SOU 2023:13
Patientöversikter inom EES och Sverige
Till statsrådet och chefen för Socialdepartementet
Regeringen beslutade den 30 juli 2020 att tillsätta en särskild utredare med uppdrag att utreda vad som krävs för en patientsäker och effektiv process för elektroniska recept inom Europeiska ekonomiska samarbetsområdet (dir. 2020:80). Till särskild utredare förordnades tidigare generaldirektören Catarina Andersson Forsman från och med den 21 september 2020.
Som sekreterare i utredningen anställdes från och med den 1 november 2020 till och med den 18 januari 2022 beredningschefen Evelina Kaarme och från och med den 18 januari 2021 till och med den 17 januari 2022 verksjuristen Sarah Svenblad. Som huvudsekreterare i utredningen anställdes från och med den 1 januari 2022 till och med den 21 augusti 2022 Anki Bystedt. Som sekreterare i utredningen anställdes från och med den 17 januari 2022 hovrättsassessorn Niklas Eriksson. Som huvudsekreterare i utredningen anställdes från och med den 8 augusti 2022 farmacie doktor Erika Olsson Lindberg.
Som sakkunniga i utredningen förordnades från och med den 18 december 2020 till och med den 24 maj 2021 ämnesrådet Henrik Moberg, från och med den 18 december till och med den 21 april 2022 kanslirådet Lisa Wiberg, från och med den 25 maj 2021 Omid Mavadati och från och med den 13 juni 2022 Malin Porse, samtliga vid Socialdepartementet.
Som experter i utredningen förordnades från och med den 18 december 2020 till och med den 14 september 2021 juristen Pernilla Andersson, Integritetsskyddsmyndigheten, från och med den 18 december 2020 strategen Daniel Antonsson, Myndigheten för digital förvaltning, från och med den 18 december 2020 seniora farmaceutiska utredaren Annika Ohlson, E-hälsomyndigheten, från och med den 18 december 2020 till och med den 10 februari 2022
medicinska utredaren Johanna Sjögren, Tandvårds- och läkemedelsförmånsverket, från och med den 18 december 2020 till och med den 10 februari 2022 läkemedelsinspektören Gustav Sjöstrand, Läkemedelsverket, från och med den 18 december 2020 till och med den 21 april 2022 rättslige experten Johan Vadengren, Försäkringskassan, från och med den 11 februari 2022 chefsläkaren Max Herulf, E-hälsomyndigheten, från och med den 11 februari 2022 juristen Emmelie Pettersén Uggla, Socialstyrelsen, från och med den 11 februari 2022 till och med den 11 september 2022, Meri Fischerström, IVO, från och med den 22 april 2022 juristen Therese Anundby, Försäkringskassan och från och med den 12 september 2022 utredaren Rikard Owenius, Läkemedelsverket.
Utredningen har antagit namnet Utredningen om e-recept och
patientöversikter inom EES.
Utredningens expertgrupp har under utredningsarbetet bidragit med värdefulla och konstruktiva synpunkter och underlag. När begreppet utredningen används i betänkandet avses den särskilda utredaren samt sekretariatet. Den särskilda utredaren svarar ensam för innehållet i betänkandet.
Den 8 juli 2021 samt den 20 oktober 2021 fick utredningen tilläggsdirektiv (dir. 2021:54 samt dir. 2021:91)
I december 2021 överlämnade utredningen delbetänkandet E-recept inom EES (SOU 2021:102).
Den 22 juni 2022 samt den 22 december 2022 fick utredningen tilläggsdirektiv (dir. 2022:83 samt dir. 2022:143).
I och med detta slutbetänkande är uppdraget avslutat. Utredningen överlämnar härmed betänkandet Patientöversikter inom EES
och Sverige (SOU 2023:13).
Stockholm den 29 mars 2023
Catarina Andersson Forsman
/Erika Olsson Lindberg Niklas Eriksson
Sammanfattning
Om betänkandet
Regeringen fattade den 30 juli 2020 beslut om att tillsätta en särskild utredare med uppdrag att utreda vad som krävs för en patientsäker och effektiv process för elektroniska recept inom Europeiska ekonomiska samarbetsområdet (dir. 2020:80). Utredningen fick den 20 oktober 2021 tilläggsdirektiv avseende uppdraget att utreda frågor som rör gränsöverskridande patientöversikter inom EES. Utredningen tog
namnet E-recept och patientöversikter inom EES.
Utredningen överlämnade i december 2021 sitt delbetänkande Erecept inom EES (SOU 2021:102). I och med detta betänkande är uppdraget slutfört.
Betänkandets form och innehåll
I det följande görs en sammanfattning av betänkandets kapitel, med fokus på det bedömningar och förslag som lämnas. Kapitel 3–7 innehåller en beskrivning av kontexten för utredningens uppdrag, dessa sammanfattas inte nedan. Kapitel 1 och kapitel 19 innehåller författningsförslag samt författningskommentarer, vars innehåll täcks i redovisningen av övriga förslagskapitel och därför inte redovisas separat.
Kapitel 2 Utredningens uppdrag och arbetssätt
Utredningen har arbetat med att ta fram de förslag som utredningen bedömer är nödvändiga för att informationsutbytet av patientöversikter inom EES ska bli möjligt. Av utredningens direktiv framgår att utredningen ska lämna förslag som möjliggör utbyte av patientöversikter med information från alla vårdgivare. Utredningen har
därför utgått från förslag som inkluderar såväl privata som offentliga vårdgivare oavsett finansieringsform. Vidare har utredningen givet formuleringen i tilläggsdirektivet haft sitt fokus på just vårdgivare. Det ingår inte i utredningens uppdrag att möjliggöra information även från omsorgen. Utredningen ser emellertid att nationell reglering avseende sammanhållen journalföring inom Sverige inkluderar omsorgsgivare. Utredningen har därför i det nationella utbytet av patientöversikter även beaktat omsorgsgivare.
De avgränsningar utredningen har gjort i dessa och andra avseenden framgår också under respektive kapitel.
Kapitel 8 Tjänsten patientöversikt inom EES
Patientrörlighetsdirektivet innehåller bestämmelser för att göra det lättare för patienter att få tillgång till en säker och högkvalitativ gränsöverskridande hälso- och sjukvård. Av direktivet framgår att ett nätverk för e-hälsa ska bildas inom vilket EU stödjer och främjar samarbetet och utbytet av information. Nätverket för e-hälsa ska enligt direktivet arbeta för att tillhandahålla hållbara sociala och ekonomiska nyttoeffekter genom europeiska system och tjänster som rör e-hälsa. Inom ramen för samarbetet kring e-hälsa finns för närvarande två tjänster framtagna, e-recept och patientöversikter. Tjänsten patientöversikt inom EES syftar till att ge alla individer samt behandlande hälso- och sjukvårdspersonal, tillgång till utvalda uppgifter om individens hälsa och vård från hemlandet vid behov av oplanerad eller planerad vård i ett annat EES-land. Behandling av patienter utan information om deras medicinska tillstånd och bakgrund är riskfyllt och potentiellt farligt. Genom att möjliggöra tillgång till utvalda uppgifter om patientens hälsa och vård ökar patientsäkerheten och förutsättningar för god och säker vård stärks, bland annat genom att risken för vårdskador reduceras. Bland informationen som delas finns känsliga personuppgifter varför hanteringen bör ske på ett sådant sätt att hög informationssäkerhet garanteras och skyddet av den personliga integriteten värnas.
Kapitel 9 Internationell utblick
I skrivande stund deltar nio länder i tjänsten patientöversikt inom EES och ytterligare 15 länder har fått finansiellt bidrag och planerar att delta fram till och med 2025. Detta kapitel inleds med en översikt över gällande tidsplan för införandet av tjänsten patientöversikt inom EES och statistik över användning av tjänsten. Tjänsten är inne i en intensiv implementationsfas där antalet invånare som har möjlighet att utbyta patientöversikter har ökat från 5,7 miljoner 2021 till 58,8 miljoner 2022. Därefter sammanfattar utredningen genomförandet av tjänsten samt erfarenheter av och eventuella lärdomar från implementeringen från fem länder som i dag utbyter patientöversikter som både land A och land B. Informationen kommer från svar på frågor som utredningen skickat till den eller de som representerar landet i eHealth Member State Expert Group (eHMSEG), medlemsländernas expertgrupp för e-hälsa där de nationella kontaktpunkterna för e-hälsa finns representerade. Vissa länder har haft förutsättningar för att snabbt och med små medel implementera tjänsten medan andra behövt göra ett mer omfattande jobb. Antalet vårdgivare vars digitala uppgifter tillgängliggörs för patentöversikten varierar kraftigt från ett sjukhus på Malta till samtliga vårdgivare i Estland.
Kapitel 10 Definition av begreppet patientöversikt
Utredningen har i uppdrag att föreslå en definition av begreppet patientöversikt. Det finns i Sverige ingen officiell eller legal definition av patientöversikt. Begreppet saknas i Socialstyrelsens termbank och finns inte heller i den gemensamma författningssamlingen avseende hälso- och sjukvård, socialtjänst, läkemedel och folkhälsa (HSLF-FS). Det framgår av utredningens direktiv att patientöversiktens innehåll kan ändras över tid beroende på till exempel nya medicinska rön, utifrån professionens ändrade behov och uppdrag och på grund av den tekniska utvecklingen. Det är därför önskvärt att en definition av begreppet tas fram och att patientöversiktens innehåll kan ändras över tid.
Utredningens förslag på definition har tagit i beaktande befintliga formuleringar i relevant lagtext, Nätverket för e-hälsas definition av Patient Summary, CEN:s definition av The International Patient Summary, förslaget till definition från E-hälsomyndigheten, definitionen
av närliggande och ingående begrepp i Socialstyrelsens termbank samt definitionen av begreppet e-recept inom ESS i delbetänkandet. Utredningen anser, precis som i delbetänkandet vad gäller e-recept, att det är ändamålsenligt att definitionen kan omfatta såväl patientöversikter som tas fram för nationell användning som för användning över landsgränser. Utredningen avser även uppnå, i enlighet med utredningens direktiv, att definitionen tillåter att de uppgifter som patientöversikten innefattar kan variera över tid. Utredningen föreslår att begreppet patientöversikt definieras som:
en sammanställning av utvalda uppgifter om patienten och dess hälsa och vård som syftar till att bidra till en god och säker vård
Kapitel 11 Dokumentation och tillgängliggörande av informationsmängder
Utredningen har i uppdrag att analysera om patientöversikten eller delar av patientöversikten ska vara obligatorisk att dokumentera och tillgängliggöra för vårdgivare vid gränsöverskridande vård, både inom EES och nationellt, och föreslå hur detta skulle kunna regleras. I kommittédirektiven konstaterar regeringen att dagens användning av patientöversikter skiljer sig åt mellan regioner och att det finns en skillnad i vilka informationsmängder som tillgängliggörs av regionerna. Regeringen anför att det därför kan finnas skäl för att det ska vara obligatoriskt att tillgängliggöra vissa informationsmängder nationellt och inom EES för att säkerställa patientsäkerheten, men också ur ett nationellt jämlikhetsperspektiv. Utredningen ska även analysera och bedöma om den reglering som utredningen föreslår för patientöversikter kan innefatta ytterligare kategorier av hälsodata samt följa utvecklingen av EU-kommissionens förslag till förordning om ett europeiskt hälsodataområde.
Utredningen anser att den information om patientens hälsa och vård som en patientöversikt kan innehålla är av sådan karaktär att den väsentligt kan påverka kvaliteten på den vård som ges, framför allt genom att vårdskador undviks. Ytterst kan det handla om skillnad mellan liv och död. Vidare kan beslut om undersökning och behandling fattas på en mer solid grund. Samtidigt är personuppgifterna som behandlas känsliga, varför det är av stor vikt att individens integritet värnas genom att tillgängliggörande och tillgång till informa-
tionen bygger på system och processer med hög informationssäkerhet. Flera utredningar och regeringsuppdrag har behandlat frågan om en elektroniskt sammanhållen journal för varje patient och vårdgivares tillgång till personuppgifter om patientens hälsa och vård. I fallet patientöversikt blir konsekvensen av frivilligheten särskilt tydlig eftersom olika vårdgivare tillgängliggör olika mycket information. En frivillighet resulterar också i att patienten inte med säkerhet kan veta att det som dokumenteras i patientjournalen finns tillgängligt och används när den vänder sig till olika vårdgivare. Utredningen bedömer mot bakgrund av den nytta som erhålls, framför allt i form av stärkt patientsäkerhet, och de konsekvenser som beskrivs i kapitel 12 och 18 att bestämmelser ska införas om krav på vårdgivare att ge elektronisk tillgång till utvalda digitala uppgifter om en patients hälsa och vård, för att tillföras en patientöversikt som kan utbytas inom EES och inom Sverige. Kravet på att vårdgivare ska tillgängliggöra och kunna ta del av patientöversikter inom EES gäller inte vårdgivare som bedriver tandvård eller kommunal hälso- och sjukvård men dessa vårdgivare får ge tillgång till och ta del av uppgifter om de önskar. Kravet på att vårdgivare ska tillgängliggöra och kunna ta del av patientöversikter inom Sverige gäller inte heller vårdgivare som bedriver tandvård eller kommunal hälso- och sjukvård men dessa vårdgivare och omsorgsgivare får ge tillgång till och ta del av uppgifter om de önskar. Hur förslaget regleras beskrivs i kapitel 15.
Kapitel 12 Gränsöverskridande utbyte av patientöversikter
Utredningen har utrett vad som krävs för att Sverige ska ingå i ett gränsöverskridande utbyte av patientöversikter inom EES. Nedan presenteras utredningens bedömningar och förslag för att möjliggöra tjänstens implementation och genomförande. I tjänsten finns informationsflöden i två riktningar, med Sverige som land A respektive land B, och dessa kräver olika funktionalitet. Utredningen kommer att presentera förslag avseende infrastruktur för att möjliggöra flödet i respektive riktning samt förslag avseende de grundläggande förmågor och funktioner som krävs för att Sverige ska uppfylla ställda krav och därigenom kunna implementera tjänsten patientöversikter inom EES.
Utredningen föreslår att E-hälsomyndigheten, i rollen som Sveriges nationella kontaktpunkt för e-hälsa, ges i uppdrag att utveckla och förvalta den funktionalitet och den infrastruktur som krävs för att kunna uppfylla de åtaganden som åligger den nationella kontaktpunkten för e-hälsa i Sverige i samband med att tjänsten implementeras i här, exempelvis en nationell connector och tjänster för mappning och översättning. För att möjliggöra informationsflödet från Sverige till utlandet föreslår utredningen att regeringen ska säkerställa att en infrastruktur för att tillgängliggöra information om patientens hälsa och vård till en patientöversikt finns tillgänglig för alla vårdgivare. Inera äger och förvaltar viktig infrastruktur för detta ändamål och det bredare ändamålet säker informationsöverföring inom hälso- och sjukvården, som är tillgänglig för många men inte alla. Staten har små möjligheter att styra dess utveckling för att säkerställa att nationella och internationella mål och krav uppfylls i tid. Utredningen föreslår att förslaget genomförs genom att staten förvärvar delar av eller hela Inera förvärvas samt att det utreds vidare om och i så fall vilka delar som bör ägas och förvaltas av en myndighet.
För att möjliggöra informationsflödet från utlandet till svensk hälso- och sjukvårdspersonal föreslår utredningen att E-hälsomyndigheten ges i uppdrag att tillhandahålla en digital tjänst för att ta del av patientöversikter från utlandet för hälso- och sjukvårdspersonal. I denna tjänst föreslår utredningen att hälso- och sjukvårdspersonal även ska kunna få tillgång till patientöversikter från Sverige. Tekniska krav på de som tillgängliggör och önskar ta del av uppgifterna i en patientöversikt föreslår utredningen ska regleras i föreskrifter. Utredningen föreslår även att E-hälsomyndigheten får i uppdrag att utveckla en digital samtyckestjänst där patienten kan lämna och överblicka sina samtycken.
Kapitel 13 Grundläggande förutsättningar för E-hälsomyndighetens personuppgiftsbehandling
Utredningen ska enligt uppdraget analysera behovet av att reglera den personuppgiftsbehandling som sker vid utbyte av patientöversikter. En stor mängd personuppgifter, även känsliga personuppgifter, kommer att behandlas av olika aktörer i informationsutbytet. All information i patientöversikterna kommer att förmedlas via den nationella kontaktpunkten för e-hälsa. Som Sveriges kontaktpunkt
för e-hälsa kommer E-hälsomyndigheten att behandla personuppgifter i detta informationsutbyte på ett sätt som inte görs i dag. Utredningen bedömer att den personuppgiftsbehandling som E-hälsomyndigheten kommer att utföra vid hantering av patientöversikter är nödvändig för att fullgöra en rättslig förpliktelse som åvilar myndigheten (artikel 6.1 c i EU:s dataskyddsförordning) och för att utföra en uppgift av allmänt intresse (artikel 6.1 e i EU:s dataskyddsförordning). En nationell reglering behövs för att den rättsliga grunden ska kunna användas. Utredningen bedömer vidare att den rättsliga grunden för E-hälsomyndighetens personuppgiftsbehandling vid utbytet av patientöversikter bör fastställas i förordning. Utredningen föreslår att särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen ska införas i de författningar som ska reglera personuppgiftsbehandlingen vid utbytet av patientöversikter. Behandlingen av känsliga personuppgifter vid utbytet av patientöversikter är enligt utredningens bedömning nödvändig av skäl som hör samman med de hälso- och sjukvårdsverksamheter som anges i artikel 9.2 h i dataskyddsförordningen.
Utredningen föreslår vidare att uppdraget att vara nationell kontaktpunkt för e-hälsa och att tillhandahålla tjänster och infrastruktur för gränsöverskridande informationsutbyte av e-recept och patientöversikter ska regleras i E-hälsomyndighetens instruktion. Vidare föreslås att de närmare bestämmelserna om E-hälsomyndighetens personuppgiftsbehandling vid utbyte av patientöversikter ska regleras i en ny förordning om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter. Ändringar behöver även införas i lag om sammanhållen vård- och omsorgsdokumentation, patientdatalagen och lagen om nationell läkemedelslista.
Förutsättningar för att hantera personer med skyddade personuppgifter i en tjänst för patientöversikter över landsgränser föreligger enligt utredningens bedömning inte för närvarande. Utredningen bedömer att barn bör kunna omfattas av tjänsten patientöversikter över landsgränser först när det är tydligt att skyddet för barnets integritet kan säkerställas av E-hälsomyndigheten som personuppgiftsansvarig. Pågående arbeten och utredningar avseende åldersgränser och andra angränsande och relevanta frågor bör analyseras och utvärderas i strävan efter att kunna erbjuda barn samma rättigheter som vuxna gällande möjligheten att omfattas av utbytet av patientöversikter.
Kapitel 14 En ny förordning om E-hälsomyndighetens personuppgiftsbehandling i samband med hanteringen av patientöversikter
Som redogjorts för i kapitel 13 föreslår utredningen att den rättsliga grunden för E-hälsomyndighetens behandling av personuppgifter vid hantering av patientöversikter ska fastställas dels i E-hälsomyndighetens instruktion, dels i en ny förordning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen. Som exempel kan anges allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling (artikel 6.3). EU-rätten eller den nationella rätten ska även uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen). Nationell rätt kan även innehålla förtydliganden och begränsningar av bestämmelserna i dataskyddsförordningen, i den utsträckning det är nödvändigt för samstämmigheten och för att göra dem begripliga för personer som de ska tillämpas på (skäl 8 till dataskyddsförordningen).
Utredningen anser mot denna bakgrund och med hänsyn till behovet av särskilda skyddsåtgärder att det är lämpligt att i förordning fastställa närmare bestämmelser för hur E-hälsomyndighetens behandling av personuppgifter vid utbyte av patientöversikter ska gå till. De närmare bestämmelserna avser bland annat ändamål med behandlingen och personuppgiftsansvar. Utredningen föreslår vidare att utbytet förutsätter att patienten lämnat ett integritetshöjande samtycke. Förslaget innehåller även bland annat en uppgiftsskyldighet för E-hälsomyndigheten till vårdgivare i Sverige och utländska kontaktpunkter för e-hälsa. Vidare regleras behörighetstillgång och åtkomstkontroll.
Kapitel 15 Ändringar i patientdatalagen , lagen om sammanhållen vård- och omsorgsdokumentation, offentlighets- och sekretesslagen samt lagen om nationell läkemedelslista
Utredningen föreslår ändringar i patientdatalagen (2008:355) genom bland annat införande av krav på att vårdgivare, med vissa undantag, ska ge E-hälsomyndigheten elektronisk tillgång till uppgifter om en patient för att tillföras en patientöversikt inom EES och från E-hälsomyndigheten elektroniskt kunna ta del av sådan patientöversikt. Ett nytt ändamål för behandling av personuppgifter inom hälso- och sjukvården föreslås genom att utlämnande av uppgifter till E-hälsomyndigheten för sammanställning, översättning och förmedling av en svensk patientöversikt till en utländsk kontaktpunkt för e-hälsa i enlighet med 7 § 3 förordningen (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter ska vara tillåtet.
Utredningen föreslår ändringar i lagen (2022:913) om sammanhållande vård- och omsorgsdokumentation genom bland annat införande av krav på att vårdgivare, med vissa undantag, ska ge E-hälsomyndigheten elektronisk tillgång till uppgifter om en patient för att tillföras en patientöversikt inom Sverige och från E-hälsomyndigheten elektroniskt kunna ta del av sådan patientöversikt.
E-hälsomyndighetens uppdrag som nationell kontaktpunkt för e-hälsa enligt patientrörlighetsdirektivet föreslås anges i förordningen (2013:1031) med instruktion för E-hälsomyndigheten. Det föreslås också att E-hälsomyndigheten får ett uppdrag att tillhandahålla tjänster och infrastruktur för informationsutbytet.
Vidare föreslår utredningen sekretessbrytande bestämmelser i offentlighets- och sekretesslagen (2009:400) så att sekretess inte hindrar att uppgift lämnas till E-hälsomyndigheten enligt vad som föreskrivs i patientdatalagen samt i lagen om sammanhållen vård- och omsorgsdokumentation om krav på vårdgivare att tillgängliggöra uppgifter om patienter. Ytterligare en sekretessbrytande bestämmelse föreslås så att uppgift som behandlas med stöd av förordningen (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter får lämnas till en vårdgivare i Sverige eller en utländsk kontaktpunkt för e-hälsa med stöd av bestämmelser i nämnda förordning.
I lagen (2018:1212) om nationell läkemedelslista föreslår utredningen ett nytt ändamål för personuppgiftsbehandling innebärande att personuppgifter får behandlas om det är nödvändigt för tillförande av uppgifter till en patientöversikt som ska sammanställas, översättas och förmedlas i enlighet med 7 § 3 förordningen (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter.
Kapitel 16 Avvägning mellan behov och integritetsrisker vid utbyte av patientöversikter inom EES
Informationsutbytet av patientöversikter inom EES innebär att integritetskänsliga uppgifter om en individs hälsa överförs mellan länderna. I detta kapitel gör utredningen en avvägning mellan behovet av utredningens förslag och de integritetsrisker de kan innebära. Utredningen bedömer att det är vid utbytet av patientöversikter över landsgränser som avvägningen behöver göras då det i det nationella utbytet inte har kunnat identifieras några nytillkomna utmärkande integritetsrisker för patienterna till följd av personuppgiftsbehandlingen, varför kapitlet fokuserar på det förstnämnda informationsutbytet.
Behandling av personuppgifter med anledning av utredningens förslag är nödvändig för att utföra en uppgift av allmänt intresse och för att fullgöra en rättslig förpliktelse. E-hälsomyndighetens uppdrag, dels att vara nationell kontaktpunkt för e-hälsa, dels att tillhandahålla tjänster och infrastruktur för gränsöverskridande informationsutbyte av patientöversikter, föreslås framgå av förordningen (2013:1031) med instruktion för E-hälsomyndigheten. Utredningen föreslår att särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen tas in i den nya förordningen om personuppgiftsbehandling vid E hälsomyndigheten i samband med hantering av patientöversikter.
Av artikel 6.3 i dataskyddsförordningen framgår att den nationella regleringen av grunden för behandlingen som kompletterar förordningen ”ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas”.
Utredningen konstaterar att syftet med utredningens förslag att säkerställa en patientsäker och effektiv vård även när EES-medborgare rör sig inom EES, får anses utgöra ett legitimt mål som upp-
fyller ett mål av allmänt intresse. Något alternativ till utredningens förslag för att uppnå ändamålet finns inte. Den behandling som kommer att utföras med anledning av förslagen är ändamålsbegränsad och de författningsförslag som lämnas ger tillräckliga skyddsåtgärder för att behandlingen ska anses vara proportionell mot det legitima mål som eftersträvas. Genom utredningens förslag kommer E-hälsomyndigheten att ha rättsligt stöd i nationell rätt på det sätt som krävs enligt dataskyddsförordningen.
Det är utredningens sammanfattande bedömning att behoven av, och fördelarna med utredningens förslag överväger de integritetsrisker som behandlingen medför. Behandlingen uppfyller ett mål av allmänt intresse och är proportionell mot det legitima mål som eftersträvas.
Kapitel 17 Ikraftträdande
Den nya förordningen (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter bör träda i kraft den 1 november 2025. Skälen för detta är i huvudsak att när det regelverket är på plats har Sverige de författningsmässiga förutsättningarna för att implementera tjänsten patientöversikt inom EES som land B, det vill säga där utländska patientöversikter kan utbytas till Sverige.
Avseende övriga författningsändringar som föreslås i detta betänkande är det för närvarande inte möjligt att ange en rimlig uppskattning för när de kan träda i kraft. Detta beror på att det är svårt att förutse vilken tidsåtgång de omfattande förslag som utredningen i övrigt lämnar, i synnerhet när det gäller förvärvs-, styrnings- och organisationsfrågorna som behandlas företrädesvis i kapitel 12, kommer att kräva. Då dessa frågor och beslut om en framtida inriktning på området utgör förutsättningar för att kunna börja tillämpa de föreslagna författningarna, ser utredningen att det är lämpligt att avvakta med förslag på när författningarna bör träda i kraft.
Kapitel 18 Konsekvensanalys
I detta kapitel redovisas de konsekvenser som följer av utredningens förslag. Utredningen redogör för den nytta som införandet av tjänsten patientöversikter inom EES kan tänkas medföra. Ett exakt estimat är mycket svårt att lämna men utifrån ett antal antaganden resonerar utredningen kring nyttoeffekter uppdelade i två huvuddelar: a) av nytta för individen i form av bättre hälsa och b) nytta i form av minskade vårdkostnader. Sammantaget är nyttan kraftigt beroende av hur ofta patientöversikten används och det specifika användningsfallet. Utredningen redogör för olika alternativ för genomförande av förslag i 12.2.2 om att staten ska säkerställa att det finns infrastruktur för tillgängliggörande av uppgifter om hälsa och vård till en patientöversikt för alla vårdgivare.
Utredningens förslag får såväl ekonomiska som andra konsekvenser och påverkar att antal aktörer. Utvecklingen av den infrastruktur som krävs för tjänsten patientöversikt inom EES kostar Sveriges nationella kontaktpunkt för e-hälsa sammantaget cirka 90 miljoner att bygga, fördelat över 4 år. Utredningen föreslår att infrastrukturen även används för att förmedla och ta del av svenska patientöversikter inom Sverige för att öka dess nytta. Utredningen föreslår att staten ska säkerställa att det finns infrastruktur för att tillgängliggöra uppgifter om hälsa och vård för alla vårdgivare och att förslaget genomförs genom ett förvärv av Inera eller Ineras tjänster för att tillvarata den viktiga utveckling som gjorts och fortsätta vidareutveckla befintliga tjänster i stället för att bygga nya. Vilka delar av Inera eller Ineras tjänster som ska förvärvas samt om och i så fall vad som bör föras över till en myndighet föreslår utredningen utreds vidare. En sådan förändring av ägarskap påverkar det kommunala självstyret. Regioner och kommuners inflytande över den framtida utvecklingen av informationshanteringen för hälsa-, vård och omsorg och måste, i så fall, garanteras på annat sätt och i andra former vilket kan innebära vissa kostnader. Utredningen bedömer att det behövs en tillitsfull och handlingskraftig samverkan som säkerställer att gemensamma behov och prioriteringar styr utvecklingen av infrastruktur inom sektorn.
Avslutningsvis är patientens inflytande över vilka uppgifter som ska tillgängliggöras inom EES central. Utredningen föreslår att en
digital samtyckestjänst för patienten utvecklas i vilken patienten ska kunna hantera och överblicka sina samtycken.
Till sist vill utredningen tacka alla som bistått med er tid, värdefull kunskap och viktiga perspektiv under utredningens arbete.
1. Författningsförslag
1.1. Förslag till förordning (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter
Härigenom föreskrivs följande.
Förordningens tillämpningsområde
1 § Denna förordning tillämpas vid automatiserad behandling av personuppgifter vid E-hälsomyndighetens hantering av patientöversikter inom Sverige samt vid E-hälsomyndighetens hantering av patientöversikter inom Europeiska ekonomiska samarbetsområdet (EES) i enlighet med de krav som har fastställts av Nätverket för e-hälsa, enligt kommissionens genomförandebeslut (EU) 2019/1765 av den 22 oktober 2019 om regler för inrättande, förvaltning och drift av ett nätverk av nationella myndigheter med ansvar för e-hälsa och om upphävande av genomförandebeslut 2011/890/EU.
Uttryck i förordningen
2 § Med patientöversikt avses i denna förordning en sammanställning av utvalda uppgifter om patienten och dess hälsa och vård som syftar till att bidra till en god och säker vård.
3 § Begreppen vårdgivare samt hälso- och sjukvård ska i denna förordning definieras på samma sätt som uttryckens angivna betydelse i 1 kap. 1 § lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.
4 § Med kontaktpunkt för e-hälsa avses i denna förordning en sådan nationell kontaktpunkt för gränsöverskridande hälso- och sjukvård som har utsetts i en medlemsstat i EES i enlighet med artikel 6 i
Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård.
Förhållandet till annan dataskyddsreglering
5 § Denna förordning kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt denna förordning gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna förordning.
Personuppgiftsansvar
6 § E-hälsomyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna förordning. När det gäller utbytet av patientöversikter mellan vårdgivare i
Sverige enligt 7 § 1 gäller dock den särskilda regleringen om personuppgiftsansvar i 4 kap. 1 § lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.
Ändamål med personuppgiftsbehandlingen och personuppgifter som får behandlas
7 § E-hälsomyndigheten får behandla personuppgifter om det är nödvändigt för
1. sammanställning och förmedling av patientöversikter mellan vårdgivare i Sverige,
2. översättning och förmedling av patientöversikter från utländska kontaktpunkter för e-hälsa till vårdgivare i Sverige,
3. sammanställning, översättning och förmedling av svenska patientöversikter till utländska kontaktpunkter för e-hälsa,
4. redovisning av uppgifter till Socialstyrelsen för statistikändamål, och
5. framställning av statistik hos E-hälsomyndigheten.
8 § E-hälsomyndigheten får med stöd av denna förordning behandla endast sådana personuppgifter som behövs för de ändamål som anges i 7 §.
9 § Personuppgifter ska tas bort när de inte längre är nödvändiga att behandla för tillåtna ändamål enligt denna förordning.
Krav på tystnadsplikt
10 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 h i förordningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.
Patientens samtycke
11 § E-hälsomyndigheten får behandla personuppgifter om patienten enligt 7 § 2–3 endast om patienten samtyckt till detta.
Om det finns fara för en patients liv eller det annars finns allvarlig risk för dennes hälsa och patientens samtycke inte kan inhämtas enligt första stycket, får E-hälsomyndigheten ändå behandla personuppgifterna enligt första stycket om de kan antas ha betydelse för den vård som patienten oundgängligen behöver.
För den personuppgiftsbehandling som E-hälsomyndigheten utför enligt 7 § 1 gäller särskilda bestämmelser om patientens inställning till behandlingen enligt vad som följer av 2 kap. 1 § första stycket lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.
Uppgiftsskyldighet
12 § E-hälsomyndigheten ska lämna ut uppgifter som är nödvändiga till
1. vårdgivare i Sverige för de ändamål som anges i 7 § 1–3,
2. utländska kontaktpunkter för e-hälsa för de ändamål som anges i 7 § 2–3, och
3. Socialstyrelsen för statistikändamål som anges i 7 § 4.
Behörighetstilldelning
13 § E-hälsomyndigheten ska bestämma villkor för tilldelning av behörighet till den som arbetar hos myndigheten för åtkomst till uppgifter som behandlas enligt denna förordning. Sådan behörighet ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom E-hälsomyndigheten.
Åtkomstkontroll
14 § E-hälsomyndigheten ska se till att åtkomst till uppgifterna som behandlas enligt denna förordning dokumenteras och kan kontrolleras. Myndigheten ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter.
Denna förordning träder i kraft den 1 november 2025.
1.2. Förslag till lag om ändring i lag (2022:913) om sammanhållen vård- och omsorgsdokumentation
Härmed föreskrivs i fråga om lag (2022:913) om sammanhållen vård- och omsorgsdokumentation att 1 kap. 1 § samt 2 kap. 1 och 2 §§ ska ha följande lydelse.
Nuvarande lydelse
1 kap.
1 §1
I denna lag används följande beteckningar med nedan angiven betydelse.
EU:s dataskyddsförordning
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen 1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering.
1 Senaste lydelse 2022:913.
Insatser för äldre personer eller personer med funktionsnedsättning
Insatser
1. enligt 4 kap. 1 § socialtjänstlagen (2001:453) som avses i 3 kap. 6 § första stycket samma lag och som lämnas till äldre personer eller personer med funktionsnedsättning,
2. enligt 4 kap. 1 § socialtjänstlagen som avses i 5 kap. 5 och 7 §§ samma lag,
3. enligt 4 kap. 2 a § socialtjänstlagen, eller
4. enligt lagen (1993:387) om stöd och service till vissa funktionshindrade.
Omsorgsgivare Myndighet i kommun eller region som har ansvar för eller utför insatser för äldre personer eller personer med funktionsnedsättning samt annan juridisk person eller enskild näringsidkare som utför sådana insatser. Omsorgsmottagare Person som fått eller får insatser för äldre personer eller personer med funktionsnedsättning eller som fått eller får behovet av sådana insatser bedömda. Patient Person som fått, får eller är registrerad för att få hälso- och sjukvård. Sammanhållen vård- och omsorgsdokumentation
Ett elektroniskt system som gör det möjligt för en vårdgivare eller omsorgsgivare att ge eller få tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter hos andra vårdgivare eller omsorgsgivare.
Vårdgivare Statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård.
Föreslagen lydelse
1 kap.
1 §2
I denna lag används följande beteckningar med nedan angiven betydelse.
EU:s dataskyddsförordning
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen 1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering.
2 Senaste lydelse 2022:913.
Insatser för äldre personer eller personer med funktionsnedsättning
Insatser
1. enligt 4 kap. 1 § socialtjänstlagen (2001:453) som avses i 3 kap. 6 § första stycket samma lag och som lämnas till äldre personer eller personer med funktionsnedsättning,
2. enligt 4 kap. 1 § socialtjänstlagen som avses i 5 kap. 5 och 7 §§ samma lag,
3. enligt 4 kap. 2 a § socialtjänstlagen, eller
4. enligt lagen (1993:387) om stöd och service till vissa funktionshindrade.
Omsorgsgivare Myndighet i kommun eller region som har ansvar för eller utför insatser för äldre personer eller personer med funktionsnedsättning samt annan juridisk person eller enskild näringsidkare som utför sådana insatser. Omsorgsmottagare Person som fått eller får insatser för äldre personer eller personer med funktionsnedsättning eller som fått eller får behovet av sådana insatser bedömda. Patient Person som fått, får eller är registrerad för att få hälso- och sjukvård.
Patientöversikt Ska i denna lag definieras på samma sätt som uttryckets angivna betydelse i 2 § i förordningen ( 0000:000 ) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter.
Sammanhållen vård- och omsorgsdokumentation
Ett elektroniskt system som gör det möjligt för en vårdgivare eller omsorgsgivare att ge eller få tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter hos andra vårdgivare eller omsorgsgivare.
Vårdgivare Statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård.
Nuvarande lydelse Föreslagen lydelse
2 kap.
1 §3
En vårdgivare får, under de förutsättningar som anges i 2–6 §§ och 3 kap. 1, 3, 5 och 6 §§, ges tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas av andra vårdgivare eller av omsorgsgivare. En omsorgsgivare får, under de förutsättningar som anges i 2–6 §§ och 3 kap. 2 och 4 §§, ges tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas av andra vårdgivare eller av omsorgsgivare.
En vårdgivare ska under de förutsättningar som anges i första stycket första meningen
1. ge E-hälsomyndigheten elektronisk tillgång till uppgifter om en patient för att tillföras en patientöversikt inom Sverige, och
2. från E-hälsomyndigheten elektroniskt kunna ta del av sådan patientöversikt.
3 Senaste lydelse 2022:913.
Kraven enligt andra stycket ska inte gälla vårdgivare som bedriver tandvård eller kommunal hälso- och sjukvård. Dessa vårdgivare samt omsorgsgivare får dock ge tillgång till uppgifter och ta del av patientöversikter i enlighet med andra stycket. Vårdgivaren eller omsorgsgivaren ska då iaktta de skyldigheter i övrigt som följer av andra stycket och av de föreskrifter som meddelas i enlighet med fjärde och femte stycket.
Regeringen eller den myndighet som regeringen bestämmer får meddela förskrifter om vilka uppgifter som ska tillgängliggöras för att tillföras en patientöversikt.
E-hälsomyndigheten får meddela föreskrifter om hur vårdgivarna elektroniskt ska kunna ge E-hälsomyndigheten tillgång till uppgifter och hur vårdgivarna elektroniskt ska kunna ta del av patientöversikter från E-hälsomyndigheten.
Tillgången enligt första stycket får bara avse personuppgifter som behandlas
Tillgången enligt första och
andra stycket får bara avse person-
uppgifter som behandlas
1. för ändamål som anges i 2 kap. 4 § 1 och 2 patientdatalagen (2008:355), eller
2. för att ansvara för eller utföra insatser eller för administration av sådana insatser eller sådan dokumentation som avses i 1 kap. 3 § andra stycket.
2 §4
Innan uppgifter om en patient eller en omsorgsmottagare görs tillgängliga för andra vårdgivare eller omsorgsgivare ska patienten eller omsorgsmottagaren av vårdgivare eller omsorgsgivare informeras om
Innan uppgifter om en patient eller en omsorgsmottagare görs tillgängliga för andra vård-
givare, omsorgsgivare eller E-hälsomyndigheten ska patienten eller
omsorgsmottagaren av vårdgivare eller omsorgsgivare informeras om
1. vad sammanhållen vård- och omsorgsdokumentation innebär, och
1. vad sammanhållen vård- och omsorgsdokumentation samt vad
patientöversikt inom Sverige inne-
bär, och
2. möjligheten att motsätta sig att uppgifter görs tillgängliga för andra vårdgivare eller omsorgsgivare genom sådan dokumentation.
En patient ska också informeras om att
1. uppgiften om att det finns spärrade uppgifter om patienten och vilken vårdgivare som har spärrat uppgifterna ska göras tillgängliga för andra vårdgivare, och
2. vid fara för patientens liv eller när det annars finns allvarlig risk för dennes hälsa får en annan vårdgivare ta del av uppgift om vilken vårdgivare som har spärrat uppgifterna.
Denna lag träder i kraft den XX 202X.
4 Senaste lydelse 2022:913.
1.3. Förslag till lag om ändring i patientdatalagen (2008:355)
Härmed föreskrivs i fråga om patientdatalagen (2008:355),
dels att 1 kap. 3 § och 2 kap. 4 § ska ha följande lydelse,
dels att det ska införas två nya paragrafer, 5 kap. 7–8 §§, av följ-
ande lydelse,
dels att det närmast före 5 kap. 7 § ska införas en ny rubrik av
följande lydelse.
Nuvarande lydelse
1 kap.
3 §5
I denna lag används följande beteckningar med nedan angiven betydelse.
Hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk
tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter, lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar samt den upphävda lagen (1944:133) om kastrering.
Journalhandling Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt
5 Senaste lydelse 2022:915.
uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder.
Patientjournal En eller flera journalhandlingar som rör samma patient. Vårdgivare Statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).
Föreslagen lydelse
1 kap.
3 §6
I denna lag används följande beteckningar med nedan angiven betydelse.
Hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen
6 Senaste lydelse 2022:915.
(2019:1297) om koordineringsinsatser för sjukskrivna patienter, lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar samt den upphävda lagen (1944:133) om kastrering.
Journalhandling Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder. Patientjournal En eller flera journalhandlingar som rör samma patient.
Patientöversikt Ska i denna lag definieras på samma sätt som uttryckets angivna betydelse i 2 § i förordningen ( 0000:000 ) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter.
Vårdgivare Statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).
Nuvarande lydelse Föreslagen lydelse
2 kap.
4 §7
Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för
1. att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,
2. administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall,
3. att upprätta annan dokumentation som följer av lag, förordning eller annan författning,
4. att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten,
5. administration, planering, uppföljning, utvärdering och tillsyn av verksamheten,
6. att framställa statistik om hälso- och sjukvården, eller
7. utlämnande av uppgifter till E-hälsomyndigheten för sammanställning, översättning och förmedling av en svensk patientöversikt till en utländsk kontaktpunkt för e-hälsa i enlighet med 7 § 3 förordningen ( 0000:000 ) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter.
7 Senaste lydelse 2008:355.
5 kap.
Utbyte av patientöversikter inom EES
7 §
Vårdgivare som avses i denna lag ska under förutsättning att patienten har lämnat samtycke i enlighet med 11 § förordningen (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter
1. ge E-hälsomyndigheten elektronisk tillgång till uppgifter om en patient för att tillföras en patientöversikt inom EES, och
2. från E-hälsomyndigheten elektroniskt kunna ta del av sådan patientöversikt.
Innan uppgifter om en patient görs tillgängliga för E-hälsomyndigheten ska patienten av vårdgivaren informeras om
1. vad patientöversikt inom EES innebär, och
2. möjligheten att motsätta sig att uppgifter görs tillgängliga för utbyte av sådan patientöversikt.
Om uppgifter om en patient har spärrats enligt 2 kap. 3 § första stycket lagen ( 2022:913 ) om sammanhållen vård- och omsorgsdokumentation ska spärren gälla även vid hantering av uppgifter om en patient enligt denna paragraf.
Kraven enligt första stycket ska inte heller gälla vårdgivare som bedriver tandvård eller kommu-
nal hälso- och sjukvård. Dessa vårdgivare får dock ge tillgång till uppgifter och ta del av patientöversikter i enlighet med första stycket. Vårdgivaren ska då iaktta de skyldigheter i övrigt som följer av första-tredje stycket och av föreskrifter som meddelas med stöd av 8 §.
Tillgången enligt första stycket får bara avse personuppgifter som behandlas för ändamål som anges i 2 kap. 4 § 1, 2 och 7 i denna lag.
8 §
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vilka uppgifter som ska tillgängliggöras för att tillföras en patientöversikt enligt 7 §.
E-hälsomyndigheten får meddela föreskrifter om hur vårdgivarna elektroniskt ska kunna ge E-hälsomyndigheten tillgång till uppgifter och hur vårdgivarna elektroniskt ska kunna ta del av patientöversikter från E-hälsomyndigheten.
Denna lag träder i kraft den XX 202X.
1.4. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härmed föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400) att 25 kap. 11 och 17 c §§ ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
25 kap.
11 §8
Sekretessen enligt 1 § hindrar inte att uppgift lämnas
1. från en myndighet som bedriver verksamhet som avses i 1 § i en kommun till en annan sådan myndighet i samma kommun,
2. från en myndighet som bedriver verksamhet som avses i 1 § i en region till en annan sådan myndighet i samma region,
3. till en myndighet som bedriver verksamhet som avses i 1 §, 26 kap. 1 §, en enskild vårdgivare eller omsorgsgivare enligt det som föreskrivs i lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation,
4. till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen (2008:355),
5. från en myndighet som bedriver verksamhet som avses i 1 § inom en kommun eller en region till annan sådan myndighet för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs, eller
6. till en enskild enligt vad som föreskrivs i – lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål,
– lagen (1991:1129) om rättspsykiatrisk vård, – lagen (1995:831) om transplantation m.m., – smittskyddslagen (2004:168), – 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m., – lagen (2006:496) om blodsäkerhet – lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler,
8 Senaste lydelse 2022:916.
– lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ eller förordning som har meddelats med stöd av den lagen, eller
– 2 kap. lagen (2017:612) om samverkan vid utskrivning från sluten hälso- och sjukvård. Lag (2022:916).
7. till E-hälsomyndigheten enligt vad som föreskrivs i 5 kap. 7 § patientdatalagen (2008:355) och 2 kap. 1 § lagen ( 2022:913 ) om sammanhållen vård- och omsorgsdokumentation.
17 c §9
Sekretessen enligt 17 a och 17 b §§ hindrar inte att
1. uppgift i den nationella läkemedelslistan lämnas enligt lagen (2018:1212) om nationell läkemedelslista till hälso- och sjukvårdspersonal som har behörighet att förskriva läkemedel eller andra varor, en sjuksköterska utan behörighet att förskriva läkemedel eller andra varor, en dietist, en farmaceut i hälso- och sjukvården
eller till expedierande personal på
öppenvårdsapotek,
1. uppgift i den nationella läkemedelslistan lämnas enligt lagen (2018:1212) om nationell läkemedelslista till hälso- och sjukvårdspersonal som har behörighet att förskriva läkemedel eller andra varor, en sjuksköterska utan behörighet att förskriva läkemedel eller andra varor, en dietist, en farmaceut i hälso- och sjukvården, till expedierande personal på öppenvårdsapotek, eller till en utländsk
kontaktpunkt för e-hälsa som utsetts enligt artikel 6 i Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård,
2. uppgift lämnas enligt lagen (2016:526) om behandling av personuppgifter i ärenden om licens för läkemedel till öppen-
2. uppgift lämnas enligt lagen (2016:526) om behandling av personuppgifter i ärenden om licens för läkemedel till öppen-
9 Senaste lydelse 2021:1128. När det gäller p. 1 och 4 är föreslagen lydelse i enlighet med förslaget i utredningens delbetänkande.
vårdsapotek eller den som är behörig att förordna läkemedel, eller
vårdsapotek eller den som är behörig att förordna läkemedel,
3. uppgift om förordnande och expediering av läkemedel för behandling av djur lämnas till expedierande personal på öppenvårdsapotek.
3. uppgift om förordnande och expediering av läkemedel för behandling av djur lämnas till expedierande personal på öppenvårdsapotek,
4. uppgift som behandlas med stöd av lagen ( 0000:000 ) om E-hälsomyndighetens hantering av e-recept från Europeiska ekonomiska samarbetsområdet (EES) lämnas till expedierande personal på öppenvårdsapotek eller till en utländsk kontaktpunkt för e-hälsa som avses i 3 § nämnda lag, eller
5. uppgift som behandlas med stöd av förordningen ( 0000:000 ) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter lämnas till en vårdgivare i Sverige eller en utländsk kontaktpunkt för e-hälsa med stöd av bestämmelser i nämnda förordning.
Denna lag träder i kraft den XX 202X.
1.5. Förslag till lag om ändring i lagen (2018:1212) om nationell läkemedelslista
Härmed föreskrivs i fråga om lagen (2018:1212) om nationell läkemedelslista att 3 kap. 4 § ska ha följande lydelse.
Lydelse enligt SFS 2018:1212 Föreslagen lydelse
3 kap.
4 §
Personuppgifterna får behandlas om det är nödvändigt för ändamål som rör hälso- och sjukvården:
1. åstadkommande av en säker ordination av läkemedel och andra varor för en patient,
2. beredande av vård eller behandling av en patient,
3. komplettering av en patientjournal, eller
4. tillförande av uppgifter till en patientöversikt som ska sammanställas, översättas och förmedlas i enlighet med 7 § 3 förordningen ( 0000:000 ) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter.
Denna lag träder i kraft den XX 202X.
1.6. Förslag till förordning om ändring i förordningen (2013:1031) med instruktion för E-hälsomyndigheten
Härmed föreskrivs i fråga om förordningen (2013:1031) med instruktion för E-hälsomyndigheten att det ska införas en ny paragraf, 3 a §, av följande lydelse.
Föreslagen lydelse
3 a §
Myndigheten ska vara nationell kontaktpunkt för e-hälsa enligt artikel 6 i Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård.
Myndigheten ska, inom ramen för samarbetet enligt artikel 14 i nämnda direktiv, tillhandahålla tjänster och infrastruktur för gränsöverskridande informationsutbyte av e-recept i enlighet med lagen ( 2018:1212 ) om nationell läkemedelslista och lagen ( 0000:000 ) om E-hälsomyndighetens hantering av e-recept från Europeiska ekonomiska samarbetsområdet (EES) samt av patientöversikter i enlighet med förordningen ( 0000:000 ) om personuppgiftsbehandling vid Ehälsomyndigheten i samband med hantering av patientöversikter.
Denna förordning träder i kraft den 1 november 2025.
2. Utredningens uppdrag och arbete
I kapitlet redogörs kort för utredningens direktiv, utgångspunkter och avgränsningar samt det arbete som utredningen har genomfört sedan överlämnandet av delbetänkandet E-recept inom EES (SOU 2021:102). Kapitlet avslutas med en beskrivning av betänkandets upplägg.
2.1. Utredningens direktiv
Regeringen beslutade den 30 juli 2020 att tillsätta en utredning för att kartlägga informationsflöden och ansvarsfördelning i frågan om förskrivning och expediering av elektroniska recept (e-recept) inom Europeiska ekonomiska samarbetsområdet (EES). Av direktiven framgår att utredningen ska avlämna ett delbetänkande och att utgångspunkten är att få till en heltäckande reglering från förskrivning till expediering och uppföljning för såväl i Sverige utfärdade e-recept som expedieras i andra EES-länder som e-recept som utfärdas i andra EES-länder och expedieras i Sverige. Regleringen ska syfta till att säkerställa att den gränsöverskridande processen kan vara lika patientsäker och effektiv som den nationella processen. De specifika frågeställningar som utredningen ska se över är bland annat att – kartlägga de olika delarna i läkemedelsprocessen samt beskriva
vilket ansvar som berörda aktörer har när e-recept utfärdade i andra EES-länder ska expedieras i Sverige och e-recept utfärdade i Sverige ska expedieras i andra EES-länder, – analysera behovet av att reglera personuppgiftsbehandlingen för
öppenvårdsapoteken och andra berörda aktörer, till exempel vårdgivare eller myndigheter, vid expedieringar i Sverige av e-recept
utfärdade i annat EES-land eller svenska e-recept som expedieras i andra EES-länder, – vid behov lämna förslag på de författningsändringar och andra
åtgärder som bedöms nödvändiga, – se över behovet av andra åtgärder för att säkerställa en patient-
säker och effektiv läkemedelsprocess såsom att analysera möjligheterna att inkludera uppgifter om förskrivare, farmaceuter och öppenvårdsapotek från andra EES-länder i den nationella läkemedelslistan och krav på öppenvårdsapotek till exempel behov av ändringar i lagen (2009:366) om handel med läkemedel och Läkemedelsverkets föreskrifter, – analysera huruvida förekomsten av digitala vårdtjänster och arbetet
inom Nätverket för e-hälsa motiverar behov av ytterligare insatser för att säkerställa en patientsäker expediering av ett svenskt e-recept i andra EES-länder, – vid behov lämna förslag på nationell reglering eller andra åtgärder
i syfte att säkerställa en patientsäker och effektiv läkemedelsprocess vid ett sådant informationsutbyte, och – i relevanta delar beakta dataskyddsförordningen, offentlighets- och
sekretessperspektivet, samt att särskilt redogöra för hur eventuella författningsförslag förhåller sig till skyddet om betydande intrång i den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen.
Den 20 oktober 2021 beslutade regeringen om Tilläggsdirektiv till
Utredningen om e-recept inom EES (S 2020:10). Uppdraget kom-
pletterades så att utredaren enligt tilläggsdirektivet även ska utreda frågor som rör gränsöverskridande patientöversikter inom EES. Utredaren ska enligt tilläggsdirektivet nu även: – föreslå en definition av patientöversikt, – föreslå åtgärder för en långsiktig förvaltning av patientöversikter, – lämna förslag på de författningsändringar och andra åtgärder som
bedöms vara nödvändiga för att möjliggöra ett gränsöverskridande utbyte av patientöversikter inom EES som inkluderar information från alla vårdgivare i Sverige,
– analysera om patientöversikten eller delar av patientöversikten
ska vara obligatorisk att dokumentera och tillgängliggöra för vårdgivare vid gränsöverskridande vård, både inom EES och nationellt, och hur detta skulle kunna regleras, – särskilt redogöra för hur eventuella författningsförslag förhåller
sig dels till bestämmelserna om skyddet mot betydande intrång i den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen, dels till relevant dataskyddsreglering, med utgångspunkt i EU:s dataskyddsförordning, – särskilt redogöra för hur eventuella författningsförslag förhåller
sig till offentlighets- och sekretesslagstiftningen, och – i övrigt föreslå ändringar som utredaren anser har direkt beröring
med uppdraget.
Utredningstiden förlängdes i samband med tilläggsdirektivet.
Den 22 juni 2022 beslutade regeringen om Tilläggsdirektiv till
Utredningen om e-recept och patientöversikter inom EES (S 2020:10).
Genom tilläggsdirektivet förlängdes utredningstiden och uppdraget utvidgades. Utredaren ska, när det gäller uppdraget att utreda frågor om patientöversikter: – följa utvecklingen av EU-kommissionens förslag till förordning
om ett europeiskt hälsodataområde, och – analysera och bedöma om den reglering som utredningen föreslår
för patientöversikter även kan innefatta ytterligare kategorier av hälsodata.
Utredningens direktiv och tilläggsdirektiv finns intagna som bilagor till detta slutbetänkande.
2.1.1. Redovisning i slutbetänkandet
I delbetänkandet E-recept inom EES (SOU 2021:201) redovisades utredningens uppdrag om att kartlägga informationsflöden och ansvarsfördelning i frågan om förskrivning och expediering av elektroniska recept (e-recept) inom EES. I detta slutbetänkande redovisas utredningens uppdrag i tilläggsdirektiv 2021:91 samt 2022:83. Betänk-
andet innefattar övergripande ett antal förslag på författningsändringar och åtgärder i syfte att möjliggöra ett gränsöverskridande utbyte av patientöversikter inom EES samt förslag i frågan om skyldigheter. Vidare har utredningen analyserat frågan om huruvida hela eller delar av patientöversikten ska vara obligatorisk att dokumentera och tillgängliggöra för gränsöverskridande vård, både inom EES och nationellt.
I och med detta slutbetänkande är uppdraget avslutat.
2.2. Avgränsningar och utgångspunkter
Möjligheten att utbyta uppgifter om patientens hälsa och vård i en patientöversikt baseras på patientrörlighetsdirektivet och det frivilliga samarbete inom Nätverket för e-hälsa som bildats med stöd av direktivet. Utredningens förslag och bedömningar utgår från den tjänst för informationsutbyte av patientöversikter inom EES som Nätverket för e-hälsa tagit fram och hur den är utformad i skrivande stund, våren 2023. Eventuellt kommande ändrade krav och förutsättningar har utredningen inte kunnat beakta. Utredningen har emellertid i enlighet med uppdragsdirektivet utgått från att innehållet i patientöversikten, det vill säga den information om patientens hälsa och vård som avses kunna utbytas inom EES, sannolikt kommer att ändras över tid. Utredningen har arbetat med att ta fram de förslag som utredningen bedömer är nödvändiga för att informationsutbytet av patientöversikter inom EES ska bli möjligt. Utredningen har även när lämpligt försökt att anpassa förslagen efter befintliga regelverk. Utredningen har tidigare utrett frågan om hur e-recept inom EES ska hanteras. Detta slutbetänkande avser enbart tjänsten patientöversikt inom EES.
Samarbetet kring informationsutbytet av patientöversikter är frivilligt. De flesta av EU:s medlemsländer deltar. Island och Norge deltar som observatör. Nätverket för e-hälsas arbetsordning medger att länder i EES, Efta och kandidatländer kan delta som observatörer (artikel 9). E-hälsoavtalet, som behöver undertecknas för deltagande i informationsutbytet, är tillgängligt för deltagare även från Efta. Schweiz är medlem i Efta, men inte i EES. Enligt beslut 153/2014 av den 9 juli 2014 från den gemensamma EES-kommittén ska patientrörlighetdirektivet tillämpas för EES. Motsvarande beslut finns inte
för Schweiz. Utredningen utreder informationsutbyte avseende medlemmarna i EU och EES, inte Schweiz och Storbritannien. Dessa länder deltar inte längre i Nätverket för e-hälsa.
Tjänsten patientöversikter var inledningsvis avsedd för oplanerad vård men har i senaste riktlinjen även utvidgats så att den ska kunna stötta vid planerad vård.
Av utredningens direktiv framgår att utredningen ska lämna förslag som möjliggör utbyte av patientöversikter med information från alla vårdgivare. Utredningen har därför utgått från förslag som inkluderar såväl privata som offentliga vårdgivare oavsett finansieringsform. Utredningen har givet formuleringen i tilläggsdirektivet haft sitt fokus på just vårdgivare. Det ingår inte i utredningens uppdrag att möjliggöra information även från omsorgen. Utredningen ser emellertid att nationell reglering avseende sammanhållen journalföring inom Sverige inkluderar omsorgsgivare. Utredningen har därför i det nationella utbytet av patientöversikter även beaktat omsorgsgivare.
De avgränsningar utredningen har gjort i dessa och andra avseenden framgår också under respektive kapitel.
2.3. Organisation och genomförande
Utredningsarbetet har bedrivits på sedvanligt sätt med regelbundna möten med sakkunniga och experter.
Utredningen har genomfört dialogmöten med och skickat ut explorativa skriftliga frågor till representanter för patient- och intressentföreningar, professionsföreningar, representanter för regioner och hälso- och sjukvårdsverksamhet i offentlig respektive privat regi. Syftet med dialogmötena och de frågor som skickats ut inför dialogmötet är att få en bred bild av vilka olika typer av synpunkter som förekommer och vad som framhålls viktigt ur deras perspektiv. Utredningen har inte genomfört en strukturerad enkätundersökning i syfte att kunna generalisera eller kvantifiera synpunkterna. Enkäterna som skickades ut i samband med inbjudan till dialogmötet var ett sätt att erbjuda flera olika möjligheter att delge synpunkter till utredningen, vissa valde att både besvara enkäten och delta på dialogmötet, andra valde att göra antingen eller.
Utredningen har även haft enskilda dialogmöten med representanter från Sveriges Kommuner och Regioner (SKR), Inera, Regio-
nalt Cancer Centrum, Kungliga Tekniska högskolan, Socialstyrelsen, E-hälsomyndigheten, Försäkringskassan, Cambio och Swedish Medtech. Underhandskontakter har tagits med bland annat företrädare för kommuner, regioner, SKR, företrädare för apoteksaktörerna, privata vårdgivare, patient- och professionsorganisationer, andra intressenter samt berörda myndigheter.
Utredningen har haft samråd med Utredningen om hälsodata som
nationellt intresse – en lagstiftning för interoperabilitet (S 2022:10) Utredningen om sekundäranvändning av hälsodata (S 2022:04) samt Utredningen om interoperabilitet vid datadelning (I 2022:03.
Dessa kontakter har skett genom telefonkontakter, e-post eller digitala möten.
2.4. Betänkandets disposition
Delbetänkandet inleds med författningsförslag i kapitel 1. Därefter följer en redogörelse för bakgrunden till uppdraget i kapitel 3–7, inklusive gällande rätt. Därefter redogör utredningen för tjänsten patientöversikt inom EES i kapitel 8. I kapitel 9 presenterar utredningen en internationell utblick avseende användningen av tjänsten i andra EES-länder. Därefter redogör utredningen för sina överväganden vad gäller definitionen av begreppet patientöversikt i kapitel 10. I kapitel 11 beskriver utredningen sina förslag avseende ett obligatoriskt tillgängliggörande av delar av eller hela patientöversikten, inom EES och nationellt. Utredningens förslag avseende infrastruktur och övriga åtgärder för ett gränsöverskridande utbyte av patientöversikter presenteras i kapitel 12. I kapitel 13 redogör utredningen för grundläggande förutsättningar för E-hälsomyndighetens personuppgiftsbehandling. I kapitel 14 presenteras förslaget på en ny förordning om E-hälsomyndighetens personuppgiftshantering och i kapitel 15 föreslås ändringar i patientdatalagen (2008:355), lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation, offentlighets- och sekretesslagen (2009:400) och lagen (2009:366) om nationell läkemedelslista. I kapitel 16 redogör utredningen för avvägningar mellan behov och integritetsrisker, i kapitel 17 beskriver utredningen när förslagen träder i kraft. Avslutningsvis återfinns utredningens konsekvensanalys i kapitel 18 och författningskommentarer i kapitel 19.
Som bilagor till betänkandet har fogats utredningens ursprungliga direktiv (2020:80) och tilläggsdirektiv om ytterligare tid (2021:54), tilläggsdirektiv (2021:91), tilläggsdirektiv (2022:83), tilläggsdirektiv om ytterligare tid (2022:143), patientrörlighetsdirektivet och genomförandedirektivet 2012/52/EU. Bilaga 8 innefattar en sammanställning av de enkätsvar som utredningen tagit emot och bilaga 9 är en extern bilaga från Kungliga Tekniska Högskolan om förutsättningar för gränslöst nyttjande av hälsodata.
3. Gällande rätt
3.1. Inledning
I detta kapitel redogör utredningen för delar av den gällande rätt som är relevant för betänkandet. Inledningsvis beskrivs regleringen av skyddet för personuppgifter. Därefter redovisas vissa EU-rättsakter och slutligen redogör utredningen för nationell reglering som i olika grad blir relevanta i samband med frågor kring utbyte av patientöversikter. Viss gällande rätt beskrivs även i andra kapitel.
3.2. Bestämmelser om skyddet för personuppgifter
3.2.1. FN:s förklaring om de mänskliga rättigheterna
Förenta nationerna antog 1948 den allmänna förklaringen om de mänskliga rättigheterna. Förklaringen är inte formellt bindande för medlemsländerna, men ses som ett uttryck för sedvanerättsliga regler. Skyddet för den personliga integriteten behandlas i artikel 12 som anger att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende samt att var och en har rätt till lagens skydd mot sådana ingripanden och angrepp. I artikel 29 anges att en person endast får underkastas sådana inskränkningar som har fastställts i lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras rättigheter och friheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd.
3.2.2. Europakonventionen
Den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) skyddar rätten till privat- och familjeliv och är sedan den 1 januari 1995 inkorporerad i svensk rätt och gäller som lag. Av 2 kap. 19 § regeringsformen framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.
Artikel 8 i Europakonventionen beskriver var och ens rätt till respekt för privat- och familjeliv, familj och korrespondens. Vidare anges att en offentlig myndighet inte får inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till landets säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.
Artikel 8 har i Europadomstolens praxis ansetts tillämplig också vid behandling av personuppgifter. Bestämmelsen omfattar dock inte all slags behandling av personuppgifter, det måste gälla privatliv, familjeliv, hem eller korrespondens. Europakonventionen tar i första hand sikte på åtgärder som vidtas av det allmänna.
3.2.3. Dataskyddskonventionen
Europarådets ministerkommitté antog 1980 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Sverige anslöt sig till dataskyddskonventionen före EU-medlemskapet. Övriga EU-medlemsländer är anslutna. Konventionens syfte är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatiserad behandling av personuppgifter. Dess innehåll kan ses som en precisering av skyddet för den personliga integriteten som följer av artikel 8 i Europakonventionen. Konventionen tillämpas på behandling av personuppgifter i automatiserade personregister och automatiserad personuppgiftsbehandling i allmän och enskild verksamhet, men inte för enskilds rent privata verksamhet. Europarådets utrikesministermöte antog i maj 2018 ändringsprotokoll 108 som syftar till att modernisera och uppdatera konventionens integritetsskydd. Dataskyddskonven-
tionen innehåller principer för dataskydd som de konventionsanslutna länderna måste iaktta i sin nationella lagstiftning.
3.2.4. EU-stadgan om de grundläggande rättigheterna
Den Europeiska unionens stadga om de grundläggande rättigheterna (EU-stadgan) skyddar bland annat individers rätt till personlig integritet. Som en följd av Lissabonfördraget, som trädde i kraft år 2009, är stadgan rättsligt bindande för EU-institutionerna och medlemsländerna när dessa tillämpar EU-rätten. I EU-stadgan anges att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer (artikel 7). Av artikel 8 följer vidare att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem (artikel 7 och 8).
3.2.5. Dataskyddsförordningen
Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (fortsättningsvis dataskyddsförordningen). Ett av syftena med dataskyddsförordningen är att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Det huvudsakliga syftet är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.
Dataskyddsförordningen är direkt tillämplig i alla medlemsländer och ersatte från och med den 25 maj 2018 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Även om dataskyddsförordningen är direkt tillämplig både möjliggör och förutsätter förordningen kompletterande nationella bestämmelser av
olika slag. Dataskyddsförordningen baseras till stor del på dataskyddsdirektivets struktur och innehåll men det har även tillkommit några nyheter såsom en utökad informationsskyldighet, administrativa sanktionsavgifter och inrättandet av Europeiska dataskyddsstyrelsen.
Dataskyddsförordningen är tillämplig på all helt eller delvis automatiserad behandling av personuppgifter och på manuell behandling av personuppgifter, om uppgifterna ingår i eller kommer att ingå i ett register. Vissa behandlingar av personuppgifter är uttryckligen undantagna från tillämpningsområdet. Dataskyddsförordningen ska inte tillämpas på behandlingar som utförs av en fysisk person och som är av rent privat natur. Detsamma gäller behandlingar som sker inom verksamhet som inte omfattas av EU-rätten, behandling som sker inom EU:s gemensamma utrikes- och säkerhetspolitik och behandling som sker inom brottsbekämpande verksamhet (artikel 2).
För att dataskyddsförordningen ska vara tillämplig krävs att den personuppgiftsansvarige är etablerad inom EES, att den behandlar personuppgifter i samband med att den erbjuder varor och tjänster till personer i det området eller behandlar personuppgifter i samband med övervakning av människors beteende inom EES (artikel 3).
Dataskyddsförordningen förutsätter att det finns en personuppgiftsansvarig för all personuppgiftsbehandling som sker (artikel 4.7). Den som behandlar personuppgifter är antingen personuppgiftsansvarig eller personuppgiftsbiträde. Ett personuppgiftsbiträde är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning (artikel 4.8). Ett personuppgiftsbiträde har inte inflytande över bestämmandet av ändamålet med och medel för behandlingen. Det är de faktiska omständigheterna i det enskilda fallet som är avgörande för om en aktör är personuppgiftsansvarig eller biträde, det vill säga vem eller vilka som faktiskt har bestämt över behandlingen av personuppgifterna. Mellan den personuppgiftsansvarige och biträdet måste ett personuppgiftsbiträdesavtal upprättas. Ett sådant avtal ska innehålla tydliga instruktioner om hur biträdet får behandla personuppgifterna (artikel 28).
Två eller flera kan vara gemensamt personuppgiftsansvariga (artikel 4.7 d). Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga (artikel 26). Ett samarbete mellan flera personuppgiftsansvariga medför inte automatiskt ett gemen-
samt ansvar för behandlingen av personuppgifter. Det avgörande är om de deltagande parterna i någon mån tillsammans bestämmer ändamålen med och medlen för behandlingen.
Av artikel 5 i dataskyddsförordningen följer ett antal grundläggande principer som gäller vid all behandling av personuppgifter. Dessa principer utgör ett ramverk för hur personuppgifter får behandlas. För det första ska uppgifterna behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den enskilde (artikel 5.1 a). Uppgifterna ska vidare samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (artikel 5.1 b). Uppgifterna ska också vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (artikel 5.1 c). Uppgifterna ska dessutom vara riktiga och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (artikel 5.1 d). Personuppgifter får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas (artikel 5.1 e). Slutligen ska uppgifterna behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (artikel 5.1 f).
Av artikel 5.2 följer att det är den personuppgiftsansvarige som ansvarar för och ska kunna visa att de grundläggande principerna efterlevs. Som ett led i den personuppgiftsansvariges ansvarsskyldighet ska denna genomföra en konsekvensbedömning avseende dataskydd (artikel 35). Det är en skyldighet för den personuppgiftsansvarige att göra en konsekvensbedömning före en behandling av personuppgifter som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Konsekvensbedömning avseende dataskydd är ett verktyg för att säkerställa att den personuppgiftsansvarige följer dataskyddsförordningen.
För att det ska vara tillåtet att behandla personuppgifter krävs att behandlingen stödjer sig på någon av de rättsliga grunderna i artikel 6 i dataskyddsförordningen. Bestämmelsen är uttömmande och om inte någon av de uppräknade rättsliga grunderna är tillämpliga är det inte tillåtet att behandla personuppgifter. Ett sådant villkor är
exempelvis att den enskilde har lämnat sitt samtycke till att personuppgifterna behandlas (artikel 6.1 a). Behandling kan också ske om den är nödvändig för att fullgöra ett avtal (artikel 6.1 b) eller nödvändig för att fullgöra en rättslig förpliktelse (artikel 6.1 c), för att skydda intressen som är av grundläggande betydelse för en fysisk person (artikel 6.1 d) eller för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e). Personuppgifter kan slutligen behandlas med stöd av en intresseavvägning (artikel 6.1 f).
Av artikel 6.3 i dataskyddsförordningen följer att grunden för den personuppgiftsbehandling som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse eller en uppgift av allmänt intresse eller som ett led i myndighetsutövning måste fastställas i nationell rätt eller EU-rätt. Det innebär att det inte är möjligt att endast stödja sig på den generella regleringen i dataskyddsförordningen vid sådan behandling. Det finns också möjlighet att i nationell rätt mer detaljerat reglera olika krav på sådan behandling av personuppgifter som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse eller utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.2). I artikel 6.3 anges dessutom att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen, bland annat de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling.
Den författning eller det beslut som utgör den rättsliga grunden för behandling av personuppgifter enligt förordningen måste uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen).
Behandling av känsliga personuppgifter (i dataskyddsförordningen benämnda särskilda kategorier av personuppgifter, se artikel 9) är som huvudregel förbjuden. Huvudregeln kompletteras med ett antal undantag i artikel 9.2 som anger när behandling av känsliga personuppgifter är tillåten. Ett av undantagen är om den registrerade har uttryckligen samtyckt till behandlingen (artikel 9.2 a). Ett annat
undantag avser behandling av känsliga personuppgifter som är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård, yrkesmedicin och social omsorg, på grundval av EU-rätten eller medlemsländernas nationella rätt, under förutsättning att uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt (artikel 9.2 h).
Dataskyddsförordningen innehåller även ett antal rättigheter för de enskilda vars personuppgifter behandlas. Av artikel 12–14 framgår till exempel att den registrerade har rätt att få omfattande information från den personuppgiftsansvarige. Om personuppgifterna har samlats in från någon annan än den registrerade, behöver information inte lämnas om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan, om erhållande eller utlämnande av personuppgifter är rättsligt reglerat eller om personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt. Den registrerade kan också begära registerutdrag med information om vilka uppgifter som behandlas om honom eller henne (artikel 15) och begära att få sådana uppgifter rättade eller raderade eller att behandlingen ska begränsas (artikel 16–18). Vidare har den registrerade rätt att göra invändningar mot personuppgiftsbehandling avseende honom eller henne som utförs på vissa rättsliga grunder (artikel 21.1). Dessa rättigheter kan begränsas under vissa förutsättningar (artikel 23.1).
3.2.6. Dataskyddslagen
I lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (fortsättningsvis dataskyddslagen) finns kompletterande regler om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. I kapitel 2 förtydligas den rättsliga grunden för behandling av personuppgifter utifrån rättslig förpliktelse (1 §) respektive uppgift av allmänt intresse och myndighetsutövning (2 §). I kapitel 3 regleras behandling av vissa kategorier av personuppgifter. Enligt 3 kap. 5 § får känsliga personuppgifter behandlas med stöd av artikel 9.2 h i EU:s dataskyddsförordning, om behandlingen är nödvändig för förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhanda-
hållande av hälso- och sjukvård eller behandling, social omsorg, eller förvaltning av hälso- och sjukvårdstjänster, social omsorg samt deras system. Sådan behandling får enligt bestämmelsens andra stycke ske under förutsättning att kravet på tystnadsplikt i artikel 9.3 i EU:s dataskyddsförordning är uppfyllt. I 6–7 §§ samma kapitel regleras frågor om arkivering och statistik avseende känsliga personuppgifter.
3.2.7. Regeringsformen
Grundläggande bestämmelser om skydd för den personliga integriteten finns i regeringsformen. Av målsättningsstadgandet i 1 kap. 2 § regeringsformen (fortsättningsvis RF) framgår att den offentliga makten ska utövas med respekt för den enskilda människans frihet och att det allmänna ska värna den enskildes privatliv och familjeliv.
För att stärka skyddet för den personliga integriteten infördes år 2011 ett nytt andra stycke i 2 kap. 6 § RF. I bestämmelsen anges att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Enligt 2 kap. 20 § RF får skyddet begränsas genom lag under de förutsättningar som anges i 2 kap. 21 § RF. Enligt förarbetena avses med begreppet den enskildes personliga förhållanden bland annat namn och andra personliga identifikationsuppgifter, adress, familjeförhållanden, hälsa, fotografisk bild, uppgift om anställning och en persons ekonomi.1 Uttrycket avses ha samma innebörd som i tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400).
Vid bedömningen om en åtgärd ska anses innebära övervakning eller kartläggning är det inte åtgärdens huvudsakliga syfte utan vilken effekt åtgärden har som är avgörande. I förarbetena anges som exempel att en åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda ärenden i många fall anses innebära kartläggning av enskildas förhållanden, även om kartläggning inte är avsikten. Ett annat exempel är de myndighetsspecifika verksamhetsregister och databaser med information som är knutna till en myndighets ärendehantering och som i stort sett förekommer i all statlig och kommunal förvaltning. Enligt förarbetena får uppgifterna i flertalet fall anses tillgängliga för
myndigheterna på sådant sätt att lagringen och behandlingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett helt annat.2 Som exempel på kartläggning angav Integritetskommittén i sitt betänkande hantering av uppgifter om den enskildes hälsa i patientjournaler och hälsodataregister eller inom ramen för forskning i det allmännas regi.3
Behandling av personuppgifter med stöd av samtycke är undantaget i 2 kap. 6 § andra stycket RF. I förarbetena anges att regleringen tar sikte på sådana åtgärder som den enskilde inte själv kan få kännedom om eller påverka genom krav på frivilligt godkännande. Om åtgärderna förutsätter den enskildes godkännande anses intrånget normalt inte vara så allvarligt att det omfattas av det särskilda grundlagsskyddet. Detta bör gälla oberoende av vilka slags uppgifter åtgärden eller behandlingen avser. Vidare hänvisas i förarbetena till den då gällande personuppgiftslagen (1998:204) och att den regleringen kan tjäna som vägledning vid bedömningen av vad som krävs för att en åtgärd ska falla utanför grundlagsskyddet redan på grund av att den vidtas med den enskildes samtycke. De krav som nämns i förarbetena är att de berörda personerna tillfrågats om samtycke och att de därvid fick all den information som kunde tänkas påverka deras beslut att tillåta behandlingen.4
Det särskilda grundlagsskyddet omfattar endast betydande integritetsintrång. Det är således bara vissa kvalificerade intrång i den personliga integriteten som omfattas. Vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden är det enligt förarbetena naturligt att stor vikt läggs vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Även hantering av ett litet fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vid bedömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. Därutöver kan givetvis mängden uppgifter vara en betydelsefull faktor i samman-
2Prop. 2009/10:80, s. 180. 3SOU 2008:3, s. 271. 4Prop. 2009/10:80, s. 178 f.
hanget. Vidare hänvisas i förarbetena till att konstitutionsutskottet i flera lagstiftningsärenden som rört myndigheters personuppgiftsbehandling framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag. Regeringen har flera gånger instämt i denna bedömning.5
Enligt förarbetena bör flera omständigheter vägas in vid bedömningen av vad som kan anses utgöra ett betydande intrång. Uppgifternas karaktär och omfattning utgör endast två faktorer att beakta. Även sådana omständigheter som till exempel ändamålet med behandlingen av uppgifterna och omfattningen av utlämnandet av uppgifter till andra som sker utan omedelbart stöd av offentlighetsprincipen kan vara av betydelse vid bedömningen.6
Skyddet för den personliga integriteten enligt 2 kap. 6 § andra stycket RF är inte absolut och kan under vissa förutsättningar begränsas med hänsyn till andra motstående intressen. Av 2 kap. 20 § RF följer att en sådan begränsning endast får ske genom lag. Enligt 2 kap. 21 § RF följer att begränsningen får endast göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar.
I förarbetena framfördes att en följd av denna reglering är att lagstiftaren tvingas att tydligt redovisa vilka avvägningar som gjorts vid proportionalitetsbedömningen. Detta kan förväntas öka förutsättningarna för att avvägningarna i fråga om integritetsintrånget blir mer ingående belysta och att de presenteras på ett sådant sätt att kvaliteten i lagstiftningen höjs ytterligare.7 Vid en proportionalitetsbedömning ska det intrång som sker i den enskildes personliga integritet vägas mot de fördelar som intrånget innebär. Det intrång som sker i den enskildes personliga integritet måste vara befogat och stå i rimlig proportion till de fördelar som intrånget bidrar med till det motstående intresset. Ett ytterligare krav är att det inte finns några mindre integritetskänsliga alternativ.
5Prop. 2009/10:80, s. 183. I propositionen hänvisas till bet. 1990/91:KU11, s. 11, 1997/98:KU18, s. 43, prop. 1997/98:44, s. 41 och prop. 1999/2000:39, s. 78. 6Prop. 2009/10:80, s. 184. 7Prop. 2009/10:80, s. 177.
Det är bara genom svensk lag som skyddet enligt 2 kap. 6 § andra stycket RF kan inskränkas. Den rätt att behandla personuppgifter som följer av dataskyddsförordningen gör alltså inte att myndigheter får behandla personuppgifter i strid med 2 kap. 6 § andra stycket RF.
3.2.8. Patientdatalagen
Patientdatalagen (2008:355) reglerar vårdgivares behandling av personuppgifter inom hälso- och sjukvården, oavsett om vården bedrivs i offentlig eller privat regi. Patientdatalagen är en ramlagstiftning som anger vilka grundläggande principer som ska gälla för informationshanteringen avseende uppgifter om patienter inom all hälso- och sjukvård. Syftet med lagen är att informationshanteringen inom hälso- och sjukvården ska vara organiserad så att den tillgodoser patientsäkerhet och god kvalitet samt främjar kostnadseffektivitet. Personuppgifter ska utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras. Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem (1 kap. 2 §).
Patientdatalagen tillämpas på all helt eller delvis automatiserad behandling av personuppgifter samt manuell behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (1 kap. 4 §). Lagen omfattar behandling av personuppgifter i all individinriktad patientverksamhet som innefattar vård, undersökning eller behandling. Det är vårdgivaren som är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför (2 kap. 6 §). De ändamål för vilka personuppgifter får behandlas inom hälso- och sjukvården framgår av 2 kap. 4 §.
3.2.9. Lagen om sammanhållen vård- och omsorgsdokumentation
Nationell reglering om utlämnande av uppgifter och åtkomst till patientuppgifter i andra vårdgivares journaler inom ramen för sammanhållen journalföring, som tidigare placerades i patientdatalagen, är sedan den 1 januari 2023 intagna i lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation. Den nya lagen ersätter
alltså patientdatalagens bestämmelser om sammanhållen journalföring och innehåller även bestämmelser rörande de delar av socialtjänstens verksamheter som avser omsorg om äldre personer och personer med funktionsnedsättning. I 1 kap. 3 § anges tillämpningsområdet såsom att bestämmelserna i lagen får tillämpas på vårdgivares behandling av personuppgifter enligt patientdatalagen och att bestämmelserna också får tillämpas på omsorgsgivares behandling av omsorgsmottagares personuppgifter enligt lagen (2001:454) om behandling av personuppgifter inom socialtjänsten.
Lagen innebär att vårdgivare och omsorgsgivare, genom direktåtkomst eller annat elektroniskt utlämnande, får tillgång till personuppgifter hos andra vårdgivare och omsorgsgivare. I lagen har vidare införts integritetsstärkande åtgärder samt uttryckliga bestämmelser om barns samtycke till behandling av personuppgifter. I kapitel 2 regleras således vårdgivares och omsorgsgivares tillgängliggörande av uppgifter, medan kapitel 3 och 4 innehåller bestämmelser om vårdgivares och omsorgsgivares tillgång till och behandling av personuppgifter, personuppgiftsansvar, behörighets- och åtkomstfrågor samt bevarande och gallring.
3.2.10. Lagen om nationell läkemedelslista
Den 1 maj 2021 trädde lagen (2018:1212) om nationell läkemedelslista i kraft. Lagen ersätter lagen (1996:1156) om receptregister och lagen (2005:258) om läkemedelsförteckning. Det övergripande målet med den nationella läkemedelslistan är att skapa en samlad källa av en patients förskrivna läkemedel och andra varor samtidigt som patientens behov av integritetsskydd tillgodoses.
E-hälsomyndigheten ska med automatiserad behandling föra ett register över vissa uppgifter om förskrivna och expedierade läkemedel och andra varor för människor (1 kap. 1 §). E-hälsomyndigheten är personuppgiftsansvarig för den personuppgiftsbehandling myndigheten utför (3 kap. 1 §). I lagen finns kompletterande bestämmelser till dataskyddsförordningen. Känsliga personuppgifter får behandlas med stöd av artikel 9.2 h i dataskyddsförordningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i dataskyddsförordningen är uppfyllt. I 3 kap. 2–5 §§ anges de ändamål för vilka personuppgifterna får behandlas. Uppgifterna får bland annat
behandlas om det är nödvändigt för ändamål som rör registrering av uppgifter om förskrivna läkemedel och för ändamål som rör öppenvårdsapotek, såsom expediering av läkemedel och andra varor som förskrivits. Enligt 4 kap. 1 § första stycket får behandling som är tillåten enligt lagen utföras även om den registrerade inte har lämnat sitt samtycke. Personuppgifterna som behandlas för något av de angivna ändamålen får dessutom, enligt 3 kap. 7 §, behandlas för andra ändamål under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Av samma bestämmelse följer att behandling som inte annars är tillåten enligt lagen får utföras om den registrerade har lämnat uttryckligt samtycke. Vilka uppgifter som får behandlas i registret framgår av 3 kap. 8 §. Registret får också innehålla andra uppgifter som krävs i samband med en förskrivning eller en expediering och uppgifter om samtycke, spärr och fullmakt.
Expedierande personal på öppenvårdsapotek, viss hälso- och sjukvårdspersonal samt patienten själv och dennes ombud får ges direktåtkomst till registret, under vissa förutsättningar och för vissa ändamål. Enligt 5 kap. 1 § får direktåtkomst ges till expedierande personal på öppenvårdsapotek för ändamålet expediering av läkemedel och andra varor. Det krävs inte samtycke för sådan direktåtkomst, förutom när det gäller uppgift om ordinationsorsak. Av kapitel 6 följer att E-hälsomyndigheten har en skyldighet att lämna ut uppgifter från registret till expedierande personal på öppenvårdsapoteken, viss hälso- och sjukvårdspersonal, regioner, och till vissa myndigheter.
Lagen innehåller också vissa skyddsåtgärder som exempelvis integritetshöjande samtycke för vissa ändamål och viss behandling, spärrning (4 kap. 3–4 §§), sökbegränsningar (3 kap. 9 §
)
, bevarande-
tid (3 kap. 10 §) och villkor för tilldelning av behörighet och åtkomstkontroll (8 kap. 1 §).
3.3. Annan EU-reglering
3.3.1. Webbtillgänglighetsdirektivet
Webbtillgänglighetsdirektivet syftar till att offentliga sektorns webbplatser och mobila applikationer ska bli mer tillgängliga för användare och då särskilt för personer med funktionsnedsättning, samt bidra till en ökad harmonisering av standarder (artikel 1). Det innebär att
digital service (offentliga tjänster och information via en webbplats eller mobil applikation) ska vara tillgänglig, det vill säga möjlig att uppfatta, hanterbar, begriplig och robust (artikel 4). Webbplatser och mobila applikationer kan leva upp till kraven genom att följa en viss europeisk standard (artikel 6). Offentliga aktörer ska tillhandahålla en tillgänglighetsredogörelse som beskriver hur webbplatsen eller applikationen uppfyller kraven (artikel 7). Det ska också finnas en mekanism så att användare kan lämna återkoppling om tillgänglighetsproblem. Direktivet har genomförts i Sverige genom lagen (2018:1937) och förordningen (2018:1938) om tillgänglighet till digital offentlig service, samt föreskrifter från Myndigheten för digital förvaltning (fortsättningsvis DIGG).
3.3.2 eIDAS-förordningen
eIDAS-förordningen och genomförandeförordningarna ger ett rättsligt ramverk, tekniska standarder och specifikationer för elektronisk identifiering och betrodda tjänster. Syftet är att säkerställa en väl fungerande inre marknad och uppnå en lämplig säkerhetsnivå för medel för elektronisk identifiering och betrodda tjänster (artikel 1). Utredningen går inte in på frågor om betrodda tjänster och redogör därför enbart för vad som gäller för elektronisk identifiering. Tjänsten patientöversikter över landsgränser innebär inte i sig att gränsöverskridande identifiering görs, utan eIDAS-förordningen kan få betydelse främst beroende på vad Nätverket för e-hälsa ställer för krav.
Förordningen syftar till att undanröja hinder för gränsöverskridande användning av e-legitimationer i medlemsländerna för autentisering för åtminstone offentliga tjänster (skäl 12). Förordningen bör inte tolkas som att den ställer krav på e-legitimationer som endast används nationellt, utan kraven aktualiseras först när de ska användas över landsgränserna. I skäl 10 görs en hänvisning till 14 c i patientrörlighetsdirektivet om att stödja gemensamma åtgärder för identifiering och autentisering för att underlätta överförbara uppgifter i en gränsöverskridande hälso- och sjukvård. Ett sådant ömsesidigt erkännande av elektronisk identifiering och autentisering anges vara en förutsättning för att gränsöverskridande sjukvård ska bli verklighet.
Medel för elektronisk identifiering definieras som en materiell eller immateriell enhet som innehåller personidentifieringsuppgifter och som används för autentisering för nättjänster (artikel 3.2). E-legitimationer är ett medel för elektronisk identifiering. För e-legitimationer i Sverige är det normalt en persons personnummer som är personidentifieringsuppgiften.8 En e-legitimation som uppfyller kraven enligt eIDAS-förordningen och som utfärdats i ett annat medlemsland ska kunna användas för autentisering för nättjänster som tillhandahålls av offentliga organ i Sverige. Nättjänst definieras inte i förordningen, men tjänster som i Sverige kallas e-tjänster anses omfattas enligt Utredningen om betrodda tjänster (SOU 2021:62 s. 58). Förordningen fastställer tillitsnivåerna låg, väsentlig och hög för e-legitimationer.
Förordningen gäller e-legitimationssystem som har anmälts av ett medlemsland (artikel 2). En e-legitimation ska under vissa förutsättningar omfattas av ömsesidigt erkännande (artikel 6). Sverige gjorde sin första föranmälan i december 2020.
För att identifiera sig för åtkomst till en digital tjänst i ett annat medlemsland än det där individens e-legitimation har utfärdats kan det system för gränsöverskridande identifiering som upprättas genom eIDAS-förordningen användas. Identifieringen går då mellan förbindelsepunkter, så kallade noder, i avsändande och mottagande medlemsland för verifiering. I Sverige är DIGG en sådan nod.
Vid utbyte av information över landsgränser är det centralt att informationen knyts till den personidentifieringsuppgift kopplad till eIDAS som det avlämnande landet använder i sin implementation av förordningen. Då denna uppgift är unik säkerställer tillämpningen att informationen kopplas till den aktuella individen.
3.3.3. SDG-förordningen
SDG-förordningen träder gradvis i kraft fram till och med 2023. Förordningen syftar till att göra det enklare för privatpersoner och medborgare att agera över gränserna främst genom tillförlitlig information samt hjälp- och problemlösningstjänster för den som exempelvis ska arbeta i eller flytta till ett annat land.
Det ska underlättas genom en gemensam digital ingång på EU-nivå (även kallad single digital gateway, SDG). För detta används webbplatsen Ditt Europa. Från den kan användarna ta sig vidare till nationell information. Där ska det finnas uppgifter om lagar, rättigheter och skyldigheter, digitala tjänster för att utföra ett ärende samt hjälp och support för stöd i kontakter med offentliga aktörer. Detta gäller för ett antal utvalda områden som beskrivs i en bilaga till SDG-förordningen, till exempel hälso- och sjukvård. Inom området hälso- och sjukvård anges bland annat att det omfattar att få läkarvård i en annan medlemsstat.
SDG-förordningen ställer även krav på ett tekniskt system för bevisutbyte som grundar sig på engångsprincipen. Engångsprincipen innebär att användare endast ska behöva lämna samma uppgift en gång och att uppgifter i stället ska delas mellan olika myndigheter och organ i EU på användarens initiativ.
För närvarande pågår arbete både på europeisk och på nationell nivå kopplat till SDG-förordningen i enlighet med kommissionens tillkännagivande Riktlinjer för genomförandet av förordningen om in-
rättande av en gemensam digital ingång (2021/C 71/02).
DIGG är nationell samordnare i Sverige och arbetar, bistådda av Kommerskollegium, med den nationella samordningen tillsammans med de behöriga aktörerna. Sedan december 2020 ska de myndigheter som berörs av SDG-förordningen tillhandahålla information samt hjälp- och problemlösningstjänster via Ditt Europa. Motsvarande gäller från december 2022 för kommuner och regioner. I december 2023 ska myndigheter som berörs av SDG-förordningen, samt kommuner och regioner, tillhandahålla digitala tjänster helt online och en uppgift ska bara behöva lämnas en gång.
3.3.4. NIS-direktivet
Utöver kraven enligt dataskyddsförordningen omfattas vårdgivare av kraven på säkerhet i nätverk och informationssystem enligt NISdirektivet.9 NIS-direktivet syftar till att uppnå en hög gemensam nivå på säkerhet i nätverk och informationssystem inom EU. NISregleringen innebär i korthet krav på informationssäkerhet och inci-
9 Europarlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen.
dentrapportering för leverantörer av samhällsviktiga och vissa digitala tjänster. Dessa leverantörer kan finnas i både privat och offentlig sektor. Dessutom har ett antal myndigheter tillsynsansvar i enlighet med regleringen. Hälso- och sjukvård är en av sju sektorer som kategoriseras som samhällsviktiga tjänster. Digitala tjänster är internetbaserade marknadsplatser, internetbaserade sökmotorer och molntjänster. Definitioner av digitala tjänster finns i lagen (2018:1174) om informationssäkerhet i samhällsviktiga och digitala tjänster. Det europeiska NIS-direktivet är svensk lag.10
Under slutet av 2020 publicerade Kommissionen ett förslag till utveckling av NIS-direktivet, benämnt NIS 2.11 NIS 2 innebär mycket mer detaljerade krav som avser att harmonisera införlivandet av reglerna i NIS-direktivet. NIS 2 adresserar den ökande hotbilden mot EU och de ökande interna beroendena mellan sektorer och landsgränser. Direktivet avser att öka den inre marknadens resiliens samt förmåga till respons på incidenter och attacker. Fortfarande är marknadsperspektivet i fokus för regleringen, det vill säga åtgärderna görs med argumentet att det ska underlätta och stärka den inre marknaden och även EU:s konkurrensmöjligheter globalt. NIS 2 avser att öka harmoniseringen mellan medlemsländer för att öka cybersäkerheten inom hela unionen men även för att minska bördan på aktörer som har verksamhet i flera länder. Förslaget föreskriver bland annat mer effektivt samarbete mellan myndigheter och mekanismer för informationsdelning mellan myndigheter, medlemsstater och entiteter. Under slutet av 2022 har Europaparlamentet och EUrådet kommit med sitt slutliga godkännande av NIS 2. Det formella beslutet offentliggjordes i Europeiska unionens officiella tidning den 27 december 2022 och direktivet trädde i kraft 20 dagar därefter. Därefter har medlemsländerna 21 månader på sig att införliva NIS 2 i nationell lagstiftning.
10 Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. 11 Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet).
3.3.5. Tillgänglighetsdirektivet
Europaparlamentets och rådets direktiv (EU) 2019/882 av den 17 april 2019 om tillgänglighetskrav för produkter och tjänster (tillgänglighetsdirektivet) innehåller krav som ska gälla produkter och tjänster efter den 28 juni 2025, med vissa undantag. Syftet är att harmonisera reglerna för tillgänglighetskrav för vissa produkter och tjänster samt att hjälpa medlemsländerna uppfylla nationella och internationella åtaganden som gäller tillgänglighet. Det ska även främja ett fullt och effektivt deltagande på lika villkor genom att förbättra tillgången till konventionella produkter och tjänster som genom sin ursprungliga utformning eller senare anpassning tillgodoser behoven hos personer med funktionsnedsättning.
3.4. Övrig relevant lagstiftning
3.4.1. Reglering av nationella medicinska informationssystem
Medicintekniska produkter
Begreppet medicintekniska produkter innefattar produkter som används inom alla delar av hälso- och sjukvården. Exempel på medicintekniska produkter är kompresser, kontaktlinsprodukter, sprutor, kanyler, infusionsaggregat och pumpar för läkemedelstillförsel. Inom det europeiska samarbetet finns regelverk avseende medicintekniska produkter, bland annat i form av förordning (EU) 2017/745 om medicintekniska produkter (MDR), som tillämpas sedan den 26 maj 2021. Som komplement till förordningen finns i Sverige lagen (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter och förordningen (2021:631) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter. Syftet är att underlätta för tillverkare genom att samma regler ska gälla över hela EU för ett visst produktområde. Produkterna genomgår inte ett godkännande utan tillverkaren märker i stället själv produkten med CE-märket för att visa att regelverkets krav är uppfyllda. De svenska författningarna innehåller bestämmelser som är specifika för vårt land och pekar exempelvis ut myndigheters roll i förhållande till regelverket och på vilket språk som produkter på svensk marknad ska vara märkta.
Nationella medicinska informationssystem
Nationella medicinska informationssystem (NMI) är informationssystem som i sig själva inte är medicintekniska produkter men i sin avsedda användning ligger nära medicintekniska produkter. NMI interagerar också i många fall med olika medicintekniska system. Eftersom NMI inte är medicintekniska produkter omfattas de inte direkt av MDR, men de bör omfattas av motsvarande krav på säkerhet och prestanda. Därför finns nationell lagstiftning i Sverige som omfattar NMI.
Sedan 2014 har Läkemedelsverket haft regler som har inneburit att NMI ska uppfylla samma krav på säkerhet och prestanda som medicintekniska produkter. För att följa utvecklingen av regelverket för medicintekniska produkter har Läkemedelsverket utvecklat nya föreskrifter för NMI som började gälla den 1 augusti 2022.12 De nya heltäckande föreskrifterna har bestämmelserna i MDR som utgångspunkt med målsättning att bland annat vara tydliga med vilka krav i MDR som är tillämpliga, exkludera krav i förordningen som inte är relevanta för informationssystem, anpassa krav och terminologi till informationssystem samt tydliggöra gränsdragningen mellan NMI och medicintekniska produkter. Föreskrifterna innehåller vidare ett förtydligande av definitionen av ett NMI, införande av NMI-märkning och NMI-ID för ökad identifiering och spårbarhet, ökade krav på övervakning av NMI som släppts ut på marknaden eller tagits i bruk samt införande av tydligare krav på teknisk dokumentation och evidens.
Enligt de nya föreskrifterna definieras ett NMI enligt följande. – Informationssystem som är utvecklat för gemensam användning
på rikstäckande, regional eller kommunal nivå eller för spridning på en annan motsvarande nivå i Sverige och – som hanterar medicinsk information av betydelse för enskilda
patienters hälso- och sjukvård men som inte har någon inverkan på de uppgifter som matas in eller vars verkan är begränsad till lagring, kommunikation, arkivering, datakomprimering utan förlust eller enkel sökning, eller
12 Läkemedelsverkets föreskrifter (HSLF-FS 2022:42) om nationella medicinska informationssystem.
– som hanterar medicinsk information av betydelse för enskilda
patienters hälso- och sjukvård och som är avsedda för direktåtkomst till och uppdatering av information i register hos en myndighet.
3.4.2. Offentlighets- och sekretesslagen
Sekretess gäller enligt 25 kap. 1 § offentlighets- och sekretesslagen (2009:400), fortsättningsvis OSL, inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Motsvarande regler om tystnadsplikt för den privata hälso- och sjukvården finns i patientsäkerhetslagen. Den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården får enligt 6 kap. 12 § patientsäkerhetslagen inte obehörigen röja vad denne i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning.
För att en vårdgivare ska kunna lämna ut uppgifter som enligt 25 kap. 1 § OSL omfattas av sekretess till exempelvis en myndighet utan att i varje enskilt fall göra en menprövning, behöver det finnas en sekretessbrytande bestämmelse i OSL. Sekretess hos E-hälsomyndigheten regleras i 25 kap. 17 a–b §§ och det finns en sekretessbrytande bestämmelse i 25 kap. 17 c §.
3.4.3. E-hälsomyndighetens instruktion
E-hälsomyndigheten ska enligt 1 § förordningen (2013:1031) med instruktion för E-hälsomyndigheten ansvara för register och itfunktioner som öppenvårdsapotek och vårdgivare behöver ha tillgång till för en patientsäker och kostnadseffektiv läkemedelshantering. Myndigheten ska vidare samordna regeringens satsningar på ehälsa samt övergripande följa utvecklingen på e-hälsoområdet. I 2 § finns en uppräkning av flera av myndighetens uppdrag och i 3 § regleras att E-hälsomyndigheten ska utveckla och tillhandahålla digitala tjänster för att redovisa uppgifter i myndighetens register i syfte att underlätta för den enskilde utifrån myndighetens verksamhetsområde.
4. Genomförandet av patientrörlighetsdirektivet
I detta kapitel beskrivs översiktligt bakgrunden till utredningens deluppdrag att utreda frågor som rör patientöversikter över landsgränser inom EES. Genomförandet av patientrörlighetsdirektivet samt vissa ersättningsregleringar vid vård utomlands behandlas liksom förslaget till ny förordning om ett europeiskt hälsodataområde.
4.1. Patientrörlighetsdirektivet
Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård (fortsättningsvis patientrörlighetsdirektivet) innehåller bestämmelser för att göra det lättare för patienter att få tillgång till en säker och högkvalitativ gränsöverskridande hälso- och sjukvård, garanterar patienterna rörlighet i överensstämmelse med de principer som fastslagits av Europeiska unionens domstol och uppmuntrar till samarbete mellan medlemsländer. Patientrörlighetsdirektivet trädde i kraft våren 2011 och skulle vara införlivat av medlemsstaterna senast i oktober 2013. Direktivet är genomfört i svensk rätt bland annat genom lagen (2013:513) om ersättning för kostnader till följd av vård i ett annat land inom Europeiska ekonomiska samarbetsområdet (EES).
Den rättsliga grunden för direktivet är artikel 114 i EUF-fördraget eftersom huvuddelen av bestämmelserna syftar till att främja den fria rörligheten av personer, varor och tjänster (skäl 2). Det finns även en hänvisning till artikel 168.1 i EUF-fördraget som anger att en hög hälsoskyddsnivå för människor måste säkerställas vid utformning och genomförande av all EU-politik och alla EU-åtgärder (skäl 1).
Fullständig hänsyn ska tas till nationell kompetens i frågan om organisation och tillhandahållande av hälso- och sjukvård. Det innebär att respektive medlemsstat har ett eget ansvar för att organisera och tillhandahålla hälso- och sjukvård och socialförsäkringsförmåner som avser hälso- och sjukvård, särskilt förmåner vid sjukdom, vilket ska respekteras fullt ut. Det finns med andra ord ingen tvingande EUrätt som reglerar hur hälso- och sjukvården ska organiseras och tillhandahållas. Direktivet tillämpas på tillhandahållandet av hälso- och sjukvård till patienter som söker hälso- och sjukvård i en annan medlemsstat än försäkringsmedlemsstaten, oavsett hur vården organiseras, tillhandahålls och finansieras. I patientrörlighetsdirektivet pekas ett antal områden ut där en fördjupad samverkan eftersträvas för att uppnå direktivets syften (skäl 51 och kapitel IV). Ett av dessa områden rör e-hälsa och i artikel 14 stadgas att Unionen ska stödja och främja samarbete om och utbyte av information mellan medlemsstaterna inom ramen för ett frivilligt nätverk som kopplar ihop nationella myndigheter som är ansvariga för e-hälsa, utsedda av medlemsstaterna. Samarbetet ska göras inom ramen för det frivilliga Nätverket för e-hälsa och syftar till att göra utbyte av patientrelaterad information möjlig.
Kommissionen beskriver e-hälsa som digital vård och omsorg. Begreppet omfattar ”it-baserade verktyg och tjänster för att förbättra förebyggande åtgärder, diagnos och behandling samt övervakning och hantering av hälsofrågor och levnadsvanor som påverkar hälsan”. I samband med att begreppet definieras framhåller kommissionen att digitala lösningar är innovativa och kan innebära nya och bättre sätt att få vård, ökad tillgänglighet och en effektivare vård.
Genomförande av patientrörlighetsdirektivets bestämmelser i svensk rätt
I regeringens proposition Patientrörlighet i EU – förslag till ny lagstiftning (prop. 2012/13:150), finns regeringens förslag till hur direktivets bestämmelser genomförs i svensk rätt. Bestämmelserna trädde i kraft den 1 oktober 2013. Tidsfristen för att genomföra direktivet i nationell lagstiftning gick ut den 23 oktober 2013. Genomförandet bestod huvudsakligen i införandet av två lagar: lagen (2013:513) om ersättning för kostnader till följd av vård i ett annat land inom Europeiska ekonomiska samarbetsområdet (ersättningslagen) och lagen
(2013:514) om landstingens och kommunernas kostnadsansvar för viss vård i utlandet (kostnadsansvarslagen). Ersättningslagen innehåller bestämmelser om ersättning för kostnader som har uppkommit till följd av att en person har mottagit vård i ett annat land inom EES. Vårdkostnader som uppkommit i ett annat EES-land kan ersättas antingen enligt patientrörlighetsdirektivets bestämmelser genom ersättningslagen eller enligt Europaparlamentets och rådets förordning (EG) nr 883/2004 (fortsättningsvis förordning 883/2004). Det finns skillnader mellan de olika regelverken och därför finns det i ersättningslagen en upplysning om rätten till ersättning för vårdkostnader enligt förordning 883/2004. Avsikten är att en patient som mottagit gränsöverskridande vård så långt möjligt ska kunna välja att få kostnader för denna vård ersatta på det sätt som är förmånligast för patienten. I de fall patientens rätt till ersättning grundar sig på förordning 883/2004 ska ersättningslagens bestämmelser inte tillämpas.
I artikel 19 och 20 i förordning 883/2004 regleras rätten till vårdförmåner av nödvändig och planerad karaktär. En person som är försäkrad för vårdförmåner i Sverige enligt förordningen 883/2004 kan få nödvändig eller viss planerad vård i ett annat EES-land eller i Schweiz till samma patientavgift som invånarna i det landet. Motsvarande situation gäller för personer som är försäkrade i ett annat EES-land eller Schweiz. Ett förhandstillstånd ska beviljas om den aktuella behandlingen finns bland de förmåner som tillhandahålls enligt lagstiftningen där patienten är bosatt och behandlingen inte kan ges inom en tid som är medicinskt försvarbar (artikel 20.2).
Försäkringskassan, som fattar beslut enligt ersättningslagen, måste i ett ersättningsärende inhämta yttranden från patientens hemregion och regionernas beslutsinflytande i medicinska frågor har på så sätt säkerställts. I och med kostnadsansvarslagen har kostnadsansvaret för viss gränsöverskridande vård flyttats över från Försäkringskassan till regionerna och kommunerna. Enligt lagen har regioner under vissa förutsättningar kostnadsansvar för dels ersättning som bestämts enligt 7, 8 eller 9 §§ ersättningslagen, dels ersättningar som har bestämts enligt förordning 883/2004. För att genomföra direktivets bestämmelser gjordes även vissa ändringar som rör kostnadsberäkning och ersättning i hälso- och sjukvårdslagen (1982:763), lagen (2002:160) om läkemedelsförmåner m.m. och i lagen (2008:145) om statligt tandvårdsstöd.
4.2. Patientrörlighetsdirektivet och samarbetet inom Nätverket för e-hälsa
EU stödjer och främjar samarbetet och utbytet av information inom ramen för det frivilliga Nätverket för e-hälsa. Nätverket baseras på artikel 14 i patientrörlighetsdirektivet och på Kommissionens genomförandebeslut 2019/1765 av den 22 oktober 2019 om regler för inrättande, förvaltning och drift av ett nätverk av nationella myndigheter med ansvar för e-hälsa och om upphävande av genomförandebeslut 2011/890/EU. Nätverket ska koppla ihop nationella myndigheter som är ansvariga för e-hälsa, utsedda av medlemsstaterna. I december 2011 fattade kommissionen ett genomförandebeslut om att starta ett sådant nätverk av nationella myndigheter med ansvar för e-hälsa.1Samarbetet i Nätverket för e-hälsa bygger på tillit mellan länderna och för att uppnå det behövs en teknisk, semantisk, organisatorisk och juridisk interoperabilitet mellan länderna och de nationella system som ska användas. Kommissionen stöder arbetet och agerar som medordförande på nätverkets möten. Medlemsländerna i EU deltar och Norge deltar som observatör. Länder från EES, Efta och kandidatländer kan vara observatörer.2
Nätverket för e-hälsa ska enligt direktivet arbeta för att tillhandahålla hållbara sociala och ekonomiska nyttoeffekter genom europeiska system och tjänster som rör e-hälsa. Inom ramen för samarbetet finns för närvarande två tjänster framtagna. En tjänst för gränsöverskridande utbyte av elektroniska recept (e-recept) och en tjänst för patientöversikter över landsgränser. Syftet med samarbetet är främst att skapa en infrastruktur för informationsutbyte som gör att hälsouppgifter kan förmedlas över landsgränser. Medlemsländerna kan välja att delta i samarbetet om e-recept och/eller patientöversikter, antingen genom att tillhandahålla uppgifter om deras medborgare till andra länder (i betänkandet benämnt land A), kunna ta del av information om utländska medborgare (i betänkandet benämnt land B) eller både och.3
1 Europakommissionens genomförandebeslut 2011/890/EU av den 22 december 2011 om regler för inrättande, förvaltning och drift av ett nätverk av nationella myndigheter med ansvar för ehälsa. 2Artikel 5.9 i genomförandebeslutet och artikel 9 i eHealth Network Rules of Procedure. 3 Med land A avses ett land som anslutit sig till tjänsterna och vars invånare kan utnyttja tjänsterna i ett annat land inom EES. Med land B avses ett land som kan expediera e-recept respektive begära patientöversikt över landsgränser för en invånare från ett annat land inom EES förutsatt att detta land har anslutit sig till respektive tjänst.
Nätverket för e-hälsa har beslutat om ett antal expert- och arbetsgrupper. De nationella kontaktpunkterna för e-hälsa, i Sverige E-hälsomyndigheten, finns representerade i medlemsländernas expertgrupp för e-hälsa, eHealth Member State Expert Group (eHMSEG), som definierar och beslutar om genomförandet av e-hälsotjänsterna. eHealth Operational Management Board övervakar tillhandahållandet av tjänster samt fattar taktiska och operativa beslut om den gemensamma digitala infrastrukturen. Socialdepartementet deltar i Nätverket för e-hälsa för Sveriges del och E-hälsomyndigheten deltar i egenskap av nationell kontaktpunkt för e-hälsa och expertmyndighet. eHMSEG Legal Work Group (LWG) består av jurister och andra experter från deltagande länder. E-hälsomyndigheten och andra myndigheter deltar i flera av arbets- och expertgrupperna.
4.3. Patientrörlighet inom EU/EES
Den patientrörlighet som äger rum inom EU/EES går att följa genom de rapporter som kommissionen publicerar och där statistiken baseras på uppgifter från medlemsstaterna. En allmän information om regelverket samt ett antal uppföljningsrapporter finns publicerade på kommissionens webbplats.4 Information i rapporterna utgår från patientrörligheten inom ramen för patientrörlighetsdirektivet. Patientrörligheten kan även följas inom ramen för den rörlighet som sker utifrån förordning 883/204 om samordning av de sociala trygghetssystemen. Båda regelverken omfattar system för reglering av kostnader mellan det land där personen i fråga är försäkrad för vårdförmåner och det land där vården utförs.
Utöver den vård som lämnas utifrån dessa regelverk, och där det finns offentlig statistik, förekommer även annan patientrörlighet mellan länder som kan finansieras antingen av den enskilde personen själv eller genom till exempel privata försäkringar.
Kommissionen publicerade i juni 2022 en statistikrapport för åren 2018–2020 avseende patientrörlighet inom ramen för patientrörlighetsdirektivet.5 Inledningsvis i rapporten påtalas att jämförelser mellan åren är svåra att göra då Covid-19 pandemin påverkat resandet
4 https://health.ec.europa.eu/cross-border-healthcare/overview_en. 5 European Commission, Data on patient mobility under Directive 2011/24/EU – Trend report
reference years 2018–2020, https://health.ec.europa.eu/system/files/2022-05/crossborder_
2018-2020_patient-mobility_data_en.pdf.
under 2020. Det föreligger även variationer i den utsträckning länderna redovisar den efterfrågade statistiken. Det konstateras bland annat att vad gäller vård av personer med ett beviljat så kallat förhandsbesked så är flödet mellan angränsande länder, till exempel mellan Storbritannien/Irland och Slovakien/Tjeckien av stor betydelse.
Vad gäller ersättning utan förhandsbesked så beviljades sammanlagt drygt 155 000 begäran om ersättning under 2020 av de 20 medlemsstater som redovisat data samt av Norge och Storbritannien. Även här noteras att patientflödet mellan angränsande länder är betydande. Det noteras även ett betydande flöde mellan de nordiska länderna och Spanien. De länder där vården utförts för samtliga ersättningsärenden är framför allt Spanien, Portugal, Tyskland, Belgien och Tjeckien. För vård som utförts i Sverige är det till mycket stor del patienter från Danmark som fått vård.
4.4. Ersättning vid sjukvård i ett annat land inom EU/EES
4.4.1. Patientrörlighetsdirektivet och ersättning enligt förordning 883/2004
Som anförts ovan syftar patientrörlighetsdirektivet till att göra det lättare för invånare i EES att få tillgång till gränsöverskridande hälso- och sjukvård och att förtydliga förhållandet till förordningen 883/2004 vid tillämpning av patienträttigheter (artikel 1.1). Medlemsländernas ansvar för socialförsäkringsförmåner, särskilt förmåner vid sjukdom, ska respekteras fullt ut (artikel 1.1). Bakgrunden till direktivet är ett antal domar i EU-domstolen som slog fast att sjukvård omfattas av EUF-fördragets regler om fri rörlighet för tjänster, oavsett hur den är finansierad och organiserad.6 Patientrörlighetsdirektivet definierar vad som avses med hälso- och sjukvård och att vård anses som gränsöverskridande när den ges i ett annat medlemsland (artiklarna 3 a och 3 e).
Patientrörlighetsdirektivet pekar ut behörigt land (land A) genom att hänvisa till det land som är ansvarigt för personens vårdförmåner enligt förordningen 883/2004. Behandlande medlemsland, det vill säga där vården utförs, är land B. En försäkrad person definieras i
6 Se prop. 2012/13:150, s. 17 inklusive hänvisningarna till rättsfall i not 1.
artikel 3 b och kan som beskrivits ovan ha rätt till ersättning för kostnader för hälso- och sjukvård i ett annat EES-land. Ersättning kan ges upp till försäkringsmedlemslandets kostnadsnivå (artikel 7.2). Land A ska även fastställa vilken hälso- och sjukvård som en försäkrad person kan få ersättning för, samt kostnader och nivå, oberoende av var vården tillhandahålls och beräkningen ska vara transparent (artikel 7.3). Grundtanken i patientrörlighetsdirektivet är således att en patient som får gränsöverskridande vård ska sättas i samma situation, så långt det är möjligt, som om patienten hade fått vård i sitt hemland.7
4.4.2. Ersättning enligt ersättningslagen
I ersättningslagen anges villkor för rätt till ersättning för kostnader till följd av gränsöverskridande vård i ett annat EES-land och hur ersättningens storlek ska bestämmas. Lagen omfattar även ersättning för humanläkemedel. Ersättningslagen är enligt 2 § i vissa fall inte tillämplig om förordningen 883/2004 är tillämplig.
En patient har rätt till ersättning för kostnader för vård i ett annat EES-land om han eller hon omfattas av den personkrets som Sverige är behörigt att meddela ett sådant tillstånd till. Rätten gäller under förutsättning att han eller hon skulle ha haft rätt att få vården bekostad av det allmänna om den givits i Sverige (5 § ersättningslagen). Ersättningen kan som högst avse de faktiska kostnader patienten haft för vården (6 § ersättningslagen) och ska motsvara den vårdkostnad som skulle ha uppkommit om patienten fått vård i Sverige (7 § första stycket ersättningslagen). Avdrag ska göras motsvarande de avgifter för vården som patienten skulle ha betalat i Sverige.
Medlemsländerna kan komma överens om att avstå från all återbetalning enligt artikel 35 i förordning 883/2004. Sverige har ingått vissa sådana så kallade betalningsavståenden som innebär att land B står för kostnaden för patienten från land A.
I ersättningslagen beskrivs även hur patienten kan ansöka om förhandsbesked för planerad vård i ett annat EES-land (11 § ersättningslagen). Ett sådant besked är som regel bindande när patienten senare ansöker om ersättning.
Försäkringskassan prövar, efter ansökan från en patient, frågor om ersättning och ska särskilt beakta sjukdomens eller skadans karaktär och förväntade utveckling, patientens individuella omständigheter i övrigt och om det finns skäl att prioritera hanteringen av ansökan. Beslutade ersättningar betalas ut av Försäkringskassan (14 § ersättningslagen).
Sammanfattningsvis kan alltså en patient som är försäkrad för vårdförmåner i Sverige få ersättning för vård i ett annat EES-land, om villkoren är uppfyllda, antingen enligt förordningen 883/2004 eller ersättningslagen. Avsikten är alltså att en patient som fått gränsöverskridande vård, så långt det är möjligt, ska kunna välja att få kostnader för vården ersatta på det sätt som är förmånligast.
4.4.3. Lagen om regionernas och kommunernas kostnadsansvar för viss vård i utlandet
Lagen om regionernas och kommunernas kostnadsansvar för viss vård i utlandet innebär bland annat att en region har, om inget annat sägs i lag, kostnadsansvar för ersättningar för viss hälso- och sjukvård och tandvård samt för vissa produkter, exempelvis läkemedel, som patienter får vid vård i ett annat EES-land enligt ersättningslagen eller förordningen 883/2004.
Regionernas kostnadsansvar gäller ersättningar som betalats ut till patienter som var bosatta, kvarskrivna eller stadigvarande vistades i regionen när vården som ersättningen avser gavs (2 § kostnadsansvarslagen). En region ska ersätta Försäkringskassan för sådana utbetalda ersättningar till en patient (3 § kostnadsansvarslagen).
När någon får vård i Sverige med stöd av förordningen 883/2004 kan regioner ha rätt till ersättning för kostnader som uppstått i samband med vården. Dessa kostnader regleras enligt förordning (2013:711) om ersättningar för vissa vårdkostnader i internationella förhållanden.
4.4.4. Försäkringskassans roll
Försäkringskassan spelar en central roll i frågor om ersättning vid gränsöverskridande vård och är Sveriges förbindelseorgan inom ramen för förordning 883/2004. Försäkringskassan lämnar till exem-
pel information om vård i andra EES-länder, villkoren för ersättning och kontaktuppgifter till kontaktpunkter för e-hälsa i andra EESländer.8 Försäkringskassan beslutar och betalar ut ersättningar baserat på förordningen 883/2004, EUF-fördraget, patientrörlighetsdirektivet och annan reglering om gränsöverskridande hälso- och sjukvård. Regelsystemen är delvis parallella, så inte minst av rättssäkerhetsskäl har det ansetts vara viktigt att rättsfrågor som är aktuella i både patientrörlighetsdirektivet och förordningen 883/2004 bedöms likartat. Det var bland annat mot den bakgrunden som regeringen föreslog att beslutsansvaret för den gränsöverskridande vården skulle vara samlat hos Försäkringskassan.9
4.5. Det europeiska hälsodataområdet
I EU:s datastrategi som lades fram år 2020 tillkännagavs att nio datautrymmen ska inrättas inom EU:s inre marknad för att bidra till en europeisk konkurrenskraftig och datadriven ekonomi samtidigt som en hög nivå av säkerhet, dataskydd och personlig integritet säkerställs.10
Kommissionen har tidigare föreslagit att ett europeiskt hälsodataområde, European Health Data Space (EHDS), ska inrättas i syfte att främja gränsöverskridande användning av hälsodata inom forskning, innovation och för att skapa nya regelverk och ny lagstiftning inom området.11 I arbetet med EHDS ingår att öka den tekniska och semantiska interoperabiliteten. Infrastrukturen ska beakta hälso- och sjukvårdssektorns särdrag och utgå från pågående initiativ såsom infrastrukturen för digitala e-hälsotjänster.12
Den 3 maj 2022 presenterade kommissionen ett meddelande och ett förslag till förordning om ett europeiskt hälsodataområde (förordningen om EHDS).13 Det övergripande syftet med förordningen
8 Det är Socialstyrelsen som ska informera en person från ett annat EES-land om vilka rättigheter som personen har vid vård i Sverige enligt patientrörlighetsdirektivet. E-hälsomyndigheten är kontaktpunkt för e-hälsa enligt patientrörlighetsdirektivet. 9Prop. 2012/13:150, s. 66 f. 10 Meddelande från kommissionen till Europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén, En EU-strategi för data, Bryssel den 19.2.2020 COM (2020) 66 final. 11 https://ec.europa.eu/health/ehealth/dataspace. 12 https://ec.europa.eu/health/ehealth/electronic_crossborder_healthservices. 13 Bryssel den 3.5.2022. Meddelande från kommissionen och rådet – Ett europeiskt hälsodataområde: tillvarata kraften hos hälsodata för människor, patienter och innovation COM(2022) 196 final. Förslag till europaparlamentets och rådets förordning om ett europeiskt hälsodataområde COM(2022) 197 final.
är att göra det lättare att dela och få tillgång till olika typer av uppgifter – bland annat elektroniska patientjournaler och data från patientregister – både inom själva vården (primäranvändning) och för forskning, innovation och beslutsfattande (sekundäranvändning). Enligt förslaget syftar förordningen vidare till att skapa förutsättningar för enskilda att få större kontroll över sina egna hälsodata samt att främja tillgången till relevant hälsodata för forskning, innovation och beslutsfattande, för att förbättra för enskilda vad gäller diagnosticering, vård och välmående. Förslaget avser därför göra det lättare att överföra hälsodata inom medlemsstaterna och över medlemsstaternas landsgränser. Ett europeiskt hälsodataområde är även avsett att utgöra ett led i att skapa en gemensam marknad för hälsoprodukter och hälsotjänster genom att harmonisera regler och effektivisera hälso- och sjukvården.
Kapitel II i förordningen innehåller förslag till bestämmelser om primäranvändning av elektroniska hälsodata. Där regleras både tillgång till och överföring av elektroniska hälsodata. I kapitlet anges vissa rättigheter för enskilda i fråga om primäranvändning av sina hälsodata avsedda att komplettera de rättigheter som följer av EU:s dataskyddsförordning. Bland annat ska enskilda ha rätt att utan kostnad, omedelbart och på ett lättillgängligt sätt, kunna få tillgång till egna elektroniska hälsodata och enskilda ska också ha rätt att begränsa tillgången till sina hälsodata för sjukvårdspersonal. Vidare ska de omedelbart och utan kostnad kunna få information om vilka som fått tillgång till sina egna hälsodata. Enskilda ska även ha rätt att via digitala tjänster lägga till information i sin egen patientjournal eller i en journal som avser en person vars hälsodata de har rätt att ta del av.
I kapitlet regleras därtill skyldigheter för sjukvårdspersonal i samband med att de behandlar elektroniska hälsodata. Bland annat anges att sjukvårdspersonal ska ha tillgång till elektroniska hälsodata som rör en patient de behandlar, oberoende av i vilken medlemsstat som behandling ges, samt att sjukvårdspersonalen ska se till att patientens elektroniska hälsodata blir uppdaterade med aktuell information. Vidare anges vissa kategorier av hälsodata som är prioriterade för att ingå i det europeiska hälsodataområdet i fråga om primäranvändning, bland annat patientöversikter, e-recept, medicinska bilder, laboratorieresultat och epikriser.
Av förordningen följer vidare att varje medlemsstat ska utse en myndighet för digital hälsa (en e-hälsomyndighet) med flera uppräk-
nade uppgifter. Myndigheten ska bland annat genom tekniska lösningar och nödvändiga regleringar se till att kraven avseende rättigheter och skyldigheter i kapitel II och kapitel III i förordningen uppfylls. Myndigheten ska vidare samverka med relevanta aktörer och organ på nationell och EU-nivå, för att garantera interoperabilitet, dataportabilitet och säkerhet i fråga om elektroniska hälsodata.
Förordningen innehåller mer specifikt förslag till vissa bestämmelser om patientjournalsystem, bland annat regler om ett obligatoriskt certifieringssystem för elektroniska patientjournalsystem. Dessa regler syftar till att säkerställa att elektroniska journaler är interoperabla med olika journalsystem för att möjliggöra enkel överföring av hälsodata mellan sådana system.
Förslaget från kommissionen kommer att förhandlas parallellt med utredningens arbete. Det slutliga utfallet kan komma att påverka både tjänsterna e-recept och patientöversikter över landsgränser. Det är dock svårt för utredningen att beakta detta i det pågående arbetet. Utredningen återkommer emellertid i kommande kapitel till förslaget till förordningen där det är relevant.
5. Ansvaret för och styrningen av hälso- och sjukvården i Sverige
I det här kapitlet beskrivs övergripande hur hälso- och sjukvården styrs och vem som har ansvar för vilka delar av dess genomförande. Inledningsvis sammanfattas övergripande utvecklingen av hälso- och sjukvårdens styrning, därefter beskrivs statens respektive regioners och kommuners ansvar för att leverera hälso- och sjukvård och omsorg. Vidare beskrivs förhållandet mellan EU-rätt och den nationella styrningen av vården. Kapitlet avslutas med att sammanfatta hur vården organiseras.
5.1. Utvecklingen av hälso- och sjukvårdens styrning
Fram till slutet av 1970-talet handlade utvecklingen av den svenska vården primärt om expansion och att gå från små lasarett och provinsialläkare till stora sjukhus och primärvård som omfattade flera professioner.1 I samband med den första hälso- och sjukvårdslagen (1982:763) ersattes dåvarande detaljerade lagstiftning av en målinriktad lagstiftning. I propositionen2 till lagen framgår att det övergripande målet för hälso- och sjukvården ska vara en god hälsa och en vård på lika villkor för hela befolkningen. Den nya hälso- och sjukvårdslagen gav ett utvidgat ansvar för befolkningens hälsa till landstingskommunerna och ett stort utrymme för dem att utforma vården efter lokala och regionala behov och förutsättningar. Vidare framhålls att syftet med flera av förslagen är att stärka patientens ställning i hälso- och sjukvården. Staten gavs ansvar för den centrala,
1SOU 2019:29, s. 53. 2 Prop. 81/82:97 om hälso- och sjukvårdslag m.m., s. 1.
övergripande planeringen och samordningen av hälso- och sjukvården. Detta var i linje med den allmänna decentraliseringen som pågick där staten framgent utfärdade riktlinjer för kommunal verksamhet i stället för att vara delaktig i den operativa styrningen av hälso- och sjukvården. Många regioner hade i mitten av 1970-talet regionala utvecklingsplaner avseende bland annat en stärkt primärvård men på grund av samhällsekonomins utveckling och begränsade möjligheter till personalförsörjning kunde målen inte realiseras i önskad utsträckning. Därav kom den kliniska verksamheten i stället att centraliseras till sjukhusen som utvecklades mot större enheter och mot mer specialisering. Det medförde en ökad byråkratisering och centralstyrning framför allt av de största sjukhusen. Sammantaget blev det ett vårdlandskap men ökad organisatorisk komplexitet och därmed ett större behov av samordning och styrning.3
Landstingens självbestämmande kom att stärkas än mer av kommunallagen (1991:900) som hade i syfte att ge kommunerna och landstingen större friheter och att minska statlig kontroll.4 Under 1990-talet genomfördes sedan ett stort antal förändringar av den interna styrningen av hälso- och sjukvården. En av drivkrafterna till förändringarna var den kritik avseende låg effektivitet som hade riktats mot sjukvården5. Även den ekonomiska stagnation som svensk ekonomi upplevde i början av 1990-talet drev behovet av att prioritera. Det tvingade fram prioriteringar i en större omfattning än vad som tidigare hade behövts för att öka effektiviteten och tillgängligheten till sjukvården samt stärka demokratin genom valfrihet för patienten och tydligare mandat för politiker. Landstingen och kommunerna började då införa nya styrmodeller som syftade till att skapa mer marknadsstyrning. De nya styrmodellerna skiljde på uppdragen som producent/utförare och beställare/finansiär inom sjukvården. Detta ledde till att privata aktörer började komma in på vårdmarknaden genom offentlig upphandling av tjänster. Under detta decennium tillkom därigenom sammantaget en stor mängd nya aktörer både genom kommunernas huvudmannaskap och den ökade mängden privata alternativ. Framväxten av nya vårdproducenter och driftfor-
3 Hallin, & Siverbo, S. (2003). Styrning och organisering inom hälso- och sjukvård. Studentlitteratur. 4Prop. 1990/91:117 om en ny kommunallag. 5 SOU 1999.66, s. 14–18.
mer ökade patientens valfrihet men medförde också större skillnader.6
År 1992 infördes en vårdgaranti i primärvården för vissa diagnoser genom ett avtal mellan landstingsförbundet och staten. Garantin avsåg tre månaders väntetid och tolv olika specificerade behandlingar med en särskilt omfattande väntetidssituation.7 År 1996 utvidgades garantin att även gälla kontakt med primärvården och ett första besök hos en primärvårdsläkare eller en specialist. Året därefter ändrades den ytterligare för att omfatta alla insatser.8 Regeringen och SKR (då SKL) tecknade 2005 en överenskommelse om att inkludera väntetider i vårdgarantin.9 Denna infördes år 2010 i hälso- och sjukvårdslagen.
Den politiska inriktningen inom hälso- och sjukvården hade under första decenniet av 2000-talet fortsatt att vara inriktad mot att öka patienternas valfrihet och underlätta för privata vårdgivare att etablera sig i primärvården med offentlig ersättning. I samband med att lagen (2008:962) om valfrihetssystem (LOV) trädde i kraft år 2009 introducerades ett alternativt sätt för huvudmännen att upphandla privata utförare av offentligt finansierad hälso- och sjukvård och socialtjänst utöver befintlig lag om offentlig upphandling (LOU). I propositionen framgår att den föreslagna lagen reglerar vad som ska gälla för de landsting och kommuner som vill konkurrenspröva kommunala och landstingskommunala verksamheter genom att överlåta utförandet av stöd, vård och omsorgstjänster. Såväl privata företag som ideella organisationer kan enligt den nya lagen ansöka om att bli godkända som leverantörer10. Året efter blev det obligatoriskt för landstingen att inrätta ett vårdvalssystem som gav medborgarna rätt att välja mellan olika vårdgivare i primärvården. Alla vårdgivare som uppfyllde de landstingsbeslutade kraven på kvalitet hade rätt att etablera sig i primärvården med offentlig ersättning11. Övriga delar av hälso- och sjukvården kunde respektive huvudman bestämma om den ville utföra den i egen regi eller om utförandet skulle upphandlas, i så fall tillämpades antingen LOV eller LOU. Genom dessa för-
6SOU 1999:66, s. 180. 7 Socialstyrelsen (2012). Vårdgaranti och kömiljard – uppföljning 2009–2011. 8 Socialstyrelsen (1997). Fyra år med vårdgaranti: erfarenheter och effekter: en sammanfattande rapport från uppföljningen av 1992 års nationella vårdgaranti, rapport 1997:2, s. 7. 9 Staten och Sveriges Kommuner och Landsting 2005. Överenskommelse mellan staten och Sveriges Kommuner och Landsting om en nationell satsning för en fungerande vårdgaranti. 10Prop. 2008/09:29. Lag om valfrihetssystem. 11Prop. 2008/09:74. Vårdval i primärvården.
ändringar var inte människor längre geografiskt bundna till vissa aktörer inom primärvården. Samtidigt började digitaliseringen tillta i hastighet. År 2008 infördes patientdatalagen (2008:355).
5.2. Statens ansvar och styrning
Av 1 kap. 2 § regeringsformen följer att det allmänna ska verka för goda förutsättningar för hälsa. Ansvaret för hälso- och sjukvården är fördelat mellan stat, regioner och kommuner. Det är riksdagen, regeringen, statliga myndigheter och EU som sätter ramarna för kommunala verksamheten genom exempelvis lagar, förordningar och myndighetsföreskrifter. Staten har ett övergripande ansvar för att hälso- och sjukvården bedrivs enligt de nationella målen om god hälsa och vård på lika villkor för hela befolkningen och i enlighet med bland annat hälso- och sjukvårdslagen (2017:30), fortsättningsvis HSL, patientsäkerhetslagen (2010:659) och patientlagen (2014:821).
I budgetpropositionen för 2021 anges att statens ansvar för hälso- och sjukvården innebär att främja goda förutsättningar för hälso- och sjukvårdssystemet.12 Det kommunala självstyret innebär att varje region självständigt ansvarar för att finansiera och tillhandahålla hälso- och sjukvård i sitt geografiska område. Även kommunerna tillhandahåller viss vård och omsorg. Därmed har staten delegerat ansvaret för vården till kommunerna och regionerna. Staten måste i sin styrning trots delegerat ansvar se till att vården uppfyller kravet på likvärdighet. Vidare har staten ett intresse av att de uppgifter som givits kommuner och regioner utförs på det sätt som är avsett samt att den nationella politikens mål och ambitioner får genomslag i den kommunala sektorn. Styrningen från staten är därmed ofta inriktad på att skapa likvärdighet mellan kommuner och regioner inom viktiga samhällsområden.13
Historiskt har staten styrt och påverkat vården främst genom traditionella styrmedel. Dessa innefattar exempelvis: Reglerande styr-
medel som lagar, förordningar och föreskrifter. Ekonomisk styrning
genom att med hjälp av ekonomiska incitament få mottagaren av styrningen – kommunerna och regionerna i det här fallet – att agera på ett visst sätt med exempelvis statsbidrag eller överenskommelser.
12Prop. 2020/21:1 Utgiftsområde 9, s. 12. 13 Statskontoret (2019). Utvecklingen av den statliga styrningen av kommuner och landsting – En analys. Rapport 2019:2.
Kontrollstyrning som är ett sätt för staten att i efterhand kontrollera
hur kommunerna och landstingen efterlever den styrning som staten ger med andra styrmedel. Tillsyn, uppföljning och utvärdering är typiska exempel på kontrollstyrning. Kunskapsstyrning som kan ske i form av exempelvis föreskrifter, nationella riktlinjer, allmänna råd eller metodstöd. På senare tid har även olika former av mindre traditionella styrmedel blivit allt vanligare. Detta innefattar exempelvis överenskommelser, öppna jämförelser, nationella samordnare, nationella strategier, nationella samlingar och nationella handlingsplaner inom vården.14
5.3. Regioners och kommuners ansvar och styrning
Regionerna ansvarar för att erbjuda en god hälso- och sjukvård åt den som är bosatt inom regionen och åt den som är kvarskriven och stadigvarande vistas inom regionen (8 kap. 1 § HSL). Regionen har ansvar för vård även i vissa andra situationer, exempelvis för de patienter som enligt 9 kap. 1 § patientlagen väljer utförare av offentligfinansierad vård utanför sin hemmaregion (8 kap. 3 § HSL).
Regionens ansvar som huvudman består även av att finansiera, organisera och planera vården. Som ett led i rätten att organisera verksamheten kan regionen välja att antingen som vårdgivare bedriva verksamhet i egen regi eller anlita andra, exempelvis privata vårdgivare för viss verksamhet. Även om en region överlämnar en viss uppgift som annars skulle ha utförts i egen regi åt en privat vårdgivare har regionen kvar huvudmannaskapet och därigenom det övergripande ansvaret för verksamheten. Regionen har också ansvar för att följa upp den vård som utförs på regionens uppdrag.
I 3 kap. 12 § kommunallagen (2017:725), fortsättningsvis KL, anges att kommuner och regioner får, med de begränsningar som framgår av lag, överlämna skötseln av kommunala angelägenheter till privata utförare. Att regioner och kommuner har möjlighet att lämna över vården av en kommunal angelägenhet till en juridisk person eller en enskild individ framgår också av 10 kap. 1 § KL.
Av 15 kap. 1 § HSL framgår dessutom att en region och en kommun med bibehållet huvudmannaskap får sluta avtal med någon
14 Riksrevisionen (2017). Staten och SKL – en slutrapport om statens styrning på vårdområdet. RIR 2017:3.
annan om att utföra de uppgifter som regionen ansvarar för enligt lagen, såvida de inte innefattar myndighetsutövning.
För att fullgöra det ansvar som följer av huvudmannaskapet måste regionen kontrollera och följa upp verksamhet som bedrivs av privata vårdgivare. Detta regleras i 10 kap. 8 § KL. Regionen ska, enligt 10 kap. 9 § KL, genom avtalet tillförsäkra sig information som gör det möjligt att ge allmänheten insyn i den verksamhet som lämnas över.
5.3.1. SKR som aktör i vårdens styrning
Huvudprincipen för statens styrning med ekonomiska medel är att bidrag ska ges till kommuner och landsting via det generella statsbidraget. Det förekommer även att riktade statsbidrag ges, exempelvis i samband med överenskommelser. Dessa finns oftast inom områdena hälso- och sjukvård och social omsorg samt utbildning.15Överenskommelser har blivit vanligare på vårdområdet sedan den så kallade kömiljarden tillkom 2009. En av anledningarna till att Socialdepartementet använder styrmedel så som överenskommelser är att det är kommuner och regioner som ansvarar för verksamheten, till skillnad från statlig verksamhet där regeringen kan styra mer direkt genom till exempel en myndighets instruktioner eller regleringsbrev.16
Regeringen har slutit ett stort antal överenskommelser med Sveriges kommuner och regioner (SKR). Sådana överenskommelser kan användas för att stimulera en utveckling i önskad riktning inom områden där regeringen och SKR gemensamt identifierat ett utvecklingsbehov. Genom överenskommelser ges förutsättningar för att insatser kan ske samordnat på nationell, regional och lokal nivå. Överenskommelser kan också uppnås genom andra former av avtal där parter förbinder sig till vissa åtaganden.
SKR är en medlems- och arbetsgivarorganisation vars medlemmar utgörs av samtliga Sveriges kommuner och regioner. Deras uppdrag är att stödja och bidra till att utveckla regioners och kommuners verksamhet. SKR fungerar i praktiken som ett nätverk för kunskapsutbyte och samordning, ger kurser och konferenser samt service och professionell rådgivning till tjänstepersoner och förtroendevalda i kommuner och regioner inom alla sektorer och frågor som deras med-
15 Statskontoret (2022). Utvecklingen av statens styrning av kommuner och regioner 2021. 16 Riksrevisionen (2017). Staten och SKL – en slutrapport om statens styrning på vårdområdet. RIR 2017:3.
lemmar är verksamma inom. SKR är en politiskt styrd organisation med kongress som högsta beslutande organ. Kongressen anger riktningen för SKR:s arbete och utser styrelse och ordförande. Mellan kongresserna leder styrelsen det politiska arbetet. Till stöd har styrelsen förtroendevalda politiker i delegationer och beredningar. SKR äger samtliga aktier i SKR Företag AB som är ett moderbolag för ett antal dotter- och intresseföretag i SKR Företag-koncernen. Bolagen inom koncernen ska verka för uppfyllelse av de mål som anges i uppdrag från SKR:s kongress samt i SKR:s verksamhetsplan.17 Bland SKR:s dotterbolag finns Inera AB som har i uppdrag att skapa förutsättningar för att digitalisera välfärden, genom att förse ägarna med gemensam digital infrastruktur och arkitektur.18
5.4. Processer inom EU kan påverka förhållandet mellan stat och region
Utvecklingsinriktningen och de regelverk som beslutas inom EU kan påverka nationella förhållanden och sättet att organisera verksamheter. EU-rätt utgör en egen rättsordning som upprättats genom samarbetet mellan medlemsstaterna i EU. EU:s rättsakter består framför allt av förordningar, direktiv och beslut. Förordningar är direkt tillämpliga i alla medlemsstater medan EU:s medlemsländer ska följa de regler som EU-länderna beslutar om tillsammans i EU:s institutioner. Ett land som inte gör det kan ställas inför rätta i EUdomstolen. EU-rätten har företräde framför svensk lagstiftning. Det finns olika typer av lagar och regler i EU, vissa är bindande och måste följas, andra är rekommendationer.19 En förordning är en bindande rättsakt som alla EU-länder ska tillämpa i dess helhet. Ett direktiv sätter upp mål som medlemsländerna ska nå, men de får själva bestämma hur det ska gå till. Direktiv införlivas i nationell rätt vilket innebär att det finns nationella lagar och regler som motsvarar de krav som finns i direktivet. Beslut är också bindande för dem det riktar sig till, exempelvis ett EU-land eller företag, och är direkt tillämpligt. Rekommendationer är inte bindande och yttranden är ett uttalande från institutionerna som inte innebär några rättsliga skyldigheter för
17 SKR. (2022). Om SKR. URL : Om SKR | SKR. Publicerad 2022-060-3. Hämtad 2022-08-24. 18 Inera. Om Inera. UR L: Om Inera - Inera. Uppdaterad 2022-04-25. 19 Sveriges riksdag . EU:s lagar och regler – Sveriges riksdags EU-information (riksdagen.se).U ppdaterad 2021-07-26. Hämtad 2023-02-18.
mottagarna.20 I kapitel 3 beskrivs andra EU-direktiv och förordningar med relevans för uppdraget. I kapitel 4 redogörs även för det förslag till förordning om ett europeiskt hälsodataområde (EHDS) som kommissionen presenterat. Om förslaget till förordning antas så kommer detta att påverka hanteringen av bland annat patientjournaler och patientöversikter i Sverige och inom EU.
