna till E-hälsomyndigheten, utan informationen förmedlas till dessa vårdgivare via den utländska kontaktpunkten för e-hälsa.

8.1.3. Nätverket för e-hälsas krav för att delta i tjänsten

För att stödja arbete i Nätverket för e-hälsa har tre gemensamma åtgärder så kallade joint actions, genomförts: eHealth Government Initiative, Joint Action to support the eHealth Network och eHealth Action. Åtgärderna är EU-övergripande projekt. E-hälsotjänsterna kallas inom samarbetet eHealth Digital Services, eHDS och infrastrukturen för gränsöverskridande e-hälsotjänster, MinHälsa@EU (eHDSI). Nätverket för e-hälsa har antagit ett stort antal vägledande dokument för ett säkert informationsutbyte, ofta baserat på de gemensamma åtgärderna. Dessa förutsättningar och krav syftar till att informationsutbytet om patientöversikt över landsgränser ska vara möjligt. På webbplatsen MyHealth@EU – eHealth Digital Service Infrastruc-

ture (eHDSI) Home finns omfattande information om e-hälso-

tjänsterna. Webbplatsen kräver en EU-inloggning som alla kan skaffa. På den webbplatsen under OPERATIONS Home/eHDSI SERVICE

OFFERING beskrivs användningsfallen under rubriken eP/eD use case, omfattningen av tjänsten under eHDSI Scope and Business Goals

och detaljerade krav beskrivs under rubriken eHDSI Requirements

Catalogue. De mest centrala dokumenten så som riktlinjer för

tjänsten patientöversikter6 finns även publicerade av kommissionen.

Krav på kvalitetsgranskning

De deltagande länderna måste först genomgå en kvalitetsgranskning, en så kallad initial compliance check, som kommissionen leder med stöd av medlemsländerna. Granskningen ska säkerställa att kontakt-

5 Regleringsbrev för budgetåret 2022 avseende E-hälsomyndigheten (S2021/08111). 6 eHealth Network (2021). Guideline on the electronic exchange of health data under Cross-Border Directive 2011/24/EU. Patient Summary. Release 3, June 2021.

punkten för e-hälsa uppfyller aktuella krav på processer och dokumentation på en rad områden såsom organisation, rättsliga förutsättningar, informationssäkerhet, interoperabilitet, semantik och teknik. Därefter beslutar Nätverket för e-hälsa om deltagande land uppfyller kraven och får driftsätta tjänsten via den nationella kontaktpunkten för e-hälsa.7 Innan nätverket fattar ett sådant beslut krävs ett undertecknande av e-hälsoavtalet, se avsnittet nedan.

Krav som följer av e-hälsoavtalet

E-hälsoavtalet8 omfattar för närvarande tjänsterna e-recept och patientöversikter. Ett land kan välja att delta i en eller båda tjänsterna, som land A, land B eller båda. Att delta som land A innebär att svenska patientöversikter kan utbytas med ett annat EES-land, att delta som land B innebär att utländska patientöversikter kan nås i Sverige. E-hälsoavtalet ska undertecknas för att en kontaktpunkt för e-hälsa ska bli godkänd av Nätverket för e-hälsa och landet ska kunna delta i e-hälsotjänsterna. Det ska även fastställas att kontaktpunkten följer avtalet och de relevanta processerna samt kriterierna i tillhörande dokument i bilagan till avtalet.9 Därigenom avses avtalsparterna följa kriterierna i avtalet.10 Syftet med e-hälsoavtalet är att skapa rättslig stabilitet och interoperabilitet. Vidare har det angivits finnas ett behov av ett avtal eftersom samarbetet baseras på frivillighet och inte tvingande EU-rätt.11 E-hälsoavtalet ska undertecknas enligt nationell rätt och vad det kan innebära i Sverige har analyserats i delbetänkandet E-recept inom EES, avsnitt 13.3.1. Där gör utredningen bland annat en bedömning om att ingå i e-hälsoavtalet för ett deltagande i tjänsten e-recept över landsgränser skulle kunna anses medföra offentligrättsliga åtaganden för Sverige och även innebära att lagändringar krävs. Det kan sammantaget påverka hur avtalet bör undertecknas.

E-hälsoavtalet hade tidigare, som nämnts i delbetänkandet, en bilaga som hänvisade till ett antal dokument som ytterligare beskrev

7 Artikel 5 i genomförandebeslutet. 8Agreement between National Authorities or National Organisations responsible for National

Contact Points for eHealth on the Criteria required for the participation in Cross-Border eHealth Information Services.

9 Kapitel III, avsnitt III 1.2.1 i e-hälsoavtalet. 10 Kapitel I, avsnitt I.3(3) i e-hälsoavtalet. 11 9th eHealth Network meeting, Cover note by Secretariat, den 25 maj 2016, s. 1 och Summary

minutes 9th Meeting of the eHealth Network, den 7 juni 2016, s. 3.

kraven. Eftersom flera av dessa var föråldrade fattade Nätverket för e-hälsa den 28 januari 2022 beslut om att ta bort bilagan från avtalet och i stället införa en generell hänvisning till de bindande dokument som antas av nätverket.

E-hälsoavtalet ställer inte i sig krav på ändringar i nationell rätt utan parterna kan välja hur de ska uppfylla kraven i enlighet med nationell rätt och EU-rätten.12 Det ställer dock krav på bland annat organisation, semantisk behandling, teknik, spårbarhet och säkerhet, samt hur informationen ska överföras och tas emot. Parterna åtar sig att identifiera och autentisera patient och hälso- och sjukvårdspersonal på ett otvetydigt sätt.13 Nätverket för e-hälsa har angett att identifiering av hälso- och sjukvårdspersonal i land B ska ske med tvåfaktorsautentisering. Det finns också bestämmelser om avtalsparternas civilrättsliga ansvar och skadeståndsansvar.14

E-hälsoavtalet innehåller även bestämmelser om personuppgiftsbehandlingen. De nationella kontaktpunkterna för e-hälsa ska uppnå en säkerhetsnivå i enlighet med dataskyddsförordningen och eIDASförordningen i fråga om inbyggt dataskydd och dataskydd som standard, sekretess, integritet, autenticitet, tillgänglighet, oförnekbarhet, kryptering och andra åtgärder för datasäkerhet och kontrollmekanismer, med beaktande av processerna och kriterierna i avtalet.15Det finns också krav på spårbarhet med mera.16 Enbart behörig hälso- och sjukvårdspersonal i land B ska kunna ta del av uppgifter om patientens hälsa.17

E-hälsoavtalet innehåller åtgärder som avser att stärka skyddet för integriteten vid informationsutbytet, men innehåller inte den rättsliga grunden för personuppgiftsbehandlingen. Det innebär bland annat att E-hälsomyndigheten inte kan undgå sitt ansvar och sina skyldigheter som personuppgiftsansvarig med hänvisning till avtalet. Myndigheten måste därför bedöma om tillämpningen av de beslut som nätverket tar är förenliga med dataskyddsförordningen.18

Artikel 29-gruppen var en oberoende europeisk arbetsgrupp som behandlade frågor om integritetsskydd och skydd av personuppgifter fram till införandet av dataskyddsförordningen och som nu

12 Kapitel I, avsnitt I.3 i e-hälsoavtalet. 13 Kapitel II, avsnitt II.1.1.2 i e-hälsoavtalet. 14 Kapitel II, avsnitt II.1.2 i e-hälsoavtalet. 15 Kapitel II, avsnitt II.4.1 i e-hälsoavtalet. 16 Kapitel II, avsnitt II.4.2 i e-hälsoavtalet. 17 Kapitel II, avsnitt II.1.1.3 i e-hälsoavtalet. 18 E-hälsomyndigheten, Reglering av personuppgiftshantering (S2018/04035/FS), s. 21.

ersatts av Europeiska dataskyddsstyrelsen. Artikel 29-gruppen lämnade ett yttrande om e-hälsoavtalet, men hade inga avgörande invändningar. I yttrandet anges bland annat att enbart patientrörlighetsdirektivet och e-hälsoavtalet inte i sig synes uppfylla kraven på rättslig grund i dataskyddsförordningen.19

Kontroll av behörighet för hälso- och sjukvårdspersonal

Ett krav i Nätverket för e-hälsa är att parterna ska autentisera och identifiera hälso- och sjukvårdspersonal. En kontroll av behörigheten för den frågeställande hälso- och sjukvårdspersonalen ska göras för att denne ska kunna fråga efter och ta emot information om en patientöversikt från ett annat EES-land. För tjänsten patientöversikter krävs tvåfaktorsautentisering.20 Hälso- och sjukvårdspersonalen ska även bekräfta vid varje anrop att det finns en behandlingsrelation till patienten genom en bekräftelse som kallas Treatment Relationship Confirmation (TRC-assertion).

Kodverk och standarder för patientöversikten

Informationen i en patientöversikt ska översättas till land B:s språk. Detta ställer höga krav på förmågan till korrekt översättning av informationen utifrån ett patientsäkerhetsperspektiv. Nätverket för ehälsa konstaterar att olika kodverk används i olika medlemsländer och att ett långsiktigt strategiskt mål är att successivt minska fragmentiseringen och i stället övergå till att använda internationella kodsystem inom Europa. Detta även utifrån en förväntad framtida mer omfattande användning av de nya internationella standarder som är under utveckling. För att möjliggöra en översättning av informationen från svenska journalsystem till internationella användare och vice versa förutsätts en användning av specificerade kodverk i den så kallade Master Value Sets Catalogue som är en uppsättning utvalda koder från olika kodsystem. I informationsutbytet mellan de nationella kontaktpunkterna för e-hälsa får enbart koder från detta urval användas för att beskriva den strukturerade informationen i

19 Artikel 29-gruppens brev till Nätverket för e-hälsa, den 11 april 2018, Ref. Ares (2018) 2356058 03/05/2018. 20 eHDSI. Requirement catalouge. Avsnitt 01. Ensure Health Professional Identification, authentication and authorization.

patientöversikt över landsgränser. Den nationella kontaktpunkten måste mappa befintlig information så att den överensstämmer med definitionerna i Master Value Sets Catalouge.21

Vad gäller läkemedel, som är det som beskrivits i utredningens delbetänkande, används exempelvis ACT-kod som kodverk för aktiv substans, i kombination med en beskrivning i fritext av läkemedlets aktiva substans när ATC-koden inte ger en fullständig beskrivning av ingående substanser. För läkemedelsform används standarder från European Directorate for the Quality of Medicines and Health Care. För styrka används ett system för måttenheter kallat Unified Code for Units of Measure. Informationen om ett läkemedel kan i dag variera i viss mån mellan olika länder beroende på till exempel hur läkemedlet har godkänts. Tjänsten påverkas av dess tekniska utformning, de nationella förutsättningarna för läkemedelsinformation, förutsättningarna för de aktuella kodverken och övriga tekniska villkor. Tjänsten anpassas efter rådande förutsättningar. Det pågår ett arbete med att i EU genomföra en mer detaljerad standard för identifiering av läkemedel som kallas Identification of Medicinal Products (IDMP), som kommer att underlätta identifieringen av läkemedel framöver.

8.1.4. Kraven på överenskomna informationsmängder

I tjänsten behandlas de personuppgifter om patienten och den vårdgivande hälso- och sjukvårdspersonal som behövs för att överföra patientöversikten. Informationsflödet utgår från de informationsmängder för patientöversikter som Nätverket för e-hälsa kommit överens om.22Informationen översätts via kodverk när den överförs från land A till land B.

Uppgifter om patienten behövs för att identifiera patienten. Personuppgifter om hälso- och sjukvårdspersonalen ska göra det möjligt att identifiera behörig hälso- och sjukvårdspersonal, samt kunna kontakta dem vid behov. Loggning av frågor och svar används bl.a. för kvalitetssäkring, felsökning och spårbarhet. Vissa personuppgifter behandlas för uppföljning, inklusive tillsyn.

21 eHDSI. Master Value Sets Catalouge. 22 Informationsmängderna utgår bl.a. från patientrörlighetsdirektivet, genomförandedirektivet 2012/52/EU som har utvecklats inom Nätverket för e-hälsa, nätverkets krav och riktlinjer, samt användningen av olika standarder och överenskomna kodverk.

Nedan redogörs för de överenskomna informationsmängder som är avsedda att överföras i tjänsten patientöversikt över landsgränser.23Vissa uppgifter är obligatoriska och ska anges (nedan i fetstil). Det finns även utökade informationsmängder, det vill säga uppgifter som är frivilliga att ange vid behov. De flesta av dessa informationsmängder är inte obligatoriska utifrån bedömningen att även en ofullständig patientöversikt kan vara till nytta för vårdpersonalenen vid ett vårdtillfälle.

Det är också svårt att göra en helt rättvisande och uttömmande uppräkning av flera skäl, till exempel eftersom vissa uppgifter kan anges på olika sätt och detaljeringsnivå. Utredningen har översatt begreppen från engelska och i vissa fall inte funnit svenska motsvarigheter. Informationsutbytet är ett pågående arbete och informationsmängderna kan komma att ändras. Utöver de uppgifter som räknas upp nedan ska uppgifter om registerhållaren och viss annan metadata också skickas.

Administrativa uppgifter grundläggande datamängd

Rörande patienten:

  • Nationell unik personlig identifierare
  • Fullständigt namn
  • Födelsedatum
  • Kön.

Rörande patientöversikten:

  • Namn på land A
  • Datum då översikten skapades och senast uppdaterades
  • Uppgift om patientöversikten genererats maskinellt, manuellt eller en kombination av dessa.

23 Redogörelsen i detta avsnitt baseras främst på E-hälsomyndighetens sammanställning av informationsmängderna enligt eHDSI:s specifikation.

Följande information tillhör den grundläggande datamängden och ska alltid anges. Saknas informationen ska upplysning ges om varför.

  • Kontaktuppgifter till vårdgivaren i hemlandet
  • Information om hur patientöversikten har ställts samman, antingen manuellt av en hälso- och sjukvårdspersonal eller automatiskt.
  • Uppgift om minst en juridisk person som är ansvarig för informationen.

Administrativa uppgifter utvidgad datamängd

Dessa uppgifter är inte obligatoriska. Fälten lämnas tomma om uppgiften saknas.

  • Kontaktinformation för patienten
  • Kontaktuppgifter till vårdnadshavare eller förmyndare
  • Försäkringsuppgifter.

Kliniska uppgifter grundläggande datamängd

Uppgifter i den grundläggande datamängden är obligatoriska och ska alltid anges. Om värde saknas ska upplysning ges om varför.

  • Information om uppmärksamhetssignaler
  • Lista med aktuella diagnoser och hälsoproblem
  • Medicintekniska produkter (patientens implantat, protes, pacemaker etc.)
  • Större kirurgiska ingrepp utförda de senaste sex månaderna
  • Redovisning av aktuell läkemedelsbehandling.

Kliniska uppgifter utvidgad datamängd

Dessa uppgifter är inte obligatoriska. Fälten lämnas tomma om uppgiften saknas.

  • Patientens sjukvårdshistoria utifrån följande aspekter:

– Uppgift om vaccinationer – Lista på diagnoser som bedöms som inte längre aktuella – Kirurgiska ingrepp utförda tidigare än sex månader tillbaka – Kontaktuppgifter till vårdnadshavare eller förmyndare.

  • Övriga uppgifter som kan ingå:

– Behandlingsrekommendationer, t.ex. utifrån aktuell vårdplan – Uppgifter om levnadsvanor, t.ex. rökning, kostvanor, alkoholkonsumtion. Med tidsangivelse för när dessa var aktuella. – Uppgifter om funktionshinder och invaliditet. – Värde för blodtryck och när mätning gjordes. – Värdet för bestämning av blodgrupp med tidpunkt. – Förväntat datum för nedkomst vid graviditet.

8.1.5. Ansvaret för personuppgifter inom Nätverket för e-hälsa

Enligt Kommissionens genomförandebeslut (EU) 2019/1765 av den 22 oktober 2019 om regler för inrättande, förvaltning och drift av ett nätverk av nationella myndigheter med ansvar före-hälsa och om upphävande av genomförandebeslut 2011/890/EU ska medlemsländerna och deras utsedda företrädare betraktas som personuppgiftsansvariga för de personuppgifter som de behandlar genom MinHälsa@EU (eHDSI) och ska fördela ansvarsområdena mellan sig på ett tydligt och transparent sätt (artikel 7.1). De bör tillsammans fastställa syftet med och metoderna för behandling av personuppgifter genom MinHälsa@EU (eHDSI), därför är de personuppgiftsansvariga. De personuppgiftsansvarigas respektive ansvarsområde bör definieras separat (skäl 20). Kommissionen ska betraktas som personuppgiftsbiträde för patienters personuppgifter som behandlas genom infrastrukturen MinHälsa@EU (eHDSI) enligt artikel 7.2. I artikel 28 i EU:s dataskyddsförordning och i artikel 29 i förordning (EU) 2018/1725 fastställs att när uppgifter behandlas av ett personuppgiftsbiträde ska behandlingen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella

rätt som är bindande för personuppgiftsbiträdet med avseende på den personuppgiftsansvarige och som specificerar behandlingen. I detta beslut fastställs regler för kommissionens behandling i egenskap av personuppgiftsbiträde. Personuppgiftsbiträdesavtalet finns i bilagan till genomförandebeslutet och innebär bland annat att kommissionen ska förvalta kärntjänsterna i eHDSI och fullgöra sina skyldigheter som personuppgiftsbiträde. Kommissionen ska inte ha tillgång till personuppgifter om patienter som behandlas genom infrastrukturen i e-hälsotjänsterna, utan ska behandla krypterade personuppgifter för medlemsländernas räkning mellan de nationella kontaktpunkterna för e-hälsa.

8.1.6. Behandlingen av personuppgifter

Medlemsländerna ansvarar för att behandlingen av personuppgifter följer dataskyddsförordningen. De aktörer som kommer att behandla personuppgifter i informationsutbytet om patientöversikter över landsgränser är bl.a. hälso- och sjukvårdspersonal i land A, registerhållare, de nationella kontaktpunkterna för e-hälsa i land A och land B, behandlande hälso- och sjukvårdspersonal i land B, kommissionen som är personuppgiftsbiträde, samt andra relevanta aktörer, t.ex. tillsynsmyndigheter i land A och land B.

Personuppgifterna i processen kommer att behandlas främst genom insamlande, sammanställning, överföring, översättning och bevarande. Hälso- och sjukvårdspersonalen i land A kommer att samla in uppgifter vid behandlingen av en patient och vid förskrivning av läkemedel. Kontaktpunkterna för e-hälsa kommer att överföra uppgifter till och från hälso- och sjukvården och mellan sig, bevara vissa uppgifter för spårbarhet som tillexempel loggar. Kommissionen kommer bara att överföra krypterade uppgifter.

Hanteringen skiljer sig åt om Sverige är land A eller land B. När Sverige är land A handlar det om att Sveriges nationella kontaktpunkt för e-hälsa, E-hälsomyndigheten, tillgängliggör uppgifter från olika informationskällor i Sverige. Dessa personuppgifter behandlas genom att de sammanställs, översätts och förmedlas till en utländsk kontaktpunkt för e-hälsa för vidarebefordran till den frågeställande hälso- och sjukvårdspersonalen i ett annat EES-land.

När Sverige är land B kommer uppgifter att lämnas från kontaktpunkten i land A till E-hälsomyndigheten som förmedlar informationen till den hälso- och sjukvårdspersonal som efterfrågat patientöversikten.

Av säkerhetsskäl och för att kunna genomföra en patientsäker överföring av en patientöversikt krävs spårbarhet. E-hälsomyndigheten och övriga kontaktpunkter för e-hälsa ska föra logg över de anrop som sker och den behandling som genomförs. Loggningen ska sparas hos E-hälsomyndigheten och syftar till att säkerställa krav på spårbarhet, kvalitet och säkerhet för att möjliggöra tillsyn, uppföljning och felsökning vid behov. Syftet är också att kontrollera efterlevnad av åtkomst.

Fråga om gemensamt personuppgiftsansvar

Om och i vilken omfattning det finns ett gemensamt personuppgiftsansvar för de personuppgifter som behandlas genom MinHälsa@EU (eHDSI) hos deltagande medlemsländer är under diskussion. eHMSEG Legal Work Group har även frågat Europeiska dataskyddsstyrelsen om detta och beskrev då att de deltagande länderna har konsulterat respektive lands tillsynsmyndighet som inte hittat någon gemensam hållning. Europeiska dataskyddsstyrelsen svarade att det är för de aktörer som behandlar personuppgifter att bestämma om det är ett gemensamt eller ensamt personuppgiftsansvar för behandlingen, enligt ansvarsprincipen i artikel 5.2 i dataskyddsförordningen.24 Europeiska dataskyddsstyrelsen uttalade sig alltså inte om hur frågan om personuppgiftsansvaret ska bedömas. Utredningen utgår därför från att varje medlemsland anses ensamt personuppgiftsansvarig för respektive del av behandlingen.

8.1.7. Informationssäkerhet i tjänsterna e-recept och patientöversikt över landsgränser

För överföring i TESTA krävs att E-hälsomyndigheten är ansluten till Swedish Government Secure Intranet (SGSI) för säker och krypterad kommunikation mellan myndigheter i Sverige och i Europa.

24 Brev från Europeiska dataskyddstyrelsen till eHMSEG Legal Work Group, Bryssel, (2021-06-30), ref OUT2021-0115.

Myndigheten för samhällsskydd och beredskap är systemägare för SGSI. För att skapa tillit i tjänsten har man inom Nätverket för e-hälsa kommit överens om bl.a. följande

  • ett e-hälsoavtal som anger krav på bland annat kontaktpunkterna för e-hälsa och kriterier för deltagande i informationsutbytet,
  • att e-hälsoavtalet ställer krav på en säkerhetsnivå i fråga om inbyggt dataskydd och dataskydd som standard, sekretess, integritet, autenticitet, tillgänglighet, oförnekbarhet, kryptering och andra åtgärder för datasäkerhet och kontrollmekanismer i enlighet med dataskyddsförordningen och eIDAS-förordningen,
  • att e-hälsoavtalet kräver identifiering och autentisering av hälso- och sjukvårdspersonal och att endast sådan behörig personal i land B kan få del av uppgifter om patientens hälsa,
  • att informationen ska gå i de säkra nätverken SGSI/TESTA,
  • gemensamma tester,
  • en kvalitetsgranskning ledd av kommissionen som involverar stora delar av de nationella kontaktpunkterna för e-hälsas processer och kvalitetsarbete, och
  • att Nätverket för e-hälsa godkänner anslutning till tjänsten för de medlemsländer som vill delta.

Det finns även andra regelverk som skulle kunna bedömas tillämpliga för den nationella infrastrukturen i tjänsten till exempel reglerna för ett nationellt medicinskt informationssystem i Läkemedelsverkets föreskrift (LVFS 2014:7) om tillämpning av lagen om medicintekniska produkter på nationella medicinska informationssystem eller EU:s regelverk för medicintekniska produkter.

8.2. Informationsflödet i tjänsten

I detta stycke beskrivs informationsflödet i tjänsten patientöversikter samt de moment som ingår för att möjliggöra utbytet enligt de krav som ställs av Nätverket för e-hälsa. Övergripande inleds informationsflödet med att en patient från land A söker vård. Behörig hälso- och sjukvårdspersonal i land B ställer en fråga till land A

om en patientöversikt för patienten. Denna förfrågan går till land B:s nationella kontaktpunkt för e-hälsa vidare till land A:s nationella kontaktpunkt för e-hälsa. Informationen inhämtas från aktuella system i land A och skickas via land A:s till land B:s nationella kontaktpunkter för e-hälsa tillbaka till den frågeställande hälso- och sjukvårdspersonalen i land B. Detta beskrivs mer utförligt nedan.

Två situationer är aktuella, dels att Sverige kommer att vara land A när svenska patientöversikter förmedlas till andra länder inom EES, dels att Sverige kommer att vara land B när patientöversikter från andra länder inom EES begärs av svensk hälso- och sjukvårdspersonal, se figur 8.1 och figur 8.2. Antalet informationskällor i figur 8.1. kan vara färre eller mångfalt fler beroende på var informationen hämtas.

Figur 8.1 Informationsflödet för tjänsten patientöversikt inom EES med Sverige som Land A

Källa: Utredningens eget material.

Figur 8.2 Informationsflödet för tjänsten patientöversikt inom EES med Sverige som Land B

Källa: Utredningens eget material.

8.2.1. Översikt av tjänsten patientöversikt inom EES

Informationen om patientens identitet, hälsa och vård samt hälso- och sjukvårdspersonalens identitet, roll och behörighet, eventuella samtycken och slutligen själva patientöversikten ska utväxlas stegvis mellan vårdgivaren i land B, kontaktpunkten för e-hälsa i land B, kontaktpunkten för e-hälsa i land A och tillbaka genom ett antal frågor och svar. För varje meddelande skickas utöver själva förfrågan om information även viss information och metadata om vem som gör anropet, till exempel namn och roll för den som gör anropet samt signatur för anropande nationell kontaktpunkt, inklusive landskod. Sådan information skickas i varje informationssteg. Frågor och svar följer fastställda format och bygger på Nätverket för e-hälsas krav på information. Information och metadata i meddelandet loggas för kvalitetssäkring, felsökning och spårbarhet. Stegen som innefattas redogörs för nedan.

Kontakt med vård- och omsorgspersonal i land A

Processen inleds med att patienten identifierar sig och lämnar uppgifter om sin hälsa till en behörig vård- och omsorgspersonal i land A. Vårdgivaren gör olika iakttagelser om patientens hälsa, beställer eventuella kompletterande undersökningar och/eller ordinerar ett läkemedel och utfärdar ett (e-)recept. Vårdgivaren behandlar känsliga personuppgifter om patienten samt personuppgifter om sig själv. Hälsodata registreras i land A:s (olika) register. Patienten och vårdgivaren kan få information om tjänsten på olika sätt. Patienten lämnar sitt samtycke till att en patientöversikt kan delges land B i framtiden.

Hälso- och sjukvården i land B uppsöks

Tjänsten aktiveras när patienten uppsöker hälso- och sjukvården i land B. Hälso- och sjukvårdspersonalen skickar en förfrågan om en patientöversikt till land A genom den nationella kontaktpunkten för e-hälsa i land B till den i land A. Land A kan kräva att patienten ska lämna samtycke för att personuppgifterna i patientöversikten ska få överföras från land A till land B. Även land B kan kräva att patienten ska lämna sitt samtycke till att uppgifterna hämtas från land A för

att patientöversikten ska få inhämtas. Patienten ska få information från den personuppgiftsansvarige om hur personuppgifterna kommer att behandlas enligt artikel 13 och 14 i dataskyddsförordningen. Det finns en gemensamt framtagen modell för sådan information till patienter (PIN). Kommissionen arbetar för närvarande med att ta fram en uppdaterad modell.

Identifiera roll, behörighet och behandlingsrelation för hälso- och sjukvårdspersonal

Informationsutbytet inleds med att behandlande hälso- och sjukvårdspersonal i land B identifieras, och autentiserad av den nationella infrastrukturen i land B. För tjänsten PS krävs tvåfaktorsautentisering.25 Från land B skickas uppgifter om hälso- och sjukvårdspersonalen, vilka Health Authorities Institutions, och/eller Vårdgivare som säkerställt identifikation och autentisering samt uppgifter om vårdmottagningen. Hälso- och sjukvårdspersonalen måste vara behörig att tillhandahålla hälso- och sjukvård. I land B behöver därför uppgifter om status, funktion, roll och autentisering säkerställas.

Identifiera patienten

Patienten ska identifieras i tjänsten patientöversikt inom EES för att överföringen av patientöversikten ska kunna göras.26 Av kraven på tjänsten framgår att patienten måste visa upp en godkänd identitetshandling med bild och demografiska uppgifter samt att hälso- och sjukvårdspersonalen måste bekräfta att patienten är den som den utger sig för att vara.27 Land A ska bestämma vilken unik personlig identifierare för patienten som ska användas för att identifiera och koppla patienten till i landet aktuella register för informationsinhämtning av administrativa data och hälsodata. Det kan till exempel vara ett nationellt eller regionalt id-kortsnummer, passnummer eller socialförsäkringsnummer. Land A ska även ange vilka identitetshand-

25 eHDSI. Requirement catalouge. Avsnitt 01. Ensure Health Professional Identification, authentication and authorization.

26

eHDSI Functional requirements, 02.01. Uniquely identify the Patient och 02.01.01. Identification and authentication of a patient with demographic data.

27 MyHealth@EU.. Requirement catalouge. Avsnitt 02.01. Uniquely identify the patient.

lingar som patienten ska använda. Identitetshandlingen ska innehålla patientens unika identifierare

Vid vårdtillfället ansvarar land A och land B gemensamt för att identifiera patienten. Hälso- och sjukvårdspersonalen i land B granskar patientens identitetshandling och för in uppgiften om den unika personliga identifieraren som skickas till land A för kontroll. Land A svarar med demografiska uppgifter om patienten, till exempel namn, unik identifierare och födelsedatum och uppgift om land, så att hälso- och sjukvårdspersonalen kan jämföra uppgifterna med de som finns på den uppvisade identitetshandlingen. Vilka demografiska uppgifter som uppges fastställs av land A.

Kontrollera samtycke

Av kraven på tjänsten patientöversikter framgår att den nationella kontaktpunkten för e-hälsa måste analysera och identifiera laglig grund för behandlingen av personuppgifter för alla som kommer behöva behandla dem. I analysen ska även EU:s dataskyddsförordning och övrig berörd nationell- eller EU-lagstiftning tas i beaktande.28I det fall den nationella regleringen avseende rättslig grund innefattar eller baseras på samtycke ska den nationella kontaktpunkten för ehälsa säkerställa giltighet för och ett bevis på patientens samtycke.29

Överföra patientöversikten

Land A:s nationella kontaktpunkt sammanställer patientöversikten och överför denna till land B:s nationella kontaktpunkt som överför den till den frågeställande hälso- och sjukvårdspersonalen i land B.

Det krävs en nationell infrastruktur för att E-hälsomyndigheten som kontaktpunkt för e-hälsa ska kunna förmedla information mellan den utländska kontaktpunkten för e-hälsa, och den frågeställande hälso- och sjukvårdspersonalen i Sverige. Informationen mellan de nationella kontaktpunkterna för e-hälsa förmedlas genom en infrastruktur, Trans European Services for Telematics between Adminis-

28 eHDSI. Requirement catalouge. 04. Ensure lawful processing of personal and health data. s. 91. 29 eHDSI. Requirement catalouge. 04.01. Identify the applicable legal basis for processing personal and health data within eHDSI. s. 94.

trations (TESTA), som kommissionen ansvarar för, se vidare nästa avsnitt.

8.2.2. Infrastrukturen för e-hälsotjänster

Infrastrukturen mellan länderna baseras på ett pilotprojekt som kallades Smart Open Services for European Patients, epSOS, som pågick mellan åren 2008–2014 för utbyte av information om patientöversikter och e-recept. Projektet syftade till att utveckla och utvärdera en infrastruktur för gränsöverskridande interoperabilitet mellan system för elektronisk patientinformation.

Kommissionen tar tillsammans med medlemsländerna fram eHDSI som består av sådana kärntjänster och bastjänster som avses i förordningen 283/2014 om riktlinjer för transeuropeiska nät på området för telekommunikationsinfrastruktur.30 Förenklat ska kommissionen ansvara för kärntjänsten, det säkra nätverket TESTA. De nationella kontaktpunkterna för e-hälsa ansvarar för bastjänsterna som kopplar samman den nationella infrastrukturen.31

8.3. Information till patient samt hälso- och sjukvårdspersonal

För en effektiv och patientsäker process behövs tillgänglig information om förutsättningarna för tjänsten, till exempel genom de nationella kontaktpunkterna och de relevanta nationella myndigheterna och organisationerna. På kommissionens webbplats finns information riktad både till invånare och hälso- och sjukvårdspersonal.32Varje medlemsland ska också publicera landets förutsättningar för tjänsten, hur personuppgifter behandlas och vem som är personuppgiftsansvarig. På så sätt ska den registrerade få möjlighet att få en samlad information på sitt eget språk om personuppgiftsbehand-

30 Europaparlamentets och rådets förordning 283/2014 av den 11 mars 2014 om riktlinjer för transeuropeiska nät på området för telekommunikationsinfrastruktur och om upphävande av beslut nr 1336/97/EG. Förordningen har upphävts genom Europaparlamentets och rådets förordning (EU) 2021/1153 av den 7 juli 2021 om inrättande av Fonden för ett sammanlänkat Europa och om upphävande av förordningarna (EU) nr 1316/2013 och (EU) nr 283/2014. 31 Skäl 7 och artikel 6.1 d i genomförandebeslutet. 32 ”MyHealth@EU” – Flyer addressed to patients and health professionals | Folkhälsa (europa.eu) (h ämtad 2021-12-09).

lingen hos de olika aktörer som är inblandade i processen med patientöversikt över landsgränser.

Ditt Europa/Your Europe är en del av den gemensamma digitala ingången och innehåller information om individers rättigheter när de reser, bor arbetar, pensionerar sig eller studerar i ett annat EU-land. Aktuella myndigheter och andra aktörer ansvarar för att informationen uppfyller webbtillgänglighetsdirektivet och SDG-förordningens krav.

Inom Nätverket för e-hälsa har man tagit fram en mall för den s.k. Patient Information Notice (PIN) som syftar till att uppfylla kraven på information om behandling av personuppgifter som ska lämnas till patienten enligt artikel 13 och 14 i dataskyddsförordningen. PIN ska lämnas senast i samband med personuppgiftsbehandlingen. Motsvarande mall för information till hälso- och sjukvårdspersonal har Nätverket för e-hälsa också tagit fram, s.k. Healthcare Professional Information Notice (HPIN). Informationen i mallen får anpassas efter respektive lands lagstiftning.

8.4. Pågående utvecklingsarbeten

Tjänsten patientöversikt över landsgränser är utformad av medlemsländerna inom ramen för Nätverket för e-hälsa, baserat på patientrörlighetsdirektivet och nätverkets krav. Tjänsten utgår i dag från de användningsfall medlemsländerna kommit överens om, men kan utvecklas över tid med nya användningsfall eller funktionaliteter. Detta framkommer även av e-hälsoavtalet. Innehållet i tjänsten är standardiserat och består av administrativ respektive klinisk information där varje typ av information består av en grundläggande obligatorisk datamängd samt en utökad datamängd med ytterligare frivilliga uppgifter. De flesta av de informationsmängder som ingår i patientöversikten är inte obligatoriska. Många länder har i nuläget inte möjlighet att leverera all information som specificeras. All information i patientöversikten ska också överföras på originalspråk i form av ett pdfdokument. För ett antal variabler anges också vilket kodverk som förordas. För landskoder förordas till exempel användningen av ISO 3166, där Sverige har landskoden SE.

Ytterligare områden för utbyte av hälsodata inom EU med koppling till patientöversikten men inte begränsat till denna är för närvarande under utveckling inom EU.

I februari 2019 gav kommissionen ut en rekommendation för ett överföringsformat av elektroniska patientjournaler, kallat European Electronic Health Record Exchange Format (eHRxF). För att driva arbetet framåt och skapa de nödvändiga specifikationerna för överföringsformatet bedrivs arbetet i projektform genom EU-konsortiet X-eHealth, med finansiering från Horizon 2020. Sammanlagt 47 hälsoaktörer från 22 europeiska länder samverkar i syfte att vidareutveckla utbytet av hälsodata genom att fokusera på följande informationsmängder:

  • Medicinsk bild
  • Utskrivningsbrev (discharge letter)
  • Laboratorieresultat
  • Patientsammanfattning vid sällsynta diagnoser.

Även om X-eHealth är inriktat på gränsöverskridande utbyte av information kan överföringsformatet även användas inom ett medlemsland. Projektet påbörjades under hösten 2020 och gick under två år. Projektet är nu avslutat och har levererat bland annat vägledningar som förberedelse för implementering på nationell nivå av det europeiska utbytesformatet för vårddata (EEHRxF).33

33 X-eHealth (2022). Exchanging Electronic Health Records in a common framework.

9. Internationell utblick

I skrivande stund deltar nio länder i tjänsten patientöversikt inom EES och fler planerar ett införande inom de närmaste åren. Detta kapitel inleds med en översikt över gällande tidsplan för införandet av tjänsten patientöversikt inom EES och statistik över användning av tjänsten. Därefter sammanfattar utredningen genomförandet av tjänsten samt erfarenheter av och eventuella lärdomar från implementeringen från fem länder som i dag utbyter patientöversikter som både land A och B. Informationen kommer från svar på frågor som utredningen skickat till den eller de som representerar landet i eHealth Member State Expert Group (eHMSEG), medlemsländernas expertgrupp för e-hälsa där de nationella kontaktpunkterna finns representerade. Gruppens huvudsyfte är att definiera och besluta om genomförandet av gränsöverskridande e-hälsotjänster på en mer operativ nivå.

9.1. Införandet av patientöversikt inom ESS

För närvarande deltar 9 av 29 länder (27 EU-medlemsländer samt Island och Norge) i utbytet av patientöversikter. Ytterligare 15 länder har fått finansiellt bidrag och planerar att delta fram till och med 2025, se tabell 9.1. Informationen nedan är främst hämtad från den webbplats där alla länder ska beskriva förutsättningarna för informationsutbytet avseende patientöversikter över landsgränser i respektive land.

Tabell 9.1 Överblick över länder som infört eller planerar ett införande av tjänsten patientöversikter inom EES samt när i tid

Medlemsstat

Deltar 2023 2024 2025

Kroatien

A & B

Tjeckien

A & B

Luxemburg

A & B

Malta

A & B

Portugal

A & B

Spanien

A & B

Estland

A & B

Frankrike

B

Nederländerna

A

Cypern

A & B

Grekland

A & B

Irland

A & B

Lettland

A & B

Slovenien

A & B

Finland

A

B

Ungern

B

Bulgarien

A & B

Italien

A & B

Litauen

A & B

Tyskland

B

Norge

B

Danmark

A & B

Island

A & B

Källa: MyHealth@EU, (2023).

Tabell 9.1 visar en översikt över vilket år som respektive land har infört eller ska införa tjänsten patientöversikter inom EES under perioden 2023–2025. Det pågår för närvarande en utlysning om medfinansiering där ansökningar ska vara inskickade senast den 28 februari 2023. Förväntan är att återstående sex länder (Belgien, Polen, Rumänien, Slovakien, Sverige och Österrike) ska ansöka med målet att delta senast 2026 och att länder som inte deltar som både land A och B ska utöka sitt deltagande.

9.2. Utbyte av e-recept och patientöversikter inom EES

Länder som implementerat någon av tjänsterna för e-recept eller patientöversikter över landsgränser ska löpande rapportera in statistik över tjänstens implementation och användning. Som framgår av statistiken i tabell 9.1 och tabell 9.2 är tjänsterna i implementeringsfas där allt fler länder ansluter sig och allt fler invånare ges möjligheten att kunna nyttja tjänsterna. Som framgår i tabell 9.2. nedan utbyts i dagsläget e-recept mer frekvent än patientöversikter.

Tabell 9.2 Statistik över implementation och användning av tjänsterna e-recept och patientöversikt inom EES

2020 2021

2022

Antal länder som implementerat tjänsterna (Q1 vs Q4)

7 7(Q1)–9(Q4) 10(Q1)–11(Q4)

Antal utbytta e-recept

25 872 32 644

43 826

Antal apotek som kan ta emot e-recept från utlandet (land B)

819 24 981

42 204

Andel (%) apotek som kan ta emot e-recept från utlandet (land B)

80

73,57

Antalutbytta patientöversikter

422

488

190

Antal sjukhus som kan ta emot patientöversikter (land B)

1 3 207

3 282

Andel (%) sjukhus som kan ta emot patientöversikt (land B)

– 61,17

58,10

Antal övriga vårdmottagningar som kan ta emot patientöversikter (land B)

– 166 453

168 251

Andel (%) av övriga vårdmottagningar som kan ta emot patientöversikter (land B)

100

74,63

Antal invånare som har möjlighet att nyttja tjänsterna

– 5 749 635 58 796 682

Antal invånare som har nyttjat tjänsten patientöversikt

3

17

Källa: MyHealth@EU – Monitoring Framework (KPIs), (2023).

9.3. Andra länders användning och erfarenhet av tjänsten patientöversikter inom EES

Utredningen har skickat enkäter till de sju länder som implementerat tjänsten patientöversikte inom EESr som både land A och land B med frågor om infrastruktur, ansvarsfördelning, erfarenheter och lärdomar från implementationsarbetet och driften av tjänsten med mera. Svaren redovisas nedan för de fem länder som svarat på enkäten.

9.3.1. Estland

I Estland finns tjänster för såväl patientöversikter inom landet som för den gränsöverskridande tjänsten med patientöversikter inom EES. Uppgifter om patientens hälsa och vård hämtas från registret

Estonian National Health Information System (ENHIS). Registret

ENHIS upprättades 2009. Patienter som har medicinska data sedan 2009 kommer därigenom ha medicinska data i sin patientöversikt. Information om läkemedel tas från the Prescription Centre. Uppgifterna hämtas automatiskt när en begäran om en patientöversikt inkommer. Prescription Centre förvaltas av Health Insurance Fund. ENHIS förvaltas av Health and Welfare Information Systems Centre (TEHIK). TEHIK grundades 1 januari 2017 i samband med att det tidigare Information and Communications Technology Department på Estlands motsvarighet till Socialdepartementet (Ministry of Social Affairs) och the Estonian eHealth Foundation slogs samman. I dag är TEHIK den aktör som skapar nya e-tjänster åt Socialdepartementet, Social Insurance Board, Health Insurance Fund, Health Board, the National Institute for Health Development, the Agency of Medicines, the Labour Inspectorate, Astangu Vocational Rehabiltation Center och the Commissioner för Equal Opportunities. TEHIK samarbetar också med vårdgivare, med vilka de behöver säkerställa informationsutbytet inom informationssystem inom hälso- och sjukvården.

Data utbyts mellan register genom the X-tee (X-Road) som är ett nationellt lager för datautbyte som förvaltas av Estonian Information System Authority.

Alla vårdgivare i Estland måste sedan 2009 enligt lag skicka medicinska data till ENHIS. Tandläkare omfattas inte av detta krav.

I lagen framgår vilka uppgifter som måste delas. Dessa uppgifter används bland annat för patientöversikter.

All hälso- och sjukvårdspersonal enligt definitionen i estniska regelverk (läkare, tandläkare, sjuksköterskor och barnmorskor) som arbetar hos en vårdgivare med giltigt tillstånd kan ta del av utländska patientöversikter. Patientöversikter från utlandet är tillgängliga för hälso- och sjukvårdspersonal genom en separat portal som tillhandahålls av TEHIK.

I dagsläget kan inte patienter ta del av den av information om sin hälsa och vård som finns i patientöversikter från utlandet. Den data som samlas in till den nationella patientöversikten är emellertid tillgänglig för patienten genom den nationella tjänsten ”Patient Portal” och återfinns i olika medicinska dokument från hälso- och sjukvården. Det har diskuterats om även patienten i framtiden ska kunna ta del av sin patientöversikt för att få en bättre översikt över vilken information som inkluderas däri och uppger att det kan komma att utvecklas i framtiden.

Samtycke från patienten krävs inte enligt lag för att hälso- och sjukvårdspersonal i ett annat EES-land ska få tillgång till patientöversikter från Estland. Patienten kan emellertid signera ett digitalt statement of intent i ”Patient Portal” för att neka tillgång (opt out). Önskar patienten att uppgifterna ska bli tillgängliga för tjänsten igen kan han eller hon ändra ställningstagandet. Ett muntligt samtycke krävs från en utländsk patient innan hälso- och sjukvårdspersonalen kan skicka en begäran om patientöversikten från patientens försäkringsland.

Barn omfattas av det nationella utbytet av uppgifter om hälsa och vård och den internationella tjänsten. Huruvida ett barns patientöversikt går att tillgå i ett annat EES-land beror emellertid på hur det landets regelverk ser ut. Om ett barn från ett annat land besöker vården i Estland krävs ett muntligt samtycke från barnets vårdnadshavare för att en begäran om patientöversikten ska kunna skickas.

Det finns inte i dagsläget något digitalt sätt för patienten att identifieras sig. Identitetshandlingar som godtas är officiella identitetshandlingar med ett foto. För utländska patienter accepteras den identitetshandling som land A bestämt, i enlighet med ställda krav.

Hälso- och sjukvårdspersonal identifierar sig digitalt för att kunna logga in i den portal som utvecklats för tjänsten patientöversikter inom EES. Efter identifikation kontrolleras behörighet i det nationella registret över hälso- och sjukvårdspersonal. Vidare kontrolleras

om personen arbetar hos en vårdgivare och huruvida vårdgivaren har ett giltigt tillstånd. Samma infrastruktur för identifikation, autentisering och auktorisation används vid tillgång till såväl nationella som internationella patientöversikter.

I sina svar uppger representanterna för Estland att den mest utmanande delen av implementationen av tjänsten var den semantiska aspekten. Den data som finns på nationell nivå är inte strukturerad i alla delar vilket gör att viss information inte kan föras in i PS. Det innebar ett stort arbete med mappning av befintliga data för att möjliggöra en automatisk generering av patientöversikten. De uppger att utmaningar kvarstår nationellt för att förbättra datakvaliteten och tillgången till strukturerade och kodade data. Det framgår vidare att implementationen av tjänsten inte krävde många diskussioner och beslut eftersom datakällan redan var i bruk och det fanns en nationell infrastruktur för informationsutbyte.

9.3.2. Tjeckien

I Tjeckien finns tjänster för såväl patientöversikter inom landet som för den gränsöverskridande tjänsten med patientöversikter. Tjeckien saknar en central informationskälla för patientöversikterna. I stället utgör enskilda sjukhus huvudsaklig datakälla för tjänsten patientöversikter inom EES. Sjukhusen administrerar uppgifterna om patientens hälsa och vård. För att dela uppgifter med den nationella kontaktpunkten är sjukhusen antingen anslutna till den nationella kontaktpunkten via publicerade API:er eller delar data genom den utbytesplattform som är knuten till den nationella kontaktpunkten. Endast de sjukhus som är anslutna till kontaktpunkten via plattformen eller API:er kan i dag tillgängliggöra data till tjänsten patientöversikter inom EES.

Infrastrukturen som gör data tillgänglig för patientöversikter samt infrastrukturen som gör patientöversikter tillgängliga förvaltas av Ministry of Health.

Alla vårdgivare kan ta del av patientöversikterna genom den nationella kontaktpunktens ”B-portal”. Sjukhusen möjliggör vanligtvis tillgång för anställda läkare genom sjukhusets anslutna informationssystem. Även patienter kan ta del av sin patientöversikt genom tjänsten ”Citizen Portal”.

Inget samtycke krävs av patienten för att hälso- och sjukvårdspersonal från ett annat EES-land ska kunna ta del av tjeckiska invånares patientöversikt. På motsvarande sätt krävs inte heller en utländsk patients samtycke när hälso- och sjukvårdspersonal i Tjeckien önskar ta del av dess patientöversikt.

Patienten kan i linje med tjänstens krav identifiera sig med en officiell identitetshandling. Tjeckiska patienter kan identifiera sig digitalt för att få tillgång till sin patientöversikt i ”Citizen Portal”, de kan emellertid inte identifiera sig digitalt på vårdmottagningen.

Hälso- och sjukvårdspersonal använder sin digitala identitet för identifikation och autentisering genom the National Identity Authority. Auktorisering sker med hjälp av uppgifter i the National register of healthcare providers.

Patientöversikter regleras i the Healthcare act no 372/2011 Coll. I lagen framgår att patientöversikterna även kan användas för gränsöverskridande hälso- och sjukvård. Patientöversikter kan sammanställas även för barn.

I svaren till utredningen uppger Tjeckiens representant att det inte fanns nationella patientöversikter innan den internationella tjänsten implementerades. Därför krävdes ny nationell lagstiftning för tillgång till patientöversikter nationellt och över landsgränser. Eftersom patientöversikter generellt är något nytt inom tjeckiska hälso- och sjukvården framgår vidare att den största utmaningen var att nå ut med information om patientöversikters nytta och behovet av datakvalitet och strukturerade och kodade data. Det uppges vidare att deras nuvarande decentraliserade system är komplicerat och ineffektivt, i stället ser representanten att ett mer centraliserat system för patientöversikter hade varit att föredra. En av de viktigaste lärdomarna uppges vara vikten av att marknadsföra de gränsöverskridande tjänsterna och den nationella kontaktpunktens roll till politiker, beslutsfattare, ledningen och läkare. Deras stöd är centralt. Något som var särskilt värdefullt var att inkludera personal från sjukhusen och sjukhusens IT-avdelning i projektteamet vid implementeringen av tjänsten.