5.5. Hälso- och sjukvårdens organisation och finansiering
5.5.1. Gällande rätt avseende organisation och finansiering
Hälso- och sjukvårdslagen (HSL) innehåller bestämmelser om hur hälso- och sjukvårdsverksamhet ska organiseras och bedrivas. Lagen gäller för alla vårdgivare. Av lagen framgår att kommuner och regioner ansvarar för att tillhandahålla offentligt finansierad hälso- och sjukvård i egenskap av sjukvårdshuvudmän (1 kap. 1 § HSL). Med hälso- och sjukvård avses åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador, sjuktransporter och omhändertagande av avlidna. Målet med hälso- och sjukvården är enligt lagen en god hälsa och en vård på lika villkor för hela befolkningen. Vården ska ges med respekt för alla människors lika värde och för den enskilda människans värdighet. Den som har det största behovet av hälso- och sjukvård ska ges företräde till vården. Hälso- och sjukvården ska arbeta för att förebygga ohälsa (3 kap. 1 och 2 §§ HSL). Hälso- och sjukvårdsverksamhet ska bedrivas så att kraven på en god vård uppfylls. Där det bedrivs hälso- och sjukvårdsverksamhet ska det finnas den personal, de lokaler och den utrustning som behövs för att god vård ska kunna ges (5 kap. 2 § HSL). Kvaliteten i verksamheten ska systematiskt och fortlöpande utvecklas och säkras (5 kap. 4 § HSL).
Patientlagen syftar till att inom hälso- och sjukvårdsverksamhet stärka och tydliggöra patientens ställning samt till att främja patientens integritet, självbestämmande och delaktighet. Lagen innehåller bland annat bestämmelser om tillgänglighet, information och samtycke.
Patientsäkerhetslagen syftar till att främja hög patientsäkerhet inom hälso- och sjukvård och därmed jämförlig verksamhet. I lagen
20 Europakommissionen. Typer av rättsakter. UR L: Typer av rättsakter (europa.eu). Hämtad 2023-02-18.
finns bestämmelser om anmälan av verksamhet, vårdgivarens skyldighet att bedriva ett systematiskt patientsäkerhetsarbete, behörighetsfrågor, begränsningar i rätten för andra än hälso- och sjukvårdspersonal att vidta vissa hälso- och sjukvårdande åtgärder, skyldigheter för hälso- och sjukvårdspersonal, Inspektionen för vård och omsorgs tillsyn, prövotid och återkallelse av legitimation, Hälso- och sjukvårdens ansvarsnämnd samt straffbestämmelser.
5.5.2. Organisation och finansiering
Som framgår ovan har det skett stora strukturförändringar inom hälso- och sjukvården under de senaste årtiondena som bland annat inneburit att allt fler privata vårdgivare driver offentligt finansierad vård. Enligt statistik från SKR drevs år 2020 sammanlagt 515 av de totalt 1 170 (44 procent) vårdcentralerna i Sverige i privat regi.21Inom ramen för den offentligt finansierade vården skedde under år 2021 drygt 64 procent av alla kontanter i öppenvården hos vårdgivare i offentlig regi och resterande hos vårdgivare i privat regi, se tabell 5.1.
21 SKR (2021). Statistik om hälso- och sjukvård samt regional utveckling 2020. Verksamhet och ekonomi i regioner. UR L: Statistik om hälso- och sjukvård samt regional utveckling 2019 VERKSAMHET OCH EKONOMI I REGIONER (skr.se).
Tabell 5.1 Antalet kontakter i öppenvård hos vårdgivare i privat respektive offentlig regi. Avser enbart den offentligt finansierade vården
Region Kontakter i öppenvård
(privat regi)
Kontakter i öppenvård
(offentlig regi)
Stockholm
7 918 377
5 825 018
Uppsala
825 663
1 245 051
Sörmland
305 471
1 159 706
Östergötland
497 120
2 064 379
Jönköping
406 650
1 516 421
Kronoberg
226 036
738 330
Kalmar
169 465
1 110 465
Gotland
47 720
292 273
Blekinge
126 072
656 450
Skåne
3 509 023
4 761 849
Halland
718 240
1 183 632
Västra Götaland
3 002 462
6 356 606
Värmland
199 564
1 055 577
Örebro
213 980
1 327 692
Västmanland
497 295
856 078
Dalarna
199 741
1 222 122
Gävleborg
330 392
1 043 522
Västernorrland
243 895
842 215
Jämtland Härjedalen
92 058
582 888
Västerbotten
177 639
1 147 867
Norrbotten
225 189
927 766
Riket 19 932 052 35 915 907
Källa: SKR, 2022.
Hälso- och sjukvården finansieras på det sätt som framgår av tabell 5.2. Huvuddelen av den totala kostnaden för hälso- och sjukvården, under 2020 knappt 80 procent, finansieras av regionerna. Av den totala kostnaden för hälso- och sjukvården år 2020 kan knappt 19 procent hänföras till verksamhet utförd av privatägda företag. Det kan också noteras att av kostnaderna för verksamhet utförd av privatägda företag finansierade hushåll och individer cirka 25 procent och regioner cirka 50 procent av dessa. För verksamhet utförd av regioner finansierade hushåll och individer 1,7 procent av kostnaderna.
Tabell 5.2 Finansiella flöden mellan finansiärer och utförare inom hälso- och sjukvårdsområdet 2020 i miljoner kronor
Finansiär
Utförare
Stat Regioner Primär-
kommun
Kommunal-
förbund
Offentligt
ägda företag
Privatägda
företag
Ideella organisa-
tioner
Hushåll
och individer
Utlandet
Staten 0 27 235 378 173 175 2 739
Regioner 441 297 413 59 900 15 531 42 294
14 39
Primärkommun
0 396 1 768
0 141 4 777
0
Kommunalförbund
16
Offentligt ägda företag
65
27 564
Privatägda företag
288
505 11 994
Ideella organisationer
1
1 40
Hushåll och individer
5 827 61
3 082 20 994
Utlandet
107 0
73 517
Okänt 0 5 099 54 99 0 0 2 401
Total 441 336 447 2 320 1 172 19 535 83 919 2 401 14 534
Källa: SCB, räkenskapssammandrag för regioner, kommuner och kommunalförbund, företagens ekonomi, organisationers ekonomi etc.
Utredningen konstaterar att den offentligt finansierade vården finns väl beskriven i offentlig statistik men att uppgifter om den vård som finansieras privat, till exempel av hushållen själva eller privata sjukvårdsförsäkringar, är mycket svåra att hitta. Av statistiken i tabell 5.2 framkommer enbart att privatägda vårdföretag finansieras till 40 procent av icke offentliga finansiärer. Utredningen om privata sjukvårdsförsäkringar har i delbetänkandet SOU 2021:80Reglering av privata
sjukvårdsförsäkringar – ökad kunskap och kontroll bland annat be-
handlat frågan om tillgången till uppgifter om finansiering av hälso- och sjukvården. Det finns även en genomgång av tillgången till uppgifter hos olika myndigheter samt i kvalitetsregister där det framgår att det inte finns några myndigheter som i dagsläget samlar in uppgifter om finansiering av hälso- och sjukvården.22 Myndigheten Vård-
22SOU 2021:80. Reglering av privata sjukvårdsförsäkringar – ökad kunskap och kontroll, s. 235.
och omsorgsanalys har bland annat i en rapport påtalat att det saknas information om hur patientvolymer fördelar sig mellan offentligt och privat finansierad vård, till exempel via försäkringar, och föreslår att regeringen bör ge en lämplig aktör i uppgift att se över möjligheten att på nationell nivå samla in och sammanställa uppgifter om hur hälso- och sjukvården finansieras.23
Såväl offentliga som privata vårdgivare är enligt patientsäkerhetslagen skyldiga att anmäla sin hälso- och sjukvårdsverksamhet till IVO. Alla vårdgivare, oavsett finansieringsform, är anmälningspliktiga. Huvudsyftet med anmälningsplikten är att IVO ska få kännedom om de verksamheter som IVO har tillsynsansvar för.24 Vårdgivarregistret saknar i dag information om finansieringsform för vården, det vill säga om vårdgivare bedriver offentligfinansierad vård, privatfinansierad vård eller både och. Där finns emellertid uppgifter om ägarskap, se tabell 5.3.
Tabell 5.3 Uppgifter om antal offentliga och privata vårdgivare
*Samma data som ligger till grund för tabell 5.4
2022 maj* 2023 februari
Offentlig
Kommun
288
288
Kommunalförbund
11
12
Region
21
21
Statlig
34
35
Privat
Bolag
9 861
10 290
Enskild firma
6 306
6 403
Förening
160
163
Stiftelse
–
112
Övriga privata
214
107
Källa: IV0, 2023.
Vårdgivare måste själva anmäla sig till IVO. Det finns i dag inget sätt för IVO att fastställa hur stort mörkertalet är avseende de som av olika skäl inte anmäler sig till registret så tekniskt sätt är det svårt att avgöra hur heltäckande registret är. Den generella uppfattningen är att de flesta vårdgivarna är med i registret, speciellt de stora sådana. Om en verksamhet helt eller till väsentlig del förändras eller flyttas
23 Vård- och omsorgsanalys (2020). Privata sjukvårdsförsäkringar. Artikelnummer: Rapport 2020:3, s. 10 och 94 f. 24 IVO. UR L: Vårdgivarregistret | IVO.se. Hämtad 2023-02-19.
ska detta anmälas till IVO inom en månad efter genomförandet, detsamma gäller om en verksamhet upphör eller läggs ner. Anmälan ska innehålla uppgifter om vilken förändring som skett. Det sker inte någon gallring från registret utan företag som går i konkurs eller läggs ner markeras som inaktiva. Om företaget är kopplat till Bolagsverket får IVO uppgifter om nedläggningen, samma sak gäller stiftelser som är kopplade till Länsstyrelserna.
Även hos SCB finns uppgifter om finansiärer och utförare inom hälso- och sjukvårdsområdet i det så kallade utförarregistret. Utförarregistret är en årlig insamling av de företag som kommuner och regioner köpt verksamhet av. Den privata vårdgivaren som inte bedriver någon verksamhet åt region eller kommun finns därför inte med. Det finns heller inget krav på regioner och kommuner att rapportera vårdgivare som utfört verksamhet men fakturerat lägre än 100 000 kronor för kommuner och 250 000 kronor för regioner. För att få en bild av hur många privata vårdgivare som bedrev hälso- och sjukvård åt regioner och kommuner under 2021 har uppgifter från IVO:s vårdgivarregister i maj 2022 samkörts med uppgifterna om antal unika privata utförare som utför region och kommunal verksamhet för kommuner och regioner 2021, se tabell 5.4.
Tabell 5.4 Antal unika privata vårdgivare i IVO:s vårdgivarregister som utfört region och kommunal verksamhet för kommuner och regioner under 2021
Antal
Unika utförare som utför verksamhet åt kommuner
840
Unika utförare som utför verksamhet åt regioner
2 320
Unika utförare som utför verksamhet åt både kommuner och regioner
83
Antal unika utförare totalt
3 243
Källa: SCB, 2023.
6. Hälso- och sjukvårdens digitala omställning
I detta kapitel ges en översiktlig beskrivning av inriktningen på den digitala omställningen som gjorts sektorsövergripande och inom hälso- och sjukvården de senaste 20 åren. Kapitlet inleds med en redogörelse av inriktningen för digitaliseringspolitiken i EU och Sverige. Därefter beskrivs statens och det myndighetsgemensamma arbetet mot en sektorsövergripande förvaltningsgemensam digital infrastruktur samt kommuner och regioners arbete med den digitala omställningen. Vidare beskrivs övergripande inriktningen för och arbetet med den digitala omställningen av hälso- och sjukvården och dess informationssystem.
6.1. Den digitala omställningen
Dagens samhällsutveckling drivs och formas till stor del av digitaliseringen. Den förändring som följer därav påverkar hela samhället i grunden och berör alltifrån hur vi studerar, arbetar, förebygger och behandlar sjukdom, fattar beslut och interagerar med andra till hur vi inordnar vardagslivet. Digitaliseringen möjliggör att saker vi redan gör kan göras på helt nya sätt och att vi kan göra helt nya saker. Genom de stora datamängder som skapas och med hjälp av artificiell intelligens kan analyser genomföras och slutsatser dras som tidigare varit omöjliga. Den demografiska utvecklingen där vi lever allt längre, både med och utan sjukdom, utmanar välfärden. Att ta vara på digitaliseringens möjligheter framhålls som centralt såväl nationellt som internationellt för att kunna möta samhällets behov och tillhandahålla en vård och omsorg med hög kvalitet och patientsäkerhet.
6.1.1. Ett Europa rustat för den digitala tidsåldern
Sedan 2014 har Europeiska kommissionen vidtagit ett antal åtgärder för att underlätta framväxten av en smidig dataekonomi bland annat genom den nya cybersäkerhetsakten1, direktivet om öppna data2 och den allmänna dataskyddsförordningen3. de politiska riktlinjer som kommissionens ordförande Ursula von der Leyen presenterade 2019 betonades behovet av att leda övergången till en frisk planet och en ny digital värld.4 En av Europeiska kommissionens sex prioriteringar för 2019–2024 är att skapa ett Europa rustat för den digitala tidsåldern. Detta genom att stärka EU:s digitala oberoende och sätta egna standarder med fokus på data, teknik och infrastruktur, och därigenom bidra till att den digitala omställningen fungerar för alla människor och företag och samtidigt bidrar till ett klimatneutralt EU 2050.5 Efter Europaparlamentet godkände Europeiska unionens råd i maj 2022 en ny lag för att främja tillgången till uppgifter och skapa en tillförlitlig miljö för att underlägga användningen av uppgifter för forskningsändamål och för skapandet av nya innovativa tjänster och produkter, dataförvaltningsakten. Genom dataförvaltningsakten inrättas robusta mekanismer för att underlätta vidareutnyttjandet av vissa kategorier av skyddade uppgifter från den offentliga sektorn, öka förtroendet för dataförmedlingstjänster och främja dataaltruism över hela EU. Den är en viktig del av EU-strategin för data, som syftar till att stärka dataekonomin.6 Genom dataförvaltningsakten skapas en mekanism som gör det möjligt att på ett säkert sätt vidareutnyttja vissa kategorier av uppgifter från den offentliga sektorn som omfattas av andras rättigheter. Det handlar till exempel om företagshemligheter, personuppgifter och uppgifter som skyddas av immateriella rättigheter. Offentliga myndigheter som tillåter
1 Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens säkerhetsbyrå) om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten). 2 Europaparlamentets och Rådets direktiv (EU) 2019/1024 av den 20 juni 2019 om öppna data och vidareutnyttjande av information från den offentliga sektorn. 3 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 4 Von der Leyen (2018). En ambitiösare union. Min agenda för Europa. Politiska riktlinjer för nästa europeiska kommission, 2019–2024. 5 Europeiska kommissionen (2020). Shaping Europe’s digital future. 6 Europaparlamentets och rådets förordning EU 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten).
denna typ av vidareutnyttjande behöver vara tekniskt rustade för att se till att integriteten och sekretessen bevaras fullt ut. I detta avseende kommer dataförvaltningsakten att komplettera direktivet om öppna data från 2019, som inte omfattar sådana typer av data. Målet med insatserna är att till 2030 etablera en inre marknad för data. Utöver dessa förordningar har kommissionen som utredningen beskriver i kapitel 4 och återkommer till längre fram även lagt fram ett förslag till förordning om ett europeiskt hälsodatautrymme i syfte att ge enskilda inom EU bättre kontroll på sina hälsodata samt göra det lättare att dela och få tillgång till olika typer av hälsodata.
Ramverk för interoperabilitet
Inom ramen för kommissionens prioritet att skapa en digital inre marknad för data i Europa antogs 2017 European Interoperability Framework (EIF).7 EIF syftar till att öka offentliga organisationers förmåga att möta det ökande antalet initiativ, förordningar och direktiv som lanseras på EU-nivå med koppling till digitalisering. Begreppet interoperabilitet definierades under början av 1990-talet som förmågan hos två eller flera system eller komponenter att utbyta information och använda informationen som har utbytts (IEEE, 1990).8Begreppet har sedan dess utvidgats och definieras i dag i EIF som:
The ability of organisations to interact towards mutually beneficial goals, involving the sharing of information and knowledge between these organisations, through the business processes they support, by means of the exchange of data between their ICT systems (Europeiska kommissionen, 2017).
EIF ger vägledning och rekommendationer om hur offentliga organisationer kan stärka styrningen över initiativ avseende interoperabilitet, etablera organisationsöverskridande relationer, effektivisera processer som stödjer digitala tjänster och säkerställa att existerande och ny lagstiftning inte motverkar interoperabilitet. EU står i dag inför ett stort antal initiativ som påverkar digitaliseringsarbetet i Sverige och dessa kommer, oavsett sektor, att utgå ifrån EIF. För att
7 The European Interoperability Framework (EIF), Communication (COM(2017)134) antagen av Europeiska kommissionen 23 mars 2017. 8 IEEE (1990). 610-1990 – IEEE standard Computer Dictionary: A Compilation of IEEE Standard Computer Glossaries. UR L: 610-1990 - IEEE Standard Computer Dictionary: A Compilation of IEEE Standard Computer Glossaries | IEEE Standard | IEEE Xplore.
underlätta för svenska organisationer att fungera effektivt tillsammans – såväl nationellt som inom EU – har Myndigheten för digital förvaltning (DIGG) skapat ett motsvarande nationellt ramverk: Det
svenska ramverket för digital samverkan9. Ramverket utgår från det
europeiska ramverket för interoperabilitet, med en anpassning till svenska förutsättningar och förvaltas av DIGG.
6.1.2. Regeringens inriktning för digitaliseringspolitiken
Digitaliseringspolitiken är ett tvärsektoriellt område som utvecklas snabbt. För ett decennium sedan beskrevs it som en avskild del av en verksamhet. I Sverige formulerade regeringen 2011 sin strategi för den övergripande it-politiken It i människans tjänst – en digital agenda
för Sverige. Året efter kom regeringens strategi för digitalt samverkande förvaltning – Med medborgaren i centrum. När digitaliseringsstrategin
kom 2017 omnämndes inte längre it som en avskild del av verksamheten. I stället användes begreppet digitaliseringen och i begreppet innefattas en omställning som påverkar och förändrar verksamheter i grunden och som alla är delaktiga i. Digitaliseringsstrategin För ett
hållbart digitaliserat Sverige är utgångspunkten för regeringens styr-
ning av digitaliseringspolitiken. Det övergripande målet för såväl agendan från 2011 som den nya strategin är att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter.
För att nå målen i den digitala agendan från 2011 tillsatte regeringen 2012 Digitaliseringskommissionen. Digitaliseringskommissionen hade i uppgift att verka för att målet för Sverige uppnås och att regeringens ambitioner inom området fullföljs.10 Deras arbete sammanfattades i fyra betänkanden som bland annat presenterade förslag på hur digitaliseringen av Sverige kan mätas och hur den digitala kompetensen kan stärkas. De gav även en bild av Sveriges position i internationella jämförelser och utvecklingen inom agendans sakområden. Vidare identifierade Digitaliseringskommissionen sex strategiska områden som behöver prioriteras i den framtida digitaliseringspolitiken. Många av dem återfinns i de fem delmål som lyfts i digitaliseringsstrategin från 2017 om: digital kompetens, digital trygghet, digital innovation, digital ledning och digital infrastruktur.
9 DIGG. Svenskt ramverk för digital samverkan. UR L: https://www.digg.se/kunskap-ochstod/svenskt-ramverk-for-digital-samverkan. Uppdaterad 2022-05-25. Hämtad 2023-02-19. 10 Digitaliseringskommissionen – en kommission för den digitala agendan. Dir 2012:61.
Under 2017 tillsatte regeringen Digitaliseringsrådet som en del i arbetet med den nya digitaliseringsstrategin. Digitaliseringsrådet fick i uppdrag att bidra med analyser och inspel som kommer ligga till grund för att genomföra och utveckla regeringens strategiska arbete med digitaliseringen. Dess ledamöter representerar näringsliv, akademi, myndigheter, fackförbund, SKR med flera. De skulle bland annat analysera och utvärdera genomförandet och effekter av regeringens insatser, följa utvecklingen i omvärlden och jämföra hur Sverige presterar mot andra länder samt utvärdera, vidareutveckla och lämna förslag till insatser.11 Post- och telestyrelsen (PTS) fick i uppdrag att, i form av ett kansli, ansvara för analys och uppföljning av digitaliseringspolitiken samt vara ett administrativt stöd åt regeringens Digitaliseringsråd. I ett flertal rapporter och betänkanden lyftes samtidigt behovet av ett samlat grepp och en tydligare nationell styrning för en nationell digital infrastruktur fram (se exempelvis SOU 2017:23).
I SOU 2017:23 digitalförvaltning.nu framhålls behovet av en förvaltningspolitik för en nationell digital infrastruktur för att stärka digitaliseringen av den statliga förvaltningen. Regeringen bedömde i budgetpropositionen för 2018 att Sverige saknar flera av de förvaltningsgemensamma grundläggande komponenterna som finns i andra jämförbara länder. Bristen på nationell digital infrastruktur har lett till många myndighetsspecifika lösningar som skiljer sig från varandra. Till följd av detta skapas en ineffektiv ordning för den offentliga sektorn som helhet. Regeringen framhöll att resultatet i de internationella mätningarna visade ett behov av att främja innovation och användardriven design samt användning av öppen data. De konstaterade vidare att den offentliga förvaltningen behövde öka sin förmåga att ta tillvara digitaliseringens möjligheter för att möta behoven hos företag och privatpersoner samt genomföra en miljö- och klimatomställning. För att nå målet för digitaliseringen av den offentliga förvaltningen samt stärka och effektivisera styrningen av digitaliseringen i den offentliga sektorn inrättades en ny myndighet.12 Myndigheten för digital förvaltning (Digg) ska enligt förordning (2018:1486) med instruktion för Myndigheten för digital förvaltning samordna och stödja den förvaltningsgemensamma digitaliseringen i syfte att göra den offentliga förvaltningen mer effektiv och ändamåls-
11 Digitaliseringsrådet. Vårt uppdrag. UR L: Vårt uppdrag - Digitaliseringsrådet (digitaliseringsradet.se). Hämtad 2023-02-19. 12 Proposition 2017/18:1. Budgetproposition för 2018, s. 98–100.
enlig. I samband med regeringsbildningen 2019 omformulerades så digitaliseringsrådets uppdrag så att dess uppdrag blev mer renodlat och deras uppgifter färre med ett tydligare fokus på att arbeta mot digitaliseringspolitikens övergripande mål. Post- och telestyrelsens uppdrag att vara administrativt stöd till Digitaliseringsrådet upphörde 1 september 2021 och den del som rör analys och uppföljning av digitaliseringspolitiken överfördes till Digg.
6.1.3. En digital infrastruktur för den offentliga förvaltningen
Regeringen framhöll redan i budgetpropositionen för 2007 sin avsikt att stärka styrningen av den förvaltningsgemensamma utvecklingen genom att säkerställa att förvaltningen utvecklar gemensamma principer för hur statlig registerinformation enklare ska kunna utbytas och se till att myndigheter använder enhetliga format för övrig informationsöverföring. Vidare att för att se till att statsförvaltningen i samverkan med kommuner och regioner (då landsting) utvecklar och tillämpar förvaltningsgemensamma metoder för säker elektronisk kommunikation och dokumenthantering.13 I 2009 tillsattes en delegation för e-förvaltning i syfte att bidra till att stärka utvecklingen av e-förvaltningen och offentliga tjänster samt skapa goda möjligheter för myndighetsövergripande samordning.14 E-förvaltningen lämnade 10 betänkanden som presenterade förslag avseende såväl juridiska förutsättningar som organisation och samverkan, standardisering och infrastruktur innan slutbetänkandet publicerades i november 2014.15 När e-delegationen slutfört sitt uppdrag beslutade generaldirektörerna för myndigheterna som ingick i E-delegationen att, på frivillig grund, fortsätta samarbetet kring digital utveckling genom att bilda eSamverkansprogrammet (eSam) 2015. I dag ingår 34 medlemsorganisationer i samverkan kring tillgängliga och rättssäkra digitala lösningar.16
I budgetpropositionen för 2018 bedömde regeringen att det finns behov av en framtidssäkrad och resurseffektiv nationell digital infrastruktur. Vidare lyftes behovet av åtgärder för att få ordning på den
13 Proposition 2006/07:1. Budgetproposition för 2007. Utgiftsområde 2. Bilaga 1, avsnitt 2. 14 Delegation för e-förvaltning. Dir 2009:19. 15 Se delegationens samtliga SOU:er på UR L: Delegation för e-förvaltning - Regeringen.se. 16 eSam. Om eSam. Offentlig samverkan för ökad digitalisering. UR L: Om eSam - eSamverka. Hämtad 2023-02-19.
offentliga sektorns gemensamma informationsförsörjning.17 Regeringen gav i maj 2018 DIGG samt ett flertal andra myndigheter i uppdrag att lämna förslag som syftar till att skapa ökad säkerhet och effektivitet i samband med elektroniska informationsutbyten inom och med den offentliga sektorn.18 I arbetet ingick att öka standardiseringen. I slutrapporteringen av uppdraget föreslog myndigheterna bland annat att regeringen ska säkerställa en nationell styrform för att kunna besluta om aktiviteter för utveckling och realisering av den digitala infrastrukturen, samt att ett rättsligt beredningsorgan inrättas för att säkerställa långsiktiga rättsliga förutsättningar.19. I december 2019 fick DIGG, Bolagsverket, Domstolsverket, E-hälsomyndigheten, Försäkringskassan, Lantmäteriet, MSB, Riksarkivet och Skatteverket i uppdrag att etablera en förvaltningsgemensam digital infrastruktur för informationsutbyte samt ett nationellt ramverk för grunddata. Hösten 2020 gavs DIGG även i uppdrag att i nära samverkan med SKR analysera kommuners och regioners förutsättningar att delta i den förvaltningsgemensamma digitala infrastrukturen, i syfte att stärka välfärdens digitalisering. I december 2021 slutrapporterade DIGG uppdragen om en förvaltningsgemensam digital infrastruktur.20 Genom arbetet som utförts i samband med uppdragen har grunden för med den förvaltningsgemensamma digitala infrastrukturen lagts. En utgångspunkt för arbetet med Sveriges digitala infrastruktur, Ena, är att svensk offentlig förvaltning ska utveckla nya gemensamma lösningar och att dessa byggs för att fungera tillsammans. Infrastrukturen består i huvudsak av ett antal så kallade byggblock. Därtill finns ett ramverk för nationella grunddata och en struktur för styrning. Vissa delar av den digitala infrastrukturen används i stor omfattning redan i dag, så som digital post och e-legitimationer. Byggblocken har delats in i fyra kategorier: Digitala tjänster, Informationsutbyte, Informationshantering, och Tillit och säkerhet. Inom ramen för Ena har E-hälsomyndigheten genomfört en förstudie om en grunddatadomän för hälsa, vård och
17 Regeringens proposition 2017/18:1. Budgetproposition för 2018, s. 96–100. 18 Fi2018/02150DF. 19 DIGG et al. (2019). Säkert och effektivt elektroniskt informationsutbyte inom den offentliga sektorn. 20 DIGG (2021). Uppdrag att etablera en förvaltningsgemensam digital infrastruktur för informationsutbyte samt uppdrag att etablera ett nationellt ramverk för grunddata inom den offentliga förvaltningen. Dnr I2019/03306/DF, I2019/01036/DF (delvis), I2019/01361/DF (delvis), I2019/02220/DF, I2020/03366, I2020/02753, I2019/03307/DF, I2019/01412/DF, I2019/01447/DF, I2020/03367 I2020/02753 (delvis).
omsorg. Förstudien konstaterar att en stor mängd aktörer producerar och konsumerar data inom hälsoområdet. Masterdatahanteringen sker ofta i stuprör och efterfrågan är stor på nationella enhetliga data. Vidare konstateras att det finns en rad register som är potentiella grunddata och att det statliga åtagandet inom domänen växer med anledning av EU och olika regeringsuppdrag. Förstudien föreslår att domänen grunddata Hälsa, vård och omsorg initieras med utgångspunkt i de statliga register som redan finns eller är under uppbyggnad.21,22
I en rapport från 2021 redogör DIGG för kommuners och regioners förutsättningar för att delta i den förvaltningsgemensamma digitala infrastrukturen och lyfter fram ett antal utvecklingsområden.23I rapporten framhålls vikten av att den offentliga förvaltningen arbetar mer tillsammans och att kommuner och regioner ges samma möjligheter som statliga myndigheter. För att säkerställa en behovsdriven utveckling av infrastrukturen behöver kommuner, regioner och privata aktörer tillsammans med statliga myndigheter bidra i utveckling och styrning. Vidare konstateras och görs bedömningen att:
Privata aktörer tillgodoser i allt större utsträckning invånarnas behov av välfärdstjänster. De behöver på samma sätt som kommuner, regioner och statliga myndigheter få tillgång till och användning för infrastrukturen, i syfte att öka den samlade förmågan att tillhandahålla framtidens välfärd.
DIGG:s rekommendation till regeringen är att infrastrukturen bör ses som samhällsinvestering och finansieras genom anslag. Att använda avgifter som finansieringskälla riskerar att motverka anslutning och användning, särskilt mot bakgrund av kommuners och regioners varierade förutsättningar att kunna digitalisera sin verksamhet och därmed nyttiggöra sig infrastrukturen.
Det framgår av utredningens direktiv att den infrastruktur som används för ändamålet patientöversikter i den mån möjligt ska ta sin utgångspunkt i den förvaltningsgemensamma digitala infrastruktur som är under framtagande.
21 E-hälsomyndigheten (2021). Förstudie grunddatadomän för hälsodata. Dnr 2021/03564. samt 2022a). 22 E-hälsomyndigheten (2022). Grunddatadomän Hälsodata. Kompletterande underlag till den utforskande förstudien. Dnr 2021/03564. 23 DIGG (2021). Uppdrag att genomföra en analys om förutsättningarna för kommuners och regioners deltagande i den förvaltningsgemensamma digitala infrastrukturen. Dnr I2022/02241, I2021/00941.
6.1.4. Regioner och kommuners arbete med digitalisering
Regioner och kommuner befinner sig mitt i en förändringsresa för att tillhandahålla välfärd på nya sätt. För att kunna möta välfärdens utmaningar genom att utmana arbetssätt och strukturer, använda data som strategisk resurs och kraften i ny teknologi behöver rätt förutsättningar finnas på plats. I den strategi för digital utveckling24 som SKR publicerade i mars 2022 i syfte att skapa en gemensam riktning för kommuner, regioner, SKR, Adda och Inera om grundläggande förutsättningar för utveckling i en digital tid presenteras fyra målområden:
- Ledning, styrning och organisation
- Arkitektur och säkerhet
- Informationsförsörjning och digital infrastruktur
- Sammanhållen digital service.
Strategin förhåller sig till de 13 grundläggande principerna i Svenskt ramverk för digital samverkan. I strategin framgår att välfärdsleveransen sker till största del hos regioner och kommuner och att det är på lokal nivå som det stora arbetet med digital utveckling genomförs. SKR arbetar tillsammans med Inera och Adda för att ge kommuner och regioner stöd i deras verksamhetsutveckling med hjälp av digitalisering. SKR ger stöd och service och bidrar till medlemmarnas förändringsarbete inom respektive verksamhetsområde med fakta och jämförelser, kompetenshöjande insatser samt bedriver ett proaktivt påverkansarbete för att bland annat snabba på processen att minska rättsliga hinder för digitalisering och har ansvaret för koordinering av koncernens gemensamma digitaliseringssatsning. Inera samordnar, tillhandahåller och utvecklar sektorsspecifik samverkansarkitektur, infrastruktur, tjänster och lösningar till kommuner och regioner. Inera erbjuder bland annat kompetens inom arkitektur, interoperabilitet, standarder, informationssäkerhet och juridik. Adda (tidigare SKL Kommentus) genomför gemensam kravfångst och tillhandahåller avtal för verksamhets- och användarnära tjänster och produkter samt ger stöd och råd i kommuner och regioners anskaffningsprocesser.
24 Sveriges kommuner och regioner (2022). Utveckling i en digital tid. En strategi för grundläggande förutsättningar.
Upphandling används som ett strategiskt verktyg för ökad standardisering och växla upp lokala innovationer nationellt.25
6.2. Digitaliseringen av hälso- och sjukvården
It har länge beskrivits som en förutsättning för att förbättra sjukvårdens kvalitet, patientsäkerheten och tillgängligheten inom vård och omsorg. Redan under början av 2000-talet var elektroniska patientjournaler och läkemedelsrecept samt digital meddelandehantering är en naturlig del av vårdens vardag. Ändå gav inte de dåvarande itverktygen de positiva effekter som skulle vara möjliga. Detta sades dels bero på att it-användningen varierar kraftigt inom vård- och omsorgssektorn, dels på att många av de it-stöd som används inte kan kommunicera med varandra. Tillgång till relevant information avsågs vara är en nödvändighet för att kunna garantera en god och säker vård. Mot den bakgrunden etablerade regeringen och Sveriges Kommuner och Landsting redan 2004 ett samarbete kring it-utvecklingen inom vård- och omsorgssektorn. Inom ramen för Dagmaröverenskommelsen hösten 2004 startades ett samarbete som resulterade i att Socialdepartementet i mars 2005 tillsatte den nationella ledningsgruppen för it i vård och omsorg.26 Även i budgetpropositionen för 2006 framkommer att det fanns en bred enighet mellan vårdsektorns aktörer kring behovet av en nationell kraftsamling för att skapa en gemensam strategi för hur nya it-baserade verktyg ska implementeras och användas för att på bästa sätt stödja verksamheten och förbättra patientsäkerheten. Regeringen och Landstingsförbundet tecknade inom ramen för den så kallade Dagmaröverenskommelsen för 2006 ett avtal där man understryker it-områdets stora betydelse för att utveckla vård och omsorg. För att förverkliga överenskommelsen mellan parterna fick den nationella ledningsgruppen bestående av representanter från Socialdepartementet, Socialstyrelsen, Läkemedelsverket, Apoteket AB, Carelink samt Landstingsförbundet som fick i uppdrag att ta fram en nationell it-policy för vård och omsorg.27
25 SKR (2023). Strategi för digital utveckling. UR L: Strategi för digital utveckling | SKR. Publicerad 2023-01-20. Hämtad 2023-02-19. 26 Nationell IT-strategi för vård och omsorg. Skr. 2005/06:139. 27Prop. 2005/06:1 Utgiftsområde 9, s. 26.
6.2.1. Den nationella it-strategin för vård och omsorg
I den Nationella it-strategin för vård- och omsorg som presenterades 2006 anförs att en rad frågor av betydelse för it-användningen måste lösas på nationell nivå i samverkan mellan alla aktörer inom vården. Huvuddelen av arbetet med att effektivisera it-användningen sades av naturliga skäl utföras av de enskilda landstingen, kommunerna och de privata vårdgivarna. Därutöver uppgavs staten på olika beslutsnivåer vidta en rad åtgärder. En ökad användning av it inom vård och omsorg skulle kombineras med effektiva säkerhetslösningar som ska garantera att starkt integritetskänsliga uppgifter om enskilda individer ska hanteras på ett säkert sätt av alla som medverkar i dennes vård och omsorg. Arbetet som behöver uträttas gemensamt var uppdelade i sex insatsområden, bland annat att skapa en gemensam teknisk infrastruktur samt en gemensam informationsstruktur och möjliggöra åtkomst till information över organisationsgränserna.28 I Dagmaröverenskommelsen för 2007 beslutade parterna om att initiera ett flerårigt samarbete mellan kommuner och landsting för att regionvis och i nationell samverkan öka utvecklingstakten på detta område. Satsningarna innefattade uppdrag till Socialstyrelsen om att begreppssystemet SNOMED CT översätts, förvaltas och tillhandahålls till svenska vårdgivare, it-leverantörer och andra aktörer samt att införande och användning ska stimuleras av Socialstyrelsen och SKR gemensamt. Vidare gavs medel från staten, regioner och kommuner bland annat för att skapa tekniska förutsättningar för en ändamålsenlig och säker informationshantering med gemensamma tjänster för autentisering och identifiering av vårdpersonal, vidareutveckling av hälso- och sjukvårdens adressregister (HSAkatalogen) samt bättre informationsutbyte mellan kommuner, regioner (då landsting) och privata vårdgivare. Insatserna som avsåg teknisk it-infrastruktur och enhetlig informationsstruktur avsattes 41 miljoner.29 Även nästa års Dagmaröverenskommelse innefattade medel om totalt 35 miljoner för att fortsatta med motsvarande arbete.30Utredningen återkommer till denna infrastruktur i kapitel 13.
År 2010 investerade regionerna (då landstingen) omkring 6,7 miljarder på olika e-hälsotjänster, och allt större belopp sattes därutöver av i en gemensam utvecklingsbudget. För att ta nästa steg i syfte
28 Nationell IT-strategi för vård och omsorg. Skr. 2005/06:139. 29 Dagmaröverenskommelsen 2007, s. 18. 30 Dagmaröverenskommelsen 2008, s. 10.
att förbättra informationshanteringen i vård- och omsorgs presenterades 2010 strategin Nationell eHälsa – strategi för tillgänglig och
säker information inom vård och omsorg. Strategin togs fram av led-
ningsgruppen för Nationell eHälsa med representanter från Socialdepartementet, SKL, Vårdföretagarna, Socialstyrelsen och Famna. I strategin framgår att vård och omsorgssektorn är en av de mest informationsintensiva sektorerna i samhället och att behovet av en välfungerad informationsförsörjning mellan olika nivåer och aktörer är helt avgörande. Arbetet inom strategin inriktades på att skapa synliga och konkreta förbättringar för tre huvudsakliga målgrupper: individen, vård- och omsorgspersonalen samt beslutsfattare inom hälso- och sjukvården.
6.2.2. Vision e-hälsa 2025
Sedan 2016 finns en överenskommelse mellan regeringen och Sveriges Kommuner och Regioner (SKR) om att Sverige ska vara bäst i världen på att ta tillvara digitaliseringens möjligheter inom hälso- och sjukvård och socialtjänst till 2025. Överenskommelsen benämns Vision e-hälsa 2025.31 Utgångspunkten är att med hjälp av e-hälsa ska individen vara i centrum, verksamheter få hjälp att utvecklas och vården och omsorgen ska vara jämlik, effektiv, tillgänglig och säker. Parterna har inrättat en samverkansorganisation med personer från staten, SKR, kommuner och regioner som ska verka för att visionen ska nås. Organisationen består av en styrgrupp med politiska företrädare, en beredningsgrupp med tjänstepersoner och ett samordningskansli som E-hälsomyndigheten och SKR ansvarar för. Samverkansgrupper är knutna till beredningsgruppen. Arbetet i samverkansorganisationen utgår överenskommelsen (visionen), en strategi med fyra inriktningsmål och en genomförandeplan med runt femton prioriterade insatser. I strategin32 för 2020–2022 har fyra inriktningsmål fastställts:
- Individen som medskapare,
- Rätt kunskap och information,
31 Vision e-hälsa 2025 – gemensamma utgångspunkter för digitaliseringen i socialtjänst och hälso- och sjukvård. 32 Vision e-hälsa 2025. En strategi för genomförande av Vision e-hälsa 2025. Nästa steg på vägen 2020–2022.
- Trygg och säker informationshantering, och
- Utveckling och digital transformation i samverkan.
Statskontoret redovisade 2021 regeringsuppdraget att följa upp och analysera parternas samverkan och det arbete som de bedriver.33I rapporten konstaterade Statskontoret att Regeringen och SKR har samverkat i olika former i drygt 15 år för att stödja digitaliseringen inom vård- och omsorgssektorn och att den svenska förvaltningsmodellen medför att staten och huvudmännen behöver samverka när hälso- och sjukvården och socialtjänsten ska utvecklas. De anför att samverkan har förbättrats över tid men att den fortfarande inte är tillräckligt effektiv för att nå målen i visionen samt att det gemensamma arbetet hittills gett få tydliga resultat i form av exempelvis en mer samordnad digitaliseringen sektorn. Ett flertal slutsatser har särskilt stor bäring på utredningens arbete. Dels anser Statskontoret att samverkansorganisationen inte har anpassat sitt arbete till de förutsättningar som förvaltningsmodellen med myndigheter som lyder under regeringen och 311 självstyrande kommunala enheter (kommuner och regioner) ger. De framhåller vidare att en både ökad och nationellt samordnad digitaliseringen av hälso- och sjukvården och socialtjänsten kräver både tid och investeringar där nyttan av investeringarna kommer först senare. De bedömer att staten, kommuner och regioner kommer att behöva avsätta medel för det konkreta arbetet med e-hälsa. Staten ger redan i dag i särskilda överenskommelser med SKR statsbidrag för investeringar för att digitalisera verksamheter, där visionen till en del används som ram. Men styrkraften i överenskommelserna är enligt Statskontoret inte tillräcklig för att samordna digitaliseringen i regioner och kommuner. Regeringen har överlåtit den nationella samordningen till SKR, men SKR har inte mandat att styra regioner och kommuner. Utredningen återkommer till Statskontorets slutsatser senare i betänkandet.
33 Statskontoret (2021). Vision e-hälsa – ett försök att styra genom samverkan. 2021:17.
6.2.3. Nationell strategi för life science
Regeringens mål är att Sverige ska vara en ledande life science-nation.
En nationell strategi för life science presenterades i december 2019 och har tagits fram i bred dialog med aktörer från sektorn.34I strategin konstateras att life science bidrar till att förbättra hälsa och livskvalitet hos befolkningen, säkerställa ekonomiskt välstånd, utveckla landet vidare som en ledande kunskapsnation och förverkliga Agenda 2030. Inom ramen för strategin har 30 målsättningar som bedömts som särskilt angelägna slagits fast inom följande åtta prioriterade områden.
1. Strukturer för samverkan,
2. Nyttiggörande av hälso- och vårddata för forskning och innovation,
3. Ansvarsfull, säker och etisk policyutveckling,
4. Integrering av forskning och innovation i vården,
5. Välfärdsteknik för ökad självständighet, delaktighet och hälsa,
6. Forskning och infrastruktur,
7. Kompetensförsörjning, talangattraktion och livslångt lärande, och
8. Internationell attraktivitet och konkurrenskraft.
Utredningens uppdrag berör särskilt arbetet inom område två, Nyt-
tiggörande av hälso- och vårddata för forskning och innovation och den
underliggande målsättningen om Effektivt och säkert utbyte av pati-
entdata. Regeringen anser här att regioner och kommuner behöver bättre förutsättningar att dela patientdata mellan olika vårdgivare. Utgångspunkten är att stärka den databaserade utvecklingen under fortsatt leverans av god och säker vård, samtidigt som den personliga integriteten respekteras och krav på informationssäkerhet tillgodoses.
I bakgrundstexten lyfts bland annat fram att systemlösningar för nyttiggörande av hälso- och vårddata är en förutsättning för att Sverige ska kunna leda utvecklingen inom life science. För att data ska kunna användas till forskning, innovation och utvecklingsarbete
34 En nationell strategi för life science. URL: www.regeringen.se/4aac74/contentassets/cdda3e9fc7be4ea5b55afc99c5221fab/en-nationellstrategi-for-life-science.pdf. Hämtad 2023-03-08.
krävs interoperabilitet. Det handlar till exempel om att det ska finnas tekniska möjligheter att dela data (teknisk interoperabilitet), att samma begrepp används/ samma kontext avses av de aktörer som för in informationen i systemet (semantisk interoperabilitet) och att det finns juridiskt stöd för att behandla data som genererats i en annan verksamhet (juridisk interoperabilitet). En förutsättning är även säkra identifierings- och behörighetslösningar.
7. Digital information och infrastruktur för informationsutbyte
Utredningen har i det föregående beskrivit de regelverk och principer som styr hälso- och sjukvården, det arbete som pågår på EUnivå för att genomföra patientrörlighetsdirektivet samt ansvaret för hälso- och sjukvårdens inriktning och genomförande. Vidare skildrades i föregående kapitel den digitaliseringen i stort och i hälso- och sjukvården specifikt. Detta kapitel avser komplettera föregående kapitel genom att övergripande beskriva vart digital information om hälsa- och sjukvård som är aktuell för en patientöversikt finns i Sverige i dag. Vidare sammanfattas gällande reglering avseende dokumentation, skyldigheten att föra patientjournal samt dess innehåll. Därefter skildras arbetet med att strukturera och standardisera den digitala informationen från hälso- och sjukvården. Avslutningsvis sammanfattas nuvarande reglering kring och förutsättningar för att dela och ta del av information från hälso- och sjukvården över organisations- och regiongränser inom Sverige.
7.1. Digitala uppgifter från hälso- och sjukvården
Vid vård av patienter ska det föras patientjournal. Den som för journal ansvarar för sina uppgifter i journalen. Beroende på vart patienten sökt vård och vilken typ av vård kan informationen finnas i flera olika vårdgivares och organisationers vårdinformationssystem och i flera olika regioner. Den information om patienten som är aktuell för en patientöversikt enligt överenskomna kriterier för tjänsten inom EU produceras av såväl små som stora vårdgivare, i offentlig och privat regi och med offentlig eller privat finansiering. Vård-
givares behandling av personuppgifter inom hälso- och sjukvården regleras i patientdatalagen samt i lagen om sammanhållen vård och omsorgsdokumentation. I patientdatalagen samt Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 16:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården regleras även skyldigheten att föra patientjournal för varje patient.
Informationen kan också ha registrerats i olika regionala eller nationella kvalitetsregister.
Sammanfattningsvis finns den information som ingår i en patientöversikt enligt de specifikationer som tagits fram av Nätverket för e-hälsa liksom de uppgifter som omnämns i EHDS att hitta i flera olika digitala vårdinformationssystem och register. Nedan presenteras de för utredningen mest centrala informationsmiljöer och register samt aktuella informationsproducenter.
7.1.1. Patientjournalen
Vid vård av patienter ska det föras patientjournal. Skyldig att föra patientjournal är enligt 3 kap. 3 § patientdatalagen (2008:355)
1. den som enligt 4 kap. patientsäkerhetslagen (2010:659) har legi-
timation eller särskilt förordnande att utöva ett visst yrke,
2. den som utan att ha legitimation för yrket utför arbetsuppgifter
som annars bara ska utföras av logoped, psykolog eller psykoterapeut inom den allmänna hälso- och sjukvården eller utför sådana arbetsuppgifter inom den enskilda hälso- och sjukvården som biträde åt legitimerad yrkesutövare,
3. den som utan att ha legitimation för yrket utför samma arbets-
uppgifter inom den allmänna hälso- och sjukvården som en hälso- och sjukvårdskurator, och
4. den som utför insatser enligt lag (2019:1297) om koordine-
ringsinsatser för sjukskrivna patienter.
Den som för patientjournal ansvarar för sina uppgifter i journalen. Patientdatalagen reglerar innehållet i en patientjournal. Av 3 kap. 6 § framgår att en patientjournal ska innehålla de uppgifter som behövs för en god och säker vård av patienten. Patientjournalen ska innehålla nedanstående uppgifter om de finns tillgängliga.
– uppgift om patientens identitet, – väsentliga uppgifter om bakgrunden till vården, – uppgift om ställd diagnos och anledning till mer betydande åt-
gärder, – väsentliga uppgifter om vidtagna och planerade åtgärder, – uppgift om den information som lämnats till patienten, dennes
vårdnadshavare och övriga närstående och om de ställningstaganden som gjorts i fråga om val av behandlingsalternativ och om möjligheten till en ny medicinsk bedömning, samt – uppgift om en patient har beslutat att avstå från viss vård eller
behandling.
Det framgår vidare att informationshantering inom hälso- och sjukvården ska vara organiserad så att den tillgodoser patientsäkerhet och god kvalitet samt främjar kostnadseffektivitet. Patientjournalen uppges vara en informationskälla för: patienten, uppföljning och utveckling av verksamheten, tillsyn och rättsliga krav, uppgiftsskyldighet enligt lag samt forskning. I patientdatalagen anges att journalhandlingar ska bevaras i minst 10 år. Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården innehåller kompletterande bestämmelser till patientdatalagen avseende bland annat behandling av personuppgifter i öppna nät, åtkomst till uppgifter om patienter, patientjournalens struktur och innehåll samt hantering av patientuppgifter. Enligt 5 kap. 5 § ska vårdgivaren säkerställa att en patientjournal, i förekommande fall, ska innehålla uppgifter om bland annat: aktuellt hälsotillstånd och medicinska bedömningar, överkänslighet för läkemedel eller vissa ämnen, samtycken och återkallade samtycken, de medicintekniska produkter som har förskrivits till, utlämnats till eller tillförts en patient på ett sådant sätt att de kan spåras, ordinationer och ordinationsorsak, utredande och behandlande åtgärder samt bakgrunden till dessa samt patientens önskemål om vård och behandling. Flera av dessa uppgifter återfinns i kravspecifikationen för tjänsten patientöversikt inom EES. Utredningen återkommer till beskrivning av tjänsten i kapitel 8.
Dagens reglering avseende journalföring innefattar ett antal krav men inte krav på användning av någon särskild teknisk lösning för
journalföring. Det har resulterat i att olika vårdgivare har använt olika informationssystem för journalföring, framöver hänvisat till som informationssystem.
Sammanfattningsvis finns omfattande krav på att föra journal över den vård som ges och information om en patient finns över tiden sannolikt i ett antal olika journalsystem. Vilka och hur många beror framför allt på patientens vårdhistorik, men också på till exempel geografisk rörlighet.
7.1.2. Nationella register inom vård och omsorg
Nationella kvalitetsregister för vård och omsorg
I den senaste överenskommelsen mellan staten och SKR framgår att de nationella kvalitetsregistren utgör en stor tillgång för svensk hälso- och sjukvård samt omsorg och har bidragit till de goda resultaten för patienterna som svensk sjukvård kan uppvisa i internationella jämförelser. Det finns i dag drygt 100 nationella kvalitetsregister i drift med gemensamt ekonomiskt stöd från sjukvårdshuvudmännen och staten. Kvalitetsregistren har utvecklats primärt för syftet att stödja det kliniska förbättringsarbetet och är en av huvudkällorna i öppen redovisning av hälso-och sjukvårdens resultat bland annat i Öppna jämförelser och i Socialstyrelsens utvärderingar av vårdens kvalitet i relation till de nationella riktlinjerna och de är även viktiga källor för forskning och innovation.1 Enligt patientdatalagen definieras ett kvalitetsregister som:
/…/ en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Kvalitetsregistren ska möjliggöra jämförelse inom hälso- och sjukvården på nationell eller regional nivå.
Gemensamt för alla register är att de är individbaserade och att de innehåller diagnos, resultat för patient/brukare samt insatta åtgärder. Verksamhetens behov ska ligga till grund för registrens design och därför har kvalitetsregistren i dag olika utformning. I utvecklingsarbetet av kvalitetsregistren har ambitionen varit att de ska följa patientens väg genom vården.
1 Sammanhållen, jämlik och säker vård 2023. Överenskommelse mellan staten och Sveriges Kommuner och Regioner, s. 6.
Hälsodataregister
Nationella hälsodataregister är reglerat i lagen (1998:543) om hälsodataregister (hälsodataregisterlagen) och i ett antal förordningar. Lagen reglerar särskilt viktiga och gemensamma frågor för samtliga hälsodataregister utifrån automatiserad behandling av personuppgifter. Rikstäckande register med uppgifter från hälso- och sjukvården, så kallade hälsodataregister, finns i dag hos Socialstyrelsen, Läkemedelsverket, Folkhälsomyndigheten och IVO. Enligt prop. 1997/98:108 Hälsodata och vårdregister ska de bestämmelser som är gemensamma för samtliga hälsodataregister regleras i hälsodataregisterlagen medan närmare föreskrifter om enskilda hälsodataregister ska meddelas av regeringen inom de ramar som lagen anger.
Av 3 § och 6 § framgår att den som bedriver verksamhet inom hälso- och sjukvården ska lämna uppgifter till ett hälsodataregister för tre ändamål:
- framställning av statistik,
- uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård, och
- forskning och epidemiologiska undersökningar.
Vidare följer av 8 § att endast den som är personuppgiftsansvarig får ha direktåtkomst till uppgifter i ett hälsodataregister och av 9 § att uppgifterna endast får lämnas ut på medium för automatiserad behandling om de används för de ändamål som beskrivs i lagen. På liknande sätt får den som är personuppgiftsansvarig för behandlingen av personuppgifter i ett hälsodataregister enligt 5 § hämta personuppgifter till registret genom samkörning för de ändamål som anges i 3 §.
Det föreligger inget krav på samtycke från den enskilde för att uppgifter om denne ska få föras in i registret men enligt patientdatalagen är vårdgivaren skyldig att informera om registret. Patienten kan välja att inte delta.
Ett hälsodataregister som är särskilt intressant som källa till en patientöversikt är Patientregistret som innehåller patientuppgifter om alla läkarbesök i sluten och specialiserad öppen sjukvård.
Nationella Läkemedelslistan
Den 1 maj 2021 trädde lagen (2018:1212) om nationell läkemedelslista i kraft. Samma dag introducerade E-hälsomyndigheten det nya registret Nationella läkemedelslistan (NLL). NLL ger hälso- och sjukvården, apoteken och patienten en gemensam och aktuell bild av receptförskrivna och uthämtade läkemedel. Det gäller även andra varor som patienten fått på recept så som förbrukningsartiklar, teknisk sprit samt livsmedel till barn under 16 år. Läkemedel som ges i slutenvården, även kallat rekvisitionsläkemedel, ingår i dag inte i registret. I nuläget går NLL endast att nå via webbtjänsten Förskrivningskollen, men i framtiden kommer den också vara nåbar direkt från journalsystemen.
Register med information om vårdgivare
- IVO:s vårdgivarregister Såväl offentliga som privata vårdgivare är enligt patientsäkerhetslagen (2010:659) skyldiga att anmäla sin hälso- och sjukvårdsverksamhet till IVO. Alla vårdgivare, oavsett finansieringsform, är anmälningspliktiga. Huvudsyftet med anmälningsplikten är att IVO ska få kännedom om de verksamheter som IVO har tillsynsansvar för. Vårdgivarregistret saknar i dag information om finansieringsform för vården, det vill säga om vårdgivare bedriver offentligfinansierad vård, privatfinansierad vård eller både och. Registret innehåller emellertid uppgifter om ägarskap.
- Uppgifter hos SCB Hos SCB finns uppgifter om finansiärer och utförare inom hälsooch sjukvårdsområdet. Det så kallade utförarregistret är en årlig insamling av de företag som kommuner och regioner har köpt verksamhet av. Den privata vårdgivaren som inte bedriver någon verksamhet åt region eller kommun finns därför inte med. Det finns heller inget krav på regioner och kommuner att rapportera vårdgivare som utfört verksamhet men fakturerat lägre än 100 000 kronor för kommuner och 250 000 kronor för regioner.
7.1.3. Relaterade initiativ och insikter om tillgång till data
Ett antal relaterade initiativ pågår eller har nyligen slutrapporterats. Socialstyrelsen slutrapporterade under hösten 2022 uppdraget att kartlägga datamängder inom hälsodataområdet, som kan anses vara av nationellt intresse (Socialstyrelsen, 2022). I slutrapporten framkommer att registrens innehåll inte har utvecklats i takt med behovet av data och förändringar i samhället. Registerdata samlas in och tillgängliggörs på olika sätt beroende på syftet med behandlingen av data vilket påverkar datatillgången. Tre angelägna dataområden valdes ut för en fördjupad utredning av förutsättningar och hinder för potentiell nationell statlig datainsamling, där myndigheten ger förslag på fortsatt arbete inom respektive område: data från primärvården, data om rekvisitionsläkemedel samt data för nationell krisberedskap. Socialstyrelsen framhåller att det i dag saknas data på individnivå från primärvården och annan öppen icke-specialiserad vård vilket innebär att en betydande del av hälso- och sjukvårdens insatser inte går att beskriva eller följa med data för hela landet. Vidare framkommer att det finns stora behov av att belysa frågor om vård och behandling som rör patientgrupper och tillstånd som i stor utsträckning omhändertas av primärvården och annan öppenvård snarare än specialiserad vård vid sjukhus. Ett nationellt heltäckande register som omfattar primärvård uppges i rapporten öka nyttan av data som redan samlas in samt ge underlag till forskning och innovation. Individbaserade nationella data från primärvården har potential att ge stor nytta för flertalet olika intressenter och har många potentiella användningsområden nu och i framtiden. Socialstyrelsen uppger vidare att det finns ett mycket stort behov av att få en heltäckande bild av läkemedelsanvändningen. Individbaserade data avseende användningen av rekvisitionsläkemedel i slutenvården saknas i dag. För att det ska vara möjligt att samla in data om rekvisitionsläkemedel bedömer Socialstyrelsen att det krävs författningsändringar och en förstärkning hos regionerna för att anpassa system och processer för insamling av dessa uppgifter. De föreslår bland annat att en reglering avseende insamling av rekvisitionsläkemedel till ett register vid Socialstyrelsen tas fram samt att Socialstyrelsen tilldelas nödvändiga resurser för att förstärka arbetet med att samla in rekvisitionsläkemedel till patientregistret i enlighet med nuvarande förordning om patientregistret.
E-hälsomyndigheten fick under 2021 i uppdrag att genomföra en förstudie om digital nationell infrastruktur för nationella kvalitetsregister. I uppdraget ingick att beskriva hur myndigheten ska kunna tillhandahålla en nationell digital infrastruktur för kommuner och regioner som bedriver nationella kvalitetsregister. Regeringen framhåller i uppdraget att en gemensam nationell statlig infrastruktur ska öka nyttan samt underlätta och minska administrationen för regioner, kommuner och statliga myndigheter.2 E-hälsomyndighetens uppdrag motiverades bland annat av Riksrevisionens iakttagelser angående arbetet med kvalitetsregister från 2006, 2013 och 2020 samt den utvärdering av statens och SKR:s gemensamma satsning på nationella kvalitetsregister som Myndigheten för vård och omsorgsanalys publicerade 2017. I delrapporten beskriver E-hälsomyndigheten att det finns behov av automatisk överföring från vårdinformationssystem till kvalitetsregister för att minska vårdens administrativa börda samt att det finns en efterfrågan av att samköra data mot till exempel hälsodataregister och befolkningsregister. Det framgår vidare att det stora antalet registerplattformar upplevs orimligt och att det finns vinster med att konsolidera.3 I slutredovisningen av uppdraget föreslår myndigheten att E-hälsomyndigheten i samverkan med berörda aktörer, etablerar och ansvarar för en nationell funktion för interoperabilitet inom hälsa, vård och omsorg. Funktionen ska bland annat främja arbetet med att ta fram och öka användningen av gemensamma specifikationer.4
7.2. Interoperabilitet
Det som krävs för att möjliggöra ett gränsöverskridande utbyte av patientöversikter över landsgränser, regiongränser eller organisationsgränser utgörs till stor del av interoperabilitet. Kungliga Tekniska högskolans Centrum för datadriven hälsa (CDDH) har beretts möjlighet att inkomma med en bilaga till utredningen, se bilaga 9. Stora delar av informationen om interoperabilitet och förutsätt-
2 Uppdrag att genomföra en förstudie om digital nationell infrastruktur för nationella kvalitetsregister. Dnr S2021/06170. 3 E-hälsomyndigheten (2022). Uppdrag att genomföra en förstudie om digital nationell infrastruktur för nationella kvalitetsregister. Delredovisning, regeringsuppdrag S2021/06170. Dnr 2021/03991. 4 E-hälsomyndigheten (2023). Förstudie digital nationell infrastruktur för nationella kvalitetsregister. Slutredovisning, regeringsuppdrag S2021/06170.
ningar för att utbyta hälsodata i detta avsnitt utgår från deras slutsatser. I bilagan framgår att en av de definitioner av interoperabilitet som används i medicinska sammanhang är den som anges av HIMSS, Healthcare Information and Management Systems Society5, där interoperabilitet betyder utbyte av data mellan tekniska system. HIMSS anger fyra olika förutsättningar för interoperabilitet:
- Teknisk interoperabilitet (HIMSS level 1: Foundational) beskriver förmågan hos system att över huvud taget utbyta data. Det handlar alltså om fysisk koppling (sladdar, fiberoptik, etc.) och olika standarder för överföring (t.ex. TCP-IP).
- Syntaktisk interoperabilitet (HIMSS level 2: Structural) beskriver att man enats om hur data ska kodas när det skickas via den tekniska infrastrukturen, mellan olika system. Exempel är xml, json, FHIR etc.
- Semantisk interoperabilitet (HIMSS level 3: Semantic) beskriver det faktum att data, till exempel ett numeriskt värde, måste betyda samma sak för sändande och mottagande enhet (t ex att ett numeriskt värde som skickas mellan två system betyder systoliskt blodtryck i bägge systemen).
- Organisatorisk interoperabilitet (HIMSS level 4: Organizational) beskriver det faktum att allt meningsfullt utbyte av data mellan system också kräver organisation, överenskommelser, policys, lagstöd och förvaltning över tid.
Alla fyra komponenter krävs för att utbyte av data ska kunna ske på ett meningsfullt sätt och för att lösningen ska hålla över tid. HIMSS definition bör inte tolkas som att man kan uppnå olika nivåer av interoperabilitet i tur och ordning. Samtliga nivåer krävs.
Inom EU:s European Interoperabilitiy Framework, EIF, senaste version 2017 (EC, 2017 03), definieras interoperabilitet annorlunda, mindre teknikorienterat, som förmågan hos organisationer att samverka genom datautbyte mellan system. Även EIF anger fyra nivåer av interoperabilitet: Legal, organisatorisk, semantisk och teknisk, med likartade benämningar som HIMSS men med delvis annorlunda innebörd. Särskilt värt att notera är att organisatorisk interope-
5 HIMSS (2023). UR L: https://www.himss.org/resources/interoperability-healthcare. Hämtad 2023-01-23.
rabilitet enligt HIMSS snarast motsvaras av det som i EIF benämns ”interoperability governance”. I EIF definieras i stället organisatorisk interoperabilitet som harmonisering av processer mellan olika aktörer.
Ordet interoperabilitet används inte sällan för att beteckna ett generellt tillstånd som man vill uppnå, där olika system delar data med varandra. Ordet blir då närmast en beteckning av den gemensamma målbilden att göra hälsodata generellt användbara. Men implicit i detta språkbruk ligger ofta att detta tillstånd kan uppnås genom interoperabilitet enligt HIMSS definition. Det är problematiskt då det tenderar att låsa diskussionen till denna specifika lösning och därmed försvåra nytänkande och innovation.
Vidare framhåller CDDH i bilaga 9 att begreppet semantisk interoperabilitet har använts för att beskriva en tänkt situation där olika tekniska system som lagrar data, automatiskt kan utbyta data med varandra på ett säkert sätt, om dessa system hanterar sina data enligt en och samma standard. Tanken är att den gemensamma standarden garanterar att innebörden av data blir densamma i sändande och mottagande system. Då det saknas någon sammanhängande beskrivning av hur detta ska fungera i praktiken är det svårt att säga mer än att idén är konceptuellt problematisk på många nivåer.6,7
7.2.1. Strukturerade data med tydliga definitioner
Av bilaga 9 framgår att begreppet strukturerade data ofta används om data som lagras som parametrar i ett systems databas och därför är direkt användbara för datorn i till exempel beräkningar. Ostrukturerade data brukar betyda skriven text, som inte är direkt användbar för datorn. Därför eftersträvas så långt som möjligt strukturerade data i våra system. En ökad strukturering av hälsodata ger direkta nyttor när sammanhållen vård- och omsorgsdokumentation tillämpas över vårdgivargränser men bidrar även till att på sikt förbättra förutsättningarna för en datadriven hälso- och sjukvård. Det bidrar även till att minska den administrativa bördan i olika system. För att kunna tolka strukturerade data krävs emellertid information om
6 Adnan, K., Akbar, R., Khor, S. W., & Ali, A. B. A. (2020). Role and Challenges of Unstruc-
tured Big Data in Healthcare (pp. 301–323).
7 Teodoro, D., Choquet, R., Schober, D., Mels, G., Pasche, E., Ruch, P., & Lovis, C. (2011). Interoperability driven integration of biomedical data sources. Studies in Health Technology
and Informatics, 169, 185–189. https://doi.org/10.3233/978-1-60750-806-9-185.
strukturen. Strukturinformation kan vara implicit, det vill säga bara tekniskt implementerad i systemet. Den kan också vara explicit lagrad i systemet, eller dokumenterad utanför systemet i till exempel en manual.
Det finns en uppsjö av begrepp relaterade till hur vi förmedlar information samt hur vi förmedlar den behövda kunskapen om data, vilket inom information kallas informationsstrukturer. Till exempel används semantik, syntax, ontologi, termer, ord, begrepp och definitioner. CDDH konstaterar i bilaga 9 att det finns mängder av definitioner av dessa ord inom olika vetenskapliga domäner men utan ett specifikt sammanhang i åtanke blir alla försök att definiera dem, såsom generella begrepp inom hälsodata, fruktlösa. I enlighet med CDDH:s slutsatser använder utredningen framöver ordet definitioner för att visa att data behöver beskrivas.
I diskussioner om hälsodata brukar även begrepp som metadata och kontext användas. Kontext betyder sammanhang. CDDH skriver i bilaga 9 att kontextuell information är en typ av metadata som ofta behövs för att rätt kunna tolka data. Vidare att metadata betyder data om data, det vill säga dokumenterad kunskap om vad data betyder. Ett blodtryck har till exempel uppmätts under vissa omständigheter, med en viss utrustning. Beskrivningen av dessa senare aspekter brukar benämnas ”metadata”, och själva mätvärdet är ”data”. Distinktionen mellan metadata och data är emellertid alltid godtycklig, beroende på hur vi väljer att betrakta situationen och bygga våra system. Om systemet bara kan lagra ”blodtryck” så får vi på något sätt parallellt lagra det faktum att det uppmättes efter fem minuters vila, i sittande, om vi behöver dokumentera det. Det senare blir då att betrakta som metadata. Men om systemet kan lagra olika sorters blodtryck så kan vi kanske välja att registrera alternativet ”blodtryck efter 5 minuters vila, i sittande” och då blir allt detta ”data”. Men om vi dessutom vill dokumentera om patienten hade ätit innan eller var fastande, eller vilken utrustning vi använde för mätningen, så blir detta metadata. Det är alltid en fråga om gränsdragning och här finns ingen konsensus eller exakt definition av vad som avses med metadata. I vissa sammanhang används begreppet helt enkelt för att beteckna en redogörelse för vad data betyder, alltså en definition. För att kunna tolka och använda data utanför den verksamhet och de system där de skapades så behöver alla aspekter av datans definition finnas tillgängliga. Om vi kallar allt detta för bara data, eller gör någon form
av uppdelning i data och metadata, har ingen betydelse så länge all kunskap som behövs för att tolka data finns med.
Myndigheters arbete med informationsstruktur och definitioner
Enhetligare begreppsanvändning är prioriterat inom Vision e-hälsa 2025, regeringens och SKR:s gemensamma vision för e-hälsoarbetet. Arbetet med regelverk, standarder och enhetligare begreppsanvändning beskrivs som grundläggande förutsättningar för utvecklingen i strategidokumentet för perioden 2020–2022.8 Arbetet har dock bedrivits av myndigheter, regioner och kommuner i snart 20 år. Som utredningen beskriver i avsnitt 6.2.1.om den nationella IT-strategin från 2006 framgår att parterna var eniga om att en svensk anslutning till Snomed Standards Development Organisation var angelägen och att Sverige ska vara en aktiv deltagare i det internationella arbetet för att utveckla, förbättra och förvalta Snomed CT (Systemized Nomenclature of Medicine – Clinical Terms). Detta är ett internationellt begreppssystem för att enhetligt beskriva och kategorisera kliniska termer och begrepp inom hälso- och sjukvården. Systemet innehåller begrepp som inordnats i ett system som beskriver deras innebörd, synonymer och relationer till andra begrepp. Det kan exempelvis handla om kliniska fynd, åtgärder och anatomiska strukturer. I samband med detta fick Socialstyrelsen regeringens uppdrag att initiera två projekt för att säkerställa en hög informationskvalitet. Regeringen gav Socialstyrelsen i uppdrag att ta det övergripande ansvaret för att begreppssystemet Snomed CT översätts, förvaltas och tillhandahålls till svenska vårdgivare, IT-leverantörer och andra aktörer. Införandet och användningen av Snomed CT skulle gemensamt stimuleras av Socialstyrelsen och SKR.9
Gemensam informationsstruktur
I dag har Socialstyrelsen enligt sin instruktion i uppdrag att skapa och tillhandahålla enhetliga begrepp, termer och klassifikationer samt att skapa, beskriva och tillhandahålla en ändamålsenlig infor-
8 Vision e-hälsa 2005. En strategi för genomförandet av Vision e-hälsa 2025. Nästa steg på vägen 2020–2022. 9 Dagmaröverenskommelsen 2007, s. 7–8.
mationsstruktur. För att skapa förutsättningar för att personal och system ska förstå varandra genom information som dokumenteras erbjuder Socialstyrelsen verktyg för en ändamålsenlig och strukturerad dokumentation i vård och omsorg.10 Gemensam informationsstruktur är ett samlingsnamn för verktyg som skapar förutsättningar för ändamålsenlig och strukturerad dokumentation. Verktygen kan användas oberoende av teknisk lösning för att strukturera och koda information som behöver dokumenteras i patienters och brukares processer. Verktygen används tillsammans för att beskriva sammanhanget och specificera informationsinnehållet i patientjournalen och personakten. Verktygen är nationell informationsstruktur (NI) samt de fackspråkliga resurserna i begreppssystemet Snomed CT, hälsorelaterade klassifikationer och Socialstyrelsens termbank. Tillsammans benämns verktygen Gemensam informationsstruktur.
NI är ett ramverk för strukturerad dokumentation inom vård och omsorg. NI består av process-, begrepps- och informationsmodeller som används som referensmodeller för att utveckla strukturerad dokumentation kring patienter och brukare. NI används för att identifiera, beskriva och hantera dokumentationsbehov inom vård och omsorg och är ett verktyg för att uppnå interoperabilitet inom och mellan olika aktörer. Interoperabilitet definieras som förmågan hos system, organisationer eller verksamhetsprocesser att fungera tillsammans och kunna kommunicera med varandra genom att följa överenskomna regler. Förvaltningen och vidareutvecklingen av NI fokuserar på det innehåll som har störst betydelse för verksamheterna inom vård och omsorg, utifrån behovet av en strukturerad dokumentation. Vidareutvecklingen innefattar begreppsutredning, juridisk utredning samt modellering och genomförs i ett nära samarbete mellan informatiker, terminologer, jurister och verksamhetsrepresentanter.
Socialstyrelsen utvecklar även nationella informationsmängder (NIM) som bidrar till att skapa en strukturerad och ändamålsenlig dokumentation kring patienter och brukare. En NIM är en standardiserad beskrivning av hur en avgränsad informationsmängd kan dokumenteras på ett strukturerat och entydigt sätt oberoende av i vilken del av vård och omsorg den dokumenterats. I dag lagras information om en individ ofta i olika informationssystem vilket kan försvåra för organisationer att dela data med varandra, men pro-
10 Socialstyrelsen. E-hälsa. Gemensam informationsstruktur. UR L: E-hälsa - Socialstyrelsen. Hämtad 2023-02-21.
blemet kan även finnas inom enskilda organisationer som exempelvis sjukhus. Nationella informationsmängder kan fungera som en gemensam referens för hur information kan dokumenteras för att kunna återanvändas inom och mellan olika informationsmiljöer. På detta sätt kan NIM:ar användas för att överbrygga barriärer som itstöden ofta stöter på och bidra till att information tolkas lika när den delas mellan verksamheter och system. NIM:ar utvecklas utifrån NI, Snomed CT, hälsorelaterade klassifikationer samt Socialstyrelsens termbank och är oberoende av kommunikationsformat och teknik som används för att utbyta information mellan system.
Metodutvecklingen för nationella informationsmängder är inspirerat av och utgår delvis från det arbete som pågår i USA samt Nederländerna och Belgien. Socialstyrelsen har dialog och samarbeten med Nictiz och Snomed CT international i dessa frågor. Informationsarkitekturstandarden SS-ISO/IEC/IEEE 42010 har använts som grund för processen i NI-utvecklingen och utgör också en grund i processen för utvecklingen av NIM. Detta säkerställer att NI och tillämpningar av NI är lösningsneutrala och kan tillämpas oberoende av ITstöd eller teknisk standard. NIM styr inte hur den underliggande databasstrukturen ser ut eller ska fungera. De beskriver hur informationen (innehållet) kan dokumenteras på ett enhetligt sätt. De möjliggör också att flertalet kommunikationsformat kan användas för att utbyta information med bibehållen innebörd, oberoende av vald teknik och teknisk standard.
Snomed CT är ett internationellt begreppssystem som är utvecklat för att användas i elektroniska informationssystem och är översatt till svenska. Snomed CT syftar till att göra den kliniska dokumentationen inom hälso- och sjukvård enhetlig, entydig och ändamålsenlig. För flertalet av de kliniska informationsmängder som ingår i patientöversikt inom ESS anges Snomed CT som rekommenderat kodverk. Den svenska utgåvan av Snomed CT innehåller cirka 360 000 aktiva begrepp och rekommenderade termer. Snomed CT lämpar sig för standardiserad dokumentation och ger förutsättningar för att information kan kommuniceras och överföras mellan olika system med bibehållen betydelse. Användning av Snomed CT gör det möjligt för informationssystemen att tolka informationens innebörd och presentera rätt information eller beslutsunderlag i olika situationer.
Socialstyrelsen är så kallat nationellt releasecenter för Snomed CT.
Nationella specifikationer (NGS)
E-hälsomyndigheten fick 2019 av regeringen i uppdrag att ansvara för att fastställa vilka e-hälsospecifikationer som ska vara nationella och gemensamma och tillgängliggöra information om dessa samt samordna och stödja berörda aktörers arbete med att ta fram och använda sådana specifikationer.11 Som ett resultat av uppdraget skapades NGS-tjänsten. Tjänsten är en kvalitetssäkrad katalog med information om e-hälsospecifikationer. En e-hälsospecifikation kan till exempel innehålla informationsmodeller, kunskapsunderlag, urval av koder från Snomed CT, NIM eller klassifikationer av vårdåtgärder. En del av dem har status som nationella gemensamma ehälsospecifikationer, NGS.
E-hälsospecifikationer behövs för att olika system ska kunna kommunicera med varandra. När IT-system utbyter standardiserad och strukturerad information om individen ökar säkerheten för patienter och brukare inom hälso- och sjukvård och socialtjänst. Informationen kan enklare återanvändas där den behövs, vilket minskar dubbeldokumentation. Rapportering och jämförelse av hälsodata blir enklare och mer tillförlitlig och det underlättar även i forskningssammanhang. E-hälsomyndigheten är i uppstartsfasen av att inrätta ett kompetenscentrum för att samla kunskap, samordna utveckling och främja användande av e‑hälsospecifikationer i Sverige. E-hälsomyndigheten har tillsammans med övriga berörda aktörer utvecklat kriterier för att bedöma e‑hälsospecifikationer av nationellt intresse. Om specifikationerna uppfyller kriterierna är avsikten att de ska få status som NGS:er. Myndigheten har även tagit fram en process för hur bedömningen går till. Bedömningskriterierna baseras på tidigare EU-arbeten avseende interoperabilitet och har anpassats efter svenska förhållanden.
7.2.2. Standarder för informationsutbyte
För att underlätta integration och interoperabilitet mellan system har det på EU-nivå tagits fram ett ramverk för interoperabilitet (EIF) och en referensarkitektur för interoperabilitetsarkitekturer (EIRA). I kapitel 6 framgår även att det på nationell nivå har det tagits fram en svensk anpassning av EIF och att det pågår etablering av en för-
11 Uppdrag att tillgängliggöra och förvalta gemensamma nationella specifikationer. Dnr S2019/01521/FS.
valtningsgemensam infrastruktur för informationsutbyte inom den offentliga förvaltningen.
Sedan ett antal år har en ny standard för informationsutbyte inom vård och omsorg fått spridning – HL7 FHIR.12 Den används för att standardisera hur man utbyter information mellan olika system. FHIR är framtagen av standardiseringsorganisationen HL7 (Health Level Seven) som är en internationell organisation bestående av experter inom hälso- och sjukvård som samarbetar för att skapa standarder för utbyte, hantering och integration av elektronisk hälsoinformation. FHIR har stöd för nationell anpassning och har stor spridning inom EU. Ramverket innehåller definierade informationsobjekt i form av cirka 150 byggblock med resurser såsom datatyper med begrepp, informationsstruktur och möjlighet att koppla på kodverk. E-hälsomyndigheten har bland annat valt standarden FHIR för Nationella läkemedelslistan.13
Inom IT-industrin är det även vanligt att utforma tjänster enligt den arkitekturella stilen REST.14 Av flera skäl önskar svensk vård och omsorg att arkitektur och infrastruktur har stöd för REST-baserade digitala tjänster generellt, och FHIR specifikt
7.3. Att ge och få tillgång till vårdinformation i Sverige
7.3.1. Gällande rätt
Redan år 2001 vid en översyn av patientjournallagen (1985:562) på uppdrag av regeringen anförde Socialstyrelsen i en skrivelse ett förslag om en helt ny bestämmelse om att dokumentation bör göras i en sammanhållen patientjournal, om inte särskilda skäl talar emot det.15 Där föreslogs även att uppgifter i ett visst hänseende endast bör förekomma en gång i journalen. Målet med den nya bestämmelsen var att förhindra onödig dokumentation och dubbelarbete. Socialstyrelsen anförde vidare att journalen skulle kunna följa patienten genom vårdkedjan oavsett om fler vårdgivare inbegrips eller ej. De konsta-
12 HL7. Welcome to FHIR. UR L: Index - FHIR v4.3.0 (hl7.org). 13 E-hälsomyndigheten. Handbok för vård- och apotekstjänster. 14 Inera. Referensarkitektur för vård och omsorg – T2 välfärden. UR L: T2 - vård och omsorg, PA1 - T2 - vård och omsorg - Confluence (atlassian.net). Hämtad 2023-03-08. 15 Socialstyrelsen (2001). Till Regeringen. Patientjournallagen – en översyn med förslag till författningsändringar. Dnr 02-3852/2000.
terade emellertid att detta var omöjligt med tanke på att journalerna utgör allmänna handlingar enligt tryckfrihetsförordningen, som myndigheten måste bevara och inte får dela med nästa vårdgivare som kan vara en annan myndighet eller enskild. En elektroniskt sammanhållen journal för varje patient som är gemensam för samtliga vårdgivare, på nationell nivå, har bland annat utretts av Patientdatautredningen. Utredningens förslag presenteras i SOU 2006:82 och innefattade en sammanhängande reglering av personuppgiftsbehandlingen inom hälso- och sjukvården i en helt ny lag, patientdatalagen. Regleringen avsåg ersätta patientjournallagen samt lagen (1998:544) om vårdregister. I betänkandet anförs att en livslång patientjournal i ett sammanhållet informationssystem, med strukturerade journalanteckningar enligt en enhetlig begrepps- och terminologiapparat, även skulle vara mycket värdefullt för all slags kvalitetssäkring av hälso- och sjukvården, ekonomisk uppföljning och andra sekundära ändamål såsom forskning. Vidare att de nationella hälsodataregistren hos Socialstyrelsen och Läkemedelsverket samt de nationella kvalitetsregistren i ett sådant scenario skulle tappa betydelse eftersom mycket information redan skulle finnas samlad i ett heltäckande journalsystem.16
Bedömningen som gjordes i SOU 2006:82 var att någon lagstiftning om en skyldighet att journalföra i ett sammanhållet system inte är genomförbar och att det inte skulle vara lämpligt att införa ett sådant obligatoriskt totalsystem. De konstaterade att det inom överskådlig tid saknas förutsättningar för att införa en för samtliga vårdgivare sammanhållen journal för varje patient. Regeringen gjorde i efterföljande proposition (2007/08:126) samma bedömning som utredningen. I stället infördes genom den nya patientdatalagen (2008:355) en reglering som innebär att vårdgivare – under vissa förutsättningar – kan få direktåtkomst till varandras elektroniska journalhandlingar.
Den nya lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation (fortsättningsvis SVOD) ersätter bestämmelserna i patientdatalagen om sammanhållen journalföring och innehåller även bestämmelser rörande de delar av socialtjänstens verksamheter som avser omsorg om äldre personer och personer med funktionsnedsättning. Uttrycket sammanhållen vård- och omsorgsdokumentation definieras i lagens 1 kap. 1 § enligt följande:
16SOU 2006:82. Patientdatalag, s. 235–243.
Ett elektroniskt system som gör det möjligt för en vårdgivare eller omsorgsgivare att ge eller få tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter hos andra vårdgivare eller omsorgsgivare.
Genom bestämmelserna i lagen får vårdgivare och omsorgsgivare ta del av personuppgifter som behandlats av en annan vårdgivare eller omsorgsgivare. Den nya lagen innebär också att det även fortsättningsvis ska vara frivilligt att upprätta en sammanhållen vård- och omsorgsdokumentation. I skälen för regeringens förslag i propositionen fördes resonemang om huruvida det ska vara frivilligt eller obligatoriskt att upprätta en sammanhållen vård- och omsorgsdokumentation. Regeringen ansåg bland annat att möjligheten till att upprätta system för sammanhållen vård- och omsorgsdokumentation är en del av ett långsiktigt utvecklingsarbete inom både regioner och kommuner för att en säker och god vård och omsorg ska kunna tillhandahållas, samtidigt som enskildas integritetskänsliga uppgifter behandlas på ett sätt som tillgodoser fysiska personers skydd avseende behandling av personuppgifter. Regeringen ansåg också i förarbetena (prop. 2021/22:117) att möjligheten att upprätta en sammanhållen vård- och omsorgsdokumentation för vissa grupper ökar förutsättningarna för en säker och trygg vård och omsorg ytterligare, för både regioner och kommuner. Det skulle i sin tur öka incitamentet att investera i teknisk utveckling av användarvänliga system som är anpassade till både regioners och kommuners behov och förutsättningar. Förutom de tekniska förutsättningarna behöver ytterligare arbete ske hos både myndigheter och huvudmän respektive utförare för att främja användningen av enhetliga begrepp, strukturerad dokumentation och journalföring. I dag tillämpar sjukvårdshuvudmännen bestämmelserna om sammanhållen journalföring genom olika tekniska lösningar. Även om de flesta av sjukvårdshuvudmännen på något sätt har anslutit sig till system som möjliggör sammanhållen journalföring, så använder de möjligheten på olika sätt och i olika utsträckning.
7.3.2. Befintlig digital infrastruktur för informationsutbyte
Det finns i dag en digital infrastruktur som gör det möjligt för regioner, kommuner och privata vårdgivare som bedriver offentlig vård att utbyta information mellan vårdgivare. Denna infrastruktur ägs och förvaltas av Inera AB (Inera). Tjänsten som erbjuder funktionaliteten heter Nationell patientöversikt (NPÖ). NPÖ har ett beroende till ett antal stödtjänster för att informationsutbytet ska kunna vara möjligt i enlighet med gällande lagar. Det innebär att organisationen behöver vara ansluten till flera av Ineras tjänster för att kunna dela med sig eller ta del av information i NPÖ. Tjänsterna omfattar Säkerhetstjänster (idP, Spärrtjänsten, Samtyckestjänsten och Loggtjänsten) identifieringstjänst SITHS samt Katalogtjänst HSA för att kontrollera och styra behörighet.
IdP står för identitetsintygsutfärdare och används för att kontrollera och fastställa användarens identitet vid inloggning i anslutna e-tjänster. När en användare loggar in i en ansluten e-tjänst kontrollerar IdP:n vem det är som vill logga in och sammanställer uppgifter om användaren i en så kallad biljett. Uppgifterna hämtas från Katalogtjänsten HSA. Biljetten styr vad användaren ska få se och göra. IdP:n har stöd för Single Sign On som innebär att användaren endast behöver logga in en gång för att få tillgång till flera olika tjänster. E-tjänster där användare loggar in med SITHS e-legitimation kan anslutas till IdP:n.17 IdP:n integrerar mot autentiseringstjänsten för att tillhandahålla registrering, legitimering och underskrift med SITHS eID inklusive Mobilt SITHS. Katalogtjänst HSA innehåller information om användare och organisation som används för att kontrollera och styra behörighet. Det behövs både för styrning av användares behörigheter och för att visa hos vilken vårdgivare information finns.18
Det går som ett alternativ att ansluta andra IdP:er än Ineras direkt till Autentiseringstjänsten. På så sätt uppnås motsvarande funktionalitet som för e-tjänster som ansluter till Ineras IdP men med möjlighet att hantera egen attributkälla och utforma sin egen användardialog. Detta kräver emellertid viss funktionalitet.19
17 Inera. IdP. URL : Så fungerar Säkerhetstjänster - Inera - Identitet och åtkomst - Confluence (cgiostersund.se). Uppdaterad 2021-05-03. Hämtad 2023-02-02. 18 Inera. Katalogtjänst HSA. UR L: HSA Katalogtjänst - Inera. Hämtad 2023-02-21. 19 Inera. Autentiseringstjänst. UR L: Så fungerar Säkerhetstjänster - Inera - Identitet och åtkomst - Confluence (cgiostersund.se). Uppdaterad 2021-05-03. Hämtad 2023-02-02.
Som utredningen beskriver i kapitel 3 om gällande rätt äger patienterna enligt 2 kap. 3 § SVOD rätten att införa restriktioner i hur deras patientinformation blir åtkomlig, kallat spärrar. För att skapa denna funktionalitet innefattar Ineras säkerhetstjänster en Spärrtjänst. En spärr fungerar så att patientuppgifter inom en viss vårdenhet (inre spärr) eller inom en vårdgivare (yttre spärr) blir spärrade för hälso- och sjukvårdspersonalen som arbetar utanför denna vårdenhet eller vårdgivare. Spärrar kan tillfälligt hävas i enlighet med patientdatalagen. Den tillfälliga hävningen är tidsbegränsad och kan återkallas innan tidsbegränsningen gått ut. För att omsätta krav på samtycke som framgår av 3 kap. 1 § SVOD innefattas även Samtyckestjänsten i Säkerhetstjänsterna. Samtyckestjänsten gör det möjligt att registrera patienters samtycke till att dela sin information med andra vårdenheter eller vårdgivare. Tjänsten används för att registrera, lagra och läsa information om samtycke till åtkomst av sammanhållen vårddokumentation. Patienters samtycke registreras till exempel av vårdpersonalen vid vårdbesöket, vanligtvis i en e-tjänst som är ansluten till Samtyckestjänsten. Det går även att registrera samtycket i Säkerhetstjänstens administrationsgränssnitt. Av samtycket framgår vem och vilka som får ta del av patientens uppgifter. Patientens spärrar hanteras via Spärrtjänsten. Avslutningsvis innehåller Säkerhetstjänster även Loggtjänsten som lagrar uppgifter om vem som haft åtkomst till patientinformation. När vårdpersonal tagit del av informationen måste det loggas. Tjänsten tar emot åtkomstloggar med uppgifter om användare, vårdenhet, aktuell patient, vilka åtgärder som vidtagits med patientuppgifterna och när det skedde från anslutna vårdinformationssystem samt lagrar informationen på ett strukturerat sätt.
Infrastrukturen bygger på principen hämta vid behov där endast engagemangsindexets tjänstekontrakt utgör den information som lagras centralt hos tjänsteplattformen. Engagemangsindexet stödjer NPÖ-tjänstens anropslogik med information om i vilket källsystem som det finns patientinformation av en specifik typ för en specifik patient. Denna information används enbart internt i NPÖ-tjänsten. För NPÖ är det huvudsakliga syftet med att använda engagemangsindex att NPÖ inte ska behöva skicka en fråga till alla anslutna källsystem om de har information om en specifik patient, utan bara till de som de facto har det.
Rättsligt stöd för behandling av personuppgifter
I dessa tjänster behandlas personuppgifter helt eller delvis automatiserat. Inera är personuppgiftsbiträde för regioner och kommuner. Regionerna och kommunerna behandlar uppgifterna i Ineras tjänster med stöd av artikel 6.1 c och e i EU:s dataskyddsförordning och behandlar känsliga personuppgifter enligt dataskyddsförordningens artikel 9.2 h och 9.3 i kombination med nationell reglering så som patientdatalagen och SVOD.20
Anslutning till NPÖ
För närvarande kan regioner, kommuner och offentligt finansierade privata vårdgivare ansluta till och använda tjänsten NPÖ och beroende stödtjänster. I figur 7.1–7.3 nedan framgår vilka informationsmängder respektive region, kommun samt privat vårdgivare tillgängliggör i NPÖ.
Figur 7.1 Regioner som visar information i NPÖ samt vilken information som visas
Källa: Inera. Uppdaterad 2023-01-13.
20 Inera. Behandling av personuppgifter. UR L: Behandling av personuppgifter - Inera. Uppdaterad 2022-11-09. Hämtad 2022-12-07.
NPÖ
Blekinge
1 1 1 1 1 1 1 1
1 Diagnoser
Dalarna
1 1 1 1 1 1 1
2 Läkemedel
Gotland
1 1 1 1 1
3 Röntgenremisser
Gävleborg
1 1 1 1 1 1 1
4 Provsvar
Halland
1 1 1 1 1 1
5 Konsultationsremisser
Jämtland Härjedalen
1 1 1 1 1 1 1 1 1
6 Uppmärksamhetsinformation
Jönköping
1 1 1 1 1 1 1 1 1 1
7 Vårdkontakter
Kalmar
1 1 1 1 1 1 1 1
8 Anteckningar
Kronoberg
1 1 1 1 1 1 1 1 1
9 Vaccinationer
Norrbotten
1 1 1 1 1 1
10 Funktionsstatus & ADL
Skåne
1 1 1 1 1 1 1 1
11 Vårdplan
Stockholm
1 1 1 1 1
12 Tillväxtkurvor
Sörmland
1 1 1 1 1 1 1
Uppsala
1 1 1 1 1 1 1 1 1
Värmland
1 1 1 1 1 1 1 1 1 1
Västerbotten
1 1 1 1 1 1 1
Västernorrland
1 1 1 1 1 1 1
Västmanland
1 1 1 1 1 1
Västra Götalandsregionen
1 1 1 1 1 1
Örebro
1 1 1 1 1 1 1
Östergötland
1 1 1 1 1 1 1 1 1
1 2 3 4 5 6 7 8 9 10 11 12
Figur 7.2 Kommuner som visar information i NPÖ samt vilken information som visas
Källa: Inera. Uppdaterad 2023-01-02.
Av statistik på Ineras webbplats framgår att användningen av NPÖ har ökat de senaste åren från drygt 6 000 användare i januari 2016 till drygt 40 000 användare i oktober 2022.21 Den yrkesgrupp som använder NPÖ mest är sjuksköterskor följt av läkare.
21 Inera. Statistik för Nationell patientöversikt. Användare. UR L: Användare - Inera. Hämtad 2023-01-10.
1 2 3 4 5 6 7 8 9 10 11 12
NPÖ
Alvesta kommun
1 1 Diagnoser
Borgholms kommun
1 2 Läkemedel
Boxholm kommun
1 1 3 Röntgenremisser
Eskilstuna kommun
1 1 1 4 Provsvar
Finspångs kommun
1 1 5 Konsultationsremisser
Gislaveds kommun
1 1 1 6 Uppmärksamhetsinformation
Habo kommun
1 1 1 7 Vårdkontakter
Haparanda kommun
1
1 1 8 Anteckningar
Högsby kommun
1 9 Vaccinationer
Hörby kommun
1
1 1 10 Funktionsstatus & ADL
Höörs kommun
1 1 11 Vårdplan
Kalmar kommun
1 12 Tillväxtkurvor
Karlshamn kommun
1
1 1
Karlskrona kommun
1
1 1
Kinda kommun
1 1
Kävlinge kommun
1 1
Leksands kommun
1
1 1
Lessebo kommun
1
Lidingö stad
1
1 1
Lomma kommun
1 1
Malmö stad
1
1 1
Mjölby kommun
1 1
Markaryds kommun
1
Motala kommun
1 1 1
Mönsterås kommun
1
Mörbylånga kommun
1
Nybro kommun
1
Nyköpings kommun
1
1 1
Olofström kommun
1
1 1
Oskarshamns kommun
1
Partille kommun 1 1 1 1 1 1 Ronneby kommun 1 1 1
Sölvesborgs kommun
1
1 1
Tierp kommun
1 1 1
Torsås kommun
1
Uppvidinge kommun
1
Vadstena kommun
1 1 1
Varbergs kommun
1
1 1
Valdemarsvik kommun
1 1
Vellinge kommun
1 1
Västerviks kommun
1
Västerås stad
1 1
Växjö kommun
1
Ydre kommun
1 1
Åtvidabergs kommun
1 1
Älmhults kommun
1
Ängelholm kommun
1
1 1
Ödeshög kommun
1 1
Önsköldsvik kommun
1
1 1
1 2 3 4 5 6 7 8 9 10 11 12
Figur 7.3 Privata vårdgivare som visar information i NPÖ samt vilken information som visas
Källa: Inera. Uppdaterad 2023-02-02.
1 2 3 4 5 6 7 8 9 10 11 12
NPÖ
Active City Göteborg AB
1 1 1 1 1 1
1 Diagnoser
Active Landvetter AB
11 1 1 1 1
2 Läkemedel
Adina Hälsan AB
11 1 1 1 1
3 Röntgenremisser
Aleris AB
1 1 1 1 1
4 Provsvar
Aleris sjukvård AB
11 1 1 1 1
5 Konsultationsremisser
Allemanshälsan Aleroz Lunden AB
11 1 1 1 1
6 Uppmärksamhetsinformation
Allemanshälsan City AB
11 1 1 1 1
7 Vårdkontakter
Apalby Praktikerservice Aktiebolag
11 1 1
8 Anteckningar
Attendo Sverige AB
1 1
9 Vaccinationer
Aveny Ögonklinik AB
11 1 1 1
10 Funktionsstatus & ADL
Banérgatans Husläkarmottagning
1
1
11 Vårdplan
Barnmorskegruppen i Göteborg
1
1
12 Tillväxtkurvor
Barnmorskemottagningen i Göteborg AB
1
1
Bonliva Care AB
11 1 1 1 1
Bo Sjögren Urologi AB
11 1 1
Capio Hjärnhälsan AB
11 1 1 1 1 1
Capio Läkargruppen Capio Närsjukvård AB
11 1 1 1
Capio online
11 1 1 1
Capio Primärvård AB
1 1 1 1 1
Capio Sportsmedicine Umeå
11 1 1 1 1
Capio St:Görans sjukhus
11 1 1 1 1
Capio Ätstörningscenter AB
11 1 1 1 1
CityAkuten Praktikertjänst AB
11 1 1
Citysjukhuset +7 kommanditbolag
11 1 1 1 1
CK Vård och omsorg
1 1
Continuum Hemsjukvård
1 1
DBI Ortopedi Västerås AB
1 1 1 1
Distriktsläkarna i Västra Götaland AB
11 1 1 1 1
Doktor.se via Vingåkers vårdcentral AB
11 1 1 1
Face and nose Shemal Celiker AB
11 1 1
Familjeläkarna i Mölnlycke Vårdcentral och BVC AB
1
1
Forsåker vårdcentral AB
11 1 1 1
Färjestadens Fysioterapi och Friskvård
11 1 1 1 1 1 1 1
GHP Gastro Center Göteborg AB
11 1 1 1 1
GHP Gastro Center Skåne AB
1 1 1 1 1 1
GHP Idrottscentrum AB
1 1 1
GHP Kirurgkliniken Stockholm AB
11 1 1 1
GHP Neuro Center Göteborg AB
1 1 1 1 1 1
GHP Ortho Center Göteborg AB
11 1 1 1 1
GHP Ortho Center Stockholm AB
1 1 1
GHP Ortho Center Storängsbotten AB
1 1 1
GHP Spine Center Göteborg AB
1 1 1
GHP Stockholm Spine Center AB
1 1 1
Global Hand Surgery Clinics AB
11 1 1 1
Göteborgs Hjärtmottagning AB
11 1 1 1
H.S. Ögonklinik AB
1 1 1 1 1
Hagakliniken Aktiebolag
11 1 1 1
Husläkarna Varmbadhuset Varberg
1
1
HVO AB (from 15 juli 2021)
1 1
Hälsa Hemma Sverige AB
11 1 1 1 1
Hönö Vårdcentral AB
1
1
Hötorgets Vårdcentral AB
1
1
Kirurgiskt Hudcenter Skandinavian Handelsbolag
11 1 1
Klemming Idrottsrehab och Fysioterapi AB
1 1 1 1 1 1 1
Kooperativet Hjärtpunkt Skiljebo
1 1
Kronogården Vårdcentral AB
11 1 1 1
Kry Primärvård AB
1
1 1
Kungsportsläkarna AB
1
1
Kvinnoläkarna i Västmanland AB
11 1 1
Leanderson Artrocenter AB
11 1 1 1 1
Logopedbyrån Dynamica
11 1 1 1 1
Lotusläkarna Håkan Bonevik AB
1 1 1 1 1
Medicheck Healthcare
11 1 1 1 1
Läkargruppen Mölndalsbro KB
11 1 1 1 1
Medhelp AB
1 1
Medipart AB
11 1 1 1 1
Medpro Clinic
1
1
Mindler
11 1 1 1 1
Modigo AB
11 1 1 1 1
Moment Psykologi
1
1
Nacka Kirurgi AB
11 1 1 1 1
Neurologi Jaan Albo AB
11 1 1 1 1
Neurology Clinic Stockholm AB
11 1 1 1 1
Norlandia Care AB
1 1
Nytida AB
1 1
Nötkärnan Bergsjön Vårdcentral och BVC
1
1
Nötkärnan Hovås Askim Familjeläkare och BVC
1
1
Nötkärnan Friskväderstorget Vårdcentral och BVC
1
1
Nötkärnan Kortedala Vårdcentral och BVC
1
1
Nötkärnan Kållered Familjeläkare och BVC
1
1
Nötkärnan Masthugget Familjeläkare och BVC
1
1
Nötkärnan Sävelången Familjeläkare och BVC
1
1
Omtanken Allemanshälsan Vård AB
11 1 1 1 1
Omtanken Järnhälsan Kommanditbolag
11 1 1 1 1
Omtanken Västerleden Vård AB
11 1 1 1 1
Optalmica Stockholm
1 1 1 1 1 1
Optalmica Västerås AB
11 1 1
Ortopedi Blekinge AB
11 1 1 1 1
Personstöd Mälardalen
1 1
Praktikertjänst
11 1 1 1
Primapraktiken
1
1
Promedicus AB
11 1 1 1
RPT Sportsrehab AB
11 1 1 1 1
Qvinnolivet
1
1
Skepplanda Läkarhus AB
11 1 1 1 1
SLG Kalmar AB
11 1 1 1 1
SMART Psykiatri i Sverige AB
1 1 1 1 1 1
Stiftelsen Bräcke Diakoni
11 1 1 1
Stiftelsen Carlanderska Sjukhuset
11 1 1 1
Stockholms Kiropraktor & Rehabklinik & förvaltning AB
11 1 1 1
Stockholms ögonklinik
11 1 1 1
Stora Höga Läkarhus AB
1 1 1 1 1
Södermalms Ortopedi
11 1 1 1 1
Söderögon AB
11 1 1 1 1
Tillberga Grannskapsservice ekonomisk förening
1 1
Ugglans Vårdcentral Landvetter AB
11 1 1 1 1
Unicare vårdcentral Mariestad
1
1
Vardaga AB
1 1
Västmanlands Fysio Rehab AB
11 1 1
Wästerläkarna AB
11 1 1 1
Älvängens Läkarhus AB
11 1 1 1 1
Ögonlasern i Stockholm AB
11 1 1 1
Ögon Praktiken I Trollhättan AB
1 1 1 1 1
1 2 3 4 5 6 7 8 9 10 11 12
7.3.3. Styrningen av Inera
Som nämnts ovan utvecklas och förvaltas den digitala infrastruktur som i dag används av vårdverksamheter inom regioner och kommuner för att dela information om patientens hälsa och vård av Inera AB. Ineras verksamhet bedrivs i aktiebolagsform och företaget ingår i SKR-koncernen. Ägarrådet är det högsta beslutande organet för Inera som annars leds av en styrelse som ska se till att verksamheten bedrivs i enlighet med ägarnas intention.22 Den 1 januari 2023 ägde förutom SKR företag, 21 regioner och 289 kommuner aktier i bolaget. Fördelningen av aktier mellan ägarna är: SKR Företag AB cirka 51 procent, regioner cirka 3 procent och kommuner cirka 46 procent.23
SKR äger samtliga aktier i SKR Företag AB som är moderbolag i SKR:s bolagskoncern samt Sveriges regioner och kommuner.24 SKR är en medlems- och arbetsgivarorganisation. Alla Sveriges kommuner och regioner är medlemmar. Förbundets verksamhet leds av en styrelse bestående av 21 ledamöter och lika många ersättare som ansvarar för dess organisation och förvaltning. Till sitt stöd har den arbetsutskott, delegationer och beredningar.25 SKR:s uppgift är att stödja och bidra till att utveckla kommuners och regioners verksamhet. SKR uppger att det övergripande målet med SKR:s ägande i bolag är att skapa värde för SKR:s medlemmar och SKR som förbund. Bolagen ska bedriva verksamhet om alternativ saknas på marknaden eller om konkurrensen anses otillräcklig, ha fokus på långsiktigt värdeskapande samt bedrivas inom strategiskt och ekonomiskt viktiga områden för SKR, kommuner, regioner och deras bolag. Inera ska enligt ägardirektiven bland annat samordna, tillhandahålla och utveckla sektorsspecifik samverkansarkitektur, infrastruktur, tjänster och lösningar till kommuner, regioner samt bolag och organisationer som de utövar ett rättsligt inflytande över, inom deras verksamhetsområden och ansvar. Vidare ska de ta fram av ägarna efterfrågade gemensamma tjänster och lösningar till stöd för digitalisering och verksamhetsutveckling inom områden där marknaden inte bedöms kunna tillgodose ägarnas behov och intressen. De ska så långt som möjligt
22 Inera. Så styrs Inera. UR L: Så styrs Inera - Inera. 23 Inera AB (2022). Årsredovisning 2021. 24 SKR Företag (2022). Ägardirektiv för Inera AB – antas på ägarråd 2022-05-02 och bolagsstämma 2022-06-16. 25 SKR. Styrelse och beredningar SKR. Publicerad 2023-11-22. Hämtad 2022-12-22. UR L: Styrelse och beredningar | SKR.
nyttja marknaden och föreliggande konkurrensförhållanden samt stimulera innovation och konkurrens26
Ineras ägarstruktur som den ser ut i dag tog sin form efter att styrelsen för SKR i oktober 2016 godkände att SKR Företag AB förvärvar merparten av aktierna i Inera samt att regionerna uttalat sitt stöd för en förändring som innebär att verksamheten breddas och även omfattar kommunerna samt ger en närmare anknytning till SKR:s arbete med verksamhetsutveckling.27 Samtliga regioner fattade beslut om att sälja 145 av sina 150 aktier i Inera. Därefter erbjöds kommuner köpa 5 aktier vardera och bli delägare på samma villkor som landsting och regioner. Fram till 2017 har Ineras verksamhet varit inriktad på hälso- och sjukvårdsområdet, men genom det breddade ägandet ska bolaget kunna verka inom betydligt fler verksamhetsområden, till exempel skola, omsorg och samhällsbyggnad.
Genom att kommunen blev delägare i företaget, blev det möjligt även för dem att köpa tjänster från Inera AB utan föregående upphandling, genom det så kallade Teckal-undantaget i upphandlingslagstiftningen. Teckal-undantaget innebär att vissa upphandlade organisationer kan träffa avtal med varandra utan att genomföra upphandlingar enligt lagen (2016:1145) om offentlig upphandling, lagen (2016:1146) om upphandling inom försörjningssektorerna och lagen (2016:1147) om upphandling av koncessioner. Undantaget gäller enkelt utryckt fall där den upphandlande organisationen kontrollerar den part som den ingår avtal med enligt det så kallade ”kontrollkriteriet” och att avtalsparten bedriver huvuddelen av sin verksamhet tillsammans med den upphandlande organisationen kallat ”verksamhetskriteriet”. För verksamhetskriteriet gäller att den andel av verksamheten som bedrivs mellan de aktuella organisatoriska enheterna måste vara mer än 80 procent. Bedömningen ska som huvudregel grunda sig på de tre åren innan tilldelningen av kontraktet.28 Undantaget har skapats av EU-domstolen.29
Inera är ett aktiebolag som enligt 2 kap. 3 § offentlighets- och sekretesslagen (2009:400) ska jämställas med myndighet vad gäller tillämpningen av tryckfrihetsförordningens bestämmelser om rätt
26 SKR Företag (2022). Ägardirektiv för Inera AB – antas på ägarråd 2022-05-02 och bolagsstämma 2022-06-16. 27 SKR. Förvärv av aktier i Inera AB. Kommunens beslutsunderlag. 28 Upphandlingsmyndigheten. Avtal som är undantagna från reglerna. UR L: Avtal som är undantagna från reglerna om upphandling | Upphandlingsmyndigheten. Hämtad 2023-02-05. 29 EU-domstolens dom (femte avdelningen) den 18 november 1999. Mål c-107/98. URL: https://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:61998CJ0107.
att ta del av allmänna handlingar hos myndigheter och vid tillämpningen av offentlighets- och sekretesslagen.
Med nuvarande styrning och organisation kan staten inte direkt finansiera Ineras verksamhet och bara i undantagsfall styra eller begränsa verksamheten (se 2 kap. 17 § första stycket regeringsformen och artikel 107 i Fördraget om Europeiska unionens funktionssätt).
8. Tjänsten patientöversikt inom EES
Tjänsten patientöversikt inom EES syftar till att ge alla individer och behandlande hälso- och sjukvårdspersonal tillgång till utvalda uppgifter om individens hälsa och vård från hemlandet vid behov av oplanerad eller planerad vård i ett annat EES-land. Det finns flera situationer där en patient kan behöva uppsöka hälso- och sjukvården i ett annat EES-land, till exempel vid arbete, studier, boende i flera länder eller vid resa. Behandling av patienter utan information om deras medicinska tillstånd och bakgrund är riskfyllt och potentiellt farligt. Genom att möjliggöra tillgång till utvalda uppgifter om patientens hälsa och vård ökar patientsäkerheten och förutsättningar för god och säker vård stärks, bland annat genom att risken för vårdskador reduceras. Bland informationen som delas finns känsliga personuppgifter varför hanteringen bör ske på ett sådant sätt att hög informationssäkerhet garanteras och skyddet av den personliga integriteten värnas.
I det delbetänkande som utredningen tidigare lämnat har förslag till reglering lämnats om hur läkemedel förskrivna på ett e-recept kan hämtas ut genom tjänsten E-recept inom EES. I detta betänkande behandlas tjänsten patientöversikt inom EES. Då förutsättningarna för att delta i utbytet av patientöversikter delvis är desamma som för e-recept är beskrivningen av förutsättningarna delvis desamma som i delbetänkandet. Kapitlet inleds med att beskriva tjänstens syfte och utformning. Därefter redogör utredningen för själva tjänsten patientöversikt inom EES och hur informationen övergripande är tänkt att flöda utifrån de kraven som Nätverket för e-hälsa fastställt.
8.1. Tjänstens syfte och utformning
Patientrörlighetsdirektivet innehåller bestämmelser för att göra det lättare för patienter att få tillgång till en säker och högkvalitativ gränsöverskridande hälso- och sjukvård. Direktivet är genomfört i svensk rätt bland annat genom lagen (2013:512) om ersättning för kostnader till följd av vård i ett annat land inom Europeiska ekonomiska samarbetsområdet. Bestämmelserna i patientrörlighetsdirektivet syftar till att göra det lättare att få tillgång till en säker gränsöverskridande hälso- och sjukvård av god kvalitet i Europeiska unionen och att garantera patienterna rörlighet i överensstämmelse med de principer som fastslagits av EU-domstolen. Patientrörlighetsdirektivet är grunden för erkännande av tjänsten patientöversikter. Direktivets förutsättningar bör gälla som för annan gränsöverskridande vård.1Det frivilliga samarbetet om e-recept och patientöversikter innebär att bestämmelserna i artikel 11 i patientrörlighetsdirektivet och genomförandedirektivet 2012/52/EU har anpassats för dessa tjänster, till exempel omfattas inte medicinska hjälpmedel av tjänsten e-recept över landsgränser som de gör i patientrörlighetsdirektivet. Medlemsländerna kan även ingå avtal sinsemellan (artikel 10.3 i patientrörlighetsdirektivet) och e-hälsoavtalet kan ses som ett sådant avtal.2
Tjänsten patientöversikter syftar till att möjliggöra det fria flödet av patienter över landsgränser samt skapa nationell interoperabilitet, undvika upprepade kostnader för exempelvis undersökningar eller provtagningar som redan genomförts och möjliggöra besparingar för patienter och hälso- och sjukvårdssystemet. Genom tjänsten förmedlas och översätts information till det språk som är aktuellt i det tillfälliga vistelselandet. Beskrivningen av tjänsten i detta kapitel baseras på styrande dokument och krav som tagits fram inom Nätverket för e-hälsa.3
Eftersom samarbetet baseras på frivillighet är det enligt utredningens bedömning ibland oklart hur bestämmelserna i patientrörlighetsdirektivet och genomförandedirektivet är avsedda att tillämpas i
1 För överväganden vid genomförandet av patientrörlighetsdirektivet, se prop. 2012/13:150 och prop. 2015/16:139. 2 eHealth Network, 9th eHealth Network meeting Cover note by Secretariat, den 25 maj 2016, s. 1 och Summary minutes 9th Meeting of the eHealth Network, den 7 juni 2016, s. 3. 3 Styrande dokument, krav, specifikationer och andra beskrivningar av tjänsten finns samlade på webbplatsen My Health @ EU – eHealth Digital Service Infrastructure (eHDSI) Home, under en folder som heter eHDSI Operations Home. Det krävs en EU-inloggning för webbplatsen som alla kan skaffa. https://webgate.ec.europa.eu/fpfis/wikis/display/EHDSI/ OPERATIONS+Home (hämtad 2022-06-10).
tjänsterna e-recept och patientöversikt över landsgränser. Klart är dock att medlemsländerna kommer överens om gemensamma krav inom Nätverket för e-hälsa. Medlemsländerna åtar sig att följa dessa krav för att ansluta sig till tjänsterna. Kraven finns inte i någon sammanhållen rättsakt, utan är resultatet av ett pågående arbete och framgår av riktlinjer, kravkatalog med mera. Nationella förutsättningar kan få betydelse för ländernas deltagande i tjänsterna. Vad gäller patientöversikter kan till exempel informationshanteringen vara nationell eller regional, hanteras centraliserat eller decentraliserat, komma från statliga eller privata vårdgivare och vara obligatorisk eller frivillig att delge.
8.1.1. Nätverket för e-hälsa
EU stödjer och främjar samarbetet och utbytet av information inom ramen för det frivilliga Nätverket för e-hälsa. Nätverket baseras på artikel 14 i patientrörlighetsdirektivet och på Kommissionens genomförandebeslut 2019/1765 av den 22 oktober 2019 om regler för inrättande, förvaltning och drift av ett nätverk av nationella myndigheter med ansvar för e-hälsa och om upphävande av genomförandebeslut 2011/890/EU. Nätverket ska koppla ihop nationella myndigheter som är ansvariga för e-hälsa, utsedda av medlemsstaterna. I december 2011 fattade kommissionen ett genomförandebeslut om att starta ett sådant nätverk av nationella myndigheter med ansvar för e-hälsa4. Nätverket för e-hälsa ska enligt direktivet arbeta för att tillhandahålla hållbara sociala och ekonomiska nyttoeffekter genom europeiska system och tjänster som rör e-hälsa. Inom ramen för samarbetet kring e-hälsa finns för närvarande två tjänster framtagna, e-recept och patientöversikter inom EES.
8.1.2. Nationell kontaktpunkt för e-hälsa
Varje medlemsland ska utse endast en nationell kontaktpunkt för e-hälsa som ska ansvara för de organisatoriska och tekniska förutsättningarna för tillhandahållande av gränsöverskridande informationstjänster för e-hälsa under medlemslandets ansvar. Dessa kon-
4 Europakommissionens genomförandebeslut 2011/890/EU av den 22 december 2011 om regler för inrättande, förvaltning och drift av ett nätverk av nationella myndigheter med ansvar för e-hälsa.
taktpunkter ska anslutas till varandra och all information som utbyts av medlemsländerna ska gå genom dem. Varje kontaktpunkt för ehälsa ska vara ansluten till aktuella vårdgivare i det egna landet. E-hälsomyndigheten är Sveriges kontaktpunkt för e-hälsa.5
Utländska vårdgivare ska följaktligen inte vara direkt anslutna till E-hälsomyndigheten, utan informationen förmedlas till dessa vårdgivare via den utländska kontaktpunkten för e-hälsa.
8.1.3. Nätverket för e-hälsas krav för att delta i tjänsten
För att stödja arbete i Nätverket för e-hälsa har tre gemensamma åtgärder så kallade joint actions, genomförts: eHealth Government Initiative, Joint Action to support the eHealth Network och eHealth Action. Åtgärderna är EU-övergripande projekt. E-hälsotjänsterna kallas inom samarbetet eHealth Digital Services, eHDS och infrastrukturen för gränsöverskridande e-hälsotjänster, MinHälsa@EU (eHDSI). Nätverket för e-hälsa har antagit ett stort antal vägledande dokument för ett säkert informationsutbyte, ofta baserat på de gemensamma åtgärderna. Dessa förutsättningar och krav syftar till att informationsutbytet om patientöversikt över landsgränser ska vara möjligt. På webbplatsen MyHealth@EU – eHealth Digital Service Infrastruc-
ture (eHDSI) Home finns omfattande information om e-hälso-
tjänsterna. Webbplatsen kräver en EU-inloggning som alla kan skaffa. På den webbplatsen under OPERATIONS Home/eHDSI SERVICE
OFFERING beskrivs användningsfallen under rubriken eP/eD use case, omfattningen av tjänsten under eHDSI Scope and Business Goals
och detaljerade krav beskrivs under rubriken eHDSI Requirements
Catalogue. De mest centrala dokumenten så som riktlinjer för
tjänsten patientöversikter6 finns även publicerade av kommissionen.
Krav på kvalitetsgranskning
De deltagande länderna måste först genomgå en kvalitetsgranskning, en så kallad initial compliance check, som kommissionen leder med stöd av medlemsländerna. Granskningen ska säkerställa att kontakt-
5 Regleringsbrev för budgetåret 2022 avseende E-hälsomyndigheten (S2021/08111). 6 eHealth Network (2021). Guideline on the electronic exchange of health data under Cross-Border Directive 2011/24/EU. Patient Summary. Release 3, June 2021.
punkten för e-hälsa uppfyller aktuella krav på processer och dokumentation på en rad områden såsom organisation, rättsliga förutsättningar, informationssäkerhet, interoperabilitet, semantik och teknik. Därefter beslutar Nätverket för e-hälsa om deltagande land uppfyller kraven och får driftsätta tjänsten via den nationella kontaktpunkten för e-hälsa.7 Innan nätverket fattar ett sådant beslut krävs ett undertecknande av e-hälsoavtalet, se avsnittet nedan.
Krav som följer av e-hälsoavtalet
E-hälsoavtalet8 omfattar för närvarande tjänsterna e-recept och patientöversikter. Ett land kan välja att delta i en eller båda tjänsterna, som land A, land B eller båda. Att delta som land A innebär att svenska patientöversikter kan utbytas med ett annat EES-land, att delta som land B innebär att utländska patientöversikter kan nås i Sverige. E-hälsoavtalet ska undertecknas för att en kontaktpunkt för e-hälsa ska bli godkänd av Nätverket för e-hälsa och landet ska kunna delta i e-hälsotjänsterna. Det ska även fastställas att kontaktpunkten följer avtalet och de relevanta processerna samt kriterierna i tillhörande dokument i bilagan till avtalet.9 Därigenom avses avtalsparterna följa kriterierna i avtalet.10 Syftet med e-hälsoavtalet är att skapa rättslig stabilitet och interoperabilitet. Vidare har det angivits finnas ett behov av ett avtal eftersom samarbetet baseras på frivillighet och inte tvingande EU-rätt.11 E-hälsoavtalet ska undertecknas enligt nationell rätt och vad det kan innebära i Sverige har analyserats i delbetänkandet E-recept inom EES, avsnitt 13.3.1. Där gör utredningen bland annat en bedömning om att ingå i e-hälsoavtalet för ett deltagande i tjänsten e-recept över landsgränser skulle kunna anses medföra offentligrättsliga åtaganden för Sverige och även innebära att lagändringar krävs. Det kan sammantaget påverka hur avtalet bör undertecknas.
E-hälsoavtalet hade tidigare, som nämnts i delbetänkandet, en bilaga som hänvisade till ett antal dokument som ytterligare beskrev
7 Artikel 5 i genomförandebeslutet. 8Agreement between National Authorities or National Organisations responsible for National
Contact Points for eHealth on the Criteria required for the participation in Cross-Border eHealth Information Services.
9 Kapitel III, avsnitt III 1.2.1 i e-hälsoavtalet. 10 Kapitel I, avsnitt I.3(3) i e-hälsoavtalet. 11 9th eHealth Network meeting, Cover note by Secretariat, den 25 maj 2016, s. 1 och Summary
minutes 9th Meeting of the eHealth Network, den 7 juni 2016, s. 3.
kraven. Eftersom flera av dessa var föråldrade fattade Nätverket för e-hälsa den 28 januari 2022 beslut om att ta bort bilagan från avtalet och i stället införa en generell hänvisning till de bindande dokument som antas av nätverket.
E-hälsoavtalet ställer inte i sig krav på ändringar i nationell rätt utan parterna kan välja hur de ska uppfylla kraven i enlighet med nationell rätt och EU-rätten.12 Det ställer dock krav på bland annat organisation, semantisk behandling, teknik, spårbarhet och säkerhet, samt hur informationen ska överföras och tas emot. Parterna åtar sig att identifiera och autentisera patient och hälso- och sjukvårdspersonal på ett otvetydigt sätt.13 Nätverket för e-hälsa har angett att identifiering av hälso- och sjukvårdspersonal i land B ska ske med tvåfaktorsautentisering. Det finns också bestämmelser om avtalsparternas civilrättsliga ansvar och skadeståndsansvar.14
E-hälsoavtalet innehåller även bestämmelser om personuppgiftsbehandlingen. De nationella kontaktpunkterna för e-hälsa ska uppnå en säkerhetsnivå i enlighet med dataskyddsförordningen och eIDASförordningen i fråga om inbyggt dataskydd och dataskydd som standard, sekretess, integritet, autenticitet, tillgänglighet, oförnekbarhet, kryptering och andra åtgärder för datasäkerhet och kontrollmekanismer, med beaktande av processerna och kriterierna i avtalet.15Det finns också krav på spårbarhet med mera.16 Enbart behörig hälso- och sjukvårdspersonal i land B ska kunna ta del av uppgifter om patientens hälsa.17
E-hälsoavtalet innehåller åtgärder som avser att stärka skyddet för integriteten vid informationsutbytet, men innehåller inte den rättsliga grunden för personuppgiftsbehandlingen. Det innebär bland annat att E-hälsomyndigheten inte kan undgå sitt ansvar och sina skyldigheter som personuppgiftsansvarig med hänvisning till avtalet. Myndigheten måste därför bedöma om tillämpningen av de beslut som nätverket tar är förenliga med dataskyddsförordningen.18
Artikel 29-gruppen var en oberoende europeisk arbetsgrupp som behandlade frågor om integritetsskydd och skydd av personuppgifter fram till införandet av dataskyddsförordningen och som nu
12 Kapitel I, avsnitt I.3 i e-hälsoavtalet. 13 Kapitel II, avsnitt II.1.1.2 i e-hälsoavtalet. 14 Kapitel II, avsnitt II.1.2 i e-hälsoavtalet. 15 Kapitel II, avsnitt II.4.1 i e-hälsoavtalet. 16 Kapitel II, avsnitt II.4.2 i e-hälsoavtalet. 17 Kapitel II, avsnitt II.1.1.3 i e-hälsoavtalet. 18 E-hälsomyndigheten, Reglering av personuppgiftshantering (S2018/04035/FS), s. 21.
ersatts av Europeiska dataskyddsstyrelsen. Artikel 29-gruppen lämnade ett yttrande om e-hälsoavtalet, men hade inga avgörande invändningar. I yttrandet anges bland annat att enbart patientrörlighetsdirektivet och e-hälsoavtalet inte i sig synes uppfylla kraven på rättslig grund i dataskyddsförordningen.19
Kontroll av behörighet för hälso- och sjukvårdspersonal
Ett krav i Nätverket för e-hälsa är att parterna ska autentisera och identifiera hälso- och sjukvårdspersonal. En kontroll av behörigheten för den frågeställande hälso- och sjukvårdspersonalen ska göras för att denne ska kunna fråga efter och ta emot information om en patientöversikt från ett annat EES-land. För tjänsten patientöversikter krävs tvåfaktorsautentisering.20 Hälso- och sjukvårdspersonalen ska även bekräfta vid varje anrop att det finns en behandlingsrelation till patienten genom en bekräftelse som kallas Treatment Relationship Confirmation (TRC-assertion).
Kodverk och standarder för patientöversikten
Informationen i en patientöversikt ska översättas till land B:s språk. Detta ställer höga krav på förmågan till korrekt översättning av informationen utifrån ett patientsäkerhetsperspektiv. Nätverket för ehälsa konstaterar att olika kodverk används i olika medlemsländer och att ett långsiktigt strategiskt mål är att successivt minska fragmentiseringen och i stället övergå till att använda internationella kodsystem inom Europa. Detta även utifrån en förväntad framtida mer omfattande användning av de nya internationella standarder som är under utveckling. För att möjliggöra en översättning av informationen från svenska journalsystem till internationella användare och vice versa förutsätts en användning av specificerade kodverk i den så kallade Master Value Sets Catalogue som är en uppsättning utvalda koder från olika kodsystem. I informationsutbytet mellan de nationella kontaktpunkterna för e-hälsa får enbart koder från detta urval användas för att beskriva den strukturerade informationen i
19 Artikel 29-gruppens brev till Nätverket för e-hälsa, den 11 april 2018, Ref. Ares (2018) 2356058 03/05/2018. 20 eHDSI. Requirement catalouge. Avsnitt 01. Ensure Health Professional Identification, authentication and authorization.
patientöversikt över landsgränser. Den nationella kontaktpunkten måste mappa befintlig information så att den överensstämmer med definitionerna i Master Value Sets Catalouge.21
Vad gäller läkemedel, som är det som beskrivits i utredningens delbetänkande, används exempelvis ACT-kod som kodverk för aktiv substans, i kombination med en beskrivning i fritext av läkemedlets aktiva substans när ATC-koden inte ger en fullständig beskrivning av ingående substanser. För läkemedelsform används standarder från European Directorate for the Quality of Medicines and Health Care. För styrka används ett system för måttenheter kallat Unified Code for Units of Measure. Informationen om ett läkemedel kan i dag variera i viss mån mellan olika länder beroende på till exempel hur läkemedlet har godkänts. Tjänsten påverkas av dess tekniska utformning, de nationella förutsättningarna för läkemedelsinformation, förutsättningarna för de aktuella kodverken och övriga tekniska villkor. Tjänsten anpassas efter rådande förutsättningar. Det pågår ett arbete med att i EU genomföra en mer detaljerad standard för identifiering av läkemedel som kallas Identification of Medicinal Products (IDMP), som kommer att underlätta identifieringen av läkemedel framöver.
8.1.4. Kraven på överenskomna informationsmängder
I tjänsten behandlas de personuppgifter om patienten och den vårdgivande hälso- och sjukvårdspersonal som behövs för att överföra patientöversikten. Informationsflödet utgår från de informationsmängder för patientöversikter som Nätverket för e-hälsa kommit överens om.22Informationen översätts via kodverk när den överförs från land A till land B.
Uppgifter om patienten behövs för att identifiera patienten. Personuppgifter om hälso- och sjukvårdspersonalen ska göra det möjligt att identifiera behörig hälso- och sjukvårdspersonal, samt kunna kontakta dem vid behov. Loggning av frågor och svar används bl.a. för kvalitetssäkring, felsökning och spårbarhet. Vissa personuppgifter behandlas för uppföljning, inklusive tillsyn.
21 eHDSI. Master Value Sets Catalouge. 22 Informationsmängderna utgår bl.a. från patientrörlighetsdirektivet, genomförandedirektivet 2012/52/EU som har utvecklats inom Nätverket för e-hälsa, nätverkets krav och riktlinjer, samt användningen av olika standarder och överenskomna kodverk.
Nedan redogörs för de överenskomna informationsmängder som är avsedda att överföras i tjänsten patientöversikt över landsgränser.23Vissa uppgifter är obligatoriska och ska anges (nedan i fetstil). Det finns även utökade informationsmängder, det vill säga uppgifter som är frivilliga att ange vid behov. De flesta av dessa informationsmängder är inte obligatoriska utifrån bedömningen att även en ofullständig patientöversikt kan vara till nytta för vårdpersonalenen vid ett vårdtillfälle.
Det är också svårt att göra en helt rättvisande och uttömmande uppräkning av flera skäl, till exempel eftersom vissa uppgifter kan anges på olika sätt och detaljeringsnivå. Utredningen har översatt begreppen från engelska och i vissa fall inte funnit svenska motsvarigheter. Informationsutbytet är ett pågående arbete och informationsmängderna kan komma att ändras. Utöver de uppgifter som räknas upp nedan ska uppgifter om registerhållaren och viss annan metadata också skickas.
Administrativa uppgifter grundläggande datamängd
Rörande patienten:
- Nationell unik personlig identifierare
- Fullständigt namn
- Födelsedatum
- Kön.
Rörande patientöversikten:
- Namn på land A
- Datum då översikten skapades och senast uppdaterades
- Uppgift om patientöversikten genererats maskinellt, manuellt eller en kombination av dessa.
23 Redogörelsen i detta avsnitt baseras främst på E-hälsomyndighetens sammanställning av informationsmängderna enligt eHDSI:s specifikation.
Följande information tillhör den grundläggande datamängden och ska alltid anges. Saknas informationen ska upplysning ges om varför.
- Kontaktuppgifter till vårdgivaren i hemlandet
- Information om hur patientöversikten har ställts samman, antingen manuellt av en hälso- och sjukvårdspersonal eller automatiskt.
- Uppgift om minst en juridisk person som är ansvarig för informationen.
Administrativa uppgifter utvidgad datamängd
Dessa uppgifter är inte obligatoriska. Fälten lämnas tomma om uppgiften saknas.
- Kontaktinformation för patienten
- Kontaktuppgifter till vårdnadshavare eller förmyndare
- Försäkringsuppgifter.
Kliniska uppgifter grundläggande datamängd
Uppgifter i den grundläggande datamängden är obligatoriska och ska alltid anges. Om värde saknas ska upplysning ges om varför.
- Information om uppmärksamhetssignaler
- Lista med aktuella diagnoser och hälsoproblem
- Medicintekniska produkter (patientens implantat, protes, pacemaker etc.)
- Större kirurgiska ingrepp utförda de senaste sex månaderna
- Redovisning av aktuell läkemedelsbehandling.
Kliniska uppgifter utvidgad datamängd
Dessa uppgifter är inte obligatoriska. Fälten lämnas tomma om uppgiften saknas.
- Patientens sjukvårdshistoria utifrån följande aspekter:
– Uppgift om vaccinationer – Lista på diagnoser som bedöms som inte längre aktuella – Kirurgiska ingrepp utförda tidigare än sex månader tillbaka – Kontaktuppgifter till vårdnadshavare eller förmyndare.
- Övriga uppgifter som kan ingå:
– Behandlingsrekommendationer, t.ex. utifrån aktuell vårdplan – Uppgifter om levnadsvanor, t.ex. rökning, kostvanor, alkoholkonsumtion. Med tidsangivelse för när dessa var aktuella. – Uppgifter om funktionshinder och invaliditet. – Värde för blodtryck och när mätning gjordes. – Värdet för bestämning av blodgrupp med tidpunkt. – Förväntat datum för nedkomst vid graviditet.
8.1.5. Ansvaret för personuppgifter inom Nätverket för e-hälsa
Enligt Kommissionens genomförandebeslut (EU) 2019/1765 av den 22 oktober 2019 om regler för inrättande, förvaltning och drift av ett nätverk av nationella myndigheter med ansvar före-hälsa och om upphävande av genomförandebeslut 2011/890/EU ska medlemsländerna och deras utsedda företrädare betraktas som personuppgiftsansvariga för de personuppgifter som de behandlar genom MinHälsa@EU (eHDSI) och ska fördela ansvarsområdena mellan sig på ett tydligt och transparent sätt (artikel 7.1). De bör tillsammans fastställa syftet med och metoderna för behandling av personuppgifter genom MinHälsa@EU (eHDSI), därför är de personuppgiftsansvariga. De personuppgiftsansvarigas respektive ansvarsområde bör definieras separat (skäl 20). Kommissionen ska betraktas som personuppgiftsbiträde för patienters personuppgifter som behandlas genom infrastrukturen MinHälsa@EU (eHDSI) enligt artikel 7.2. I artikel 28 i EU:s dataskyddsförordning och i artikel 29 i förordning (EU) 2018/1725 fastställs att när uppgifter behandlas av ett personuppgiftsbiträde ska behandlingen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella
rätt som är bindande för personuppgiftsbiträdet med avseende på den personuppgiftsansvarige och som specificerar behandlingen. I detta beslut fastställs regler för kommissionens behandling i egenskap av personuppgiftsbiträde. Personuppgiftsbiträdesavtalet finns i bilagan till genomförandebeslutet och innebär bland annat att kommissionen ska förvalta kärntjänsterna i eHDSI och fullgöra sina skyldigheter som personuppgiftsbiträde. Kommissionen ska inte ha tillgång till personuppgifter om patienter som behandlas genom infrastrukturen i e-hälsotjänsterna, utan ska behandla krypterade personuppgifter för medlemsländernas räkning mellan de nationella kontaktpunkterna för e-hälsa.
8.1.6. Behandlingen av personuppgifter
Medlemsländerna ansvarar för att behandlingen av personuppgifter följer dataskyddsförordningen. De aktörer som kommer att behandla personuppgifter i informationsutbytet om patientöversikter över landsgränser är bl.a. hälso- och sjukvårdspersonal i land A, registerhållare, de nationella kontaktpunkterna för e-hälsa i land A och land B, behandlande hälso- och sjukvårdspersonal i land B, kommissionen som är personuppgiftsbiträde, samt andra relevanta aktörer, t.ex. tillsynsmyndigheter i land A och land B.
Personuppgifterna i processen kommer att behandlas främst genom insamlande, sammanställning, överföring, översättning och bevarande. Hälso- och sjukvårdspersonalen i land A kommer att samla in uppgifter vid behandlingen av en patient och vid förskrivning av läkemedel. Kontaktpunkterna för e-hälsa kommer att överföra uppgifter till och från hälso- och sjukvården och mellan sig, bevara vissa uppgifter för spårbarhet som tillexempel loggar. Kommissionen kommer bara att överföra krypterade uppgifter.
Hanteringen skiljer sig åt om Sverige är land A eller land B. När Sverige är land A handlar det om att Sveriges nationella kontaktpunkt för e-hälsa, E-hälsomyndigheten, tillgängliggör uppgifter från olika informationskällor i Sverige. Dessa personuppgifter behandlas genom att de sammanställs, översätts och förmedlas till en utländsk kontaktpunkt för e-hälsa för vidarebefordran till den frågeställande hälso- och sjukvårdspersonalen i ett annat EES-land.
När Sverige är land B kommer uppgifter att lämnas från kontaktpunkten i land A till E-hälsomyndigheten som förmedlar informationen till den hälso- och sjukvårdspersonal som efterfrågat patientöversikten.
Av säkerhetsskäl och för att kunna genomföra en patientsäker överföring av en patientöversikt krävs spårbarhet. E-hälsomyndigheten och övriga kontaktpunkter för e-hälsa ska föra logg över de anrop som sker och den behandling som genomförs. Loggningen ska sparas hos E-hälsomyndigheten och syftar till att säkerställa krav på spårbarhet, kvalitet och säkerhet för att möjliggöra tillsyn, uppföljning och felsökning vid behov. Syftet är också att kontrollera efterlevnad av åtkomst.
Fråga om gemensamt personuppgiftsansvar
Om och i vilken omfattning det finns ett gemensamt personuppgiftsansvar för de personuppgifter som behandlas genom MinHälsa@EU (eHDSI) hos deltagande medlemsländer är under diskussion. eHMSEG Legal Work Group har även frågat Europeiska dataskyddsstyrelsen om detta och beskrev då att de deltagande länderna har konsulterat respektive lands tillsynsmyndighet som inte hittat någon gemensam hållning. Europeiska dataskyddsstyrelsen svarade att det är för de aktörer som behandlar personuppgifter att bestämma om det är ett gemensamt eller ensamt personuppgiftsansvar för behandlingen, enligt ansvarsprincipen i artikel 5.2 i dataskyddsförordningen.24 Europeiska dataskyddsstyrelsen uttalade sig alltså inte om hur frågan om personuppgiftsansvaret ska bedömas. Utredningen utgår därför från att varje medlemsland anses ensamt personuppgiftsansvarig för respektive del av behandlingen.
8.1.7. Informationssäkerhet i tjänsterna e-recept och patientöversikt över landsgränser
För överföring i TESTA krävs att E-hälsomyndigheten är ansluten till Swedish Government Secure Intranet (SGSI) för säker och krypterad kommunikation mellan myndigheter i Sverige och i Europa.
24 Brev från Europeiska dataskyddstyrelsen till eHMSEG Legal Work Group, Bryssel, (2021-06-30), ref OUT2021-0115.
Myndigheten för samhällsskydd och beredskap är systemägare för SGSI. För att skapa tillit i tjänsten har man inom Nätverket för e-hälsa kommit överens om bl.a. följande
- ett e-hälsoavtal som anger krav på bland annat kontaktpunkterna för e-hälsa och kriterier för deltagande i informationsutbytet,
- att e-hälsoavtalet ställer krav på en säkerhetsnivå i fråga om inbyggt dataskydd och dataskydd som standard, sekretess, integritet, autenticitet, tillgänglighet, oförnekbarhet, kryptering och andra åtgärder för datasäkerhet och kontrollmekanismer i enlighet med dataskyddsförordningen och eIDAS-förordningen,
- att e-hälsoavtalet kräver identifiering och autentisering av hälso- och sjukvårdspersonal och att endast sådan behörig personal i land B kan få del av uppgifter om patientens hälsa,
- att informationen ska gå i de säkra nätverken SGSI/TESTA,
- gemensamma tester,
- en kvalitetsgranskning ledd av kommissionen som involverar stora delar av de nationella kontaktpunkterna för e-hälsas processer och kvalitetsarbete, och
- att Nätverket för e-hälsa godkänner anslutning till tjänsten för de medlemsländer som vill delta.
Det finns även andra regelverk som skulle kunna bedömas tillämpliga för den nationella infrastrukturen i tjänsten till exempel reglerna för ett nationellt medicinskt informationssystem i Läkemedelsverkets föreskrift (LVFS 2014:7) om tillämpning av lagen om medicintekniska produkter på nationella medicinska informationssystem eller EU:s regelverk för medicintekniska produkter.
8.2. Informationsflödet i tjänsten
I detta stycke beskrivs informationsflödet i tjänsten patientöversikter samt de moment som ingår för att möjliggöra utbytet enligt de krav som ställs av Nätverket för e-hälsa. Övergripande inleds informationsflödet med att en patient från land A söker vård. Behörig hälso- och sjukvårdspersonal i land B ställer en fråga till land A
om en patientöversikt för patienten. Denna förfrågan går till land B:s nationella kontaktpunkt för e-hälsa vidare till land A:s nationella kontaktpunkt för e-hälsa. Informationen inhämtas från aktuella system i land A och skickas via land A:s till land B:s nationella kontaktpunkter för e-hälsa tillbaka till den frågeställande hälso- och sjukvårdspersonalen i land B. Detta beskrivs mer utförligt nedan.
Två situationer är aktuella, dels att Sverige kommer att vara land A när svenska patientöversikter förmedlas till andra länder inom EES, dels att Sverige kommer att vara land B när patientöversikter från andra länder inom EES begärs av svensk hälso- och sjukvårdspersonal, se figur 8.1 och figur 8.2. Antalet informationskällor i figur 8.1. kan vara färre eller mångfalt fler beroende på var informationen hämtas.
Figur 8.1 Informationsflödet för tjänsten patientöversikt inom EES med Sverige som Land A
Källa: Utredningens eget material.
Figur 8.2 Informationsflödet för tjänsten patientöversikt inom EES med Sverige som Land B
Källa: Utredningens eget material.
8.2.1. Översikt av tjänsten patientöversikt inom EES
Informationen om patientens identitet, hälsa och vård samt hälso- och sjukvårdspersonalens identitet, roll och behörighet, eventuella samtycken och slutligen själva patientöversikten ska utväxlas stegvis mellan vårdgivaren i land B, kontaktpunkten för e-hälsa i land B, kontaktpunkten för e-hälsa i land A och tillbaka genom ett antal frågor och svar. För varje meddelande skickas utöver själva förfrågan om information även viss information och metadata om vem som gör anropet, till exempel namn och roll för den som gör anropet samt signatur för anropande nationell kontaktpunkt, inklusive landskod. Sådan information skickas i varje informationssteg. Frågor och svar följer fastställda format och bygger på Nätverket för e-hälsas krav på information. Information och metadata i meddelandet loggas för kvalitetssäkring, felsökning och spårbarhet. Stegen som innefattas redogörs för nedan.
Kontakt med vård- och omsorgspersonal i land A
Processen inleds med att patienten identifierar sig och lämnar uppgifter om sin hälsa till en behörig vård- och omsorgspersonal i land A. Vårdgivaren gör olika iakttagelser om patientens hälsa, beställer eventuella kompletterande undersökningar och/eller ordinerar ett läkemedel och utfärdar ett (e-)recept. Vårdgivaren behandlar känsliga personuppgifter om patienten samt personuppgifter om sig själv. Hälsodata registreras i land A:s (olika) register. Patienten och vårdgivaren kan få information om tjänsten på olika sätt. Patienten lämnar sitt samtycke till att en patientöversikt kan delges land B i framtiden.
Hälso- och sjukvården i land B uppsöks
Tjänsten aktiveras när patienten uppsöker hälso- och sjukvården i land B. Hälso- och sjukvårdspersonalen skickar en förfrågan om en patientöversikt till land A genom den nationella kontaktpunkten för e-hälsa i land B till den i land A. Land A kan kräva att patienten ska lämna samtycke för att personuppgifterna i patientöversikten ska få överföras från land A till land B. Även land B kan kräva att patienten ska lämna sitt samtycke till att uppgifterna hämtas från land A för
att patientöversikten ska få inhämtas. Patienten ska få information från den personuppgiftsansvarige om hur personuppgifterna kommer att behandlas enligt artikel 13 och 14 i dataskyddsförordningen. Det finns en gemensamt framtagen modell för sådan information till patienter (PIN). Kommissionen arbetar för närvarande med att ta fram en uppdaterad modell.
Identifiera roll, behörighet och behandlingsrelation för hälso- och sjukvårdspersonal
Informationsutbytet inleds med att behandlande hälso- och sjukvårdspersonal i land B identifieras, och autentiserad av den nationella infrastrukturen i land B. För tjänsten PS krävs tvåfaktorsautentisering.25 Från land B skickas uppgifter om hälso- och sjukvårdspersonalen, vilka Health Authorities Institutions, och/eller Vårdgivare som säkerställt identifikation och autentisering samt uppgifter om vårdmottagningen. Hälso- och sjukvårdspersonalen måste vara behörig att tillhandahålla hälso- och sjukvård. I land B behöver därför uppgifter om status, funktion, roll och autentisering säkerställas.
Identifiera patienten
Patienten ska identifieras i tjänsten patientöversikt inom EES för att överföringen av patientöversikten ska kunna göras.26 Av kraven på tjänsten framgår att patienten måste visa upp en godkänd identitetshandling med bild och demografiska uppgifter samt att hälso- och sjukvårdspersonalen måste bekräfta att patienten är den som den utger sig för att vara.27 Land A ska bestämma vilken unik personlig identifierare för patienten som ska användas för att identifiera och koppla patienten till i landet aktuella register för informationsinhämtning av administrativa data och hälsodata. Det kan till exempel vara ett nationellt eller regionalt id-kortsnummer, passnummer eller socialförsäkringsnummer. Land A ska även ange vilka identitetshand-
25 eHDSI. Requirement catalouge. Avsnitt 01. Ensure Health Professional Identification, authentication and authorization.
26
eHDSI Functional requirements, 02.01. Uniquely identify the Patient och 02.01.01. Identification and authentication of a patient with demographic data.
27 MyHealth@EU.. Requirement catalouge. Avsnitt 02.01. Uniquely identify the patient.
lingar som patienten ska använda. Identitetshandlingen ska innehålla patientens unika identifierare
Vid vårdtillfället ansvarar land A och land B gemensamt för att identifiera patienten. Hälso- och sjukvårdspersonalen i land B granskar patientens identitetshandling och för in uppgiften om den unika personliga identifieraren som skickas till land A för kontroll. Land A svarar med demografiska uppgifter om patienten, till exempel namn, unik identifierare och födelsedatum och uppgift om land, så att hälso- och sjukvårdspersonalen kan jämföra uppgifterna med de som finns på den uppvisade identitetshandlingen. Vilka demografiska uppgifter som uppges fastställs av land A.
Kontrollera samtycke
Av kraven på tjänsten patientöversikter framgår att den nationella kontaktpunkten för e-hälsa måste analysera och identifiera laglig grund för behandlingen av personuppgifter för alla som kommer behöva behandla dem. I analysen ska även EU:s dataskyddsförordning och övrig berörd nationell- eller EU-lagstiftning tas i beaktande.28I det fall den nationella regleringen avseende rättslig grund innefattar eller baseras på samtycke ska den nationella kontaktpunkten för ehälsa säkerställa giltighet för och ett bevis på patientens samtycke.29
Överföra patientöversikten
Land A:s nationella kontaktpunkt sammanställer patientöversikten och överför denna till land B:s nationella kontaktpunkt som överför den till den frågeställande hälso- och sjukvårdspersonalen i land B.
Det krävs en nationell infrastruktur för att E-hälsomyndigheten som kontaktpunkt för e-hälsa ska kunna förmedla information mellan den utländska kontaktpunkten för e-hälsa, och den frågeställande hälso- och sjukvårdspersonalen i Sverige. Informationen mellan de nationella kontaktpunkterna för e-hälsa förmedlas genom en infrastruktur, Trans European Services for Telematics between Adminis-
28 eHDSI. Requirement catalouge. 04. Ensure lawful processing of personal and health data. s. 91. 29 eHDSI. Requirement catalouge. 04.01. Identify the applicable legal basis for processing personal and health data within eHDSI. s. 94.
trations (TESTA), som kommissionen ansvarar för, se vidare nästa avsnitt.
8.2.2. Infrastrukturen för e-hälsotjänster
Infrastrukturen mellan länderna baseras på ett pilotprojekt som kallades Smart Open Services for European Patients, epSOS, som pågick mellan åren 2008–2014 för utbyte av information om patientöversikter och e-recept. Projektet syftade till att utveckla och utvärdera en infrastruktur för gränsöverskridande interoperabilitet mellan system för elektronisk patientinformation.
Kommissionen tar tillsammans med medlemsländerna fram eHDSI som består av sådana kärntjänster och bastjänster som avses i förordningen 283/2014 om riktlinjer för transeuropeiska nät på området för telekommunikationsinfrastruktur.30 Förenklat ska kommissionen ansvara för kärntjänsten, det säkra nätverket TESTA. De nationella kontaktpunkterna för e-hälsa ansvarar för bastjänsterna som kopplar samman den nationella infrastrukturen.31
8.3. Information till patient samt hälso- och sjukvårdspersonal
För en effektiv och patientsäker process behövs tillgänglig information om förutsättningarna för tjänsten, till exempel genom de nationella kontaktpunkterna och de relevanta nationella myndigheterna och organisationerna. På kommissionens webbplats finns information riktad både till invånare och hälso- och sjukvårdspersonal.32Varje medlemsland ska också publicera landets förutsättningar för tjänsten, hur personuppgifter behandlas och vem som är personuppgiftsansvarig. På så sätt ska den registrerade få möjlighet att få en samlad information på sitt eget språk om personuppgiftsbehand-
30 Europaparlamentets och rådets förordning 283/2014 av den 11 mars 2014 om riktlinjer för transeuropeiska nät på området för telekommunikationsinfrastruktur och om upphävande av beslut nr 1336/97/EG. Förordningen har upphävts genom Europaparlamentets och rådets förordning (EU) 2021/1153 av den 7 juli 2021 om inrättande av Fonden för ett sammanlänkat Europa och om upphävande av förordningarna (EU) nr 1316/2013 och (EU) nr 283/2014. 31 Skäl 7 och artikel 6.1 d i genomförandebeslutet. 32 ”MyHealth@EU” – Flyer addressed to patients and health professionals | Folkhälsa (europa.eu) (h ämtad 2021-12-09).
lingen hos de olika aktörer som är inblandade i processen med patientöversikt över landsgränser.
Ditt Europa/Your Europe är en del av den gemensamma digitala ingången och innehåller information om individers rättigheter när de reser, bor arbetar, pensionerar sig eller studerar i ett annat EU-land. Aktuella myndigheter och andra aktörer ansvarar för att informationen uppfyller webbtillgänglighetsdirektivet och SDG-förordningens krav.
Inom Nätverket för e-hälsa har man tagit fram en mall för den s.k. Patient Information Notice (PIN) som syftar till att uppfylla kraven på information om behandling av personuppgifter som ska lämnas till patienten enligt artikel 13 och 14 i dataskyddsförordningen. PIN ska lämnas senast i samband med personuppgiftsbehandlingen. Motsvarande mall för information till hälso- och sjukvårdspersonal har Nätverket för e-hälsa också tagit fram, s.k. Healthcare Professional Information Notice (HPIN). Informationen i mallen får anpassas efter respektive lands lagstiftning.
8.4. Pågående utvecklingsarbeten
Tjänsten patientöversikt över landsgränser är utformad av medlemsländerna inom ramen för Nätverket för e-hälsa, baserat på patientrörlighetsdirektivet och nätverkets krav. Tjänsten utgår i dag från de användningsfall medlemsländerna kommit överens om, men kan utvecklas över tid med nya användningsfall eller funktionaliteter. Detta framkommer även av e-hälsoavtalet. Innehållet i tjänsten är standardiserat och består av administrativ respektive klinisk information där varje typ av information består av en grundläggande obligatorisk datamängd samt en utökad datamängd med ytterligare frivilliga uppgifter. De flesta av de informationsmängder som ingår i patientöversikten är inte obligatoriska. Många länder har i nuläget inte möjlighet att leverera all information som specificeras. All information i patientöversikten ska också överföras på originalspråk i form av ett pdfdokument. För ett antal variabler anges också vilket kodverk som förordas. För landskoder förordas till exempel användningen av ISO 3166, där Sverige har landskoden SE.
Ytterligare områden för utbyte av hälsodata inom EU med koppling till patientöversikten men inte begränsat till denna är för närvarande under utveckling inom EU.
I februari 2019 gav kommissionen ut en rekommendation för ett överföringsformat av elektroniska patientjournaler, kallat European Electronic Health Record Exchange Format (eHRxF). För att driva arbetet framåt och skapa de nödvändiga specifikationerna för överföringsformatet bedrivs arbetet i projektform genom EU-konsortiet X-eHealth, med finansiering från Horizon 2020. Sammanlagt 47 hälsoaktörer från 22 europeiska länder samverkar i syfte att vidareutveckla utbytet av hälsodata genom att fokusera på följande informationsmängder:
- Medicinsk bild
- Utskrivningsbrev (discharge letter)
- Laboratorieresultat
- Patientsammanfattning vid sällsynta diagnoser.
Även om X-eHealth är inriktat på gränsöverskridande utbyte av information kan överföringsformatet även användas inom ett medlemsland. Projektet påbörjades under hösten 2020 och gick under två år. Projektet är nu avslutat och har levererat bland annat vägledningar som förberedelse för implementering på nationell nivå av det europeiska utbytesformatet för vårddata (EEHRxF).33
33 X-eHealth (2022). Exchanging Electronic Health Records in a common framework.
9. Internationell utblick
I skrivande stund deltar nio länder i tjänsten patientöversikt inom EES och fler planerar ett införande inom de närmaste åren. Detta kapitel inleds med en översikt över gällande tidsplan för införandet av tjänsten patientöversikt inom EES och statistik över användning av tjänsten. Därefter sammanfattar utredningen genomförandet av tjänsten samt erfarenheter av och eventuella lärdomar från implementeringen från fem länder som i dag utbyter patientöversikter som både land A och B. Informationen kommer från svar på frågor som utredningen skickat till den eller de som representerar landet i eHealth Member State Expert Group (eHMSEG), medlemsländernas expertgrupp för e-hälsa där de nationella kontaktpunkterna finns representerade. Gruppens huvudsyfte är att definiera och besluta om genomförandet av gränsöverskridande e-hälsotjänster på en mer operativ nivå.
9.1. Införandet av patientöversikt inom ESS
För närvarande deltar 9 av 29 länder (27 EU-medlemsländer samt Island och Norge) i utbytet av patientöversikter. Ytterligare 15 länder har fått finansiellt bidrag och planerar att delta fram till och med 2025, se tabell 9.1. Informationen nedan är främst hämtad från den webbplats där alla länder ska beskriva förutsättningarna för informationsutbytet avseende patientöversikter över landsgränser i respektive land.
Tabell 9.1 Överblick över länder som infört eller planerar ett införande av tjänsten patientöversikter inom EES samt när i tid
Medlemsstat
Deltar 2023 2024 2025
Kroatien
A & B
Tjeckien
A & B
Luxemburg
A & B
Malta
A & B
Portugal
A & B
Spanien
A & B
Estland
A & B
Frankrike
B
Nederländerna
A
Cypern
A & B
Grekland
A & B
Irland
A & B
Lettland
A & B
Slovenien
A & B
Finland
A
B
Ungern
B
Bulgarien
A & B
Italien
A & B
Litauen
A & B
Tyskland
B
Norge
B
Danmark
A & B
Island
A & B
Källa: MyHealth@EU, (2023).
Tabell 9.1 visar en översikt över vilket år som respektive land har infört eller ska införa tjänsten patientöversikter inom EES under perioden 2023–2025. Det pågår för närvarande en utlysning om medfinansiering där ansökningar ska vara inskickade senast den 28 februari 2023. Förväntan är att återstående sex länder (Belgien, Polen, Rumänien, Slovakien, Sverige och Österrike) ska ansöka med målet att delta senast 2026 och att länder som inte deltar som både land A och B ska utöka sitt deltagande.
9.2. Utbyte av e-recept och patientöversikter inom EES
Länder som implementerat någon av tjänsterna för e-recept eller patientöversikter över landsgränser ska löpande rapportera in statistik över tjänstens implementation och användning. Som framgår av statistiken i tabell 9.1 och tabell 9.2 är tjänsterna i implementeringsfas där allt fler länder ansluter sig och allt fler invånare ges möjligheten att kunna nyttja tjänsterna. Som framgår i tabell 9.2. nedan utbyts i dagsläget e-recept mer frekvent än patientöversikter.
Tabell 9.2 Statistik över implementation och användning av tjänsterna e-recept och patientöversikt inom EES
2020 2021
2022
Antal länder som implementerat tjänsterna (Q1 vs Q4)
7 7(Q1)–9(Q4) 10(Q1)–11(Q4)
Antal utbytta e-recept
25 872 32 644
43 826
Antal apotek som kan ta emot e-recept från utlandet (land B)
819 24 981
42 204
Andel (%) apotek som kan ta emot e-recept från utlandet (land B)
–
80
73,57
Antalutbytta patientöversikter
422
488
190
Antal sjukhus som kan ta emot patientöversikter (land B)
1 3 207
3 282
Andel (%) sjukhus som kan ta emot patientöversikt (land B)
– 61,17
58,10
Antal övriga vårdmottagningar som kan ta emot patientöversikter (land B)
– 166 453
168 251
Andel (%) av övriga vårdmottagningar som kan ta emot patientöversikter (land B)
–
100
74,63
Antal invånare som har möjlighet att nyttja tjänsterna
– 5 749 635 58 796 682
Antal invånare som har nyttjat tjänsten patientöversikt
–
3
17
Källa: MyHealth@EU – Monitoring Framework (KPIs), (2023).
9.3. Andra länders användning och erfarenhet av tjänsten patientöversikter inom EES
Utredningen har skickat enkäter till de sju länder som implementerat tjänsten patientöversikte inom EESr som både land A och land B med frågor om infrastruktur, ansvarsfördelning, erfarenheter och lärdomar från implementationsarbetet och driften av tjänsten med mera. Svaren redovisas nedan för de fem länder som svarat på enkäten.
9.3.1. Estland
I Estland finns tjänster för såväl patientöversikter inom landet som för den gränsöverskridande tjänsten med patientöversikter inom EES. Uppgifter om patientens hälsa och vård hämtas från registret
Estonian National Health Information System (ENHIS). Registret
ENHIS upprättades 2009. Patienter som har medicinska data sedan 2009 kommer därigenom ha medicinska data i sin patientöversikt. Information om läkemedel tas från the Prescription Centre. Uppgifterna hämtas automatiskt när en begäran om en patientöversikt inkommer. Prescription Centre förvaltas av Health Insurance Fund. ENHIS förvaltas av Health and Welfare Information Systems Centre (TEHIK). TEHIK grundades 1 januari 2017 i samband med att det tidigare Information and Communications Technology Department på Estlands motsvarighet till Socialdepartementet (Ministry of Social Affairs) och the Estonian eHealth Foundation slogs samman. I dag är TEHIK den aktör som skapar nya e-tjänster åt Socialdepartementet, Social Insurance Board, Health Insurance Fund, Health Board, the National Institute for Health Development, the Agency of Medicines, the Labour Inspectorate, Astangu Vocational Rehabiltation Center och the Commissioner för Equal Opportunities. TEHIK samarbetar också med vårdgivare, med vilka de behöver säkerställa informationsutbytet inom informationssystem inom hälso- och sjukvården.
Data utbyts mellan register genom the X-tee (X-Road) som är ett nationellt lager för datautbyte som förvaltas av Estonian Information System Authority.
Alla vårdgivare i Estland måste sedan 2009 enligt lag skicka medicinska data till ENHIS. Tandläkare omfattas inte av detta krav.
I lagen framgår vilka uppgifter som måste delas. Dessa uppgifter används bland annat för patientöversikter.
All hälso- och sjukvårdspersonal enligt definitionen i estniska regelverk (läkare, tandläkare, sjuksköterskor och barnmorskor) som arbetar hos en vårdgivare med giltigt tillstånd kan ta del av utländska patientöversikter. Patientöversikter från utlandet är tillgängliga för hälso- och sjukvårdspersonal genom en separat portal som tillhandahålls av TEHIK.
I dagsläget kan inte patienter ta del av den av information om sin hälsa och vård som finns i patientöversikter från utlandet. Den data som samlas in till den nationella patientöversikten är emellertid tillgänglig för patienten genom den nationella tjänsten ”Patient Portal” och återfinns i olika medicinska dokument från hälso- och sjukvården. Det har diskuterats om även patienten i framtiden ska kunna ta del av sin patientöversikt för att få en bättre översikt över vilken information som inkluderas däri och uppger att det kan komma att utvecklas i framtiden.
Samtycke från patienten krävs inte enligt lag för att hälso- och sjukvårdspersonal i ett annat EES-land ska få tillgång till patientöversikter från Estland. Patienten kan emellertid signera ett digitalt statement of intent i ”Patient Portal” för att neka tillgång (opt out). Önskar patienten att uppgifterna ska bli tillgängliga för tjänsten igen kan han eller hon ändra ställningstagandet. Ett muntligt samtycke krävs från en utländsk patient innan hälso- och sjukvårdspersonalen kan skicka en begäran om patientöversikten från patientens försäkringsland.
Barn omfattas av det nationella utbytet av uppgifter om hälsa och vård och den internationella tjänsten. Huruvida ett barns patientöversikt går att tillgå i ett annat EES-land beror emellertid på hur det landets regelverk ser ut. Om ett barn från ett annat land besöker vården i Estland krävs ett muntligt samtycke från barnets vårdnadshavare för att en begäran om patientöversikten ska kunna skickas.
Det finns inte i dagsläget något digitalt sätt för patienten att identifieras sig. Identitetshandlingar som godtas är officiella identitetshandlingar med ett foto. För utländska patienter accepteras den identitetshandling som land A bestämt, i enlighet med ställda krav.
Hälso- och sjukvårdspersonal identifierar sig digitalt för att kunna logga in i den portal som utvecklats för tjänsten patientöversikter inom EES. Efter identifikation kontrolleras behörighet i det nationella registret över hälso- och sjukvårdspersonal. Vidare kontrolleras
om personen arbetar hos en vårdgivare och huruvida vårdgivaren har ett giltigt tillstånd. Samma infrastruktur för identifikation, autentisering och auktorisation används vid tillgång till såväl nationella som internationella patientöversikter.
I sina svar uppger representanterna för Estland att den mest utmanande delen av implementationen av tjänsten var den semantiska aspekten. Den data som finns på nationell nivå är inte strukturerad i alla delar vilket gör att viss information inte kan föras in i PS. Det innebar ett stort arbete med mappning av befintliga data för att möjliggöra en automatisk generering av patientöversikten. De uppger att utmaningar kvarstår nationellt för att förbättra datakvaliteten och tillgången till strukturerade och kodade data. Det framgår vidare att implementationen av tjänsten inte krävde många diskussioner och beslut eftersom datakällan redan var i bruk och det fanns en nationell infrastruktur för informationsutbyte.
9.3.2. Tjeckien
I Tjeckien finns tjänster för såväl patientöversikter inom landet som för den gränsöverskridande tjänsten med patientöversikter. Tjeckien saknar en central informationskälla för patientöversikterna. I stället utgör enskilda sjukhus huvudsaklig datakälla för tjänsten patientöversikter inom EES. Sjukhusen administrerar uppgifterna om patientens hälsa och vård. För att dela uppgifter med den nationella kontaktpunkten är sjukhusen antingen anslutna till den nationella kontaktpunkten via publicerade API:er eller delar data genom den utbytesplattform som är knuten till den nationella kontaktpunkten. Endast de sjukhus som är anslutna till kontaktpunkten via plattformen eller API:er kan i dag tillgängliggöra data till tjänsten patientöversikter inom EES.
Infrastrukturen som gör data tillgänglig för patientöversikter samt infrastrukturen som gör patientöversikter tillgängliga förvaltas av Ministry of Health.
Alla vårdgivare kan ta del av patientöversikterna genom den nationella kontaktpunktens ”B-portal”. Sjukhusen möjliggör vanligtvis tillgång för anställda läkare genom sjukhusets anslutna informationssystem. Även patienter kan ta del av sin patientöversikt genom tjänsten ”Citizen Portal”.
Inget samtycke krävs av patienten för att hälso- och sjukvårdspersonal från ett annat EES-land ska kunna ta del av tjeckiska invånares patientöversikt. På motsvarande sätt krävs inte heller en utländsk patients samtycke när hälso- och sjukvårdspersonal i Tjeckien önskar ta del av dess patientöversikt.
Patienten kan i linje med tjänstens krav identifiera sig med en officiell identitetshandling. Tjeckiska patienter kan identifiera sig digitalt för att få tillgång till sin patientöversikt i ”Citizen Portal”, de kan emellertid inte identifiera sig digitalt på vårdmottagningen.
Hälso- och sjukvårdspersonal använder sin digitala identitet för identifikation och autentisering genom the National Identity Authority. Auktorisering sker med hjälp av uppgifter i the National register of healthcare providers.
Patientöversikter regleras i the Healthcare act no 372/2011 Coll. I lagen framgår att patientöversikterna även kan användas för gränsöverskridande hälso- och sjukvård. Patientöversikter kan sammanställas även för barn.
I svaren till utredningen uppger Tjeckiens representant att det inte fanns nationella patientöversikter innan den internationella tjänsten implementerades. Därför krävdes ny nationell lagstiftning för tillgång till patientöversikter nationellt och över landsgränser. Eftersom patientöversikter generellt är något nytt inom tjeckiska hälso- och sjukvården framgår vidare att den största utmaningen var att nå ut med information om patientöversikters nytta och behovet av datakvalitet och strukturerade och kodade data. Det uppges vidare att deras nuvarande decentraliserade system är komplicerat och ineffektivt, i stället ser representanten att ett mer centraliserat system för patientöversikter hade varit att föredra. En av de viktigaste lärdomarna uppges vara vikten av att marknadsföra de gränsöverskridande tjänsterna och den nationella kontaktpunktens roll till politiker, beslutsfattare, ledningen och läkare. Deras stöd är centralt. Något som var särskilt värdefullt var att inkludera personal från sjukhusen och sjukhusens IT-avdelning i projektteamet vid implementeringen av tjänsten.
9.3.3. Portugal
I Portugal genereras patientöversikter av uppgifter från flera olika informationskällor, huvudsakligen olika register. Ett flertal olika team på Shared Services of the Ministry of Health (SPMS) är ansvariga för datakällorna. SPMS har det huvudsakliga ansvaret över teknisk implementation och drift av så kallade Health information systems som används i Portugals hälso- och sjukvårdssystem. Patientöversikten genereras av en mjukvara kallad RCU2 (Resumo Clínico Único do Utente). Informationen hämtas bland annat genom att datakällorna är direkt eller indirekt integrerade mot RCU2 eller genom särskilda webbgränssnitt. Infrastrukturen förvaltas av SPMS, offentliga sjukhus (inom Portuguese National Health Service) samt Regional Health Administration.
Endast läkare och sjuksköterskor på offentliga sjukhus med
SClinico Hospitalar software systems kan i dag ta del av patientöver-
sikter från andra länder. Denna nås genom tjänsten ”Integrated Clinical View”.
Patienten behöver lämna ett aktivt samtycke för att dess patientöversikt ska kunna delas med andra EES-länder. Detta görs digitalt i patientens ”Personal Area” i National Health Services Portalen.
Patienten identifierar sig med en officiell identitetshandling så som pass. Det saknas möjlighet till digital identifikation. Identifikation, autentisering och auktorisering av hälso- och sjukvårdspersonal sker med hjälp av ett inloggningskort (professional card) och tvåfaktorsautentisering.
Genomförandet av tjänsten patientöversikter inom EES regleras i Portuguese Law 52/2014 of 19th September. Där finns bestämmelser om den nationella kontaktpunktens roll, berörda hälso- och sjukvårdstjänster (healthcare services) och vilka ansvar som de nationella myndigheterna inom sektorn har.
Patientöversikter till utlandet kan inte genereras för barn då Portugal inte tillåter att den tillhandahålls en behörig tredje part så som en vårdnadshavare.
De svar som utredningen fått från representanterna för Portugal angående utmaningar i samband med implementering sammanfattas nedan:
- Organisatoriskt var den största utmaningen att koordinera processer mellan respektive medlemsstats Service Desk samt mellan medlemsstats Service Desk och eHDSIs centrala Service Desk. Detta i avseendena kommunikationsverktyg och procedurer, klassificering, incidenteskalering med mera.
- Legalt var the Data Protection Impact Assessment en utmanande process som tog omfattande tid.
- I tekniska avseende nämns bland annat att uppkopplingen mot
TESTA-nätverket svår att etablera samt att integrationen av gränsöverskridande tjänster och slutanvändarlösningar hos sjukhus och apotek krävde utveckling och implementation av nya komponenter hos den nationella kontaktpunkten för e-hälsa.
- Avseende semantik omnämndes mappningsarbetet som mycket utmanande.
9.3.4. Spanien
I Spanien är varje region, kallad Autonomous Regions, ansvarig för att generera patientöversikten med den information de har lagrade i sina informationssystem. I huvudsak är informationen baserad på data som finns lagrad i informationssystem hos primärvården och sjukhus. Respektive region är ansvarig för förvaltningen av denna data och datakällorna. Hur data tillgängliggörs skiljer sig mellan regionerna men i huvudsak finns två upplägg, antingen tillgängliggörs data i samband med anropet från datakällorna eller så har regionen samlat uppgifter i en så kallad datasjö (eng. datalake). The Ministry of Health är ansvarig för att centralisera informationen och anpassa den till de krav som ställs på tjänsten av EU. De är ansvariga för att underhålla och förvalta den centrala infrastrukturen som knyter samman Spanien med de europeiska systemen. Varje enskild region måste emellertid tillhandahålla infrastruktur som ger tillgång till den relevanta data de har om patienten.
Vem som kan tillgängliggöra information skiljer sig mellan regionerna men oftast är det sjukhus i offentlig regi och offentliga akutvårdsmottagningar. Tillgång till patientöversikter har offentliga sjukhus och offentliga hälsocenter med akutsjukvård.
I dagsläget är inte alla regioner uppkopplade vilket gör att uppgifter från 18 procent av befolkningen är tillgängliga för tjänsten patientöversikter inom EES. I juni 2023 ska enligt plan fler regioner vara anslutna så att uppgifter från >90 procent av befolkningen är tillgängliga för patientöversikter.
Inget samtycke krävs för att utbyta patientöversikter som skapats i Spanien. Patient kan emellertid motsäga sig utbytet. Samtycke krävs inte heller från en utländsk patient för att ta del av deras patientöversikt.
Det finns även en tjänst som samlar och tillgängliggör alla uppgifter om patienten som finns i den region patienten bor. Denna tjänst kallas ”Historia Clínica Digital”.
Patienten identifierar sig med en offentlig identitetshandling med foto. Digital möjlighet till identifiering saknas.
Även för barn kan patientöversikter genereras och utbytas. Tillgång för en vårdnadshavare är emellertid fortfarande en utmaning eftersom Spanien saknar fullt digitaliserade och strukturerade register med den uppgiften.
Identifikation, autentisering och auktorisation av hälso- och sjukvårdspersonal sker genom ett digitalt certifikat som utfärdats av en
eIDAS qualified trust service provider.
Bestämmelserna för att garantera gränsöverskridande vård regleras i the Royal Decree 81/2014, of February 7. Bestämmelser avseende behandling av patienter i spanska vårdmottagningar regleras i Law 41/2002, of November 14. Den lagen innefattar bestämmelser om patientens rättigheter och krav avseende information och klinisk dokumentation.
De svar som utredningen fått från representanten för Spanien angående utmaningar i samband med implementering avser två delar, dels att skapa tillgång till de obligatoriska informationsmängderna från de olika informationssystemen, dels att mappa innehållet till den terminologikatalog som EU tillhandahåller Master Value Catalouge.
9.3.5. Malta
För patientöversikter genererade på Malta används två informationskällor: Electronic Case Summary System (från alla offentliga sjukhus) samt Online Surgical Register. Datakällorna administreras av
Ministry of Health. Tillgång till data ges genom webbtjänster implementerade av Malta’s Government IT agency. Den infrastruktur som ger tillgång till data förvaltas av Ministry of Health.
Information kommer i nuläget enbart från sjukhus. Endast läkare på the Emergency Department at Mater Dei Hospital kan ta del av patientöversikter från andra EES-länder.
Patienter kan ta del av den data som tillgängliggörs till patientöversikten över landsgränser via den nationella patient portalen kallad myHealth.
Electronic Case Summaries existerar för 57 procent av Maltas invånare vilket innebär att det kan genereras en patientöversikt för tjänsten patientöversikter inom EES för motsvarande andel av befolkningen.
Samtycke krävs från patienten för att en patientöversikt ska utbytas över landsgränser. Patienten kan välja vilket land samtycket omfattar men enligt uppgift väljer de flesta alla EES-länder. Samtycket registreras via den nationella portalen myHealth med hjälp av en nationell e-legitimation. Samtycket lagras i myHealth databasen. Patienten kan se och ändra samtycket online, även via mobil, när som den önskar. Samtycke krävs även av utländska patienter vid vårdmottagningen (i nuläget Emergency Department at Mater Dei Hospital). Samtycket registreras och lagras.
Patienten kan identifiera sig med en officiell identitetshandling med foto. Möjligheter till digital identifikation saknas.
Det finns i dagsläget ingen möjlighet för patienten att ta del av sin patientöversikt men i framtiden kommer den möjligheten att erbjudas genom the National Electronic Health Record platform project som håller på att implementeras.
Representanten för Malta uppger att det har krävts omfattande tid och kraft för att erhålla interoperabilitet på alla nivåer (legalt, organisatoriskt, semantiskt och tekniskt). På frågan om något skulle ha gjorts annorlunda om de hade gjort det igen ges svaret att avsätta mer resurser. Vidare uppger de att de olika förhållningssätten och genomförandena i olika EU-länder gör det väldigt svårt att komma överens om ett gemensamt förhållningssätt inom hela EU.
10. Definition av begreppet patientöversikt
10.1. Inledning
Utredningen har i uppdrag att föreslå en definition av begreppet patientöversikt. Det finns i Sverige ingen officiell eller legal definition av patientöversikt. Begreppet saknas i Socialstyrelsens termbank och finns inte heller i den gemensamma författningssamlingen avseende hälso- och sjukvård, socialtjänst, läkemedel och folkhälsa (HSLF-FS). Det framgår av utredningens direktiv att patientöversiktens innehåll kan ändras över tid beroende på till exempel nya medicinska rön, utifrån professionens ändrade behov och uppdrag och på grund av den tekniska utvecklingen. Det är därför önskvärt att en definition av begreppet tas fram och att patientöversiktens innehåll kan ändras över tid.
I detta kapitel presenterar utredningen sina överväganden och förslag avseende en definition av begreppet patientöversikt. Utredningens förslag avseende innehållet i en patientöversikt presenteras i nästföljande kapitel 11. Förslag avseende infrastruktur för att möjliggöra informationsflödet återfinns i kapitel 12.
10.2. Förutsättningar och grundläggande principer
10.2.1. Internationella definitioner av begreppet patientöversikt
Internationellt har såväl Nätverket för e-hälsa som The European Committee for Standardization (CEN) definierat begreppet och innehållet i en patientöversikt. Nätverket för e-hälsa har i riktlinjerna för
tjänsten patientöversikt inom EES definierat tjänsten enligt följande.1
A Patient Summary is an identifiable data set of essential and understandable health information that includes the most important clinical facts required to ensure safe and secure healthcare. This summarized version of the patient’s medical data gives health professionals the essential information they need to provide care.
I samband med att begreppet definieras framhålls att datasetet som utgör patientöversikten är avsett stötta hälso- och sjukvårdspersonal som utför oplanerad vård, men att det även kan användas vid planerad vård. Vidare framhålls att inte all information om patientens hälsa och vård är känd eller tillgänglig vid det tillfälle som patientöversikten skapas.
CEN presenterade i början av 2021 två standarder som definierar variablerna i ett data set som utgör The International Patient Summary, EN 17269:2019 och CEN/TS 17288:2020. Vid framtagningen av EN 17269:2019 The International Patient Summary (IPS) har riktlinjerna som Nätverket för e-hälsatagit fram beaktats. Det data set samt tillhörande bestämmelser som finns i eHNs riktlinjer specificeras även i standarden. Inriktningen för arbetet var att innehållet i IPS data set ska vara kort, avgränsat och tydligt där en gemensam kärna av informationsmängder ska vara relevant och lätt att förstå av all hälso- och sjukvårdspersonal där patienten får sin vård. Den senare standarden CEN/TS 17288:2020 The International Patient Summary – Guideline for European Implementation är en teknisk specifikation. Innehållet riktar sig i första hand till systemutvecklare och implementationsteam. EN 17269 har senare ersatts av ISO 27269:2022 utifrån ambitionen om en gemensam internationell standard för patientöversikter.2 I ISO-standarden framgår att även denna version utgår från riktlinjerna från Nätverket för e-hälsa som initial källa men att även andra internationella projekt avseende patientöversikter beaktats för att skapa ett interoperabelt data set för global användning.3I ISO 20269:2022 definieras begreppet Patient Summary som:
1 Nätverket för e-hälsa (2021). Guideline on the electronic exchange of health data under Cross-Border Directive 2011/24/EU. Patient Summary. Release 3, June 2021. 2 CEN/TC 251 – Health informatics. Project EN ISO 27269:2022. URL: CEN – CEN/TC 251 (cencenelec.eu). Uppdaterad 2022-09-30. Hämtad 2022-02-13. 3 SIS (2022). Hälsoinformatik – Internationell patientöversikt (ISO 27269:2021).
Health record extract comprising a standardized collection of clinical and contextual information (retrospective, concurrent, prospective) that provides a snapshot in time of a subject of care´s health information and healthcare.
10.2.2. Nationella termer och begrepp
Nationellt återfinns definitioner inom fackområdet vård och omsorg bland annat i olika författningar samt i Socialstyrelsens termbank. Ett av Socialstyrelsens uppdrag är att skapa och tillhandahålla enhetliga begrepp, termer och klassifikationer inom sitt verksamhetsområde, vilket beskrivs mer utförligt i avsnitt 7.2.1.4 Socialstyrelsen har inom ramen för uppdraget bland annat utvecklat en termbank vilken innehåller termer och definitioner som rekommenderas för användning inom hälso- och sjukvård och socialtjänst.5 Begreppen i termbanken har analyserats enligt terminologilärans metoder och principer och förankrats i bred remiss till kommuner, regioner, myndigheter och andra organisationer.
I Socialstyrelsens termbank definieras exempelvis begreppet patient som Person som erhåller eller är registrerad för att erhålla hälso-
och sjukvård. Den överordnade nivån i begreppshierarkin är vård-
och omsorgstagare, som i sin tur delas upp på patient respektive brukare. Där definieras även begreppet hälso- och sjukvård som åtgärder
för att medicinskt förebygga, utreda och behandla sjukdomar och skador. Av anmärkningen till definitionen framgår att hälso- och sjuk-
vård omfattar sjuktransporter och omhändertagande av avlidna samt att även abort, sterilisering och vissa individinriktade medicinska åtgärder, till exempel hälsoundersökning av blivande värnpliktiga, enligt juridisk praxis räknas som hälso- och sjukvård. Fackspråkligt räknas tandvård som hälso- och sjukvård, men juridiskt regleras det inte i hälso- och sjukvårdslagen utan i tandvårdslagen. I Patientdatalagen (2008:355), framöver refererat till som PDL, där utredningen föreslår ändringar definieras till exempel hälso- och sjukvård som:
Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäk-
4 4 § 8 p förordningen (2015:284) med instruktion för Socialstyrelsen. 5 Socialstyrelsens termbank. URL : Socialstyrelsens termbank.
ringsmedicinska utredningar, lagen (2019:1297) koordineringsinsatser för sjukskrivna patienter, lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar samt den upphävda lagen (1944:133) om kastrering.
Andra närliggande relevanta begrepp i Socialstyrelsens termbank innefattar den nyligen reviderade definitionen av uppmärksamhetsinformation som Information i en patientjournal som behöver upp-
märksammas särskilt. Vidare framgår att uppmärksamhetsinforma-
tion avser något som avviker från det man normalt kan förvänta sig och som påverkar handläggningen av hälso- och sjukvård. Exempel på detta uppges vara en pågående behandling, överkänslighet mot ett visst läkemedel eller ställningstagande till hjärt-lungräddning.6 Utredningen återkommer till definitioner av närliggande begrepp i olika lagar i avsnitt 10.3.1.
10.2.3. Behovet av en definition
Ur ett juridiskt perspektiv behöver begreppet patientöversikt definieras för att kunna innefattas i förslag till författningsändringar. Behovet i samband med tjänsten patientöversikt inom EES uppkommer även till följd av det ansvar för datakvalitet som den nationella kontaktpunkten för e-hälsa innehar när patientöversikter förmedlas vidare till andra länder inom EES.
E-hälsomyndigheten lyfter i sin rapport Informationshantering
vid utlandsvård behovet av en definition av begreppet patientöver-
sikt samt föreslår även en definition av begreppet.7I rapporten framhålls vidare att en definition av vad patientöversikten ska innehålla i Sverige samt vem och vilka som ansvarar för att bidra till denna behöver fastställas för att underlätta nationell samverkan och för att ytterligare säkerställa kvalitet och säkerhet. Vidare anges att en sådan definition skulle kunna utgöra en utgångspunkt i arbetet med att ta fram en specifikation rörande informationshanteringen i samband med sammanställning och förmedling av patientöversikter, både utifrån ett nationellt och ett internationellt perspektiv. E-hälsomyndigheten föreslår i rapporten att patientöversikt definieras som:
6 Socialstyrelsen (2022). Uppmärksamhetsinformation. URL: resultat-av-remiss-umi.pdf (socialstyrelsen.se). Hämtad 2023-02-13. 7 E-hälsomyndigheten (2020). Informationshantering vid utlandsvård.
En sammanställning av viktig journalinformation som delas i vårdsammanhang för att kunna erbjuda patienten en god och säker vård.
10.3. Utredningens överväganden, bedömningar och förslag
10.3.1. Definition av patientöversikt
Utredningens bedömning: Patientöversikt bör definieras som
en sammanställning av utvalda uppgifter om patienten och dess hälsa och vård som syftar till att bidra till en god och säker vård.
Som framgår av utredningens direktiv saknas en juridisk definition av begreppet patientöversikt. Det finns inte heller definierat i Socialstyrelsens termbank. Det finns emellertid ett behov av att begreppet definieras, bland annat föranlett av arbetet med tjänsten patientöversikt inom EES. Utredningens förslag på definition har tagit i beaktande befintliga formuleringar i relevant lagtext, Nätverket för e-hälsas definition av Patient Summary, CEN:s definition av The International Patient Summary, förslaget till definition från E-hälsomyndigheten, definitionen av närliggande och ingående begrepp i Socialstyrelsens termbank samt definitionen av begreppet e-recept inom ESS i delbetänkandet.
Begreppet patientöversikt används redan inom hälso- och sjukvården i Sverige, framför allt kopplat till tjänsten Nationell patientöversikt (NPÖ) som Inera tillhandahåller. Som regeringen konstaterat i tilläggsdirektiv 2021:91 kan patientöversiktens innehåll förändras över tid. Det är därför av vikt att definitionen tillåter en sådan utveckling utan att behöva ändras alltför ofta. I detta kapitel tar utredningen enbart ställning till frågan om en definition av begreppet patientöversikt. Frågor relaterade till innehållet i patientöversikten behandlas i följande kapitel.
Utredningen anser också att det bör eftersträvas att definitionen av begreppet patientöversikt formuleras på så sätt att denna kan användas såväl för patientöversikt över landsgränser som i en nationell kontext. Socialstyrelsens ansvar för att skapa och tillhandahålla enhetliga begrepp, termer och klassifikationer inom sitt ansvarsområde bör även beaktas vid utarbetandet av en definition liksom juridiska definitioner av närliggande begrepp. Utredningen ser att den defini-
tion som fastställs ska kunna ligga till grund för en ny term i Socialstyrelsens termbank.
Utredningen föreslog även i delbetänkandet en ny definition, då av begreppet e-recept från EES:
E-recept som har utfärdats av en förskrivare behörig i ett annat land i Europeiska ekonomiska samarbetsområdet (EES) som kan överföras till Sverige och expedieras på öppenvårdsapotek i enlighet med de krav som fastställts av Nätverket för e-hälsa som bildats med stöd av artikel 14 i Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård.
Definitionen föreslogs främst med anledning av behovet av att undvika upprepningar i de bestämmelser som utredningen föreslår ska gälla för denna typ av e-recept. Det föreligger på motsvarande sätt behov av att i författningar och andra texter kunna hänvisa specifikt till de patientöversikter som tas fram i enlighet med de krav som har fastställts av Nätverket för e-hälsa som bildats med stöd av artikel 14 i patientrörlighetsdirektivet och kommissionens genomförandebeslut 2019/1765.8
Definitionen bör enligt utredningen ha en övergripande överensstämmelse med den definition av patientöversikt som fastställts av Nätverket för e-hälsa och som presenterades i avsnitt 10.1.1.
Utredningen ser att orden utvalda uppgifter om patientens hälsa och
vård är lämpligt att använda för att beskriva att inte all information i
en patientjournal ingår i en patientöversikt, utan att det i stället är vissa informationsmängder, ett urval, som används. Vad gäller tjänsten patientöversikt inom EES så styrs urvalet dels av vilka informationsmängder som Nätverket för e-hälsa bestämt ska ingå i denna, där vissa informationsmängder är obligatoriska medan andra är frivilliga, dels av vilka informationsmängder som respektive land har möjlighet att tillhandahålla.
Utredningen ser även att det är av vikt att definitionen är teknikneutral i den betydelsen att den inte låses fast vid de tekniska lösningar och specifikationer som föreligger i nuläget, till exempel avseende hur en patientöversikt inom Sverige eller inom EES tas fram. Utredningen ser att ordet sammanställning väl återspeglar avsikten
8 Europa Kommissionens genomförandebeslut (EU) 2019/1765 av den 22 oktober 2019 om regler för inrättande, förvaltning och drift av ett nätverk av nationella myndigheter med ansvar för e-hälsa och om upphävande av genomförandebeslut 2011/890/EU (ändrat genom beslut 2020/1023).
med en patientöversikt och att ordet är teknikneutralt och även inbegriper en aktiv handling, alltså själva sammanställandet. Mot samma bakgrund föreslår inte utredningen att källan till informationen framgår av definitionen.
Begreppet patient definieras bland annat i lag (2022:913) om sammanhållen vård- och omsorgsdokumentation (fortsättningsvis SVOD) och återfinns även i Socialstyrelsens termbank. Utredningen ser att den definition av patientöversikt som utredningen föreslår i den del som avser patient med fördel bör överensstämmer med befintlig/a definitioner.
- I Socialstyrelsens termbank definieras exempelvis begreppet patient som Person som erhåller eller är registrerad för att erhålla
hälso- och sjukvård.
- I SVOD definieras patient som Person som fått, får eller är regi-
strerad för att få hälso- och sjukvård.
En skillnad mellan dessa två definitioner är att det i SVOD har införts en hänvisning till tidigare hälso- och sjukvårdsinsatser. Detta är en definition av begreppet patient som ligger i linje med innehållet i patientöversikt över landsgränser, som innefattar historiska uppgifter bland annat om tidigare väsentliga kirurgiska ingrepp. När utredningen använder begreppet patient i föreslagen definition av patientöversikt innefattas även tidigare hälso- och sjukvårdsinsatser.
Ändamålet i den definition utredningen föreslår för att bidra till
en god och säker vård tar sin utgångspunkt i formuleringar som åter-
finns i patientdatalagen (2008:355). I 3 kap. patientdatalagen regleras skyldigheten att föra patientjournal. Av 2 § framgår att syftet med
att föra en patientjournal i första hand är att bidra till en god och säker vård för patienten. Utgångspunkten är att patientjournalen ska inne-
hålla de uppgifter som behövs för en god och säker vård av patienten. Som framgår av Nätverket för e-hälsas och CEN:s arbete med att definiera begreppet patientöversikt och dess innehåll syftar patientöversikten till att stötta hälso- och sjukvårdspersonal som ger oplanerad eller planerad vård. Det utgör ett av flera verktyg som tillsammans skapar förutsättningar för att patienten får en god och säker vård. Utredningen anser att även en patientöversikt med ett urval av uppgifter om patientens hälsa och vård så som allergier, aktuella läkemedel eller diagnoser stärker förutsättningarna för en säker vård
inte minst genom att förebygga vårdskador. Nyttan är som utredningen resonerar kring i kapitel 18 sannolikt störst i de fall när vården är akut och då patienten själv inte kan ge information till vårdgivaren. Vidare anser utredningen att det finns fördelar i att när lämpligt återanvända de ändamål som redan etablerats i regleringen av personuppgiftshanteringen inom hälso- och sjukvården återanvänds för att skapa tydlighet. I hälso- och sjukvårdslagen (2017:30) framgår att målet med hälso- och sjukvården är en god hälsa och en vård på lika villkor för hela befolkningen. Utredningen har övervägt om motsvarande ändamål är aktuellt för definitionen av en patientöversikt. Utredningen bedömer det emellertid som mer lämpligt att använda begreppet en god och säker vård snarare än en god hälsa givet den nytta patientöversikten är avsett att göra i det akuta eller planerade vårdtillfället. Den föreslagna definitionen ligger enligt utredningens bedömning även i linje med Nätverket för e-hälsas definition av Patient Summary.
Utredningen anser vidare, precis som i delbetänkandet vad gäller e-recept, att det är ändamålsenligt att definitionen kan omfatta såväl patientöversikter som tas fram för nationell användning som för användning över landsgränser. Utgångspunkten för definitionen är att patientöversikten syftar till att ge patienten en god och säker vård, vilket är syftet oavsett vilken typ av patientöversikt som åsyftas. Med nuvarande formulering ser även utredningen, i enlighet med utredningens direktiv, att definitionen tillåter att de uppgifter som patientöversikten innefattar kan variera över tid.
Mot bakgrund av ovanstående resonemang föreslår utredningen att begreppet Patientöversikt definieras som:
En sammanställning av utvalda uppgifter om patienten och dess hälsa och vård som syftar till att bidra till en god och säker vård
11. Dokumentation och tillgängliggörande av informationsmängder
Utredningen har i uppdrag att analysera om patientöversikten eller delar av patientöversikten ska vara obligatorisk att dokumentera och tillgängliggöra för vårdgivare vid gränsöverskridande vård, både inom EES och nationellt, och föreslå hur detta skulle kunna regleras. I kommittédirektiven konstaterar regeringen att dagens användning av patientöversikter skiljer sig åt mellan regioner och att det finns en skillnad i vilka informationsmängder som tillgängliggörs av regionerna. Regeringen anför att det därför kan finnas skäl till att det ska vara obligatoriskt att tillgängliggöra vissa informationsmängder nationellt och inom EES för att säkerställa patientsäkerheten, men också ur ett nationellt jämlikhetsperspektiv. Utredningen ska även analysera och bedöma om den reglering som utredningen föreslår för patientöversikter också kan innefatta ytterligare kategorier av hälsodata samt följa utvecklingen av EU-kommissionens förslag till förordning om ett europeiskt hälsodataområde.
I detta kapitel redogörs för utredningens förslag avseende dokumentation och tillgängliggörande av informationsmängderna i en patientöversikt. Förslag avseende infrastruktur för att tillgängliggöra och ta del av information presenteras i nästföljande kapitel. Förslag avseende regleringen av tillgängliggörande av uppgifter om patientens hälsa och vård för en patientöversikt beskrivs mer utförligt i kapitel 15.
11.1. Förutsättningar och grundläggande principer
11.1.1. Att ge och få tillgång till uppgifter om hälsa och vård
Utredningen beskriver rådande förutsättningar för att ge och få tillgång till uppgifter om hälsa och vård utförligt i till exempel kapitel 3 och 7. I detta avsnitt ges en kort sammanfattning av de mest centrala delarna.
Vårdgivares behandling av personuppgifter inom hälso- och sjukvården regleras i huvudsak i patientdatalagen (2008:355) samt lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation (fortsättningsvis SVOD). I 3 kap. patientdatalagen regleras skyldigheten att föra patientjournal för varje patient. Utgångspunkten är att den ska innehålla de uppgifter som behövs för en god och säker vård av patienten. Det anges också att patientjournalen är en informationskälla för: patienten, uppföljning och utveckling av verksamheten, tillsyn och rättsliga krav, uppgiftsskyldighet enligt lag samt forskning.
Bestämmelser om sammanhållen journalföring fanns tidigare i patientdatalagen men har sedan den 1 januari 2023 flyttats till SVOD. Uttrycket sammanhållen vård- och omsorgsdokumentation ges i lagen betydelsen:
Ett elektroniskt system som gör det möjligt för en vårdgivare eller omsorgsgivare att ge eller få tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter hos andra vårdgivare eller omsorgsgivare.
Genom SVOD finns en möjlighet för vårdgivare att ta del av uppgifter hos andra vårdgivare och omsorgsgivare samt för omsorgsgivare möjligheten att ta del av uppgifter hos vårdgivare och andra omsorgsgivare. Vårdgivare definieras i såväl patientdatalagen som SVOD som:
Statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård.
Det är enligt regleringen i SVOD frivilligt att upprätta en sammanhållen vård- och omsorgsdokumentation. I lagen framgår vidare att tillgång ges under förutsättning att vårdgivaren eller omsorgsgivaren informerar patienten om vad sammanhållen vård- och omsorgs-
dokumentation innebär och om patientens möjlighet att motsätta sig att uppgifter görs tillgängliga för andra vårdgivare eller omsorgsgivare. Patienten ska också informeras om att det framgår för andra vårdgivare huruvida spärrade uppgifter finns och vilken vårdgivare som spärrat dem samt att även spärrade uppgifter görs tillgängliga vid fara för patientens liv eller allvarlig risk för dennes hälsa. För att en vårdgivare ska få behandla uppgifterna som en annan vårdgivare gjort tillgängliga krävs bland annat patientens samtycke samt en aktuell patientrelation.
I dag tillämpar sjukvårdshuvudmännen bestämmelserna om sammanhållen journalföring genom olika tekniska lösningar. Alla regioner, 50 kommuner och drygt 100 privata vårdgivare som bedriver offentligt finansierad vård tillgängliggör information till tjänsten som möjliggör sammanhållen journalföring men använder möjligheten på olika sätt och i olika utsträckning, bland annat varierar antalet informationsvariabler som tillgängliggörs mellan vårdgivarna.
11.2. Utredningens överväganden, bedömningar och förslag
11.2.1. Definitionen av att tillgängliggöra information
Utredningens förslag: Med begreppen att tillgängliggöra eller ge
tillgång till uppgifter avses i de lagändringar som utredningen föreslår att ge tillgång till digitala uppgifter.
Av utredningens direktiv framgår att utredningen ska analysera om patientöversikten eller delar av patientöversikten ska vara obligatorisk att dokumentera och tillgängliggöra för vårdgivare vid gränsöverskridande vård, både inom EES och nationellt, och föreslå hur detta skulle kunna regleras. Begreppet tillgängliggöra finns inte definierat i Socialstyrelsens termbank eller i Termbanken för informationssäkerhet som MSB tillhandahåller. Uttrycket att tillgängliggöra data används emellertid ofta för att beskriva att data görs tillgänglig så att den kan vidare utnyttjas till exempel av annan part eller för ett annat ändamål. Begreppet används bland annat i lagen (2022:818) om den offentliga sektorns tillgängliggörande av data och definieras i förarbetet till lagen i SOU 2020:55 som:
Med tillgängliggöra avses i den nya lagen att ge tillgång till information, oavsett om det görs frivilligt eller på grund av en annan skyldighet i annan författning.1
Där framgår vidare att för att informationen ska ha gjorts tillgänglig förutsätts inte att någon faktiskt tagit del av informationen, exempelvis genom att en fil laddats ner eller någon kopia lämnats över fysiskt. Det anförs vara tillräckligt att den som innehar informationen har gjort bedömningen att det inte finns något hinder mot att göra informationen tillgänglig och att informationen antingen publiceras i de fall det inte finns en föregående begäran, eller om det finns en föregående begäran att den som ställt frågan erbjuds få ta del av informationen i visst format. Att informationen inte kunnat tillgängliggöras i efterfrågat format innebär inte att den inte tillgängliggjorts. Bestämmelserna i lagen om den offentliga sektorns tillgängliggörande av data syftar till att främja den offentliga sektorns tillgängliggörande av data för vidareutnyttjande, särskilt i form av öppna data. Begreppet definieras i lagen enbart tillsammans med ändamålet för vidareutnyttjande.
Även DIGG använder begreppet tillgängliggöra information i de nationella principerna för att tillgängliggöra information samt i den vägledning för att tillgängliggöra information som myndigheten tagit fram.2,3 Begreppet definieras inte i något av underlagen men på olika sätt framgår att informationen ska göras digitalt tillgänglig för användning för externa intressenter.
Inom ramen för utredningens uppdrag avser aktuellt tillgängliggörande endast digital information. I fallet tjänsten patientöversikt inom EES görs informationen tillgänglig för den nationella kontaktpunkten för e-hälsa som förmedlar den vidare till hälso- och sjukvårdspersonal enligt de krav som är uppställda för tjänsten. Utredningen konstaterar att information kan tillgängliggöras i olika format. De tekniska krav och krav på informationssäkerhet som ska uppfyllas för att informationen ska kunna delas på ett säkert sätt inom ramen för tjänsten patientöversikt inom EES föreslår utredningen ska regleras i föreskrifter vilket beskrivs närmare i avsnitt 15.1.8–15.1.9. Mot den bakgrunden föreslår utredningen att med begreppet att
1SOU 2020:55. Innovation genom information. s. 129. 2 DIGG. Vägledning för att tillgängliggöra information. URL: Vägledning för att tillgängliggöra information | Digg Uppdaterad 2022-11-02. Hämtad 2023-02-08. 3 DIGG. Nationella principer för att tillgängliggöra information. URL: Nationella principer för att tillgängliggöra information | Digg. Uppdaterad 2022-10-21. Hämtad 2022-02-08.
tillgängliggöra data avses i de författningsändringar som utredningen föreslår att ge tillgång till digitala uppgifter.
11.2.2. Patientöversiktens innehåll över tid
Utredningens bedömning: Informationen i tjänsten patient-
översikt inom EES förväntas förändras över tid i samband med att tjänsten vidareutvecklas. Mot den bakgrunden gör utredningen bedömningen att regleringen av tillgängliggörandet av information till en patientöversikt för nationell och internationell användning behöver kunna anpassas efter ett växande informationsbehov för att vara bestående över tid.
Genom tjänsten patientöversikt inom EES ska det, när en fysisk person önskar, vara möjligt att dela information om dennes hälsa och vård mellan det land patienten är försäkrad i (framöver refererat till som patientens försäkringsland) och andra EES-länder. Vilken information patientöversikter inom EES ska innehålla fastställs i de riktlinjer som Nätverket för e-hälsa beslutat om. Inledningsvis, exempelvis i den andra upplagan av riktlinjerna från 2016, utgick innehållet från behovet av information vid oplanerad vård. Innehållet var bland annat definierat av hälso- och sjukvårdspersonal inom akutsjukvård och det framgick i riktlinjen att informationsmängderna var utvalda för att vara koncisa och lätta att implementera samtidigt som de tillhandahöll acceptabel täckningsgrad för ändamålet. Den tredje och senaste upplagan av riktlinjer som publicerades juni 2021 syftade till att fylla luckor i tidigare upplaga samt utveckla innehållet så att det nu även inkluderar ändamålet planerad vård.4 För att möta behoven vid planerad vård konstaterar Nätverket för e-hälsa att informationen behöver vara mer heltäckande och mer detaljerad. Därför föreslås nya informationsmängder ingå och att vissa befintliga informationsmängder från upplaga två kan vara mer detaljerade. I riktlinjerna framhålls att en bred och heltäckande definition av patientöversikt över landsgränser på EU-nivå kan bli en startpunkt för en europeisk standard avseende datainsamling vilket i sin tur kan främja implementation på nationell och regional nivå.
4 eHealth Network. Guideline on the electronic exchange of health data under Cross-Border Directive 2011/24/EU. Patient Summary. Release 3, June 2021.
Vilka informationsmängder patientöversikten innefattar är ett resultat av pågående diskussioner och samverkan inom nätverket. Det framgår av riktlinjerna att Nätverket för e-hälsa är ansvarigt för att uppdatera dem och att det ska ske med 2–3 års mellanrum. Målet på sikt är att även bilddiagnostik, labbresultat, utskrivningsrapporter och så småningom all hälsodata (”full health record”) ska vara tillgängliga inom Europa.5 Utredningen konstaterar mot den bakgrunden att fler informationsmängder och förändringar i föreslagna definitioner av informationsmängder kommer att tillkomma över tid. Vidare att patientöversikten inom EES därigenom inte är en fast samling utan en föränderlig och växande samling av informationsmängder.
I EU:s strategi för data6 beskriver kommissionen vidare visionen om ett gemensamt europeiskt dataområde där data kan användas i enlighet med gällande lagstiftning oavsett var i unionen de lagras. För att förverkliga denna vision föreslås det i strategin att det inrättas domänspecifika gemensamma europeiska dataområden som ska utgöra det konkreta system inom vilka datadelning kan ske. Enligt strategin kan sådana gemensamma områden utgöras av till exempel hälsa. EU-kommissionen presenterade sitt förslag till förordning om ett europeiskt hälsodataområde (EHDS) under våren 2022. Det allmänna målet med förordningen om EHDS är bland annat att fysiska personer i EU får ökad kontroll över sina elektroniska hälsouppgifter.7 Kommissionen konstaterar i förslaget till förordning att fysiska personer har svårt att utöva sina rättigheter till sina elektroniska hälsodata, bland annat att få tillgång till och kunna överföra dem nationellt och över landsgränser.8 Det gränsöverskridande utbytet av elektroniska hälsouppgifter behandlas i viss utsträckning i patientrörlighetsdirektivet, särskilt i artikel 14 om Nätverket för e-hälsa. Kommissionen anför att eftersom deltagande i nätverkets arbete samt anpassningen till riktlinjer nätverket beslutar om är frivilligt har genomförandet av patientrörlighetsdirektivet haft en begränsad inverkan på fysiska personers tillgång till och kontroll över sina elektroniska hälsouppgifter.9 I förordningen om EHDS ställs mot den
5 Europeiska kommissionen. Electronic cross-border health services. URL: Electronic crossborder health services (europa.eu). Hämtad 2022-11-04. 6 COM (2020) 66 final. 7 Europeiska kommissionen. Förslag till Europaparlamentet och rådets förordning om ett europeiskt hälsodataområde. 2022/0140 (COD). 8 Ibid, s. 3. 9 Europeiska kommissionen. Förslag till Europaparlamentet och rådets förordning om ett europeiskt hälsodataområde. 2022/0140 (COD), s. 5.
bakgrunden i stället krav på tillhandahållande av specificerade mängder av e-hälsodata. I Artikel 5 första stycket anges följande:
Om data behandlas i elektroniskt format ska medlemsstaterna säkerställa tillgång till och utbyte av personliga e-hälsodata för primär användning som helt eller delvis omfattas av följande kategorier: 1. Patientöversikter, 2. Elektroniska recept, 3. Elektronisk expediering, 4. Bilddiagnostik och rapporter om bilddiagnostik, 5. Laboratorieresultat och
6. Utskrivningsrapporter.
I Bilaga 1 till förordningen om EHDS beskrivs de huvudsakliga egenskaperna hos en patientöversikt enligt följande:
E-hälsodata som innehåller viktiga kliniska fakta om en identifierad person och som är nödvändiga för att ge personen säker och effektiv hälso- och sjukvård. Följande information ingår i en patientöversikt: 1. Personuppgifter 2. Kontaktuppgifter 3. Försäkringsuppgifter 4. Allergier
5. Medicinska varningar 6. Information om vaccinering/profylax, eventuellt i form av ett vaccinationskort 7. Aktuella, lösta, arkiverade eller inaktuella problem 8. Information om sjukdomshistorik 9. Medicintekniska produkter och implantat 10. Ingrepp 11. Funktionsstatus 12. Aktuella och relevanta tidigare läkemedel 13. Observationer av patientens sociala förflutna med koppling till hälsan 14. Graviditetshistorik 15. Uppgifter från patienten 16. Observationsresultat som rör hälsotillståndet 17. Vårdplan 18. Information om en sällsynt sjukdom, t.ex. uppgifter om sjukdomens konsekvenser eller karaktär.
Utredningen konstaterar att beskrivningen av en patientöversikts innehåll som föreslås i förordningen om EHDS överensstämmer väl med samtliga informationsmängder (grundläggande och utökade) som presenteras i tredje upplagan av riktlinjerna för patientöversikt inom EES.10
Mot bakgrund av den förändring av innehåll i tjänsten som skett över tid, pågående diskussioner om nya informationsmängder inom Nätverket för e-hälsa samt den vision EU-kommissionen presenterar i sin strategi och realiserar genom förordningen om EHDS ser utredningen det som sannolikt att de informationsmängder som är aktuella att dela inom ramen för tjänsten kommer att förändras framöver. Utredningen anser att det är av stor vikt att tillgängliggörande och delning av uppgifter regleras på ett sådant sätt att det går att ta omhand nya informationsbehov. Samtidigt ser utredningen att det är av lika stor vikt att tillgången till sådana personuppgifter om hälsa
10 Nätverket för e-hälsa. (2021). Guideline on the electronic exchange of health data under Cross-Border Directive 2011/24/EU. Patient Summary. Release 3, June 2021.
och vård endast sker på ett sådant sätt att den personliga integriteten värnas och personuppgifter skyddas.
11.2.3. Tillgängliggörande av information för patientöversikter inom EES och inom Sverige
Utredningens förslag: Bestämmelser införs om att vårdgivare
under förutsättning att patienten gett sitt samtycke, ska ge E-hälsomyndigheten elektronisk tillgång till uppgifter om en patient för att tillföras en patientöversikt inom EES samt från E-hälsomyndigheten elektroniskt kunna ta del av sådan patientöversikt. Kravet ska inte gälla vårdgivare som bedriver tandvård eller kommunal hälso- och sjukvård men även dessa vårdgivare får ge tillgång och ta del enligt ovan.
Bestämmelser införs även om att vårdgivare ska ge E-hälsomyndigheten elektronisk tillgång till uppgifter om en patient för att tillföras en patientöversikt inom Sverige samt från E-hälsomyndigheten elektroniskt kunna ta del av sådan patientöversikt. Kravet ska inte gälla vårdgivare som bedriver tandvård eller kommunal hälso- och sjukvård men dessa vårdgivare samt omsorgsgivare får ge tillgång och ta del enligt ovan.
Regleringen av förslagen beskrivs i avsnitt 15.1.7 och 15.2.4.
För att kunna ge en vård av hög kvalitet behöver medarbetare inom dessa verksamheter ha tillgång till aktuella och relevanta uppgifter patienten. Den information om patientens hälsa och vård som en patientöversikt kan innehålla är av sådan karaktär att den väsentligt kan påverka kvaliteten på den vård som ges, framför allt genom att vårdskador undviks. Ytterst kan det handla om skillnad mellan liv och död. Vidare kan beslut om undersökning och behandling fattas på en mer solid grund. Tillgång till uppgifter om patientens hälsa och vård från andra vårdgivare stärker patientsäkerheten vid vård över såväl landsgränser som region-, kommun- och organisationsgränser.
Redan år 2001 lämnade Socialstyrelsen vid en översyn av patientjournaldatalagen ett förslag om en ny bestämmelse om att all dokumentation bör göras i en sammanhållen patientjournal.11 Detta för
11 Socialstyrelsen (2001). Till regeringen. Patientjournallagen – en översyn med förslag till författningsändringar. 2001-12-20.
att förhindra onödig dokumentation och dubbelarbete. Journalen skulle kunna följa patienten oavsett om fler vårdgivare inbegreps eller ej. Det ansågs emellertid inte förenligt med gällande rätt. Flera utredningar och regeringsuppdrag har sedan dess behandlat frågan om en elektroniskt sammanhållen journal för varje patient och vårdgivares tillgång till personuppgifter om patientens hälsa och vård.12E-hälsomyndigheten har även utrett hur uppgifter om patientens hälsa och vård kan göras tillgängliga vid utlandsvård.13
Tidigare bedömningar och slutsatser
Patientdatautredningen presenterade i SOU 2006:82 ett förslag om
en sammanhängande reglering av personuppgiftsbehandlingen inom hälso- och sjukvården i en helt ny lag. Förslaget låg till grund för patientdatalagen (2008:355) som trädde i kraft 2008. I betänkandet anfördes att det i första hand är förbättrad patientsäkerhet som bör motivera omfattande ändringar i nuvarande reglering. Att storleksmässigt värdera nyttan uppgavs svårt men nytta anfördes kunna uppstå på såväl individuellt plan, i bemärkelsen nytta för patienten, och på ett mer allmänt plan som nytta för verksamheten som sådan och därmed samhället i stort. Patientdatautredningen konstaterade vidare att om uppgifterna är korrekta och lätt åtkomliga torde patientsäkerheten öka vid alla kommande vårdtillfällen. Som exempel lyfts att felbehandlingar som har sitt upphov i bristande tillgång till information om till exempel svåra allergier eller kroniska sjukdomar då i princip inte behöver förekomma, att vårdgivare och vårdenheters samarbete kring vården skulle kunna underlättas och effektiviseras, att patienter skulle slippa onödiga undersökningar, medicineringar och omtagning av prover eller återge samma sjukdomshistoria gång på gång.14 I betänkandet framhålls vidare att en rad förutsättningar behöver vara uppfyllda för att den ovannämnda nyttan ska erhållas. Hälso- och sjukvårdens komplicerade och splittrade natur med delat huvudmannaskap mellan landsting och kommun samt privata vård-
12 Se till exempel SOU 2006:82, Patientdatalag, SOU 2016:41, Hur står det till med den personliga integriteten?, SOU 2021:4, Informationsöverföring inom vård och omsorg samt Ehälsomyndigheten (2022), Sammanhållen journalföring. Möjligheter till digital informationsförsörjning på hälsodataområdet. 13 E-hälsomyndigheten (2020). Informationshantering vid utlandsvård. Redovisning enligt Regeringsbeslut S2019/01519/FS 2019. Dnr 0219/01537. 14SOU 2006:82, s. 235–237.
givare, med mer eller mindre komplexa strukturer och stor variation avseende storlek på organisation samt verksamhetsinriktning, uppges centrala att beakta. Vidare anförs att en grundläggande förutsättning för ett gemensamt system är att all journalföring sker elektroniskt och att datoriseringen av hälso- och sjukvården vid den tiden inte var heltäckande. Tiden ansågs inte vara mogen för att genom ny lagstiftning tvinga vårdgivarna till gemensam elektronisk journalföring, vare sig på nationell nivå eller på landstingsnivå. Detta mot bakgrunden att det saknas tekniska förutsättningar för att knyta samman vårdgivarnas befintliga journalföringssystem i ett informationssystem eller ersätta detta med ett nytt gemensamt.
Även regeringen konstaterade i förarbetena till patientdatalagen (prop. 2007/08:126) att obligatoriska krav på sammanhållen journal i helhet eller i mer begränsade slag krävde sådana tekniska, organisatoriska och andra förutsättningar som då inte fanns inom hälso- och sjukvården. De anförde att en tvingande lagstiftning riskerar låsa fast utvecklingen i lösningar som inte är hållbara på sikt och att regler som uttryckligen tillåter att journalföring sker över vårdgivargränser skulle stödja utveckling och därmed förbättra förutsättningarna till en säker och effektiv hälso- och sjukvård.15
Sedan 2006 har digitaliseringen av hälso- och sjukvården och omsorgen tagit stora kliv framåt. Dagens patientjournal långt ifrån sin pappersbaserade ursprungsversion. I dag rör det sig snarare om lagrade personuppgifter om individens hälsa och vård som presenteras i olika former för olika aktörer inom vården. It i svensk hälso- och sjukvård och omsorg består av ett mycket stort antal olika system och tjänster som lagrar och distribuerar patientinformation, vilket beskrivs närmare i kapitel 7 och bilaga 9. Utveckling av olika former av it-stöd i vårdarbetet integreras i dag i det som historiskt kallats journalsystem och som i dag ofta omnämns som vårdinformationssystem.
I dag tillämpar sjukvårdshuvudmännen bestämmelserna om sammanhållen journalföring genom olika tekniska lösningar. Alla regioner, 50 kommuner samt 115 privata vårdgivare som bedriver offentlig vård har anslutit sig till Ineras digitala infrastruktur som möjliggör att journaluppgifter delas mellan vårdgivare och använder systemet i olika stor utsträckning. Detta beskrivs mer utförligt i avsnitt 7.3.2. E-hälsomyndigheten lyfter i delredovisningen av uppdraget om att föreslå
15Prop. 2007/2008:126, s. 87–88.
hur sammanhållen journalföring kan nyttjas i större utsträckning (S2021/03119) ett antal hinder och utmaningar. Här framhålls bland annat att bestämmelserna i patientdatalagen som möjliggör sammanhållen journalföring är frivillig att tillämpa. I rapporten konstateras att avsaknaden av krav på att tillgängliggöra och ta del av information leder till att informationen som finns att tillgå inte är heltäckande och att det finns en stor variation i hur många och vilka informationsmängder olika vårdgivare väljer att tillgängliggöra.16 E-hälsomyndigheten föreslår i slutrapporten av samma uppdrag ett obligatorium avseende tillhandahållande av vissa prioriterade informationsmängder inom sammanhållen journalföring. I rapporten framgår vidare att en förutsättning för att den nya lagen ska få önskad genomslagskraft är att omsorgens tillämpning av klassifikationer, standarder och begrepp blir mer enhetlig.17
Även i SOU 2021:4 (Informationsöverföring inom vård- och omsorg) samt efterföljande proposition (2021/22:177) föreslås att inrättandet av ett elektroniskt system, kallat sammanhållen vård- och omsorgsdokumentation, som ger verksamheter inom delar av socialtjänsten samt hälso- och sjukvården tillgång till varandras vård- och omsorgsdokumentation ska vara frivilligt. Av SOU 2021:4 framgår att utredningen har uppfattat direktiven så att ingen ska tvingas att göra vård- och omsorgsdokumentation tillgänglig i ett system med sammanhållen vård- och omsorgsdokumentation och anför därför att det i likhet med bestämmelserna i patientdatalagen bör vara frivilligt att inrätta eller ansluta sig till ett system med sammanhållen vård- och omsorgsdokumentation.18 I propositionen framkommer att regeringen bland annat ansåg att möjligheten till att upprätta system för sammanhållen vård- och omsorgsdokumentation är en del av ett långsiktigt utvecklingsarbete inom både region och kommun för att en säker och god vård och omsorg ska kunna tillhandahållas, samtidigt som enskildas integritetskänsliga uppgifter behandlas på ett sätt som tillgodoser fysiska personers skydd avseende behandlingen av personuppgifter. Regeringen ansåg också att möjligheten att upprätta en sammanhållen vård- och omsorgsdokumentation för
16 E-hälsomyndigheten (2021). Ökat nyttjande av sammanhållen journalföring. Möjligheter, utmaningar och behovet av digital informationsförsörjning i dag och i framtiden. Dnr 2021/01681, s. 58. 17 E-hälsomyndigheten (2022). Sammanhållen journalföring. Möjligheter till digital informationsförsörjning på hälsodataområdet. Slutrapportering av uppdraget att föreslå hur sammanhållen journalföring kan nyttjas i större utsträckning S2019/03119. Dnr 2021/01681. 18SOU 2021:4. Informationsöverföring inom vård och omsorg.
vissa grupper ökar förutsättningarna för en säker och trygg vård och omsorg ytterligare, för både regioner och kommuner. Det skulle i sin tur öka incitamentet att investera i teknisk utveckling av användarvänliga system som är anpassade till både regioners och kommuners behov och förutsättningar. Förutom de tekniska förutsättningarna behöver ytterligare arbete ske hos både myndigheter och hos huvudmän respektive utförare för att främja användningen av enhetliga begrepp, strukturerad dokumentation och journalföring.19 Av remissinstanserna framförs synpunkter på att kommuner och regioner borde vara skyldiga att erbjuda sammanhållen vård- och omsorgsdokumentation men flera remissinstanser ser även utmaningar om lagen skulle vara tvingande för kommuner och regioner. Sveriges Kommuner och Regioner (SKR)20 anser till skillnad från utredningen att det inte ska vara frivilligt att inrätta sammanhållen vård- och omsorgsdokumentation. Även Statens medicin-etiska råd21, Myndigheten för vård- och omsorgsanalys22 och Swedish Medtech23 anser att det ska vara obligatoriskt för kommuner och regioner att inrätta eller ansluta till sammanhållen vård- och omsorgsdokumentation.
I samband med coronapandemin har behovet av att kunna överföra information mellan vårdgivare på ett säkert sätt blivit ännu tydligare. Coronakommissionen bedömde i sitt delbetänkande (SOU 2020:80) att avsaknaden av en sammanhållen journalföring är ett allvarligt patientsäkerhetsproblem och att regionerna och kommunerna måste vidta åtgärder för att förverkliga en sammanhållen journalföring.24 Även IVO har några år tidigare i en tillsynsrapport bedömt att avsaknaden av en mer patientcentrerad sammanhållen journaldokumentation är ett allvarligt hinder för en effektiv informationshantering i vården.25
19Prop. 2021/22:78. 20 SKR (2021). Yttrande. Informationsöverföring inom vård och omsorg (SOU 2021:4). 21 Statens medicin-etiska råd (2021). Remissvar avseende betänkandet Informationsöverföring inom vård och omsorg (SOU 2021:4). 22 Myndigheten för vård- och omsorgsanalys (2021). Myndigheten för vård- och omsorgsanalys remissyttrande över betänkandet Informationsöverföring inom vård och omsorg (SOU 2021:4, S2021/00850). 23 Swedish Medtech (2021). Remissvar gällande betänkande SOU 2021:4, Informationsöverföring inom vård och omsorg. 24SOU 2020:80. Äldreomsorgen under pandemin. s. 246. 25 IVO (2015). Tillsynsrapport. De viktigaste iakttagelserna inom tillsyn och tillståndsprövning verksamhetsåret 2014. Artikelnr IVO 2015-62.
Framförda synpunkter från vårdgivare, patient- och intresseföreningar samt professionsorganisationer
Utredningen om e-recept och patientöversikter har vid digitala dialogmöten och skriftligen ställt frågor om gränsöverskridande utbyte av patientöversikter, nationellt och inom EES. Samrådsförfarandet beskrivs närmare i kapitel 2. Skriftliga svar har erhållits från patient- och intresseorganisationer, professionsorganisationer samt representanter för privata vårdgivare/kliniker och offentliga vårdgivare/kliniker. Från vissa regioner har flera kliniker svarat utifrån sitt perspektiv. Under dialogmötena deltog fem patient- och intresseorganisationer: Reumatikerförbundet, Neuroförbundet, RME Riksförbundet, Riksförbundet FUB (Funktionsrätt Sverige) samt Svenskar i Världen. Skriftliga synpunkter erhölls från RME Riksförbundet, Neuroförbundet, Svenskar i Världen och Svenska Diabetesförbundet. En professionsorganisation (E-hälsoläkarna) deltog i dialogmötet, skriftliga synpunkter inkom även från Sveriges Läkarförbund. Två privata vårdgivare (Kry och Min Doktor) deltog i dialogmötet, skriftliga synpunkter har inkommit från de båda samt från Capio och Praktikertjänst. Utredningen har fått tolv skriftliga svar från verksamheter i 6 av 21 regioner och 11 av 21 regioner deltog under dialogmötet med utredningen. Utöver det har även separata dialogmöten hållits med representanter för ytterligare tre regioner. Sammantaget har utredningen inhämtat synpunkter från 17 av 21 regioner, svaren kom från en blandning av enskilda kliniker och övergripande strategiska funktioner i regionerna. De regioner som utredningen inte fått någon återkoppling från är Region Norrbotten, Region Värmland, Region Jämtland/Härjedalen samt Region Västmanland. Utredningens bedömning är att de synpunkter som inkommit ger en god bild av de olika typer av åsikter som finns ute hos regionerna och deras verksamheter samt hos de större privata vårdgivarna men säger inget om hur vanligt förekommande de är.
Nedan återges en sammanfattning av skriftliga svar och muntliga synpunkter som utredningen mottagit i samband med de fyra dialogmöten som hållits med patient- och intresseorganisationer, professionsorganisationer, privata vårdgivare och offentliga vårdgivare. Inkomna skriftliga svar redovisas i sin helhet i Bilaga 8.
Synpunkter från vårdgivare
Nedan sammanfattas de synpunkter som utredningen tagit del av antingen skriftligt som svar på utskickade frågor eller muntligt i samband med dialogmöte.
Sammanfattning av framförda synpunkter i enkäter och vid dialogmöte: Offentliga vårdgivare
Deltagarna var odelat positiva till att information kan utbytas mellan vårdgivare, det beskrevs som kärnan i att det ska bli rätt och en självklarhet. Vikten av att patienten har rätt att bestämma genom samtycke framhölls särskilt där ett aktivt medgivande förespråkades över ett passivt. Även vikten av hög IT-säkerhet framhölls.
Flera påtalade brister i att alla publicerar olika mycket information och önskade att det ska se likadant ut från alla regioner. Många ansåg att förslaget om att göra det obligatoriskt för vårdgivare att tillgängliggöra information var något bra, positivt och ett stort och viktigt steg i rätt riktning för att få heltäckande information från alla delar av landet. Vissa framhöll att det ska vara obligatoriskt att dela i Sverige men inte till EES på grund av osäkerhet kring säkerhetsskyddet och huruvida det går att ha kontroll över vilka som få tillgång till uppgifterna. Åsikter om att det bör bygga på frivillighet och centralt stöd för att skapa förutsättningar i stället framhölls också. Vikten av att få tid till implementation och av att återanvända befintlig infrastruktur så mycket som möjligt lyftes. Informationssäkerheten framhölls även som viktig.
Avseende konsekvenser av ett obligatorium att tillgängliggöra med hjälp av NPÖ diskuterades hur väl befintliga tjänstekontrakt överensstämde med krav enligt tjänsten patientöversikter, där det konstaterades att viss utveckling krävdes. Konsekvenserna ansågs bero på hur mycket av redan etablerade tjänstekontrakt som kan återanvändas. Alternativ som inte krävde någon eller liten utveckling av regionerna förespråkades. Diskussion fördes även om spärrar där patientsäkerhet ibland står gentemot integritetsbehovet. I akuta situationer framhölls att klinikerna behöver kunna ta del av informationen. Samtidigt lyftes synpunkter om att det var viktigt att en aktiv handling i form av att ge samtycke föregick tillgång till uppgifter.
På frågan om hur vårdgivarna såg på ett alternativ där staten tillhandahöll en infrastruktur för utbytet av informationen i en patientöversikt lyftes fördelarna med att ha en struktur för att gränslöst kunna arbeta nationellt med informationsutbyte. En nationell standard framhölls som positivt. Mycket tid och resurser har lagts ner på dagens infrastruktur med Inera, något som deltagarna såg viktigt att ta omhand så att skattemedel hanteras klokt. Exemplet infrastruktur för listningstjänst där såväl regioner som staten genom en myndighet bygger likvärdiga tjänster lyftes som ett icke önskvärt alternativ. Att staten skulle ta ansvar för informationshanteringen inom patientöversikter lyftes som ett vällovligt initiativ men givet den ansvarsfördelning som finns inom hälso- och sjukvården anfördes att ansvarsfrågor sannolikt behöver utredas. Åsikter om att det är ett bra förslag, att det är nödvändigt, att det är den enda möjliga lösningen inom rimlig framtid och något som ökar sannolikheten för att beslut ska tas snabbare lyftes. Samtidigt framhöll andra att två parallella system är mardrömmen och att det vore av värde att nationellt använda sig av NPÖ och utveckla därifrån.
I diskussioner om webbgränssnittet för att nå informationen i NPÖ framhölls att användarvänligheten behöver förbättras och att nuvarande brister gör att det finns ett motstånd bland kliniker att använda tjänsten. Någon lyfte att det är viktigt att inte behöva multipla inloggningar eller att det helst inte ska kräva ny inslagning av patientens personnummer samtidigt framhölls säkerhetsaspekterna som viktiga. Det sågs vidare fördelaktigt om patientöversikter från utlandet kan visas i samma tjänst som de nationella. I diskussioner om tidslinjen för integration in i journalsystemet framhålls att många regioner håller på med nya system och kämpar med att få till strukturerad information. Någon lyfte att det är olika lagrum för patientjournaler, NLL och NPÖ och behovet av att se över lagarna, önskvärt om samma lag kan reglera de tre. NLL:s framflyttade införande framhölls som ett exempel som speglade tidsaxeln för att införa den här typen av utveckling.
Frågan om att även privat finansierad vård ska tillgängliggöra information diskuterades där gruppen såg att alla vårdgivare skulle omfattas av samma krav på samma sätt som alla har ansvar över att föra journal. Någon lyfte att vissa söker sig till privata vårdgivare för att de inte vill dela journalföringsuppgifter.
Utredningen ställde frågan om gruppen ansåg att barn ska kunna ingå i tjänsten, flera svarade ja och att de framfört synpunkten i remissvar för delbetänkandet avseende e-recept inom EES. Grupper skyddade personuppgifter framhölls också som en grupp där det är svårt att lösa frågor om tillgång till information.
Sammanfattning av framförda synpunkter i enkäter och vid dialogmöte: Privata vårdgivare
Generellt ansåg gruppen att möjligheten att dela information genom patientöversikter är väldigt bra och till stor fördel för patientnyttan och patientsäkerheten. Att kunna utbyta information genom NPÖ framhölls som en fördel när verksamheten finns i flera olika regioner. Användbarheten, inloggning, översikt och sökmöjligheter ansågs emellertid sämre. Någon uppgav att det fanns visst motstånd i verksamheten att använda NPÖ på grund av dessa brister. Många uppgavs ha kvar den gamla bilden även om NPÖ har blivit bättre. Positivt inställd till tjänsten men ser förbättringsmöjligheter avseende hur information presenteras och önskar kunna söka på tex viss diagnos i en patientsöversikt. Behovet hos kliniker att snabbt kunna hitta det som är relevant utifrån patientens besök hos vårdgivare lyftes särskilt viktigt där dataformatet får stor betydelse. Frågor om obligatorium önskade gruppen få ta med sig hem och återkomma med skriftliga svar på. De lyfte emellertid att synpunkter sannolikt skiljer sig åt bland de privata aktörerna vilket inte fullt ut reflekteras när få deltar. Det framhölls att det är en ganska stor kostnad som vårdgivarna behöver känna att de får tillbaka. Det framhölls även att det är förenat med stora kostnader och mycket utvecklartid som kräver särskilt kompetens för många privata aktörer som i dag inte är anslutna till NPÖ. För de som redan är anslutna är konsekvenserna små.
Någon lyfte att det i dag är svårt att få klinikerna att logga in. Många arbetar mobilt vilket gör att frågor om säker inloggning är något man brottas med. Hantering av dubbletter av/i journalen lyftes som något viktigt om patientöversikter ska delas över landsgränser.
Synpunkter från patient- och intresseföreningar
Nedan sammanfattas de synpunkter som utredningen tagit del av antingen skriftligt som svar på utskickade frågor eller muntligt i samband med dialogmöte. En redovisning av svaren på utskickade frågor finns i sin helhet i bilaga 8.
Flera av de patient- och intresseföreningar som lämnat synpunkter skriftligt eller muntligt tycker att förslaget om att införa tjänsten patientöversikter inom EES är bra. Flera tror även att tjänsten skulle användas i hög utsträckning. Patienten uppgavs redan tro att det är självklart att deras journal kan ses över region- och organisationsgränser. Att ge tillgång till uppgifter för forskning ansågs inte lika självklart då det fanns viss oro kring vad andra gör med ens data.
Patientens integritet framhölls särskilt viktigt. Det uppgavs vara centralt att patienten har inflytande över hur uppgifterna delas och ges möjlighet att lämna samtycke. Personen behöver även ha full insyn i vad samtycket innebär. Vilken tillgång till uppgifter som patienten kan ge behöver framgå tydligt. Det framhölls vidare att det kan vara svårt för patienten att bedöma vilken information som är relevant att dela med sig av.
Någon framhöll att viss information är känslig och att det kan få stora konsekvenser om den tillgängliggörs, till exempel uppgifter om abort i land där abort inte är lagligt.
Hanteringen av de delar i tjänsten som rör patienten behöver vara enkel. Många uppgavs resa ofta och det sades då finnas en risk att man glömmer bort ett samtycke som är på och av – då bör det kunna ligga kvar hela tiden. Flera lyfte att det är önskvärt att kunna lämna samtycke en gång som gäller för hela patientöversikten. Om samtycke kommer krävas för varje vårdtillfälle framhålls farhågor om att journalinformation inte kan vara tillgänglig i akuta och ofta allvarliga fall av vårdbehov (till exempel om patienten är medvetslös) där vikten av information är stor. Önskemål om att tjänsten även skulle inkludera länder utanför EES framhölls.
Svenskar i Världen framhöll att många utlandssvenskar saknar tillgång till svensk e-legitimation, att många av dem har inaktivt personnummer i SPAR vilket gör att vården, myndigheter och företag inte kan få upp information om dem. Flera av dem har även samordningsnummer. Även patienter med god man uppgavs sällan ha elegitimation.
Synpunkter från professionsföreträdare
Nedan sammanfattas de synpunkter som utredningen tagit del av antingen skriftligt som svar på utskickade frågor eller muntligt i samband med dialogmöte. En redovisning av svaren på utskickade frågor finns i sin helhet i bilaga 8.
Övergripande ansågs förslaget om att implementera tjänsten patientöversikter inom EES positivt. Patientens önskan om att vara mer delaktiga, få tillgång till data och digitalt stöd framhölls. Alternativet, att inte komma åt data ens inom, eller mellan regioner ansågs inte bra då människor rör sig mycket över gränser i dag. Samtycke framhölls viktigt samt teknik för att inhämta detta.
Synpunkter avseende NPÖ innefattade bland annat att många mindre privata vårdgivare kanske inte har råd att ansluta då Inera uppgavs vara ganska dyra. Tillgången till data som NPÖ erbjuder ansågs oerhört viktig för att kunna fatta hållbara beslut. Användarvänligheten ansågs inte bra. Det framhölls att gränssnittet inte är sökbart/sorterbart. Önskemål om att kunna sortera, indexera, följa ett ärende framhölls. I dag kan bara kronologisk journal ses oavsett vårdgivare/specialitet. Användbarheten i gränssnittet uppgavs vara den enskilt viktigaste faktorn för att lyckas med ett IT projekt i dag. Alla funktioner och finesser man klämmer in i ett system saknar värde om det inte är intuitivt, lättanvänt och man kan göra det viktigaste utan längre utbildning.
Obligatorium avseende tillgängliggörande och användning uppgavs bra och behövas för att skapa förutsättningar för patientsäkerhet. Kostnadsfrågan uppgavs sannolikt bli den stora konsekvensen men om syftet var att höja kvaliteten med uppföljning, att patienten kan ses sin data och att detta blir en del av systemet är det en positiv förändring.
Förslaget om att staten tillhandahåller en nationell tjänst ansågs bra och efterlängtat av vissa medan andra framhöll att det innebär för- och nackdelar. Med den utveckling vi ser i omvärlden med mer digitalisering uppgavs det finnas ett värde med en och samma infrastruktur, som är nationell. Standarder, funktionalitet, som är bättre och modernare än Inera – vore positivt. VI utveckling av systemet framhölls att det behövs flexibilitet och utvecklingsbara komponenter som smidigt går att bryta ner i delar/moduler.
En nationell tjänst för samtycke föreslogs.
Utredningens bedömning och slutsatser
Utredningen har i uppdrag att analysera om patientöversikten eller delar av patientöversikten ska vara obligatorisk att dokumentera och tillgängliggöra för vårdgivare vid gränsöverskridande vård, både inom EES och nationellt, och föreslå hur det skulle kunna regleras. För att kunna ge en vård av hög kvalitet behöver medarbetare inom dessa verksamheter ha tillgång till aktuella och relevanta uppgifter patienten. Den information om patientens hälsa och vård som en patientöversikt kan innehålla är av sådan karaktär att den väsentligt kan påverka kvaliteten på den vård som ges, framför allt genom att vårdskador undviks. Ytterst kan det handla om skillnad mellan liv och död. Vidare kan beslut om undersökning och behandling fattas på en mer solid grund. Samtidigt är personuppgifterna som avses känsliga varför det är av stor vikt att individens integritet värnas genom att tillgängliggörande och tillgång till informationen bygger på system och processer med hög informationssäkerhet.
Tillgång till uppgifter om patientens hälsa och vård från andra vårdgivare stärker patientsäkerheten vid vård över såväl landsgränser som region-, kommun- och organisationsgränser. Utredningen kommer därför i enlighet med sitt uppdrag att föreslå en reglering för tillgängliggörandet för patientöversikter inom Sverige och inom EES.
Krav på tillgängliggörande för patientöversikter inom Sverige
Utredningen konstaterar att det i dag finns rättsligt stöd för att svenska vårdgivare och omsorgsgivare ska kunna dela vård- och omsorgsdokumentation med varandra inom ramen för bestämmelserna om sammanhållen vård- och omsorgsdokumentation men att det är frivilligt att tillgängliggöra information. Utredningen anser att det är patientens rättighet att kunna ge den vårdgivare den önskar tillgång till de enligt lag dokumenterade uppgifterna om dess hälsa och vård för att erhålla en god och säker vård. Vidare ska patienten kunna lita på att den information som framkommit i samband med utredningar och undersökningar finns tillgänglig oavsett vilken vårdgivare den väljer att besöka och att de används så att vården ges utifrån den samlade information som finns.
Flera utredningar och regeringsuppdrag har behandlat frågan om en elektroniskt sammanhållen journal för varje patient och vård-
givares tillgång till personuppgifter om patientens hälsa och vård.26,27,28,29 Ett stort antal remissinstanser har även senast våren 2022 getts möjlighet att uttala sig i frågan om huruvida det ska föreligga krav på tillgängliggörande eller om det fortsatt ska vara frivilligt. Utredningen beskriver tidigare i detta kapitel att flera tvärtemot vad som föreslogs i förarbetena till lagen inte ansåg att det skulle vara frivilligt för vårdgivare och omsorgsgivare att använda sig av ett elektroniskt system för att möjliggöra informationsutbyte över organisationsgränser.30 I fallet patientöversikt blir konsekvensen av frivilligheten tydligt eftersom det resulterar i att olika vårdgivare tillgängliggör olika mycket information. Vissa vårdgivare har heller inte tillgång till den infrastruktur som används av den offentligt finansierade vården för ändamålet. Det leder till att informationen i en patientöversikt är beroende av till vem patienten vänt sig för vård och inte kan anses heltäckande. Sammantaget sjunker nyttan i tjänsten patientöversikt och därmed även motivationen till användning.
Förutsättningarna för informationshantering inom och mellan vårdgivare och omsorgsgivare i Sverige har förändrats under de senaste decennierna. Som anförs i kapitel 5 av detta betänkande har det skett stora strukturförändringar inom hälso- och sjukvården. I dag finns fler olika utförare som är verksamma inom hälso- och sjukvården än tidigare. Allt fler privata vårdgivare bedriver vård och omsorg med eller utan offentlig finansiering. Inom ramen för den offentligt finansierade vården skedde under 2021 drygt 64 procent av alla kontakter i öppenvården hos vårdgivare i offentlig regi och knappt 36 procent hos vårdgivare i privat regi.31
De betydande patientsäkerhetsfördelarna med att kunna dela information om patientens hälsa och vård mellan vårdgivare framhölls redan i förarbeten till patientdatalagen. Där framgår emellertid att tiden inte var mogen för att genom ny lagstiftning tvinga vårdgivarna till gemensam elektronisk journalföring, vare sig på nationell nivå eller på landstingsnivå. Detta mot bakgrunden att det saknades tekniska förutsättningar för att knyta samman vårdgivarnas befintliga
26SOU 2006:82. Patientdatalag. 27SOU 2016:41. Hur står det till med den personliga integriteten? 28 E-hälsomyndigheten (2022). Sammanhållen journalföring. Möjligheter till digital informationsförsörjning på hälsodataområdet. 29SOU 2021:4. Informationsöverföring inom vård och omsorg. 30Prop. 2021/22:177. Sammanhållen vård- och omsorgsdokumentation. 31 SKR (2022). Statistik över antalet kontakter i öppenvård hos vårdgivare i privat respektive offentlig regi. Avser bara den offentligt finansierade vården.
journalföringssystem i ett informationssystem eller ersätta detta med ett nytt gemensamt. Utredningen menar att situationen i dag ser avsevärt annorlunda ut. Samtliga regioner, 50 kommuner och 115 privata vårdgivare som utför offentligt finansierad vård är redan anslutna till den tjänst som Inera tillhandahåller som möjliggör utbyte av patientöversikter mellan vårdgivare. Utredningen återkommer i nästa kapitel till de förslag som avser den infrastruktur som ska möjliggöra ett gränsöverskridande utbyte av patientöversikter.
I utredningens direktiv framgår att utredningen ska lämna förslag som möjliggör utbyte av patientöversikter med information från alla vårdgivare. Att även privata vårdgivare omfattas av bestämmelserna är enligt utredningen en viktig förutsättning för att erhålla en jämlik vård.
Mot bakgrund av det resonemang som förs ovan och med utgångspunkt från den nytta i form av stärkt patientsäkerhet som tillgång till uppgifter om patientens hälsa och vård ger, beaktat de konsekvenser som beskrivs närmare i kapitel 12 samt 18, föreslår utredningen att det ska införas bestämmelser om krav på vårdgivare att ge tillgång till utvalda uppgifter om en patient för att tillföras patientöversikter inom Sverige samt från E-hälsomyndigheten elektroniskt kunna ta del av sådan patientöversikt. Regleringen för att realisera förslaget presenteras i avsnitt 15.2.4.
Kravet ska inte gälla vårdgivare som bedriver tandvård eller kommunal hälso- och sjukvård men dessa vårdgivare samt omsorgsgivare får ge tillgång och ta del enligt ovan. Utredningen har som sitt primära fokus haft hälso- och sjukvård av och för regionerna, det vill säga den regionala vården. Utredningens dialoger har i huvudsak inte varit med vårdgivare som bedriver tandvård eller kommunal hälso- och sjukvård. När utredningen ska bedöma bland annat konsekvenser för kravställda vårdgivare till följd av förslagen utgår utredningen från den kunskap som andra beskrivit och som utredningen själv erhållit genom dialoger, enkäter med mera. Sammanfattningsvis är utredningens bedömning att konsekvenserna för de vårdgivare som innefattats i utredningens primära fokus är väl beskrivna i detta kapitel samt i kapitel 12 och 18 och att nyttorna i form av bland annat stärkt patientsäkerhet överväger de konsekvenser utredningen har kunnat förutse och beskriva. Med konsekvenser avses exempelvis kostnader och tekniska förutsättningar. Utredningen konstaterar emellertid att endast 50 av 290 kommuner tillgängliggör information i NPÖ i dag
jämfört med 21 av 21 regioner och har inte fullt ut kunnat överblicka och förstå konsekvenserna av en kravställning avseende tillgängliggörande för vårdgivare som bedriver tandvård eller kommunal hälso- och sjukvård. För dessa vårdgivare ska det dock vara möjligt att ge tillgång till uppgifter och ta del av patientöversikter i enlighet med kravet på övriga vårdgivare. För vårdgivare som använder sig av den möjligheten ska övriga skyldigheter som de kravställda vårdgivarna måste iaktta, i till exempel föreskrifter, gälla även för dem. Utredningens uppdrag har inte omfattat omsorgen.
Samma argument som utredningen för ovan avseende stärkt patientsäkerhet vid bättre tillgång till information om patientens hälsa och vård är emellertid gällande även för omsorgen. Utredningen ser att de redan omfattas av bestämmelserna i SVOD som möjliggör informationsutbytet och föreslår därför att de ges möjlighet att tillgängliggöra och ta del av uppgifter även till och från E-hälsomyndigheten på samma sätt som från andra vårdgivare och omsorgsgivare. På så sätt skapas också tydlighet och mindre komplexitet i regleringen avseende informationsflödet inom svensk hälso- och sjukvård och omsorg. Att jämföra med om olika bestämmelser skulle gälla för flödet av uppgifter i en patientöversikt mellan vårdgivare som går via en aktör som Inera respektive via E-hälsomyndigheten.
Krav på tillgängliggörande för patientöversikter inom EES
I tjänsten patientöversikt inom EES behandlas de personuppgifter om patienten och den vårdgivande hälso- och sjukvårdspersonal som Nätverket för e-hälsa kommit överens om.32 Enligt de senaste riktlinjerna avses fem kliniska informationsmängder: Aktuella diagnoser och hälsoproblem, information om allergier och överkänsligheter, större kirurgiska ingrepp och medicintekniska produkter (implantat, protes, pacemaker etc.). Utöver dessa beskrivs ett antal frivilliga informationsmängder som respektive land kan besluta om huruvida de önskar tillgängliggöra eller ej, vilket beskrivs mer ingående i kapitel 8. Den information som är strukturerad och kodad översätts via kodverk av den nationella kontaktpunkten när den överförs från
32 Informationsmängderna utgår bl.a. från patientrörlighetsdirektivet, genomförandedirektivet 2012/52/EU som har utvecklats inom Nätverket för e-hälsa, nätverkets krav och riktlinjer, samt användningen av olika standarder och överenskomna kodverk.
land A till land B, vilket beskrivs mer ingående i kapitel 8 och i avsnitt 12.2.1.
Som utredningen skriver tidigare i detta kapitel är informationsmängderna inom ramen för tjänsten ett resultat av pågående diskussioner inom Nätverket för e-hälsa. Det framgår av riktlinjerna att Nätverket för e-hälsa är ansvarigt för att uppdatera dem och att det ska ske med 2–3 års mellanrum. Målet på sikt är att även bilddiagnostik, labbresultat, utskrivningsrapporter och så småningom all hälsodata (”full health record”) ska vara tillgängliga inom Europa.33Utredningen konstaterar mot den bakgrunden att fler informationsmängder och förändringar i föreslagna definitioner av informationsmängder kommer att tillkomma över tid. I kommissionens förslag till förordning om EHDS föreslås även att samtliga informationsmängder som finns beskrivna, det vill säga även de som i dagsläget är valfria att tillgängliggöra, ska bli obligatoriska att tillgängliggöra.
Utredningen anser att ovanstående resonemang avseende nyttan av utbyte av patientöversikter med särskilt viktig information om patientens hälsa och vård är densamma för vård som bedrivs över landsgränser som inom Sverige. Mot den bakgrunden och beaktat de konsekvenser som beskrivs i kapitel 12 och 18 föreslår utredningen att bestämmelser införs om att vårdgivare, under förutsättning att patienten gett sitt samtycke, ska ge E-hälsomyndigheten elektronisk tillgång till uppgifter om en patient för att tillföras en patientöversikt inom EES samt från E-hälsomyndigheten elektroniskt kunna ta del av sådan patientöversikt. Kravet ska inte gälla vårdgivare som bedriver tandvård eller kommunal hälso- och sjukvård men även dessa vårdgivare får ge tillgång och ta del enligt ovan. Samma argument som ovan om att utredningen inte till fullo kan överblicka konsekvenserna av att ålägga ett obligatorium på dessa vårdgivare ligger till grund för undantaget.
Utredningen konstaterar att det föreligger vissa skillnader mellan flödet över landsgränser och det nationella flödet. Risk för obehörig åtkomst till känsliga personuppgifter kan öka i och med att fler aktörer får tillgång till personuppgifterna. I bland annat avsnitt 8.1.7 beskriver utredningen informationssäkerheten i tjänsterna e-recept och patientöversikter inom EES. E-hälsoavtalet ställer krav på en säkerhetsnivå i fråga om inbyggt dataskydd och dataskydd som standard,
33 Europeiska kommissionen. Electronic cross-border health services. URL: Electronic crossborder health services (europa.eu). Accessed 041122.
sekretess, integritet, autenticitet, tillgänglighet, oförnekbarhet, kryptering och andra åtgärder för datasäkerhet och kontrollmekanismer i enlighet med dataskyddsförordningen och eIDAS-förordningen. I tjänstens kravkatalog framgår vidare de krav som ska uppfyllas för att säkerställa och upprätthålla följande dimensioner av säkerhet: konfidentialitet, integritet och tillgänglighet.34 Konfidentialitet innebär i sammanhanget att data, system och tjänster skyddas från obehörig åtkomst och oavsiktligt röjande av uppgifter. Med integritet avses att informationen skyddas från obehörig modifikation. Tillgänglighet betyder enligt MyHealth@EU Requirements Catalogue att den nationella kontaktpunkten för e-hälsas resurser är tillgängliga utan orimligt dröjsmål och att behöriga användare kan få tillgång till den information de behöver när de behöver den.
Den nationella kontaktpunkten för e-hälsa måste genomgå granskning avseende informationssäkerhet och personuppgiftsbehandling innan implementation av tjänsten tillåts.
För att ytterligare stärka skyddet mot obehörig åtkomst föreslår utredningen i avsnitt 15.1.7 att patientens samtycke ska krävas för att patientens personuppgifter ska få behandlas för ändamålet förmedling av patientöversikter över landsgränser. Utredningen föreslår också att samtycke ska inhämtas när svenska vårdgivare önskar ta del av patientöversikter från utlandet. Anledningen härför är att det rör sig om känsliga personuppgifter som dessutom ska föras över landsgränser och som E-hälsomyndigheten som personuppgiftsansvarig inte har något behov av att behandla om inte patienten själv vill det. Ett sådant samtycke utgör en integritetshöjande skyddsåtgärd. Genom kravet på samtycke minskar också risken att uppgifterna överförs av misstag. Vidare föreslår utredningen att de spärrar som införts nationellt i enlighet med SVOD kvarstår även i patientöversikter som förmedlas till utlandet. Vid fara för patientens liv ska sådana spärrar, i enlighet med regleringen i SVOD, kunna hävas även beträffande patientöversikter som förmedlas inom EES. I det avseendet anser utredningen att värnandet om patientsäkerheten överväger de risker för intrång i den personliga integriteten som kan förekomma.
34 eHDSI. Requirement catalouge. Avsnitt 10. Ensure the security, performance, traceability and audiability of the service, data and systems.
12. Gränsöverskridande utbyte av patientöversikter
Utredningen har i uppdrag att utreda vad som krävs för ett gränsöverskridande utbyte av patientöversikter inom EES som inkluderar information från alla vårdgivare i Sverige. Utredningen ska föreslå åtgärder för en långsiktig förvaltning av patientöversikter samt föreslå de författningsändringar och andra åtgärder som bedöms vara nödvändiga. Utredningen ska även följa utvecklingen av EU-kommissionens förslag till förordning om ett europeiskt hälsodataområde samt analysera och bedöma om den reglering som utredningen föreslår för patientöversikter även kan innefatta ytterligare kategorier av hälsodata. Som beskrivet i kapitel 12 har utredningen även i uppdrag att analysera om patientöversikten, hela eller i delar, ska vara obligatorisk att tillgängliggöra inom EES och nationellt.
I kommittédirektiven konstaterar regeringen bland annat att den information som utgör patientöversikten inte finns centralt som den gör för e-recepten utan är utspridd i varje vårdgivares journalsystem. Vidare noterar regeringen i direktiven att E-hälsomyndigheten i tidigare regeringsuppdrag1 lyfter fram att en möjlig lösning för att inkludera alla vårdgivare skulle vara att en statlig infrastruktur tas fram för detta ändamål samt att en sådan infrastruktur sannolikt skulle bidra till en högre patientsäkerhet och en ökad jämlikhet. Vidare konstaterar regeringen att den infrastruktur som används för detta ändamål bör vara långsiktigt hållbar, syfta till en nationell likformighet och i den mån det är möjligt ta sin utgångspunkt i den förvaltningsgemensamma digitala infrastrukturen Ena som är under framtagande.
Tidigare kapitel har behandlat definitionen av begreppet patientöversikt (kapitel 10) samt krav på att dokumentera och tillgänglig-
1 E-hälsomyndigheten (2020). Informationsöverföring vid utlandsvård. Dnr 2019/01537.
göra information i syfte att dela med andra vårdgivare (kapitel 11). I det här kapitlet presenteras utredningens bedömningar och förslag avseende tekniska och organisatoriska förutsättningar för gränsöverskridande utbyte av patientöversikter med utvalda uppgifter om patientens hälsa och vård inom EES. Mot bakgrund av utredningens uppdrag att även analysera om patientöversikten eller delar av den ska vara obligatorisk att tillgängliggöra vid gränsöverskridande vård nationellt, presenterar utredningen också förslag som avser patientöversikter inom Sverige. I kapitel 1 samt kapitel 13–15 motiveras och sammanfattas utredningens författningsförslag.
Inledningsvis redogör utredningen för förutsättningar och grundläggande principer för informationstillgång och informationsutbyte. Därefter följer utredningens överväganden och förslag. Konsekvenser av utredningens förslag presenteras kort i detta kapitel och mer utförligt i kapitel 18 som innehåller konsekvensanalys och konsekvensbeskrivning.
12.1. Förutsättningar och grundläggande principer
12.1.1. Förmågor och funktioner för informationsutbyte
För att möjliggöra ett gränsöverskridande utbyte av patientöversikter i enlighet med de krav som ställs på tjänsten patientöversikter inom EES krävs en infrastruktur med ett antal förmågor och funktioner, se figur 12.1. Det krävs dels grundläggande funktioner, dels tjänster som kan erbjuda funktionalitet för att kunna hantera de behov som finns, dessa presenteras nedan. I tjänstens genomförande åläggs vidare den nationella kontaktpunkten för e-hälsa omfattande uppgifter och ansvar för vilka särskild funktionalitet behöver upprättas, utredningen återkommer till det i avsnitt 12.2.1.
Grundläggande förmågor och funktioner
Identitet
I infrastrukturen behöver det finnas funktioner för att säkerställa att en fysisk person är den som den utger sig för att vara. Som utredningen beskriver i avsnitt 8.2.1 framgår det av kraven på tjänsten patientöversikter inom EES att hälso- och sjukvårdspersonalen
måste bekräfta att patienten är den som den utger sig för att vara och har ett godkänt identitetsdokument med bild och demografiska uppgifter.2 Varje land beskriver på en för ändamålet uppsatt webbplats vilka dokument som är godkända att patienten identifierar sig med. Land A bestämmer vilken unik personlig identifierare som ska användas för identifiering av patienten i land B, detta kan till exempel vara nationellt eller regionalt id-kortsnummer, passnummer eller socialförsäkringsnummer. Hälso- och sjukvårdspersonalen för in uppgiften om den unika personliga identifieraren som skickas till land A för kontroll. Land A svarar med demografiska uppgifter om patienten, till exempel namn, unik identifierare och födelsedatum, så att hälso- och sjukvårdspersonalen kan jämföra uppgifterna med de som finns på den uppvisade identitetshandlingen. Vilka demografiska uppgifter som uppges fastställs av land A. Utredningens överväganden och förslag avseende identifikationshandling och unik identifierare beskrivs i avsnitt 12.5.
Roll och behörighet hos användaren
Uppgifter om patientens hälsa och vård är känsliga personuppgifter. Endast den hälso- och sjukvårdspersonal som är behörig att ta del av dem ska ges tillgång. Därför är det nödvändigt att veta användarens digitala identitet samt övriga uppgifter som krävs för att säkerställa att denne har rätt att ta del av uppgifterna vid den tidpunkt uppgifterna efterfrågas. Det kan vara uppgifter som exempelvis roll, arbetsplats och/eller patientrelation. För tjänsten patientöversikter krävs att hälso- och sjukvårdspersonal identifieras med tvåfaktorsautentisering.3
Laglig grund för behandling av uppgifter
Den som vill ha tillgång till uppgifter om patientens hälsa och vård i en patientöversikt behöver ha laglig grund för att behandla uppgifterna. Behörigheten kan vara lagstadgad eller ske via ett aktivt medgivande, framöver kallat samtycke, från den individ vars data behandlingen avser eller en kombination av de båda. I tjänsten patientöversikt inom
2 MyHealth@EU.. Requirement catalouge. Avsnitt 02.01. Uniquely identify the patient. 3 MyHealth@EU.. Requirement catalouge. Avsnitt 01. Ensure Health Professional Identification, authentication and authorization.
EES ska respektive land identifiera den lagliga grunden för att behandla personuppgifterna i patientöversikten. I det fall den nationella regleringen avseende rättslig grund innefattar eller baseras på samtycke ska den nationella kontaktpunkten för e-hälsa säkerställa giltighet för och ett bevis på patientens samtycke.4 Utredningens överväganden och bedömning avseende laglig grund för den nationella kontaktpunkten för e-hälsas (E-hälsomyndigheten) behandling av uppgifter presenteras i avsnitt 13.2. Utredningens förslag avseende integritetshöjande samtycke från patient presenteras i avsnitt 14.11.
Säkerhet
Infrastrukturen för att utbyta information om hälsa och vård hanterar känsliga personuppgifter och behöver i grunden och i varje del därför vara designad på ett sådant sätt att hög informationssäkerhet och integritet säkerställs. Enligt tjänstens kravkatalog omnämns följande dimensioner av säkerhet: konfidentialitet, integritet och tillgänglighet.5 Konfidentialitet innebär i sammanhanget att data, system och tjänster skyddas från obehörig åtkomst och oavsiktligt röjande av uppgifter. Med integritet avses att informationen skyddas från obehörig modifikation. Tillgänglighet betyder enligt MyHealth@EU Requirements Catalogue att den nationella kontaktpunkten för e-hälsas resurser är tillgängliga utan orimligt dröjsmål och att behöriga användare kan få tillgång till den information de behöver när de behöver den. Tillgängligheten avser inte enbart den tekniska strukturen utan även all service erbjuds genom tjänsten patientöversikter inom EES.
Spårbarhet
För att kunna upptäcka missbruk av och fel i tjänsten patientöversikter behöver all åtkomst till data ska loggas för att möjliggöra spårning. Som komplement till ISO 27002 standardkrav framgår det i tjänstens kravkatalog att det ska vara möjligt för kontaktpunkten för e-hälsa att upptäcka när tjänsten missbrukas på ett sätt som kan resul-
4 MyHealth@EU. Requirement catalouge. 04.01. Identify the applicable legal basis for processing personal and health data within eHDSI. s. 94. 5 MyHealth@EU Requirement catalouge. Avsnitt 10. Ensure the security, performance, traceability and audiability of the service, data and systems.
tera i säkerhetsrisker. Anrop behöver därför kunna loggas för kvalitetssäkring och spårbarhet.6
Översättning och mappning
När information ska skickas över landsgränser och översättas är det av största vikt att informationen betyder och avser samma sak och tolkas på samma sätt. Det framgår i kravkatalogen att den nationella kontaktpunkten för e-hälsa ska definiera och applicera nationella policys och procedurer för att mappa innehållet i datan enligt de koncept som definieras i MyHealth@EU Master Value Sets catalouge (MVC). MVC innehåller definitioner av alla begrepp som är aktuella och tas fram centralt av MyHealth@EU (tidigare eHDSI). Den nationella kontaktpunkten ska granska och godkänna mappningen och översättningen. En PDF med den originalinformation som hämtats från källan innan den strukturerats/mappats och översats ska skickas med när den kodade och översatta patientöversikten skickas.7
Tjänster för funktionalitet
Infrastrukturen som krävs utgörs även av tjänster för att möjliggöra den funktionalitet som möter behoven och som användaren är ute efter. Det komplexa system av tjänster som ska erbjuda funktioner baserat på infrastrukturen måste kunna hantera även de grundläggande funktionerna som exempelvis behörighet. För att kunna utbyta information om hälsa och vård i en patientöversikt krävs väldigt förenklat infrastruktur för att information från vårdgivare ska kunna tillgängliggöras samt infrastruktur för att användare ska kunna ta del av datan. Det sistnämnda beskrivs i figur 12.1 som ”Digital tjänst till Patientöversikt”.
6 MyHealth@EU. Requirement catalouge. Avsnitt 10.03. Ensure traceability of the exchange data. 7 MyHealth@EU. Requirement catalouge. Avsnitt 5.02 Transcode, translate and exchange crossorder services och avsnitt 9.01. Ensure structured and coded information is exchanged between countries.
Figur 12.1 Förmågor och funktioner i infrastrukturen som möjliggör informationsflödet i tjänsten patientöversikt inom EES
Källa: Utredningens eget material.
12.1.2. Teknisk lösning för patientöversikt inom EES
Stora delar av den tekniska infrastruktur som möjliggör tjänsterna erecept och patientöversikter inom EES är gemensam och förvaltas av EU-kommissionen. Medlemsstaterna är involverade på strategisk nivå (Nätverket för e-hälsa) och operativ nivå (eHealth Member States Expert Group). Då tjänsterna innebär utbyte av känsliga personuppgifter är det centralt att länderna har förtroende för varandras personuppgiftshantering. För att skapa detta förtroende styrs utbytet av gemensamma krav och specifikationer som varje nation behöver uppfylla. Det genomförs också kontroller både före ett land kan ingå i utbytet samt löpande för att en medlemsstat ska kunna fortsätta ingå i utbytet.
Den tekniska lösningen för patientöversikt över landsgränser består i huvudsak av tre delar:
- Teknisk Gateway, teknisk implementation av nationell kontaktpunkt för e-hälsa och ansvarig för att kommunikationen fungerar med andra länder, både som land A och land B. Mjukvara för Teknisk Gateway tillhandahålls av EU, men drivs och förvaltas av den nationella kontaktpunkten. Teknisk Gateway implementeras i två separata delar, en för land A och en för land B. Teknisk Gateway har gränssnitt mot Europa via den svenska SGSI-noden och det
Person försäkrad i annat EES-land söker vård i Sverige Person försäkrad i Sverige söker vård i annat EES-land
Identifikation och samtycke (Sverige)
Utländsk vårdgivare
Svensk vårdgivare
Identifikation, autentisering och auktorisering
Identifikation och samtycke (utland)
Identifikation, autentisering och auktorisering
Finns info?
Utländsk nationell kontaktpunkt
Finns info?
Svensk nationell kontaktpunkt
Informationssystem offentlig vårdgivare/omsorgsgivare
Finns info?
Informationssystem privat vårdgivare/omsorgsgivare med avtal
Informationssystem privat vårdgivare/omsorgsgivare utan avtal
Uppgifter om hälsa och vård
Uppgifter om hälsa och vård
Uppgifter om hälsa och vård
Digital tjänst: Patientöversikt
Infrastruktur för att tillgängliggöra information
Nationell connector
Loggar
m.m.
Teknisk gateway
europeiska TESTA-nätverket. Teknisk Gateway har också gränssnitt mot den Nationella Connectorn.
- Nationell Connector, implementation av funktionalitet för tjänsten patientöversikt över landsgränser både som land A och land B. PS-A etablerar gränssnittet mot den nationella infrastrukturen i land A scenariot samt förbindelsen till Teknisk Gateway. PS-B etablerar ett webbgränssnitt (PS-Webb) mot hälso- och sjukvårdspersonal i Sverige samt förbindelsen till Teknisk Gateway. Den nationella connectorn implementeras och förvaltas av den nationella kontaktpunkten.
- Nationell infrastruktur, gemensam benämning för de system och källor som tillhandahåller patientdata för att kunna skicka patientöversikt till andra länder. Den nationella integrationsplattformen för patientdata är en del av den nationella infrastrukturen.
Utifrån att tjänsten innebär överföring av känslig personinformation så är det ett europeiskt krav att överföringen mellan de nationella kontaktpunkterna för e-hälsa sker via TESTA (Trans European Services for Telematics between Administrations), ett europeiskt nätverk som är skiljt från internet och som används för säker och krypterad kommunikation. I Sverige innebär det att den nationella kontaktpunkten är ansluten till TESTA via den svenska SGSI-noden (Swedish Government Secure Intranet). Av den infrastruktur som presenteras i figur 12.2 ska teknisk gateway och nationella connectorer tillhandahållas av den nationella kontaktpunkten för e-hälsa. PS-webb samt nationell infrastruktur kan teoretiskt tillhandahållas av annan aktör.
Figur 12.2 Översikt över den tekniska infrastruktur som krävs för tjänsten patientöversikt inom EES
Källa: Bild framtagen av utredningens experter från E-hälsomyndigheten utifrån de krav som ställs på tjänsten patientöversikt inom EES.
12.2. Utredningens överväganden, bedömningar och förslag
Utredningen har utrett vad som krävs för att Sverige ska ingå i ett gränsöverskridande utbyte av patientöversikter inom EES. Nedan presenteras utredningens bedömningar och förslag för att möjliggöra tjänstens implementation och genomförande. I tjänsten finns informationsflöden i två riktningar med Sverige som land A respektive land B och dessa kräver olika funktionalitet. Utredningen kommer att presentera förslag avseende nationell infrastruktur för informationsutbyte respektive riktning och andra förutsättningar som krävs för att Sverige ska uppfylla ställda krav och därigenom kunna implementera tjänsten patientöversikter inom EES.
Övergripande föreslår utredningen att E-hälsomyndigheten, i rollen som Sveriges nationella kontaktpunkt för e-hälsa ges i uppdrag att utveckla och förvalta den funktionalitet och den infrastruktur som krävs för att kunna uppfylla de åtaganden som åligger den nationella kontaktpunkten för e-hälsa i Sverige i samband med att tjänsten implementeras i här, exempelvis en nationell connector och tjänster för mappning och översättning. För att möjliggöra informationsflödet från Sverige till utlandet föreslår utredningen att regeringen ska säkerställa att en infrastruktur för att tillgängliggöra information om patientens hälsa och vård till en patientöversikt finns tillgänglig
för alla vårdgivare. Inera äger och förvaltar viktiga tjänster och infrastruktur för detta ändamål och det bredare ändamålet säker informationsöverföring inom hälso- och sjukvården. Tjänsterna är tillgängliga för många vårdgivare men inte alla. Staten har små möjligheter att styra dess utveckling för att säkerställa att den bidrar till att nationella och internationella mål och krav uppfylls i tid. Utredningen föreslår att förslaget genomförs genom att delar eller hela Inera förvärvas samt att det utreds vidare om och i så fall vilka delar som bör ägas och förvaltas av en myndighet.
För att möjliggöra informationsflödet från utlandet till svensk hälso- och sjukvårdspersonal föreslår utredningen att E-hälsomyndigheten ges i uppdrag att tillhandahålla en tjänst för hälso- och sjukvårdspersonal för att ta del av patientöversikter från utlandet. I denna tjänst föreslår utredningen att hälso- och sjukvårdspersonal även ska kunna få tillgång till patientöversikter från Sverige till exempel vid vård av patienter över regiongränser eller organisationsgränser. Utredningen ser att infrastrukturen när möjligt och lämpligt bör återanvända eller bygga på E-hälsomyndighetens befintliga infrastruktur och att anslutningen så långt det är möjligt bygger på en säkerhetslösning som är godkänd av E-hälsomyndigheten samt de anpassningar vårdgivare redan gör inför anslutning till Nationella läkemedelslistan. Utredningen föreslår även att E-hälsomyndigheten får i uppdrag att utveckla en digital samtyckestjänst.
Utredningen presenterar förslag på hur, och genom föreslagna regelverk i kapitel 1 samt 13–15 en tidsplan för när, Sverige kan implementera tjänsten som land B. Utredningen presenterar även förslag som avser genomförandet för land A. Ingen tidsplan ges emellertid för land A eftersom detaljerna kring infrastrukturen för tillgängliggörandet behöver fastställas först.
12.2.1. Uppdrag för den nationella kontaktpunkten för e-hälsa
Utredningens förslag: Regeringen bör ge E-hälsomyndigheten,
i egenskap av den svenska nationella kontaktpunkten för e-hälsa, i uppdrag att utveckla den grundläggande funktionalitet som krävs för att den nationella kontaktpunkten ska kunna genomföra sina uppgifter enligt kraven på tjänsten patientöversikt inom EES. Utredningen ser att uppdraget som nationell kontaktpunkt
för e-hälsa är ett långsiktigt uppdrag med åtaganden som innefattar personuppgiftsbehandling som kräver rättslig grund för behandlingen. Utredningen gör i avsnitt 15.6 bedömningen att en nationell reglering behövs för att den rättsliga grunden ska kunna användas. Utredningen föreslår därför en ny bestämmelse i E-hälsomyndighetens instruktion, förordningen (2013:1031) om instruktion för E-hälsomyndigheten, som fastställer att myndigheten ska vara nationell kontaktpunkt för e-hälsa samt tillhandahålla tjänster och infrastruktur för gränsöverskridande informationsutbyte av patientöversikter.
Skäl för utredningens förslag
För att Sverige ska kunna utbyta patientöversikter över landsgränser inom EES behöver de krav som ställs av Nätverket för e-hälsa uppfyllas. Som framgår i avsnitt 13.1.1 ska flödet av information gå via de nationella kontaktpunkterna för e-hälsa i respektive land. Av kraven på tjänsten framgår att den nationella kontaktpunkten åläggs ett betydande ansvar för tjänstens genomförande. Den nationella kontaktpunkten ska bland annat säkerställa att de krav som ställs uppfylls. Det innefattar bland annat granskning av att kraven på säkerhet avseende konfidentialitet, integritet, tillgänglighet, riktighet och granskningsbarhet är uppfyllda för data som genereras inom och skickas från deras territorium. De ska vidare garantera att samtliga överenskomna krav och specifikationer avseende juridik, teknik, semantik och organisation är uppfyllda, tillgängliggöra svenska patientöversikter i enlighet med MyHealth@EU:s specifikationer på format och kodning, översätta utländska patientöversikter till svenska samt hantera samtycken. Av säkerhetsskäl och för att kunna genomföra en patientsäker överföring av en patientöversikt krävs även spårbarhet. Kontaktpunkterna för e-hälsa ska föra logg över de anrop som sker och den behandling som genomförs. Loggningen ska sparas hos kontaktpunkten och syftar till att säkerställa krav på spårbarhet, kvalitet och säkerhet för att möjliggöra tillsyn, uppföljning och felsökning vid behov. Syftet är också att kontrollera efterlevnad av åtkomst. För överföring i det säkra nätverket TESTA krävs att E-hälsomyndigheten är ansluten till Swedish Government Secure Intranet (SGSI) för säker och krypterad kommunikation mellan myndigheter i Sverige och
i Europa. Denna anslutning är redan upprättad för tjänsten E-recept inom EES. Myndigheten för samhällsskydd och beredskap är systemägare för SGSI. Delar av den tekniska lösningen för tjänsten åläggs också den nationella kontaktpunkten för e-hälsa att driva och förvalta, detta innefattar teknisk gateway och nationell connector.
Mot bakgrund av ovanstående krav på den nationella kontaktpunkten för e-hälsa i samband med att tjänsten implementeras och tillhandahålls anför utredningen att det krävs ett antal uppgifter och infrastruktur för att möjliggöra tjänsten oavsett om Sverige väljer att delta som land A, land B eller både och, som endast kan ges till den myndighet som utgör den svenska nationella kontaktpunkten för e-hälsa. I Sverige är det E-hälsomyndigheten. Därför presenterar utredningen inte någon alternativ utförare av uppdraget utan föreslår att E-hälsomyndigheten ges i uppdrag att skapa den infrastruktur och den funktionalitet som krävs för att uppfylla de krav som ställs på den nationella kontaktpunkten i samband med att Sverige implementerar tjänsten patientöversikter inom EES.
Det är i sammanhanget relevant att nämna delar av kommissionens förslag till förordning om ett europeiskt hälsodatautrymme, framöver hänvisat till som förordningen om EHDS. Där framgår bland annat att medlemsländer ska tillhandahålla patientöversikter (artikel 5), vilket är en skärpning av dagens frivilliga reglering.8 Vidare föreslås att varje medlemsstat måste inrätta en e-hälsomyndighet med ansvar för att säkerställa fysiska personers rättigheter enligt den allmänna dataskyddsförordningen när det gäller tillgång till deras elektroniska hälsouppgifter samt de skyldigheter som hälso- och sjukvårdspersonal har när det gäller dessa elektroniska hälsouppgifter. E-hälsomyndigheterna beskrivs som det organ som ansvarar för tillgång till hälsodata (artikel 10). Det föreslås att varje medlemsstat ska säkerställa att respektive e-hälsomyndighet har de mänskliga, tekniska och finansiella resurser samt de lokaler och den infrastruktur som behövs för att myndigheten ska kunna utföra sina uppgifter och befogenheter på ett effektivt sätt.
Utredningen konstaterar att samverkan mellan länderna inom EES avseende gränsöverskridande utbyte av hälsodata genom den nationella kontaktpunkten för e-hälsa utgör ett långsiktigt åtagande som snarare tilltar i omfattning än det motsatta. Det framgår bland
8 Förslag till Europaparlamentets och rådets förordning om ett europeiskt hälsodataområde Artikel 5.
annat av förslaget till förordning om EHDS vilket beskrivs mer utförligt i kapitel 4 och i nästföljande avsnitt 12.2.2. Vidare att ansvar och uppgifter för den nationella kontaktpunkten för e-hälsa i samband med att landet implementerar och förvaltar tjänsten patientöversikter är omfattande och innefattar personuppgiftsbehandling som kräver rättslig grund. Utredningen redogör i avsnitt 13.2.1 om rättslig grund för behandlingen av personuppgifter. Där framgår bland annat att behandlingen av personuppgifter får enligt artikel 6.1 c i dataskyddsförordningen ske om det är nödvändigt för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Med begreppet rättslig förpliktelse borde i första hand offentligrättslig förpliktelse omfattas, enligt förarbetena till dataskyddslagen.9 En myndighets uppdrag enligt instruktionen till myndigheten eller ett regleringsbrev kan utgöra en i enlighet med nationell rätt fastställd rättslig förpliktelse i dataskyddsförordningens mening. Mot den bakgrunden föreslår utredningen en ny bestämmelse i E-hälsomyndighetens instruktion som fastställer att myndigheten ska vara nationell kontaktpunkt för e-hälsa samt tillhandahålla tjänster och infrastruktur för gränsöverskridande informationsutbyte av patientöversikter.
Del 1 Hur vårdgivare gör uppgifter tillgängliga för en patientöversikt (Land A)
12.2.2. Statligt styrd nationell infrastruktur för tillgängliggörande av uppgifter om hälsa och vård till en patientöversikt
Utredningens förslag: Utredningen föreslår att regeringen ska
säkerställa att det finns en infrastruktur som kan tillgängliggöra utvald information om patientens hälsa och vård från alla vårdgivare till en patientöversikt som kan utbytas över organisations-, regions- och landsgränser. Inera AB tillhandahåller viktiga tjänster för detta ändamål.
Utredningen anser att förslaget bör realiseras genom att staten förvärvar hela eller delar av Inera AB eller Ineras tjänster. Utredningen föreslår att vilka delar som bör förvärvas samt om, och i så
fall vilka delar av, Ineras verksamhet bör ägas och förvaltas av en myndighet utreds vidare.
Angränsande infrastruktur för att tillgängliggöra data för andra behov och ändamål så som forskning och innovation ingår inte i utredningens uppdrag att utreda. Utredningen anför emellertid att de tjänster som möjliggör patientöversikter på sikt utgör en del av den totala statliga infrastrukturen för delning av hälsodata när den är färdigställd.
Skäl för utredningens förslag
Utredningen har i uppdrag att lämna förslag på åtgärder som bedöms vara nödvändiga för att möjliggöra ett gränsöverskridande utbyte av patientöversikter inom EES som inkluderar information från alla vårdgivare i Sverige och föreslå en långsiktig förvaltning av patientöversikter. Det sistnämnda tolkar utredningen som förvaltning av den infrastruktur som möjliggör att utvalda uppgifter om patientens hälsa och vård samlas i en patientöversikter som förmedlas vidare. Avseende den nationella infrastrukturen i Sverige föreligger en betydande skillnad mellan förutsättningarna för att utbyta e-recept från Sverige och förutsättningarna för att utbyta patientöversikter från Sverige. Informationen som utgör patientöversikter finns inte samlad centralt i ett register som förvaltas av en myndighet som den gör för e-recept. Enligt patientdatalagen ska det föras patientjournal vid vård av patient, i syfte att bidra till en god och säker vård av patienten. Information om en individs hälsa och vård som är aktuell för patientöversikten finns därigenom i patientens journal och är utspridd i varje vårdgivares journalsystem. Informationen kan även finnas i kvalitetsregister, hälsodataregister och i den nationella läkemedelslistan, vilket beskrivs mer ingående i kapitel 7. Utredningen ser en betydande fördel med att informationen som genereras om en patients hälsa och vård endast behöver registreras en gång. En utgångspunkt för utredningens förslag har därför varit att infrastrukturen ska kunna hämta eller identifiera och visa upp information i en originalkälla snarare än att den ska rapporteras in manuellt och innebära tidskrävande administrativt arbete. Det har delvis sin bakgrund i de samrådsmöten som utredningen haft med berörda där det framkommit att alternativ som ytterligare belastar vården administrativt inte är önskvärda. Sammantaget
ser utredningen att uppgifterna till tjänsten patientöversikt inom EES bör hämtas från originalkällan vid behov. Utredningen konstaterar att inget av de register som finns innehåller heltäckande information avseende de kliniska uppgifter som är aktuella för tjänsten patientöversikt inom EES, vilket bland annat framgår i en rapport av Socialstyrelsen.10 Utredningen föreslår därför att informationen ska nås från patientjournalen.
Mot den bakgrunden behöver utredningens förslag till skillnad från vid genomförandet av e-recept inom EES också innefatta lösningar som gör det möjligt att tillgängliggöra och sammanställa information från ett stort antal informationskällor vars ägare (vårdgivarna) är en mycket heterogen grupp med avseende på verksamhetens storlek, innehåll, finansiering samt tekniska förutsättningar. Regeringen har ett ansvar för att målen om en god och jämlik vård nås. Utredningen anser att det är patientens rättighet att kunna ge alla vårdgivare den önskar tillgång till information om dess hälsa och vård som finns i patientjournalen. Informationsflödet mellan vårdgivare är en central del i att vården som ges blir patientsäker, god och jämlik. Utredningen anför att tillgång till en digital infrastruktur för säkert informationsutbyte inom hälso- och sjukvården är kritiskt och viktigt. Mot den bakgrunden föreslår utredningen att staten ska säkerställa att det finns tjänster och infrastruktur för att tillgängliggöra uppgifter om patientens hälsa- och vård, bland annat i en patientöversikt, från alla vårdgivare för utbyte såväl landsgränser som organisations- och regiongränser. Det finns flera skäl till utredningens förslag, dessa presenteras nedan följt av olika alternativ för att genomföra förslaget.
Behov med anledning av nutida och framtida EU-krav
I det fall Sverige väljer att implementera tjänsten patientöversikt inom EES följer ett antal krav Sverige behöver uppfylla som ett resultat av att e-hälsoavtalet undertecknas. Bland annat åläggs ett omfattande ansvar på den nationella kontaktpunkten för e-hälsa, i Sverige E-hälsomyndigheten, som även behöver utveckla infrastruktur och processer för att möjliggöra informationsutbytet, detta be-
10 Socialstyrelsen (2022). Kartläggning av datamängder av nationellt intresse på hälsodataområdet – slutrapport. Artikelnummer 2022-10-8136.
skrivs utförligt i bland annat kapitel 8 och ligger till grund för utredningens förslag i avsnitt 12.3.1.
Som berörts ovan har utredningen även i uppdrag att följa utvecklingen av EU-kommissionens förslag till förordning om ett gemensamt hälsodataområde (EHDS). Förslaget från kommissionen syftar bland annat till att komma längre med ambitionerna i patientrörlighetsdirektivet om tillgång till och användning av data om hälsa och vård, genom att som en åtgärd av flera ställa krav på medlemsländerna att tillhandahålla prioriterade kategorier av hälsodata, däribland patientöversikter. Som utredningen beskriver närmare i kapitel 4 anges i förslaget avseende primäranvändning att:
Medlemsstaterna ska säkerställa att alla vårdgivare är anslutna till sina nationella kontaktpunkter för e-hälsa och att de som är anslutna har möjlighet att utbyta e-hälsodata i två riktningar med den nationella kontaktpunkten för e-hälsa.11
Tillgängliggörande och åtkomst till information avser alla vårdgivare oavsett hur vården är finansierad. Varje medlemsstat ska utse en nationell kontaktpunkt för e-hälsa som bland annat ska ansvara för genomförandet och efterlevnaden av förslagen som avser primär användning av hälsodata. Den nationella kontaktpunkten för e-hälsa ska även säkerställa anslutningen till alla andra nationella kontaktpunkter för ehälsa och till den centrala plattformen för e-hälsa, som det föreslås att kommissionen tillhandahåller, för att stödja och underlätta utbytet av e-hälsodata mellan medlemsstaternas nationella kontaktpunkter för ehälsa. Med andra ord bygger den föreslagna modellen på existerande modell för tjänsten patientöversikt inom EES, där information endast utbyts till och från den nationella kontaktpunkten för e-hälsa. I förordningen om EHDS är det utöver patientöversikter även obligatoriskt att dela elektroniska recept, elektronisk expediering, bilddiagnostik, laboratorieresultat och utskrivningsrapporter samt ytterligare 15 informationsmängder för sekundäranvändning av hälsodata (artikel 33). I förslaget uppges även att alla medlemsstater bör inrätta E-hälsomyndigheter som separata organisationer eller som enheter i befintliga myndigheter (artikel 10).12 E-hälsomyndigheterna ska säkerställa att de rättigheter och skyldigheter som anges i kapitel II
11 Förslag till Europaparlamentets och rådets förordning om ett europeiskt hälsodataområde. Artikel 12. 12 Förslag till Europaparlamentets och rådets förordning om ett europeiskt hälsodataområde. Artikel 10.
om primär användning av e-hälsodata och kapitel III om elektroniska patientjournalsystem och hälsoappar genomförs genom att anta nödvändiga nationella, regionala eller lokala tekniska lösningar och genom att fastställa relevanta regler och mekanismer. De ska även bygga upp nationell kapacitet för att införa interoperabilitet och säkerhet vid primär användning av e-hälsodata samt delta i informationsutbyte och kapacitetsuppbyggnad på unionsnivå. Den nationella kontaktpunkten för e-hälsa får inrättas inom den e-hälsomyndighet som inrättas. Medlemsstaterna ska enligt artikel 36 i förslaget även utse ett eller flera organ med ansvar för tillgång till hälsodata och med ansvar för att bevilja tillgång till e-hälsodata för sekundär användning. Medlemsstaterna får antingen inrätta en eller flera nya offentliga myndigheter eller förlita sig på befintliga offentliga myndigheter eller på interna tjänster hos offentliga myndigheter som uppfyller villkoren i denna artikel.
Samtidigt har det på EU-nivå nyligen lagts fram ytterligare ett förslag till förordning och en beslutad förordning vilka tillsammans på olika sätt avser reglera hantering, förvaltning och flöde av data. EU:s dataförvaltningsförordning13, vardagligt benämnd dataförvaltningsakten, är beslutad och ska införlivas i svensk rätt. Förordningen syftar till att främja tillgängligheten till och användbarheten av data genom att öka förtroendet mellan aktörer som hanterar data samt att stärka mekanismer för datadelning inom EU. Enligt artikel 7.1 ska varje medlemsland utse ett eller flera behöriga organ, som får vara behöriga för särskilda sektorer, för att bistå de offentliga myndigheter som beviljar eller vägrar tillgång för vidareutnyttjande av vissa angivna kategorier av data.
Förslaget till dataförordning14, vardagligt benämnd dataakten, har som syfte att mellan aktörerna i dataekonomin rättvist fördela nyttor från den typen av data som kommer från uppkopplade produkter samt att främja tillgång till och användning av data, bland annat medicinsk och hälsorelaterad utrustning.15 Det framgår också av artikel 31.1 i förslaget till dataförordningen att medlemsstaterna ska utse en eller flera behöriga myndigheter som ska ansvara för tillämpningen och
13 Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten). 14 Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och användning av data (dataakten) COM(2022) 68 final av den 23 februari 2022. 15 Se skäl 14 i förslaget till dataakten.
genomförandet av förordningen. Vidare framgår det av artikel 31.3 vilka uppgifter och befogenheter som medlemsstaterna ska säkerställa att den behöriga myndigheten har. I skäl 81 i förslaget anges att de myndigheter som ansvarar för tillsynen över uppfyllandet av dataskyddet och de behöriga myndigheter som utses inom ramen för sektorslagstiftning, såsom inom hälsodataområdet, bör ha ansvaret för denna förordnings tillämpning inom sina behörighetsområden.
Utredningen om sekundäranvändning av hälsodata (S 2022:04) har nyligen skickat in Promemoria med förslag om ändring av E-hälsomyn-
dighetens uppdrag inom hälsodataområdet till Socialdepartementet.16
I promemorian anför utredningen att det är lämpligt att en och samma statliga myndighet utses inom hälsodataområdet för att utföra de uppgifter som anges i samtliga av dessa tre förordningar då uppgifterna som dessa organ ska utföra enligt förordningarna är snarlika varandra. Vidare anges att det är lämpligt att ansvaret inom hälsodataområdet hamnar på en och samma myndighet för att undvika en otydlig ansvarsfördelning. I promemorian förslås att den myndighet som bör få det sektorspecifika ansvaret för infrastrukturen för hälsodata och därmed vara behörigt organ enligt artikel 7.1 i dataförvaltningsakten samt i förlängningen behörig myndighet enligt 31.1 i EU:s förslag till dataförordning och ansvarig myndighet enligt artiklarna 10.1 och 36.1 i förslaget till EHDS är E-hälsomyndigheten.17 Vidare föreslås att E-hälsomyndigheten ska tillhandahålla en övergripande nationell infrastruktur för hälsodata för att skapa förutsättningar för gemensamt nyttjande av infrastrukturen genom att tillgängliggöra nationella tjänster för att underlätta delning och nyttjande av hälsodata. Avseende infrastrukturen görs bedömningen att alternativet där staten undersöker och utreder vidare om ett förvärv av delar av eller hela Inera AB:s verksamhet är möjligt, alternativt undersöker hur den infrastruktur som Inera AB byggt skulle kunna överlåtas till det offentliga är det som går mest i linje med uppdraget till utredningen om målsättningen att inom ramen för en befintlig myndighet inrätta en teknisk och organisatorisk funktion för säker och effektiv delning av hälsodata.