9.3.3. Portugal

I Portugal genereras patientöversikter av uppgifter från flera olika informationskällor, huvudsakligen olika register. Ett flertal olika team på Shared Services of the Ministry of Health (SPMS) är ansvariga för datakällorna. SPMS har det huvudsakliga ansvaret över teknisk implementation och drift av så kallade Health information systems som används i Portugals hälso- och sjukvårdssystem. Patientöversikten genereras av en mjukvara kallad RCU2 (Resumo Clínico Único do Utente). Informationen hämtas bland annat genom att datakällorna är direkt eller indirekt integrerade mot RCU2 eller genom särskilda webbgränssnitt. Infrastrukturen förvaltas av SPMS, offentliga sjukhus (inom Portuguese National Health Service) samt Regional Health Administration.

Endast läkare och sjuksköterskor på offentliga sjukhus med

SClinico Hospitalar software systems kan i dag ta del av patientöver-

sikter från andra länder. Denna nås genom tjänsten ”Integrated Clinical View”.

Patienten behöver lämna ett aktivt samtycke för att dess patientöversikt ska kunna delas med andra EES-länder. Detta görs digitalt i patientens ”Personal Area” i National Health Services Portalen.

Patienten identifierar sig med en officiell identitetshandling så som pass. Det saknas möjlighet till digital identifikation. Identifikation, autentisering och auktorisering av hälso- och sjukvårdspersonal sker med hjälp av ett inloggningskort (professional card) och tvåfaktorsautentisering.

Genomförandet av tjänsten patientöversikter inom EES regleras i Portuguese Law 52/2014 of 19th September. Där finns bestämmelser om den nationella kontaktpunktens roll, berörda hälso- och sjukvårdstjänster (healthcare services) och vilka ansvar som de nationella myndigheterna inom sektorn har.

Patientöversikter till utlandet kan inte genereras för barn då Portugal inte tillåter att den tillhandahålls en behörig tredje part så som en vårdnadshavare.

De svar som utredningen fått från representanterna för Portugal angående utmaningar i samband med implementering sammanfattas nedan:

  • Organisatoriskt var den största utmaningen att koordinera processer mellan respektive medlemsstats Service Desk samt mellan medlemsstats Service Desk och eHDSIs centrala Service Desk. Detta i avseendena kommunikationsverktyg och procedurer, klassificering, incidenteskalering med mera.
  • Legalt var the Data Protection Impact Assessment en utmanande process som tog omfattande tid.
  • I tekniska avseende nämns bland annat att uppkopplingen mot

TESTA-nätverket svår att etablera samt att integrationen av gränsöverskridande tjänster och slutanvändarlösningar hos sjukhus och apotek krävde utveckling och implementation av nya komponenter hos den nationella kontaktpunkten för e-hälsa.

  • Avseende semantik omnämndes mappningsarbetet som mycket utmanande.

9.3.4. Spanien

I Spanien är varje region, kallad Autonomous Regions, ansvarig för att generera patientöversikten med den information de har lagrade i sina informationssystem. I huvudsak är informationen baserad på data som finns lagrad i informationssystem hos primärvården och sjukhus. Respektive region är ansvarig för förvaltningen av denna data och datakällorna. Hur data tillgängliggörs skiljer sig mellan regionerna men i huvudsak finns två upplägg, antingen tillgängliggörs data i samband med anropet från datakällorna eller så har regionen samlat uppgifter i en så kallad datasjö (eng. datalake). The Ministry of Health är ansvarig för att centralisera informationen och anpassa den till de krav som ställs på tjänsten av EU. De är ansvariga för att underhålla och förvalta den centrala infrastrukturen som knyter samman Spanien med de europeiska systemen. Varje enskild region måste emellertid tillhandahålla infrastruktur som ger tillgång till den relevanta data de har om patienten.

Vem som kan tillgängliggöra information skiljer sig mellan regionerna men oftast är det sjukhus i offentlig regi och offentliga akutvårdsmottagningar. Tillgång till patientöversikter har offentliga sjukhus och offentliga hälsocenter med akutsjukvård.

I dagsläget är inte alla regioner uppkopplade vilket gör att uppgifter från 18 procent av befolkningen är tillgängliga för tjänsten patientöversikter inom EES. I juni 2023 ska enligt plan fler regioner vara anslutna så att uppgifter från >90 procent av befolkningen är tillgängliga för patientöversikter.

Inget samtycke krävs för att utbyta patientöversikter som skapats i Spanien. Patient kan emellertid motsäga sig utbytet. Samtycke krävs inte heller från en utländsk patient för att ta del av deras patientöversikt.

Det finns även en tjänst som samlar och tillgängliggör alla uppgifter om patienten som finns i den region patienten bor. Denna tjänst kallas ”Historia Clínica Digital”.

Patienten identifierar sig med en offentlig identitetshandling med foto. Digital möjlighet till identifiering saknas.

Även för barn kan patientöversikter genereras och utbytas. Tillgång för en vårdnadshavare är emellertid fortfarande en utmaning eftersom Spanien saknar fullt digitaliserade och strukturerade register med den uppgiften.

Identifikation, autentisering och auktorisation av hälso- och sjukvårdspersonal sker genom ett digitalt certifikat som utfärdats av en

eIDAS qualified trust service provider.

Bestämmelserna för att garantera gränsöverskridande vård regleras i the Royal Decree 81/2014, of February 7. Bestämmelser avseende behandling av patienter i spanska vårdmottagningar regleras i Law 41/2002, of November 14. Den lagen innefattar bestämmelser om patientens rättigheter och krav avseende information och klinisk dokumentation.

De svar som utredningen fått från representanten för Spanien angående utmaningar i samband med implementering avser två delar, dels att skapa tillgång till de obligatoriska informationsmängderna från de olika informationssystemen, dels att mappa innehållet till den terminologikatalog som EU tillhandahåller Master Value Catalouge.

9.3.5. Malta

För patientöversikter genererade på Malta används två informationskällor: Electronic Case Summary System (från alla offentliga sjukhus) samt Online Surgical Register. Datakällorna administreras av

Ministry of Health. Tillgång till data ges genom webbtjänster implementerade av Malta’s Government IT agency. Den infrastruktur som ger tillgång till data förvaltas av Ministry of Health.

Information kommer i nuläget enbart från sjukhus. Endast läkare på the Emergency Department at Mater Dei Hospital kan ta del av patientöversikter från andra EES-länder.

Patienter kan ta del av den data som tillgängliggörs till patientöversikten över landsgränser via den nationella patient portalen kallad myHealth.

Electronic Case Summaries existerar för 57 procent av Maltas invånare vilket innebär att det kan genereras en patientöversikt för tjänsten patientöversikter inom EES för motsvarande andel av befolkningen.

Samtycke krävs från patienten för att en patientöversikt ska utbytas över landsgränser. Patienten kan välja vilket land samtycket omfattar men enligt uppgift väljer de flesta alla EES-länder. Samtycket registreras via den nationella portalen myHealth med hjälp av en nationell e-legitimation. Samtycket lagras i myHealth databasen. Patienten kan se och ändra samtycket online, även via mobil, när som den önskar. Samtycke krävs även av utländska patienter vid vårdmottagningen (i nuläget Emergency Department at Mater Dei Hospital). Samtycket registreras och lagras.

Patienten kan identifiera sig med en officiell identitetshandling med foto. Möjligheter till digital identifikation saknas.

Det finns i dagsläget ingen möjlighet för patienten att ta del av sin patientöversikt men i framtiden kommer den möjligheten att erbjudas genom the National Electronic Health Record platform project som håller på att implementeras.

Representanten för Malta uppger att det har krävts omfattande tid och kraft för att erhålla interoperabilitet på alla nivåer (legalt, organisatoriskt, semantiskt och tekniskt). På frågan om något skulle ha gjorts annorlunda om de hade gjort det igen ges svaret att avsätta mer resurser. Vidare uppger de att de olika förhållningssätten och genomförandena i olika EU-länder gör det väldigt svårt att komma överens om ett gemensamt förhållningssätt inom hela EU.

10. Definition av begreppet patientöversikt

10.1. Inledning

Utredningen har i uppdrag att föreslå en definition av begreppet patientöversikt. Det finns i Sverige ingen officiell eller legal definition av patientöversikt. Begreppet saknas i Socialstyrelsens termbank och finns inte heller i den gemensamma författningssamlingen avseende hälso- och sjukvård, socialtjänst, läkemedel och folkhälsa (HSLF-FS). Det framgår av utredningens direktiv att patientöversiktens innehåll kan ändras över tid beroende på till exempel nya medicinska rön, utifrån professionens ändrade behov och uppdrag och på grund av den tekniska utvecklingen. Det är därför önskvärt att en definition av begreppet tas fram och att patientöversiktens innehåll kan ändras över tid.

I detta kapitel presenterar utredningen sina överväganden och förslag avseende en definition av begreppet patientöversikt. Utredningens förslag avseende innehållet i en patientöversikt presenteras i nästföljande kapitel 11. Förslag avseende infrastruktur för att möjliggöra informationsflödet återfinns i kapitel 12.

10.2. Förutsättningar och grundläggande principer

10.2.1. Internationella definitioner av begreppet patientöversikt

Internationellt har såväl Nätverket för e-hälsa som The European Committee for Standardization (CEN) definierat begreppet och innehållet i en patientöversikt. Nätverket för e-hälsa har i riktlinjerna för

tjänsten patientöversikt inom EES definierat tjänsten enligt följande.1

A Patient Summary is an identifiable data set of essential and understandable health information that includes the most important clinical facts required to ensure safe and secure healthcare. This summarized version of the patient’s medical data gives health professionals the essential information they need to provide care.

I samband med att begreppet definieras framhålls att datasetet som utgör patientöversikten är avsett stötta hälso- och sjukvårdspersonal som utför oplanerad vård, men att det även kan användas vid planerad vård. Vidare framhålls att inte all information om patientens hälsa och vård är känd eller tillgänglig vid det tillfälle som patientöversikten skapas.

CEN presenterade i början av 2021 två standarder som definierar variablerna i ett data set som utgör The International Patient Summary, EN 17269:2019 och CEN/TS 17288:2020. Vid framtagningen av EN 17269:2019 The International Patient Summary (IPS) har riktlinjerna som Nätverket för e-hälsatagit fram beaktats. Det data set samt tillhörande bestämmelser som finns i eHNs riktlinjer specificeras även i standarden. Inriktningen för arbetet var att innehållet i IPS data set ska vara kort, avgränsat och tydligt där en gemensam kärna av informationsmängder ska vara relevant och lätt att förstå av all hälso- och sjukvårdspersonal där patienten får sin vård. Den senare standarden CEN/TS 17288:2020 The International Patient Summary – Guideline for European Implementation är en teknisk specifikation. Innehållet riktar sig i första hand till systemutvecklare och implementationsteam. EN 17269 har senare ersatts av ISO 27269:2022 utifrån ambitionen om en gemensam internationell standard för patientöversikter.2 I ISO-standarden framgår att även denna version utgår från riktlinjerna från Nätverket för e-hälsa som initial källa men att även andra internationella projekt avseende patientöversikter beaktats för att skapa ett interoperabelt data set för global användning.3I ISO 20269:2022 definieras begreppet Patient Summary som:

1 Nätverket för e-hälsa (2021). Guideline on the electronic exchange of health data under Cross-Border Directive 2011/24/EU. Patient Summary. Release 3, June 2021. 2 CEN/TC 251 – Health informatics. Project EN ISO 27269:2022. URL: CEN – CEN/TC 251 (cencenelec.eu). Uppdaterad 2022-09-30. Hämtad 2022-02-13. 3 SIS (2022). Hälsoinformatik – Internationell patientöversikt (ISO 27269:2021).

Health record extract comprising a standardized collection of clinical and contextual information (retrospective, concurrent, prospective) that provides a snapshot in time of a subject of care´s health information and healthcare.

10.2.2. Nationella termer och begrepp

Nationellt återfinns definitioner inom fackområdet vård och omsorg bland annat i olika författningar samt i Socialstyrelsens termbank. Ett av Socialstyrelsens uppdrag är att skapa och tillhandahålla enhetliga begrepp, termer och klassifikationer inom sitt verksamhetsområde, vilket beskrivs mer utförligt i avsnitt 7.2.1.4 Socialstyrelsen har inom ramen för uppdraget bland annat utvecklat en termbank vilken innehåller termer och definitioner som rekommenderas för användning inom hälso- och sjukvård och socialtjänst.5 Begreppen i termbanken har analyserats enligt terminologilärans metoder och principer och förankrats i bred remiss till kommuner, regioner, myndigheter och andra organisationer.

I Socialstyrelsens termbank definieras exempelvis begreppet patient som Person som erhåller eller är registrerad för att erhålla hälso-

och sjukvård. Den överordnade nivån i begreppshierarkin är vård-

och omsorgstagare, som i sin tur delas upp på patient respektive brukare. Där definieras även begreppet hälso- och sjukvård som åtgärder

för att medicinskt förebygga, utreda och behandla sjukdomar och skador. Av anmärkningen till definitionen framgår att hälso- och sjuk-

vård omfattar sjuktransporter och omhändertagande av avlidna samt att även abort, sterilisering och vissa individinriktade medicinska åtgärder, till exempel hälsoundersökning av blivande värnpliktiga, enligt juridisk praxis räknas som hälso- och sjukvård. Fackspråkligt räknas tandvård som hälso- och sjukvård, men juridiskt regleras det inte i hälso- och sjukvårdslagen utan i tandvårdslagen. I Patientdatalagen (2008:355), framöver refererat till som PDL, där utredningen föreslår ändringar definieras till exempel hälso- och sjukvård som:

Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäk-

4 4 § 8 p förordningen (2015:284) med instruktion för Socialstyrelsen. 5 Socialstyrelsens termbank. URL : Socialstyrelsens termbank.

ringsmedicinska utredningar, lagen (2019:1297) koordineringsinsatser för sjukskrivna patienter, lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar samt den upphävda lagen (1944:133) om kastrering.

Andra närliggande relevanta begrepp i Socialstyrelsens termbank innefattar den nyligen reviderade definitionen av uppmärksamhetsinformation som Information i en patientjournal som behöver upp-

märksammas särskilt. Vidare framgår att uppmärksamhetsinforma-

tion avser något som avviker från det man normalt kan förvänta sig och som påverkar handläggningen av hälso- och sjukvård. Exempel på detta uppges vara en pågående behandling, överkänslighet mot ett visst läkemedel eller ställningstagande till hjärt-lungräddning.6 Utredningen återkommer till definitioner av närliggande begrepp i olika lagar i avsnitt 10.3.1.

10.2.3. Behovet av en definition

Ur ett juridiskt perspektiv behöver begreppet patientöversikt definieras för att kunna innefattas i förslag till författningsändringar. Behovet i samband med tjänsten patientöversikt inom EES uppkommer även till följd av det ansvar för datakvalitet som den nationella kontaktpunkten för e-hälsa innehar när patientöversikter förmedlas vidare till andra länder inom EES.

E-hälsomyndigheten lyfter i sin rapport Informationshantering

vid utlandsvård behovet av en definition av begreppet patientöver-

sikt samt föreslår även en definition av begreppet.7I rapporten framhålls vidare att en definition av vad patientöversikten ska innehålla i Sverige samt vem och vilka som ansvarar för att bidra till denna behöver fastställas för att underlätta nationell samverkan och för att ytterligare säkerställa kvalitet och säkerhet. Vidare anges att en sådan definition skulle kunna utgöra en utgångspunkt i arbetet med att ta fram en specifikation rörande informationshanteringen i samband med sammanställning och förmedling av patientöversikter, både utifrån ett nationellt och ett internationellt perspektiv. E-hälsomyndigheten föreslår i rapporten att patientöversikt definieras som:

6 Socialstyrelsen (2022). Uppmärksamhetsinformation. URL: resultat-av-remiss-umi.pdf (socialstyrelsen.se). Hämtad 2023-02-13. 7 E-hälsomyndigheten (2020). Informationshantering vid utlandsvård.

En sammanställning av viktig journalinformation som delas i vårdsammanhang för att kunna erbjuda patienten en god och säker vård.

10.3. Utredningens överväganden, bedömningar och förslag

10.3.1. Definition av patientöversikt

Utredningens bedömning: Patientöversikt bör definieras som

en sammanställning av utvalda uppgifter om patienten och dess hälsa och vård som syftar till att bidra till en god och säker vård.

Som framgår av utredningens direktiv saknas en juridisk definition av begreppet patientöversikt. Det finns inte heller definierat i Socialstyrelsens termbank. Det finns emellertid ett behov av att begreppet definieras, bland annat föranlett av arbetet med tjänsten patientöversikt inom EES. Utredningens förslag på definition har tagit i beaktande befintliga formuleringar i relevant lagtext, Nätverket för e-hälsas definition av Patient Summary, CEN:s definition av The International Patient Summary, förslaget till definition från E-hälsomyndigheten, definitionen av närliggande och ingående begrepp i Socialstyrelsens termbank samt definitionen av begreppet e-recept inom ESS i delbetänkandet.

Begreppet patientöversikt används redan inom hälso- och sjukvården i Sverige, framför allt kopplat till tjänsten Nationell patientöversikt (NPÖ) som Inera tillhandahåller. Som regeringen konstaterat i tilläggsdirektiv 2021:91 kan patientöversiktens innehåll förändras över tid. Det är därför av vikt att definitionen tillåter en sådan utveckling utan att behöva ändras alltför ofta. I detta kapitel tar utredningen enbart ställning till frågan om en definition av begreppet patientöversikt. Frågor relaterade till innehållet i patientöversikten behandlas i följande kapitel.

Utredningen anser också att det bör eftersträvas att definitionen av begreppet patientöversikt formuleras på så sätt att denna kan användas såväl för patientöversikt över landsgränser som i en nationell kontext. Socialstyrelsens ansvar för att skapa och tillhandahålla enhetliga begrepp, termer och klassifikationer inom sitt ansvarsområde bör även beaktas vid utarbetandet av en definition liksom juridiska definitioner av närliggande begrepp. Utredningen ser att den defini-

tion som fastställs ska kunna ligga till grund för en ny term i Socialstyrelsens termbank.

Utredningen föreslog även i delbetänkandet en ny definition, då av begreppet e-recept från EES:

E-recept som har utfärdats av en förskrivare behörig i ett annat land i Europeiska ekonomiska samarbetsområdet (EES) som kan överföras till Sverige och expedieras på öppenvårdsapotek i enlighet med de krav som fastställts av Nätverket för e-hälsa som bildats med stöd av artikel 14 i Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård.

Definitionen föreslogs främst med anledning av behovet av att undvika upprepningar i de bestämmelser som utredningen föreslår ska gälla för denna typ av e-recept. Det föreligger på motsvarande sätt behov av att i författningar och andra texter kunna hänvisa specifikt till de patientöversikter som tas fram i enlighet med de krav som har fastställts av Nätverket för e-hälsa som bildats med stöd av artikel 14 i patientrörlighetsdirektivet och kommissionens genomförandebeslut 2019/1765.8

Definitionen bör enligt utredningen ha en övergripande överensstämmelse med den definition av patientöversikt som fastställts av Nätverket för e-hälsa och som presenterades i avsnitt 10.1.1.

Utredningen ser att orden utvalda uppgifter om patientens hälsa och

vård är lämpligt att använda för att beskriva att inte all information i

en patientjournal ingår i en patientöversikt, utan att det i stället är vissa informationsmängder, ett urval, som används. Vad gäller tjänsten patientöversikt inom EES så styrs urvalet dels av vilka informationsmängder som Nätverket för e-hälsa bestämt ska ingå i denna, där vissa informationsmängder är obligatoriska medan andra är frivilliga, dels av vilka informationsmängder som respektive land har möjlighet att tillhandahålla.

Utredningen ser även att det är av vikt att definitionen är teknikneutral i den betydelsen att den inte låses fast vid de tekniska lösningar och specifikationer som föreligger i nuläget, till exempel avseende hur en patientöversikt inom Sverige eller inom EES tas fram. Utredningen ser att ordet sammanställning väl återspeglar avsikten

8 Europa Kommissionens genomförandebeslut (EU) 2019/1765 av den 22 oktober 2019 om regler för inrättande, förvaltning och drift av ett nätverk av nationella myndigheter med ansvar för e-hälsa och om upphävande av genomförandebeslut 2011/890/EU (ändrat genom beslut 2020/1023).

med en patientöversikt och att ordet är teknikneutralt och även inbegriper en aktiv handling, alltså själva sammanställandet. Mot samma bakgrund föreslår inte utredningen att källan till informationen framgår av definitionen.

Begreppet patient definieras bland annat i lag (2022:913) om sammanhållen vård- och omsorgsdokumentation (fortsättningsvis SVOD) och återfinns även i Socialstyrelsens termbank. Utredningen ser att den definition av patientöversikt som utredningen föreslår i den del som avser patient med fördel bör överensstämmer med befintlig/a definitioner.

  • I Socialstyrelsens termbank definieras exempelvis begreppet patient som Person som erhåller eller är registrerad för att erhålla

hälso- och sjukvård.

  • I SVOD definieras patient som Person som fått, får eller är regi-

strerad för att få hälso- och sjukvård.

En skillnad mellan dessa två definitioner är att det i SVOD har införts en hänvisning till tidigare hälso- och sjukvårdsinsatser. Detta är en definition av begreppet patient som ligger i linje med innehållet i patientöversikt över landsgränser, som innefattar historiska uppgifter bland annat om tidigare väsentliga kirurgiska ingrepp. När utredningen använder begreppet patient i föreslagen definition av patientöversikt innefattas även tidigare hälso- och sjukvårdsinsatser.

Ändamålet i den definition utredningen föreslår för att bidra till

en god och säker vård tar sin utgångspunkt i formuleringar som åter-

finns i patientdatalagen (2008:355). I 3 kap. patientdatalagen regleras skyldigheten att föra patientjournal. Av 2 § framgår att syftet med

att föra en patientjournal i första hand är att bidra till en god och säker vård för patienten. Utgångspunkten är att patientjournalen ska inne-

hålla de uppgifter som behövs för en god och säker vård av patienten. Som framgår av Nätverket för e-hälsas och CEN:s arbete med att definiera begreppet patientöversikt och dess innehåll syftar patientöversikten till att stötta hälso- och sjukvårdspersonal som ger oplanerad eller planerad vård. Det utgör ett av flera verktyg som tillsammans skapar förutsättningar för att patienten får en god och säker vård. Utredningen anser att även en patientöversikt med ett urval av uppgifter om patientens hälsa och vård så som allergier, aktuella läkemedel eller diagnoser stärker förutsättningarna för en säker vård

inte minst genom att förebygga vårdskador. Nyttan är som utredningen resonerar kring i kapitel 18 sannolikt störst i de fall när vården är akut och då patienten själv inte kan ge information till vårdgivaren. Vidare anser utredningen att det finns fördelar i att när lämpligt återanvända de ändamål som redan etablerats i regleringen av personuppgiftshanteringen inom hälso- och sjukvården återanvänds för att skapa tydlighet. I hälso- och sjukvårdslagen (2017:30) framgår att målet med hälso- och sjukvården är en god hälsa och en vård på lika villkor för hela befolkningen. Utredningen har övervägt om motsvarande ändamål är aktuellt för definitionen av en patientöversikt. Utredningen bedömer det emellertid som mer lämpligt att använda begreppet en god och säker vård snarare än en god hälsa givet den nytta patientöversikten är avsett att göra i det akuta eller planerade vårdtillfället. Den föreslagna definitionen ligger enligt utredningens bedömning även i linje med Nätverket för e-hälsas definition av Patient Summary.

Utredningen anser vidare, precis som i delbetänkandet vad gäller e-recept, att det är ändamålsenligt att definitionen kan omfatta såväl patientöversikter som tas fram för nationell användning som för användning över landsgränser. Utgångspunkten för definitionen är att patientöversikten syftar till att ge patienten en god och säker vård, vilket är syftet oavsett vilken typ av patientöversikt som åsyftas. Med nuvarande formulering ser även utredningen, i enlighet med utredningens direktiv, att definitionen tillåter att de uppgifter som patientöversikten innefattar kan variera över tid.

Mot bakgrund av ovanstående resonemang föreslår utredningen att begreppet Patientöversikt definieras som:

En sammanställning av utvalda uppgifter om patienten och dess hälsa och vård som syftar till att bidra till en god och säker vård

11. Dokumentation och tillgängliggörande av informationsmängder

Utredningen har i uppdrag att analysera om patientöversikten eller delar av patientöversikten ska vara obligatorisk att dokumentera och tillgängliggöra för vårdgivare vid gränsöverskridande vård, både inom EES och nationellt, och föreslå hur detta skulle kunna regleras. I kommittédirektiven konstaterar regeringen att dagens användning av patientöversikter skiljer sig åt mellan regioner och att det finns en skillnad i vilka informationsmängder som tillgängliggörs av regionerna. Regeringen anför att det därför kan finnas skäl till att det ska vara obligatoriskt att tillgängliggöra vissa informationsmängder nationellt och inom EES för att säkerställa patientsäkerheten, men också ur ett nationellt jämlikhetsperspektiv. Utredningen ska även analysera och bedöma om den reglering som utredningen föreslår för patientöversikter också kan innefatta ytterligare kategorier av hälsodata samt följa utvecklingen av EU-kommissionens förslag till förordning om ett europeiskt hälsodataområde.

I detta kapitel redogörs för utredningens förslag avseende dokumentation och tillgängliggörande av informationsmängderna i en patientöversikt. Förslag avseende infrastruktur för att tillgängliggöra och ta del av information presenteras i nästföljande kapitel. Förslag avseende regleringen av tillgängliggörande av uppgifter om patientens hälsa och vård för en patientöversikt beskrivs mer utförligt i kapitel 15.

11.1. Förutsättningar och grundläggande principer

11.1.1. Att ge och få tillgång till uppgifter om hälsa och vård

Utredningen beskriver rådande förutsättningar för att ge och få tillgång till uppgifter om hälsa och vård utförligt i till exempel kapitel 3 och 7. I detta avsnitt ges en kort sammanfattning av de mest centrala delarna.

Vårdgivares behandling av personuppgifter inom hälso- och sjukvården regleras i huvudsak i patientdatalagen (2008:355) samt lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation (fortsättningsvis SVOD). I 3 kap. patientdatalagen regleras skyldigheten att föra patientjournal för varje patient. Utgångspunkten är att den ska innehålla de uppgifter som behövs för en god och säker vård av patienten. Det anges också att patientjournalen är en informationskälla för: patienten, uppföljning och utveckling av verksamheten, tillsyn och rättsliga krav, uppgiftsskyldighet enligt lag samt forskning.

Bestämmelser om sammanhållen journalföring fanns tidigare i patientdatalagen men har sedan den 1 januari 2023 flyttats till SVOD. Uttrycket sammanhållen vård- och omsorgsdokumentation ges i lagen betydelsen:

Ett elektroniskt system som gör det möjligt för en vårdgivare eller omsorgsgivare att ge eller få tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter hos andra vårdgivare eller omsorgsgivare.

Genom SVOD finns en möjlighet för vårdgivare att ta del av uppgifter hos andra vårdgivare och omsorgsgivare samt för omsorgsgivare möjligheten att ta del av uppgifter hos vårdgivare och andra omsorgsgivare. Vårdgivare definieras i såväl patientdatalagen som SVOD som:

Statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård.

Det är enligt regleringen i SVOD frivilligt att upprätta en sammanhållen vård- och omsorgsdokumentation. I lagen framgår vidare att tillgång ges under förutsättning att vårdgivaren eller omsorgsgivaren informerar patienten om vad sammanhållen vård- och omsorgs-

dokumentation innebär och om patientens möjlighet att motsätta sig att uppgifter görs tillgängliga för andra vårdgivare eller omsorgsgivare. Patienten ska också informeras om att det framgår för andra vårdgivare huruvida spärrade uppgifter finns och vilken vårdgivare som spärrat dem samt att även spärrade uppgifter görs tillgängliga vid fara för patientens liv eller allvarlig risk för dennes hälsa. För att en vårdgivare ska få behandla uppgifterna som en annan vårdgivare gjort tillgängliga krävs bland annat patientens samtycke samt en aktuell patientrelation.

I dag tillämpar sjukvårdshuvudmännen bestämmelserna om sammanhållen journalföring genom olika tekniska lösningar. Alla regioner, 50 kommuner och drygt 100 privata vårdgivare som bedriver offentligt finansierad vård tillgängliggör information till tjänsten som möjliggör sammanhållen journalföring men använder möjligheten på olika sätt och i olika utsträckning, bland annat varierar antalet informationsvariabler som tillgängliggörs mellan vårdgivarna.

11.2. Utredningens överväganden, bedömningar och förslag

11.2.1. Definitionen av att tillgängliggöra information

Utredningens förslag: Med begreppen att tillgängliggöra eller ge

tillgång till uppgifter avses i de lagändringar som utredningen föreslår att ge tillgång till digitala uppgifter.

Av utredningens direktiv framgår att utredningen ska analysera om patientöversikten eller delar av patientöversikten ska vara obligatorisk att dokumentera och tillgängliggöra för vårdgivare vid gränsöverskridande vård, både inom EES och nationellt, och föreslå hur detta skulle kunna regleras. Begreppet tillgängliggöra finns inte definierat i Socialstyrelsens termbank eller i Termbanken för informationssäkerhet som MSB tillhandahåller. Uttrycket att tillgängliggöra data används emellertid ofta för att beskriva att data görs tillgänglig så att den kan vidare utnyttjas till exempel av annan part eller för ett annat ändamål. Begreppet används bland annat i lagen (2022:818) om den offentliga sektorns tillgängliggörande av data och definieras i förarbetet till lagen i SOU 2020:55 som:

Med tillgängliggöra avses i den nya lagen att ge tillgång till information, oavsett om det görs frivilligt eller på grund av en annan skyldighet i annan författning.1

Där framgår vidare att för att informationen ska ha gjorts tillgänglig förutsätts inte att någon faktiskt tagit del av informationen, exempelvis genom att en fil laddats ner eller någon kopia lämnats över fysiskt. Det anförs vara tillräckligt att den som innehar informationen har gjort bedömningen att det inte finns något hinder mot att göra informationen tillgänglig och att informationen antingen publiceras i de fall det inte finns en föregående begäran, eller om det finns en föregående begäran att den som ställt frågan erbjuds få ta del av informationen i visst format. Att informationen inte kunnat tillgängliggöras i efterfrågat format innebär inte att den inte tillgängliggjorts. Bestämmelserna i lagen om den offentliga sektorns tillgängliggörande av data syftar till att främja den offentliga sektorns tillgängliggörande av data för vidareutnyttjande, särskilt i form av öppna data. Begreppet definieras i lagen enbart tillsammans med ändamålet för vidareutnyttjande.

Även DIGG använder begreppet tillgängliggöra information i de nationella principerna för att tillgängliggöra information samt i den vägledning för att tillgängliggöra information som myndigheten tagit fram.2,3 Begreppet definieras inte i något av underlagen men på olika sätt framgår att informationen ska göras digitalt tillgänglig för användning för externa intressenter.

Inom ramen för utredningens uppdrag avser aktuellt tillgängliggörande endast digital information. I fallet tjänsten patientöversikt inom EES görs informationen tillgänglig för den nationella kontaktpunkten för e-hälsa som förmedlar den vidare till hälso- och sjukvårdspersonal enligt de krav som är uppställda för tjänsten. Utredningen konstaterar att information kan tillgängliggöras i olika format. De tekniska krav och krav på informationssäkerhet som ska uppfyllas för att informationen ska kunna delas på ett säkert sätt inom ramen för tjänsten patientöversikt inom EES föreslår utredningen ska regleras i föreskrifter vilket beskrivs närmare i avsnitt 15.1.8–15.1.9. Mot den bakgrunden föreslår utredningen att med begreppet att

1SOU 2020:55. Innovation genom information. s. 129. 2 DIGG. Vägledning för att tillgängliggöra information. URL: Vägledning för att tillgängliggöra information | Digg Uppdaterad 2022-11-02. Hämtad 2023-02-08. 3 DIGG. Nationella principer för att tillgängliggöra information. URL: Nationella principer för att tillgängliggöra information | Digg. Uppdaterad 2022-10-21. Hämtad 2022-02-08.

tillgängliggöra data avses i de författningsändringar som utredningen föreslår att ge tillgång till digitala uppgifter.

11.2.2. Patientöversiktens innehåll över tid

Utredningens bedömning: Informationen i tjänsten patient-

översikt inom EES förväntas förändras över tid i samband med att tjänsten vidareutvecklas. Mot den bakgrunden gör utredningen bedömningen att regleringen av tillgängliggörandet av information till en patientöversikt för nationell och internationell användning behöver kunna anpassas efter ett växande informationsbehov för att vara bestående över tid.

Genom tjänsten patientöversikt inom EES ska det, när en fysisk person önskar, vara möjligt att dela information om dennes hälsa och vård mellan det land patienten är försäkrad i (framöver refererat till som patientens försäkringsland) och andra EES-länder. Vilken information patientöversikter inom EES ska innehålla fastställs i de riktlinjer som Nätverket för e-hälsa beslutat om. Inledningsvis, exempelvis i den andra upplagan av riktlinjerna från 2016, utgick innehållet från behovet av information vid oplanerad vård. Innehållet var bland annat definierat av hälso- och sjukvårdspersonal inom akutsjukvård och det framgick i riktlinjen att informationsmängderna var utvalda för att vara koncisa och lätta att implementera samtidigt som de tillhandahöll acceptabel täckningsgrad för ändamålet. Den tredje och senaste upplagan av riktlinjer som publicerades juni 2021 syftade till att fylla luckor i tidigare upplaga samt utveckla innehållet så att det nu även inkluderar ändamålet planerad vård.4 För att möta behoven vid planerad vård konstaterar Nätverket för e-hälsa att informationen behöver vara mer heltäckande och mer detaljerad. Därför föreslås nya informationsmängder ingå och att vissa befintliga informationsmängder från upplaga två kan vara mer detaljerade. I riktlinjerna framhålls att en bred och heltäckande definition av patientöversikt över landsgränser på EU-nivå kan bli en startpunkt för en europeisk standard avseende datainsamling vilket i sin tur kan främja implementation på nationell och regional nivå.

4 eHealth Network. Guideline on the electronic exchange of health data under Cross-Border Directive 2011/24/EU. Patient Summary. Release 3, June 2021.

Vilka informationsmängder patientöversikten innefattar är ett resultat av pågående diskussioner och samverkan inom nätverket. Det framgår av riktlinjerna att Nätverket för e-hälsa är ansvarigt för att uppdatera dem och att det ska ske med 2–3 års mellanrum. Målet på sikt är att även bilddiagnostik, labbresultat, utskrivningsrapporter och så småningom all hälsodata (”full health record”) ska vara tillgängliga inom Europa.5 Utredningen konstaterar mot den bakgrunden att fler informationsmängder och förändringar i föreslagna definitioner av informationsmängder kommer att tillkomma över tid. Vidare att patientöversikten inom EES därigenom inte är en fast samling utan en föränderlig och växande samling av informationsmängder.

I EU:s strategi för data6 beskriver kommissionen vidare visionen om ett gemensamt europeiskt dataområde där data kan användas i enlighet med gällande lagstiftning oavsett var i unionen de lagras. För att förverkliga denna vision föreslås det i strategin att det inrättas domänspecifika gemensamma europeiska dataområden som ska utgöra det konkreta system inom vilka datadelning kan ske. Enligt strategin kan sådana gemensamma områden utgöras av till exempel hälsa. EU-kommissionen presenterade sitt förslag till förordning om ett europeiskt hälsodataområde (EHDS) under våren 2022. Det allmänna målet med förordningen om EHDS är bland annat att fysiska personer i EU får ökad kontroll över sina elektroniska hälsouppgifter.7 Kommissionen konstaterar i förslaget till förordning att fysiska personer har svårt att utöva sina rättigheter till sina elektroniska hälsodata, bland annat att få tillgång till och kunna överföra dem nationellt och över landsgränser.8 Det gränsöverskridande utbytet av elektroniska hälsouppgifter behandlas i viss utsträckning i patientrörlighetsdirektivet, särskilt i artikel 14 om Nätverket för e-hälsa. Kommissionen anför att eftersom deltagande i nätverkets arbete samt anpassningen till riktlinjer nätverket beslutar om är frivilligt har genomförandet av patientrörlighetsdirektivet haft en begränsad inverkan på fysiska personers tillgång till och kontroll över sina elektroniska hälsouppgifter.9 I förordningen om EHDS ställs mot den

5 Europeiska kommissionen. Electronic cross-border health services. URL: Electronic crossborder health services (europa.eu). Hämtad 2022-11-04. 6 COM (2020) 66 final. 7 Europeiska kommissionen. Förslag till Europaparlamentet och rådets förordning om ett europeiskt hälsodataområde. 2022/0140 (COD). 8 Ibid, s. 3. 9 Europeiska kommissionen. Förslag till Europaparlamentet och rådets förordning om ett europeiskt hälsodataområde. 2022/0140 (COD), s. 5.

bakgrunden i stället krav på tillhandahållande av specificerade mängder av e-hälsodata. I Artikel 5 första stycket anges följande:

Om data behandlas i elektroniskt format ska medlemsstaterna säkerställa tillgång till och utbyte av personliga e-hälsodata för primär användning som helt eller delvis omfattas av följande kategorier: 1. Patientöversikter, 2. Elektroniska recept, 3. Elektronisk expediering, 4. Bilddiagnostik och rapporter om bilddiagnostik, 5. Laboratorieresultat och

6. Utskrivningsrapporter.

I Bilaga 1 till förordningen om EHDS beskrivs de huvudsakliga egenskaperna hos en patientöversikt enligt följande:

E-hälsodata som innehåller viktiga kliniska fakta om en identifierad person och som är nödvändiga för att ge personen säker och effektiv hälso- och sjukvård. Följande information ingår i en patientöversikt: 1. Personuppgifter 2. Kontaktuppgifter 3. Försäkringsuppgifter 4. Allergier

5. Medicinska varningar 6. Information om vaccinering/profylax, eventuellt i form av ett vaccinationskort 7. Aktuella, lösta, arkiverade eller inaktuella problem 8. Information om sjukdomshistorik 9. Medicintekniska produkter och implantat 10. Ingrepp 11. Funktionsstatus 12. Aktuella och relevanta tidigare läkemedel 13. Observationer av patientens sociala förflutna med koppling till hälsan 14. Graviditetshistorik 15. Uppgifter från patienten 16. Observationsresultat som rör hälsotillståndet 17. Vårdplan 18. Information om en sällsynt sjukdom, t.ex. uppgifter om sjukdomens konsekvenser eller karaktär.

Utredningen konstaterar att beskrivningen av en patientöversikts innehåll som föreslås i förordningen om EHDS överensstämmer väl med samtliga informationsmängder (grundläggande och utökade) som presenteras i tredje upplagan av riktlinjerna för patientöversikt inom EES.10

Mot bakgrund av den förändring av innehåll i tjänsten som skett över tid, pågående diskussioner om nya informationsmängder inom Nätverket för e-hälsa samt den vision EU-kommissionen presenterar i sin strategi och realiserar genom förordningen om EHDS ser utredningen det som sannolikt att de informationsmängder som är aktuella att dela inom ramen för tjänsten kommer att förändras framöver. Utredningen anser att det är av stor vikt att tillgängliggörande och delning av uppgifter regleras på ett sådant sätt att det går att ta omhand nya informationsbehov. Samtidigt ser utredningen att det är av lika stor vikt att tillgången till sådana personuppgifter om hälsa

10 Nätverket för e-hälsa. (2021). Guideline on the electronic exchange of health data under Cross-Border Directive 2011/24/EU. Patient Summary. Release 3, June 2021.

och vård endast sker på ett sådant sätt att den personliga integriteten värnas och personuppgifter skyddas.

11.2.3. Tillgängliggörande av information för patientöversikter inom EES och inom Sverige

Utredningens förslag: Bestämmelser införs om att vårdgivare

under förutsättning att patienten gett sitt samtycke, ska ge E-hälsomyndigheten elektronisk tillgång till uppgifter om en patient för att tillföras en patientöversikt inom EES samt från E-hälsomyndigheten elektroniskt kunna ta del av sådan patientöversikt. Kravet ska inte gälla vårdgivare som bedriver tandvård eller kommunal hälso- och sjukvård men även dessa vårdgivare får ge tillgång och ta del enligt ovan.

Bestämmelser införs även om att vårdgivare ska ge E-hälsomyndigheten elektronisk tillgång till uppgifter om en patient för att tillföras en patientöversikt inom Sverige samt från E-hälsomyndigheten elektroniskt kunna ta del av sådan patientöversikt. Kravet ska inte gälla vårdgivare som bedriver tandvård eller kommunal hälso- och sjukvård men dessa vårdgivare samt omsorgsgivare får ge tillgång och ta del enligt ovan.

Regleringen av förslagen beskrivs i avsnitt 15.1.7 och 15.2.4.

För att kunna ge en vård av hög kvalitet behöver medarbetare inom dessa verksamheter ha tillgång till aktuella och relevanta uppgifter patienten. Den information om patientens hälsa och vård som en patientöversikt kan innehålla är av sådan karaktär att den väsentligt kan påverka kvaliteten på den vård som ges, framför allt genom att vårdskador undviks. Ytterst kan det handla om skillnad mellan liv och död. Vidare kan beslut om undersökning och behandling fattas på en mer solid grund. Tillgång till uppgifter om patientens hälsa och vård från andra vårdgivare stärker patientsäkerheten vid vård över såväl landsgränser som region-, kommun- och organisationsgränser.

Redan år 2001 lämnade Socialstyrelsen vid en översyn av patientjournaldatalagen ett förslag om en ny bestämmelse om att all dokumentation bör göras i en sammanhållen patientjournal.11 Detta för

11 Socialstyrelsen (2001). Till regeringen. Patientjournallagen – en översyn med förslag till författningsändringar. 2001-12-20.

att förhindra onödig dokumentation och dubbelarbete. Journalen skulle kunna följa patienten oavsett om fler vårdgivare inbegreps eller ej. Det ansågs emellertid inte förenligt med gällande rätt. Flera utredningar och regeringsuppdrag har sedan dess behandlat frågan om en elektroniskt sammanhållen journal för varje patient och vårdgivares tillgång till personuppgifter om patientens hälsa och vård.12E-hälsomyndigheten har även utrett hur uppgifter om patientens hälsa och vård kan göras tillgängliga vid utlandsvård.13

Tidigare bedömningar och slutsatser

Patientdatautredningen presenterade i SOU 2006:82 ett förslag om

en sammanhängande reglering av personuppgiftsbehandlingen inom hälso- och sjukvården i en helt ny lag. Förslaget låg till grund för patientdatalagen (2008:355) som trädde i kraft 2008. I betänkandet anfördes att det i första hand är förbättrad patientsäkerhet som bör motivera omfattande ändringar i nuvarande reglering. Att storleksmässigt värdera nyttan uppgavs svårt men nytta anfördes kunna uppstå på såväl individuellt plan, i bemärkelsen nytta för patienten, och på ett mer allmänt plan som nytta för verksamheten som sådan och därmed samhället i stort. Patientdatautredningen konstaterade vidare att om uppgifterna är korrekta och lätt åtkomliga torde patientsäkerheten öka vid alla kommande vårdtillfällen. Som exempel lyfts att felbehandlingar som har sitt upphov i bristande tillgång till information om till exempel svåra allergier eller kroniska sjukdomar då i princip inte behöver förekomma, att vårdgivare och vårdenheters samarbete kring vården skulle kunna underlättas och effektiviseras, att patienter skulle slippa onödiga undersökningar, medicineringar och omtagning av prover eller återge samma sjukdomshistoria gång på gång.14 I betänkandet framhålls vidare att en rad förutsättningar behöver vara uppfyllda för att den ovannämnda nyttan ska erhållas. Hälso- och sjukvårdens komplicerade och splittrade natur med delat huvudmannaskap mellan landsting och kommun samt privata vård-

12 Se till exempel SOU 2006:82, Patientdatalag, SOU 2016:41, Hur står det till med den personliga integriteten?, SOU 2021:4, Informationsöverföring inom vård och omsorg samt Ehälsomyndigheten (2022), Sammanhållen journalföring. Möjligheter till digital informationsförsörjning på hälsodataområdet. 13 E-hälsomyndigheten (2020). Informationshantering vid utlandsvård. Redovisning enligt Regeringsbeslut S2019/01519/FS 2019. Dnr 0219/01537. 14SOU 2006:82, s. 235237.

givare, med mer eller mindre komplexa strukturer och stor variation avseende storlek på organisation samt verksamhetsinriktning, uppges centrala att beakta. Vidare anförs att en grundläggande förutsättning för ett gemensamt system är att all journalföring sker elektroniskt och att datoriseringen av hälso- och sjukvården vid den tiden inte var heltäckande. Tiden ansågs inte vara mogen för att genom ny lagstiftning tvinga vårdgivarna till gemensam elektronisk journalföring, vare sig på nationell nivå eller på landstingsnivå. Detta mot bakgrunden att det saknas tekniska förutsättningar för att knyta samman vårdgivarnas befintliga journalföringssystem i ett informationssystem eller ersätta detta med ett nytt gemensamt.

Även regeringen konstaterade i förarbetena till patientdatalagen (prop. 2007/08:126) att obligatoriska krav på sammanhållen journal i helhet eller i mer begränsade slag krävde sådana tekniska, organisatoriska och andra förutsättningar som då inte fanns inom hälso- och sjukvården. De anförde att en tvingande lagstiftning riskerar låsa fast utvecklingen i lösningar som inte är hållbara på sikt och att regler som uttryckligen tillåter att journalföring sker över vårdgivargränser skulle stödja utveckling och därmed förbättra förutsättningarna till en säker och effektiv hälso- och sjukvård.15

Sedan 2006 har digitaliseringen av hälso- och sjukvården och omsorgen tagit stora kliv framåt. Dagens patientjournal långt ifrån sin pappersbaserade ursprungsversion. I dag rör det sig snarare om lagrade personuppgifter om individens hälsa och vård som presenteras i olika former för olika aktörer inom vården. It i svensk hälso- och sjukvård och omsorg består av ett mycket stort antal olika system och tjänster som lagrar och distribuerar patientinformation, vilket beskrivs närmare i kapitel 7 och bilaga 9. Utveckling av olika former av it-stöd i vårdarbetet integreras i dag i det som historiskt kallats journalsystem och som i dag ofta omnämns som vårdinformationssystem.

I dag tillämpar sjukvårdshuvudmännen bestämmelserna om sammanhållen journalföring genom olika tekniska lösningar. Alla regioner, 50 kommuner samt 115 privata vårdgivare som bedriver offentlig vård har anslutit sig till Ineras digitala infrastruktur som möjliggör att journaluppgifter delas mellan vårdgivare och använder systemet i olika stor utsträckning. Detta beskrivs mer utförligt i avsnitt 7.3.2. E-hälsomyndigheten lyfter i delredovisningen av uppdraget om att föreslå

15Prop. 2007/2008:126, s. 8788.

hur sammanhållen journalföring kan nyttjas i större utsträckning (S2021/03119) ett antal hinder och utmaningar. Här framhålls bland annat att bestämmelserna i patientdatalagen som möjliggör sammanhållen journalföring är frivillig att tillämpa. I rapporten konstateras att avsaknaden av krav på att tillgängliggöra och ta del av information leder till att informationen som finns att tillgå inte är heltäckande och att det finns en stor variation i hur många och vilka informationsmängder olika vårdgivare väljer att tillgängliggöra.16 E-hälsomyndigheten föreslår i slutrapporten av samma uppdrag ett obligatorium avseende tillhandahållande av vissa prioriterade informationsmängder inom sammanhållen journalföring. I rapporten framgår vidare att en förutsättning för att den nya lagen ska få önskad genomslagskraft är att omsorgens tillämpning av klassifikationer, standarder och begrepp blir mer enhetlig.17

Även i SOU 2021:4 (Informationsöverföring inom vård- och omsorg) samt efterföljande proposition (2021/22:177) föreslås att inrättandet av ett elektroniskt system, kallat sammanhållen vård- och omsorgsdokumentation, som ger verksamheter inom delar av socialtjänsten samt hälso- och sjukvården tillgång till varandras vård- och omsorgsdokumentation ska vara frivilligt. Av SOU 2021:4 framgår att utredningen har uppfattat direktiven så att ingen ska tvingas att göra vård- och omsorgsdokumentation tillgänglig i ett system med sammanhållen vård- och omsorgsdokumentation och anför därför att det i likhet med bestämmelserna i patientdatalagen bör vara frivilligt att inrätta eller ansluta sig till ett system med sammanhållen vård- och omsorgsdokumentation.18 I propositionen framkommer att regeringen bland annat ansåg att möjligheten till att upprätta system för sammanhållen vård- och omsorgsdokumentation är en del av ett långsiktigt utvecklingsarbete inom både region och kommun för att en säker och god vård och omsorg ska kunna tillhandahållas, samtidigt som enskildas integritetskänsliga uppgifter behandlas på ett sätt som tillgodoser fysiska personers skydd avseende behandlingen av personuppgifter. Regeringen ansåg också att möjligheten att upprätta en sammanhållen vård- och omsorgsdokumentation för

16 E-hälsomyndigheten (2021). Ökat nyttjande av sammanhållen journalföring. Möjligheter, utmaningar och behovet av digital informationsförsörjning i dag och i framtiden. Dnr 2021/01681, s. 58. 17 E-hälsomyndigheten (2022). Sammanhållen journalföring. Möjligheter till digital informationsförsörjning på hälsodataområdet. Slutrapportering av uppdraget att föreslå hur sammanhållen journalföring kan nyttjas i större utsträckning S2019/03119. Dnr 2021/01681. 18SOU 2021:4. Informationsöverföring inom vård och omsorg.

vissa grupper ökar förutsättningarna för en säker och trygg vård och omsorg ytterligare, för både regioner och kommuner. Det skulle i sin tur öka incitamentet att investera i teknisk utveckling av användarvänliga system som är anpassade till både regioners och kommuners behov och förutsättningar. Förutom de tekniska förutsättningarna behöver ytterligare arbete ske hos både myndigheter och hos huvudmän respektive utförare för att främja användningen av enhetliga begrepp, strukturerad dokumentation och journalföring.19 Av remissinstanserna framförs synpunkter på att kommuner och regioner borde vara skyldiga att erbjuda sammanhållen vård- och omsorgsdokumentation men flera remissinstanser ser även utmaningar om lagen skulle vara tvingande för kommuner och regioner. Sveriges Kommuner och Regioner (SKR)20 anser till skillnad från utredningen att det inte ska vara frivilligt att inrätta sammanhållen vård- och omsorgsdokumentation. Även Statens medicin-etiska råd21, Myndigheten för vård- och omsorgsanalys22 och Swedish Medtech23 anser att det ska vara obligatoriskt för kommuner och regioner att inrätta eller ansluta till sammanhållen vård- och omsorgsdokumentation.

I samband med coronapandemin har behovet av att kunna överföra information mellan vårdgivare på ett säkert sätt blivit ännu tydligare. Coronakommissionen bedömde i sitt delbetänkande (SOU 2020:80) att avsaknaden av en sammanhållen journalföring är ett allvarligt patientsäkerhetsproblem och att regionerna och kommunerna måste vidta åtgärder för att förverkliga en sammanhållen journalföring.24 Även IVO har några år tidigare i en tillsynsrapport bedömt att avsaknaden av en mer patientcentrerad sammanhållen journaldokumentation är ett allvarligt hinder för en effektiv informationshantering i vården.25

19Prop. 2021/22:78. 20 SKR (2021). Yttrande. Informationsöverföring inom vård och omsorg (SOU 2021:4). 21 Statens medicin-etiska råd (2021). Remissvar avseende betänkandet Informationsöverföring inom vård och omsorg (SOU 2021:4). 22 Myndigheten för vård- och omsorgsanalys (2021). Myndigheten för vård- och omsorgsanalys remissyttrande över betänkandet Informationsöverföring inom vård och omsorg (SOU 2021:4, S2021/00850). 23 Swedish Medtech (2021). Remissvar gällande betänkande SOU 2021:4, Informationsöverföring inom vård och omsorg. 24SOU 2020:80. Äldreomsorgen under pandemin. s. 246. 25 IVO (2015). Tillsynsrapport. De viktigaste iakttagelserna inom tillsyn och tillståndsprövning verksamhetsåret 2014. Artikelnr IVO 2015-62.

Framförda synpunkter från vårdgivare, patient- och intresseföreningar samt professionsorganisationer

Utredningen om e-recept och patientöversikter har vid digitala dialogmöten och skriftligen ställt frågor om gränsöverskridande utbyte av patientöversikter, nationellt och inom EES. Samrådsförfarandet beskrivs närmare i kapitel 2. Skriftliga svar har erhållits från patient- och intresseorganisationer, professionsorganisationer samt representanter för privata vårdgivare/kliniker och offentliga vårdgivare/kliniker. Från vissa regioner har flera kliniker svarat utifrån sitt perspektiv. Under dialogmötena deltog fem patient- och intresseorganisationer: Reumatikerförbundet, Neuroförbundet, RME Riksförbundet, Riksförbundet FUB (Funktionsrätt Sverige) samt Svenskar i Världen. Skriftliga synpunkter erhölls från RME Riksförbundet, Neuroförbundet, Svenskar i Världen och Svenska Diabetesförbundet. En professionsorganisation (E-hälsoläkarna) deltog i dialogmötet, skriftliga synpunkter inkom även från Sveriges Läkarförbund. Två privata vårdgivare (Kry och Min Doktor) deltog i dialogmötet, skriftliga synpunkter har inkommit från de båda samt från Capio och Praktikertjänst. Utredningen har fått tolv skriftliga svar från verksamheter i 6 av 21 regioner och 11 av 21 regioner deltog under dialogmötet med utredningen. Utöver det har även separata dialogmöten hållits med representanter för ytterligare tre regioner. Sammantaget har utredningen inhämtat synpunkter från 17 av 21 regioner, svaren kom från en blandning av enskilda kliniker och övergripande strategiska funktioner i regionerna. De regioner som utredningen inte fått någon återkoppling från är Region Norrbotten, Region Värmland, Region Jämtland/Härjedalen samt Region Västmanland. Utredningens bedömning är att de synpunkter som inkommit ger en god bild av de olika typer av åsikter som finns ute hos regionerna och deras verksamheter samt hos de större privata vårdgivarna men säger inget om hur vanligt förekommande de är.

Nedan återges en sammanfattning av skriftliga svar och muntliga synpunkter som utredningen mottagit i samband med de fyra dialogmöten som hållits med patient- och intresseorganisationer, professionsorganisationer, privata vårdgivare och offentliga vårdgivare. Inkomna skriftliga svar redovisas i sin helhet i Bilaga 8.

Synpunkter från vårdgivare

Nedan sammanfattas de synpunkter som utredningen tagit del av antingen skriftligt som svar på utskickade frågor eller muntligt i samband med dialogmöte.

Sammanfattning av framförda synpunkter i enkäter och vid dialogmöte: Offentliga vårdgivare

Deltagarna var odelat positiva till att information kan utbytas mellan vårdgivare, det beskrevs som kärnan i att det ska bli rätt och en självklarhet. Vikten av att patienten har rätt att bestämma genom samtycke framhölls särskilt där ett aktivt medgivande förespråkades över ett passivt. Även vikten av hög IT-säkerhet framhölls.

Flera påtalade brister i att alla publicerar olika mycket information och önskade att det ska se likadant ut från alla regioner. Många ansåg att förslaget om att göra det obligatoriskt för vårdgivare att tillgängliggöra information var något bra, positivt och ett stort och viktigt steg i rätt riktning för att få heltäckande information från alla delar av landet. Vissa framhöll att det ska vara obligatoriskt att dela i Sverige men inte till EES på grund av osäkerhet kring säkerhetsskyddet och huruvida det går att ha kontroll över vilka som få tillgång till uppgifterna. Åsikter om att det bör bygga på frivillighet och centralt stöd för att skapa förutsättningar i stället framhölls också. Vikten av att få tid till implementation och av att återanvända befintlig infrastruktur så mycket som möjligt lyftes. Informationssäkerheten framhölls även som viktig.

Avseende konsekvenser av ett obligatorium att tillgängliggöra med hjälp av NPÖ diskuterades hur väl befintliga tjänstekontrakt överensstämde med krav enligt tjänsten patientöversikter, där det konstaterades att viss utveckling krävdes. Konsekvenserna ansågs bero på hur mycket av redan etablerade tjänstekontrakt som kan återanvändas. Alternativ som inte krävde någon eller liten utveckling av regionerna förespråkades. Diskussion fördes även om spärrar där patientsäkerhet ibland står gentemot integritetsbehovet. I akuta situationer framhölls att klinikerna behöver kunna ta del av informationen. Samtidigt lyftes synpunkter om att det var viktigt att en aktiv handling i form av att ge samtycke föregick tillgång till uppgifter.

På frågan om hur vårdgivarna såg på ett alternativ där staten tillhandahöll en infrastruktur för utbytet av informationen i en patientöversikt lyftes fördelarna med att ha en struktur för att gränslöst kunna arbeta nationellt med informationsutbyte. En nationell standard framhölls som positivt. Mycket tid och resurser har lagts ner på dagens infrastruktur med Inera, något som deltagarna såg viktigt att ta omhand så att skattemedel hanteras klokt. Exemplet infrastruktur för listningstjänst där såväl regioner som staten genom en myndighet bygger likvärdiga tjänster lyftes som ett icke önskvärt alternativ. Att staten skulle ta ansvar för informationshanteringen inom patientöversikter lyftes som ett vällovligt initiativ men givet den ansvarsfördelning som finns inom hälso- och sjukvården anfördes att ansvarsfrågor sannolikt behöver utredas. Åsikter om att det är ett bra förslag, att det är nödvändigt, att det är den enda möjliga lösningen inom rimlig framtid och något som ökar sannolikheten för att beslut ska tas snabbare lyftes. Samtidigt framhöll andra att två parallella system är mardrömmen och att det vore av värde att nationellt använda sig av NPÖ och utveckla därifrån.

I diskussioner om webbgränssnittet för att nå informationen i NPÖ framhölls att användarvänligheten behöver förbättras och att nuvarande brister gör att det finns ett motstånd bland kliniker att använda tjänsten. Någon lyfte att det är viktigt att inte behöva multipla inloggningar eller att det helst inte ska kräva ny inslagning av patientens personnummer samtidigt framhölls säkerhetsaspekterna som viktiga. Det sågs vidare fördelaktigt om patientöversikter från utlandet kan visas i samma tjänst som de nationella. I diskussioner om tidslinjen för integration in i journalsystemet framhålls att många regioner håller på med nya system och kämpar med att få till strukturerad information. Någon lyfte att det är olika lagrum för patientjournaler, NLL och NPÖ och behovet av att se över lagarna, önskvärt om samma lag kan reglera de tre. NLL:s framflyttade införande framhölls som ett exempel som speglade tidsaxeln för att införa den här typen av utveckling.

Frågan om att även privat finansierad vård ska tillgängliggöra information diskuterades där gruppen såg att alla vårdgivare skulle omfattas av samma krav på samma sätt som alla har ansvar över att föra journal. Någon lyfte att vissa söker sig till privata vårdgivare för att de inte vill dela journalföringsuppgifter.

Utredningen ställde frågan om gruppen ansåg att barn ska kunna ingå i tjänsten, flera svarade ja och att de framfört synpunkten i remissvar för delbetänkandet avseende e-recept inom EES. Grupper skyddade personuppgifter framhölls också som en grupp där det är svårt att lösa frågor om tillgång till information.

Sammanfattning av framförda synpunkter i enkäter och vid dialogmöte: Privata vårdgivare

Generellt ansåg gruppen att möjligheten att dela information genom patientöversikter är väldigt bra och till stor fördel för patientnyttan och patientsäkerheten. Att kunna utbyta information genom NPÖ framhölls som en fördel när verksamheten finns i flera olika regioner. Användbarheten, inloggning, översikt och sökmöjligheter ansågs emellertid sämre. Någon uppgav att det fanns visst motstånd i verksamheten att använda NPÖ på grund av dessa brister. Många uppgavs ha kvar den gamla bilden även om NPÖ har blivit bättre. Positivt inställd till tjänsten men ser förbättringsmöjligheter avseende hur information presenteras och önskar kunna söka på tex viss diagnos i en patientsöversikt. Behovet hos kliniker att snabbt kunna hitta det som är relevant utifrån patientens besök hos vårdgivare lyftes särskilt viktigt där dataformatet får stor betydelse. Frågor om obligatorium önskade gruppen få ta med sig hem och återkomma med skriftliga svar på. De lyfte emellertid att synpunkter sannolikt skiljer sig åt bland de privata aktörerna vilket inte fullt ut reflekteras när få deltar. Det framhölls att det är en ganska stor kostnad som vårdgivarna behöver känna att de får tillbaka. Det framhölls även att det är förenat med stora kostnader och mycket utvecklartid som kräver särskilt kompetens för många privata aktörer som i dag inte är anslutna till NPÖ. För de som redan är anslutna är konsekvenserna små.

Någon lyfte att det i dag är svårt att få klinikerna att logga in. Många arbetar mobilt vilket gör att frågor om säker inloggning är något man brottas med. Hantering av dubbletter av/i journalen lyftes som något viktigt om patientöversikter ska delas över landsgränser.

Synpunkter från patient- och intresseföreningar

Nedan sammanfattas de synpunkter som utredningen tagit del av antingen skriftligt som svar på utskickade frågor eller muntligt i samband med dialogmöte. En redovisning av svaren på utskickade frågor finns i sin helhet i bilaga 8.

Flera av de patient- och intresseföreningar som lämnat synpunkter skriftligt eller muntligt tycker att förslaget om att införa tjänsten patientöversikter inom EES är bra. Flera tror även att tjänsten skulle användas i hög utsträckning. Patienten uppgavs redan tro att det är självklart att deras journal kan ses över region- och organisationsgränser. Att ge tillgång till uppgifter för forskning ansågs inte lika självklart då det fanns viss oro kring vad andra gör med ens data.

Patientens integritet framhölls särskilt viktigt. Det uppgavs vara centralt att patienten har inflytande över hur uppgifterna delas och ges möjlighet att lämna samtycke. Personen behöver även ha full insyn i vad samtycket innebär. Vilken tillgång till uppgifter som patienten kan ge behöver framgå tydligt. Det framhölls vidare att det kan vara svårt för patienten att bedöma vilken information som är relevant att dela med sig av.

Någon framhöll att viss information är känslig och att det kan få stora konsekvenser om den tillgängliggörs, till exempel uppgifter om abort i land där abort inte är lagligt.

Hanteringen av de delar i tjänsten som rör patienten behöver vara enkel. Många uppgavs resa ofta och det sades då finnas en risk att man glömmer bort ett samtycke som är på och av – då bör det kunna ligga kvar hela tiden. Flera lyfte att det är önskvärt att kunna lämna samtycke en gång som gäller för hela patientöversikten. Om samtycke kommer krävas för varje vårdtillfälle framhålls farhågor om att journalinformation inte kan vara tillgänglig i akuta och ofta allvarliga fall av vårdbehov (till exempel om patienten är medvetslös) där vikten av information är stor. Önskemål om att tjänsten även skulle inkludera länder utanför EES framhölls.

Svenskar i Världen framhöll att många utlandssvenskar saknar tillgång till svensk e-legitimation, att många av dem har inaktivt personnummer i SPAR vilket gör att vården, myndigheter och företag inte kan få upp information om dem. Flera av dem har även samordningsnummer. Även patienter med god man uppgavs sällan ha elegitimation.

Synpunkter från professionsföreträdare

Nedan sammanfattas de synpunkter som utredningen tagit del av antingen skriftligt som svar på utskickade frågor eller muntligt i samband med dialogmöte. En redovisning av svaren på utskickade frågor finns i sin helhet i bilaga 8.

Övergripande ansågs förslaget om att implementera tjänsten patientöversikter inom EES positivt. Patientens önskan om att vara mer delaktiga, få tillgång till data och digitalt stöd framhölls. Alternativet, att inte komma åt data ens inom, eller mellan regioner ansågs inte bra då människor rör sig mycket över gränser i dag. Samtycke framhölls viktigt samt teknik för att inhämta detta.

Synpunkter avseende NPÖ innefattade bland annat att många mindre privata vårdgivare kanske inte har råd att ansluta då Inera uppgavs vara ganska dyra. Tillgången till data som NPÖ erbjuder ansågs oerhört viktig för att kunna fatta hållbara beslut. Användarvänligheten ansågs inte bra. Det framhölls att gränssnittet inte är sökbart/sorterbart. Önskemål om att kunna sortera, indexera, följa ett ärende framhölls. I dag kan bara kronologisk journal ses oavsett vårdgivare/specialitet. Användbarheten i gränssnittet uppgavs vara den enskilt viktigaste faktorn för att lyckas med ett IT projekt i dag. Alla funktioner och finesser man klämmer in i ett system saknar värde om det inte är intuitivt, lättanvänt och man kan göra det viktigaste utan längre utbildning.

Obligatorium avseende tillgängliggörande och användning uppgavs bra och behövas för att skapa förutsättningar för patientsäkerhet. Kostnadsfrågan uppgavs sannolikt bli den stora konsekvensen men om syftet var att höja kvaliteten med uppföljning, att patienten kan ses sin data och att detta blir en del av systemet är det en positiv förändring.

Förslaget om att staten tillhandahåller en nationell tjänst ansågs bra och efterlängtat av vissa medan andra framhöll att det innebär för- och nackdelar. Med den utveckling vi ser i omvärlden med mer digitalisering uppgavs det finnas ett värde med en och samma infrastruktur, som är nationell. Standarder, funktionalitet, som är bättre och modernare än Inera – vore positivt. VI utveckling av systemet framhölls att det behövs flexibilitet och utvecklingsbara komponenter som smidigt går att bryta ner i delar/moduler.

En nationell tjänst för samtycke föreslogs.

Utredningens bedömning och slutsatser

Utredningen har i uppdrag att analysera om patientöversikten eller delar av patientöversikten ska vara obligatorisk att dokumentera och tillgängliggöra för vårdgivare vid gränsöverskridande vård, både inom EES och nationellt, och föreslå hur det skulle kunna regleras. För att kunna ge en vård av hög kvalitet behöver medarbetare inom dessa verksamheter ha tillgång till aktuella och relevanta uppgifter patienten. Den information om patientens hälsa och vård som en patientöversikt kan innehålla är av sådan karaktär att den väsentligt kan påverka kvaliteten på den vård som ges, framför allt genom att vårdskador undviks. Ytterst kan det handla om skillnad mellan liv och död. Vidare kan beslut om undersökning och behandling fattas på en mer solid grund. Samtidigt är personuppgifterna som avses känsliga varför det är av stor vikt att individens integritet värnas genom att tillgängliggörande och tillgång till informationen bygger på system och processer med hög informationssäkerhet.

Tillgång till uppgifter om patientens hälsa och vård från andra vårdgivare stärker patientsäkerheten vid vård över såväl landsgränser som region-, kommun- och organisationsgränser. Utredningen kommer därför i enlighet med sitt uppdrag att föreslå en reglering för tillgängliggörandet för patientöversikter inom Sverige och inom EES.

Krav på tillgängliggörande för patientöversikter inom Sverige

Utredningen konstaterar att det i dag finns rättsligt stöd för att svenska vårdgivare och omsorgsgivare ska kunna dela vård- och omsorgsdokumentation med varandra inom ramen för bestämmelserna om sammanhållen vård- och omsorgsdokumentation men att det är frivilligt att tillgängliggöra information. Utredningen anser att det är patientens rättighet att kunna ge den vårdgivare den önskar tillgång till de enligt lag dokumenterade uppgifterna om dess hälsa och vård för att erhålla en god och säker vård. Vidare ska patienten kunna lita på att den information som framkommit i samband med utredningar och undersökningar finns tillgänglig oavsett vilken vårdgivare den väljer att besöka och att de används så att vården ges utifrån den samlade information som finns.

Flera utredningar och regeringsuppdrag har behandlat frågan om en elektroniskt sammanhållen journal för varje patient och vård-

givares tillgång till personuppgifter om patientens hälsa och vård.26,27,28,29 Ett stort antal remissinstanser har även senast våren 2022 getts möjlighet att uttala sig i frågan om huruvida det ska föreligga krav på tillgängliggörande eller om det fortsatt ska vara frivilligt. Utredningen beskriver tidigare i detta kapitel att flera tvärtemot vad som föreslogs i förarbetena till lagen inte ansåg att det skulle vara frivilligt för vårdgivare och omsorgsgivare att använda sig av ett elektroniskt system för att möjliggöra informationsutbyte över organisationsgränser.30 I fallet patientöversikt blir konsekvensen av frivilligheten tydligt eftersom det resulterar i att olika vårdgivare tillgängliggör olika mycket information. Vissa vårdgivare har heller inte tillgång till den infrastruktur som används av den offentligt finansierade vården för ändamålet. Det leder till att informationen i en patientöversikt är beroende av till vem patienten vänt sig för vård och inte kan anses heltäckande. Sammantaget sjunker nyttan i tjänsten patientöversikt och därmed även motivationen till användning.

Förutsättningarna för informationshantering inom och mellan vårdgivare och omsorgsgivare i Sverige har förändrats under de senaste decennierna. Som anförs i kapitel 5 av detta betänkande har det skett stora strukturförändringar inom hälso- och sjukvården. I dag finns fler olika utförare som är verksamma inom hälso- och sjukvården än tidigare. Allt fler privata vårdgivare bedriver vård och omsorg med eller utan offentlig finansiering. Inom ramen för den offentligt finansierade vården skedde under 2021 drygt 64 procent av alla kontakter i öppenvården hos vårdgivare i offentlig regi och knappt 36 procent hos vårdgivare i privat regi.31

De betydande patientsäkerhetsfördelarna med att kunna dela information om patientens hälsa och vård mellan vårdgivare framhölls redan i förarbeten till patientdatalagen. Där framgår emellertid att tiden inte var mogen för att genom ny lagstiftning tvinga vårdgivarna till gemensam elektronisk journalföring, vare sig på nationell nivå eller på landstingsnivå. Detta mot bakgrunden att det saknades tekniska förutsättningar för att knyta samman vårdgivarnas befintliga

26SOU 2006:82. Patientdatalag. 27SOU 2016:41. Hur står det till med den personliga integriteten? 28 E-hälsomyndigheten (2022). Sammanhållen journalföring. Möjligheter till digital informationsförsörjning på hälsodataområdet. 29SOU 2021:4. Informationsöverföring inom vård och omsorg. 30Prop. 2021/22:177. Sammanhållen vård- och omsorgsdokumentation. 31 SKR (2022). Statistik över antalet kontakter i öppenvård hos vårdgivare i privat respektive offentlig regi. Avser bara den offentligt finansierade vården.

journalföringssystem i ett informationssystem eller ersätta detta med ett nytt gemensamt. Utredningen menar att situationen i dag ser avsevärt annorlunda ut. Samtliga regioner, 50 kommuner och 115 privata vårdgivare som utför offentligt finansierad vård är redan anslutna till den tjänst som Inera tillhandahåller som möjliggör utbyte av patientöversikter mellan vårdgivare. Utredningen återkommer i nästa kapitel till de förslag som avser den infrastruktur som ska möjliggöra ett gränsöverskridande utbyte av patientöversikter.

I utredningens direktiv framgår att utredningen ska lämna förslag som möjliggör utbyte av patientöversikter med information från alla vårdgivare. Att även privata vårdgivare omfattas av bestämmelserna är enligt utredningen en viktig förutsättning för att erhålla en jämlik vård.

Mot bakgrund av det resonemang som förs ovan och med utgångspunkt från den nytta i form av stärkt patientsäkerhet som tillgång till uppgifter om patientens hälsa och vård ger, beaktat de konsekvenser som beskrivs närmare i kapitel 12 samt 18, föreslår utredningen att det ska införas bestämmelser om krav på vårdgivare att ge tillgång till utvalda uppgifter om en patient för att tillföras patientöversikter inom Sverige samt från E-hälsomyndigheten elektroniskt kunna ta del av sådan patientöversikt. Regleringen för att realisera förslaget presenteras i avsnitt 15.2.4.

Kravet ska inte gälla vårdgivare som bedriver tandvård eller kommunal hälso- och sjukvård men dessa vårdgivare samt omsorgsgivare får ge tillgång och ta del enligt ovan. Utredningen har som sitt primära fokus haft hälso- och sjukvård av och för regionerna, det vill säga den regionala vården. Utredningens dialoger har i huvudsak inte varit med vårdgivare som bedriver tandvård eller kommunal hälso- och sjukvård. När utredningen ska bedöma bland annat konsekvenser för kravställda vårdgivare till följd av förslagen utgår utredningen från den kunskap som andra beskrivit och som utredningen själv erhållit genom dialoger, enkäter med mera. Sammanfattningsvis är utredningens bedömning att konsekvenserna för de vårdgivare som innefattats i utredningens primära fokus är väl beskrivna i detta kapitel samt i kapitel 12 och 18 och att nyttorna i form av bland annat stärkt patientsäkerhet överväger de konsekvenser utredningen har kunnat förutse och beskriva. Med konsekvenser avses exempelvis kostnader och tekniska förutsättningar. Utredningen konstaterar emellertid att endast 50 av 290 kommuner tillgängliggör information i NPÖ i dag

jämfört med 21 av 21 regioner och har inte fullt ut kunnat överblicka och förstå konsekvenserna av en kravställning avseende tillgängliggörande för vårdgivare som bedriver tandvård eller kommunal hälso- och sjukvård. För dessa vårdgivare ska det dock vara möjligt att ge tillgång till uppgifter och ta del av patientöversikter i enlighet med kravet på övriga vårdgivare. För vårdgivare som använder sig av den möjligheten ska övriga skyldigheter som de kravställda vårdgivarna måste iaktta, i till exempel föreskrifter, gälla även för dem. Utredningens uppdrag har inte omfattat omsorgen.

Samma argument som utredningen för ovan avseende stärkt patientsäkerhet vid bättre tillgång till information om patientens hälsa och vård är emellertid gällande även för omsorgen. Utredningen ser att de redan omfattas av bestämmelserna i SVOD som möjliggör informationsutbytet och föreslår därför att de ges möjlighet att tillgängliggöra och ta del av uppgifter även till och från E-hälsomyndigheten på samma sätt som från andra vårdgivare och omsorgsgivare. På så sätt skapas också tydlighet och mindre komplexitet i regleringen avseende informationsflödet inom svensk hälso- och sjukvård och omsorg. Att jämföra med om olika bestämmelser skulle gälla för flödet av uppgifter i en patientöversikt mellan vårdgivare som går via en aktör som Inera respektive via E-hälsomyndigheten.

Krav på tillgängliggörande för patientöversikter inom EES

I tjänsten patientöversikt inom EES behandlas de personuppgifter om patienten och den vårdgivande hälso- och sjukvårdspersonal som Nätverket för e-hälsa kommit överens om.32 Enligt de senaste riktlinjerna avses fem kliniska informationsmängder: Aktuella diagnoser och hälsoproblem, information om allergier och överkänsligheter, större kirurgiska ingrepp och medicintekniska produkter (implantat, protes, pacemaker etc.). Utöver dessa beskrivs ett antal frivilliga informationsmängder som respektive land kan besluta om huruvida de önskar tillgängliggöra eller ej, vilket beskrivs mer ingående i kapitel 8. Den information som är strukturerad och kodad översätts via kodverk av den nationella kontaktpunkten när den överförs från

32 Informationsmängderna utgår bl.a. från patientrörlighetsdirektivet, genomförandedirektivet 2012/52/EU som har utvecklats inom Nätverket för e-hälsa, nätverkets krav och riktlinjer, samt användningen av olika standarder och överenskomna kodverk.

land A till land B, vilket beskrivs mer ingående i kapitel 8 och i avsnitt 12.2.1.

Som utredningen skriver tidigare i detta kapitel är informationsmängderna inom ramen för tjänsten ett resultat av pågående diskussioner inom Nätverket för e-hälsa. Det framgår av riktlinjerna att Nätverket för e-hälsa är ansvarigt för att uppdatera dem och att det ska ske med 2–3 års mellanrum. Målet på sikt är att även bilddiagnostik, labbresultat, utskrivningsrapporter och så småningom all hälsodata (”full health record”) ska vara tillgängliga inom Europa.33Utredningen konstaterar mot den bakgrunden att fler informationsmängder och förändringar i föreslagna definitioner av informationsmängder kommer att tillkomma över tid. I kommissionens förslag till förordning om EHDS föreslås även att samtliga informationsmängder som finns beskrivna, det vill säga även de som i dagsläget är valfria att tillgängliggöra, ska bli obligatoriska att tillgängliggöra.

Utredningen anser att ovanstående resonemang avseende nyttan av utbyte av patientöversikter med särskilt viktig information om patientens hälsa och vård är densamma för vård som bedrivs över landsgränser som inom Sverige. Mot den bakgrunden och beaktat de konsekvenser som beskrivs i kapitel 12 och 18 föreslår utredningen att bestämmelser införs om att vårdgivare, under förutsättning att patienten gett sitt samtycke, ska ge E-hälsomyndigheten elektronisk tillgång till uppgifter om en patient för att tillföras en patientöversikt inom EES samt från E-hälsomyndigheten elektroniskt kunna ta del av sådan patientöversikt. Kravet ska inte gälla vårdgivare som bedriver tandvård eller kommunal hälso- och sjukvård men även dessa vårdgivare får ge tillgång och ta del enligt ovan. Samma argument som ovan om att utredningen inte till fullo kan överblicka konsekvenserna av att ålägga ett obligatorium på dessa vårdgivare ligger till grund för undantaget.

Utredningen konstaterar att det föreligger vissa skillnader mellan flödet över landsgränser och det nationella flödet. Risk för obehörig åtkomst till känsliga personuppgifter kan öka i och med att fler aktörer får tillgång till personuppgifterna. I bland annat avsnitt 8.1.7 beskriver utredningen informationssäkerheten i tjänsterna e-recept och patientöversikter inom EES. E-hälsoavtalet ställer krav på en säkerhetsnivå i fråga om inbyggt dataskydd och dataskydd som standard,

33 Europeiska kommissionen. Electronic cross-border health services. URL: Electronic crossborder health services (europa.eu). Accessed 041122.

sekretess, integritet, autenticitet, tillgänglighet, oförnekbarhet, kryptering och andra åtgärder för datasäkerhet och kontrollmekanismer i enlighet med dataskyddsförordningen och eIDAS-förordningen. I tjänstens kravkatalog framgår vidare de krav som ska uppfyllas för att säkerställa och upprätthålla följande dimensioner av säkerhet: konfidentialitet, integritet och tillgänglighet.34 Konfidentialitet innebär i sammanhanget att data, system och tjänster skyddas från obehörig åtkomst och oavsiktligt röjande av uppgifter. Med integritet avses att informationen skyddas från obehörig modifikation. Tillgänglighet betyder enligt MyHealth@EU Requirements Catalogue att den nationella kontaktpunkten för e-hälsas resurser är tillgängliga utan orimligt dröjsmål och att behöriga användare kan få tillgång till den information de behöver när de behöver den.

Den nationella kontaktpunkten för e-hälsa måste genomgå granskning avseende informationssäkerhet och personuppgiftsbehandling innan implementation av tjänsten tillåts.

För att ytterligare stärka skyddet mot obehörig åtkomst föreslår utredningen i avsnitt 15.1.7 att patientens samtycke ska krävas för att patientens personuppgifter ska få behandlas för ändamålet förmedling av patientöversikter över landsgränser. Utredningen föreslår också att samtycke ska inhämtas när svenska vårdgivare önskar ta del av patientöversikter från utlandet. Anledningen härför är att det rör sig om känsliga personuppgifter som dessutom ska föras över landsgränser och som E-hälsomyndigheten som personuppgiftsansvarig inte har något behov av att behandla om inte patienten själv vill det. Ett sådant samtycke utgör en integritetshöjande skyddsåtgärd. Genom kravet på samtycke minskar också risken att uppgifterna överförs av misstag. Vidare föreslår utredningen att de spärrar som införts nationellt i enlighet med SVOD kvarstår även i patientöversikter som förmedlas till utlandet. Vid fara för patientens liv ska sådana spärrar, i enlighet med regleringen i SVOD, kunna hävas även beträffande patientöversikter som förmedlas inom EES. I det avseendet anser utredningen att värnandet om patientsäkerheten överväger de risker för intrång i den personliga integriteten som kan förekomma.

34 eHDSI. Requirement catalouge. Avsnitt 10. Ensure the security, performance, traceability and audiability of the service, data and systems.

12. Gränsöverskridande utbyte av patientöversikter

Utredningen har i uppdrag att utreda vad som krävs för ett gränsöverskridande utbyte av patientöversikter inom EES som inkluderar information från alla vårdgivare i Sverige. Utredningen ska föreslå åtgärder för en långsiktig förvaltning av patientöversikter samt föreslå de författningsändringar och andra åtgärder som bedöms vara nödvändiga. Utredningen ska även följa utvecklingen av EU-kommissionens förslag till förordning om ett europeiskt hälsodataområde samt analysera och bedöma om den reglering som utredningen föreslår för patientöversikter även kan innefatta ytterligare kategorier av hälsodata. Som beskrivet i kapitel 12 har utredningen även i uppdrag att analysera om patientöversikten, hela eller i delar, ska vara obligatorisk att tillgängliggöra inom EES och nationellt.

I kommittédirektiven konstaterar regeringen bland annat att den information som utgör patientöversikten inte finns centralt som den gör för e-recepten utan är utspridd i varje vårdgivares journalsystem. Vidare noterar regeringen i direktiven att E-hälsomyndigheten i tidigare regeringsuppdrag1 lyfter fram att en möjlig lösning för att inkludera alla vårdgivare skulle vara att en statlig infrastruktur tas fram för detta ändamål samt att en sådan infrastruktur sannolikt skulle bidra till en högre patientsäkerhet och en ökad jämlikhet. Vidare konstaterar regeringen att den infrastruktur som används för detta ändamål bör vara långsiktigt hållbar, syfta till en nationell likformighet och i den mån det är möjligt ta sin utgångspunkt i den förvaltningsgemensamma digitala infrastrukturen Ena som är under framtagande.

Tidigare kapitel har behandlat definitionen av begreppet patientöversikt (kapitel 10) samt krav på att dokumentera och tillgänglig-

1 E-hälsomyndigheten (2020). Informationsöverföring vid utlandsvård. Dnr 2019/01537.

göra information i syfte att dela med andra vårdgivare (kapitel 11). I det här kapitlet presenteras utredningens bedömningar och förslag avseende tekniska och organisatoriska förutsättningar för gränsöverskridande utbyte av patientöversikter med utvalda uppgifter om patientens hälsa och vård inom EES. Mot bakgrund av utredningens uppdrag att även analysera om patientöversikten eller delar av den ska vara obligatorisk att tillgängliggöra vid gränsöverskridande vård nationellt, presenterar utredningen också förslag som avser patientöversikter inom Sverige. I kapitel 1 samt kapitel 13–15 motiveras och sammanfattas utredningens författningsförslag.

Inledningsvis redogör utredningen för förutsättningar och grundläggande principer för informationstillgång och informationsutbyte. Därefter följer utredningens överväganden och förslag. Konsekvenser av utredningens förslag presenteras kort i detta kapitel och mer utförligt i kapitel 18 som innehåller konsekvensanalys och konsekvensbeskrivning.

12.1. Förutsättningar och grundläggande principer

12.1.1. Förmågor och funktioner för informationsutbyte

För att möjliggöra ett gränsöverskridande utbyte av patientöversikter i enlighet med de krav som ställs på tjänsten patientöversikter inom EES krävs en infrastruktur med ett antal förmågor och funktioner, se figur 12.1. Det krävs dels grundläggande funktioner, dels tjänster som kan erbjuda funktionalitet för att kunna hantera de behov som finns, dessa presenteras nedan. I tjänstens genomförande åläggs vidare den nationella kontaktpunkten för e-hälsa omfattande uppgifter och ansvar för vilka särskild funktionalitet behöver upprättas, utredningen återkommer till det i avsnitt 12.2.1.

Grundläggande förmågor och funktioner

Identitet

I infrastrukturen behöver det finnas funktioner för att säkerställa att en fysisk person är den som den utger sig för att vara. Som utredningen beskriver i avsnitt 8.2.1 framgår det av kraven på tjänsten patientöversikter inom EES att hälso- och sjukvårdspersonalen

måste bekräfta att patienten är den som den utger sig för att vara och har ett godkänt identitetsdokument med bild och demografiska uppgifter.2 Varje land beskriver på en för ändamålet uppsatt webbplats vilka dokument som är godkända att patienten identifierar sig med. Land A bestämmer vilken unik personlig identifierare som ska användas för identifiering av patienten i land B, detta kan till exempel vara nationellt eller regionalt id-kortsnummer, passnummer eller socialförsäkringsnummer. Hälso- och sjukvårdspersonalen för in uppgiften om den unika personliga identifieraren som skickas till land A för kontroll. Land A svarar med demografiska uppgifter om patienten, till exempel namn, unik identifierare och födelsedatum, så att hälso- och sjukvårdspersonalen kan jämföra uppgifterna med de som finns på den uppvisade identitetshandlingen. Vilka demografiska uppgifter som uppges fastställs av land A. Utredningens överväganden och förslag avseende identifikationshandling och unik identifierare beskrivs i avsnitt 12.5.

Roll och behörighet hos användaren

Uppgifter om patientens hälsa och vård är känsliga personuppgifter. Endast den hälso- och sjukvårdspersonal som är behörig att ta del av dem ska ges tillgång. Därför är det nödvändigt att veta användarens digitala identitet samt övriga uppgifter som krävs för att säkerställa att denne har rätt att ta del av uppgifterna vid den tidpunkt uppgifterna efterfrågas. Det kan vara uppgifter som exempelvis roll, arbetsplats och/eller patientrelation. För tjänsten patientöversikter krävs att hälso- och sjukvårdspersonal identifieras med tvåfaktorsautentisering.3

Laglig grund för behandling av uppgifter

Den som vill ha tillgång till uppgifter om patientens hälsa och vård i en patientöversikt behöver ha laglig grund för att behandla uppgifterna. Behörigheten kan vara lagstadgad eller ske via ett aktivt medgivande, framöver kallat samtycke, från den individ vars data behandlingen avser eller en kombination av de båda. I tjänsten patientöversikt inom

2 MyHealth@EU.. Requirement catalouge. Avsnitt 02.01. Uniquely identify the patient. 3 MyHealth@EU.. Requirement catalouge. Avsnitt 01. Ensure Health Professional Identification, authentication and authorization.

EES ska respektive land identifiera den lagliga grunden för att behandla personuppgifterna i patientöversikten. I det fall den nationella regleringen avseende rättslig grund innefattar eller baseras på samtycke ska den nationella kontaktpunkten för e-hälsa säkerställa giltighet för och ett bevis på patientens samtycke.4 Utredningens överväganden och bedömning avseende laglig grund för den nationella kontaktpunkten för e-hälsas (E-hälsomyndigheten) behandling av uppgifter presenteras i avsnitt 13.2. Utredningens förslag avseende integritetshöjande samtycke från patient presenteras i avsnitt 14.11.

Säkerhet

Infrastrukturen för att utbyta information om hälsa och vård hanterar känsliga personuppgifter och behöver i grunden och i varje del därför vara designad på ett sådant sätt att hög informationssäkerhet och integritet säkerställs. Enligt tjänstens kravkatalog omnämns följande dimensioner av säkerhet: konfidentialitet, integritet och tillgänglighet.5 Konfidentialitet innebär i sammanhanget att data, system och tjänster skyddas från obehörig åtkomst och oavsiktligt röjande av uppgifter. Med integritet avses att informationen skyddas från obehörig modifikation. Tillgänglighet betyder enligt MyHealth@EU Requirements Catalogue att den nationella kontaktpunkten för e-hälsas resurser är tillgängliga utan orimligt dröjsmål och att behöriga användare kan få tillgång till den information de behöver när de behöver den. Tillgängligheten avser inte enbart den tekniska strukturen utan även all service erbjuds genom tjänsten patientöversikter inom EES.

Spårbarhet

För att kunna upptäcka missbruk av och fel i tjänsten patientöversikter behöver all åtkomst till data ska loggas för att möjliggöra spårning. Som komplement till ISO 27002 standardkrav framgår det i tjänstens kravkatalog att det ska vara möjligt för kontaktpunkten för e-hälsa att upptäcka när tjänsten missbrukas på ett sätt som kan resul-

4 MyHealth@EU. Requirement catalouge. 04.01. Identify the applicable legal basis for processing personal and health data within eHDSI. s. 94. 5 MyHealth@EU Requirement catalouge. Avsnitt 10. Ensure the security, performance, traceability and audiability of the service, data and systems.

tera i säkerhetsrisker. Anrop behöver därför kunna loggas för kvalitetssäkring och spårbarhet.6

Översättning och mappning

När information ska skickas över landsgränser och översättas är det av största vikt att informationen betyder och avser samma sak och tolkas på samma sätt. Det framgår i kravkatalogen att den nationella kontaktpunkten för e-hälsa ska definiera och applicera nationella policys och procedurer för att mappa innehållet i datan enligt de koncept som definieras i MyHealth@EU Master Value Sets catalouge (MVC). MVC innehåller definitioner av alla begrepp som är aktuella och tas fram centralt av MyHealth@EU (tidigare eHDSI). Den nationella kontaktpunkten ska granska och godkänna mappningen och översättningen. En PDF med den originalinformation som hämtats från källan innan den strukturerats/mappats och översats ska skickas med när den kodade och översatta patientöversikten skickas.7

Tjänster för funktionalitet

Infrastrukturen som krävs utgörs även av tjänster för att möjliggöra den funktionalitet som möter behoven och som användaren är ute efter. Det komplexa system av tjänster som ska erbjuda funktioner baserat på infrastrukturen måste kunna hantera även de grundläggande funktionerna som exempelvis behörighet. För att kunna utbyta information om hälsa och vård i en patientöversikt krävs väldigt förenklat infrastruktur för att information från vårdgivare ska kunna tillgängliggöras samt infrastruktur för att användare ska kunna ta del av datan. Det sistnämnda beskrivs i figur 12.1 som ”Digital tjänst till Patientöversikt”.

6 MyHealth@EU. Requirement catalouge. Avsnitt 10.03. Ensure traceability of the exchange data. 7 MyHealth@EU. Requirement catalouge. Avsnitt 5.02 Transcode, translate and exchange crossorder services och avsnitt 9.01. Ensure structured and coded information is exchanged between countries.

Figur 12.1 Förmågor och funktioner i infrastrukturen som möjliggör informationsflödet i tjänsten patientöversikt inom EES

Källa: Utredningens eget material.

12.1.2. Teknisk lösning för patientöversikt inom EES

Stora delar av den tekniska infrastruktur som möjliggör tjänsterna erecept och patientöversikter inom EES är gemensam och förvaltas av EU-kommissionen. Medlemsstaterna är involverade på strategisk nivå (Nätverket för e-hälsa) och operativ nivå (eHealth Member States Expert Group). Då tjänsterna innebär utbyte av känsliga personuppgifter är det centralt att länderna har förtroende för varandras personuppgiftshantering. För att skapa detta förtroende styrs utbytet av gemensamma krav och specifikationer som varje nation behöver uppfylla. Det genomförs också kontroller både före ett land kan ingå i utbytet samt löpande för att en medlemsstat ska kunna fortsätta ingå i utbytet.

Den tekniska lösningen för patientöversikt över landsgränser består i huvudsak av tre delar:

  • Teknisk Gateway, teknisk implementation av nationell kontaktpunkt för e-hälsa och ansvarig för att kommunikationen fungerar med andra länder, både som land A och land B. Mjukvara för Teknisk Gateway tillhandahålls av EU, men drivs och förvaltas av den nationella kontaktpunkten. Teknisk Gateway implementeras i två separata delar, en för land A och en för land B. Teknisk Gateway har gränssnitt mot Europa via den svenska SGSI-noden och det

Person försäkrad i annat EES-land söker vård i Sverige Person försäkrad i Sverige söker vård i annat EES-land

Identifikation och samtycke (Sverige)

Utländsk vårdgivare

Svensk vårdgivare

Identifikation, autentisering och auktorisering

Identifikation och samtycke (utland)

Identifikation, autentisering och auktorisering

Finns info?

Utländsk nationell kontaktpunkt

Finns info?

Svensk nationell kontaktpunkt

Informationssystem offentlig vårdgivare/omsorgsgivare

Finns info?

Informationssystem privat vårdgivare/omsorgsgivare med avtal

Informationssystem privat vårdgivare/omsorgsgivare utan avtal

Uppgifter om hälsa och vård

Uppgifter om hälsa och vård

Uppgifter om hälsa och vård

Digital tjänst: Patientöversikt

Infrastruktur för att tillgängliggöra information

Nationell connector

Loggar

m.m.

Teknisk gateway

europeiska TESTA-nätverket. Teknisk Gateway har också gränssnitt mot den Nationella Connectorn.

  • Nationell Connector, implementation av funktionalitet för tjänsten patientöversikt över landsgränser både som land A och land B. PS-A etablerar gränssnittet mot den nationella infrastrukturen i land A scenariot samt förbindelsen till Teknisk Gateway. PS-B etablerar ett webbgränssnitt (PS-Webb) mot hälso- och sjukvårdspersonal i Sverige samt förbindelsen till Teknisk Gateway. Den nationella connectorn implementeras och förvaltas av den nationella kontaktpunkten.
  • Nationell infrastruktur, gemensam benämning för de system och källor som tillhandahåller patientdata för att kunna skicka patientöversikt till andra länder. Den nationella integrationsplattformen för patientdata är en del av den nationella infrastrukturen.

Utifrån att tjänsten innebär överföring av känslig personinformation så är det ett europeiskt krav att överföringen mellan de nationella kontaktpunkterna för e-hälsa sker via TESTA (Trans European Services for Telematics between Administrations), ett europeiskt nätverk som är skiljt från internet och som används för säker och krypterad kommunikation. I Sverige innebär det att den nationella kontaktpunkten är ansluten till TESTA via den svenska SGSI-noden (Swedish Government Secure Intranet). Av den infrastruktur som presenteras i figur 12.2 ska teknisk gateway och nationella connectorer tillhandahållas av den nationella kontaktpunkten för e-hälsa. PS-webb samt nationell infrastruktur kan teoretiskt tillhandahållas av annan aktör.

Figur 12.2 Översikt över den tekniska infrastruktur som krävs för tjänsten patientöversikt inom EES

Källa: Bild framtagen av utredningens experter från E-hälsomyndigheten utifrån de krav som ställs på tjänsten patientöversikt inom EES.

12.2. Utredningens överväganden, bedömningar och förslag

Utredningen har utrett vad som krävs för att Sverige ska ingå i ett gränsöverskridande utbyte av patientöversikter inom EES. Nedan presenteras utredningens bedömningar och förslag för att möjliggöra tjänstens implementation och genomförande. I tjänsten finns informationsflöden i två riktningar med Sverige som land A respektive land B och dessa kräver olika funktionalitet. Utredningen kommer att presentera förslag avseende nationell infrastruktur för informationsutbyte respektive riktning och andra förutsättningar som krävs för att Sverige ska uppfylla ställda krav och därigenom kunna implementera tjänsten patientöversikter inom EES.

Övergripande föreslår utredningen att E-hälsomyndigheten, i rollen som Sveriges nationella kontaktpunkt för e-hälsa ges i uppdrag att utveckla och förvalta den funktionalitet och den infrastruktur som krävs för att kunna uppfylla de åtaganden som åligger den nationella kontaktpunkten för e-hälsa i Sverige i samband med att tjänsten implementeras i här, exempelvis en nationell connector och tjänster för mappning och översättning. För att möjliggöra informationsflödet från Sverige till utlandet föreslår utredningen att regeringen ska säkerställa att en infrastruktur för att tillgängliggöra information om patientens hälsa och vård till en patientöversikt finns tillgänglig

för alla vårdgivare. Inera äger och förvaltar viktiga tjänster och infrastruktur för detta ändamål och det bredare ändamålet säker informationsöverföring inom hälso- och sjukvården. Tjänsterna är tillgängliga för många vårdgivare men inte alla. Staten har små möjligheter att styra dess utveckling för att säkerställa att den bidrar till att nationella och internationella mål och krav uppfylls i tid. Utredningen föreslår att förslaget genomförs genom att delar eller hela Inera förvärvas samt att det utreds vidare om och i så fall vilka delar som bör ägas och förvaltas av en myndighet.