Sammantaget konstaterar utredningen, i linje med ovanstående promemoria, att flera nyligen beslutade eller föreslagna EU-förord-
16 Utredningen om sekundäranvändning av hälsodata (S 2022:04). Promemoria med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet. Dnr S2023/00584. 17 Utredningen om sekundäranvändning av hälsodata (S2022:04). Promemoria med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet. Dnr S2023/00584.
ningar vilka på olika sätt avser reglera hantering, förvaltning och flöde av data tilldelar myndigheter i medlemsländerna betydande ansvar och uppgifter för dess genomförande, vilket bland annat innefattar tillhandahållande av viss infrastruktur.
Befintlig infrastruktur – styrning och användning
Utredningen konstaterar i kapitel 6 att grunden till de tjänster och den infrastruktur för säkert informationsutbyte mellan vårdgivare som i dag används av regioner och kommuner lades redan 2006 i en gemensam IT-strategi för vård och omsorg18 och fortsattes genom ett flertal olika överenskommelser.19 Satsningarna som gjordes innebar bland annat att ett enhetligt katalogsystem för vårdpersonal och resurser etablerades (HSA-katalogen) och säkerhets- och identifieringslösningar genom kort (SITHS) för vårdpersonalen togs fram.20Det innebar också att den tjänst som erbjuder vårdgivare att utbyta uppgifter, nationella patientöversikten (NPÖ), infördes i samtliga landsting mellan 2009–2011.21 NPÖ har ett beroende till ett antal andra tjänster och komponenter som Inera äger och förvaltar. För att kunna dela med sig av eller ta del av informationen i NPÖ behöver därför organisationen vara ansluten till flera tjänster.22 Det är tjänster som sammantaget gör det möjligt för en organisation att reglera och följa åtkomsten till patientinformation. Stödtjänsterna syftar till att säkerställa att it-lösningar för vård och omsorg uppfyller lagliga krav på hur patientinformation får hanteras, bland annat utgörs de av tjänsterna idP, Autentiseringstjänsten, Spärrtjänsten, Samtyckestjänsten, Loggtjänsten, Identifikationstjänst SITHS och Katalogtjänst HSA. På så sätt blir frågan om att tillhandahålla en infrastruktur som möjliggör utbyte av patientöversikter en del av den betydligt större fråga avseende infrastruktur för ett säkert informationsutbyte inom hälso- och sjukvården.
Ineras verksamhet bedrivs i aktiebolagsform och företaget ingår i SKR-koncernen. Den 31 december 2021 ägde förutom SKR Före-
18 Sveriges riksdag. Nationell IT-strategi för vård och omsorg. Skr. 2005/06:139. 19 Se bland annat Dagmaröverenskommelsen 2007 och 2008 samt Patientsäkerhetsöverenskommelsen 2011 och 2012. 20 Dagmaröverenskommelsen 2007. 21 Se till exempel Patientsäkerhetsöverenskommelsen 2011 och 2012. 22 Inera. Införande och tekniska anslutning. UR L: Införande och teknisk anslutning - Öppen info: Nationell patientöversikt (NPÖ) - Confluence (atlassian.net). Uppdaterad 2021-03-02. Hämtad 2023-02-01.
tag AB, 21 regioner och 287 kommuner aktier i Inera. Fördelningen av aktier mellan ägarna är: SKR Företag AB cirka 51 procent, regioner cirka 3 procent, kommuner cirka 46 procent.23 Ägarrådet är det högsta beslutande organet för Inera som annars leds av en styrelse som ska se till att verksamheten bedrivs i enlighet med ägarnas intention.24 Det innebär att Ineras ägarråd fattar beslut om hur Ineras tjänster utvecklas och vem de kan användas av. Utredningen har förstått att frågan om ändrat ägande och ändrad verksamhetsinriktning har diskuterats under ett antal år innan ägarstrukturen landade där den är i dag. Som utredningen beskriver i avsnitt 7.3.2 köper regioner och kommuner i dag tjänster från Inera utan konkurrensutsättning, efter en bedömning som de gjort av undantagsmöjligheter från lagen om offentlig upphandling (2016:1145), fortsättningsvis LOU. Det handlar om undantag för interna upphandlingar (även kallad Teckal- eller in-house-undantaget). Bestämmelser om sådana undantag finns i 3 kap. 12–16 §§ LOU. För att tillämpa undantaget krävs att två kriterier är uppfyllda, det så kallade kontrollkriteriet och verksamhetskriteriet. I korthet finns möjligheten att tillämpa undantag för interna upphandlingar bland annat om den upphandlande myndigheten, själv eller tillsammans med andra upphandlande myndigheter, utövar kontroll över motparten i en utsträckning som motsvarar kontrollen över deras egna förvaltningar och om motparten utför minst 80 procent av sin verksamhet för den kontrollerande myndighetens, eller de kontrollerande myndigheternas, räkning. Enligt utredningens bedömning bör möjligheten att driva verksamheten i enlighet med Teckal-undantaget kunna påverkas av hur många privata vårdgivare som skulle ansluta till NPÖ. Enligt uppgifter från Inera och SKR till utredningen tillåts inte privata vårdgivare utan offentlig finansiering använda majoriteten av Ineras tjänster.25 Det framgår även på Ineras webbplats under respektive tjänst vem som kan köpa vilken tjänst.26 Utredningen har inte kunnat hitta någon dokumentation avseende bakgrunden till ställningstagandet men enligt uppgift till utredningen handlar det bland annat om informationssäkerhetsfrågor.27
Utredningen konstaterar att med nuvarande organisation och styrning saknar staten direkt rådighet över infrastrukturen som möjliggör
23 Inera AB (2022). Årsredovisning 2021. 24 Inera. Så styrs Inera. UR L: Så styrs Inera - Inera. 25 Andreas Mårtensson, Inera. Digitalt dialogmöte 10 oktober 2022. 26 Inera. Tjänster. URL : Tjänster - Inera. Hämtad 2023-03-08. 27 Patrik Sundström, SKR. Digitalt dialogmöte 21 september 2022.
säkert informationsutbyte mellan vårdgivare. Eftersom Inera AB inte är en statlig myndighet, kan staten inte finansiera Ineras verksamhet och bara i undantagsfall styra eller begränsa verksamheten (se 2 kap. 17 § första stycket RF och artikel 107 i Fördraget om Europeiska unionens funktionssätt). Staten och SKR har emellertid tidigare upprättat överenskommelser där staten har tillhandahållit prestationsbaserad ersättning för att påverka införandet och användningen av NPÖ. I Patientsäkerhetsöverenskommelsen 2011 och 2012 var detta ett av fyra grundkrav som skulle vara uppfyllda för att få ta del av den prestationsbaserade ersättningen som 2012 uppgick till 525 miljoner kronor.28 Det framgår i beslutet för 2012 att samtliga regioner (då landsting) uppfyllde grundkravet i 2011 års överenskommelse om att ha anslutit sig till NPÖ samt kunnat visa på bred användning av tjänsten i sin verksamhet. En bred användning definierades som att landstingen skulle kunna lämna ut och ta emot uppgifter från andra vårdgivare. Av statistik på Ineras webbplats framgår att användningen av NPÖ har ökat de senaste åren från drygt 6 000 användare i januari 2016 till drygt 40 000 användare i oktober 2022.29Den yrkesgrupp som använder NPÖ mest är sjuksköterskor följt av läkare. Utredningen konstaterar emellertid att trots att 10 år förflutit sedan överenskommelsen med krav på att alla regioner ska ansluta sig och kunna visa på en bred användning av tjänsten i sin verksamhet, saknas till exempel uppmärksamhetsinformation från sex regioner. Fyra regioner tillhandahåller i dag alla nio grundläggande informationsmängder som det under en längre tid funnits teknisk infrastruktur för sen tjänsten implementerades, se informationsmängd 1–9 i figur 7.1.
Av statistiken från Ineras webbplats som utredningen presenterar i kapitel 7 framgår att det finns en regional variation avseende vilken information som tillgängliggörs i dag, vilken information som planeras tillgängliggöras på sikt samt hur mycket NPÖ används. Flera understryker till utredningen att den frivillighet och valfrihet som i grunden föreligger avseende frågan om tillgängliggörande av information resulterar i att sjukvårdshuvudmän och vårdgivare delar olika mycket information, se bilaga 8. Det uppges resulterat i att motivationen att använda tjänsten blivit låg eftersom nyttan anses begränsad
28 Regeringen. Godkännande av en överenskommelse om förbättrad patientsäkerhet 2012. S2011/11008/FS. 29 Inera. Statistik för Nationell patientöversikt. Användare. UR L: Användare - Inera. Hämtad 2023-01-10.
då information ibland saknas helt och när den finns är det ingen garanti för att innehållet är heltäckande. Liknande slutsatser har presenterats av andra.30
Även om offentligt finansierade vårdgivare tillåts ansluta framgår det i en rapport av E-hälsomyndigheten att många aktörer uppfattar att det särskilt för mindre aktörer är dyrt att ansluta till tjänsten NPÖ vilket kan utgöra ett hinder för små privata vårdgivare även om de rent teoretiskt skulle tillåtas köpa tjänsten.
Krav på verksamhet skiljer sig åt mellan Inera och myndighet
Uppgifter om patientens hälsa och vård är känsliga personuppgifter som behöver skyddas. Informationssäkerheten är därför grundläggande för verksamheten. I dag använder den offentliga vården Ineras tjänster för att it-lösningar för vård och omsorg ska uppfylla lagliga krav på hur patientinformation får hanteras, bland annat tjänsterna idP, Autentiseringstjänsten, Spärrtjänsten, Samtyckestjänsten och Loggtjänsten samt tjänster för identifikation, autentisering och behörighetskontroll. För att tjänsten NPÖ ska uppfylla gällande lagkrav finns ett beroende till flera av dessa tjänster som Inera tillhandahåller. Utredningen anför ovan att frågan om att tillhandahålla infrastruktur för att tillgängliggöra uppgifter om hälsa och vård till en patientöversikt ofrånkomligen blir den del av den betydligt större frågan om att tillhandahålla en infrastruktur för en säker informationsöverföring inom hälso- och sjukvården. Utredningen anser att den samlade infrastruktur som Inera tillhandahåller vården är central för att en god och säker vård ska kunna ges.
De verksamheter som upprätthåller eller säkerställer tillgång till sjukvård omnämns av MSB som samhällsviktiga.31 Samhällsviktig verksamhet definieras enligt följande:
Med samhällsviktig verksamhet avses verksamhet, tjänst eller infrastruktur som upprätthåller eller säkerställer samhällsfunktioner som är nödvändiga för samhällets grundläggande behov, värden eller säkerhet.32
30 E-hälsomyndigheten (2022). Ökat nyttjande av sammanhållen journalföring. Möjligheter, utmaningar och behovet av digital informationsförsörjning i dag och i framtiden, s. 58. 31 MSB (2021). Introduktion till samhällsviktig verksamhet. ISBN-nummer 978.91.7927-196-1. 32 MSB (2020). Uppdaterad definition samhällsviktig verksamhet. Ärendenummer MSB 2020-11275.
Verksamheter inom hälso- och sjukvård är samhällsviktiga i den meningen att även ett kortsiktigt bortfall av dem kan hota befolkningens grundläggande behov som kan innefatta bland annat akutsjukvård, primärvård och läkemedelsförsörjning.33 Exempel på verksamhet är enligt MSB hälsodata och informationstjänster inom området. Även betrodda tjänster som består av skapande, kontroll eller validering av ID-handlingar och elektroniska underskrifter kan vara samhällsviktig verksamhet.34 Utredningen har inte genomfört någon analys eller bedömning av huruvida Ineras tjänster är samhällsviktiga men anför utifrån den förståelse utredningen fått för Ineras verksamhet att flera av de tjänster och den funktionalitet som Inera tillhandahåller kan anses nödvändiga för samhällets grundläggande behov.
I SOU 2020:23 framhålls att det är viktigt att vården initialt i utvecklingen av tekniken säkrar riskerna ur ett beredskapsperspektiv.35Vikten av att arbeta med integritets- och säkerhetsfrågor framgår även av regeringens strategi för digitalisering.36 Fokus bör ligga på att skapa säkra och robusta system. Robust informations- och kommunikationsteknologi handlar inte bara om fungerande informationssystem, det handlar också till stor del om den information som finns i systemet. Uppgifter om patienters hälsa är känsliga personuppgifter som behöver skyddas. Lika viktigt som att skydda informationen är att säkerställa att den är korrekt. Eftersom uppgifter om patienterna ligger till grund för beslut om vård och behandling är informationssäkerhet grundläggande för verksamheten.37
De krav som ställs på aktiebolag skiljer sig från de som ställs på till exempel en myndighet. Gemensamt är att alla leverantörer av samhällsviktiga tjänster och vissa digitala tjänster omfattas av EU:s NIS-direktiv38 som ställer krav på säkerhet i nätverk och informationssystem samt av den Allmänna dataskyddsförordningen (Europaparlamentets och rådets förordning (EU) nr 2016/679), förkortat GDPR. NISdirektivet införlivas i den svenska rättsordningen genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster och regeringen har beslutat om en förordning (2018:1175) kopplat till den nya lagen. Under slutet av 2022 kom Europaparla-
33 MSB. Identifiering av samhällsviktig verksamhet: Lista med viktiga samhällsfunktioner. s. 3. 34 Ibid s. 6–7. 35SOU 2020:23, s. 102. 36 Regeringen. För ett hållbart digitaliserat Sverige – en digitaliseringsstrategi (N2017/03643). 37SOU 2020:23. Hälso- och sjukvårdens förmåga i kris och krig. s. 102. 38 Europaparlamentets och rådets direktiv (EU) 2016/1148.
mentet och EU-rådet med sitt slutliga godkännande av NIS 2.39 Det formella beslutet offentliggjordes i Europeiska unionens officiella tidning den 27 december 2022 och direktivet trädde i kraft 20 dagar därefter. Medlemsländerna har 21 månader på sig att införliva uppdateringen av direktivet. NIS 2 adresserar den ökande hotbilden mot EU och de ökande interna beroendena mellan sektorer och landsgränser. Direktivet avser att öka den inre marknadens resiliens samt förmåga till respons på incidenter och attacker. Fortfarande är marknadsperspektivet i fokus för regleringen, det vill säga åtgärderna görs med argumentet att det ska underlätta och stärka den inre marknaden och även EU:s konkurrensmöjligheter globalt.
I allmänhet gäller att allt som räknas som en samhällsviktig tjänst enligt NIS-direktivet, och i förlängningen NIS-lagen, också ska identifieras som samhällsviktig verksamhet. Däremot gäller inte det omvända, det finns samhällsviktig verksamhet som inte pekas ut i NISdirektivet och som därmed inte räknas som samhällsviktiga tjänster.
Myndigheter omfattas emellertid till skillnad från ett aktiebolag även av bland annat förordning (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. Bestämmelserna i förordningen syftar till att statliga myndigheter genom sin verksamhet ska minska sårbarheten i samhället och utveckla en god förmåga att hantera sina uppgifter under fredstida krissituationer och inför och vid höjd beredskap. Varje myndighet ska i syfte att stärka sin egen och samhällets krisberedskap analysera om det finns sådan sårbarhet eller sådana hot och risker inom myndighetens ansvarsområde som synnerligen allvarligt kan försämra förmågan till verksamhet inom området. Vidare framgår av MSB:s föreskriver om informationssäkerhet för statliga myndigheter40 att myndigheter ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av två standarder:
1. SS-EN ISO/IEC 27001:2017
2. SS-EN ISO/IEC 27002:2017.
39 Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet). 40 MSBFS 2020:6. Myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för statliga myndigheter.
Myndigheter omfattas till skillnad från aktiebolag även av förvaltningslagen (2017:900) vilket innebär att de råder under bestämmelser om hur beslut ska fattas, dokumenteras och motiveras, om objektivitet, tillgänglighet för kontakter med enskilda, samverkan med andra, handläggning av ärenden med mera. Vidare råder myndigheter under offentlighetsprincipen vilket innebär att allmänheten har rätt till insyn och tillgång till information om dess verksamhet. Bestämmelser om sekretess finns framför allt i offentlighets- och sekretesslagen (2009:400), framöver hänvisat till som OSL.
Med nuvarande organisation saknas möjlighet för Inera att i rollen som personuppgiftsbiträde identifiera eller härleda vilken information som tillgängliggörs av vårdgivarna, vilket påverkar deras möjlighet att göra kontroller och uppföljning av system och användning. Ineras roll som personuppgiftsbiträde beskrivs mer ingående i avsnitt 7.4. Som nämnts tidigare är Inera inte ett offentligt organ och lyder därmed inte per automatik under offentligrättsliga regelverk som gäller för myndigheter, till exempel förvaltningslagen. Detsamma gäller för dess majoritetsägare SKR som är en medlems- och intresseorganisation. SKR har inte heller någon beslutanderätt över sina medlemmar, med undantaget ingående av kollektivavtal. Tidigare har Coronakommissionen, Riksrevisionen och Statskontoret gjort liknande observationer.41,42,43 Avseende Ineras verksamhet finns emellertid en dom från Kammarrätten i Stockholm från oktober 2019 som fastställer att Inera AB är aktiebolag som enligt 2 kap. 3 § OSL ska jämställas med myndighet vad gäller tillämpningen av tryckfrihetsförordningens bestämmelser om rätt att ta del av allmänna handlingar hos myndigheter och vid tillämpningen av OSL.44
Utredningens sammanfattande bedömning
Den information om patientens hälsa och vård som en patientöversikt kan innehålla är av sådan karaktär att den väsentligt kan påverka kvaliteten på den vård som ges, framför allt genom att vårdskador undviks. Ytterst kan det handla om skillnad mellan liv och död.
41SOU 2021:89. Delbetänkande 2 – Sverige under pandemin. 42 Riksrevisionen (2017). Staten och SKL – en slutrapport om statens styrning på vårdområdet [RiR 2017:3]. 43 Statskontoret (2020). Förvaltningsmodeller under coronapandemin. 44 Kammarrättens i Stockholm dom den 23 oktober 2019 i mål nr 6497-19.
Vidare kan beslut om undersökning och behandling fattas på en mer solid grund. Utredningen konstaterar att dagens hälso- och sjukvård i hög grad är digitaliserad med många olika system som kommunicerar med varandra. En central del i vården är dess informationssystem i vilka bland annat patientjournal förs vid vård. Där finns digital informationen om patientens hälsa och vård som är avgörande för att högkvalitativ och effektiv hälso- och sjukvård ska kunna ges. Vård- och omsorgssektorerna är mycket informationsintensiva sektorer och behovet av en väl fungerande informationsförsörjning mellan olika nivåer och aktörer är avgörande för att patienten ska ges en god och säker vård. Infrastrukturen som möjliggör informationsåtkomst i säkra former mellan vårdgivare över organisationsgränserna och som ägs och förvaltas av Inera är ett resultat av många års viktigt målinriktat arbete och investeringar från framför allt regioner och kommuner men även staten. I dag använder den offentliga vården Ineras tjänster för att it-lösningar för vård och omsorg ska uppfylla lagliga krav på hur patientinformation får hanteras. Tjänsten Nationell patientöversikt som möjliggör informationsutbyte mellan vårdgivare och omsorgsgivare har ett beroende till flera olika komponenter av Ineras infrastruktur bland annat säkerhetstjänster. Utredningen bedömer att de tjänster och den samlade infrastruktur som Inera tillhandahåller vården är kritisk för att en god och säker vård ska kunna ges. Den används av och är tillgängliga för många men inte alla.
Utredningen anför, i linje med utredningens tilläggsdirektiv (Dir. 2021:91), att alla vårdgivare behöver ha tillgång till den nationella infrastrukturen för att skapa förutsättningar för en jämlik vård och erhålla dess fulla nytta.
Det har i olika sammanhang och av flera påpekats att det finns behov av en nationell infrastruktur för informationen i hälso- och sjukvård och socialtjänst.45,46,47 Nationellt konstaterades det även i prop. 2012/13:128 att vården och omsorgen bedömdes ha stora framtida behov av en samordning av nationella it-infrastrukturtjänster.48Utredningen anser att flertalet av de nationella tjänster och den funktionalitet som Inera tillhandahåller hälso- och sjukvården genom att möjliggöra ett säkert informationsflöde upprätthåller och säkerställer samhällskritisk verksamhet. Regeringen har ett ansvar för att målen
45SOU 2012:33. Gör det enklare! 46SOU 2019:42 Digifysiskt vårdval. 47 Vårdanalys (2019). Gränslösa möjligheter gränslösa utmaningar. 48Prop. 2012/13:128, s. 34.
om en god och jämlik vård nås. Även om de tjänster och den infrastruktur Inera äger har utvecklats av delvis statliga medel och genom gemensamma initiativ och överenskommelser mellan staten och regioner och kommuner kan staten, eftersom Inera AB inte är en statlig myndighet, inte direkt finansiera Ineras verksamhet och bara i undantagsfall styra eller begränsa verksamheten (se 2 kap. 17 § första stycket RF och artikel 107 i Fördraget om Europeiska unionens funktionssätt). Tidigare mjuk statlig styrning av NPÖ genom överenskommelser med tillhörande medel med SKR för anslutning bidrog till att alla regioner anslut sig till infrastrukturen men än i dag varierar användningen och vilka informationsmängder som tillgängliggörs mellan regionerna. Flera myndighetsrapporter har konstaterat att den mjuka styrningen på området många gånger haft små, inga eller oönskade effekter samt att utvecklingen går långsamt.49 50 51 52 53 54 55 56
Avsaknaden av heltäckande information i tjänsten gör att dess nytta och potential inte nyttjas fullt ut. Att patienten ska kunna ge alla vårdgivare den önskar tillgång till informationen ser utredningen som en rättighet och en central del i att vården som ges blir patientsäker, god och jämlik. Känsliga uppgifter och samhällskritisk infrastruktur behöver även skyddas på ett sådant sätt att integritet och kontinuitet värnas. Samtidigt behöver verksamheten som behandlar personuppgifter och tillhandahålla sådan infrastruktur kunna granskas. Utredningen ser mot den bakgrunden att den finns ett värde i att den tillhandahålls och ägs av en myndighet. Sammantaget är utredningens bedömning att staten behöver säkerställa att en infrastruktur för att tillgängliggöra information finns tillgänglig för alla vårdgivare. Staten behöver kunna påverka vidareutvecklingen av sådan infrastruktur för att den ska utvecklas på ett sådant sätt och i en sådan hastighet att den kan bidra till att Sverige uppfyller såväl internationella åtaganden och krav, däribland patientöversikter, som
49 Statskontoret (2021). Vision e-hälsa 2025 – ett försök att styra genom samverkan, 2021:17. 50 Vård- och omsorgsanalys (2017). Lapptäcke med otillräcklig täckning, rapport 2017:4. 51 Riksrevisionen (2006). Socialstyrelsen och de nationella kvalitetsregistren inom hälso- och sjukvården. 52 Riksrevisionen (2013). Statens satsningar på nationella kvalitetsregister – Leder de i rätt riktning? 53 Riksrevisionen (2020). Äldresatsningen – effektiviteten i statens satsning på kvalitetsregister i äldreomsorgen. 54 Riksrevisionen (2022). På skakig grund – beslutsunderlag inför stora reformer. 55 Ekonomistyrningsverket (2022). Digitaliseringen av det offentliga Sverige, ESV 2018:31. 56 Riksrevisionen (2016). Den offentliga förvaltningens digitalisering – En enklare, öppnare och effektivare förvaltning? (RiR 2016:14).
nationella mål. Utredningens bedömning är även att det finns fördelar i att staten äger hela eller delar av sådan nationell infrastruktur inom sektorn.
Utredningen konstaterar att det finns olika alternativ för att försöka åstadkomma ovanstående. Dessa presenteras nedan följt av en sammanfattande bedömning och utredningens förslag.
Genomförande av förslaget – olika alternativ
För att möjliggöra att utvalda uppgifter om patientens hälsa och vård från alla vårdgivare sammanställs i en patientöversikt med hjälp av en infrastruktur med en långsiktig förvaltning och förmedlas över internationella och nationella gränser har utredningen övervägt ett antal alternativ. Alternativen avser infrastruktur för att tillgängliggöra och kunna samla uppgifter. Förslag avseende infrastruktur för att ta del av uppgifterna kommer i nästföljande avsnitt 12.2.3.
Utredningen ser att man kan skära alternativen på olika sätt. Som nämnts ovan anser utredningen att en infrastruktur för att tillgängliggöra information om patientens hälsa och vård från patientjournalen krävs för att nutida och framtida nationella och internationella mål och krav ska kunna uppfyllas, till exempel i fråga om tjänsten patientöversikter inom EES. Utredningen anför att staten behöver kunna påverka utvecklingen och användningen av infrastrukturen för att den ska kunna bidra till att krav uppfylls i utsatt tid. Mot den bakgrunden har utredningen tittat på olika upplägg med ett statligt eller regionalt huvudmannaskap. Alternativ inom ramen för ett regionalt huvudmannaskap innefattar att Inera fortsätter att tillhandahålla befintliga tjänster och infrastruktur men att staten erhåller inflytande genom avtal eller reglering. Statligt huvudmannaskap innefattar antingen att tjänster och infrastruktur motsvarande Ineras tillhandahålls av staten eller statlig aktör antingen genom att de utvecklar eller förvärvar sådan infrastruktur eller att en annan mer generisk infrastruktur byggs som möjliggör delning av hälsodata för fler ändamål. Noll-alternativet innebär att Inera fortsätter att tillhandahålla de tjänster och den infrastruktur de gör i dag med bibehållen styrning och rådande bestämmelser avseende användning.
Konsekvenserna av respektive alternativ beskrivs fullständigt i kapitel 18. I detta avsnitt ges emellertid en kort sammanfattning för bättre förståelse för bakgrunden till utredningens förslag.
Huvudalternativ 1: Bibehållet regionalt huvudmannaskap över tjänster och infrastruktur
I detta huvudalternativ äger Inera (indirekt SKR, regioner och kommuner) tjänster och infrastruktur för ett säkert informationsutbyte inom hälso- och sjukvården, vilket bland annat möjliggör utbytet av svenska patientöversikter till andra EES-länder. Det som skulle motivera att nuvarande ägarskap bibehålls är att den styrningsmodell som SKR, regioner och kommuner kommit överens om behålls intakt vilket innebär att SKR, regioner och kommuner har full rådighet över tjänster och infrastrukturens användning och utveckling. Det innebär att det kommunala självstyret inte påverkas. Det kräver inte heller någon utredning av organisationsförändringar utan verksamheten kan fortlöpa som det gör. En utveckling av tjänsterna inom ramen för nuvarande organisation kan inledas och genomföras utifrån befintliga rutiner som med hög sannolikhet innebär att infrastrukturen som möjliggör att svenska patientöversikter utbyts med andra EES-länder snabbare kommer på plats jämfört med de alternativ som innefattar ett statligt huvudmannaskap. I detta alternativ kan staten säkerställa att tjänster och infrastruktur tillhandahålls alla vårdgivare och uppfyller de krav som ställs på tjänsten patientöversikter inom EES på ett antal sätt:
1. Staten upphandlar från Inera de tjänster som krävs för att för att tillgängliggöra specificerade informationsmängder,
2. överenskommelse mellan staten och SKR, eller
3. bestämmelser om krav på regioner att tillhandahålla en infra-
struktur för att tillgängliggöra uppgifter från patientjournalen som uppfyller de krav som ställs på tjänsten.
Alternativ 1 innebär att Ineras tjänster som möjliggör att informationen som ska ingå i patientöversikten tillgängliggörs upphandlas av en myndighet utifrån de krav som ställs på tjänsten. Inera levererar ett fyrtiotal olika tjänster, där NPÖ och dess stödtjänster samt
den infrastruktur som dessa tjänster är baserad på utgör en delmängd. I och med att det finns ett beroende mellan NPÖ och flera andra av Ineras tjänster till exempel SITHS, HSA och säkerhetstjänster, är det enligt utredningens bedömning osäkert om en upphandling av Ineras tjänster skulle kunna genomföras på ett sådant sätt att de krav som ställs på tjänsten patientöversikter inom EES skulle införlivas samtidigt som statens önskemål om att information från alla vårdgivare ska inkluderas möts. De stödtjänster och den infrastruktur som NPÖ har ett beroende till har dessutom beroenden till många av Ineras andra tjänster vilket ökar komplexiteten. Förändras datamängderna i tjänsten krävs sedan nya upphandlingar.
Alternativ 2 är det sätt som staten tidigare tillämpat för att påverka användning och utveckling av den infrastruktur Inera äger. Som utredningen konstaterar ovan är överenskommelser mjuka styrmedel som bygger på att parterna kommer överens om dess innehåll. En risk detta alternativ är, som konstateras i flera myndighetsrapporter, att den mjuka styrningen på området många gånger haft små, inga eller oönskade effekter samt att utvecklingen går långsamt.
Alternativ 3 innebär att lagar används som styrmedel genom att bestämmelser om att regioner i egenskap av huvudmän tillhandahåller en infrastruktur för att tillgängliggöra uppgifter som är tillgänglig för alla vårdgivare i regionen och uppfyller de krav som ställs på tjänsten patientöversikt inom EES. Styrmedlet är hårt vilket innebär att det som fastställs i lagen ska följas.
Kort sammanfattning av konsekvenserna av huvudalternativ 1
Alternativen i huvudalternativ 1 får enligt utredningens bedömning vissa konkurrenseffekter och påverkar hur Ineras verksamhet kan drivas framåt. Utredningen föreslår krav på att alla vårdgivare (vårdgivare som bedriver tandvård och kommunal hälso- och sjukvård undantagna) ska tillgängliggöra uppgifter till en patientöversikt. Det innebär att ett stort antal privata vårdgivare behöver ansluta sig till Ineras infrastruktur i både fall 1, 2 och 3 ovan. Som utredningen beskriver tidigare i detta avsnitt köper regioner och kommuner i dag tjänster från Inera utan konkurrensutsättning, efter en bedömning som de gjort av undantagsmöjligheter från LOU. Det handlar om undantag för interna upphandlingar (även kallad Teckal- eller in-
house-undantaget), förutsättningarna för detta beskrivs ovan och i
kapitel 7.3.3. Givet det stora antalet privata vårdgivare som skulle ansluta till och använda sig av Ineras tjänster finns det sannolikhet att mer än 19 procent av Ineras verksamheter skulle erbjudas den fria marknaden och inte dess ägare vilket skulle innebära att Teckalundantaget som verksamheten bedrivs enligt i dag inte längre skulle vara tillämpligt. Mot den bakgrunden ser utredningen att det är osäkert huruvida alternativ 1 och 2 skulle vara önskvärt ur regioners, kommuners och SKR:s perspektiv, vilket påverkar förutsättningarna för en lyckad upphandling eller beslutad överenskommelse.
Utredningen anför att påverkan på det kommunala självstyret kommer vara minimalt med alternativ 1 och 2 och betydande i alternativ 3 då vårdgivare åläggs tillhandahålla en infrastruktur som ska uppfylla vissa krav och vara tillgänglig för alla vårdgivare.
Kostnader till följd av förslaget är begränsade jämfört med om ny infrastruktur byggs eller tillhandahålls av statlig aktör då befintlig infrastruktur återanvänds och upparbetade rutiner för utveckling nyttjas. Den anpassning av system som Inera behöver göra går sannolikt fort. Komplettering av två informationsmängder för att uppfylla kraven på tjänsten patientöversikt inom EES kommer emellertid även att kräva anpassningar i vårdgivares informationssystem. Utredningen konstaterar att utveckling som kräver sådan anpassning kan ta tid att få till stånd givet byte av informationssystem i flera regioner samt det pågående införandet av NLL. Kostnader för anslutning av alla privata aktörer samt förvaltning av systemet tillkommer vid såväl detta alternativ som huvudalternativ 2.
Huvudalternativ 2: Statligt huvudmannaskap över tjänster och infrastruktur
I detta huvudalternativ äger staten tjänster och infrastruktur som möjliggör att informationen som ska ingå i en patientöversikt tillgängliggörs till svenska patientöversikter för förmedling till andra EES-länder. Det som i första hand skulle motivera ett statligt huvudmannaskap över infrastruktur för informationsutbyte inom hälso- och sjukvården och omsorgen är den rådighet och möjlighet till att påverka utvecklingen som staten skulle erhålla i ett sådant upplägg.
Alternativet kan delas upp i att tjänster och funktionalitet motsvarande den som Inera äger tillhandahålls eller att en annan typ av
infrastruktur som möjliggör mångfalt fler tjänster och delning av data för fler ändamål utvecklas. Angränsande infrastruktur för att tillgängliggöra data för andra behov och ändamål så som forskning och innovation ingår inte i utredningens uppdrag att utreda. Det utreds emellertid av andra.57 Utredningen kommer därför inte lämna förslag avseende eller gå djupare in på det sistnämda alternativet men anför att den infrastruktur som möjliggör patientöversikter på sikt ska utgöra en del i den totala infrastrukturen för utbyte av hälsodata när den är färdig.
Mot bakgrund av ovanstående presenterar utredningen två alternativ:
1. staten utvecklar motsvarande tjänster och ålägger vårdgivarna att
koppla upp sig mot dem, eller
2. staten förvärvar hela Inera eller SKR:s ägarandel i Inera.
Det första alternativet innebär att den myndighet staten bestämmer utvecklar motsvarande tjänster och en liknande infrastruktur som Ineras för ändamålet patientöversikter inom EES. Ett sådant alternativ skulle säkerställa att den funktionalitet och infrastruktur som krävs erhålls, att alla krav uppfylls och att alla vårdgivare kan ansluta.
Alternativ 2 är att förvärva hela eller delar av Inera AB alternativt undersöka hur den infrastruktur som Inera byggt skulle kunna överlåtas till det offentliga. Inera ägs i dag av SKR Företag AB cirka 51 procent, regionerna cirka 3 procent och kommunerna cirka 46 procent. Förvärvar staten hela företaget skulle man eventuellt, som man gjorde med Apoteket Service AB, i ett andra steg kunna avveckla företaget och inkorporera verksamheten i en eller flera myndigheter. Vid omregleringen av apoteksmarknaden lyftes samhällsnyttig infrastruktur i form av databaser och informationssystem som ansågs vara viktiga för effektiv drift, kontroll och överblick över läkemedelsanvändningen och kostnader samt underlag för forskning ut ur Apoteket AB och drevs vidare i statlig ägo med konkurrensneutralt förhållningssätt till alla apoteksaktörer, genom att Apotekens Service AB tog över ansvaret för databaser och register som reglerades i lagen (1996:1156) om receptregister och lagen (2005:258) om läkemedelsförteckning samt för register med arbetsplatskoder en nationell dos-
57 Dir. 2022:41. Hälsodata som nationell resurs för framtidens hälso- och sjukvård.
databas och för sammanställning av nationell läkemedelsstatistik.58Apotekens Service AB blev i samband med övertagandet personuppgiftsansvarigt för receptregistret och läkemedelsförteckningen. Regeringen beslutade sedermera i januari 2011 att ge en särskild utredare i uppdrag att se över de statliga delarna av vård- och omsorgssystemet (dir. 2011:4). I slutbetänkandet pekas fyra huvudområden ut där staten har en särskilt viktig roll inom hälso- och sjukvården varav infrastruktur för it och kommunikationslösningar var en.59 I socialutskottets betänkande som behandlade prop. 2012/13:128 framgår riksdagens beslut om att bilda en ny myndighet för hälso- och vårdinfrastruktur och ett bemyndigade till regeringen om att genomföra statens förvärv av verksamheten i Apoteken Service AB.60 Den nya myndigheten gavs samma uppgifter som bolaget Apotekens Service AB, som i sin tur avvecklades. Myndigheten tog därigenom över den verksamhet som Apotekens Service AB hade och den service som bolaget tillhandahöll gentemot apoteksaktörerna samt skulle verka för att införa funktioner och system som främjar en patientsäker och kostnadseffektiv läkemedelsdistribution på en omreglerad apoteksmarknad.
Genom att endast köpa SKR Företag AB:s andel skulle staten bli majoritetsägare i företaget samtidigt som regionerna och kommunerna fortsatt skulle ha ett inflytande över verksamheten. Detta skulle ha sina fördelar då framför allt framtida utveckling måste ske i nära samarbete med regionerna och kommunerna. Å andra sidan skulle statens inflytande vara begränsat.
Kort sammanfattning av konsekvenserna av huvudalternativ 2
Konsekvenserna av att staten bygger en likvärdig infrastruktur skulle framför allt vara ekonomiska. Att bygga upp de tjänster och den infrastruktur som Inera tillhandahåller och som det offentliga finansierat är mycket kostsamt och tidskrävande. Dessutom skulle det innebära att skattepengar finansierar förvaltningen av två likvärdiga infrastrukturer. Kostnaden för förvaltningen av tjänsten NPÖ och stödtjänsterna SITHS, HSA och Säkerhetstjänster uppgår under 2023 till strax över 70 miljoner kronor för regioner. Förvaltningskostnaden
58Prop. 2008/09:145. Omregleringen av apoteksmarknaden. s. 295. 59SOU 2012:33 Gör det enklare! 60 Socialutskottets betänkande 2012/13:SoU26.
för gemensam infrastruktur uppgår till 80 miljoner kronor.61 En nyanslutning av alla vårdgivare som redan är anslutna till Ineras tjänster skulle innebära ett omfattande, resurskrävande och tidskrävande arbete. Utredningen ser att detta alternativ får så stora ekonomiska och administrativa konsekvenser med en så liten adderad nytta att alternativet inte är aktuellt att utreda vidare.
Ett förvärv av delar eller hela Inera ger staten inflytande över bolaget och dess verksamhet. Staten har emellertid generellt inte möjlighet att detaljstyra statligt ägda bolag på sådant sätt att vidareutveckling och investering av medel påverkas. Utgångspunkten för regeringens bolagsstyrning är den svenska bolagsstyrningsmodellen. Det innebär bland annat att de bolag som ägs av staten styrs associationsrättsligt på samma sätt som privatägda bolag med bolagsstämman som det högsta beslutande organet. Det innebär också att styrelsen ansvarar för bolagets organisation och förvaltningen av dess angelägenheter och att det är styrelsens ansvar att fastställa mål och strategi för bolagets verksamhet samt att bolagets ledning sköter den operationella driften av bolagets verksamhet. Bolag med statligt ägande lyder som utgångspunkt under samma lagar som privatägda bolag.62 För möjlighet att detaljstyra utveckling behöver verksamhet lyftas in i en myndighet.
Ett förvärv av SKR Företag AB:s aktier i Inera skulle inte i formell mening påverka det kommunala självstyret i och med att SKR endast är en medlems- och arbetsgivarorganisation för kommunerna och regionerna. Ett förvärv även av de aktier som innehavs av kommunerna, och en eventuell avveckling av företaget och inkorporering av dess verksamhet i E-Hälsomyndigheten, skulle beröva kommunerna och regionerna det inflytande de i dag har över verksamhetens inriktning i kraft av sina poster i Ineras ägarråd, styrelse och programråd.
Detta inflytande över den framtida utvecklingen av informationshanteringen för hälsa, vård och omsorg och måste, i så fall, garanteras på annat sätt och i andra former vilket kan innebära vissa kostnader. Utredningen återkommer till detta i avsnitt 12.7.
61 Inera (2023). Prislista regioner, gemensam och valbar 2023. Gemensamma tjänster. 62 Regeringskansliet. Så styrs bolagen. UR L: Så styrs bolagen - Regeringen.se. Uppdaterad 2020-03-03. Hämtad 2023-02-26.
Huvudalternativ 3 – Nollalternativet
Nollalternativet innebär att Inera fortsätter att bedriva sin verksamhet på samma sätt som i dag och att ingen upphandling eller överenskommelse genomförs av staten för att kunna påverka tjänsternas utveckling och användning. Med detta alternativ skulle inte Ineras tjänster och infrastruktur uppfylla de krav som ställs på tjänsten patientöversikt inom EES. Infrastrukturen skulle heller inte kunna användas av vårdgivare med enbart privat finansierad verksamhet. En anslutning av alla privata vårdgivare med offentlig finansiering skulle sannolikt även påverka Ineras möjlighet att bedriva verksamheten enligt Teckalundantaget. Med detta alternativ kan Sverige inte implementera tjänsten patientöversikter inom EES som land A (svenska patientöversikter till utlandet).
Sammanvägd bedömning
Utredningen anser att huvudalternativ 1 där delar eller hela Inera AB:s verksamhet eller Ineras tjänster förvärvas är det alternativ som bäst möter utredningens uppdrag om att lämna förslag på åtgärder som bedöms nödvändiga för att möjliggöra ett gränsöverskridande utbyte av patientöversikter inom EES, som inkluderar information från alla vårdgivare i Sverige samt en långsiktig förvaltning av patientöversikter. Det skapar även enligt utredningen bäst förutsättningar för att staten ska kunna säkerställa att det finns en infrastruktur för att tillgängliggöra utvald information om patientens hälsa och vård från alla vårdgivare till en patientöversikt som kan utbytas över organisations-, regions- och landsgränser. Alternativet får beroende på hur det genomförs sannolikt konsekvenser på det regionala självstyret. Utredningen konstaterar emellertid att många regioner som utredningen haft dialog med ser positivt på att staten tar ett samlat ansvar för grundläggande infrastruktur. Nyttan med att alla vårdgivare ges förutsättningar för att och ombesörjs med krav på att kunna utbyta utvalda informationsmängder om patientens hälsa och vård tillfaller såväl vårdgivare som samhället i stort. Fördelen med ett förvärv är även att det återanvänder den investering och det arbete som lagts ner av regioner och kommuner samt andra vårdgivare på befintliga tjänster.
Alternativ 1 med ett fortsatt regionalt huvudmannaskap erbjuder många fördelar i form av att redan upparbetade processer och rutiner samt befintliga system vidareutvecklas inom rådande organisation vilket på kort sikt spar tid och pengar. Utredningen anför emellertid att en upphandling, överenskommelse eller lagkrav som innebär att alla vårdgivare ska anslutas till Ineras tjänster kan få effekter på huruvida verksamheten fortsatt kan bedrivas enligt Teckal-undantaget. Det skulle innebära att regioner och kommuner behöver upphandla Ineras tjänster enligt LOU. Alternativet erbjuder inte heller någon långsiktighet utan nya upphandlingar kommer krävas när nya eller förändring av befintliga informationsmängder tillkommer. Alternativet med en mjuk styrning i form av överenskommelser mellan staten och SKR ligger sannolikt närmst tillhands då det tillämpats förut. Flera myndighetsrapporter har emellertid konstaterat att den mjuka styrningen på området många gånger haft liten, ingen eller oönskad effekt samt att utvecklingen går långsamt.63 64 65 66 67 68 69 70 Utredningen ser inte att det med säkerhet skulle vara ett tillräckligt medel för att infrastrukturen på lång sikt skulle kunna bidra till att nationella och internationella mål nås i tid. Det erbjuder inte heller en långsiktig förvaltning i linje med utredningens direktiv.
Alternativet med styrning genom krav i lag på att regionerna i egenskap av sjukvårdshuvudmän ska tillhandahålla en infrastruktur för alla vårdgivare innebär en hård styrning vilket erbjuder bättre förutsättningar än överenskommelser för att målet ska nås. En styrning med lagar är emellertid inte någon garanti för att utvecklingen som åläggs regioner kan genomföras inom uppsatt tid vilket illustrerats av arbetet med Nationella läkemedelslistan. Här krävs god framförhållning och nära dialog mellan stat, region och kommun för att etablera en realistisk och hållbar tidslinje. Utredningen ser att genomförandet troligtvis skulle innebär att Ineras infrastruktur görs till-
63 Statskontoret (2021). Vision e-hälsa 2025 – ett försök att styra genom samverkan, 2021:17. 64 Vård- och omsorgsanalys (2017). Lapptäcke med otillräcklig täckning, rapport 2017:4,. 65 Riksrevisionen (2006). Socialstyrelsen och de nationella kvalitetsregistren inom hälso- och sjukvården. 66 Riksrevisionen (2013). Statens satsningar på nationella kvalitetsregister – Leder de i rätt riktning?. 67 Riksrevisionen (2020). Äldresatsningen – effektiviteten i statens satsning på kvalitetsregister i äldreomsorgen. 68 Riksrevisionen (2022). På skakig grund – beslutsunderlag inför stora reformer. 69 Ekonomistyrningsverket (2022). Digitaliseringen av det offentliga Sverige, ESV 2018:31. 70 Riksrevisionen (2016). Den offentliga förvaltningens digitalisering – En enklare, öppnare och effektivare förvaltning? (RiR 2016:14).
gänglig för alla. Det får emellertid som sagt sannolikt samma konsekvenser på huruvida Teckal-undantaget är tillämpligt. Ett sådant lagkrav är ett omfattande intrång i det regionala självstyret. En mindre betungande variant av detta alternativ är att staten tillhandahåller och förvaltar en sådan infrastruktur men att endast de system som uppfyller ställda krav avseende till exempel säkerhet, identitet och behörighet tillåts ansluta. Det sistnämnda är det som utredningen vill åstadkomma.
Avslutningsvis bedömer utredningen att inget av genomförandealternativen för huvudalternativ 1 kommer bidra till att de krav som följer av internationella regelverk i det längre perspektivet där betydande ansvar och tillhandahållande av infrastruktur åläggs myndigheter uppfylls.
Utredningen anför mot bakgrund av ovanstående att förslaget bör realiseras genom att staten förvärvar hela eller delar av Inera eller Ineras tjänster och vidareutvecklar befintlig infrastruktur så att den når befintliga och framtida nationella och internationella mål och krav avseende ett säkert informationsutbyte inom hälso- och sjukvården. Utredningen föreslår att vilka delar som bör förvärvas samt om, och i så fall vilka delar av, Ineras verksamhet bör ägas och förvaltas av en myndighet utreds vidare.
Del 2 Hur vårdgivare tar del av patientöversikter från utlandet (Land B)
12.2.3. Digital tjänst för patientöversikter inom EES
Utredningens förslag: Regeringen ska ge E-hälsomyndigheten i
uppdrag att tillhandahålla en digital tjänst som ger alla vårdgivare tillgång till patientöversikter från utlandet.
Skäl för utredningens förslag
Eftersom Sverige inte tidigare valt att implementera tjänsten patientöversikt inom EES har det hitintills inte funnits något behov av att skapa en digital infrastruktur som kan ta emot eller ta del av
patientöversikter från utlandet. Mot den bakgrunden kan utredningen konstatera att en sådan funktionalitet behöver utvecklas.
Uppgifterna i en patientöversikt behöver nås i en säker behandlingsmiljö och enbart de som är behöriga att ta del av uppgifterna ska ges tillgång. För tjänsten behövs därför bland annat grundläggande funktionalitet för att kontrollera och säkerställa identitet, roll och behörighet. Enligt e-hälsoavtalet ska avtalsparterna säkerställa att patienter och hälso- och sjukvårdspersonal kan identifieras entydigt på ett sätt som antingen är,
- identifiering som inte är elektronisk,
- e-identifiering som är anmäld enligt eIDAS-förordningen (för hälsoområdet eller ett annat område), eller
- e-identifiering som inte är anmäld enligt eIDAS-förordningen.71
Enligt e-hälsoavtalet ska autentiseringen vara förenlig med dataskyddsförordningen och eIDAS-förordningen. Det finns en överenskommelse om tvåfaktorsautentisering när det gäller hälso- och sjukvårdspersonal.72 Hälso- och sjukvårdspersonalens identitet behöver fastställas genom tvåfaktorsautentisering. Det framgår vidare att tillitsnivån för identitetshandlingen bestäms av nationella myndigheter i land B utifrån nationella bestämmelser.73 Hälso- och sjukvårdspersonalen måste ha anknytning till minst en vårdgivare eller en hälsomyndighet (på engelska ”Health authority”) och uppgifterna om vilken ska skickas med patientöversikten.74
I Sverige klassificeras e-legitimationer utifrån vilken tillitsnivå de uppnår. Med tillitsnivå avses grad av säkerhet och tillförlitlighet. DIGG granskar e-legitimationer på tillitsnivå 2, 3 och 4. Tillitsnivå 2 och högre innebär krav på tvåfaktorsautentisering.75 En granskad och godkänd e-legitimation på tillitsnivå 3 och 4 har möjlighet att teckna licensavtalet för Kvalitetsmärket Svensk e-legitimation. Det finns fem godkända e-legitimationer på tillitsnivå 3 och 4 med Kvali-
71 Se kapitel II, avsnitt II.1.1.2 och II.1.1.3 i e-hälsoavtalet. 72 eHealth Network, Jahsen Discussion paper on eHealth-specific eID framework across-borders, 2016, s. 11 och eHDSI Requirements Catalogue, 01. Ensure Health Professional (HP) Identifica-
tion, Authentication and Authorization.
73 MyHealth@EU. Requirement catalouge. Avsnitt 01.01. s. 57. 74 MyHealth@EU. Requirement catalogue. Avsnitt 01. 75 DIGG. Tillitsnivåer för e-legitimering. UR L: Tillitsnivåer för e-legitimering | Digg. Uppdaterad 2022-10-25. Hämtad 2023-01-25.
tetsmärket för användning i tjänsten, dessa listas nedan.76 Den aktör som tillhandahåller e-legitimationen anges inom parentes.
- EFOS på tillitsnivå 3 och 4 (Försäkringskassan)
- Freja Organisations eID (Freja eID Plus) på tillitsnivå 3 (Freja eID Group AB)
- Mobilt EFOS på tillitsnivå 3 (Försäkringskassan)
- Mobilt SITHS på tillitsnivå 3 (Inera AB)
- SITHS på tillitsnivå 3 (Inera AB).
Sverige har anmält svenska e-legitimationer till eIDAS. Det är därför möjligt att använda svenska e-legitimationer (just nu Freja eID Plus) i utländska e-tjänster inom EU. Det är emellertid inte i dagsläget aktuellt inom tjänsten patientöversikter inom EES.
Utredningen ser att det i dag finns två olika infrastrukturer/tjänster i drift där vårdgivare delar och ges tillgång till uppgifter om patientens hälsa och vård av särskilt intresse för utredningen. Utöver det är även tjänsten e-recept inom EES under uppbyggnad. Den ena är den infrastruktur Inera äger och förvaltar som ger åtkomst till NPÖ, den andra är infrastrukturen som E-hälsomyndigheten äger och förvaltar och som ger åtkomst till Nationella läkemedelslistan. De båda hanterar grundläggande funktionalitet avseende bland annat behörighet, identitet, säkerhet och spårbarhet och har därtill funktionalitet för att dela och ge tillgång till uppgifter.
Genomförande av förslaget – olika alternativ
Utredningen har övervägt olika alternativ, vilka beskrivs nedan.
Alternativ 1: Vidareutveckling av E-hälsomyndighetens infrastruktur
Den Nationella läkemedelslistan (fortsättningsvis NLL) är en tjänst som syftar till att ge hälso- och sjukvården, apoteken och patienten samma bild av patientens förskrivna och uthämtade läkemedel. I 9 kap. 1 § lagen (2018:1212) om nationell läkemedelslista fram-
76 DIGG. E-legitimering. UR L: E-legitimering | Digg. Uppdaterad 2022-10-25. Hämtad 2023-01-25.
kommer att den som bedriver verksamhet inom hälso- och sjukvården som innefattar ordination och förskrivning av läkemedel eller andra varor ska ha ett elektroniskt system som gör det möjlighet att få direktåtkomst till uppgifter i NLL och vid en elektronisk förskrivning lämna de uppgifter till NLL som anges i 3 kap. 8 § om registerinnehåll. Det innebär i praktiken att vårdgivarnas och apotekens system behöver anslutas till E-hälsomyndigheten för att dela och ta del av uppgifter direkt från och till deras informationssystem för förskrivning respektive expedition av läkemedel. För att möjliggöra åtkomst till och skrivbehörighet i NLL har ett nytt system utvecklats på E-hälsomyndigheten. Det nya systemet omfattar driftplattform, databasplattform och tjänsteplattform.77 Det nya registret är enligt myndigheten byggt på en modern infrastruktur som möjliggör skalbarhet och god prestanda. I dagsläget pågår arbetet med att ansluta vårdinformationssystem till E-hälsomyndigheten. Arbetet ska enligt gällande regelverk vara färdigställt den 1 maj 2023. På grund av covid-19-pandemin och införandet av nya vårdinformationssystem i regionerna har hälso- och sjukvårdens aktörer aviserat att given tidsram är för snäv. Mot den bakgrunden beslutade regeringen den 9 februari 2023 om propositionen Senarelagd anslutning till nationell läkemedelslista. Därigenom senareläggs kravet på anslutning till registret Nationell läkemedelslista och E-hälsomyndighetens informationsskyldighet till den 1 december 2025.78
Efter att kravet på anslutning trätt i kraft kommer alla förskrivare kunna se uppgifterna om förskrivning och uttag av läkemedel i sitt ordinarie vårdinformationssystem. Fram till dess kan förskrivnings- och uttagsinformation från NLL nås i Förskrivningskollen. Förskrivningskollen är en tjänst som erbjuder förskrivare möjlighet att logga in och ta del av patientens förskrivna och uthämtade läkemedel och andra varor som lämnas ut på apotek.79 Förskrivningskollen är i första hand avsedd för legitimerade förskrivare som vill förskriva läkemedel utanför arbetet. De kan med hjälp av sin dator och genom att legitimera sig med Freja eID Plus förskriva läkemedel utanför arbetet. Förskrivarkod och arbetsplatskod krävs.
77 E-hälsomyndigheten (2021). Redovisning av arbetet med framtagning av Nationell läkemedelslista. Redovisning enligt regleringsbrev (S2020/09593). Dnr 2020/04389. 78Prop. 2022/23:57. Senarelagt anslutning till nationell läkemedelslista. 79 E-hälsomyndigheten. Förskrivningskollen. URL : Förskrivningskollen • E-hälsomyndigheten (ehalsomyndigheten.se). Uppdaterad 2022-12-07. Hämtad 2023-02-27.
Av 5 kap. 3 § lagen om nationell läkemedelslista framgår att hälso- och sjukvårdspersonal som har behörighet att förskriva läkemedel eller andra varor för ändamålen: 1. åstadkomma en säker ordination av läkemedel, 2. bereda vård eller behandling av patient eller 3. komplettera en patientjournal, har möjlighet att ta del av förskrivningar och uttag i Nationella läkemedelslistan. Åtkomst ges även till sjuksköterskor utan förskrivningsrätt för de två sistnämnda ändamålen. För åtkomst krävs även patientens samtycke. När kraven på att alla vård- och apoteksaktörer ska vara anslutna till NLL träder i kraft blir det ett krav för alla aktörer att använda en säkerhetslösning godkänd av E-hälsomyndigheten. Säkerhetslösningen är enligt myndigheten utformad för att stärka skyddet av individers personliga integritet och ställer krav på identitets- och behörighetshanteringen för att säkerställa att rätt person får åtkomst till rätt information och endast till informationen den har rätt att se. E-hälsomyndigheten tillhandahåller inte själva någon identitetstjänst utan har i stället formulerat krav som de som ansluter behöver uppfylla för att ansluta till systemen. I stora drag ställs följande krav på aktörer som ska ansluta till E-hälsomyndigheten:
- Att aktören är medlem i identitetsfederationen Sweden Connect eller identitets- och behörighetsfederationen Sambi. Myndigheten för digital förvaltning (DIGG) är huvudansvarig för identitetsfederationen Sweden Connect och federationen Sambi drivs av Internetstiftelsen.
- Att alla medarbetare som använder E-hälsomyndighetens tjänster har svensk e-legitimation som är godkänd av DIGG. För nuvarande tjänster gäller tillitsnivå 3 eller högre.
- Att aktören använder en IdP (en intygsfunktion) som är granskad och godkänd av Sweden Connect eller Sambi.
När någon anropar E-hälsomyndighetens tjänst utvärderas informationen som skickats i samband med anropet och därefter tilldelas användaren en eller flera behörighetsroller. Utöver behörighetsroll är även andra aspekter avgörande för huruvida åtkomst tillåts, eller vilken information som ges vid åtkomst:
- Den resurs som anropas och den operation som används
- Det ändamål som anges
- Den åtkomsttyp som anges
- Eventuellt ombud (roll Privatperson)
- Kompletterande säkerhetsattribut i intyg.80
Alternativ 2: Vidareutveckling av Ineras tjänster
Tjänsten NPÖ är som beskrivits tidigare Ineras tjänst som möjliggör informationsutbyte mellan vårdgivare. Tjänstens innehåll, reglering och drift beskrivs utförligt i bland annat kapitel 7. Som nämns i avsnitt 12.2.2 har NPÖ ett beroende till ett antal stödtjänster som den som vill använda tjänsten behöver abonnera på. Relevant för informationsflödet från utlandet är bland annat identifikationstjänst SITHS, HSA katalogen samt Ineras säkerhetstjänster.
Inera tillhandahåller själva de två tjänster som används för identifiering och behörighetskontroll, nämligen identifieringstjänsten SITHS på tillitsnivå 3 och HSA katalogen. Ineras katalogtjänst HSA är en tjänst som innehåller uppgifter om organisationer och personer inom vård och omsorg i Sverige. Informationen i HSA används i många tjänster för att invånare och personal ska kunna söka efter kontaktuppgifter och hitta rätt vård på nätet. Uppgifterna i HSA är också en källa för att ge behörighet när användare loggar in i tjänster och system. En stor del av hälso- och sjukvårdspersonalen använder sig av SITHS-kort i dag. Organisationer som använder SITHS-kort för sin personal måste följa SITHS tillitsramverk som beskriver de krav som gäller för att få utfärda och hantera SITHS e-legitimation och även vara anslutna till Ineras katalogtjänst HSA.81
Utredningens sammanfattade bedömning och förslag
För att skapa effektivitet ur såväl ett ekonomiskt som tidsmässigt perspektiv ser utredningen en stor fördel med att när möjligt återanvända befintlig infrastruktur och befintliga tjänster. E-hälsomyndigheten har i dag en digital tjänst med information om patientens
80 E-hälsomyndigheten. Handbok för vård och apotekstjänster. URL: Välkommen till E-hälsomyndighetens Handbok för vård- och apotekstjänster - Handbok för vård- och apotekstjänster (ehalsomyndigheten.se).V ersion 21.4. Hämtad 2023-02-27. 81 Inera. Identifieringstjänst SITHS. UR L: Identifieringstjänst SITHS - Inera. Uppdaterad 2020-08-31. Hämtad 2023-01-25.
läkemedel som vänder sig till förskrivare. Med anledning av detta har myndigheten byggt upp funktionalitet för att kontrollera behörighet, säkerhet med mera. Även Inera tillhandahåller en tjänst med information om patienten som riktar sig till vårdpersonal och som har uppbyggd funktionalitet för behörighet, säkerhet med mera. För båda tjänsterna krävs emellertid utveckling av ett nytt webbgränssnitt som visar upp patientöversikter från utlandet.
Utredningen anför att de argument som läggs fram i avsnitt 12.2.2 är tillämpliga även här. Infrastrukturen behöver kunna vara tillgänglig för alla vårdgivare och kunna utvecklas på ett sådant sätt att den uppfyller nationella och internationella krav inom den tid som krävs. Utredningen anför att staten behöver rådighet även över denna infrastruktur.
Mot ovanstående bakgrund föreslår utredningen att regeringen ger E-hälsomyndigheten i uppdrag att tillhandahålla en digital tjänst som ger alla vårdgivare tillgång till patientöversikter från utlandet. Utredningen ser att infrastrukturen som krävs om möjligt och lämpligt bör återanvända eller bygga på E-hälsomyndighetens befintliga infrastruktur och att anslutningen så långt det är möjligt bygger på en säkerhetslösning som är godkänd av E-hälsomyndigheten samt de anpassningar som redan görs av vårdgivare inför anslutning till Nationella läkemedelslistan. Lösningarna bör på samma sätt som infrastrukturen för NLL bygga på de byggblock som tas fram inom Ena.
12.2.4. Tillgång till patientöversikter från utlandet och från Sverige i samma digitala tjänst
Utredningens förslag: För att tillvarata de insatser och den ut-
veckling som tjänsten patientöversikt inom EES kommer kräva samt öka den nationella nyttan av dessa föreslår utredningen att den digitala tjänst som utvecklas för att ta del av patientöversikter från utlandet även ska ge tillgång till svenska patientöversikter. I samband med att förvärvet av hela eller delar av Inera eller Ineras tjänster enligt utredningens förslag i avsnitt 12.2.2 utreds, föreslår utredningen att det även ses över om det är ändamålsenligt med två liknande tjänster för att visa upp liknande information eller om tjänsterna på något sätt kan förenas i en.
Skäl för utredningens förslag
Utredningen konstaterar att det är ett antal processer som behöver etableras och infrastruktur som behöver finnas på plats för att möjliggöra att tjänsten patientöversikter inom EES kan implementeras i Sverige. Utredningen beskriver i bland annat kapitel 11 och 18 vilka nyttor som följer av att patienten kan ge vårdgivare tillgång till dess uppgifter om hälsa och vård oavsett vilken vårdgivare som dokumenterat dem. Nyttor i form patientsäkerhet, förebyggda vårdskador och minskat dubbelarbete vid vård över såväl landsgränser, regiongränser och kommungränser som organisationsgränser. Det framgår av riktlinjen för tjänsten att informationen inte är begränsad till att enbart avse fallet med vård över landsgränser utan att medlemsländerna även med fördel kan använda riktlinjerna för att skapa interoperabilitet för informationsutbyte på nationell och regional nivå och på så sätt undvika fragmentering och dubbelarbete.82 Utredningen instämmer i fördelarna med att återanvända etablerade rutiner och infrastruktur även för det nationella flödet av patientöversikter. Mot den bakgrunden föreslår utredningen att behöriga vårdgivare via den digitala tjänst som utredningen föreslår i avsnitt 12.2.3 även kan ta del av patientöversikter från Sverige.
Utredningens förslag kan anses resultera i att det finns två med skattemedel finansierade nationella tjänster för patientöversikter som i delar ger tillgång till samma information. Utredningen anför därför att det i samband med att förvärvet av hela eller delar av Inera eller Ineras tjänster enligt utredningens förslag i avsnitt 12.2.2 utreds, även ses över om det är ändamålsenligt med två liknande tjänster för att visa upp liknande information eller om tjänsterna på något sätt kan förenas i en.
82 eHealth Network. Guideline on the electronic exchange of health data under Cross-Border Directive 2011/24/EU.
12.2.5. Gallra eller spara i register
Utredningens förslag: Utredningen ser inte att nyttan överstiger
de resurser och den arbetsinsats som krävs för att upprätta och förvalta ett register med patientöversikter och föreslår därför att de efter användning ska gallras snarare än sparas i ett nytt register. De uppgifter som den nationella kontaktpunkten för e-hälsa behöver bevara för att kunna uppfylla de krav som ställs inom ramen för tjänsten patientöversikter inom EES avseende kvalitetssäkring och spårbarhet, exempelvis i form av loggar över anrop, ska emellertid gallras först när det inte längre finns behov av uppgifterna.
Skäl för utredningens förslag
Utredningen har tidigare i detta kapitel konstaterat att det inte finns något nationellt kvalitetsregister eller hälsodataregister i Sverige som innehåller all den information som är aktuell för en patientöversikt. Som exempel saknas register med nationella data på individnivå från primärvården och annan öppen icke-specialiserad vård. Inte heller NLL ger en heltäckande bild av läkemedelsanvändningen då till exempel individbaserade uppgifter om användning av läkemedel i slutenvården, så kallade rekvisitionsläkemedel, saknas i NLL. I stället föreslår utredningen i avsnitt 11.2.2. att informationen ska hämtas från patientjournalen.
Patientöversikten kan efter att den är sammanställd och förmedlad eller mottagen antingen gallras eller sparas i ett separat register. Det föreligger olika fördelar och utmaningar med respektive alternativ. En patientöversikt är en ögonblicksbild av ett antal variabler om patientens hälsa och vård vars syfte är att få en nulägesbild som ger stöd för att kunna ge god vård. Flera variabler i patientöversikten är tidskänsliga, till exempel aktuella diagnoser och läkemedel. Utredningen ser emellertid att det finns informationsmängder i patientöversikten som med fördel skulle kunna bevaras i ett register, till exempel uppgifter om vaccin, vilket även lyfts av flera.83,84 Fördelar
83 Inrättandet av ett nationellt vaccinationsregister för privatpersoner. Motion 2019/20:437 av Rickard Nordin ©. 84 E-hälsomyndigheten och Folkhälsomyndigheten (2020). Förstudie digitalt vaccinationskort. Återrapportering enligt regeringsbeslut S2019/03409/FS (delvis). Dnr 2019/03799.
med ett register är att det erbjuder möjligheten till ett livslångt bevarande av uppgifter. Den rättsliga regleringen av insamling och användning av känsliga personuppgifter i form av individbaserade hälsodata till olika typer av register och databaser finns bland annat i EU:s dataskyddsförordning och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Vidare finns ett stort antal registerförfattningar som reglerar hur en personuppgiftsansvarig får och ska handskas med informationen i registret. För att skapa ett nytt register krävs såväl juridiska som tekniska och praktiska förutsättningar. Ett register behöver även förvaltas. Förarbete, utveckling och förvaltning av register är förenat med kostnader.
Varje gång en begäran om patientöversikt skickas samlas en ögonblicksbild av informationen som finns i journalen. Utredningens bedömning är att syftet och nyttan med patientöversikten erhålls i vårdtillfället den avser stödja. Behövs informationen för ett annat vårdtillfälle kommer en ny patientöversikt begäras vilket gör att informationen kommer att vara uppdaterad och aktuell igen även om tid gått och information tillkommit. Nyttan är med andra ord i sitt format tidskänslig och patientöversikten har skapats för att användas vid vårdtillfället den begärts för. Att bevara patientöversikter i ett register skulle innebära att olika ögonblicksbilder av utvalda variabler sparas. Historiska värden som är angivna i patientjournalen finns i den nya patientöversikten varför det är ointressant att konsultera gamla patientöversikter. Att bevara patientöversikten i sin helhet i ett register anser utredningen inte ger en nytta som överstiger den kostnad och tid som går åt för att upprätta och förvalta ett nytt register.
En svaghet med modellen där information hämtas vid behov från patientjournalen är att vid exempelvis gallring och arkivering av journaler blir information inte längre tillgänglig för elektronisk åtkomst. Det gäller även om journalinformation arkiveras i samband med att en verksamhet avslutas och läggs ned, eller av andra skäl arkiveras när vårdgivare organiseras om, förvärvas, ersätter äldre system med nya med mera. Utredningen konstaterar emellertid att detta fenomen inte är unikt utan kommer behöva hanteras av alla digitala system som önskar hämta information vid behov från digitala patientjournalen och motiverar inte att ett register för patientöversikter upprättas.
12.3. Digital tjänst för att lämna samtycke för patient
Utredningens förslag: E-hälsomyndigheten ska ges i uppdrag att
ta fram en digital tjänst där patienter som är försäkrade i Sverige kan lämna och överblicka samtycken med hjälp av e-legitimation. I det fall individen inte har någon e-legitimation föreslår utredningen att samtycke kan lämnas till vårdgivaren eller apotek som kontrollerar patientens identitet med en godkänd identitetshandling och förmedlar uppgifterna vidare till E-hälsomyndigheten.
Skäl för utredningens förslag
En patientöversikt innehåller känsliga personuppgifter om fysiska personers hälsa och vård. Risk för obehörig åtkomst till känsliga personuppgifter kan öka i och med att fler aktörer får tillgång till personuppgifterna. Det är därför av största vikt att flödet av uppgifter om en fysisk persons hälsa och vård i en patientöversikt sker på ett sätt som värnar om skyddet för den personliga integriteten dels genom att det finns rättslig grund för behandlingen, dels genom att infrastrukturen som utvecklas och används nationellt och internationellt präglas av hög informationssäkerhet.
För att stärka skyddet av personuppgifterna föreslår utredningen i avsnitt 14.11 att ett integritetshöjande samtycke införs som innebär att E-hälsomyndigheten enbart får behandla personuppgifter för ändamålet sammanställa, översätta och förmedla patientöversikter om patienten samtyckt till det.
För att ta del av uppgifter i en patientöversikt från ett annat EESland behöver vårdgivare informera patienten om personuppgiftsbehandlingen i Sverige samt inhämta patientens samtycke.
Redan i dag regleras svenska vårdgivares och omsorgsgivares åtkomst till uppgifter från andra svenska vårdgivare och omsorgsgivare i SVOD. För att kunna ta del av uppgifter som behandlats av en annan svensk vårdgivare behöver vårdgivaren eller omsorgsgivaren ha en aktuell patientrelation med patienten uppgifterna avser och även inhämta patientens samtycke vilket framgår av 3 kap. 1 § 2 p SVOD. Innan patientens uppgifter görs tillgängliga för andra vårdgivare eller omsorgsgivare framgår av 2 kap. 2 § SVOD att patienten eller omsorgsmottagaren ska ha fått information av vårdgivaren eller omsorgsgivaren om vad sammanhållen journalföring innebär och dess
möjlighet att motsätta sig tillgängliggörandet. Om patienten motsätter sig att uppgifterna tillgängliggörs ska informationen spärras.
Patientöversikter från Sverige
I fallet då Sverige är land A får E-hälsomyndigheten endast behandla personuppgifter för att sammanställa, översätta och förmedla patientöversikter om patienten lämnat sitt samtycke till det. På samma sätt får vårdgivare endast tillgängliggöra information om samtycke finns. Som nämnts ovan framgår vidare av kraven på tjänsten att den nationella kontaktpunkten för e-hälsa ska säkerställa giltighet för och bevis på patientens samtycke. En farhåga som lyfts i samband med de dialogmöten utredningen genomfört är att hälso- och sjukvårdspersonal i ett annat EES-land med enbart uppgifter om ett personnummer på en person som är försäkrad i Sverige ska kunna få tillgång till känslig information om en patients hälsa och vård. Uppgifter om anrop finns hos den nationella kontaktpunkten för e-hälsa för att möjliggöra granskning av tjänstens användning och generell spårbarhet. Utredningen föreslår även ett integritetshöjande samtycke för att minimera risken för otillåten åtkomst till uppgifter om patientens hälsa och vård. Utredningen ser även att det ur integritetssynpunkt vore fördelaktigt att det är möjligt för patienten att ange samtyckets giltighetstid samt vilka länder samtycket avser. Utredningen ser även fördelar med att patienterna ska kunna begränsa vilka av de valfria informationsmängder som samtycket avser, då vissa informationsmängder (till exempel uppgift om abort) kan vara särskilt känsliga i andra länder med annan lagstiftning. Det finns emellertid utmaningar med att skapa så många val för samtycket då det av patienten kan uppfattas som komplicerat.
Utredningen ser att ett samtycke bör kunna lämnas digitalt med hjälp av e-legitimation och på annat sätt för de som inte har en e-legitimation. En digital samtyckestjänst skulle göra det möjligt för patienten att i samband med vårdbesöket i utlandet logga in i tjänsten på sin mobil och lämna samtycke för det enskilda vårdtillfället. På så sätt blir det tidsfönster där uppgifterna är tillgängliga minimalt. Av den senaste rapporten om Svenskarna och Internet 2022 framgår att 91 procent av Sveriges befolkning som är 16 år eller äldre använder sig av e-legitimation.85 Utredningen konstaterar emellertid att det
85 Internetstiftelsen (2023). Svenskarna och internet 2022, s. 16.
finns delar av Sveriges befolkning som inte kan få eller vill använda e-legitimation. Utredningen föreslår att dessa patienter ska kunna lämna samtycke via vårdgivaren eller apotek, som i sin tur åläggs identifiera patienten i samband med att samtycke inhämtas samt förmedla samtycket vidare till E-hälsomyndigheten.
Det finns två skäl till att utredningen föreslår att E-hälsomyndigheten ska utveckla denna tjänst. Dels är E-hälsomyndigheten i rollen som den nationella kontaktpunkten för e-hälsa är ansvarig för att kontrollera och verifiera att samtycke finns innan patientöversikter förmedlas vidare över landsgränser, varför det finns en fördel i att dessa görs tillgängliga i en infrastruktur som är lättillgänglig för myndigheten. De har även i rollen som nationell kontaktpunkt för e-hälsa kunskap om de krav som behöver uppfyllas avseende samtyckeshanteringen. Dels har E-hälsomyndigheten redan ett användargränssnitt gentemot patienten i form av den digitala tjänsten Läkemedelskollen.
Patientöversikter från utlandet
Utredningen föreslår i avsnitt 15.1.6 att patienter som är försäkrade i ett annat EES-land behöver ge sitt samtycke innan vårdgivaren ges tillgång till uppgifterna i patientöversikten från patientens försäkringsland. Utredningen föreslår att dessa patienter lämnar samtycke via vårdgivaren eller apotek, som i sin tur åläggs identifiera patienten i samband med att samtycke inhämtas samt förmedla samtycket vidare till E-hälsomyndigheten.
Särskilda överväganden avseende e-legitimation
Digitaliseringen genomsyrar vårt samhälle och Sverige har, ur ett internationellt perspektiv, en mycket hög användning av e-legitimationer. Digg uppger i sin rapport om en säker och tillgänglig statlig e-legitimation att det finns cirka 6 000 tjänster som ställer krav på inloggning med e-legitimation.86 De anför att e-legitimationer är en samhällskritisk infrastruktur som måste fungera året runt, alla dagar. Digg konstaterar emellertid på samma sätt som utredningen att det finns uppskattningsvis en miljon människor i Sverige i ett digitalt
86 Digg (2023). En säker och tillgänglig statlig e-legitimation. Slutredovisning av regeringsuppdrag att föreslå hur en statlig e-legitimation kan utformas (I2022/01335).
utanförskap genom att de saknar en e-legitimation. Digg menar att det finns en mängd anledningar till att det är så, såväl strukturella som individuella, vilket kräver olika former av åtgärder och anför att det digitala utanförskapet måste minska. Utveckling av en statlig elegitimation föreslås påbörjas och där säkerhetsfrågorna måste sättas i fokus. Digg föreslår att den statliga e-legitimationen utfärdas på ett kontaktlöst aktivt kort som ges ut på högsta tillitsnivån enligt EU:s regelverk. Vidare föreslås att personer som har tilldelats samordningsnummer och kan styrka sin identitet ska kunna erhålla den statliga e-legitimationen.
Det tillsattes även nyligen en utredning med uppdraget att lämna förslag på hur en kostnadseffektiv statlig e-legitimation på högsta tillitsnivån kan utformas och tillhandahållas av en statlig myndighet.87 Utredningen ska även analysera och föreslå ändringar som följer av den reviderade eIDAS förordningen. I förordningen anges att den ökade digitaliseringen gör det allt svårare att klara sig i samhället utan tillgång till e-legitimation och att det därför är viktigt att så många som möjligt ges möjlighet att skaffa en säker e-legitimation. Här nämns bland annat personer som bara tillfälligt vistas i Sverige, exempelvis för arbete.
Utredningen ser att det arbete som pågår sannolikt kommer stärka möjligheten för de som vill men inte kan skaffa e-legitimation och potentiellt även intresset bland de som inte tidigare sett behovet, vilket även har en positiv inverkan på antalet patienter som kan ta del av en digital samtyckestjänst likt den utredningen föreslår.
12.4. Reglering avseende semantiska standarder utreds vidare
Utredningens bedömning: För tjänsten patientöversikt inom
EES behöver informationen vara strukturerad och kodad för att informationsmängderna ska att kunna översättas till ett annat språk. Utredningen konstaterar emellertid att reglering avseende semantiska och tekniska standarder utreds närmare av andra och kommer därför inte lämna något förslag om reglering inom området.
87 Dir. 2022:142. Säker och tillgänglig digital identitet.
Som utredningen beskriver i kapitel 7 är det som krävs för att möjliggöra ett gränsöverskridande utbyte av patientöversikter över landsgränser, regiongränser eller organisationsgränser till stor del interoperabilitet. Utredningen beskriver interoperabilitet mer utförligt i kapitel 7.
Semantisk interoperabilitet är en av såväl Healthcare Information and Management Systems Society (HIMSS) som EIFs fyra olika förutsättningar för att utbyta data. Semantisk interoperabilitet beskriver det faktum att data måste betyda samma sak för sändande och mottagande enhet.88 I utredningens bilaga 9 beskriver Centrum för datadriven hälsa (CDDH) på Kungliga Tekniska Högskolan att begreppet semantik tillsammans med ord som syntax, ontologi, termer, begrepp och definitioner relaterade till hur vi förmedlar information och den behövda kunskapen om data. Något som kallas informationsstrukturer. Redan i SOU 2006:82 lyfts bristen på enhetlig informationsstruktur som ett hinder för att kunna dela information mellan vårdgivare. Vidare anförs att det vid den tiden fanns ett behov av att komma längre i arbetet med semantik och standarder innan ett obligatorium avseende tillhandahållande av information om patientens hälsa och vård föreslås. För en meningsfull reglering av tillgängliggörandet av vissa informationsmängder är det viktigt att informationsmängderna hålla sådan kvalitet att de kan tolkas och användas i en vårdsituation så att de faktiskt bidrar till en ökad patientsäkerhet. Förutsättningarna har förändrats sedan 2006 och i dag finns en viss reglering av informationsstrukturen i kapitel 5 i HSLF-FS 2016:40. Enligt 5 kap. 2 § ska vårdgivaren säkerställa att uppgifterna i en patientjournal är entydiga. Där framgår vidare att för att försäkra sig om att uppgifterna är entydiga bör vårdgivaren bland annat använda följande publikationer när tillämpliga: Socialstyrelsens termbank, SnomedCT och internationell statistisk klassifikation av sjukdomar och relaterade hälsoproblem ICD-10-SE.
Utredningen konstaterar att det pågår arbete hos såväl myndigheter som regioner, SKR och Inera som syftar till en ökad strukturering och standardisering av hälsodata vilket beskrivs närmare i kapitel 7. I de dialoger myndigheten fört framkommer dock att implementeringen av de standarder som tagits fram är utmanande och att ett arbete återstår.
88 HIMSS (2023). Interoperability Healthcare. URL: https://www.himss.org/resources/interoperability-healthcare. Hämtad 2023-03-08 .
Utredningen konstaterar vidare att regeringen nyligen tillsatt en utredning som har i uppdrag att föreslå en lagstiftning för interoperabilitet. Utredaren ska bland annat:
analysera de rättsliga, organisatoriska, ekonomiska och tekniska förutsättningarna för att förbättra interoperabiliteten när uppgifter om hälsa överförs mellan olika system, aktörer och huvudmän, såväl kommuner och regioner som privata sådana, och lämna ändamålsenliga och samhällsekonomiskt effektiva förslag som bedöms vara nödvändiga med syfte att bl.a. bidra till en effektivare och säkrare tillgång till patienters hälsodata för såväl primär- som sekundäranvändning,
utreda och lämna förslag på vilken eller vilka myndigheter som ska ansvara för att utfärda föreskrifter, utöva tillsyn och ta fram andra stödjande eller styrande dokument om val och tillämpning av tekniska och semantiska standarder,
När det gäller patientöversikter inom EES behöver informationen vara strukturerad och kodad för att kunna översättas till andra språk. Enligt de krav som ställs ska den nationella kontaktpunkten för ehälsa säkerställa att informationen är av hög kvalitet vilket definieras som: strukturerad, betyda samma sak och gå att förstå av de individer som kommer att använda sig av den.89 Obligatoriska fält ska så långt som möjligt fyllas med strukturerad information i enlighet med den kliniska vokabulär som presenteras i MyHealth@EU Master Value Sets Catalouge.90 Av kraven framgår emellertid att även om målet är ett fullständigt kodverk för översättning är det sannolikt att fritext kommer förekomma i ett inledande skede. Saknas strukturerad information kommer det innebära att informationen inte kan översättas och därför skickas på originalspråk. Enligt den analys som E-hälsomyndigheten redovisar i rapporteringen av sitt regeringsuppdrag om informationshantering vid utlandsvård framgår att SnomedCT är det dominerande kodverket. I patientöversikten beskrivs elva informationsmängder med SnomedCT. Sex av dessa elva informationsmängder finns i den svenska utgåvan av SnomedCT. Resterande informationsmängder skulle behöva översättning från nationellt kodverk till Snomed CT för att kunna tillgängliggöras.91
Utredningen konstaterar även att Socialstyrelsen i juni 2022 publicerat en uppdaterad informationsspecifikation för uppmärksam-
89 MyHealth@EU. Requirements catalogue. Avsnitt 09. 90 MyHealth@EU. Value Sets Catalouge. 91 E-hälsomyndigheten (2020). Informationshantering vid utlandsvård. Dnr 2019/01537, s. 25.
hetsinformation och att E-hälsomyndigheten några månader senare beslutade att ge denna status som nationell och gemensam e-specifikation.92,93
Sammantaget gör utredningen bedömningen att även om det finns goda förutsättningar för vårdgivare att kunna tillhandahålla utvalda uppgifter om patientens hälsa och vård som omfattas av tjänsten patientöversiktpatientöversikt inom EES i strukturerad och kodad form återstår ett stort arbete med att mappa den nationella datan den begreppskatalog som kommissionen tillhandahåller för att kunna översätta informationen. Flera av de EES-länder som svarade på utredningens enkät uppger att arbetet med att mappa informationen var krävande.
Mot bakgrunden av att en pågående utredning har i uppdrag att analysera förutsättningar för att förbättra interoperabiliteten samt utreda och lämna förslag avseende föreskrifter, tillsyn och andra stödjande eller styrande dokument om val och tillämpning av tekniska och semantiska standarder kommer inte utredningen gå vidare med att föreslå någon åtgärd eller lagstiftning inom området.
12.5. Hur patienter från Sverige kan identifieras i tjänsten
Utredningens förslag: Personnummer ska användas som unik
identifierare för patienter som är försäkrade i Sverige i samband med att tillgång ges till dess Patientöversikt inom EES. De identitetshandlingar som bör användas för att ge tillgång till patientöversikten i samband med vård i ett annat EES-land är i nuläget svenskt pass och nationellt identitetskort.
Skäl för utredningens förslag
Som beskrivits i kapitel 8 om tjänsten patientöversikt inom EES, framgår det av kraven på tjänsten att patienten med säkerhet behöver kunna identifieras i landet den är försäkrad (land A) för att hälso-
92 Socialstyrelsen. Informationsspecifikation för uppmärksamhetsinformation. Version 5.1. 93 E-hälsomyndigheten. Den första gemensam nationella e-hälsospecifikationen är här. URL: Den första nationella gemensamma e-hälsospecifikationen är här • E-hälsomyndigheten (ehalsomyndigheten.se). Uppdaterad 2022-10-26. Hämtad 2023-01-10.
och sjukvårdspersonalen ska ges tillgång till patientinformation.94Vid vårdtillfället ansvarar land A och land B gemensamt för att identifiera patienten. Hälso- och sjukvårdspersonal i land B ska kontrollera patientens identitet genom den giltiga id-handlingen med foto och den unika identifieraren som land A kräver, samt övriga demografiska uppgifter om så krävs. Land A svarar med demografiska uppgifter om patienten, till exempel namn, unik identifierare och födelsedatum, så att hälso- och sjukvårdspersonalen kan jämföra uppgifterna med de som finns på den uppvisade identitetshandlingen.95 Nätverket för e-hälsa kravställer att patienten i land B ska kunna visa fotolegitimation som personlig identifierare, vilken även ska kunna kopplas till patientens patientöversikt i det nationella registret.96
I delbetänkandet (SOU 2021:102) samt i kapitel 4 gör utredningen bedömningen att Sverige kan vara försäkringsland, land A, för patienter med personnummer men även i vissa fall med samordningsnummer. För att avgöra om personnummer och samordningsnummer kan vara den personliga identifieraren behöver de också kunna finnas på en identitetshandling som är lämplig att använda över landsgränser.
Nationella fysiska identitetshandlingar
Som utredningen beskriver i avsnitt 13.3.2 i delbetänkandet finns det olika identitetshandlingar i Sverige. Som utgångspunkt gäller att den som en identitetshandling visas upp för måste ta ställning till om den aktuella handlingen kan godtas som bevis för en persons identitet. Som nämnt ovan framgår av kraven på tjänsten att land A ska ange vilka identitetshandlingar som patienten ska använda. Identitetshandlingen ska vara tillförlitlig och innehålla patientens unika identifierare och ett foto. Det brukar sägas att det finns fem svenska identitetshandlingar som allmänt accepteras som bevis på innehavarens identitet i Sverige. De fem handlingarna är pass, nationellt identitetskort, identitetskort för folkbokförda i Sverige, körkort och SISmärkt id-kort (SIS står för Swedish Standards Institute).97 Pass och nationellt identitetskort kan användas vid resa inom EES, men det
94 MyHealth@EU Requirements Catalouge. 02. Ensure patient identifikation. 95 MyHealth@EU Requirements Catalouge. 02.01. Uniquley identify the patient. 96 MyHealth@EU Requirements Catalogue, 02.01 Uniquely Identify the Patient. 97SOU 2019:14 Ett säkert statlig ID-kort med e-legitimation, s. 107.
regleras inte hur svenska identitetshandlingar i övrigt används i ett annat land.
Pass regleras främst i passlagen (1978:302). Pass är internationellt sett det dokument som i störst utsträckning accepteras som identitetshandling.98 Pass är främst en resehandling som ska tas med vid resa ut ur och in i Sverige med vissa undantag (5 § passlagen). Av 1 § passlagen följer att ett svenskt pass utfärdas till svenska medborgare. Passet innehåller uppgifter om medborgarskap, utfärdande myndighet, giltighetstid, passnummer, namn, personnummer, kön, födelsedatum och födelseort.
Det svenska nationella identitetskortet regleras av förordning (2005:661) om nationellt identitetskort. Det utfärdas endast till svenska medborgare. Den som har ett nationellt identitetskort får resa från Sverige till andra EU-länder utan pass (5 § passlagen). Det finns inget krav på att ha ett nationellt identitetskort eller ha med identitetskortet vid resor till eller från Sverige.
Skatteverket utfärdar identitetskort för folkbokförda i Sverige som också innehåller en e-legitimation. Regler om utfärdande finns i lagen (2015:899) om identitetskort för folkbokförda i Sverige. Identitetskortet utfärdas till personer som har fyllt 13 år och är folkbokförda i Sverige. Det krävs inte att sökanden är svensk medborgare. Det innehåller personens namn, personnummer, födelsetid, kön, längd och namnteckning.99
Det primära syftet med ett körkort är att det ska visa behörigheten att köra vissa fordon, men det är en allmänt accepterad identitetshandling i Sverige. Internationellt sett är det mer ovanligt att körkort används på detta sätt. Körkortslagen (1998:488) reglerar inte körkortets användning som identitetshandling. Körkort kan i vissa fall utfärdas till någon som inte har ett svenskt personnummer.
Det SIS-märkta id-kortet är en identitetshandling som utfärdas av privata aktörer och är inte författningsreglerat.100 Antal utfärdade SIS-kort sjunker och utgör i dag endast cirka 1–2 procent av det totala antalet utfärdade identitetshandlingar per år. Ett SIS-märkt idkort får enligt SBC 151-U endast utfärdas till den som har en direkt anknytning till utfärdaren, genom exempelvis anställning. Id-kortet innehåller bland annat uppgifter om innehavarens namn, personnum-
98SOU 2019:14 Ett säkert statlig ID-kort med e-legitimation, s. 109. 99SOU 2019:14 Ett säkert statlig ID-kort med e-legitimation, s. 116. 100 SOU 2019 :14 Ett säkert statlig ID-kort med e-legitimation, s. 123.
mer eller liknande, namnteckning, fotografi och eventuellt nationalitet samt uppgifter om id-kortets nummer, giltighetstid, certifieringsorgan och utfärdare. Utländska medborgare som stadigvarande vistas i Sverige kan få id-kort om personnummer saknas.101 Sökanden ska då uppge sitt samordningsnummer eller födelsedatum.102
Andra handlingar kan användas som identitetshandlingar, till exempel LMA-kort som utfärdas av Migrationsverket och regleras i Migrationsverkets föreskrifter (MIGRFS 2015:8) om tillfälligt LMA-kort för utlänning i Sverige och dokument som intygar att innehavaren är asylsökande. Det är inte ett identitetskort utan ett bevis på att innehavaren är asylsökande och får vara i Sverige i avvaktan på beslut.103LMA-kortet godtas dock som identitetsbevis till exempel i kontakter med hälso- och sjukvård och apotek.104 Migrationsverket utfärdar även vissa resehandlingar, till exempel främlingspass.
Utländska medborgare som inte har ett svenskt personnummer kan ha svårt att få ett giltigt id-kort i Sverige, även om det finns möjlighet att i vissa fall få exempelvis SIS-märkta id-kort eller körkort. Svenskar i världen har också lyft till utredningen svårigheter kring ”vilande personnummer” för personer som är bosatta utomlands.
Europeiska rådet har samlat olika länders identitets- och resehandlingar i ett register som finns tillgängligt på nätet benämnt Pub-
lic Register of Authentic identity and travel Documents Online, även
kallat Prado.105 Där finns även information om handlingarna.106Registret ger möjlighet att se exempel på rese- och identitetshandlingar utfärdade i olika länder. Svenska handlingar som finns med är bland annat svenska pass och nationellt identitetskort.
Unik identifierare och svensk identitetshandling för Sverige
Enligt lagen om nationell läkemedelslista kan ett e-recept registreras med personnummer eller samordningsnummer. Dessa uppgifter kan alltså kopplas till ett svenskt e-recept. Av 3 kap. 6 § PDL framgår att en patientjournal, om uppgifterna finns tillgänglig, alltid ska inne-
101SOU 2019:14, s. 125. 102SOU 2019:14, s. 126. 103SOU 2019:14, s. 127. 104 Migrationsverket. LMA-kort för asylsökande. URL: www.migrationsverket.se/Privatpersoner/Skydd-och-asyl-i-Sverige/Medan-duvantar/ LMAkort.html. Hämtad 2023-02-25. 105 Council of the European Union – PRADO – Home (europa.eu). Hämtad 2021-08-23. 106 www.consilium.europa.eu/prado/en/prado-faq/prado-best-use.pdf. Hämtad 2021-08-23.
hålla uppgift om patientens identitet. Av Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSFL-FS 2016:40) framgår i 5 kap. 4 § att vårdgivaren ska säkerställa att det är möjligt att föra patientjournal om en patients identitet inte kan fastställas, en patient saknar svenskt personnummer, eller en patient har skyddade personuppgifter. Inom hälso- och sjukvården är det vanligt att det för patienter med samordningsnummer anges ett reservnummer för registrering av besök eller annan kontakt med sjukvården. 107 Det finns ingen nationell källa till reservnummer utan de är systemspecifika. Det kan innebära att samma reservnummer kan tilldelas fler än en patient och är därmed inte unikt för en individ.108 Reservnumret tycks såvitt utredningen förstår det även vara bundet till varje region och inte kunna användas i någon annan region.109 Mot den bakgrunden anför utredningen att det förefaller svårt att koppla ihop uppgifter som dokumenterats i samband med hälso- och sjukvård under ett reservnummer med ett samordningsnummer. Liknande slutsatser drogs av Folkhälsomyndigheten i samband med arbetet med covidbevis då vaccinationer registrerades på ett reservnummer i stället för personens samordningsnummer. För att säkerställa att vaccinationerna registrerades på rätt individ klargjorde Folkhälsomyndigheten i en skrivelse att registreringar som gjorts på reservnummer behöver rättas till samordningsnumret.110
Samordningsnumret framgår sällan av någon svensk legitimationshandling, förutom för till exempel SIS id-kort och körkort i vissa fall. Dessa id-kort anses inte lika gångbara i annat land som pass eller nationellt identitetskort. Pass och det nationella identitetskortet kan användas vid resa, samt innehåller uppgift om både unik personlig identifierare som personnummer och foto på innehavaren. De finns också beskrivna i Prado, Europeiska Rådets offentliga register över äkta identitets- och resehandlingar online, vilket Skatteverkets identitetskort för folkbokförda i Sverige ännu inte är som annars skulle
107 Se till exempel: Region Stockholm. Vårdgivarguiden. Region Stockholm. URL: Samordningsnummer | Vårdgivarguiden (vardgivarguiden.se). Hämtad 2023-02-25. 108 E-hälsomyndigheten. (2021). Förstudie avseende framtagning av ett system för manuellt utfärdande av covidbevis (S2021/06048). Dnr 2021/03812. s. 21. 109 Se exempelvis ref 104 eller Region Blekinge. Rutin för vaccinationsregistrering på personer som saknar svenskt personnummer 1.1. UR L: Rutin för vaccinationsregistrering på personer som saknar svenskt personnummer 1.1.pdf (regionblekinge.se). Hämtad 2023-02-25. 110 Folkhälsomyndigheten (2021). Förtydligande gällande rapportering av vaccinationer mot covid-19 till det nationella vaccinationsregistret.
kunna övervägas som lämplig identitetshandling. Det bör vara sådana förutsättningar som beaktas när det avgörs vilka identitetshandlingar som ska krävas i tjänsten patientöversikt inom EES. Om e-identifiering kommer att kunna accepteras i tjänsten framöver för patienter får liknande överväganden göras.
Enligt utredningen synes det mest lämpligt att använda personnummer som unik identifierare för patient som är försäkrad i Sverige. Detta mot bakgrunden att vårdinsatser för personer utan personnummer registreras på reservnummer som inte är unika för en individ eller används nationellt. Det saknas även identitetshandlingar för personer utan svenskt personnummer som med tillräcklig säkerhet kan användas för att korrekt identifiera patient och knyta identiteten till uppgifter om dess hälsa och vård som finns dokumenterade i patientjournalen. Mot denna bakgrund föreslår utredningen att personnummer bör användas som unik identifierare för patienter försäkrade i Sverige i samband med tjänsten patientöversikt inom EES. Utredningen konstaterar att det innebär att individer som saknar personnummer inte kan nyttja tjänsten med Sverige som land A och alltså inte dela de uppgifter för patientöversikten aktuella uppgifter om hälsa och vård som dokumenterats av svenska vårdgivare till ett annat EES-land. Härrör de från ett EES-land kan de emellertid nyttja tjänsten som land B och därmed ge svenska vårdgivare tillgång till uppgifter från det land de är försäkrade i.
Pass och nationell identitetshandling är enligt utredningens bedömning de identitetshandlingar som i nuläget bör användas för att identifiera patienter som är försäkrade i Sverige.
12.6. Elektroniskt utlämnande genom medium för automatiserad behandling
Utredningens bedömning: Den utländska kontaktpunkten för
e-hälsa och hälso- och sjukvårdspersonalen hos en utländsk vårdgivare inom EES har inte direktåtkomst till uppgifter i svenska patientjournaler.
I utredningens delbetänkande avsnitt 8.2.7 presenteras överväganden om och slutsatser avseende direktåtkomst i tjänsten e-recept inom EES. Utredningen gör samma bedömning för tjänsten patient-
översikt inom EES. Nedanstående resonemang överensstämmer i stort med det som återfinns i delbetänkandets avsnitt 8.2.7.
Elektroniska former för att lämna ut personuppgifter
Personuppgifter kan elektroniskt lämnas ut på olika sätt, tillexempel genom e-post, filöverföring från ett datorsystem till ett annat eller genom att någon har direkt tillgång till uppgifterna. Oavsett form för att lämna ut personuppgifter utgör det en behandling av personuppgifter enligt dataskyddsförordningens mening. Det innebär att skyddet för fysiska personer ska vara detsamma, oberoende av vilken teknik som används och den personuppgiftsansvarige har att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa detta.
Elektroniskt utlämnande av personuppgifter från en myndighet kan ske i form av direktåtkomst eller medium för automatiserad behandling och det saknas legaldefinition för begreppen. Anledningen till att reglera formen för att lämna ut personuppgifter är att den elektroniska formen kan medföra risker för otillbörliga integritetsintrång.
Direktåtkomst
En allmän uppfattning är att direktåtkomst föreligger om den som använder registret på egen hand kan söka i det och få svar på frågor, dock utan att själv kunna bearbeta eller på annat sätt påverka innehållet och att uppgifterna i registret lämnas ut utan att den ansvarige myndigheten i det enskilda fallet har kontroll över vilka uppgifter som lämnas ut.111 I förarbetena till lagen om nationell läkemedelslista anges att med direktåtkomst avses att någon själv kan söka och hämta hem uppgifter utan att kunna påverka innehållet.112
Vid direktåtkomst anses de uppgifter som omfattas av åtkomsten och som finns potentiellt tillgängliga för andra vara utlämnade i tryckfrihetsförordningens mening redan när tillgång medges till uppgifterna.113 Någon sekretessprövning i det enskilda fallet görs således inte innan uppgifterna lämnas ut. Bestämmelser om direktåtkomst har inte i sig en sekretessbrytande effekt, utan måste kombineras med
111 Se prop. 2002/03:135, s. 88, prop. 2011/12:45, s. 133 och prop. 2014/15:63, s. 95. 112Prop. 2017/18:223, s. 234. 113Prop. 2007/08:126, s. 120 ff.
särskilda sekretessbrytande bestämmelser för det fall att uppgifterna omfattas av sekretess.
Utlämnande på medium för automatiserad behandling
Ett elektroniskt utlämnande som inte sker genom direktåtkomst anses i princip göras genom medium för automatiserad behandling. Med begreppet utlämnande på medium för automatiserad behandling avses vanligen ett överlämnande av elektroniskt lagrade uppgifter via något slags medium för lagring eller överföring till exempel mellan två myndigheters datasystem. Sådant utlämnande innebär att den utlämnande myndigheten i varje enskilt fall tar ställning till om och vilka uppgifter som kan lämnas ut. En eventuell sekretessprövning kan därmed ske i samband med utlämnandet i det enskilda fallet.114 Den tekniska utvecklingen har lett till att skillnaderna mellan direktåtkomst och annat uppgiftslämnande på automatiserad väg blivit så små att det kan vara svårt att dra en gräns.
Denna gränsdragning har belysts av Högsta förvaltningsdomstolen i det så kallade LEFI Online-målet (HFD 2015 ref. 61). Försäkringskassan hade gett handläggare hos socialnämnder tillgång till uppgifter ur Försäkringskassans databas LEFI Online. Informationsutbytet skedde genom en fråga-svarsfunktion. Frågan i målet var om socialnämndernas åtkomst till uppgifterna var att anse som direktåtkomst i socialförsäkringsbalkens mening, vilket i sådana fall ställde krav på vissa begränsningar när det gällde vilka uppgifter handläggarna fick ta del av, eller om det i stället var fråga om utlämnande på medium för automatiserad behandling. Högsta förvaltningsdomstolen tog utgångspunkt i tryckfrihetsförordningens (TF) bestämmelser om allmänna handlingar. Av den tidigare lydelsen av 2 kap. 3 § andra stycket TF (nu 2 kap. 6 § första stycket TF) framgår att en upptagning anses förvarad hos myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller uppfattas på annat sätt. De allmänna handlingar hos en myndighet som en annan myndighet får tillgång till genom direktåtkomst utgör allmänna handlingar även hos denna myndighet.115 Domstolen ansåg att den av-
114Prop. 2011/12:45, s. 132. 115Prop. 2002/03:135, s. 90.
gränsning som på detta sätt görs av begreppet direktåtkomst även kunde användas för att bestämma innehållet i begreppet direktåtkomst enligt socialförsäkringsbalkens mening. Domstolen ansåg alltså att avgörande var om upptagningen kunde anses förvarad hos socialnämnderna i TF:s mening. Högsta förvaltningsdomstolen ansåg att socialnämnderna inte på egen hand kunde söka information i databasen utan ett utlämnande genom LEFI Online förutsatte att Försäkringskassan reagerade på en begäran om att de efterfrågade uppgifterna skulle lämnas ut. Försäkringskassan ansågs därmed enligt domstolen förfoga över frågan om och i så fall vilka uppgifter som skulle lämnas ut. Någon sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket TF kan socialnämnderna inte anses ha, vilket medförde att förfarandet inte var att betrakta som direktåtkomst.
Vägledning från eSam
Med utgångspunkt i Informationshanteringsutredningens slutbetänkande Myndighetsdatalag, SOU 2015:39, och Högsta förvaltningsdomstolens dom i LEFI Online-målet har eSamverkansprogrammet (eSam) tagit fram en vägledning för elektroniskt informationsutbyte.116I vägledningen ställer eSam upp vissa byggstenar som bör ingå i en tjänst för automatiserat informationsutbyte för att det ska anses utgöra utlämnande på medium för automatiserad behandling, och inte direktåtkomst. Enligt eSam kan de led som aktualiseras i en tjänst för automatiserat informationsutbyte som inte avses utgöra direktåtkomst beskrivas så att det behöver finnas
- en legitimeringsdel där den utlämnande myndigheten gör en autentisering och behörighetskontroll,
- en hanteringsdel där kontroller görs av att begäran är utformad på ett korrekt sätt och där uppgifterna samlas in, samt
- en prövningsdel där myndigheten avgör om de begärda uppgifterna kan lämnas ut.
För eSams modell krävs följande grundförutsättningar. Systemet måste vara en fråga-svarstjänst som myndigheten själv förfogar över
116 eSam (2016). Elektroniskt informationsutbyte-en vägledning för utlämnande i elektronisk form.
och till vilken en myndighet kan skicka en begäran elektroniskt. Det ska på förhand vara bestämt vilka frågor som ska kunna ställas till tjänsten och vilka uppgifter som ska kunna lämnas ut till följd av en viss begäran. Uppgifterna ska dessutom ha avgränsats så att det går att genomföra en automatiserad prövning. Den utlämnande myndighetens förfoganderätt omfattar dels beslut om att ta tjänsten i drift och eventuella beslut om att ändra i tjänsten, dels de kontroller och prövningar som automatiserat ska göras av varje enskild begäran om uppgifter och som mottagande myndighet inte ska kunna styra eller kringgå.
Enligt eSam framgår det inte av LEFI Online-målet hur de olika byggstenarna ska utformas rent tekniskt. Det anges endast att ett utlämnande genom tjänsten förutsätter att myndigheten reagerar på en begäran om de efterfrågade uppgifterna innan något lämnas ut, och att myndigheten därigenom får anses förfoga över frågan om och i så fall vilka uppgifter som ska lämnas ut.
Utredningens bedömning
Som E-hälsomyndigheten skriver i sin rapport117 avser Högsta förvaltningsdomstolens dom förhållandet att både utlämnande och mottagande part är svenska myndigheter. Betydelsen av mottagarens organisationsform och därmed tillämpligheten av bestämmelserna i TF har inte diskuterats i förarbetena till den nationella läkemedelslistan. Regeringen uttalade i förarbetena till den nationella läkemedelslistan att Högsta förvaltningsdomstolens dom kan tolkas så att den tekniska utformningen av en myndighets system för utlämnande av uppgifter kan bli avgörande för om utlämnandet ska anses som direktåtkomst eller annat utlämnande på medium för automatiserad behandling.118Vidare ansåg regeringen att den föreslagna lagen om nationell läkemedelslista bör vara så teknikneutral och så flexibel som möjligt så att den inte behöver förändras i takt med den tekniska utvecklingen eller till följd av förändringar av myndighetens behov av att behandla personuppgifter. Regeringen ansåg därför att lagen om nationell läkemedelslista bör innehålla bestämmelser om direktåtkomst för det fall att den tekniska lösningen för den nationella läkemedelslistan skulle
117 E-hälsomyndighetens rapport, Reglering av personuppgiftsbehandling (S2018/04035/FS). 118Prop. 2017/18:223, s. 143.
komma att utformas på ett sådant sätt att det är att ses som direktåtkomst.119
I likhet med förarbetsuttalandena till lagen om nationell läkemedelslista är det enligt utredningens bedömning rimligt att tolka begreppet direktåtkomst utifrån den tekniska lösningen, oberoende av mottagarens organisationsform eller nationalitet. Som E-hälsomyndigheten skriver i sin rapport kan det inte uteslutas att det haft betydelse för utgången i målet att mottagarna var svenska myndigheter. Datainspektionen (numera Integritetsskyddsmyndigheten) har påpekat att Högsta förvaltningsdomstolen endast tagit ställning till frågan om direktåtkomst utifrån de speciella förutsättningar som förelåg i det aktuella målet.120
Utredningen anser att begreppet direktåtkomst bör tolkas utifrån den tekniska lösningen och därmed att en jämförelse med Högsta förvaltningsdomstolens uttalanden i domen bör kunna göras i förhållandet till tjänsten patientöversikt inom EES.
Tjänsten e-recept över landsgränser och eSams krav
I kapitel 8 redogör utredningen för hur informationsöverföringen i tjänsten patientöversikter inom EES kommer att fungera. Informationsöverföringen är uppbyggd som en fråga-svarstjänst där överföringen av information endast sker mellan de nationella kontaktpunkterna för e-hälsa. De frågor och svar som skickas i tjänsten är fördefinierade och är gemensamma för samtliga nationella kontaktpunkter för e-hälsa som är anslutna till systemet. Frågorna kan endast ställas i en särskild ordning och om inte frågan ställs på rätt sätt kommer ett felmeddelande att returneras till den begärande nationella kontaktpunkten. Varje enskild fråga som ställs till den nationella kontaktpunkten hanteras och prövas separat och beaktar inte tidigare ställda frågor eller kontrollerade behörigheter. Varje fråga betraktas som en unik begäran.
Vilken information som lämnas ut är avgränsad till specifika uppgifter i enlighet med det regelverk som framtagits av Nätverket för e-hälsa. Den utländska kontaktpunkten för e-hälsa kan inte få ytterligare uppgifter utöver de som fastställts av nätverket. En automa-
119Prop. 2017/18:223, s. 144. 120 Datainspektionens yttrande 2017-03-17 i dnr 253-2017.
tiserad prövning i varje enskilt fall görs innan uppgifterna lämnas ut. E-hälsomyndigheten har som nationell kontaktpunkt för e-hälsa kontroll över vilken information som tillgängliggörs för den utländska nationella kontaktpunkten för e-hälsa och när informationen blir känd för den.
Vad gäller vårdgivare i ett annat EES-land som önskar ta del av en patientöversikt från Sverige så loggar hälso- och sjukvårdspersonalen in i systemet mot den utländska kontaktpunkten för e-hälsa genom så kallad tvåfaktorsautentisering. Sedan kontaktar den utländska nationella kontaktpunkten E-hälsomyndigheten som i sin tur hämtar och översätter de efterfrågade uppgifterna från de svenska vårdgivarnas informationssystem. Den utländska kontaktpunkten för e-hälsa får inte tillgång till något annat än den efterfrågade informationen för vidarebefordran till vårdgivaren i utlandet. Vårdgivaren får i sin tur bara tillgång till den efterfrågade informationen och har ingen möjlighet att själv kunna söka fritt i svenska vårdgivares informationssystem eller att direkt logga in mot E-hälsomyndigheten.
Även om skillnaderna mellan direktåtkomst och utlämnande på medium för automatiserad behandling är små och gränsdragningen svår anser utredningen att åtkomsten till uppgifter om en patients hälsa och vård i svenska vårdgivares informationssystem bör kunna betraktas som ett utlämnande på medium för automatiserad behandling. E-hälsomyndigheten har vid en jämförelse med de kriterier som eSam ställer upp, kommit fram till att tjänsten tekniskt sett uppfyller de byggstenar som krävs för att utlämnandet ska kunna betraktas som ett sådant utlämnande. E-hälsomyndighetens jämförelse utgick från ett verksamhetsmässigt perspektiv, och inte ett juridiskt perspektiv. I den slutliga rapporten anförde dock E-hälsomyndigheten att oavsett hur utländsk apotekspersonals åtkomst ska betraktas var myndighetens uppfattning att en bestämmelse om direktåtkomst bör införas.121
Sammanfattande bedömning
Den information som överförs mellan de nationella kontaktpunkterna för e-hälsa har av Nätverket för e-hälsa bedömts tillräcklig för att åstadkomma en patientsäkert utbyte av patientöversikter.
121 E-hälsomyndigheten, Reglering av personuppgiftsbehandling (S2018/04035/ FS), s. 60 f.
Utredningen är därför av den uppfattningen att vårdgivares behov av information över landsgränser tillgodoses lika bra utan möjligheten till direktåtkomst.
Utredningen finner det heller inte motiverat att ta höjd för direktåtkomst för utländska vårdgivare till uppgifter i svenska vårdgivares informationssystem på samma sätt som regeringen gjort vad gäller vårdgivare och omsorgsgivare i Sverige genom regleringen i lagen om sammanhållen vård- och omsorgsdokumentation. Utredningen anser inte att det, på samma sätt som för utbyte av uppgifter mellan svenska vårdgivare och omsorgsgivare, finns skäl att ha en reglering av utländsk hälso- och sjukvårdspersonals direktåtkomst för att lagen ska vara teknikneutral och flexibel så att en teknisk lösning som innebär direktåtkomst ska kunna användas. Främsta skälet för detta är dels att tjänsten som den är utformad i dag enligt utredningens bedömning inte uppfyller förutsättningarna för direktåtkomst, dels att det inte heller är önskvärt att ha en sådan lösning. En sådan utveckling framstår heller inte som sannolik. Sverige deltar aktivt i arbetet med att utforma tjänsten och kan bevaka utvecklingen. Till skillnad från när en svensk vårdgivare får tillgång till uppgifter från en annan svensk vårdgivare kommer informationsöverföringen att gå via de nationella kontaktpunkterna för e-hälsa som väljer vilka uppgifter som ska skickas och översätter dem till engelska, mottagande kontaktpunkt för e-hälsa översätter sedan till sitt språk. Den utländska vårdgivaren har inte någon tillgång till den svenska vårdgivarens vårdinformationssystem. Utlämnandet bör i stället anses göras till de nationella kontaktpunkterna för e-hälsa.
Sammanfattningsvis anser utredningen att mycket talar för att varken åtkomsten för vårdgivare eller den utländska kontaktpunkten för e-hälsa är att betrakta som direktåtkomst. Utredningen anser därför att det inte bör införas någon bestämmelse om direktåtkomst för utländska vårdgivare eller för utländska kontaktpunkter för e-hälsa till uppgifter i svenska vårdgivares informationssystem.
12.7. Samverkan mellan regioner, kommuner och staten
Utredningens bedömning: För att möta nationella och interna-
tionella mål och krav finns det behov av statlig, regional och lokal infrastruktur inom hälso- och sjukvården. Utredningen anför att utvecklingen av infrastruktur inom hälso- och sjukvården och omsorgen bör utgå från en gemensam behovsbild och prioritering och ser därför att en tillitsfull och handlingskraftig samverkan mellan regioner, kommuner och staten är central. Samverkan behöver vara sektorsspecifik men nära knuten till den utveckling som pågår inom Ena. Utredningens ser att det kan finnas behov av att förändra eller komplettera befintliga former av samverkan för att erhålla gemensam styrkraft framåt. E-hälsomyndigheten, i egenskap av för statens räkning ansvarig för samordningskansliet för arbetet med Vision e-hälsa som drivs tillsammans med SKR, samt i egenskap av representant för sektorn Hälsa, vård och omsorg inom Ena, kan enligt utredningen vara en lämplig aktör för att närmare utreda hur en sådan sektorspecifik samverkan bör sättas upp och bedrivas.
Staten, regioner och kommuner samverkar i dag i frågor som rör e-hälsa i flera forum, till exempel Vision e-hälsa 2025, Life Science strategin och eSam. Arbete pågår även inom Partnerskapet för kunskapsstyrning genom den Nationella samverkansgruppen strukturerad vårdinformation.122 Inom ramen för Vision e-hälsa 2025 har staten, regionerna och kommunerna formulerat det gemensamma målet om att bli bäst i världen på att använda digitaliseringens och e-hälsans möjligheter till att underlätta för människor att uppnå en god och jämlik hälsa och välfärd samt utveckla och stärka egna resurser för utökad självständighet och delaktighet i samhällslivet till år 2025. Utredningen föreslår i avsnitt 15.1.7 och 15.2.4 att det ska vara obligatoriskt för vårdgivare att tillgängliggöra utvald information om patientens hälsa och vård i en patientöversikt motiverat med de patientsäkerhetsfördelar och effektivitetsvinster som det kan medföra. Vidare anför utredningen att det är patientens rättighet att kunna ge
122 SKR. Nationell samverkansgrupp strukturerad vårdinformation. URL: NSG strukturerad vårdinformation | Kunskapsstyrning vård | SKR (kunskapsstyrningvard.se). Hämtad 2023-02-26.
alla vårdgivare den önskar tillgång till information om dess hälsa och vård som finns i patientjournalen. Vårdgivares tillgång till aktuella uppgifter om patientens hälsa och vård är också centralt för att vården som ges blir patientsäker, god och jämlik. Regeringen har ett ansvar för att målen om en god och jämlik vård nås. Utredningen anför att en digital infrastruktur för säkert informationsutbyte inom hälso- och sjukvården är en kritisk del av dagens hälso- och sjukvård och viktig. Mot den bakgrunden föreslår utredningen att staten ska säkerställa att det finns tjänster och infrastruktur för att tillgängliggöra uppgifter om patientens hälsa- och vård, bland annat i en patientöversikt, från alla vårdgivare för utbyte såväl landsgränser som organisations- och regiongränser samt att staten behöver styrkraft över dessa för att säkerställa att den kan bidra till att nationella och internationella mål nås i tid. Utredningens anför att det behövs såväl statlig styrning som infrastruktur för att realisera styrningen liksom regional och lokal styrning och infrastruktur för att ta omhand såväl lokala behov och mål som nationella behov och krav. Det pågår mycket på området delning av hälsodata, inte minst på EU-nivå genom framför allt förordningen om EHDS men även dataförvaltningsakten och förslaget till dataförordning (dataakten). Det innebär att de nationella målen kommer kompletteras av internationella mål och krav som ökar takten i utvecklingen av infrastruktur för att möjliggöra utbyte av hälsodata för såväl primär användning inom hälso- och sjukvård som sekundär användning för bland annat forskning och innovation. Genom EU tillskrivs vissa delar av ansvaret och genomförandet särskilt myndigheter vilket stärker bilden av att nationell infrastruktur behöver tillhanda hållas av myndigheter. Därmed ser utredningen att det kommer ske en förflyttning i hur Sverige avseende hur infrastruktur tillhandahålls, styrs och utvecklas. I detta skifte gör utredningen bedömningen att utvecklingen av infrastruktur behöver utgå från en gemensam behovsbild och prioritering och ser därför att en tillitsfull och handlingskraftig samverkan mellan regioner, kommuner och staten är central.
Överväganden avseende samverkan inom Vision e-hälsa och Ena
Utredningen ser två samverkansformer med särskilt stor bäring på utvecklingen av infrastruktur för informationsutbyte inom hälso- och sjukvården, Vision e-hälsa och Ena.
Statskontoret granskade nyligen samverkan inom Vision e-hälsa 2025.123 I rapporten konstatera de bland annat:
Regeringens och SKR:s samverkan har förbättrats över tid, men är fortfarande inte tillräckligt effektiv för att nå målen i visionen. Det gemensamma arbetet har hittills gett få tydliga resultat i form av exempelvis en mer samordnad digitalisering inom vård- och omsorgssektorn. Vård- och omsorgssektorns huvudmän har heller inte fått påtagligt bättre förutsättningar att dra nytta av digitaliseringens möjligheter. Graden av digitalisering, utvecklingstakten och valet av insatser varierar mellan regioner och mellan kommuner. Digitaliseringen av socialtjänsten och den kommunala hälso- och sjukvården har också varit lägre prioriterad i parternas samverkan än den regionala hälso- och sjukvården, trots att kommunerna har större utmaningar.
De konstaterar vidare att samverkansorganisationen inte anpassat sitt arbete till de förutsättningar som förvaltningsmodellen ger där samverkansorganisationen inte kan fatta beslut som rör myndigheters och huvudmännens verksamhet. Konsekvensen av det är att de insatser som inom Vision e-hälsa pekats ut som nationellt prioriterade inte nödvändigtvis blir prioriterade av kommuner, regioner eller myndigheter. Statskontoret anser att parterna bör fokusera sitt arbete på grundläggande förutsättningar som bör finnas för att digitaliseringen inom hälso- och sjukvården och socialtjänsten ska kunna öka och bli mer samordnad. Vidare anförs att staten, kommuner och regioner kommer behöva avsätta medel för det konkreta arbetet med e-hälsa och lyfter att staten redan i dag i särskilda överenskommelser med SKR ger statsbidrag för investering för att digitalisera verksamheten men att styrkraften i överenskommelserna inte är tillräcklig för att samordna digitaliseringen i regioner och kommuner. De konstaterar vidare att samverkan har överlåtits till SKR men SKR har inte mandat att styra regioner och kommuner. Flera förslag för förbättrad samverkan ges, bland annat föreslår de att samverkansorganisationens roll i första hand ska vara att lämna förslag till politiska beslut som bidrar till att det nationella e-hälsoarbetet blir effektivare och flera förslag på hur organisationen kan effektiviseras och uppdrag och an-
123 Statskontoret (2021). Vision e-hälsa – ett försök att styra genom samverkan.
svarsfördelning förtydligas. Samverkan förslås prioritera arbete med att förbättra regelverk och verka för gemensamma standarder och begrepp. Som ett stöd i arbetet med visionen finns ett samordningskansli som E-hälsomyndigheten, på uppdrag av regeringen, bemannar tillsammans med SKR. Parterna förslås förstärka samordningskansliet i omfattning och med en person som normalt arbetar i Regeringskansliet. Regeringen förslås även se till att de statsbidrag som riktar sig till e-hälsoarbetet bidrar till en samordnad digitalisering.
Ett annat exempel på bred samverkan kring infrastrukturfrågor är arbetet med Sveriges digitala infrastruktur, Ena. Inom ramen för Ena har en styrmodell utvecklats som är ett system av olika roller med olika ansvar för de olika delarna. Styrmodellen togs fram för att visualisera de ansvarsområden och roller som ingår i styrningen av infrastrukturen. Infrastrukturansvariga leder det strategiska arbetet i samråd och samverkan med andra aktörer. Olika kompetensområden samlar expertkunskaper som stödjer arbetet med att utveckla infrastrukturens beståndsdelar. Myndigheten för digital förvaltning (Digg) är den myndighet som har det övergripande ansvaret för infrastrukturen. Infrastrukturansvarig beslutar om styrande dokument, initierar utforskande utveckling, kvalificerar och prioriterar behov samt föreslår byggblocks- och grunddatadomänansvariga myndigheter till Regeringen. Digg ansvarar även för det nationella ramverket för grunddata samt leder arbetet i samordningsforumen. Det finns även ett kompetensområde som byggs upp av resurser från en eller flera organisationer i syfte att ge stöd och agera bollplank inom områden som informationssäkerhet, arkitektur, juridik eller grunddata. Den organisation som är utpekad ansvarig för ett kompetensområde har ett viktigt uppdrag att utforma styrning, omvärldsbevaka och ge rekommendationer som berör infrastrukturen. Samverkan sker på olika nivåer såväl inom som utanför infrastrukturen i syfte att skapa brett engagemang bland myndigheter, kommuner och regioner samt i vissa fall även privata aktörer.
Utveckling och förvaltning av infrastrukturen fokuserar på tre områden: byggblocken, grunddatadomänerna samt styrningen. Viktiga roller är byggblocksansvarig (myndighet som utvecklar och förvaltar ett tilldelat byggblock och ansvarar för att styra, samverka och organisera arbetet inom byggblocket), grunddatadomänansvarig (myndighet som utvecklar och förvaltar en tilldelad grunddatadomän, ansvarar för att styra, samverka och organisera arbetet samt att
tillgängliggöra och tillhandahålla grunddatadomänens nationella grunddata) samt grunddataproducent (aktör som tillgängliggör och tillhandahåller nationella grunddata genom en eller flera grunddatadomäner och ansvarar för att delta i samverkan, utveckling och förvaltning).124Etableringen av den förvaltningsgemensamma digitala infrastrukturen är en del av Sveriges återhämtningsplan för att mildra effekterna av covid-19-pandemin och stärka den digitala omställningen. Satsningen finansieras av Europeiska unionens stimulanspaket Next Generation EU. I satsningen på förvaltningsgemensam digital infrastruktur har DIGG fått medel att fördela inom ramen för anslag 2:7 Digital förvaltning. Beslut om tilldelning av medel sker löpande till de myndigheter som ansvarar för respektive byggblock, grunddatadomän eller kompetensområde.125 Digg konstaterar i slutrapporten för regeringsuppdraget om att etablera en förvaltningsgemensam digital infrastruktur för informationsutbyte att arbetet pågår och att det finns ett stort intresse för offentlig sektor att nyttja framtagna komponenter. För att möta behoven kravs dock en långsiktighet och gemensamt rättsligt stöd för att utföra arbetet med en finansiering som motsvarar behoven övertid vilket myndigheten uppger inte finns på plats i dag.126 E-hälsomyndigheten är representant för sektorn Hälsa, vård och omsorg och ansvarig myndighet för samarbetet inom Ena. Ett pågående arbete inom ramen för Ena är att utveckla en grunddatadomän för hälsa, vård och omsorg.,127
Utredningen anser att utvecklingen av infrastruktur inom hälso- och sjukvården och omsorgen bör utgå från en gemensam behovsbild och prioritering och ser därför att en tillitsfull och handlingskraftig samverkan mellan regioner, kommuner och staten är central. Vidare anser utredningen att det kan finnas behov av att förändra eller komplettera befintliga former av samverkan för att erhålla gemensam styrkraft framåt. Utredningen anför att det finns fördelar med och styrkor i att på ett tydligare sätt sammankoppla den samverkan som bedrivs inom ramen för Vision e-hälsa med den samverkan och det
124 Digg. Ena-Sveriges digitala infrastruktur, struktur för styrning. UR L: Struktur för styrning | Digg. Uppdaterad 2022-06-09. Hämtad 2023-02-26. 125 Digg. Ansvar och finansiering. UR L: Ansvar och finansiering | Dig g . Uppdaterad 2023-02-07. Hämtad 2023-02-26. 126 Digg (2023). Uppdrag att fortsatt etablera en förvaltningsgemensam digital infrastruktur för informationsutbyte. Dnr I2022/00102, s. 1. 127 E-hälsomyndigheten. Framsteg i arbetet med Ena – Sveriges digitala infrastruktur. URL: Framsteg i arbetet med Ena – Sveriges digitala infrastruktur • E-hälsomyndigheten (ehalsomyndigheten.se). Uppdaterad 2023-01-23.
arbete som bedrivs inom ramen för Ena. E-hälsomyndigheten är enligt utredningens bedömning i egenskap av för statens räkning ansvarig för det samordningskansli för arbetet med Vision e-hälsa som drivs tillsammans med SKR, samt i egenskap representant för sektorn Hälsa, vård och omsorg inom Ena, en lämplig aktör för att närmare utreda hur en sådan samverkan bör sättas upp och bedrivas.
12.8. Information till patient samt hälso- och sjukvårdspersonal
Utredningens bedömning: Tillräcklig och tillgänglig informa-
tion om Patientöversikt inom EES kommer att vara viktiga åtgärder för en effektiv och patientsäker process och att tjänsten används.
I avsnitt 5.2.4 i delbetänkandet beskriver utredningen patientens ansvar för sin läkemedelsbehandling vid resa. I dag behöver patienten sannolikt planera för att ta med ett pappersrecept till ett annat EESland. I Sverige kan förskrivaren känna till att patienten avser att hämta ut receptet i ett annat land, när pappersrecept för EES utfärdas bland annat för att gängse benämningen endast ska anges i dessa fall. Syftet med att ange gängse benämning är dock att läkemedlet enklare ska kunna identifieras i land B, inte för att förskrivaren ska ”godkänna” att patienten får använda receptet i ett annat EES-land.128
Även i fallet avseende oplanerad eller planerad hälso- och sjukvård i ett annat EES-land behöver individen ta visst ansvar inför sin resa genom att beställa ett EU-kort. EU-kortet ger individen rätt till sjuk- och tandvård när den befinner sig i ett EU/EES-land, Schweiz eller Storbritannien. EU-kortet gäller bara för sjuk- och tandvård som inte kan vänta tills individen kommer tillbaka till Sverige och som ges hos vårdgivare som är anslutna till det allmänna sjukvårdssystemet i landet.129
Att patient och hälso- och sjukvårdspersonal hos vårdgivare har kännedom om tjänsten är centralt för att den ska användas och där-
128 Jfr skäl 53 till patentrörlighetsdirektivet. 129 Försäkringskassan. Vad är EU-kortet. UR L: Resa utomlands - Försäkringskassan (forsakringskassan.se). Hämtat 2023-02-26.
med ge avsett nytta i form av framför allt högre patientsäkerhet och bättre förutsättningar för god och resurseffektiv vård.
Patienten kan behöva känna till förutsättningarna för sådan vård och att det kan finnas vissa skillnader jämfört med vård i hemlandet. Vidare behöver patienten förstå dess påverkan på vilken information som kan utbytas över landsgränser och hur ett samtycke kan lämnas. Utredningen ser fördelar ur integritetsskyddsperspektiv i att samtycket kan begränsas i tid och till vilket land det avses samt även beträffande vilka av de frivilliga informationsmängderna som ska kunna utbytas. Patienten behöver informeras om de förutsättningar som gäller och eventuella konsekvenser valen får på tillgänglighet till uppgifter och integritetsskydd.
Den personuppgiftsansvarige ska lämna viss bestämd information enligt artikel 13 och 14 i dataskyddsförordningen till patienten om hur patientens personuppgifter kommer att behandlas och med vilken rättslig grund m.m. Det finns en överenskommen mall för denna information kallad ”Patient Information Notification” från Nätverket för e-hälsa.
Hälso- och sjukvårdspersonalen samt vårdgivare behöver informeras om de möjligheter tjänsten erbjuder dem vid vård av patienter försäkrade i ett annat EES-land och deras patienter som är försäkrade i Sverige vid oplanerad eller planerad vård i utlandet. Vidare krävs information om när och hur samtycke inhämtas och dokumenteras. Hälso- och sjukvårdspersonal och vårdgivare behöver även tillgång till information från bland annat E-hälsomyndigheten som kontaktpunkt för e-hälsa och som den som tillhandahåller den digitala tjänsten för patientöversikter inom EES (och inom Sverige) avseende hur man tar del av patientöversikterna och vilka krav som ställs för åtkomst.
Som framgår i delbetänkandets avsnitt 13.3.3 avser E-hälsomyndigheten att ta fram underlag för utbildning för expedierande personal om hur expediering ska gå till via det webbgränssnitt myndigheten tar fram. Utredningens bedömning är att motsvarande utbildning kommer behövas för vårdgivare och hälso- och sjukvårdspersonal avseende tillämpning av tjänsten patientöversikt inom EES.
E-hälsomyndigheten samt regeringen eller den myndighet regeringen anser föreslås av utredningen meddela föreskrifter. Myndigheten brukar i samband med sådana ändringar se till att information om nya föreskrifter finns.
Utredningen ser sammantaget att det kommer att finnas ett antal källor för information på nationell och europeisk nivå bland annat följande.
- E-hälsomyndigheten (kontaktpunkt för e-hälsa och ansvarig för information enligt SDG-förordningen).
- Försäkringskassan (kontaktpunkt utlandsvård).
- Socialstyrelsen (kontaktpunkt för vård i Sverige för invånare från
EES).
- Hälso- och sjukvårdspersonal.
- MinHälsa@EU/MyHealth@EU.
- Nätverket för e-hälsa.
- Den gemensamma digitala ingången Ditt Europa/Your Europe.
- Nationella kontaktpunkter i övriga EES-länder.
13. Grundläggande förutsättningar för E-hälsomyndighetens personuppgiftsbehandling m.m.
13.1. Inledning
Utredningen ska enligt uppdraget analysera behovet av att reglera den personuppgiftsbehandling som sker vid utbyte av patientöversikter. En stor mängd personuppgifter, även känsliga personuppgifter, kommer att behandlas av olika aktörer i informationsutbytet. All information i patientöversikterna kommer att förmedlas via den nationella kontaktpunkten för e-hälsa. Som Sveriges kontaktpunkt för e-hälsa kommer E-hälsomyndigheten att behandla personuppgifter i detta informationsutbyte på ett sätt som inte görs i dag.
I det här kapitlet utreds de grundläggande förutsättningarna för E-hälsomyndighetens behandling av personuppgifter i det gränsöverskridande utbytet av patientöversikter. Avslutningsvis gör utredningen särskilda överväganden kring tjänsten patientöversikter över landsgränser när det gäller patienter med skyddade personuppgifter samt när patienten är ett barn.
13.2. Rättslig grund för behandlingen
Utredningens bedömning: Den personuppgiftsbehandling som
E-hälsomyndigheten kommer att utföra vid hantering av patientöversikter är nödvändig för att fullgöra en rättslig förpliktelse som åvilar myndigheten (artikel 6.1 c i EU:s dataskyddsförordning) och för att utföra en uppgift av allmänt intresse (artikel 6.1 e i EU:s dataskyddsförordning). En nationell reglering behövs för att den rättsliga grunden ska kunna användas.
13.2.1. Regleringen i EU:s dataskyddsförordning
En förutsättning för att införa bestämmelser som ger möjlighet för E-hälsomyndigheten att behandla personuppgifter vid det gränsöverskridande informationsutbytet av patientöversikter är att dessa är förenliga med EU:s dataskyddsförordning. För att få behandla personuppgifter, oavsett om de är känsliga eller inte, krävs enligt artikel 6 i dataskyddsförordningen att det finns en rättslig grund för behandlingen. De rättsliga grunderna räknas uttömmande upp i avsnitt 3.2.5.
Möjligheten för myndigheter att behandla personuppgifter med stöd av samtycke är mycket begränsad. Ett samtycke ska enligt artikel 4.11 i dataskyddsförordningen lämnas frivilligt, vara specifikt, informerat och utgöra en otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandlingen av personuppgifter som rör honom eller henne. För att ett samtycke ska betraktas som frivilligt krävs att den registrerade har en genuin och fri valmöjlighet och utan problem kan vägra eller ta tillbaka sitt samtycke. Vidare följer att samtycke inte bör utgöra giltig grund för behandling av personuppgifter om betydande ojämlikhet råder mellan den registrerade och den personuppgiftsansvarige. Detta gäller särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som en sådan särskild situation omfattar (skäl 42 och 43 till dataskyddsförordningen). Enligt utredningens bedömning är samtycke därför inte en lämplig rättslig grund för den personuppgiftsbehandling som blir aktuell vid utbyte av patientöversikter. Däremot anser utredningen att det finns skäl att föreslå ett integritetshöjande samtycke vid utbyte av patientöversikter över landsgränser, medan särskild reglering avseende patientens inställning ska gälla för det nationella utbytet, se avsnitt 14.11.
De rättsliga grunder som i första hand blir aktuella vid hantering av patientöversikter är enligt utredningen att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse (artikel 6.1 c dataskyddsförordningen) eller för att utföra en uppgift av allmänt intresse (artikel 6.1 e dataskyddsförordningen).
Rättslig förpliktelse
Behandling av personuppgifter får enligt artikel 6.1 c i dataskyddsförordningen ske om det är nödvändigt för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Med begreppet rättslig förpliktelse borde i första hand offentligrättslig förpliktelse omfattas, enligt förarbetena till dataskyddslagen.1 I dessa förarbeten uttalas vidare följande. Det finns även i civilrättsliga författningar bestämmelser som i sig utgör eller kan medföra rättsliga skyldigheter. Rent språkligt omfattar begreppet rättslig förpliktelse även sådana skyldigheter som har lagts fast i ett avtal. Förpliktelser som följer av avtal där den registrerade själv är part utgör emellertid en separat rättslig grund för personuppgiftsbehandling enligt både artikel 7 b i dataskyddsdirektivet och artikel 6.1 b i dataskyddsförordningen. Detta talar för att de rättsliga förpliktelser som avses i led c är av ett annat slag, även om förpliktelser som följer av vissa lagreglerade avtal, till exempel försäkringsavtal av betydelse för andra än parterna eller gynnande tredjemansavtal, skulle kunna omfattas av bestämmelsen.2 Vidare konstateras i förarbetena att myndigheters uppdrag i första hand utgör en uppgift av allmänt intresse och att behandling av personuppgifter som föranleds av uppdraget därför i första hand sker med stöd av artikel 6.1 e i dataskyddsförordningen. Det kan dock även förekomma författningsreglerade förpliktelser som i sig kräver personuppgiftsbehandling, till exempel personaladministration. Vidare kan en myndighets uppdrag enligt instruktionen till myndigheten eller ett regleringsbrev i vissa fall utgöra en i enlighet med nationell rätt fastställd rättslig förpliktelse i dataskyddsförordningens mening, exempelvis om myndigheten ges i uppdrag att föra ett visst register.
Till skillnad från vad som gäller för den rättsliga grunden uppgift av allmänt intresse behöver den personuppgiftsansvarige vara skyldig att utföra arbetsuppgiften för att den rättsliga grunden rättslig förpliktelse ska vara tillämplig.
Utredningen föreslår i avsnitt 13.6 en ny bestämmelse i E-hälsomyndighetens instruktion, förordningen (2013:1031) om instruktion för E-hälsomyndigheten, som fastställer att myndigheten ska vara nationell kontaktpunkt för e-hälsa samt tillhandahålla tjänster och
1Prop. 2017/18:105, s. 53. 2Prop. 2017/18:105, s. 53 f.
infrastruktur för gränsöverskridande informationsutbyte av e-recept och patientöversikter. Vidare föreslår utredningen den nya förordningen om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter, se kapitel 14. Enligt utredningens bedömning är därför den rättsliga grunden rättslig förpliktelse enligt artikel 6.1 c i dataskyddsförordningen tillämplig vid hantering av patientöversikter.
Uppgift av allmänt intresse
Enligt artikel 6.1 e i dataskyddsförordningen får behandling av personuppgifter ske om den är nödvändig för att utföra en uppgift av allmänt intresse. Vad som menas med allmänt intresse definieras inte i dataskyddsförordningen eller i det tidigare gällande dataskyddsdirektivet. Innebörden har inte heller utvecklats av EU-domstolen. Av skäl 45 till dataskyddsförordningen följer att i vart fall hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd samt förvaltning av hälso- och sjukvårdstjänster, anses ingå i allmänintresset.
I förarbetena till dataskyddslagen anges att begreppet uppgift av allmänt intresse rent språkligt kan antas avse något som är av intresse för eller berör många människor på ett bredare plan, i motsats till ett särintresse eller ett enskilt intresse.3 Vidare konstateras i förarbetena att begreppet förekommer i motsvarande bestämmelser i dataskyddsdirektivet (artikel 7 e) och personuppgiftslagen (10 § d) och ledning kan hämtas från hur begreppet tolkats enligt dessa bestämmelser. För att myndigheternas verksamhet ska kunna fungera även i fortsättningen anger regeringen att begreppet uppgift av allmänt intresse måste ges en vid betydelse. Alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är enligt regeringens mening av allmänt intresse. Om uppgifterna inte vore av allmänt intresse skulle myndigheterna inte ha ålagts att utföra dem. Regeringen uttalar även att detta måste gälla även i dataskyddsförordningens mening, eftersom det är upp till varje medlemsland att fastställa de uppgifter som är av allmänt intresse.4
Begreppet uppgift av allmänt intresse omfattar dock inte bara sådant som utförs som en följd av ett offentligrättsligt och uttryck-
3Prop. 2017/18:105, s. 55. 4Prop. 2017/18:105, s. 55 ff.
ligt åliggande eller uppdrag. Den personuppgiftsansvarige behöver således inte vara skyldig att utföra uppgiften för att artikel 6.1 e i dataskyddsförordningen ska vara tillämplig. Den verksamhet som en statlig myndighet bedriver inom ramen för sin befogenhet är således av allmänt intresse. Det är därmed den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av myndigheter, även utanför området för myndighetsutövning. Detta utesluter dock inte att också andra rättsliga grunder samtidigt kan vara tillämpliga i vissa situationer.5 Jämför bedömningen i föregående avsnitt.
E-hälsomyndigheten har under ett antal år haft i uppdrag enligt myndighetens regleringsbrev att vara nationell kontaktpunkt för e-hälsa. Som framgår ovan har regeringen i förarbetena till dataskyddslagen gjort bedömningen att alla uppgifter som riksdag eller regeringen gett i uppdrag åt statliga myndigheter att utföra är av allmänt intresse. Att informationen i en patientöversikt kan utbytas gränsöverskridande för att möjliggöra en patientsäker vård såväl i ett annat EES-land än där vårdtagaren är hemmahörande som nationellt är viktigt för både EU och Sverige samt de enskilda medborgarna. Utöver patientsäkerhetsaspekten är sådant informationsutbyte exempelvis betydelsefullt för den fria rörligheten på den inre marknaden.
En ytterligare aspekt i sammanhanget är, som framhållits i avsnitt 12.2, att verksamheter inom hälso- och sjukvård är samhällsviktiga i den meningen att även ett kortsiktigt bortfall av dem kan hota befolkningens grundläggande behov av exempelvis akutsjukvård, primärvård och läkemedelsförsörjning. Enligt MSB är hälsodata och informationstjänster exempel på verksamhet inom området. För det mesta pågår ingen kris i samhället och vården kan då nyttja de nya digitala möjligheterna som finns för att arbeta effektivt och utveckla vårdens kvalitet. Vården är i dag i hög grad digitaliserad med många olika system som kommunicerar med varandra. Modern medicinteknisk utrustning är mer eller mindre beroende av informations- och kommunikationsteknologi och ständiga uppdateringar. I SOU 2020:23 framhålls att det är viktigt att vården initialt i utvecklingen av tekniken säkrar riskerna ur ett beredskapsperspektiv. Fokus bör ligga på att skapa säkra och robusta system. Det får därmed också anses utgöra ett allmänt intresse att hälso- och sjukvården, och som en del av den möjligheten att dela information, fungerar vid potentiella storskaliga kriser.
Sammanfattningsvis bedömer utredningen att uppgiften att möjliggöra gränsöverskridande utbyte av patientöversikter är en sådan uppgift av allmänt intresse som avses i artikel 6.1 e i dataskyddsförordningen.
13.2.2. Det behövs nationell reglering för att fastställa den rättsliga grunden
Av artikel 6.3 i dataskyddsförordningen följer att grunden för den personuppgiftsbehandling som är nödvändig för att den personuppgiftsansvarige ska kunna uppfylla en rättslig förpliktelse (artikel 6.1 c) eller en uppgift av allmänt intresse (artikel 6.1 e) måste fastställas i nationell rätt eller EU-rätt.
I skäl 45 till dataskyddsförordningen anges att förordningen inte stadgar något krav på en särskild lag för varje enskild behandling, utan att det kan räcka med en lag som grund för flera behandlingar som bygger på en rättslig förpliktelse som åvilar den personuppgiftsansvarige, eller om behandlingen krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Av ordalydelsen i artikel 6.3 första stycket framgår att det som ska fastställas i EU-rätten eller i nationell rätt är den grund för behandlingen som avses i artikel 6.1 c och e. Det krävs således inte en reglering i EU-rätten eller i nationell rätt av den personuppgiftsbehandling som ska ske med stöd av dessa rättsliga grunder. Det som måste ha stöd i rättsordningen är i stället den rättsliga förpliktelsen respektive uppgiften av allmänt intresse eller rätten att utöva myndighet.6 I förarbetena till dataskyddslagen betonas att dataskyddsförordningens krav på att grunden för behandlingen ska vara fastställd inte utgör någon nyhet när det gäller svenska myndigheters behandling av personuppgifter, utan att det är i linje med legalitetsprincipen. Myndigheternas maktutövning, även i den mån denna förutsätter behandling av personuppgifter, måste ha stöd i någon av de källor som tillsammans bildar rättsordningen.7
Vidare framgår av skäl 41 till dataskyddsförordningen att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den, i enlighet med rättspraxis vid EU-domstolen och Europeiska domstolen för de mänskliga rät-
6Prop. 2017/18:105, s. 49. 7Prop. 2017/18:105, s. 49 f.
tigheterna. Även detta är, enligt förarbetena till dataskyddslagen, ett uttryck för legalitetsprincipen.8 Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste enligt regeringens mening bedömas från fall till fall, utifrån behandlingens karaktär. En behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten bör kunna ske med stöd av en rättslig grund som är allmänt hållen. Ett mer kännbart intrång, till exempel behandling av känsliga personuppgifter inom hälso- och sjukvården, kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart. Om intrånget är betydande och innebär övervakning eller kartläggning av den enskildes personliga förhållanden, krävs dessutom särskilt lagstöd enligt 2 kap. 6 och 20 §§regeringsformen (fortsättningsvis RF).9
Grunden för behandlingen ska enligt artikel 6.3 första stycket i dataskyddsförordningen fastställas i enlighet med EU-rätten eller ett medlemslands nationella rätt som den personuppgiftsansvarige omfattas av. Med detta avses inte att den rättsliga grunden nödvändigtvis måste fastställas i eller i enlighet med en av riksdagen beslutad lag. Däremot måste grunden vara fastställd i laga ordning, på ett konstitutionellt korrekt sätt. Sammanfattningsvis konstaterar regeringen i förarbetena till dataskyddslagen att en rättslig grund är fastställd i enlighet med svensk rätt om den följer av författning eller beslut som meddelats i enlighet med RF.10
I upplysningsbestämmelser i 2 kap. 1 och 2 §§ dataskyddslagen framgår att den rättsliga förpliktelsen eller det allmänna intresset kan följa av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.
Den behandling av personuppgifter som är nödvändig vid utbytet av patientöversikter över landsgränser har sin grund i patientrörlighetsdirektivet. EU ska stödja och främja samarbete om och utbyte av information mellan medlemsländerna (artikel 14 i patientrörlighetsdirektivet). Regleringen innebär inte någon skyldighet för medlemsländerna att delta i sådant samarbete eller informationsutbyte. Någon rättslig förpliktelse med stöd i patientrörlighetsdirektivet eller EU-rätten finns således inte enligt utredningens bedömning.
8Prop. 2017/18:105, s. 51. 9Prop. 2017/18:105, s. 51. 10Prop. 2017/18:105, s. 51 f.
Samarbetet och informationsutbytet kan med hänsyn till bestämmelsen i patientrörlighetsdirektivet utgöra ett allmänt intresse. Enligt utredningens mening uppfyller det dock inte kravet på att den rättsliga grunden ska vara tillräckligt tydlig, precis och förutsägbar för att direktivet ska kunna utgöra en fastställd rättslig grund enligt dataskyddsförordningens mening (skäl 41 till dataskyddsförordningen). Sammanfattningsvis anser utredningen att det inte finns något stöd i EU-rätten som kan läggas till grund för E-hälsomyndighetens behandling av personuppgifter vid utbytet av patientöversikter. Utredningen noterar att detta sannolikt kan förändras när EHDS, som berörs tidigare i betänkandet, träder i kraft.
Utbytet av patientöversikter regleras inte i svensk rätt i dag. Det finns med andra ord inte någon författning som skulle kunna utgöra rättslig grund i nationell rätt. Sammanfattningsvis saknas det alltså i dagsläget enligt utredningens bedömning en fastställd rättslig grund för utbytet av patientöversikter, som uppfyller dataskyddsförordningens krav.
13.3. Förutsättningar enligt regeringsformen
13.3.1. Regleringen enligt regeringsformen
För att behandlingen av personuppgifter vid gränsöverskridande utbyte av patientöversikter ska kunna stödjas på de rättsliga grunderna i artikel 6.1 c (rättslig förpliktelse) och artikel 6.1 e (allmänt intresse) i dataskyddsförordningen krävs att det finns stöd i nationell rätt. För att vara fastställd i nationell rätt krävs enligt 2 kap. 1 och 2 §§ dataskyddslagen att den rättsliga grunden för behandlingen i de nämnda fallen ska följa av lag eller annan författning, beslut som har meddelats med stöd av lag eller annan författning eller av kollektivavtal.
Det särskilda grundlagsskyddet för den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen
Vid behandling av personuppgifter aktualiseras det särskilda grundlagsskyddet för den personliga integriteten enligt 2 kap. 6 § andra stycket RF. Där anges att var och en gentemot det allmänna är skyddad
mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Som huvudregel omfattar det särskilda integritetsskyddet i 2 kap. 6 § andra stycket RF även andra än svenska medborgare (2 kap. 25 § 3 RF). Enligt 2 kap. 20 § RF får skyddet begränsas genom lag under de förutsättningar som anges i 21 §. Skyddet får således inte begränsas genom förordning. I avsnitt 3.2.7 redogör utredningen för rekvisiten i 2 kap. 6 § andra stycket RF.
Enligt förarbetena till 2 kap. 6 § andra stycket RF tar regleringen sikte på sådana åtgärder som den enskilde inte själv kan få kännedom om eller påverka genom krav på frivilligt godkännande. Om åtgärderna förutsätter den enskildes godkännande anses intrånget normalt inte vara så allvarligt att det omfattas av det särskilda grundlagsskyddet. Detta gäller även om det är fråga om känsliga personuppgifter. Det anges vidare att regleringen i personuppgiftslagstiftningen bör kunna tjäna som vägledning vid bedömningen av vad som krävs för att samtycke ska anses ha lämnats.11
Ett samtycke enligt dataskyddsförordningen är varje frivillig, specifik, informerad och otvetydig viljeyttring genom vilken den registrerade, antingen genom ett uttalande eller en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne (artikel 4.11). I sak överensstämmer det med kraven på samtycke enligt personuppgiftslagen (1998:204) som var gällande vid tiden för antagande av bestämmelsen i 2 kap. 6 § andra stycket RF.
När det gäller uppgifter om patienten avses samtycke inte utgöra den rättsliga grunden för den behandling av patientens personuppgifter som kommer att utföras av E-hälsomyndigheten vid utbytet av patientöversikter. Avsikten i utredningens förslag är dock att utbytet av patientöversikter över landsgränser ska få ske först efter att patienten har godtagit behandlingen av sina personuppgifter för detta ändamål. Detta godkännande ska inte ses som ett samtycke som utgör rättslig grund enligt dataskyddsförordningen utan är i stället avsett att vara en integritetshöjande skyddsåtgärd (även benämnt integritetshöjande samtycke) som är vanligt förekommande i registerförfattningar och som regeringen har funnit utgör en sådan precisering som får göras enligt artikel 6.2 och 6.3 i dataskyddsför-
ordningen.12 Även vid utbytet inom Sverige ska detta endast få ske om patienten inte motsätter sig behandlingen.
Det är inte självklart att ett integritetshöjande samtycke som lämnas för att den enskildes patientöversikt ska kunna tillgängliggöras i ett annat land kan anses vara ett samtycke som gör att 2 kap. 6 § andra stycket RF inte blir tillämplig. Enligt utredningens mening talar dock mycket för att även ett integritetshöjande samtycke bör räknas som samtycke enligt bestämmelsen eftersom den, som nämnts ovan, tar sikte på sådana åtgärder som den enskilde inte själv kan få kännedom om eller påverka genom krav på frivilligt godkännande.
Det särskilda grundlagsskyddet i 2 kap. 6 § andra stycket RF omfattar ”betydande intrång i den personliga integriteten”. Det är alltså endast vissa kvalificerade intrång i den personliga integriteten som träffas av regleringen. Enligt förarbetena ska både åtgärdens omfattning och arten av det intrång som åtgärden innebär beaktas. Även åtgärdens ändamål och andra omständigheter kan ha betydelse vid bedömningen. Bestämmelsen omfattar endast sådana intrång som på grund av åtgärdens intensitet eller omfattning eller av hänsyn till uppgifternas integritetskänsliga natur eller andra omständigheter innebär ett betydande ingrepp i den enskildes privata sfär.13
Informationen i en patientöversikt innehåller känsliga personuppgifter om patienten och dess hälsa och vård. Potentiellt kan utbytet av patientöversikter omfatta personuppgifter om ett stort antal människor både i samband med vård utomlands och i Sverige. Vid tillgängliggörandet av svenska patientöversikter nationellt och i annat EES-land kommer personuppgifter att lämnas ut till den svenska eller utländska vårdgivaren. För att personuppgifter ska få behandlas och lämnas ut krävs dock, som nämnts ovan, att patienten har lämnat ett så kallat integritetshöjande samtycke (eller ej motsatt sig behandlingen avseende det nationella utbytet). Det är som huvudregel först när och om ett sådant samtycke lämnas som den mottagande vårdgivaren får tillgång till sådana uppgifter om patienten som E-hälsomyndigheten ska vidareförmedla i form av en patientöversikt. Patienten väljer därmed själv om personuppgifter om denne ska behandlas. Det är därför enligt utredningens bedömning inte troligt att behandlingen skulle anses utgöra ett betydande integritetsintrång för den enskilde patienten.
12Prop. 2017/18:171, s. 88. 13Prop. 2009/10:80, s. 250.
Vid tillgängliggörandet av utländska patientöversikter i Sverige avses också ett integritetshöjande samtycke inhämtas. Personuppgiftsbehandlingen vid E-hälsomyndigheten kommer huvudsakligen bestå av översättning och vidarebefordran av uppgifter från den utländska kontaktpunkten för e-hälsa till den svenska vårdgivaren. Utöver själva vidarebefordran kommer personuppgifter bevaras i den utsträckning och under den tid som är nödvändig för att upprätthålla patientsäkerheten, så att felsökning av transaktionerna kan göras vid behov. Eftersom personuppgifter även i detta sammanhang får behandlas först om och när patienten har samtyckt till behandlingen utgör denna enligt utredningens bedömning inte ett betydande integritetsintrång för patienten.
Informationsutbytet kommer också att innebära behandling av personuppgifter om hälso- och sjukvårdsvårdpersonal. De personuppgifter som därvid behandlas är sådana som gör det möjligt att vid behov identifiera och kontakta personen i dennes yrkesroll.14 Utredningen bedömer därför att behandlingen inte innebär ett betydande integritetsintrång för dem.
För att det särskilda integritetsskyddet i 2 kap. 6 § andra stycket RF ska vara tillämpligt ska åtgärden innefatta kartläggning eller övervakning. Enligt förarbetena ska bedömningen utgå från vad som enligt normalt språkbruk läggs i dessa begrepp. Avgörande är inte åtgärdens huvudsakliga syfte utan vilken effekt åtgärden har. Med övervakning avses enligt förarbetena till exempel hemlig kameraövervakning eller teleavlyssning. Som exempel på åtgärder som kan innebära kartläggning nämns uppgiftssamlingar hos myndigheter som omfattar en stor andel av landets befolkning, polisens belastningsregister och åtgärder som primärt vidtas i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall såsom vid beskattning.15
Vid tillgängliggörandet av en svensk patientöversikt i utlandet kommer uppgifter som E-hälsomyndigheten vidarebefordrar att lämnas ut till en utländsk kontaktpunkt för e-hälsa för vidarebefordran till en utländsk vårdgivare. När patientöversikten hanteras inom Sverige kommer motsvarande vidarebefordran ske mellan två svenska vårdgivare. En sammanställning av uppgifterna för att kartlägga var patienten har befunnit sig är en behandling som inte är förenlig med ändamålet för vilket uppgifterna samlades in och därför inte tillåten
14 Jfr. 4 och 6 §§ HOSP-förordningen. 15Prop. 2009/10:80, s. 180 f och 250.
enligt dataskyddsförordningen. Utredningen bedömer att behandlingen hos myndigheten för tillgängliggörandet av patientöversikter i utlandet eller inom Sverige inte innebär sådan övervakning eller kartläggning som avses i 2 kap. 6 § andra stycket RF.
Tillgängliggörandet av utländska patientöversikter i Sverige innebär att uppgifter från en utländsk kontaktpunkt för e-hälsa förmedlas via E-hälsomyndigheten till en svensk vårdgivare samt att vissa uppgifter loggas och sparas hos myndigheten så länge som det behövs för de tillåtna ändamålen. Potentiellt kan de uppgifter som behandlas omfatta uppgifter om ett stort antal personer. Behandlingen får utföras först efter att patienten har lämnat ett integritethöjande samtycke. Någon sammanställning av uppgifter som gäller en viss patient kommer inte att göras för bevarande och är inte heller tillåten enligt bestämmelserna i dataskyddsförordningen. Utredningen bedömer att den behandling som görs hos E-hälsomyndigheten i samband med tillgängliggörandet av utländska patientöversikter i Sverige inte utgör sådan övervakning eller kartläggning som avses i 2 kap. 6 § andra stycket RF.
Normgivningsnivå
Valet mellan reglering i lag eller annan författning avgörs av bestämmelserna i RF. Grundlagens regler om hur normgivningsmakten är fördelad mellan riksdagen och regeringen finns i huvudsak i 8 kap. RF. Föreskrifter meddelas av riksdagen genom lag och av regeringen genom förordning. Föreskrifter ska meddelas genom lag bland annat om de avser skyldigheter för enskilda eller ingrepp i enskildas personliga eller ekonomiska förhållanden (8 kap. 2 § första stycket 2 RF), så kallade betungande offentligrättsliga föreskrifter. Kravet på att sådana föreskrifter ska ha lagform är dock inte obligatoriskt. Riksdagen kan med vissa undantag som inte är aktuella här bemyndiga regeringen att meddela föreskrifterna (8 kap. 3 § RF). Regeringen får i övrigt meddela bland annat sådana föreskrifter som inte enligt grundlag ska meddelas av riksdagen (8 kap. 7 § RF). Denna föreskriftsrätt brukar kallas för regeringens restkompetens.
Att det allmänna behandlar personuppgifter om enskilda anses inte innebära någon skyldighet för den enskilde eller något ingrepp i enskildas personliga förhållanden i den mening som avses i 8 kap. 2 §
första stycket 2 RF. Bestämmelser om personuppgiftsbehandling som utförs av statliga myndigheter under regeringen har därmed i princip ansetts kunna beslutas av regeringen med stöd av dess restkompetens enligt 8 kap. 7 § första stycket 2 RF.16 Det har emellertid varit både riksdagens och regeringens målsättning att myndighetsregister som innehåller ett stort antal registrerade och har ett särskilt känsligt innehåll bör regleras i lag, även om lagform inte krävs enligt RF.17
Utanför kravet på lagstöd faller berättigande föreskrifter, till exempel föreskrifter om rätt till bidrag eller andra förmåner för enskilda, likaså ”neutrala” föreskrifter om förhållandet mellan enskilda och det allmänna.18 Rätten att kunna söka vård i ett annat europeiskt land och få tillgång till viktiga journaluppgifter bör rimligen betraktas som en förmån eller i vart fall som en ”neutral” bestämmelse. Därtill kommer att behandlingen av personuppgifter som eventuellt skulle kunna utgöra ett ingrepp i enskildas personliga förhållanden endast utförs efter det att den enskilde har lämnat sitt samtycke.
I nästkommande avsnitt följer utredningens bedömning i frågan.
13.3.2. Den rättsliga grunden bör fastställas i förordning
Utredningens bedömning: Den rättsliga grunden för E-hälso-
myndighetens personuppgiftsbehandling vid utbytet av patientöversikter bör fastställas i förordning.
Åtgärderna vid förmedlingen av en svensk patientöversikt till en utländsk vårdgivare innebär att utländsk vårdpersonal får ta del av uppgifter om en patient som tillgängliggörs av svenska vårdgivare. Utredningens förslag innebär att vårdgivare tillgängliggör uppgifter om en patient som söker vård utomlands till E-hälsomyndigheten för vidarebefordran, via den utländska kontaktpunkten för e-hälsa, till vårdgivaren i det aktuella landet. Den personuppgiftsbehandling som är nödvändig för att tillgängliggöra svenska patientöversikter i andra europeiska länder ska enligt utredningens förslag endast få utföras efter att patienten har lämnat sitt samtycke, vilket utgör en
16Prop. 2017/18:105, s. 26. 17 Bet. 1990/91:KU11, s. 11, 1997/98:KU18, s. 48, prop. 1990/91:60, s. 58 och prop. 1997/98:44, s. 41. 18 Holmberg m.fl., Grundlagarna (2016-05-13 Zeteo), kommentar till 8 kap. 2 §.
integritetshöjande skyddsåtgärd. Motsvarande ska gälla för att utländska patientöversikter ska kunna tillgängliggöras i Sverige. Inte i något av fallen ska överföringen av uppgifter ske genom direktåtkomst.
Utredningen bedömer att den nödvändiga personuppgiftsbehandlingen inte innebär ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket RF. Utredningen kan inte heller se att åtgärderna utgör sådan övervakning eller kartläggning som avses i bestämmelsen. Detta medför vidare enligt utredningens bedömning att lagform för regleringen av personuppgiftsbehandlingen vid E-hälsomyndigheten inte är nödvändig.
Med hänvisning till vad som anförts bör bestämmelser om den personuppgiftsbehandling som är nödvändig att E-hälsomyndigheten utför vid utbyte av patientöversikter kunna regleras i förordningsform.
Vad gäller svenska vårdgivares hantering av personuppgifter inom hälso- och sjukvården regleras detta i patientdatalagen (2008:355) samt i lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation, varför vi föreslår att reglerna för vårdgivarnas uppgiftslämnande regleras i dessa lagar, se vidare i kapitel 15.
13.4. Förutsättningar för nationell reglering enligt dataskyddsförordningen
Utredningens förslag: Särskilda bestämmelser för att anpassa
tillämpningen av dataskyddsförordningen ska införas i de författningar som ska reglera personuppgiftsbehandlingen vid utbytet av patientöversikter.
Medlemsländerna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen när det gäller behandling som är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, enligt artikel 6.2 i dataskyddsförordningen. Den rättsliga grunden som i dessa fall ska vara fastställd i den nationella rätten i enlighet med artikel 6.3 i dataskyddsförordningen får innehålla särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen. Den kan bland annat ange de allmänna villkor som ska
gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka uppgifter får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling.
Vidare ska syftet med behandlingen fastställas i den rättsliga grunden och stödet i rättsordningen ska dessutom uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 andra stycket i dataskyddsförordningen). Det gränsöverskridande informationsutbytet är enligt utredningens bedömning en rättslig förpliktelse och en uppgift av allmänt intresse enligt artikel 6.1 c och 6.1 e i dataskyddsförordningen. Det är därför tillåtet att införa mer specifika bestämmelser för att anpassa tillämpningen av dataskyddsförordningen. Utredningen föreslår att särskilda bestämmelser för att anpassa tillämpningen av förordningen ska införas i de författningar som ska reglera personuppgiftsbehandlingen vid utbytet av patientöversikter. Detta beskrivs närmare i de följande kapitlen.
13.5. Behandling av känsliga personuppgifter
13.5.1. Känsliga personuppgifter
För att behandla känsliga personuppgifter krävs förutom att det finns en rättslig grund för behandlingen enligt artikel 6 i dataskyddsförordningen även att något av undantagen i artikel 9 är tillämpliga. Av artikel 9.1 i dataskyddsförordningen framgår att behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden. De angivna kategorierna av personuppgifter benämns i artikeln som särskilda kategorier av uppgifter, men kallas i detta betänkande för känsliga personuppgifter.
Förbudet mot att behandla känsliga personuppgifter kompletteras med ett antal undantag i artikel 9.2 i dataskyddsförordningen som anger när behandling av känsliga personuppgifter ändå är tillåten. Några av undantagen är direkt tillämpliga medan andra kräver viss
reglering i den nationella lagstiftningen för att behandling av känsliga personuppgifter ska få ske. Enligt utredningens bedömning är det framför allt undantaget i artikel 9.2 h i dataskyddsförordningen som är av intresse vid utbytet av patientöversikter.
Undantag för hälso- och sjukvård
Känsliga personuppgifter får enligt artikel 9.2 h i dataskyddsförordningen behandlas om det är nödvändigt av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av EU-rätten eller den nationella rätten eller enligt avtal med yrkesverksamma på hälsoområdet. En ytterligare förutsättning för att behandling av känsliga personuppgifter på hälso- och sjukvårdsområdet ska vara tillåten är att uppgifterna enligt artikel 9.3 i dataskyddsförordningen behandlas av eller under ansvar av en yrkesutövare eller annan person som omfattas av tystnadsplikt. I 3 kap. 5 § dataskyddslagen finns, i syfte att tydliggöra regleringen, motsvarande undantag. Regeringen uttalade i förarbetena till dataskyddslagen att även om dessa krav visserligen följer direkt av dataskyddsförordningen, är det av stor vikt för verksamheten inom de områden som omfattas av bestämmelsen att förutsättningarna för att behandla känsliga personuppgifter framgår tydligt.19
I skäl 53 till dataskyddsförordningen klargörs att förvaltning av tjänster för hälso- och sjukvård omfattar behandling som utförs av förvaltningen och centrala nationella hälsovårdsmyndigheter av sådana uppgifter för syften som hör samman med kvalitetskontroll, information om förvaltningen samt allmän nationell och lokal tillsyn över hälso- och sjukvårdssystemet och säkerställande av kontinuitet inom hälso- och sjukvård samt gränsöverskridande hälso- och sjukvård eller hälsosäkerhet, syften som hör samman med övervakning samt varningssyften eller för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål som baseras på EU-rätten eller på medlemsländernas nationella rätt, vilka måste ha ett syfte av allmänt intresse, samt studier som genomförs
av allmänt intresse på folkhälsoområdet. Uppräkningen av syften i skäl 53 till dataskyddsförordningen lär i praktiken täcka nästan all behandling av känsliga personuppgifter som förekommer inom hälso- och sjukvårdsområdet.20
13.5.2. Känsliga personuppgifter vid utbyte av patientöversikter
Utredningens bedömning: Behandling av känsliga personupp-
gifter vid utbytet av patientöversikter är nödvändig av skäl som hör samman med de hälso- och sjukvårdsverksamheter som anges i artikel 9.2 h i dataskyddsförordningen.
Enligt utredningens bedömning är personuppgiftsbehandlingen vid utbytet av patientöversikter nödvändig av skäl som hör samman med de hälso- och sjukvårdsverksamheter som anges i artikel 9.2 h i dataskyddsförordningen, särskilt förebyggande hälso- och sjukvård eller behandling samt förvaltning av hälso- och sjukvårdstjänster och deras system. Detta undantag kräver emellertid att den aktuella verksamheten utförs med stöd av EU-rätten, medlemsländernas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet. Kravet på tystnadsplikt i artikel 9.3 i dataskyddsförordningen måste också vara uppfyllt.
13.6. Var regleringen av personuppgiftsbehandlingen ska placeras
Utredningens förslag: Uppdraget att vara nationell kontakt-
punkt för e-hälsa och att tillhandahålla tjänster och infrastruktur för gränsöverskridande informationsutbyte av e-recept och patientöversikter ska regleras i E-hälsomyndighetens instruktion.
De närmare bestämmelserna om E-hälsomyndighetens personuppgiftsbehandling vid utbyte av patientöversikter ska regleras i en ny förordning om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter. Ändringar
20 Sören Öman, Dataskyddsförordningen (GDPR) m.m. – En kommentar, kommentaren till artikel 9, JUNO version: 1A.
behöver även införas i lag om sammanhållen vård- och omsorgsdokumentation, patientdatalagen och lagen om nationell läkemedelslista.
E-hälsomyndighetens instruktion ska innehålla de uppdrag av varaktigt slag som myndigheten har. Uppdraget att tillhandahålla tjänster och infrastruktur för det gränsöverskridande utbytet av såväl e-recept som patientöversikter samt uppdraget att vara nationell kontaktpunkt för e-hälsa bör därför framgå av myndighetens instruktion.
När personuppgifter ska behandlas för nya ändamål är det ofta lämpligt att en ny författning reglerar all den behandling som kan komma att ske. En sådan sammanhållen reglering ger en samlad överblick över personuppgiftsbehandlingen vilket ofta medför bättre förutsättningar att bedöma vilken påverkan behandlingen som helhet har för de registrerades integritet. Vidare är fördelen att det är lättare för tillämparen men även för den registrerade att få en överblick av bestämmelserna om allt är samlat.
Vid utbyte av e-recept över landsgränser gjordes i utredningens delbetänkande emellertid bedömningen att förutsättningarna är olika beroende på om e-receptet är utfärdat i Sverige eller i ett annat EES-land.21 I den förra situationen finns e-recepten registrerade i den nationella läkemedelslistan medan i den senare situationen finns e-recepten i ett utländskt register eller liknande som inte omfattas av svensk rätt. I delbetänkandet föreslogs därför att regleringen av E-hälsomyndighetens behandling av personuppgifter avseende svenska e-recept som ska expedieras i ett annat EES-land bör göras i lagen om nationell läkemedelslista. I den omvända situationen, när E-hälsomyndigheten behandlar personuppgifter i e-recept från EES som ska expedieras i Sverige föreslogs en ny lag.
Denna tydliga uppdelning finns inte avseende utbyte av patientöversikter över landsgränser. Det saknas en befintlig lagstiftning som är lämplig att komplettera på motsvarande sätt som delbetänkandets förslag avseende lagen om nationell läkemedelslista. Mot den bakgrunden är utredningens bedömning att det är lämpligt att regleringen bör ske i en ny författning. Utredningen har i tidigare avsnitt gjort bedömningen att E-hälsomyndighetens behov av att behandla
21 Se avsnitt 7.6 i delbetänkandet.
personuppgifter vid utbyte av patientöversikter bör regleras i förordningsform.
När svenska patientöversikter tillgängliggörs i utlandet eller hos annan vårdgivare nationellt kommer personuppgifter i patientjournaler och i den nationella läkemedelslistan att behandlas. Regleringen av ytterligare behandling av dessa uppgifter och behandling för andra ändamål bör därför införas i patientdatalagen och i lagen om nationell läkemedelslista. E-hälsomyndighetens behandling vid vidarebefordran av dessa uppgifter bör i enlighet med vad som redogjorts för ovan regleras i en ny förordning om personuppgiftsbehandling vid Ehälsomyndigheten. När utländska patientöversikter tillgängliggörs i Sverige hämtas uppgifterna från ett utländskt register eller annan informationskälla. E-hälsomyndighetens behandling av sådana uppgifter bör också regleras i föreslagen förordning.
13.7. Särskilda överväganden avseende skyddade personuppgifter och barn
Utredningen har i analysen av tjänsten patientöversikter över landsgränser även identifierat frågor om integritet och sekretess gällande patienter med skyddade personuppgifter samt barn och vårdnadshavare. Utredningen tar upp dessa frågor i följande avsnitt.
13.7.1. Skyddade personuppgifter
Utredningens bedömning: Förutsättningar att hantera personer
med skyddade personuppgifter i en tjänst för patientöversikter över landsgränser föreligger inte för närvarande.
Skyddade personuppgifter är ett samlingsbegrepp inom folkbokföringen för de olika skyddsåtgärder som finns. Beroende på arten av hot finns det tre grader av skydd av personuppgifter; sekretessmarkering, skyddad folkbokföring och fingerade personuppgifter. Därutöver finns bestämmelser om sekretess som kan aktualiseras för hotade och förföljda personer.22
Det finns en särskild generell sekretessbestämmelse i 21 kap. 3 § offentlighets- och sekretesslagen (2009:400), fortsättningsvis OSL, som gäller vissa uppgifter om det av särskild anledning kan antas att den enskilde eller någon närstående till denne kan komma att utsättas för hot eller våld eller lida annat allvarligt men om uppgiften röjs. Sekretessen gäller förenklat uppgifter som kan visa var någon bor, telefonnummer och andra typer av kontaktuppgifter. Sekretessen gäller också personens anhöriga. Bestämmelsen gäller oavsett i vilket sammanhang uppgiften förekommer.
I förarbetena till lagen om nationell läkemedelslista uttalade regeringen att det är av särskild vikt att patienter med skyddade personuppgifter ska kunna hanteras i det nya registret.23 Det ansågs vidare vara av stor vikt att sådana uppgifter hanteras på rätt sätt eftersom ett röjande kan få mycket allvarliga konsekvenser. Regeringen ansåg även att E-hälsomyndigheten och de aktörer som bereds direktåtkomst till registret, det vill säga hälso- och sjukvården samt öppenvårdsapoteken, behöver ha en godtagbar säkerhetshantering av skyddade personuppgifter.24
E-hälsomyndigheten begärde förhandssamråd med Integritetsskyddsmyndigheten (IMY, tidigare Datainspektionen), med anledning av personuppgiftsbehandlingen i den nationella läkemedelslistan, enligt artikel 36 i dataskyddsförordningen. I begäran uppgav E-hälsomyndigheten bland annat att det finns kvarvarande risker avseende hanteringen av skyddade personuppgifter. E-hälsomyndigheten menade dock att ytterligare åtgärder, exempelvis att inte alls registrera individer med skyddade personuppgifter, skulle minska läkemedelslistans användbarhet och innebära risker för patientsäkerheten.
I yttrandet Förhandssamråd enligt dataskyddsförordningen om be-
handling av personuppgifter i den nationella läkemedelslistan uppgav
IMY bland annat att det ställer särskilda krav på den personuppgiftsansvarige att behandla personuppgifter om personer med skyddade personuppgifter, till exempel att spridandet av generellt sett harmlösa uppgifter som personens namn kan innebära ett allvarligt hot mot den enskilde. Eftersom hotbilden mot den enskilde varierar ansåg IMY att den personuppgiftsansvarige alltid måste analysera den behandling av personuppgifter som blir aktuell i ett enskilt fall och anpassa behandlingen efter den specifika situationen. IMY lyfte
23Prop. 2017/18:223, s. 178. 24Prop. 2017/18:223, s. 178.
även att skyddet för dessa personer måste utformas med stor omsorg och noggrannhet, eftersom en obefogad spridning kan få mycket allvarliga konsekvenser för någon med skyddade personuppgifter, vilka ska kunna känna sig trygga med hur deras personuppgifter kommer att behandlas.25
Vad gäller tjänsten patientöversikter över landsgränser har E-hälsomyndigheten uppgett att myndigheten ännu inte har utrett frågan hur personer med skyddade personuppgifter ska hanteras i tjänsten och att tjänsten därför till en början inte kommer att kunna omfatta personer med skyddade personuppgifter.
Behandlingen av skyddade personuppgifter ställer särskilda krav på den personuppgiftsansvarige. Vid gränsöverskridande hantering av personuppgifter kompliceras bilden när personuppgifterna överförs till ett annat land. Innan tjänsten patientöversikter över landsgränser eventuellt kan omfatta även personer med skyddade personuppgifter behöver E-hälsomyndigheten som personuppgiftsansvarig utreda och analysera förutsättningarna för att kunna skydda dessa personer på ett säkert sätt. Sådana förutsättningar föreligger inte för närvarande enligt utredningens bedömning.
13.7.2. När patienten är ett barn
Utredningens bedömning: Barn bör kunna omfattas av tjänsten
patientöversikter över landsgränser först när det är tydligt att skyddet för barnets integritet kan säkerställas av E-hälsomyndigheten som personuppgiftsansvarig. Pågående arbeten och utredningar avseende åldersgränser och andra angränsande och relevanta frågor bör analyseras och utvärderas i strävan efter att kunna erbjuda barn samma rättigheter som vuxna gällande möjligheten att omfattas av utbytet av patientöversikter.
I detta avsnitt görs överväganden om patienten är ett barn. Med barn avses den som är under 18 år. Frågor om barn, vårdnadshavare och tillgång till uppgifter om barn inom hälso- och sjukvården har återkommande varit föremål för diskussion, på senare år till exempel
25 IMY, Förhandssamråd enligt dataskyddsförordningen om behandling av personuppgifter i den
nationella läkemedelslistan, diarienummer DI-2021-264, den 20 april 2021, s. 14.
inom ramen för arbetet med den nationella läkemedelslistan26 och i förarbetena till lagen om sammanhållen vård- och omsorgsdokumentation27. Motsvarande frågor diskuteras också inom det europeiska samarbetet genom exempelvis Nätverket för e-hälsa.28
En avgörande förutsättning för att barn ska kunna omfattas av tjänsten patientöversikter över landsgränser är enligt utredningen att skyddet för barnets integritet kan säkerställas. I detta innefattas frågor om när barnet utifrån ålder och mognad bör kunna bestämma själv över hanteringen av sina personuppgifter, genom att till exempel lämna samtycke, samt att gällande sekretessreglering inte förlorar avsett skydd bara för att vård söks utomlands. Även frågeställningar kring hur barnet, och vårdnadshavaren, ska identifieras vid vårdtillfället aktualiseras. Utifrån dessa utgångspunkter görs nedan redovisning och bedömningar.
Utgångspunkter i svensk rätt när patienten är ett barn
Barnets rättsliga ställning inom hälso- och sjukvården är inte helt entydig. När ett barn söker hälso- och sjukvård möter principen om vårdnadshavarnas ansvar för sina barn det regelverk som gäller för vården i Sverige.29 En utgångspunkt är att hälso- och sjukvård ska bedrivas med respekt för patientens självbestämmande och integritet. När patienten är ett barn är utgångspunkten att vårdnadshavarna ska samtycka till vården, men i takt med barnets stigande ålder och utveckling ska allt större hänsyn tas till barnets synpunkter och önskemål.30 Barnets inställning ska tillmätas betydelse i förhållande till barnets ålder och mognad enligt 4 kap. 3 § patientlagen (2014:821). Barn anses som särskilt skyddsvärda enligt dataskyddsförordningen, eftersom de kan ha svårare att förutse riskerna med att lämna ifrån sig uppgifter och att förstå vilken rätt till skydd för sina uppgifter som de har (skäl 38 till dataskyddsförordningen).
En patients möjlighet att själv bestämma över uppgifter om honom eller henne är alltså inte nödvändigtvis villkorad av att han eller hon har fyllt 18 år. I förarbetena till lagen om sammanhållen vård- och
26 Se exempelvis JO:s beslut 2019-3331. 27Prop. 2021/22:177. 28 Se exempelvis eHDSI Requirements catalogue, v6.1.3. 29 Socialstyrelsen, Meddelandeblad Nr 8/2020. 30 Se 6 kap. 11 § föräldrabalken.
omsorgsdokumentation uttalade regeringen bland annat följande angående möjligheten att spärra uppgifter. Barn och ungdomar bör i detta sammanhang hanteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården. Det innebär att det barn som är i stånd att bilda egna åsikter ska ges möjlighet att fritt uttrycka dessa. Barnets inställning ska tillmätas betydelse i förhållande till hans eller hennes ålder och mognad. Vilken mognad som krävs för att ett barns inställning ska tillmätas betydelse måste bedömas vid varje enskilt tillfälle. I takt med den underåriges stigande ålder och mognad ska allt större hänsyn tas till barnets önskemål och vilja, om uppgifter om honom eller henne ska få göras tillgängliga för andra vårdgivare eller inte, se 6 kap. 11 § föräldrabalken (prop. 2007/08:126 s. 115 och 250 f.).31
Barnkonventionen gäller sedan den 1 januari 2020 som svensk lag genom lagen (2018:1197) om Förenta nationernas konvention om barnets rättigheter. Lagen innebär ett förtydligande av att rättstillämparna i samtliga mål och ärenden ska tolka svenska bestämmelser i förhållande till barnkonventionen. Enligt artikel 12 ska konventionsstaterna tillförsäkra det barn som är i stånd att bilda egna åsikter rätten att fritt uttrycka dessa i alla frågor som rör barnet. Även här anses att barnets åsikter ska tillmätas betydelse i förhållande till barnets ålder och mognad. Vid alla åtgärder som rör barnet ska vidare i första hand beaktas vad som bedöms vara barnets bästa. Enligt artikel 6 har varje barn rätt till liv och varje konventionsstat ska till det yttersta av sin förmåga säkerställa barnets överlevnad och utveckling. Av artikel 24 följer att barnet har rätt till bästa möjliga hälsa och tillgång till hälso- och sjukvård. Vidare följer av artikel 5 att konventionsstaterna ska respektera det ansvar och de rättigheter och skyldigheter som tillkommer till exempel föräldrar eller vårdnadshavare eller andra personer som har juridiskt ansvar för barnet, att på ett sätt som står i överensstämmelse med den fortlöpande utvecklingen av barnets förmåga ge lämplig ledning och råd då barnet utövar de rättigheter som erkänns i konventionen.
Det bör uppmärksammas att barn har samma rättigheter till skydd för sina personuppgifter som vuxna. Det innebär att även barn har rätt att exempelvis få information om personuppgiftsbehandling (artikel 12–14 i EU:s dataskyddsförordning). Barnet har rätt att få sina rättigheter tillgodosedda och utöva de möjligheter lagstiftningen
medger. Olika rättigheter och möjligheter kan som nämnts utövas av barnet självt eller av en vårdnadshavare beroende på barnets ålder och mognad. Vårdnadshavare som utövar rättigheter eller möjligheter å sina barns vägnar måste komma ihåg att det är barnets rättigheter som ska tillgodoses och barnets intressen som ska tas tillvara.
Särskilt om barns samtycke
I EU:s dataskyddsförordning finns allmänna bestämmelser om samtycke till behandling av personuppgifter i artikel 6. Där stadgas att ett villkor för laglig behandling av personuppgifter kan utgöras av att den enskilde lämnat sitt samtycke till behandlingen. I artikel 8 specificeras sedan villkor som gäller barns samtycke avseende informationssamhällets tjänster enligt följande. Vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska vid tillämpningen av artikel 6.1 a behandling av personuppgifter som rör ett barn vara tillåten om barnet är minst 16 år. Om barnet är under 16 år ska sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet. Medlemsstaterna får enligt artikel 8.1 i sin nationella rätt föreskriva en lägre ålder i detta syfte, under förutsättning att denna lägre ålder inte är under 13 år.
Sverige har genom 2 kap. 4 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning föreskrivit att vid erbjudande av informationssamhällets tjänster direkt till ett barn som bor i Sverige ska behandling av personuppgifter vara tillåten med stöd av barnets samtycke, om barnet är minst 13 år. Om barnet är under 13 år, ska sådan behandling vara tillåten endast om samtycke ges eller godkänns av den som har föräldraansvar för barnet.
Härigenom har Sverige således utnyttjat den möjlighet som dataskyddsförordningen erbjuder i form av en sänkt ålder för barnets rätt att själv samtycka vid erbjudandet av informationssamhällets tjänster. Detta i förening med vad som anförts ovan om beaktandet av barnets mognad bör kunna ge viss vägledning till den ungefärliga ålder som kan aktualisera en rätt att själv kunna lämna samtycke även i situationen med utbyte av en patientöversikt. Det är också i linje med vad som redogörs för närmare i avsnittet nedan om vårdnadshavares ut-
hämtande av läkemedel åt barn. Utredningen återkommer till frågan i de avslutande övervägandena.
Förutsättningar för utbyte av patientöversikter för barn i Nätverket för e-hälsa
Nätverket för e-hälsa anger att barn ska identifieras på motsvarande sätt som vuxna, med en unik nationell identifierare och identitetshandling med fotografi.32 Barn från Sverige skulle då under förutsättning att de har till exempel ett nationellt id-kort eller pass kunna identifiera sig inom ramen för tjänsten utbyte av patientöversikter vid vårdbesök i ett annat medlemsland och då omfattas av densamma om övriga villkor är uppfyllda, exempelvis att ett integritetshöjande samtycke har lämnats av barnet och att land B tillåter att barn omfattas av tjänsten.
I Nätverket för e-hälsas kravkatalog anges vidare möjligheten för tredje part att företräda patienten.33 Detta under förutsättning att i förekommande fall såväl land A som land B tillåter det och som exempel på tredje part ges en vårdnadshavare som agerar företrädare för sitt minderåriga barn. Av kraven framgår också att inget särskilt dokument ska krävas för att bekräfta vårdnadshavarens ställning i förhållande till barnet, utan att detta ska säkerställas genom bekräftelse från land A i samband med identifikationen av patienten (barnet). Informationen om både patienten och företrädaren måste kommuniceras med land A samtidigt.
Utredningen konstaterar att frågan om barns innefattande i utbytet av patientöversikter kan skilja sig åt beroende på dels vår nationella lagstiftning, dels lagstiftningen i land B, som följaktligen kan se olika ut beroende på vilket land som utgör land B i det specifika vårdfallet. Utredningen har haft visst informationsutbyte med andra medlemsstater i Nätverket för e-hälsa, bland annat kring huruvida barn omfattas av deras tjänst för utbyte av patientöversikter (se avsnitt 9.3). Samma bild framkommer även då, nämligen att oavsett om barn omfattas av tjänsten i det landet blir utbytet av patientöversikter när barnet är i ett annat land beroende av huruvida det är tillåtet enligt det landets nationella lagstiftning. Portugal anger att de för närvarande inte tillåter gränsöverskridande utbyte i fall med
32eHDSI Requirements Catalogue, 02.01. Uniquely identify the Patient. 33eHDSI Requirements Catalogue, 02.01. Authorized Third Party Identification data.
”authorized third party” medan Spanien lyfter att de även nationellt har utmaningar att hantera vårdnadshavare som företrädare för barn på grund av bristande förutsättningar i inhemska register. Estland framhåller att deras reglering inte hindrar att barn omfattas av utbyte av patientöversikter över landsgränser, men pekar på att reglerna i land B blir styrande då estländska barn söker vård utomlands samt förklarar att vårdnadshavare måste ge ett muntligt samtycke för hanteringen i situationer då barn från ett annat medlemsland söker vård i Estland.
Sammantaget ser utredningen en vinst med att dessa frågor diskuteras vidare inom det europeiska samarbetet och att en gemensam syn och lösning eftersträvas, där barn på ett säkert och integritetsvärnande sätt kan omfattas i samma utsträckning som vuxna av det gränsöverskridandet utbytet av patientöversikter. Frågor som bör harmoniseras är till exempel eventuellt krav på samtycke för personuppgiftshanteringen och i så fall möjligheten för barn att lämna samtycke samt därtill angränsande frågor såsom åldersgränser eller hur barn bör identifieras i tjänsten patientöversikt över landsgränser.
Exemplet när vårdnadshavare hämtar ut läkemedel åt barn i Sverige
I utredningens delbetänkande om utbyte av e-recept över landsgränser har i samband med barnperspektivet diskuterats frågor som aktualiseras då en vårdnadshavare hämtar ut läkemedel åt barn i Sverige. Bland annat har ytterligare resonemang förts kring barnets rättigheter i förhållande till ålder och mognad samt pekats på viktiga sekretessfrågor i förhållande till vårdnadshavare. Utredningen ser oaktat att vissa upprepningar av vad som anförts ovan sker, ett värde av att ifrågavarande avsnitt lyfts in även i slutbetänkandet för att närmare belysa komplexiteten och grunda den bedömning som utredningen gör beträffande utbytet av patientöversikter för barn. Följande resonemang är således utdrag från delbetänkandets redovisning, avsnitt 7.7.3.34
E-hälsomyndigheten är personuppgiftsansvarig för myndighetens behandling av personuppgifter i den nationella läkemedelslistan
34 I de fall det i texten hänvisas till utredningen om sammanhållen information inom vård och
omsorg kan förtydligas att slutsatserna i den slutliga regleringen och propositionen inte skiljer
sig åt från de i angiven utredning.
(3 kap. 1 § lagen om nationell läkemedelslista). Patienten kan få direktåtkomst till uppgifter om sig själv i den nationella läkemedelslistan. Direktåtkomst får även ges till en annan fysisk person som patienten utsett genom en fullmakt som finns registrerad i den nationella läkemedelslistan enligt 5 kap. 1 § lag om nationell läkemedelslista.
Barn kan själva med ökad ålder få uppgifter om sig själva spärrade i den nationella läkemedelslistan, men vårdnadshavare kan inte få uppgifter spärrade om sina barn, enligt 4 kap. 3 § samma lag. Det finns inga särskilda bestämmelser beträffande barnets mognadsgrad att själv få uppgifter spärrade. Regeringen ansåg i förarbetena att det inte var möjligt att i lag närmare precisera vilken ålder som vore passande för samtliga barn, eller ändamålsenligt att föreslå en särreglering för den nationella läkemedelslistan. Regeringen ansåg att barn och tonåringar bör hanteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården, som innebär att allt större hänsyn ska tas till barnets önskemål och vilja i takt med den underåriges stigande ålder och utveckling.35
Enligt 4 kap. 4 § tredje stycket lagen om nationell läkemedelslista kan hälso- och sjukvårdspersonal som har behörighet att förskriva läkemedel och som efter en prövning enligt 12 kap. 3 § OSL eller 6 kap. 12 § patientsäkerhetslagen (2010:659) finner att uppgift om en underårig i den nationella läkemedelslistan inte får lämnas ut till dennes vårdnadshavare hos E-hälsomyndigheten begära att få uppgiften spärrad i den nationella läkemedelslistan för direktåtkomst av vårdnadshavaren.
Enligt 25 kap. 17 a § OSL gäller sekretess hos E-hälsomyndigheten för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Sekretessen gäller inte i förhållande till den enskilde själv. Sekretess till skydd för en enskild gäller även i förhållande till dennes vårdnadshavare enligt 12 kap. 3 § OSL. Sekretessen gäller dock inte i förhållande till vårdnadshavaren i den utsträckning denne enligt 6 kap. 11 § föräldrabalken har rätt och skyldighet att bestämma i frågor som rör den underåriges personliga angelägenheter om inte det kan antas att den underårige lider betydande men om uppgifter röjs för vårdnads-
havaren, eller om det annars följer av OSL. Det krävs att det men som kan befaras vid utlämnande ska vara betydande.36
Om sekretess inte gäller i förhållande till vårdnadshavaren, förfogar denne ensam eller, beroende på barnets ålder och mognad, tillsammans med barnet över sekretessen till skydd för barnet enligt 12 kap. 3 § OSL. Som utgångspunkt har vårdnadshavarna rätt att ta del av sekretessbelagda uppgifter som rör barnet. I takt med barnets stigande ålder och mognad ska allt större hänsyn tas till barnets integritet, egna synpunkter och önskemål. När ett barn har nått en viss mognad och utveckling kan vårdnadshavarna inte längre göra anspråk på att få veta vad barnet har berättat för till exempel en läkare.37Någon fast åldersgräns finns inte fastslagen i svensk rätt som ledning för denna bedömning. Det kan även förekomma fall där det av hänsyn till barnets bästa kan vara befogat att inte lämna ut vissa uppgifter till vårdnadshavarna även om det är fråga om ganska små barn.38
Utredningen om sammanhållen information inom vård och omsorg
redogör för svensk rätt och anger bland annat att det inte finns någon generell åldersgräns för när ett barn har rätt att självt disponera sina uppgifter, men att vissa utgångspunkter skapats i rättspraxis till exempel att en 12-årings vilja i regel ska ges avgörande betydelse.39Situationen anses få bedömas från fall till fall utifrån barnets ålder och mognad. Den utredningen påtalar också att det kan finnas gränsdragningsproblem och praktiska bekymmer med att vårdnadshavaren inte får tillgång till barnets uppgifter, samt att det kan vara vanskligt att bedöma när ett barn har uppnått sådan ålder och mognad att det självt ska få disponera över sina uppgifter, särskilt för barn i yngre tonåren.
Frågeställningen har ställts på sin spets i den digitala lösning för direktåtkomst till barns uppgifter som tillhandahålls via den digitala tjänsten Läkemedelskollen, eftersom en sekretessprövning inför ett utlämnande är svår i en sådan lösning. E-hälsomyndigheten beslutade att ta bort vårdnadshavares direktåtkomst till tonåringars receptinformation i Läkemedelskollen40 från april 2019. E-hälsomyndig-
36 Eva Lenberg m.fl., Offentlighets- och sekretesslagen – en kommentar, kommentaren till OSL 12 kap. 3 §, JUNO version 24. 37Prop. 1981/82:186, s. 36. 38Prop. 1981/82:186, s. 36. 39 Beskrivningen av gällande rätt baseras i stora delar på SOU 2021:39, s. 341 ff. 40 Läkemedelskollen är en tjänst från E-hälsomyndigheten som innebär att patienten under vissa förutsättningar kan logga in och se t.ex. e-recept och information om utlämnade läkemedel.
heten motiverade detta bland annat med att direktåtkomsten innebar att information om aktuella e-recept blev tillgänglig för vårdnadshavare när de loggat in och det ansågs inte förenligt med OSL.41 Efter en anmälan av detta beslut uttalade JO att det inte fanns skäl att rikta kritik mot detta förfarande. JO delade bedömningen att uppgifter som omfattas av sekretess till skydd för en underårig som uppnått en viss ålder och mognad bör lämnas ut till vårdnadshavare först efter en prövning i varje enskilt fall.42
I praktiken innebär detta för närvarande bland annat att vårdnadshavare i Sverige till barn som är cirka 13–17 år inte automatiskt kan se och beställa en tonårings läkemedel via e-handel utan kontakt med en farmaceut. Däremot kan en vårdnadshavare hämta ut läkemedel för sina tonårsbarn om en farmaceut gör en bedömning av vilken information som kan lämnas ut med hänsyn till tonåringens integritet och om sekretess anses gälla i förhållande till vårdnadshavaren. På apoteket kan det göras till exempel genom att farmaceuten som en integritetsskyddande åtgärd ställer frågor om vilka läkemedel tonåringen behöver.
Sammanfattande överväganden
Barns integritet måste skyddas på samma sätt som nationellt om de ska kunna omfattas av tjänsten patientöversikter över landsgränser. Frågor som möjlighet att lämna samtycke, och av vem, samt därvid hörande ställningstaganden kring åldersgränser och sekretesskydd aktualiseras.
En samlad bedömning av rättsläget ger att vissa utgångspunkter skapats i rättspraxis, till exempel att en 12-årings vilja i regel ska ges avgörande betydelse i fråga om självbestämmande. Detta är i linje med den redovisning som gjorts ovan och som omfattar olika delar av hälso- och sjukvårdsfrågor för barn. Emellertid återkommer slutsatsen att det varken är lämpligt eller möjligt att ange en definitiv ålder för när ett barn bör få bestämma själv om till exempel hanteringen av sina personuppgifter. Samtidigt som det kan finnas gränsdragningsproblem och praktiska bekymmer med att vårdnadshavaren inte får tillgång till barnets uppgifter, kan det vara vanskligt att bedöma när
41 E-hälsomyndighetens rapport (2019-04-03) Borttagande av vårdnadshavares direktåtkomst till tonåringars recept via apotekens e-handel, dnr 2019/01480. 42 JO beslut 2021-02-03, dnr 3331-2019.
ett barn har uppnått sådan ålder och mognad att det självt ska få disponera över sina uppgifter, särskilt för barn i yngre tonåren.
I sammanhanget kan nämnas att det även inom Sverige finns skillnader mellan olika regioner när det gäller till exempel åldersgränser för åtkomst till personliga digitala tjänster på exempelvis 1177.se, vilket har lyfts bland annat av Socialstyrelsen i myndighetens redovisning av uppdraget om en Nationell listningstjänst. Socialstyrelsen konstaterar vidare att varken hälso- och sjukvårdslagen eller patientlagen innehåller specifika bestämmelser i fråga om när barn ska kunna använda den digitala listningstjänsten för att lista sig hos en utförare. Det är således upp till regionerna att analysera och avgöra vilken ålder som ska gälla för att barn själva ska få använda listningstjänsten eller göra val av utförare på annat sätt än genom listningstjänsten, utan att samtycke inhämtas från vårdnadshavarna.43
I en rapport från Inera om åldersgränser i 1177-tjänster44 fokuseras särskilt på problematiken kring ramverket som innebär en åldersgräns om 16 år för tillgång till sin egen journal i förhållande till rätten för vårdnadshavares tillgång till barns journal som gäller till det att barnet fyller 13 år. För barn mellan 13 och 15 år finns därför i nuläget ingen automatisk tillgång, vare sig för vårdnadshavaren eller för barnet själv. I rapporten föreslås bland annat, med vissa undantag, att barn bör få tillgång till alla tjänster som innehåller potentiellt känslig journalinformation från 13 års ålder och samtidigt bör vårdnadshavare få tillgång till samma information fram till att barnet fyller 15 år. På så sätt eftersträvas att fylla glappet som varit när varken barn eller vårdnadshavare har direktåtkomst till patientuppgifterna mellan det att barnet är 13 och 15 år. Regeringen har sedermera tillsatt en utredning för att utreda åldersgränser vid direktåtkomst till barns patientuppgifter via 1177 Vårdguiden.45 Utredaren ska kartlägga hur det ser ut i praktiken i dag samt lämna förslag som kan ge vårdnadshavare, enskilt eller tillsammans med barnet, direktåtkomst till barnets patientuppgifter, för att uppnå en mer ändamålsenlig ordning. Uppdraget planeras slutredovisas den 31 maj 2023.
43 Socialstyrelsens promemoria Konsekvensutredning – förslag till föreskrifter och allmänna råd om listningstjänst för vårdval och vårdval på annat sätt, 2023-01-09, dnr 4.1-37849/2022, s. 35. 44 Åldersgränser i 1177-tjänster, Utredningsrapport och barnkonsekvensanalys, 2022-08-26. 45 Uppdrag om elektronisk åtkomst till barns uppgifter inom hälso- och sjukvården inklusive tandvården (S 2022:G).
Det är en svår avvägning som ibland måste göras. Som ett ytterligare exempel kan regeringens överväganden i förarbetena till den tidigare gällande bestämmelsen i 6 kap. 2 § patientdatalagen tas. Där anfördes att i 14 kap. 1 § socialtjänstlagen finns bestämmelser som ställer krav på såväl myndigheter som anställda inom både myndigheter och verksamheter inom hälso- och sjukvården och socialtjänsten att anmäla till socialtjänsten om de i sin verksamhet får kännedom om eller misstänker att ett barn far illa. Regeringen ansåg vidare att behovet av att öka vårdpersonalens möjligheter att upptäcka barn som far illa och att bedöma om anmälan ska göras till socialnämnden för att barnet ska få tillräckligt skydd, väger tyngre än den integritetskränkning som kan uppstå till följd av att vårdnadshavare inte kan spärra sitt barns uppgifter.46 Därför hade inte vårdnadshavaren till ett barn möjlighet att spärra uppgifter om barnet enligt 6 kap. 2 § fjärde stycket patientdatalagen.
Det ovan sagda bör beaktas vid de överväganden som måste göras kring möjligheten att låta barn omfattas av tjänsten patientöversikt över landsgränser. Som framkommit blir det härvid viktigt att i takt med barnets stigande ålder och mognad ta allt större hänsyn till barnets åsikter, önskemål och vilja. En viktig aspekt är dock även att barn som är patienter är i ett beroendeförhållande till vårdgivaren och att det är angeläget att vårdgivaren vid tillämpningen av lagen försäkrar sig om att samtycken från barn är reella samtycken, och att barnets rättigheter tillvaratas. Mognad och förmåga till självbestämmande kan variera mellan olika barn i samma ålder. Därav bör en specifik åldersgräns för när ett barn exempelvis ska kunna lämna ett samtycke till, i nu aktuellt fall, personuppgiftshantering lämpligen inte anges.47
I stället bör, i likhet med vad som gäller avseende möjlighet för barn att spärra uppgifter enligt lagen om sammanhållen vård- och omsorgsdokumentation, barnet självt ha rätt att samtycka till personuppgiftshanteringen som måste ske vid utbytet av patientöversikter i takt med sin stigande ålder, mognad och utveckling (jämför 6 kap. 11 § föräldrabalken). Utredningens bedömning är således att ett barn som har uppnått en sådan mognad att de förstår innebörden av hanteringen bör få lämna avsett samtycke. I det hänseendet är det av vikt att barnet får information som barnet kan ta till sig och förstå
46Prop. 2007/08:126, s. 115 och 250 f. 47 Jämför motsvarande resonemang i prop. 2021/22:177, s. 96.
och att även barn som inte följer en mer typisk mognadsutveckling bör ges möjlighet till det inflytande de kan anses mogna för. Hur denna bedömning ska ske kan inte anges närmare i detta sammanhang, utan den bör ske på det sätt som görs redan i dag på andra områden inom hälso- och sjukvården.48 49 En möjlig lösning vore att den vårdpersonal som har kontakt med och kännedom om barnet bör bedöma om barnet kan lämna ett integritetshöjande samtycke.
Utredningen ser utifrån patientsäkerhet och principer om likabehandling ett stort värde i att även barn kan omfattas av utbytet av patientöversikter. Som framgått måste detta dock ställas mot skyddet för barnets integritet och stadgade rättigheter, ytterst i barnkonventionen. Integritetsskyddet bör, som redogjorts för ovan, göra sig mer gällande utefter stigande ålder och när det gäller barn upp till omkring tolv år ser utredningen att det vore önskvärt att kunna låta dem omfattas av utbytet, under förutsättning att de inte får ett sämre skydd än det de åtnjuter nationellt. Den rättsliga reglering som utredningen föreslår (se vidare i följande kapitel) hindrar i sig inte en sådan lösning men som återkommande pekats på måste komplexiteten kring exempelvis samtycke hanteras. Därtill kommer eventuella hinder ur sekretesshänseende.
Beträffande sekretessfrågan uttalade sig utredningen i delbetänkandet angående risken för att vårdnadshavaren kan få del av uppgifter om barnets e-recept, utan att någon bedömning av sekretess har gjorts i det enskilda fallet, om vårdnadshavare kan hämta ut recept åt äldre barn i annat land. Utredningen konstaterade då även att det är en situation som sannolikt inte hade inträffat i Sverige med hänsyn till regleringen i bland annat OSL, men något som alltså skulle kunna ske i utlandet. För att konkretisera risken exemplifierade utredningen med att vårdnadshavaren eventuellt skulle kunna få del av uppgift om ett e-recept som är spärrat gentemot vårdnadshavaren eller omfattas av sekretess och att motsvarande situation även blir aktuell när farmaceuten hämtar uppgifter om det aktuella e-receptet. Om så sker, uttalade utredningen vidare, beror bland annat på hur tjänsten utformas i detta hänseende och även om vårdnadshavaren inte får direktåtkomst till uppgifterna finns en risk att konsekvensen
48 Jämför motsvarande resonemang i prop. 2021/22:177, s. 96. 49 Se även Socialstyrelsens promemoria Konsekvensutredning – förslag till föreskrifter och allmänna råd om listningstjänst för vårdval och vårdval på annat sätt, 2023-01-09, dnr 4.1-37849/2022, särskilt barnkonsekvensanalysen i avsnitt 6 där motsvarande överväganden görs avseende barn ställning och rättigheter.
i stort kan bli densamma, exempelvis att vårdnadshavaren får kännedom om uppgifter om barnets läkemedelsbehandling som vårdnadshavaren inte hade fått vid en expediering i Sverige.
I situationen med utbyte av patientöversikter över landsgränser är det inte fråga om att vårdnadshavare hämtar ut recept åt barn i ett annat land, men likväl kan information om läkemedelsbehandling såväl som andra uppgifter som ett äldre barn kan ha rätt att själv råda över enligt det ovan redogjorda regelverket omfattas av sammanställningen. Utredningen ser, i likhet med delbetänkandets överväganden, att det är av vikt att barnet inte får ett sämre skydd för sin integritet vid ett utbyte av patientöversikter över landsgränser än det motsvarande skyddet som finns inom Sverige.
Som redogjorts för ovan pågår arbete inom Nätverket för e-hälsa som hanterar nu aktuella frågor. Inom ramen för detta bör frågorna diskuteras vidare för att nå en gemensam syn och lösning så att barn på ett säkert och integritetsvärnande sätt kan omfattas i samma utsträckning som vuxna av det gränsöverskridandet utbytet av patientöversikter, oavsett vilket land A och land B det är fråga om i det enskilda fallet. Som pekats på bör frågor om eventuellt krav på samtycke för personuppgiftshanteringen och i så fall möjligheten för barn att lämna samtycke samt därtill angränsande frågor såsom åldersgränser eller hur barn bör identifieras i tjänsten patientöversikt över landsgränser innefattas i diskussionerna. Utredningen uppfattar alltså att det bör finnas förutsättningar att involvera även barn i den gränsöverskridande tjänsten (över landsgränser) men att det i nuläget saknas ett tillräckligt harmoniserat regelverk och synsätt inom Nätverket för e-hälsa och i de nationella lagstiftningarna för att kunna säkerställa en säker hantering av barns personuppgifter vid utbyte av patientöversikter.
Utredningen anser sammantaget när det gäller barn att förutsättningarna för utbyte av patientöversikter med ett annat EES-land för närvarande inte kan antas vara en lika patientsäker hantering som i Sverige med hänsyn till barnets integritet och ur ett sekretessperspektiv. Om dessa förutsättningar framöver kan säkerställas bör bland annat övervägas dels huruvida vårdnadshavare åt äldre barn ska kunna samtycka till att en patientöversikt inhämtas för sitt barn av annat EES-land, dels på vilket sätt vårdnadshavaren ska kunna agera på motsvarande sätt som patienten.50 Det är som anförts svårt att
50 Se eHDSI Requirements Catalogue, 02.01 Uniquely Identify the Patient.
säga när vårdnadshavaren kan göra det, med hänsyn till bestämmelserna till skydd för barnet, men är möjligen något som E-hälsomyndigheten som personuppgiftsansvarig bör säkerställa.
Pågående arbeten och utredningar avseende åldersgränser och andra angränsande och relevanta frågor bör analyseras och utvärderas i strävan efter att kunna erbjuda barn samma rättigheter som vuxna gällande möjligheten att omfattas av utbytet av patientöversikter.
14. En ny förordning om E-hälsomyndighetens personuppgiftsbehandling i samband med hantering av patientöversikter
14.1. Inledning
Som redogjorts för i kapitel 13 föreslår utredningen att den rättsliga grunden för E-hälsomyndighetens behandling av personuppgifter vid hantering av patientöversikter ska fastställas dels i E-hälsomyndighetens instruktion, dels i en ny förordning. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen. Som exempel kan anges allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling (artikel 6.3). EU-rätten eller den nationella rätten ska även uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen). Nationell rätt kan även innehålla förtydliganden och begränsningar av bestämmelserna i dataskyddsförordningen, i den utsträckning det är nödvändigt för samstämmigheten och för att göra dem begripliga för personer som de ska tillämpas på (skäl 8 till dataskyddsförordningen).
Utredningen anser mot denna bakgrund och med hänsyn till behovet av särskilda skyddsåtgärder att det är lämpligt att i förordning fastställa närmare bestämmelser för hur E-hälsomyndighetens behandling av personuppgifter vid utbyte av patientöversikter ska gå
till. De närmare bestämmelserna avser bland annat ändamål med behandlingen och personuppgiftsansvar.
14.2. Förordningens tillämpningsområde
Utredningens bedömning: Förordningen ska tillämpas vid auto-
matiserad behandling av personuppgifter vid E-hälsomyndighetens hantering av patientöversikter inom Sverige samt vid E-hälsomyndighetens hantering av patientöversikter inom Europeiska ekonomiska samarbetsområdet (EES) enligt de regler som har fastställts av Nätverket för e-hälsa.
Tillämpningsområdet för den föreslagna förordningen bör avgränsas så att det gäller sådan automatiserad behandling som utförs i myndighetens verksamhet i fråga om hantering av patientöversikter inom Sverige samt inom EES enligt de regler som har fastställts av Nätverket för e-hälsa.
De uppgifter som behandlas när utländska patientöversikter ska förmedlas till vårdgivare i Sverige kommer från utländska vårdgivare. När E-hälsomyndigheten i egenskap av kontaktpunkt för e-hälsa ska förmedla uppgifter i svenska patientöversikter till en utländsk kontaktpunkt för e-hälsa kommer journaluppgifterna från svenska vårdgivare. Den föreslagna förordningen är inte en egentlig registerförfattning, eftersom något svenskt register i traditionell mening inte ska finnas. Förordningen ska i stället reglera E-hälsomyndighetens personuppgiftsbehandling i en viss del av sin verksamhet, nämligen den som gäller förmedlingen av personuppgifter till och från utländska kontaktpunkter för e-hälsa i samband med att patientöversikter ska förmedlas till och från utlandet samt förmedling av personuppgifter mellan svenska vårdgivare vid det nationella utbytet.
Genom hänvisningen till de regler som har fastställts av Nätverket för e-hälsa avgränsas den möjliga personuppgiftsbehandlingen på flera olika sätt beträffande utbytet med andra länder. Dessa regler ställer upp villkor för deltagandet i informationsutbytet, till exempel att det bara är medlemsstater i EU och Efta som kan ingå och att medlemsstatens nationella kontaktpunkt för e-hälsa måste vara granskad och godkänd för att tjänsterna ska få driftsättas. Det krävs också att informationsöverföringen mellan länderna kanali-
seras till medlemsstaternas nationella kontaktpunkter för e-hälsa. Dessa krav avgränsar mellan vilka länder som informationsutbytet kan bli aktuellt, men även andra förutsättningar för utbyte av patientöversikter över landsgränser.
Vidare ska förordningen gälla automatiserad behandling av personuppgifter eftersom tjänsten patientöversikter endast gäller automatiserade uppgifter.
14.3. Definitioner
Utredningens förslag: Förordningen ska innehålla definitioner
av patientöversikt, vårdgivare, hälso- och sjukvård samt kontaktpunkt för e-hälsa.
Den föreslagna förordningen kommer att innehålla begrepp som är centrala för tillämpningen av förordningen. De begrepp som främst avses är patientöversikt och kontaktpunkt för e-hälsa. För tydlighets skull bör även vårdgivare samt hälso- och sjukvård definieras utifrån avsedd betydelse av de begreppen i förordningen. Utredningen föreslår därför att begreppen förs in i förordningen. Syftet med definitionerna är att undvika upprepningar och förenkla författningstexten.
Förordningen hänvisar på flera ställen till begreppet patientöversikt. En definition bör därför införas. En hänvisning till definitionen av patientöversikt i förordningen förs även in i patientdatalagen och i lagen om sammanhållen vård- och omsorgsdokumentation. En patientöversikt är således en sammanställning av utvalda uppgifter om patienten och dess hälsa och vård som syftar till att bidra till en god och säker vård.
För att tydliggöra avgränsningen av personuppgiftsbehandlingen för tjänsten patientöversikter bör vårdgivare som omfattas av denna definieras och likaså vad som avses med hälso- och sjukvård. Utredningen har bedömt att det utifrån att skyddet för patienternas integritet ska säkerställas på ett tillfredsställande sätt är lämpligt att använda samma definition av begreppen som redan finns i lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation, där sådana aspek-
ter nyligen övervägts i samband med förarbetena till lagen.1 Utredningen har endast infört en hänvisning i förordningen till den lagens bestämmelse. Skälet för detta är främst att undvika onödigt ändringsarbete med förordningen för det fall ändringar införs i lagens motsvarande bestämmelse. Med vårdgivare avses således i denna förordning statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård. Hälso- och sjukvård innebär verksamheter som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen 1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering.
Med begreppet kontaktpunkt för e-hälsa avses en sådan nationell kontaktpunkt för gränsöverskridande hälso- och sjukvård som har utsetts i en medlemsstat i EES i enlighet med artikel 6 i patientrörlighetsdirektivet. Enligt Nätverket för e-hälsas krav ska endast en sådan kontaktpunkt utses av respektive land. I Sverige är detta E-hälsomyndigheten.
14.4. Förhållandet till EU:s dataskyddsförordning och dataskyddslagen
Utredningens förslag: Den nya förordningen ska innehålla en
upplysning om att den kompletterar EU:s dataskyddsförordning.
Om inte annat följer av den nya förordningen eller föreskrifter som har meddelats i anslutning till den förordningen ska även dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gälla.
1Prop. 2021/22:177, s. 56–62 och 85–87.
14.4.1. Dataskyddsförordningen
EU:s dataskyddsförordning (fortsättningsvis dataskyddsförordningen) är direkt tillämplig och har företräde framför nationell lagstiftning. Dataskyddsförordningen har dock i viss mån en direktivliknande karaktär genom att flera artiklar förutsätter eller medger nationella bestämmelser som kompletterar eller föreskriver undantag från förordningens bestämmelser. Det är också möjligt att införliva delar av förordningen i nationell rätt, enligt skäl 8, i de fall förordningen föreskriver förtydliganden eller begränsningar och det är nödvändigt för samstämmigheten samt för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på. Enligt skäl 10 utesluter inte dataskyddsförordningen att det i medlemsländernas nationella rätt fastställs närmare omständigheter för specifika situationer där personuppgifter behandlas, inbegripet mer exakta villkor för laglig behandling av personuppgifter.
Den föreslagna förordningen kommer därför endast att innehålla bestämmelser som kompletterar eller tar över bestämmelserna i dataskyddsförordningen, när det är tillåtet. För att tillämparen ska få en tydligare uppfattning av vilken reglering som gäller föreslår utredningen att en bestämmelse tas in i den nya förordningen med upplysning om att dataskyddsförordningen gäller.
Den nya förordningen innehåller hänvisningar till artiklar i dataskyddsförordningen. Hänvisningar till EU-rättsakter kan antingen göras statiska eller dynamiska. En statisk hänvisning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En följd av denna hänvisningsteknik är att den nationella författningen vanligtvis behöver ändras varje gång EU-bestämmelsen ändras. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen. Enligt utredningens bedömning är det mest lämpligt att en dynamisk hänvisning görs till dataskyddsförordningen i den nya förordningen. Dataskyddsförordningen är direkt tillämplig och syftet med hänvisningen är endast att upplysa om att dataskyddsförordningen gäller.
14.4.2. Dataskyddslagen
Dataskyddslagen (2018:218) innehåller nationella kompletterande bestämmelser till dataskyddsförordningen. Av 1 kap. 6 § dataskyddslagen följer att om en annan lag eller förordning innehåller någon bestämmelse som rör behandling av personuppgifter och som avviker från dataskyddslagen ska den bestämmelsen tillämpas. Dataskyddslagen är således subsidiär i förhållande till annan lagstiftning som reglerar behandling av personuppgifter.
Det är följaktligen inte nödvändigt att föra in en materiell bestämmelse som hänvisar till dataskyddslagen i den nya förordningen. Av tydlighetsskäl innehåller ofta flertalet registerförfattningar en bestämmelse om förhållandet till den generella regleringen i dataskyddslagen. Av samma tydlighetsskäl föreslår därför utredingen att det bör införas en sådan bestämmelse i den nya förordningen. Bestämmelsen ska ange att dataskyddslagen och föreskrifter som har meddelats i anslutning till den gäller vid behandling av personuppgifter enligt den nya förordningen, om inte annat följer av den nya förordningen eller föreskrifter som har meddelats med stöd av den. När dataskyddslagen är tillämplig är också bestämmelser som regeringen meddelat i anslutning till dataskyddslagen tillämpliga. Det innebär att eventuella förordningsbestämmelser om undantag från dataskyddslagens tillämplighet gäller.
14.5. Personuppgiftsansvar vid utbyte av patientöversikter
Utredningens förslag: E-hälsomyndigheten ska vara personupp-
giftsansvarig för den behandling av personuppgifter som myndigheten utför med stöd av förordningen vid utbyte av patientöversikter över landsgränser inom EES. När det gäller utbytet av patientöversikter mellan vårdgivare i Sverige gäller dock den särskilda regleringen om personuppgiftsansvar i lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.
14.5.1. Allmänt om personuppgiftsansvar
Dataskyddsförordningen förutsätter att det finns en personuppgiftsansvarig för all personuppgiftsbehandling som sker. Med personuppgiftsansvaret följer en rad skyldigheter, exempelvis att se till att det finns en laglig grund för behandlingen, ett ansvar för att behandlingen inte sker i strid med de grundläggande principerna som gäller för behandling av personuppgifter och att behandlingen inte sker i större utsträckning än vad som är nödvändigt med hänsyn till det lagliga stöd som gäller för behandlingen samt att de registrerades rättigheter uppfylls. Vidare har den personuppgiftsansvarige ett övergripande ansvar att vidta tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter sker i enlighet med dataskyddsförordningen. Det åligger den personuppgiftsansvarige att genomföra konsekvensbedömningar och anmäla personuppgiftsincidenter till tillsynsmyndigheten samt informera berörda om incidenter som inträffat. Den personuppgiftsansvarige har vidare ett skadeståndssanktionerat ansvar för att behandlingen av personuppgifter sker i enlighet med bestämmelserna i dataskyddsförordningen och de eventuella kompletterande svenska dataskyddsbestämmelser som kan gälla (7 kap. 1 § dataskyddslagen).
Enligt artikel 4.7 i dataskyddsförordningen är personuppgiftsansvarig en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.
Det avgörande rekvisitet är den som bestämmer ändamålen och medlen för behandlingen. En personuppgiftsansvarig har per definition alltid bestämmanderätt över ändamål och medel. Med rätten att bestämma över ändamål och medel avses rätten att bestämma över varför respektive hur en behandling ska utföras. För bedömningen av vem som bestämmer över ändamålen med behandlingen är det enligt Integritetsskyddsmyndigheten (IMY) avgörande bland annat varför behandlingen utförs och vem som är initiativtagare till behandlingen. Att bestämma över medlen för behandlingen innebär enligt IMY främst att bestämma över de tekniska och organisatoriska medlen för behandlingen, det vill säga hur behandlingen ska gå till och till exempel vilka personuppgifter som ska behandlas, vilka
tredje män som ska få tillgång till de behandlade personuppgifterna och när uppgifter ska raderas.2
14.5.2. Bedömningen av personuppgiftsansvaret vid utbyte över landsgränser
Av definitionen av personuppgiftsansvarig i artikel 4.7 i dataskyddsförordningen framgår att om ändamålen och medlen för behandlingen bestäms av EU-rätten eller medlemsländernas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses, föreskrivas i sådan rätt. Det är alltså tillåtet enligt dataskyddsförordningen att i nationell rätt ange vem som är personuppgiftsansvarig för en viss behandling av personuppgifter (se artikel 6.2 och 6.3 samt skäl 45 till dataskyddsförordningen).
Flera aktörer inblandade
Utbyte av patientöversikter, särskilt när det sker över landsgränser, innebär att flera aktörer behöver behandla personuppgifter för att informationen ska nå rätt vårdgivare.
Det finns därför en risk att personuppgiftsansvaret blir otydligt och att patienten har svårt att veta vem som är ansvarig för behandlingen. Den risken kan endast undanröjas helt om det hade funnits en aktör som var ansvarig för all behandling. Det har dock inte bedömts möjligt för någon aktör att ta ett sådant helhetsansvar, särskilt eftersom olika nationella regler gäller i olika länder. Risken kan dock minskas genom att personuppgiftsansvaret för olika delar av behandlingen fastställs i nationell rätt.
E-hälsomyndigheten behandlar personuppgifter i samband med utbyte av patientöversikter över landsgränser genom att sammanställa, översätta ochförmedla uppgifter från de svenska vårdgivarna till den utländska kontaktpunkten för e-hälsa samt från den utländska kontaktpunkten för e-hälsa till den svenska vårdgivaren. I samband med översättningen sker viss bearbetning då data ska mappas enligt ett för tjänsten framtaget kodverk. Det skulle därför kunna hävdas att det inte är E-hälsomyndigheten som bör vara personuppgiftsansvarig för behandlingen, utan någon av de aktörer som har ett
2 Datainspektionens beslut 2010-07-02, dnr 686-2010.
egentligt behov av uppgifterna. E-hälsomyndigheten skulle då vara personuppgiftsbiträde. Frågan är dock vilken eller vilka aktörer som i så fall skulle ha personuppgiftsansvaret. Det skulle vid utbytet över landsgränser kunna vara den svenska eller utländska vårdgivaren eller den utländska kontaktpunkten för e-hälsa. Det kunde eventuellt även vara Socialdepartementet, som är Sveriges representant i Nätverket för e-hälsa och därmed är med och bestämmer ändamål och medel för behandlingen. En sådan ordning skulle dock skapa en oklar och svårbegriplig situation för alla inblandade, inte minst patienterna.
Det pågår en diskussion inom EU-samarbetet om gränserna för personuppgiftsansvaret i samband med utbyte av patientöversikter inom EES. Diskussionen handlar om huruvida det finns någon del av behandlingen som länderna har ett gemensamt personuppgiftsansvar för. Europeiska dataskyddsstyrelsen har tillfrågats om hur personuppgiftsansvaret ska bedömas och i sitt svar angett att det är de personuppgiftsansvariga som avgör det. Förhållandena är i dagsläget inte klarlagda.3
Personuppgiftsansvaret i lagen om nationell läkemedelslista
Enligt lagen om nationell läkemedelslista (2018:1212), fortsättningsvis NLL, är E-hälsomyndigheten personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför i den nationella läkemedelslistan (3 kap. 1 §). Regeringen uttalade i förarbetena att E-hälsomyndighetens särskilda karaktär av infrastrukturmyndighet bör nämnas och lyfte särskilt att myndigheten ansvarade för de register som anges i lagen om receptregister och lagen om läkemedelsförteckning enligt myndighetens instruktion. Denna ordning var en följd av att E-hälsomyndigheten (tidigare Apotekens Service AB) inrättades för att den it-infrastruktur som är nödvändig för drift av apotek skulle förläggas hos en neutral aktör i samband med omregleringen av apoteksmarknaden.4 Vidare uttalade regeringen att den inte delade Datainspektionens synsätt om att de ändamål för vilka E-hälsomyndigheten får behandla personuppgifter enligt såväl lagen om receptregister som den föreslagna nya lagen (NLL) inte är ändamål som behövs inom E-hälsomyndighetens egen verksamhet. Reger-
3 Utredningen noterar emellertid att det i förslaget till EHDS-förordningen föreslås ett gemensamt ansvar. 4Prop. 2017/18:223, s. 81.
ingen uttalade att skälet till att E-hälsomyndigheten måste få behandla personuppgifter för de olika ändamål som anges i dessa lagar är behovet av att kunna erbjuda en konkurrensneutral samt ur integritetssynpunkt säker överföring av personuppgifter mellan olika aktörer.5
Slutsats
Dataskyddsförordningen ger som tidigare nämnts utrymme för nationell reglering av personuppgiftsansvaret om ändamål och medlen för behandlingen fastställs i den nationella rätten (artikel 4.7).
Skälet till att placera personuppgiftsansvaret på E-hälsomyndigheten i NLL var myndighetens särskilda karaktär av infrastrukturmyndighet för att kunna erbjuda en konkurrensneutral samt ur integritetssynpunkt säker överföring av personuppgifter mellan olika aktörer. E-hälsomyndigheten har en motsvarande roll i egenskap av nationell kontaktpunkt för e-hälsa vid utbyte av patientöversikter. Utredningen anser att samma skäl därför bör beaktas även i detta sammanhang. Här kan även framhållas vad som framgår av artikel 7 i Kommissionens genomförandebeslut (EU) 2019/1765 om Nätverket för e-hälsa, det vill säga att medlemsstaterna, företrädda av relevanta nationella myndigheter eller andra utsedda organ, ska betraktas som personuppgiftsansvariga för de personuppgifter som de behandlar genom infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa.
Med hänsyn till det anförda är det lämpligt att tydliggöra personuppgiftsansvaret i nationell rätt. Utredningen föreslår därför att det anges uttryckligen i den nya förordningen att E-hälsomyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt förordningen vid utbyte av patientöversikter över landsgränser.
Som utredningen berört har diskussioner förts om det eventuellt skulle föreligga ett gemensamt personuppgiftsansvar mellan länderna i någon del av den behandling som utförs i informationsutbytet av patientöversikter över landsgränser. Enligt Europeiska dataskyddsstyrelsen är det som nämnts ovan upp till de personuppgiftsansvariga själva att bestämma om de gemensamt eller ensamt behandlar per-
sonuppgifter.6 Frågan är således fortfarande uppe för diskussion och utredningens förslag i denna del kan därför komma att påverkas av vad länderna kommer fram till.
14.5.3. Personuppgiftsansvaret vid utbyte inom Sverige
Som framgår i avsnitt 15.2 föreslår utredningen ändringar i lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation (fortsättningsvis SVOD) för reglering av det nationella utbytet av patientöversikter. Det föreslås således i den lagen en kravställning på vårdgivare att ge E-hälsomyndigheten elektronisk tillgång till uppgifter om en patient för att tillföras en patientöversikt inom Sverige samt att från E-hälsomyndigheten elektroniskt kunna ta del av sådan patientöversikt.
Den föreslagna regleringen i SVOD om utbyte av patientöversikter inom Sverige ska enligt hänvisningar i såväl nämnda lag som nu aktuell förordning i övrigt följa de bestämmelser (om exempelvis samtycke och undantag från detta, möjlighet att spärra uppgifter samt vårdgivares behandling av uppgifter) som föreskrivs i SVOD. I lagen finns även tydligt utrett vad som ska gälla beträffande personuppgiftsansvar vid utbyte av information mellan vårdgivare. Av 4 kap. 1 § SVOD följer att en vårdgivare eller en omsorgsgivare är personuppgiftsansvarig för behandling av personuppgifter enligt lagen. Den bakomliggande motiveringen till att den som behandlar uppgifterna är personuppgiftsansvarig för den behandlingen som utförs finns utförligt beskriven i lagens förarbeten (prop. 2021/22:177, bland annat s. 130–133).
Utredningen bedömer det som lämpligt att inte göra någon förändring avseende personuppgiftsansvaret i SVOD när det gäller det föreslagna tillägget om utbyte av patientöversikter. Utredningen föreslår följaktligen att detta förtydligas i förordningens bestämmelse om personuppgiftsansvar genom att det anges att utbytet av patientöversikter mellan vårdgivare i Sverige ska omfattas av den särskilda regleringen om personuppgiftsansvar i SVOD. Följden bör bli att E-hälsomyndigheten i detta fall är att anse som personuppgiftsbiträde.
6 Brev från Europeiska dataskyddstyrelsen till eHMSEG Legal Work Group, Bryssel, (2021-06-30), ref. OUT2021-0115.
14.6. Behovet av uppgifter vid utbyte av patientöversikter
Utredningens bedömning: Socialstyrelsen och E-hälsomyndig-
heten har behov av uppgifter om patientöversikter som förmedlats via E-hälsomyndigheten för statistikändamål.
14.6.1. Inledning
I delbetänkandet konstaterade utredningen att det i dagsläget finns ett flertal aktörer som har behov av uppgifter om svenska e-recept som expedieras på ett öppenvårdsapotek. Enligt NLL ska E-hälsomyndigheten lämna ut vissa uppgifter i den nationella läkemedelslistan till bland annat Socialstyrelsen, Inspektionen för vård och omsorg (IVO), Tandvårds- och läkemedelsförmånsverket (TLV) och Läkemedelsverket, samt till förskrivare, annan hälso- och sjukvårdspersonal, regioner, verksamhetschefer och läkemedelskommittéer under vissa förutsättningar. Uppgifterna behövs för bland annat tillsyn, forskning, statistik och uppföljning av olika slag. Enligt slutsatserna i delbetänkandet kommer uppgifterna om e-recept från EES inte att registreras i den nationella läkemedelslistan förutom vissa uppgifter om expedieringen och som tjänsten e-recept inom EES är utformad antog utredningen att dessa recept i regel är utfärdade åt patienter försäkrade i ett annat land än Sverige. Det antagandet baserades på att tjänsten utgår från användningsfallet att en patient i land A får ett recept utfärdat i land A och får hämta ut det i land B. Vidare slog utredningen fast att e-recept från EES i stort bör följa motsvarande regelverk som övriga recept för en effektiv och patientsäker process och att det för närvarande saknas skäl att ändra eller utvidga aktörernas ansvar för tillsyn, uppföljning med mera avseende e-recept från EES jämfört med recept utfärdade i Sverige om inte till exempel den gränsöverskridande aspekten skulle medföra någon annan bedömning.7
Det sagda bör överlag även gälla den gränsöverskridande hanteringen av patientöversikter. Patientöversikter som utbyts över landsgränser kommer sannolikt att utgöra en mindre del av det totala antalet patientöversikter som utbyts och hanteras av E-hälsomyndig-
7 Se avsnitt 9.6.1 i delbetänkandet.
heten, där majoriteten av dessa i stället enligt utredningens bedömning kommer att vara patientöversikter som utbyts nationellt. För de sistnämnda finns redan regelverk som är tillämpliga avseende exempelvis inspektion och granskning (IVO) samt uppföljning och framställning av statistik (till exempel Socialstyrelsen). I enlighet med delbetänkandets bedömning anser utredningen även avseende patientöversikter att det för närvarande saknas skäl att ändra eller utvidga aktörernas ansvar för tillsyn, uppföljning med mera.
Nedan följer utredningens bedömning av vilka aktörer som behöver uppgifter om förmedlade patientöversikter.
14.6.2. Socialstyrelsen
Socialstyrelsen får i dag uppgifter från den nationella läkemedelslistan för ändamålet epidemiologiska undersökningar, forskning, framställning av statistik, uppföljning, utvärdering och kvalitetssäkring inom hälso- och sjukvården. Uppgifterna som lämnas till Socialstyrelsen omfattar uppgifter om datum för förskrivning och expediering, förskriven och expedierad vara, mängd och dosering, kostnad och kostnadsreducering enligt lagen om läkemedelsförmåner med mera, ordinationsorsak, patientens personnummer eller samordningsnummer och folkbokföringsort, och förskrivarens yrke, specialitet och arbetsplatskod.
Uppgifterna registreras i läkemedelsregistret som Socialstyrelsen är personuppgiftsansvarig för enligt förordning (2005:363) om läkemedelsregister hos Socialstyrelsen. Registret syftar till att öka patientsäkerheten på läkemedelsområdet. Utredningen har i delbetänkandet vid kontakt med Socialstyrelsen fått besked om att myndigheten behöver delvis motsvarande uppgifter för samma ändamål om e-recept från EES som för svenska e-recept. Utredningen ansåg därmed att Socialstyrelsen har ett behov av uppgifter om e-recept utfärdade i ett annat EES-land för ändamålet epidemiologiska undersökningar, forskning, framställning av statistik, uppföljning, utvärdering och kvalitetssäkring inom hälso- och sjukvården. 8
När det gäller utbyte av patientöversikter har Socialstyrelsen uppgett till utredningen att det företrädesvis finns ett behov av uppgifter
8 Se avsnitt 9.6.4 i delbetänkandet.
om förmedlade patientöversikter för framställning av statistik. Utredningen har inte kunnat identifiera något behov därutöver.
14.6.3. E-hälsomyndigheten
Utredningen har utifrån E-hälsomyndighetens roll och efter dialog med myndigheten uppfattat att det finns ett uppgiftsbehov för Ehälsomyndigheten om förmedlade patientöversikter för framställning av statistik. Myndigheten kommer också att behöva vidarebefordra uppgifter till Socialstyrelsen.
14.7. Ändamål med personuppgiftsbehandlingen och personuppgifter som får behandlas
Utredningens förslag: E-hälsomyndigheten får behandla person-
uppgifter om det är nödvändigt för
1. sammanställning och förmedling av patientöversikter mellan
vårdgivare i Sverige,
2. översättning och förmedling av patientöversikter från ut-
ländska kontaktpunkter för e-hälsa till vårdgivare i Sverige,
3. sammanställning, översättning och förmedling av svenska
patientöversikter till utländska kontaktpunkter för e-hälsa,
4. redovisning av uppgifter till Socialstyrelsen för statistikända-
mål, och
5. framställning av statistik hos E-hälsomyndigheten.
14.7.1. Dataskyddsförordningen
En av de grundläggande principerna i dataskyddsförordningen är att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål (artikel 5. 1 b i dataskyddsförordningen). Av samma artikel följer att uppgifterna inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål, den så kallade finalitetsprincipen. Bestämmelsen innebär bland annat att den personupp-
giftsansvarige redan vid insamlingen av uppgifterna måste bestämma för vilket eller vilka ändamål insamlingen sker. Den innebär också att vidarebefordran av uppgifter måste föregås av en prövning av om mottagarens ändamål är förenligt med de ursprungliga ändamålen eller inte.
Det är den personuppgiftsansvarige som bestämmer ändamålen med personuppgiftsbehandlingen. Ändamålen kan också bestämmas av medlemsländernas nationella rätt (artikel 4.7 i dataskyddsförordningen). Ändamålsbestämmelser kan sägas anpassa tillämpningen av dataskyddsförordningen och säkerställa en laglig och rättvis behandling. Sådana bestämmelser är enligt artikel 6.2 och 6.3 tillåtna i nationell rätt. Enligt skäl 39 till dataskyddsförordningen bör de specifika ändamål som personuppgifterna behandlas för vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in.
I förarbetena till dataskyddslagen påpekade regeringen att dataskyddsförordningen inte ställer något krav på att de särskilda ändamålen ska vara fastställda i författning, men att det inte heller finns någonting som hindrar att detta görs, förutsatt att bestämmelserna uppfyller ett mål av allmänt intresse och är proportionella mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen). Oavsett om ändamålen fastställts i författning eller inte poängterar regeringen dock att det alltid är den personuppgiftsansvarige som ansvarar för, och ska kunna visa, att principerna i artikel 5 följs (artikel 5.2 i dataskyddsförordningen).9
Uttryckliga ändamålsbestämmelser ger möjlighet att på ett övergripande plan balansera intresset av personuppgiftsbehandlingen mot det intrång i den personliga integriteten som denna behandling kan innebära. Ändamålsbestämmelser har också den fördelen att de utgör en precisering av den rättsliga grunden (jfr artikel 6.3). Bestämmelser i förordningen som anger ändamålen med behandlingen innebär således i sig en skyddsåtgärd. Enligt utredningens bedömning bör därför förordningen innehålla ändamålsbestämmelser.
14.7.2. Ändamålsbestämmelsernas utformning
Att bestämma ändamålen för behandlingen av personuppgifter är av central betydelse för hur den personuppgiftsansvarige får behandla personuppgifter eftersom ändamålsbestämmelserna sätter ramarna för behandlingen. Enligt artikel 5.1 c i dataskyddsförordningen ska personuppgifter vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Ändamålsbestämmelserna begränsar således den personuppgiftsansvariges handlingsfrihet samtidigt som de skapar tydlighet för tillämparen. Ändamålet är därför av central betydelse för skyddet av den enskildes personliga integritet.
Ändamålsbestämmelser kan utformas på olika sätt. Ett sätt är att uttömmande ange de ändamål för vilken behandling får ske. Ett annat sätt är att de i lagen angivna ändamålen kompletteras med en möjlighet att behandla uppgifter även för ändamål som inte är oförenliga med det för vilka uppgifterna samlades in, i enlighet med finalitetsprincipen. Det är då finalitetsprincipen som ytterst sätter gränsen för vad som kan anses vara en tillåten behandling, det vill säga den som är personuppgiftsansvarig måste göra en kontroll av huruvida en senare behandling är oförenlig med de ändamål för vilka uppgifterna först samlades in.
Nedan följer en närmare beskrivning av de ändamål för vilka personuppgifter enligt utredningens mening bör få behandlas i den nya förordningen.
14.7.3. Ändamålet sammanställning, översättning och förmedling av patientöversikter
E-hälsomyndigheten ska enligt 1 § förordningen (2013:1031) med instruktion för E-hälsomyndigheten ansvara för register och itfunktioner som öppenvårdsapotek och vårdgivare behöver ha tillgång till för en patientsäker och kostnadseffektiv läkemedelshantering. Myndigheten ska vidare samordna regeringens satsningar på e-hälsa samt övergripande följa utvecklingen på e-hälsoområdet. I 2 § finns en uppräkning av flera av myndighetens uppdrag och i 3 § regleras att E-hälsomyndigheten ska utveckla och tillhandahålla digitala tjänster för att redovisa uppgifter i myndighetens register i syfte att underlätta för den enskilde utifrån myndighetens verksamhets-
område. Utredningen föreslår ett tillägg i E-hälsomyndighetens instruktion om att myndigheten ska vara nationell kontaktpunkt för e-hälsa och tillhandahålla tjänster och infrastruktur för utbyte av e-recept och patientöversikter, se avsnitt 13.6. De nationella kontaktpunkterna för e-hälsa ska vid utbyte över landsgränser anslutas till varandra och förmedla all information avseende patientöversikter mellan länderna.
Det primära ändamålet för E-hälsomyndighetens behandling av personuppgifter enligt den föreslagna förordningen är att sammanställa, översätta och förmedla patientöversikter i samband med gränsöverskridande vård, såväl nationellt som till andra EES-länder. För hanteringen av patientöversikter anser utredningen att ändamålet bör vara uppdelat i tre delar. Det första ändamålet avser sammanställning och förmedling av patientöversikter mellan vårdgivare i Sverige, det andra sammanställning, översättning och förmedling av patientöversikter från utländska kontaktpunkter för e-hälsa till vårdgivare i Sverige och det tredje sammanställning, översättning och förmedling av svenska patientöversikter till utländska kontaktpunkter för e-hälsa.
Slutligen bör framhållas att E-hälsomyndigheten vid förmedling av patientöversikter inte har något ansvar för uppgifternas riktighet (annat än att de återges på ett riktigt sätt från källan) eller granskning av uppgifterna.
14.7.4. Ändamålet för Socialstyrelsens statistik
Som framgår av avsnitt 14.6.2 ser utredningen att Socialstyrelsen har behov av uppgifter om hanterade patientöversikter för framställning av statistik. Det är därför lämpligt att i förordningen införa ett ändamål för E-hälsomyndighetens personuppgiftsbehandling avseende detta.
14.7.5. Ändamålet för E-hälsomyndighetens statistik
Utredningen konstaterar i avsnitt 14.6.3 att E-hälsomyndigheten har behov av uppgifter om hanterade patientöversikter för framställning av statistik. Det är därför lämpligt att i förordningen införa ett ändamål för E-hälsomyndighetens personuppgiftsbehandling avseende detta.
14.7.6. Finalitetsprincipen
Utredningens bedömning: Personuppgifter ska få behandlas för
andra ändamål än dem för vilka de har samlats in, under förutsättning att de nya ändamålen inte är oförenliga med de ändamål för vilka uppgifterna samlades in. Finalitetsprincipen följer av dataskyddsförordningens reglering och någon särskild ytterligare bestämmelse behövs inte i den nu föreslagna förordningen.
Finalitetsprincipen är direkt tillämplig och innebär att personuppgifter som endast får samlas in för särskilda, uttryckligt angivna och berättigade ändamål även får behandlas för ändamål som inte är oförenliga med det ursprungliga ändamål för vilket uppgifterna samlades in (jfr artikel 5.1 b i dataskyddsförordningen). Av skäl 50 till dataskyddsförordningen framgår att det vid sådan vidarebehandling som inte hindras av finalitetsprincipen inte krävs någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. I artikel 6.4 beskrivs vad den personuppgiftsansvarige bör beakta för att fastställa om behandling för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in.
I förarbetena till NLL uttalas att även en sådan personuppgiftsbehandling som möjliggör felsökning samt validering och komplettering av uppgifter i den nationella läkemedelslistan, och som kräver tekniska kopplingar mellan den nationella läkemedelslistan och de stödregister som E-hälsomyndigheten förvaltar, inte är oförenlig med de ändamål för vilket uppgifterna samlades in. Denna personuppgiftsbehandling ska dock endast vara tillåten om den bidrar till att annan personuppgiftsbehandling som är nödvändig för de särskilda och uttryckliga ändamål som är angivna i lagen kan ske på ett mer korrekt och patientsäkert sätt.10
Utredningen gör bedömningen att samma skäl som har anförts i förarbetena till NLL gör sig gällande här. Enligt utredningens bedömning bör därför finalitetsprincipen utgöra den yttersta ram inom vilken personuppgifter får behandlas enligt förordningen. Det behöver emellertid inte införas en bestämmelse i förordningen som anger att det är tillåtet att behandla personuppgifter för andra ändamål än de
som uttryckligen anges i förordningen, då det som framhållits följer en sådan rätt i enlighet med regleringen i dataskyddsförordningen.
14.8. Personuppgifter som får behandlas
Utredningens förslag: Endast sådana personuppgifter som behövs
för de ändamål som är tillåtna enligt förordningen får behandlas.
Dataskyddsförordningen ställer krav på att personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålen med behandlingen (artikel 5.1 c). Detta innebär en såväl kvalitativ som kvantitativ begränsning i fråga om vilka personuppgifter som får behandlas. All personuppgiftsbehandling som är nödvändig för ett visst ändamål får dock utföras. Med hänsyn till detta är ett alternativ att låta ändamålsbestämmelserna helt styra vilka personuppgifter som får behandlas av E-hälsomyndigheten. En sådan ordning innebär att bedömningen av vilka personuppgifter som får behandlas ankommer på den personuppgiftsansvarige myndigheten, alltså E-hälsomyndigheten. Ett annat alternativ är att reglera vilka personuppgifter som får behandlas. Oavsett förekomst av en uppräkning av vilka personuppgifter som E-hälsomyndigheten får behandla eller inte, ställer dataskyddsförordningen krav på att ovidkommande eller onödigt många personuppgifter i förhållande till ändamålen inte får behandlas (artikel 5.1 c).
Från integritetssynpunkt är det väsentligt att inte andra personuppgifter behandlas av E-hälsomyndigheten än vad som behövs för att myndigheten ska kunna utföra sina uppgifter enligt förordningen. De personuppgifter som E-hälsomyndigheten kommer att behandla enligt förordningen är hänförliga till patienten och vårdgivande personal. Som framgår av avsnitt 8.1.4. har medlemsländerna i Nätverket för e-hälsa kommit överens om vilka informationsmängder som ska ingå i en patientöversikt vid utbyte över landsgränser inom EES.
Ur ett integritetsskyddsperspektiv kan det naturligtvis finnas fördelar med en reglering som tydligt specificerar de personuppgifter som får behandlas. Det gäller särskilt när det rör sig om personuppgiftsbehandling i register i traditionell mening, det vill säga att uppgifter förs in i en uppgiftssamling på ett systematiskt sätt enligt sär-
skilda kriterier och att de är sökbara med särskilda sökord eller liknande.11 Den behandling som E-hälsomyndigheten utför inom ramen för förordningen sker till skillnad från exempelvis den nationella läkemedelslistan inte i ett register i traditionell mening. E-hälsomyndigheten behandlar personuppgifterna bland annat genom att förmedla dem mellan vårdgivare eller mellan vårdgivare och den utländska kontaktpunkten för e-hälsa och kommer att spara vissa uppgifter för bland annat felsökning. Även om det vore möjligt att i lagstiftningen beskriva vilka uppgifter som förmedlas anser utredningen att det framstår som mindre lämpligt i detta fall. Det skulle bli en alltför detaljerad redogörelse av uppgifter och därtill kommer en utveckling ske över tid vilka uppgifter som ska ingå, det vill säga det är föränderligt och skulle kräva ständiga författningsändringar.
Utredningen föreslår därför inga närmare bestämmelser som konkret anger vilka personuppgifter som får behandlas enligt förordningen. I stället är det ändamålsbestämmelserna i förordningen som styr över vilka personuppgifter som får samlas in och behandlas av E-hälsomyndigheten. Alla personuppgifter som behövs för det ändamål för vilket en behandling utförs får därmed behandlas. Enligt utredningen framstår denna lösning ur ett integritetsperspektiv som godtagbar med beaktande av att ändamålsbestämmelserna är relativt specificerade i förordningen och mot bakgrund av att det är förhållandevis reglerat vilka personuppgifter som kommer att behandlas av E-hälsomyndigheten i tjänsten patientöversikter. Som angetts finns ett överenskommet format med vissa informationsmängder, så enbart vissa personuppgifter kommer att behandlas inom tjänsten. Risken för att en onödig mängd uppgifter behandlas är därför liten.
Vidare kommer uppgifterna kringgärdas av sekretess, behörighetstilldelning och åtkomstkontroll, i syfte att förhindra obehörig insyn och spridning.
14.9. Bevarandetid
Utredningens förslag: Personuppgifter ska tas bort när de inte
längre är nödvändiga att behandla för tillåtna ändamål enligt förordningen.
Lagring av personuppgifter är en form av behandling av personuppgifter enligt dataskyddsförordningen. Huvudregeln i artikel 5.1 e i dataskyddsförordningen är att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Denna utgångspunkt får anses vara ett uttryck för resultatet av avvägningen mellan integritetsskyddsintresset och det informationsbehov som uppgifterna ska tillgodose. När en personuppgift inte längre behöver behandlas för de ursprungliga ändamålen ska uppgiften raderas eller avidentifieras. Med avidentifiering menas att alla möjligheter att identifiera en person tas bort. Särskilda regler gäller enligt dataskyddsförordningen om personuppgifter behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Om personuppgifter behandlas enbart för dessa ändamål, får de lagras under längre perioder under förutsättning att lämpliga tekniska och organisatoriska åtgärder vidtas i enlighet med kraven i artikel 89.1 i dataskyddsförordningen.
Regleringen i dataskyddsförordningen gäller inte i den utsträckning att det skulle hindra en myndighet att arkivera och bevara allmänna handlingar. Handlingsoffentligheten har företräde framför dataskyddsförordningen, vilket innebär att personuppgifter i allmänna handlingar inte ska gallras enligt bestämmelser i dataskyddsförordningen. Av 3 § arkivlagen (1990:782) framgår att en myndighets arkiv, som bland annat består av de allmänna handlingarna från myndighetens verksamhet, ska bevaras. Huvudprincipen enligt arkivlagstiftningen är således att allmänna handlingar ska bevaras. Enligt bestämmelsen ska myndigheternas arkiv bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättsskipningen och förvaltningen samt forskningens behov. Det följer dock av 10 § arkivlagen att allmänna handlingar under vissa förutsättningar får gallras. När det gäller gallring är arkivlagens bestämmelser subsidiära i förhållande till annan lagstiftning. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning, har de bestämmelserna företräde (10 § tredje stycket arkivlagen). Av 14 § arkivförordningen (1991:446) framgår att statliga myndigheter får gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av
Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning.
En bestämmelse om gallring innebär alltså inte bara att uppgiften inte längre får behandlas i dataskyddsförordningens mening, utan även att arkivrättslig gallring ska ske. Om det i författningar som rör myndigheters behandling av personuppgifter inte finns några särskilda regler om gallring, ska således arkivlagens bestämmelser om bevarande som huvudprincip tillämpas.
Regeringen har bedömt att bestämmelser i registerförfattningar, som innebär att personuppgifter ska eller får bevaras under viss tid alternativt gallras efter en viss tid eller när de inte längre är nödvändiga för de ändamål för vilka de behandlas, är sådana nationella bestämmelser om lagringstid som är tillåtna enligt artikel 6.2 och 6.3 i dataskyddsförordningen när behandlingen grundar sig på en rättslig förpliktelse, en uppgift av allmänt intresse eller som ett led i myndighetsutövning.12 Den rättsliga grunden för utbytet av patientöversikter är rättslig förpliktelse och uppgift av allmänt intresse enligt artikel 6.1 c och 6.1 e i dataskyddsförordningen. Utredningens bedömning är därför att en särskild bestämmelse om lagringstid är förenlig med dataskyddsförordningen och kan införas i nu aktuell förordning.
Principen att gallring ska ske motiveras i första hand av integritetsskäl.13 Behovet av gallringsbestämmelser måste således avgöras genom en avvägning mellan å ena sidan intresset av skydd för den personliga integriteten och å andra sidan intresset av offentlighet och insyn i myndigheternas verksamhet. Vid utbytet av patientöversikter kommer känsliga personuppgifter att behandlas om patienters hälsa. Behandlingen kan komma att omfatta en stor mängd patienter. Utredningens bedömning är att en bestämmelse om vilken bevarandetid som ska gälla för uppgifterna som behandlas enligt förordningen ska införas. Bevarandetidens längd ska motiveras utifrån de ändamål som förordningen avser att tillgodose och med beaktande av integritetsskyddsintresset.
Personuppgifter får, som redogjorts för ovan, enligt artikel 5.1 e i dataskyddsförordningen inte bevaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som behövs för ändamålet. Det är enligt utredningens uppfattning denna regel som bör gälla för E-hälsomyndighetens behandling enligt den
12 Prop. 2017/18 :105, s. 142. 13Prop. 1989/90:72, s. 50.
föreslagna förordningen. Det saknas skäl att ange en specifik tidsgräns.
14.10. Krav på tystnadsplikt
Utredningens förslag: Personuppgifter som avses i artikel 9.1 i
dataskyddsförordningen (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 h i förordningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.
Kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen är uppfyllt för E-hälsomyndighetens behandling av känsliga personuppgifter enligt förordningen. En påminnelse om tystnadsplikt bör införas i förordningen.
När det gäller känsliga personuppgifter har utredningen i avsnitt 13.5 konstaterat att det undantag som främst aktualiseras vid utbytet av patientöversikter är artikel 9.2 h i dataskyddsförordningen. För att undantaget ska vara tillämpligt krävs, förutom att behandlingen ska vara nödvändig av skäl som hör samman med någon av de angivna verksamheterna, även att den aktuella verksamheten utförs på grundval av EU-rätten eller medlemsländernas nationella rätt och att kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen är uppfyllt.
Beträffande kravet på stöd i EU-rätten eller nationell rätt har regeringen i förarbetena till dataskyddslagen bedömt att förutsättningarna är uppfyllda så snart verksamheten bedrivs enligt verksamhetslagstiftningen på de aktuella områdena.14 När det gäller behandlingen av personuppgifter enligt den föreslagna nya förordningen kan det konstateras att behandlingen kommer, utöver dataskyddsförordningen, att ske med stöd av den föreslagna förordningen och E-hälsomyndighetens instruktion.
Kravet på tystnadsplikt i artikel 9.3 i dataskyddsförordningen ska också vara uppfyllt. I artikeln anges att personuppgifter bara får behandlas av eller under ansvar av en yrkesutövare, eller av en annan person som omfattas av tystnadsplikt enligt EU-rätten eller medlemsländernas nationella rätt eller bestämmelser som fastställs av
14Prop. 2017/18:105, avsnitt 10.5.
nationella behöriga organ. Personalen hos E-hälsomyndigheten omfattas av tystnadsplikt enligt offentlighets- och sekretesslagen. Enligt utredningens bedömning är kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen därmed uppfyllt.
Regeringen har ansett att det är lämpligt att det tas in bestämmelser i registerförfattningar på hälso- och sjukvårdsområdet som påminner om tystnadsplikten i artikel 9.3 i dataskyddsförordningen i syfte att göra den nationella regleringen tydligare.15 Utredningen bedömer därför att det är lämpligt att i förordningen ta in en bestämmelse som påminner om kravet på tystnadsplikt.
14.11. Den registrerades inställning till personuppgiftsbehandlingen
Utredningens förslag: E-hälsomyndigheten får behandla person-
uppgifter om patienten för ändamålet förmedling av patientöversikter över landsgränser endast om patienten samtyckt till detta.
Om det finns fara för en patients liv eller det annars finns allvarlig risk för dennes hälsa och patientens samtycke inte kan inhämtas, får E-hälsomyndigheten ändå behandla personuppgifterna enligt första stycket om de kan antas ha betydelse för den vård som patienten oundgängligen behöver.
För den personuppgiftsbehandling som E-hälsomyndigheten gör vid utbyte av patientöversikter mellan vårdgivare i Sverige gäller särskilda bestämmelser om patientens inställning till behandlingen enligt de förutsättningar och hänvisningar som följer av 2 kap. 1 § lag (2022:913) om sammanhållen vård- och omsorgsdokumentation.
I vissa registerförfattningar förekommer bestämmelser om att den registrerades samtycke krävs för viss behandling, även om en annan rättslig grund än samtycke tillämpas för den behandling som författningen reglerar, som exempelvis rättlig förpliktelse eller uppgift av allmänt intresse. Om behandlingen stödjer sig på någon av dessa rättsliga grunder får sådana samtyckesbestämmelser anses tillåtna såsom preciseringar enligt artikel 6.2 och 6.3 i dataskyddsförordningen.16
15Prop. 2017/18:171, s. 106 och prop. 2017/18:223, s. 80. 16Prop. 2017/18:171, s. 88.
Samtycket är i dessa fall inte den rättsliga grunden för behandlingen, utan en skyddsåtgärd genom vilken den enskildes inställning utgör ett skydd mot ett alltför ingripande integritetsintrång.
Utredningen föreslår en bestämmelse i förordningen om att patientens samtycke krävs för att patientens personuppgifter ska få behandlas för ändamålet förmedling av patientöversikter över landsgränser. Anledningen härför är att det rör sig om känsliga personuppgifter som dessutom ska föras över landsgränser och som E-hälsomyndigheten som personuppgiftsansvarig inte har något behov av att behandla om inte patienten själv vill det. Ett sådant samtycke utgör en integritetshöjande skyddsåtgärd. Genom kravet på samtycke minskar också risken att uppgifterna överförs av misstag eller på felaktiga grunder.
I kapitel 12 redogörs närmare för utredningens förslag om hantering av samtycken samt en digital tjänst för att lämna samtycke som patient. Utredningen ser att samtycket från en patient som är försäkrad i Sverige bör lämnas till E-hälsomyndigheten. Som föreslås i avsnitt 12.3 ska en patient som innehar e-legitimation kunna lämna samtycket digitalt och signera elektroniskt, medan en patient som saknar e-legitimation ska kunna lämna samtycketill vårdgivare eller apotek.
En utländsk patient som söker vård i Sverige ska få information om personuppgiftsbehandlingen i Sverige och få möjlighet att ta ställning till om hen vill att patientöversikten från hemlandet ska begäras in. Detta som en del i att inhämtande av en patientöversikt från utlandet förutsätter patientens integritetshöjande samtycke i enlighet med den ovan nämnda föreslagna förordningen om personuppgiftsbehandling vid E-hälsomyndigheten. Utredningen föreslår därför vidare i avsnitt 12.3 att även patienter som är försäkrade i ett annat EES-land behöver lämna samtycke till E-hälsomyndigheten innan hantering får ske av patientens personuppgifter. Samtycket ges förslagsvis till hälso- och sjukvårdspersonalen i samband med vårdbesöket.
För de ändamål som är en följd av de primära ändamålen måste personuppgifter om patienten dock få behandlas även om patienten återkallar sitt samtycke. Kravet på samtycke ska därför inte gälla dessa ändamål. Dessa ändamål blir dock bara tillämpliga om patienten tidigare har samtyckt till de primära ändamålen.
Angående när en patient inte är vid medvetande och då det potentiellt samtidigt kan röra sig om en akut situation föreslås ett undantag från kravet på patientens samtycke. Ledning bör kunna hämtas från resonemang i förarbetena till lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation (fortsättningsvis SVOD). Regeringen uttalade där bland annat följande. Rekvisitet ”kan antas ha betydelse” förutsätter enligt förarbetena att den som avser att bereda sig tillgång till uppgifterna gör något aktivt ställningstagande till vilken betydelse uppgiften kan ha. Det bör vara den eller de behöriga befattningshavarna hos vårdgivaren som ges denna åtkomst respektive får behandla uppgifterna. Vem som är behörig befattningshavare bestäms av vårdgivaren. Självfallet ska i första hand patienten själv begära att en spärr hävs eller samtycke inhämtas. Det kan emellertid av olika skäl vara omöjligt. Med förutsättningarna att fara finns för patientens liv eller att det annars finns allvarlig risk för dennes hälsa avses att det i princip ska vara fråga om en allvarlig situation då de spärrade uppgifterna bedöms vara viktiga för den vård eller behandling som omgående måste sättas in. Det ska av hänsyn till patientsäkerheten inte vara möjligt att avvakta en tid för att patienten ska kunna begära att spärren hävs (en akut nödsituation). Patienten är kanske medvetslös eller alltför medtagen för att kunna ta ställning till frågan. Vidare kan saken brådska så att det inte finns någon tid att invänta att patienten begär att spärren hävs eller att inhämta samtycke. Det ska vara sådana och liknande skäl som gör att patientens val att begära att en spärr hävs inte kan inväntas eller att samtycke inte kan inhämtas (jämför prop. 2007/08:126 s. 253).17
Utredningen ser att det finns potentiella risker med en sådan reglering främst i form av missbruk exempelvis i det fall en utländsk vårdpersonal känner till en svensk persons personnummer och utifrån det bereder sig tillgång till personuppgifter trots att samtycke saknas och utan att en sådan undantagssituation som avses i bestämmelsen föreligger. Nyttan med bestämmelsens tänkta tillämpningsområde väger emellertid tyngre än den beskrivna risken för den personliga integriteten enligt utredningens uppfattning. Utredningen föreslår därför att en motsvarande reglering som i SVOD införs i förordningen.
Även om utredningen ser att den föreslagna möjligheten öppnar upp för att en vårdgivare ska kunna få del av en patientöversikt även
17Prop. 2021/22:177, s. 126–127.
i en situation då patienten exempelvis är medvetslös och inte kan lämna samtycke vid ett akut vårdtillfälle, konstateras att en förmedling av patientöversikt, när det gäller utländska patienter som söker vård i Sverige, potentiellt kan hindras beroende på vilka eventuella krav på samtycke som föreligger i den patientens hemland. Här kan tilläggas att det även inom EU-samarbetet avseende utbyte av patientöversikter över landsgränser pågår en diskussion om det ska införas en möjlighet för vårdgivaren att få tillgång till en patientöversikt från utlandet om patienten på grund av sitt tillstånd inte kan lämna samtycke.
Som redan redogjorts för i avsnitt 14.5.3 ska de bestämmelser som föreskrivs i SVOD om exempelvis samtycke och undantag från detta, möjlighet att spärra uppgifter samt vårdgivares behandling av uppgifter gälla vid det nationella utbytet av patientöversikter. Därför föreslås en upplysning i förordningens samtyckesbestämmelse om att regleringen i lagen om sammanhållen vård- och omsorgsdokumentation ska tillämpas avseende patientens inställning till behandlingen när det gäller utbytet av patientöversikter inom Sverige.
14.12. E-hälsomyndighetens uppgiftsskyldighet
14.12.1. Inledning
I offentlighets- och sekretesslagen (2009:400), fortsättningsvis OSL, finns bestämmelser om tystnadsplikt i det allmännas verksamhet och förbud att lämna ut allmänna handlingar. Enligt 25 kap. 17 a § OSL gäller sekretess hos E-hälsomyndigheten för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider men. Enligt 25 kap. 17 b § OSL gäller sekretess hos E-hälsomyndigheten för uppgift om en enskilds affärs- eller driftsförhållanden, om det kan antas att den enskilde lider skada om uppgiften röjs.
Enligt 8 kap. 1 § OSL får uppgift för vilken sekretess gäller enligt OSL inte röjas för enskilda eller för andra myndigheter, om inte annat anges i OSL eller i lag eller förordning som OSL hänvisar till. Det förekommer situationer när andra myndigheters eller enskildas intresse av att ta del av en sekretessbelagd uppgift väger tyngre än det intresse sekretessen ska skydda. Det finns därför bestämmelser i
OSL som innebär att sekretess under vissa förutsättningar inte hindrar att sekretessbelagda uppgifter lämnas till myndigheter eller enskilda. Dessa bestämmelser kallas för sekretessbrytande bestämmelser. En sådan bestämmelse finns i 10 kap. 28 § OSL som gäller utlämnande till andra myndigheter och innebär att sekretess inte hindrar att uppgift lämnas till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning.
Någon bestämmelse som motsvarar 10 kap. 28 § första stycket OSL finns inte beträffande uppgiftsutlämnande till enskilda.
14.12.2. Uppgiftsskyldighet till vårdgivare i Sverige och utländsk kontaktpunkt för e-hälsa
Utredningens förslag: E-hälsomyndigheten ska till vårdgivare i
Sverige och utländska kontaktpunkter för e-hälsa lämna ut de uppgifter som är nödvändiga för utbyte av patientöversikter.
Det måste säkerställas att E-hälsomyndigheten kan lämna ut sekretessbelagda uppgifter i samband med förmedling av patientöversikter. Som nämnts ovan omfattas personuppgifterna av sekretess hos E-hälsomyndigheten enligt 25 kap. 17 a § OSL. För att de ska kunna lämnas ut behövs en sekretessbrytande bestämmelse och en hänvisning till förordningen i OSL. Om E-hälsomyndigheten inte ska behöva göra en sekretessprövning i varje enskilt fall behövs dessutom en bestämmelse om uppgiftsskyldighet i förordningen. Genom en sådan bestämmelse tydliggörs att utlämnandet av uppgifterna är en uppgift för E-hälsomyndigheten och att det är behörigt.
Utredningen föreslår därför att E-hälsomyndigheten ska ha en uppgiftsskyldighet till svenska vårdgivare när det gäller uppgifter i en patientöversikt som förmedlats från en annan svensk vårdgivare eller från en utländsk kontaktpunkt för e-hälsa. Vidare föreslås att myndigheten ska ha en uppgiftsskyldighet till en utländsk kontaktpunkt för e-hälsa avseende uppgifter i en svensk patientöversikt. Uppgiftsskyldigheten medför behov av vissa ändringar i OSL (se avsnitt 15.3).
Utlämnandet av uppgifter avser vissa efterfrågade informationsmängder, det vill säga sådana uppgifter som ska ingå i en patientöversikt.
14.12.3. Uppgiftsskyldighet till Socialstyrelsen
Utredningens förslag: En bestämmelse om E-hälsomyndighetens
uppgiftsskyldighet till Socialstyrelsen ska införas.
Som en följd av resonemangen i avsnitt 14.6.2 och 14.7.4 avseende Socialstyrelsens behov av uppgifter om förmedlade patientöversikter för framställning av statistik och ett införande av ett sådant ändamål för E-hälsomyndighetens personuppgiftsbehandling, föreslås en uppgiftsskyldighet för E-hälsomyndigheten motsvarande den i avsnitt 14.12.2 även till Socialstyrelsen.
14.13. Tilldelning av behörighet och kontroll av elektronisk åtkomst
Utredningens förslag: En bestämmelse ska införas om att E-hälso-
myndigheten ska bestämma villkor för tilldelning av behörighet till den som arbetar hos myndigheten för åtkomst till uppgifter som behandlas enligt förordningen. Behörigheten ska begränsas till sådan information som den enskilde behöver för att kunna fullgöra sina arbetsuppgifter inom E-hälsomyndigheten.
En bestämmelse ska vidare införas som anger att E-hälsomyndigheten ska se till att åtkomst till uppgifterna som behandlas enligt denna förordning dokumenteras och kan kontrolleras. Myndigheten ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter.
14.13.1. Dataskyddsförordningen
Enligt artikel 5.1 c i dataskyddsförordningen ska personuppgifter vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (principen om uppgiftsminimering). En annan grundläggande princip är att den personuppgiftsansvarige ska vidta åtgärder som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling, med användning av lämpliga tekniska eller organisatoriska åtgärder (principen om integritet och konfidentialitet i artikel 5.1 f).
Det är den personuppgiftsansvarige som ansvarar för säkerheten och som, enligt artikel 24 i dataskyddsförordningen, med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen. Dessa åtgärder ska ses över och uppdateras vid behov. De tekniska och organisatoriska åtgärderna ska vara utformade för ett effektivt genomförande av dataskyddsprinciperna, såsom principen om uppgiftsminimering i artikel 5 och för integrering av de nödvändiga skyddsåtgärderna i behandlingen (artikel 25). Åtgärder ska vidtas både vid fastställandet av med vilka medel behandlingen utförs och vid själva behandlingen och ska genomföras med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter. Den personuppgiftsansvarige ska vidta åtgärder för att säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Vidare ska personuppgifterna som huvudregel inte utan den registrerades medverkan göras tillgängliga för ett obegränsat antal fysiska personer.
I artikel 32 i dataskyddsförordningen preciseras de säkerhetsåtgärder som bör vidtas enligt artikel 25. De åtgärder som ska vidtas ska, när det är lämpligt, inbegripa pseudonymisering och kryptering av personuppgifter, förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingsystemen och tjänsterna, förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident samt ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Åtgärder ska vidare vidtas för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende och som får tillgång till
personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte EU-rätten eller medlemsländernas nationella rätt ålägger honom eller henne att göra det.
14.13.2. Behörighetstilldelning och åtkomstkontroll
Utbytet av patientöversikter kommer att omfatta en stor mängd känsliga personuppgifter. Som framgår av tidigare avsnitt är tjänsten för närvarande valfri, men utredningen föreslår ett obligatorium avseende krav på tillgängliggörande av informationsmängder. Samtidigt ska huvudregeln vara att patientens samtycke krävs för att utbytet av patientöversikten ska tillåtas. Om personuppgifterna inte hanteras på ett säkert sätt som skyddar mot obehörigt utnyttjande av uppgifterna, kan det finnas risk att patienter väljer att inte använda den möjlighet som informationsutbytet medför. Därför är det viktigt att det tydligt framgår att E-hälsomyndigheten som personuppgiftsansvarig har ansvaret för att den elektroniska åtkomsten till personuppgifter hos myndigheten inte är mer omfattande än vad som krävs för att den enskilde på myndigheten ska kunna fullgöra sina arbetsuppgifter.
I 8 kap. 1 § NLL ställs krav på att E-hälsomyndigheten ska bestämma villkor för tilldelning av behörighet för åtkomst till personuppgifter och på dokumentation. I förarbetena till lagen uttalade regeringen att E-hälsomyndigheten bör ta fram rutiner för behörighetstilldelning för de personalkategorier inom myndigheten som kommer i fråga för åtkomst till uppgifter i registret. Åtkomsten till uppgifterna i registret föreslogs vara begränsad till det som behövs för att den som arbetar på myndigheten ska kunna fullgöra sina arbetsuppgifter.18
Utredningen föreslår att en bestämmelse i förordningen om krav på behörighetstilldelning bör införas, i likhet med den i NLL. Behörigheten för åtkomst till personuppgifter ska vara anpassad efter den anställdes behov av personuppgifter för att kunna utföra sitt arbete. Utgångspunkten för tilldelning av behörighet för personuppgifterna ska begränsas till det som behövs för att den enskilde på myndigheten ska kunna fullgöra sina arbetsuppgifter. Av detta följer att behörigheter ska följas upp och ändras efter hand som ändringar i befattningshavarens arbetsuppgifter ger anledning till det.
I NLL ställs vidare krav på att E-hälsomyndigheten ska se till att åtkomst till personuppgifter i den nationella läkemedelslistan dokumenteras och kontrolleras. Myndigheten ska systematiskt och återkommande kontrollera om någon obehörigen tar del av uppgifter i registret (8 kap. 1 §). I förarbetena till lagen uttalade regeringen att det ankommer på myndigheten att ta fram en säkerhetslösning som skyddar uppgifterna i registret mot otillåten behandling. Myndigheten bör identifiera vilka risker för obehörig användning som finns och vilka åtgärder som ska vidtas för att dessa risker ska minimeras eller om möjligt upphöra. Det ska exempelvis finnas en säker autentisering av den aktör som vill få åtkomst till registret. För att åtkomsten ska kunna kontrolleras bör det sparas loggar som visar så detaljerad information som behövs för att kunna utreda eventuell obehörig åtkomst eller annan behandling av uppgifterna i registret.19
För att kunna säkerställa skyddet mot obehörig åtkomst anser utredningen att en bestämmelse som motsvarar den som finns i NLL med krav på loggning och kontroll av elektronisk åtkomst bör införas i förordningen. Utredningen anser att det ska framgå av förordningen att E-hälsomyndigheten ska se till att åtkomsten till personuppgifterna dokumenteras och kan kontrolleras. Vidare ska det framgå att E-hälsomyndigheten bör göra systematiska och återkommande kontroller av om någon obehörigen kommer åt personuppgifterna. Det är upp till E-hälsomyndigheten som personuppgiftsansvarig att se till att det finns bra loggningssystem och att uppföljande kontroller görs för att förordningen ska kunna följas.
Även om skyldigheten för den personuppgiftsansvarige att på olika sätt begränsa tillgången till personuppgifter kan sägas följa direkt av dataskyddsförordningens krav (se bl.a. artikel 24 och 25) anser utredningen i likhet med den bedömning som regeringen gjorde i förarbetena till NLL att det bör regleras tydligt i förordningen eftersom det rör känsliga uppgifter om personers hälsa.20Bestämmelser om vilka säkerhetsåtgärder som ska vidtas i en viss verksamhet utgör vidare ett sådant specifikt krav på personuppgiftsbehandling som enligt artikel 6.2 och 6.3 i dataskyddsförordningen får fastställas i nationell rätt.
19Prop. 2017/18:223, s. 177. 20 Prop. 2017/18 :223, s. 177.
15. Ändringar i patientdatalagen, lagen om sammanhållen vård- och omsorgsdokumentation, offentlighets- och sekretesslagen samt lagen om nationell läkemedelslista
I det här kapitlet redogörs för de övriga författningsändringar som utredningen ser blir nödvändiga att göra för att möjliggöra utbyte av patientöversikter. Ändringar föreslås således i patientdatalagen, lagen om sammanhållen vård- och omsorgsdokumentation, offentlighets- och sekretesslagen samt lagen om nationell läkemedelslista.
I kapitel 11 och 12 redogörs för bakgrunden och de överväganden som lett fram till utredningens förslag om en kravställning mot vårdgivare att tillgängliggöra vissa uppgifter för att skapa förutsättningar för utbyte av patientöversikter. Detta berörs särskilt nedan i avsnitt 15.1 och 15.2.
15.1. Ändringar i patientdatalagen
15.1.1. Vilka ändringar behövs
Patientdatalagen (2008:355) reglerar vårdgivares behandling av personuppgifter inom hälso- och sjukvården. För att möjliggöra den personuppgiftsbehandling som är nödvändig och skapa förutsättningar för utbyte av patientöversikter över landsgränser krävs vissa ändringar i patientdatalagen. De ändringar som enligt utredningen behövs gäller främst bestämmelser som gör det obligatoriskt för vårdgivare att ge E-hälsomyndigheten tillgång till uppgifter om en patient
för att tillföras en patientöversikt inom EES samt krav på vårdgivaren att kunna ta emot en sådan patientöversikt, krav på vilka uppgifter som vårdgivarna ska lämna ut för att tillföras en sådan patientöversikt, krav på hur vårdgivarna på elektronisk väg ska kunna ge E-hälsomyndigheten tillgång till uppgifter och krav på hur vårdgivarna på elektronisk väg ska kunna ta del av patientöversikter från E-hälsomyndigheten. I det följande redogörs för de nödvändiga ändringarna. Utredningen föreslår även att en definition av patientöversikt ska läggas till i lagen. Förslagen följer den struktur som redan finns i lagen.
När det gäller motsvarande kravställning och angränsande bestämmelser för utbytet av patientöversikter inom Sverige finns utredningens resonemang med förslag och bedömningar i avsnitt 15.2.
15.1.2. Definitioner
Utredningens förslag: Patientöversikt bör läggas till bland de
begrepp som definieras i patientdatalagen. En hänvisning till uttryckets angivna betydelse i 2 § i förordningen (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter införs i lagen.
Eftersom vi föreslår ytterligare bestämmelser i lagen om vårdgivarnas ansvar i samband med utbyte av patientöversikter uppstår ett behov av att inte belasta bestämmelserna med långa förklaringar kring begreppets betydelse. Utformningen av bestämmelserna blir generellt enklare om vissa begrepp kan förklaras redan i inledningen av lagen. Det grundläggande begreppet patientöversikt behöver därför definieras. Eftersom begreppet återkommer i flera författningar väljer utredningen att hänvisa till definitionen som framgår av 2 § i förordningen (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter.
15.1.3. Känsliga personuppgifter
Utredningens bedömning: Det finns en påminnelse om tyst-
nadsplikt när känsliga personuppgifter behandlas med stöd av artikel 9.2 h i EU:s dataskyddsförordning i 2 kap. 7 a § patientdatalagen. Någon ytterligare reglering för vårdgivares behandling av känsliga personuppgifter i samband med att svenska patientöversikter ska utbytas över landsgränser krävs inte.
Den personuppgiftsbehandling som kommer att utföras när uppgifter i svenska patientöversikter tillgängliggörs av en svensk vårdgivare för E-hälsomyndighetens vidareförmedling till en utländsk kontaktpunkt för e-hälsa ska enligt förslaget till viss del regleras i patientdatalagen. I 2 kap. 7 a § patientdatalagen finns redan en bestämmelse som påminner om kravet på tystnadsplikt enligt artikel 9.3 i EU:s dataskyddsförordning i det fall känsliga personuppgifter behandlas för att det är nödvändigt för vissa verksamheter på hälso- och sjukvårdens område (artikel 9.2 h). Den påminnelsen omfattar även vårdgivares behandling av känsliga personuppgifter vid utlämnande av vissa journaluppgifter till E-hälsomyndigheten om en patient som söker vård utomlands samt svenska vårdgivares behandling av patientöversikter från utlandet.
15.1.4. Befintlig ändamålsbestämmelse
Utredningens bedömning: De befintliga tillåtna ändamålen för
behandling som regleras i patientdatalagen täcker vårdgivarnas behandling även av utländska patientuppgifter.
En vårdgivare får enligt patientdatalagen endast behandla sådana uppgifter som behövs för de ändamål som räknas upp i 2 kap.4 och 5 §§patientdatalagen. Ändamålsbestämmelserna styr över vilka personuppgifter som får samlas in och fortsättningsvis behandlas i verksamheten. Vårdgivare får bland annat behandla personuppgifter för att fullfölja journalföringsplikten. Enligt 5 § får personuppgifter som behandlas för tillåtna ändamål också behandlas för att fullgöra uppgiftslämnande som görs i överensstämmelse med lag eller förordning. Personuppgifterna får även behandlas för andra ändamål,
under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (finalitetsprincipen).
När en utländsk patient söker vård i Sverige behöver vårdgivaren samla in det underlag som behövs för att ge en god och säker vård precis som när det gäller alla andra patienter. Vårdgivaren behöver behandla personuppgifter för att fullgöra journalföringsplikten och upprätta annan dokumentation som behövs i och för vården av patienter (2 kap. 4 § patientdatalagen). Det finns således redan stöd för den behandlingen i patientdatalagen.
15.1.5. Ett nytt ändamål avseende utlämnande av uppgifter till E-hälsomyndigheten
Utredningens förslag: Vårdgivare ska få behandla personupp-
gifter för ändamålet utlämnande av uppgifter till E-hälsomyndigheten för sammanställning, översättning och förmedling av en svensk patientöversikt till en utländsk kontaktpunkt för e-hälsa.
Möjligheten för vårdgivare att lämna ut uppgifter till E-hälsomyndigheten så att en patientöversikt kan förmedlas till en utländsk kontaktpunkt för e-hälsa är ett nytt ändamål för behandling av personuppgifter inom hälso- och sjukvården. Ett sådant ändamål för tillåten behandling behöver därför införas i 2 kap. 4 § patientdatalagen.
15.1.6. Samtycke från en patient för förmedling av en patientöversikt
Utredningens förslag: Vårdgivaren ska säkerställa att patienten
samtycker till att patientens personuppgifter behandlas för ändamålet förmedling av patientöversikter. Detta ska gälla vid förmedling av patientöversikter över landsgränser.
Regleringen av samtycket föreslås införas i förordningen (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter samt som en förutsättning för vårdgivares skyldigheter enligt patientdatalagen vid utbytet av patientöversikter (se avsnitt 15.1.7).
Det är lämpligt att införa en bestämmelse om patientens samtycke till behandling av personuppgifter för ändamålet att förmedla en patientöversikt. Som framgår i avsnitt 14.11 föreslår därför utredningen i den nya förordningen om personuppgiftsbehandling vid Ehälsomyndigheten i samband med hantering av patientöversikter en bestämmelse om att patientens samtycke krävs för att patientens personuppgifter ska få behandlas för ändamålet förmedling av patientöversikter. Detta ska gälla vid förmedling av patientöversikter över landsgränser. För förmedling av patientöversikter inom Sverige ska särskilda regler gälla avseende patientens inställning till behandlingen, se avsnitt 15.2.
I kapitel 12 redogörs närmare för utredningens förslag om hantering av samtyckesfrågan samt en digital tjänst för att lämna samtycke som patient. Som föreslås i avsnitt 12.3 ska en patient som innehar e-legitimation kunna lämna samtycke digitalt och signera elektroniskt, medan en patient som saknar e-legitimation föreslås kunna lämna samtycke till vårdgivare eller apotek.
En utländsk patient som söker vård i Sverige ska få information om personuppgiftsbehandlingen i Sverige och få möjlighet att ta ställning till om denne vill att patientöversikten från hemlandet ska begäras in. Detta som en del i att inhämtande av en patientöversikt från utlandet förutsätter patientens integritetshöjande samtycke i enlighet med den ovan nämnda föreslagna förordningen om personuppgiftsbehandling vid E-hälsomyndigheten. Utredningen föreslår därför vidare i avsnitt 12.3 att även patienter som är försäkrade i ett annat EES-land behöver lämna samtycke innan hantering får ske av patientens personuppgifter. Samtycket ges förslagsvis till hälso- och sjukvårdspersonalen i samband med vårdbesöket.
Om det finns fara för en patients liv eller det annars finns allvarlig risk för dennes hälsa och patientens samtycke inte kan inhämtas, bör patientens personuppgifter ändå få behandlas om de kan antas ha betydelse för den vård som patienten oundgängligen behöver. Detta föreslås också i förordningen om E-hälsomyndighetens personuppgiftsbehandling, se avsnitt 14.11.
15.1.7. Krav på vårdgivare vid utbyte av patientöversikter
Utredningens förslag: En vårdgivare ska under förutsättning att
patienten har lämnat samtycke i enlighet med 11 § i förordningen (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter
1. ge E-hälsomyndigheten elektronisk tillgång till uppgifter om
en patient för att tillföras en patientöversikt inom EES, och
2. från E-hälsomyndigheten elektroniskt kunna ta del av sådan
patientöversikt.
Innan uppgifter om en patient görs tillgängliga för E-hälsomyndigheten ska patienten av vårdgivaren informeras om
3. vad patientöversikt inom EES innebär, och
4. möjligheten att motsätta sig att uppgifter görs tillgängliga för
utbyte av sådan patientöversikt.
Om uppgifter om en patient har spärrats enligt 2 kap. 3 § första stycket lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation ska spärren gälla även vid hantering av uppgifter om en patient enligt nu föreslagen bestämmelse.
Kraven ska inte gälla verksamhet som avses i lagen (2018:744) om försäkringsmedicinska utredningar eller lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar. Kraven ska inte heller gälla vårdgivare som bedriver tandvård eller kommunal hälso- och sjukvård. Dessa vårdgivare får dock ge tillgång till uppgifter och ta del av patientöversikter i enlighet med ovan. Vårdgivaren ska då iaktta de skyldigheter i övrigt som följer av de föreslagna bestämmelserna.
Regeringen eller den myndighet som regeringen bestämmer får avseende utlämnandet meddela föreskrifter om krav på vilka uppgifter som ska tillgängliggöras för att tillföras en sådan patientöversikt.
För att Sverige ska kunna delta i utbytet av patientöversikter över landsgränser och erbjuda svenska patienter tillgång till sina patientöversikter i samband med vård utomlands behöver uppgifter ur
svenska vårdgivares journalsystem göras tillgängliga för E-hälsomyndigheten. Som redogjorts för i avsnitt 15.1.5 föreslår utredningen att vårdgivare ska få behandla personuppgifter för ändamålet utlämnande av uppgifter till E-hälsomyndigheten för sammanställning, översättning och förmedling av en patientöversikt till en utländsk kontaktpunkt för e-hälsa.
Mot bakgrund av det resonemang som utredningen för i avsnitt 11.2.3 samt för att säkerställa E-hälsomyndighetens tillgång till samtliga de uppgifter som behövs för förmedling av patientöversikter föreslår utredningen att det införs ett krav på vårdgivare att ge E-hälsomyndigheten tillgång till uppgifter om en patient för att tillföras en patientöversikt inom EES. En vårdgivare ska således vara skyldig att tillgängliggöra uppgifter om en patient som söker vård utomlands. Regeringen eller den myndighet som regeringen bestämmer ska få besluta om vilka uppgifter som vårdgivaren ska lämna ut enligt denna bestämmelse (se avsnitt 15.1.9).
Utöver kravet på att ge tillgång till uppgifter om en patient för att tillföras en patientöversikt ska vårdgivare kunna ta del av sådan patientöversikt.
I likhet med regleringen i lagen om sammanhållen vård- och omsorgsdokumentation föreslås en skyldighet för vårdgivaren att innan uppgifter om en patient görs tillgängliga för E-hälsomyndigheten informera patienten om dels vad en patientöversikt inom EES innebär, dels möjligheten att motsätta sig att uppgifter görs tillgängliga för utbyte av sådan patientöversikt. Som framhållits i förarbetena till lagen har att informationen ska lämnas på ett så tidigt stadium att göra med respekten för patientens självbestämmande och integritet och att hälso- och sjukvård så långt som möjligt ska utformas och genomföras tillsammans med den enskilde.
Bestämmelsen i lagen om sammanhållen vård- och omsorgsdokumentation avseende möjlighet att spärra uppgifter om patienten föreslås bli tillämplig även vid det utbyte av patientöversikter över landsgränser som regleras i patientdatalagen. Således gäller en sådan spärr även då patientens uppgifter ska tillföras en patientöversikt inom EES.
Utredningen har i definitionen av hälso- och sjukvård i den nya förordningen om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter valt att utelämna verksamhet som avses i lagen (2018:744) om försäkringsmedicinska utredningar och lagen (2021:363) om estetiska kirurgiska ingrepp
och estetiska injektionsbehandlingar. Skälet till detta är att utredningen har bedömt att det utifrån att skyddet för patienternas integritet ska säkerställas på ett tillfredsställande sätt är lämpligt att använda samma definition av hälso- och sjukvård som redan finns i lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation, där sådana aspekter nyligen övervägts i samband med förarbetena till lagen och de båda verksamheterna utelämnats.1 Av det skälet behövs ifrågavarande undantag från kravställningen för dessa verksamheter eftersom de båda ingår i patientdatalagens definition av hälso- och sjukvård och därigenom även i lagens definition av vårdgivare.
Vidare undantas de vårdgivare som bedriver tandvård eller kommunal hälso- och sjukvård från kravet i bestämmelsen. Skälen för detta är i huvudsak följande. Utredningen har som sitt primära fokus haft hälso- och sjukvård med koppling till regionerna, det vill säga den regionala vården. Utredningens dialoger har i huvudsak inte varit med vårdgivare som bedriver tandvård eller kommunal hälso- och sjukvård. När utredningen ska bedöma bland annat konsekvenser för kravställda vårdgivare till följd av förslagen i ifrågavarande bestämmelse innebär detta att konsekvenserna är mer lättöverskådliga för de vårdgivare som innefattats i utredningens primära fokus. Med konsekvenser avses exempelvis säkerhets-, åtkomst- och behörighetsfrågor. I kapitel 5 illustreras bland annat det stora antalet aktörer som bedriver kommunal hälso- och sjukvård. Till detta kan anföras att det i nuläget är betydligt färre kommuner än regioner som är anslutna är anslutna till NPÖ för tillgängliggörande av information (50 av 290 kommuner), dock är cirka 95 procent konsumenter, det vill säga tittar på informationen i NPÖ. Utredningen har inte fullt ut kunnat överblicka och förstå konsekvenserna av en kravställning för vårdgivare som bedriver tandvård eller kommunal hälso- och sjukvård. För dessa vårdgivare ska det dock vara möjligt att ge tillgång till uppgifter och ta del av patientöversikter i enlighet med kravet på övriga vårdgivare. För vårdgivare som använder sig av den möjligheten ska övriga skyldigheter som de kravställda vårdgivarna måste iaktta, i till exempel föreskrifter, gälla även för dem.