För att möjliggöra informationsflödet från utlandet till svensk hälso- och sjukvårdspersonal föreslår utredningen att E-hälsomyndigheten ges i uppdrag att tillhandahålla en tjänst för hälso- och sjukvårdspersonal för att ta del av patientöversikter från utlandet. I denna tjänst föreslår utredningen att hälso- och sjukvårdspersonal även ska kunna få tillgång till patientöversikter från Sverige till exempel vid vård av patienter över regiongränser eller organisationsgränser. Utredningen ser att infrastrukturen när möjligt och lämpligt bör återanvända eller bygga på E-hälsomyndighetens befintliga infrastruktur och att anslutningen så långt det är möjligt bygger på en säkerhetslösning som är godkänd av E-hälsomyndigheten samt de anpassningar vårdgivare redan gör inför anslutning till Nationella läkemedelslistan. Utredningen föreslår även att E-hälsomyndigheten får i uppdrag att utveckla en digital samtyckestjänst.

Utredningen presenterar förslag på hur, och genom föreslagna regelverk i kapitel 1 samt 13–15 en tidsplan för när, Sverige kan implementera tjänsten som land B. Utredningen presenterar även förslag som avser genomförandet för land A. Ingen tidsplan ges emellertid för land A eftersom detaljerna kring infrastrukturen för tillgängliggörandet behöver fastställas först.

12.2.1. Uppdrag för den nationella kontaktpunkten för e-hälsa

Utredningens förslag: Regeringen bör ge E-hälsomyndigheten,

i egenskap av den svenska nationella kontaktpunkten för e-hälsa, i uppdrag att utveckla den grundläggande funktionalitet som krävs för att den nationella kontaktpunkten ska kunna genomföra sina uppgifter enligt kraven på tjänsten patientöversikt inom EES. Utredningen ser att uppdraget som nationell kontaktpunkt

för e-hälsa är ett långsiktigt uppdrag med åtaganden som innefattar personuppgiftsbehandling som kräver rättslig grund för behandlingen. Utredningen gör i avsnitt 15.6 bedömningen att en nationell reglering behövs för att den rättsliga grunden ska kunna användas. Utredningen föreslår därför en ny bestämmelse i E-hälsomyndighetens instruktion, förordningen (2013:1031) om instruktion för E-hälsomyndigheten, som fastställer att myndigheten ska vara nationell kontaktpunkt för e-hälsa samt tillhandahålla tjänster och infrastruktur för gränsöverskridande informationsutbyte av patientöversikter.

Skäl för utredningens förslag

För att Sverige ska kunna utbyta patientöversikter över landsgränser inom EES behöver de krav som ställs av Nätverket för e-hälsa uppfyllas. Som framgår i avsnitt 13.1.1 ska flödet av information gå via de nationella kontaktpunkterna för e-hälsa i respektive land. Av kraven på tjänsten framgår att den nationella kontaktpunkten åläggs ett betydande ansvar för tjänstens genomförande. Den nationella kontaktpunkten ska bland annat säkerställa att de krav som ställs uppfylls. Det innefattar bland annat granskning av att kraven på säkerhet avseende konfidentialitet, integritet, tillgänglighet, riktighet och granskningsbarhet är uppfyllda för data som genereras inom och skickas från deras territorium. De ska vidare garantera att samtliga överenskomna krav och specifikationer avseende juridik, teknik, semantik och organisation är uppfyllda, tillgängliggöra svenska patientöversikter i enlighet med MyHealth@EU:s specifikationer på format och kodning, översätta utländska patientöversikter till svenska samt hantera samtycken. Av säkerhetsskäl och för att kunna genomföra en patientsäker överföring av en patientöversikt krävs även spårbarhet. Kontaktpunkterna för e-hälsa ska föra logg över de anrop som sker och den behandling som genomförs. Loggningen ska sparas hos kontaktpunkten och syftar till att säkerställa krav på spårbarhet, kvalitet och säkerhet för att möjliggöra tillsyn, uppföljning och felsökning vid behov. Syftet är också att kontrollera efterlevnad av åtkomst. För överföring i det säkra nätverket TESTA krävs att E-hälsomyndigheten är ansluten till Swedish Government Secure Intranet (SGSI) för säker och krypterad kommunikation mellan myndigheter i Sverige och

i Europa. Denna anslutning är redan upprättad för tjänsten E-recept inom EES. Myndigheten för samhällsskydd och beredskap är systemägare för SGSI. Delar av den tekniska lösningen för tjänsten åläggs också den nationella kontaktpunkten för e-hälsa att driva och förvalta, detta innefattar teknisk gateway och nationell connector.

Mot bakgrund av ovanstående krav på den nationella kontaktpunkten för e-hälsa i samband med att tjänsten implementeras och tillhandahålls anför utredningen att det krävs ett antal uppgifter och infrastruktur för att möjliggöra tjänsten oavsett om Sverige väljer att delta som land A, land B eller både och, som endast kan ges till den myndighet som utgör den svenska nationella kontaktpunkten för e-hälsa. I Sverige är det E-hälsomyndigheten. Därför presenterar utredningen inte någon alternativ utförare av uppdraget utan föreslår att E-hälsomyndigheten ges i uppdrag att skapa den infrastruktur och den funktionalitet som krävs för att uppfylla de krav som ställs på den nationella kontaktpunkten i samband med att Sverige implementerar tjänsten patientöversikter inom EES.

Det är i sammanhanget relevant att nämna delar av kommissionens förslag till förordning om ett europeiskt hälsodatautrymme, framöver hänvisat till som förordningen om EHDS. Där framgår bland annat att medlemsländer ska tillhandahålla patientöversikter (artikel 5), vilket är en skärpning av dagens frivilliga reglering.8 Vidare föreslås att varje medlemsstat måste inrätta en e-hälsomyndighet med ansvar för att säkerställa fysiska personers rättigheter enligt den allmänna dataskyddsförordningen när det gäller tillgång till deras elektroniska hälsouppgifter samt de skyldigheter som hälso- och sjukvårdspersonal har när det gäller dessa elektroniska hälsouppgifter. E-hälsomyndigheterna beskrivs som det organ som ansvarar för tillgång till hälsodata (artikel 10). Det föreslås att varje medlemsstat ska säkerställa att respektive e-hälsomyndighet har de mänskliga, tekniska och finansiella resurser samt de lokaler och den infrastruktur som behövs för att myndigheten ska kunna utföra sina uppgifter och befogenheter på ett effektivt sätt.

Utredningen konstaterar att samverkan mellan länderna inom EES avseende gränsöverskridande utbyte av hälsodata genom den nationella kontaktpunkten för e-hälsa utgör ett långsiktigt åtagande som snarare tilltar i omfattning än det motsatta. Det framgår bland

8 Förslag till Europaparlamentets och rådets förordning om ett europeiskt hälsodataområde Artikel 5.

annat av förslaget till förordning om EHDS vilket beskrivs mer utförligt i kapitel 4 och i nästföljande avsnitt 12.2.2. Vidare att ansvar och uppgifter för den nationella kontaktpunkten för e-hälsa i samband med att landet implementerar och förvaltar tjänsten patientöversikter är omfattande och innefattar personuppgiftsbehandling som kräver rättslig grund. Utredningen redogör i avsnitt 13.2.1 om rättslig grund för behandlingen av personuppgifter. Där framgår bland annat att behandlingen av personuppgifter får enligt artikel 6.1 c i dataskyddsförordningen ske om det är nödvändigt för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Med begreppet rättslig förpliktelse borde i första hand offentligrättslig förpliktelse omfattas, enligt förarbetena till dataskyddslagen.9 En myndighets uppdrag enligt instruktionen till myndigheten eller ett regleringsbrev kan utgöra en i enlighet med nationell rätt fastställd rättslig förpliktelse i dataskyddsförordningens mening. Mot den bakgrunden föreslår utredningen en ny bestämmelse i E-hälsomyndighetens instruktion som fastställer att myndigheten ska vara nationell kontaktpunkt för e-hälsa samt tillhandahålla tjänster och infrastruktur för gränsöverskridande informationsutbyte av patientöversikter.

Del 1 Hur vårdgivare gör uppgifter tillgängliga för en patientöversikt (Land A)

12.2.2. Statligt styrd nationell infrastruktur för tillgängliggörande av uppgifter om hälsa och vård till en patientöversikt

Utredningens förslag: Utredningen föreslår att regeringen ska

säkerställa att det finns en infrastruktur som kan tillgängliggöra utvald information om patientens hälsa och vård från alla vårdgivare till en patientöversikt som kan utbytas över organisations-, regions- och landsgränser. Inera AB tillhandahåller viktiga tjänster för detta ändamål.

Utredningen anser att förslaget bör realiseras genom att staten förvärvar hela eller delar av Inera AB eller Ineras tjänster. Utredningen föreslår att vilka delar som bör förvärvas samt om, och i så

9Prop. 2017/18:105, s. 53.

fall vilka delar av, Ineras verksamhet bör ägas och förvaltas av en myndighet utreds vidare.

Angränsande infrastruktur för att tillgängliggöra data för andra behov och ändamål så som forskning och innovation ingår inte i utredningens uppdrag att utreda. Utredningen anför emellertid att de tjänster som möjliggör patientöversikter på sikt utgör en del av den totala statliga infrastrukturen för delning av hälsodata när den är färdigställd.

Skäl för utredningens förslag

Utredningen har i uppdrag att lämna förslag på åtgärder som bedöms vara nödvändiga för att möjliggöra ett gränsöverskridande utbyte av patientöversikter inom EES som inkluderar information från alla vårdgivare i Sverige och föreslå en långsiktig förvaltning av patientöversikter. Det sistnämnda tolkar utredningen som förvaltning av den infrastruktur som möjliggör att utvalda uppgifter om patientens hälsa och vård samlas i en patientöversikter som förmedlas vidare. Avseende den nationella infrastrukturen i Sverige föreligger en betydande skillnad mellan förutsättningarna för att utbyta e-recept från Sverige och förutsättningarna för att utbyta patientöversikter från Sverige. Informationen som utgör patientöversikter finns inte samlad centralt i ett register som förvaltas av en myndighet som den gör för e-recept. Enligt patientdatalagen ska det föras patientjournal vid vård av patient, i syfte att bidra till en god och säker vård av patienten. Information om en individs hälsa och vård som är aktuell för patientöversikten finns därigenom i patientens journal och är utspridd i varje vårdgivares journalsystem. Informationen kan även finnas i kvalitetsregister, hälsodataregister och i den nationella läkemedelslistan, vilket beskrivs mer ingående i kapitel 7. Utredningen ser en betydande fördel med att informationen som genereras om en patients hälsa och vård endast behöver registreras en gång. En utgångspunkt för utredningens förslag har därför varit att infrastrukturen ska kunna hämta eller identifiera och visa upp information i en originalkälla snarare än att den ska rapporteras in manuellt och innebära tidskrävande administrativt arbete. Det har delvis sin bakgrund i de samrådsmöten som utredningen haft med berörda där det framkommit att alternativ som ytterligare belastar vården administrativt inte är önskvärda. Sammantaget

ser utredningen att uppgifterna till tjänsten patientöversikt inom EES bör hämtas från originalkällan vid behov. Utredningen konstaterar att inget av de register som finns innehåller heltäckande information avseende de kliniska uppgifter som är aktuella för tjänsten patientöversikt inom EES, vilket bland annat framgår i en rapport av Socialstyrelsen.10 Utredningen föreslår därför att informationen ska nås från patientjournalen.

Mot den bakgrunden behöver utredningens förslag till skillnad från vid genomförandet av e-recept inom EES också innefatta lösningar som gör det möjligt att tillgängliggöra och sammanställa information från ett stort antal informationskällor vars ägare (vårdgivarna) är en mycket heterogen grupp med avseende på verksamhetens storlek, innehåll, finansiering samt tekniska förutsättningar. Regeringen har ett ansvar för att målen om en god och jämlik vård nås. Utredningen anser att det är patientens rättighet att kunna ge alla vårdgivare den önskar tillgång till information om dess hälsa och vård som finns i patientjournalen. Informationsflödet mellan vårdgivare är en central del i att vården som ges blir patientsäker, god och jämlik. Utredningen anför att tillgång till en digital infrastruktur för säkert informationsutbyte inom hälso- och sjukvården är kritiskt och viktigt. Mot den bakgrunden föreslår utredningen att staten ska säkerställa att det finns tjänster och infrastruktur för att tillgängliggöra uppgifter om patientens hälsa- och vård, bland annat i en patientöversikt, från alla vårdgivare för utbyte såväl landsgränser som organisations- och regiongränser. Det finns flera skäl till utredningens förslag, dessa presenteras nedan följt av olika alternativ för att genomföra förslaget.

Behov med anledning av nutida och framtida EU-krav

I det fall Sverige väljer att implementera tjänsten patientöversikt inom EES följer ett antal krav Sverige behöver uppfylla som ett resultat av att e-hälsoavtalet undertecknas. Bland annat åläggs ett omfattande ansvar på den nationella kontaktpunkten för e-hälsa, i Sverige E-hälsomyndigheten, som även behöver utveckla infrastruktur och processer för att möjliggöra informationsutbytet, detta be-

10 Socialstyrelsen (2022). Kartläggning av datamängder av nationellt intresse på hälsodataområdet – slutrapport. Artikelnummer 2022-10-8136.

skrivs utförligt i bland annat kapitel 8 och ligger till grund för utredningens förslag i avsnitt 12.3.1.

Som berörts ovan har utredningen även i uppdrag att följa utvecklingen av EU-kommissionens förslag till förordning om ett gemensamt hälsodataområde (EHDS). Förslaget från kommissionen syftar bland annat till att komma längre med ambitionerna i patientrörlighetsdirektivet om tillgång till och användning av data om hälsa och vård, genom att som en åtgärd av flera ställa krav på medlemsländerna att tillhandahålla prioriterade kategorier av hälsodata, däribland patientöversikter. Som utredningen beskriver närmare i kapitel 4 anges i förslaget avseende primäranvändning att:

Medlemsstaterna ska säkerställa att alla vårdgivare är anslutna till sina nationella kontaktpunkter för e-hälsa och att de som är anslutna har möjlighet att utbyta e-hälsodata i två riktningar med den nationella kontaktpunkten för e-hälsa.11

Tillgängliggörande och åtkomst till information avser alla vårdgivare oavsett hur vården är finansierad. Varje medlemsstat ska utse en nationell kontaktpunkt för e-hälsa som bland annat ska ansvara för genomförandet och efterlevnaden av förslagen som avser primär användning av hälsodata. Den nationella kontaktpunkten för e-hälsa ska även säkerställa anslutningen till alla andra nationella kontaktpunkter för ehälsa och till den centrala plattformen för e-hälsa, som det föreslås att kommissionen tillhandahåller, för att stödja och underlätta utbytet av e-hälsodata mellan medlemsstaternas nationella kontaktpunkter för ehälsa. Med andra ord bygger den föreslagna modellen på existerande modell för tjänsten patientöversikt inom EES, där information endast utbyts till och från den nationella kontaktpunkten för e-hälsa. I förordningen om EHDS är det utöver patientöversikter även obligatoriskt att dela elektroniska recept, elektronisk expediering, bilddiagnostik, laboratorieresultat och utskrivningsrapporter samt ytterligare 15 informationsmängder för sekundäranvändning av hälsodata (artikel 33). I förslaget uppges även att alla medlemsstater bör inrätta E-hälsomyndigheter som separata organisationer eller som enheter i befintliga myndigheter (artikel 10).12 E-hälsomyndigheterna ska säkerställa att de rättigheter och skyldigheter som anges i kapitel II

11 Förslag till Europaparlamentets och rådets förordning om ett europeiskt hälsodataområde. Artikel 12. 12 Förslag till Europaparlamentets och rådets förordning om ett europeiskt hälsodataområde. Artikel 10.

om primär användning av e-hälsodata och kapitel III om elektroniska patientjournalsystem och hälsoappar genomförs genom att anta nödvändiga nationella, regionala eller lokala tekniska lösningar och genom att fastställa relevanta regler och mekanismer. De ska även bygga upp nationell kapacitet för att införa interoperabilitet och säkerhet vid primär användning av e-hälsodata samt delta i informationsutbyte och kapacitetsuppbyggnad på unionsnivå. Den nationella kontaktpunkten för e-hälsa får inrättas inom den e-hälsomyndighet som inrättas. Medlemsstaterna ska enligt artikel 36 i förslaget även utse ett eller flera organ med ansvar för tillgång till hälsodata och med ansvar för att bevilja tillgång till e-hälsodata för sekundär användning. Medlemsstaterna får antingen inrätta en eller flera nya offentliga myndigheter eller förlita sig på befintliga offentliga myndigheter eller på interna tjänster hos offentliga myndigheter som uppfyller villkoren i denna artikel.

Samtidigt har det på EU-nivå nyligen lagts fram ytterligare ett förslag till förordning och en beslutad förordning vilka tillsammans på olika sätt avser reglera hantering, förvaltning och flöde av data. EU:s dataförvaltningsförordning13, vardagligt benämnd dataförvaltningsakten, är beslutad och ska införlivas i svensk rätt. Förordningen syftar till att främja tillgängligheten till och användbarheten av data genom att öka förtroendet mellan aktörer som hanterar data samt att stärka mekanismer för datadelning inom EU. Enligt artikel 7.1 ska varje medlemsland utse ett eller flera behöriga organ, som får vara behöriga för särskilda sektorer, för att bistå de offentliga myndigheter som beviljar eller vägrar tillgång för vidareutnyttjande av vissa angivna kategorier av data.

Förslaget till dataförordning14, vardagligt benämnd dataakten, har som syfte att mellan aktörerna i dataekonomin rättvist fördela nyttor från den typen av data som kommer från uppkopplade produkter samt att främja tillgång till och användning av data, bland annat medicinsk och hälsorelaterad utrustning.15 Det framgår också av artikel 31.1 i förslaget till dataförordningen att medlemsstaterna ska utse en eller flera behöriga myndigheter som ska ansvara för tillämpningen och

13 Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten). 14 Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och användning av data (dataakten) COM(2022) 68 final av den 23 februari 2022. 15 Se skäl 14 i förslaget till dataakten.

genomförandet av förordningen. Vidare framgår det av artikel 31.3 vilka uppgifter och befogenheter som medlemsstaterna ska säkerställa att den behöriga myndigheten har. I skäl 81 i förslaget anges att de myndigheter som ansvarar för tillsynen över uppfyllandet av dataskyddet och de behöriga myndigheter som utses inom ramen för sektorslagstiftning, såsom inom hälsodataområdet, bör ha ansvaret för denna förordnings tillämpning inom sina behörighetsområden.

Utredningen om sekundäranvändning av hälsodata (S 2022:04) har nyligen skickat in Promemoria med förslag om ändring av E-hälsomyn-

dighetens uppdrag inom hälsodataområdet till Socialdepartementet.16

I promemorian anför utredningen att det är lämpligt att en och samma statliga myndighet utses inom hälsodataområdet för att utföra de uppgifter som anges i samtliga av dessa tre förordningar då uppgifterna som dessa organ ska utföra enligt förordningarna är snarlika varandra. Vidare anges att det är lämpligt att ansvaret inom hälsodataområdet hamnar på en och samma myndighet för att undvika en otydlig ansvarsfördelning. I promemorian förslås att den myndighet som bör få det sektorspecifika ansvaret för infrastrukturen för hälsodata och därmed vara behörigt organ enligt artikel 7.1 i dataförvaltningsakten samt i förlängningen behörig myndighet enligt 31.1 i EU:s förslag till dataförordning och ansvarig myndighet enligt artiklarna 10.1 och 36.1 i förslaget till EHDS är E-hälsomyndigheten.17 Vidare föreslås att E-hälsomyndigheten ska tillhandahålla en övergripande nationell infrastruktur för hälsodata för att skapa förutsättningar för gemensamt nyttjande av infrastrukturen genom att tillgängliggöra nationella tjänster för att underlätta delning och nyttjande av hälsodata. Avseende infrastrukturen görs bedömningen att alternativet där staten undersöker och utreder vidare om ett förvärv av delar av eller hela Inera AB:s verksamhet är möjligt, alternativt undersöker hur den infrastruktur som Inera AB byggt skulle kunna överlåtas till det offentliga är det som går mest i linje med uppdraget till utredningen om målsättningen att inom ramen för en befintlig myndighet inrätta en teknisk och organisatorisk funktion för säker och effektiv delning av hälsodata.

Sammantaget konstaterar utredningen, i linje med ovanstående promemoria, att flera nyligen beslutade eller föreslagna EU-förord-

16 Utredningen om sekundäranvändning av hälsodata (S 2022:04). Promemoria med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet. Dnr S2023/00584. 17 Utredningen om sekundäranvändning av hälsodata (S2022:04). Promemoria med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet. Dnr S2023/00584.

ningar vilka på olika sätt avser reglera hantering, förvaltning och flöde av data tilldelar myndigheter i medlemsländerna betydande ansvar och uppgifter för dess genomförande, vilket bland annat innefattar tillhandahållande av viss infrastruktur.

Befintlig infrastruktur – styrning och användning

Utredningen konstaterar i kapitel 6 att grunden till de tjänster och den infrastruktur för säkert informationsutbyte mellan vårdgivare som i dag används av regioner och kommuner lades redan 2006 i en gemensam IT-strategi för vård och omsorg18 och fortsattes genom ett flertal olika överenskommelser.19 Satsningarna som gjordes innebar bland annat att ett enhetligt katalogsystem för vårdpersonal och resurser etablerades (HSA-katalogen) och säkerhets- och identifieringslösningar genom kort (SITHS) för vårdpersonalen togs fram.20Det innebar också att den tjänst som erbjuder vårdgivare att utbyta uppgifter, nationella patientöversikten (NPÖ), infördes i samtliga landsting mellan 2009–2011.21 NPÖ har ett beroende till ett antal andra tjänster och komponenter som Inera äger och förvaltar. För att kunna dela med sig av eller ta del av informationen i NPÖ behöver därför organisationen vara ansluten till flera tjänster.22 Det är tjänster som sammantaget gör det möjligt för en organisation att reglera och följa åtkomsten till patientinformation. Stödtjänsterna syftar till att säkerställa att it-lösningar för vård och omsorg uppfyller lagliga krav på hur patientinformation får hanteras, bland annat utgörs de av tjänsterna idP, Autentiseringstjänsten, Spärrtjänsten, Samtyckestjänsten, Loggtjänsten, Identifikationstjänst SITHS och Katalogtjänst HSA. På så sätt blir frågan om att tillhandahålla en infrastruktur som möjliggör utbyte av patientöversikter en del av den betydligt större fråga avseende infrastruktur för ett säkert informationsutbyte inom hälso- och sjukvården.

Ineras verksamhet bedrivs i aktiebolagsform och företaget ingår i SKR-koncernen. Den 31 december 2021 ägde förutom SKR Före-

18 Sveriges riksdag. Nationell IT-strategi för vård och omsorg. Skr. 2005/06:139. 19 Se bland annat Dagmaröverenskommelsen 2007 och 2008 samt Patientsäkerhetsöverenskommelsen 2011 och 2012. 20 Dagmaröverenskommelsen 2007. 21 Se till exempel Patientsäkerhetsöverenskommelsen 2011 och 2012. 22 Inera. Införande och tekniska anslutning. UR L: Införande och teknisk anslutning - Öppen info: Nationell patientöversikt (NPÖ) - Confluence (atlassian.net). Uppdaterad 2021-03-02. Hämtad 2023-02-01.

tag AB, 21 regioner och 287 kommuner aktier i Inera. Fördelningen av aktier mellan ägarna är: SKR Företag AB cirka 51 procent, regioner cirka 3 procent, kommuner cirka 46 procent.23 Ägarrådet är det högsta beslutande organet för Inera som annars leds av en styrelse som ska se till att verksamheten bedrivs i enlighet med ägarnas intention.24 Det innebär att Ineras ägarråd fattar beslut om hur Ineras tjänster utvecklas och vem de kan användas av. Utredningen har förstått att frågan om ändrat ägande och ändrad verksamhetsinriktning har diskuterats under ett antal år innan ägarstrukturen landade där den är i dag. Som utredningen beskriver i avsnitt 7.3.2 köper regioner och kommuner i dag tjänster från Inera utan konkurrensutsättning, efter en bedömning som de gjort av undantagsmöjligheter från lagen om offentlig upphandling (2016:1145), fortsättningsvis LOU. Det handlar om undantag för interna upphandlingar (även kallad Teckal- eller in-house-undantaget). Bestämmelser om sådana undantag finns i 3 kap. 12–16 §§ LOU. För att tillämpa undantaget krävs att två kriterier är uppfyllda, det så kallade kontrollkriteriet och verksamhetskriteriet. I korthet finns möjligheten att tillämpa undantag för interna upphandlingar bland annat om den upphandlande myndigheten, själv eller tillsammans med andra upphandlande myndigheter, utövar kontroll över motparten i en utsträckning som motsvarar kontrollen över deras egna förvaltningar och om motparten utför minst 80 procent av sin verksamhet för den kontrollerande myndighetens, eller de kontrollerande myndigheternas, räkning. Enligt utredningens bedömning bör möjligheten att driva verksamheten i enlighet med Teckal-undantaget kunna påverkas av hur många privata vårdgivare som skulle ansluta till NPÖ. Enligt uppgifter från Inera och SKR till utredningen tillåts inte privata vårdgivare utan offentlig finansiering använda majoriteten av Ineras tjänster.25 Det framgår även på Ineras webbplats under respektive tjänst vem som kan köpa vilken tjänst.26 Utredningen har inte kunnat hitta någon dokumentation avseende bakgrunden till ställningstagandet men enligt uppgift till utredningen handlar det bland annat om informationssäkerhetsfrågor.27

Utredningen konstaterar att med nuvarande organisation och styrning saknar staten direkt rådighet över infrastrukturen som möjliggör

23 Inera AB (2022). Årsredovisning 2021. 24 Inera. Så styrs Inera. UR L: Så styrs Inera - Inera. 25 Andreas Mårtensson, Inera. Digitalt dialogmöte 10 oktober 2022. 26 Inera. Tjänster. URL : Tjänster - Inera. Hämtad 2023-03-08. 27 Patrik Sundström, SKR. Digitalt dialogmöte 21 september 2022.

säkert informationsutbyte mellan vårdgivare. Eftersom Inera AB inte är en statlig myndighet, kan staten inte finansiera Ineras verksamhet och bara i undantagsfall styra eller begränsa verksamheten (se 2 kap. 17 § första stycket RF och artikel 107 i Fördraget om Europeiska unionens funktionssätt). Staten och SKR har emellertid tidigare upprättat överenskommelser där staten har tillhandahållit prestationsbaserad ersättning för att påverka införandet och användningen av NPÖ. I Patientsäkerhetsöverenskommelsen 2011 och 2012 var detta ett av fyra grundkrav som skulle vara uppfyllda för att få ta del av den prestationsbaserade ersättningen som 2012 uppgick till 525 miljoner kronor.28 Det framgår i beslutet för 2012 att samtliga regioner (då landsting) uppfyllde grundkravet i 2011 års överenskommelse om att ha anslutit sig till NPÖ samt kunnat visa på bred användning av tjänsten i sin verksamhet. En bred användning definierades som att landstingen skulle kunna lämna ut och ta emot uppgifter från andra vårdgivare. Av statistik på Ineras webbplats framgår att användningen av NPÖ har ökat de senaste åren från drygt 6 000 användare i januari 2016 till drygt 40 000 användare i oktober 2022.29Den yrkesgrupp som använder NPÖ mest är sjuksköterskor följt av läkare. Utredningen konstaterar emellertid att trots att 10 år förflutit sedan överenskommelsen med krav på att alla regioner ska ansluta sig och kunna visa på en bred användning av tjänsten i sin verksamhet, saknas till exempel uppmärksamhetsinformation från sex regioner. Fyra regioner tillhandahåller i dag alla nio grundläggande informationsmängder som det under en längre tid funnits teknisk infrastruktur för sen tjänsten implementerades, se informationsmängd 1–9 i figur 7.1.

Av statistiken från Ineras webbplats som utredningen presenterar i kapitel 7 framgår att det finns en regional variation avseende vilken information som tillgängliggörs i dag, vilken information som planeras tillgängliggöras på sikt samt hur mycket NPÖ används. Flera understryker till utredningen att den frivillighet och valfrihet som i grunden föreligger avseende frågan om tillgängliggörande av information resulterar i att sjukvårdshuvudmän och vårdgivare delar olika mycket information, se bilaga 8. Det uppges resulterat i att motivationen att använda tjänsten blivit låg eftersom nyttan anses begränsad

28 Regeringen. Godkännande av en överenskommelse om förbättrad patientsäkerhet 2012. S2011/11008/FS. 29 Inera. Statistik för Nationell patientöversikt. Användare. UR L: Användare - Inera. Hämtad 2023-01-10.

då information ibland saknas helt och när den finns är det ingen garanti för att innehållet är heltäckande. Liknande slutsatser har presenterats av andra.30

Även om offentligt finansierade vårdgivare tillåts ansluta framgår det i en rapport av E-hälsomyndigheten att många aktörer uppfattar att det särskilt för mindre aktörer är dyrt att ansluta till tjänsten NPÖ vilket kan utgöra ett hinder för små privata vårdgivare även om de rent teoretiskt skulle tillåtas köpa tjänsten.

Krav på verksamhet skiljer sig åt mellan Inera och myndighet

Uppgifter om patientens hälsa och vård är känsliga personuppgifter som behöver skyddas. Informationssäkerheten är därför grundläggande för verksamheten. I dag använder den offentliga vården Ineras tjänster för att it-lösningar för vård och omsorg ska uppfylla lagliga krav på hur patientinformation får hanteras, bland annat tjänsterna idP, Autentiseringstjänsten, Spärrtjänsten, Samtyckestjänsten och Loggtjänsten samt tjänster för identifikation, autentisering och behörighetskontroll. För att tjänsten NPÖ ska uppfylla gällande lagkrav finns ett beroende till flera av dessa tjänster som Inera tillhandahåller. Utredningen anför ovan att frågan om att tillhandahålla infrastruktur för att tillgängliggöra uppgifter om hälsa och vård till en patientöversikt ofrånkomligen blir den del av den betydligt större frågan om att tillhandahålla en infrastruktur för en säker informationsöverföring inom hälso- och sjukvården. Utredningen anser att den samlade infrastruktur som Inera tillhandahåller vården är central för att en god och säker vård ska kunna ges.

De verksamheter som upprätthåller eller säkerställer tillgång till sjukvård omnämns av MSB som samhällsviktiga.31 Samhällsviktig verksamhet definieras enligt följande:

Med samhällsviktig verksamhet avses verksamhet, tjänst eller infrastruktur som upprätthåller eller säkerställer samhällsfunktioner som är nödvändiga för samhällets grundläggande behov, värden eller säkerhet.32

30 E-hälsomyndigheten (2022). Ökat nyttjande av sammanhållen journalföring. Möjligheter, utmaningar och behovet av digital informationsförsörjning i dag och i framtiden, s. 58. 31 MSB (2021). Introduktion till samhällsviktig verksamhet. ISBN-nummer 978.91.7927-196-1. 32 MSB (2020). Uppdaterad definition samhällsviktig verksamhet. Ärendenummer MSB 2020-11275.

Verksamheter inom hälso- och sjukvård är samhällsviktiga i den meningen att även ett kortsiktigt bortfall av dem kan hota befolkningens grundläggande behov som kan innefatta bland annat akutsjukvård, primärvård och läkemedelsförsörjning.33 Exempel på verksamhet är enligt MSB hälsodata och informationstjänster inom området. Även betrodda tjänster som består av skapande, kontroll eller validering av ID-handlingar och elektroniska underskrifter kan vara samhällsviktig verksamhet.34 Utredningen har inte genomfört någon analys eller bedömning av huruvida Ineras tjänster är samhällsviktiga men anför utifrån den förståelse utredningen fått för Ineras verksamhet att flera av de tjänster och den funktionalitet som Inera tillhandahåller kan anses nödvändiga för samhällets grundläggande behov.

I SOU 2020:23 framhålls att det är viktigt att vården initialt i utvecklingen av tekniken säkrar riskerna ur ett beredskapsperspektiv.35Vikten av att arbeta med integritets- och säkerhetsfrågor framgår även av regeringens strategi för digitalisering.36 Fokus bör ligga på att skapa säkra och robusta system. Robust informations- och kommunikationsteknologi handlar inte bara om fungerande informationssystem, det handlar också till stor del om den information som finns i systemet. Uppgifter om patienters hälsa är känsliga personuppgifter som behöver skyddas. Lika viktigt som att skydda informationen är att säkerställa att den är korrekt. Eftersom uppgifter om patienterna ligger till grund för beslut om vård och behandling är informationssäkerhet grundläggande för verksamheten.37

De krav som ställs på aktiebolag skiljer sig från de som ställs på till exempel en myndighet. Gemensamt är att alla leverantörer av samhällsviktiga tjänster och vissa digitala tjänster omfattas av EU:s NIS-direktiv38 som ställer krav på säkerhet i nätverk och informationssystem samt av den Allmänna dataskyddsförordningen (Europaparlamentets och rådets förordning (EU) nr 2016/679), förkortat GDPR. NISdirektivet införlivas i den svenska rättsordningen genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster och regeringen har beslutat om en förordning (2018:1175) kopplat till den nya lagen. Under slutet av 2022 kom Europaparla-

33 MSB. Identifiering av samhällsviktig verksamhet: Lista med viktiga samhällsfunktioner. s. 3. 34 Ibid s. 6–7. 35SOU 2020:23, s. 102. 36 Regeringen. För ett hållbart digitaliserat Sverige – en digitaliseringsstrategi (N2017/03643). 37SOU 2020:23. Hälso- och sjukvårdens förmåga i kris och krig. s. 102. 38 Europaparlamentets och rådets direktiv (EU) 2016/1148.

mentet och EU-rådet med sitt slutliga godkännande av NIS 2.39 Det formella beslutet offentliggjordes i Europeiska unionens officiella tidning den 27 december 2022 och direktivet trädde i kraft 20 dagar därefter. Medlemsländerna har 21 månader på sig att införliva uppdateringen av direktivet. NIS 2 adresserar den ökande hotbilden mot EU och de ökande interna beroendena mellan sektorer och landsgränser. Direktivet avser att öka den inre marknadens resiliens samt förmåga till respons på incidenter och attacker. Fortfarande är marknadsperspektivet i fokus för regleringen, det vill säga åtgärderna görs med argumentet att det ska underlätta och stärka den inre marknaden och även EU:s konkurrensmöjligheter globalt.

I allmänhet gäller att allt som räknas som en samhällsviktig tjänst enligt NIS-direktivet, och i förlängningen NIS-lagen, också ska identifieras som samhällsviktig verksamhet. Däremot gäller inte det omvända, det finns samhällsviktig verksamhet som inte pekas ut i NISdirektivet och som därmed inte räknas som samhällsviktiga tjänster.

Myndigheter omfattas emellertid till skillnad från ett aktiebolag även av bland annat förordning (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. Bestämmelserna i förordningen syftar till att statliga myndigheter genom sin verksamhet ska minska sårbarheten i samhället och utveckla en god förmåga att hantera sina uppgifter under fredstida krissituationer och inför och vid höjd beredskap. Varje myndighet ska i syfte att stärka sin egen och samhällets krisberedskap analysera om det finns sådan sårbarhet eller sådana hot och risker inom myndighetens ansvarsområde som synnerligen allvarligt kan försämra förmågan till verksamhet inom området. Vidare framgår av MSB:s föreskriver om informationssäkerhet för statliga myndigheter40 att myndigheter ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av två standarder:

1. SS-EN ISO/IEC 27001:2017

2. SS-EN ISO/IEC 27002:2017.

39 Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet). 40 MSBFS 2020:6. Myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för statliga myndigheter.

Myndigheter omfattas till skillnad från aktiebolag även av förvaltningslagen (2017:900) vilket innebär att de råder under bestämmelser om hur beslut ska fattas, dokumenteras och motiveras, om objektivitet, tillgänglighet för kontakter med enskilda, samverkan med andra, handläggning av ärenden med mera. Vidare råder myndigheter under offentlighetsprincipen vilket innebär att allmänheten har rätt till insyn och tillgång till information om dess verksamhet. Bestämmelser om sekretess finns framför allt i offentlighets- och sekretesslagen (2009:400), framöver hänvisat till som OSL.

Med nuvarande organisation saknas möjlighet för Inera att i rollen som personuppgiftsbiträde identifiera eller härleda vilken information som tillgängliggörs av vårdgivarna, vilket påverkar deras möjlighet att göra kontroller och uppföljning av system och användning. Ineras roll som personuppgiftsbiträde beskrivs mer ingående i avsnitt 7.4. Som nämnts tidigare är Inera inte ett offentligt organ och lyder därmed inte per automatik under offentligrättsliga regelverk som gäller för myndigheter, till exempel förvaltningslagen. Detsamma gäller för dess majoritetsägare SKR som är en medlems- och intresseorganisation. SKR har inte heller någon beslutanderätt över sina medlemmar, med undantaget ingående av kollektivavtal. Tidigare har Coronakommissionen, Riksrevisionen och Statskontoret gjort liknande observationer.41,42,43 Avseende Ineras verksamhet finns emellertid en dom från Kammarrätten i Stockholm från oktober 2019 som fastställer att Inera AB är aktiebolag som enligt 2 kap. 3 § OSL ska jämställas med myndighet vad gäller tillämpningen av tryckfrihetsförordningens bestämmelser om rätt att ta del av allmänna handlingar hos myndigheter och vid tillämpningen av OSL.44

Utredningens sammanfattande bedömning

Den information om patientens hälsa och vård som en patientöversikt kan innehålla är av sådan karaktär att den väsentligt kan påverka kvaliteten på den vård som ges, framför allt genom att vårdskador undviks. Ytterst kan det handla om skillnad mellan liv och död.

41SOU 2021:89. Delbetänkande 2 – Sverige under pandemin. 42 Riksrevisionen (2017). Staten och SKL – en slutrapport om statens styrning på vårdområdet [RiR 2017:3]. 43 Statskontoret (2020). Förvaltningsmodeller under coronapandemin. 44 Kammarrättens i Stockholm dom den 23 oktober 2019 i mål nr 6497-19.

Vidare kan beslut om undersökning och behandling fattas på en mer solid grund. Utredningen konstaterar att dagens hälso- och sjukvård i hög grad är digitaliserad med många olika system som kommunicerar med varandra. En central del i vården är dess informationssystem i vilka bland annat patientjournal förs vid vård. Där finns digital informationen om patientens hälsa och vård som är avgörande för att högkvalitativ och effektiv hälso- och sjukvård ska kunna ges. Vård- och omsorgssektorerna är mycket informationsintensiva sektorer och behovet av en väl fungerande informationsförsörjning mellan olika nivåer och aktörer är avgörande för att patienten ska ges en god och säker vård. Infrastrukturen som möjliggör informationsåtkomst i säkra former mellan vårdgivare över organisationsgränserna och som ägs och förvaltas av Inera är ett resultat av många års viktigt målinriktat arbete och investeringar från framför allt regioner och kommuner men även staten. I dag använder den offentliga vården Ineras tjänster för att it-lösningar för vård och omsorg ska uppfylla lagliga krav på hur patientinformation får hanteras. Tjänsten Nationell patientöversikt som möjliggör informationsutbyte mellan vårdgivare och omsorgsgivare har ett beroende till flera olika komponenter av Ineras infrastruktur bland annat säkerhetstjänster. Utredningen bedömer att de tjänster och den samlade infrastruktur som Inera tillhandahåller vården är kritisk för att en god och säker vård ska kunna ges. Den används av och är tillgängliga för många men inte alla.

Utredningen anför, i linje med utredningens tilläggsdirektiv (Dir. 2021:91), att alla vårdgivare behöver ha tillgång till den nationella infrastrukturen för att skapa förutsättningar för en jämlik vård och erhålla dess fulla nytta.

Det har i olika sammanhang och av flera påpekats att det finns behov av en nationell infrastruktur för informationen i hälso- och sjukvård och socialtjänst.45,46,47 Nationellt konstaterades det även i prop. 2012/13:128 att vården och omsorgen bedömdes ha stora framtida behov av en samordning av nationella it-infrastrukturtjänster.48Utredningen anser att flertalet av de nationella tjänster och den funktionalitet som Inera tillhandahåller hälso- och sjukvården genom att möjliggöra ett säkert informationsflöde upprätthåller och säkerställer samhällskritisk verksamhet. Regeringen har ett ansvar för att målen

45SOU 2012:33. Gör det enklare! 46SOU 2019:42 Digifysiskt vårdval. 47 Vårdanalys (2019). Gränslösa möjligheter gränslösa utmaningar. 48Prop. 2012/13:128, s. 34.

om en god och jämlik vård nås. Även om de tjänster och den infrastruktur Inera äger har utvecklats av delvis statliga medel och genom gemensamma initiativ och överenskommelser mellan staten och regioner och kommuner kan staten, eftersom Inera AB inte är en statlig myndighet, inte direkt finansiera Ineras verksamhet och bara i undantagsfall styra eller begränsa verksamheten (se 2 kap. 17 § första stycket RF och artikel 107 i Fördraget om Europeiska unionens funktionssätt). Tidigare mjuk statlig styrning av NPÖ genom överenskommelser med tillhörande medel med SKR för anslutning bidrog till att alla regioner anslut sig till infrastrukturen men än i dag varierar användningen och vilka informationsmängder som tillgängliggörs mellan regionerna. Flera myndighetsrapporter har konstaterat att den mjuka styrningen på området många gånger haft små, inga eller oönskade effekter samt att utvecklingen går långsamt.49 50 51 52 53 54 55 56

Avsaknaden av heltäckande information i tjänsten gör att dess nytta och potential inte nyttjas fullt ut. Att patienten ska kunna ge alla vårdgivare den önskar tillgång till informationen ser utredningen som en rättighet och en central del i att vården som ges blir patientsäker, god och jämlik. Känsliga uppgifter och samhällskritisk infrastruktur behöver även skyddas på ett sådant sätt att integritet och kontinuitet värnas. Samtidigt behöver verksamheten som behandlar personuppgifter och tillhandahålla sådan infrastruktur kunna granskas. Utredningen ser mot den bakgrunden att den finns ett värde i att den tillhandahålls och ägs av en myndighet. Sammantaget är utredningens bedömning att staten behöver säkerställa att en infrastruktur för att tillgängliggöra information finns tillgänglig för alla vårdgivare. Staten behöver kunna påverka vidareutvecklingen av sådan infrastruktur för att den ska utvecklas på ett sådant sätt och i en sådan hastighet att den kan bidra till att Sverige uppfyller såväl internationella åtaganden och krav, däribland patientöversikter, som

49 Statskontoret (2021). Vision e-hälsa 2025 – ett försök att styra genom samverkan, 2021:17. 50 Vård- och omsorgsanalys (2017). Lapptäcke med otillräcklig täckning, rapport 2017:4. 51 Riksrevisionen (2006). Socialstyrelsen och de nationella kvalitetsregistren inom hälso- och sjukvården. 52 Riksrevisionen (2013). Statens satsningar på nationella kvalitetsregister – Leder de i rätt riktning? 53 Riksrevisionen (2020). Äldresatsningen – effektiviteten i statens satsning på kvalitetsregister i äldreomsorgen. 54 Riksrevisionen (2022). På skakig grund – beslutsunderlag inför stora reformer. 55 Ekonomistyrningsverket (2022). Digitaliseringen av det offentliga Sverige, ESV 2018:31. 56 Riksrevisionen (2016). Den offentliga förvaltningens digitalisering – En enklare, öppnare och effektivare förvaltning? (RiR 2016:14).

nationella mål. Utredningens bedömning är även att det finns fördelar i att staten äger hela eller delar av sådan nationell infrastruktur inom sektorn.

Utredningen konstaterar att det finns olika alternativ för att försöka åstadkomma ovanstående. Dessa presenteras nedan följt av en sammanfattande bedömning och utredningens förslag.

Genomförande av förslaget – olika alternativ

För att möjliggöra att utvalda uppgifter om patientens hälsa och vård från alla vårdgivare sammanställs i en patientöversikt med hjälp av en infrastruktur med en långsiktig förvaltning och förmedlas över internationella och nationella gränser har utredningen övervägt ett antal alternativ. Alternativen avser infrastruktur för att tillgängliggöra och kunna samla uppgifter. Förslag avseende infrastruktur för att ta del av uppgifterna kommer i nästföljande avsnitt 12.2.3.

Utredningen ser att man kan skära alternativen på olika sätt. Som nämnts ovan anser utredningen att en infrastruktur för att tillgängliggöra information om patientens hälsa och vård från patientjournalen krävs för att nutida och framtida nationella och internationella mål och krav ska kunna uppfyllas, till exempel i fråga om tjänsten patientöversikter inom EES. Utredningen anför att staten behöver kunna påverka utvecklingen och användningen av infrastrukturen för att den ska kunna bidra till att krav uppfylls i utsatt tid. Mot den bakgrunden har utredningen tittat på olika upplägg med ett statligt eller regionalt huvudmannaskap. Alternativ inom ramen för ett regionalt huvudmannaskap innefattar att Inera fortsätter att tillhandahålla befintliga tjänster och infrastruktur men att staten erhåller inflytande genom avtal eller reglering. Statligt huvudmannaskap innefattar antingen att tjänster och infrastruktur motsvarande Ineras tillhandahålls av staten eller statlig aktör antingen genom att de utvecklar eller förvärvar sådan infrastruktur eller att en annan mer generisk infrastruktur byggs som möjliggör delning av hälsodata för fler ändamål. Noll-alternativet innebär att Inera fortsätter att tillhandahålla de tjänster och den infrastruktur de gör i dag med bibehållen styrning och rådande bestämmelser avseende användning.

Konsekvenserna av respektive alternativ beskrivs fullständigt i kapitel 18. I detta avsnitt ges emellertid en kort sammanfattning för bättre förståelse för bakgrunden till utredningens förslag.

Huvudalternativ 1: Bibehållet regionalt huvudmannaskap över tjänster och infrastruktur

I detta huvudalternativ äger Inera (indirekt SKR, regioner och kommuner) tjänster och infrastruktur för ett säkert informationsutbyte inom hälso- och sjukvården, vilket bland annat möjliggör utbytet av svenska patientöversikter till andra EES-länder. Det som skulle motivera att nuvarande ägarskap bibehålls är att den styrningsmodell som SKR, regioner och kommuner kommit överens om behålls intakt vilket innebär att SKR, regioner och kommuner har full rådighet över tjänster och infrastrukturens användning och utveckling. Det innebär att det kommunala självstyret inte påverkas. Det kräver inte heller någon utredning av organisationsförändringar utan verksamheten kan fortlöpa som det gör. En utveckling av tjänsterna inom ramen för nuvarande organisation kan inledas och genomföras utifrån befintliga rutiner som med hög sannolikhet innebär att infrastrukturen som möjliggör att svenska patientöversikter utbyts med andra EES-länder snabbare kommer på plats jämfört med de alternativ som innefattar ett statligt huvudmannaskap. I detta alternativ kan staten säkerställa att tjänster och infrastruktur tillhandahålls alla vårdgivare och uppfyller de krav som ställs på tjänsten patientöversikter inom EES på ett antal sätt:

1. Staten upphandlar från Inera de tjänster som krävs för att för att tillgängliggöra specificerade informationsmängder,

2. överenskommelse mellan staten och SKR, eller

3. bestämmelser om krav på regioner att tillhandahålla en infra-

struktur för att tillgängliggöra uppgifter från patientjournalen som uppfyller de krav som ställs på tjänsten.

Alternativ 1 innebär att Ineras tjänster som möjliggör att informationen som ska ingå i patientöversikten tillgängliggörs upphandlas av en myndighet utifrån de krav som ställs på tjänsten. Inera levererar ett fyrtiotal olika tjänster, där NPÖ och dess stödtjänster samt

den infrastruktur som dessa tjänster är baserad på utgör en delmängd. I och med att det finns ett beroende mellan NPÖ och flera andra av Ineras tjänster till exempel SITHS, HSA och säkerhetstjänster, är det enligt utredningens bedömning osäkert om en upphandling av Ineras tjänster skulle kunna genomföras på ett sådant sätt att de krav som ställs på tjänsten patientöversikter inom EES skulle införlivas samtidigt som statens önskemål om att information från alla vårdgivare ska inkluderas möts. De stödtjänster och den infrastruktur som NPÖ har ett beroende till har dessutom beroenden till många av Ineras andra tjänster vilket ökar komplexiteten. Förändras datamängderna i tjänsten krävs sedan nya upphandlingar.

Alternativ 2 är det sätt som staten tidigare tillämpat för att påverka användning och utveckling av den infrastruktur Inera äger. Som utredningen konstaterar ovan är överenskommelser mjuka styrmedel som bygger på att parterna kommer överens om dess innehåll. En risk detta alternativ är, som konstateras i flera myndighetsrapporter, att den mjuka styrningen på området många gånger haft små, inga eller oönskade effekter samt att utvecklingen går långsamt.

Alternativ 3 innebär att lagar används som styrmedel genom att bestämmelser om att regioner i egenskap av huvudmän tillhandahåller en infrastruktur för att tillgängliggöra uppgifter som är tillgänglig för alla vårdgivare i regionen och uppfyller de krav som ställs på tjänsten patientöversikt inom EES. Styrmedlet är hårt vilket innebär att det som fastställs i lagen ska följas.

Kort sammanfattning av konsekvenserna av huvudalternativ 1

Alternativen i huvudalternativ 1 får enligt utredningens bedömning vissa konkurrenseffekter och påverkar hur Ineras verksamhet kan drivas framåt. Utredningen föreslår krav på att alla vårdgivare (vårdgivare som bedriver tandvård och kommunal hälso- och sjukvård undantagna) ska tillgängliggöra uppgifter till en patientöversikt. Det innebär att ett stort antal privata vårdgivare behöver ansluta sig till Ineras infrastruktur i både fall 1, 2 och 3 ovan. Som utredningen beskriver tidigare i detta avsnitt köper regioner och kommuner i dag tjänster från Inera utan konkurrensutsättning, efter en bedömning som de gjort av undantagsmöjligheter från LOU. Det handlar om undantag för interna upphandlingar (även kallad Teckal- eller in-

house-undantaget), förutsättningarna för detta beskrivs ovan och i

kapitel 7.3.3. Givet det stora antalet privata vårdgivare som skulle ansluta till och använda sig av Ineras tjänster finns det sannolikhet att mer än 19 procent av Ineras verksamheter skulle erbjudas den fria marknaden och inte dess ägare vilket skulle innebära att Teckalundantaget som verksamheten bedrivs enligt i dag inte längre skulle vara tillämpligt. Mot den bakgrunden ser utredningen att det är osäkert huruvida alternativ 1 och 2 skulle vara önskvärt ur regioners, kommuners och SKR:s perspektiv, vilket påverkar förutsättningarna för en lyckad upphandling eller beslutad överenskommelse.

Utredningen anför att påverkan på det kommunala självstyret kommer vara minimalt med alternativ 1 och 2 och betydande i alternativ 3 då vårdgivare åläggs tillhandahålla en infrastruktur som ska uppfylla vissa krav och vara tillgänglig för alla vårdgivare.

Kostnader till följd av förslaget är begränsade jämfört med om ny infrastruktur byggs eller tillhandahålls av statlig aktör då befintlig infrastruktur återanvänds och upparbetade rutiner för utveckling nyttjas. Den anpassning av system som Inera behöver göra går sannolikt fort. Komplettering av två informationsmängder för att uppfylla kraven på tjänsten patientöversikt inom EES kommer emellertid även att kräva anpassningar i vårdgivares informationssystem. Utredningen konstaterar att utveckling som kräver sådan anpassning kan ta tid att få till stånd givet byte av informationssystem i flera regioner samt det pågående införandet av NLL. Kostnader för anslutning av alla privata aktörer samt förvaltning av systemet tillkommer vid såväl detta alternativ som huvudalternativ 2.

Huvudalternativ 2: Statligt huvudmannaskap över tjänster och infrastruktur

I detta huvudalternativ äger staten tjänster och infrastruktur som möjliggör att informationen som ska ingå i en patientöversikt tillgängliggörs till svenska patientöversikter för förmedling till andra EES-länder. Det som i första hand skulle motivera ett statligt huvudmannaskap över infrastruktur för informationsutbyte inom hälso- och sjukvården och omsorgen är den rådighet och möjlighet till att påverka utvecklingen som staten skulle erhålla i ett sådant upplägg.

Alternativet kan delas upp i att tjänster och funktionalitet motsvarande den som Inera äger tillhandahålls eller att en annan typ av

infrastruktur som möjliggör mångfalt fler tjänster och delning av data för fler ändamål utvecklas. Angränsande infrastruktur för att tillgängliggöra data för andra behov och ändamål så som forskning och innovation ingår inte i utredningens uppdrag att utreda. Det utreds emellertid av andra.57 Utredningen kommer därför inte lämna förslag avseende eller gå djupare in på det sistnämda alternativet men anför att den infrastruktur som möjliggör patientöversikter på sikt ska utgöra en del i den totala infrastrukturen för utbyte av hälsodata när den är färdig.

Mot bakgrund av ovanstående presenterar utredningen två alternativ:

1. staten utvecklar motsvarande tjänster och ålägger vårdgivarna att

koppla upp sig mot dem, eller

2. staten förvärvar hela Inera eller SKR:s ägarandel i Inera.

Det första alternativet innebär att den myndighet staten bestämmer utvecklar motsvarande tjänster och en liknande infrastruktur som Ineras för ändamålet patientöversikter inom EES. Ett sådant alternativ skulle säkerställa att den funktionalitet och infrastruktur som krävs erhålls, att alla krav uppfylls och att alla vårdgivare kan ansluta.

Alternativ 2 är att förvärva hela eller delar av Inera AB alternativt undersöka hur den infrastruktur som Inera byggt skulle kunna överlåtas till det offentliga. Inera ägs i dag av SKR Företag AB cirka 51 procent, regionerna cirka 3 procent och kommunerna cirka 46 procent. Förvärvar staten hela företaget skulle man eventuellt, som man gjorde med Apoteket Service AB, i ett andra steg kunna avveckla företaget och inkorporera verksamheten i en eller flera myndigheter. Vid omregleringen av apoteksmarknaden lyftes samhällsnyttig infrastruktur i form av databaser och informationssystem som ansågs vara viktiga för effektiv drift, kontroll och överblick över läkemedelsanvändningen och kostnader samt underlag för forskning ut ur Apoteket AB och drevs vidare i statlig ägo med konkurrensneutralt förhållningssätt till alla apoteksaktörer, genom att Apotekens Service AB tog över ansvaret för databaser och register som reglerades i lagen (1996:1156) om receptregister och lagen (2005:258) om läkemedelsförteckning samt för register med arbetsplatskoder en nationell dos-

57 Dir. 2022:41. Hälsodata som nationell resurs för framtidens hälso- och sjukvård.

databas och för sammanställning av nationell läkemedelsstatistik.58Apotekens Service AB blev i samband med övertagandet personuppgiftsansvarigt för receptregistret och läkemedelsförteckningen. Regeringen beslutade sedermera i januari 2011 att ge en särskild utredare i uppdrag att se över de statliga delarna av vård- och omsorgssystemet (dir. 2011:4). I slutbetänkandet pekas fyra huvudområden ut där staten har en särskilt viktig roll inom hälso- och sjukvården varav infrastruktur för it och kommunikationslösningar var en.59 I socialutskottets betänkande som behandlade prop. 2012/13:128 framgår riksdagens beslut om att bilda en ny myndighet för hälso- och vårdinfrastruktur och ett bemyndigade till regeringen om att genomföra statens förvärv av verksamheten i Apoteken Service AB.60 Den nya myndigheten gavs samma uppgifter som bolaget Apotekens Service AB, som i sin tur avvecklades. Myndigheten tog därigenom över den verksamhet som Apotekens Service AB hade och den service som bolaget tillhandahöll gentemot apoteksaktörerna samt skulle verka för att införa funktioner och system som främjar en patientsäker och kostnadseffektiv läkemedelsdistribution på en omreglerad apoteksmarknad.

Genom att endast köpa SKR Företag AB:s andel skulle staten bli majoritetsägare i företaget samtidigt som regionerna och kommunerna fortsatt skulle ha ett inflytande över verksamheten. Detta skulle ha sina fördelar då framför allt framtida utveckling måste ske i nära samarbete med regionerna och kommunerna. Å andra sidan skulle statens inflytande vara begränsat.

Kort sammanfattning av konsekvenserna av huvudalternativ 2

Konsekvenserna av att staten bygger en likvärdig infrastruktur skulle framför allt vara ekonomiska. Att bygga upp de tjänster och den infrastruktur som Inera tillhandahåller och som det offentliga finansierat är mycket kostsamt och tidskrävande. Dessutom skulle det innebära att skattepengar finansierar förvaltningen av två likvärdiga infrastrukturer. Kostnaden för förvaltningen av tjänsten NPÖ och stödtjänsterna SITHS, HSA och Säkerhetstjänster uppgår under 2023 till strax över 70 miljoner kronor för regioner. Förvaltningskostnaden

58Prop. 2008/09:145. Omregleringen av apoteksmarknaden. s. 295. 59SOU 2012:33 Gör det enklare! 60 Socialutskottets betänkande 2012/13:SoU26.

för gemensam infrastruktur uppgår till 80 miljoner kronor.61 En nyanslutning av alla vårdgivare som redan är anslutna till Ineras tjänster skulle innebära ett omfattande, resurskrävande och tidskrävande arbete. Utredningen ser att detta alternativ får så stora ekonomiska och administrativa konsekvenser med en så liten adderad nytta att alternativet inte är aktuellt att utreda vidare.

Ett förvärv av delar eller hela Inera ger staten inflytande över bolaget och dess verksamhet. Staten har emellertid generellt inte möjlighet att detaljstyra statligt ägda bolag på sådant sätt att vidareutveckling och investering av medel påverkas. Utgångspunkten för regeringens bolagsstyrning är den svenska bolagsstyrningsmodellen. Det innebär bland annat att de bolag som ägs av staten styrs associationsrättsligt på samma sätt som privatägda bolag med bolagsstämman som det högsta beslutande organet. Det innebär också att styrelsen ansvarar för bolagets organisation och förvaltningen av dess angelägenheter och att det är styrelsens ansvar att fastställa mål och strategi för bolagets verksamhet samt att bolagets ledning sköter den operationella driften av bolagets verksamhet. Bolag med statligt ägande lyder som utgångspunkt under samma lagar som privatägda bolag.62 För möjlighet att detaljstyra utveckling behöver verksamhet lyftas in i en myndighet.

Ett förvärv av SKR Företag AB:s aktier i Inera skulle inte i formell mening påverka det kommunala självstyret i och med att SKR endast är en medlems- och arbetsgivarorganisation för kommunerna och regionerna. Ett förvärv även av de aktier som innehavs av kommunerna, och en eventuell avveckling av företaget och inkorporering av dess verksamhet i E-Hälsomyndigheten, skulle beröva kommunerna och regionerna det inflytande de i dag har över verksamhetens inriktning i kraft av sina poster i Ineras ägarråd, styrelse och programråd.

Detta inflytande över den framtida utvecklingen av informationshanteringen för hälsa, vård och omsorg och måste, i så fall, garanteras på annat sätt och i andra former vilket kan innebära vissa kostnader. Utredningen återkommer till detta i avsnitt 12.7.

61 Inera (2023). Prislista regioner, gemensam och valbar 2023. Gemensamma tjänster. 62 Regeringskansliet. Så styrs bolagen. UR L: Så styrs bolagen - Regeringen.se. Uppdaterad 2020-03-03. Hämtad 2023-02-26.

Huvudalternativ 3 – Nollalternativet

Nollalternativet innebär att Inera fortsätter att bedriva sin verksamhet på samma sätt som i dag och att ingen upphandling eller överenskommelse genomförs av staten för att kunna påverka tjänsternas utveckling och användning. Med detta alternativ skulle inte Ineras tjänster och infrastruktur uppfylla de krav som ställs på tjänsten patientöversikt inom EES. Infrastrukturen skulle heller inte kunna användas av vårdgivare med enbart privat finansierad verksamhet. En anslutning av alla privata vårdgivare med offentlig finansiering skulle sannolikt även påverka Ineras möjlighet att bedriva verksamheten enligt Teckalundantaget. Med detta alternativ kan Sverige inte implementera tjänsten patientöversikter inom EES som land A (svenska patientöversikter till utlandet).

Sammanvägd bedömning

Utredningen anser att huvudalternativ 1 där delar eller hela Inera AB:s verksamhet eller Ineras tjänster förvärvas är det alternativ som bäst möter utredningens uppdrag om att lämna förslag på åtgärder som bedöms nödvändiga för att möjliggöra ett gränsöverskridande utbyte av patientöversikter inom EES, som inkluderar information från alla vårdgivare i Sverige samt en långsiktig förvaltning av patientöversikter. Det skapar även enligt utredningen bäst förutsättningar för att staten ska kunna säkerställa att det finns en infrastruktur för att tillgängliggöra utvald information om patientens hälsa och vård från alla vårdgivare till en patientöversikt som kan utbytas över organisations-, regions- och landsgränser. Alternativet får beroende på hur det genomförs sannolikt konsekvenser på det regionala självstyret. Utredningen konstaterar emellertid att många regioner som utredningen haft dialog med ser positivt på att staten tar ett samlat ansvar för grundläggande infrastruktur. Nyttan med att alla vårdgivare ges förutsättningar för att och ombesörjs med krav på att kunna utbyta utvalda informationsmängder om patientens hälsa och vård tillfaller såväl vårdgivare som samhället i stort. Fördelen med ett förvärv är även att det återanvänder den investering och det arbete som lagts ner av regioner och kommuner samt andra vårdgivare på befintliga tjänster.

Alternativ 1 med ett fortsatt regionalt huvudmannaskap erbjuder många fördelar i form av att redan upparbetade processer och rutiner samt befintliga system vidareutvecklas inom rådande organisation vilket på kort sikt spar tid och pengar. Utredningen anför emellertid att en upphandling, överenskommelse eller lagkrav som innebär att alla vårdgivare ska anslutas till Ineras tjänster kan få effekter på huruvida verksamheten fortsatt kan bedrivas enligt Teckal-undantaget. Det skulle innebära att regioner och kommuner behöver upphandla Ineras tjänster enligt LOU. Alternativet erbjuder inte heller någon långsiktighet utan nya upphandlingar kommer krävas när nya eller förändring av befintliga informationsmängder tillkommer. Alternativet med en mjuk styrning i form av överenskommelser mellan staten och SKR ligger sannolikt närmst tillhands då det tillämpats förut. Flera myndighetsrapporter har emellertid konstaterat att den mjuka styrningen på området många gånger haft liten, ingen eller oönskad effekt samt att utvecklingen går långsamt.63 64 65 66 67 68 69 70 Utredningen ser inte att det med säkerhet skulle vara ett tillräckligt medel för att infrastrukturen på lång sikt skulle kunna bidra till att nationella och internationella mål nås i tid. Det erbjuder inte heller en långsiktig förvaltning i linje med utredningens direktiv.

Alternativet med styrning genom krav i lag på att regionerna i egenskap av sjukvårdshuvudmän ska tillhandahålla en infrastruktur för alla vårdgivare innebär en hård styrning vilket erbjuder bättre förutsättningar än överenskommelser för att målet ska nås. En styrning med lagar är emellertid inte någon garanti för att utvecklingen som åläggs regioner kan genomföras inom uppsatt tid vilket illustrerats av arbetet med Nationella läkemedelslistan. Här krävs god framförhållning och nära dialog mellan stat, region och kommun för att etablera en realistisk och hållbar tidslinje. Utredningen ser att genomförandet troligtvis skulle innebär att Ineras infrastruktur görs till-

63 Statskontoret (2021). Vision e-hälsa 2025 – ett försök att styra genom samverkan, 2021:17. 64 Vård- och omsorgsanalys (2017). Lapptäcke med otillräcklig täckning, rapport 2017:4,. 65 Riksrevisionen (2006). Socialstyrelsen och de nationella kvalitetsregistren inom hälso- och sjukvården. 66 Riksrevisionen (2013). Statens satsningar på nationella kvalitetsregister – Leder de i rätt riktning?. 67 Riksrevisionen (2020). Äldresatsningen – effektiviteten i statens satsning på kvalitetsregister i äldreomsorgen. 68 Riksrevisionen (2022). På skakig grund – beslutsunderlag inför stora reformer. 69 Ekonomistyrningsverket (2022). Digitaliseringen av det offentliga Sverige, ESV 2018:31. 70 Riksrevisionen (2016). Den offentliga förvaltningens digitalisering – En enklare, öppnare och effektivare förvaltning? (RiR 2016:14).

gänglig för alla. Det får emellertid som sagt sannolikt samma konsekvenser på huruvida Teckal-undantaget är tillämpligt. Ett sådant lagkrav är ett omfattande intrång i det regionala självstyret. En mindre betungande variant av detta alternativ är att staten tillhandahåller och förvaltar en sådan infrastruktur men att endast de system som uppfyller ställda krav avseende till exempel säkerhet, identitet och behörighet tillåts ansluta. Det sistnämnda är det som utredningen vill åstadkomma.

Avslutningsvis bedömer utredningen att inget av genomförandealternativen för huvudalternativ 1 kommer bidra till att de krav som följer av internationella regelverk i det längre perspektivet där betydande ansvar och tillhandahållande av infrastruktur åläggs myndigheter uppfylls.

Utredningen anför mot bakgrund av ovanstående att förslaget bör realiseras genom att staten förvärvar hela eller delar av Inera eller Ineras tjänster och vidareutvecklar befintlig infrastruktur så att den når befintliga och framtida nationella och internationella mål och krav avseende ett säkert informationsutbyte inom hälso- och sjukvården. Utredningen föreslår att vilka delar som bör förvärvas samt om, och i så fall vilka delar av, Ineras verksamhet bör ägas och förvaltas av en myndighet utreds vidare.

Del 2 Hur vårdgivare tar del av patientöversikter från utlandet (Land B)

12.2.3. Digital tjänst för patientöversikter inom EES

Utredningens förslag: Regeringen ska ge E-hälsomyndigheten i

uppdrag att tillhandahålla en digital tjänst som ger alla vårdgivare tillgång till patientöversikter från utlandet.

Skäl för utredningens förslag

Eftersom Sverige inte tidigare valt att implementera tjänsten patientöversikt inom EES har det hitintills inte funnits något behov av att skapa en digital infrastruktur som kan ta emot eller ta del av

patientöversikter från utlandet. Mot den bakgrunden kan utredningen konstatera att en sådan funktionalitet behöver utvecklas.

Uppgifterna i en patientöversikt behöver nås i en säker behandlingsmiljö och enbart de som är behöriga att ta del av uppgifterna ska ges tillgång. För tjänsten behövs därför bland annat grundläggande funktionalitet för att kontrollera och säkerställa identitet, roll och behörighet. Enligt e-hälsoavtalet ska avtalsparterna säkerställa att patienter och hälso- och sjukvårdspersonal kan identifieras entydigt på ett sätt som antingen är,

  • identifiering som inte är elektronisk,
  • e-identifiering som är anmäld enligt eIDAS-förordningen (för hälsoområdet eller ett annat område), eller
  • e-identifiering som inte är anmäld enligt eIDAS-förordningen.71

Enligt e-hälsoavtalet ska autentiseringen vara förenlig med dataskyddsförordningen och eIDAS-förordningen. Det finns en överenskommelse om tvåfaktorsautentisering när det gäller hälso- och sjukvårdspersonal.72 Hälso- och sjukvårdspersonalens identitet behöver fastställas genom tvåfaktorsautentisering. Det framgår vidare att tillitsnivån för identitetshandlingen bestäms av nationella myndigheter i land B utifrån nationella bestämmelser.73 Hälso- och sjukvårdspersonalen måste ha anknytning till minst en vårdgivare eller en hälsomyndighet (på engelska ”Health authority”) och uppgifterna om vilken ska skickas med patientöversikten.74

I Sverige klassificeras e-legitimationer utifrån vilken tillitsnivå de uppnår. Med tillitsnivå avses grad av säkerhet och tillförlitlighet. DIGG granskar e-legitimationer på tillitsnivå 2, 3 och 4. Tillitsnivå 2 och högre innebär krav på tvåfaktorsautentisering.75 En granskad och godkänd e-legitimation på tillitsnivå 3 och 4 har möjlighet att teckna licensavtalet för Kvalitetsmärket Svensk e-legitimation. Det finns fem godkända e-legitimationer på tillitsnivå 3 och 4 med Kvali-

71 Se kapitel II, avsnitt II.1.1.2 och II.1.1.3 i e-hälsoavtalet. 72 eHealth Network, Jahsen Discussion paper on eHealth-specific eID framework across-borders, 2016, s. 11 och eHDSI Requirements Catalogue, 01. Ensure Health Professional (HP) Identifica-

tion, Authentication and Authorization.

73 MyHealth@EU. Requirement catalouge. Avsnitt 01.01. s. 57. 74 MyHealth@EU. Requirement catalogue. Avsnitt 01. 75 DIGG. Tillitsnivåer för e-legitimering. UR L: Tillitsnivåer för e-legitimering | Digg. Uppdaterad 2022-10-25. Hämtad 2023-01-25.

tetsmärket för användning i tjänsten, dessa listas nedan.76 Den aktör som tillhandahåller e-legitimationen anges inom parentes.

  • EFOS på tillitsnivå 3 och 4 (Försäkringskassan)
  • Freja Organisations eID (Freja eID Plus) på tillitsnivå 3 (Freja eID Group AB)
  • Mobilt EFOS på tillitsnivå 3 (Försäkringskassan)
  • Mobilt SITHS på tillitsnivå 3 (Inera AB)
  • SITHS på tillitsnivå 3 (Inera AB).

Sverige har anmält svenska e-legitimationer till eIDAS. Det är därför möjligt att använda svenska e-legitimationer (just nu Freja eID Plus) i utländska e-tjänster inom EU. Det är emellertid inte i dagsläget aktuellt inom tjänsten patientöversikter inom EES.

Utredningen ser att det i dag finns två olika infrastrukturer/tjänster i drift där vårdgivare delar och ges tillgång till uppgifter om patientens hälsa och vård av särskilt intresse för utredningen. Utöver det är även tjänsten e-recept inom EES under uppbyggnad. Den ena är den infrastruktur Inera äger och förvaltar som ger åtkomst till NPÖ, den andra är infrastrukturen som E-hälsomyndigheten äger och förvaltar och som ger åtkomst till Nationella läkemedelslistan. De båda hanterar grundläggande funktionalitet avseende bland annat behörighet, identitet, säkerhet och spårbarhet och har därtill funktionalitet för att dela och ge tillgång till uppgifter.

Genomförande av förslaget – olika alternativ

Utredningen har övervägt olika alternativ, vilka beskrivs nedan.

Alternativ 1: Vidareutveckling av E-hälsomyndighetens infrastruktur

Den Nationella läkemedelslistan (fortsättningsvis NLL) är en tjänst som syftar till att ge hälso- och sjukvården, apoteken och patienten samma bild av patientens förskrivna och uthämtade läkemedel. I 9 kap. 1 § lagen (2018:1212) om nationell läkemedelslista fram-

76 DIGG. E-legitimering. UR L: E-legitimering | Digg. Uppdaterad 2022-10-25. Hämtad 2023-01-25.

kommer att den som bedriver verksamhet inom hälso- och sjukvården som innefattar ordination och förskrivning av läkemedel eller andra varor ska ha ett elektroniskt system som gör det möjlighet att få direktåtkomst till uppgifter i NLL och vid en elektronisk förskrivning lämna de uppgifter till NLL som anges i 3 kap. 8 § om registerinnehåll. Det innebär i praktiken att vårdgivarnas och apotekens system behöver anslutas till E-hälsomyndigheten för att dela och ta del av uppgifter direkt från och till deras informationssystem för förskrivning respektive expedition av läkemedel. För att möjliggöra åtkomst till och skrivbehörighet i NLL har ett nytt system utvecklats på E-hälsomyndigheten. Det nya systemet omfattar driftplattform, databasplattform och tjänsteplattform.77 Det nya registret är enligt myndigheten byggt på en modern infrastruktur som möjliggör skalbarhet och god prestanda. I dagsläget pågår arbetet med att ansluta vårdinformationssystem till E-hälsomyndigheten. Arbetet ska enligt gällande regelverk vara färdigställt den 1 maj 2023. På grund av covid-19-pandemin och införandet av nya vårdinformationssystem i regionerna har hälso- och sjukvårdens aktörer aviserat att given tidsram är för snäv. Mot den bakgrunden beslutade regeringen den 9 februari 2023 om propositionen Senarelagd anslutning till nationell läkemedelslista. Därigenom senareläggs kravet på anslutning till registret Nationell läkemedelslista och E-hälsomyndighetens informationsskyldighet till den 1 december 2025.78

Efter att kravet på anslutning trätt i kraft kommer alla förskrivare kunna se uppgifterna om förskrivning och uttag av läkemedel i sitt ordinarie vårdinformationssystem. Fram till dess kan förskrivnings- och uttagsinformation från NLL nås i Förskrivningskollen. Förskrivningskollen är en tjänst som erbjuder förskrivare möjlighet att logga in och ta del av patientens förskrivna och uthämtade läkemedel och andra varor som lämnas ut på apotek.79 Förskrivningskollen är i första hand avsedd för legitimerade förskrivare som vill förskriva läkemedel utanför arbetet. De kan med hjälp av sin dator och genom att legitimera sig med Freja eID Plus förskriva läkemedel utanför arbetet. Förskrivarkod och arbetsplatskod krävs.

77 E-hälsomyndigheten (2021). Redovisning av arbetet med framtagning av Nationell läkemedelslista. Redovisning enligt regleringsbrev (S2020/09593). Dnr 2020/04389. 78Prop. 2022/23:57. Senarelagt anslutning till nationell läkemedelslista. 79 E-hälsomyndigheten. Förskrivningskollen. URL : Förskrivningskollen • E-hälsomyndigheten (ehalsomyndigheten.se). Uppdaterad 2022-12-07. Hämtad 2023-02-27.

Av 5 kap. 3 § lagen om nationell läkemedelslista framgår att hälso- och sjukvårdspersonal som har behörighet att förskriva läkemedel eller andra varor för ändamålen: 1. åstadkomma en säker ordination av läkemedel, 2. bereda vård eller behandling av patient eller 3. komplettera en patientjournal, har möjlighet att ta del av förskrivningar och uttag i Nationella läkemedelslistan. Åtkomst ges även till sjuksköterskor utan förskrivningsrätt för de två sistnämnda ändamålen. För åtkomst krävs även patientens samtycke. När kraven på att alla vård- och apoteksaktörer ska vara anslutna till NLL träder i kraft blir det ett krav för alla aktörer att använda en säkerhetslösning godkänd av E-hälsomyndigheten. Säkerhetslösningen är enligt myndigheten utformad för att stärka skyddet av individers personliga integritet och ställer krav på identitets- och behörighetshanteringen för att säkerställa att rätt person får åtkomst till rätt information och endast till informationen den har rätt att se. E-hälsomyndigheten tillhandahåller inte själva någon identitetstjänst utan har i stället formulerat krav som de som ansluter behöver uppfylla för att ansluta till systemen. I stora drag ställs följande krav på aktörer som ska ansluta till E-hälsomyndigheten:

  • Att aktören är medlem i identitetsfederationen Sweden Connect eller identitets- och behörighetsfederationen Sambi. Myndigheten för digital förvaltning (DIGG) är huvudansvarig för identitetsfederationen Sweden Connect och federationen Sambi drivs av Internetstiftelsen.
  • Att alla medarbetare som använder E-hälsomyndighetens tjänster har svensk e-legitimation som är godkänd av DIGG. För nuvarande tjänster gäller tillitsnivå 3 eller högre.
  • Att aktören använder en IdP (en intygsfunktion) som är granskad och godkänd av Sweden Connect eller Sambi.

När någon anropar E-hälsomyndighetens tjänst utvärderas informationen som skickats i samband med anropet och därefter tilldelas användaren en eller flera behörighetsroller. Utöver behörighetsroll är även andra aspekter avgörande för huruvida åtkomst tillåts, eller vilken information som ges vid åtkomst:

  • Den resurs som anropas och den operation som används
  • Det ändamål som anges
  • Den åtkomsttyp som anges
  • Eventuellt ombud (roll Privatperson)
  • Kompletterande säkerhetsattribut i intyg.80

Alternativ 2: Vidareutveckling av Ineras tjänster

Tjänsten NPÖ är som beskrivits tidigare Ineras tjänst som möjliggör informationsutbyte mellan vårdgivare. Tjänstens innehåll, reglering och drift beskrivs utförligt i bland annat kapitel 7. Som nämns i avsnitt 12.2.2 har NPÖ ett beroende till ett antal stödtjänster som den som vill använda tjänsten behöver abonnera på. Relevant för informationsflödet från utlandet är bland annat identifikationstjänst SITHS, HSA katalogen samt Ineras säkerhetstjänster.

Inera tillhandahåller själva de två tjänster som används för identifiering och behörighetskontroll, nämligen identifieringstjänsten SITHS på tillitsnivå 3 och HSA katalogen. Ineras katalogtjänst HSA är en tjänst som innehåller uppgifter om organisationer och personer inom vård och omsorg i Sverige. Informationen i HSA används i många tjänster för att invånare och personal ska kunna söka efter kontaktuppgifter och hitta rätt vård på nätet. Uppgifterna i HSA är också en källa för att ge behörighet när användare loggar in i tjänster och system. En stor del av hälso- och sjukvårdspersonalen använder sig av SITHS-kort i dag. Organisationer som använder SITHS-kort för sin personal måste följa SITHS tillitsramverk som beskriver de krav som gäller för att få utfärda och hantera SITHS e-legitimation och även vara anslutna till Ineras katalogtjänst HSA.81

Utredningens sammanfattade bedömning och förslag

För att skapa effektivitet ur såväl ett ekonomiskt som tidsmässigt perspektiv ser utredningen en stor fördel med att när möjligt återanvända befintlig infrastruktur och befintliga tjänster. E-hälsomyndigheten har i dag en digital tjänst med information om patientens

80 E-hälsomyndigheten. Handbok för vård och apotekstjänster. URL: Välkommen till E-hälsomyndighetens Handbok för vård- och apotekstjänster - Handbok för vård- och apotekstjänster (ehalsomyndigheten.se).V ersion 21.4. Hämtad 2023-02-27. 81 Inera. Identifieringstjänst SITHS. UR L: Identifieringstjänst SITHS - Inera. Uppdaterad 2020-08-31. Hämtad 2023-01-25.

läkemedel som vänder sig till förskrivare. Med anledning av detta har myndigheten byggt upp funktionalitet för att kontrollera behörighet, säkerhet med mera. Även Inera tillhandahåller en tjänst med information om patienten som riktar sig till vårdpersonal och som har uppbyggd funktionalitet för behörighet, säkerhet med mera. För båda tjänsterna krävs emellertid utveckling av ett nytt webbgränssnitt som visar upp patientöversikter från utlandet.

Utredningen anför att de argument som läggs fram i avsnitt 12.2.2 är tillämpliga även här. Infrastrukturen behöver kunna vara tillgänglig för alla vårdgivare och kunna utvecklas på ett sådant sätt att den uppfyller nationella och internationella krav inom den tid som krävs. Utredningen anför att staten behöver rådighet även över denna infrastruktur.

Mot ovanstående bakgrund föreslår utredningen att regeringen ger E-hälsomyndigheten i uppdrag att tillhandahålla en digital tjänst som ger alla vårdgivare tillgång till patientöversikter från utlandet. Utredningen ser att infrastrukturen som krävs om möjligt och lämpligt bör återanvända eller bygga på E-hälsomyndighetens befintliga infrastruktur och att anslutningen så långt det är möjligt bygger på en säkerhetslösning som är godkänd av E-hälsomyndigheten samt de anpassningar som redan görs av vårdgivare inför anslutning till Nationella läkemedelslistan. Lösningarna bör på samma sätt som infrastrukturen för NLL bygga på de byggblock som tas fram inom Ena.

12.2.4. Tillgång till patientöversikter från utlandet och från Sverige i samma digitala tjänst

Utredningens förslag: För att tillvarata de insatser och den ut-

veckling som tjänsten patientöversikt inom EES kommer kräva samt öka den nationella nyttan av dessa föreslår utredningen att den digitala tjänst som utvecklas för att ta del av patientöversikter från utlandet även ska ge tillgång till svenska patientöversikter. I samband med att förvärvet av hela eller delar av Inera eller Ineras tjänster enligt utredningens förslag i avsnitt 12.2.2 utreds, föreslår utredningen att det även ses över om det är ändamålsenligt med två liknande tjänster för att visa upp liknande information eller om tjänsterna på något sätt kan förenas i en.

Skäl för utredningens förslag

Utredningen konstaterar att det är ett antal processer som behöver etableras och infrastruktur som behöver finnas på plats för att möjliggöra att tjänsten patientöversikter inom EES kan implementeras i Sverige. Utredningen beskriver i bland annat kapitel 11 och 18 vilka nyttor som följer av att patienten kan ge vårdgivare tillgång till dess uppgifter om hälsa och vård oavsett vilken vårdgivare som dokumenterat dem. Nyttor i form patientsäkerhet, förebyggda vårdskador och minskat dubbelarbete vid vård över såväl landsgränser, regiongränser och kommungränser som organisationsgränser. Det framgår av riktlinjen för tjänsten att informationen inte är begränsad till att enbart avse fallet med vård över landsgränser utan att medlemsländerna även med fördel kan använda riktlinjerna för att skapa interoperabilitet för informationsutbyte på nationell och regional nivå och på så sätt undvika fragmentering och dubbelarbete.82 Utredningen instämmer i fördelarna med att återanvända etablerade rutiner och infrastruktur även för det nationella flödet av patientöversikter. Mot den bakgrunden föreslår utredningen att behöriga vårdgivare via den digitala tjänst som utredningen föreslår i avsnitt 12.2.3 även kan ta del av patientöversikter från Sverige.

Utredningens förslag kan anses resultera i att det finns två med skattemedel finansierade nationella tjänster för patientöversikter som i delar ger tillgång till samma information. Utredningen anför därför att det i samband med att förvärvet av hela eller delar av Inera eller Ineras tjänster enligt utredningens förslag i avsnitt 12.2.2 utreds, även ses över om det är ändamålsenligt med två liknande tjänster för att visa upp liknande information eller om tjänsterna på något sätt kan förenas i en.

82 eHealth Network. Guideline on the electronic exchange of health data under Cross-Border Directive 2011/24/EU.

12.2.5. Gallra eller spara i register

Utredningens förslag: Utredningen ser inte att nyttan överstiger

de resurser och den arbetsinsats som krävs för att upprätta och förvalta ett register med patientöversikter och föreslår därför att de efter användning ska gallras snarare än sparas i ett nytt register. De uppgifter som den nationella kontaktpunkten för e-hälsa behöver bevara för att kunna uppfylla de krav som ställs inom ramen för tjänsten patientöversikter inom EES avseende kvalitetssäkring och spårbarhet, exempelvis i form av loggar över anrop, ska emellertid gallras först när det inte längre finns behov av uppgifterna.

Skäl för utredningens förslag

Utredningen har tidigare i detta kapitel konstaterat att det inte finns något nationellt kvalitetsregister eller hälsodataregister i Sverige som innehåller all den information som är aktuell för en patientöversikt. Som exempel saknas register med nationella data på individnivå från primärvården och annan öppen icke-specialiserad vård. Inte heller NLL ger en heltäckande bild av läkemedelsanvändningen då till exempel individbaserade uppgifter om användning av läkemedel i slutenvården, så kallade rekvisitionsläkemedel, saknas i NLL. I stället föreslår utredningen i avsnitt 11.2.2. att informationen ska hämtas från patientjournalen.

Patientöversikten kan efter att den är sammanställd och förmedlad eller mottagen antingen gallras eller sparas i ett separat register. Det föreligger olika fördelar och utmaningar med respektive alternativ. En patientöversikt är en ögonblicksbild av ett antal variabler om patientens hälsa och vård vars syfte är att få en nulägesbild som ger stöd för att kunna ge god vård. Flera variabler i patientöversikten är tidskänsliga, till exempel aktuella diagnoser och läkemedel. Utredningen ser emellertid att det finns informationsmängder i patientöversikten som med fördel skulle kunna bevaras i ett register, till exempel uppgifter om vaccin, vilket även lyfts av flera.83,84 Fördelar

83 Inrättandet av ett nationellt vaccinationsregister för privatpersoner. Motion 2019/20:437 av Rickard Nordin ©. 84 E-hälsomyndigheten och Folkhälsomyndigheten (2020). Förstudie digitalt vaccinationskort. Återrapportering enligt regeringsbeslut S2019/03409/FS (delvis). Dnr 2019/03799.

med ett register är att det erbjuder möjligheten till ett livslångt bevarande av uppgifter. Den rättsliga regleringen av insamling och användning av känsliga personuppgifter i form av individbaserade hälsodata till olika typer av register och databaser finns bland annat i EU:s dataskyddsförordning och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Vidare finns ett stort antal registerförfattningar som reglerar hur en personuppgiftsansvarig får och ska handskas med informationen i registret. För att skapa ett nytt register krävs såväl juridiska som tekniska och praktiska förutsättningar. Ett register behöver även förvaltas. Förarbete, utveckling och förvaltning av register är förenat med kostnader.

Varje gång en begäran om patientöversikt skickas samlas en ögonblicksbild av informationen som finns i journalen. Utredningens bedömning är att syftet och nyttan med patientöversikten erhålls i vårdtillfället den avser stödja. Behövs informationen för ett annat vårdtillfälle kommer en ny patientöversikt begäras vilket gör att informationen kommer att vara uppdaterad och aktuell igen även om tid gått och information tillkommit. Nyttan är med andra ord i sitt format tidskänslig och patientöversikten har skapats för att användas vid vårdtillfället den begärts för. Att bevara patientöversikter i ett register skulle innebära att olika ögonblicksbilder av utvalda variabler sparas. Historiska värden som är angivna i patientjournalen finns i den nya patientöversikten varför det är ointressant att konsultera gamla patientöversikter. Att bevara patientöversikten i sin helhet i ett register anser utredningen inte ger en nytta som överstiger den kostnad och tid som går åt för att upprätta och förvalta ett nytt register.

En svaghet med modellen där information hämtas vid behov från patientjournalen är att vid exempelvis gallring och arkivering av journaler blir information inte längre tillgänglig för elektronisk åtkomst. Det gäller även om journalinformation arkiveras i samband med att en verksamhet avslutas och läggs ned, eller av andra skäl arkiveras när vårdgivare organiseras om, förvärvas, ersätter äldre system med nya med mera. Utredningen konstaterar emellertid att detta fenomen inte är unikt utan kommer behöva hanteras av alla digitala system som önskar hämta information vid behov från digitala patientjournalen och motiverar inte att ett register för patientöversikter upprättas.

12.3. Digital tjänst för att lämna samtycke för patient

Utredningens förslag: E-hälsomyndigheten ska ges i uppdrag att

ta fram en digital tjänst där patienter som är försäkrade i Sverige kan lämna och överblicka samtycken med hjälp av e-legitimation. I det fall individen inte har någon e-legitimation föreslår utredningen att samtycke kan lämnas till vårdgivaren eller apotek som kontrollerar patientens identitet med en godkänd identitetshandling och förmedlar uppgifterna vidare till E-hälsomyndigheten.

Skäl för utredningens förslag

En patientöversikt innehåller känsliga personuppgifter om fysiska personers hälsa och vård. Risk för obehörig åtkomst till känsliga personuppgifter kan öka i och med att fler aktörer får tillgång till personuppgifterna. Det är därför av största vikt att flödet av uppgifter om en fysisk persons hälsa och vård i en patientöversikt sker på ett sätt som värnar om skyddet för den personliga integriteten dels genom att det finns rättslig grund för behandlingen, dels genom att infrastrukturen som utvecklas och används nationellt och internationellt präglas av hög informationssäkerhet.

För att stärka skyddet av personuppgifterna föreslår utredningen i avsnitt 14.11 att ett integritetshöjande samtycke införs som innebär att E-hälsomyndigheten enbart får behandla personuppgifter för ändamålet sammanställa, översätta och förmedla patientöversikter om patienten samtyckt till det.

För att ta del av uppgifter i en patientöversikt från ett annat EESland behöver vårdgivare informera patienten om personuppgiftsbehandlingen i Sverige samt inhämta patientens samtycke.

Redan i dag regleras svenska vårdgivares och omsorgsgivares åtkomst till uppgifter från andra svenska vårdgivare och omsorgsgivare i SVOD. För att kunna ta del av uppgifter som behandlats av en annan svensk vårdgivare behöver vårdgivaren eller omsorgsgivaren ha en aktuell patientrelation med patienten uppgifterna avser och även inhämta patientens samtycke vilket framgår av 3 kap. 1 § 2 p SVOD. Innan patientens uppgifter görs tillgängliga för andra vårdgivare eller omsorgsgivare framgår av 2 kap. 2 § SVOD att patienten eller omsorgsmottagaren ska ha fått information av vårdgivaren eller omsorgsgivaren om vad sammanhållen journalföring innebär och dess

möjlighet att motsätta sig tillgängliggörandet. Om patienten motsätter sig att uppgifterna tillgängliggörs ska informationen spärras.

Patientöversikter från Sverige

I fallet då Sverige är land A får E-hälsomyndigheten endast behandla personuppgifter för att sammanställa, översätta och förmedla patientöversikter om patienten lämnat sitt samtycke till det. På samma sätt får vårdgivare endast tillgängliggöra information om samtycke finns. Som nämnts ovan framgår vidare av kraven på tjänsten att den nationella kontaktpunkten för e-hälsa ska säkerställa giltighet för och bevis på patientens samtycke. En farhåga som lyfts i samband med de dialogmöten utredningen genomfört är att hälso- och sjukvårdspersonal i ett annat EES-land med enbart uppgifter om ett personnummer på en person som är försäkrad i Sverige ska kunna få tillgång till känslig information om en patients hälsa och vård. Uppgifter om anrop finns hos den nationella kontaktpunkten för e-hälsa för att möjliggöra granskning av tjänstens användning och generell spårbarhet. Utredningen föreslår även ett integritetshöjande samtycke för att minimera risken för otillåten åtkomst till uppgifter om patientens hälsa och vård. Utredningen ser även att det ur integritetssynpunkt vore fördelaktigt att det är möjligt för patienten att ange samtyckets giltighetstid samt vilka länder samtycket avser. Utredningen ser även fördelar med att patienterna ska kunna begränsa vilka av de valfria informationsmängder som samtycket avser, då vissa informationsmängder (till exempel uppgift om abort) kan vara särskilt känsliga i andra länder med annan lagstiftning. Det finns emellertid utmaningar med att skapa så många val för samtycket då det av patienten kan uppfattas som komplicerat.

Utredningen ser att ett samtycke bör kunna lämnas digitalt med hjälp av e-legitimation och på annat sätt för de som inte har en e-legitimation. En digital samtyckestjänst skulle göra det möjligt för patienten att i samband med vårdbesöket i utlandet logga in i tjänsten på sin mobil och lämna samtycke för det enskilda vårdtillfället. På så sätt blir det tidsfönster där uppgifterna är tillgängliga minimalt. Av den senaste rapporten om Svenskarna och Internet 2022 framgår att 91 procent av Sveriges befolkning som är 16 år eller äldre använder sig av e-legitimation.85 Utredningen konstaterar emellertid att det

85 Internetstiftelsen (2023). Svenskarna och internet 2022, s. 16.

finns delar av Sveriges befolkning som inte kan få eller vill använda e-legitimation. Utredningen föreslår att dessa patienter ska kunna lämna samtycke via vårdgivaren eller apotek, som i sin tur åläggs identifiera patienten i samband med att samtycke inhämtas samt förmedla samtycket vidare till E-hälsomyndigheten.

Det finns två skäl till att utredningen föreslår att E-hälsomyndigheten ska utveckla denna tjänst. Dels är E-hälsomyndigheten i rollen som den nationella kontaktpunkten för e-hälsa är ansvarig för att kontrollera och verifiera att samtycke finns innan patientöversikter förmedlas vidare över landsgränser, varför det finns en fördel i att dessa görs tillgängliga i en infrastruktur som är lättillgänglig för myndigheten. De har även i rollen som nationell kontaktpunkt för e-hälsa kunskap om de krav som behöver uppfyllas avseende samtyckeshanteringen. Dels har E-hälsomyndigheten redan ett användargränssnitt gentemot patienten i form av den digitala tjänsten Läkemedelskollen.

Patientöversikter från utlandet

Utredningen föreslår i avsnitt 15.1.6 att patienter som är försäkrade i ett annat EES-land behöver ge sitt samtycke innan vårdgivaren ges tillgång till uppgifterna i patientöversikten från patientens försäkringsland. Utredningen föreslår att dessa patienter lämnar samtycke via vårdgivaren eller apotek, som i sin tur åläggs identifiera patienten i samband med att samtycke inhämtas samt förmedla samtycket vidare till E-hälsomyndigheten.

Särskilda överväganden avseende e-legitimation

Digitaliseringen genomsyrar vårt samhälle och Sverige har, ur ett internationellt perspektiv, en mycket hög användning av e-legitimationer. Digg uppger i sin rapport om en säker och tillgänglig statlig e-legitimation att det finns cirka 6 000 tjänster som ställer krav på inloggning med e-legitimation.86 De anför att e-legitimationer är en samhällskritisk infrastruktur som måste fungera året runt, alla dagar. Digg konstaterar emellertid på samma sätt som utredningen att det finns uppskattningsvis en miljon människor i Sverige i ett digitalt

86 Digg (2023). En säker och tillgänglig statlig e-legitimation. Slutredovisning av regeringsuppdrag att föreslå hur en statlig e-legitimation kan utformas (I2022/01335).

utanförskap genom att de saknar en e-legitimation. Digg menar att det finns en mängd anledningar till att det är så, såväl strukturella som individuella, vilket kräver olika former av åtgärder och anför att det digitala utanförskapet måste minska. Utveckling av en statlig elegitimation föreslås påbörjas och där säkerhetsfrågorna måste sättas i fokus. Digg föreslår att den statliga e-legitimationen utfärdas på ett kontaktlöst aktivt kort som ges ut på högsta tillitsnivån enligt EU:s regelverk. Vidare föreslås att personer som har tilldelats samordningsnummer och kan styrka sin identitet ska kunna erhålla den statliga e-legitimationen.

Det tillsattes även nyligen en utredning med uppdraget att lämna förslag på hur en kostnadseffektiv statlig e-legitimation på högsta tillitsnivån kan utformas och tillhandahållas av en statlig myndighet.87 Utredningen ska även analysera och föreslå ändringar som följer av den reviderade eIDAS förordningen. I förordningen anges att den ökade digitaliseringen gör det allt svårare att klara sig i samhället utan tillgång till e-legitimation och att det därför är viktigt att så många som möjligt ges möjlighet att skaffa en säker e-legitimation. Här nämns bland annat personer som bara tillfälligt vistas i Sverige, exempelvis för arbete.

Utredningen ser att det arbete som pågår sannolikt kommer stärka möjligheten för de som vill men inte kan skaffa e-legitimation och potentiellt även intresset bland de som inte tidigare sett behovet, vilket även har en positiv inverkan på antalet patienter som kan ta del av en digital samtyckestjänst likt den utredningen föreslår.

12.4. Reglering avseende semantiska standarder utreds vidare

Utredningens bedömning: För tjänsten patientöversikt inom

EES behöver informationen vara strukturerad och kodad för att informationsmängderna ska att kunna översättas till ett annat språk. Utredningen konstaterar emellertid att reglering avseende semantiska och tekniska standarder utreds närmare av andra och kommer därför inte lämna något förslag om reglering inom området.

87 Dir. 2022:142. Säker och tillgänglig digital identitet.

Som utredningen beskriver i kapitel 7 är det som krävs för att möjliggöra ett gränsöverskridande utbyte av patientöversikter över landsgränser, regiongränser eller organisationsgränser till stor del interoperabilitet. Utredningen beskriver interoperabilitet mer utförligt i kapitel 7.

Semantisk interoperabilitet är en av såväl Healthcare Information and Management Systems Society (HIMSS) som EIFs fyra olika förutsättningar för att utbyta data. Semantisk interoperabilitet beskriver det faktum att data måste betyda samma sak för sändande och mottagande enhet.88 I utredningens bilaga 9 beskriver Centrum för datadriven hälsa (CDDH) på Kungliga Tekniska Högskolan att begreppet semantik tillsammans med ord som syntax, ontologi, termer, begrepp och definitioner relaterade till hur vi förmedlar information och den behövda kunskapen om data. Något som kallas informationsstrukturer. Redan i SOU 2006:82 lyfts bristen på enhetlig informationsstruktur som ett hinder för att kunna dela information mellan vårdgivare. Vidare anförs att det vid den tiden fanns ett behov av att komma längre i arbetet med semantik och standarder innan ett obligatorium avseende tillhandahållande av information om patientens hälsa och vård föreslås. För en meningsfull reglering av tillgängliggörandet av vissa informationsmängder är det viktigt att informationsmängderna hålla sådan kvalitet att de kan tolkas och användas i en vårdsituation så att de faktiskt bidrar till en ökad patientsäkerhet. Förutsättningarna har förändrats sedan 2006 och i dag finns en viss reglering av informationsstrukturen i kapitel 5 i HSLF-FS 2016:40. Enligt 5 kap. 2 § ska vårdgivaren säkerställa att uppgifterna i en patientjournal är entydiga. Där framgår vidare att för att försäkra sig om att uppgifterna är entydiga bör vårdgivaren bland annat använda följande publikationer när tillämpliga: Socialstyrelsens termbank, SnomedCT och internationell statistisk klassifikation av sjukdomar och relaterade hälsoproblem ICD-10-SE.