Enligt 25 kap. 1 § offentlighets- och sekretesslagen (2009:400), fortsättningsvis OSL, omfattas uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden av sekretess hos offentliga vård-
1Prop. 2021/22:177, s. 56–62 och 85–87.
givare om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Sekretess hindrar dock inte att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning (10 kap. 28 § OSL). Motsvarande regel om tystnadsplikt och undantag från tystnadsplikten för privata vårdgivare finns i 6 kap. 12 § patientsäkerhetslagen. Genom att införa en lagreglerad uppgiftsskyldighet behöver utlämnandet av de uppgifter som omfattas av skyldigheten inte prövas mot regler om sekretess eller tystnadsplikt. Bestämmelsen medför vidare att den behandling som utlämnandet utgör blir ett tillåtet ändamål även enligt 2 kap. 5 § patientdatalagen.
Det är inte lämpligt att i lag precisera vilka uppgifter som ska ingå i en patientöversikt. Även om informationsmängderna avseende utbytet av patientöversikter mellan EES-länder bestäms av Nätverket för e-hälsa behöver det specificeras vad det betyder för vårdgivarna i en svensk kontext. Vi föreslår därför att regeringen, eller efter bemyndigande den myndighet som regeringen bestämmer, får meddela föreskrifter som preciserar vilka uppgifter som ska tillgängliggöras.
Sammanfattningsvis ska det enligt utredningen framgå av patientdatalagen att vårdgivare är skyldiga att tillgängliggöra informationsmängder i syfte att kunna utbyta patientöversikter över landsgränser.
15.1.8. Krav på elektroniskt system
Utredningens förslag: En vårdgivare ska använda sig av sådant
elektroniskt system för informationshantering som gör det möjligt för vårdgivaren att på elektronisk väg såväl ge E-hälsomyndigheten tillgång till uppgifter om en patient för att tillföras en patientöversikt, som ta del av patientöversikter från E-hälsomyndigheten.
För att säkerställa att svenska vårdgivare ska kunna ge E-hälsomyndigheten tillgång till uppgifter om en patient för att tillföras en patientöversikt och ta del av patientöversikter från E-hälsomyndigheten behöver det kunna ställas krav på vårdgivarnas elektroniska system.
Utredningen föreslår för huvuddelen av vårdgivarna en skyldighet att tillgängliggöra utvalda informationsmängder att tillföras en
patientöversikt i samband med att patienten söker vård inom EES. Oavsett om en vårdgivare deltar frivilligt i utbytet av patientöversikter eller inte anser vi att en vårdgivare som ska tillgängliggöra uppgifter för E-hälsomyndigheten ska ha förutsättningar för att elektroniskt kunna tillgängliggöra de uppgifter som ska ingå. Även i situationen när en vårdgivare tar emot en patient och ska begära in en patientöversikt från utlandet ska vårdgivaren ha förutsättningar som gör det möjligt att ta del av patientöversikten elektroniskt.
15.1.9. Föreskriftsrätt
Utredningens förslag: Regeringen får lämna bemyndigande att
meddela föreskrifter om vilka uppgifter som en vårdgivare ska tillgängliggöra i samband med utbyte av patientöversikter över landsgränser och om vilka krav som ska ställas på vårdgivarnas elektroniska system.
När det gäller vilka krav som ska ställas på vårdgivarnas elektroniska system föreslås att det i lagen anges att E-hälsomyndigheten får meddela sådana föreskrifter.
Som nämnts i föregående avsnitt är det inte lämpligt att i lag precisera varken vilka uppgifter som vårdgivarna ska tillgängliggöra för att tillföras en patientöversikt eller kraven på vårdgivarnas elektroniska system. Sådan reglering bör i stället ske i föreskriftsform.
Inom Nätverket för e-hälsa pågår ett kontinuerligt arbete med att specificera vilka informationsmängder som ska ingå i en patientöversikt för utbytet inom EES. Över tid kommer det ske förändringar och utökningar av informationsmängderna. Så länge inte all information är obligatorisk kan det även behöva göras anpassningar till vilka informationsmängder som vårdgivarna kan producera.
Utredningen föreslår att det genom ändringar i patientdatalagen ska möjliggöras för regeringen att ge bemyndigande att meddela föreskrifter som specificerar vilka uppgifter vårdgivare ska tillgängliggöra till följd av uppgiftsskyldigheten. Genom sådana föreskrifter skulle det kunna ställas detaljerade krav på vilka uppgifter som en vårdgivare ska tillgängliggöra för E-hälsomyndigheten. Vårdgivarna i sin tur får härigenom tydliga besked om vilka uppgifter som ska omfattas.
Utredningen anser att E-hälsomyndigheten, i egenskap av nationell kontaktpunkt för e-hälsa och som en redan viktig aktör i det europeiska samarbetet på området, skulle kunna vara en lämplig myndighet att ge bemyndigandet att föreskriva om vilka uppgifter vårdgivare ska tillgängliggöra. En annan kandidat skulle vara Socialstyrelsen som redan i dagsläget har föreskriftsrätt beträffande journalföring och innehåll i patientjournalen och som har gedigen erfarenhet av föreskriftsarbete, inklusive exempelvis metodstöd och språkgranskning som tjänster till externa aktörer/myndigheter. Vid dialog som utredningen haft med Socialstyrelsen har även lyfts ett alternativ där båda nämnda myndigheter ges ett gemensamt ansvar för ifrågavarande föreskriftsrätt. Ett ytterligare alternativ som diskuterats vid dialogen är att dela upp bemyndigandet på så sätt att E-hälsomyndigheten skulle få ansvar för den internationella delen, det vill säga de patientöversikter som tas fram i enlighet med de krav som har fastställts av Nätverket för e-hälsa, och att Socialstyrelsen får meddela föreskrifter beträffande de nationella patientöversikterna. En viktig aspekt som framhållits vid dialoger med såväl Socialstyrelsen som E-hälsomyndigheten är att framför allt föreskrifter avseende den internationella delen sannolikt kommer att kräva mer arbete och i övrigt vara resurskrävande på grund av mer omfattande och tätare uppdateringar av obligatoriska informationsmängder. När det gäller konsekvenser av ett eventuellt bemyndigande har Socialstyrelsen exemplifierat med att kostnaden för det nyligen genomförda författningsarbetet med Listningstjänst uppgick till omkring fyra–fem miljoner kronor. Till detta ska beaktas kostnader för kommande revideringar.
Utredningen lämnar med dessa överväganden till regeringen att vid behov utse lämplig myndighet.
Vidare föreslås ändringar i patientdatalagen avseende krav på att vårdgivarna ska ha sådana elektroniska system som gör det möjligt för dessa att på elektronisk väg såväl ge E-hälsomyndigheten tillgång till uppgifter om en patient för att tillföras en patientöversikt, som ta del av sådana patientöversikter. Föreskrifter skulle kunna innehålla specificerade krav som vårdgivarnas system måste kunna uppfylla. I denna del föreslår utredningen att E-hälsomyndigheten, särskilt i egenskap av nationell kontaktpunkt för e-hälsa och utifrån de krav på bland annat tillhandahållande av system som redan föreligger och som framgår av myndighetens instruktion, är den myndighet
som ska ges bemyndigandet att föreskriva om krav på vårdgivares elektroniska system.
Här kan tilläggas att samma synsätt har lyfts i en Promemoria med
förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet som lämnats till Socialdepartementet av Utredningen om
sekundäranvändning av hälsodata. Utredningen föreslår i promemorian att E-hälsomyndigheten ska tillhandahålla en övergripande nationell infrastruktur för hälsodata för att skapa förutsättningar för gemensamt nyttjande av infrastrukturen genom att tillgängliggöra nationella tjänster för att underlätta delning och nyttjande av hälsodata.2
15.2. Ändringar i lagen om sammanhållen vård- och omsorgsdokumentation
I föregående avsnitt beskrivs vilka ändringar som utredningen föreslår i patientdatalagen för att realisera en kravställning på vårdgivare om att ge E-hälsomyndigheten tillgång till uppgifter om en patient för att tillföras en patientöversikt inom EES samt krav på vårdgivaren att kunna ta emot en sådan patientöversikt.
Utredningen föreslår i följande avsnitt författningsändringar beträffande utbyte av patientöversikter inom Sverige. Utredningen har funnit det lämpligt att denna reglering placeras i lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation, fortsättningsvis SVOD, vilket motiveras närmare i kapitel 11.
15.2.1. Kort om lagen
SVOD tillämpas på vårdgivares behandling av personuppgifter enligt patientdatalagen. Lagen har ersatt patientdatalagens bestämmelser om sammanhållen journalföring och innehåller även bestämmelser rörande de delar av socialtjänstens verksamheter som avser omsorg om äldre personer och personer med funktionsnedsättning. Det innebär att vårdgivare och omsorgsgivare, genom direktåtkomst eller annat elektroniskt utlämnande, får tillgång till personuppgifter hos andra vårdgivare och omsorgsgivare. I lagen har även införts
2 Utredningen om sekundäranvändning av hälsodata (S2022:04). Promemoria med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet. Dnr S2023/00584.
integritetsstärkande åtgärder samt uttryckliga bestämmelser om barns samtycke till behandling av personuppgifter.
Med hänsyn till att SVOD tillkommit för reglering av delning av uppgifter mellan svenska vård- och omsorgsgivare, med ett heltäckande regelverk för den hanteringen, föreslår utredningen som angetts ovan att även bestämmelser om det utbyte av patientöversikter som ska kunna ske inom Sverige placeras i lagen. Utredningens överväganden kring de författningsändringar som är nödvändiga för detta redogörs för i det följande.
I utredningens förslag till ny förordning om E-hälsomyndighetens personuppgiftsbehandling i samband med hantering av patientöversikter görs hänvisningar i förordningens bestämmelser om personuppgiftsansvar och samtycke som förtydligar att det i dessa hänseenden är bestämmelserna som följer av lagen om sammanhållen vård- och omsorgsdokumentation som ska gälla när E-hälsomyndigheten behandlar uppgifter för patientöversikter inom Sverige.
15.2.2. Vilka ändringar behövs
För att skapa förutsättningar för utbyte av patientöversikter inom Sverige krävs vissa ändringar i SVOD. De ändringar som enligt utredningen behövs gäller främst bestämmelser som gör det obligatoriskt för vårdgivare att ge E-hälsomyndigheten tillgång till uppgifter om en patient för att tillföras en patientöversikt inom Sverige samt krav på vårdgivaren att kunna ta emot en sådan patientöversikt, krav på vilka uppgifter som vårdgivarna ska lämna ut för att tillföras en sådan patientöversikt, krav på hur vårdgivarna på elektronisk väg ska kunna ge E-hälsomyndigheten tillgång till uppgifter och krav på hur vårdgivarna på elektronisk väg ska kunna ta del av patientöversikter från E-hälsomyndigheten. I det följande redogörs för de nödvändiga ändringarna. Utredningen föreslår även att en definition av patientöversikt ska läggas till i lagen.
När det gäller motsvarande kravställning och angränsande bestämmelser för utbytet av patientöversikter inom EES finns utredningens resonemang med förslag och bedömningar i avsnitt 15.1.
15.2.3. Definitioner
Utredningens förslag: Patientöversikt bör läggas till bland de be-
grepp som definieras i lagen om sammanhållen vård- och omsorgsdokumentation. En hänvisning till uttryckets angivna betydelse i 2 § i förordningen (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter införs i lagen.
Eftersom vi i lagen föreslår ytterligare bestämmelser om vårdgivarnas ansvar i samband med utbyte av patientöversikter uppstår ett behov av att inte belasta bestämmelserna med långa förklaringar kring begreppets betydelse. Utformningen av bestämmelserna blir generellt enklare om vissa begrepp kan förklaras redan i inledningen av lagen. Det grundläggande begreppet patientöversikt behöver därför definieras. Eftersom begreppet återkommer i flera författningar väljer utredningen att hänvisa till definitionen som framgår av 2 § i förordningen (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter.
15.2.4. Krav på vårdgivare vid utbyte av patientöversikter
Utredningens förslag: En vårdgivare ska under de förutsätt-
ningar som anges i 2 kap. 1 § första stycket första meningen i lagen om sammanhållen vård- och omsorgsdokumentation
1. ge E-hälsomyndigheten elektronisk tillgång till uppgifter om
en patient för att tillföras en patientöversikt inom Sverige, och
2. från E-hälsomyndigheten elektroniskt kunna ta del av sådan
patientöversikt.
Kraven ska inte gälla vårdgivare som bedriver tandvård eller kommunal hälso- och sjukvård. Dessa vårdgivare samt omsorgsgivare får dock ge tillgång till uppgifter i enlighet med ovan. Vårdgivaren eller omsorgsgivaren ska då iaktta de skyldigheter i övrigt som följer av föreslagen reglering.
Regeringen eller den myndighet som regeringen bestämmer får avseende utlämnandet meddela föreskrifter om krav på vilka uppgifter som ska tillgängliggöras för att tillföras en sådan patientöversikt.
Utbytet av patientöversikter inom Sverige är tänkt att ske på motsvarande sätt som för utbytet över landsgränser. Det är således även i denna situation E-hälsomyndigheten som behöver ges tillgång till uppgifter om en patient för att tillföras en patientöversikt inom Sverige, för att kunna sammanställa och förmedla patientöversikten till den mottagande vårdgivaren.
För att säkerställa E-hälsomyndighetens tillgång till samtliga de uppgifter som behövs för förmedling av patientöversikter, det vill säga att patientöversikten blir så fullständig och rättvisande som möjligt, föreslår utredningen att det införs ett krav på vårdgivare att ge E-hälsomyndigheten tillgång till uppgifter om en patient för att tillföras en patientöversikt inom Sverige. En vårdgivare ska alltså vara skyldig att tillgängliggöra vissa utvalda informationsmängder om en patient som söker vård nationellt. Regeringen eller den myndighet som regeringen bestämmer ska få besluta om vilka uppgifter som vårdgivaren ska tillgängliggöra enligt denna bestämmelse (se avsnitt 15.2.6).
Utöver kravet på att ge tillgång till uppgifter om en patient för att tillföras en patientöversikt ska vårdgivare kunna ta del av sådan patientöversikt.
Utredningen bedömer det som lämpligt att från angiven kravställning undanta vissa kategorier av vårdgivare, nämligen de som bedriver tandvård eller kommunal hälso- och sjukvård. En närmare motivering till undantaget finns i avsnitt 15.1.7. För dessa vårdgivare samt för omsorgsgivare ska det dock vara möjligt att ge tillgång till uppgifter och ta del av patientöversikter i enlighet med kravet på övriga vårdgivare. För vårdgivare eller omsorgsgivare som använder sig av den möjligheten ska övriga skyldigheter som de kravställda vårdgivarna måste iaktta, i till exempel föreskrifter, gälla även för dem.
Det är inte lämpligt att i lag precisera vilka uppgifter som ska ingå i en patientöversikt. Även om informationsmängderna avseende utbytet av patientöversikter mellan EES-länder bestäms av Nätverket för e-hälsa behöver det specificeras vad det betyder för vårdgivarna i en svensk kontext och det kan konstateras att de informations-
mängder som ska vara obligatoriska att tillgängliggöra kommer vara föränderliga och utökas successivt. Vi föreslår därför att regeringen, eller efter bemyndigande den myndighet som regeringen bestämmer, får meddela föreskrifter som preciserar vilka uppgifter som ska tillgängliggöras.
Sammanfattningsvis ska det enligt utredningen framgå av SVOD att vårdgivare är skyldiga att tillgängliggöra uppgifter i syfte att kunna utbyta patientöversikter mellan vårdgivare inom Sverige. Regleringen placeras i lagens 2 kap. 1 § som redan behandlar vårdgivares tillgång till personuppgifter från annan vårdgivare. Som en följd av denna ändring behöver E-hälsomyndigheten även läggas till i uppräkningen om till vilka aktörer uppgifter görs tillgängliga i 2 kap. 2 § första stycket i SVOD och i punkten 1 i samma bestämmelse kompletteras avseende vilken information som ska ges till patienten eller omsorgsmottagaren på så sätt att informationen även ska omfatta vad patientöversikt inom Sverige innebär.
15.2.5. Krav på elektroniskt system
Utredningens förslag: En vårdgivare ska använda sig av sådant
elektroniskt system för informationshantering som gör det möjligt för vårdgivaren att på elektronisk väg såväl ge E-hälsomyndigheten tillgång till uppgifter om en patient för att tillföras en patientöversikt, som ta del av patientöversikter från E-hälsomyndigheten.
För att säkerställa att vårdgivare ska kunna ge E-hälsomyndigheten tillgång till uppgifter om en patient för att tillföras en patientöversikt inom Sverige och ta del av sådana patientöversikter behöver det kunna ställas krav på vårdgivarnas elektroniska system.
Utredningen föreslår för huvuddelen av vårdgivarna en skyldighet att tillgängliggöra utvalda informationsmängder att tillföras en patientöversikt i samband med att patienten söker vård. Oavsett om en vårdgivare deltar frivilligt i utbytet av patientöversikter eller inte anser vi att en vårdgivare som ska tillgängliggöra uppgifter för Ehälsomyndigheten ska ha ett elektroniskt system som gör det möjligt att tillgängliggöra de uppgifter som ska ingå. Även i situationen när en vårdgivare tar emot en patient och ska begära in en patient-
översikt inom Sverige ska vårdgivaren ha ett sådant elektroniskt system som gör det möjligt att ta del av patientöversikten.
15.2.6. Föreskriftsrätt
Utredningens förslag: Regeringen får lämna bemyndigande att
meddela föreskrifter om vilka uppgifter som en vårdgivare ska tillgängliggöra i samband med utbyte av patientöversikter inom Sverige och om vilka krav som ska ställas på anslutande elektroniska system.
När det gäller vilka krav som ska ställas på vårdgivarnas elektroniska system föreslås att det i lagen anges att E-hälsomyndigheten får meddela sådana föreskrifter.
Som nämnts i föregående avsnitt är det inte lämpligt att i lag precisera varken vilka uppgifter som vårdgivarna ska tillgängliggöra för att tillföras en patientöversikt eller kraven på vårdgivarnas elektroniska system. Sådan reglering bör i stället ske i föreskriftsform.
Inom Nätverket för e-hälsa pågår ett kontinuerligt arbete med att specificera vilka informationsmängder som ska ingå i en patientöversikt för utbytet inom EES. Över tid kommer det ske förändringar och utökningar av informationsmängderna. Så länge inte all information är obligatorisk kan det även behöva göras anpassningar till vilka informationsmängder som vårdgivarna kan producera. Detta kommer att vara fallet även med patientöversikterna som ska delas inom Sverige.
Utredningen föreslår att det genom ändringar i lagen om sammanhållen vård- och omsorgsdokumentation ska möjliggöras för regeringen att ge bemyndigande att meddela föreskrifter som specificerar vilka uppgifter vårdgivare ska tillgängliggöra till följd av uppgiftsskyldigheten. Genom sådana föreskrifter skulle det kunna ställas detaljerade krav på vilka uppgifter som en vårdgivare ska tillgängliggöra för E-hälsomyndigheten. Vårdgivarna i sin tur får härigenom tydliga besked om vilka uppgifter som ska omfattas.
Utredningen anser att E-hälsomyndigheten, i egenskap av nationell kontaktpunkt för e-hälsa och som en redan viktig aktör i det europeiska samarbetet på området, skulle kunna vara en lämplig myndighet att ge bemyndigandet att föreskriva om vilka uppgifter vårdgivare
ska tillgängliggöra. En annan kandidat skulle vara Socialstyrelsen som redan i dagsläget har föreskriftsrätt beträffande journalföring och innehåll i patientjournalen och som har gedigen erfarenhet av föreskriftsarbete, inklusive exempelvis metodstöd och språkgranskning som tjänster till externa aktörer/myndigheter. För ytterligare resonemang kring detta, se avsnitt 15.1.9.
Utredningen lämnar med dessa överväganden till regeringen att vid behov utse lämplig myndighet.
Vidare föreslås ändringar i SVOD avseende krav på att vårdgivarna ska ha sådana elektroniska system som gör det möjligt för dessa att på elektronisk väg såväl ge E-hälsomyndigheten tillgång till uppgifter om en patient för att tillföras en patientöversikt, som ta del av sådana patientöversikter. Föreskrifter skulle kunna innehålla specificerade krav som vårdgivarnas system måste kunna uppfylla. Av samma skäl som angetts i avsnitt 15.1.9 föreslår utredningen i denna del att E-hälsomyndigheten är den myndighet som ska ges bemyndigandet att föreskriva om krav på vårdgivares elektroniska system.
15.3. Ändringar i offentlighets- och sekretesslagen
Utredningens förslag: En sekretessbrytande bestämmelse ska
införas som tillåter vårdgivare att lämna ut uppgifter om patienter till E-hälsomyndigheten i samband med utbyte av patientöversikter.
Vidare ska ändringar göras i befintlig sekretessbrytande bestämmelse så att E-hälsomyndigheten i samband med hantering av patientöversikter kan lämna ut uppgifter till svenska vårdgivare och utländska kontaktpunkter för e-hälsa.
15.3.1. Sekretess hos vårdgivarna och E-hälsomyndigheten
I enlighet med enligt 25 kap. 1 § OSL gäller sekretess inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. När det gäller den privata hälso- och sjukvården finns motsvarande regler om tystnadsplikt i patientsäkerhetslagen. Den som tillhör eller har
tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården får enligt 6 kap. 12 § patientsäkerhetslagen inte obehörigen röja vad denne i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning utgör inte ett obehörigt röjande. Vid tolkning av vad som ska anses vara ett obehörigt röjande har det ansetts vara naturligt att söka ledning i bestämmelserna i OSL.3
Utredningen föreslår i avsnitt 15.1.7 att en vårdgivare ska ge Ehälsomyndigheten tillgång till uppgifter om en patient för att tillföras en patientöversikt inom EES. Motsvarande förslag om krav på vårdgivare för patientöversikter inom Sverige finns i avsnitt 15.2.4. Uppgifterna ska tillgängliggöras elektroniskt utan att vårdgivaren vid varje enskilt utlämnande kan göra en menprövning. För att tillgängliggörandet ska vara rättsligt tillåtet krävs ett undantag från sekretessen. Av det skälet föreslår vi att en ny bestämmelse om undantag från sekretess ska införas, i de fall uppgifterna tillgängliggörs med stöd av de föreslagna bestämmelserna i patientdatalagen eller SVOD. En vårdgivare ska därmed få tillgängliggöra uppgifter att tillföras en patientöversikt till E-hälsomyndigheten utan hinder av sekretess.
I 25 kap. 17 a § OSL anges att sekretess gäller hos E-hälsomyndigheten för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Som också redogjorts för får uppgifter som omfattas av sekretess, enligt 8 kap. 1 § OSL, inte röjas för enskilda eller för andra myndigheter om inte annat anges i OSL eller i annan lag eller förordning som lagen hänvisar till. Enligt 10 kap. 28 § OSL får utlämnande ske till andra myndigheter utan hinder av sekretess om det finns en uppgiftsskyldighet till dessa i lag eller förordning. Utlämnandet till offentliga vårdgivare omfattas av den bestämmelsen.
Däremot finns det inte någon motsvarande bestämmelse för aktörer som inte är myndigheter. Det har därför i 25 kap. 17 c § OSL reglerats att sekretessen i 25 kap. 17 a och 17 b §§ OSL inte hindrar att uppgifter lämnas ut i vissa situationer. I den nuvarande uppräkningen ingår inte uppgifter som behandlas med stöd av förordningen (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter. Utländsk
kontaktpunkt för e-hälsa. För att sekretessbelagda uppgifter ska få lämnas ut till svenska enskilda vårdgivare (privata) och till utländska kontaktpunkter för e-hälsa krävs därmed en komplettering i 25 kap. 17 c § OSL, om inte någon annan sekretessbrytande bestämmelse kan tillämpas.
Sammanfattningsvis föreslår således utredningen att det ska finnas en sekretessbrytande bestämmelse i OSL så att en vårdgivare ska kunna lämna ut uppgifter, som enligt huvudregeln i 25 kap. 1 § OSL omfattas av sekretess, till E-hälsomyndigheten utan att i varje enskilt fall först behöva göra en menprövning.
Som även redogjorts för finns det vid utbyte av patientöversikter ett behov av att lämna ut uppgifter som omfattas av sekretess hos Ehälsomyndigheten (25 kap. 17 a och 17 b §§ OSL) till en utländsk kontaktpunkt för e-hälsa och även till svenska privata vårdgivare. Det bör regleras i OSL att sådant utlämnande är tillåtet.
15.4. Ändringar i lagen om nationell läkemedelslista
15.4.1. Vilka ändringar behövs?
För att kunna redovisa uppgifter om ordinerade läkemedel till en patientöversikt som ska förmedlas vidare till en utländsk kontaktpunkt för e-hälsa krävs en ändring i lagen (2018:1212) om nationell läkemedelslista (fortsättningsvis NLL) på så sätt att lagens bestämmelse om ändamål behöver kompletteras. I det följande diskuteras denna ändring. Dessförinnan berörs frågor om känsliga personuppgifter samt personuppgiftsansvar.
15.4.2. Behandling av känsliga personuppgifter samt E-hälsomyndighetens personuppgiftsansvar
I 2 kap. 2 § NLL finns en bestämmelse som påminner om kravet på tystnadsplikt i artikel 9.3 i EU:s dataskyddsförordning när känsliga personuppgifter behandlas för att det är nödvändigt för vissa verksamheter på hälso- och sjukvårdens område (artikel 9.2 h). Bestämmelsen kommer att vara tillämplig även vid E-hälsomyndighetens behandling av känsliga personuppgifter i samband med att uppgifter ur läkemedelslistan förmedlas vid utbyte av patientöversikter med en
utländsk kontaktpunkt för e-hälsa. Det behövs således ingen ytterligare reglering avseende detta.
I 3 kap. 1 § NLL regleras att E-hälsomyndigheten är personuppgiftsansvarig för den personuppgiftsbehandling som myndigheten utför i den nationella läkemedelslistan. Enligt lagens förarbete var skälen för att placera ansvaret på E-hälsomyndigheten bland annat myndighetens särskilda karaktär av infrastrukturmyndighet med ansvar för de register som behövs exempelvis för att apoteken ska kunna expediera läkemedel.4 Ansvaret kom av behovet att förlägga den itinfrastruktur som är nödvändig för drift av apotek hos en neutral aktör i samband med omregleringen av apoteksmarknaden.5
Enligt utredningen är det rimligt att E-hälsomyndigheten av samma skäl är personuppgiftsansvariga för behandling av personuppgifter som görs när uppgifter från nationella läkemedelslistan tillförs en patientöversikt för förmedling till en utländsk kontaktpunkt för e-hälsa. Vi bedömer därför att det är lämpligt att personuppgiftansvaret för denna personuppgiftsbehandling omfattas av bestämmelsen i 3 kap. 1 § NLL. Därmed blir ytterligare reglering av personuppgiftsansvaret inte nödvändig beträffande överföring av personuppgifter från nationella läkemedelslistan till nämnda mottagare.
15.4.3. Lagens ändamål
Utredningens förslag: Ett nytt ändamål ska införas i lagen som
gäller tillförande av uppgifter till en svensk patientöversikt som ska sammanställas, översättas och förmedlas till en utländsk kontaktpunkt för e-hälsa.
Det saknas i nuläget ett ändamål i NLL som omfattar tillförande av uppgifter till en svensk patientöversikt som ska sammanställas, översättas och förmedlas till en utländsk kontaktpunkt för e-hälsa. Ett nytt ändamål behöver därför införas i lagen.
I enlighet med förarbetena till NLL bör registerändamål uttryckas på ett så tydligt sätt som möjligt, inklusive de eventuella begränsningar
4Prop. 2017/18:223, s. 81. 5 Regeringens proposition Omreglering av apoteksmarknaden, prop. 2008/09:145, s. 293 f. och s. 306.
som gäller.6 Det är enligt lagen även möjligt att tillämpa finalitetsprincipen bland annat beroende på E-hälsomyndighetens behov av att behandla uppgifter med stöd av denna princip för kvalitetssäkring n och komplettering av information. Regeringen har i det sammanhanget uttalat att personuppgiftsbehandling som möjliggör felsökning, validering och komplettering av uppgifter i den nationella läkemedelslistan och som kräver tekniska kopplingar mellan den nationella läkemedelslistan och de stödregister som E-hälsomyndigheten förvaltar, inte är oförenlig med de ändamål för vilka uppgifterna samlades in. Den personuppgiftsbehandlingen ska emellertid bara vara tillåten om den bidrar till att annan personuppgiftsbehandling som är nödvändig för de särskilda och uttryckliga ändamålen uppräknade i lagen kan utföras på ett mer korrekt och patientsäkert sätt.7
Personuppgiftsbehandlingen avseende utbyte av patientöversikter med en utländsk kontaktpunkt för e-hälsa motsvarar väsentligen den behandling som E-hälsomyndigheten gör när uppgifter ur läkemedelslistan lämnas ut till en svensk vårdgivare. De huvudsakliga syftena att åstadkomma en säker ordination av läkemedel samt ge vård eller behandling av en patient är desamma, så även personuppgifternas art. Däremot är sammanhanget som behandlingen görs i nytt såtillvida att behandling skulle kunna genomföras för beredande av vård utomlands knappast kan påstås vara något den registrerade rimligen haft att räkna med vid insamlingen av personuppgifterna. Det finns också skillnader beträffande konsekvenserna av personuppgiftsbehandlingen och de skyddsåtgärder som tillämpas. Sammantaget innebär detta att andra integritetsaspekter måste iakttas än när det är fråga om utlämnande till en svensk vårdgivare. Som en följd av detta är det enligt utredningen inte lämpligt att behandla personuppgifterna för ändamålet utlämnande till utländsk kontaktpunkt med stöd av finalitetsprincipen. Däremot ser utredningen inget hinder mot att den loggning och bevarandet av loggar som är nödvändigt för att säkerställa spårbarhet och möjliggöra felsökning bör kunna göras med stöd av finalitetsprincipen. Det är i dessa fall fråga om loggning och lagring som är nödvändig för att förmedlingen av uppgifter till en patientöversikt ska kunna genomföras på ett patientsäkert sätt. I förarbetena till NLL har den typen av be-
6Prop. 2017/18:223, s. 84. 7Prop. 2017/18:223, s. 86.
handling ansetts vara sådan som kan göras med stöd av finalitetsprincipen.8
Sammanfattningsvis föreslår utredningen därför att tillförande av uppgifter till en patientöversikt som ska sammanställas, översättas och förmedlas till en utländsk kontaktpunkt för e-hälsa ska införas som ett tillåtet ändamål för personuppgiftsbehandling i NLL.
16. Avvägning mellan behov och integritetsrisker vid utbyte av patientöversikter inom EES
16.1. Inledning
Informationsutbytet av patientöversikter inom EES innebär att integritetskänsliga uppgifter om en individs hälsa överförs mellan länderna. I detta kapitel gör utredningen en avvägning mellan behovet av utredningens förslag och de integritetsrisker de kan innebära. Utredningen bedömer att det är vid utbytet av patientöversikter över landsgränser som avvägningen behöver göras då det i det nationella utbytet inte har kunnat identifieras några nytillkomna utmärkande integritetsrisker för patienterna till följd av personuppgiftsbehandlingen, varför kapitlet fokuserar på det förstnämnda informationsutbytet.
16.2. En avvägning mellan behov och integritetsrisker
Utredningens bedömning: Behovet av och fördelarna med utred-
ningens förslag överväger de integritetsrisker som behandlingen medför. Förslagen uppfyller ett mål av allmänt intresse och är proportionella mot det legitima mål som eftersträvas. Integritetsanalysen uppfyller kraven på en konsekvensbedömning avseende dataskydd i enlighet med artikel 35.10 i EU:s dataskyddsförordning.
16.2.1. En sammanfattning av utredningens förslag
Utredningen har i kapitel 13–15 föreslagit en ny förordning om Ehälsomyndighetens personuppgiftsbehandling i samband med hantering av patientöversikter samt ändringar i befintliga författningar för att möjliggöra att patientöversikter kan utbytas med andra EESländer.
Den nya förordningen reglerar den personuppgiftsbehandling som E-hälsomyndigheten utför i egenskap av nationell kontaktpunkt för e-hälsa vid såväl förmedling av en svensk patientöversikt till en utländsk kontaktpunkt för e-hälsa, som förmedling av en utländsk patientöversikt till en svensk vårdgivare. I förordningen föreslår utredningen således att E-hälsomyndigheten ska få behandla personuppgifter för att lämna ut uppgifter till svenska vårdgivare och utländska kontaktpunkter för e-hälsa, vilket är en förutsättning för utbytet av patientöversikter. Utredningen föreslår även att E-hälsomyndigheten ska få behandla personuppgifter för ändamålet att lämna ut uppgifter till Socialstyrelsen för framställning av statistik och för ändamålet att framställa statistik inom den egna myndigheten. Utredningen föreslår också en uppgiftsskyldighet för E-hälsomyndigheten till vårdgivare i Sverige, utländska kontaktpunkter för e-hälsa och Socialstyrelsen, som omfattar de uppgifter som behövs för de angivna ändamålen. Utredningen föreslår vidare att personuppgifter ska tas bort när de inte längre är nödvändiga att behandla för tillåtna ändamål enligt förordningen.
Vad gäller vårdgivarnas behandling av personuppgifter föreslår utredningen att ändamålsbestämmelsen i 2 kap. 4 § patientdatalagen (2008:355), som reglerar behandling av personuppgifter inom hälso- och sjukvården, ska omfatta utlämnande av uppgifter till E-hälsomyndigheten för sammanställning, översättning och förmedling av en svensk patientöversikt till en utländsk kontaktpunkt för e-hälsa i enlighet med 7 § 3 i den föreslagna förordningen om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter. Enligt utredningens bedömning täcker de befintliga tillåtna ändamålen för personuppgiftsbehandling i patientdatalagen vårdgivarnas behandling även av utländska patientuppgifter (se avsnitt 15.1.4). Utredningen har därtill föreslagit att vårdgivare som avses i patientdatalagen ska, under förutsättning att patienten har lämnat samtycke enligt 11 § i nämnda förordning, ge E-hälsomyndig-
heten elektronisk tillgång till uppgifter om en patient för att tillföras en patientöversikt inom EES samt från E-hälsomyndigheten elektroniskt kunna ta del av en sådan patientöversikt. Från kravet har undantagits vårdgivare som bedriver tandvård eller kommunal hälso- och sjukvård.
16.2.2. Aktörernas personuppgiftsbehandling
Utredningens förslag innebär följaktligen en utökad personuppgiftsbehandling för E-hälsomyndigheten och vårdgivarna. Även för Socialstyrelsen innebär förslagen en viss utökad personuppgiftsbehandling.
E-hälsomyndighetens behandling av personuppgifter vid förmedling av en svensk patientöversikt till ett annat EES-land
Vid förmedling av en svensk patientöversikt till ett annat EES-land kommer uppgifter som tillförs patientöversikten att hämtas från vårdgivare i Sverige och lämnas ut till en utländsk kontaktpunkt för e-hälsa. Personuppgifter samlas in i samband med att en patient från Sverige söker vård i ett annat EES-land och den behandling av personuppgifter som E-hälsomyndigheten utför är alltså inte reglerad sedan tidigare. De personuppgifter som kommer att behandlas av E-hälsomyndigheten är identitetsuppgifter hänförliga till patienten och hälso- och sjukvårdspersonal samt integritetskänsliga uppgifter som till exempel kan avse vilka sjukdomar en patient har. I hanteringen ingår sammanställning, översättning och förmedling av den svenska patientöversikten.
Vidare kommer E-hälsomyndigheten att vidareförmedla uppgifter om utbyte av patientöversikter till Socialstyrelsen för statistikändamål.
E-hälsomyndighetens behandling av personuppgifter vid förmedling av en utländsk patientöversikt till en vårdgivare i Sverige
Vid förmedling av en utländsk patientöversikt till en vårdgivare i Sverige kommer uppgifterna från den utländska kontaktpunkten för ehälsa. Patientöversikten begärs av en vårdgivare i Sverige, via E-hälsomyndigheten, i samband med att en patient från ett annat EES-land söker vård här och den behandling av personuppgifter som E-hälsomyndigheten utför är inte reglerad sedan tidigare. De personuppgifter som kommer att behandlas av E-hälsomyndigheten är i stort sett desamma som vid det motsatta informationsflödet. I hanteringen ingår översättning och förmedling av den utländska patientöversikten till vårdgivaren i Sverige.
Vidare kommer E-hälsomyndigheten att vidareförmedla uppgifter om utbyte av patientöversikter till Socialstyrelsen för statistikändamål.
Vårdgivarnas behandling av personuppgifter vid utbyte av patientöversikter inom EES
När en svensk patientöversikt ska sammanställas, översättas och förmedlas till en utländsk kontaktpunkt för e-hälsa kommer vårdgivare i Sverige att tillgängliggöra personuppgifter för E-hälsomyndigheten på ett sätt som inte sker sedan tidigare. I samband med utbytet har vårdgivarna alltså enligt utredningens förslag en skyldighet att göra vissa uppgifter som ska tillföras patientöversikten tillgängliga för E-hälsomyndigheten. I övrigt tillkommer ingen ny personuppgiftsbehandling för vårdgivare i Sverige, utan behandlingarna som utförs ryms inom befintliga ändamål i patientdatalagen.
16.2.3. Behovet av behandlingen av personuppgifter
Det finns ett uttalat syfte inom EU att utöka den fria rörligheten av hälso- och sjukvårdstjänster som bland annat kommer till uttryck i patientrörlighetsdirektivet. Av skälen till direktivet framgår att syftet är att förenkla tillgången till säker, högkvalitativ gränsöverskridande hälso- och sjukvård inom EU och att garantera patienterna
rörlighet i överensstämmelse med EU-domstolens principer samt att främja vårdsamarbete (skäl 10). Sedan flera år tillbaka bedriver därför kommissionen i samverkan med medlemsländerna ett aktivt arbete för att understödja gränsöverskridande hälso- och sjukvård, särskilt i e-hälsofrågor, främst genom Nätverket för e-hälsa. Syftet är bland annat att främja den fria rörligheten och skapa innovationsmöjligheter inom EU. Sverige är en aktiv part i detta samarbete.
Utbyte av patientöversikter har, om uppgifterna i dem är så fullständiga som möjligt, fördelar ur ett patientsäkerhetsperspektiv. De kan bidra till att den vårdgivare som patienten uppsöker på ett snabbt och sammanfattat sätt får viktig och i vissa situationer potentiellt livsavgörande information om patienten och dess hälsa och vård. Informationsutbytet innebär också att patientens rättigheter enligt patientrörlighetsdirektivet stärks.
Utredningens förslag om informationsutbyte syftar alltså till att säkerställa en patientsäker och effektiv vård även när EES-medborgare rör sig inom EES. En förutsättning för detta är i sin tur bland annat att e-hälsoavtalet skrivs under och att E-hälsomyndigheten uppfyller krav som sätts av Nätverket för e-hälsa. Det finns inget alternativt sätt att uppnå ändamålet utanför e-hälsoavtalet.
Det övergripande ändamålet med utredningens förslag är således att ge enskilda en stärkt patientsäkerhet när de rör sig inom EES och söker vård i ett annat EES-land. Det är ett legitimt mål som utgör en uppgift av allmänt intresse enligt utredningens bedömning. För att möjliggöra detta behöver den enskildes personuppgifter behandlas av de olika aktörer som ingår i samarbetet, i enlighet med e-hälsoavtalet och övriga krav som antagits av Nätverket för e-hälsa.
För att kunna delta i samarbetet och för att E-hälsomyndigheten och vårdgivarna ska kunna utföra den behandling av personuppgifter som är nödvändig, behöver det finnas rättsligt stöd för behandlingen. Ett sådant stöd saknas i dag enligt utredningens bedömning.
16.2.4. Integritetsrisker
Svensk patientöversikt som förmedlas till ett annat EES-land
Vid förmedling av svenska patientöversikter till andra EES-länder behandlas uppgifter om personer genom att uppgifterna lämnas ut av E-hälsomyndigheten till en vårdgivare i ett annat EES-land, via
den nationella kontaktpunkten för e-hälsa i det landet. Enligt utredningens bedömning i tidigare avsnitt kommer ett sådant utlämnande inte att ske genom direktåtkomst, se avsnitt 12.6.
Utredningens förslag kommer att medföra att känsliga personuppgifter överförs till andra länder inom EES som är anslutna till tjänsten patientöversikter över landsgränser och därmed också blir åtkomliga för fler personer än i dag. Svenska myndigheter kommer inte att ha samma insyn över behandlingen av personuppgifter i ett annat EES-land, på annat sätt än genom avtal och samarbete med myndigheterna i de andra EES-länderna. Det går således inte att från svensk sida i förväg kontrollera att personuppgifterna exempelvis behandlas endast av personal som omfattas av tystnadsplikt, däremot finns sådan möjlighet i efterhand genom att åtkomst spåras via loggar. Risken för obehörig åtkomst till känsliga personuppgifter kan komma att öka i och med att fler aktörer får tillgång till personuppgifterna. En ytterligare aspekt är att svenska myndigheter inte har någon tillsyn över att den behandling av personuppgifter som utförs av myndigheter i ett annat EES-land sker på en tillräcklig hög säkerhetsnivå, utöver de gemensamma kraven som Nätverket för e-hälsa antagit och åtgärder som genomförs. Exempel på åtgärder som genomförs är kvalitetsgranskning av kontaktpunkter för e-hälsa, beslut om vilka länder som får delta i samarbetet, kravet på spårbarhet och det integritetshöjande samtycket.
En viktig del i skyddet av den personliga integriteten är att den registrerade får information om hur personuppgifterna kommer att behandlas. Att lämna information bidrar till transparens så att de registrerade kan tillvarata sina rättigheter enligt EU:s dataskyddsförordning (fortsättningsvis dataskyddsförordningen). Den gränsöverskridande aspekten medför att det kan bli svårare för patienten att ha kontroll över hur hans eller hennes personuppgifter behandlas. Detta får bland annat som följd att patienten får svårare att utöva sina rättigheter enligt dataskyddsförordningen.
En annan risk är att det blir svårare att säkerställa att det endast är behörig hälso- och sjukvårdpersonal som får tillgång till tjänsten patientöversikt över landsgränser.
Utredningens förslag om uppgiftsskyldighet för E-hälsomyndigheten till Socialstyrelsen kan också medföra en ytterligare risk, eftersom det innebär att känsliga personuppgifter lämnas till den myndigheten utan samtycke från patienten.
Patientöversikt från ett annat EES-land som förmedlas till vårdgivare i Sverige
Uppgifter i en utländsk patientöversikt kommer att behandlas genom att uppgifterna lämnas ut från den utländska kontaktpunkten för e-hälsa till E-hälsomyndigheten som vidareförmedlar dem till den svenska vårdgivaren. Utlämnandet sker inte genom direktåtkomst. Vid denna hantering ser utredningen i stort samma risker som presenterats ovan. Utredningens förslag om uppgiftsskyldighet för E-hälsomyndigheten till Socialstyrelsen kan även här innebära en ytterligare risk i enlighet med ovan resonemang.
E-hälsomyndighetens behandling av personuppgifter
Som nationell kontaktpunkt för e-hälsa får E-hälsomyndigheten tillgång till fler uppgifter både om patienter från Sverige vars patientöversikter förmedlas till ett annat EES-land och om patienter från ett annat EES-land vars patientöversikter förmedlas till vårdgivare i Sverige. Potentiellt kan det handla om en mycket stor grupp av individer. Personuppgifter om dessa patienter kommer att behöva behandlas för sammanställning, översättning och förmedling. Uppgifter om alla anrop som gjorts behöver även bevaras av E-hälsomyndigheten i form av loggar för bland annat felsökning och verifiering samt för att lämnas ut till Socialstyrelsen. Det innebär en utvidgad behandling av personuppgifter och därmed också en större risk för obehörigt röjande av personuppgifterna.
Vårdgivarnas behandling av personuppgifter
Utredningens förslag innebär att vårdgivare kommer att ta del av känsliga personuppgifter om patienter och hälso- och sjukvårdspersonal från andra EES-länder. Det innebär en utökad personuppgiftsbehandling eftersom sådana uppgifter inte hanteras i dag. Det medför i sin tur en större risk för obehörigt röjande av personuppgifter.
16.2.5. Integritetsstärkande åtgärder
Vid avvägningen mellan behovet av utredningens förslag och de integritetsrisker som behandlingen kan innebära har det betydelse vilka integritetsstärkande åtgärder som kan vidtas för att minska riskerna med behandlingen.
En viktig del av skyddet för den personliga integriteten är den enskildes möjlighet att själv bestämma över tillgången till och behandlingen av sina personuppgifter. Utredningen föreslår därför att personuppgifter inte får behandlas för utbyte av patientöversikter om inte den enskilde uttryckligen har samtyckt till detta. Detta ska gälla E-hälsomyndighetens hantering av personuppgifter vid såväl förmedling av svenska patientöversikter till utländska kontaktpunkter för e-hälsa, som förmedling av patientöversikter från ett annat EESland till vårdgivare i Sverige. Den enskilde bestämmer således själv om denne vill att personuppgifterna överförs till ett annat land. Enligt utredningens bedömning är ett sådant samtycke en effektiv integritetsstärkande åtgärd. Därtill föreslås i kapital 12 möjligheter att avgränsa samtycket i vissa avseenden.
En annan integritetsstärkande åtgärd är att förtydliga vem som har personuppgiftsansvaret för behandlingen av personuppgifterna vid informationsutbyte över landsgränser. Den registrerade har därmed lättare att veta vem denne ska vända sig till för att utöva sina rättigheter enligt dataskyddsförordningen. Utredningen föreslår därför i förslaget till ny förordning att det ska framgå att E-hälsomyndigheten är personuppgiftsansvarig för den behandling som myndigheten utför vid utbyte av patientöversikter inom EES.
Utredningen föreslår även specifika ändamålsbestämmelser för behandlingen av personuppgifter för utbytet av patientöversikter, som i sig innebär en skyddsåtgärd.
En grundläggande princip i dataskyddsförordningen är vidare att personuppgifter inte får lagras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifter behandlas (artikel 5.1 e i dataskyddsförordningen). Bestämmelser om gallring är en form av skyddsåtgärd för att personuppgifter inte ska sparas längre än vad som behövs. Utredningen föreslår därför i den nya förordningen att personuppgifterna ska tas bort när de inte längre är nödvändiga att behandla för tillåtna ändamål enligt förordningen.
Av skäl 28 till dataskyddsförordningen framgår att ett sätt att minska riskerna för de registrerade som berörs är att använda sig av pseudonymisering. Kryptering är en annan integritetsstärkande åtgärd som kan användas för att upprätthålla säkerheten och förhindra behandling som bryter mot dataskyddsförordningen (jfr. skäl 83). Både kryptering och pseudonymisering tillgodoser principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen och bidrar till att uppfylla principen om integritet och konfidentialitet i artikel 5.1. f i dataskyddsförordningen. Pseudonymisering och kryptering utgör också sådana säkerhetsåtgärder som nämns i artikel 32 i dataskyddsförordningen och som kan vidtas för att öka säkerheten vid behandling av personuppgifter. Informationsöverföringen mellan de nationella kontaktpunkterna för e-hälsa ska ske krypterat mellan de anslutande länderna via EU:s säkerhetsskyddade kommunikationsnät TESTA. Som framgår av tidigare avsnitt (kapitel 8 och avsnitt 12.2.1) kräver detta att E-hälsomyndigheten är ansluten till SGSI (Swedish Government Secure Intranet), som är ett intranät skiljt från internet, för säker och krypterad kommunikation mellan myndigheter i Sverige och i Europa.
16.2.6. Avvägning mellan behov och risk för integritetsintrång
Utredningens förslag ska ge patienter inom EES möjlighet att få sin patientöversikt förmedlad till ett annat EES-land. Behovet av förslagen har beskrivits i avsnitt 16.2.3 ovan. De fördelar som informationsutbytet av patientöversikter kan innebära måste vägas mot de integritetsrisker som det kan föra med sig.
Informationsutbytet innebär som konstaterats att känsliga personuppgifter om potentiellt ett stort antal individer kommer att behandlas och överföras över landsgränser. Uppgifterna kommer att finnas tillgängliga för en större krets än i dag. Svenska myndigheter kan inte på samma sätt kontrollera hur och med vilken säkerhet uppgifterna behandlas, men samtidigt finns det som berörts krav som ger möjlighet att följa upp och kontrollera användningen hos respektive nationell kontaktpunkt. Förutom att det rör sig om integritetskänsliga personuppgifter om patienters hälsa och vård, finns en risk att uppgifterna visar var patienten befinner sig.
Alla länder som kommer att delta i tjänsten patientöversikter över landsgränser omfattas av dataskyddsförordningen som är direkt tillämplig på all behandling av personuppgifter. Syftet med förordningen är att skapa ett gemensamt och enhetligt dataskydd som möjliggör ett fritt flöde av personuppgifter. Bestämmelserna i patientrörlighetsdirektivet påverkar inte tillämpningen av dataskyddsförordningen (artikel 2 c jämfört med artikel 94.2 i dataskyddsförordningen). För att få delta i tjänsten ska de nationella kontaktpunkterna för e-hälsa granskas och godkännas av Nätverket för e-hälsa och kommissionen. Resultatet av granskningen redovisas för Nätverket för e-hälsa innan beslut om godkännande fattas. Informationsutbytet kommer följaktligen endast att ske mellan de godkända kontaktpunkterna för e-hälsa som i sin tur lämnar ut uppgifterna till den vårdgivare som efterfrågat patientöversikten.
En risk med överföringen av känsliga personuppgifter till ett annat EES-land är att det inte går att säkerställa att mottagande aktör har tystnadsplikt för uppgifterna på samma sätt som i Sverige. E-hälsoavtalet kräver inte någon anpassning av medlemsländernas nationella rätt, men ställer krav på att varje land ska säkerställa att det bara är hälso- och sjukvårdspersonal som är behörig enligt nationell rätt som får tillgång till uppgifterna.
När det gäller säkerheten ställer e-hälsoavtalet krav på att medlemsländerna ska uppfylla regler om sekretess i dataskyddsförordningen och eIDAS-förordningen. Eftersom dataskyddsförordningen ska tillämpas i alla länder som deltar i informationsutbytet måste behandlingen även i dessa länder stödjas på en rättslig grund och ett undantag från förbudet mot behandling av känsliga personuppgifter. När E-hälsomyndigheten lämnar ut uppgifter till en nationell kontaktpunkt för e-hälsa i ett annat EES-land sker det till en annan personuppgiftsansvarig. De nationella kontaktpunkterna för e-hälsa granskas och kontrolleras av kommissionen bland annat utifrån de legala aspekterna, däribland vissa frågor kring tystnadsplikt och sekretessaspekter hos kontaktpunkterna för e-hälsa. Om mottagaren tillämpar artikel 9.2 h i dataskyddsförordningen som undantag från förbudet att behandla känsliga personuppgifter ställs ett krav på tystnadsplikt också i mottagarlandet. Om mottagarlandet tillämpar något annat undantag i artikel 9.2 i dataskyddsförordningen ställs inte något sådant krav. Behandlingen kan ändå vara laglig i mottagarlandet.
Enligt utredningens bedömning får det förutsättas att de deltagande länderna har någon form av tystnadsplikt eller på annat sätt uppfyller kraven i dataskyddsförordningen och övriga krav på deltagandet i informationsutbytet. Det innefattar att uppfylla de krav på säkerhet som ställs i dataskyddsförordningen, däribland den grundläggande principen i artikel 5.1 f som anger att personuppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet bland annat skydd mot obehörig eller otillåten behandling, med användning av lämpliga tekniska eller organisatoriska åtgärder. E-hälsomyndigheten har i en rapport om reglering av personuppgiftsbehandling gjort en liknande bedömning.1 I sitt remissvar till den rapporten tog Justitieombudsmannen upp frågan om inte e-hälsoavtalet skulle kunna ändras i detta avseende, med krav på tystnadsplikt. Enligt utredningens bedömning är det tveksamt om det skulle tillföra något ytterligare att göra en sådan ändring, utöver de åtaganden medlemsländerna redan har. Vidare skulle det även vara svårt att nu få till stånd en sådan ändring av e-hälsoavtalet då flera medlemsländer redan har skrivit på avtalet och då det inte skulle följa strukturen i avtalet, som i huvudsak anger de generella förutsättningarna för deltagande.
Vad i övrigt gäller kontroll och tillsyn över att behandlingen av personuppgifterna sker på en tillräckligt hög säkerhetsnivå när uppgifterna överförs till ett annat EES-land, är utredningens bedömning att risken är begränsad av flera skäl. Dataskyddförordningen är tillämplig på de deltagande länderna. Alla aktörer ska iaktta bestämmelserna om säkerhet i samband med behandling enligt artikel 32 i dataskyddsförordningen och bestämmelserna om inbyggt dataskydd och dataskydd som standard enligt artikel 25 i förordningen. Vidare står alla aktörerna under tillsyn av tillsynsmyndigheter i respektive land.
Utredningen vill också lyfta fram att det fria flödet av personuppgifter inom EU varken får begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter (artikel 1.3 i dataskyddsförordningen). För uppgifter om exempelvis hälsa bör medlemsländerna få behålla eller införa ytterligare villkor, även begränsningar, men de bör inte hindra det fria flödet av sådana personuppgifter inom EU, när villkoren tillämpas på gränsöverskridande behandling av sådana uppgifter (skäl 53 till dataskyddsförordningen).
1 E-hälsomyndighetens rapport, Reglering av personuppgiftsbehandling (S2018/04035/FS).
Som utredningen konstaterat finns en risk för obehörigt röjande av personuppgifter. Denna risk kan enligt utredningens bedömning motverkas genom tydliga behörighetsregler för elektronisk åtkomst till uppgifterna och kravet på att åtkomsten till uppgifterna dokumenteras och kontrolleras. Utredningen föreslår en sådan bestämmelse i den nya förordningen.
Vidare är en förutsättning i tjänsten att behörig hälso- och sjukvårdspersonal kan identifieras och auktoriseras på ett säkert sätt och att endast behörig hälso- och sjukvårdspersonal kan få tillgång till uppgifterna om patienten i land B. I tjänsten ställs krav på bland annat tvåfaktorsautentisering.
Som framgår av avsnitt 5.1.4 har medlemsländerna i Nätverket för e-hälsa kommit överens om vilka informationsmängder som ska ingå i en patientöversikt vid utbyte över landsgränser inom EES och det är endast dessa uppgifter som ska behandlas i tjänsten. Detta ligger i linje med principen om uppgiftsminimering (artikel 5.1 i dataskyddsförordningen).
Det går inte att utesluta att behandlingen av personuppgifter i tjänsten patientöversikter över landsgränser potentiellt kan innebära en kartläggning av den enskilde, genom att det går att ta reda på i vilket land och hos vilken vårdgivare en patient befunnit sig. Utredningen bedömer risken för kartläggning av patientens personliga förhållanden som liten, särskilt mot bakgrund av att en sådan åtgärd är förbjuden enligt dataskyddsförordningen.
Eftersom personuppgifter går över landsgränser och hanteras av flera aktörer finns en risk för att patienten får svårare att utöva sina rättigheter enligt dataskyddsförordningen. En viktig del av integritetsskyddet är att den enskilde kan ta tillvara sina rättigheter och ha kontroll över sina personuppgifter. Därför är det viktigt för den enskilde att veta vem som är personuppgiftsansvarig för behandlingen av dennes personuppgifter. E-hälsomyndigheten föreslås vara personuppgiftsansvarig för den behandling som myndigheten utför då den överlämnar och tar emot personuppgifter vid utbytet med en nationell kontaktpunkt för e-hälsa i ett annat EES-land i enlighet med den nya förordningen. Utredningen föreslår också att patienten som huvudregel måste samtycka till att personuppgifterna hanteras vid utbytet. Det innebär att patienten själv kan välja om personuppgifter ska behandlas för informationsutbytet eller inte. I samband med att ett sådant samtycke lämnas ska patienten informeras om be-
handlingen och vad den innebär (se artikel 13 i dataskyddsförordningen). E-hälsomyndigheten är också som personuppgiftsansvarig skyldig att informera om hur personuppgifterna kommer att behandlas (se artikel 14 i dataskyddsförordningen). Det är viktigt att notera att varje medlemsland bestämmer hur de nationellt vill reglera användning av eventuellt samtycke, men som framgår i kapitel 9 tilllämpar flera länder samtycke även för land B.
En patient har vidare möjlighet att lämna klagomål över personuppgiftsbehandling till tillsynsmyndigheten i landet där patienten har sin hemvist (artikel 77.1 i dataskyddsförordningen). Tillsynsmyndigheten har då en skyldighet att utreda klagomålet i samarbete med berörda tillsynsmyndigheter i andra länder och informera patienten om resultatet (artikel 57.1 f och 77.2 i dataskyddsförordningen).
Utredningen föreslår i den nya förordningen en uppgiftsskyldighet för E-hälsomyndigheten till vårdgivare i Sverige, utländska kontaktpunkter för e-hälsa och Socialstyrelsen. Utredningen föreslår även sekretessbrytande bestämmelser till vårdgivare i Sverige och till utländsk kontaktpunkt för e-hälsa för att uppgifterna ska få lämnas ut. Det skulle potentiellt kunna innebära ett intrång i den personliga integriteten för den enskilde och en risk för att skyddsvärda uppgifter sprids. Vad gäller de sekretessbrytande bestämmelserna har vårdpersonalen behov av att få tillgång till uppgifterna eftersom de utgör själva patientöversikten och detsamma gäller en utländsk kontaktpunkt för e-hälsa så att den ska kunna vidareförmedla uppgifter till vårdgivaren i det andra EES-landet. Risken för intrång bör kunna begränsas genom utredningens förslag att E-hälsomyndigheten bara får lämna ut uppgifter som behövs för ändamålen med utbytet av patientöversikterna. Risken för intrång begränsas också genom att samtycke krävs för att uppgifterna ska få överföras.
Vad gäller förslaget om uppgiftsskyldighet till Socialstyrelsen innebär det att myndigheten får behandla personuppgifterna utan samtycke från patienten. Ändamålet med utlämnandet avser framställning av statistik i förhållande till förmedlade patientöversikter. Ett syfte med detta kan antas vara att öka patientsäkerheten på hälso- och sjukvårdsområdet. Uppgifterna kommer att omfattas av statistiksekretessen i 24 kap. 8 § offentlighets- och sekretesslagen (2009:400) vilket innebär att sekretessen är absolut och uppgifterna får enligt huvudregeln inte lämnas ut. Undantag från sekretessen finns när det gäller uppgifter som behövs för forskning och statistikändamål och
uppgifter som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde. I dessa fall kan uppgifter lämnas ut om det står klart att de kan röjas utan att den enskilde individen som uppgifterna rör eller någon närstående lider skada eller men. Uppgifterna hos Socialstyrelsen omfattas således av ett starkt sekretesskydd. Samtliga hälsodataregister är av stort värde för svensk medicinsk forskning. De bygger på en intresseavvägning mellan å ena sidan att skapa samhällsnyttig kunskap genom forskning och å andra sidan det intrång i den personliga integriteten som personuppgiftsbehandlingen innebär. Enligt utredningens bedömning är det intrång i den personliga integriteten som förslaget innebär proportionerligt i förhållande till syftet med förslaget.
Alternativ till utredningens förslag
Utredningens förslag innebär att det kommer att finnas rättsligt stöd för den personuppgiftsbehandling som utförs när en svensk patientöversikt förmedlas till ett annat EES-land och när en patientöversikt från ett annat EES-land förmedlas till en vårdgivare i Sverige. De alternativ som finns till utredningens förslag är antingen att underlåta att införa ny reglering av personuppgiftsbehandlingen eller att reglera frågorna på annat sätt, exempelvis genom att placera bestämmelserna i en existerande lag.
Om någon ny reglering inte införs är valet antingen att avstå från att delta i tjänsten patientöversikter över landsgränser eller att förlita sig på att befintlig lagstiftning är tillräcklig och att den behandling av personuppgifter som utförs kan ske med stöd av samtycke från den enskilde. Vid alternativet att ny reglering inte införs riskerar E-hälsomyndigheten att behandla personuppgifter i strid med dataskyddsförordningen. Som framgår av avsnitt 13.2.1 gör utredningen bedömningen att personuppgifterna inte bör behandlas med stöd av samtycke som rättslig grund. Det skulle i så fall finnas stor risk för att personuppgifterna lämnas ut i strid med till exempel offentlighets- och sekretesslagen. Behandlingen av personuppgifter skulle då kunna leda till stora risker för patienternas integritet och E-hälsomyndigheten skulle riskera sanktionsavgifter och skadeståndsskyldighet enligt dataskyddsförordningen.
Det saknas enligt utredningens uppfattning en lämplig existerande lag där regleringen skulle kunna placeras i stället, som ett alternativ till den förslagna förordningen.
Enligt utredningens sammantagna bedömning saknas det alternativ för att uppnå det avsedda ändamålet att möjliggöra informationsutbyte genom tjänsten patientöversikter över landsgränser.
16.2.7. Slutsats proportionalitetsbedömningen
Behandling av personuppgifter med anledning av utredningens förslag är nödvändig för att utföra en uppgift av allmänt intresse och för att fullgöra en rättslig förpliktelse. E-hälsomyndighetens uppdrag, dels att vara nationell kontaktpunkt för e-hälsa, dels att tillhandahålla tjänster och infrastruktur för gränsöverskridande informationsutbyte av patientöversikter, föreslås framgå av förordningen (2013:1031) med instruktion för E-hälsomyndigheten. Utredningen föreslår att särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen tas in i den nya förordningen om personuppgiftsbehandling vid E hälsomyndigheten i samband med hantering av patientöversikter.
Av artikel 6.3 i dataskyddsförordningen framgår att den nationella regleringen av grunden för behandlingen som kompletterar förordningen ”ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas”.
Som utredningen konstaterat tidigare får syftet med utredningens förslag att säkerställa en patientsäker och effektiv vård även när EESmedborgare rör sig inom EES, anses utgöra ett legitimt mål som uppfyller ett mål av allmänt intresse. Något alternativ till utredningens förslag för att uppnå ändamålet finns inte. Den behandling som kommer att utföras med anledning av förslagen är ändamålsbegränsad och de författningsförslag som lämnas ger tillräckliga skyddsåtgärder för att behandlingen ska anses vara proportionell mot det legitima mål som eftersträvas. Genom utredningens förslag kommer E-hälsomyndigheten att ha rättsligt stöd i nationell rätt på det sätt som krävs enligt dataskyddsförordningen.
Det är utredningens sammanfattande bedömning att behoven av, och fördelarna med utredningens förslag överväger de integritetsrisker
som behandlingen medför. Behandlingen uppfyller ett mål av allmänt intresse och är proportionell mot det legitima mål som eftersträvas.
16.2.8. Konsekvensbedömning avseende dataskydd
Enligt dataskyddsförordningen ska den personuppgiftsansvarige i vissa fall göra en bedömning av den planerade personuppgiftsbehandlingens konsekvenser för skyddet av personuppgifter (artikel 35). En konsekvensbedömning ska göras om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Att genomföra en konsekvensbedömning är ett sätt för den personuppgiftsansvarige att säkerställa och visa att den personuppgiftsansvarige följer dataskyddsförordningen (artikel 5.2). En konsekvensbedömning är en process för att kunna identifiera risker med behandlingen av personuppgifter och ta fram rutiner och åtgärder för att hantera riskerna och därmed bedöma om det intrång som behandlingen utgör är proportionerlig. Enligt artikel 35.10 i dataskyddsförordningen finns det en möjlighet att genomföra en konsekvensbedömning redan i lagstiftningsarbetet. Om en behandling enligt artikel 6.1 c eller 6.1 e i dataskyddsförordningen har en rättslig grund i EU-rätten eller svensk lag, om denna lagstiftning reglerar den specifika behandlingsåtgärden och om en konsekvensbedömning avseende dataskydd har genomförts som en del av en allmän konsekvensbedömning i samband med antagandet av denna rättsliga grund, gäller inte artikel 35.1–7 i dataskyddsförordningen. I sådana fall behöver inte var och en av de som behandlar personuppgifter enligt lagstiftningen göra en egen konsekvensbedömning avseende dataskydd. Det kan underlätta om lagstiftaren så långt det är möjligt genomför en konsekvensbedömning, trots att lagstiftaren inte har exempelvis de tekniska förutsättningarna och därmed inte behovet av konkreta säkerhets- och skyddsåtgärder helt klart för sig. Dessa frågor behöver den personuppgiftsansvarige, som har kunskap om det specifika systemet, själv ta ställning till för att kunna minimera eventuella höga risker.
Som utredningen redogjort för är utredningens bedömning att det gränsöverskridande informationsutbytet är en rättslig förpliktelse och en uppgift av allmänt intresse i enlighet med artikel 6.1 c och
6.1 e i dataskyddsförordningen. Informationsutbytet innebär att känsliga personuppgifter om potentiellt sett ett stort antal registrerade kommer att överföras mellan anslutna medlemsländer. Enligt utredningens bedömning kan behandlingen sannolikt leda till en hög risk för de registrerades rättigheter och friheter på det sätt som avses i artikel 35.1 i dataskyddsförordningen. Den personuppgiftsansvarige skulle därför i enlighet med artikeln behöva göra en konsekvensbedömning avseende dataskydd innan behandlingen utförs. Informationsutbytet kommer att ha stöd i den nationella rätten genom utredningens förslag till ny förordning och E-hälsomyndighetens instruktion. Den riskanalys och proportionalitetsbedömning som gjorts i det här kapitlet utgör enligt utredningens uppfattning en sådan konsekvensbedömning avseende dataskydd som avses i artikel 35.10 i dataskyddsförordningen. Den personuppgiftsansvarige behöver dock komplettera med en konsekvensbedömning avseende de mer praktiska, tekniska och organisatoriska förutsättningarna för behandlingen.
17. Ikraftträdande
Utredningens förslag: Den nya förordningen (0000:000) om per-
sonuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter bör träda i kraft den 1 november 2025.
Avseende övriga författningsändringar som föreslås i detta betänkande är det för närvarande inte möjligt att ange en rimlig uppskattning för när de kan träda i kraft. Detta beror på att det är svårt att förutse vilken tidsåtgång de omfattande förslag som utredningen i övrigt lämnar, i synnerhet när det gäller förvärvs-, styrnings- och organisationsfrågorna som behandlas företrädesvis i kapitel 12, kommer att kräva. Då dessa frågor och beslut om en framtida inriktning på området utgör förutsättningar för att kunna börja tillämpa de föreslagna författningarna, ser utredningen att det är lämpligt att avvakta med förslag på när författningarna bör träda i kraft.
Utredningen ser att det är av vikt att Sverige kan ansluta och börja använda tjänsterna för utbyte av patientöversikter såväl nationellt som över landsgränser inom EES, för att erhålla den nytta som följer därav inte minst i form av stärkt patientsäkerhet. Det kan samtidigt konstateras att oavsett vilket av alternativen som utretts i kapitel 12 avseende bland annat infrastruktur för delning av patientöversikter samt kontroll och styrning över denna, som ges företräde att gå vidare med kommer den förändring som krävs att ta både tid och andra resurser i anspråk i en inte oansenlig omfattning. Det är inte möjligt för utredningen att överblicka och bedöma vilka konsekvenser detta i sin tur får för när utredningens författningsförslag lämpligen kan träda i kraft. Utredningen lämnar därför för huvuddelen av författningarna inget förslag på ikraftträdande.
Ett undantag från den bedömningen finns avseende förslaget om den nya förordningen (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter. Efter dialog med E-hälsomyndigheten, som föreslås ges i uppdrag att tillhandahålla tjänster och infrastruktur för gränsöverskridande informationsutbyte av e-recept och patientöversikter, har utredningen bedömt att det är lämpligt att förordningen som säkerställer E-hälsomyndighetens rätt att behandla personuppgifter vid utbyte av patientöversikter får träda i kraft tidigare än övriga författningar. Skälen för detta är i huvudsak att när det regelverket är på plats har Sverige de författningsmässiga förutsättningarna för att implementera tjänsten patientöversikt inom EES som land B, det vill säga där utländska patientöversikter kan utbytas till Sverige.
18. Konsekvenser
18.1. Krav på konsekvensutredning och konsekvensanalys
I kommittéförordningen (1998:1474) anges det vilka krav som ställs på utredningar i fråga om konsekvensutredningar. Av 14 § kommittéförordningen framgår följande. Om förslagen i ett betänkande påverkar kostnaderna eller intäkterna för staten, kommuner, regioner, företag eller andra enskilda, ska en beräkning av dessa konsekvenser redovisas i betänkandet. Om förslagen innebär samhällsekonomiska konsekvenser i övrigt, ska dessa redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller regioner, ska kommittén föreslå en finansiering. I 15 § kommittéförordningen anges att konsekvenserna för den kommunala självstyrelsen också ska anges om förslagen i ett betänkande har betydelse för denna. Detsamma gäller enligt bestämmelsen när ett förslag har betydelse för brottsligheten och det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företag, för jämställdheten mellan kvinnor och män eller för möjligheterna att nå de integrationspolitiska målen. I 15 a § kommittéförordningen anges att förslagens kostnadsmässiga och andra konsekvenser ska anges i betänkandet om ett betänkande innehåller förslag till nya eller ändrade regler. Av 15 a § kommittéförordningen framgår även att konsekvenserna ska anges på ett sätt som motsvarar de krav på innehållet i konsekvensutredningar som finns i 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgivning.
Enligt 6 § förordningen om konsekvensutredning vid regelgivning ska en konsekvensutredning innehålla följande.
1. En beskrivning av problemet och vad man vill uppnå.
2. En beskrivning av vilka alternativa lösningar som finns för det man vill uppnå och vilka effekterna blir om någon reglering inte kommer till stånd.
3. Uppgifter om vilka som berörs av regleringen.
4. Uppgifter om de bemyndiganden som myndighetens beslutanderätt grundar sig på.
5. Uppgifter om vilka kostnadsmässiga och andra konsekvenser regleringen medför och en jämförelse av konsekvenserna för de övervägda regleringsalternativen.
6. En bedömning av om regleringen överensstämmer med eller går utöver de skyldigheter som följer av Sveriges anslutning till EU.
7. En bedömning av om särskilda hänsyn behöver tas när det gäller tidpunkten för ikraftträdande och om det finns behov av speciella informationsinsatser.
Kan de nya eller ändrade reglerna få effekter av betydelse för företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt ska konsekvensutredningen, utöver vad som redan nämnts och i den omfattning som är möjlig enligt 7 §, innehålla en beskrivning av följande information.
1. Antalet företag som berörs, vilka branscher företagen är verksamma i samt storleken på företagen.
2. Vilken tidsåtgång regleringen kan föra med sig för företagen och vad regleringen innebär för företagens administrativa kostnader.
3. Vilka andra kostnader den föreslagna regleringen medför för företagen och vilka förändringar i verksamheten som företagen kan behöva vidta till följd av den föreslagna regleringen.
4. I vilken utsträckning regleringen kan komma att påverka konkurrensförhållandena för företagen.
5. Hur regleringen i andra avseenden kan komma att påverka företagen.
6. Om särskilda hänsyn behöver tas till små företag vid reglernas utformning.
Enligt 16 § kommittéförordningen anger regeringen närmare i utredningsuppdraget vilka konsekvensbeskrivningar som ska finnas i ett betänkande. I utredningens direktiv anges att i frågor som rör personuppgiftsbehandling ska det, i samband med att förslag läggs fram, särskilt redogöras för hur hänsyn tagits till behovet av informationssäkerhet, rättssäkerhet och skydd för den personliga integriteten. Eventuella inskränkningar i integritetsskyddet kopplade till sekretess och tystnadsplikt ska följas av analyser av mindre integritetskränkande alternativ samt förslag på särskilda integritetsskyddande åtgärder. Om förslagen påverkar den kommunala självstyrelsen, ska de konsekvenser och de särskilda avvägningar som motiverar förslagen särskilt redovisas.
18.2. Övergripande om förslagen
18.2.1. Problembeskrivning och syfte
Inom ramen för Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård (patientrörlighetsdirektivet) finns i dag två tjänster framtagna. En för gränsöverskridande utbyte av erecept och en för utbyte av patientöversikter. Sverige är ett av få länder i EU som ännu inte har beslutat om att ansluta sig till tjänsten för patientöversikter. Utredningen har i uppdrag att utreda vad som krävs för ett gränsöverskridande utbyte av patientöversikter inom EES. I uppdraget innefattas att lämna förslag på författningsändringar och andra åtgärder som bedöms nödvändiga, föreslå åtgärder för en långsiktig förvaltning av patientöversikter samt analysera om patientöversikten eller delar av patientöversikten ska vara obligatorisk att dokumentera och tillgängliggöra för vårdgivare vid gränsöverskridande vård, både inom EES och nationellt. Dagens användning av patientöversikter skiljer sig åt och infrastrukturen som möjliggör utbytet, är inte tillgänglig för alla vårdgivare och behöver utvecklas vidare för att kunna tillgängliggöra alla informationsmängder som är obligatoriska. Vidare ägs och förvaltas den av Inera AB. Statens möjligheter att styra användning och utveckling av infrastrukturen är mycket begränsad. Infrastruktur för att ta del av patientöversikter från utlandet saknas.
Det övergripande syftet med utredningens förslag är att genom en patientsäker reglering och effektiva ändamålsenliga åtgärder möjliggöra att utvalda uppgifter om patientens hälsa och vård i en patientöversikt kan förmedlas till andra EES-länder och inom Sverige samt att patientöversikter från andra EES-händer kan tas emot av svenska vårdgivare. Informationsutbytet baseras på det frivilliga samarbetet i Nätverket för e-hälsa som bildats med stöd av artikel 14 i patientrörlighetsdirektivet.1
18.2.2. Nyttor kopplade till patientöversikter
För att förstå kostnadsmässiga och andra konsekvenser av förslagen kommer utredningen inledningsvis beskriva de ekonomiska och samhällsekonomiska nyttorna kopplat till användningen av patientöversikter.
Analysen av nyttorna av tjänsten patientöversikt inom EES, såsom den är specificerad i riktlinjerna för tjänsten och därtill hörande kravkatalog, och närliggande förslag om en nationell motsvarighet patientöversikt inom Sverige, är uppdelad i:
- Nyttorna vid vårdbesök i ett annat EES-land av i Sverige försäkrad person (Sverige som land A)
- Nyttorna vid vårdbesök i Sverige av person försäkrad i annat EESland (Sverige som land B)
- Nyttan av en eventuell användning i Sverige
- Nyttorna av obligatoriet.
Generellt om nyttor kopplade till tjänsten
För tjänsten patientöversikten inom EES ska fem obligatoriska grundläggande (”basic”) kliniska informationsmängder, i de fall det är aktuellt för en enskild patient, alltid tillgängliggöras: Allergier och intoleranser, aktuella problem/diagnoser, medicintekniska produkter (information om implanterade och externa medicintekniska produkter och utrustning), större kirurgiska ingrepp och aktuella ordi-
1 Konsekvenserna av patientrörlighetsdirektivet analyserades bl.a. i samband med arbetet med patientrörlighetsdirektivet i prop. 2012/13:150 och 2015/16:139.
nerade läkemedel. Medverkande medlemsstater kan tillgängliggöra ytterligare, av det europeiska nätverket för det e-hälsa definierade, informationsmängder i de fall man önskar och har möjligheter till det. I utredningens förslag åläggs regeringen, eller av regeringen utsedd myndighet, att i förordning fastställa exakt vilken information berörda aktörer ska göra tillgängliga. Dessa informationsmängder kan sträcka sig bortom de ovan uppräknade grundläggande informationsmängderna och även bortom den, av det europeiska nätverket fastställda, utvidgade uppsättningen informationskategorier. Den information som är tänkt att göras tillgänglig genom patientöversikter utgör emellertid ett mindre urval av den kliniska och annan hälsorelaterad information som potentiellt kan finnas om en individ. De ovan uppräknade fem grundläggande informationsmängderna i patientöversikter fokuserar på faktorer som kan ha bäring på ett brett spektrum av tillstånd och potentiella vårdinsatser där beslut måste fattas utan tillgång till patientens fulla journal.
Nyttan av tjänsten patientöversikter inom EES kan delas upp i två huvuddelar: a) nyttan för individen i form av bättre hälsa och
b) nyttan för vården i form av minskade vårdkostnader.
Nyttan för individen i form av bättre hälsa
Ett sätt att mäta effekterna av vårdinsatser är dess påverkan på patientens Kvalitetsjusterade levnadsår, QALY2. För olika ändamål, exempelvis för prioriteringar inom sjukvården, kan en QALY åsättas ett värde. Olika ansatser för hur det sker finns. Och ibland är värdet implicit som i TLV:s beslut om huruvida ett läkemedel ska subventioneras, där den implicita värderingen går från 0,8–1,4 miljoner kronor per QALY (i 2018 års prisnivå). Trafikverket använder i sina analyser och för prioriteringar av olika typer av investeringar ett värde på 4,6 miljoner kronor för ett QALY.3 Vilket värde man använder är mer en etisk än en empirisk fråga.
Förutom val av värde för ett QALY, skulle det behöva göras en bedömning av i vilken utsträckning QALY förändras, för olika typer av vårdtillfällen, där patientöversikten är tillgänglig – och används – jämfört med vad som skulle vara fallet när den inte är det. Hur stor
2 https://sv.wikipedia.org/wiki/Kvalitetsjusterade_levnadsår. 3 Hultkrantz, Lars; Värdet av ett statistiskt liv och covid-19; Ekonomisk debatt, Nummer 8, 2020.
den genomsnittliga skillnaden är beror sen på mixen av fall; ju större andel akut och ju sämre förutsättningar att hämta in informationen på annat sätt, desto större skillnad, det vill säga desto större nytta av tjänsten.
Nytta i form av minskade vårdkostnader
Bättre och enklare tillgång till information om en patient reducerar risken för felbehandling och vårdskador och därmed behovet av tillkommande insatser för att åtgärda de senare. De faktorer som påverkar omfattningen av dessa besparingar torde vara desamma som de som påverkar patientens QALY.
Undvikbara vårdskador utgör ett inte obetydligt problem i vården. I en metaanalys4 av 70 studier som involverade mer än 300 000 patienter i USA konstaterades att cirka sex procent av all vårdtillfällen ledde till undvikbara vårdskador, vara tolv procent ledde till döden allvarlig skada. Av alla undvikbara vårdskador kunde 25 procent kopplas till läkemedel. Någon motsvarande metastudie för EES har veterligen inte gjorts. Men en studie avseende vårdskador i somatisk vård av vuxna vid akutsjukhus i Sverige har genomförts av Socialstyrelsen5. Enligt studien hade patienter vid cirka 8 procent av de analyserade vårdtillfällena drabbats av vårdskador. Det innebär att cirka 110 000 patienter på svenska sjukhus varje år får vårdskador av varierande allvarlighetsgrad och att cirka 1 400 patienter får en vårdskada som bidrar till att patienten avlider. Läkemedelsrelaterade skador utgjorde nio procent av de skador som bedömdes ha bidragit till dödsfall. Knappt hälften bedömdes som en vårdskada. Av skador som krävde livsuppehållande åtgärder eller som förorsakade bestående men utgjorde läkemedelsrelaterade skador tio respektive sju procent. Analysen fokuserar på typen av skador, inte på eventuella underliggande faktorer, såsom allergier eller tidigare läkemedelsbehandling, även om det i det senare fallet man kan tänka sig att det kan förklara en del av observerade vårdskador.
Den kontrafaktiska situation som en vårdgivares tillgång till tjänsten ska ställas emot är att tjänsten inte finns och att vårdgivaren
4 Atanasov AG, Yeung AWK, Klager E, Eibensteiner F, Schaden E, Kletecka-Pulker M and Willschke H (2020); First, Do No Harm (Gone Wrong): Total-Scale Analysis of Medical Errors Scientific Literature. Front. Public Health 8:558913 doi: 10.3389/fpubh.2020.558913. 5 Socialstyrelsen (2019); Allvarliga skador och vårdskador – Fördjupad analys av skador och vårdskador i somatisk vård av vuxna vid akutsjukhus, Artikelnummer 2019-4-3.
måste basera sina beslut på basis av annan tillgänglig information. Värdet av den information som patientöversikten tillhandahåller beror på vårdsituationen. I en situation där patienten själv på ett begripligt sätt, muntligt eller genom att dela med sig journalanteckningar eller annat, kan förklara sin situation för vårdgivaren, inklusive informera om de faktorer som ingår i de grundläggande informationsmängderna i patientöversikten, torde den inkrementella nyttan av patientöversikten vara begränsad. Men ju större svårigheter patienten har att redogöra för sin situation, på grund av allt från minnesluckor, kognitiv nedsättning, språkbarriärer, till medvetslöshet, desto större blir nyttan av den information som finns i patientöversikten. Nyttan ökar också ju mer akut situationen är och ju mer begränsade möjligheterna är, tidsmässigt och/eller rent praktiskt, att inhämta informationen på annat sätt.
Tillgång till relevant information sparar tid i det kliniska arbetet, dels genom att dubblerande undersökningar kan undvikas, dels genom att, om gränssnitt och annat gör den lättillgänglig, tid sparas in vid sökandet efter informationen.
Nyttor när Sverige är land A (svenska patientöversikter till utlandet)
Nyttorna av detta alternativ som beskrivs ovan, sett från ett svenskt perspektiv, följer i huvudsak från att sammanfattande hälso- och vårdinformation om en i Sverige försäkrad person finns lätt tillgänglig när denne besöker en vårdinrättning i ett annat EES-land Under 2021 mottog Försäkringskassan betalningskrav från andra EU/EES-länder för 22 835 patientbesök avseende personer som är bosatta i ett annat medlemsland men där Sverige är behörig stat. Därutöver mottogs ersättningskrav för 20 103 patientbesök avseende personer som fått vård under en tillfällig vistelse och som nyttjat sitt EU-kort, samt för 28 fall av planerad vård.
Som Figur 18.1 och 18.2 nedan visar avser den dominerande delen av ersättningskraven enklare vård till låg kostnad. Underliggande data sammanställda av Försäkringskassanavser inkomna ersättningskrav för året 2021 som ersätts enligt lagen (2013:513) om ersättning för kostnader till följd av vård i ett annat land inom Europeiska ekonomiska samarbetsområdet (ersättningslagen). Kraven enligt EGförordningen 883/2004 med tillämpningsförordning 987/2009 var
avsevärt färre till antalet och med lägre totalkostnad, men uppvisar samma mönster.
Figur 18.1 Antal ersättningsfall per kostnadskohort 2021 – fall/kr
Källa: Försäkringskassan, 2023.
Figur 18.2 Ackumulerad ersättning 2021
Källa: Försäkringskassan, 2023.
Volymerna under 2021 påverkades kraftigt av pandemin och de reserestriktioner som följde med den. Tyvärr är den svenska statistiken för tidigare år bristfällig vilket gör att volymerna för ett normalår är svåra att uppskatta. Viss hjälp kan dock tas av de förändringar som
- 500 1 000 1 500 2 000 2 500 3 000 3 500 4 000
- 100 000 200 000 300 000 400 000 500 000 600 000 700 000 800 000
An ta l fall
Ersättningskohorter
Antal fall 2021 per ersättningskohort – ersättning enligt lag 2013:513
-
5000 000 10000 000 15000 000 20000 000 25000 000 30000 000 35000 000 40000 000 45000 000
- 100 000 200 000 300 000 400 000 500 000 600 000 700 000 800 000
A cku mu le rad e rsättn in g
Ersättningskohorter
Ackumulerad ersättning 2021 enligt lag 2013:513
EU redovisar6 för andra länder där statistiken sträcker sig längre tillbaka i tiden. För fyra länder med rimligt stora volymer utlandsvård – Danmark, Frankrike, Irland och Slovakien – minskade antalet betalningskrav för utomlandsvård inom EES med i genomsnitt 28 procent mellan 2019 och 2020. En sammanfattande rapport för 2021 finns ännu inte, men det är inte orimligt att anta att minskning mellan 2019 och 2021 var i samma härad i och med epidemin fortfarande påverkade rörligheten över landsgränserna. Om effekten var densamma för de betalningskrav som hanteras av den svenska Försäkringskassan skulle, i dagsläget, volymen krav ett normalår hamna på cirka 60 000. Antalet försäkringskrav torde utgöra ett golv då individer som söker vård i annat EES-land ibland betalar den fulla kostnaden utan att sen begära ersättning. Omfattning av det senare är dock svår att bedöma då det saknas statistiskt underlag. Utan någon som helst ambition om exakthet skulle, för ett normalår när tjänsten är etablerad, en inte helt orimlig uppskattning kunna landa på totalt 70 000 vårdkontakter/vårdtillfällen per år.
Den potentiella nyttan av tjänsten från ett svenskt perspektiv beror sedan i nästa steg på i vilken utsträckning tjänsten faktiskt skulle nyttjas vid de konkreta vårdkontakterna/ vårdtillfällena i ett annat EES-land. Statistiken i tabell 9.2 över antal utbytta patientöversikter indikerar dagens användning. Utredningen anser emellertid att eftersom tjänsten fortfarande är under implementering i de flesta länder, vilket framgår av tabell 9.1, är det olämpligt att dra några slutsatser kring användningen på sikt utifrån dessa data. Utredningen ser det som troligt att, när tjänsten när den är implementerad i alla länder och allmänt känd kommer användas i en betydande andel av kontakterna med vården i utlandet. Faktorer som sannolikt påverkar användningen är hur snabbt och enkelt det är att ta del av en patientöversikt, av vilket karaktär vårdbesöket är och vad patienten har för sjukdoms- och vårdhistorik.
6 European Commission; Data on patient mobility under Directive 2011/24/EU – Trend report
reference years 2018–2020.
Nyttor då Sverige är land B (utländska patientöversikter till Sverige)
Nyttorna av detta alternativ följer i huvudsak från att sammanfattande hälso- och vårdinformation om en patient försäkrad i ett annat EES-land finns lätt tillgänglig när denne besöker en vårdinrättning i Sverige och skulle vara desamma som vid den omvända situationen, dvs. hälsoeffekter för behandlade individer samt minskade kostnader för den svenska vården. År 2021 ställde Försäkringskassan ut krav på andra EES-länder avseende 26 341 besök i vården i Sverige. Om samma uppräkning som för försäkrades i Sverige vårdkontakter i andra EES-länder görs skulle ett rimligt antagande om antalet vårdkontakter i Sverige när tjänsten är etablerad kunna vara runt 43 000 per år. På samma sätt som ovan ser utredningen att användningen av tjänsten är avhängt hur enkelt det är att ta del av patientöversikten, vilken typ av åkomma patienten söker för och vad patienten har för sjukdoms- och vårdhistorik.
Nyttan av svenska patientöversikter i Sverige
En indikation avseende nyttan av motsvarande tjänst inom Sverige där de svenska patientöversikterna görs tillgängliga för vård och omsorg enligt utredningens förslag kan möjligen ges av i vilken omfattning som NPÖ utnyttjas i den svenska vården – tjänsterna är ju till sin natur och syfte mycket lika. Enligt statistik från Inera gjordes, 2021, 4 547 540 sökningar i NPÖ. Samma år togs 55 847 959 kontakter med öppenvården och antalet vårdtillfällen i slutenvården uppgick till 1 403 902. Det innebär att NPÖ konsulterades vid knappt åtta procent av vårdkontakterna/ vårdtillfällena.
Att använda den siffran rakt av är dock inte rimligt då NPÖ i första hand konsulteras när det kan finnas anledning att misstänka att det finns information registrerad i journalsystem som den behandlande vårdpersonalen inte har tillgång till. Patienten kanske är på kort besök, delar sin tid mellan boenden i flera regioner, eller bor i en region där det finns flera journalsystem – såsom i Stockholm med Cosmic på S:t Görans sjukhus och TakeCare i resten av regionen. Tyvärr saknas samlad statistik över såväl volymen utomlänsvård som fördelningen av vård per journalsystem, som i Stockholm. Någon motsvarande nedbrytning finns heller inte för användningen av NPÖ.
Det gör det svårt att uppskatta hur stor del av sökningarna som görs när behandlande vårdpersonal inte har tillgång till en patients fulla journal. Det skulle kunna peka mot att patientöversikter skulle konsulteras i större utsträckning än NPÖ.
På samma sätt som ovan ser utredningen att användningen av tjänsten är avhängt hur enkelt det är att ta del av patientöversikten, vilken typ av åkomma patienten söker för och vad patienten har för sjukdoms- och vårdhistorik. Huruvida en sådan användning av den digitala tjänst som utredningen föreslår i 12.2.3 och 12.2.4 skulle innebära ett mervärde beror på om det upplevs som lättare tillgängligt och/eller bättre utformat och därför används i större utsträckning än NPÖ. Utredningen föreslår emellertid att det vid ett eventuellt förvärv av Inera eller Ineras tjänster ses över om de båda tjänsterna kan kombineras till en. Utredningen uppskattar ingen nytta till följd av den nationella användningen då utredningens uppdrag i huvudsak berör implementationen av tjänsten patientöversikter inom EES.
Nyttan av krav på att tillhandahålla informationsmängder
Nyttan av det obligatorium avseende tillhandahållandet av informationsmängder som utredningen föreslår i 11.3 beskrivs utförligt i samband med att förslaget presenteras med innefattar i första hand att en mer fullständig bild av patientens hälsa och vård erhålls vilket är en viktig förutsättning för att fatta hållbara beslut och ge patienten en god och säker vård. Det resulterar sannolikt även i en ökad motivation till att använda tjänsten oftare varvid erhållen nyttan blir större. Den nytta som erhålls är emellertid avhängd och sammankopplad med genomförandet av utredningens förslag avseende infrastruktur som lämnas i 12.2–12.4. Detta eftersom nyttan erhålls och kraven uppfylls först när E-hälsomyndigheten getts elektronisk tillgång och vårdgivare kan ta del av då patientöversikterna genom en digital tjänst.
Sammanfattande bedömning och beräkning av nyttorna
Sammanfattningsvis skulle sålunda värdet av nyttan av tjänsten patientöversikter inom EES rent teoretiskt kunna räknas fram som:
- det genomsnittliga värdet av effekten på QALY för en enskild patient där vårdgivaren har tillgång till och konsulterar tjänsten, inklusive värdet av att informationsmängderna, som ett resultat av obligatoriet, blir mer kompletta; plus
- genomsnittligt besparade vårdkostnader för att kompensera eventuella vårdskador, inklusive värdet av undersökningar som kan undvikas; plus
- värdet av den genomsnittliga tidsvinsten av snabbare och lättare åtkomst till den data som tjänsten tillgängliggör
- summan av dessa tre effekter multiplicerade med
- antalet gånger per år som tjänsten konsulteras och
- antal år som tjänsten är i bruk.
Förutom det underlag som finns i form av antal vårdkontakter i andra EES-länder för i Sverige försäkrade individer och fördelningen av utbetalda ersättningar för dessa individer, samt antal ersättningsfall för vård i Sverige av individer försäkrade i andra EES-länder saknas tyvärr statistiskt underlag för av med någon rimlig exakthet/trovärdighet sätta en siffra på dessa nyttor. Som noterades ovan används olika värderingar av QALY för olika ändamål. Det finns heller inget underlag för att bedöma påverkan på QALY av ett vårdtillfälle där tjänsten skulle användas. I vilken stor utsträckning som tjänsten skulle nyttjas går heller inte att uppskatta ex ante, endast efter att tjänsten funnits tillgänglig några år.
Det som går att redovisa är utfall baserade på antaganden om de olika parametrarna. Sålunda skulle, som ett exempel, värdet av hälsoeffekterna av PS, antaget: – ett värde på 1 QALY: 1,2 miljoner kronor, – en effekt på QALY vid ett vårdtillfälle där PS konsulteras: 1 dag7, – 113 000 vårdtillfällen/år (land A och land B),
7 Dvs. man lever med god hälsa en dag till.
– användning av patientöversikten vid 10 procent av vårdtillfällena, – en uppskattad livslängd på 10 år, och – en diskonteringsfaktor på 5 procent
generera nyttor för berörda individer försäkrade i Sverige, och i andra EES-länder, på totalt cirka 290 miljoner kronor. Om tjänsten i stället konsulteras vid 25 procent av vårdtillfällena skulle värdet av nyttorna för berörda individer uppgå till cirka 720 miljoner kronor. De senare dock med största sannolikhet en överskattning, då marginalnyttan av ytterligare konsultationer av patientöversikten torde vara avtagande.
Om värdet av inbesparade vårdkostnader, inklusive tidsvinster, per vårdtillfälle när patientöversikten konsulteras antas uppgå till 1 000 kronor, skulle de diskonterade värdet av dessa kostnadsbesparingar, alla andra antaganden lika, uppgå till 87 miljoner kronor. Om tjänsten i stället konsulteras vid 25 procent av vårdtillfällena skulle värdet av inbesparade vårdkostnader uppgå till cirka 218 miljoner kronor. Samma sak avseende marginalnyttan gäller här. Det bör återigen betonas att dess nyttoberäkningar endast bör ses som illustrativa.
Därutöver tillkommer nyttan av en lagstiftning som gör det obligatoriskt för berörda vårdgivare att tillgängliggöra utpekade informationsmängder är av samma typ som för tjänsterna i sig. Det vill säga det kan förväntas leda till bättre hälsa för patienterna och minskade vårdkostnader på grund minskad risk för vårdskador samt ett minskat behov av kompletterande och då ofta dubblerade undersökningar för att ge underlag för den aktuella vårdinsatsen.
Utöver dessa svårskattade värden kan möjligen läggas det ännu mer svårskattade, symboliska och politiska värdet – sett från svensk horisont – av att Sverige medverkar i en gemensam europeisk tjänst och därmed signalerar sitt aktiva och bestående engagemang i den europeiska gemenskapen.
18.2.3. Sammanfattning av förslagen
Övergripande föreslår utredningen att E-hälsomyndigheten, i rollen som Sveriges nationella kontaktpunkt för e-hälsa ges i uppdrag att utveckla och förvalta den funktionalitet och den infrastruktur som
krävs för att kunna uppfylla de åtaganden som åligger den nationella kontaktpunkten för e-hälsa i Sverige i samband med att tjänsten implementeras i här, exempelvis en nationell connector och tjänster för mappning och översättning. För att möjliggöra informationsflödet från Sverige till utlandet föreslår utredningen att regeringen ska säkerställa att en infrastruktur för att tillgängliggöra information om patientens hälsa och vård till en patientöversikt finns tillgänglig för alla vårdgivare. Utredningen föreslår att förslaget genomförs genom att delar eller hela Inera förvärvas samt att det utreds vidare om och i så fall vilka delar som bör ägas och förvaltas av en myndighet.
För att möjliggöra informationsflödet från utlandet till svensk hälso- och sjukvårdspersonal föreslår utredningen att E-hälsomyndigheten ges i uppdrag att tillhandahålla en tjänst för hälso- och sjukvårdspersonal för att ta del av patientöversikter från utlandet. I denna tjänst föreslår utredningen att hälso- och sjukvårdspersonal även ska kunna få tillgång till patientöversikter från Sverige till exempel vid vård av patienter över regiongränser eller organisationsgränser. Utredningen föreslår även att E-hälsomyndigheten får i uppdrag att utveckla en digital samtyckestjänst där patienter kan lämna och överblicka sina samtycken.
Utredningen föreslår en rättslig grund för E-hälsomyndighetens personuppgiftsbehandling. Förordning (0000:000) om personuppgifts-
behandling vid E-hälsomyndigheten i samband med hantering av patientöversikter föreslås för att E-hälsomyndighetens personuppgifts-
behandling ska vara tillåten vid utbyte av patientöversikter såväl inom Sverige som med ett annat EES-land. Utbytet förutsätter att patienten lämnat ett integritetshöjande samtycke. Förslaget innehåller även bland annat reglering avseende personuppgiftsansvar, ändamål för behandlingen av personuppgifter och en uppgiftsskyldighet för E-hälsomyndigheten till vårdgivare i Sverige och utländska kontaktpunkter för e-hälsa. Vidare regleras behörighetstillgång och åtkomstkontroll.
Utredningen föreslår ändringar i patientdatalagen (2008:355)genom bland annat införande av krav på att vårdgivare, med vissa undantag, ska ge E-hälsomyndigheten elektronisk tillgång till uppgifter om en patient för att tillföras en patientöversikt inom EES och från E-hälsomyndigheten elektroniskt kunna ta del av sådan patientöversikt. Ett nytt ändamål för behandling av personuppgifter inom hälso- och sjukvården föreslås genom att utlämnande av uppgifter till E-hälsomyndigheten för sammanställning, översättning och för-
medling av en svensk patientöversikt till en utländsk kontaktpunkt för e-hälsa i enlighet med 7 § 3 förordningen (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter ska vara tillåtet.
Utredningen föreslår ändringar i lagen (2022:913) om samman-
hållande vård- och omsorgsdokumentation genom bland annat inför-
ande av krav på att vårdgivare, med vissa undantag, ska ge E-hälsomyndigheten elektronisk tillgång till uppgifter om en patient för att tillföras en patientöversikt inom Sverige och från E-hälsomyndigheten elektroniskt kunna ta del av sådan patientöversikt.
E-hälsomyndighetens uppdrag som nationell kontaktpunkt för e-hälsa enligt patientrörlighetsdirektivet föreslås anges i förordningen
(2013:1031) med instruktion för E-hälsomyndigheten. Det föreslås ock-
så att E-hälsomyndigheten får ett uppdrag att tillhandahålla tjänster och infrastruktur för informationsutbytet.
Vidare föreslår utredningen sekretessbrytande bestämmelser i
offentlighets- och sekretesslagen (2009:400)så att sekretess inte hind-
rar att uppgift lämnas till E-hälsomyndigheten enligt vad som föreskrivs i patientdatalagen i lagen om sammanhållen vård- och omsorgsdokumentation om krav på vårdgivare att tillgängliggöra uppgifter om patienter. Ytterligare en sekretessbrytande bestämmelse föreslås så att uppgift som behandlas med stöd av förordningen (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter får lämnas till en vårdgivare i Sverige eller en utländsk kontaktpunkt för e-hälsa med stöd av bestämmelser i nämnda förordning.
I lagen (2018:1212) om nationell läkemedelslista föreslår utredningen ett nytt ändamål för personuppgiftsbehandling innebärande att personuppgifter får behandlas om det är nödvändigt för tillförande av uppgifter till en patientöversikt som ska sammanställas, översättas och förmedlas i enlighet med 7 § 3 förordningen (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter.
18.2.4. Särskilt om vissa bemyndiganden
Utredningen föreslår nya normgivningsbemyndiganden. Det föreslås i lagen om ändring i patientdatalagen (2008:355) att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vilka uppgifter som ska tillgängliggöras för att tillföras en patientöversikt inom EES. Det föreslås även att E-hälsomyndigheten får meddela föreskrifter om hur vårdgivarna elektroniskt ska kunna ge E-hälsomyndigheten tillgång till uppgifter och hur vårdgivarna elektroniskt ska kunna ta del av patientöversikter från Ehälsomyndigheten.
Det föreslås i lagen (2022:913) om sammanhållande vård- och om-
sorgsdokumentation att regeringen eller den myndighet som reger-
ingen bestämmer får meddela förskrifter om vilka uppgifter som ska tillgängliggöras för att tillföras en patientöversikt inom Sverige. Det föreslås även att E-hälsomyndigheten får meddela föreskrifter om hur vårdgivarna elektroniskt ska kunna ge E-hälsomyndigheten tillgång till uppgifter och hur vårdgivarna elektroniskt ska kunna ta del av patientöversikter från E-hälsomyndigheten.
18.2.5. Alternativa lösningar
I samband med att utredningens förslag presenteras i kapitel 10–17 redovisas när tillämpbart alternativa lösningar och bakgrunden till varför utredningen valt respektive alternativ. Utredningen lämnar emellertid ett omfattande förslag av mer genomgripande karaktär avseende infrastruktur för att tillgängliggöra information från Sverige i en patientöversikt (avsnitt 12.2.2). Alternativen för genomförandet beskrivs utförligt i kapitel 12 och kommer sammanfattas kort även i denna konsekvensanalys vartefter utredningen redogör mer utförligt för konsekvenserna av respektive förslag.
Utredningens förslag om en statligt styrd nationell infrastruktur för informationsutbyte (avsnitt 12.2.2)
För att möjliggöra att utvalda uppgifter om patientens hälsa och vård från alla vårdgivare sammanställs i en patientöversikt med hjälp av en infrastruktur med en långsiktig förvaltning och förmedlas över inter-
nationella och nationella gränser har utredningen övervägt ett antal alternativ. Utredningen ser att man kan skära alternativen på olika sätt. Då utredningen gör bedömningen att staten behöver kunna påverka utvecklingen och användningen av infrastrukturen för att den ska bidra till att nå nationella och internationella mål har utredningen börjat med att titta på olika upplägg med ett statligt eller regionalt huvudmannaskap. Noll-alternativet innebär att Inera fortsätter att tillandahålla de tjänster och den infrastruktur på samma sätt som de gör i dag och bibehållen styrning. Alternativ inom ramen för ett regionalt huvudmannaskap innefattar att Inera fortsätter att tillhandahålla befintliga tjänster och infrastruktur men att staten erhåller inflytande genom avtal, överenskommelse eller reglering. Statligt huvudmannaskap innefattar antingen att tjänster och infrastruktur motsvarande Ineras tillhandahålls genom att staten bygger något likvärdigt alternativt genom att hela eller delar av Ineras verksamhet förvärvas eller att staten bygger en annan mer generisk infrastruktur byggs som möjliggör delning av hälsodata för fler ändamål.
Huvudalternativ 1: Bibehållet regionalt huvudmannaskap över tjänster och infrastruktur
I detta huvudalternativ äger Inera (indirekt SKR, regioner och kommuner) tjänster och infrastruktur för ett säkert informationsutbyte inom hälso- och sjukvården, vilket bland annat möjliggör utbytet av svenska patientöversikter till andra EES-länder. I detta alternativ kan staten säkerställa att infrastrukturen tillhandahålls alla vårdgivare på ett antal sätt:
1. Staten upphandlar från Inera de tjänster som krävs för att för PS tillgängliggöra specificerade informationsmängder,
2. överenskommelse mellan staten och SKR,
3. bestämmelser om krav på regioner att tillhandahålla en infra-
struktur för att tillgängliggöra uppgifter från patientjournalen som uppfyller de krav som ställs på tjänsten.
Det som skulle motivera att nuvarande ägarskap bibehålls är att den styrningsmodell som SKR, regioner och kommuner kommit överens om behålls intakt vilket innebär att SKR, regioner och kommuner
har full rådigheten över tjänster och infrastrukturens användning och utveckling. Det innebär att det kommunala självstyret inte påverkas. Det kräver inte heller någon utredning av organisationsförändringar utan verksamheten kan fortlöpa som det gör. En utveckling av tjänsterna inom ramen för nuvarande organisation kan inledas och genomföras utifrån befintliga rutiner som med hög sannolikhet innebär att infrastrukturen som möjliggör att svenska patientöversikter utbyts med andra EES-länder snabbare kommer på plats jämfört med de alternativ som innefattar ett statligt huvudmannaskap.
I och med att det finns ett beroende mellan NPÖ och flera andra av Ineras tjänster till exempel SITHS, HSA och säkerhetstjänster, är det enligt utredningens bedömning osäkert om en upphandling av Ineras tjänster skulle kunna genomföras på ett sådant sätt att de krav som ställs på tjänsten patientöversikter inom EES skulle införlivas samtidigt som statens önskemål om att information från alla vårdgivare ska inkluderas möts. De stödtjänster och den infrastruktur som NPÖ har ett beroende till har dessutom beroenden till många av Ineras andra tjänster vilket ökar komplexiteten. Förändras datamängderna i tjänsten krävs sedan nya upphandlingar. Alternativ två är det sätt som staten tidigare tillämpat för att påverka användning och utveckling av den infrastruktur Inera äger. Som utredningen konstaterar ovan är överenskommelser mjuka styrmedel som bygger på att parterna kommer överens om dess innehåll. Som utredningen konstaterar ovan har flera myndighetsrapporter konstaterat att den mjuka styrningen på området många gånger haft små, inga eller oönskade effekter samt att utvecklingen går långsamt. En fördel med överenskommelser är att såväl staten som regioner och kommuner har ett inflytande över dess innehåll, påverkan på det kommunala självstyret blir därigenom litet.
Alternativ tre innebär att lagar används som styrmedel genom att bestämmelser om att regioner i egenskap av huvudmän tillhandahåller en infrastruktur för att tillgängliggöra uppgifter som är tillgänglig för alla vårdgivare i regionen och uppfyller de krav som ställs på tjänsten patientöversikt inom EES. Styrmedlet är hårt vilket innebär att det som fastställs i lagen ska följas.
Konsekvenser av huvudalternativ 1
Kostnader
Uppskattningen av de utvecklingskostnader som följer av detta alternativ motsvarar det som följer av huvudalternativ 2 förutom den delen som avser förvärvet av Inera. Dessa kostnader redovisas i avsnitt 18.3.
Konsekvenser för det kommunala självstyret
Utredningen anför att påverkan på det kommunala självstyret kommer vara minimalt med alternativ 1 och 2 och betydande i alternativ 3 då vårdgivare åläggs tillhandahålla en infrastruktur som ska uppfylla vissa krav och vara tillgänglig för alla vårdgivare.
Konkurrenseffekter
Det första huvudalternativet innebär att staten genom avtal, överenskommelse eller regelverk använder den infrastruktur som tillhandahålls av Inera. I utredningens direktiv framgår att patientöversikterna ska innehålla information från alla vårdgivare, det vill säga även privata vårdgivare med privat finansiering. Som framgår i kapitel 7 är 115 privata vårdgivare anslutna till infrastrukturen i dag. Av den statistik som utredningen erhållit från SCB som beskriver antal företag som finns i IVO:s Vårdgivarregister och som utfört tjänster åt region under 2021 framgår att det är drygt 2 300 företag. Utredningens förslag om krav på att tillgängliggöra information för alla vårdgivare (kommunala vårdgivare och tandläkare undantagna) innebär att ett stort antal privata vårdgivare kommer behöva ansluta sig till Ineras infrastruktur i både fall 1, 2 och 3. Som utredningen beskriver i avsnitt 7.3.2 köper regioner och kommuner i dag tjänster från Inera utan konkurrensutsättning, efter en bedömning som de gjort av undantagsmöjligheter från lagen om offentlig upphandling (2016:1145), fortsättningsvis LOU. Det handlar om undantag för interna upphandlingar (även kallad Teckal- eller in-house-undantaget). Bestämmelser om sådana undantag finns i 3 kap. 12–16 §§ LOU. För att tillämpa undantaget krävs att två kriterier är uppfyllda, det så kallade kontrollkriteriet och verksamhetskriteriet. I korthet finns möjligheten att tillämpa undantag för interna upphandlingar bland annat
om den upphandlande myndigheten, själv eller tillsammans med andra upphandlande myndigheter, utövar kontroll över motparten i en utsträckning som motsvarar kontrollen över deras egna förvaltningar och om motparten utför minst 80 procent av sin verksamhet för den kontrollerande myndighetens, eller de kontrollerande myndigheternas, räkning. Enligt utredningens bedömning bör möjligheten att driva verksamheten i enlighet med Teckal-undantaget kunna påverkas av hur många privata vårdgivare som skulle ansluta till NPÖ. Givet det stora antalet privata vårdgivare som skulle ansluta till och använda sig av Ineras tjänster finns det sannolikhet att mer än 19 procent av Ineras verksamhet skulle erbjudas den fria marknaden och inte dess ägare vilket skulle innebära att Teckal-undantaget som verksamheten bedrivs enligt i dag inte längre skulle vara tillämpbart. Skulle verksamheten gå vidare med ett avtal med staten trots att verksamheten inte längre kan tillämpa undantaget skulle det sannolikt få en påverkan på marknaden då denna öppnas upp för andra att tillhandahålla motsvarande tjänster till den offentligt finansierade vården.
Konsekvenser för personlig integritet
Förutsatt att infrastrukturen uppfyller de krav som ställs avseende säkerhet och skyddet för den personliga integriteten torde de två huvudalternativen inte utgöra någon skillnad avseende konsekvenser för den personliga integriteten. Utredningen konstaterar emellertid i avsnitt 12.2.2 att myndigheter omfattas av fler krav avseende säkerhet, sekretess och granskningsbarhet än ett aktiebolag.
Riskbedömning
I detta huvudalternativ finns mycket av den infrastruktur som krävs för att Sverige ska kunna fullt ut medverka i den europeiska tjänsten finns redan på plats. De risker som finns är främst kopplade till utvidgningen av såväl tjänstens informationsinnehåll som dess täckning, dvs. antalet vårdgivare som ska kopplas upp. Som den försenade implementeringen av den Nationella läkemedelslistan visat räcker inte lagstiftning för att säkerställa att uppkopplingen faktiskt realiseras inom i lagen stipulerad tid. För den fulla implementeringen av tjänsten krävs att vårdgivare har eller kan köpa den kompetens som krävs samt
har tillräckliga resurser (tid) för att tillsammans med Ineras tekniker implementera de tjänstekontrakt som krävs. Den trånga sektorn för Ineras del torde vara de personella resurserna snarare än de finansiella då avgift tas ut motsvarande full konstadstäckning.
En risk som föreligger med detta alternativ är som utredningen ser det den påverkan som nämns ovan avseende konkurrenseffekter och förändringar avseende tillämpningen av Teckalundantaget som ett avtal eller en överenskommelse om att ansluta ett stort antal privata vårdgivare till Ineras tjänster vilket skulle kunna påverka regioner, kommunernas, SKR:s och Ineras vilja att ingå i ett sådant avtal eller överenskommelse.
Huvudalternativ 2: Statligt huvudmannaskap över tjänster och infrastruktur
I detta huvudalternativ äger staten tjänster och infrastruktur som möjliggör ett säkert informationsutbyte inom hälso- och sjukvården, vilket bland annat möjliggör utbytet av svenska patientöversikter till andra EES-länder. Alternativet kan delas upp i att tjänster och funktionalitet som motsvarande den som Inera tillhandahåller säkerställs alternativt att en annan typ av infrastruktur som möjliggör mångfalt fler tjänster och delning av data för fler ändamål. Angränsande infrastruktur för att tillgängliggöra data för andra behov och ändamål så som forskning och innovation ingår inte i utredningens uppdrag att utreda. Det utreds emellertid av andra.8 Utredningen kommer därför inte lämna förslag avseende eller gå djupare in på detta alternativ men anför att den infrastruktur som möjliggör patientöversikter på sikt ska utgöra en del i den totala infrastrukturen för utbyte av hälsodata när den är färdig.
Mot bakgrund av ovanstående presenterar utredningen tre alternativ:
1. staten utvecklar motsvarande tjänster och ålägger vårdgivarna att
koppla upp sig mot den,
2. staten förvärvar hela Inera eller SKR:s ägarandel i Inera.
8 Dir 2022:41. Hälsodata som nationell resurs för framtidens hälso- och sjukvård.
Det första alternativet innebär att den myndighet staten utvecklar motsvarande tjänster och en liknande infrastruktur för ändamålet patientöversikter inom EES. Ett sådant alternativ skulle säkerställa att den funktionalitet och infrastruktur som krävs erhålls, att alla krav uppfylls och att alla vårdgivare kan ansluta. Det driver emellertid stora kostnader under såväl utveckling som under förvaltning och kommer existera vid sidan om en likvärkvärdig infrastruktur med likvärdiga tjänster som också finansieras med skattemedel.
Alternativ 2 är att förvärva hela eller delar av Inera AB alternativt undersöka hur den infrastruktur som Inera byggt skulle kunna överlåtas till det offentliga. Inera ägs i dag av SKR Företag AB cirka 51 procent, regionerna cirka 3 procent och kommunerna cirka 46 procent. Förvärvar staten hela företaget, skulle man eventuellt, som man gjorde med Apoteket Service AB, i ett andra steg kunna avveckla företaget och inkorporera verksamheten i en eller flera myndigheter.
Konsekvenser av huvudalternativ 2
Konsekvenserna av att staten bygger en likvärdig infrastruktur skulle framför allt vara ekonomiska. Att bygga upp de tjänster och den infrastruktur som Inera tillhandahåller och som det offentliga finansierat är mycket kostsamt och tidskrävande. Dessutom skulle det innebära att skattepengar finansierar förvaltningen av två likvärdiga infrastrukturer. Kostnaden för förvaltningen av tjänsten NPÖ och stödtjänsterna SITHS, HSA och Säkerhetstjänster uppgår under 2023 till strax över 70 miljoner för regioner. Förvaltningskostnaden för gemensam infrastruktur uppgår till 80 miljoner.9 Utredningen ser att detta alternativ får så stora ekonomiska konsekvenser med en så liten adderad nytta att alternativet inte är aktuellt att utreda vidare. Nedanstående konsekvenser avser alternativet att staten förvärvar delar av eller hela Ineras verksamhet. Konsekvenser av ett sådant förvärv är även beskrivna av andra. 10
9 Inera (2023). Prislista regioner, gemensam och valbar 2023. Gemensamma tjänster. 10 Utredningen om sekundäranvändning av hälsodata (S2022:04). Promemoria med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet. Dnr S2023/00584.
Kostnader
Kostnaderna för alternativet där staten tar över Ineras verksamhet för att, i det korta perspektivet utveckla och implementera tjänsten patientöversikter inom EES, skulle i huvudsak bli desamma som för huvudalternativ 1. Dessa beskrivs i avsnitt 18.3.
Kostnader som tillkommer för detta alternativ är den som följer av förvärvet av Inera. Inera är inte ett vinstdrivande företag och ett avyttrande till marknaden är inte aktuellt. Det innebär att dess substansvärde är lika med dess tillgångar minus skulder. Enligt årsredovisningen för 2021 uppgick samlade tillgångar per sista december till cirka 695 miljoner kronor, varav Kassa och bank uppgick till cirka 469 miljoner kronor.11 En del av dessa likvida medel kan kopplas till ett villkorat kapitaltillskott på 40 miljoner kronor från ägarna. Detta kapitaltillskott återbetalas nu med 10 miljoner kronor per år och kommer att vara till hälften återbetalt per 31/12 2023. Skulderna, inklusive 10 miljoner kronor i avsättningar för uppskjuten skatt, uppgick till 460 miljoner kronor. Den reella kostnaden för staten att ta över företaget skulle, bortsett från de administrativa kostnaderna för förvärvet, vara noll då betalningen endast skulle innebära en förändring på tillgångssidan av statens konsoliderade balansräkning. Priset på förvärvet är svårt att estimera. Substansvärdet torde under förutsättning att kassa och bank fördelas ut till ägare innan förvärvet uppgå till 205 miljoner kronor. Det är emellertid omöjligt för utredningen att förutse vilket pris regioner, kommuner och SKR skulle begära. Utredningen återkommer till detta i avsnitt 18.3.
Konsekvenser för det kommunala självstyret
Ett förvärv av SKR Företag AB:s aktier i Inera skulle inte i formell mening påverka det kommunala självstyret i och med att SKR endast är en medlems- och arbetsgivarorganisation för kommunerna och regionerna. Alla regioner och kommuner är ju emellertid medlemmar i SKR och bör därigenom anses ha inflytande över deras verksamhet. Därigenom ser utredningen att även ett sådant förvärv kan anses påverkar regioners och kommuners inflytande över utvecklingen och inriktningen på Ineras verksamhet.
11 Inera (2022). Ineras årsredovisning. UR L: Årsredovisning 2021 Inera AB.pdf. Hämtad 2023-03-09.
Ett förvärv även av de aktier som innehavs av regioner och kommuner, och en eventuell inkorporering av dess verksamhet i en myndighet, skulle beröva kommunerna och regionerna det inflytande de i dag har över verksamhetens inriktning i kraft av sina poster i Ineras ägarråd, styrelse och programråd.
Detta inflytande över den framtida utvecklingen av informationshanteringen för hälsa-, vård och omsorg och måste, i så fall, garanteras på annat sätt och i andra former vilket kan innebära vissa kostnader. Utredningen gör i avsnitt 12.7 bedömningen att utvecklingen av infrastruktur inom hälso- och sjukvården och omsorgen behöver utgå från en gemensam behovsbild och prioritering och ser därför att en tillitsfull och handlingskraftig samverkan mellan regioner, kommuner och staten är central. Samverkan behöver vara sektorsspecifik men nära knuten till den utveckling som pågår inom Ena. Utredningens ser att det kan finnas behov av att förändra eller komplettera befintliga former samverkan för att erhålla gemensam styrkraft framåt. E hälsomyndigheten i egenskap av för statens räkning ansvarig för samordningskansliet för arbetet med Vision e-hälsa som drivs tillsammans med SKR, samt i egenskap representant för sektorn Hälsa, vård och omsorg inom Ena kan enligt utredningen vara en lämplig aktör för att närmare utreda hur en sådan sektorspecifik samverkan bör sättas upp och bedrivas.
Konkurrenseffekter
Utredningen har föreslagit att vilka delar av Inera som ska förvärvas samt om delar eller hela verksamheten ska ägas av en myndighet ska utredas vidare. Beroende på vad staten väljer att göra påverkar konkurrensen på olika sätt. Om staten förvärvar hela eller delar av Inera följer Ineras ramavtal och andra avtal med. Offentliga aktörer som är aktiva på marknaden genom att tillhandahålla tjänster och infrastruktur kan störa konkurrensen. Då Inera redan i dag ägs av offentliga aktörer kommer ett förvärv av aktiebolaget inne innebära någon förändring avseende offentligt ägarskap. Verksamheten har emellertid bedrivits enligt Teckal-undantaget vilket utredningen ser kan förändras i och med förvärvet. Konkurrenslagen och effekten på marknaden av att staten tillhandahåller dessa tjänster och infrastruktur behöver beaktas särskilt när förvärvet utreds närmare.
Konsekvenser för åtagande gentemot EU
Dessa konsekvenser är desamma för huvudalternativ 1 och 2 då båda utgör ett förslag på hur tjänsten kan genomföras men med olika upplägg på genomförandet.
Konsekvenser för personlig integritet
Förutsatt att infrastrukturen uppfyller de krav som ställs avseende säkerhet och skyddet för den personliga integriteten torde de två huvudalternativen inte utgöra någon skillnad avseende konsekvenser för den personliga integriteten.
Riskbedömning
Riskerna för detta huvudalternativ är i grunden desamma som i huvudalternativ 1. Därtill kommer den risk som följer av förslaget att förvärva delar av eller hela Ineras verksamhet till staten. Det är rimligt att förvänta sig att invändningar mot ett sådant övertagande skulle komma vilket skulle försena processen. Konsekvenserna av ett förvärv av SKR Företag AB:s aktier i Inera skulle inte i formell mening påverka det kommunala självstyret i och med att SKR endast är en medlems- och arbetsgivarorganisation för kommunerna och regionerna. Ett förvärv även av de aktier som innehavs av kommunerna, och en eventuell avveckling av företaget och inkorporering av dess verksamhet i en myndighet, skulle beröva kommunerna och regionerna det inflytande de i dag har över verksamhetens inriktning i kraft av sina poster i Ineras ägarråd, styrelse och programråd. Detta inflytande över den framtida utvecklingen av informationshanteringen för hälsa-, vård och omsorg och måste, i så fall, garanteras på annat sätt och i andra former vilket kan innebära vissa kostnader. Utredningen återkommer till detta i avsnitt 12.7.
Genom att endast köpa SKR Företag AB:s andel skulle staten bli majoritetsägare i företaget samtidigt som regionerna och kommunerna fortsatt skulle ha ett inflytande över verksamheten. Detta skulle ha sina fördelar då framför all framtida utveckling måste ske i nära samarbete med regionerna och kommunerna. Å andra sidan skulle statens inflytande vara begränsat. Staten har generellt inte möj-
lighet att detaljstyra statligt ägda bolag på sådant sätt att vidareutveckling och investering av medel påverkas. Utgångspunkten för regeringens bolagsstyrning är den svenska bolagsstyrningsmodellen. Det innebär bland annat att de bolag som ägs av staten styrs associationsrättsligt på samma sätt som privatägda bolag med bolagsstämman som det högsta beslutande organet. Det innebär också att styrelsen ansvarar för bolagets organisation och förvaltningen av dess angelägenheter och att det är styrelsens ansvar att fastställa mål och strategi för bolagets verksamhet samt att bolagets ledning sköter den operationella driften av bolagets verksamhet. Bolag med statligt ägande lyder som utgångspunkt under samma lagar som privatägda bolag.12
Huvudalternativ 3 – Nollalternativet
Nollalternativet innebär att Inera fortsätter att bedriva sin verksamhet på samma sätt som i dag och att ingen upphandling eller överenskommelse genomförs av staten för att kunna påverka tjänsternas utveckling och användning. Med detta alternativ skulle inte Ineras tjänster och infrastruktur uppfylla de krav som ställs på tjänsten patientöversikt inom EES. Infrastrukturen skulle heller inte kunna användas av vårdgivare med enbart privat finansierad verksamhet. En anslutning av alla privata vårdgivare med offentlig finansiering skulle sannolikt även påverka Ineras möjlighet att bedriva verksamheten enligt Teckal-undantaget. Med detta alternativ kan Sverige inte implementera tjänsten patientöversikter inom EES som land A (svenska patientöversikter till utlandet).
Utredningens sammanvägda bedömning
Utredningen anser att huvudalternativ 1 där delar eller hela Ineras verksamhet eller Ineras tjänster förvärvas är det alternativ som möter utredningens uppdrag om att lämna förslag på åtgärder som bedöms nödvändiga för att möjliggöra ett gränsöverskridande utbyte av patientöversikter inom EES som inkluderar information från alla vårdgivare i Sverige samt en långsiktig förvaltning av patientöversikter
12 Regeringskansliet. Så styrs bolagen. UR L: Så styrs bolagen - Regeringen.se. Uppdaterad 2020-03-03. Hämtad 2023-02-26.
bäst. Det skapar även enligt utredningen förutsättningar för att staten ska uppfylla förslaget om att säkerställa att det finns en infrastruktur för att tillgängliggöra utvald information om patientens hälsa och vård från alla vårdgivare till en patientöversikt som kan utbytas över organisations-, regions- och landsgränser. Alternativet får beroende på hur det genomförs sannolikt konsekvenser på det regionala självstyret. Utredningen konstaterar emellertid att många regioner som utredningen haft dialog med ser positivt på att staten tar ett samlat ansvar för grundläggande infrastruktur. Nyttan med att alla vårdgivare ges förutsättningar för att och ombesörjs med krav på att kunna utbyta utvalda informationsmängder om patientens hälsa och vård tillfaller såväl vårdgivare som samhället i stort. Fördelen med ett förvärv är även att det återanvänder den investering och det arbete som lagts ner av regioner och kommuner samt andra vårdgivare på befintliga tjänster. Utredningen beskriver sin bedömning och utgångspunkterna för denna mer utförligt i avsnitt 12.2.2.
18.3. Kostnadsberäkningar och finansiering
Sammantaget presenterar utredningen ett antal förslag som kommer att få kostnadsmässiga konsekvenser. Dessa redogörs för i detalj för respektive aktör när påverkan på berörda aktörer beskrivs i avsnitt 18.4. I detta avsnitt ges emellertid en helhetsbild av de totala kostnader som förslagen innebär samt vilken finansiering utredningen föreslår.
Följande förslag är förenade med en kostnad:
- 12.2.1. Uppdrag för den nationella kontaktpunkten att utveckla grundläggande funktionalitet.
- 12.2.2. Tillhandahållande av infrastruktur för tillgängliggörande av information.
- 12.2.3 och 12.2.4. Uppdrag om att tillhandahålla digital tjänst för patientöversikter inom EES.
- 12.3. Uppdrag om digital samtyckestjänst.
Kostnaderna för ovanstående förslag framgår av tabell 18.1. Konsekvenser avseende kostnader för utredningens förslag 11.2.3. om ett
obligatoriskt tillgängliggörande av uppgifter om patientens hälsa och vård för vårdgivare är hänförda till den infrastruktur som krävs för att tillgängliggöra och ta del av uppgifter vilket förslag 12.2.2, 12.2.3 och 12.2.4 avser. Eventuellt tillkommer en kostnad om cirka 5 miljoner om det blir aktuellt för E-hälsomyndigheten att utfärda föreskrifter om systemkrav för anslutning till den nationella infrastrukturen.
Kostnader för utveckling och förvaltning av infrastruktur
Tabell 18.1 Kostnader till följd av utredningens förslag avseende
implementation av patientöversikter inom EES och inom Sverige samt föreslagna finansieringskällor
Kostnadstyp\ Finansiering
Anslag Riktat statsbidrag
Vårdgivare
EU
Utveckling av grundläggande infrastruktur land A (12.2.1)
49,5
Utveckling av grundläggande infrastruktur land B (12.2.1, 12.2.3, 12,2,4 samt 12.3)
29
12
Förvaltning av grundläggande infrastruktur
20
Utveckling av kompletterande tjänstekontrakt (12.2.2)
0,7
Anslutning av tjänstekontrakt regionerna (12.2.2)
3
Anpassning av regionernas vårdinformationssystem (12.2.2)
14,5
Anslutning av tjänstekontrakt och anpassning av vårdinformationssystem privata vårdgivare (12.2.2)
?
Förvärv av Inera (utgift) (12.2.2)
205,0
Källa: Utredningens sammanställning baseras på estimat frånE-hälsomyndigheten, Inera, Cambio och Kry.
Utöver ovanstående kommer det utgå kostnader för att förvalta infrastrukturen för förslag 12.2.2. I dag är dessa kostnader helt avgiftsfinansierade. Det är förenat med en kostnad att ansluta till och abonnera på denna infrastruktur som tillhandahålls av Inera. Priserna varierar för regioner, kommuner och privata vårdgivare, ett utdrag av dessa redovisas i tabell 18.2. Uppgifterna presenterar Inera på sin webbplats.13 En informationsmängd beskrivs i ett tjänstekontrakt. En agent är en aktör som förmedlar Ineras tjänster till kunden via sin egen anslutning till Ineras tekniska infrastruktur. En agent kan till exempel vara en systemleverantör. NPÖ har även ett beroende till ett antal stödtjänster som organisationen också behöver abonnera på, för detta tillkommer kostnader som varierar beroende på om den anslutande är privat vårdgivare, region eller kommun.
Tabell 18.2 Kostnader för att ansluta till och abonnera på Ineras tjänst NPÖ
Aktör
Funktion
Pris
Privat vårdgivare Abonnemang konsument 2 700 kr/månad per vårdenhet hos vårdgivare Privat vårdgivare Uppstart konsument 15 300 kr Privat vårdgivare Uppstart producent 15 300 kr Privat vårdgivare Kvalitetssäkring producent 25 000 kr per tjänstekontrakt Privat vårdgivare som ansluter via agent eller region
Anslutning som producent 7 700 kr
Privat vårdgivare som ansluter via agent eller region
Anslutning som konsument 7 700 kr
Privat vårdgivare som ansluter via agent
Abonnemang konsument 2 700 kr/månad per vårdenhet hos vårdgivare
Region som ansluter via Inera
Uppstartsavgift konsument 15 300 kr
Region som ansluter via Inera
Uppstartsavgift producent 15 300 kr
Region som ansluter via Inera
Kvalitetssäkring producent 25 000 kr per tjänstekontrakt
Region som ansluter via agent
Uppstartsavgift producent 7 700 kr
Region som ansluter via agent
Uppstartsavgift konsument 7 700 kr
Källa: Inera.
13 Inera. Priser för Ineras tjänster. URL : Priser för Ineras tjänster - Inera. Hämtad 2022-12-28.
Regionerna betalar även för förvaltningen av tjänsten NPÖ och stödtjänsterna SITHS, HSA och Säkerhetstjänster uppgår under 2023 till strax över 70 miljoner kronor för regioner. Förvaltningskostnaden för gemensam infrastruktur uppgår till 80 miljoner kronor.14 Inera tar även ut avgifter för stödtjänster som test och kvalitetssäkring samt utbildning. Som exempel kostar en heldagsutbildning kostar 20 100 kronor per grupp i kunds lokal (exklusive mat, resor och logi) eller 2 600 kronor per deltagare för webb-/distansutbildning.15 Inera sätter priser så att företaget har full kostnadstäckning för sina tjänster. Det framgår vidare av Ineras årsredovisning för 2021 att företaget gjort en vinst om 23 770 615 kronor för året.16
Kostnader för förvärv av Inera
Inera är inte ett vinstdrivande företag och ett avyttrande till marknaden är inte aktuellt. Det innebär att dess substansvärde är lika med dess tillgångar minus skulder. Enligt årsredovisningen för 2021 uppgick samlade tillgångar per sista december till cirka 695 miljoner kronor, varav Kassa och bank uppgick till cirka 469 miljoner kronor. En del av dessa likvida medel kan kopplas till ett villkorat kapitaltillskott på 40 miljoner kronor från ägarna. Detta kapitaltillskott återbetalas nu med 10 miljoner kronor per år och kommer att vara till hälften återbetalt per 31/12 2023. Skulderna, inklusive 10 miljoner kronor i avsättningar för uppskjuten skatt, uppgick till 460 miljoner kronor vilket innebär att dess substansvärde uppgår till 205 miljoner kronor. Den reella kostnaden för staten att ta över företaget skulle, bortsett från de administrativa kostnaderna för förvärvet, vara noll då betalningen endast skulle innebära en förändring på tillgångssidan av statens konsoliderade balansräkning. Priset på förvärvet är som utredningen skriver tidigare i detta kapitel svårt att estimera. Substansvärdet torde under förutsättning att kassa och bank fördelas ut till ägare innan förvärvet uppgå till 205 miljoner kronor. Det är emellertid omöjligt för utredningen att förutse vilket pris regioner, kommuner och SKR skulle begära.
14 Inera (2023). Prislista regioner, gemensam och valbar 2023. Gemensamma tjänster. 15 Inera. Priser för utbildning. URL: Utbildning - Inera. Uppdaterad 2020-08-31. Hämtad 2022-12-28. 16 Inera. Årsredovisning och bokslut 2021 för Inera AB.
Kostnader för privata vårdgivare och små företag
Utredningens förslag om ett obligatoriskt tillgängliggörande omfattar även privata vårdgivare som bedriver offentlig och privat finansierad vård. Några tekniska hinder för att ansluta till den nationella tjänsteplattformen, för att via den tillgängliggöra information, finns inte. Antalsmässigt domineras branschen av små företag med färre än 10 anställda medan volymmässigt, i termer av omsättning, dominerar ett antal stora koncerner. De stora privata aktörerna är Aleris, Capio (helägt av franska Ramsay Santé), Praktikertjänst (personalägt med fokus på tandvård, primärvård, rehab och viss specialistvård), Prolivia (koncern med tolv dotterbolag inom olika specialistområden, avknoppad från Praktikertjänst), GHP (koncern med 20 specialistvårdkliniker inom ett begränsat antal specialområden), och Prima vård. Viktiga i sektorn är också nätläkarföretagen, Kry, Doktor.se, Min Doktor, Doktor 24 och Medicheck.
Alla stora privata aktörer har avtal med regionerna men erbjuder ofta också vård åt försäkringspatienter och företag. Ett begränsat antal vårdgivare är helt privatfinansierade, exempelvis inom områdena estetiska kirurgi och ögonkirurgi. Ett exempel är Akademikliniken, med verksamhet i ett antal städer i Sverige och övriga Norden. Därtill behöver ser utredningen hur man kan att stötta de kostnader som tillkommer för privata vårdgivare på motsvarande sätt som görs genom riktat statsbidrag till regionen.
Kostnaderna för att koppla upp sig mot tjänsteplattformen och de tjänstekontrakt som krävs för att tillgängliggöra den information som krävs för tjänsten patientöversikt inom EES varierar beroende på om de redan är uppkopplade eller inte, vilken typ av journalsystem vårdgivarna har och huruvida den kan koppla upp sig via en agent/systemleverantör. Etthundrafemton privata vårdgivare med avtal med regioner eller kommuner är redan anslutna till NPÖ. Flera av dem är anslutna till NPÖ via en agent. En agent kan till exempel vara de systemleverantörer vars webbaserade journalsystem de använder. Det innebär att det inte krävs en anslutning till varje vårdgivare utan bara till respektive leverantör. Agenten betalar 25 000 kronor per tjänstekontrakt men vårdgivare som ansluter via agenten betalar en uppstartskostnad på 7 700 kronor och sedan en månadsavgift på 2 700 kronor/månad per vårdenhet hos vårdgivaren. Detta är exempelvis fallet med de vårdgivare som använder Webdoc som är en moln-
baserad Software as a Service (SaaS)-plattform. Enligt Vårdföretagarna är ett tiotal olika journalsystem i drift hos de privata vårdgivarna. Hur många av dessa som är webbaserade är okänt. Det är därför svårt att bedöma vilka kostnaderna skulle bli.
I och med att det inte finns någon sammanställning av vilka vårdgivare som använder vilka journalsystem är det svårt att bedöma hur dessa kostnader skulle förhålla sig till företagens omslutning, dvs. hur stor den relativa ekonomisk belastningen skulle bli för små vårdföretag. I och för sig är det sannolikt att en relativt stor andel av dessa som nyttjar webbaserade journaltjänster, vilket innebär att kostnaden i detta fall blir lägre för varje enskild vårdgivare.
Finansiering
Utveckling av grundläggande nationell infrastruktur
De förslag utredningen föreslår och anger en tidslinje för genom att skapa rättsliga förutsättningar avser implementationen av tjänsten som land B dvs utländska patientöversikter till Sverige. Den uppskattade kostnaden för E-hälsomyndighetens utvecklingsarbete fördelat på år och kostnadsslag framgår av tabell 18.3 samt 18.4. Sammanlagt uppskattas utvecklingen för att möjliggöra de förslag utredningen lämnar uppgå till 41 miljoner över åren 2023–2026. Kostnaden för förvaltningen av land B uppskattas till 15,7 miljoner kronor år per år.
Delar av utvecklingskostnaden föreslås täckas av EU-medel genom the Connecting Europe Facility. Under vintern har en utlysning inom ramen för initiativet gjorts till vilken E-hälsomyndigheten i februari skickat in en ansökan. Sverige tillhör de länder som ha möjlighet att få ersättning upp till 60 procent men om alla länder som ingår i tjänsten erhålls sannolikt 1/30 av det totala beloppet som finns att tillgå om 30 miljoner euro. Enligt uppgift till utredningen avser myndigheten söka och hoppas på att erhålla 1.1 miljoner euro motsvarande cirka 12 miljoner. En förutsättning för att medlen ska vara tillgängliga är att det finns ett lagstöd för tjänsten senast i september 2026.
Återstående kostnad om cirka 29 miljoner fördelat över kommande 4 åren skulle kunna täckas av en omfördelning av medel från överenskommelser med SKR. Exempelvis skulle medel kunna tas från utgiftsområde 9 Hälsovård, sjukvård och social omsorg, ansla-
get 1:6 Bidrag till folkhälsa och sjukvård, anslagspost 5 Kvalitetsregister.17 Bedömningen bygger på att medel i dag avsätts till SKR för bland annat ”övergripande nationella aktiviteter”, vilket utredningen bedömer att E-hälsomyndighetens utveckling av nationella tjänster som ska tillhandahållas vårdgivare, omsorgsgivare och patienter faller in under.
Anslutning till och utveckling av nya tjänstekontrakt
Som framgår ovan bärs kostnaden för utveckling och anslutning mot NPÖ bärs i dag fullt ut av regionerna genom de avgifter det betalar till Inera, betalningen för de tjänster de eventuellt köper från leverantörerna av journalsystemen, samt utgifterna för den egna personalen involverad i anslutningsarbetet. Det finns i dag tre av de fem obligatoriska kliniska informationsmängderna i tjänsten patientöversikter inom EES i Ineras tjänst NPÖ. Men ytterligare två tjänstekontrakt kommer behöva utvecklas och implementeras för att möta kraven för tjänsten till en uppskattad kostnad om 700 000 kronor. Kostnader för anslutningen till de nya och till befintliga i de fall anslutning inte finns utgår vidare. Det kan diskuteras vem som rimligen bör bära kostnaden för detta. Å ena sidan skulle denna utveckling och implementering följa av ett mellanstatligt åtagande gentemot andra EES-länder och, om och när detta regleras i en förordning, gentemot övriga EU-länder. Detta skulle kunna motivera att staten tar på sig det finansiella ansvaret. Å andra sidan skulle dessa additionella informationsmängder även vara av nytta för vårdgivarna. Utredningen föreslår att den utveckling som tillkommer till följd av implementationen av tjänsten täcks av staten i form av riktade statsbidrag. Förslagsvis kan även dessa täckas av en omfördelning av medel från överenskommelser med SKR. Exempelvis skulle medel kunna tas från utgiftsområde 9 Hälsovård, sjukvård och social omsorg, anslaget 1:6 Bidrag till folkhälsa och sjukvård, anslagspost 5 Kvalitetsregister som avser nationella tjänster.18 Alternativt kan medel tas från anslag 1:6 för insatser inom ramen för vision e-hälsa.19
17 Regleringsbrev för budgetåret 2022 avseende anslag 1:6 Bidrag till folkhälsa och sjukvård S2021/08111 (delvis), 2021, Regeringskansliet. 18 Regleringsbrev för budgetåret 2022 avseende anslag 1:6 Bidrag till folkhälsa och sjukvård S2021/08111 (delvis), 2021, Regeringskansliet. 19 God och nära vård 2022: En omställning av hälso- och sjukvården med primärvården som nav. Dnr S2022/00607, 2022, Regeringskansliet.
För att undvika att den ekonomiska belastningen på enskilda små vårdföretagare ska bli för tung kan det finnas anledning att, antingen ta fram en särskild finansieringsmodell för dessa vårdgivare, i klartext en som innebär en korssubventionering i förhållande till andra vårdgivare, eller att särskilda anslagmedel tillförs den som förvaltar infrastrukturen för att helt eller delvis finansiera uppkopplingen av denna grupp av vårdgivare. Oberoende av alternativ blir gränsdragningen mellan vilka som ska subventioneras och vilka som inte ska det inte självklar.
Förvärv av Inera
Utredningen föreslår att staten ska säkerställa att en infrastruktur för att tillgängliggöra information ska genomföras genom att delar av eller hela Ineras verksamhet ska förvärvas samt att det ska utredas om och vilka delar som bör förvaltas av en myndighet.
Enligt 7 kap. 2 § budgetlagen och i 2 kap. 7 § i kapitalförsörjningsförordningen (2011:210) måste förvärv av aktier eller andelar i ett företag finansieras med anslag. Ett förvärv av hela eller delar av Inera skulle således belasta budgeten med det antal procent av Ineras substansvärde som staten förvärvar, dvs. bokförda tillgångar minus skulder. Per 31/12 2021 var detta cirka 225 miljoner kronor. Antaget nollresultat 2022 och 2023 skulle substansvärdet, efter återbetalning av ytterligare 20 miljoner kronor av det villkorade kapitaltillskottet, uppgå till 205 miljoner kronor. Ett förvärv skulle belasta budgeten med detta belopp, men skulle, enligt ovan, inte utgöra en reell kostnad, dvs. en faktisk förbrukning av resurser.