Utredningen konstaterar att det pågår arbete hos såväl myndigheter som regioner, SKR och Inera som syftar till en ökad strukturering och standardisering av hälsodata vilket beskrivs närmare i kapitel 7. I de dialoger myndigheten fört framkommer dock att implementeringen av de standarder som tagits fram är utmanande och att ett arbete återstår.

88 HIMSS (2023). Interoperability Healthcare. URL: https://www.himss.org/resources/interoperability-healthcare. Hämtad 2023-03-08 .

Utredningen konstaterar vidare att regeringen nyligen tillsatt en utredning som har i uppdrag att föreslå en lagstiftning för interoperabilitet. Utredaren ska bland annat:

analysera de rättsliga, organisatoriska, ekonomiska och tekniska förutsättningarna för att förbättra interoperabiliteten när uppgifter om hälsa överförs mellan olika system, aktörer och huvudmän, såväl kommuner och regioner som privata sådana, och lämna ändamålsenliga och samhällsekonomiskt effektiva förslag som bedöms vara nödvändiga med syfte att bl.a. bidra till en effektivare och säkrare tillgång till patienters hälsodata för såväl primär- som sekundäranvändning,

utreda och lämna förslag på vilken eller vilka myndigheter som ska ansvara för att utfärda föreskrifter, utöva tillsyn och ta fram andra stödjande eller styrande dokument om val och tillämpning av tekniska och semantiska standarder,

När det gäller patientöversikter inom EES behöver informationen vara strukturerad och kodad för att kunna översättas till andra språk. Enligt de krav som ställs ska den nationella kontaktpunkten för ehälsa säkerställa att informationen är av hög kvalitet vilket definieras som: strukturerad, betyda samma sak och gå att förstå av de individer som kommer att använda sig av den.89 Obligatoriska fält ska så långt som möjligt fyllas med strukturerad information i enlighet med den kliniska vokabulär som presenteras i MyHealth@EU Master Value Sets Catalouge.90 Av kraven framgår emellertid att även om målet är ett fullständigt kodverk för översättning är det sannolikt att fritext kommer förekomma i ett inledande skede. Saknas strukturerad information kommer det innebära att informationen inte kan översättas och därför skickas på originalspråk. Enligt den analys som E-hälsomyndigheten redovisar i rapporteringen av sitt regeringsuppdrag om informationshantering vid utlandsvård framgår att SnomedCT är det dominerande kodverket. I patientöversikten beskrivs elva informationsmängder med SnomedCT. Sex av dessa elva informationsmängder finns i den svenska utgåvan av SnomedCT. Resterande informationsmängder skulle behöva översättning från nationellt kodverk till Snomed CT för att kunna tillgängliggöras.91

Utredningen konstaterar även att Socialstyrelsen i juni 2022 publicerat en uppdaterad informationsspecifikation för uppmärksam-

89 MyHealth@EU. Requirements catalogue. Avsnitt 09. 90 MyHealth@EU. Value Sets Catalouge. 91 E-hälsomyndigheten (2020). Informationshantering vid utlandsvård. Dnr 2019/01537, s. 25.

hetsinformation och att E-hälsomyndigheten några månader senare beslutade att ge denna status som nationell och gemensam e-specifikation.92,93

Sammantaget gör utredningen bedömningen att även om det finns goda förutsättningar för vårdgivare att kunna tillhandahålla utvalda uppgifter om patientens hälsa och vård som omfattas av tjänsten patientöversiktpatientöversikt inom EES i strukturerad och kodad form återstår ett stort arbete med att mappa den nationella datan den begreppskatalog som kommissionen tillhandahåller för att kunna översätta informationen. Flera av de EES-länder som svarade på utredningens enkät uppger att arbetet med att mappa informationen var krävande.

Mot bakgrunden av att en pågående utredning har i uppdrag att analysera förutsättningar för att förbättra interoperabiliteten samt utreda och lämna förslag avseende föreskrifter, tillsyn och andra stödjande eller styrande dokument om val och tillämpning av tekniska och semantiska standarder kommer inte utredningen gå vidare med att föreslå någon åtgärd eller lagstiftning inom området.

12.5. Hur patienter från Sverige kan identifieras i tjänsten

Utredningens förslag: Personnummer ska användas som unik

identifierare för patienter som är försäkrade i Sverige i samband med att tillgång ges till dess Patientöversikt inom EES. De identitetshandlingar som bör användas för att ge tillgång till patientöversikten i samband med vård i ett annat EES-land är i nuläget svenskt pass och nationellt identitetskort.

Skäl för utredningens förslag

Som beskrivits i kapitel 8 om tjänsten patientöversikt inom EES, framgår det av kraven på tjänsten att patienten med säkerhet behöver kunna identifieras i landet den är försäkrad (land A) för att hälso-

92 Socialstyrelsen. Informationsspecifikation för uppmärksamhetsinformation. Version 5.1. 93 E-hälsomyndigheten. Den första gemensam nationella e-hälsospecifikationen är här. URL: Den första nationella gemensamma e-hälsospecifikationen är här • E-hälsomyndigheten (ehalsomyndigheten.se). Uppdaterad 2022-10-26. Hämtad 2023-01-10.

och sjukvårdspersonalen ska ges tillgång till patientinformation.94Vid vårdtillfället ansvarar land A och land B gemensamt för att identifiera patienten. Hälso- och sjukvårdspersonal i land B ska kontrollera patientens identitet genom den giltiga id-handlingen med foto och den unika identifieraren som land A kräver, samt övriga demografiska uppgifter om så krävs. Land A svarar med demografiska uppgifter om patienten, till exempel namn, unik identifierare och födelsedatum, så att hälso- och sjukvårdspersonalen kan jämföra uppgifterna med de som finns på den uppvisade identitetshandlingen.95 Nätverket för e-hälsa kravställer att patienten i land B ska kunna visa fotolegitimation som personlig identifierare, vilken även ska kunna kopplas till patientens patientöversikt i det nationella registret.96

I delbetänkandet (SOU 2021:102) samt i kapitel 4 gör utredningen bedömningen att Sverige kan vara försäkringsland, land A, för patienter med personnummer men även i vissa fall med samordningsnummer. För att avgöra om personnummer och samordningsnummer kan vara den personliga identifieraren behöver de också kunna finnas på en identitetshandling som är lämplig att använda över landsgränser.

Nationella fysiska identitetshandlingar

Som utredningen beskriver i avsnitt 13.3.2 i delbetänkandet finns det olika identitetshandlingar i Sverige. Som utgångspunkt gäller att den som en identitetshandling visas upp för måste ta ställning till om den aktuella handlingen kan godtas som bevis för en persons identitet. Som nämnt ovan framgår av kraven på tjänsten att land A ska ange vilka identitetshandlingar som patienten ska använda. Identitetshandlingen ska vara tillförlitlig och innehålla patientens unika identifierare och ett foto. Det brukar sägas att det finns fem svenska identitetshandlingar som allmänt accepteras som bevis på innehavarens identitet i Sverige. De fem handlingarna är pass, nationellt identitetskort, identitetskort för folkbokförda i Sverige, körkort och SISmärkt id-kort (SIS står för Swedish Standards Institute).97 Pass och nationellt identitetskort kan användas vid resa inom EES, men det

94 MyHealth@EU Requirements Catalouge. 02. Ensure patient identifikation. 95 MyHealth@EU Requirements Catalouge. 02.01. Uniquley identify the patient. 96 MyHealth@EU Requirements Catalogue, 02.01 Uniquely Identify the Patient. 97SOU 2019:14 Ett säkert statlig ID-kort med e-legitimation, s. 107.

regleras inte hur svenska identitetshandlingar i övrigt används i ett annat land.

Pass regleras främst i passlagen (1978:302). Pass är internationellt sett det dokument som i störst utsträckning accepteras som identitetshandling.98 Pass är främst en resehandling som ska tas med vid resa ut ur och in i Sverige med vissa undantag (5 § passlagen). Av 1 § passlagen följer att ett svenskt pass utfärdas till svenska medborgare. Passet innehåller uppgifter om medborgarskap, utfärdande myndighet, giltighetstid, passnummer, namn, personnummer, kön, födelsedatum och födelseort.

Det svenska nationella identitetskortet regleras av förordning (2005:661) om nationellt identitetskort. Det utfärdas endast till svenska medborgare. Den som har ett nationellt identitetskort får resa från Sverige till andra EU-länder utan pass (5 § passlagen). Det finns inget krav på att ha ett nationellt identitetskort eller ha med identitetskortet vid resor till eller från Sverige.

Skatteverket utfärdar identitetskort för folkbokförda i Sverige som också innehåller en e-legitimation. Regler om utfärdande finns i lagen (2015:899) om identitetskort för folkbokförda i Sverige. Identitetskortet utfärdas till personer som har fyllt 13 år och är folkbokförda i Sverige. Det krävs inte att sökanden är svensk medborgare. Det innehåller personens namn, personnummer, födelsetid, kön, längd och namnteckning.99

Det primära syftet med ett körkort är att det ska visa behörigheten att köra vissa fordon, men det är en allmänt accepterad identitetshandling i Sverige. Internationellt sett är det mer ovanligt att körkort används på detta sätt. Körkortslagen (1998:488) reglerar inte körkortets användning som identitetshandling. Körkort kan i vissa fall utfärdas till någon som inte har ett svenskt personnummer.

Det SIS-märkta id-kortet är en identitetshandling som utfärdas av privata aktörer och är inte författningsreglerat.100 Antal utfärdade SIS-kort sjunker och utgör i dag endast cirka 1–2 procent av det totala antalet utfärdade identitetshandlingar per år. Ett SIS-märkt idkort får enligt SBC 151-U endast utfärdas till den som har en direkt anknytning till utfärdaren, genom exempelvis anställning. Id-kortet innehåller bland annat uppgifter om innehavarens namn, personnum-

98SOU 2019:14 Ett säkert statlig ID-kort med e-legitimation, s. 109. 99SOU 2019:14 Ett säkert statlig ID-kort med e-legitimation, s. 116. 100 SOU 2019 :14 Ett säkert statlig ID-kort med e-legitimation, s. 123.

mer eller liknande, namnteckning, fotografi och eventuellt nationalitet samt uppgifter om id-kortets nummer, giltighetstid, certifieringsorgan och utfärdare. Utländska medborgare som stadigvarande vistas i Sverige kan få id-kort om personnummer saknas.101 Sökanden ska då uppge sitt samordningsnummer eller födelsedatum.102

Andra handlingar kan användas som identitetshandlingar, till exempel LMA-kort som utfärdas av Migrationsverket och regleras i Migrationsverkets föreskrifter (MIGRFS 2015:8) om tillfälligt LMA-kort för utlänning i Sverige och dokument som intygar att innehavaren är asylsökande. Det är inte ett identitetskort utan ett bevis på att innehavaren är asylsökande och får vara i Sverige i avvaktan på beslut.103LMA-kortet godtas dock som identitetsbevis till exempel i kontakter med hälso- och sjukvård och apotek.104 Migrationsverket utfärdar även vissa resehandlingar, till exempel främlingspass.

Utländska medborgare som inte har ett svenskt personnummer kan ha svårt att få ett giltigt id-kort i Sverige, även om det finns möjlighet att i vissa fall få exempelvis SIS-märkta id-kort eller körkort. Svenskar i världen har också lyft till utredningen svårigheter kring ”vilande personnummer” för personer som är bosatta utomlands.

Europeiska rådet har samlat olika länders identitets- och resehandlingar i ett register som finns tillgängligt på nätet benämnt Pub-

lic Register of Authentic identity and travel Documents Online, även

kallat Prado.105 Där finns även information om handlingarna.106Registret ger möjlighet att se exempel på rese- och identitetshandlingar utfärdade i olika länder. Svenska handlingar som finns med är bland annat svenska pass och nationellt identitetskort.

Unik identifierare och svensk identitetshandling för Sverige

Enligt lagen om nationell läkemedelslista kan ett e-recept registreras med personnummer eller samordningsnummer. Dessa uppgifter kan alltså kopplas till ett svenskt e-recept. Av 3 kap. 6 § PDL framgår att en patientjournal, om uppgifterna finns tillgänglig, alltid ska inne-

101SOU 2019:14, s. 125. 102SOU 2019:14, s. 126. 103SOU 2019:14, s. 127. 104 Migrationsverket. LMA-kort för asylsökande. URL: www.migrationsverket.se/Privatpersoner/Skydd-och-asyl-i-Sverige/Medan-duvantar/ LMAkort.html. Hämtad 2023-02-25. 105 Council of the European Union – PRADO – Home (europa.eu). Hämtad 2021-08-23. 106 www.consilium.europa.eu/prado/en/prado-faq/prado-best-use.pdf. Hämtad 2021-08-23.

hålla uppgift om patientens identitet. Av Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSFL-FS 2016:40) framgår i 5 kap. 4 § att vårdgivaren ska säkerställa att det är möjligt att föra patientjournal om en patients identitet inte kan fastställas, en patient saknar svenskt personnummer, eller en patient har skyddade personuppgifter. Inom hälso- och sjukvården är det vanligt att det för patienter med samordningsnummer anges ett reservnummer för registrering av besök eller annan kontakt med sjukvården. 107 Det finns ingen nationell källa till reservnummer utan de är systemspecifika. Det kan innebära att samma reservnummer kan tilldelas fler än en patient och är därmed inte unikt för en individ.108 Reservnumret tycks såvitt utredningen förstår det även vara bundet till varje region och inte kunna användas i någon annan region.109 Mot den bakgrunden anför utredningen att det förefaller svårt att koppla ihop uppgifter som dokumenterats i samband med hälso- och sjukvård under ett reservnummer med ett samordningsnummer. Liknande slutsatser drogs av Folkhälsomyndigheten i samband med arbetet med covidbevis då vaccinationer registrerades på ett reservnummer i stället för personens samordningsnummer. För att säkerställa att vaccinationerna registrerades på rätt individ klargjorde Folkhälsomyndigheten i en skrivelse att registreringar som gjorts på reservnummer behöver rättas till samordningsnumret.110

Samordningsnumret framgår sällan av någon svensk legitimationshandling, förutom för till exempel SIS id-kort och körkort i vissa fall. Dessa id-kort anses inte lika gångbara i annat land som pass eller nationellt identitetskort. Pass och det nationella identitetskortet kan användas vid resa, samt innehåller uppgift om både unik personlig identifierare som personnummer och foto på innehavaren. De finns också beskrivna i Prado, Europeiska Rådets offentliga register över äkta identitets- och resehandlingar online, vilket Skatteverkets identitetskort för folkbokförda i Sverige ännu inte är som annars skulle

107 Se till exempel: Region Stockholm. Vårdgivarguiden. Region Stockholm. URL: Samordningsnummer | Vårdgivarguiden (vardgivarguiden.se). Hämtad 2023-02-25. 108 E-hälsomyndigheten. (2021). Förstudie avseende framtagning av ett system för manuellt utfärdande av covidbevis (S2021/06048). Dnr 2021/03812. s. 21. 109 Se exempelvis ref 104 eller Region Blekinge. Rutin för vaccinationsregistrering på personer som saknar svenskt personnummer 1.1. UR L: Rutin för vaccinationsregistrering på personer som saknar svenskt personnummer 1.1.pdf (regionblekinge.se). Hämtad 2023-02-25. 110 Folkhälsomyndigheten (2021). Förtydligande gällande rapportering av vaccinationer mot covid-19 till det nationella vaccinationsregistret.

kunna övervägas som lämplig identitetshandling. Det bör vara sådana förutsättningar som beaktas när det avgörs vilka identitetshandlingar som ska krävas i tjänsten patientöversikt inom EES. Om e-identifiering kommer att kunna accepteras i tjänsten framöver för patienter får liknande överväganden göras.

Enligt utredningen synes det mest lämpligt att använda personnummer som unik identifierare för patient som är försäkrad i Sverige. Detta mot bakgrunden att vårdinsatser för personer utan personnummer registreras på reservnummer som inte är unika för en individ eller används nationellt. Det saknas även identitetshandlingar för personer utan svenskt personnummer som med tillräcklig säkerhet kan användas för att korrekt identifiera patient och knyta identiteten till uppgifter om dess hälsa och vård som finns dokumenterade i patientjournalen. Mot denna bakgrund föreslår utredningen att personnummer bör användas som unik identifierare för patienter försäkrade i Sverige i samband med tjänsten patientöversikt inom EES. Utredningen konstaterar att det innebär att individer som saknar personnummer inte kan nyttja tjänsten med Sverige som land A och alltså inte dela de uppgifter för patientöversikten aktuella uppgifter om hälsa och vård som dokumenterats av svenska vårdgivare till ett annat EES-land. Härrör de från ett EES-land kan de emellertid nyttja tjänsten som land B och därmed ge svenska vårdgivare tillgång till uppgifter från det land de är försäkrade i.

Pass och nationell identitetshandling är enligt utredningens bedömning de identitetshandlingar som i nuläget bör användas för att identifiera patienter som är försäkrade i Sverige.

12.6. Elektroniskt utlämnande genom medium för automatiserad behandling

Utredningens bedömning: Den utländska kontaktpunkten för

e-hälsa och hälso- och sjukvårdspersonalen hos en utländsk vårdgivare inom EES har inte direktåtkomst till uppgifter i svenska patientjournaler.

I utredningens delbetänkande avsnitt 8.2.7 presenteras överväganden om och slutsatser avseende direktåtkomst i tjänsten e-recept inom EES. Utredningen gör samma bedömning för tjänsten patient-

översikt inom EES. Nedanstående resonemang överensstämmer i stort med det som återfinns i delbetänkandets avsnitt 8.2.7.

Elektroniska former för att lämna ut personuppgifter

Personuppgifter kan elektroniskt lämnas ut på olika sätt, tillexempel genom e-post, filöverföring från ett datorsystem till ett annat eller genom att någon har direkt tillgång till uppgifterna. Oavsett form för att lämna ut personuppgifter utgör det en behandling av personuppgifter enligt dataskyddsförordningens mening. Det innebär att skyddet för fysiska personer ska vara detsamma, oberoende av vilken teknik som används och den personuppgiftsansvarige har att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa detta.

Elektroniskt utlämnande av personuppgifter från en myndighet kan ske i form av direktåtkomst eller medium för automatiserad behandling och det saknas legaldefinition för begreppen. Anledningen till att reglera formen för att lämna ut personuppgifter är att den elektroniska formen kan medföra risker för otillbörliga integritetsintrång.

Direktåtkomst

En allmän uppfattning är att direktåtkomst föreligger om den som använder registret på egen hand kan söka i det och få svar på frågor, dock utan att själv kunna bearbeta eller på annat sätt påverka innehållet och att uppgifterna i registret lämnas ut utan att den ansvarige myndigheten i det enskilda fallet har kontroll över vilka uppgifter som lämnas ut.111 I förarbetena till lagen om nationell läkemedelslista anges att med direktåtkomst avses att någon själv kan söka och hämta hem uppgifter utan att kunna påverka innehållet.112

Vid direktåtkomst anses de uppgifter som omfattas av åtkomsten och som finns potentiellt tillgängliga för andra vara utlämnade i tryckfrihetsförordningens mening redan när tillgång medges till uppgifterna.113 Någon sekretessprövning i det enskilda fallet görs således inte innan uppgifterna lämnas ut. Bestämmelser om direktåtkomst har inte i sig en sekretessbrytande effekt, utan måste kombineras med

111 Se prop. 2002/03:135, s. 88, prop. 2011/12:45, s. 133 och prop. 2014/15:63, s. 95. 112Prop. 2017/18:223, s. 234. 113Prop. 2007/08:126, s. 120 ff.

särskilda sekretessbrytande bestämmelser för det fall att uppgifterna omfattas av sekretess.

Utlämnande på medium för automatiserad behandling

Ett elektroniskt utlämnande som inte sker genom direktåtkomst anses i princip göras genom medium för automatiserad behandling. Med begreppet utlämnande på medium för automatiserad behandling avses vanligen ett överlämnande av elektroniskt lagrade uppgifter via något slags medium för lagring eller överföring till exempel mellan två myndigheters datasystem. Sådant utlämnande innebär att den utlämnande myndigheten i varje enskilt fall tar ställning till om och vilka uppgifter som kan lämnas ut. En eventuell sekretessprövning kan därmed ske i samband med utlämnandet i det enskilda fallet.114 Den tekniska utvecklingen har lett till att skillnaderna mellan direktåtkomst och annat uppgiftslämnande på automatiserad väg blivit så små att det kan vara svårt att dra en gräns.

Denna gränsdragning har belysts av Högsta förvaltningsdomstolen i det så kallade LEFI Online-målet (HFD 2015 ref. 61). Försäkringskassan hade gett handläggare hos socialnämnder tillgång till uppgifter ur Försäkringskassans databas LEFI Online. Informationsutbytet skedde genom en fråga-svarsfunktion. Frågan i målet var om socialnämndernas åtkomst till uppgifterna var att anse som direktåtkomst i socialförsäkringsbalkens mening, vilket i sådana fall ställde krav på vissa begränsningar när det gällde vilka uppgifter handläggarna fick ta del av, eller om det i stället var fråga om utlämnande på medium för automatiserad behandling. Högsta förvaltningsdomstolen tog utgångspunkt i tryckfrihetsförordningens (TF) bestämmelser om allmänna handlingar. Av den tidigare lydelsen av 2 kap. 3 § andra stycket TF (nu 2 kap. 6 § första stycket TF) framgår att en upptagning anses förvarad hos myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller uppfattas på annat sätt. De allmänna handlingar hos en myndighet som en annan myndighet får tillgång till genom direktåtkomst utgör allmänna handlingar även hos denna myndighet.115 Domstolen ansåg att den av-

114Prop. 2011/12:45, s. 132. 115Prop. 2002/03:135, s. 90.

gränsning som på detta sätt görs av begreppet direktåtkomst även kunde användas för att bestämma innehållet i begreppet direktåtkomst enligt socialförsäkringsbalkens mening. Domstolen ansåg alltså att avgörande var om upptagningen kunde anses förvarad hos socialnämnderna i TF:s mening. Högsta förvaltningsdomstolen ansåg att socialnämnderna inte på egen hand kunde söka information i databasen utan ett utlämnande genom LEFI Online förutsatte att Försäkringskassan reagerade på en begäran om att de efterfrågade uppgifterna skulle lämnas ut. Försäkringskassan ansågs därmed enligt domstolen förfoga över frågan om och i så fall vilka uppgifter som skulle lämnas ut. Någon sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket TF kan socialnämnderna inte anses ha, vilket medförde att förfarandet inte var att betrakta som direktåtkomst.

Vägledning från eSam

Med utgångspunkt i Informationshanteringsutredningens slutbetänkande Myndighetsdatalag, SOU 2015:39, och Högsta förvaltningsdomstolens dom i LEFI Online-målet har eSamverkansprogrammet (eSam) tagit fram en vägledning för elektroniskt informationsutbyte.116I vägledningen ställer eSam upp vissa byggstenar som bör ingå i en tjänst för automatiserat informationsutbyte för att det ska anses utgöra utlämnande på medium för automatiserad behandling, och inte direktåtkomst. Enligt eSam kan de led som aktualiseras i en tjänst för automatiserat informationsutbyte som inte avses utgöra direktåtkomst beskrivas så att det behöver finnas

  • en legitimeringsdel där den utlämnande myndigheten gör en autentisering och behörighetskontroll,
  • en hanteringsdel där kontroller görs av att begäran är utformad på ett korrekt sätt och där uppgifterna samlas in, samt
  • en prövningsdel där myndigheten avgör om de begärda uppgifterna kan lämnas ut.

För eSams modell krävs följande grundförutsättningar. Systemet måste vara en fråga-svarstjänst som myndigheten själv förfogar över

116 eSam (2016). Elektroniskt informationsutbyte-en vägledning för utlämnande i elektronisk form.

och till vilken en myndighet kan skicka en begäran elektroniskt. Det ska på förhand vara bestämt vilka frågor som ska kunna ställas till tjänsten och vilka uppgifter som ska kunna lämnas ut till följd av en viss begäran. Uppgifterna ska dessutom ha avgränsats så att det går att genomföra en automatiserad prövning. Den utlämnande myndighetens förfoganderätt omfattar dels beslut om att ta tjänsten i drift och eventuella beslut om att ändra i tjänsten, dels de kontroller och prövningar som automatiserat ska göras av varje enskild begäran om uppgifter och som mottagande myndighet inte ska kunna styra eller kringgå.

Enligt eSam framgår det inte av LEFI Online-målet hur de olika byggstenarna ska utformas rent tekniskt. Det anges endast att ett utlämnande genom tjänsten förutsätter att myndigheten reagerar på en begäran om de efterfrågade uppgifterna innan något lämnas ut, och att myndigheten därigenom får anses förfoga över frågan om och i så fall vilka uppgifter som ska lämnas ut.

Utredningens bedömning

Som E-hälsomyndigheten skriver i sin rapport117 avser Högsta förvaltningsdomstolens dom förhållandet att både utlämnande och mottagande part är svenska myndigheter. Betydelsen av mottagarens organisationsform och därmed tillämpligheten av bestämmelserna i TF har inte diskuterats i förarbetena till den nationella läkemedelslistan. Regeringen uttalade i förarbetena till den nationella läkemedelslistan att Högsta förvaltningsdomstolens dom kan tolkas så att den tekniska utformningen av en myndighets system för utlämnande av uppgifter kan bli avgörande för om utlämnandet ska anses som direktåtkomst eller annat utlämnande på medium för automatiserad behandling.118Vidare ansåg regeringen att den föreslagna lagen om nationell läkemedelslista bör vara så teknikneutral och så flexibel som möjligt så att den inte behöver förändras i takt med den tekniska utvecklingen eller till följd av förändringar av myndighetens behov av att behandla personuppgifter. Regeringen ansåg därför att lagen om nationell läkemedelslista bör innehålla bestämmelser om direktåtkomst för det fall att den tekniska lösningen för den nationella läkemedelslistan skulle

117 E-hälsomyndighetens rapport, Reglering av personuppgiftsbehandling (S2018/04035/FS). 118Prop. 2017/18:223, s. 143.

komma att utformas på ett sådant sätt att det är att ses som direktåtkomst.119

I likhet med förarbetsuttalandena till lagen om nationell läkemedelslista är det enligt utredningens bedömning rimligt att tolka begreppet direktåtkomst utifrån den tekniska lösningen, oberoende av mottagarens organisationsform eller nationalitet. Som E-hälsomyndigheten skriver i sin rapport kan det inte uteslutas att det haft betydelse för utgången i målet att mottagarna var svenska myndigheter. Datainspektionen (numera Integritetsskyddsmyndigheten) har påpekat att Högsta förvaltningsdomstolen endast tagit ställning till frågan om direktåtkomst utifrån de speciella förutsättningar som förelåg i det aktuella målet.120

Utredningen anser att begreppet direktåtkomst bör tolkas utifrån den tekniska lösningen och därmed att en jämförelse med Högsta förvaltningsdomstolens uttalanden i domen bör kunna göras i förhållandet till tjänsten patientöversikt inom EES.

Tjänsten e-recept över landsgränser och eSams krav

I kapitel 8 redogör utredningen för hur informationsöverföringen i tjänsten patientöversikter inom EES kommer att fungera. Informationsöverföringen är uppbyggd som en fråga-svarstjänst där överföringen av information endast sker mellan de nationella kontaktpunkterna för e-hälsa. De frågor och svar som skickas i tjänsten är fördefinierade och är gemensamma för samtliga nationella kontaktpunkter för e-hälsa som är anslutna till systemet. Frågorna kan endast ställas i en särskild ordning och om inte frågan ställs på rätt sätt kommer ett felmeddelande att returneras till den begärande nationella kontaktpunkten. Varje enskild fråga som ställs till den nationella kontaktpunkten hanteras och prövas separat och beaktar inte tidigare ställda frågor eller kontrollerade behörigheter. Varje fråga betraktas som en unik begäran.

Vilken information som lämnas ut är avgränsad till specifika uppgifter i enlighet med det regelverk som framtagits av Nätverket för e-hälsa. Den utländska kontaktpunkten för e-hälsa kan inte få ytterligare uppgifter utöver de som fastställts av nätverket. En automa-

119Prop. 2017/18:223, s. 144. 120 Datainspektionens yttrande 2017-03-17 i dnr 253-2017.

tiserad prövning i varje enskilt fall görs innan uppgifterna lämnas ut. E-hälsomyndigheten har som nationell kontaktpunkt för e-hälsa kontroll över vilken information som tillgängliggörs för den utländska nationella kontaktpunkten för e-hälsa och när informationen blir känd för den.

Vad gäller vårdgivare i ett annat EES-land som önskar ta del av en patientöversikt från Sverige så loggar hälso- och sjukvårdspersonalen in i systemet mot den utländska kontaktpunkten för e-hälsa genom så kallad tvåfaktorsautentisering. Sedan kontaktar den utländska nationella kontaktpunkten E-hälsomyndigheten som i sin tur hämtar och översätter de efterfrågade uppgifterna från de svenska vårdgivarnas informationssystem. Den utländska kontaktpunkten för e-hälsa får inte tillgång till något annat än den efterfrågade informationen för vidarebefordran till vårdgivaren i utlandet. Vårdgivaren får i sin tur bara tillgång till den efterfrågade informationen och har ingen möjlighet att själv kunna söka fritt i svenska vårdgivares informationssystem eller att direkt logga in mot E-hälsomyndigheten.

Även om skillnaderna mellan direktåtkomst och utlämnande på medium för automatiserad behandling är små och gränsdragningen svår anser utredningen att åtkomsten till uppgifter om en patients hälsa och vård i svenska vårdgivares informationssystem bör kunna betraktas som ett utlämnande på medium för automatiserad behandling. E-hälsomyndigheten har vid en jämförelse med de kriterier som eSam ställer upp, kommit fram till att tjänsten tekniskt sett uppfyller de byggstenar som krävs för att utlämnandet ska kunna betraktas som ett sådant utlämnande. E-hälsomyndighetens jämförelse utgick från ett verksamhetsmässigt perspektiv, och inte ett juridiskt perspektiv. I den slutliga rapporten anförde dock E-hälsomyndigheten att oavsett hur utländsk apotekspersonals åtkomst ska betraktas var myndighetens uppfattning att en bestämmelse om direktåtkomst bör införas.121

Sammanfattande bedömning

Den information som överförs mellan de nationella kontaktpunkterna för e-hälsa har av Nätverket för e-hälsa bedömts tillräcklig för att åstadkomma en patientsäkert utbyte av patientöversikter.

121 E-hälsomyndigheten, Reglering av personuppgiftsbehandling (S2018/04035/ FS), s. 60 f.

Utredningen är därför av den uppfattningen att vårdgivares behov av information över landsgränser tillgodoses lika bra utan möjligheten till direktåtkomst.

Utredningen finner det heller inte motiverat att ta höjd för direktåtkomst för utländska vårdgivare till uppgifter i svenska vårdgivares informationssystem på samma sätt som regeringen gjort vad gäller vårdgivare och omsorgsgivare i Sverige genom regleringen i lagen om sammanhållen vård- och omsorgsdokumentation. Utredningen anser inte att det, på samma sätt som för utbyte av uppgifter mellan svenska vårdgivare och omsorgsgivare, finns skäl att ha en reglering av utländsk hälso- och sjukvårdspersonals direktåtkomst för att lagen ska vara teknikneutral och flexibel så att en teknisk lösning som innebär direktåtkomst ska kunna användas. Främsta skälet för detta är dels att tjänsten som den är utformad i dag enligt utredningens bedömning inte uppfyller förutsättningarna för direktåtkomst, dels att det inte heller är önskvärt att ha en sådan lösning. En sådan utveckling framstår heller inte som sannolik. Sverige deltar aktivt i arbetet med att utforma tjänsten och kan bevaka utvecklingen. Till skillnad från när en svensk vårdgivare får tillgång till uppgifter från en annan svensk vårdgivare kommer informationsöverföringen att gå via de nationella kontaktpunkterna för e-hälsa som väljer vilka uppgifter som ska skickas och översätter dem till engelska, mottagande kontaktpunkt för e-hälsa översätter sedan till sitt språk. Den utländska vårdgivaren har inte någon tillgång till den svenska vårdgivarens vårdinformationssystem. Utlämnandet bör i stället anses göras till de nationella kontaktpunkterna för e-hälsa.

Sammanfattningsvis anser utredningen att mycket talar för att varken åtkomsten för vårdgivare eller den utländska kontaktpunkten för e-hälsa är att betrakta som direktåtkomst. Utredningen anser därför att det inte bör införas någon bestämmelse om direktåtkomst för utländska vårdgivare eller för utländska kontaktpunkter för e-hälsa till uppgifter i svenska vårdgivares informationssystem.

12.7. Samverkan mellan regioner, kommuner och staten

Utredningens bedömning: För att möta nationella och interna-

tionella mål och krav finns det behov av statlig, regional och lokal infrastruktur inom hälso- och sjukvården. Utredningen anför att utvecklingen av infrastruktur inom hälso- och sjukvården och omsorgen bör utgå från en gemensam behovsbild och prioritering och ser därför att en tillitsfull och handlingskraftig samverkan mellan regioner, kommuner och staten är central. Samverkan behöver vara sektorsspecifik men nära knuten till den utveckling som pågår inom Ena. Utredningens ser att det kan finnas behov av att förändra eller komplettera befintliga former av samverkan för att erhålla gemensam styrkraft framåt. E-hälsomyndigheten, i egenskap av för statens räkning ansvarig för samordningskansliet för arbetet med Vision e-hälsa som drivs tillsammans med SKR, samt i egenskap av representant för sektorn Hälsa, vård och omsorg inom Ena, kan enligt utredningen vara en lämplig aktör för att närmare utreda hur en sådan sektorspecifik samverkan bör sättas upp och bedrivas.

Staten, regioner och kommuner samverkar i dag i frågor som rör e-hälsa i flera forum, till exempel Vision e-hälsa 2025, Life Science strategin och eSam. Arbete pågår även inom Partnerskapet för kunskapsstyrning genom den Nationella samverkansgruppen strukturerad vårdinformation.122 Inom ramen för Vision e-hälsa 2025 har staten, regionerna och kommunerna formulerat det gemensamma målet om att bli bäst i världen på att använda digitaliseringens och e-hälsans möjligheter till att underlätta för människor att uppnå en god och jämlik hälsa och välfärd samt utveckla och stärka egna resurser för utökad självständighet och delaktighet i samhällslivet till år 2025. Utredningen föreslår i avsnitt 15.1.7 och 15.2.4 att det ska vara obligatoriskt för vårdgivare att tillgängliggöra utvald information om patientens hälsa och vård i en patientöversikt motiverat med de patientsäkerhetsfördelar och effektivitetsvinster som det kan medföra. Vidare anför utredningen att det är patientens rättighet att kunna ge

122 SKR. Nationell samverkansgrupp strukturerad vårdinformation. URL: NSG strukturerad vårdinformation | Kunskapsstyrning vård | SKR (kunskapsstyrningvard.se). Hämtad 2023-02-26.

alla vårdgivare den önskar tillgång till information om dess hälsa och vård som finns i patientjournalen. Vårdgivares tillgång till aktuella uppgifter om patientens hälsa och vård är också centralt för att vården som ges blir patientsäker, god och jämlik. Regeringen har ett ansvar för att målen om en god och jämlik vård nås. Utredningen anför att en digital infrastruktur för säkert informationsutbyte inom hälso- och sjukvården är en kritisk del av dagens hälso- och sjukvård och viktig. Mot den bakgrunden föreslår utredningen att staten ska säkerställa att det finns tjänster och infrastruktur för att tillgängliggöra uppgifter om patientens hälsa- och vård, bland annat i en patientöversikt, från alla vårdgivare för utbyte såväl landsgränser som organisations- och regiongränser samt att staten behöver styrkraft över dessa för att säkerställa att den kan bidra till att nationella och internationella mål nås i tid. Utredningens anför att det behövs såväl statlig styrning som infrastruktur för att realisera styrningen liksom regional och lokal styrning och infrastruktur för att ta omhand såväl lokala behov och mål som nationella behov och krav. Det pågår mycket på området delning av hälsodata, inte minst på EU-nivå genom framför allt förordningen om EHDS men även dataförvaltningsakten och förslaget till dataförordning (dataakten). Det innebär att de nationella målen kommer kompletteras av internationella mål och krav som ökar takten i utvecklingen av infrastruktur för att möjliggöra utbyte av hälsodata för såväl primär användning inom hälso- och sjukvård som sekundär användning för bland annat forskning och innovation. Genom EU tillskrivs vissa delar av ansvaret och genomförandet särskilt myndigheter vilket stärker bilden av att nationell infrastruktur behöver tillhanda hållas av myndigheter. Därmed ser utredningen att det kommer ske en förflyttning i hur Sverige avseende hur infrastruktur tillhandahålls, styrs och utvecklas. I detta skifte gör utredningen bedömningen att utvecklingen av infrastruktur behöver utgå från en gemensam behovsbild och prioritering och ser därför att en tillitsfull och handlingskraftig samverkan mellan regioner, kommuner och staten är central.

Överväganden avseende samverkan inom Vision e-hälsa och Ena

Utredningen ser två samverkansformer med särskilt stor bäring på utvecklingen av infrastruktur för informationsutbyte inom hälso- och sjukvården, Vision e-hälsa och Ena.

Statskontoret granskade nyligen samverkan inom Vision e-hälsa 2025.123 I rapporten konstatera de bland annat:

Regeringens och SKR:s samverkan har förbättrats över tid, men är fortfarande inte tillräckligt effektiv för att nå målen i visionen. Det gemensamma arbetet har hittills gett få tydliga resultat i form av exempelvis en mer samordnad digitalisering inom vård- och omsorgssektorn. Vård- och omsorgssektorns huvudmän har heller inte fått påtagligt bättre förutsättningar att dra nytta av digitaliseringens möjligheter. Graden av digitalisering, utvecklingstakten och valet av insatser varierar mellan regioner och mellan kommuner. Digitaliseringen av socialtjänsten och den kommunala hälso- och sjukvården har också varit lägre prioriterad i parternas samverkan än den regionala hälso- och sjukvården, trots att kommunerna har större utmaningar.

De konstaterar vidare att samverkansorganisationen inte anpassat sitt arbete till de förutsättningar som förvaltningsmodellen ger där samverkansorganisationen inte kan fatta beslut som rör myndigheters och huvudmännens verksamhet. Konsekvensen av det är att de insatser som inom Vision e-hälsa pekats ut som nationellt prioriterade inte nödvändigtvis blir prioriterade av kommuner, regioner eller myndigheter. Statskontoret anser att parterna bör fokusera sitt arbete på grundläggande förutsättningar som bör finnas för att digitaliseringen inom hälso- och sjukvården och socialtjänsten ska kunna öka och bli mer samordnad. Vidare anförs att staten, kommuner och regioner kommer behöva avsätta medel för det konkreta arbetet med e-hälsa och lyfter att staten redan i dag i särskilda överenskommelser med SKR ger statsbidrag för investering för att digitalisera verksamheten men att styrkraften i överenskommelserna inte är tillräcklig för att samordna digitaliseringen i regioner och kommuner. De konstaterar vidare att samverkan har överlåtits till SKR men SKR har inte mandat att styra regioner och kommuner. Flera förslag för förbättrad samverkan ges, bland annat föreslår de att samverkansorganisationens roll i första hand ska vara att lämna förslag till politiska beslut som bidrar till att det nationella e-hälsoarbetet blir effektivare och flera förslag på hur organisationen kan effektiviseras och uppdrag och an-

123 Statskontoret (2021). Vision e-hälsa – ett försök att styra genom samverkan.

svarsfördelning förtydligas. Samverkan förslås prioritera arbete med att förbättra regelverk och verka för gemensamma standarder och begrepp. Som ett stöd i arbetet med visionen finns ett samordningskansli som E-hälsomyndigheten, på uppdrag av regeringen, bemannar tillsammans med SKR. Parterna förslås förstärka samordningskansliet i omfattning och med en person som normalt arbetar i Regeringskansliet. Regeringen förslås även se till att de statsbidrag som riktar sig till e-hälsoarbetet bidrar till en samordnad digitalisering.

Ett annat exempel på bred samverkan kring infrastrukturfrågor är arbetet med Sveriges digitala infrastruktur, Ena. Inom ramen för Ena har en styrmodell utvecklats som är ett system av olika roller med olika ansvar för de olika delarna. Styrmodellen togs fram för att visualisera de ansvarsområden och roller som ingår i styrningen av infrastrukturen. Infrastrukturansvariga leder det strategiska arbetet i samråd och samverkan med andra aktörer. Olika kompetensområden samlar expertkunskaper som stödjer arbetet med att utveckla infrastrukturens beståndsdelar. Myndigheten för digital förvaltning (Digg) är den myndighet som har det övergripande ansvaret för infrastrukturen. Infrastrukturansvarig beslutar om styrande dokument, initierar utforskande utveckling, kvalificerar och prioriterar behov samt föreslår byggblocks- och grunddatadomänansvariga myndigheter till Regeringen. Digg ansvarar även för det nationella ramverket för grunddata samt leder arbetet i samordningsforumen. Det finns även ett kompetensområde som byggs upp av resurser från en eller flera organisationer i syfte att ge stöd och agera bollplank inom områden som informationssäkerhet, arkitektur, juridik eller grunddata. Den organisation som är utpekad ansvarig för ett kompetensområde har ett viktigt uppdrag att utforma styrning, omvärldsbevaka och ge rekommendationer som berör infrastrukturen. Samverkan sker på olika nivåer såväl inom som utanför infrastrukturen i syfte att skapa brett engagemang bland myndigheter, kommuner och regioner samt i vissa fall även privata aktörer.

Utveckling och förvaltning av infrastrukturen fokuserar på tre områden: byggblocken, grunddatadomänerna samt styrningen. Viktiga roller är byggblocksansvarig (myndighet som utvecklar och förvaltar ett tilldelat byggblock och ansvarar för att styra, samverka och organisera arbetet inom byggblocket), grunddatadomänansvarig (myndighet som utvecklar och förvaltar en tilldelad grunddatadomän, ansvarar för att styra, samverka och organisera arbetet samt att

tillgängliggöra och tillhandahålla grunddatadomänens nationella grunddata) samt grunddataproducent (aktör som tillgängliggör och tillhandahåller nationella grunddata genom en eller flera grunddatadomäner och ansvarar för att delta i samverkan, utveckling och förvaltning).124Etableringen av den förvaltningsgemensamma digitala infrastrukturen är en del av Sveriges återhämtningsplan för att mildra effekterna av covid-19-pandemin och stärka den digitala omställningen. Satsningen finansieras av Europeiska unionens stimulanspaket Next Generation EU. I satsningen på förvaltningsgemensam digital infrastruktur har DIGG fått medel att fördela inom ramen för anslag 2:7 Digital förvaltning. Beslut om tilldelning av medel sker löpande till de myndigheter som ansvarar för respektive byggblock, grunddatadomän eller kompetensområde.125 Digg konstaterar i slutrapporten för regeringsuppdraget om att etablera en förvaltningsgemensam digital infrastruktur för informationsutbyte att arbetet pågår och att det finns ett stort intresse för offentlig sektor att nyttja framtagna komponenter. För att möta behoven kravs dock en långsiktighet och gemensamt rättsligt stöd för att utföra arbetet med en finansiering som motsvarar behoven övertid vilket myndigheten uppger inte finns på plats i dag.126 E-hälsomyndigheten är representant för sektorn Hälsa, vård och omsorg och ansvarig myndighet för samarbetet inom Ena. Ett pågående arbete inom ramen för Ena är att utveckla en grunddatadomän för hälsa, vård och omsorg.,127

Utredningen anser att utvecklingen av infrastruktur inom hälso- och sjukvården och omsorgen bör utgå från en gemensam behovsbild och prioritering och ser därför att en tillitsfull och handlingskraftig samverkan mellan regioner, kommuner och staten är central. Vidare anser utredningen att det kan finnas behov av att förändra eller komplettera befintliga former av samverkan för att erhålla gemensam styrkraft framåt. Utredningen anför att det finns fördelar med och styrkor i att på ett tydligare sätt sammankoppla den samverkan som bedrivs inom ramen för Vision e-hälsa med den samverkan och det

124 Digg. Ena-Sveriges digitala infrastruktur, struktur för styrning. UR L: Struktur för styrning | Digg. Uppdaterad 2022-06-09. Hämtad 2023-02-26. 125 Digg. Ansvar och finansiering. UR L: Ansvar och finansiering | Dig g . Uppdaterad 2023-02-07. Hämtad 2023-02-26. 126 Digg (2023). Uppdrag att fortsatt etablera en förvaltningsgemensam digital infrastruktur för informationsutbyte. Dnr I2022/00102, s. 1. 127 E-hälsomyndigheten. Framsteg i arbetet med Ena – Sveriges digitala infrastruktur. URL: Framsteg i arbetet med Ena – Sveriges digitala infrastruktur • E-hälsomyndigheten (ehalsomyndigheten.se). Uppdaterad 2023-01-23.

arbete som bedrivs inom ramen för Ena. E-hälsomyndigheten är enligt utredningens bedömning i egenskap av för statens räkning ansvarig för det samordningskansli för arbetet med Vision e-hälsa som drivs tillsammans med SKR, samt i egenskap representant för sektorn Hälsa, vård och omsorg inom Ena, en lämplig aktör för att närmare utreda hur en sådan samverkan bör sättas upp och bedrivas.

12.8. Information till patient samt hälso- och sjukvårdspersonal

Utredningens bedömning: Tillräcklig och tillgänglig informa-

tion om Patientöversikt inom EES kommer att vara viktiga åtgärder för en effektiv och patientsäker process och att tjänsten används.

I avsnitt 5.2.4 i delbetänkandet beskriver utredningen patientens ansvar för sin läkemedelsbehandling vid resa. I dag behöver patienten sannolikt planera för att ta med ett pappersrecept till ett annat EESland. I Sverige kan förskrivaren känna till att patienten avser att hämta ut receptet i ett annat land, när pappersrecept för EES utfärdas bland annat för att gängse benämningen endast ska anges i dessa fall. Syftet med att ange gängse benämning är dock att läkemedlet enklare ska kunna identifieras i land B, inte för att förskrivaren ska ”godkänna” att patienten får använda receptet i ett annat EES-land.128

Även i fallet avseende oplanerad eller planerad hälso- och sjukvård i ett annat EES-land behöver individen ta visst ansvar inför sin resa genom att beställa ett EU-kort. EU-kortet ger individen rätt till sjuk- och tandvård när den befinner sig i ett EU/EES-land, Schweiz eller Storbritannien. EU-kortet gäller bara för sjuk- och tandvård som inte kan vänta tills individen kommer tillbaka till Sverige och som ges hos vårdgivare som är anslutna till det allmänna sjukvårdssystemet i landet.129

Att patient och hälso- och sjukvårdspersonal hos vårdgivare har kännedom om tjänsten är centralt för att den ska användas och där-

128 Jfr skäl 53 till patentrörlighetsdirektivet. 129 Försäkringskassan. Vad är EU-kortet. UR L: Resa utomlands - Försäkringskassan (forsakringskassan.se). Hämtat 2023-02-26.

med ge avsett nytta i form av framför allt högre patientsäkerhet och bättre förutsättningar för god och resurseffektiv vård.

Patienten kan behöva känna till förutsättningarna för sådan vård och att det kan finnas vissa skillnader jämfört med vård i hemlandet. Vidare behöver patienten förstå dess påverkan på vilken information som kan utbytas över landsgränser och hur ett samtycke kan lämnas. Utredningen ser fördelar ur integritetsskyddsperspektiv i att samtycket kan begränsas i tid och till vilket land det avses samt även beträffande vilka av de frivilliga informationsmängderna som ska kunna utbytas. Patienten behöver informeras om de förutsättningar som gäller och eventuella konsekvenser valen får på tillgänglighet till uppgifter och integritetsskydd.