Kostnader för förvaltning av infrastruktur
I dag är Ineras tjänst NPÖ och tillhörande stödtjänster helt avgiftsfinansierade. Utredningen ser att detta är kostnader som rimligtvis på ett lämpligt sätt bör fördelas mellan region och staten och privata vårdgivare. Hur en sådan konstandsmodell kan komma att se ut i en framtid där alla vårdgivare är anslutna till en och samma infrastruktur ser utredningen behöver utredas vidare i samband med att ett eventuellt förvärv och fortsatt drift av tjänster utreds.
Utredningen anser att det bör beaktas att infrastrukturen för tjänsten patientöversikter, liksom infrastrukturen för e-recept över landsgränser kan komma att användas även för annan informationsöverföring av hälsodata framöver, till exempel. laboratorieresultat och utskrivningsrapporter. Utredningen vill i detta sammanhang även lyfta fram Ekonomistyrningsverkets (ESV) slutsatser i rapporten om den förvaltningsgemensamma digitala infrastrukturen. ESV föreslår att för samhällsinvesteringar bör huvudregeln, det vill säga anslagsfinansiering, tillämpas i första hand.20 ESV anger att merparten av de förvaltningsgemensamma tjänsterna i dag klassificeras som verksamhetsinvesteringar, men konstaterar att tjänsterna i flera fall skulle kunna klassificeras som samhällsinvesteringar. Att behandla dem som samhällsinvesteringar skulle kunna eliminera ett hinder för ökad digitalisering i samhället anser ESV. Genom att se förvaltningens digitala investeringar i ett vidare perspektiv, kan riksdagen och regeringen även utöva en mer strategisk styrning anger ESV. Utredningen menar att liknande överväganden gör sig gällande här.
Utredningen anser att nyttan för såväl individen, samhället och hälso- och sjukvården och omsorgen blir större desto med tjänsten används och desto mer heltäckande informationen däri är och anser att det perspektivet behöver beaktas när kostnadsmodellen tas fram.
18.4. Påverkan på berörda aktörer
De aktörer som utredningen bedömer i första hand berörs av införandet av tjänsten patientöversikt inom EES är ett antal statliga myndigheter, Inera, offentliga och privata vårdgivare, regioner, kommuner, förskrivare, öppenvårdsapotek och patienter.
18.4.1. E-hälsomyndigheten
E-hälsomyndigheten är utsedd till nationell kontaktpunkt för e-hälsa. Myndigheten har också ett uppdrag avseende e-recept över landsgränser och deltar aktivt i Nätverket för e-hälsas samarbete. För att möjliggöra en implementation av tjänsten patientöversikter inom EES
20 Ekonomistyrningsverkets rapport, Styrning och finansiering av förvaltningsgemensam digital
infrastruktur, dnr 2019-01327, 2020, avsnitt 6.
lämnar utredningen nedanstående förslag som påverkar E-hälsomyndighetens uppdrag.
Utveckling av processer och infrastruktur som möjliggör införandet av tjänsten patientöversikt inom EES
E-hälsomyndigheten behöver, i rollen som nationell kontaktpunkt för e-hälsa utveckla processer och infrastruktur för att möjliggöra tjänstens implementation och uppfylla de krav som ställs på den nationella kontaktpunkten för e-hälsa. Utvecklingen som beskrivs i avsnitt 12.1.2 innefattar bland annat en så kallad teknisk gateway och en nationell connector för land A och land B flödet (från och till Sverige). Myndigheten uppskattar att en förstudie behöver genomföras följt av den faktiska utvecklingen. Utredningen lämnar i 12.2.2 förslag om att regeringen ska säkerställa tillgång till den infrastruktur som krävs för implementation av land A lösning där svenska patientöversikter kan utbytas till andra EES-länder. I uppskattad utvecklingskostnad nedan ingår enbart den utveckling som åligger den nationella kontaktpunkten. Denna kostnad blir inte aktuell förens planer avseende övrig infrastruktur som krävs är fastställt.
Utredningen föreslår att E-hälsomyndigheten ska ges i uppdrag att tillhandahålla en digital tjänst som ger alla vårdgivare tillgång till patientöversikter från utlandet. Utredningen föreslås att även svenska patientöversikter ska kunna nås via den digitala tjänst som avses i 12.2.3. E-hälsomyndigheten föreslås även få i uppdrag att utveckla en digital samtyckestjänst där patienten kan lämna och överblicka sina samtycken.
Uppgiftsskyldighet för E-hälsomyndigheten
E-hälsomyndigheten föreslås få en uppgiftsskyldighet till vårdgivare, utländsk kontaktpunkt för e-hälsa samt Socialstyrelsen. Uppgiftsskyldigheten till utländsk kontaktpunkt för e-hälsa samt svenska vårdgivare följer kraven i Nätverket för e-hälsa. Åtgärderna som beskrivs ovan avseende infrastruktur omfattar den utveckling som krävs för att uppgiftsskyldigheten till vårdgivare och utländska kontaktpunkter för e-hälsa. Avseende Socialstyrelsen har E-hälsomyndigheten har redan
en liknande uppgiftsskyldighet till myndigheten och någon större merkostnad förväntas inte.
Föreskriftsrätt avseende krav på system
Utredningen föreslår ändringar i patientdatalagen avseende krav på att vårdgivarna ska ha sådana elektroniska system som gör det möjligt för dessa att på elektronisk väg såväl ge E-hälsomyndigheten tillgång till uppgifter om en patient för att tillföras en patientöversikt, som ta del av sådana patientöversikter. Föreskrifter skulle kunna innehålla specificerade krav som vårdgivarnas system måste kunna uppfylla. I denna del föreslår utredningen att E-hälsomyndigheten, särskilt i egenskap av nationell kontaktpunkt för e-hälsa och utifrån de krav på bland annat tillhandahållande av system som redan föreligger och som framgår av myndighetens instruktion, är den myndighet som ska ges bemyndigandet att föreskriva om krav på vårdgivares elektroniska system.
Utgifter och kostnader
Nedan redovisas kostnader för utveckling och förvaltning av tjänsten i enlighet med utredningens förslag. Land A och land B redovisas separat förutom avseende förvaltningskostnad där land B samt land A och land B redovisas.
Tabell 18.3 Utvecklingskostnad land A
MSEK
Patientöversikt
1
2
3
4 Total
Personalkostnader
2,6 15,3 20,4 16,5 54,8
Resor och logi m.m.
0,02 0,10 0,10 0,10 0,32
Övriga kostnader
0,0
0,9
0,9
3,1 4,9
Utgifter
2,6 16,3 21,4 19,7 60,0
Aktiveringar (personal)
-6,6 -6,6
-13,2
Avskrivningar
2,7 2,7
Kostnader
2,6
9,7 14,8 22,4 49,5
Källa: E-hälsomyndigheten.
Tabell 18.4 Utvecklingskostnad land B
MSEK
Patientöversikt
2023 2024 2025 2026 Total
Personalkostnader
2,3 12,9 15,5 14,1 44,8
Resor och logi m.m.
0,02 0,10 0,10 0,10 0,32
Övriga kostnader
0,0
0,3
0,3
2,9 3,5
Utgifter
2,3 13,3 15,9 17,1 48,6
Aktiviteringar (personal)
-4,9 -4,6
-9,5
Avskrivningar
1,9 1,9
Kostnader
2,3
8,4 11,3 19,0 41,0
Källa: E-hälsomyndigheten.
Tabell 18.5 Förvaltningskostnad land B
(MSEK) – Per år efter driftsättning
Patientöversikt
Total
Personalkostnader
12,8
Resor och logi m.m.
0,10
Övriga kostnader
0,9
Avskrivning
1,9
Utgifter
15,7
Källa: E-hälsomyndigheten.
Tabell 18.6 Förvaltningskostnad land A och B
(MSEK) – Per år efter driftsättning
Patientöversikt
Total
Personalkostnader
14,4
Resor och logi m.m.
0,10
Övriga kostnader
0,9
Avskrivning
4,6
Utgifter
20
Källa: E-hälsomyndigheten.
På samma sätt som de kostnader som är kopplat till utvecklingen av infrastruktur för land A flödet är kostnader som tillkommer med anledning av eventuella nya föreskrifter avseende krav på anslutande system samt krav på vilka informationsmängder som ska tillgängliggöras är kostnader som uppkommer först när infrastruktur och tids-
plan för införandet av flödet från Sverige till utlandet är fastställt. En ungefärlig kostnad avsett när i tid uppskattas, baserat på Socialstyrelsens kostnader för att utveckla föreskrifter för en listningstjänst21, till någonstans kring 5 miljoner för en ny föreskrift. Denna ska sedan uppdateras till exempel om krav på nya informationsmängder ställs inom ramen för tjänsten patientöversikter inom EES.
Finansieringen av förslaget beskrivs under avsnitt 18.3.
18.4.2. Läkemedelsverket
I Läkemedelsverkets uppdrag ingår bland annat ansvar för reglering och tillsyn, inklusive marknadskontroll av medicintekniska produkter och deras tillverkare. Myndigheten ska verka för säkra och effektiva läkemedel av god kvalitet och för god läkemedelsanvändning, för att medicintekniska produkter är säkra och lämpliga för sin användning samt för att utse och övervaka anmälda organ för medicintekniska produkter.
Utredningen ser att det är sannolikt att de tjänster och den infrastruktur som utvecklas inom ramen för implementeringen av tjänsten patientöversikt inom EES (samt Sverige) men ser inte att de bör påverka omfattningen av deras tillsynsuppdrag nämnvärt.
Läkemedelsverket finansieras till stora delar av års- och ansökningsavgifter och till vissa delar av anslag. Läkemedelsverkets arbete med anledning av patientöversikter inom EES kan anses som uppgifter som faller inom myndighetens verksamhetsområde och som får hanteras inom myndighetens budgetramar.
18.4.3. Försäkringskassan
Ersättningsprocessen
Försäkringskassan hanterar ersättningskrav för vård erhållen i andra EES-länder enligt patientrörlighetsdirektivet och förordningen 883/2004. Antalet ärenden som avser patienter som hämtat läkemedel på apotek eller motsvarande i annat EES-land utgör en mycket
21 Uppdrag att förbereda arbetet med att meddela föreskrifter om listningstjänst för vårdval. Dnr S2022/01374.
liten del av den totala andelen ersättningsärenden för utlandsvård som Försäkringskassan hanterar.
Hur antalet ersättningsärenden kommer att utvecklas framöver beror på hur ofta personer som är försäkrade i Sverige söker vård i andra EES-länder utvecklas. Det är mycket svårt att uppskatta vad det innebär för Försäkringskassans arbete. En viss ökning av antal vårdbesök i annat EES-land skulle kunna antas, vilket kan leda till ett ökat antal ansökningar om ersättning hos Försäkringskassan. En sådan ökning bör kunna hanteras inom myndighetens budgetram.
Information
Försäkringskassan, som också är kontaktpunkt enligt patientrörlighetsdirektivet, har i dag information på sin hemsida om individers rätt att få vård i andra EES-länder, till exempel under vilka villkor det kan ske och formerna för detta. Myndigheten kommer att behöva komplettera informationen med förutsättningarna för tjänsten patientöversikter inom EES.
18.4.4. Socialstyrelsen
Med införandet av tjänsten e-recept över landsgränser kan Socialstyrelsen få tillgång till uppgifter även om e-recept från EES expedierade i Sverige. Uppgifterna kommer kunna användas för statistikändamål. Vidare resonerar utredningen om huruvida Socialstyrelsen är en lämplig aktör att föreskriva om vilka informationsmängder men föreslår inte något sådant uppdrag utan hänvisar till staten för att bestämma vem som är bäst lämpad.
Ovanstående förväntas inte medföra någon väsentligt ökad arbetsbelastning, utan bör kunna hanteras inom myndighetens befintliga budgetramar.
18.4.5. Regionerna
Utredningens förslag ålägger alla vårdgivare att tillgängliggöra utvalda informationsmängder i en patientöversikt. Detta innebär att regionerna påverkas genom att deras vårdinformationssystem be-
höver utvecklas för att kunna tillgängliggöra de obligatoriska informationsmängderna. Kostnader för detta samt finansiering beskrivs mer ingående i avsnitt 18.3 men innebär kortfattat att regionernas informationssystem behöver anpassas för att tillgängliggöra samtliga informationsmängder.
18.4.6. Kommunerna
Utredningen föreslår inga krav på att tillhandahålla eller ta del av information i den digitala infrastruktur som avses i förslag 12.2–12.4 för kommunala vårdgivare. De har däremot möjlighet att göra som om de önskar. Beroende på vilka bestämmelser som fastställs avseende avgift för att använda tjänster och infrastruktur som möjliggör utbytet av patientöversikter kan kostnader tillkomma för de kom-
muner som önskar ansluta sig till infrastrukturen.
18.4.7. Omsorgsgivare
Omsorgsgivare får enligt utredningens förslag i 12.4 ta del av tjänsten patientöversikt inom Sverige. Beroende på vilka bestämmelser som fastställs avseende avgift för att använda tjänster och infrastruktur som möjliggör utbytet av patientöversikter kan kostnader tillkomma för de omsorgsgivare som önskar ansluta sig till infrastrukturen.
18.4.8. Vårdgivare och hälso- och sjukvårdspersonal
Flera kategorier vårdpersonal i offentlig och privat vård använder i dag Ineras patientöversikt i samband med att patientens vård planeras och genomförs. I samband med att NPÖ används behöver patienten ges information om vad sammanhållen vård- och omsorgsdokumentation innebär samt möjligheten att motsätta sig att uppgifter görs tillgängliga för andra vårdgivare eller omsorgsgivare genom sådan dokumentation. Enligt utredningens förslag tillkommer motsvarande bestämmelser för tjänsten patientöversikt inom EES. Vården behöver på samma sätt som vid tillämpning av nuvarande regelverk avseende sammanhållen vård- och omsorgsdokumentation vid det internationella flödet även inhämta ett samtycke innan använd-
ning. Utredningen föreslår även att de patienter som saknar e-legitimation men omfattas av tjänsten ska kunna lämna samtycke till vårdgivaren som åläggs identifiera patienten och förmedla samtycket till E-hälsomyndigheten.
Hälso- och sjukvårdspersonalen behöver få information om möjligheten att patientöversikter kan utbytas med andra EES-länder och de grundläggande förutsättningarna för detta, till exempel att patientens samtycke behövs och att det går att kontakta de nationella kontaktpunkterna för e-hälsa för information. För detta kan det bli nödvändigt med information och viss utbildning som kommer tillhandahållas av den personuppgiftsansvarige för den behandling som uppstår i samband med att uppgifter samlas in och förmedlas i en patientöversikt det vill säga E-hälsomyndigheten, detta beskrivs mer i avsnitt 12.8.
Den totala tidsåtgången för hälso- och sjukvårdspersonalen är svår att uppskatta men sammantaget bör vårdbesöket inte påverkas nämnvärt. Tid för eventuell utbildning samt förmedling av eventuellt samtycke är enligt utredningen den tydligaste tillkomna tidskrävande arbetsuppgiften.
18.4.9. Tandläkare
Utredningen föreslår inga krav på att tillhandahålla eller ta del av information i den digitala infrastruktur som avses i förslag 12.2–12.4 för tandläkare. De har däremot möjlighet att göra som om de önskar. Beroende på vilka bestämmelser avseende avgift för att använda tjänster och infrastruktur som möjliggör utbytet av patientöversikter kan kostnader tillkomma i de fall kommuner önskar ansluta sig till infrastrukturen för att tillgängliggöra.
18.4.10. Patienterna
För att kunna ge en vård av hög kvalitet behöver medarbetare inom dessa verksamheter ha tillgång till aktuella och relevanta uppgifter patienten. Den information om patientens hälsa och vård som en patientöversikt kan innehålla är av sådan karaktär att den väsentligt kan påverka kvaliteten på den vård som ges, framför allt genom att vårdskador undviks och ytterst kan det handla om skillnad mellan liv
och död. Vidare kan beslut om undersökning och behandling fattas på en mer solid grund. Tillgång till uppgifter om patientens hälsa och vård från andra vårdgivare stärker patientsäkerheten vid vård över såväl landsgränser som region-, kommun- och organisationsgränser. Detta är till stor nytta för patienten.
Patienten behöver på motsvarande sätt som hälso- och sjukvårdspersonal få tillräcklig och tillgänglig information om tjänsten, detta beskriver utredningen utförligt i avsnitt 12.8. En viktig del i informationen är den om patientens inflytande över vilken information som får utbytas, vad ett samtycke innebär samt den praktiska hanteringen av samtycken.
18.5. Konsekvenser för den personliga integriteten och för barns rättigheter
Utredningen ska särskilt redovisa förslagens konsekvenser för den personliga integriteten. Vissa av utredningens förslag får konsekvenser för den personliga integriteten. Förslagen om personuppgiftsbehandling i kapitel 13–15 medför behandling av känsliga personuppgifter. De konsekvenser förslagen får för den personliga integriteten har redovisats och bedömts i kapitel 16. Resonemang kring integritet förs även i avsnitt 11.2.3. Kort sammanfattat ökar risken för otillbörlig åtkomst ökar generellt desto fler som har möjlighet att få tillgång till patientens uppgifter. Förslaget om att ställa krav på att samtliga vårdgivare tillgängliggör och tar del av patientöversikter samt skapa förutsättningar för utbyte över landsgränser kommer därmed per automatik öka risken för obehörig åtkomst och kräva särskilda åtgärder för att motverka den risken. I avsnitt 5.1.7 beskriver utredningen informationssäkerheten i tjänsterna e-recept och patientöversikter inom EES. E-hälsoavtalet ställer krav på en säkerhetsnivå i fråga om inbyggt dataskydd och dataskydd som standard, sekretess, integritet, autenticitet, tillgänglighet, oförnekbarhet, kryptering och andra åtgärder för datasäkerhet och kontrollmekanismer i enlighet med dataskyddsförordningen och eIDAS-förordningen. Enligt tjänstens kravkatalog omnämns följande dimensioner av säkerhet: konfidentialitet, integritet och tillgänglighet.22 Logg över anrop ska föras
22 eHDSI. Requirement catalouge. Avsnitt 10. Ensure the security, performance, traceability and audiability of the service, data and systems.
och obehörig åtkomst kan upptäckas i efterhand. Den nationella kontaktpunkten för e-hälsa måste genomgå granskning avseende informationssäkerhet och personuppgiftsbehandling innan implementation av tjänsten tillåts.
Utredningen föreslår emellertid, givet den ökade risken för obehörig tillgång, att ett integritetshöjande samtycke införs för att minska risken för detta. Samtycket fyller en viktig funktion då information endast lämnas ut där ett samtycke finns. Ju mer begränsat detta samtycke är desto mindre blir risken för obehörig åtkomst. Utredningen ser fördelar utifrån integritetsperspektiv med att patienten ska kunna begränsa såväl under vilken tid som samtycket gäller som för vilka länder. Utredningen anför även att de spärrar som patienten infört enligt lag om sammanhållen vård och omsorgsdokumentation behålls även när information tillgängliggörs över landsgränser. Alternativet där samtycke lämnas digitalt med e-legitimation kommer erbjuda högst säkerhet eftersom patienten kan aktivera det i samband med besöket och avaktivera det efter besöket om denne så önskar. Ett kort tidsfönster gör emellertid att patienten kan behöva lämna samtycke vilket kan upplevas som besvärligt.
Utredningen föreslår om det finns fara för en patients liv eller det annars finns allvarlig risk för dennes hälsa och patientens samtycke inte kan inhämtas enligt första stycket, får E-hälsomyndigheten ändå behandla personuppgifterna enligt första stycket om de kan antas ha betydelse för den vård som patienten oundgängligen behöver.
Utredningen har i samtliga fall gjort bedömningen att förslagen är proportionerliga och motiverade samt att skyddet av personuppgifter tillgodoses genom de skyddsåtgärder som föreslås.
Bedömningen i avsnitt 13.7.2 om förutsättningarna för att barn kan vara patienter i tjänsten patientöversikter inom EES har gjorts utifrån principen om barnets bästa. Som utredningen föreslår behöver bland annat barnets integritet kunna säkerställas av den personuppgiftsansvarige innan barn kan omfattas av tjänsten patientöversikter inom EES.
18.6. Konsekvenser för små företag
Utredningen resonerar kring påverkan på små företag i avsnitt 18.3 De mindre företag som påverkas av förslagen är främst små vårdgivare. Förslagna avseende krav på att tillgängliggöra uppgifter med hjälp av en digital infrastruktur som staten ska säkerställa tillgång (förslag 12.2.2) gäller lika för alla vårdgivare oavsett storlek. Stora aktörer kan sprida kostnaderna för teknisk utveckling och förvaltning oavsett om den görs av egna medarbetare eller konsult anlitas för uppdraget. Om samma upplägg som Inera tillhandahåller kvarstår kan små vårdgivare beroende på vilka journalsystem som används ansluta via en agent vill en lägre kostnad och med mindre egen förvaltning. För att ta del av uppgifter behöver emellertid inte någon teknisk anpassning av system göra men tjänster för identifiering, autenticering och behörighet behöver användas vilka kan vara förenade med kostnader.
För att undvika att den ekonomiska belastningen på enskilda små vårdföretagare ska bli för tung kan det finnas anledning att, antingen ta fram en särskild finansieringsmodell för dessa vårdgivare, i klartext en som innebär en korssubventionering i förhållande till andra vårdgivare, eller att särskilda anslagmedel tillförs Inera för att helt eller delvis finansiera uppkopplingen av denna grupp vårdgivare. Oberoende av alternativ blir gränsdragningen mellan vilka som ska subventioneras och vilka som inte ska det inte självklar. Det sistnämnda föreslår utredningen innefattas i den utredning av det eventuella förvärvet inklusive kostnadsmodell för anslutning och förvaltning av de tjänster som förvärvas som diskuteras i avsnitt 18.3.
18.7. Konsekvenser avseende särskilda informationsinsatser
Tydlig och tillgänglig information till patienterna kommer att vara viktigt för en effektiv och patientsäker process. Information till hälso- och sjukvårdspersonal inklusive apotekspersonal kommer att behövas när patientöversikter ska börja utbytas över landsgränser. Som utredningen resonerar kring i avsnitt 12.8 kommer flera myndigheter, E-hälsomyndigheten, Försäkringskassan och Socialstyrelsen kommer att ansvara för information till de olika intressenterna, utifrån respektive myndighets uppdrag. Vårdgivare och hälso- och sjukvårdspersonal behöver ha kunskaper för att kunna informera pati-
enterna om patientöversikter över landsgränser. Det finns också tillgänglig information på EU-nivå och möjlighet att kontakta utländska nationella kontaktpunkter för e-hälsa eller utlandsvård.
E-hälsomyndigheten spelar en central roll som kontaktpunkt för e-hälsa och personuppgiftsansvarig för behandlingen som tjänsten medför och för information om tjänsten patientöversikt inom EES som riktas till patienter, hälso- och sjukvårdspersonal och andra EESländer. Informationen kan ges genom egna kanaler och Ditt Europa. Försäkringskassan, som också är kontaktpunkt enligt patientrörlighetsdirektivet, har i dag information på sin hemsida om individers rätt att få vård i andra EES-länder, till exempel under vilka villkor det kan ske och formerna för detta. Socialstyrelsen har ett motsvarande uppdrag för EES-invånare som vill söka vård i Sverige. Kontaktpunkterna kommer att behöva tillhandahålla aktuell information om tjänsten e-recept över landsgränser. Den begränsade kostnaden för detta torde kunna omfattas av myndigheternas ordinarie anslag.
18.8. Konsekvenser för det kommunala självstyret
Som utredningen resonerar redan i avsnitt 18.2.5 skulle ett förvärv av SKR Företag AB:s aktier i Inera inte i formell mening påverka det kommunala självstyret i och med att SKR endast är en medlems- och arbetsgivarorganisation för kommunerna och regionerna. Ett förvärv även av de aktier som innehas av regioner och kommuner, och en eventuell avveckling av företaget och inkorporering av dess verksamhet i E-hälsomyndigheten, skulle beröva kommunerna och regionerna det inflytande de i dag har över verksamhetens inriktning i kraft av sina poster i Ineras ägarråd, styrelse och programråd. Utredningen konstaterar emellertid att många regioner, vårdgivare och kliniker som utredningen haft dialog med ser positivt på att staten tar ett samlat ansvar för grundläggande infrastruktur vilket beskrivs närmare i kapitel 11 och bilaga 8.
Detta inflytande över den framtida utvecklingen av informationshanteringen för hälsa-, vård och omsorg och måste, i så fall, garanteras på annat sätt och i andra former vilket kan innebära vissa kostnader. Utredningen gör i avsnitt 12.7 bedömningen att utvecklingen av infrastruktur inom hälso- och sjukvården och omsorgen behöver utgå från en gemensam behovsbild och prioritering och ser därför att en tillits-
full och handlingskraftig samverkan mellan regioner, kommuner och staten är central. Samverkan behöver vara sektorsspecifik men nära knuten till den utveckling som pågår inom Ena. Utredningens ser att det kan finnas behov av att förändra eller komplettera befintliga former samverkan för att erhålla gemensam styrkraft framåt. E- hälsomyndigheten i egenskap av för statens räkning ansvarig för samordningskansliet för arbetet med Vision e-hälsa som drivs tillsammans med SKR, samt i egenskap representant för sektorn Hälsa, vård och omsorg inom Ena kan enligt utredningen vara en lämplig aktör för att närmare utreda hur en sådan sektorspecifik samverkan bör sättas upp och bedrivas.
18.9. Övriga konsekvenser
Utredningens förslag bedöms inte ha konsekvenser för miljön, jämställdheten, sysselsättningen, brottsligheten och det brottsförebyggande arbetet, offentlig service i olika delar av landet jämställdheten mellan män och kvinnor eller för möjligheterna att nå de integrationspolitiska målen.
19. Författningskommentar
19.1. Förslaget till förordning (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter
Tillämpningsområde
1 §
Av paragrafen framgår förordningens tillämpningsområde.
Förordningen ska gälla E-hälsomyndighetens personuppgiftsbehandling vid hantering av patientöversikter dels inom Sverige, dels inom Europeiska ekonomiska samarbetsområdet (EES) i enlighet med de krav som har fastställts av Nätverket för e-hälsa, enligt kommissionens genomförandebeslut (EU) 2019/1765 av den 22 oktober 2019 om regler för inrättande, förvaltning och drift av ett nätverk av nationella myndigheter med ansvar för e-hälsa och om upphävande av genomförandebeslut 2011/890/EU.
Förordningen tillämpas således på den personuppgiftsbehandling som E-hälsomyndigheten behöver göra i samband med utbytet av patientöversikter nationellt, vid sammanställning och förmedling mellan vårdgivare i Sverige. Förordningen tillämpas vidare på den personuppgiftsbehandling som E-hälsomyndigheten behöver göra i samband med utbytet av patientöversikter över landsgränser (inom EES), dels vid översättning och förmedling av patientöversikter från utländska kontaktpunkter för e-hälsa till vårdgivare i Sverige, dels sammanställning, översättning och förmedling av svenska patientöversikter till utländska kontaktpunkter för e-hälsa.
De uppgifter som behandlas när utländska patientöversikter ska förmedlas till vårdgivare i Sverige kommer från utländska vårdgivare. När E-hälsomyndigheten i egenskap av kontaktpunkt för e-hälsa ska
förmedla uppgifter i svenska patientöversikter till en svensk vårdgivare eller en utländsk kontaktpunkt för e-hälsa kommer journaluppgifterna från svenska vårdgivare. Den föreslagna förordningen är inte en egentlig registerförfattning, eftersom något svenskt register i traditionell mening inte ska finnas. Förordningen ska i stället reglera E-hälsomyndighetens personuppgiftsbehandling i en viss del av sin verksamhet, nämligen den som gäller förmedlingen av personuppgifter mellan svenska vårdgivare samt till och från utländska konstakpunkter för e-hälsa i samband med att patientöversikter ska förmedlas till och från utlandet.
Övervägandena finns i avsnitt 14.2.
Uttryck i förordningen
2 §
I paragrafen definieras vad som avses med patientöversikt i förordningen. Med patientöversikt avses en sammanställning av utvalda uppgifter om en patient och dess hälsa och vård som syftar till att bidra till en god och säker vård.
Övervägandena finns i avsnitt 10.3.
3 §
I paragrafen definieras vad som i förordningen avses med vårdgivare samt hälso- och sjukvård. Begreppen vårdgivare samt hälso- och sjukvård ska i förordningen definieras på samma sätt som uttryckens angivna betydelse i 1 kap. 1 § lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.
Skälet till denna hänvisning, i stället för att skriva ut motsvarande definition i förordningen, är att den i lagen använda definitionen är lämplig i sin avgränsning även för betydelsen i förordningens mening. Vidare bidrar hänvisningen till en enklare hantering om definitionen ändras i lagen om sammanhållen vård- och omsorgsdokumentation.
Övervägandena finns i avsnitt 14.3.
4 §
I paragrafen definieras vad som är en kontaktpunkt för e-hälsa. Med begreppet kontaktpunkt för e-hälsa avses en sådan nationell kontaktpunkt för gränsöverskridande hälso- och sjukvård som har utsetts i en medlemsstat i EES i enlighet med artikel 6 i patientrörlighetsdirektivet.
Enligt Nätverket för e-hälsas krav ska endast en sådan kontaktpunkt för e-hälsa utses av respektive land. I Sverige är detta E-hälsomyndigheten. Den utsedda kontaktpunkten för e-hälsa ska granskas och godkännas av kommissionen och medlemsländerna i Nätverket för e-hälsa innan medlemslandet får delta i informationsutbytet med patientöversikter. En patientöversikt förmedlas från ett EES-land till Sverige eller vice versa genom de båda medlemsländernas respektive nationella kontaktpunkter för e-hälsa.
Övervägandena finns i avsnitt 14.3.
Förhållandet till annan reglering
5 §
Paragrafen innehåller upplysningar om förordningens förhållande till annan dataskyddsreglering.
Första stycket upplyser om att förordningen innehåller bestäm-
melser som kompletterar EU:s dataskyddsförordning. EU:s dataskyddsförordning är direkt tillämplig i varje medlemsland men förutsätter eller tillåter i vissa avseenden kompletterande nationell reglering, antingen i form av preciseringar eller i form av undantag. Hänvisningen i förordningen till EU:s dataskyddsförordning är dynamisk, det vill säga den avser dataskyddsförordningen i dess vid varje tidpunkt gällande lydelse.
Av andra stycket framgår förordningens relation till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) och föreskrifter som har meddelats i anslutning till den lagen. Dataskyddslagen kompletterar EU:s dataskyddsförordning och innehåller generella bestämmelser som gäller nationellt. Detta innebär att förordningen om personuppgiftsbehandling vid E-hälsomyndigheten i samband med gränsöverskridande hälso- och sjukvård har företräde framför dataskyddslagen. Om inte annat
följer av denna förordning eller föreskrifter som har meddelats med stöd av förordningen, gäller dataskyddslagen.
Övervägandena finns i avsnitt 14.4.
Personuppgiftsansvarig
6 §
Paragrafen anger att E-hälsomyndigheten är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför med stöd av förordningen.
Av definitionen av personuppgiftsansvarig i artikel 4.7 i dataskyddsförordningen framgår att om ändamålen och medlen för behandlingen bestäms av EU-rätten eller medlemsländernas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses, föreskrivas i sådan rätt. Det är alltså tillåtet enligt dataskyddsförordningen att i nationell rätt ange vem som är personuppgiftsansvarig för en viss behandling av personuppgifter (se artikel 6.2 och 6.3 samt skäl 45 till dataskyddsförordningen).
I lagen (2018:1212) om nationell läkemedelslista placerades personuppgiftsansvaret på E-hälsomyndigheten på grund av myndighetens särskilda karaktär av infrastrukturmyndighet för att kunna erbjuda en konkurrensneutral samt ur integritetssynpunkt säker överföring av personuppgifter mellan olika aktörer. E-hälsomyndigheten har en motsvarande roll i egenskap av kontaktpunkt för e-hälsa vid utbyte av patientöversikter. Samma skäl bör därför beaktas även i detta sammanhang. Här kan vidare framhållas vad som framgår av artikel 7 i Kommissionens genomförandebeslut (EU) 2019/1765 om Nätverket för e-hälsa, det vill säga att medlemsstaterna, företrädda av relevanta nationella myndigheter eller andra utsedda organ, ska betraktas som personuppgiftsansvariga för de personuppgifter som de behandlar genom infrastrukturen för digitala e-hälsotjänster i samband med gränsöverskridande informationstjänster för e-hälsa.
Det är lämpligt att tydliggöra vem som är personuppgiftsansvarig för en viss behandling av personuppgifter i nationell rätt. E-hälsomyndigheten ska vara personuppgiftsansvarig för den behandling som myndigheten utför i samband med att patientöversikter förmedlas över landsgränser.
När det gäller utbytet av patientöversikter mellan vårdgivare i Sverige gäller dock den särskilda regleringen om personuppgiftsansvar i lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation. I lagen om sammanhållen vård- och omsorgsdokumentation (fortsättningsvis SVOD) finns reglering av det nationella utbytet av patientöversikter. I den lagen stadgas en kravställning på vårdgivare att ge E-hälsomyndigheten elektronisk tillgång till uppgifter om en patient för att tillföras en patientöversikt inom Sverige samt att från E-hälsomyndigheten elektroniskt kunna ta del av sådan patientöversikt. Den föreslagna regleringen i SVOD om utbyte av patientöversikter inom Sverige ska enligt hänvisningar i såväl nämnda lag som nu aktuell förordning i övrigt följa de bestämmelser (om exempelvis samtycke och undantag från detta, möjlighet att spärra uppgifter samt vårdgivares behandling av uppgifter) som föreskrivs i SVOD. I lagen finns även tydligt utrett vad som ska gälla beträffande personuppgiftsansvar vid utbyte av information mellan vårdgivare. Av 4 kap. 1 § SVOD följer att en vårdgivare eller en omsorgsgivare är personuppgiftsansvarig för behandling av personuppgifter enligt lagen. Den bakomliggande motiveringen till att den som behandlar uppgifterna är personuppgiftsansvarig för den behandlingen som utförs finns utförligt beskriven i lagens förarbeten (prop. 2021/22:177, bland annat s. 130–133). Det är inte lämpligt att inte göra någon särskild förändring av personuppgiftsansvaret i SVOD för tillägget om utbyte av patientöversikter. Detta förtydligas därför i förordningens bestämmelse om personuppgiftsansvar genom att det anges att utbytet av patientöversikter mellan vårdgivare i Sverige ska omfattas av regleringen om personuppgiftsansvar i SVOD. Följden bör bli att E-hälsomyndigheten i detta fall är att anse som personuppgiftsbiträde.
Övervägandena finns i avsnitt 14.5.
Ändamål med behandlingen av personuppgifter
7 §
Paragrafen reglerar de ändamål för vilka personuppgifter får behandlas enligt förordningen.
Det primära ändamålet för E-hälsomyndighetens behandling av personuppgifter enligt förordningen är utbyte av patientöversikter
och det övergripande syftet med detta är att upprätthålla en hög patientsäkerhet.
I paragrafens tre inledande punkter specificeras olika situationer då detta aktualiseras. Ändamålet i punkten 1 avser sammanställning och förmedling av patientöversikter mellan vårdgivare i Sverige. Ändamålet i punkten 2 avser översättning och förmedling av patientöversikter från utländska kontaktpunkter för e-hälsa till vårdgivare i Sverige. Ändamålet i punkten 3 avser sammanställning, översättning och förmedling av svenska patientöversikter till utländska kontaktpunkter för e-hälsa.
Begreppet patientöversikt definieras i 2 §. Genom hänvisningen till patientöversikt begränsas vilka personuppgifter som får behandlas för ändamålet. Ändamålet omfattar den behandling som är nödvändig för att en svensk patientöversikt eller en patientöversikt från EES ska kunna förmedlas av E-hälsomyndigheten, vilket bland annat omfattar den nödvändiga informationsöverföringen som E-hälsomyndigheten utför som nationell kontaktpunkt för e-hälsa. Med samman-
ställning avses den process som E-hälsomyndigheten behöver vidta
innan en svensk patientöversikt förmedlas vidare, exempelvis strukturering och mappning.
Ändamålet i punkten 4 avser redovisning till Socialstyrelsen för statistikändamål.
Ändamålet i punkten 5 avser framställning av statistik hos E-hälsomyndigheten. Ändamålet möjliggör för E-hälsomyndigheten att använda uppgifterna om förmedlade patientöversikter för framställning av statistik.
Övervägandena finns i avsnitt 14.7.1–14.7.5.
Personuppgifter som får behandlas
8 §
Paragrafen innehåller en bestämmelse om vilka personuppgifter som E-hälsomyndigheten får behandla. Genom paragrafen görs det tydligt att E-hälsomyndigheten endast får behandla de personuppgifter som behövs för de tillåtna ändamålen enligt förordningen.
De personuppgifter som E-hälsomyndigheten kommer att behandla enligt förordningen är hänförliga till patienten och hälso- och sjukvårdspersonal. Vilken information patientöversikten inom EES
ska innehålla fastställs i de riktlinjer som Nätverket för e-hälsa beslutat om. Den tredje upplagan av riktlinjer som publicerades i juni 2021 syftade till att fylla luckor i tidigare upplaga samt utveckla innehållet så att det även inkluderar ändamålet planerad vård. I riktlinjerna framhålls att en bred och heltäckande definition av patientöversikt över landsgränser på EU-nivå kan bli en startpunkt för en europeisk standard avseende datainsamling, vilket i sin tur kan främja implementation på nationell och regional nivå. Vilka informationsmängder patientöversikten innefattar är ett resultat av pågående diskussioner och samverkan inom nätverket. Det framgår av riktlinjerna att Nätverket för e-hälsa är ansvariga för att uppdatera dem och att det ska ske med 2–3 års mellanrum. Målet på sikt är att bilddiagnostik, labbresultat, utskrivningsrapporter och så småningom all hälsodata (”full health record”) ska vara tillgängliga inom Europa. Fler informationsmängder och förändringar i föreslagna definitioner av informationsmängder kommer därmed att tillkomma över tid. Patientöversikten är därigenom inte en fast samling utan en föränderlig och växande samling av informationsmängder.
Övervägandena finns i avsnitt 14.8.
Bevarandetid
9 §
Paragrafen reglerar hur länge personuppgifter får bevaras enligt förordningen. Personuppgifter ska tas bort när de inte längre är nödvändiga att behandla för tillåtna ändamål enligt förordningen.
Lagring av personuppgifter är en form av behandling av personuppgifter enligt dataskyddsförordningen. Huvudregeln i artikel 5.1 e i EU:s dataskyddsförordning är att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Denna utgångspunkt får anses vara ett uttryck för resultatet av avvägningen mellan integritetsskyddsintresset och det informationsbehov som uppgifterna ska tillgodose. När en personuppgift inte längre behöver behandlas för de ursprungliga ändamålen ska uppgiften raderas eller avidentifieras.
Vid utbytet av patientöversikter kommer känsliga personuppgifter att behandlas om patienters hälsa. Behandlingen kan komma
att omfatta en stor mängd patienter. Det är lämpligt med en bestämmelse om vilken bevarandetid som ska gälla för uppgifterna som behandlas enligt förordningen. Bevarandetidens längd ska motiveras utifrån de ändamål som förordningen avser att tillgodose och med beaktande av integritetsskyddsintresset.
Personuppgifter får, som redogjorts för ovan, enligt artikel 5.1 e i dataskyddsförordningen inte bevaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som behövs för ändamålet. Denna regel ska gälla för E-hälsomyndighetens behandling enligt förordningen. I bestämmelsen anges inte någon specifik tidsgräns.
Övervägandena finns i avsnitt 14.9.
Krav på tystnadsplikt
10 §
Paragrafen innehåller en upplysning om att det i EU:s dataskyddsförordning finns bestämmelser om krav på tystnadsplikt vid behandling av känsliga personuppgifter.
Övervägandena finns i avsnitt 14.10.
Patientens samtycke
11 §
Paragrafen anger att E-hälsomyndigheten får behandla personuppgifter om patienten enligt 7 § 1–2 endast om patienten samtyckt till detta. Det finns ett undantag i paragrafens andra stycke som stadgar att om det finns fara för en patients liv eller det annars finns allvarlig risk för dennes hälsa och patientens samtycke inte kan inhämtas enligt första stycket, får E-hälsomyndigheten ändå behandla personuppgifterna om de kan antas ha betydelse för den vård som patienten oundgängligen behöver. I paragrafens tredje stycke anges att för den personuppgiftsbehandling som E-hälsomyndigheten gör vid utbyte av patientöversikter mellan vårdgivare i Sverige gäller särskilda bestämmelser om patientens inställning till behandlingen enligt de förutsättningar och hänvisningar som följer av 2 kap. 1 § i lagen (2022:913)
om sammanhållen vård- och omsorgsdokumentation (fortsättningsvis SVOD).
Kravet i första stycket ska gälla som huvudregel vid förmedling av patientöversikter över landsgränser. Anledningen härför är att det rör sig om känsliga personuppgifter som dessutom ska föras över landsgränser och som E-hälsomyndigheten som personuppgiftsansvarig inte har något behov av att behandla om inte patienten själv vill det. Ett sådant samtycke utgör en integritetshöjande skyddsåtgärd. Genom kravet på samtycke minskar också risken att uppgifterna överförs av misstag eller på felaktiga grunder.
Samtycke från en svensk patient bör lämnas till E-hälsomyndigheten. En patient som innehar e-legitimation ska kunna lämna samtycket digitalt och signera elektroniskt, medan en patient som saknar e-legitimation ska kunna lämna samtycke muntligt eller på annat sätt i förväg.
En utländsk patient som söker vård i Sverige ska få information om personuppgiftsbehandlingen i Sverige och få möjlighet att ta ställning till om denne vill att patientöversikten från hemlandet ska begäras in. Även patienter som är försäkrade i ett annat EES-land behöver lämna samtycke innan hantering får ske av patientens personuppgifter. Samtycket bör kunna ges till hälso- och sjukvårdspersonalen i samband med vårdbesöket.
När en patient inte är vid medvetande och då det potentiellt samtidigt kan röra sig om en akut situation finns ett undantag från kravet på patientens samtycke. Ledning kan hämtas från resonemang i förarbetena till SVOD. Regeringen uttalade där bland annat följande (se prop. 2021/22:177 s. 126–127).
Rekvisitet ”kan antas ha betydelse” förutsätter enligt förarbetena att den som avser att bereda sig tillgång till uppgifterna gör något aktivt ställningstagande till vilken betydelse uppgiften kan ha. Det bör vara den eller de behöriga befattningshavarna hos vårdgivaren som ges denna åtkomst respektive får behandla uppgifterna. Vem som är behörig befattningshavare bestäms av vårdgivaren. Självfallet ska i första hand patienten själv begära att en spärr hävs eller samtycke inhämtas. Det kan emellertid av olika skäl vara omöjligt. Med förutsättningarna att fara finns för patientens liv eller att det annars finns allvarlig risk för dennes hälsa avses att det i princip ska vara fråga om en allvarlig situation då de spärrade uppgifterna bedöms vara viktiga för den vård eller behandling som omgående måste sättas in. Det ska av hänsyn till pati-
entsäkerheten inte vara möjligt att avvakta en tid för att patienten ska kunna begära att spärren hävs (en akut nödsituation). Patienten är kanske medvetslös eller alltför medtagen för att kunna ta ställning till frågan. Vidare kan saken brådska så att det inte finns någon tid att invänta att patienten begär att spärren hävs eller att inhämta samtycke. Det ska vara sådana och liknande skäl som gör att patientens val att begära att en spärr hävs inte kan inväntas eller att samtycke inte kan inhämtas (jämför prop. 2007/08:126 s. 253 ).
En reglering införs i förordningen utifrån motsvarande resonemang.
Som redogjorts för i kommentaren till 6 § ska de bestämmelser som föreskrivs i SVOD om exempelvis samtycke och undantag från detta, möjlighet att spärra uppgifter samt vårdgivares behandling av uppgifter gälla vid det nationella utbytet av patientöversikter. Därför införs en upplysning i förordningens samtyckesbestämmelse om att regleringen i nämnda lag ska tillämpas avseende patientens inställning till behandlingen när det gäller utbytet av patientöversikter inom Sverige.
Övervägandena finns i avsnitt 14.11.
Uppgiftsskyldighet
12 §
Paragrafen reglerar i punkten 1–2 E-hälsomyndighetens uppgiftsskyldighet till vårdgivare i Sverige respektive utländska kontaktpunkter för e-hälsa.
E-hälsomyndigheten ska till vårdgivare i Sverige och utländska kontaktpunkter för e-hälsa lämna ut de uppgifter som är nödvändiga för förmedling av patientöversikter. Det måste säkerställas att E-hälsomyndigheten kan lämna ut sekretessbelagda uppgifter i samband med förmedling av patientöversikter. Personuppgifterna omfattas av sekretess hos E-hälsomyndigheten enligt 25 kap. 17 a § offentlighets- och sekretesslagen (2009:400), fortsättningsvis OSL. Det införs därför en sekretessbrytande bestämmelse och en hänvisning till förordningen i OSL. För att E-hälsomyndigheten inte ska behöva göra en sekretessprövning i varje enskilt fall behövs dessutom ifrågavarande bestämmelse om uppgiftsskyldighet i förordningen. Genom bestämmelsen tydliggörs att utlämnandet av uppgifterna är en uppgift för
E-hälsomyndigheten och är behörigt. En sekretessbrytande bestämmelse som möjliggör ett sådant utlämnande av uppgifter finns i 25 kap. 17 c § 5 OSL.
E-hälsomyndigheten ska följaktligen ha en uppgiftsskyldighet till svenska vårdgivare när det gäller uppgifter i en patientöversikt som förmedlats från en annan svensk vårdgivare eller från en utländsk kontaktpunkt för e-hälsa. Vidare ska myndigheten ha en uppgiftsskyldighet till en utländsk kontaktpunkt för e-hälsa avseende uppgifter i en svensk patientöversikt.
I punkten 3 regleras uppgiftsskyldighet till Socialstyrelsen för de statistikändamål som följer av 7 §4.
Övervägandena finns i avsnitt 14.12.2–14.12.3.
Behörighetstilldelning
13 §
Paragrafen reglerar åtkomsten till personuppgifter som behandlas enligt förordningen. E-hälsomyndigheten ska bestämma villkor för tilldelning av behörighet till den som arbetar hos myndigheten för åtkomst till uppgifter som behandlas enligt denna förordning. Sådan behörighet ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom E-hälsomyndigheten.
Utbytet av patientöversikter omfattar en stor mängd känsliga personuppgifter. Det är därför viktigt att det tydligt framgår att E-hälsomyndigheten som personuppgiftsansvarig har ansvaret för att den elektroniska åtkomsten till personuppgifter hos myndigheten inte är mer omfattande än vad som krävs för att den enskilde på myndigheten ska kunna fullgöra sina arbetsuppgifter.
Övervägandena finns i avsnitt 14.13.
Åtkomstkontroll
14 §
Paragrafen reglerar E-hälsomyndighetens ansvar att se till att åtkomst till uppgifterna som behandlas enligt förordningen dokumenteras och kan kontrolleras. Myndigheten ska göra systematiska och återkom-
mande kontroller av om någon obehörigen kommer åt sådana uppgifter.
Övervägandena finns i avsnitt 14.13.
Ikraftträdande
Denna förordning träder i kraft den 1 november 2025.
Övervägandena finns i kapitel 17.
19.2. Förslaget till lag om ändring i patientdatalagen (2008:355)
1 kap.
3 §
I paragrafen definieras vissa begrepp som är centrala för lagen.
En ny definition förs in. Begreppet patientöversikt ska i lagen definieras på samma sätt som uttryckets angivna betydelse i 2 § i förordningen (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter.
Skälet till denna hänvisning, i stället för att skriva ut motsvarande definition i lagen, är främst att bidra till en enklare hantering om definitionen ändras i förordningen.
Övervägandena finns i avsnitt 15.1.2.
2 kap.
4 §
I paragrafen anges tillåtna ändamål för personuppgiftsbehandling inom hälso- och sjukvården. Ett nytt ändamål införs avseende utlämnande av uppgifter till E-hälsomyndigheten.
Vårdgivare ska få behandla personuppgifter för ändamålet utlämnande av uppgifter till E-hälsomyndigheten för sammanställning, översättning och förmedling av en patientöversikt till en utländsk kontaktpunkt för e-hälsa.
Övervägandena finns i avsnitt 15.1.5.
5 kap.
7 §
Paragrafen reglerar krav på vårdgivare vid utbyte av patientöversikter inom EES.
Kravet innebär att vårdgivare som avses i denna lag ska, under förutsättning att patienten har lämnat samtycke i enlighet med 11 § förordningen förordning (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter, dels ge E-hälsomyndigheten elektronisk tillgång till uppgifter om en patient för att tillföras en patientöversikt inom Sverige, dels elektroniskt kunna ta del av sådan patientöversikt. För att säkerställa E-hälsomyndighetens tillgång till samtliga de uppgifter som behövs för förmedling av patientöversikter, det vill säga att patientöversikten blir så fullständig och rättvisande som möjligt, ska ett krav gälla för vårdgivare att ge E-hälsomyndigheten tillgång till uppgifter om en patient för att tillföras en patientöversikt inom EES. En vårdgivare ska således vara skyldig att tillgängliggöra vissa utvalda informationsmängder om en patient som söker vård utomlands. Utöver kravet på att ge tillgång till uppgifter om en patient för att tillföras en patientöversikt ska vårdgivare kunna ta del av sådan patientöversikt. Vårdgivarna kravställs således att kunna medverka vid utbytet i informationsöverföringens båda riktningar.
Med begreppen att tillgängliggöra eller ge tillgång till uppgifter avses att ge tillgång till digitala uppgifter.
Bestämmelsen innehåller även en skyldighet för vårdgivaren att innan uppgifter om en patient görs tillgängliga för E-hälsomyndigheten informera patienten om vad patientöversikt inom EES innebär och patientens möjlighet att motsätta sig att uppgifter görs tillgängliga för utbyte av sådan patientöversikt. Om uppgifter om en patient har spärrats enligt 2 kap. 3 § första stycket lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation ska spärren gälla även vid hantering av uppgifter om en patient enligt nu föreslagen bestämmelse. Således gäller en sådan spärr även då patientens uppgifter ska tillföras en patientöversikt inom EES.
Kraven i paragrafen ska inte gälla verksamhet som avses i lagen (2018:744) om försäkringsmedicinska utredningar eller lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar.
Från kravet i bestämmelsen undantas vissa kategorier av vårdgivare, nämligen de som bedriver tandvård eller kommunal hälso- och sjukvård. Det är dock möjligt även för de vårdgivarna att ge tillgång till uppgifter och ta del av patientöversikter i enlighet med kravet på övriga vårdgivare. För vårdgivare som använder sig av den möjligheten ska övriga krav som de kravställda vårdgivarna måste iaktta, i till exempel föreskrifter, gälla även för dem.
Övervägandena finns i avsnitt 15.1.7.
8 §
Paragrafen anger att regeringen eller den myndighet som regeringen bestämmer får föreskriva om krav på vilka uppgifter som vårdgivarna ska lämna ut för att tillföras en patientöversikt enligt 7 §.
Vidare stadgas att E-hälsomyndigheten får föreskriva om krav på hur vårdgivarna på elektronisk väg ska kunna ge E-hälsomyndigheten tillgång till uppgifter samt kunna ta del av patientöversikter. E-hälsomyndigheten är lämplig att föreskriva i detta avseende i egenskap av nationell kontaktpunkt för e-hälsa och utifrån de krav på bland annat tillhandahållande av system som framgår av myndighetens instruktion.
Övervägandena finns i avsnitt 15.1.7–-15.1.9.
Ikraftträdande
Denna lag träder i kraft den XX 202X.
Övervägandena finns i kapitel 17.
19.3. Förslaget till lag om ändring i lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation
1 kap.
1 §
I paragrafen definieras vissa begrepp som är centrala för lagen.
En ny definition förs in. Begreppet patientöversikt ska i lagen definieras på samma sätt som uttryckets angivna betydelse i 2 § i förordningen (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter.
Skälet till denna hänvisning, i stället för att skriva ut motsvarande definition i lagen, är främst att bidra till en enklare hantering om definitionen ändras i förordningen.
Övervägandena finns i avsnitt 15.2.3.
2 kap.
1 §
I paragrafen regleras hur en vårdgivare får, under vissa angivna förutsättningar i lagens 2 kap. 2–6 §§ och 3 kap. 1, 3, 5 och 6 §§, ges tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas av andra vårdgivare eller av omsorgsgivare.
Ett tillägg till regleringen införs avseende krav på vårdgivare vid utbyte av patientöversikter inom Sverige. En patientöversikt inom Sverige är en sammanställning av utvalda uppgifter om en patient och dess hälsa och vård som delas mellan vårdgivare nationellt men där E-hälsomyndigheten, i likhet med motsvarande utbyte av patientöversikter som sker med andra EES-länder (jämför 5 kap. 7 § patientdatalagen), är den som sammanställer och förmedlar patientöversikten till den mottagande vårdgivaren, efter att myndigheten fått tillgång till uppgifterna från de vårdgivare som tillgängliggjort informationen.
Kravet innebär att en vårdgivare ska under de förutsättningar som anges i 2 kap. 1 § första stycket första meningen (det vill säga bestämmelserna i 2 kap. 2–6 §§ och 3 kap. 1, 3, 5 och 6 §§) ge E-hälso-
myndigheten elektronisk tillgång till uppgifter om en patient för att tillföras en patientöversikt inom Sverige och från E-hälsomyndigheten elektroniskt kunna ta del av sådan patientöversikt. Genom hänvisningen till bestämmelserna som räknas upp i första stycket första meningen avses tydliggöra att de förutsättningarna måste vara uppfyllda även för att vårdgivares tillgängliggörande av uppgifter till E-hälsomyndigheten ska vara tillåten i samband med att uppgifter ska tillföras en patientöversikt inom Sverige.
Med begreppen att tillgängliggöra eller ge tillgång till uppgifter avses att ge tillgång till digitala uppgifter.
Kraven ska inte gälla vårdgivare som bedriver tandvård eller kommunal hälso- och sjukvård. Dessa vårdgivare samt omsorgsgivare får dock ge tillgång till uppgifter i enlighet med kravet på övriga vårdgivare. För vårdgivare eller omsorgsgivare som använder sig av den möjligheten ska övriga krav som de kravställda vårdgivarna måste iaktta, i till exempel föreskrifter, gälla även för dem.
Regeringen eller den myndighet som regeringen bestämmer får avseende utlämnandet meddela föreskrifter om krav på vilka uppgifter som ska tillgängliggöras för att tillföras en sådan patientöversikt. E-hälsomyndigheten får meddela föreskrifter om hur vårdgivarna elektroniskt ska kunna ge E-hälsomyndigheten tillgång till uppgifter och hur vårdgivarna elektroniskt ska kunna ta del av patientöversikter från E-hälsomyndigheten. E-hälsomyndigheten är lämplig att föreskriva i detta avseende i egenskap av nationell kontaktpunkt för e-hälsa och utifrån de krav på bland annat tillhandahållande av system som framgår av myndighetens instruktion.
Övervägandena finns i avsnitt 15.2.4–15.2.6.
Ikraftträdande
Denna lag träder i kraft den XX 202X.
Övervägandena finns i kapitel 17.
19.4. Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)
25 kap.
11 §
Paragrafen innehåller sekretessbrytande bestämmelser.
Tillägget av sjunde punkten innebär att sekretessen enligt 25 kap. 1 § inte hindrar att uppgift lämnas till E-hälsomyndigheten enligt vad som föreskrivs i 5 kap. 7 § patientdatalagen (2008:355) och i och 2 kap. 1 § lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation. Enligt nämnda bestämmelser i ska vårdgivare ge Ehälsomyndigheten tillgång till uppgifter om en patient för att tillföras en patientöversikt inom Sverige eller inom EES. Uppgifterna ska tillgängliggöras elektroniskt utan att vårdgivaren vid varje enskilt utlämnande kan göra en menprövning. För att tillgängliggörandet ska vara rättsligt tillåtet krävs ett undantag från sekretessen. Av det skälet införs ifrågavarande bestämmelse om undantag från sekretess, i de fall uppgifterna tillgängliggörs med stöd av de bestämmelserna i respektive lag. En vårdgivare får därmed tillgängliggöra uppgifter att tillföras en patientöversikt till E-hälsomyndigheten utan hinder av sekretess.
Övervägandena finns i avsnitt 15.3.1.
17 c §
Paragrafen innehåller sekretessbrytande bestämmelser.
En ändring görs i första punkten som innebär att sekretessen enligt 17 a och 17 b §§ inte hindrar att uppgift från den nationella läkemedelslistan lämnas enligt lagen (2018:1212) om nationell läkemedelslista till en utländsk kontaktpunkt för e-hälsa som utsetts enligt artikel 6 i direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård (patientrörlighetsdirektivet). Ändringen innebär att E-hälsomyndigheten kan lämna uppgifter till den utländska kontaktpunkten för e-hälsa utan hinder av sekretess.
Med utländsk kontaktpunkt för e-hälsa avses i lagen en nationell kontaktpunkt för e-hälsa vid gränsöverskridande hälso- och sjuk-
vård som har utsetts till sådan kontaktpunkt i enlighet med artikel 6 i patientrörlighetsdirektivet.
En femte punkt införs som innebär att sekretess enligt 17 a och 17 b §§ inte heller hindrar att uppgift som behandlas med stöd av förordningen (0000:000) om personuppgiftsbehandling vid E-hälsomyndigheten i samband med hantering av patientöversikter lämnas till en svensk privat vårdgivare eller en utländsk kontaktpunkt för ehälsa med stöd av bestämmelser i nämnda förordning. Den nya bestämmelsen behövs då det vid utbyte av patientöversikter finns ett behov av att lämna ut uppgifter som omfattas av sekretess hos E-hälsomyndigheten (25 kap. 17 a och 17 b §§) till en utländsk kontaktpunkt för e-hälsa och även till svenska privata vårdgivare. Det bör regleras i OSL att sådant utlämnande är tillåtet.
Övervägandena finns i avsnitt 15.3.1.
Ikraftträdande
Denna lag träder i kraft den XX 202X.
Övervägandena finns i kapitel 17.
19.5. Förslaget till lag om ändring i lagen (2018:1212) om nationell läkemedelslista
3 kap.
4 §
Paragrafen anger ett nytt ändamål för personuppgiftsbehandling som gäller tillförande av uppgifter till en patientöversikt som ska sammanställas och förmedlas till en utländsk kontaktpunkt för e-hälsa.
Personuppgiftsbehandlingen avseende utbyte av patientöversikter med en utländsk kontaktpunkt för e-hälsa motsvarar väsentligen den behandling som E-hälsomyndigheten gör när uppgifter ur läkemedelslistan lämnas ut till en svensk vårdgivare. De huvudsakliga syftena att åstadkomma en säker ordination av läkemedel samt ge vård eller behandling av en patient är desamma, så även personuppgifternas art. Däremot är sammanhanget som behandlingen görs i nytt såtillvida att behandling skulle kunna genomföras för beredande
av vård utomlands knappast kan påstås vara något den registrerade rimligen haft att räkna med vid insamlingen av personuppgifterna. Det finns också skillnader beträffande konsekvenserna av personuppgiftsbehandlingen och de skyddsåtgärder som tillämpas. Sammantaget innebär detta att andra integritetsaspekter måste iakttas än när det är fråga om utlämnande till en svensk vårdgivare. Ett nytt ändamål behöver därför införas i lagen.
Övervägandena finns i avsnitt 15.4.3.
Ikraftträdande
Denna lag träder i kraft den XX 202X.
Övervägandena finns i kapitel 17.
Kommittédirektiv 2020:80
Vissa frågor om förskrivning och expediering av elektroniska recept inom EES
Beslut vid regeringssammanträde den 30 juli 2020
Sammanfattning
En särskild utredare ska kartlägga informationsflöden och ansvarsfördelning i fråga om förskrivning och expediering av elektroniska recept (e-recept) inom Europeiska ekonomiska samarbetsområdet (EES). Utredaren ska vid behov lämna förslag på nationell reglering eller andra åtgärder i syfte att säkerställa en patientsäker och effektiv läkemedelsprocess vid sådant informationsutbyte.
Utredaren ska bl.a.
- kartlägga de olika delarna i läkemedelsprocessen samt beskriva vilket ansvar som berörda aktörer har när e-recept utfärdade i andra EES-länder ska expedieras i Sverige och e-recept utfärdade i Sverige ska expedieras i andra EES-länder,
- analysera behovet av att reglera den personuppgiftsbehandling som öppenvårdsapoteken utför vid expedieringar i Sverige av e-recept utfärdade i annat EES-land eller svenska e-recept som expedieras utomlands,
- analysera möjligheterna att inkludera uppgifter om förskrivare, farmaceuter och öppenvårdsapotek från andra EES-länder i den nationella läkemedelslistan, och
- analysera huruvida förekomsten av digitala vårdtjänster och arbetet inom nätverket för e-hälsa motiverar behov av ytterligare in-
satser för att säkerställa en patientsäker expediering av andra EESländers e-recept på ett svenskt öppenvårdsapotek och expediering av ett svenskt e-recept i andra EES-länder.
Uppdraget ska redovisas senast den 30 september 2021.
Bakgrund till uppdraget
Patientrörlighetsdirektivet
Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård (patientrörlighetsdirektivet) innehåller bestämmelser för att göra det lättare att få tillgång till en säker och högkvalitativ gränsöverskridande hälso- och sjukvård, och uppmuntrar till samarbete om hälso- och sjukvård mellan medlemsstater, samtidigt som fullständig hänsyn ska tas till nationell kompetens i fråga om organisation och tillhandahållande av hälso- och sjukvård (artikel 1.1). Direktivet är genomfört i svensk rätt bl.a. genom lagen (2013:513) om ersättning för kostnader till följd av vård i ett annat land inom Europeiska ekonomiska samarbetsområdet, se propositionen Patientrörlighet i EU – förslag till ny lagstiftning (prop. 2012/13:150).
Enligt artikel 11 i patientrörlighetsdirektivet ska medlemsstaterna se till att recept som utfärdats i en annan medlemsstat kan expedieras i det egna landet under vissa förutsättningar. Medlemsstaterna ska se till att ett recept minst innehåller de uppgifter som räknas upp i en icke-uttömmande förteckning, som framgår av Europeiska kommissionens genomförandedirektiv 2012/52/EU av den 20 december 2012 om åtgärder för att underlätta erkännandet av recept som utfärdats i en annan medlemsstat. I Sverige bedöms dessa uppgifter framgå av Läkemedelsverkets föreskrifter (HSLF-FS 2019:32) om förordnande och utlämnande av läkemedel och teknisk sprit (se prop. 2012/13:150 s. 100–102).
I patientrörlighetsdirektivet pekas ett antal områden ut där fördjupad samverkan eftersträvas för att uppnå direktivets syften (se bl.a. skäl 51 och kapitel IV). Ett av dessa områden rör e-hälsa (artikel 14). Samarbetet om e-hälsa är frivilligt och syftar till att möjliggöra utbyte av patientrelaterad information, bland annat elektroniska recept
(e-recept), inom unionen. Samarbetet ska enligt artikel 14 göras inom ramen för ett frivilligt nätverk, benämnt nätverket för e-hälsa.
Nätverket för e-hälsa
Nätverket för e-hälsa är ett samarbete som kopplar ihop nationella myndigheter som ansvarar för e-hälsa, utsedda av medlemsstaterna. Nätverket syftar till att stödja arbetet med att möjliggöra informationsutbyte mellan medlemsstaterna. Nätverket etablerades i samband med att patientrörlighetsdirektivet beslutades 2011 och samtliga EUländer ingår. Norge deltar i nätverket som observatör. Sverige representeras i nätverket av Socialdepartementet och E-hälsomyndigheten. Nätverkets uppgifter enligt artikel 14 i patientrörlighetsdirektivet är bl.a. att – arbeta för att tillhandahålla europeiska system och tjänster som
rör e-hälsa, – utarbeta riktlinjer om uppgifter som kan delas vid gränsöverskri-
dande hälso- och sjukvård, och – stödja medlemsstaterna vid utarbetande av gemensamma åtgärder
för identifiering och autentisering för att underlätta överföring av uppgifter.
Inom ramen för nätverkets arbete har såväl ett stort antal vägledande dokument tagits fram som en teknisk infrastruktur på EU-nivå som möjliggör ett säkert informationsutbyte. Information som prioriterats i samarbetet inledningsvis är e-recept och s.k. patientöversikter. Patientöversikter är sammanställningar av den mest nödvändiga journalinformationen som behövs vid ett vårdtillfälle. Ytterligare informationsmängder som diskuterats för framtida utbyte över landsgränser är bl.a. laboratoriedata och medicinska bilder. För att stödja arbetet i nätverket har tre gemensamma åtgärder, s.k. joint actions, genomförts: eHealth Governance Initiative (eHGI), Joint Action to support the eHealth Network (JAseHN) och eHealth Action (eHaction). Åtgärderna är EU-övergripande projekt som finansieras via Europeiska kommissionen och syftar till att stödja arbetet som görs inom ramen för nätverket. Exempel på insatser som gjorts genom dessa gemensamma åtgärder är bl.a. att upprätta en förvaltningsstruktur för gräns-
överskridande e-hälsotjänster och att utarbeta riktlinjer för e-recept och patientöversikter. E-hälsomyndigheten har aktivt medverkat i detta arbete som en del i myndighetens årliga uppdrag på området.
Det EU-gemensamma utvecklingsarbete som genomförts inom ramen för nätverket för e-hälsa har också resulterat i att Finland och Estland börjat utbyta e-recept och ytterligare länder förväntas komma igång under kommande år.
Patientrörligheten inom EU
De mest heltäckande data som finns att tillgå som publicerats av Europeiska kommissionen rör situationen 2016. Dessa data visar att drygt 200 000 patienter per år nyttjar de system som införts genom patientrörlighetsdirektivet för att få vård utomlands. Frankrike var det land som hade flest utresande patienter (drygt 140 000) och Spanien var det land med flest inresande patienter (drygt 45 000).
I Sverige kan statistik om utomlandsvård hämtas från Försäkringskassan som hanterar ersättning för detta nationellt. År 2016 var det nästan 2 500 svenska medborgare som sökt ersättning förutomlandsvård. Vården utfördes i 26 olika EU-länder och Schweiz med en stark koncentration till Danmark och Finland.
E-hälsomyndighetens arbete och ansvar i fråga om e-recept
E-hälsomyndigheten ska enligt sin instruktion ansvara för register och it-funktioner som öppenvårdsapotek och vårdgivare behöver ha tillgång till för en patientsäker och kostnadseffektiv läkemedelshantering (1 § förordningen [2013:1031] med instruktion för E-hälsomyndigheten). Inom ramen för detta ansvar hanterar myndigheten ett flertal olika register varav två av de mest centrala är receptregistret, där alla e-recept för människor lagras (humanrecept), samt läkemedelsförteckningen som lagrar uppgifter om läkemedel som en enskild person hämtat ut på recept. Bestämmelser om registren finns i lagen (1996:1156) om receptregister respektive lagen (2005:258) om läkemedelsförteckningen. Registerna kommer att ersättas av den nationella läkemedelslistan (prop. 2017/18:223 och prop. 2019/20:158). Under 2019 hanterade myndigheten drygt 90 miljoner humanrecept och e-recept låg till grund för 99 procent av expedieringarna.
E-hälsomyndigheten har sedan myndigheten inrättades 2014 årligen haft uppdrag att förvalta och utveckla funktioner som möjliggör utbyte av e-recept över landsgränser samt pekats ut som nationell kontaktpunkt för e-hälsofrågor kopplade till patientrörlighetsdirektivet. Inom ramen för uppdragen har myndigheten bl.a. arbetat med att utveckla den nationella tekniska infrastrukturen som är nödvändig för att såväl kunna expediera e-recept från andra delar av Europa som att möjliggöra expediering av svenska recept i andra länder. Detta arbete har gjorts gemensamt med övriga länder som medverkar i nätverket för e-hälsa.
Nationella läkemedelslistan
Receptregistret och läkemedelsförteckningen kommer att ersättas av ett nytt personregister, den nationella läkemedelslistan, som också ska föras av E-hälsomyndigheten. Frågan om gränsöverskridande e-recepthantering berörs i propositionen till lagen (2018:1212) om nationell läkemedelslista (prop. 2017/18:223 s. 217). Av propositionen framgår att uppgifter om recept som förskrivits i Sverige och expedierats i EU inte kommer ingå i den föreslagna lagen om nationell läkemedelslista men att sådan information skulle kunna läggas till framöver när bl.a. de juridiska förutsättningarna finns på plats. Majoriteten av bestämmelserna i lagen om nationell läkemedelslista skulle ha trätt i kraft juni 2020, men med anledning av spridningen av det nya coronaviruset som orsakar sjukdomen covid-19 har ikraftträdandet ändrats till maj 2021 (prop. 2019/20:158). Ikraftträdandet av bestämmelsen om krav på anslutning till den nationella läkemedelslistan för bl.a. hälso- och sjukvårdens aktörer har senarelagts till den 1 maj 2023.
Rapporten Reglering av personuppgiftsbehandling
E-hälsomyndigheten fick 2018 i uppdrag att göra en juridisk analys av den personuppgiftsbehandling som myndigheten avser att genomföra inom ramen för patientrörlighetsdirektivet. I december samma år slutrapporterade myndigheten uppdraget genom rapporten Reglering av personuppgiftsbehandling (S2018/04035/FS).
I rapporten beskriver E-hälsomyndigheten översiktligt hur processen är tänkt att se ut när svenska e-recept ska expedieras i utlandet och utländska e-recept ska expedieras i Sverige. Processen baseras på de riktlinjer som ställts upp av nätverket för e-hälsa. Utifrån processbeskrivningen konstaterar E-hälsomyndigheten att ett gränsöverskridande informationsutbyte av e-recept innebär att det kommer att vara nödvändigt att behandla känsliga personuppgifter på ett sätt som myndigheten inte gör i dag. För att denna personuppgiftsbehandling ska vara tillåten behövs författningsändringar och myndigheten lämnade ett antal förslag i rapporten. Myndigheten framhöll att uppdraget var avgränsat till endast myndighetens personuppgiftsbehandling men för att ett gränsöverskridande informationsutbyte skulle kunna genomföras fullt ut lyftes att ytterligare utredningsarbete, samt eventuella författningsändringar, var nödvändigt. I rapporten framhöll E-hälsomyndigheten vidare att de tekniska förutsättningarna för e-receptsutbyte över landsgränser i stort finns på plats i Sverige men att innan e-receptsutbyte påbörjas behövs ett tydligt författningsstöd för detta.
Rapporten remitterades under 2019 och ett flertal remissinstanser var positiva till förslagen i rapporten men lyfte i likhet med E- hälsomyndigheten behovet av ytterligare utredning.
Problembeskrivning och behovet av en utredning
Redan i dag kan svenska pappersrecept expedieras på utländska apotek och utländska pappersrecept expedieras på svenska öppenvårdsapotek. Som framkommit ovan låg e-recept till grund för 99 procent av alla expedieringar i Sverige. Det finns många fördelar med detta. Vården får möjligheter till uppföljning av t.ex. förskrivningsmönster och en mer samlad bild över patienters aktuella förskrivningar vid vårdtillfället, vilket är en förutsättning för en patientsäker läkemedelshantering. Patienter får en mer heltäckande bild för att därmed bättre kunna följa den egna läkemedelsanvändningen. Berörda myndigheter får genom en digital hantering också möjligheter att följa upp t.ex. oegentlig förskrivning och uthämtning av narkotiska läkemedel. För att säkerställa att personer som bor i Sverige men arbetar i ett annat land eller som periodvis bor i ett annat land, t.ex. pensionärer, inte ska riskera att få sämre möjligheter till en säker läkemedelshantering
är det således önskvärt att e-recepthanteringen även möjliggörs vid gränsöverskridande vård.
Även om den gränsöverskridande vården i dag omfattar relativt små patientflöden är den ett viktigt komplement till den nationella vården som fastställs i regleringar på nationell och europeisk nivå.
I propositionen Nationell läkemedelslista (prop. 2017/18:223 s. 218) framhöll regeringen att en av anledningarna till att uppgifter om recept som förskrivits i Sverige och som expedierats i EU inte inkluderas i lagen om nationell läkemedelslista är att det finns frågetecken kring det praktiska och tekniska genomförandet av arbetet. De senaste åren har ett aktivt utrednings- och utvecklingsarbete pågått inom ramen för nätverket för e-hälsa rörande regler och specifikationer för e-recept samt krav på informationssäkerhet för de länder som medverkar i EUarbetet. Detta har resulterat i att e-receptsutbyte redan påbörjats mellan Finland och Estland. Det finns således numera en tydligare bild av de tekniska förutsättningarna som ställs upp för informationsutbytet.
För att fullt ut möjliggöra för såväl i Sverige förskrivna recept som expedieras i andra EES-länder som recept som förskrivs i andra EES-länder och expedieras i Sverige krävs dock ytterligare utredningsarbete. Regeringen ser därför att de frågeställningar som lyfts i E-hälsomyndighetens rapport Reglering av personuppgiftsbehandling samt i remissvaren på denna är av den art att de behöver utredas samlat.
Uppdraget att utreda vad som krävs för en patientsäker och effektiv process för e-recept inom EES
Utgångspunkten för dessa direktiv är att få till en heltäckande reglering från förskrivning till expediering och uppföljning för såväl i Sverige förskrivna recept som expedieras i andra EES-länder som recept som förskrivs i andra EES-länder och expedieras i Sverige. Regleringen ska syfta till att säkerställa att den gränsöverskridande processen kan vara lika patientsäker och effektiv som den nationella processen. Utredaren ska för samtliga frågor som ska utredas, i relevanta delar, beakta Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här kallad EU:s dataskyddsförordning. Utredningen ska
även särskilt redogöra för hur eventuella författningsförslag förhåller sig till bestämmelserna om skyddet mot betydande intrång i den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen.
De specifika frågeställningar som utredaren ska se över beskrivs nedan.
Kartlägg informationsflöde och ansvarsfördelning
I rapporten Reglering av personuppgiftsbehandling beskrivs hur processen är tänkt att se ut när e-recept ska expedieras i utlandet och utländska e-recept ska expedieras i hemlandet. Denna beskrivningen gjorde E-hälsomyndigheten i syfte att analysera regleringen av myndighetens egen personuppgiftsbehandling.
För att säkerställa att såväl alla nödvändiga steg som ansvarsfördelning för berörda aktörer beaktas i utredningsarbetet behöver denna beskrivning kompletteras med en heltäckande analys och kartläggning som även inkluderar andra berörda aktörer, t.ex. öppenvårdsapotek, vårdgivare och myndigheter. I kartläggningen ska utredaren särskilt beakta relevanta EU-rättsakter, t.ex. EU:s dataskyddsförordning, Europaparlamentets och rådets förordning (EU) 2018/1724 av den 2 oktober 2018 om inrättande av en gemensam digital ingång för tillhandahållande av information, förfaranden samt hjälp- och problemlösningstjänster samt Europaparlamentets och rådets direktiv (EU) 2016/2102 av den 26 oktober 2016 om tillgänglighet avseende offentliga myndigheters webbplatser och mobila applikationer.
Utredaren ska därför
- kartlägga de olika delarna i läkemedelsprocessen när e-recept utfärdade i andra EES-länder ska expedieras i Sverige och när e-recept utfärdade i Sverige ska expedieras i andra EES-länder, och
- beskriva vilket ansvar som berörda aktörer har i de olika delarna i läkemedelsprocessen när e-recept utfärdade i andra EES-länder ska expedieras i Sverige, och när e-recept utfärdade i Sverige ska expedieras i andra EES-länder.
Kartläggningen i denna del av uppdraget ska ligga till grund för övriga frågor nedan.
Analysera behovet av att reglera personuppgiftsbehandling
Läkemedelprocessen från förskrivning vid t.ex. en vårdcentral till expediering på ett öppenvårdsapotek berör många aktörer och regleras i flera olika författningar. Dagens reglering för hur personuppgifter får behandlas i läkemedelsprocessen har inte utformats utifrån det faktum att uppgifter om en förskrivning numera kan komma från vårdgivare i andra EES-länder alternativt expedieras hos ett öppenvårdsapotek eller motsvarande i andra EES-länder. I och med en ökad rörlighet i Europa och de möjligheter som patientrörlighetsdirektivet ger till utlandsvård uppkommer nya frågor.
E-hälsomyndigheten har i rapporten Reglering av personuppgiftsbehandling lämnat författningsförslag som avser den personuppgiftsbehandling som myndigheten behöver göra vid ett gränsöverskridande informationsutbyte av e-recept. Myndigheten pekar i sin rapport på ett behov av översyn av öppenvårdsapotekens personuppgiftsbehandling. Myndigheten framhåller att om öppenvårdsapotek ska kunna expediera utländska e-recept bör det säkerställas att den personuppgiftsbehandling som är nödvändig för dem att utföra är förenlig med apoteksdatalagen (2009:367). Även Datainspektionen och Läkemedelsverket lyfter denna aspekt i sina remissvar på rapporten.
Apoteksdatalagen tillkom 2009 i och med omregleringen av apoteksmarknaden. Regeringen ansåg att det var angeläget med en tydlig reglering av hanteringen av personuppgifter i öppenvårdsapotekens verksamhet för att även på en omreglerad marknad skydda integriteten hos konsumenter och de som är behörig att förordna läkemedel. Apoteksdatalagen och frågor om gränsöverskridande informationshantering för utlandsvård behandlas varken i förarbetena till lagen eller vid genomförandet av patientrörlighetsdirektivet.
Den 25 maj 2018 började EU:s dataskyddsförordning tillämpas. Personuppgiftslagen (1998:204) upphävdes och ersattes av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) i samband med detta. Flera anpassningar i olika registerförfattningar gjordes för att tydliggöra att dessa innehåller ytterligare kompletterande bestämmelser till dataskyddsförordningen och dataskyddslagen samt för att i övrigt anpassa den nationella lagstiftningen till dataskyddsförordningen. Apoteksdatalagen var föremål för översyn i och med anpassningen av befintlig
reglering till EU:s dataskyddsförordning men översynen omfattade inte frågor som rör patientrörlighetsdirektivet.
Utredaren ska därför
- analysera behovet av att reglera den personuppgiftsbehandling som öppenvårdsapoteken utför vid expedieringar i Sverige av e-recept utfärdade i annat EES-land eller svenska e-recept som expedieras utomlands,
- analysera behovet att reglera personuppgiftsbehandling för andra berörda aktörer, t.ex. vårdgivare eller myndigheter, i läkemedelsprocesser för e-recept som är förskrivna i andra EES-länder och expedieras i Sverige eller svenska e-recept som expedieras utomlands,
- vid behov lämna förslag på de författningsändringar och andra åtgärder som bedöms nödvändiga, och
- särskilt redogöra för hur eventuella författningsförslag förhåller sig till relevant dataskyddsreglering, med utgångspunkt i EU:s dataskyddsförordning.
Se över behovet av andra åtgärder för att säkerställa en patientsäker och effektiv läkemedelsprocess
I uppdraget ingår att utreda vad som i övrigt krävs för att kunna säkerställa en patientsäker och effektiv process för förskrivning och expediering av e-recept inom EES. Utgångspunkten för översynen ska vara de frågor som E-hälsomyndigheten pekat ut i rapporten Reglering av personuppgiftsbehandling. Vissa av de utpekade frågorna redogörs för nedan.
Förskrivare, farmaceut och öppenvårdsapotek från andra EES-länder
Hälso- och sjukvård och öppenvårdsapotek behöver ha en så komplett bild som möjligt av förskrivna och expedierade läkemedel för att kunna ge en patientsäker och ändamålsenlig vård. Att få med recept som expedierats i andra EES-länder i den nationella läkemedelslistan ger förskrivare och expedierande personal ett mer fullständigt beslutsunderlag i mötet med patienter.
Av lagen om nationell läkemedelslista framgår att registret kommer innehålla vissa uppgifter om förskrivare och farmaceuter. Dessa två begrepp definieras i lagen (2009:366) om handel med läkemedel respektive i Läkemedelsverkets föreskrifter om förordnande och utlämnande av läkemedel och teknisk sprit. E-hälsomyndigheten lyfter i sin rapport att så som begreppen definieras går det inte att utläsa att de också omfattar utländska motsvarigheter. Frågan om begreppen förskrivare och farmaceut, samt även öppenvårdsapotek, berörs också i propositionen Nationell läkemedelslista där det anges att de svenska begreppen endast avser sådana med svensk legitimation respektive öppenvårdsapotek med en svensk licens (prop. 2017/18:223 s. 217).
Utredaren ska därför
- med utgångspunkt i EU:s dataskyddsförordning analysera möjligheterna att inkludera uppgifter om förskrivare, farmaceuter och öppenvårdsapotek från andra EES-länder i den nationella läkemedelslistan,
- analysera om det finns behov av att ändra i reglerna om offentlighet och sekretess i det fall sådana uppgifter inkluderas i den nationella läkemedelslistan, och
- vid behov lämna förslag på de författningsändringar och andra åtgärder som bedöms nödvändiga.
Krav på öppenvårdsapotek
E-hälsomyndigheten framhåller i sin rapport, liksom Läkemedelsverket i sitt remissvar på denna rapport, att det finns behov av att utreda om gränsöverskridande e-recepthantering förutsätter ändringar i lagen om handel med läkemedel. Exempel som tas upp av myndigheterna är öppenvårdsapotekens skyldighet att lämna ut läkemedel mot recept som utfärdats i ett annat EU-land och deras uppgiftsskyldighet gentemot E-hälsomyndigheten vid expediering av utländskt e-recept.
Båda myndigheterna lyfter också behovet av att utreda ändringar i Läkemedelsverkets föreskrifter om förordnande och utlämnande av läkemedel och teknisk sprit.
De krav som ställs på den verksamhet som bedrivs av öppenvårdsapotek regleras i lagen om handel med läkemedel. Vad som gäller vid
mottagande och expediering av recept regleras i Läkemedelsverkets föreskrifter om förordnande och utlämnande av läkemedel och teknisk sprit.
Utredaren ska därför
- analysera behovet av att ändra de krav som ställs på öppenvårdsapotek i lagen om handel med läkemedel med anledning av expediering av e-recept utfärdade i andra EES-länder,
- i det fall det finns ett behov av att förändra de krav som ställs på öppenvårdsapotek, analysera de ändrade kraven utifrån ett offentlighets- och sekretessperspektiv,
- analysera om expediering i andra EES-länder av e-recept utfärdade i Sverige respektive expediering i Sverige av e-recept utfärdade i andra EES-länder förutsätter ändringar i Läkemedelsverkets föreskrifter, och
- vid behov lämna förslag på de författningsändringar och andra åtgärder som bedöms nödvändiga.
Digitala vårdtjänster
I remissvaren på E-hälsomyndighetens rapport Reglering av personuppgiftsbehandling lyfts ett antal frågeställningar som kan påverka möjligheterna till en ändamålsenlig gränsöverskridande e-recepthantering. En sådan frågeställning rör digitala vårdtjänster som inte fanns i någon nämnvärd utsträckning vid den tidpunkt då patientrörlighetsdirektivet genomfördes i svensk rätt. Det handlar sammanfattningsvis om hälso- och sjukvård som sker genom digital distanskontakt, det vill säga genom någon form av digital kommunikation där en identifierad patient och hälso- och sjukvårdspersonalen är rumsligt åtskilda.
Redan i dag kan recept utfärdade i andra EES-länder expedieras i Sverige och tvärtom. Detta får antas komma att öka i och med den digitala utvecklingen som man ser i såväl Sverige som i de flesta andra EES-länder. Till exempel kommer recept som utfärdats i andra EESländer vid internetbaserade besök kunna expedieras i Sveriges. I remisssvaren på E-hälsomyndighetens rapport lyfts frågan om behovet av ytterligare utredning eller riskbedömning av sådan gränsöverskridande hantering av e-recept, till exempel kopplat till antibiotikaförskrivning.
Utredaren ska därför
- analysera huruvida förekomsten av digitala vårdtjänster och arbetet inom nätverket för e-hälsa motiverar behov av ytterligare insatser för att säkerställa en patientsäker expediering av andra EES-länders e-recept på ett svenskt öppenvårdsapotek och expediering av ett svenskt e-recept i andra EES-länder, och
- vid behov lämna förslag på de författningsändringar och andra åtgärder som bedöms nödvändiga.
Göra en översyn av andra nödvändiga åtgärder
Utredaren ska utöver vad som beskrivits ovan även
- analysera andra åtgärder som identifierats och som bedöms prioriterade att genomföra för att möjliggöra en patientsäker och effektiv process för e-recept inom EES.
Konsekvensbeskrivningar
I frågor som rör personuppgiftsbehandling ska utredaren i samband med att förslag läggs fram särskilt redogöra för hur hänsyn tagits till behovet av informationssäkerhet, rättssäkerhet och skydd för den personliga integriteten. Eventuella inskränkningar i integritetsskyddet kopplade till sekretess och tystnadsplikt ska följas av analyser av mindre integritetskränkande alternativ samt förslag på särskilda integritetsskyddande åtgärder. Om förslagen påverkar den kommunala självstyrelsen, ska de konsekvenser och de särskilda avvägningar som motiverar förslagen särskilt redovisas (se 14 kap. 3 § regeringsformen).
Kontakter och redovisning av uppdraget
Utredaren ska ha dialog med kommuner, regioner, Sveriges Kommuner och Regioner, samt företrädare för apoteksaktörerna, privata vårdgivare och patient- och professionsorganisationer. Utredaren ska även ha dialog med berörda myndigheter, främst E-hälsomyndigheten, Läkemedelsverket, Tandvårds- och läkemedelsförmånsverket, Försäkringskassan, Socialstyrelsen och Datainspektionen.
Utredaren ska vidare samråda med andra pågående utredningar som är relevanta, bl.a. Utredningen om genomförandet av tillgänglighetsdirektivet (S 2020:05) och utredningen Ökad och standardiserad användning av betrodda tjänster i den offentliga förvaltningen (I 2020:01).
Uppdraget ska redovisas senast den 30 september 2021.
(Socialdepartementet)
Kommittédirektiv 2021:54
Tilläggsdirektiv till Utredningen om e-recept inom EES (S 2020:10)
Beslut vid regeringssammanträde den 8 juli 2021
Förlängd tid för uppdraget
Regeringen beslutade den 30 juli 2020 kommittédirektiv om vissa frågor om förskrivning och expediering av elektroniska recept inom EES (dir. 2020:80). Enligt utredningens direktiv skulle uppdraget redovisas senast den 30 september 2021.
Utredningstiden förlängs. Uppdraget ska i stället redovisas senast den 31 december 2021.
(Socialdepartementet)
Kommittédirektiv 2021:91
Tilläggsdirektiv till Utredningen om e-recept inom EES (S 2020:10)
Beslut vid regeringssammanträde den 20 oktober 2021
Ändring i och förlängd tid för uppdraget
Regeringen beslutade den 30 juli 2020 kommittédirektiven Vissa frågor om förskrivning och expediering av elektroniska recept inom EES (dir. 2020:80). Genom tilläggsdirektiv förlängdes utredningstiden (dir. 2021:54). Uppdraget skulle enligt tilläggsdirektiven redovisas senast den 31 december 2021.
Det finns flera beröringspunkter mellan gränsöverskridande e-recept och patientöversikter inom EES. Regeringen ger nu utredaren i uppdrag att utreda frågor som rör gränsöverskridande patientöversikter inom EES.
Utredaren ska nu även bl.a. – föreslå en definition av patientöversikt, – föreslå åtgärder för en långsiktig förvaltning av patientöversikter, – lämna förslag på de författningsändringar och andra åtgärder som
bedöms vara nödvändiga för att möjliggöra ett gränsöverskridande utbyte av patientöversikter inom EES som inkluderar information från alla vårdgivare i Sverige, och – analysera om patientöversikten eller delar av patientöversikten
ska vara obligatoriska att dokumentera och tillgängliggöra för vårdgivare vid gränsöverskridande vård, både inom EES och nationellt, och föreslå hur detta skulle kunna regleras.
Utredningstiden förlängs. Uppdraget i dessa tilläggsdirektiv ska redovisas senast den 30 september 2022. Uppdraget enligt de ursprungliga direktiven ska fortfarande redovisas senast den 31 december 2021.
Uppdraget att utreda vad som krävs för ett gränsöverskridande utbyte av patientöversikter inom EES
Inom ramen för Europaparlamentets och rådets direktiv 2011/24/ EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård, det s.k. patientrörlighetsdirektivet, finns i dag två tjänster framtagna: en för gränsöverskridande utbyte av e-recept och en för patientöversikter. En patientöversikt är en sammanställning av viktig journalinformation som delas i vårdsammanhang för att kunna erbjuda patienten en god och säker vård. Patientöversikten består av bl.a. administrativ patientinformation såsom namn, personnummer och födelsedata samt journalinformation såsom uppmärksamhets- och varningsinformation, diagnoser, läkemedel och andra informationsmängder som anses vara nödvändiga vid ett vårdtillfälle.
Det finns i Sverige ingen officiell eller legal definition av begreppet patientöversikt. Begreppet saknas i Socialstyrelsens termbank och återfinns inte heller i den gemensamma författningssamlingen avseende hälso- och sjukvård, socialtjänst, läkemedel och folkhälsa (HSLF-FS). Patientöversikten och dess innehåll kan ändras över tid t.ex. i samband med nya medicinska rön, utifrån professionens ändrade behov och uppdrag och på grund av den tekniska utvecklingen. Det är därför önskvärt att en definition av begreppet tas fram och att patientöversiktens innehåll kan utvecklas över tid.
Dagens användning av patientöversikter skiljer sig åt mellan olika regioner.
Det finns bl.a. en skillnad kring vilka informationsmängder som tillgängliggörs i regionerna. Det kan därför finnas skäl att det ska vara obligatoriskt att tillgängliggöra vissa informationsmängder nationellt och inom EES för att säkerställa patientsäkerheten, men också ur ett nationellt jämlikhetsperspektiv.
Sverige är ett av få länder i EU som ännu inte har beslutat om att ansluta sig till tjänsten för patientöversikter. Syftet med tjänsten har tidigare varit att ge vårdgivaren en översikt av nödvändig information om patienten vid oplanerad vård, men under 2021 vidgades an-
vändningsområdet till att även innefatta planerad vård. Även om den gränsöverskridande vården i dag omfattar relativt små patientflöden, är den ett viktigt komplement till den nationella vården, som fastställs i regleringar på nationell nivå och på EU- och EES-nivå.
E-hälsomyndigheten fick 2019 i uppdrag att göra en analys av den informationshantering som behöver ske i Sverige när det gäller elektroniska patientjournaler eller s.k. patientöversikter vilka innehåller den mest nödvändiga information som ska kunna delas i vårdsammanhang, inom ramen för patientrörlighetsdirektivet. I juni 2020 slutrapporterade myndigheten uppdraget genom rapporten Informationshantering vid utlandsvård (2019/01537). I rapporten presenterar E-hälsomyndigheten förslag på legala och tekniska åtgärder samt åtgärder inom informatik och semantik som krävs för utbyte av patientöversikter inom EES. Myndigheten presenterar även olika möjliga lösningar för hur infrastrukturen för informationsförsörjningen skulle kunna se ut samt lösningarnas respektive styrkor och svagheter. Vidare har myndigheten inom ramen för uppdraget redogjort för hur den av EU framtagna patientöversikten överensstämmer med den patientöversikt som används i Sverige i dag.
Den tekniska infrastruktur som krävs för utbyte av patientöversikter inom EES är till viss del samma som den som krävs för expediering av e-recept inom EES. Den stora skillnaden är att den information som utgör patientöversikten inte finns centralt som den gör för e-recepten utan finns utspridd i varje vårdgivares journalsystem. De informationsmängder som behövs för patientöversikter finns i dag i regionernas journalsystem, och vissa av dem tillgängliggörs vid behov via den infrastruktur som Inera AB tillhandahåller regionerna och kommunerna. Den infrastruktur som används för patientöversikter nationellt i dag inkluderar inte hälso- och sjukvårdens alla aktörer, då privata vårdgivare utan offentlig finansiering inte har möjlighet att ansluta till infrastrukturen. E-hälsomyndigheten lyfter i sin rapport att en möjlig lösning för att inkludera alla vårdgivare skulle vara att en statlig infrastruktur tas fram för detta ändamål. En sådan infrastruktur skulle sannolikt även bidra till en högre patientsäkerhet och en ökad jämlikhet nationellt. Den infrastruktur som används för detta ändamål bör vara långsiktigt hållbar, syfta till en nationell likformighet och i den mån det är möjligt ta sin utgångspunkt i den förvaltningsgemensamma digitala infrastruktur som är under framtagande.
Eftersom patientöversikter innefattar uppgifter av hälso- och sjukvårdskaraktär som bedöms som känsliga personuppgifter är det viktigt att den personliga integriteten skyddas. Utredaren ska därför särskilt redogöra för hur eventuella författningsförslag förhåller sig till bestämmelserna om skyddet mot betydande intrång i den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen.
Utredaren ska därför – föreslå en definition av patientöversikt, – föreslå åtgärder för en långsiktig förvaltning av patientöversikter, – lämna förslag på de författningsändringar och andra åtgärder som
bedöms vara nödvändiga för att möjliggöra ett gränsöverskridande utbyte av patientöversikter inom EES som inkluderar information från alla vårdgivare i Sverige, – särskilt redogöra för hur eventuella författningsförslag förhåller
sig dels till bestämmelserna om skyddet mot betydande intrång i den personliga integriteten i 2 kap. 6 § andra stycket regeringsformen, dels till relevant dataskyddsreglering, med utgångspunkt i EU:s dataskyddsförordning, – särskilt redogöra för hur eventuella författningsförslag förhåller
sig till offentlighets- och sekretesslagstiftningen, – analysera om patientöversikten eller delar av patientöversikten
ska vara obligatoriska att dokumentera och tillgängliggöra för vårdgivare vid gränsöverskridande vård, både inom EES och nationellt, och hur detta skulle kunna regleras, och – i övrigt föreslå ändringar som utredaren anser ha direkt beröring
med uppdraget.
Kontakter och redovisning av uppdraget
Vid genomförandet av uppdraget enligt dessa tilläggsdirektiv ska utredaren, utöver vad som följer av de ursprungliga direktiven, föra dialog med Myndigheten för digital förvaltning och Inspektionen för vård och omsorg.
Utredningstiden förlängs. Uppdraget i dessa tilläggsdirektiv ska redovisas senast den 30 september 2022. Uppdraget enligt de ur-
sprungliga direktiven ska fortfarande redovisas senast den 31 december 2021.
(Socialdepartementet)
Kommittédirektiv 2022:83
Tilläggsdirektiv till Utredningen om e-recept och patientöversikter inom EES (S 2020:10)
Beslut vid regeringssammanträde den 22 juni 2022
Ändring i och förlängd tid för uppdraget
Regeringen beslutade den 30 juli 2020 kommittédirektiv om vissa frågor om förskrivning och expediering av elektroniska recept inom EES (dir. 2020:80). Genom tilläggsdirektiv förlängdes utredningstiden och uppdraget utvidgades (dir. 2021:54, dir. 2021:91).
Uppdraget ändras nu på så sätt att utredaren, när det gäller uppdraget att utreda frågor om patientöversikter, ska
- följa utvecklingen av EU-kommissionens förslag till förordning om ett europeiskt hälsodataområde, och
- analysera och bedöma om den reglering som utredningen föreslår för patientöversikter även kan innefatta ytterligare kategorier av hälsodata.
Utredningstiden förlängs. Uppdraget ska i stället redovisas senast den 12 januari 2023.
Uppdraget att utreda frågor om patientöversikter
I början av maj 2022 presenterade EU-kommissionen ett förslag till förordning om ett europeiskt hälsodataområde, COM(2022) 197 final. Förslaget innefattar bl.a. reglering av anslutning till infrastrukturen MyHealth@EU och krav på tillgängliggörande av de kategorier av hälsodata, e-recept och patientöversikter som utredningens uppdrag innefattar. Vidare föreslås krav på att ytterligare kategorier av hälsodata, laboratorieresultat, medicinska bilder och epikriser ska tillgängliggöras i nämnda infrastruktur. Enligt förslaget ska varje medlemsstat, utöver nationella kontaktpunkter, utse en e-hälsomyndighet (digital health authority) som bl.a. ska ansvara för genomförandet och efterlevnaden av vissa delar i förordningen.
Det finns därför skäl att analysera och bedöma om den reglering som utredningen föreslår för patientöversikter även kan innefatta ytterligare kategorier av hälsodata, då det i samtliga fall handlar om hälsodata som finns hos vårdgivaren.
Som framgår av utredningens tilläggsdirektiv (dir. 2021:91) bedömer regeringen att den infrastruktur som används för ändamålet bör vara långsiktigt hållbar, syfta till en nationell likformighet och i den mån det är möjligt ta sin utgångspunkt i den förvaltningsgemensamma digitala infrastruktur som är under framtagande. Denna statliga infrastruktur har under 2022 tydliggjorts genom regeringens uppdrag till E-hälsomyndigheten och Socialstyrelsen om att kartlägga, analysera och ge förslag på hur en nationell listningstjänst ska kunna inrättas i statlig regi (S2022/01375) och om att genomföra en förstudie om hur ett nationellt vårdsöksystem kan utvecklas, organiseras och förvaltas (S2022/01372). Det kan vara så att dessa uppdrag och utredningens förslag på åtgärder har behov av liknande digital infrastruktur. Det är därför av vikt att den infrastruktur som är under framtagande i största möjliga utsträckning kan användas för flera ändamål och är så kostnadseffektiv som möjligt.
Den infrastruktur som möjliggör gränsöverskridande utbyte av hälsodata samt dess bakomliggande infrastruktur behöver präglas av höga krav på säkerhet och dataskydd, inte minst med anledning av det försämrade säkerhetsläget.
Utredaren ska därför
- följa EU-kommissionens förslag till förordning om ett europeiskt hälsodataområde, och
- analysera och bedöma om den reglering som utredningen föreslår för patientöversikter även kan innefatta ytterligare kategorier av hälsodata.
Kontakter och redovisning av uppdraget
Utöver vad som sägs om samråd i de ursprungliga direktiven ska utredaren samråda med Utredningen om hälsodata som nationell resurs i hälso- och sjukvården (S 2022:04).
Utredningstiden förlängs. Uppdraget ska redovisas senast den 12 januari 2023.
(Socialdepartementet)
Kommittédirektiv 2022:143
Tilläggsdirektiv till Utredningen om e-recept och patientöversikter inom EES (S 2020:10)
Beslut vid regeringssammanträde den 22 december 2022
Förlängd tid för uppdraget
Regeringen beslutade den 30 juli 2020 kommittédirektiv om vissa frågor om förskrivning och expediering av elektroniska recept inom EES (dir. 2020:80). Genom tilläggsdirektiv förlängdes utredningstiden och uppdraget utvidgades (dir. 2021:54, dir. 2021:91 och dir. 2022:83). Utredningen skulle redovisa uppdraget senast den 12 januari 2023.
Utredningstiden förlängs. Uppdraget ska i stället redovisas senast den 31 mars 2023.
(Socialdepartementet)
Bilaga 6
4.4.2011
SV
Europeiska unionens officiella tidning
L 88/45
DIREKTIV
EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV 2011/24/EU
av den 9 mars 2011
om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård
EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR
ANTAGIT DETTA DIREKTIV
med beaktande av fördraget om Europeiska unionens funktions
sätt, särskilt artiklarna 114 och 168,
med beaktande av Europeiska kommissionens förslag,
med beaktande av Europeiska ekonomiska och sociala kommit
téns yttrande (1),
med beaktande av Regionkommitténs yttrande (2),
i enlighet med det ordinarie lagstiftningsförfarandet (3), och
av följande skäl:
(1)
Enligt artikel 168.1 i fördraget om Europeiska unionens
funktionssätt (EUF-fördraget) måste en hög hälsoskydds
nivå för människor säkerställas vid utformning och ge
nomförande av all unionspolitik och alla unionsåtgärder.
Detta betyder att en hög hälsoskyddsnivå måste garante
ras även när unionen antar akter enligt andra bestämmel
ser i fördraget.
(2)
Artikel 114 i EUF-fördraget är den lämpliga rättsliga
grunden eftersom huvuddelen av bestämmelserna i detta
direktiv har till syfte att få den inre marknaden och den
fria rörligheten av varor, personer och tjänster att fungera
bättre. Eftersom villkoren för åberopande av artikel 114 i
EUF-fördraget som rättslig grund är uppfyllda måste
denna rättsliga grund användas för unionslagstiftningen
även när skydd av folkhälsan är en avgörande faktor i de
val som görs. Artikel 114.3 i EUF-fördraget kräver i detta
hänseende uttryckligen att en hög skyddsnivå för folk
(1) EUT C 175, 28.7.2009, s. 116.
(2) EUT C 120, 28.5.2009, s. 65.
(3) Europaparlamentets ståndpunkt av den 23 april 2009 (EUT C 184 E,
8.7.2010, s. 368), rådets ståndpunkt vid den första behandlingen av
den 13 september 2010 (EUT C 275 E, 12.10.2010, s. 1), Europa
parlamentets ståndpunkt av den 19 januari 2011 (ännu ej offentlig
gjord i EUT) och rådets beslut av den 28 februari 2011
hälsan bör säkerställas vid harmonisering och särskilt att
hänsyn tas till ny utveckling som grundar sig på veten
skapliga fakta.
(3)
Hälso- och sjukvårdssystemen i unionen är en central del
av unionens höga sociala skyddsnivå och bidrar till såväl
social sammanhållning och social rättvisa som en hållbar
utveckling. Hälso- och sjukvård ingår också i den bredare
ramen för tjänster av allmänt intresse.
(4)
Oberoende av möjligheten för patienterna att erhålla
gränsöverskridande hälso- och sjukvård i enlighet med
detta direktiv ansvarar medlemsstaterna för att tillhanda
hålla medborgarna inom sitt territorium en säker, hög
kvalitativ, effektiv och kvantitativt tillfredsställande hälso-
och sjukvård. Införlivandet av detta direktiv med natio
nell lagstiftning och dess tillämpning bör inte leda till att
patienter uppmuntras att söka behandling utanför sin
försäkringsmedlemsstat.
(5)
Som rådet konstaterat i sina slutsatser av den 1–2 juni
2006 om gemensamma värderingar och principer i Eu
ropeiska unionens hälso- och sjukvårdssystem (4) (nedan
kallade rådets slutsatser) finns det ett antal gemensamma
funktionsprinciper som används inom hälso- och sjuk
vårdssystemen i hela unionen. Dessa funktionsprinciper
är nödvändiga för att säkerställa patienternas förtroende
för gränsöverskridande hälso- och sjukvård, som behövs
för att uppnå patientrörlighet och en hög hälsoskydds
nivå. I samma uttalande konstaterade rådet att dessa vär
deringar och principer förverkligas i praktiken på mycket
olika sätt i olika medlemsstater. I synnerhet måste beslut
om vilket hälso- och sjukvårdsutbud som medborgarna
har rätt till och de mekanismer som används för att
finansiera och tillhandahålla denna hälso- och sjukvård,
som t.ex. i vilken utsträckning det är lämpligt att lita till
marknadsmekanismerna och konkurrenstrycket för att
sköta hälso- och sjukvårdssystemen, fattas i ett nationellt
sammanhang.
(6)
Som Europeiska unionens domstol (nedan kallad domsto
len) flera gånger slagit fast, samtidigt som den erkänt
deras särskilda karaktär, faller alla typer av hälso- och
sjukvård inom EUF-fördragets räckvidd.
(4) EUT C 146, 22.6.2006, s. 1.
497
Bilaga 6
SOU 2023:13
L 88/46
SV
Europeiska unionens officiella tidning
4.4.2011
(7)
Detta direktiv respekterar, och påverkar inte, medlems
staternas frihet att bestämma vilken typ av hälso- och
sjukvård de anser lämplig. Inga bestämmelser i detta di
rektiv får tolkas på ett sådant sätt som undergräver med
lemsstaternas grundläggande etiska val.
(8)
En del frågor som rör gränsöverskridande hälso- och
sjukvård, särskilt kostnadsersättning för vård som ges i
en annan medlemsstat än den där vårdmottagaren är
bosatt, har redan behandlats av domstolen. Syftet med
detta direktiv är att åstadkomma en mer allmän och
också effektiv tillämpning av de principer som domstolen
utarbetat utifrån de enskilda fallen.
(9)
I rådets slutsatser noterade rådet att det är särskilt vär
defullt med ett initiativ om gränsöverskridande hälso-
och sjukvård som garanterar tydlighet i fråga om unions
medborgarnas rättigheter då de flyttar från en medlems
stat till en annan för att trygga rättssäkerheten.
(10)
Detta direktiv syftar till att fastställa bestämmelser som
gör det lättare att få tillgång till säker, högkvalitativ
gränsöverskridande hälso- och sjukvård i unionen och
att garantera patienterna rörlighet i överensstämmelse
med de principer som fastslagits av domstolen samt till
att främja vårdsamarbete mellan medlemsstaterna, sam
tidigt som medlemsstaternas ansvar för att fastställa so
cialförsäkringsförmåner som avser hälso- och sjukvård
samt organisera och tillhandahålla hälso- och sjukvård
och socialförsäkringsförmåner, särskilt förmåner vid sjuk
dom, respekteras fullt ut.
(11)
Detta direktiv bör tillämpas på enskilda patienter som
beslutar sig för att söka hälso- och sjukvård i en annan
medlemsstat än försäkringsmedlemsstaten. Domstolen
har bekräftat att varken hälso- och sjukvårdens särart
eller det sätt på vilket den organiseras eller finansieras
innebär att hälso- och sjukvård kan undantas från den
grundläggande principen om fri rörlighet för tjänster.
Försäkringsmedlemsstaten kan emellertid välja att be
gränsa ersättningen för gränsöverskridande hälso- och
sjukvård av skäl som hänför sig till kvaliteten och säker
heten i fråga om den hälso- och sjukvård som tillhanda
hålls i de fall då detta kan motiveras av tvingande hänsyn
till allmänintresset med anknytning till folkhälsan. För
säkringsmedlemsstaten kan även vidta ytterligare åtgärder
av andra skäl i de fall då detta kan motiveras av sådana
tvingande hänsyn till allmänintresset. Domstolen har
också fastslagit att folkhälsoskyddet är ett sådant tving
ande hänsyn till allmänintresset som kan motivera in
skränkningar i den fria rörlighet som avses i fördragen.
(12)
Begreppet tvingande hänsyn till allmänintresset som om
nämns i vissa bestämmelser i detta direktiv har utvecklats
i domstolens rättspraxis rörande artiklarna 49 och 56 i
EUF-fördraget och kan komma att vidareutvecklas. Dom
stolen har vid ett flertal tillfällen konstaterat att tvingande
hänsyn till allmänintresset kan berättiga hinder för den
fria rörligheten för tjänster, exempelvis krav på planering
i samband med målet att garantera tillräcklig och kon
tinuerlig tillgång till ett väl avvägt utbud av behandling
av hög kvalitet i medlemsstaten i fråga eller önskemålet
att kontrollera kostnaderna och, i möjligaste mån, und
vika allt slöseri med ekonomiska, tekniska eller personella
resurser. Domstolen har också konstaterat att även målet
att upprätthålla balanserad hälso- och sjukvård tillgänglig
för alla kan omfattas av ett av de undantag, av folkhälso
skäl, som anges i artikel 52 i EUF-fördraget i den mån
det bidrar till att en hög hälsoskyddsnivå uppnås. Dom
stolen har också fastslagit att medlemsstaterna enligt den
bestämmelsen i EUF-fördraget kan inskränka friheten att
tillhandahålla hälso- och sjukvård i den mån det av folk
hälsoskäl är väsentligt att behålla behandlingskapacitet
eller medicinsk kompetens inom det nationella territoriet.
(13)
Det står klart att skyldigheten att ersätta kostnader för
gränsöverskridande hälso- och sjukvård bör begränsas till
sådan hälso- och sjukvård som den försäkrade personen
är berättigad till enligt lagstiftningen i försäkringsmed
lemsstaten.
(14)
Detta direktiv bör inte tillämpas på tjänster vars huvud
sakliga syfte är att vara till stöd för personer som behö
ver hjälp med utförande av rutinmässiga vardagssysslor.
Detta direktiv bör närmare bestämt inte tillämpas på
sådana tjänster vid långvarigt vårdbehov som anses nöd
vändig för att den vårdbehövande ska kunna leva ett så
rikt och självvalt liv som möjligt. Detta direktiv bör följ
aktligen inte vara tillämpligt på till exempel tjänster vid
långvarigt vårdbehov som tillhandahålls av hemtjänst el
ler i stödboenden och i äldreboenden eller vårdhem.
(15)
Med tanke på dess specifika karaktär bör tillgång till och
fördelning av organ avsedda för organtransplantationer
inte omfattas av detta direktivs tillämpningsområde.
(16)
Vad gäller ersättning av kostnader för gränsöverskridande
hälso- och sjukvård bör detta direktiv inte omfatta endast
situationer där en patient får hälso- och sjukvård som
tillhandahålls i en annan medlemsstat än försäkringsmed
lemsstaten utan även förskrivning, utlämning och tillhan
dahållande av läkemedel och medicinska hjälpmedel, i de
fall då dessa tillhandahålls inom ramen för hälso- och
sjukvård. Definitionen av gränsöverskridande hälso- och
sjukvård bör omfatta såväl situationer där en patient in
förskaffar sådana läkemedel och medicinska hjälpmedel i
en annan medlemsstat än försäkringsmedlemsstaten som
situationer där en patient införskaffar sådana läkemedel
och medicinska hjälpmedel i en annan medlemsstat än
den medlemsstat där förskrivningen skedde.
498
SOU 2023:13
Bilaga 6
4.4.2011
SV
Europeiska unionens officiella tidning
L 88/47
(17)
Detta direktiv bör inte påverka medlemsstaternas regler
om försäljning av läkemedel och medicinska hjälpmedel
på Internet.
(18)
Detta direktiv bör inte göra någon person berättigad att
resa in, stanna kvar eller vistas i en medlemsstat i avsikt
att få hälso- och sjukvård i den staten. Om en persons
vistelse på en medlemsstats territorium inte är i överens
stämmelse med lagstiftningen i den medlemsstaten i fråga
om rätten till inresa till eller vistelse på dess territorium
bör en sådan person inte betraktas som en försäkrad
person enligt definitionen i detta direktiv. Medlemssta
terna bör ha fortsatt möjlighet att i sin nationella lag
stiftning fastställa vem som betraktas som en försäkrad
person vid tillämpningen av deras offentliga hälso- och
sjukvårdssystem och sociala trygghetslagstiftning under
förutsättning att de patienträttigheter som föreskrivs i
detta direktiv tryggas.
(19)
I de fall då en patient tillhandahålls gränsöverskridande
hälso- och sjukvård är det väsentligt att patienten i för
hand känner till vilka bestämmelser som är tillämpliga.
De bestämmelser som är tillämpliga på gränsöverskri
dande hälso- och sjukvård bör vara de som anges i den
behandlande medlemsstatens lagstiftning, eftersom med
lemsstaterna enligt artikel 168.7 i EUF-fördraget har an
svar för att organisera och ge hälso- och sjukvård. Det
bör göra det enklare för patienten att fatta välgrundade
beslut, och missuppfattningar och missförstånd kan und
vikas. Det bör även skapa stort förtroende mellan patient
och vårdgivare.
(20)
För att hjälpa patienter att fatta ett välgrundat beslut när
de söker hälso- och sjukvård i en annan medlemsstat bör
de behandlande medlemsstaterna se till att patienter från
andra medlemsstater på begäran ges relevant information
om de säkerhets- och kvalitetsnormer som tillämpas på
dess territorium samt om de vårdgivare för vilka dessa
normer gäller. Dessutom bör vårdgivare på begäran ge
patienter information om specifika aspekter av de hälso-
och sjukvårdstjänster som de erbjuder och om behand
lingsalternativen. I den utsträckning som vårdgivare redan
ger patienter som är bosatta i den behandlande medlems
staten relevant information om dessa specifika aspekter
bör detta direktiv inte innebära någon skyldighet för
vårdgivare att ge patienter från andra medlemsstater
mer omfattande information. Inget bör hindra den be
handlande medlemsstaten att också förpliktiga andra ak
törer än vårdgivarna, till exempel försäkringsgivare eller
myndigheter, att ge sådan information om specifika
aspekter av de hälso- och sjukvårdstjänster som erbjuds,
om det vore lämpligare med hänsyn till hur medlems
statens hälso- och sjukvårdssystem är organiserat.
(21)
Rådet har i sina slutsatser erkänt att det finns en uppsätt
ning gemensamma värderingar och principer som delas
över hela unionen om hur hälso- och sjukvårdssystemen
ska reagera på de behov den befolkning och de patienter,
som de tjänar, har. De övergripande värderingarna all
mängiltighet, tillgång till vård av god kvalitet, rättvisa och
solidaritet har fått ett brett erkännande i de olika unions
institutionernas arbete. Medlemsstaterna bör därför också
se till att dessa värderingar respekteras när det gäller pa
tienter och medborgare från andra medlemsstater och att
alla patienter behandlas lika utifrån deras vårdbehov sna
rare än utifrån deras försäkringsmedlemsstat. Medlems
staterna bör härvidlag respektera principerna om fri rör
lighet för personer på den inre marknaden, icke-diskri
minering bl.a. med avseende på nationalitet, behov och
proportionalitet i fråga om eventuella begränsningar av
den fria rörligheten. Ingenting i detta direktiv bör emel
lertid ålägga vårdgivarna att de ska godkänna planerad
behandling för patienter från andra medlemsstater eller
prioritera dem till nackdel för andra patienter, t.ex. ge
nom att andra patienter får vänta längre tid för behand
ling. Genom patienttillströmning kan efterfrågan komma
att överstiga den kapacitet en viss medlemsstat har för en
viss behandling. I sådana undantagsfall bör medlemssta
terna fortsatt ha möjlighet att åtgärda situationen med
hänsyn till hälsa i enlighet med artiklarna 52 och 62 i
EUF-fördraget. Denna begränsning bör dock inte påverka
tillämpningen av medlemsstaternas skyldigheter enligt
Europaparlamentets och rådets förordning (EG) nr
883/2004 av den 29 april 2004 om samordning av de
sociala trygghetssystemen (1).
(22)
Det bör göras systematiska och kontinuerliga ansträng
ningar för att garantera att kvalitets- och säkerhetsnor
merna förbättras i linje med rådets slutsatser och med
beaktande av framsteg inom den internationella medi
cinska vetenskapen, beprövad medicinsk erfarenhet
samt ny teknik inom vården.
(23)
Det är väsentligt att säkerställa tydliga gemensamma skyl
digheter i fråga om tillhandahållandet av mekanismer för
att hantera fall med skador i vården, för att förhindra att
bristande tilltro till dessa mekanismer utgör ett hinder för
att söka gränsöverskridande hälso- och sjukvård. System
för hantering av skador i den behandlande medlemssta
ten bör inte påverka medlemsstaternas möjlighet att låta
de inhemska systemen omfatta patienter från det egna
landet som söker hälso- och sjukvård utomlands i de
fall detta är lämpligare för patienten.
(24)
Medlemsstaterna bör se till att det för den hälso- och
sjukvård som tillhandahålls på deras territorium finns
mekanismer för skydd av patienterna och för möjlighet
till ansökan om prövning i händelse av skada samt att
dessa mekanismer är anpassade till riskens art och om
fattning. Det bör dock vara upp till den enskilda med
lemsstaten att själv bestämma mekanismens typ och ut
formning.
(1) EUT L 166, 30.4.2004, s. 1.
499
Bilaga 6
SOU 2023:13
L 88/48
SV
Europeiska unionens officiella tidning
4.4.2011
(25)
Rätten till skydd av personuppgifter är en grundläggande
rättighet som erkänns i artikel 8 i Europeiska unionens
stadga om de grundläggande rättigheterna. För att uppnå
kontinuitet i den gränsöverskridande hälso- och sjukvår
den måste personuppgifter som gäller patientens hälsa
överföras. Sådana personuppgifter bör kunna överföras
mellan medlemsstaterna, men samtidigt måste de enskil
das grundläggande rättigheter skyddas. Enligt Europapar
lamentets och rådets direktiv 95/46/EG av den
24 oktober 1995 om skydd för enskilda personer med
avseende på behandling av personuppgifter och om det
fria flödet av sådana uppgifter (1) har enskilda rätt att få
tillgång till sina egna personuppgifter om hälsa, t.ex. upp
gifter i deras patientjournal som innehåller uppgifter om
exempelvis diagnos, undersökningsresultat, bedömningar
av behandlande läkare och eventuella utförda behand
lingar eller ingrepp. De bestämmelserna bör även tilläm
pas på sådan gränsöverskridande hälso- och sjukvård
som omfattas av detta direktiv.
(26)
Rätten till ersättning av kostnader för hälso- och sjukvård
som tillhandahålls i en annan medlemsstat genom det
lagstadgade sociala trygghetssystemet för patienter i deras
egenskap av försäkrade personer har erkänts av domsto
len i flera domar. Domstolen har förklarat att bestäm
melserna i fördraget om friheten att tillhandahålla tjänster
innefattar friheten för mottagare av hälso- och sjukvård,
t.ex. personer som behöver sjukvård, att åka till en annan
medlemsstat för att där få sådan vård. Detsamma bör
gälla mottagare av hälso- och sjukvård som söker sådan
vård i en annan medlemsstat på andra sätt, till exempel
genom e-hälsotjänster.
(27)
I enlighet med de principer som fastställts i domstolens
rättspraxis, och utan att äventyra den ekonomiska balan
sen i medlemsstaternas system för hälso- och sjukvård
och social trygghet, bör det skapas ett tydligare rättsläge
i fråga om ersättning av vårdkostnader för patienter samt
för hälso- och sjukvårdpersonal, vårdgivare och socialför
säkringsinstitutioner.
(28)
Detta direktiv bör inte inverka på en försäkrad persons
rätt till ersättning för kostnader för hälso- och sjukvård
som av medicinska skäl blir nödvändig under en tillfällig
vistelse i en annan medlemsstat i enlighet med förord
ning (EG) nr 883/2004. Detta direktiv bör inte heller
påverka en försäkrad persons rätt till ett tillstånd för
behandling i en annan medlemsstat om villkoren i unio
nens förordningar om samordning av de sociala trygg
hetssystemen uppfylls, särskilt förordning (EG) nr
883/2004 eller rådets förordning (EEG) nr 1408/71 av
den 14 juni 1971 om tillämpningen av systemen för
social trygghet när anställda, egenföretagare eller deras
familjemedlemmar flyttar inom gemenskapen (2), som är
(1) EGT L 281, 23.11.1995, s. 31.
(2) EGT L 149, 5.7.1971, s. 2.
tillämpliga enligt Europaparlamentets och rådets förord
ning (EU) nr 1231/2010 av den 24 november 2010 om
utvidgning av förordning (EG) nr 883/2004 och förord
ning (EG) nr 987/2009 till att gälla de tredjelandsmed
borgare som enbart på grund av sitt medborgarskap inte
omfattas av dessa förordningar (3) och rådets förordning
(EG) nr 859/2003 av den 14 maj 2003 om utvidgning
av bestämmelserna i förordning (EEG) nr 1408/71 och
förordning (EEG) nr 574/72 till att gälla de medborgare i
tredje land som enbart på grund av sitt medborgarskap
inte omfattas av dessa bestämmelser (4).
(29)
Det är lämpligt att kräva att även patienter som söker
hälso- och sjukvård i en annan medlemsstat under andra
omständigheter än de som avses för samordningen av de
sociala trygghetssystemen enligt förordning (EG) nr
883/2004 bör kunna utnyttja principen om fri rörlighet
för patienter, tjänster och varor i enlighet med EUF-för
draget och detta direktiv. Patienter bör garanteras ersätt
ning för kostnaden för denna hälso- och sjukvård på
minst den nivå som de skulle ha fått om samma vård
hade getts i försäkringsmedlemsstaten. Detta bör vara
helt förenligt med medlemsstaternas ansvar att bestämma
omfattningen av sjukförsäkringen för sina medborgare
och förhindra alla betydande konsekvenser för finansie
ringen av den nationella hälso- och sjukvården.
(30)
För patienter bör därför de två systemen vara kon
sekventa; antingen gäller detta direktiv eller unionens
förordningar om samordning av de sociala trygghets
systemen.
(31)
Patienter bör inte fråntas de mer fördelaktiga rättigheter
som unionsförordningarna om samordning av de sociala
trygghetssystemen ger i de fall då villkoren är uppfyllda.
Därför bör alla eventuella patienter som begär tillstånd
för behandling som är lämplig för deras sjukdom i en
annan medlemsstat alltid beviljas ett sådant tillstånd på
de villkor som anges i unionens förordningar om be
handlingen i fråga är en av de förmåner som föreskrivs
i lagstiftningen i den medlemsstat där patienten är bosatt
och om patienten inte kan få sådan behandling inom den
tid som är medicinskt försvarbar, med hänsyn till pa
tientens aktuella hälsotillstånd och sjukdomens sannolika
förlopp. Om patienten emellertid i stället uttryckligen
begär att få söka hälso- och sjukvård i enlighet med detta
direktiv bör de förmåner som gäller för kostnadsersätt
ning begränsas till dem som är tillämpliga enligt detta
direktiv. Om patienten är berättigad till gränsöverskri
dande hälso- och sjukvård enligt både detta direktiv
och förordning (EG) nr 883/2004 och tillämpning av
den förordningen är förmånligare för patienten bör pa
tienten få information om detta av försäkringsmedlems
staten.
(3) EUT L 344, 29.12.2010, s. 1.
(4) EUT L 124, 20.5.2003, s.1.
500
SOU 2023:13
Bilaga 6
4.4.2011
SV
Europeiska unionens officiella tidning
L 88/49
(32)
Patienter bör i alla händelser inte få någon ekonomisk
fördel av att hälso- och sjukvården tillhandahålls i en
annan medlemsstat och därför bör endast de faktiska
kostnaderna för erhållen hälso- och sjukvård ersättas.
(33)
Detta direktiv är inte avsett att skapa någon rätt till
ersättning för kostnader för hälso- och sjukvård som till
handahållits i en annan medlemsstat om sådan vård inte
är en av de förmåner som omfattas av lagstiftningen i
den försäkrade personens försäkringsmedlemsstat. Detta
direktiv bör inte heller hindra medlemsstaterna från att
utöka sina system med vårdförmåner till att omfatta
hälso- och sjukvård i en annan medlemsstat. Detta direk
tiv bör erkänna att det står medlemsstaterna fritt att
organisera sin hälso- och sjukvård och sina sociala trygg
hetssystem på så sätt att rätten till behandling fastställs
på regional eller lokal nivå.
(34)
Försäkringsmedlemsstaten bör ge patienter rätt att få åt
minstone samma förmåner i en annan medlemsstat som
de som tillhandahålls av lagstiftningen i försäkringsmed
lemsstaten. Om det i förteckningen över förmåner inte
exakt anges vilken behandlingsmetod som gäller, utan
olika slags behandlingar anges, bör försäkringsmedlems
staten inte avslå en ansökan om förhandstillstånd eller
ersättning av det skälet att behandlingsmetoden inte finns
tillgänglig på dess territorium, utan den bör bedöma om
den begärda eller erhållna gränsöverskridande behand
lingen motsvarar förmåner som fastställs i dess lagstift
ning. Att skyldigheten att ersätta gränsöverskridande
hälso- och sjukvård i enlighet med detta direktiv är be
gränsad till sådan hälso- och sjukvård som hör till de
förmåner vilka patienten är berättigad till inom sin för
säkringsmedlemsstat utgör inte hinder för medlemsstater
att ersätta kostnader för gränsöverskridande hälso- och
sjukvård utöver dessa gränser. Det står medlemsstaterna
fritt att exempelvis ersätta extra kostnader, såsom bo
ende- och resekostnader, eller extra kostnader som per
soner med funktionshinder åsamkas, även i de fall då
dessa kostnader inte ersätts när det rör sig om hälso-
och sjukvård på deras territorium.
(35)
Detta direktiv bör varken föreskriva överföring av social
försäkringsrättigheter mellan medlemsstaterna eller någon
annan samordning av de sociala trygghetssystemen. Det
enda syftet med bestämmelserna om förhandstillstånd
och ersättning av kostnader för hälso- och sjukvård
som tillhandahålls i en annan medlemsstat bör vara att
möjliggöra friheten att tillhandahålla hälso- och sjukvård
för patienter och att undanröja omotiverade hinder för
den grundläggande friheten i försäkringsmedlemsstaten.
Följaktligen bör detta direktiv helt och hållet respektera
skillnaderna mellan de nationella hälso- och sjukvårds
systemen och medlemsstaternas ansvar för att organisera
och tillhandahålla hälso- och sjukvård.
(36)
Detta direktiv bör ge patienter rätt att få läkemedel som
godkänts för försäljning i den behandlande medlemssta
ten, även om de inte får saluföras i försäkringsmedlems
staten, eftersom det är nödvändigt för att få effektiv be
handling i en annan medlemsstat. Inget bör förpliktiga en
försäkringsmedlemsstat att ersätta en försäkrad person
för kostnader för ett läkemedel som förskrivits i den
behandlande medlemsstaten när det läkemedlet inte är
en av de förmåner som den försäkrade personen tillför
säkras genom det lagstadgade systemet för social trygghet
eller det nationella systemet för hälso- och sjukvård i
försäkringsmedlemsstaten.
(37)
Medlemsstaterna kan behålla allmänna villkor och krite
rier för rätten till samt rättsliga och administrativa for
maliteter för hälso- och sjukvård och ersättning för kost
nader för hälso- och sjukvård, exempelvis kravet att man
först ska vända sig till en allmänläkare innan man går till
en specialist eller får sjukhusvård, vilket också gäller pa
tienter som söker hälso- och sjukvård i en annan med
lemsstat, förutsatt att sådana villkor är nödvändiga, står i
proportion till syftet och varken är godtyckliga eller dis
kriminerande. Detta kan inbegripa en bedömning av
hälso- och sjukvårdspersonal eller personal inom hälso-
och sjukvårdsförvaltningen som tillhandahåller tjänster
för det lagstadgade systemet för social trygghet eller det
nationella systemet för hälso- och sjukvård i försäkrings
medlemsstaten, t.ex. allmänläkaren eller primärvårdsläka
ren som patienten är registrerad hos, om detta är nöd
vändigt för att avgöra huruvida den enskilda patienten
har rätt till hälso- och sjukvård. Det är därför lämpligt att
kräva att dessa allmänna villkor, kriterier och formaliteter
dels bör tillämpas på ett objektivt, öppet och icke-dis
kriminerande sätt och göras kända på förhand, varvid de
i första hand bör grundas på medicinska skäl, dels inte
bör innebära en ytterligare börda för patienter som söker
hälso- och sjukvård i en annan medlemsstat jämfört med
patienter som behandlas i deras försäkringsmedlemsstat,
samt att besluten bör fattas så snabbt som möjligt. Detta
bör inte påverka medlemsstaternas rättigheter att fast
ställa kriterier eller villkor för förhandstillstånd om pati
enterna söker hälso- och sjukvård i sin försäkringsmed
lemsstat.
(38)
Mot bakgrund av domstolens rättspraxis utgör krav på
förhandstillstånd för ersättning från det lagstadgade sy
stemet för social trygghet eller det nationella systemet för
hälso- och sjukvård för kostnader för hälso- och sjukvård
i en annan medlemsstat en begränsning av den fria rör
ligheten för tjänster. Därför bör försäkringsmedlemssta
ten vanligtvis inte kräva förhandstillstånd för ersättning
för kostnaden för hälso- och sjukvård i en annan med
lemsstat i de fall kostnaderna för den vården, om den
hade utförts inom dess eget territorium, skulle ha täckts
av dess lagstadgade system för social trygghet eller det
nationella systemet för hälso- och sjukvård.
(39)
Patientflödet mellan medlemsstaterna är begränsat och
förväntas fortsätta att vara det eftersom den allra största
delen av patienterna i unionen får hälso- och sjukvård i
501
Bilaga 6
SOU 2023:13
L 88/50
SV
Europeiska unionens officiella tidning
4.4.2011
sitt hemland och också föredrar det. Under vissa omstän
digheter kan patienterna emellertid vilja söka vissa typer
av vård i en annan medlemsstat. Det gäller t.ex. högt
specialiserad vård eller vård som tillhandahålls i gräns
regioner, där närmaste lämpliga vårdinrättning finns på
andra sidan gränsen. Dessutom kan vissa patienter önska
bli behandlade utomlands för att kunna vara närmare
familjemedlemmar som är bosatta i en annan medlems
stat, eller för att få tillgång till en annan behandlings
metod än de som tillhandahålls i försäkringsmedlemssta
ten eller för att de anser att de kommer att få hälso- och
sjukvård av bättre kvalitet i en annan medlemsstat.
(40)
Enligt domstolens fasta rättspraxis kan medlemsstaterna
kräva förhandstillstånd för ersättning från det nationella
systemet för sjukhusvård i en annan medlemsstat. Dom
stolen har bedömt att detta krav är både nödvändigt och
rimligt, eftersom det måste gå att planera antalet sjukhus,
deras geografiska spridning, hur de organiseras och vilka
resurser de ska ha samt vilken typ av vårdtjänster de har
möjlighet att erbjuda, för att kunna tillgodose olika be
hov. Domstolen har ansett att sådan planering syftar till
att säkerställa att det finns tillräcklig och kontinuerlig
tillgång till ett väl avvägt utbud av sjukhusvård av hög
kvalitet i den berörda medlemsstaten. Dessutom bidrar
den till strävan att säkerställa kostnadskontroll och att i
möjligaste mån förhindra slöseri med ekonomiska, tek
niska och mänskliga resurser. Enligt domstolen skulle ett
sådant slöseri leda till stor skada, eftersom det är allmänt
erkänt att sjukhusvårdssektorn genererar omfattande
kostnader och måste tillgodose ökande behov, medan
de ekonomiska resurser som avsatts för hälso- och sjuk
vård inte är obegränsade oavsett vilket finansieringssätt
som används.
(41)
Samma resonemang gäller för hälso- och sjukvård utan
för sjukhus med liknande planeringsbehov i den behand
lande medlemsstaten. Det kan röra sig om hälso- och
sjukvård som kräver planering eftersom den inkluderar
användning av högt specialiserad och kostnadsintensiv
medicinsk infrastruktur eller utrustning. Mot bakgrund
av den tekniska utvecklingen, utvecklingen av nya be
handlingsmetoder och medlemsstaternas olika riktlinjer
i fråga om sjukhusens roll i deras system för hälso-
och sjukvård, är det för att avgöra huruvida planering
krävs, inte avgörande om denna typ av hälso- och sjuk
vård tillhandahålls inom sjukhus eller öppenvård.
(42)
Eftersom medlemsstaterna är ansvariga för att fastställa
regler för förvaltning, krav, kvalitets- och säkerhetsnor
mer samt organisation och tillhandahållande av hälso-
och sjukvård, och behovet av planering skiljer sig åt
mellan medlemsstaterna, bör det vara upp till medlems
staterna att avgöra om det finns behov av att införa ett
system med förhandstillstånd, och i så fall, att fastställa
för vilken hälso- och sjukvård förhandstillstånd krävs
inom ramen för deras system, i enlighet med de kriterier
som definieras genom detta direktiv och med hänsyn till
domstolens rättspraxis. Informationen rörande denna
hälso- och sjukvård bör göras tillgänglig i förväg.
(43)
Kriterierna för beviljande av förhandstillstånd bör moti
veras med tvingande hänsyn till allmänintresset, vilket
skulle kunna berättiga hinder för den fria rörligheten
för hälso- och sjukvård, exempelvis krav på planering i
samband med målet att garantera tillräcklig och kontinu
erlig tillgång till ett väl avvägt utbud av behandlingar av
hög kvalitet i medlemsstaten i fråga eller önskemålet att
kontrollera kostnaderna och, i möjligaste mån, undvika
allt slöseri med ekonomiska, tekniska eller personella
resurser. Domstolen har identifierat flera tänkbara hän
syn: risken för att allvarligt undergräva den ekonomiska
balansen i ett socialt trygghetssystem, målet att av folk
hälsoskäl erbjuda balanserad hälso- och sjukvård som är
tillgänglig för alla, och målet att upprätthålla vårdkapaci
tet och medicinsk kompetens i medlemsstaten, vilket är
nödvändigt för folkhälsan och till och med för befolk
ningens överlevnad. Det är också viktigt att beakta den
allmänna principen om att säkerställa patientens säkerhet
inom en sektor som är välkänd för informationsassym
metri vid hanteringen av ett system med förhandstill
stånd. Ett beslut att neka förhandstillstånd kan emellertid
inte grunda sig på det förhållandet att det föreligger vän
telistor inom det nationella territoriet, vars syfte är att
planlägga och administrera sjukhusvård mot bakgrund av
allmänna kliniska prioriteringar som fastställts i förhand,
utan det är även nödvändigt att göra en objektiv medi
cinsk bedömning.
(44)
Enligt domstolens fasta rättspraxis bör kriterierna för att
bevilja eller neka förhandstillstånd begränsas till vad som
är nödvändigt och proportionellt i förhållande till tving
ande hänsyn till allmänintresset. Det bör noteras att pa
tientrörlighetens inverkan på nationella system för hälso-
och sjukvård kan variera mellan medlemsstaterna, eller
mellan regioner inom en medlemsstat, beroende på fak
torer som det geografiska läget, språkbarriärer, sjuk
husens läge i gränsregioner eller befolkningens och/eller
sjukvårdsbudgetens storlek. Därför bör det ankomma på
medlemsstaterna att fastställa kriterier för att neka för
handstillstånd som är nödvändiga och proportionella i
den särskilda situationen, och med hänsyn tagen till vil
ken hälso- och sjukvård som omfattas av systemet med
förhandstillstånd, eftersom vissa högt specialiserade be
handlingar lättare än andra kommer att påverkas även
av ett begränsat utflöde av patienter. Följaktligen bör
medlemsstaterna kunna fastställa olika kriterier för olika
regioner eller andra relevanta administrativa nivåer i or
ganisationen av hälso- och sjukvård, eller till och med för
olika behandlingar, så länge som systemet är tydligt och
lättillgängligt och kriterierna är offentliggjorda i förväg.
502
SOU 2023:13
Bilaga 6
4.4.2011
SV
Europeiska unionens officiella tidning
L 88/51
(45)
Om patienten är berättigad till hälso- och sjukvård och
denna hälso- och sjukvård inte kan tillhandahållas inom
en tid som är medicinskt försvarbar bör försäkringsmed
lemsstaten i princip vara skyldig att bevilja förhandstill
stånd. Under vissa omständigheter kan gränsöverskri
dande hälso- och sjukvård emellertid utsätta patienten
eller allmänheten för en risk som väger tyngre än pa
tientens intresse att få den sökta gränsöverskridande
hälso- och sjukvården. I dessa fall bör försäkringsmed
lemsstaten kunna avslå ansökan om förhandstillstånd och
försäkringsmedlemsstaten bör då rikta patientens upp
märksamhet på alternativa lösningar.
(46)
Om en medlemsstat beslutar att införa ett system med
förhandstillstånd för ersättning av kostnader för sjukhus-
eller specialistvård i en annan medlemsstat i enlighet med
detta direktiv, bör kostnaderna för sådan vård i en annan
medlemsstat också ersättas av försäkringsmedlemsstaten,
upp till den nivå som skulle ha betalats om samma
hälso- och sjukvård hade getts i försäkringsmedlemssta
ten, utan att överskrida de faktiska kostnaderna för den
mottagna hälso- och sjukvården. Om villkoren i förord
ning (EEG) nr 1408/71 eller förordning (EG) nr
883/2004 uppfylls, bör dock förhandstillstånd beviljas
och förmåner utges i enlighet med förordning (EG) nr
883/2004, såvida inte patienten begär något annat. Detta
bör särskilt gälla om tillståndet beviljas efter en administ
rativ eller rättslig prövning av ansökan och om personen
i fråga har fått behandlingen i en annan medlemsstat. I så
fall bör artiklarna 7 och 8 i detta direktiv inte tillämpas.
Detta är i linje med domstolens rättspraxis där det fast
ställts att patienter som fått avslag på ansökan om för
handstillstånd, som senare förklarats vara ogrundat, har
rätt till att få hela kostnaden för behandlingen i en annan
medlemsstat ersatt, i enlighet med bestämmelserna i den
behandlande medlemsstaten.
(47)
Medlemsstaternas förfaranden för gränsöverskridande
hälso- och sjukvård bör ge patienterna garantier om ob
jektivitet, icke-diskriminering och öppenhet, så att de
nationella myndigheternas beslut säkert fattas i rimlig
tid och med vederbörlig hänsyn till såväl dessa allmänna
principer som de särskilda omständigheterna i varje en
skilt fall. Detta bör också gälla den faktiska ersättningen
av kostnader för hälso- och sjukvård i en annan med
lemsstat efter det att patienten har fått behandling. Det är
lämpligt att patienterna under normala förhållanden har
rätt att erhålla beslut om gränsöverskridande hälso- och
sjukvård inom en rimlig tidsfrist. Denna tidsfrist bör dock
vara kortare när det gäller brådskande vård.
(48)
Patienterna måste få lämplig information om alla väsent
liga aspekter av gränsöverskridande hälso- och sjukvård
så att de kan utnyttja sin rätt till gränsöverskridande vård
i praktiken. När det gäller gränsöverskridande hälso- och
sjukvård är en mekanism för att tillhandahålla sådan
information att upprätta nationella kontaktpunkter i varje
medlemsstat. Den information som är obligatorisk att
lämna till patienterna bör särskilt anges, men de natio
nella kontaktpunkterna kan på frivillig basis lämna ytter
ligare information och även med kommissionens stöd.
De nationella kontaktpunkterna bör informera patien
terna på något av de officiella språken i den medlemsstat
där kontaktpunkten är belägen. Informationen kan också
ges på andra språk.
(49)
Medlemsstaterna bör besluta om hur de nationella kon
taktpunkterna ska utformas och om antalet. Dessa natio
nella kontaktpunkter kan också inlemmas i eller bygga
vidare på verksamheten vid befintliga informationscen
trum, förutsatt att man tydligt anger att de också fun
gerar som nationell kontaktpunkt för gränsöverskridande
hälso- och sjukvård. Nationella kontaktpunkter bör inrät
tas på ett effektivt och insynsvänligt sätt och de bör
kunna samråda med patientorganisationer, sjukförsäk
ringsgivare och tillhandahållare av hälso- och sjukvård.