Den personuppgiftsansvarige ska lämna viss bestämd information enligt artikel 13 och 14 i dataskyddsförordningen till patienten om hur patientens personuppgifter kommer att behandlas och med vilken rättslig grund m.m. Det finns en överenskommen mall för denna information kallad ”Patient Information Notification” från Nätverket för e-hälsa.

Hälso- och sjukvårdspersonalen samt vårdgivare behöver informeras om de möjligheter tjänsten erbjuder dem vid vård av patienter försäkrade i ett annat EES-land och deras patienter som är försäkrade i Sverige vid oplanerad eller planerad vård i utlandet. Vidare krävs information om när och hur samtycke inhämtas och dokumenteras. Hälso- och sjukvårdspersonal och vårdgivare behöver även tillgång till information från bland annat E-hälsomyndigheten som kontaktpunkt för e-hälsa och som den som tillhandahåller den digitala tjänsten för patientöversikter inom EES (och inom Sverige) avseende hur man tar del av patientöversikterna och vilka krav som ställs för åtkomst.

Som framgår i delbetänkandets avsnitt 13.3.3 avser E-hälsomyndigheten att ta fram underlag för utbildning för expedierande personal om hur expediering ska gå till via det webbgränssnitt myndigheten tar fram. Utredningens bedömning är att motsvarande utbildning kommer behövas för vårdgivare och hälso- och sjukvårdspersonal avseende tillämpning av tjänsten patientöversikt inom EES.

E-hälsomyndigheten samt regeringen eller den myndighet regeringen anser föreslås av utredningen meddela föreskrifter. Myndigheten brukar i samband med sådana ändringar se till att information om nya föreskrifter finns.

Utredningen ser sammantaget att det kommer att finnas ett antal källor för information på nationell och europeisk nivå bland annat följande.

  • E-hälsomyndigheten (kontaktpunkt för e-hälsa och ansvarig för information enligt SDG-förordningen).
  • Försäkringskassan (kontaktpunkt utlandsvård).
  • Socialstyrelsen (kontaktpunkt för vård i Sverige för invånare från

EES).

  • Hälso- och sjukvårdspersonal.
  • MinHälsa@EU/MyHealth@EU.
  • Nätverket för e-hälsa.
  • Den gemensamma digitala ingången Ditt Europa/Your Europe.
  • Nationella kontaktpunkter i övriga EES-länder.

13. Grundläggande förutsättningar för E-hälsomyndighetens personuppgiftsbehandling m.m.

13.1. Inledning

Utredningen ska enligt uppdraget analysera behovet av att reglera den personuppgiftsbehandling som sker vid utbyte av patientöversikter. En stor mängd personuppgifter, även känsliga personuppgifter, kommer att behandlas av olika aktörer i informationsutbytet. All information i patientöversikterna kommer att förmedlas via den nationella kontaktpunkten för e-hälsa. Som Sveriges kontaktpunkt för e-hälsa kommer E-hälsomyndigheten att behandla personuppgifter i detta informationsutbyte på ett sätt som inte görs i dag.

I det här kapitlet utreds de grundläggande förutsättningarna för E-hälsomyndighetens behandling av personuppgifter i det gränsöverskridande utbytet av patientöversikter. Avslutningsvis gör utredningen särskilda överväganden kring tjänsten patientöversikter över landsgränser när det gäller patienter med skyddade personuppgifter samt när patienten är ett barn.

13.2. Rättslig grund för behandlingen

Utredningens bedömning: Den personuppgiftsbehandling som

E-hälsomyndigheten kommer att utföra vid hantering av patientöversikter är nödvändig för att fullgöra en rättslig förpliktelse som åvilar myndigheten (artikel 6.1 c i EU:s dataskyddsförordning) och för att utföra en uppgift av allmänt intresse (artikel 6.1 e i EU:s dataskyddsförordning). En nationell reglering behövs för att den rättsliga grunden ska kunna användas.

13.2.1. Regleringen i EU:s dataskyddsförordning

En förutsättning för att införa bestämmelser som ger möjlighet för E-hälsomyndigheten att behandla personuppgifter vid det gränsöverskridande informationsutbytet av patientöversikter är att dessa är förenliga med EU:s dataskyddsförordning. För att få behandla personuppgifter, oavsett om de är känsliga eller inte, krävs enligt artikel 6 i dataskyddsförordningen att det finns en rättslig grund för behandlingen. De rättsliga grunderna räknas uttömmande upp i avsnitt 3.2.5.

Möjligheten för myndigheter att behandla personuppgifter med stöd av samtycke är mycket begränsad. Ett samtycke ska enligt artikel 4.11 i dataskyddsförordningen lämnas frivilligt, vara specifikt, informerat och utgöra en otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandlingen av personuppgifter som rör honom eller henne. För att ett samtycke ska betraktas som frivilligt krävs att den registrerade har en genuin och fri valmöjlighet och utan problem kan vägra eller ta tillbaka sitt samtycke. Vidare följer att samtycke inte bör utgöra giltig grund för behandling av personuppgifter om betydande ojämlikhet råder mellan den registrerade och den personuppgiftsansvarige. Detta gäller särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som en sådan särskild situation omfattar (skäl 42 och 43 till dataskyddsförordningen). Enligt utredningens bedömning är samtycke därför inte en lämplig rättslig grund för den personuppgiftsbehandling som blir aktuell vid utbyte av patientöversikter. Däremot anser utredningen att det finns skäl att föreslå ett integritetshöjande samtycke vid utbyte av patientöversikter över landsgränser, medan särskild reglering avseende patientens inställning ska gälla för det nationella utbytet, se avsnitt 14.11.

De rättsliga grunder som i första hand blir aktuella vid hantering av patientöversikter är enligt utredningen att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse (artikel 6.1 c dataskyddsförordningen) eller för att utföra en uppgift av allmänt intresse (artikel 6.1 e dataskyddsförordningen).

Rättslig förpliktelse

Behandling av personuppgifter får enligt artikel 6.1 c i dataskyddsförordningen ske om det är nödvändigt för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Med begreppet rättslig förpliktelse borde i första hand offentligrättslig förpliktelse omfattas, enligt förarbetena till dataskyddslagen.1 I dessa förarbeten uttalas vidare följande. Det finns även i civilrättsliga författningar bestämmelser som i sig utgör eller kan medföra rättsliga skyldigheter. Rent språkligt omfattar begreppet rättslig förpliktelse även sådana skyldigheter som har lagts fast i ett avtal. Förpliktelser som följer av avtal där den registrerade själv är part utgör emellertid en separat rättslig grund för personuppgiftsbehandling enligt både artikel 7 b i dataskyddsdirektivet och artikel 6.1 b i dataskyddsförordningen. Detta talar för att de rättsliga förpliktelser som avses i led c är av ett annat slag, även om förpliktelser som följer av vissa lagreglerade avtal, till exempel försäkringsavtal av betydelse för andra än parterna eller gynnande tredjemansavtal, skulle kunna omfattas av bestämmelsen.2 Vidare konstateras i förarbetena att myndigheters uppdrag i första hand utgör en uppgift av allmänt intresse och att behandling av personuppgifter som föranleds av uppdraget därför i första hand sker med stöd av artikel 6.1 e i dataskyddsförordningen. Det kan dock även förekomma författningsreglerade förpliktelser som i sig kräver personuppgiftsbehandling, till exempel personaladministration. Vidare kan en myndighets uppdrag enligt instruktionen till myndigheten eller ett regleringsbrev i vissa fall utgöra en i enlighet med nationell rätt fastställd rättslig förpliktelse i dataskyddsförordningens mening, exempelvis om myndigheten ges i uppdrag att föra ett visst register.

Till skillnad från vad som gäller för den rättsliga grunden uppgift av allmänt intresse behöver den personuppgiftsansvarige vara skyldig att utföra arbetsuppgiften för att den rättsliga grunden rättslig förpliktelse ska vara tillämplig.

Utredningen föreslår i avsnitt 13.6 en ny bestämmelse i E-hälsomyndighetens instruktion, förordningen (2013:1031) om instruktion för E-hälsomyndigheten, som fastställer att myndigheten ska vara nationell kontaktpunkt för e-hälsa samt tillhandahålla tjänster och

1Prop. 2017/18:105, s. 53. 2Prop. 2017/18:105, s. 53 f.

infrastruktur för gränsöverskridande informationsutbyte av e-recept och patientöversikter. Vidare föreslår utredningen den nya förordningen om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter, se kapitel 14. Enligt utredningens bedömning är därför den rättsliga grunden rättslig förpliktelse enligt artikel 6.1 c i dataskyddsförordningen tillämplig vid hantering av patientöversikter.

Uppgift av allmänt intresse

Enligt artikel 6.1 e i dataskyddsförordningen får behandling av personuppgifter ske om den är nödvändig för att utföra en uppgift av allmänt intresse. Vad som menas med allmänt intresse definieras inte i dataskyddsförordningen eller i det tidigare gällande dataskyddsdirektivet. Innebörden har inte heller utvecklats av EU-domstolen. Av skäl 45 till dataskyddsförordningen följer att i vart fall hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd samt förvaltning av hälso- och sjukvårdstjänster, anses ingå i allmänintresset.

I förarbetena till dataskyddslagen anges att begreppet uppgift av allmänt intresse rent språkligt kan antas avse något som är av intresse för eller berör många människor på ett bredare plan, i motsats till ett särintresse eller ett enskilt intresse.3 Vidare konstateras i förarbetena att begreppet förekommer i motsvarande bestämmelser i dataskyddsdirektivet (artikel 7 e) och personuppgiftslagen (10 § d) och ledning kan hämtas från hur begreppet tolkats enligt dessa bestämmelser. För att myndigheternas verksamhet ska kunna fungera även i fortsättningen anger regeringen att begreppet uppgift av allmänt intresse måste ges en vid betydelse. Alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är enligt regeringens mening av allmänt intresse. Om uppgifterna inte vore av allmänt intresse skulle myndigheterna inte ha ålagts att utföra dem. Regeringen uttalar även att detta måste gälla även i dataskyddsförordningens mening, eftersom det är upp till varje medlemsland att fastställa de uppgifter som är av allmänt intresse.4

Begreppet uppgift av allmänt intresse omfattar dock inte bara sådant som utförs som en följd av ett offentligrättsligt och uttryck-

3Prop. 2017/18:105, s. 55. 4Prop. 2017/18:105, s. 55 ff.

ligt åliggande eller uppdrag. Den personuppgiftsansvarige behöver således inte vara skyldig att utföra uppgiften för att artikel 6.1 e i dataskyddsförordningen ska vara tillämplig. Den verksamhet som en statlig myndighet bedriver inom ramen för sin befogenhet är således av allmänt intresse. Det är därmed den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av myndigheter, även utanför området för myndighetsutövning. Detta utesluter dock inte att också andra rättsliga grunder samtidigt kan vara tillämpliga i vissa situationer.5 Jämför bedömningen i föregående avsnitt.

E-hälsomyndigheten har under ett antal år haft i uppdrag enligt myndighetens regleringsbrev att vara nationell kontaktpunkt för e-hälsa. Som framgår ovan har regeringen i förarbetena till dataskyddslagen gjort bedömningen att alla uppgifter som riksdag eller regeringen gett i uppdrag åt statliga myndigheter att utföra är av allmänt intresse. Att informationen i en patientöversikt kan utbytas gränsöverskridande för att möjliggöra en patientsäker vård såväl i ett annat EES-land än där vårdtagaren är hemmahörande som nationellt är viktigt för både EU och Sverige samt de enskilda medborgarna. Utöver patientsäkerhetsaspekten är sådant informationsutbyte exempelvis betydelsefullt för den fria rörligheten på den inre marknaden.

En ytterligare aspekt i sammanhanget är, som framhållits i avsnitt 12.2, att verksamheter inom hälso- och sjukvård är samhällsviktiga i den meningen att även ett kortsiktigt bortfall av dem kan hota befolkningens grundläggande behov av exempelvis akutsjukvård, primärvård och läkemedelsförsörjning. Enligt MSB är hälsodata och informationstjänster exempel på verksamhet inom området. För det mesta pågår ingen kris i samhället och vården kan då nyttja de nya digitala möjligheterna som finns för att arbeta effektivt och utveckla vårdens kvalitet. Vården är i dag i hög grad digitaliserad med många olika system som kommunicerar med varandra. Modern medicinteknisk utrustning är mer eller mindre beroende av informations- och kommunikationsteknologi och ständiga uppdateringar. I SOU 2020:23 framhålls att det är viktigt att vården initialt i utvecklingen av tekniken säkrar riskerna ur ett beredskapsperspektiv. Fokus bör ligga på att skapa säkra och robusta system. Det får därmed också anses utgöra ett allmänt intresse att hälso- och sjukvården, och som en del av den möjligheten att dela information, fungerar vid potentiella storskaliga kriser.

5Prop. 2017/18:105, s. 57.

Sammanfattningsvis bedömer utredningen att uppgiften att möjliggöra gränsöverskridande utbyte av patientöversikter är en sådan uppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen.

13.2.2. Det behövs nationell reglering för att fastställa den rättsliga grunden

Av artikel 6.3 i dataskyddsförordningen följer att grunden för den personuppgiftsbehandling som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse (artikel 6.1 c) eller en uppgift av allmänt intresse (artikel 6.1 e) måste fastställas i nationell rätt eller EU-rätt.

I skäl 45 till dataskyddsförordningen anges att förordningen inte stadgar något krav på en särskild lag för varje enskild behandling, utan att det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige, eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Av ordalydelsen i artikel 6.3 första stycket framgår att det som ska fastställas i EU-rätten eller i nationell rätt är den grund för behandlingen som avses i artikel 6.1 c och e. Det krävs således inte en reglering i EU-rätten eller i nationell rätt av den personuppgiftsbehandling som ska ske med stöd av dessa rättsliga grunder. Det som måste ha stöd i rättsordningen är i stället den rättsliga förpliktelsen respektive uppgiften av allmänt intresse eller rätten att utöva myndighet.6 I förarbetena till dataskyddslagen betonas att dataskyddsförordningens krav på att grunden för behandlingen ska vara fastställd inte utgör någon nyhet när det gäller svenska myndigheters behandling av personuppgifter, utan att det är i linje med legalitetsprincipen. Myndigheternas maktutövning, även i den mån denna förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans bildar rättsordningen.7

Vidare framgår av skäl 41 till dataskyddsförordningen att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid EU-domstolen och Europeiska domstolen för de mänskliga rät-

6Prop. 2017/18:105, s. 49. 7Prop. 2017/18:105, s. 49 f.

tigheterna. Även detta är, enligt förarbetena till dataskyddslagen, ett uttryck för legalitetsprincipen.8 Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste enligt regeringens mening bedömas från fall till fall, utifrån behandlingens karaktär. En behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten bör kunna ske med stöd av en rättslig grund som är allmänt hållen. Ett mer kännbart intrång, till exempel behandling av känsliga personuppgifter inom hälso- och sjukvården, kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart. Om intrånget är betydande och innebär övervakning eller kartläggning av den enskildes personliga förhållanden, krävs dessutom särskilt lagstöd enligt 2 kap. 6 och 20 §§regeringsformen (fortsättningsvis RF).9

Grunden för behandlingen ska enligt artikel 6.3 första stycket i dataskyddsförordningen fastställas i enlighet med EU-rätten eller ett medlemslands nationella rätt som den personuppgiftsansvarige omfattas av. Med detta avses inte att den rättsliga grunden nödvändigtvis måste fastställas i eller i enlighet med en av riksdagen beslutad lag. Däremot måste grunden vara fastställd i laga ordning, på ett konstitutionellt korrekt sätt. Sammanfattningsvis konstaterar regeringen i förarbetena till dataskyddslagen att en rättslig grund är fastställd i enlighet med svensk rätt om den följer av författning eller beslut som meddelats i enlighet med RF.10

I upplysningsbestämmelser i 2 kap. 1 och 2 §§ dataskyddslagen framgår att den rättsliga förpliktelsen eller det allmänna intresset kan följa av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Den behandling av personuppgifter som är nödvändig vid utbytet av patientöversikter över landsgränser har sin grund i patientrörlighetsdirektivet. EU ska stödja och främja samarbete om och utbyte av information mellan medlemsländerna (artikel 14 i patientrörlighetsdirektivet). Regleringen innebär inte någon skyldighet för medlemsländerna att delta i sådant samarbete eller informationsutbyte. Någon rättslig förpliktelse med stöd i patientrörlighetsdirektivet eller EU-rätten finns således inte enligt utredningens bedömning.

8Prop. 2017/18:105, s. 51. 9Prop. 2017/18:105, s. 51. 10Prop. 2017/18:105, s. 51 f.

Samarbetet och informationsutbytet kan med hänsyn till bestämmelsen i patientrörlighetsdirektivet utgöra ett allmänt intresse. Enligt utredningens mening uppfyller det dock inte kravet på att den rättsliga grunden ska vara tillräckligt tydlig, precis och förutsägbar för att direktivet ska kunna utgöra en fastställd rättslig grund enligt dataskyddsförordningens mening (skäl 41 till dataskyddsförordningen). Sammanfattningsvis anser utredningen att det inte finns något stöd i EU-rätten som kan läggas till grund för E-hälsomyndighetens behandling av personuppgifter vid utbytet av patientöversikter. Utredningen noterar att detta sannolikt kan förändras när EHDS, som berörs tidigare i betänkandet, träder i kraft.

Utbytet av patientöversikter regleras inte i svensk rätt i dag. Det finns med andra ord inte någon författning som skulle kunna utgöra rättslig grund i nationell rätt. Sammanfattningsvis saknas det alltså i dagsläget enligt utredningens bedömning en fastställd rättslig grund för utbytet av patientöversikter, som uppfyller dataskyddsförordningens krav.

13.3. Förutsättningar enligt regeringsformen

13.3.1. Regleringen enligt regeringsformen

För att behandlingen av personuppgifter vid gränsöverskridande utbyte av patientöversikter ska kunna stödjas på de rättsliga grunderna i artikel 6.1 c (rättslig förpliktelse) och artikel 6.1 e (allmänt intresse) i dataskyddsförordningen krävs att det finns stöd i nationell rätt. För att vara fastställd i nationell rätt krävs enligt 2 kap. 1 och 2 §§ dataskyddslagen att den rättsliga grunden för behandlingen i de nämnda fallen ska följa av lag eller annan författning, beslut som har meddelats med stöd av lag eller annan författning eller av kollektivavtal.

Det särskilda grundlagsskyddet för den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen

Vid behandling av personuppgifter aktualiseras det särskilda grundlagsskyddet för den personliga integriteten enligt 2 kap. 6 § andra stycket RF. Där anges att var och en gentemot det allmänna är skyddad

mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Som huvudregel omfattar det särskilda integritetsskyddet i 2 kap. 6 § andra stycket RF även andra än svenska medborgare (2 kap. 25 § 3 RF). Enligt 2 kap. 20 § RF får skyddet begränsas genom lag under de förutsättningar som anges i 21 §. Skyddet får således inte begränsas genom förordning. I avsnitt 3.2.7 redogör utredningen för rekvisiten i 2 kap. 6 § andra stycket RF.

Enligt förarbetena till 2 kap. 6 § andra stycket RF tar regleringen sikte på sådana åtgärder som den enskilde inte själv kan få kännedom om eller påverka genom krav på frivilligt godkännande. Om åtgärderna förutsätter den enskildes godkännande anses intrånget normalt inte vara så allvarligt att det omfattas av det särskilda grundlagsskyddet. Detta gäller även om det är fråga om känsliga personuppgifter. Det anges vidare att regleringen i personuppgiftslagstiftningen bör kunna tjäna som vägledning vid bedömningen av vad som krävs för att samtycke ska anses ha lämnats.11

Ett samtycke enligt dataskyddsförordningen är varje frivillig, specifik, informerad och otvetydig viljeyttring genom vilken den registrerade, antingen genom ett uttalande eller en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne (artikel 4.11). I sak överensstämmer det med kraven på samtycke enligt personuppgiftslagen (1998:204) som var gällande vid tiden för antagande av bestämmelsen i 2 kap. 6 § andra stycket RF.

När det gäller uppgifter om patienten avses samtycke inte utgöra den rättsliga grunden för den behandling av patientens personuppgifter som kommer att utföras av E-hälsomyndigheten vid utbytet av patientöversikter. Avsikten i utredningens förslag är dock att utbytet av patientöversikter över landsgränser ska få ske först efter att patienten har godtagit behandlingen av sina personuppgifter för detta ändamål. Detta godkännande ska inte ses som ett samtycke som utgör rättslig grund enligt dataskyddsförordningen utan är i stället avsett att vara en integritetshöjande skyddsåtgärd (även benämnt integritetshöjande samtycke) som är vanligt förekommande i registerförfattningar och som regeringen har funnit utgör en sådan precisering som får göras enligt artikel 6.2 och 6.3 i dataskyddsför-

11Prop. 2009/10:80, s. 178 f.

ordningen.12 Även vid utbytet inom Sverige ska detta endast få ske om patienten inte motsätter sig behandlingen.

Det är inte självklart att ett integritetshöjande samtycke som lämnas för att den enskildes patientöversikt ska kunna tillgängliggöras i ett annat land kan anses vara ett samtycke som gör att 2 kap. 6 § andra stycket RF inte blir tillämplig. Enligt utredningens mening talar dock mycket för att även ett integritetshöjande samtycke bör räknas som samtycke enligt bestämmelsen eftersom den, som nämnts ovan, tar sikte på sådana åtgärder som den enskilde inte själv kan få kännedom om eller påverka genom krav på frivilligt godkännande.

Det särskilda grundlagsskyddet i 2 kap. 6 § andra stycket RF omfattar ”betydande intrång i den personliga integriteten”. Det är alltså endast vissa kvalificerade intrång i den personliga integriteten som träffas av regleringen. Enligt förarbetena ska både åtgärdens omfattning och arten av det intrång som åtgärden innebär beaktas. Även åtgärdens ändamål och andra omständigheter kan ha betydelse vid bedömningen. Bestämmelsen omfattar endast sådana intrång som på grund av åtgärdens intensitet eller omfattning eller av hänsyn till uppgifternas integritetskänsliga natur eller andra omständigheter innebär ett betydande ingrepp i den enskildes privata sfär.13

Informationen i en patientöversikt innehåller känsliga personuppgifter om patienten och dess hälsa och vård. Potentiellt kan utbytet av patientöversikter omfatta personuppgifter om ett stort antal människor både i samband med vård utomlands och i Sverige. Vid tillgängliggörandet av svenska patientöversikter nationellt och i annat EES-land kommer personuppgifter att lämnas ut till den svenska eller utländska vårdgivaren. För att personuppgifter ska få behandlas och lämnas ut krävs dock, som nämnts ovan, att patienten har lämnat ett så kallat integritetshöjande samtycke (eller ej motsatt sig behandlingen avseende det nationella utbytet). Det är som huvudregel först när och om ett sådant samtycke lämnas som den mottagande vårdgivaren får tillgång till sådana uppgifter om patienten som E-hälsomyndigheten ska vidareförmedla i form av en patientöversikt. Patienten väljer därmed själv om personuppgifter om denne ska behandlas. Det är därför enligt utredningens bedömning inte troligt att behandlingen skulle anses utgöra ett betydande integritetsintrång för den enskilde patienten.

12Prop. 2017/18:171, s. 88. 13Prop. 2009/10:80, s. 250.

Vid tillgängliggörandet av utländska patientöversikter i Sverige avses också ett integritetshöjande samtycke inhämtas. Personuppgiftsbehandlingen vid E-hälsomyndigheten kommer huvudsakligen bestå av översättning och vidarebefordran av uppgifter från den utländska kontaktpunkten för e-hälsa till den svenska vårdgivaren. Utöver själva vidarebefordran kommer personuppgifter bevaras i den utsträckning och under den tid som är nödvändig för att upprätthålla patientsäkerheten, så att felsökning av transaktionerna kan göras vid behov. Eftersom personuppgifter även i detta sammanhang får behandlas först om och när patienten har samtyckt till behandlingen utgör denna enligt utredningens bedömning inte ett betydande integritetsintrång för patienten.

Informationsutbytet kommer också att innebära behandling av personuppgifter om hälso- och sjukvårdsvårdpersonal. De personuppgifter som därvid behandlas är sådana som gör det möjligt att vid behov identifiera och kontakta personen i dennes yrkesroll.14 Utredningen bedömer därför att behandlingen inte innebär ett betydande integritetsintrång för dem.

För att det särskilda integritetsskyddet i 2 kap. 6 § andra stycket RF ska vara tillämpligt ska åtgärden innefatta kartläggning eller övervakning. Enligt förarbetena ska bedömningen utgå från vad som enligt normalt språkbruk läggs i dessa begrepp. Avgörande är inte åtgärdens huvudsakliga syfte utan vilken effekt åtgärden har. Med övervakning avses enligt förarbetena till exempel hemlig kameraövervakning eller teleavlyssning. Som exempel på åtgärder som kan innebära kartläggning nämns uppgiftssamlingar hos myndigheter som omfattar en stor andel av landets befolkning, polisens belastningsregister och åtgärder som primärt vidtas i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall såsom vid beskattning.15

Vid tillgängliggörandet av en svensk patientöversikt i utlandet kommer uppgifter som E-hälsomyndigheten vidarebefordrar att lämnas ut till en utländsk kontaktpunkt för e-hälsa för vidarebefordran till en utländsk vårdgivare. När patientöversikten hanteras inom Sverige kommer motsvarande vidarebefordran ske mellan två svenska vårdgivare. En sammanställning av uppgifterna för att kartlägga var patienten har befunnit sig är en behandling som inte är förenlig med ändamålet för vilket uppgifterna samlades in och därför inte tillåten

14 Jfr. 4 och 6 §§ HOSP-förordningen. 15Prop. 2009/10:80, s. 180 f och 250.

enligt dataskyddsförordningen. Utredningen bedömer att behandlingen hos myndigheten för tillgängliggörandet av patientöversikter i utlandet eller inom Sverige inte innebär sådan övervakning eller kartläggning som avses i 2 kap. 6 § andra stycket RF.

Tillgängliggörandet av utländska patientöversikter i Sverige innebär att uppgifter från en utländsk kontaktpunkt för e-hälsa förmedlas via E-hälsomyndigheten till en svensk vårdgivare samt att vissa uppgifter loggas och sparas hos myndigheten så länge som det behövs för de tillåtna ändamålen. Potentiellt kan de uppgifter som behandlas omfatta uppgifter om ett stort antal personer. Behandlingen får utföras först efter att patienten har lämnat ett integritethöjande samtycke. Någon sammanställning av uppgifter som gäller en viss patient kommer inte att göras för bevarande och är inte heller tillåten enligt bestämmelserna i dataskyddsförordningen. Utredningen bedömer att den behandling som görs hos E-hälsomyndigheten i samband med tillgängliggörandet av utländska patientöversikter i Sverige inte utgör sådan övervakning eller kartläggning som avses i 2 kap. 6 § andra stycket RF.

Normgivningsnivå

Valet mellan reglering i lag eller annan författning avgörs av bestämmelserna i RF. Grundlagens regler om hur normgivningsmakten är fördelad mellan riksdagen och regeringen finns i huvudsak i 8 kap. RF. Föreskrifter meddelas av riksdagen genom lag och av regeringen genom förordning. Föreskrifter ska meddelas genom lag bland annat om de avser skyldigheter för enskilda eller ingrepp i enskildas personliga eller ekonomiska förhållanden (8 kap. 2 § första stycket 2 RF), så kallade betungande offentligrättsliga föreskrifter. Kravet på att sådana föreskrifter ska ha lagform är dock inte obligatoriskt. Riksdagen kan med vissa undantag som inte är aktuella här bemyndiga regeringen att meddela föreskrifterna (8 kap. 3 § RF). Regeringen får i övrigt meddela bland annat sådana föreskrifter som inte enligt grundlag ska meddelas av riksdagen (8 kap. 7 § RF). Denna föreskriftsrätt brukar kallas för regeringens restkompetens.

Att det allmänna behandlar personuppgifter om enskilda anses inte innebära någon skyldighet för den enskilde eller något ingrepp i enskildas personliga förhållanden i den mening som avses i 8 kap. 2 §

första stycket 2 RF. Bestämmelser om personuppgiftsbehandling som utförs av statliga myndigheter under regeringen har därmed i princip ansetts kunna beslutas av regeringen med stöd av dess restkompetens enligt 8 kap. 7 § första stycket 2 RF.16 Det har emellertid varit både riksdagens och regeringens målsättning att myndighetsregister som innehåller ett stort antal registrerade och har ett särskilt känsligt innehåll bör regleras i lag, även om lagform inte krävs enligt RF.17

Utanför kravet på lagstöd faller berättigande föreskrifter, till exempel föreskrifter om rätt till bidrag eller andra förmåner för enskilda, likaså ”neutrala” föreskrifter om förhållandet mellan enskilda och det allmänna.18 Rätten att kunna söka vård i ett annat europeiskt land och få tillgång till viktiga journaluppgifter bör rimligen betraktas som en förmån eller i vart fall som en ”neutral” bestämmelse. Därtill kommer att behandlingen av personuppgifter som eventuellt skulle kunna utgöra ett ingrepp i enskildas personliga förhållanden endast utförs efter det att den enskilde har lämnat sitt samtycke.

I nästkommande avsnitt följer utredningens bedömning i frågan.

13.3.2. Den rättsliga grunden bör fastställas i förordning

Utredningens bedömning: Den rättsliga grunden för E-hälso-

myndighetens personuppgiftsbehandling vid utbytet av patientöversikter bör fastställas i förordning.

Åtgärderna vid förmedlingen av en svensk patientöversikt till en utländsk vårdgivare innebär att utländsk vårdpersonal får ta del av uppgifter om en patient som tillgängliggörs av svenska vårdgivare. Utredningens förslag innebär att vårdgivare tillgängliggör uppgifter om en patient som söker vård utomlands till E-hälsomyndigheten för vidarebefordran, via den utländska kontaktpunkten för e-hälsa, till vårdgivaren i det aktuella landet. Den personuppgiftsbehandling som är nödvändig för att tillgängliggöra svenska patientöversikter i andra europeiska länder ska enligt utredningens förslag endast få utföras efter att patienten har lämnat sitt samtycke, vilket utgör en

16Prop. 2017/18:105, s. 26. 17 Bet. 1990/91:KU11, s. 11, 1997/98:KU18, s. 48, prop. 1990/91:60, s. 58 och prop. 1997/98:44, s. 41. 18 Holmberg m.fl., Grundlagarna (2016-05-13 Zeteo), kommentar till 8 kap. 2 §.

integritetshöjande skyddsåtgärd. Motsvarande ska gälla för att utländska patientöversikter ska kunna tillgängliggöras i Sverige. Inte i något av fallen ska överföringen av uppgifter ske genom direktåtkomst.

Utredningen bedömer att den nödvändiga personuppgiftsbehandlingen inte innebär ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket RF. Utredningen kan inte heller se att åtgärderna utgör sådan övervakning eller kartläggning som avses i bestämmelsen. Detta medför vidare enligt utredningens bedömning att lagform för regleringen av personuppgiftsbehandlingen vid E-hälsomyndigheten inte är nödvändig.

Med hänvisning till vad som anförts bör bestämmelser om den personuppgiftsbehandling som är nödvändig att E-hälsomyndigheten utför vid utbyte av patientöversikter kunna regleras i förordningsform.

Vad gäller svenska vårdgivares hantering av personuppgifter inom hälso- och sjukvården regleras detta i patientdatalagen (2008:355) samt i lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation, varför vi föreslår att reglerna för vårdgivarnas uppgiftslämnande regleras i dessa lagar, se vidare i kapitel 15.

13.4. Förutsättningar för nationell reglering enligt dataskyddsförordningen

Utredningens förslag: Särskilda bestämmelser för att anpassa

tillämpningen av dataskyddsförordningen ska införas i de författningar som ska reglera personuppgiftsbehandlingen vid utbytet av patientöversikter.

Medlemsländerna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen när det gäller behandling som är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, enligt artikel 6.2 i dataskyddsförordningen. Den rättsliga grunden som i dessa fall ska vara fastställd i den nationella rätten i enlighet med artikel 6.3 i dataskyddsförordningen får innehålla särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen. Den kan bland annat ange de allmänna villkor som ska

gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka uppgifter får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling.

Vidare ska syftet med behandlingen fastställas i den rättsliga grunden och stödet i rättsordningen ska dessutom uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 andra stycket i dataskyddsförordningen). Det gränsöverskridande informationsutbytet är enligt utredningens bedömning en rättslig förpliktelse och en uppgift av allmänt intresse enligt artikel 6.1 c och 6.1 e i dataskyddsförordningen. Det är därför tillåtet att införa mer specifika bestämmelser för att anpassa tillämpningen av dataskyddsförordningen. Utredningen föreslår att särskilda bestämmelser för att anpassa tillämpningen av förordningen ska införas i de författningar som ska reglera personuppgiftsbehandlingen vid utbytet av patientöversikter. Detta beskrivs närmare i de följande kapitlen.

13.5. Behandling av känsliga personuppgifter

13.5.1. Känsliga personuppgifter

För att behandla känsliga personuppgifter krävs förutom att det finns en rättslig grund för behandlingen enligt artikel 6 i dataskyddsförordningen även att något av undantagen i artikel 9 är tillämpliga. Av artikel 9.1 i dataskyddsförordningen framgår att behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden. De angivna kategorierna av personuppgifter benämns i artikeln som särskilda kategorier av uppgifter, men kallas i detta betänkande för känsliga personuppgifter.

Förbudet mot att behandla känsliga personuppgifter kompletteras med ett antal undantag i artikel 9.2 i dataskyddsförordningen som anger när behandling av känsliga personuppgifter ändå är tillåten. Några av undantagen är direkt tillämpliga medan andra kräver viss

reglering i den nationella lagstiftningen för att behandling av känsliga personuppgifter ska få ske. Enligt utredningens bedömning är det framför allt undantaget i artikel 9.2 h i dataskyddsförordningen som är av intresse vid utbytet av patientöversikter.

Undantag för hälso- och sjukvård

Känsliga personuppgifter får enligt artikel 9.2 h i dataskyddsförordningen behandlas om det är nödvändigt av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av EU-rätten eller den nationella rätten eller enligt avtal med yrkesverksamma på hälsoområdet. En ytterligare förutsättning för att behandling av känsliga personuppgifter på hälso- och sjukvårdsområdet ska vara tillåten är att uppgifterna enligt artikel 9.3 i dataskyddsförordningen behandlas av eller under ansvar av en yrkesutövare eller annan person som omfattas av tystnadsplikt. I 3 kap. 5 § dataskyddslagen finns, i syfte att tydliggöra regleringen, motsvarande undantag. Regeringen uttalade i förarbetena till dataskyddslagen att även om dessa krav visserligen följer direkt av dataskyddsförordningen, är det av stor vikt för verksamheten inom de områden som omfattas av bestämmelsen att förutsättningarna för att behandla känsliga personuppgifter framgår tydligt.19

I skäl 53 till dataskyddsförordningen klargörs att förvaltning av tjänster för hälso- och sjukvård omfattar behandling som utförs av förvaltningen och centrala nationella hälsovårdsmyndigheter av sådana uppgifter för syften som hör samman med kvalitetskontroll, information om förvaltningen samt allmän nationell och lokal tillsyn över hälso- och sjukvårdssystemet och säkerställande av kontinuitet inom hälso- och sjukvård samt gränsöverskridande hälso- och sjukvård eller hälsosäkerhet, syften som hör samman med övervakning samt varningssyften eller för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål som baseras på EU-rätten eller på medlemsländernas nationella rätt, vilka måste ha ett syfte av allmänt intresse, samt studier som genomförs

19Prop. 2017/18:105, s. 94.

av allmänt intresse på folkhälsoområdet. Uppräkningen av syften i skäl 53 till dataskyddsförordningen lär i praktiken täcka nästan all behandling av känsliga personuppgifter som förekommer inom hälso- och sjukvårdsområdet.20

13.5.2. Känsliga personuppgifter vid utbyte av patientöversikter

Utredningens bedömning: Behandling av känsliga personupp-

gifter vid utbytet av patientöversikter är nödvändig av skäl som hör samman med de hälso- och sjukvårdsverksamheter som anges i artikel 9.2 h i dataskyddsförordningen.

Enligt utredningens bedömning är personuppgiftsbehandlingen vid utbytet av patientöversikter nödvändig av skäl som hör samman med de hälso- och sjukvårdsverksamheter som anges i artikel 9.2 h i dataskyddsförordningen, särskilt förebyggande hälso- och sjukvård eller behandling samt förvaltning av hälso- och sjukvårdstjänster och deras system. Detta undantag kräver emellertid att den aktuella verksamheten utförs med stöd av EU-rätten, medlemsländernas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet. Kravet på tystnadsplikt i artikel 9.3 i dataskyddsförordningen måste också vara uppfyllt.

13.6. Var regleringen av personuppgiftsbehandlingen ska placeras

Utredningens förslag: Uppdraget att vara nationell kontakt-

punkt för e-hälsa och att tillhandahålla tjänster och infrastruktur för gränsöverskridande informationsutbyte av e-recept och patientöversikter ska regleras i E-hälsomyndighetens instruktion.

De närmare bestämmelserna om E-hälsomyndighetens personuppgiftsbehandling vid utbyte av patientöversikter ska regleras i en ny förordning om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter. Ändringar

20 Sören Öman, Dataskyddsförordningen (GDPR) m.m. – En kommentar, kommentaren till artikel 9, JUNO version: 1A.

behöver även införas i lag om sammanhållen vård- och omsorgsdokumentation, patientdatalagen och lagen om nationell läkemedelslista.

E-hälsomyndighetens instruktion ska innehålla de uppdrag av varaktigt slag som myndigheten har. Uppdraget att tillhandahålla tjänster och infrastruktur för det gränsöverskridande utbytet av såväl e-recept som patientöversikter samt uppdraget att vara nationell kontaktpunkt för e-hälsa bör därför framgå av myndighetens instruktion.

När personuppgifter ska behandlas för nya ändamål är det ofta lämpligt att en ny författning reglerar all den behandling som kan komma att ske. En sådan sammanhållen reglering ger en samlad överblick över personuppgiftsbehandlingen vilket ofta medför bättre förutsättningar att bedöma vilken påverkan behandlingen som helhet har för de registrerades integritet. Vidare är fördelen att det är lättare för tillämparen men även för den registrerade att få en överblick av bestämmelserna om allt är samlat.

Vid utbyte av e-recept över landsgränser gjordes i utredningens delbetänkande emellertid bedömningen att förutsättningarna är olika beroende på om e-receptet är utfärdat i Sverige eller i ett annat EES-land.21 I den förra situationen finns e-recepten registrerade i den nationella läkemedelslistan medan i den senare situationen finns e-recepten i ett utländskt register eller liknande som inte omfattas av svensk rätt. I delbetänkandet föreslogs därför att regleringen av E-hälsomyndighetens behandling av personuppgifter avseende svenska e-recept som ska expedieras i ett annat EES-land bör göras i lagen om nationell läkemedelslista. I den omvända situationen, när E-hälsomyndigheten behandlar personuppgifter i e-recept från EES som ska expedieras i Sverige föreslogs en ny lag.

Denna tydliga uppdelning finns inte avseende utbyte av patientöversikter över landsgränser. Det saknas en befintlig lagstiftning som är lämplig att komplettera på motsvarande sätt som delbetänkandets förslag avseende lagen om nationell läkemedelslista. Mot den bakgrunden är utredningens bedömning att det är lämpligt att regleringen bör ske i en ny författning. Utredningen har i tidigare avsnitt gjort bedömningen att E-hälsomyndighetens behov av att behandla

21 Se avsnitt 7.6 i delbetänkandet.

personuppgifter vid utbyte av patientöversikter bör regleras i förordningsform.

När svenska patientöversikter tillgängliggörs i utlandet eller hos annan vårdgivare nationellt kommer personuppgifter i patientjournaler och i den nationella läkemedelslistan att behandlas. Regleringen av ytterligare behandling av dessa uppgifter och behandling för andra ändamål bör därför införas i patientdatalagen och i lagen om nationell läkemedelslista. E-hälsomyndighetens behandling vid vidarebefordran av dessa uppgifter bör i enlighet med vad som redogjorts för ovan regleras i en ny förordning om personuppgiftsbehandling vid Ehälsomyndigheten. När utländska patientöversikter tillgängliggörs i Sverige hämtas uppgifterna från ett utländskt register eller annan informationskälla. E-hälsomyndighetens behandling av sådana uppgifter bör också regleras i föreslagen förordning.

13.7. Särskilda överväganden avseende skyddade personuppgifter och barn

Utredningen har i analysen av tjänsten patientöversikter över landsgränser även identifierat frågor om integritet och sekretess gällande patienter med skyddade personuppgifter samt barn och vårdnadshavare. Utredningen tar upp dessa frågor i följande avsnitt.

13.7.1. Skyddade personuppgifter

Utredningens bedömning: Förutsättningar att hantera personer

med skyddade personuppgifter i en tjänst för patientöversikter över landsgränser föreligger inte för närvarande.

Skyddade personuppgifter är ett samlingsbegrepp inom folkbokföringen för de olika skyddsåtgärder som finns. Beroende på arten av hot finns det tre grader av skydd av personuppgifter; sekretessmarkering, skyddad folkbokföring och fingerade personuppgifter. Därutöver finns bestämmelser om sekretess som kan aktualiseras för hotade och förföljda personer.22

22Prop. 2017/18:145, s. 29.

Det finns en särskild generell sekretessbestämmelse i 21 kap. 3 § offentlighets- och sekretesslagen (2009:400), fortsättningsvis OSL, som gäller vissa uppgifter om det av särskild anledning kan antas att den enskilde eller någon närstående till denne kan komma att utsättas för hot eller våld eller lida annat allvarligt men om uppgiften röjs. Sekretessen gäller förenklat uppgifter som kan visa var någon bor, telefonnummer och andra typer av kontaktuppgifter. Sekretessen gäller också personens anhöriga. Bestämmelsen gäller oavsett i vilket sammanhang uppgiften förekommer.

I förarbetena till lagen om nationell läkemedelslista uttalade regeringen att det är av särskild vikt att patienter med skyddade personuppgifter ska kunna hanteras i det nya registret.23 Det ansågs vidare vara av stor vikt att sådana uppgifter hanteras på rätt sätt eftersom ett röjande kan få mycket allvarliga konsekvenser. Regeringen ansåg även att E-hälsomyndigheten och de aktörer som bereds direktåtkomst till registret, det vill säga hälso- och sjukvården samt öppenvårdsapoteken, behöver ha en godtagbar säkerhetshantering av skyddade personuppgifter.24

E-hälsomyndigheten begärde förhandssamråd med Integritetsskyddsmyndigheten (IMY, tidigare Datainspektionen), med anledning av personuppgiftsbehandlingen i den nationella läkemedelslistan, enligt artikel 36 i dataskyddsförordningen. I begäran uppgav E-hälsomyndigheten bland annat att det finns kvarvarande risker avseende hanteringen av skyddade personuppgifter. E-hälsomyndigheten menade dock att ytterligare åtgärder, exempelvis att inte alls registrera individer med skyddade personuppgifter, skulle minska läkemedelslistans användbarhet och innebära risker för patientsäkerheten.

I yttrandet Förhandssamråd enligt dataskyddsförordningen om be-

handling av personuppgifter i den nationella läkemedelslistan uppgav

IMY bland annat att det ställer särskilda krav på den personuppgiftsansvarige att behandla personuppgifter om personer med skyddade personuppgifter, till exempel att spridandet av generellt sett harmlösa uppgifter som personens namn kan innebära ett allvarligt hot mot den enskilde. Eftersom hotbilden mot den enskilde varierar ansåg IMY att den personuppgiftsansvarige alltid måste analysera den behandling av personuppgifter som blir aktuell i ett enskilt fall och anpassa behandlingen efter den specifika situationen. IMY lyfte

23Prop. 2017/18:223, s. 178. 24Prop. 2017/18:223, s. 178.

även att skyddet för dessa personer måste utformas med stor omsorg och noggrannhet, eftersom en obefogad spridning kan få mycket allvarliga konsekvenser för någon med skyddade personuppgifter, vilka ska kunna känna sig trygga med hur deras personuppgifter kommer att behandlas.25

Vad gäller tjänsten patientöversikter över landsgränser har E-hälsomyndigheten uppgett att myndigheten ännu inte har utrett frågan hur personer med skyddade personuppgifter ska hanteras i tjänsten och att tjänsten därför till en början inte kommer att kunna omfatta personer med skyddade personuppgifter.

Behandlingen av skyddade personuppgifter ställer särskilda krav på den personuppgiftsansvarige. Vid gränsöverskridande hantering av personuppgifter kompliceras bilden när personuppgifterna överförs till ett annat land. Innan tjänsten patientöversikter över landsgränser eventuellt kan omfatta även personer med skyddade personuppgifter behöver E-hälsomyndigheten som personuppgiftsansvarig utreda och analysera förutsättningarna för att kunna skydda dessa personer på ett säkert sätt. Sådana förutsättningar föreligger inte för närvarande enligt utredningens bedömning.

13.7.2. När patienten är ett barn

Utredningens bedömning: Barn bör kunna omfattas av tjänsten

patientöversikter över landsgränser först när det är tydligt att skyddet för barnets integritet kan säkerställas av E-hälsomyndigheten som personuppgiftsansvarig. Pågående arbeten och utredningar avseende åldersgränser och andra angränsande och relevanta frågor bör analyseras och utvärderas i strävan efter att kunna erbjuda barn samma rättigheter som vuxna gällande möjligheten att omfattas av utbytet av patientöversikter.

I detta avsnitt görs överväganden om patienten är ett barn. Med barn avses den som är under 18 år. Frågor om barn, vårdnadshavare och tillgång till uppgifter om barn inom hälso- och sjukvården har återkommande varit föremål för diskussion, på senare år till exempel

25 IMY, Förhandssamråd enligt dataskyddsförordningen om behandling av personuppgifter i den

nationella läkemedelslistan, diarienummer DI-2021-264, den 20 april 2021, s. 14.

inom ramen för arbetet med den nationella läkemedelslistan26 och i förarbetena till lagen om sammanhållen vård- och omsorgsdokumentation27. Motsvarande frågor diskuteras också inom det europeiska samarbetet genom exempelvis Nätverket för e-hälsa.28

En avgörande förutsättning för att barn ska kunna omfattas av tjänsten patientöversikter över landsgränser är enligt utredningen att skyddet för barnets integritet kan säkerställas. I detta innefattas frågor om när barnet utifrån ålder och mognad bör kunna bestämma själv över hanteringen av sina personuppgifter, genom att till exempel lämna samtycke, samt att gällande sekretessreglering inte förlorar avsett skydd bara för att vård söks utomlands. Även frågeställningar kring hur barnet, och vårdnadshavaren, ska identifieras vid vårdtillfället aktualiseras. Utifrån dessa utgångspunkter görs nedan redovisning och bedömningar.

Utgångspunkter i svensk rätt när patienten är ett barn

Barnets rättsliga ställning inom hälso- och sjukvården är inte helt entydig. När ett barn söker hälso- och sjukvård möter principen om vårdnadshavarnas ansvar för sina barn det regelverk som gäller för vården i Sverige.29 En utgångspunkt är att hälso- och sjukvård ska bedrivas med respekt för patientens självbestämmande och integritet. När patienten är ett barn är utgångspunkten att vårdnadshavarna ska samtycka till vården, men i takt med barnets stigande ålder och utveckling ska allt större hänsyn tas till barnets synpunkter och önskemål.30 Barnets inställning ska tillmätas betydelse i förhållande till barnets ålder och mognad enligt 4 kap. 3 § patientlagen (2014:821). Barn anses som särskilt skyddsvärda enligt dataskyddsförordningen, eftersom de kan ha svårare att förutse riskerna med att lämna ifrån sig uppgifter och att förstå vilken rätt till skydd för sina uppgifter som de har (skäl 38 till dataskyddsförordningen).

En patients möjlighet att själv bestämma över uppgifter om honom eller henne är alltså inte nödvändigtvis villkorad av att han eller hon har fyllt 18 år. I förarbetena till lagen om sammanhållen vård- och

26 Se exempelvis JO:s beslut 2019-3331. 27Prop. 2021/22:177. 28 Se exempelvis eHDSI Requirements catalogue, v6.1.3. 29 Socialstyrelsen, Meddelandeblad Nr 8/2020. 30 Se 6 kap. 11 § föräldrabalken.

omsorgsdokumentation uttalade regeringen bland annat följande angående möjligheten att spärra uppgifter. Barn och ungdomar bör i detta sammanhang hanteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården. Det innebär att det barn som är i stånd att bilda egna åsikter ska ges möjlighet att fritt uttrycka dessa. Barnets inställning ska tillmätas betydelse i förhållande till hans eller hennes ålder och mognad. Vilken mognad som krävs för att ett barns inställning ska tillmätas betydelse måste bedömas vid varje enskilt tillfälle. I takt med den underåriges stigande ålder och mognad ska allt större hänsyn tas till barnets önskemål och vilja, om uppgifter om honom eller henne ska få göras tillgängliga för andra vårdgivare eller inte, se 6 kap. 11 § föräldrabalken (prop. 2007/08:126 s. 115 och 250 f.).31

Barnkonventionen gäller sedan den 1 januari 2020 som svensk lag genom lagen (2018:1197) om Förenta nationernas konvention om barnets rättigheter. Lagen innebär ett förtydligande av att rättstillämparna i samtliga mål och ärenden ska tolka svenska bestämmelser i förhållande till barnkonventionen. Enligt artikel 12 ska konventionsstaterna tillförsäkra det barn som är i stånd att bilda egna åsikter rätten att fritt uttrycka dessa i alla frågor som rör barnet. Även här anses att barnets åsikter ska tillmätas betydelse i förhållande till barnets ålder och mognad. Vid alla åtgärder som rör barnet ska vidare i första hand beaktas vad som bedöms vara barnets bästa. Enligt artikel 6 har varje barn rätt till liv och varje konventionsstat ska till det yttersta av sin förmåga säkerställa barnets överlevnad och utveckling. Av artikel 24 följer att barnet har rätt till bästa möjliga hälsa och tillgång till hälso- och sjukvård. Vidare följer av artikel 5 att konventionsstaterna ska respektera det ansvar och de rättigheter och skyldigheter som tillkommer till exempel föräldrar eller vårdnadshavare eller andra personer som har juridiskt ansvar för barnet, att på ett sätt som står i överensstämmelse med den fortlöpande utvecklingen av barnets förmåga ge lämplig ledning och råd då barnet utövar de rättigheter som erkänns i konventionen.

Det bör uppmärksammas att barn har samma rättigheter till skydd för sina personuppgifter som vuxna. Det innebär att även barn har rätt att exempelvis få information om personuppgiftsbehandling (artikel 12–14 i EU:s dataskyddsförordning). Barnet har rätt att få sina rättigheter tillgodosedda och utöva de möjligheter lagstiftningen

31Prop. 2021/22:177, s. 94.

medger. Olika rättigheter och möjligheter kan som nämnts utövas av barnet självt eller av en vårdnadshavare beroende på barnets ålder och mognad. Vårdnadshavare som utövar rättigheter eller möjligheter å sina barns vägnar måste komma ihåg att det är barnets rättigheter som ska tillgodoses och barnets intressen som ska tas tillvara.

Särskilt om barns samtycke

I EU:s dataskyddsförordning finns allmänna bestämmelser om samtycke till behandling av personuppgifter i artikel 6. Där stadgas att ett villkor för laglig behandling av personuppgifter kan utgöras av att den enskilde lämnat sitt samtycke till behandlingen. I artikel 8 specificeras sedan villkor som gäller barns samtycke avseende informationssamhällets tjänster enligt följande. Vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska vid tillämpningen av artikel 6.1 a behandling av personuppgifter som rör ett barn vara tillåten om barnet är minst 16 år. Om barnet är under 16 år ska sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet. Medlemsstaterna får enligt artikel 8.1 i sin nationella rätt föreskriva en lägre ålder i detta syfte, under förutsättning att denna lägre ålder inte är under 13 år.

Sverige har genom 2 kap. 4 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning föreskrivit att vid erbjudande av informationssamhällets tjänster direkt till ett barn som bor i Sverige ska behandling av personuppgifter vara tillåten med stöd av barnets samtycke, om barnet är minst 13 år. Om barnet är under 13 år, ska sådan behandling vara tillåten endast om samtycke ges eller godkänns av den som har föräldraansvar för barnet.

Härigenom har Sverige således utnyttjat den möjlighet som dataskyddsförordningen erbjuder i form av en sänkt ålder för barnets rätt att själv samtycka vid erbjudandet av informationssamhällets tjänster. Detta i förening med vad som anförts ovan om beaktandet av barnets mognad bör kunna ge viss vägledning till den ungefärliga ålder som kan aktualisera en rätt att själv kunna lämna samtycke även i situationen med utbyte av en patientöversikt. Det är också i linje med vad som redogörs för närmare i avsnittet nedan om vårdnadshavares ut-

hämtande av läkemedel åt barn. Utredningen återkommer till frågan i de avslutande övervägandena.

Förutsättningar för utbyte av patientöversikter för barn i Nätverket för e-hälsa

Nätverket för e-hälsa anger att barn ska identifieras på motsvarande sätt som vuxna, med en unik nationell identifierare och identitetshandling med fotografi.32 Barn från Sverige skulle då under förutsättning att de har till exempel ett nationellt id-kort eller pass kunna identifiera sig inom ramen för tjänsten utbyte av patientöversikter vid vårdbesök i ett annat medlemsland och då omfattas av densamma om övriga villkor är uppfyllda, exempelvis att ett integritetshöjande samtycke har lämnats av barnet och att land B tillåter att barn omfattas av tjänsten.

I Nätverket för e-hälsas kravkatalog anges vidare möjligheten för tredje part att företräda patienten.33 Detta under förutsättning att i förekommande fall såväl land A som land B tillåter det och som exempel på tredje part ges en vårdnadshavare som agerar företrädare för sitt minderåriga barn. Av kraven framgår också att inget särskilt dokument ska krävas för att bekräfta vårdnadshavarens ställning i förhållande till barnet, utan att detta ska säkerställas genom bekräftelse från land A i samband med identifikationen av patienten (barnet). Informationen om både patienten och företrädaren måste kommuniceras med land A samtidigt.

Utredningen konstaterar att frågan om barns innefattande i utbytet av patientöversikter kan skilja sig åt beroende på dels vår nationella lagstiftning, dels lagstiftningen i land B, som följaktligen kan se olika ut beroende på vilket land som utgör land B i det specifika vårdfallet. Utredningen har haft visst informationsutbyte med andra medlemsstater i Nätverket för e-hälsa, bland annat kring huruvida barn omfattas av deras tjänst för utbyte av patientöversikter (se avsnitt 9.3). Samma bild framkommer även då, nämligen att oavsett om barn omfattas av tjänsten i det landet blir utbytet av patientöversikter när barnet är i ett annat land beroende av huruvida det är tillåtet enligt det landets nationella lagstiftning. Portugal anger att de för närvarande inte tillåter gränsöverskridande utbyte i fall med

32eHDSI Requirements Catalogue, 02.01. Uniquely identify the Patient. 33eHDSI Requirements Catalogue, 02.01. Authorized Third Party Identification data.

”authorized third party” medan Spanien lyfter att de även nationellt har utmaningar att hantera vårdnadshavare som företrädare för barn på grund av bristande förutsättningar i inhemska register. Estland framhåller att deras reglering inte hindrar att barn omfattas av utbyte av patientöversikter över landsgränser, men pekar på att reglerna i land B blir styrande då estländska barn söker vård utomlands samt förklarar att vårdnadshavare måste ge ett muntligt samtycke för hanteringen i situationer då barn från ett annat medlemsland söker vård i Estland.

Sammantaget ser utredningen en vinst med att dessa frågor diskuteras vidare inom det europeiska samarbetet och att en gemensam syn och lösning eftersträvas, där barn på ett säkert och integritetsvärnande sätt kan omfattas i samma utsträckning som vuxna av det gränsöverskridandet utbytet av patientöversikter. Frågor som bör harmoniseras är till exempel eventuellt krav på samtycke för personuppgiftshanteringen och i så fall möjligheten för barn att lämna samtycke samt därtill angränsande frågor såsom åldersgränser eller hur barn bör identifieras i tjänsten patientöversikt över landsgränser.

Exemplet när vårdnadshavare hämtar ut läkemedel åt barn i Sverige

I utredningens delbetänkande om utbyte av e-recept över landsgränser har i samband med barnperspektivet diskuterats frågor som aktualiseras då en vårdnadshavare hämtar ut läkemedel åt barn i Sverige. Bland annat har ytterligare resonemang förts kring barnets rättigheter i förhållande till ålder och mognad samt pekats på viktiga sekretessfrågor i förhållande till vårdnadshavare. Utredningen ser oaktat att vissa upprepningar av vad som anförts ovan sker, ett värde av att ifrågavarande avsnitt lyfts in även i slutbetänkandet för att närmare belysa komplexiteten och grunda den bedömning som utredningen gör beträffande utbytet av patientöversikter för barn. Följande resonemang är således utdrag från delbetänkandets redovisning, avsnitt 7.7.3.34

E-hälsomyndigheten är personuppgiftsansvarig för myndighetens behandling av personuppgifter i den nationella läkemedelslistan

34 I de fall det i texten hänvisas till utredningen om sammanhållen information inom vård och

omsorg kan förtydligas att slutsatserna i den slutliga regleringen och propositionen inte skiljer

sig åt från de i angiven utredning.

(3 kap. 1 § lagen om nationell läkemedelslista). Patienten kan få direktåtkomst till uppgifter om sig själv i den nationella läkemedelslistan. Direktåtkomst får även ges till en annan fysisk person som patienten utsett genom en fullmakt som finns registrerad i den nationella läkemedelslistan enligt 5 kap. 1 § lag om nationell läkemedelslista.

Barn kan själva med ökad ålder få uppgifter om sig själva spärrade i den nationella läkemedelslistan, men vårdnadshavare kan inte få uppgifter spärrade om sina barn, enligt 4 kap. 3 § samma lag. Det finns inga särskilda bestämmelser beträffande barnets mognadsgrad att själv få uppgifter spärrade. Regeringen ansåg i förarbetena att det inte var möjligt att i lag närmare precisera vilken ålder som vore passande för samtliga barn, eller ändamålsenligt att föreslå en särreglering för den nationella läkemedelslistan. Regeringen ansåg att barn och tonåringar bör hanteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården, som innebär att allt större hänsyn ska tas till barnets önskemål och vilja i takt med den underåriges stigande ålder och utveckling.35

Enligt 4 kap. 4 § tredje stycket lagen om nationell läkemedelslista kan hälso- och sjukvårdspersonal som har behörighet att förskriva läkemedel och som efter en prövning enligt 12 kap. 3 § OSL eller 6 kap. 12 § patientsäkerhetslagen (2010:659) finner att uppgift om en underårig i den nationella läkemedelslistan inte får lämnas ut till dennes vårdnadshavare hos E-hälsomyndigheten begära att få uppgiften spärrad i den nationella läkemedelslistan för direktåtkomst av vårdnadshavaren.

Enligt 25 kap. 17 a § OSL gäller sekretess hos E-hälsomyndigheten för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Sekretessen gäller inte i förhållande till den enskilde själv. Sekretess till skydd för en enskild gäller även i förhållande till dennes vårdnadshavare enligt 12 kap. 3 § OSL. Sekretessen gäller dock inte i förhållande till vårdnadshavaren i den utsträckning denne enligt 6 kap. 11 § föräldrabalken har rätt och skyldighet att bestämma i frågor som rör den underåriges personliga angelägenheter om inte det kan antas att den underårige lider betydande men om uppgifter röjs för vårdnads-

35Prop. 2017/18:223, s. 139.

havaren, eller om det annars följer av OSL. Det krävs att det men som kan befaras vid utlämnande ska vara betydande.36

Om sekretess inte gäller i förhållande till vårdnadshavaren, förfogar denne ensam eller, beroende på barnets ålder och mognad, tillsammans med barnet över sekretessen till skydd för barnet enligt 12 kap. 3 § OSL. Som utgångspunkt har vårdnadshavarna rätt att ta del av sekretessbelagda uppgifter som rör barnet. I takt med barnets stigande ålder och mognad ska allt större hänsyn tas till barnets integritet, egna synpunkter och önskemål. När ett barn har nått en viss mognad och utveckling kan vårdnadshavarna inte längre göra anspråk på att få veta vad barnet har berättat för till exempel en läkare.37Någon fast åldersgräns finns inte fastslagen i svensk rätt som ledning för denna bedömning. Det kan även förekomma fall där det av hänsyn till barnets bästa kan vara befogat att inte lämna ut vissa uppgifter till vårdnadshavarna även om det är fråga om ganska små barn.38

Utredningen om sammanhållen information inom vård och omsorg

redogör för svensk rätt och anger bland annat att det inte finns någon generell åldersgräns för när ett barn har rätt att självt disponera sina uppgifter, men att vissa utgångspunkter skapats i rättspraxis till exempel att en 12-årings vilja i regel ska ges avgörande betydelse.39Situationen anses få bedömas från fall till fall utifrån barnets ålder och mognad. Den utredningen påtalar också att det kan finnas gränsdragningsproblem och praktiska bekymmer med att vårdnadshavaren inte får tillgång till barnets uppgifter, samt att det kan vara vanskligt att bedöma när ett barn har uppnått sådan ålder och mognad att det självt ska få disponera över sina uppgifter, särskilt för barn i yngre tonåren.

Frågeställningen har ställts på sin spets i den digitala lösning för direktåtkomst till barns uppgifter som tillhandahålls via den digitala tjänsten Läkemedelskollen, eftersom en sekretessprövning inför ett utlämnande är svår i en sådan lösning. E-hälsomyndigheten beslutade att ta bort vårdnadshavares direktåtkomst till tonåringars receptinformation i Läkemedelskollen40 från april 2019. E-hälsomyndig-

36 Eva Lenberg m.fl., Offentlighets- och sekretesslagen – en kommentar, kommentaren till OSL 12 kap. 3 §, JUNO version 24. 37Prop. 1981/82:186, s. 36. 38Prop. 1981/82:186, s. 36. 39 Beskrivningen av gällande rätt baseras i stora delar på SOU 2021:39, s. 341 ff. 40 Läkemedelskollen är en tjänst från E-hälsomyndigheten som innebär att patienten under vissa förutsättningar kan logga in och se t.ex. e-recept och information om utlämnade läkemedel.

heten motiverade detta bland annat med att direktåtkomsten innebar att information om aktuella e-recept blev tillgänglig för vårdnadshavare när de loggat in och det ansågs inte förenligt med OSL.41 Efter en anmälan av detta beslut uttalade JO att det inte fanns skäl att rikta kritik mot detta förfarande. JO delade bedömningen att uppgifter som omfattas av sekretess till skydd för en underårig som uppnått en viss ålder och mognad bör lämnas ut till vårdnadshavare först efter en prövning i varje enskilt fall.42

I praktiken innebär detta för närvarande bland annat att vårdnadshavare i Sverige till barn som är cirka 13–17 år inte automatiskt kan se och beställa en tonårings läkemedel via e-handel utan kontakt med en farmaceut. Däremot kan en vårdnadshavare hämta ut läkemedel för sina tonårsbarn om en farmaceut gör en bedömning av vilken information som kan lämnas ut med hänsyn till tonåringens integritet och om sekretess anses gälla i förhållande till vårdnadshavaren. På apoteket kan det göras till exempel genom att farmaceuten som en integritetsskyddande åtgärd ställer frågor om vilka läkemedel tonåringen behöver.

Sammanfattande överväganden

Barns integritet måste skyddas på samma sätt som nationellt om de ska kunna omfattas av tjänsten patientöversikter över landsgränser. Frågor som möjlighet att lämna samtycke, och av vem, samt därvid hörande ställningstaganden kring åldersgränser och sekretesskydd aktualiseras.

En samlad bedömning av rättsläget ger att vissa utgångspunkter skapats i rättspraxis, till exempel att en 12-årings vilja i regel ska ges avgörande betydelse i fråga om självbestämmande. Detta är i linje med den redovisning som gjorts ovan och som omfattar olika delar av hälso- och sjukvårdsfrågor för barn. Emellertid återkommer slutsatsen att det varken är lämpligt eller möjligt att ange en definitiv ålder för när ett barn bör få bestämma själv om till exempel hanteringen av sina personuppgifter. Samtidigt som det kan finnas gränsdragningsproblem och praktiska bekymmer med att vårdnadshavaren inte får tillgång till barnets uppgifter, kan det vara vanskligt att bedöma när

41 E-hälsomyndighetens rapport (2019-04-03) Borttagande av vårdnadshavares direktåtkomst till tonåringars recept via apotekens e-handel, dnr 2019/01480. 42 JO beslut 2021-02-03, dnr 3331-2019.

ett barn har uppnått sådan ålder och mognad att det självt ska få disponera över sina uppgifter, särskilt för barn i yngre tonåren.

I sammanhanget kan nämnas att det även inom Sverige finns skillnader mellan olika regioner när det gäller till exempel åldersgränser för åtkomst till personliga digitala tjänster på exempelvis 1177.se, vilket har lyfts bland annat av Socialstyrelsen i myndighetens redovisning av uppdraget om en Nationell listningstjänst. Socialstyrelsen konstaterar vidare att varken hälso- och sjukvårdslagen eller patientlagen innehåller specifika bestämmelser i fråga om när barn ska kunna använda den digitala listningstjänsten för att lista sig hos en utförare. Det är således upp till regionerna att analysera och avgöra vilken ålder som ska gälla för att barn själva ska få använda listningstjänsten eller göra val av utförare på annat sätt än genom listningstjänsten, utan att samtycke inhämtas från vårdnadshavarna.43

I en rapport från Inera om åldersgränser i 1177-tjänster44 fokuseras särskilt på problematiken kring ramverket som innebär en åldersgräns om 16 år för tillgång till sin egen journal i förhållande till rätten för vårdnadshavares tillgång till barns journal som gäller till det att barnet fyller 13 år. För barn mellan 13 och 15 år finns därför i nuläget ingen automatisk tillgång, vare sig för vårdnadshavaren eller för barnet själv. I rapporten föreslås bland annat, med vissa undantag, att barn bör få tillgång till alla tjänster som innehåller potentiellt känslig journalinformation från 13 års ålder och samtidigt bör vårdnadshavare få tillgång till samma information fram till att barnet fyller 15 år. På så sätt eftersträvas att fylla glappet som varit när varken barn eller vårdnadshavare har direktåtkomst till patientuppgifterna mellan det att barnet är 13 och 15 år. Regeringen har sedermera tillsatt en utredning för att utreda åldersgränser vid direktåtkomst till barns patientuppgifter via 1177 Vårdguiden.45 Utredaren ska kartlägga hur det ser ut i praktiken i dag samt lämna förslag som kan ge vårdnadshavare, enskilt eller tillsammans med barnet, direktåtkomst till barnets patientuppgifter, för att uppnå en mer ändamålsenlig ordning. Uppdraget planeras slutredovisas den 31 maj 2023.

43 Socialstyrelsens promemoria Konsekvensutredning – förslag till föreskrifter och allmänna råd om listningstjänst för vårdval och vårdval på annat sätt, 2023-01-09, dnr 4.1-37849/2022, s. 35. 44 Åldersgränser i 1177-tjänster, Utredningsrapport och barnkonsekvensanalys, 2022-08-26. 45 Uppdrag om elektronisk åtkomst till barns uppgifter inom hälso- och sjukvården inklusive tandvården (S 2022:G).

Det är en svår avvägning som ibland måste göras. Som ett ytterligare exempel kan regeringens överväganden i förarbetena till den tidigare gällande bestämmelsen i 6 kap. 2 § patientdatalagen tas. Där anfördes att i 14 kap. 1 § socialtjänstlagen finns bestämmelser som ställer krav på såväl myndigheter som anställda inom både myndigheter och verksamheter inom hälso- och sjukvården och socialtjänsten att anmäla till socialtjänsten om de i sin verksamhet får kännedom om eller misstänker att ett barn far illa. Regeringen ansåg vidare att behovet av att öka vårdpersonalens möjligheter att upptäcka barn som far illa och att bedöma om anmälan ska göras till socialnämnden för att barnet ska få tillräckligt skydd, väger tyngre än den integritetskränkning som kan uppstå till följd av att vårdnadshavare inte kan spärra sitt barns uppgifter.46 Därför hade inte vårdnadshavaren till ett barn möjlighet att spärra uppgifter om barnet enligt 6 kap. 2 § fjärde stycket patientdatalagen.

Det ovan sagda bör beaktas vid de överväganden som måste göras kring möjligheten att låta barn omfattas av tjänsten patientöversikt över landsgränser. Som framkommit blir det härvid viktigt att i takt med barnets stigande ålder och mognad ta allt större hänsyn till barnets åsikter, önskemål och vilja. En viktig aspekt är dock även att barn som är patienter är i ett beroendeförhållande till vårdgivaren och att det är angeläget att vårdgivaren vid tillämpningen av lagen försäkrar sig om att samtycken från barn är reella samtycken, och att barnets rättigheter tillvaratas. Mognad och förmåga till självbestämmande kan variera mellan olika barn i samma ålder. Därav bör en specifik åldersgräns för när ett barn exempelvis ska kunna lämna ett samtycke till, i nu aktuellt fall, personuppgiftshantering lämpligen inte anges.47

I stället bör, i likhet med vad som gäller avseende möjlighet för barn att spärra uppgifter enligt lagen om sammanhållen vård- och omsorgsdokumentation, barnet självt ha rätt att samtycka till personuppgiftshanteringen som måste ske vid utbytet av patientöversikter i takt med sin stigande ålder, mognad och utveckling (jämför 6 kap. 11 § föräldrabalken). Utredningens bedömning är således att ett barn som har uppnått en sådan mognad att de förstår innebörden av hanteringen bör få lämna avsett samtycke. I det hänseendet är det av vikt att barnet får information som barnet kan ta till sig och förstå

46Prop. 2007/08:126, s. 115 och 250 f. 47 Jämför motsvarande resonemang i prop. 2021/22:177, s. 96.

och att även barn som inte följer en mer typisk mognadsutveckling bör ges möjlighet till det inflytande de kan anses mogna för. Hur denna bedömning ska ske kan inte anges närmare i detta sammanhang, utan den bör ske på det sätt som görs redan i dag på andra områden inom hälso- och sjukvården.48 49 En möjlig lösning vore att den vårdpersonal som har kontakt med och kännedom om barnet bör bedöma om barnet kan lämna ett integritetshöjande samtycke.

Utredningen ser utifrån patientsäkerhet och principer om likabehandling ett stort värde i att även barn kan omfattas av utbytet av patientöversikter. Som framgått måste detta dock ställas mot skyddet för barnets integritet och stadgade rättigheter, ytterst i barnkonventionen. Integritetsskyddet bör, som redogjorts för ovan, göra sig mer gällande utefter stigande ålder och när det gäller barn upp till omkring tolv år ser utredningen att det vore önskvärt att kunna låta dem omfattas av utbytet, under förutsättning att de inte får ett sämre skydd än det de åtnjuter nationellt. Den rättsliga reglering som utredningen föreslår (se vidare i följande kapitel) hindrar i sig inte en sådan lösning men som återkommande pekats på måste komplexiteten kring exempelvis samtycke hanteras. Därtill kommer eventuella hinder ur sekretesshänseende.

Beträffande sekretessfrågan uttalade sig utredningen i delbetänkandet angående risken för att vårdnadshavaren kan få del av uppgifter om barnets e-recept, utan att någon bedömning av sekretess har gjorts i det enskilda fallet, om vårdnadshavare kan hämta ut recept åt äldre barn i annat land. Utredningen konstaterade då även att det är en situation som sannolikt inte hade inträffat i Sverige med hänsyn till regleringen i bland annat OSL, men något som alltså skulle kunna ske i utlandet. För att konkretisera risken exemplifierade utredningen med att vårdnadshavaren eventuellt skulle kunna få del av uppgift om ett e-recept som är spärrat gentemot vårdnadshavaren eller omfattas av sekretess och att motsvarande situation även blir aktuell när farmaceuten hämtar uppgifter om det aktuella e-receptet. Om så sker, uttalade utredningen vidare, beror bland annat på hur tjänsten utformas i detta hänseende och även om vårdnadshavaren inte får direktåtkomst till uppgifterna finns en risk att konsekvensen

48 Jämför motsvarande resonemang i prop. 2021/22:177, s. 96. 49 Se även Socialstyrelsens promemoria Konsekvensutredning – förslag till föreskrifter och allmänna råd om listningstjänst för vårdval och vårdval på annat sätt, 2023-01-09, dnr 4.1-37849/2022, särskilt barnkonsekvensanalysen i avsnitt 6 där motsvarande överväganden görs avseende barn ställning och rättigheter.

i stort kan bli densamma, exempelvis att vårdnadshavaren får kännedom om uppgifter om barnets läkemedelsbehandling som vårdnadshavaren inte hade fått vid en expediering i Sverige.

I situationen med utbyte av patientöversikter över landsgränser är det inte fråga om att vårdnadshavare hämtar ut recept åt barn i ett annat land, men likväl kan information om läkemedelsbehandling såväl som andra uppgifter som ett äldre barn kan ha rätt att själv råda över enligt det ovan redogjorda regelverket omfattas av sammanställningen. Utredningen ser, i likhet med delbetänkandets överväganden, att det är av vikt att barnet inte får ett sämre skydd för sin integritet vid ett utbyte av patientöversikter över landsgränser än det motsvarande skyddet som finns inom Sverige.

Som redogjorts för ovan pågår arbete inom Nätverket för e-hälsa som hanterar nu aktuella frågor. Inom ramen för detta bör frågorna diskuteras vidare för att nå en gemensam syn och lösning så att barn på ett säkert och integritetsvärnande sätt kan omfattas i samma utsträckning som vuxna av det gränsöverskridandet utbytet av patientöversikter, oavsett vilket land A och land B det är fråga om i det enskilda fallet. Som pekats på bör frågor om eventuellt krav på samtycke för personuppgiftshanteringen och i så fall möjligheten för barn att lämna samtycke samt därtill angränsande frågor såsom åldersgränser eller hur barn bör identifieras i tjänsten patientöversikt över landsgränser innefattas i diskussionerna. Utredningen uppfattar alltså att det bör finnas förutsättningar att involvera även barn i den gränsöverskridande tjänsten (över landsgränser) men att det i nuläget saknas ett tillräckligt harmoniserat regelverk och synsätt inom Nätverket för e-hälsa och i de nationella lagstiftningarna för att kunna säkerställa en säker hantering av barns personuppgifter vid utbyte av patientöversikter.

Utredningen anser sammantaget när det gäller barn att förutsättningarna för utbyte av patientöversikter med ett annat EES-land för närvarande inte kan antas vara en lika patientsäker hantering som i Sverige med hänsyn till barnets integritet och ur ett sekretessperspektiv. Om dessa förutsättningar framöver kan säkerställas bör bland annat övervägas dels huruvida vårdnadshavare åt äldre barn ska kunna samtycka till att en patientöversikt inhämtas för sitt barn av annat EES-land, dels på vilket sätt vårdnadshavaren ska kunna agera på motsvarande sätt som patienten.50 Det är som anförts svårt att

50 Se eHDSI Requirements Catalogue, 02.01 Uniquely Identify the Patient.

säga när vårdnadshavaren kan göra det, med hänsyn till bestämmelserna till skydd för barnet, men är möjligen något som E-hälsomyndigheten som personuppgiftsansvarig bör säkerställa.

Pågående arbeten och utredningar avseende åldersgränser och andra angränsande och relevanta frågor bör analyseras och utvärderas i strävan efter att kunna erbjuda barn samma rättigheter som vuxna gällande möjligheten att omfattas av utbytet av patientöversikter.

14. En ny förordning om E-hälsomyndighetens personuppgiftsbehandling i samband med hantering av patientöversikter

14.1. Inledning

Som redogjorts för i kapitel 13 föreslår utredningen att den rättsliga grunden för E-hälsomyndighetens behandling av personuppgifter vid hantering av patientöversikter ska fastställas dels i E-hälsomyndighetens instruktion, dels i en ny förordning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen. Som exempel kan anges allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling (artikel 6.3). EU-rätten eller den nationella rätten ska även uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen). Nationell rätt kan även innehålla förtydliganden och begränsningar av bestämmelserna i dataskyddsförordningen, i den utsträckning det är nödvändigt för samstämmigheten och för att göra dem begripliga för personer som de ska tillämpas på (skäl 8 till dataskyddsförordningen).

Utredningen anser mot denna bakgrund och med hänsyn till behovet av särskilda skyddsåtgärder att det är lämpligt att i förordning fastställa närmare bestämmelser för hur E-hälsomyndighetens behandling av personuppgifter vid utbyte av patientöversikter ska gå

till. De närmare bestämmelserna avser bland annat ändamål med behandlingen och personuppgiftsansvar.

14.2. Förordningens tillämpningsområde

Utredningens bedömning: Förordningen ska tillämpas vid auto-

matiserad behandling av personuppgifter vid E-hälsomyndighetens hantering av patientöversikter inom Sverige samt vid E-hälsomyndighetens hantering av patientöversikter inom Europeiska ekonomiska samarbetsområdet (EES) enligt de regler som har fastställts av Nätverket för e-hälsa.

Tillämpningsområdet för den föreslagna förordningen bör avgränsas så att det gäller sådan automatiserad behandling som utförs i myndighetens verksamhet i fråga om hantering av patientöversikter inom Sverige samt inom EES enligt de regler som har fastställts av Nätverket för e-hälsa.

De uppgifter som behandlas när utländska patientöversikter ska förmedlas till vårdgivare i Sverige kommer från utländska vårdgivare. När E-hälsomyndigheten i egenskap av kontaktpunkt för e-hälsa ska förmedla uppgifter i svenska patientöversikter till en utländsk kontaktpunkt för e-hälsa kommer journaluppgifterna från svenska vårdgivare. Den föreslagna förordningen är inte en egentlig registerförfattning, eftersom något svenskt register i traditionell mening inte ska finnas. Förordningen ska i stället reglera E-hälsomyndighetens personuppgiftsbehandling i en viss del av sin verksamhet, nämligen den som gäller förmedlingen av personuppgifter till och från utländska kontaktpunkter för e-hälsa i samband med att patientöversikter ska förmedlas till och från utlandet samt förmedling av personuppgifter mellan svenska vårdgivare vid det nationella utbytet.

Genom hänvisningen till de regler som har fastställts av Nätverket för e-hälsa avgränsas den möjliga personuppgiftsbehandlingen på flera olika sätt beträffande utbytet med andra länder. Dessa regler ställer upp villkor för deltagandet i informationsutbytet, till exempel att det bara är medlemsstater i EU och Efta som kan ingå och att medlemsstatens nationella kontaktpunkt för e-hälsa måste vara granskad och godkänd för att tjänsterna ska få driftsättas. Det krävs också att informationsöverföringen mellan länderna kanali-

seras till medlemsstaternas nationella kontaktpunkter för e-hälsa. Dessa krav avgränsar mellan vilka länder som informationsutbytet kan bli aktuellt, men även andra förutsättningar för utbyte av patientöversikter över landsgränser.

Vidare ska förordningen gälla automatiserad behandling av personuppgifter eftersom tjänsten patientöversikter endast gäller automatiserade uppgifter.

14.3. Definitioner

Utredningens förslag: Förordningen ska innehålla definitioner

av patientöversikt, vårdgivare, hälso- och sjukvård samt kontaktpunkt för e-hälsa.

Den föreslagna förordningen kommer att innehålla begrepp som är centrala för tillämpningen av förordningen. De begrepp som främst avses är patientöversikt och kontaktpunkt för e-hälsa. För tydlighets skull bör även vårdgivare samt hälso- och sjukvård definieras utifrån avsedd betydelse av de begreppen i förordningen. Utredningen föreslår därför att begreppen förs in i förordningen. Syftet med definitionerna är att undvika upprepningar och förenkla författningstexten.

Förordningen hänvisar på flera ställen till begreppet patientöversikt. En definition bör därför införas. En hänvisning till definitionen av patientöversikt i förordningen förs även in i patientdatalagen och i lagen om sammanhållen vård- och omsorgsdokumentation. En patientöversikt är således en sammanställning av utvalda uppgifter om patienten och dess hälsa och vård som syftar till att bidra till en god och säker vård.

För att tydliggöra avgränsningen av personuppgiftsbehandlingen för tjänsten patientöversikter bör vårdgivare som omfattas av denna definieras och likaså vad som avses med hälso- och sjukvård. Utredningen har bedömt att det utifrån att skyddet för patienternas integritet ska säkerställas på ett tillfredsställande sätt är lämpligt att använda samma definition av begreppen som redan finns i lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation, där sådana aspek-

ter nyligen övervägts i samband med förarbetena till lagen.1 Utredningen har endast infört en hänvisning i förordningen till den lagens bestämmelse. Skälet för detta är främst att undvika onödigt ändringsarbete med förordningen för det fall ändringar införs i lagens motsvarande bestämmelse. Med vårdgivare avses således i denna förordning statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård. Hälso- och sjukvård innebär verksamheter som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen 1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering.

Med begreppet kontaktpunkt för e-hälsa avses en sådan nationell kontaktpunkt för gränsöverskridande hälso- och sjukvård som har utsetts i en medlemsstat i EES i enlighet med artikel 6 i patientrörlighetsdirektivet. Enligt Nätverket för e-hälsas krav ska endast en sådan kontaktpunkt utses av respektive land. I Sverige är detta E-hälsomyndigheten.

14.4. Förhållandet till EU:s dataskyddsförordning och dataskyddslagen

Utredningens förslag: Den nya förordningen ska innehålla en

upplysning om att den kompletterar EU:s dataskyddsförordning.

Om inte annat följer av den nya förordningen eller föreskrifter som har meddelats i anslutning till den förordningen ska även dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gälla.

1Prop. 2021/22:177, s. 5662 och 8587.

14.4.1. Dataskyddsförordningen

EU:s dataskyddsförordning (fortsättningsvis dataskyddsförordningen) är direkt tillämplig och har företräde framför nationell lagstiftning. Dataskyddsförordningen har dock i viss mån en direktivliknande karaktär genom att flera artiklar förutsätter eller medger nationella bestämmelser som kompletterar eller föreskriver undantag från förordningens bestämmelser. Det är också möjligt att införliva delar av förordningen i nationell rätt, enligt skäl 8, i de fall förordningen föreskriver förtydliganden eller begränsningar och det är nödvändigt för samstämmigheten samt för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på. Enligt skäl 10 utesluter inte dataskyddsförordningen att det i medlemsländernas nationella rätt fastställs närmare omständigheter för specifika situationer där personuppgifter behandlas, inbegripet mer exakta villkor för laglig behandling av personuppgifter.

Den föreslagna förordningen kommer därför endast att innehålla bestämmelser som kompletterar eller tar över bestämmelserna i dataskyddsförordningen, när det är tillåtet. För att tillämparen ska få en tydligare uppfattning av vilken reglering som gäller föreslår utredningen att en bestämmelse tas in i den nya förordningen med upplysning om att dataskyddsförordningen gäller.

Den nya förordningen innehåller hänvisningar till artiklar i dataskyddsförordningen. Hänvisningar till EU-rättsakter kan antingen göras statiska eller dynamiska. En statisk hänvisning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En följd av denna hänvisningsteknik är att den nationella författningen vanligtvis behöver ändras varje gång EU-bestämmelsen ändras. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen. Enligt utredningens bedömning är det mest lämpligt att en dynamisk hänvisning görs till dataskyddsförordningen i den nya förordningen. Dataskyddsförordningen är direkt tillämplig och syftet med hänvisningen är endast att upplysa om att dataskyddsförordningen gäller.

14.4.2. Dataskyddslagen

Dataskyddslagen (2018:218) innehåller nationella kompletterande bestämmelser till dataskyddsförordningen. Av 1 kap. 6 § dataskyddslagen följer att om en annan lag eller förordning innehåller någon bestämmelse som rör behandling av personuppgifter och som avviker från dataskyddslagen ska den bestämmelsen tillämpas. Dataskyddslagen är således subsidiär i förhållande till annan lagstiftning som reglerar behandling av personuppgifter.

Det är följaktligen inte nödvändigt att föra in en materiell bestämmelse som hänvisar till dataskyddslagen i den nya förordningen. Av tydlighetsskäl innehåller ofta flertalet registerförfattningar en bestämmelse om förhållandet till den generella regleringen i dataskyddslagen. Av samma tydlighetsskäl föreslår därför utredingen att det bör införas en sådan bestämmelse i den nya förordningen. Bestämmelsen ska ange att dataskyddslagen och föreskrifter som har meddelats i anslutning till den gäller vid behandling av personuppgifter enligt den nya förordningen, om inte annat följer av den nya förordningen eller föreskrifter som har meddelats med stöd av den. När dataskyddslagen är tillämplig är också bestämmelser som regeringen meddelat i anslutning till dataskyddslagen tillämpliga. Det innebär att eventuella förordningsbestämmelser om undantag från dataskyddslagens tillämplighet gäller.

14.5. Personuppgiftsansvar vid utbyte av patientöversikter

Utredningens förslag: E-hälsomyndigheten ska vara personupp-

giftsansvarig för den behandling av personuppgifter som myndigheten utför med stöd av förordningen vid utbyte av patientöversikter över landsgränser inom EES. När det gäller utbytet av patientöversikter mellan vårdgivare i Sverige gäller dock den särskilda regleringen om personuppgiftsansvar i lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.

14.5.1. Allmänt om personuppgiftsansvar

Dataskyddsförordningen förutsätter att det finns en personuppgiftsansvarig för all personuppgiftsbehandling som sker. Med personuppgiftsansvaret följer en rad skyldigheter, exempelvis att se till att det finns en laglig grund för behandlingen, ett ansvar för att behandlingen inte sker i strid med de grundläggande principerna som gäller för behandling av personuppgifter och att behandlingen inte sker i större utsträckning än vad som är nödvändigt med hänsyn till det lagliga stöd som gäller för behandlingen samt att de registrerades rättigheter uppfylls. Vidare har den personuppgiftsansvarige ett övergripande ansvar att vidta tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter sker i enlighet med dataskyddsförordningen. Det åligger den personuppgiftsansvarige att genomföra konsekvensbedömningar och anmäla personuppgiftsincidenter till tillsynsmyndigheten samt informera berörda om incidenter som inträffat. Den personuppgiftsansvarige har vidare ett skadeståndssanktionerat ansvar för att behandlingen av personuppgifter sker i enlighet med bestämmelserna i dataskyddsförordningen och de eventuella kompletterande svenska dataskyddsbestämmelser som kan gälla (7 kap. 1 § dataskyddslagen).

Enligt artikel 4.7 i dataskyddsförordningen är personuppgiftsansvarig en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.

Det avgörande rekvisitet är den som bestämmer ändamålen och medlen för behandlingen. En personuppgiftsansvarig har per definition alltid bestämmanderätt över ändamål och medel. Med rätten att bestämma över ändamål och medel avses rätten att bestämma över varför respektive hur en behandling ska utföras. För bedömningen av vem som bestämmer över ändamålen med behandlingen är det enligt Integritetsskyddsmyndigheten (IMY) avgörande bland annat varför behandlingen utförs och vem som är initiativtagare till behandlingen. Att bestämma över medlen för behandlingen innebär enligt IMY främst att bestämma över de tekniska och organisatoriska medlen för behandlingen, det vill säga hur behandlingen ska gå till och till exempel vilka personuppgifter som ska behandlas, vilka

tredje män som ska få tillgång till de behandlade personuppgifterna och när uppgifter ska raderas.2

14.5.2. Bedömningen av personuppgiftsansvaret vid utbyte över landsgränser

Av definitionen av personuppgiftsansvarig i artikel 4.7 i dataskyddsförordningen framgår att om ändamålen och medlen för behandlingen bestäms av EU-rätten eller medlemsländernas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses, föreskrivas i sådan rätt. Det är alltså tillåtet enligt dataskyddsförordningen att i nationell rätt ange vem som är personuppgiftsansvarig för en viss behandling av personuppgifter (se artikel 6.2 och 6.3 samt skäl 45 till dataskyddsförordningen).

Flera aktörer inblandade

Utbyte av patientöversikter, särskilt när det sker över landsgränser, innebär att flera aktörer behöver behandla personuppgifter för att informationen ska nå rätt vårdgivare.

Det finns därför en risk att personuppgiftsansvaret blir otydligt och att patienten har svårt att veta vem som är ansvarig för behandlingen. Den risken kan endast undanröjas helt om det hade funnits en aktör som var ansvarig för all behandling. Det har dock inte bedömts möjligt för någon aktör att ta ett sådant helhetsansvar, särskilt eftersom olika nationella regler gäller i olika länder. Risken kan dock minskas genom att personuppgiftsansvaret för olika delar av behandlingen fastställs i nationell rätt.

E-hälsomyndigheten behandlar personuppgifter i samband med utbyte av patientöversikter över landsgränser genom att sammanställa, översätta ochförmedla uppgifter från de svenska vårdgivarna till den utländska kontaktpunkten för e-hälsa samt från den utländska kontaktpunkten för e-hälsa till den svenska vårdgivaren. I samband med översättningen sker viss bearbetning då data ska mappas enligt ett för tjänsten framtaget kodverk. Det skulle därför kunna hävdas att det inte är E-hälsomyndigheten som bör vara personuppgiftsansvarig för behandlingen, utan någon av de aktörer som har ett

2 Datainspektionens beslut 2010-07-02, dnr 686-2010.

egentligt behov av uppgifterna. E-hälsomyndigheten skulle då vara personuppgiftsbiträde. Frågan är dock vilken eller vilka aktörer som i så fall skulle ha personuppgiftsansvaret. Det skulle vid utbytet över landsgränser kunna vara den svenska eller utländska vårdgivaren eller den utländska kontaktpunkten för e-hälsa. Det kunde eventuellt även vara Socialdepartementet, som är Sveriges representant i Nätverket för e-hälsa och därmed är med och bestämmer ändamål och medel för behandlingen. En sådan ordning skulle dock skapa en oklar och svårbegriplig situation för alla inblandade, inte minst patienterna.

Det pågår en diskussion inom EU-samarbetet om gränserna för personuppgiftsansvaret i samband med utbyte av patientöversikter inom EES. Diskussionen handlar om huruvida det finns någon del av behandlingen som länderna har ett gemensamt personuppgiftsansvar för. Europeiska dataskyddsstyrelsen har tillfrågats om hur personuppgiftsansvaret ska bedömas och i sitt svar angett att det är de personuppgiftsansvariga som avgör det. Förhållandena är i dagsläget inte klarlagda.3

Personuppgiftsansvaret i lagen om nationell läkemedelslista

Enligt lagen om nationell läkemedelslista (2018:1212), fortsättningsvis NLL, är E-hälsomyndigheten personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför i den nationella läkemedelslistan (3 kap. 1 §). Regeringen uttalade i förarbetena att E-hälsomyndighetens särskilda karaktär av infrastrukturmyndighet bör nämnas och lyfte särskilt att myndigheten ansvarade för de register som anges i lagen om receptregister och lagen om läkemedelsförteckning enligt myndighetens instruktion. Denna ordning var en följd av att E-hälsomyndigheten (tidigare Apotekens Service AB) inrättades för att den it-infrastruktur som är nödvändig för drift av apotek skulle förläggas hos en neutral aktör i samband med omregleringen av apoteksmarknaden.4 Vidare uttalade regeringen att den inte delade Datainspektionens synsätt om att de ändamål för vilka E-hälsomyndigheten får behandla personuppgifter enligt såväl lagen om receptregister som den föreslagna nya lagen (NLL) inte är ändamål som behövs inom E-hälsomyndighetens egen verksamhet. Reger-

3 Utredningen noterar emellertid att det i förslaget till EHDS-förordningen föreslås ett gemensamt ansvar. 4Prop. 2017/18:223, s. 81.

ingen uttalade att skälet till att E-hälsomyndigheten måste få behandla personuppgifter för de olika ändamål som anges i dessa lagar är behovet av att kunna erbjuda en konkurrensneutral samt ur integritetssynpunkt säker överföring av personuppgifter mellan olika aktörer.5

Slutsats

Dataskyddsförordningen ger som tidigare nämnts utrymme för nationell reglering av personuppgiftsansvaret om ändamål och medlen för behandlingen fastställs i den nationella rätten (artikel 4.7).

Skälet till att placera personuppgiftsansvaret på E-hälsomyndigheten i NLL var myndighetens särskilda karaktär av infrastrukturmyndighet för att kunna erbjuda en konkurrensneutral samt ur integritetssynpunkt säker överföring av personuppgifter mellan olika aktörer. E-hälsomyndigheten har en motsvarande roll i egenskap av nationell kontaktpunkt för e-hälsa vid utbyte av patientöversikter. Utredningen anser att samma skäl därför bör beaktas även i detta sammanhang. Här kan även framhållas vad som framgår av artikel 7 i Kommissionens genomförandebeslut (EU) 2019/1765 om Nätverket för e-hälsa, det vill säga att medlemsstaterna, företrädda av relevanta nationella myndigheter eller andra utsedda organ, ska betraktas som personuppgiftsansvariga för de personuppgifter som de behandlar genom infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa.

Med hänsyn till det anförda är det lämpligt att tydliggöra personuppgiftsansvaret i nationell rätt. Utredningen föreslår därför att det anges uttryckligen i den nya förordningen att E-hälsomyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt förordningen vid utbyte av patientöversikter över landsgränser.

Som utredningen berört har diskussioner förts om det eventuellt skulle föreligga ett gemensamt personuppgiftsansvar mellan länderna i någon del av den behandling som utförs i informationsutbytet av patientöversikter över landsgränser. Enligt Europeiska dataskyddsstyrelsen är det som nämnts ovan upp till de personuppgiftsansvariga själva att bestämma om de gemensamt eller ensamt behandlar per-

5Prop. 2017/18:223, s. 81.

sonuppgifter.6 Frågan är således fortfarande uppe för diskussion och utredningens förslag i denna del kan därför komma att påverkas av vad länderna kommer fram till.

14.5.3. Personuppgiftsansvaret vid utbyte inom Sverige

Som framgår i avsnitt 15.2 föreslår utredningen ändringar i lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation (fortsättningsvis SVOD) för reglering av det nationella utbytet av patientöversikter. Det föreslås således i den lagen en kravställning på vårdgivare att ge E-hälsomyndigheten elektronisk tillgång till uppgifter om en patient för att tillföras en patientöversikt inom Sverige samt att från E-hälsomyndigheten elektroniskt kunna ta del av sådan patientöversikt.

Den föreslagna regleringen i SVOD om utbyte av patientöversikter inom Sverige ska enligt hänvisningar i såväl nämnda lag som nu aktuell förordning i övrigt följa de bestämmelser (om exempelvis samtycke och undantag från detta, möjlighet att spärra uppgifter samt vårdgivares behandling av uppgifter) som föreskrivs i SVOD. I lagen finns även tydligt utrett vad som ska gälla beträffande personuppgiftsansvar vid utbyte av information mellan vårdgivare. Av 4 kap. 1 § SVOD följer att en vårdgivare eller en omsorgsgivare är personuppgiftsansvarig för behandling av personuppgifter enligt lagen. Den bakomliggande motiveringen till att den som behandlar uppgifterna är personuppgiftsansvarig för den behandlingen som utförs finns utförligt beskriven i lagens förarbeten (prop. 2021/22:177, bland annat s. 130–133).

Utredningen bedömer det som lämpligt att inte göra någon förändring avseende personuppgiftsansvaret i SVOD när det gäller det föreslagna tillägget om utbyte av patientöversikter. Utredningen föreslår följaktligen att detta förtydligas i förordningens bestämmelse om personuppgiftsansvar genom att det anges att utbytet av patientöversikter mellan vårdgivare i Sverige ska omfattas av den särskilda regleringen om personuppgiftsansvar i SVOD. Följden bör bli att E-hälsomyndigheten i detta fall är att anse som personuppgiftsbiträde.

6 Brev från Europeiska dataskyddstyrelsen till eHMSEG Legal Work Group, Bryssel, (2021-06-30), ref. OUT2021-0115.

14.6. Behovet av uppgifter vid utbyte av patientöversikter

Utredningens bedömning: Socialstyrelsen och E-hälsomyndig-

heten har behov av uppgifter om patientöversikter som förmedlats via E-hälsomyndigheten för statistikändamål.

14.6.1. Inledning

I delbetänkandet konstaterade utredningen att det i dagsläget finns ett flertal aktörer som har behov av uppgifter om svenska e-recept som expedieras på ett öppenvårdsapotek. Enligt NLL ska E-hälsomyndigheten lämna ut vissa uppgifter i den nationella läkemedelslistan till bland annat Socialstyrelsen, Inspektionen för vård och omsorg (IVO), Tandvårds- och läkemedelsförmånsverket (TLV) och Läkemedelsverket, samt till förskrivare, annan hälso- och sjukvårdspersonal, regioner, verksamhetschefer och läkemedelskommittéer under vissa förutsättni