De nationella kontaktpunkterna bör ha lämpliga resurser
för att kunna informera om de viktigaste aspekterna av
gränsöverskridande hälso- och sjukvård. Kommissionen
bör samarbeta med medlemsstaterna i fråga om de na
tionella kontaktpunkterna för gränsöverskridande hälso-
och sjukvård, bl.a. genom att göra relevant information
tillgänglig på unionsnivå. Även om det finns nationella
kontaktpunkter kan medlemsstaterna inrätta andra där
med förbundna kontaktpunkter på regional eller lokal
nivå för att avspegla hur deras specifika hälso- och sjuk
vårdssystem är organiserat.
(50)
Medlemsstaterna bör underlätta samarbetet mellan vård
givare, inköpare och tillsynsmyndigheter i olika medlems
stater på nationell, regional eller lokal nivå, för att kunna
garantera en säker, högkvalitativ och effektiv gränsöver
skridande hälso- och sjukvård. Detta kan vara särskilt
viktigt i gränsregioner, där det mest effektiva sättet att
organisera hälso- och sjukvård för den lokala befolk
ningen kan vara genom tjänster över gränserna, men
där sådana tjänster endast kan tillhandahållas på varaktig
grund om hälso- och sjukvården i de olika medlemssta
terna samarbetar. Samarbetet kan gälla gemensam plane
ring, ömsesidigt erkännande eller anpassning av rutiner
eller normer, kompatibilitet mellan de nationella infor
mations- och kommunikationstekniksystemen (nedan
kallade IKT-systemen), praktiska mekanismer för att säker
ställa kontinuitet i vården eller praktiska arrangemang
som underlättar för hälso- och sjukvårdspersonal att er
bjuda gränsöverskridande hälso- och sjukvård på tillfällig
basis. Enligt Europaparlamentets och rådets direktiv
2005/36/EG av den 7 september 2005 om erkännande
av yrkeskvalifikationer (1) bör fritt tillhandahållande av
tjänster av tillfällig art i en annan medlemsstat, inbegripet
tjänster som erbjuds av hälso- och sjukvårdspersonal, inte
(1) EUT L 255, 30.9.2005, s. 22.
503
Bilaga 6
SOU 2023:13
L 88/52
SV
Europeiska unionens officiella tidning
4.4.2011
begränsas av något skäl som beror på yrkeskvalifikatio
ner, om inte annat följer av särskilda unionsbestämmel
ser. Det här direktivet bör inte påverka tillämpningen av
direktiv 2005/36/EG.
(51)
Kommissionen bör uppmuntra samarbete mellan med
lemsstaterna på de områden som anges i kapitel IV i
detta direktiv och kan i enlighet med artikel 168.2 i
EUF-fördraget i nära samarbete med medlemsstaterna
vidta åtgärder för att underlätta och främja ett sådant
samarbete. I detta sammanhang bör kommissionen upp
muntra till samarbete om tillhandahållande av gränsöver
skridande hälso- och sjukvård på regional och lokal nivå,
särskilt genom att fastställa större hinder för samarbete
mellan vårdgivare i gränsregioner, och genom att utfärda
rekommendationer och sprida information och bästa
praxis om hur dessa hinder ska övervinnas.
(52)
Försäkringsmedlemsstater kan behöva få bekräftelse på
att den gränsöverskridande hälso- och sjukvården kom
mer att utföras eller har utförts av hälso- och sjukvårds
personal som utövar sin praktik lagenligt. Det är därför
lämpligt att se till att information om rätten att utöva
praktik som ingår i de nationella eller lokala registren
över hälso- och sjukvårdspersonal, om de upprättats i
den behandlande medlemsstaten, på begäran görs till
gänglig för myndigheterna i försäkringsmedlemsstaten.
(53)
Om läkemedel som godkänts i en medlemsstat förskrivs i
en den medlemsstaten av en person som utövar ett re
glerat vårdyrke i den mening som avses i direktiv
2005/36/EG till en enskild namngiven patient, bör det
i princip vara möjligt att medicinskt erkänna sådana för
skrivningar och att lämna ut läkemedlet i en annan med
lemsstat i vilken läkemedlet är godkänt. Även om de
rättsliga och administrativa hindren för ett sådant erkän
nande undanröjs, bör det ändå krävas ett vederbörligt
medgivande från patientens behandlande läkare eller far
maceut i varje enskilt fall, om det är motiverat för att
skydda folkhälsan och är nödvändigt och proportionellt i
förhållande till syftet. Erkännande av recept som utfärdas
i andra medlemsstater bör inte påverka någon yrkesmäs
sig eller etisk skyldighet som skulle kräva att farmaceuten
vägrade att lämna ut läkemedlet. Oavsett om det finns ett
medicinskt erkännande kan den medlemsstat där pa
tienten är försäkrad besluta om att låta sådana läkemedel
omfattas av de sociala förmånerna. Principen om erkän
nande kan lättare tillämpas om det vidtas åtgärder som är
nödvändiga för att skydda patientens säkerhet och för
hindra att läkemedel missbrukas eller förväxlas. Vidare
bör noteras att kostnadsersättning för läkemedel inte på
verkas av reglerna om ömsesidigt erkännande av recept,
utan omfattas av de allmänna reglerna om kostnads
ersättning för gränsöverskridande hälso- och sjukvård i
kapitel III i detta direktiv. Europeiska referensnätverk bör
tillhandahålla hälso- och sjukvård till alla patienter med
sjukdomar som kräver en särskild koncentration av re
surser eller expertis så att högkvalitativ och kostnads
effektiv vård kan ges till överkomligt pris och de kan
också fungera som kontaktpunkter för läkarutbildning
och forskning, spridning av information och utvärdering.
Dessa åtgärder bör också omfatta antagandet av en icke-
uttömmande förteckning över de uppgifter som receptet
ska innehålla. Ingenting bör hindra medlemsstaterna från
att ha med ytterligare uppgifter i recepten, så länge som
detta inte hindrar erkännande av recept från andra med
lemsstater som innehåller den gemensamma förteck
ningen över inslag. Erkännande av recept bör också till
lämpas på medicinska hjälpmedel som lagligen har
släppts ut på marknaden i den medlemsstat där produk
ten kommer att lämnas ut.
(54)
Kommissionen bör bistå medlemsstaterna i det fortsatta
utvecklandet av europeiska referensnätverk mellan vård
givare och kompetenscentrum i medlemsstaterna. Euro
peiska referensnätverk kan förbättra tillgången till dia
gnoser och tillhandahållandet av högkvalitativ hälso-
och sjukvård till alla patienter med sjukdomar som krä
ver en särskild koncentration av resurser eller expertis,
och de kan också fungera som kontaktpunkter för läkar
utbildning och forskning, spridning av information och
utvärdering, särskilt beträffande sällsynta sjukdomar.
Detta direktiv bör därför ge medlemsstaterna incitament
för att förstärka det fortsatta utvecklandet av europeiska
referensnätverk. De europeiska referensnätverken grundas
på frivilligt deltagande av medlemmarna, men kommis
sionen bör utveckla kriterier och villkor som det bör
krävas att nätverken uppfyller för att de ska få stöd
från kommissionen.
(55)
Sällsynta sjukdomar är sådana som förekommer hos
högst fem av 10 000 personer, i enlighet med Europa
parlamentets och rådets förordning (EG) nr 141/2000 av
den 16 december 1999 om särläkemedel (1), och de är
alla allvarliga och kroniska och ofta livshotande. Vissa
patienter med sällsynta sjukdomar har svårt att få en
diagnos och behandling som kan förbättra deras livskva
litet och öka den förväntade livslängden, och dessa svå
righeter erkändes också i rådets rekommendation av den
8 juni 2009 om en satsning avseende sällsynta sjuk
domar (2).
(56)
Den tekniska utvecklingen av gränsöverskridande hälso-
och sjukvård med hjälp av IKT kan skapa oklarhet när
det gäller medlemsstaternas tillsynsansvar och därmed
hindra den fria rörligheten för hälso- och sjukvårdstjäns
ter, och eventuellt medföra ytterligare hälsorisker. Inom
unionen används vitt skilda och inkompatibla format och
standarder för IKT-baserad hälso- och sjukvård, vilket
både skapar hinder för denna typ av vårdtjänst och kan
innebära hälsorisker. Medlemsstaterna måste därför sträva
efter kompatibilitet mellan IKT-system. Införande av IKT-
system omfattas emellertid helt och hållet av nationell
behörighet. Detta direktiv bör därför erkänna vikten av
kompatibilitet och respektera en uppdelning av befogen
heterna genom att fastställa att kommissionen och med
lemsstaterna arbetar tillsammans för att utveckla åtgärder
som inte är rättslig bindande, men som tillhandahåller
ytterligare verktyg som medlemsstaterna kan använda
för att underlätta större kompatibilitet mellan IKT-syste
men på hälso- och sjukvårdsområdet och för att stödja
(1) EGT L 18, 22.1.2000, s. 1.
(2) EUT C 151, 3.7.2009, s. 7.
504
SOU 2023:13
Bilaga 6
4.4.2011
SV
Europeiska unionens officiella tidning
L 88/53
patienternas tillgång till e-hälsotillämpningar, närhelst
medlemsstaterna beslutar att införa sådana system.
(57)
Kompatibilitet mellan lösningar som rör e-hälsa bör upp
nås samtidigt som hänsyn tas till nationell lagstiftning
om tillhandahållande av hälso- och sjukvårdstjänster
som har antagits för att skydda patienten, inklusive lag
stiftning om Internetapotek, särskilt nationella förbud
mot receptbelagda läkemedel på postorder under för
utsättning att de är förenliga med domstolens rättspraxis
och Europaparlamentets och rådets direktiv 97/7/EG av
den 20 maj 1997 om konsumentskydd vid distans
avtal (1) och Europaparlamentets och rådets direktiv
2000/31/EG av den 8 juni 2000 om vissa rättsliga aspek
ter på informationssamhällets tjänster, särskilt elektronisk
handel, på den inre marknaden (2).
(58)
Den ständiga utvecklingen inom medicinsk forskning och
teknik innebär både möjligheter och utmaningar för
medlemsstaternas hälso- och sjukvård. Samarbete när
det gäller utvärdering av nya medicinska metoder kan
gagna medlemsstaterna genom skalfördelar och genom
att dubbelarbete undviks samt ge bättre vetenskaplig
grund för optimalt utnyttjande av ny teknik och därmed
garantera en säker, högkvalitativ och effektiv hälso- och
sjukvård. Ett sådant samarbete förutsätter långsiktiga
strukturer som omfattar alla relevanta myndigheter i
medlemsstaterna och där man bygger vidare på befintliga
pilotprojekt och samråd med en bred grupp berörda
aktörer. Detta direktiv bör därför ligga till grund för ett
fortsatt unionsstöd till sådant samarbete.
(59)
Enligt artikel 291 i EUF-fördraget ska allmänna regler och
principer för medlemsstaternas kontroll av kommissio
nens utövande av sina genomförandebefogenheter fast
ställas i förväg genom en förordning i enlighet med det
ordinarie lagstiftningsförfarandet. I avvaktan på att en
sådan ny förordning antas bör rådets beslut
1999/468/EG av den 28 juni 1999 om de förfaranden
som skall tillämpas vid utövandet av kommissionens ge
nomförandebefogenheter (3) fortsätta att tillämpas, med
undantag för det föreskrivande förfarandet med kontroll,
som inte är tillämpligt.
(60)
Kommissionen bör ges befogenhet att anta delegerade
akter i enlighet med artikel 290 i EUF-fördraget i fråga
om åtgärder för att undanta särskilda kategorier av läke
medel eller medicinska hjälpmedel från det erkännande
av recept som föreskrivs i detta direktiv. För att kunna
fastställa vilka referensnätverk som bör dra nytta av kom
missionens stöd bör kommissionen också ha befogenhet
att anta delegerade akter med avseende på de kriterier
och villkor som europeiska referensnätverk måste upp
fylla.
(1) EGT L 144, 4.6.1997, s. 19.
(2) EGT L 178, 17.7.2000, s. 1.
(3) EGT L 184, 17.7.1999, s. 23.
(61)
Det är av särskild betydelse att kommissionen, när den
fått befogenhet att anta delegerade akter i enlighet med
artikel 290 i EUF-fördraget, genomför lämpliga samråd
under sitt förberedande arbete, inklusive på expertnivå.
(62)
I enlighet med punkt 34 i det interinstitutionella avtalet
om bättre lagstiftning (4) uppmuntras medlemsstaterna
att, för egen del och i unionens intresse, upprätta egna
tabeller som så långt det är möjligt visar överensstäm
melsen mellan detta direktiv och införlivandeåtgärderna
samt att offentliggöra dessa tabeller.
(63)
Den europeiska datatillsynsmannen har också avgivit sitt
yttrande över förslaget till detta direktiv (5).
(64)
Eftersom målet för detta direktiv, nämligen att fastställa
bestämmelser med syftet att göra det lättare att få tillgång
till säker, högkvalitativ och gränsöverskridande hälso-
och sjukvård i unionen, inte i tillräcklig utsträckning
kan uppnås av medlemsstaterna och det därför på grund
av åtgärdens omfattning och verkningar bättre kan upp
nås på unionsnivå, kan unionen vidta åtgärder i enlighet
med subsidiaritetsprincipen i artikel 5 i fördraget om
Europeiska unionen. I enlighet med proportionalitetsprin
cipen i samma artikel går detta direktiv inte utöver vad
som är nödvändigt för att uppnå detta mål.
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
KAPITEL I
ALLMÄNNA BESTÄMMELSER
Artikel 1
Syfte och tillämpningsområde
1. Detta direktiv innehåller bestämmelser för att göra det
lättare att få tillgång till säker och högkvalitativ gränsöverskri
dande hälso- och sjukvård, och uppmuntrar till samarbete be
träffande hälso- och sjukvård mellan medlemsstater, samtidigt
som fullständig hänsyn ska tas till nationell kompetens i fråga
om organisation och tillhandahållande av hälso- och sjukvård.
Detta direktiv syftar också till att förtydliga dess förhållande till
det befintliga ramverket om samordning av de sociala trygghets
systemen, förordning (EG) nr 883/2004, vid tillämpning av
patienträttigheter.
(4) EUT C 321, 31.12.2003, s. 1.
(5) EUT C 128, 6.6.2009, s. 20.
505
Bilaga 6
SOU 2023:13
L 88/54
SV
Europeiska unionens officiella tidning
4.4.2011
2. Detta direktiv ska tillämpas på tillhandahållande av hälso-
och sjukvård till patienter, oavsett hur vården organiseras, till
handahålls och finansieras.
3. Detta direktiv ska inte tillämpas på
a) tjänster vid långvarigt behov vars syfte är att vara till stöd för
personer som behöver hjälp med utförande av rutinmässiga
vardagssysslor,
b) tillgång till och fördelning av organ avsedda för organtrans
plantationer,
c) med undantag för kapitel IV, allmänna vaccinationsprogram
mot infektionssjukdomar som inriktas uteslutande på att
skydda hälsan hos befolkningen i en medlemsstat och som
är föremål för särskilda planerings- och genomförandeåtgär
der.
4. Detta direktiv ska inte påverka lagar och andra författ
ningar i medlemsstaterna om hälso- och sjukvårdens organisa
tion och finansiering i situationer som inte avser gränsöverskri
dande hälso- och sjukvård. I synnerhet ska ingenting i detta
direktiv tvinga en medlemsstat att ersätta kostnader för hälso-
och sjukvård som getts av vårdgivare som är etablerade på dess
eget territorium om dessa givare inte omfattas av den medlems
statens system för social trygghet och sjukvårdssystem.
Artikel 2
Förhållande till andra unionsbestämmelser
Detta direktiv ska gälla utan att påverka tillämpningen av
a) rådets direktiv 89/105/EEG av den 21 december 1988 om
insyn i de åtgärder som reglerar prissättningen på human
läkemedel och deras inordnande i de nationella sjukförsäk
ringssystemen (1),
b) rådets direktiv 90/385/EEG av den 20 juni 1990 om till
närmning av medlemsstaternas lagstiftning om aktiva me
dicintekniska produkter för implantation (2), rådets direktiv
93/42/EEG av den 14 juni 1993 om medicintekniska pro
dukter (3) och Europaparlamentets och rådets direktiv
98/79/EG av den 27 oktober 1998 om medicintekniska
produkter för in vitro-diagnostik (4),
c) direktiv 95/46/EG samt Europaparlamentets och rådets di
rektiv 2002/58/EG av den 12 juli 2002 om behandling av
personuppgifter och integritetsskydd inom sektorn för elek
tronisk kommunikation (5),
d) Europaparlamentets och rådets direktiv 96/71/EG av den
16 december 1996 om utstationering av arbetstagare i sam
band med tillhandahållande av tjänster (6).
e) direktiv 2000/31/EG,
(1) EGT L 40, 11.2.1989, s. 8.
(2) EGT L 189, 20.7.1990, s. 17.
(3) EGT L 169, 12.7.1993, s. 1.
(4) EGT L 331, 7.12.1998, s. 1.
(5) EGT L 201, 31.7.2002, s. 37.
(6) EGT L 18, 21.1.1997, s. 1.
f) rådets direktiv 2000/43/EG av den 29 juni 2000 om ge
nomförandet av principen om likabehandling av personer
oavsett deras ras eller etniska ursprung (7),
g) Europaparlamentets och rådets direktiv 2001/20/EG av den
4 april 2001 om tillnärmning av medlemsstaternas lagar
och andra författningar rörande tillämpning av god klinisk
sed vid kliniska prövningar av humanläkemedel (8),
h) Europaparlamentets och rådets direktiv 2001/83/EG av den
6 november 2001 om upprättande av gemenskapsregler för
humanläkemedel (9),
i) Europaparlamentets och rådets direktiv 2002/98/EG av den
27 januari 2003 om fastställande av kvalitets- och säker
hetsnormer för insamling, kontroll, framställning, förvaring
och distribution av humanblod och (10),
j) förordning (EG) nr 859/2003,
k) Europaparlamentets och rådets direktiv 2004/23/EG av den
31 mars 2004 om fastställande av kvalitets- och säkerhets
normer för donation, tillvaratagande, kontroll, bearbetning,
konservering, förvaring och distribution av mänskliga väv
nader och celler (11),
l) Europaparlamentets och rådets förordning (EG) nr
726/2004 av den 31 mars 2004 om inrättande av gemen
skapsförfaranden för godkännande av och tillsyn över hu
manläkemedel och veterinärmedicinska läkemedel samt om
inrättande av en europeisk läkemedelsmyndighet (12),
m) förordning (EG) nr 883/2004, och Europaparlamentets och
rådets förordning (EG) nr 987/2009 av den 16 september
2009 om tillämpningsbestämmelser till förordning (EG) nr
883/2004 om samordning av de sociala trygghetssyste
men (13),
n) direktiv 2005/36/EG,
o) Europaparlamentets och rådets förordning (EG) nr
1082/2006 av den 5 juli 2006 om en europeisk gruppering
för territoriellt samarbete (EGTS) (14),
(7) EGT L 180, 19.7.2000, s. 22.
(8) EGT L 121, 1.5.2001, s. 34.
(9) EGT L 311, 28.11.2001, s. 67.
(10) EUT L 33, 8.2.2003, s. 30.
(11) EUT L 102, 7.4.2004, s. 48.
(12) EUT L 136, 30.4.2004, s. 1.
(13) EUT L 284, 30.10.2009, s. 1.
(14) EUT L 210, 31.7.2006, s. 19.
506
SOU 2023:13
Bilaga 6
4.4.2011
SV
Europeiska unionens officiella tidning
L 88/55
p) Europaparlamentets och rådets förordning (EG) nr
1338/2008 av den 16 december 2008 om gemenskapssta
tistik om folkhälsa och hälsa och säkerhet i arbetet (1),
q) Europaparlamentets och rådets förordning (EG) nr
593/2008 av den 17 juni 2008 om tillämplig lag för avtals
förpliktelser (Rom I) (2), Europaparlamentets och rådets för
ordning (EG) nr 864/2007 av den 11 juli 2007 om till
lämplig lag för utomobligatoriska förpliktelser (Rom II) (3)
samt andra unionsregler om internationell privaträtt, särskilt
regler om domstols behörighet och tillämplig lag,
r) Europaparlamentets och rådets direktiv 2010/53/EU av den
7 juli 2010 om kvalitets- och säkerhetsnormer för mänsk
liga organ avsedda för transplantation (4),
s) Förordning (EU) nr 1231/2010.
Artikel 3
Definitioner
I detta direktiv avses med
a) hälso- och sjukvård: hälso- och sjukvårdstjänster som hälso-
och sjukvårdspersonal tillhandahåller patienter i syfte att
bedöma, bibehålla eller återställa deras hälsotillstånd, inbe
gripet förskrivning, utlämning och tillhandahållande av lä
kemedel och medicinska hjälpmedel.
b) försäkrad person:
i) personer, inbegripet familjemedlemmar och deras efter
levande, som omfattas av artikel 2 i förordning (EG) nr
883/2004 och som är försäkrade personer i den mening
som avses i artikel 1 c i den förordningen, och
ii) tredjelandsmedborgare som omfattas av förordning (EG)
nr 859/2003 eller förordning (EU) nr 1231/2010 eller
som uppfyller villkoren i lagstiftningen i försäkringsmed
lemsstaten för rätt till förmåner.
c) försäkringsmedlemsstat:
i) för personer som avses i led b i, den medlemsstat som
har behörighet att bevilja den försäkrade personen för
handstillstånd att få lämplig behandling utanför bosätt
ningsmedlemsstaten i enlighet med förordning (EG) nr
883/2004 och förordning (EG) nr 987/2009,
(1) EUT L 354, 31.12.2008, s. 70.
(2) EUT L 177, 4.7.2008, s. 6.
(3) EUT L 199, 31.7.2007, s. 40.
(4) EUT L 207, 6.8.2010, s. 14.
ii) för personer som avses i led b ii, den medlemsstat som
har behörighet att bevilja den försäkrade personen för
handstillstånd att få lämplig behandling i en annan med
lemsstat i enlighet med förordning (EG) nr 859/2003
eller förordning (EU) nr 1231/2010. Om ingen med
lemsstat är behörig i enlighet med de förordningarna,
ska försäkringsmedlemsstaten vara den medlemsstat där
personen är försäkrad eller har rätt till förmåner vid
sjukdom enligt den medlemsstatens lagstiftning.
d) behandlande medlemsstat: den medlemsstat på vilkens territo
rium hälso- och sjukvården faktiskt tillhandahålls patienten.
Vid telemedicinska tjänster ska hälso- och sjukvården anses
tillhandahållen i den medlemsstat där vårdgivaren är etable
rad,
e) gränsöverskridande hälso- och sjukvård: hälso- och sjukvård
som tillhandahålls eller förordnas i en annan medlemsstat
än försäkringsmedlemsstaten,
f) hälso- och sjukvårdspersonal: läkare, sjuksköterska med ansvar
för allmän hälso- och sjukvård, tandläkare, barnmorska eller
farmaceut i den mening som avses i direktiv 2005/36/EG
eller annan person som utövar yrkesverksamhet inom
hälso- och sjukvård som är begränsad till ett reglerat yrke
enligt definitionen i artikel 3.1 a i direktiv 2005/36/EG,
eller en person som anses som hälso- och sjukvårdspersonal
enligt den behandlande medlemsstatens lagstiftning,
g) vårdgivare: varje fysisk eller juridisk person eller varje annan
entitet som lagligen bedriver hälso- och sjukvård på en
medlemsstats territorium,
h) patient: varje fysisk person som ansöker om eller får hälso-
och sjukvård i en medlemsstat,
i) läkemedel: läkemedel enligt definitionen i direktiv
2001/83/EG,
j) medicinskt hjälpmedel: ett medicinskt hjälpmedel enligt defi
nitionen i direktiv 90/385/EEG, direktiv 93/42/EEG eller
direktiv 98/79/EG,
k) recept: en ordination av ett läkemedel eller ett medicinskt
hjälpmedel som utfärdas av en person som utövar ett re
glerat vårdyrke i den mening som avses i artikel 3.1 a
direktiv 2005/36/EG och som har laglig rätt att göra detta i
den medlemsstat där ordinationen utfärdas,
507
i
Bilaga 6
SOU 2023:13
L 88/56
SV
Europeiska unionens officiella tidning
4.4.2011
l) medicinsk teknik: läkemedel, medicinska hjälpmedel eller me
dicinska och kirurgiska ingrepp, liksom åtgärder för före
byggande, diagnostisering eller behandling av sjukdom, som
används inom hälso- och sjukvården,
m) patientjournal: den dokumentsamling som innehåller uppgif
ter, bedömning och information av olika slag rörande en
patients situation och medicinska utveckling under hela
vårdprocessen.
KAPITEL II
MEDLEMSSTATERNAS ANSVAR BETRÄFFANDE GRÄNSÖVER
SKRIDANDE HÄLSO- OCH SJUKVÅRD
Artikel 4
Den behandlande medlemsstatens ansvar
1. Med beaktande av principerna om allmängiltighet, tillgång
till vård av god kvalitet, rättvisa och solidaritet ska gränsöver
skridande hälso- och sjukvård tillhandahållas i enlighet med:
a) lagstiftningen i den behandlande medlemsstaten,
b) kvalitets- och säkerhetsnormer och riktlinjer som fastställs av
den behandlande medlemsstaten, och
c) unionens lagstiftning om säkerhetsstandarder.
2. Den behandlande medlemsstaten ska säkerställa att
a) patienter, på begäran, från den nationella kontaktpunkt som
avses i artikel 6 får relevant information om de normer och
riktlinjer som avses i punkt 1 b i den här artikeln, inbegripet
bestämmelser om tillsyn och bedömning av vårdgivare och
information om vilka vårdgivare som omfattas av dessa nor
mer och riktlinjer, samt information om tillgänglighet på
sjukhus för personer med funktionshinder,
b) vårdgivare förser patienter med relevant information, för att
hjälpa enskilda patienter att göra ett välgrundat val, inbegri
pet avseende behandlingsalternativ, om tillgänglighet, kvalitet
och säkerhet när det gäller den hälso- och sjukvård som
tillhandahålls i den behandlande medlemsstaten samt att de
även tillhandahåller tydliga fakturor och tydlig information
om priser, om vårdgivarens tillstånds- eller registreringssta
tus, försäkringsskydd eller annat personligt eller kollektivt
skydd rörande yrkesansvar. I den utsträckning som vårdgi
vare redan ger patienter som är bosatta i den behandlande
medlemsstaten relevant information i dessa frågor, innebär
inte detta direktiv någon skyldighet för vårdgivare att ge
patienter från andra medlemsstater mer omfattande infor
mation,
c) det för patienterna, i enlighet med den behandlande med
lemsstatens lagstiftning, inrättats tydliga förfaranden för kla
gomål och mekanismer för att de ska kunna ansöka om att
få sin sak prövad om de lider skada av den hälso- och
sjukvård de får,
d) det för den behandling som tillhandahålls på deras territo
rium finns system med yrkesansvarsförsäkring, eller en ga
ranti eller liknande arrangemang som är likvärdiga eller i allt
väsentligt jämförbara när det gäller syftet och som är anpas
sade till riskens art och omfattning,
e) att den grundläggande rätten till personlig integritet vid be
handling av personuppgifter skyddas i överensstämmelse
med nationella åtgärder som genomför gemenskapens be
stämmelser om skydd av personuppgifter, särskilt direktiven
95/46/EG och 2002/58/EG,
f) att behandlade patienter, för att säkerställa kontinuitet i vår
den, har rätt till en patientjournal, i skriftlig eller elektronisk
form, för den mottagna behandlingen och tillgång till åtmin
stone en kopia av denna patientjournal i överensstämmelse
med nationella åtgärder som genomför unionens bestämmel
ser om skydd av personuppgifter, särskilt direktiven
95/46/EG och 2002/58/EG.
3. Principen om icke-diskriminering vad beträffar medbor
garskap ska tillämpas på patienter från andra medlemsstater.
Detta ska inte påverka möjligheten för den behandlande med
lemsstaten att, när detta kan motiveras av tvingande hänsyn till
allmänintresset, exempelvis krav på planering som har samband
med målet att garantera tillräcklig och kontinuerlig tillgång till
ett väl avvägt utbud av behandlingar av hög kvalitet i medlems
staten i fråga eller önskemålet att kontrollera kostnaderna och, i
möjligaste mån, undvika allt slöseri med ekonomiska, tekniska
eller personella resurser, anta bestämmelser om tillgången till
behandling i syfte att uppfylla sin grundläggande skyldighet att
garantera tillräcklig och fortlöpande tillgång till hälso- och sjuk
vård inom sitt eget territorium. Sådana bestämmelser bör be
gränsas till vad som är nödvändigt och proportionellt, och de
får inte leda till godtycklig diskriminering och de ska offentlig
göras i förväg.
4. Medlemsstaterna ska se till att deras vårdgivare på deras
territorium tillämpar samma arvoden för hälso- och sjukvård för
patienter från andra medlemsstater som för inhemska patienter i
motsvarande medicinska situation, eller att de tar ut ett pris
som beräknas enligt objektiva, icke-diskriminerande kriterier
om det inte finns något jämförbart pris för inhemska patienter.
508
SOU 2023:13
Bilaga 6
4.4.2011
SV
Europeiska unionens officiella tidning
L 88/57
Denna punkt ska inte påverka nationell lagstiftning som tillåter
vårdgivare att fastställa sina egna priser, förutsatt att de inte
diskriminerar patienter från andra medlemsstater.
5.
Detta direktiv ska inte påverka medlemsstaternas lagar och
andra författningar om språkanvändning. Medlemsstaterna får
välja att lämna information på andra språk än de som är offi
ciella språk i den berörda medlemsstaten
Artikel 5
Försäkringsmedlemsstatens ansvar
Försäkringsmedlemsstaten ska se till att
a) kostnaden för gränsöverskridande hälso- och sjukvård ersätts
i enlighet med kapitel III,
b) det finns mekanismer för att, på begäran, tillhandahålla in
formation till patienter om deras rättigheter i den medlems
staten i fråga om gränsöverskridande hälso- och sjukvård, i
synnerhet när det gäller villkoren för att få ersättning för
kostnader i enlighet med artikel 7.6 och förfaranden för
att få tillgång till och fastställa dessa rättigheter och för
överklagande och prövning om patienten anser att hans eller
hennes rättigheter inte har respekterats, i enlighet med
artikel 9. I informationen om gränsöverskridande hälso-
och sjukvård ska det göras en klar skillnad mellan patien
trättigheter på grundval av detta direktiv och patienträttighe
ter på grundval av förordning (EG) nr 883/2004,
c) om en patient har fått gränsöverskridande hälso- och sjuk
vård och om det visar sig nödvändigt med en särskild me
dicinsk uppföljning, samma medicinska uppföljning erbjuds
som om hälso- och sjukvården hade tillhandahållits på dess
territorium,
d) patienter som söker eller får gränsöverskridande hälso- och
sjukvård får tillgång på distans till eller har åtminstone en
kopia av patientjournalen, i överensstämmelse med och med
förbehåll för nationella åtgärder som genomför unionens
bestämmelser om skydd av personuppgifter, särskilt direkti
ven 95/46/EG och 2002/58/EG.
Artikel 6
Nationella kontaktpunkter för gränsöverskridande hälso-
och sjukvård
1. Varje medlemsstat ska utse en eller flera nationella kon
taktpunkter för gränsöverskridande hälso- och sjukvård och
meddela kommissionen deras namn och kontaktuppgifter.
Kommissionen och medlemsstaterna ska offentliggöra denna
information. Medlemsstaterna ska se till att de nationella kon
taktpunkterna samråder med patientorganisationer, tillhandahål
lare av hälso- och sjukvård och sjukförsäkringsgivare.
2. Nationella kontaktpunkter ska underlätta det infor
mationsutbyte som avses i punkt 3 och ska ha ett nära sam
arbete med varandra och med kommissionen. Nationella kon
taktpunkter ska, på begäran, ge patienterna kontaktuppgifter för
nationella kontaktpunkter i andra medlemsstater.
3. För att patienterna ska kunna tillämpa sina rättigheter i
samband med gränsöverskridande hälso- och sjukvård ska de
nationella kontaktpunkterna i den behandlande medlemsstaten
förse patienterna med information om vårdgivare, inklusive, på
begäran, information om specifika vårdgivares rätt att tillhanda
hålla tjänster eller eventuella begränsningar rörande deras prak
tik, information som avses i artikel 4.2 a samt information om
patienträttigheter, förfaranden för klagomål och mekanismer för
att få sin sak prövad, enligt den medlemsstatens lagstiftning
samt de rättsliga och administrativa alternativ som finns att
tillgå för tvistlösning, inbegripet då skador uppstått vid gräns
överskridande hälso- och sjukvård.
4. Nationella kontaktpunkter i försäkringsmedlemsstaten ska
förse patienter och hälso- och sjukvårdspersonal med den infor
mation som avses i artikel 5 b.
5. Den information som avses i denna artikel ska vara lätt
tillgänglig och ska, i tillämpliga fall, göras tillgänglig på elek
tronisk väg och i format som är tillgängliga för funktionshind
rade personer.
KAPITEL III
ERSÄTTNING AV KOSTNADER FÖR GRÄNSÖVERSKRIDANDE
HÄLSO- OCH SJUKVÅRD
Artikel 7
Allmänna principer för ersättning av kostnader
1. Utan att det påverkar tillämpningen av förordning (EG) nr
883/2004 och om annat inte följer av bestämmelserna i artik
larna 8 och 9, ska försäkringsmedlemsstaten se till att de kost
nader som uppstått för en försäkrad person som mottagit gräns
överskridande hälso- och sjukvård ersätts, om vården i fråga hör
till de förmåner som den försäkrade personen har rätt till i
försäkringsmedlemsstaten.
2. Med avvikelse från punkt 1 gäller följande:
a) Om en medlemsstat som är upptagen i förteckningen i bi
laga IV till förordning (EG) nr 883/2004 och i enlighet med
den förordningen har erkänt att pensionärer och deras famil
jemedlemmar som är bosatta i en annan medlemsstat har
rätt till förmåner vid sjukdom, ska den tillhandahålla dem
hälso- och sjukvård enligt detta direktiv på egen bekostnad
när de befinner sig inom dess territorium i enlighet med
bestämmelserna i dess lagstiftning, som om de berörda per
sonerna vore bosatta i denna medlemsstat som är upptagen i
förteckningen i den bilagan.
509
Bilaga 6
SOU 2023:13
L 88/58
SV
Europeiska unionens officiella tidning
4.4.2011
b) Om den hälso- och sjukvård som tillhandahålls enligt detta
direktiv inte är föremål för förhandstillstånd i enlighet med
kapitel 1 i avdelning III i förordning (EG) nr 883/2004 och
tillhandahålls inom territoriet för den medlemsstat som en
ligt den förordningen och förordning (EG) nr 987/2009 har
det slutgiltiga ansvaret för ersättning av vårdkostnaderna, ska
denna medlemsstat stå för kostnaden. Den medlemsstaten
kan stå för kostnaden för denna hälso- och sjukvård i enlig
het med de allmänna villkor och kriterier för att få vård och
ersättning samt rättsliga och administrativa formaliteter som
denna medlemsstat fastställt, förutsatt att detta är förenligt
med EUF-fördraget.
3. Försäkringsmedlemsstaten ska fastställa, på lokal, regional
eller nationell nivå för vilken hälso- och sjukvård en försäkrad
person har rätt att få ersättning för kostnader och nivån på
ersättningen av dessa kostnader, oberoende av var hälso- och
sjukvården tillhandahålls.
4. Kostnaderna för gränsöverskridande hälso- och sjukvård
ska ersättas eller direkt utbetalas av försäkringsmedlemsstaten,
upp till den kostnadsnivå som försäkringsmedlemsstaten skulle
ha ersatt, om denna hälso- och sjukvård hade tillhandahållits på
dess territorium, utan att de faktiska kostnaderna för den mot
tagna vården överskrids.
Om hela kostnaden för gränsöverskridande hälso- och sjukvård
överstiger den kostnadsnivå som försäkringsmedlemsstaten
skulle ha ersatt om denna hälso- och sjukvård hade tillhanda
hållits på dess territorium får försäkringsmedlemsstaten ändå
besluta att ersätta hela kostnaden.
Försäkringsmedlemsstaten får besluta att ersätta andra relaterade
kostnader, såsom boende- och resekostnader, eller extra kost
nader som personer med funktionshinder kan åsamkas på
grund av ett eller flera funktionshinder när de mottar gräns
överskridande hälso- och sjukvård, i enlighet med nationell lag
stiftning och under förutsättning att tillräcklig dokumentation
kan styrka förekomsten av dessa kostnader.
5. Medlemsstaterna får anta bestämmelser i enlighet med
EUF-fördraget i syfte att säkerställa att patienter åtnjuter samma
rättigheter när de får gränsöverskridande hälso- och sjukvård
som de skulle ha åtnjutit om de hade fått hälso- och sjukvård
i en jämförbar situation i försäkringsmedlemsstaten.
6. För tillämpning av punkt 4 ska medlemsstaterna ha en
transparent mekanism för beräkning av kostnader för gräns
överskridande hälso- och sjukvård som försäkringsmedlemssta
ten ska ersätta den försäkrade personen. Denna mekanism ska
vara baserad på objektiva, icke-diskriminerande kriterier som
ska vara kända på förhand och tillämpas på relevant (lokal,
regional eller nationell) administrativ nivå.
7. Försäkringsmedlemsstaten får kräva att en försäkrad per
son som ansöker om ersättning för kostnader för gränsöver
skridande hälso- och sjukvård, inklusive som erhållits genom
telemedicin, uppfyller samma villkor och kriterier för att få
vård och ersättning samt rättsliga och administrativa formalite
ter, oavsett om de fastställts på lokal, regional eller nationell
nivå, som den skulle ha krävt om denna hälso- och sjukvård
hade getts på dess territorium. Detta kan inbegripa en bedöm
ning av hälso- och sjukvårdspersonal eller personal inom hälso-
och sjukvårdsförvaltningen som tillhandahåller tjänster för det
lagstadgade systemet för social trygghet eller det nationella sy
stemet för hälso- och sjukvård i försäkringsmedlemsstaten, t.ex.
allmänläkaren eller primärvårdsläkaren som patienten är regi
strerad hos, om detta är nödvändigt för att avgöra huruvida
den enskilda patienten har rätt till hälso- och sjukvård. Inga
villkor eller kriterier för att få vård och ersättning eller rättsliga
och administrativa formaliteter som krävs enligt denna punkt
får dock vara diskriminerande eller utgöra något hinder mot
den fria rörligheten för patienter, tjänster eller varor om detta
inte är objektivt motiverat av krav på planering som har sam
band med målet att garantera tillräcklig och kontinuerlig till
gång till ett väl avvägt utbud av behandlingar av hög kvalitet i
medlemsstaten i fråga eller önskemålet att kontrollera kost
naderna och, i möjligaste mån, undvika allt slöseri med ekono
miska, tekniska eller personella resurser.
8. Försäkringsmedlemsstaten får dock inte som villkor för
ersättning av kostnader för gränsöverskridande hälso- och sjuk
vård kräva förhandstillstånd, utom i de fall som anges i
artikel 8.
9. Försäkringsmedlemsstaten får begränsa tillämpningen av
bestämmelserna om ersättning av kostnader för gränsöverskri
dande hälso- och sjukvård på grund av tvingande hänsyn till
allmänintresset, t.ex. krav på planering i samband med målet att
garantera tillräcklig och kontinuerlig tillgång till ett väl avvägt
utbud av behandlingar av hög kvalitet i medlemsstaten i fråga
eller önskemålet att kontrollera kostnaderna och, i möjligaste
mån, undvika allt slöseri med ekonomiska, tekniska eller perso
nella resurser.
10. Trots vad som sägs i punkt 9 ska medlemsstaterna se till
att sådan gränsöverskridande hälso- och sjukvård för vilken
förhandstillstånd beviljats ersätts i enlighet med tillståndet.
11. Beslutet att begränsa tillämpningen av den här artikeln
enligt punkt 9 ska begränsas till vad som är nödvändigt och
proportionerligt och får inte leda till godtycklig diskriminering
eller utgöra ett oberättigat hinder för den fria rörligheten för
varor, personer eller tjänster. Medlemsstaterna ska till kommis
sionen anmäla alla beslut om att begränsa ersättningen som
fattats på de grunder som anges i punkt 9.
510
SOU 2023:13
Bilaga 6
4.4.2011
SV
Europeiska unionens officiella tidning
L 88/59
Artikel 8
Hälso- och sjukvård som får omfattas av förhandstillstånd
1. Försäkringsmedlemsstaten får fastställa ett system för för
handstillstånd för ersättning för kostnader för gränsöverskri
dande hälso- och sjukvård i enlighet med den här artikeln
och artikel 9. Systemet för förhandstillstånd, inbegripet kriteri
erna och tillämpningen av dessa kriterier, och enskilda beslut
om att ge avslag på förhandstillstånd ska begränsas till vad som
är nödvändigt och proportionellt i förhållande till det mål som
ska uppnås, och får inte leda till godtycklig diskriminering eller
utgöra ett oberättigat hinder för den fria rörligheten för pa
tienter.
2. Hälso- och sjukvård som får omfattas av förhandstillstånd
ska begränsas till hälso- och sjukvård som
a) kräver planering i samband med målet att garantera tillräck
lig och kontinuerlig tillgång till ett väl avvägt utbud av be
handlingar av hög kvalitet i medlemsstaten i fråga eller öns
kemålet att kontrollera kostnaderna och, i möjligaste mån,
undvika allt slöseri med ekonomiska, tekniska eller perso
nella resurser och:
i) innebär att patienten i fråga läggs in på sjukhus minst en
natt, eller
ii) kräver högt specialiserad och kostnadsintensiv medicinsk
infrastruktur eller utrustning,
b) medför behandlingar som utgör en särskild risk för patienten
eller befolkningen, eller
c) tillhandahålls av en vårdgivare som, utifrån en bedömning i
varje enskilt fall, kan ge upphov till allvarliga och specifika
farhågor med avseende på vårdens kvalitet och säkerhet, med
undantag för den hälso- och sjukvård som är underställd
unionslagstiftning som garanterar en lägsta säkerhets- och
kvalitetsnivå i hela unionen.
Medlemsstaterna ska anmäla de kategorier av hälso- och sjuk
vård som avses i led a till kommissionen.
3. Varje gång en försäkrad person begär förhandstillstånd för
att få gränsöverskridande hälso- och sjukvård ska försäkrings
medlemsstaten förvissa sig om att villkoren i förordning (EG) nr
883/2004 har uppfyllts. När dessa villkor är uppfyllda ska för
handstillstånd beviljas i enlighet med den förordningen såvida
inte patienten begär något annat.
4. Om en patient som lider av eller misstänks lida av en
sällsynt sjukdom ansöker om förhandstillstånd får en klinisk
utvärdering utföras av experter på området. Om inga experter
kan hittas inom försäkringsmedlemsstaten eller om expertens
yttrande inte lett till en klar slutsats får försäkringsmedlems
staten begära vetenskaplig rådgivning.
5. Utan att det påverkar punkt 6 a–c får försäkringsmedlems
staten inte neka förhandstillstånd om patienten har rätt att få
den hälso- och sjukvård det rör sig om i enlighet med artikel 7,
och när denna hälso- och sjukvård inte kan tillhandahållas på
medlemsstatens territorium inom en tid som är medicinskt för
svarbar, efter en objektiv bedömning av patientens hälsotill
stånd, sjukdomshistoria, sjukdomens sannolika förlopp, smärta
och/eller typ av funktionshinder vid den tidpunkt då patienten
lämnar in eller förnyar en tillståndsansökan.
6. Försäkringsmedlemsstaten får neka förhandstillstånd av
följande skäl:
a) Om det, enligt den kliniska utvärderingen, med rimlig säker
het kan antas att patientens säkerhet kommer att äventyras
på ett sätt som inte kan anses vara godtagbar, med beak
tande av den möjliga fördelen den begärda gränsöverskri
dande hälso- och sjukvården skulle innebära för patienten.
b) Om det med rimlig säkerhet kan antas att allmänheten kom
mer att utsättas för en allvarlig säkerhetsrisk på grund av den
gränsöverskridande hälso- och sjukvård det rör sig om.
c) Om denna hälso- och sjukvård kommer att tillhandahållas av
en vårdgivare som väcker allvarliga och specifika farhågor
vad avser respekten för normer och riktlinjer för vårdens
kvalitet och patientens säkerhet, inklusive bestämmelser om
tillsyn, oavsett om dessa normer och riktlinjer är fastställda i
lagar och andra författningar eller genom de ackrediterings
system som den behandlande medlemsstaten fastställt.
d) Om denna hälso- och sjukvård kan tillhandahållas på med
lemsstatens territorium inom en tid som är medicinskt för
svarbar, med hänsyn till varje patients aktuella hälsotillstånd
och sjukdomens sannolika förlopp.
7. Försäkringsmedlemsstaten ska ge allmänheten tillgång till
information om vilken hälso- och sjukvård som omfattas av
krav på förhandstillstånd enligt detta direktiv, liksom all relevant
information om systemet med förhandstillstånd.
511
Bilaga 6
SOU 2023:13
L 88/60
SV
Europeiska unionens officiella tidning
4.4.2011
Artikel 9
Administrativa förfaranden för gränsöverskridande hälso-
och sjukvård
1. Försäkringsmedlemsstaten ska se till att de administrativa
förfarandena för gränsöverskridande hälso- och sjukvård och
ersättning för kostnader för hälso- och sjukvård i en annan
medlemsstat grundas på objektiva och icke-diskriminerande kri
terier som är nödvändiga och proportionella för det mål som
ska uppnås.
2. Alla de slags administrativa förfaranden som avses i punkt
1 ska vara lättillgängliga och information beträffande ett sådant
förfarande ska offentliggöras på lämplig nivå. Ett sådant för
farande ska kunna säkerställa att ansökningar behandlas objek
tivt och opartiskt.
3.
Medlemsstaterna ska fastställa rimliga tidsfrister inom vilka
ansökningar om gränsöverskridande hälso- och sjukvård ska
handläggas och offentliggöra dem på förhand. Medlemsstaterna
ska vid behandling av ansökan om gränsöverskridande hälso-
och sjukvård beakta
a) sjukdomen i fråga,
b) hur brådskande fallet är och de individuella omständighe
terna.
4. Medlemsstaterna ska se till att alla enskilda beslut angå
ende gränsöverskridande hälso- och sjukvård och ersättning för
kostnader för hälso- och sjukvård i en annan medlemsstat är
utförligt motiverade och, efter bedömning från fall till fall, får
överklagas och att de också kan bli föremål för rättsliga åtgär
der, t.ex. interimistiska åtgärder.
5. Detta direktiv påverkar inte medlemsstaternas rätt att er
bjuda patienter ett frivilligt system för förhandsanmälan, där
patienten i gengäld för en sådan anmälan får en skriftlig be
kräftelse på det belopp som kommer att betalas tillbaka utifrån
en beräkning. I beräkningen ska hänsyn tas till patientens kli
niska fall, och medicinska förfaranden som kan komma att till
lämpas ska anges.
Medlemsstaterna får välja att tillämpa de ordningar för ekono
misk kompensation mellan behöriga institutioner som före
skrivs i förordning (EG) nr 883/2004. Om en försäkringsmed
lemsstat inte tillämpar en sådan mekanism ska den se till att
patienter får ersättningen utan onödiga dröjsmål.
KAPITEL IV
HÄLSO- OCH SJUKVÅRDSSAMARBETE
Artikel 10
Ömsesidigt bistånd och samarbete
1. Medlemsstaterna ska bistå varandra i den utsträckning
som krävs för att genomföra detta direktiv, inbegripet samarbete
om normer och riktlinjer beträffande kvalitet och säkerhet samt
informationsutbyte, särskilt mellan deras nationella kon
taktpunkter i enlighet med artikel 6, inbegripet om bestämmel
ser om tillsyn och ömsesidigt bistånd med att klargöra uppgifter
i fakturorna.
2. Medlemsstaterna ska främja samarbete om gränsöverskri
dande hälso- och sjukvård på regional och lokal nivå samt
genom IKT och andra former av gränsöverskridande samarbete.
3. Kommissionen ska uppmuntra medlemsstaterna, framför
allt grannländer, att ingå avtal sinsemellan. Kommissionen ska
också uppmuntra medlemsstaterna att samarbeta kring gräns
överskridande vård i gränsregioner.
4.
Den behandlande medlemsstaten ska se till att information
om legitimerad hälso- och sjukvårdspersonal som finns förteck
nad i nationella eller lokala register som upprättats inom med
lemsstaten görs tillgänglig för myndigheterna i andra medlems
stater, för gränsöverskridande hälso- och sjukvård, i enlighet
med kapitel II och III och nationella åtgärder som genomför
unionens bestämmelser om skydd av personuppgifter, särskilt
direktiven 95/46/EG och 2002/58/EG, och principen om o
skuldspresumtion. Informationsutbytet ska ske via informations
systemet för den inre marknaden som ska inrättas enligt kom
missionens beslut 2008/49/EG av den 12 december 2007 om
genomförandet av informationssystemet för den inre mark
naden (IMI) med avseende på skyddet av personuppgifter (1).
Artikel 11
Erkännande av recept som utfärdas i en annan medlemsstat
1. Om ett läkemedel är godkänt för att släppas ut på mark
naden på deras territorier i enlighet med direktiv 2001/83/EG
eller förordning (EG) nr 726/2004, ska medlemsstaterna se till
att recept som utfärdas för ett sådant läkemedel i en annan
medlemsstat för en namngiven patient kan lämnas ut på deras
territorium i enlighet med deras nationella lagstiftning, och att
alla begränsningar av erkännandet av enskilda recept förbjuds,
såvida inte dessa begränsningar är
a) begränsade till vad som är nödvändigt och proportionellt för
att skydda människors hälsa och är icke-diskriminerande,
eller
b) grundade på legitima och berättigade tvivel angående ett
enskilt recepts äkthet, innehåll eller begriplighet.
(1) EUT L 13, 16.1.2008, s. 18.
512
SOU 2023:13
Bilaga 6
4.4.2011
SV
Europeiska unionens officiella tidning
L 88/61
Erkännandet av sådana recept ska inte påverka nationella be
stämmelser om förskrivning och utlämning, om dessa bestäm
melser överensstämmer med unionslagstiftningen, inklusive ge
nerisk eller annan substitution. Erkännandet av recept ska inte
påverka bestämmelser om kostnadsersättning för läkemedel. Er
sättning för läkemedelskostnader behandlas i kapitel III i det här
direktivet.
Erkännandet av recept ska i synnerhet inte påverka en farma
ceuts rätt att, i enlighet med nationella bestämmelser, av etiska
skäl neka att lämna ut en produkt som skrivits ut i en annan
medlemsstat, i de fall farmaceuten skulle ha haft rätt att neka
utlämnande om receptet hade utfärdats i försäkringsmedlems
staten.
Försäkringsmedlemsstaten ska vidta alla åtgärder, utöver att er
känna receptet, som krävs för att garantera fortsatt behandling i
fall där ett recept är utfärdat i den behandlande medlemsstaten
för läkemedel eller medicinska hjälpmedel som finns tillgängliga
i försäkringsmedlemsstaten och om ansökan om utlämning görs
i försäkringsmedlemsstaten.
Denna punkt ska också tillämpas på medicinska hjälpmedel
som lagligen har släppts ut på marknaden i respektive medlems
stat.
2. För att underlätta genomförandet av punkt 1 ska kommis
sionen anta
a) åtgärder som gör det möjligt för hälso- och sjukvårdsperso
nal att kontrollera att receptet är äkta och att det utfärdats i
en annan medlemsstat av en person som utövar ett reglerat
vårdyrke och har laglig rätt att göra det genom att ta fram
en icke-uttömmande förteckning över de inslag som recept
ska innehålla och som tydligt måste kunna identifieras i alla
recept, inbegripet inslag som vid behov ska främja kontakt
mellan den som utfärdar receptet och den som lämnar ut
läkemedlen, i syfte att säkra fullständig förståelse av behand
lingen, med vederbörlig respekt för dataskydd.
b) riktlinjer till stöd för medlemsstaterna när de utvecklar e-
receptens kompatibilitet,
c) åtgärder för att se till att de läkemedel och medicinska hjälp
medel som förskrivs i en medlemsstat och som lämnas ut i
en annan kan identifieras korrekt, inbegripet åtgärder som
rör patientsäkerhet när det gäller substitution i gränsöver
skridande hälso- och sjukvård när den utlämnande medlems
staten tillåter sådan substitution. Kommissionen ska bland
annat överväga användning av de internationella generiska
namnen (INN-namn) på de aktiva substanserna i läkemedlen
och läkemedlens dosering,
d) åtgärder för att se till att informationen till patienterna som
rör receptet och de medföljande instruktionerna om produk
tens användning är begripliga, inklusive uppgifter om det
verksamma ämnet och dosering.
De åtgärder som avses i punkt a ska antas av kommissionen
senast den 25 december 2012 och åtgärder i punkterna c och d
ska antas av kommissionen senast den 25 oktober 2012.
3. De åtgärder och riktlinjer som avses i punkt 2 a–d ska
antas i enlighet med det föreskrivande förfarande som avses i
artikel 16.2.
4. När åtgärder eller riktlinjer antas enligt punkt 2 ska kom
missionen beakta proportionaliteten när det gäller kostnaderna
för efterlevnad, liksom den sannolika nyttan, av åtgärderna eller
riktlinjerna.
5. Vid tillämpningen av punkt 1 ska kommissionen, genom
delegerade akter i enlighet med artikel 17 och med förbehåll för
villkoren i artiklarna 18 och 19 och senast den 25 oktober
2012, anta åtgärder för att undanta särskilda kategorier av lä
kemedel eller medicinska hjälpmedel från det erkännande av
recept som utfärdas i en annan medlemsstat som föreskrivs i
denna artikel, där detta är nödvändigt för att skydda folkhälsan.
6. Punkt 1 ska inte tillämpas på läkemedel som endast läm
nas ut på speciellt läkarrecept i enlighet med artikel 71.2 i
direktiv 2001/83/EG.
Artikel 12
Europeiska referensnätverk
1. Kommissionen ska bistå medlemsstaterna i utvecklandet
av europeiska referensnätverk mellan vårdgivare och kom
petenscentrum i medlemsstaterna, framför allt på området säll
synta sjukdomar. Nätverken ska drivas på basis av frivilligt del
tagande av dess medlemmar, vilka ska delta i och bidra till
nätverkets aktiviteter i enlighet med lagstiftningen i den med
lemsstat där medlemmarna är etablerade och de ska alltid vara
öppna för nya vårdgivare som kan tänkas gå med i nätverken,
förutsatt att vårdgivarna uppfyller alla villkor som krävs och
kriterierna som avses i punkt 4.
2. De europeiska referensnätverken ska ha åtminstone tre av
följande mål:
a) bidra till att utnyttja potentialen för europeiskt samarbete
om högt specialiserad hälso- och sjukvård för patienter
och hälso- och sjukvårdssystem genom att utnyttja nya me
dicinska rön och metoder,
513
Bilaga 6
SOU 2023:13
L 88/62
SV
Europeiska unionens officiella tidning
4.4.2011
b) bidra till att samla kunskap om sjukdomsförebyggande,
c) underlätta förbättrad diagnostik och tillhandahållandet av
kostnadseffektiv och tillgänglig hälso- och sjukvård med
hög kvalitet för alla patienter med sjukdomar som kräver
särskilda resurser eller särskild expertis på medicinska områ
den där expertisen är sällsynt,
d) se till att resurserna utnyttjas så kostnadseffektivt som möj
ligt genom att koncentrera dem där så är lämpligt,
e) förstärka forskningen, epidemiologisk övervakning som ex
empelvis register och tillhandahålla utbildning för hälso- och
sjukvårdspersonal,
f) underlätta experternas rörlighet, virtuellt eller i verkligheten,
utveckla, dela och sprida information, kunskap och bästa
praxis och främja utvecklingen av diagnoser och behand
lingar av sällsynta sjukdomar i och utanför nätverken,
g) uppmuntra framtagandet av riktmärken för kvalitet och sä
kerhet och bidra till att utveckla och sprida bästa praxis
inom och utanför nätverket,
h) vara till hjälp för medlemsstater som inte har så många pa
tienter med en viss sjukdom, eller som saknar teknik eller
expertis och därför inte kan tillhandahålla högt specialiserade
tjänster av hög kvalitet.
3. Medlemsstaterna uppmanas att underlätta utvecklingen av
europeiska referensnätverk
a) genom att sätta lämpliga vårdgivare i förbindelse med kom
petenscentrum på sina nationella territorier och säkerställa
att informationen sprids till lämpliga vårdgivare och kom
petenscentrum på sina nationella territorier,
b) genom att främja deltagande av vårdgivare och kompetens
centrum i de europeiska referensnätverken.
4. För tillämpningen av punkt 1 ska kommissionen
a) anta en förteckning över särskilda villkor och kriterier som
de europeiska referensnätverken måste uppfylla och de vill
kor och kriterier som vårdgivare som vill gå med i det
europeiska referensnätverket måste uppfylla. Kriterierna och
villkoren ska bland annat säkerställa att det europeiska refe
rensnätverket
i) har kunskap och expertis för att diagnostisera, följa upp
och handlägga patienter med dokumenterat goda resultat
i den mån det är tillämpligt,
ii) arbetar tvärvetenskapligt,
iii) erbjuder expertis på hög nivå och har kapacitet att ut
arbeta riktlinjer för god praxis och genomföra resultat
åtgärder och kvalitetskontroll,
iv) bidrar till forskning,
v) anordnar utbildningsverksamhet, och
vi) samarbetar nära med övriga kompetenscentrum och nät
verk på nationell och internationell nivå,
b) ta fram och offentliggöra kriterier för etablering och utvär
dering av europeiska referensnätverk,
c) underlätta utbyte av information och sakkunskap när det
gäller etableringen av nätverken och utvärderingen av dem.
5. Kommissionen ska genom delegerade akter i enlighet med
artikel 17 och med förbehåll för villkoren i artiklarna 18 och
19 anta de åtgärder som avses i punkt 4 a. De åtgärder som
avses i punkt 4 b och c ska antas i enlighet med det föreskri
vande förfarande som avses i artikel 16.2.
6. Åtgärder som antas enligt den här artikeln ska inte med
föra någon harmonisering av lagar och andra författningar i
medlemsstaterna och ska fullständigt respektera medlemsstater
nas ansvar för att organisera och tillhandahålla hälso- och sjuk
vård.
Artikel 13
Sällsynta sjukdomar
Kommissionen ska stödja medlemsstaterna i samarbetet med att
utveckla diagnos- och behandlingskapaciteten särskilt genom att
a) skapa medvetenhet bland hälso- och sjukvårdspersonal om
vilka verktyg som finns tillgängliga på unionsnivå som hjälp
för att ställa rätt diagnos på sällsynta sjukdomar, framför allt
databasen Orphanet och det europeiska referensnätverket,
b) göra patienter, hälso- och sjukvårdspersonal och de organ
som ansvarar för finansieringen av hälso- och sjukvård med
vetna om de möjligheter som förordning (EG) nr 883/2004
erbjuder att remittera patienter med sällsynta sjukdomar till
andra medlemsstater även för diagnos och behandlingar som
inte finns tillgängliga i försäkringsmedlemsstaten.
514
SOU 2023:13
Bilaga 6
4.4.2011
SV
Europeiska unionens officiella tidning
L 88/63
Artikel 14
e-hälsa
1. Unionen ska stödja och främja samarbete om och utbyte
av information mellan medlemsstaterna inom ramen för ett
frivilligt nätverk som kopplar ihop nationella myndigheter
som är ansvariga för e-hälsa, utsedda av medlemsstaterna.
2. Nätverket för e-hälsa ska
a) arbeta för att tillhandahålla hållbara ekonomiska och sociala
nyttoeffekter genom europeiska system och tjänster som rör
e-hälsa samt driftskompatibla tillämpningar i syfte att nå en
hög tillförlitlighets- och säkerhetsnivå, förbättra kontinuite
ten i vården och säkerställa tillgång till säker hälso- och
sjukvård av hög kvalitet.
b) utarbeta riktlinjer om
i) en icke-uttömmande förteckning över uppgifter som ska
införas i patientjournalerna och som kan delas mellan
hälso- och sjukvårdspersonal för att möjliggöra kontinu
itet och patientsäkerhet i den gränsöverskridande hälso-
och sjukvården, och
ii) effektiva metoder för utnyttjande av medicinsk infor
mation för folkhälsa och forskning.
c) stödja medlemsstaterna vid utarbetande av gemensamma åt
gärder för identifiering och autentisering för att underlätta
överförbara uppgifter i gränsöverskridande hälso- och sjuk
vård.
De mål som avses i b och c ska uppnås med vederbörligt
beaktande av principerna om dataskydd såsom de anges särskilt
i direktiven 95/46/EG och 2002/58/EG.
3. Kommissionen ska i enlighet med det föreskrivande för
farande som avses i artikel 16.2 anta de åtgärder som krävs för
att inrätta och förvalta detta nätverk och för att det ska drivas
med insyn.
Artikel 15
Samarbete om utvärdering av medicinsk teknik
1. Unionen ska stödja och främja samarbete om och utbyte
av vetenskaplig information mellan medlemsstaterna inom ra
men för ett frivilligt nätverk som kopplar ihop nationella myn
digheter och organ som är ansvariga för utvärdering av medi
cinsk teknik, utsedda av medlemsstaterna. Medlemsstaterna ska
meddela deras namn och kontaktuppgifter till kommissionen.
Medlemmarna i nätverket ska delta i och bidra till nätverkets
aktiviteter i enlighet med lagstiftningen i den medlemsstat där
de är etablerade. Nätverket ska drivas enligt principerna för goda
styrelseformer, däribland insyn, objektivitet, oberoende experter,
rättvisa förfaranden och lämpligt samråd med berörda grupper.
2. Nätverket för utvärdering av medicinsk teknik ska
a) stödja samarbetet mellan nationella myndigheter eller organ,
b) bistå medlemsstaterna i tillhandahållandet av objektiv, tillför
litlig, aktuell, tydlig, jämförbar och överförbar information
om den relativa effektiviteten samt, i förekommande fall,
om hur verkningsfulla metoderna är på kort och lång sikt
samt möjliggöra ett effektivt utbyte av sådan information
mellan nationella myndigheter eller organ,
c) stödja analys av vilken slags information som kan utbytas,
d) undvika dubbelarbete vid bedömning.
3. För att kunna uppfylla målen i punkt 2, kan nätverket för
utvärdering av medicinsk teknik få unionsbistånd. Biståndet kan
beviljas för att
a) bidra till finansieringen av administrativt och tekniskt stöd,
b) stödja samarbetet mellan medlemsstaterna för att utveckla
och dela metoder för utvärdering av medicinsk teknik, inbe
gripet bedömning av den relativa effekten,
c) bidra till finansieringen av tillhandahållandet av överförbar
vetenskaplig information som kan användas i den nationella
rapporteringen och till fallstudier som beställts av nätverket,
d) underlätta samarbetet mellan nätverket och andra relevanta
institutioner och organ i unionen,
e) underlätta samråd med berörda parter om nätverkets arbete.
4. Kommissionen ska i enlighet med det föreskrivande för
farande som avses i artikel 16.2 anta de åtgärder som krävs för
att inrätta och förvalta detta nätverk och för att det ska drivas
med insyn.
5. Reglerna för att bevilja stödet, de villkor som det kan vara
förenat med och beloppet ska beslutas i enlighet med det fö
reskrivande förfarande som avses i artikel 16.2. Endast de myn
digheter och organ i nätverket som utsetts till stödmottagare av
de deltagande medlemsstaterna ska vara berättigade till unions
stöd.
515
Bilaga 6
SOU 2023:13
L 88/64
SV
Europeiska unionens officiella tidning
4.4.2011
6. Vilka anslag som fordras för åtgärderna i den här artikeln
ska beslutas varje år som en del av budgetförfarandet.
7. Åtgärder som antas enligt den här artikeln ska inte in
kräkta på medlemsstaternas befogenheter i beslut som rör ge
nomförandet av resultat av utvärderingar av medicinsk teknik,
ska inte medföra någon harmonisering av lagar och andra för
fattningar i medlemsstaterna och ska fullständigt respektera
medlemsstaternas ansvar för att organisera och tillhandahålla
hälso- och sjukvård.
KAPITEL V
GENOMFÖRANDE OCH SLUTBESTÄMMELSER
Artikel 16
Kommittéförfarande
1. Kommissionen ska biträdas av en kommitté som ska bestå
av företrädare för medlemsstaterna och ha kommissionens fö
reträdare som ordförande.
2. När det hänvisas till denna punkt ska artiklarna 5 och 7 i
beslut 1999/468/EG tillämpas, med beaktande av bestämmel
serna i artikel 8 i det beslutet.
Den tid som avses i artikel 5.6 i beslut 1999/468/EG ska vara
tre månader.
Artikel 17
Utövande av delegering
1. Befogenheter att anta de delegerade akter som avses i
artiklarna 11.5 och 12.5 ska ges till kommissionen för en pe
riod på fem år från och med den 24 april 2011. Kommissionen
ska utarbeta en rapport om de delegerade befogenheterna senast
sex månader innan perioden på fem år löpt ut. Delegeringen av
befogenheter ska automatiskt förlängas med perioder av samma
längd, om den inte återkallas av Europaparlamentet eller rådet i
enlighet med artikel 18.
2. Så snart kommissionen antar en delegerad akt ska kom
missionen samtidigt delge Europaparlamentet och rådet denna.
3. Befogenheterna att anta delegerade akter ges till kommis
sionen med förbehåll för de villkor som anges i artiklarna 18
och 19.
Artikel 18
Återkallande av delegering
1. Den delegering av befogenhet som avses i artiklarna 11.5
och 12.5 får när som helst återkallas av Europaparlamentet eller
rådet.
2. Den institution som har inlett ett internt förfarande för att
besluta huruvida en delegering av befogenhet ska återkallas ska
sträva efter att underrätta den andra institutionen och kommis
sionen inom en rimlig tid innan det slutliga beslutet fattas, och
ange vilka delegerade befogenheter som kan komma att återkal
las samt skälen för detta.
3. Beslutet om återkallande innebär att delegeringen av de
befogenheter som anges i beslutet upphör att gälla. Det får
verkan omedelbart eller vid ett senare, i beslutet angivet, datum.
Det påverkar inte giltigheten av delegerade akter som redan trätt
i kraft. Det ska offentliggöras i Europeiska unionens officiella tid
ning.
Artikel 19
Invändning mot delegerade akter
1. Europaparlamentet eller rådet får invända mot en delege
rad akt inom en period på två månader från delgivningsdagen.
På Europaparlamentets eller rådets initiativ får denna period
förlängas med två månader.
2. Om varken Europaparlamentet eller rådet vid utgången av
den period som avses i punkt 1 har invänt mot den delegerade
akten ska den offentliggöras i Europeiska unionens officiella tidning
och träda i kraft den dag som anges i den.
Den delegerade akten får offentliggöras i Europeiska unionens
officiella tidning och träda i kraft före utgången av denna period
om både Europaparlamentet och rådet har meddelat kommis
sionen att de inte tänker invända.
3. Om Europaparlamentet eller rådet invänder mot en dele
gerad akt inom den period som avses i punkt 1 ska den inte
träda i kraft. Den institution som invänder mot den delegerade
akten ska ange skälen för detta.
Artikel 20
Rapporter
1. Kommissionen ska senast den 25 oktober 2015 och där
efter vart tredje år utarbeta en rapport om tillämpningen av
detta direktiv och sända den till Europaparlamentet och rådet.
2. Rapporten ska i synnerhet innehålla information om pa
tientflöden, den finansiella dimensionen av patientrörlighet, till
lämpningen av artiklarna 7.9 och 8 och hur de europeiska
referensnätverken och de nationella kontaktpunkterna fungerar.
I detta syfte ska kommissionen göra en utvärdering av de sy
stem och förfaranden som införts i medlemsstaterna, mot bak
grund av kraven i detta direktiv och annan unionslagstiftning
om patientrörlighet.
516
SOU 2023:13
Bilaga 6
4.4.2011
SV
Europeiska unionens officiella tidning
L 88/65
Medlemsstaterna ska ge kommissionen den hjälp och all den
tillgängliga information som krävs för att göra utvärderingarna
och utarbeta rapporterna.
3. Medlemsstaterna och kommissionen kan utnyttja den ad
ministrativa kommissionen, inrättad enligt artikel 71 i förord
ning (EG) nr 883/2004, för att hantera de finansiella kon
sekvenserna av tillämpningen av det här direktivet för de med
lemsstater som har valt kostnadsersättning på grundval av fasta
belopp, i fall som omfattas av artiklarna 20.4 och 27.5 i den
förordningen.
Kommissionen ska övervaka och regelbundet rapportera om
effekterna av artiklarna 3 c i och 8 i det här direktivet. Den
första rapporten bör läggas fram senast den 25 oktober 2013.
På grundval av dessa rapporter ska kommissionen, när så är
lämpligt, komma med förslag för att mildra eventuella snedvrid
ningar.
Artikel 21
Införlivande
1. Medlemsstaterna ska sätta i kraft de lagar och andra för
fattningar som är nödvändiga för att följa detta direktiv senast
den 25 oktober 2013. De ska genast underrätta kommissionen
om detta.
När en medlemsstat antar dessa bestämmelser ska de innehålla
en hänvisning till detta direktiv eller åtföljas av en sådan hänvis
ning när de offentliggörs. Närmare föreskrifter om hur hänvis
ningen ska göras ska varje medlemsstat själv utfärda.
2. Medlemsstaterna ska till kommissionen överlämna texten
till de centrala bestämmelser i nationell lagstiftning som de
antar inom det område som omfattas av detta direktiv.
Artikel 22
Ikraftträdande
Detta direktiv träder i kraft den tjugonde dagen efter det att det
har offentliggjorts i Europeiska unionens officiella tidning.
Artikel 23
Adressater
Detta direktiv riktar sig till medlemsstaterna.
Utfärdat i Strasbourg den 9 mars 2011.
På Europaparlamentets vägnar
På rådets vägnar
J. BUZEK
GYŐRI E.
Ordförande
Ordförande
517
Bilaga 7
L 356/68
SV
Europeiska unionens officiella tidning
22.12.2012
DIREKTIV
KOMMISSIONENS GENOMFÖRANDEDIREKTIV 2012/52/EU
av den 20 december 2012
om åtgärder för att underlätta erkännandet av recept som utfärdats i en annan medlemsstat
(Text av betydelse för EES)
EUROPEISKA KOMMISSIONEN HAR ANTAGIT DETTA DIREKTIV
med beaktande av fördraget om Europeiska unionens funktions
sätt,
med beaktande av Europaparlamentets och rådets direktiv
2011/24/EU av den 9 mars 2011 om tillämpningen av patien
trättigheter vid gränsöverskridande hälso- och sjukvård (1), sär
skilt artikel 11.2 a, c och d, och
av följande skäl:
(1)
Enligt artikel 11.2 i direktiv 2011/24/EU har kommis
sionen skyldighet att anta åtgärder för att underlätta er
kännande av recept som utfärdats i en annan medlems
stat än den medlemsstat där recepten expedieras.
(2)
Enligt artikel 11.2 a i direktiv 2011/24/EU ska kommis
sionen anta en icke-uttömmande förteckning över upp
gifter som ska ingå i sådana recept. Förteckningen ska
hjälpa expedierande hälso- och sjukvårdspersonal att
kontrollera att receptet är giltigt och att det utfärdats
av en person som utövar ett reglerat vårdyrke och har
laglig rätt att utfärda recept.
(3)
De uppgifter som recept ska innehålla bör göra det lät
tare att korrekt identifiera läkemedlen eller de medicin
tekniska produkterna enligt artikel 11.2 c i direktiv
2011/24/EU.
(4)
Läkemedel bör därför anges med den gängse benäm
ningen för att underlätta korrekt identifiering av produk
ter som saluförs under olika varumärkesnamn i hela
unionen och produkter som inte saluförs i alla medlems
stater. Denna gängse benämning bör vara antingen det
internationella generiska namn som rekommenderas av
Världshälsoorganisationen eller, om sådant inte finns, den
vanligtvis använda benämningen. Ett läkemedels va
rumärkesnamn däremot bör endast användas för att tyd
ligt identifiera biologiska läkemedel enligt definitionen i
punkt 3.2.1.1 b i bilaga I till Europaparlamentets och
rådets direktiv 2001/83/EG av den 6 november 2001
om upprättande av gemenskapsregler för humanläkeme
(1) EUT L 88, 4.4.2011, s. 45.
del (2), på grund av dessa produkters särskilda egenska
per, eller andra läkemedel i de fall där förskrivaren anser
att det är nödvändigt av medicinska skäl.
(5)
Medicintekniska produkter har inga sådana gängse be
nämningar som läkemedel har. Därför bör receptet också
innehålla direkta kontaktuppgifter till förskrivaren, så att
den som expedierar produkten vid behov ska kunna
ställa frågor om den förskrivna medicintekniska produk
ten och korrekt kunna identifiera den.
(6)
Den icke-uttömmande förteckningen över uppgifter som
recept ska innehålla bör säkerställa att den information
till patienterna som rör receptet och de medföljande an
visningarna för produktens användning är begripliga, en
ligt artikel 11.2 d i direktiv 2011/24/EU. Kommissionen
kommer att se över situationen regelbundet för att av
göra om det krävs ytterligare åtgärder för att patienterna
ska förstå anvisningarna om hur produkten ska använ
das.
(7)
För att patienterna ska kunna begära recept i lämplig
form är det viktigt att de nationella kontaktpunkter
som avses i artikel 6 i direktiv 2011/24/EU förser pati
enterna med tillräcklig information om innehållet i och
syftet med den icke-uttömmande förteckning över upp
gifter som recepten bör innehålla.
(8)
Eftersom gränsöverskridande hälso- och sjukvård totalt
sett inte är särskilt omfattande bör den icke-uttömmande
förteckningen endast gälla recept som är avsedda att an
vändas i en annan medlemsstat.
(9)
Eftersom principen om ömsesidigt erkännande av recept
följer av artikel 56 i fördraget om Europeiska unionens
funktionssätt utgör detta direktiv inte något hinder för
medlemsstaterna att tillämpa principen om ömsesidigt
erkännande på recept som inte innehåller de uppgifter
som anges i den icke-uttömmande förteckningen. Sam
tidigt hindrar direktivet inte heller medlemsstaterna från
att föreskriva att recept som utfärdats på deras territo
rium och är tänkta att användas i en annan medlemsstat
ska innehålla ytterligare uppgifter i enlighet med de regler
som är tillämpliga på deras territorium, under förutsätt
ning att dessa regler är förenliga med unionslagstiftning
en.
(2) EUT L 311, 28.11.2001, s. 67.
519
Bilaga 7
SOU 2023:13
22.12.2012
SV
Europeiska unionens officiella tidning
L 356/69
(10)
De åtgärder som föreskrivs i detta direktiv är förenliga
med yttrandet från den kommitté som inrättas genom
artikel 16.1 i direktiv 2011/24/EU.
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
Syfte
I detta direktiv fastställs åtgärder för ett enhetligt genomförande
av artikel 11.1 i direktiv 2011/24/EU när det gäller erkännande
av recept som utfärdats i en annan medlemsstat.
Artikel 2
Tillämpningsområde
Detta direktiv ska tillämpas på sådana recept enligt definitionen
i artikel 3 k i direktiv 2011/24/EU som har utfärdats på begäran
av en patient som avser att använda dem i en annan medlems
stat.
Artikel 3
Receptens innehåll
Medlemsstaterna ska se till att recepten innehåller minst de
uppgifter som anges i bilagan.
Artikel 4
Informationskrav
Medlemsstaterna ska se till att de nationella kontaktpunkter som
avses i artikel 6 i direktiv 2011/24/EU informerar patienterna
om vilka uppgifter som enligt det här direktivet ska ingå i recept
som utfärdats i en annan medlemsstat än den medlemsstat där
de expedieras.
Artikel 5
Införlivande
1. Medlemsstaterna ska senast den 25 oktober 2013 sätta i
kraft de lagar och andra författningar som är nödvändiga för att
följa detta direktiv. De ska genast överlämna texten till dessa
bestämmelser till kommissionen.
När en medlemsstat antar dessa bestämmelser ska de innehålla
en hänvisning till detta direktiv eller åtföljas av en sådan hänvis
ning när de offentliggörs. Närmare föreskrifter om hur hänvis
ningen ska göras ska varje medlemsstat själv utfärda.
2. Medlemsstaterna ska till kommissionen överlämna texten
till de centrala bestämmelser i nationell lagstiftning som de
antar inom det område som omfattas av detta direktiv.
Artikel 6
Ikraftträdande
Detta direktiv träder i kraft den tjugonde dagen efter det att det
har offentliggjorts i Europeiska unionens officiella tidning.
Artikel 7
Adressater
Detta direktiv riktar sig till medlemsstaterna.
Utfärdat i Bryssel den 20 december 2012.
På kommissionens vägnar
José Manuel BARROSO
Ordförande
520
SOU 2023:13
Bilaga 7
L 356/70
SV
Europeiska unionens officiella tidning
22.12.2012
BILAGA
Icke-uttömmande förteckning över uppgifter som recept ska innehålla
De fetstilta rubrikerna i denna bilaga behöver inte anges i recept.
Identifiering av patienten
Efternamn
Förnamn (utskrivet, ej initialer)
Födelsedatum
Kontroll av receptets giltighet
Datum för utfärdande
Identifiering av förskrivaren
Efternamn
Förnamn (utskrivet, ej initialer)
Yrkeskvalifikationer
Direkta kontaktuppgifter (e-postadress och telefon- eller faxnummer med utlandsprefix och landsnummer)
Arbetsadress (även medlemsstat ska anges)
Namnteckning (handskriven eller elektronisk, beroende på vilket medium som valts för att utfärda receptet)
Identifiering av den förskrivna produkten, om det är tillämpligt
Gängse benämning, enligt definitionen i artikel 1 i Europaparlamentets och rådets direktiv 2001/83/EG av den 6 novem
ber 2001 om upprättande av gemenskapsregler för humanläkemedel.
Varumärkesnamn, om
a) den förskrivna produkten är ett biologiskt läkemedel, enligt definitionen i punkt 3.2.1.1 b i bilaga I (del I) till direktiv
2001/83/EG, eller
b) förskrivaren anser att det är nödvändigt av medicinska skäl; i sådana fall ska det i receptet kortfattat anges varför
varumärkesnamnet används.
Läkemedelsform (tablett, lösning osv.)
Mängd
Styrka, enligt definitionen i artikel 1 i direktiv 2001/83/EG
Dosering
521
Bilaga 8
523
Redovisning av enkätsvar
från offentliga och privata
vårdgivare samt patient-
och professionsföreningar
Utredningen om e-recept och patientöversikter har vid digitala dialog-
möten och skriftligt ställt frågor om synpunkter på att ge behandlande
läkare tillgång till utvald journalinformation vid gränsöverskridande
vård, nationellt och inom EES. Samrådsförfarandet beskrivs närmare
i kapitel 2 och 11. Skriftliga svar har erhållits från patient- och in-
tresseorganisationer, professionsorganisationer, privata vårdgivare/
kliniker och offentliga vårdgivare/kliniker/representanter för vård-
givare. Från vissa regioner har flera kliniker svarat utifrån sitt per-
spektiv.
Nedan återges det de skriftliga synpunkter utredningen mottagit
i sin helhet och oredigerat dvs på samma sätt som de angetts i enkä-
terna. Om två synpunkter varit helt identiska har endast en version
inkluderats. Vissa synpunkter kan ligga nära varandra men med liten
skillnad, i det fallet har båda svaren inkluderats. En sammanfattning
av synpunkterna återges i kapitel 11.
Synpunkter från vårdgivare
Styrkor och svagheter med NPÖ
Utredningen ställde frågor om styrkor och brister med Ineras tjänst
NPÖ samt önskemål om ytterligare funktionalitet som saknas i dag.
Svaren redovisas i sin helhet redovisas nedan.
Bilaga 8
SOU 2023:13
524
Styrkor med NPÖ:
• Öppen journal, tillgänglig för både vårdgivare och patient, direkt
när man behöver den. Bra ur patientsäkerhetssynpunkt. Bra att
både osignerade och signerade poster visas.
• När det fungerar får man viktig information som ibland inte går
att inhämta på annat sätt. Ur patientsäkerhetssynpunkt är det
viktigt!
• Stor nytta vid enstaka medicinskt dåliga patienter som inte kan
lämna anamnes men även då patienter vårdats inom andra regioner.
• Att få den generella bilden. Ökar patientsäkerheten, vårdsökar-
beteende, uthämtade läkemedel m.m.
• Ökar patientsäkerheten.
• Vårdpersonalen slipper lägga tid på att ringa, söka och beställa
kopior av journalen.
• Patienten slipper upprepa sin sjukdomshistoria om och om igen
vid besök hos nya vårdgivare.
• Vårdprofessionens tillgång till journaler då patient behandlats i
annat län.
• Kommunal vårdpersonalens tillgång till patientens journal, läke-
medelslista och provsvar.
• Lättillgänglig information, ger bra översikt för den som efter-
frågar information. Behöver inte göra utskrifter.
• Behöver inte vänta på skriftliga svar vilket ger kortare ledtider.
• Ökar patientsäkerheten, minskar risken för att behöva ta om blod-
prover och/eller göra om röntgenundersökningar, ökad kännedom
om allvarliga överkänsligheter/allergier, ger hyfsad (men inte
fullständig) kännedom om aktuella läkemedel.
• Ökad patientsäkerhet bättre möjlighet till fullständig anamnes.
• Lättillgänglig.
• Relevant säkerställd information över vårdgivargränserna.
• Kortare ledtider, snabbare åtkomst.
SOU 2023:13
Bilaga 8
525
• Minskar antalet tidskrävande kontakter.
• Enstaka mottagningars återkoppling: ”Lätt att ta del av informa-
tion från andra vårdgivare, inte minst från sjukhusen, vilket är
mycket värdefullt.”.
• Viktig att veta om genomförda utredningar, behandlingar som är
gjorda hos andra vårdgivare i landet.
Brister med NPÖ
• Rätt mycket information saknas eller går inte att får fram, alla
vårdenheter är inte anslutna.
• Relativt ofta är det svårigheter att komma in i NPÖ.
• Det finns en skillnad mellan regioner avseende vilken informa-
tion som delas och vilka av regionernas system som är kopplade
till NPÖ. Det går inte att se om all information delas eller inte,
vilket gör att det i vissa fall kan vara svårt att avgöra om du vid
vårdtillfället har en helhetsbild av patienten.
• Ofullständig vad gäller till exempel provsvar, odlingar m.m.
• Saknas ibland viktig information från övriga källor t.ex. EKG.
• Oöversiktlig vy.
• Patientens samtycke krävs vilket försvårar situationen som kan
resultera i en ökad patientsäkerhetsrisk.
• Labbprover vore bättre om de var i tabellform.
• Flera regioner producerar/tillgängliggör inte viktiga informations-
mängder i NPÖ och de flesta kommuner producerar/tillgäng-
liggör inte viktiga informationsmängder i NPÖ.
• Det är en brist att det är valbart för regionen.
• Avsaknaden av information från kommuner och en del privata
vårdgivare.
• Det är en fantastisk fördel för våra kliniker att kunna ta del av
patientens samlade kliniska bakgrund oavsett vem som journal-
fört. Vi tror att det leder till ökad patientsäkerhet och hjälper oss
Bilaga 8
SOU 2023:13
526
som nationell aktör att hantera att behöva arbeta i flera olika
journalsystem (egenbyggt, regionalt, etc.) även om det finns för-
bättringsmöjligheter.
• Användarvänlighet: Stora brister i användarvänlighet gör att det
finns ett motstånd från kliniker att använda sig av NPÖ. Klago-
mål handlar ofta om att det är svårt att hitta relevant information
för patientens nuvarande situation. De kommenterar även att det
är negativt att tjänsten är extern till det journalsystem de använder.
De vill helst kunna se data samlad där den behövs.
• Kopplingen till NPÖ är ett SOAP API vilket är ett föråldrat
protokoll.
• För säkerhet används two-way TLS. En lösning som är bökig och
ställer krav på vår infrastruktur.
• Regler kring t.ex. uppdateringar av information på NPÖ skjuter
ansvaret att förebygga problem på de integrerade systemen när
det hade varit bättre att de hanteras centralt i.
• tjänsteplattformen. Till exempel hur ofta man får uppdatera en
viss patient.
• Den tekniska dokumentationen för tjänstekontrakt är svårläst.
• Det grafiska gränssnittet är gammaldags och tråkigt. Svårt att
enkelt och snabbt få en bra överblick över innehållet. Det är allt-
för olikt de journaler vårdpersonal är vana vid. Ofullständig läke-
medelsinformation.
• Kan inte se läkemedelslistan. Framöver kommer NLL, men det
skulle underlätta om allt fanns i ett och samma system.
• Saknas relevant information.
• Det visas olika informationsmängder från olika regioner/kom-
muner.
• Många kommuner är inte anslutna.
• Det saknas en sökfunktion. Oöverskådlig, svår att hitta informa-
tion i.
• Klarar inte av att hantera t.ex. bilder – viktiga för t.ex. hudärenden.
SOU 2023:13
Bilaga 8
527
• Resurskrävande för mindre privata vårdgivare att ansluta sig till.
Förenat med stora kostnader inte minst vid konsumtion, SITHS-
kort, licenser, stöd för hantering av HSA-id via t.ex. Svensk E-
identitet. Brist att ej mobilt bankID accepteras som säker inlogg-
ning – obegripligt 2022! Är vyerna anpassade nu för mobiler eller
ipads hemma? Annars en brist.
• Den har begränsade informationsmängder vilket inte räcker vid
remittering till specialiserad vård, och kommunerna producerar
inte information i den utsträckning som behövs. Vidare är använd-
ningen begränsad till syften enligt 2 kap. 4 § p.1–2 Patientdatalagen
– vilket gör att ett system för säkert digitalt utlämnande bör kunna
komplettera behöver av överförande av information.
Funktionalitet som saknas
• Pågående kontakter och kommande planerade inklusive kon-
takter planerade besök hos andra vårdgivare utanför sin egen
region.
• Provsvar.
• Borde finnas ett alternativ för administrativ händelse t.ex. köp-
vård/fakturering som inte kräver samtycke.
• Man skulle kunna skicka remisser till andra regioner.
• Tillväxtkurvor för barn.
• Vissa graviditetsdata, EKG samt information från socialtjänsten.
• NPÖ är ju ett “titthål” och vi kan inte använda informationen
som klinikerna kan se. Det hade varit en dröm att, med patientens
medgivande, kunna få ladda ner kliniska data så att vi kan ge kli-
niken tillgång till den i de funktioner där den behövs. Till exempel
att kunna uppdatera interna uppmärksamhetssignaler.
• Fullständig läkemedelsinformation.
• Stöd för att hämta bild.
• Medicintekniska produkter.
• SIP (Sammanhållen planering).
Bilaga 8
SOU 2023:13
528
• Information från tandvården.
• Skulle önska att NPÖ kompletterades med funktioner för säkert
digitalt utlämnande i samband med remittering av patienter till
specialistvård i andra regioner. Detsamma gäller vid EU-vård.
Åsikter om förslaget att göra det obligatoriskt för vårdgivare
att tillgängliggörande av utvald information för patientöversikter
inom EES
Utredningen ställde ett antal frågor kopplat till förslaget att göra det
obligatoriskt att tillgängliggöra utvalda informationsmängder från
patientjournalen i en patientöversikt, svaren visas under nästkom-
mande tre rubriker avseende åsikter om obligatoriet, konsekvenser
av obligatoriet samt tid till genomförande av ett obligatorium. Svaren
redovisas i sin helhet.
• Positivt!
• Bra förslag, bra om det blir en EES-standard av informations-
mängder som är obligatoriska.
• Ett stort och viktigt steg i rätt riktning.
• Befintliga nationella tjänster bör nyttjas så långt som möjligt för
att nyttja gjorda investeringar, vilket kan snabba på processen.
• Det vore bra om det går att enkelt hämta information från be-
fintlig produktion till NPÖ utan ytterligare krav på tid för nya
utvecklade integrationer eller kostnader.
• Möjlighet att dela patientinformation över landsgränser inom EES
med patientens samtycke är en positiv utveckling. Det skulle gene-
rera stor patientnytta och bidra till att stärka patientsäkerheten.
• Det är bra med ett gemensamt regelverk över vad som ska produ-
ceras så att översikten blir enhetlig och tydlig. Genomförande-
plan behöver utarbetas om sådant beslut fattas. Ledtiderna kan
ofta vara långa vid utvecklingsbehov i journalsystemen.
• Rimligt.
• Mycket bra. Obligatoriskt för Sverige men inte hela EES.
SOU 2023:13
Bilaga 8
529
• Informationssäkerhet viktigt.
• Ja, det bör vara obligatoriskt, med begränsningen för vårdgivare
som verkar inom ramen för lag (1993:1651) om läkarvårdsersätt-
ning eller lag (1993:1652) om ersättning för fysioterapi. De bör er-
bjudas anslutning endast om de tecknar avtal enligt LOV eller LOU.
• Anser att det borde vara obligatoriskt för alla vårdinsatser att vara
uppkopplade till NPÖ (privata samt offentliga).
• Ja, ett gott förslag, eftersom övriga Europa valt opt-in vid till-
gängliggörande av uppgifter i system för sammanhållen journal-
föring, så bör ett tillgängliggörande av patientöversökt för vård-
personal i andra länder föregås av en aktiv handling (samtycke) av
patienten. Sveriges val av opt-out – (vilket ses som en yttre spärr)
innebär att samtycke krävs samband med vårdpersonalens inlogg-
ning i NPÖ. Under projektet epsos framförde övriga länder att
det var oacceptabelt att de skulle informera och inhämta sam-
tycke vid vårdtillfällen till svensktalande personer som söker vård
i andra eu-länder.
• Tveksam till att sprida patientinformation utomlands. Svårt att ha
kontroll på vem som läser och i vilket syfte. Loggkontroller borde
bli ett problem. Vid en första anblick låter förslaget bra ur ett
patientsäkerhetsperspektiv men man behöver detaljutreda detta
närmare. Läkemedel? I vissa länder krävs recept, i andra är pre-
paratet receptfritt. Hur ska vi fånga alla läkemedel? Falsk säker-
het? Ortopediska inplantat kan vara intressant om en turist kom-
mer in med en protesnära fraktur men då måste informationen
vara tämligen detaljerad, inte bara att patienten har en höftprotes.
• Tjänster som ger möjlighet för behörig vårdpersonal att med pati-
entens samtycke ta del av journalinformation som registrerats
hos andra vårdgivare underlättar samordning av vårdinsatser och
en helhetsbild av patienten ger ett bättre beslutsunderlag för
diagnos, behandling och uppföljning. Med detta ser vi att initiativ
som ger möjlighet att dela hälsodata på ett säkert sätt är till nytta
för den enskilde. Tillgängliggörandet av hälsodata ställer dock krav
på IT-säkerhet, informationssäkerhet och samtycke till delning, så
att rätten till självbestämmande och personlig integritet värnas.
Bilaga 8
SOU 2023:13
530
• Mest oroad över säkerhetsskyddet, om det i frågan avses över
EU/EES-gränser, men inom Sveriges gränser vore det allra bäst
med ett och samma journalsystem eller att NPÖ blev obligatorisk
för både privat och offentlig vård.
• Vi ser inga större problem med denna begränsade data undantaget
det vi tidigare skrivit här i enkäten om stora omkostnader för
mindre aktörer att ansluta sig till NPÖ.
• Sekretessfrågan är avgörande. Kan underlätta vården för vården
av våra patienter i andra länder. Sällan ett problem dock för vår
del när vi vårdar utomlandspatienter. Sekretessfrågan svår, måste
vara en klar ökad risk för olagliga intrång i patienternas journal –
därav är undertecknad negativ till förslaget.
• Vid en första anblick låter förslaget bra ur ett patientsäkerhets-
perspektiv men man behöver detalj utreda detta närmare. Läke-
medel? I vissa länder krävs recept, i andra är preparatet receptfritt.
Hur ska vi fånga alla läkemedel? Falsk säkerhet? Ortopediska in-
plantat kan vara intressant om en turist kommer in med en protes-
nära fraktur men då måste informationen vara tämligen detaljerad,
inte bara att patienten har en höftprotes.
• Under förutsättning att det kan ske på ett patientsäkert sätt så är
det bra men oroas vi över om man tagit hänsyn till säkerhets-
skyddets vad gäller informationssäkerhet och risk att obehöriga
via journaler kan nå för Sverige känslig information, dvs. gå förbi
branddörrar.
• I stort är vi positiva men om konsekvenserna innebär en uppstyr-
ning av vad som får skrivas och kräver gemensamma mallar eller
att det ska skriva på latin eller engelska kommer det att få för
stora konsekvenser i form av nya journalsystem och stora kom-
petensutvecklingsinsatser för att implementera systemet. Ett alter-
nativ skulle vara att TLVs tillstånd och åtgärder registreras och via
ett centralt system översätts till andra språk eller koder. Ett helt
nytt system blir mycket omfattande att införa.
• Vi ställer oss positiva till att möjliggöra ökad primär användning
av hälsodata som gagnar patienten och den behandling som pati-
enten ska ta emot från läkare inom ett annat EES-land. Inom
Sverige krävs i dag att det journalförs att patienten har givit sitt
SOU 2023:13
Bilaga 8
531
tillstånd till att information kan hämtas från nationell patient-
översikt (NPÖ). Vi förutsätter att samma krav kommer att finnas
när läkare i annat EES-land ställer frågan om journalinformation.
Vi antar att den journalinformation som efterfrågas motsvarar
uppgifter i patientöversikten inom EES, bilaga 1. Vi antar också
att behandlande läkare kontrollerar med patienten att informa-
tionen i patientöversikten samstämmer med patientens kunskap
om sin egen sjukdom, bland annat under uppmärksamhetssig-
naler som allergier och intoleranser. Vi antar dessutom att den
aktuella personalinformationen enbart används för behandling av
aktuell patient, och inte används till forskning. Vi anser samman-
taget att det är positivt att möjliggöra och tillgängliggöra patient-
information så länge det gagnar sjukvårdens möjligheter att om-
händerta aktuell patient på ett optimalt sätt. Vi anser det speciellt
viktigt att man i samråd med patienten kontrollerar uppgifter i
patientöversikten. Önskvärd med en ökning av kvalitéten i kom-
mande system.
• Synpunkter på de informationsmängder som enligt tjänsten PS är
obligatoriska att tillhandahålla:
– Administrativa data: Kön. Föreslås att vara frivilligt att fylla i.
Här talas om kön i termen Gender och Gender code. Som
definition: This field must contain a recognised valid value for
"administrative gender". If different, "physiological gender"
should be communicated elsewhere. Region Blekinge förut-
sätter här en icke-binär möjlighet att ange kön (gender). Kön
(sex) har en medicinsk betydelse exempelvis gällande referens-
värden för laboratorieundersökningar, val av blod vid trans-
fusion och val av läkemedel. Det är därför en viktig upplysning
för hälso- och sjukvården och bör vara en obligatorisk klinisk
uppgift.
– Vad gäller uppmärksamhetsinformation så borde fler informa-
tionsmängder som finns med i Socialstyrelsens informations-
specifikation för uppmärksamhetsinformation vara aktuella.
Där ingår förutom överkänslighet även medicinska tillstånd
och behandlingar (inkl. implantat).
Bilaga 8
SOU 2023:13
532
– Det behöver klargöras vad som menas med aktuell läke-
medelsbehandling, alla förskrivningar eller alla ordinationer
och förskrivningar? Det påverkar från var data hämtas.
Konsekvenser av ett obligatoriskt tillgängliggörande via NPÖ
Utredningen ställde frågan om vilka konsekvenser det skulle få för
verksamheten om krav infördes på att tillgängliggöra den obli-
gatoriska informationen i tjänsten patientöversikt inom EES via
NPÖ. Nedan redovisas svaren i sin helhet:
• Beror på hur mycket av redan etablerade tjänstekontrakt, stan-
darder, kodverk och infrastruktur etc. som kan användas, samt
vad som utförs nationellt. Insatser som rör e-tjänster prioriteras
med andra insatser inom regionen. Både gällande ekonomi och per-
sonella resurser med rätt kompetens. Ekonomiska resurser påver-
kas av eventuella statsbidrag. Svårighet med kompetensförsörj-
ning gäller alla regionens verksamheter.
• Det beror på vilken information som blir obligatorisk och hur
lösningen kommer att se ut. Resurstillgången hos journalsy-
stemsleverantörerna är ansträngd och det är svårt att ge ett tydligt
svar utan konkreta frågeställningar. Regionerna bör kompenseras
och tillföras resurser om det innebär omfattande förändringar.
• Ser inga större konsekvenser annat än att patienter hos oss som
flyttar utomlands eller söker fysisk vård utomlands enklare kan
föra med sig sina standardiserade journaluppgifter enligt bilaga 1.
• Så länge man säkerställer att obligatorisk information via patient-
översikten blir tillgänglig via NPÖ kommer det inte att ha någon
betydelse för verksamheterna. Detta innebär inte ett merarbete. I
och med att det inte finns någon kontrollinstans när information
inhämtas blir det inte heller någon kontrollinstans för huruvida
patienten har givit tillstånd till att ta del av information i NPÖ.
Beslutar man däremot att frågan ska komma direkt till patientens
hemmaklinik, att patientinformation ska översättas till motta-
garens språk, att man ska kontrollera att patienten har givit sitt
tillstånd så kommer det att ge ett betydligt merarbete för kliniker.
SOU 2023:13
Bilaga 8
533
• Vi tror att det kommer att bli en större rörlighet bland patienter
inom bland annat EES-området.
• Det är stora kostnader och mycket utvecklartid att investera med
särskild kompetens för många privata aktörer för att kunna an-
sluta sig till NPÖ.
• För att ta del av uppgifter via NPÖ blir det ingen signifikant skill-
nad då vi redan använder NPÖ. Att tillgängliggöra ytterligare
information via NPÖ skulle innebära utökad belastning på vår
IT-avdelning, då vi skulle behöva bemanna utveckling samt projekt-
ledning av nya integrationspunkter mot NTjP. Utöver detta skulle
vi behöva täcka upp för förvaltning. Ökade kostnader för perso-
nal. Som ett exempel för att illustrera skulle det gissningsvis kunna
innebära: Implementera producent-anslutning för respektive kon-
trakt. Två personer 1–2 månader heltid per tjänstekontrakt. Under-
håll 0.25 heltidstjänst.
• Ja, mycket stora om konsekvenserna innebär en uppstyrning av
vad som får skrivas och kräver gemensamma mallar eller att det
ska skriva på latin eller engelska kommer det att få för stora kon-
sekvenser.
• Är beroende av hur mycket av redan etablerade tjänstekontrakt,
standarder, kodverk och infrastruktur etc. som kan användas, samt
vad som utförs nationellt. Insatser som rör e-tjänster prioriteras
med andra insatser inom regionen. Både gällande ekonomi och per-
sonella resurser med rätt kompetens. Ekonomiska resurser påver-
kas av eventuella statsbidrag. Svårighet med kompetensförsörj-
ning gäller alla regionens verksamheter.
Tid till genomförande vid användning av NPÖ
Utredningen ställde frågan om hur lång tid det skulle ta för aktören
att uppfylla krav om obligatoriskt tillgängliggörande via NPÖ.
Svaren redovisas nedan:
• Byte av journalleverantör är planerat till slutet av 2024. Så troligen
3–5 år. Det finns ingen möjlighet till sådana anpassningar i be-
fintligt journalsystem.
Bilaga 8
SOU 2023:13
534
• Vi kommer producera till NPÖ från 1 november 2022 och antar
att vi från då kan uppfylla specificerade krav avseende befintliga
informationsmängder.
• Givet att vi för det ändamålet skulle behöva ytterligare personella
resurser utöver befintliga: skulle integrationen ske med befintlig
tjänsteplattform (NTjP) rör det sig om kanske två månader, plus
eventuella ledtider med Inera. För en helt ny integration kan vi
bara gissa, åtminstone det dubbla.
• Omedelbart svårt att svara på, detta hänger helt och hållet på vilka
resurser som ställs till förfogande för verksamheter/region, och
vilka kontrollinstanser man tänker påföra hemmaregion/klinik
innan information skickas iväg. Uppskattningsvis inom en 3–4 års
period.
Synpunkter på alternativet att staten tillhandahåller
en infrastruktur för ändamålet patientöversikt för samtliga
vårdgivare
Utredningen ställde frågan om hur man ser på alternativet att staten
ska tillhandahålla en infrastruktur för ändamålet patientöversikt som
ska vara tillgänglig för alla vårdgivare. Svaren redovisas i sin helhet
nedan.
• Ett bra förslag, överlåt inte kravställningen till den fragmen-
tiserade vården utan ta det övergripande statliga ansvaret för in-
formationshantering och digitala infrastrukturtjänster.
• Befintliga nationella tjänster bör nyttjas så långt som möjligt för
att nyttja gjorda investeringar, vilket kan snabba på processen. är
en större fråga än att ta beslut om innehållet i en patientöversikt,
en enstaka digital tjänst. Om sådant beslut fattas måste det finnas
en delaktighet och god förankring med sjukvårdshuvudmännen.
• Vi är för ökad statlig styrning så länge det förenklar, ger önskad
effekt, skapar enhetlighet och där kostnaden/investerad tid för
utvecklingen är i proportion till bolagets storlek/omsättning.
Fråga: Men skulle då detta ligga bredvid NPÖ för den har ju exakt
den funktionen i dag mellan regionerna? Eller ersätta? Mardröm-
men är två parallella system. Önskvärt om tjänsten är användar-
SOU 2023:13
Bilaga 8
535
vänlig och teknikneutral, dock utan att allt behöver byggas om
och utvecklingskostnader springer iväg. Måste beakta proportio-
nalitetsprincipen.
• Ska målsättningen kunna genomföras ser vi att det är nödvändigt
att framtagandet av en infrastruktur sker på nationell nivå. Det är
av vikt att anslutningsprocessen är kvalitetssäkrad och att det i
förväg finns en tydlig rutin gällande förutsättningar, krav, kost-
nadsfördelning och vem som gör vad vid införande. Det behöver
också vara klarlagt vem som har tillsynsplikt att anslutna vård-
givare följer lagkrav och krav på IT- och informationssäkerhet.
Önskvärt att samverkan sker med Inera för att nytta ska kunna
dras av redan etablerad infrastruktur och tjänster, samt att dubbel-
arbete ska kunna undvikas. Det vore av värde att nationellt använda
sig av NPÖ och utveckla från där. Regionen har inte resurser att
utveckla, införa och förvalta två liknande system.
• Bra med ökade möjligheter till geografiskt gränslös vård för pati-
enterna. Ställer oss neutrala till vem som ska tillhandahålla infra-
strukturen. Om den ska utvecklas av staten så är det viktigt att
den är säker och går att ansluta till för alla, dvs. inte bidrar till sned-
vriden konkurrens.
• Bra alternativ, sannolikheten att ett beslut ska tas snabbare ökar.
• När det gäller den digitala infrastrukturen så tillhandahålls den re-
dan av Inera/SKR. Här krävs ett starkt samarbete mellan Inera/SKR
och de internationella grupperingarna! Vi har redan en patientöver-
sikt (NPÖ) som fungerar och användas. Vårdpersonalen kan
absolut INTE behöva hantera två olika patientöversikter.
• Vi anser att detta kanske är den enda möjliga lösningen inom en
rimlig framtid i och med att en samordning av gemensamt jour-
nalsystem inom Sveriges gränser än så länge har varit svårhan-
terat. Vi ser också att det skulle kunna innebära en statlig finan-
siering av en digital infrastruktur. Man skriver även i frågan att
privata vårdgivare utan avtal med region ska kunna ansluta sig till
denna infrastruktur. Detta innebär att man måste ta hänsyn till
såväl Patientlagen som Patientsäkerhetslagsstiftningen för att
kunna godkänna detta. Den lagstiftning som i dag finns, tillåter
inte utan vidare att journalinformation lämnas mellan regioner
och andra vårdgivare. Vi anser det därför viktigt att de faktiska
Bilaga 8
SOU 2023:13
536
verksamheterna är delaktiga i framtagandet, implementering och
utveckling och vad som ska gälla (lagstiftning) i en sådan digital
struktur. Man bör möjligen även i samband med detta ta ställning
till huruvida aktuell patientöversikt/patientinformation kan an-
vändas inom forskningsområden. På vilket sätt man bör värdera
till vilka forskningsgrupperingar som informationen bör utläm-
nas. Man bör aktivt ta ställning till inom vilka områden patient-
översiktens information kan användas. Med användning, att stödja
behandling av patient, sekundärområde att använda informationen
inom forskningsgrupperingar.
• Vi som region behöver ”sopa framför egen dörr” och ansluta in-
formationsmängder till den befintliga patientöversikten NPÖ.
Om det ska tas fram en ny innebär det nya tekniska anslutningar,
kostnader, utveckling och resurser.
• Bra förslag.
• Äntligen!
• En fråga för regionen men låter väl bra. Viktigt att beakta sekre-
tessen, inlogg och så vidare.
• Det är nästan en förutsättning att statliga myndigheter utfärdar
föreskrifter om obligatoriska standarder för informationsstruk-
tur och format för lagring, överföring (konvertering) till andra
system eller som möjliggör att systemen kommunicerar med var-
andra. Det är också märkligt att det är lagligt att tillhandahålla IT-
system på den svenska marknaden som inte uppfyller alla legala
krav. Det är en uppgift för statliga myndigheter att komplettera
kraven på CE-märkning med tydliga krav för att systemet ska få
användas av svenska vårdgivare. Det gäller också tillhandahål-
lande av appar som stödjer olika medicinsktekniska produkter
som används såväl i hälso- och sjukvård som egenvård.
Övriga synpunkter
• Det är viktigt att man kan få en tydlighet i vilken information
som visas eller inte, samt vilka vårdgivare/regioner/länder som är
anslutna. Det är också viktigt att kunna visa upp information för
minderåriga.
SOU 2023:13
Bilaga 8
537
• För att värdet med en europeisk patientöversikt ska kunna rea-
liseras behöver datan som delas hålla hög kvalitet. I och med att
det i underlaget inte finns krav på att datan måste vara till exempel
strukturerad, att vi utgår från att det kommer finnas processer
och tekniska lösningar för att hantera till exempel duplicerade
patientöversikter eller felaktig data. Det är viktigt att ansvaret för
att tillhandahålla sådana lösningar inte vilar på enskilda leve-
rantörer och vårdorganisationer utan hanteras centralt.
• Tjänsten måste vara lättillgänglig från alla olika journalsystem.
Ett absolut önskemål är att det görs ett uthopp från journalen så
man inte behöver logga in i ett separat system som det är nu.
• En genomgång av informationsdelning mellan vård (region, pri-
vata) och kommunerna behöver ske och skärpas.
• I Europeiska kommissionens förslag till Europaparlamentets och
Rådets förordning om det europeiska hälsodataområdet lyfts
vikten av att skydda den personliga integriteten, patientens tillgång
till sina hälsodata och möjlighet att hantera dem, och möjligheten
att begränsa hälso- och sjukvårdspersonalens tillgång till vissa
eller alla hälsodata, samt rätten att få information om vem som
har tillgång till uppgifterna. Detta är viktiga delar även här.
Synpunkter från patient- och intresseorganisationer
Synpunkter på förslaget om att patienten vid vård i annat land
ska kunna ge behandlande läkare tillgång till en patientöversikt
• Vi tycker det är ett bra förslag, men det är viktigt att patienten på
ett enkelt sätt kan hantera detta och tacka ja eller nej (Reumatiker-
förbundet)
• Vi ställer oss positiva till detta (Svenskar i Världen)
• I utgångpunkten är alla åtgärder som kan underlätta vardagen för
personer som lever med diabetes är positiva, så även detta förslag.
Speciellt med diabetes är det viktigt att behandlande läkare får in-
formation om de potentiella risker som är förknippade med sjuk-
domen, risker som potentiellt kan vara livshotande. Samtidigt är
det för Svenska Diabetesförbundet avgörande att patientens integ-
Bilaga 8
SOU 2023:13
538
ritet, oavsett ålder, värnas när hantering och utväxling av person-
känsliga uppgifter sker mellan flera aktörer i olika länder. Därför
är samtycka från patienten avgörande. Detta behöver ges på ett
sätt så personen i fråga har full insyn i vad samtycket innebär.
(Svenska Diabetesförbundet)
• Våra medlemmar söker i begränsad omfattning vård i andra län-
der främst på grund av de kraftiga funktionsnedsättningar med-
för. Några har dock sökt vård i Norge och Danmark. Så få vård-
besök kräver knappast särskilda internationella digitala system
utan kan nog täcka behoven genom att patienterna medför rele-
vanta journalkopior. Detta ger säkrare och sannolikt mera rele-
vant informationsöverföring. (RME)
Synpunkter om hur ofta tjänsten kommer till användning
för målgruppen
• Svårt att säga, det beror bland annat på det vi nämnde ovan om
enkel hantering. (Reumatikerförbundet)
• Förmodligen i stor utsträckning då många har sitt fasta boende
utomlands, alternativt regelbundet bor utomlands under längre
perioder. (Svenskar i Världen)
• Vår bild är att personer som lever med diabetes i mycket stor ut-
sträckning använda sig av en sådan möjlighet, givet att sjukdomen
påverkar kroppen på en rad olika sätt som är viktiga att känna till
för en behandlande läkare. Vidare kan vårdåtgärder i sin tur påverka
diabetessjukdomen när dessa genomförs, ock akuta – potentiellt
farliga – situationer kan uppstå. Detta ger ytterligare incitament
att låta behandlande läkare få ta del av utvald journalinformation.
(Svenska Diabetesförbundet)
• Räknar med att det är ganska ovanligt även om det kan före-
komma i några få fall. (RME)
SOU 2023:13
Bilaga 8
539
Synpunkter avseende särskilt viktig information
att ge tillgång till
• Information om de läkemedel som patienten står på, exempelvis
biologiska läkemedel som kan krocka med andra läkemedel, risk
för anafylaxi för personer med allergi m.m. (Reumatiker-
förbundet)
• Generellt finner vi, att listan som den ser ut nu verkar ha en bra
avvägning mellan obligatorisk och valfri information. För per-
soner med diabetes är det centralt, att de kliniska uppgifterna om
möjligt finns tillgängliga för behandlande läkare i närtid. (Svenska
Diabetesförbundet)
• Personid är naturligtvis självklart, liksom diagnos. Beskrivning av
funktionhinder central, där flera olika sådana finns vid ME, som
kräver specifik hantering av vårdgivaren. PEM benägenhet, POTS
och stimuliintolerans är exempel på sådana fenom som är obligat
att notera och beakta. (RME)
Viktiga aspekter
• Ja, den måste vara lätt att förstå och hantera, det måste vara enkelt
att säga ja eller nej. (Reumatikerförbundet)
• Det faktum att många utlandssvenskar saknar tillgång till svensk
e-legitimation, att många av dem har inaktivt personnummer i
SPAR vilket gör att vården, myndigheter och företag inte kan få
upp information om dem. Flera av dem har även samordnings-
nummer. (Svenskar i Världen)
• Det behöver vara tydligt vilken access en svensk medborgare
bosatt i ett tredje land har. Exempelvis kan en svensk medborgare
som är folkbokförd i ett tredje land få vård i ett EES-land (som
akutvård i Sverige under semesterbesök) och kan komma att
behöva hämta ut medicin/få vård i Sverige eller annat EES-land.
(Svenskar i Världen)
• Det behöver finnas tydlig information om att man som patient
har möjlighet att själv välja vilken information som tas med i
systemet. Exempelvis kan en svensk medborgare bosatt i ett EES-
Bilaga 8
SOU 2023:13
540
land göra laglig abort i Sverige, men i det land som kvinnan bor i
kan abort vara förbjudet och därmed få konsekvenser. (Svenskar
i Världen)
• Som redan anfört, så det avgörande för Svenska Diabetesför-
bundet att den personliga integriteten värnas för personer med
diabetes när känsliga personuppgifter utväxlas mellan flera aktörer
i olika länder. Det innefattar ett samtycka från den enskilda indi-
viden bör ges med full insyn i vad detta innebär. (Svenska Dia-
betesförbundet)
• Sannolikt blir precisionen i informationen för låg i de generella
översikterna för att uppenbart gynna våra sjuka medlemmar. De
specifika finns nämnda ovan. (RME)
Övrigt
• Vi är medvetna om att detta initiativ görs inom ramen för EES,
men då vi ser det som positivt för utlandssvenskar önskar vi att
det går att bredda scoopet och även inkludera länder utanför
regionen. (Svenskar i Världen)
• Vårt antagande är här, att det samtycke som ges till att låta behand-
lande läkare i ett annat land inom EES få tillgång till utvald journal-
information i en patientöversikt sker på en generell nivå. Med
andra ord när personen med diabetes har gett sitt samtycke till att
låta utvald journalinformation vara en del av en patientöversikt,
så har läkare i andra EES-länder framgent tillgång till denna infor-
mation när/om vårdbehov uppstår. Vi vill poängtera att om ett
specifikt samtycke ska uppnås i varje konkreta fall – dvs. individu-
ellt medgivande till varje vårdgivare, jmf. GDPR – så kan journal-
informationen potentiellt inte vara tillgänglig i de akuta och ofta
allvarliga fall av vårdbehov (till exempel om en person är medvets-
lös) där vikten av åtkomst till informationen är stor. (Svenska
Diabetesförbundet)
• Är tveksam till nyttan för våra medlemmar med de generella över-
sikterna som ska passa alla patientgrupper. Detta då de generella
översikt, lämpade för alla patientgrupper, i praktiken har mycket
lågt värde för att förmedla de specifika medicinska behov som
våra medlemmar har. T.o.m. diagnosen är fortfarande okänd eller
SOU 2023:13
Bilaga 8
541
förnekat i vissa medicinska kretsar vilket ganska ofta försätter
våra medlemmar i ogynnsamma situationer. (RME)
Synpunkter från professionsorganisationer
Utredningen har endast erhållit svar från en professionsorganisa-
tion, Läkarförbundet. Frågorna har besvarats av en ledamot i Läkar-
förbundets digitaliseringsråd. Tid har inte funnits för att samla in
medlemmars synpunkter på ett sätt som skulle möjliggöra att svaren
till fullo ger uttryck för medlemmarnas åsikter. Svaren sammanfattas
nedan.
Förslaget om att patienten vid vård i ett annat land inom EES ska
kunna ge behandlande läkare tillgång till utvald journalinformation
ansågs vara ett bra förslag.
På frågor om användningen av NPÖ uppgavs att medlemmarna
inte använder NPÖ i någon större utsträckning. Fördelen vad möj-
ligheten att få tillgång till information, brister som uppgavs avsåg att
gränssnittet inte är sökbart/sorter bart samt att bara ett fåtal regio-
ner är med. Önskemål om att kunna sortera, indexera, följa ett
ärende framhölls. I dag kan bara kronologisk journal ses oavsett
vårdgivare/specialitet.
Förslaget om att göra det obligatoriskt för alla vårdgivare i Sverige
att tillgängliggöra ansågs vara ett bra förslag.
Förslaget om att staten tillhandahåller digital infrastruktur för
ändamålet patientöversikter ansågs bra och efterlängtat. Ledamoten
anför att någon måste peka med hela handen för att det ska hända
och att det är bra att staten gör det.
Det som ansågs viktigt att få med i en patientöversikt är en an-
vändbar Diagnosöversikt och läkemedelslista. Önskemål om möjlig-
heten att skapa sin egen "dashboard" utifrån vad som är intressant
för mig framhölls. Kardiologen vill ha EKG, BT, medicinlista och
vissa prover. Ortopeden vill ha tidigare operationer, röntgen, fysio-
terapeut, medicinlista och kanske något mer.
Som särskilt viktigt att beakta i framtagandet av en sådan tjänst
lyftes användbarheten i gränssnittet. Användbarheten i gränssnittet
är den enskilt viktigaste faktorn för att lyckas med ett IT projekt
i dag. Alla funktioner och finesser man klämmer in i ett system
Bilaga 8
SOU 2023:13
542
saknar värde om det inte är intuitivt, lättanvänt och man kan göra
det viktigaste utan längre utbildning.
Övrigt som framhölls var att det i dag finns många sätt att säkra
patientens känsliga information vilket ledamoten uppgav sig för
givet man tar höjd för dessa i ett internationellt datasamarbete.
543
Bilaga 9
Förutsättningar för gränslöst nyttjande av hälsodata
1 Introduktion ...............................................................................................................2
2 Behov ..........................................................................................................................2
3 Definitioner ................................................................................................................3
4 Problem ......................................................................................................................7
5 Interoperabilitet ........................................................................................................ 8
6 Perspektiv på komplexa system ................................................................................10
7 Infrastruktur ............................................................................................................ 12
8 Slutsatser .................................................................................................................. 14
Referenser ...................................................................................................................... 16
2023-02-03
Kungliga Tekniska högskolan
Centrum för datadriven hälsa
Kontakt: Sebastiaan Meijer,
smeijer@kth.se
1 (19)
SOU 2023:13
Bilaga 9
544
1 Introduktion
Kungliga Tekniska högskolans Centrum för datadriven hälsa (CDDH) har beretts möjlighet
att inkomma med en bilaga till Utredningen om e-recept och patientöversikter inom EES (S
2020:10).
Önskan att tillgängliggöra och använda hälsodata ökar från många aktörer i samhället.
Området är högaktuellt i offentlig debatt och utredningar. Ökande andel av medicinsk
forskning är idag på något vis datadriven. Introduktion av nya datadrivna terapier och
precisionsmedicin ställer nya krav. Ökat fokus på prevention möjliggörs genom integration av
data från vård och omsorg, såväl privat som offentlig. (Aceto et al, 2020) Här finns också en
ökad insikt om vikten av socioekonomiska data och beteendedata (Pickett och Pearl, 2001).
Dessa återfinns i stor utsträckning i källor utanför vården som t ex hälsoappar (Lucking et al.,
2020) och hos myndigheter. Samhällsplanering och administration kräver data som underlag
för rationella beslut. Personcentrerad vård och individens aktiva medverkan kräver att
individen har insyn i sina egna hälsodata, kan agera som medskapare av dessa data, och utöva
lagstadgad kontroll över dess användning (Riggare, 2020). Inom EU pågår arbete med EHDS,
European Health Data Space, som är tänkt att möjliggöra delning av individkopplade
hälsodata över nationsgränser inom hela EU (EC, 2022).
I sjukvården är bristande informationsförsörjning som stöd för kontinuitet i vårdkedjan ett
stort problem (Ash et al, 2004). Resultatet, i form av missade diagnoser, ofullständiga
överlämningar med felaktiga ordinationer och okända undersökningsresultat i vårdens
övergångar, utgör en stor patientsäkerhetsrisk, genererar dubbelarbete,
dubbeldokumentation, och är starkt kostnadsdrivande (Bowman, 2013).
Detta dokument tar upp ett antal centrala frågor av relevans för utredningen och för
hälsodataområdet i stort. Genom hela diskussionen är det av största vikt att skilja på vad man
vill uppnå, och hur detta ska uppnås. Avsnitt 2 handlar om vad, och beskriver på ett
teknikneutralt sätt det mål som de flesta aktörer är överens om och strävar mot på olika sätt. I
avsnitt 3 diskuteras några viktiga ord och begrepp. Avsnitt 4 listar ett antal olösta problem
som hindrat och hindrar att målen uppnås. Avsnitt 5 är en djupdykning i interoperabilitet,
som ett hur, dvs en föreslagen lösning för att uppnå målen. I avsnitt 6 lyfter vi blicken mot
forskningen kring komplexa system och dess implikationer för hälsodata. I Avsnitt 7
återvänder vi till hur, och diskuterar infrastrukturlösningar för att uppnå målen. Några
generella slutsatser ges i avsnitt 8, följt av vetenskapliga referenser.
2 Behov
Ordet hälsodata används i detta dokument i sin vidaste bemärkelse, dvs alla data som kan ha
relevans för individens hälsa, oavsett var dessa data skapas och lagras. Det finns inte en
entydig användare eller nyttobedömare när det gäller hälsodata. Olika användargrupper har
olika, och ibland motstridiga, behov. Komplexiteten ökar så snart data används av flera
användare och för flera ändamål (Thapa & Camtepe, 2021). Det är viktigt att göra hälsodata
tillgängliga och användbara för många aktörer och ur flera aspekter:
2 (19)
545
Bilaga 9
SOU 2023:13
• För patienten.
• I hela vård- och omsorgskedjan.
• För forskningen.
• För en effektiv administration.
• För prevention och hälsobefrämjande åtgärder i samhället.
Detta måste uppnås med individens integritet och kontroll som ledstjärna (Riggare, 2020),
och med respekt för lagstiftning, som behöver kunna anpassas i takt med att nya teknologier
och principer introduceras, men formuleras så teknikneutralt som möjligt (Kim et al., 2019;
Nurgalieva et al., 2020; Spencer et al., 2016). Hållbara lösningar behöver respektera att olika
aktörer har vitt skilda behov, och att hälsodata är ett område i ständig förändring och
utveckling.
3 Definitioner
Det finns många ord/begrepp som används i samtalen runt hälsodata. Orden används i
många olika sammanhang där de kan ha olika tolkningar. De uppfattas därmed olika av
personer med olika bakgrund och då uppstår risk för missförstånd. Nedan förs ett
resonemang om några av de vanligaste.
Data, information och kunskap
Dessa ord är svåra att definiera entydigt (Liew, 2013). Ackoffs hierarkiska modell är väl känd
(Ackoff, 1989). Vi använder orden på följande sätt: Data är något som är registrerat och lagrat
i ett system. Information är data som är begriplig och användbar. För att data ska fungera
som information krävs kunskap om vad data betyder. Den kunskapen kan förmedlas genom
definitioner.
Semantik, syntax, ontologi, termer, ord, begrepp och definitioner
Alla dessa ord är relaterade till hur vi förmedlar information, så även hur vi förmedlar den
behövda kunskapen om data, vilket inom informatik kallas informationsstrukturer (Arnold et
al, 2013). Det finns mängder av definitioner av dessa ord inom olika vetenskapliga domäner
men utan ett specifikt sammanhang i åtanke blir alla försök att definiera dem, såsom
generella begrepp inom hälsodata, fruktlösa. Här används ordet definitioner för att visa att
data behöver beskrivas.
Strukturerade och ostrukturerade data
Ofta används begreppet strukturerade data om data som lagras som parametrar i ett systems
databas och därför är direkt användbara för datorn i t ex beräkningar. Ostrukturerade data
brukar betyda skriven text, som inte är direkt användbar för datorn. Därför eftersträvas så
långt som möjligt strukturerade data i våra system.
För att kunna tolka strukturerade data krävs information om strukturen. Strukturinformation
kan vara implicit dvs bara tekniskt implementerad i systemet. Den kan också vara explicit
lagrad i systemet, eller dokumenterad utanför systemet i t ex en manual.
3 (19)
SOU 2023:13
Bilaga 9
546
Kontext, metadata
Kontext betyder sammanhang. I diskussioner om hälsodata brukar man syfta på det
sammanhang där data skapades (uppmättes, registrerades, etc). Kontextuell information är
en typ av metadata som ofta behövs för att rätt kunna tolka data.
Metadata betyder data om data, dvs dokumenterad kunskap om vad data betyder. Ett
blodtryck har till exempel uppmätts under vissa omständigheter, med en viss utrustning, etc.
Beskrivningen av dessa senare aspekter brukar benämnas ”metadata”, och själva mätvärdet är
”data”. Distinktionen mellan metadata och data är emellertid alltid godtycklig, beroende på
hur vi väljer att betrakta situationen och bygga våra system. Om systemet bara kan lagra
”blodtryck” så får vi på något sätt parallellt lagra det faktum att det uppmättes efter fem
minuters vila, i sittande, om vi behöver dokumentera det. Det senare blir då att betrakta som
metadata. Men om systemet kan lagra olika sorters blodtryck så kan vi kanske välja att
registrera alternativet ”blodtryck efter 5 minuters vila, i sittande” och då blir allt detta ”data”.
Men om vi dessutom vill dokumentera om patienten hade ätit innan eller var fastande, eller
vilken utrustning vi använde för mätningen, så blir detta metadata. Det är alltid en fråga om
gränsdragning och här finns ingen konsensus eller exakt definition av vad som avses med
metadata. I vissa sammanhang används begreppet helt enkelt för att beteckna en redogörelse
för vad data betyder, dvs en definition.
För att kunna tolka och använda data utanför den verksamhet och de system där de skapades
så behöver alla aspekter av datas definition finnas tillgängliga. Om vi kallar allt detta för bara
data, eller gör någon form av uppdelning i data och metadata, har ingen betydelse så länge
all kunskap som behövs för att tolka data finns med.
Primär och sekundär användning av data
Idag används uttrycken primär och sekundär användning av data på två olika sätt. Det ena är
mer tekniskt till sin natur där primäranvändning betyder att data används i samma system
som där data skapades, och sekundäranvändning betyder att data har överförts till ett annat
system och används där. En annan definition som dykt upp på senare tid, bland annat i EU:s
förslag till förordning om ett europeiskt hälsodataområde EHDS (EC, 2022), är att primär
användning betyder att hälsodata används inom vården som stöd för arbetet, och att
sekundär användning betyder att data används för andra syften, t ex uppföljning, analys och
forskning.
En möjlighet vore kanske att införa begreppet sekundär primäranvändning för de fall då
data används utanför det system där det skapades, men där syftet är att användas i vården av
patienten.
Tillit, säkerhet och integritet
Tillit, i vid bemärkelse, som kan råda mellan såväl individer som organisationer, uppnås
antingen genom att vi har betrodda aktörer som följer stipulerade riktlinjer eller genom att
det utvecklas tekniska funktioner för exempelvis spårbarhet, säkerhet, integritet och digitala
kontrakt som reglerar behörigheter och som inte kan brytas. Med tanke på mängden aktörer
4 (19)
547
Bilaga 9
SOU 2023:13
och system som på något sätt ska interagera med hälsodata, inte minst inom hela EU, är det
nödvändigt att ha en teknisk lösning som gör det tekniskt omöjligt att kringgå kontrakten
(Kraft et al., 2018; Shah & Khan, 2020). En sådan lösning måste vara transparent mot alla
användare och enkel att administrera. Detta är den viktigaste förmågan att uppnå i en
generell lösning för hälsodata, men kanske också den svåraste (Hägglund & Scandurra, 2022;
Lupiáñez-Villanueva et al., 2021; European Commission, Directorate-General for Health and
Food Safety, 2022).
Interoperabilitet
Ordet interoperabilitet används inom en mängd olika sammanhang, även icke-medicinska
(Wiki, 2023), och flera olika definitioner förekommer.
En av de definitioner av interoperabilitet som används i medicinska sammanhang är den som
anges av HIMSS, Healthcare Information and Management Systems Society (HIMSS, 2023),
där interoperabilitet betyder utbyte av data mellan tekniska system
1
. HIMSS anger fyra olika
förutsättningar för interoperabilitet:
• Teknisk interoperabilitet (HIMSS level 1: Foundational) beskriver förmågan hos
system att över huvud taget utbyta data. Det handlar alltså om fysisk koppling
(sladdar, fiberoptik, etc) och olika standarder för överföring (t ex TCP-IP).
• Syntaktisk interoperabilitet (HIMSS level 2: Structural) beskriver att man enats om
hur data ska kodas när det skickas via den tekniska infrastrukturen, mellan olika
system. Exempel är xml, json, FHIR etc.
• Semantisk interoperabilitet (HIMSS level 3: Semantic) beskriver det faktum att data,
till exempel ett numeriskt värde, måste betyda samma sak för sändande och
mottagande enhet (t ex att ett numeriskt värde som skickas mellan två system betyder
systoliskt blodtryck i bägge systemen).
• Organisatorisk interoperabilitet (HIMSS level 4: Organizational) beskriver det
faktum att allt meningsfullt utbyte av data mellan system också kräver organisation,
överenskommelser, policys, lagstöd och förvaltning över tid.
Alla fyra komponenter krävs för att utbyte av data ska kunna ske på ett meningsfullt sätt och
för att lösningen ska hålla över tid. HIMSS definitionen bör inte tolkas som att man kan
uppnå olika nivåer av interoperabilitet i tur och ordning. Samtliga nivåer krävs.
Inom EU:s European Interoperabilitiy Framework, EIF, senaste version 2017 (EC, 2017 03),
definieras interoperabilitet annorlunda, mindre teknikorienterat, som förmågan hos
organisationer att samverka genom datautbyte mellan system
2
. Även EIF anger fyra nivåer
1
… the ability of different information systems, devices and applications (systems) to access,
exchange, integrate and cooperatively use data…
2
… interoperability is the ability of organisations to interact towards mutually beneficial goals,
involving the sharing of information and knowledge between these organisations, through the
business processes they support, by means of the exchange of data between their ICT systems.
5 (19)
SOU 2023:13
Bilaga 9
548
4 Problem
Hälsodataområdet kännetecknas av flera olösta problem som har hindrat, och fortfarande
hindrar, oss från att komma vidare mot målet att göra hälsodata mer generellt användbara.
Nedan listas några av de viktigaste, med korta diskussioner. De flesta problem är strukturella,
se nedan, och kan därmed inte åtgärdas genom lagstiftning.
Fragmentering, kontextberoende och knowledge management
Ett stort problem är fragmenteringen av hälsodata, dvs att data lagras utspridda i en stor
mängd olika system hos olika aktörer. Data skapas på olika platser, inom olika verksamheter,
genom olika processer, i olika tekniska system, inom många olika organisationer och hos
individen själv.
Data är idag i mycket liten utsträckning användbara utanför den situation där de skapades,
om man inte lägger ner ett omfattande manuellt arbete för att tolka data. För att råda bot på
det, så att tolkning ska kunna ske utan manuellt arbete, måste man kunna lagra data
tillsammans med en tillräckligt fullständig definition, dvs en beskrivning av vad data står för i
verkligheten, vilket inkluderar en beskrivning av de processer där data skapades. Denna
förmåga saknas idag när det gäller hälsodata. Behovet att fånga kontexten för att beskriva
data och göra dem mer generellt användbara är välkänt inom knowledge management (Alavi
& Leidner, 2001; Margheri et al., 2020).
Pluriformitet vs standardisering
Verkligheten är inte en och samma för alla, utan ser olika ut, beskrivs på olika sätt, och
befinner sig i ständig förändring. Detta måste accepteras som ett faktum. Därför måste man
hitta lösningar som inte är statiska. De modeller som ska användas måste medge skapande av
lokala definitioner, inklusive beskrivningar av lokala processer och lokalt språkbruk, men
med bibehållen möjlighet till global förståelse. Sådana flexibla modeller saknas idag.
All kommunikation bygger på någon form av överenskomna principer, eller standarder, så
även kommunikation med hjälp av data genom datorer. Idag finns standarder för överföring
av data, och för vissa tillämpningar som till exempel representation av skrift, bild, ljud och
video, men ingen allmän standard för hur de nödvändiga definitionerna skapas för att
beskriva data. Av områdets pluriformitet följer att en standard, för att vara praktiskt
användbar för alla tusentals aktörer inom tex EU eller globalt, måste bygga på flexibla
modeller.
För att möjliggöra hantering av data tillsammans med en fullständig beskrivning av datas
innebörd, inklusive processuell information, så skulle alla aktörer behöva använda en
gemensam modell för dessa beskrivningar för att uppnå ömsesidig förståelse. Men någon
sådan allmänt vedertagen och användbar modell finns inte idag (Adnan et al., 2020;
Lupiáñez-Villanueva et al., 2021; Teodoro et al., 2011).
7 (19)
549
Bilaga 9
SOU 2023:13
Legala hinder
Det finns legala hinder för datautbyte mellan olika aktörer i samhället. Dessa lagar är, bland
annat, till för att skydda individens integritet och möjlighet att utöva berättigad kontroll.
Utrymmet här medger inte en djupare diskussion om dessa aspekter. De flesta problemen
inom hälsodata är strukturella till sin natur. Därför kan de inte lösas genom ändrad
lagstiftning. Här krävs i stället att nya lösningar utvecklas tillsammans med anpassad
lagstiftning, i en gemensam process. Detta gäller särskilt om individen ska ges möjlighet att
själv förvalta sina data.
Integritet
När det gäller sekundäranvändning av data finns behovet att skydda individens integritet
genom olika former av anonymisering av data (Meystre et al., 2010). Båda metoderna har
inneboende, till stor del olösta, problem. Dessutom, med nya metoder för avancerad
maskininlärning och användningar som den idag populära ChatGPT, visar att det blir svårt att
verkligen åstadkomma integritet. På samma sätt som ChatGPT idag ofta framgångsrikt
genererar begriplig text, så skulle en tränad algoritm kunna identifiera individer med hög
sannolikhet och därmed användas för att bryta det integritetsskydd som anonymiserade data
förväntas ge.
Partiella lösningar
Både EU:s ramverk (EC, 2022) och de svenska ramverken från Digitaliseringsmyndigheten
(DIGG, 2020 02), och Vinnovas utlysning Vinter (Vinnova, 2020) betonar att individen ska
ha kontroll över sina egna data och att detta ska vara en överordnad princip, vilket ställer
särskilda krav på en lösning. I ramverken listas förmågor och funktioner som måste finnas på
plats, och som måste fungera tillsammans som en helhet. Det är därför riskfyllt att alltför
tidigt börja diskutera teknisk realisering av vissa förmågor om man inte från början har en
tydlig blid över hur alla de tekniska lösningarna ska fungera praktiskt tillsammans. Då
riskerar man att låsa sig vid lösningar som senare visar sig inte fungera i en helhetslösning.
5 Interoperabilitet
Lösningar som bygger på interoperabilitet enligt HIMSS, dvs utbyte av data mellan tekniska
system, återfinns idag mestadels på lokal nivå och omfattar bara en liten delmängd av alla de
data som hanteras inom vården. Interoperabilitet har emellertid föreslagits som en generell
lösning för att nyttiggöra hälsodata mellan alla olika aktörer, lokalt, nationellt och på EU-
nivå. Ibland ändvänds uttrycket att ”systemen ska prata med varandra”. Det finns ett antal
problem med detta tankesätt. Vi diskuterar de viktigaste nedan.
Ordet interoperabilitet betyder här interoperabilitet enligt HIMSS definition, om inget annat
anges.
8 (19)
SOU 2023:13
Bilaga 9
550
Mängden system och kopplingar dem emellan
Antalet möjliga kopplingar (ibland benämnt integrationer) mellan
n olika system ges av formeln ½(n2-n). Det blir 45 kopplingar om
vi har 10 system, och 4500 kopplingar mellan 100 system. I Region
Stockholm finns över 1000 olika system som lagrar patientdata.
En enkel räkneövning visar därför att interoperabilitet, om det
realiseras som direkt koppling mellan alla inblandade system,
aldrig kan fungera om man beaktar den governance som skulle
krävas i varje enskilt fall för hållbarhet över tid (HIMSS level 4),
vilket skulle ge en helt orimlig administrativ börda.
Skulle man då, för att minska antalet bilaterala kopplingar, kunna koppla ihop systemen via
någon form av mellanliggande plattform? I stor skala, tex hela EU, skulle en sådan plattform
bli gigantisk, och även introducera ett omfattande behov av standardisering vilket i sig är
problematiskt (se nedan). Alternativet att skapa mindre lokala plattformar och koppla
samman dessa blir inte enklare. Om man beaktar EU:s ambitionsnivå med mängden data som
ska utbytas via EHDS (EC, 2022) ser man framför sig en mycket svårhanterlig komplexitet.
Interoperabilitet som bas för en infrastruktur
Interoperabilitet fungerar mellan enskilda system, eller mindre grupper av system. Det finns
standarder, t ex FHIR, som underlättar upprättandet av sådana lösningar. Men som bärande
princip i en infrastruktur med syfte att göra alla hälsodata generellt användbara mellan olika
aktörer i en större kontext, t ex nationellt eller inom EU, kännetecknas interoperabilitet av
inneboende problem där det idag saknas lösningar. Förutom att leda till stor administrativ
börda enligt ovanstående diskussion, finns ytterligare olösta frågor, till exempel:
• Hantering av behörigheter för vem som får ta del av data måste fungera mellan alla
olika organisationer som ska utbyta data och utföras exakt lika i alla system.
• Säkerheten i hela nätverket av sammankopplade system kan inte garanteras eftersom
det saknas mekanismer för att upprätthålla en överenskommen säkerhetsnivå hos de
enskilda systemen.
• Tillförlitligheten blir beroende av ständig uppkoppling och bandbredd om man förlitar
sig på att en verksamhet ska drivas med hjälp av data som hämtas från andra system
någon annanstans. Alternativt krävs en omfattande hantering av lokal dubbellagring.
• Om data hämtas från ett system och lagras i ett annat så skapas multipla kopior av
samma data, vilket är problematiskt när det gäller uppdatering och att hålla reda på i
vilket system det korrekta värdet återfinnes (system of record).
• Problemet att leta rätt på en viss information, till exempel resultatet av en viss
undersökning, kräver någon form av allmänt index, vilket är problematiskt av
integritetsskäl.
9 (19)
551
Bilaga 9
SOU 2023:13
Interoperabilitet genom standardisering
Ibland hävdas, att det som krävs för att interoperabilitet ska bli en lösning för nyttiggörande
av hälsodata är, att alla aktörer och system förhåller sig till internationella standarder. Det
finns en mängd sådana standarder som täcker olika delmängder. Dessa standarder förhåller
sig inte till en gemensam referensmodell och är därför inte hierarkiskt implementerbara för
att uppnå interoperabilitet. Se vidare under avsnittet om komplexa system nedan.
Det skulle också krävas att samtliga system agerade på respektive standard på exakt samma
sätt, och detta måste fortsätta gälla även över tid. Det innebär att standarden, och dess
implementering i alla olika system, skulle behöva kunna uppdateras kontinuerligt, för att
lösningen ska fortsätta fungera i hela det pluriforma hälsolandskapet. Det finns idag inga
teorier för hur detta skulle kunna åstadkommas praktiskt.
Interoperabilitet via digitala plånböcker
Många aktörer arbetar idag med att frigöra data från olika system och ge individen möjlighet
att lagra dessa i en digital plånbok. Inom EU sker nu en samordning och validering av dessa
arbeten (EC, 2023), som ofta är baserade på block chain. Digitala plånböcker kan lagra data
och upprätthålla säkerhet och spårbarhet vid överföring av data (Asghar et al., 2017; Fatokun
et al., 2021; Jaiman & Urovi, 2020). De kan även i viss mån hantera behörigheter, dock
endast för utpekade datamängder och system dvs inte för utpekade användare i de olika
systemen. Därmed är digitala plånböcker, ehuru användbara för vissa specifika tillämpningar,
inte en lösning av de ovan nämnda problemen med interoperabilitet, även om arbetet med
digitala plånböcker förtjänstfullt pekar på behovet av individens roll i hållbart datautbyte.
6 Perspektiv på komplexa system
Att vården formar ett komplext system är välkänt (Lipsitz, 2013). Detta synsätt har tillämpats
på flera olika sätt för vårdtjänster (Burton et al, 2018), även utifrån främjande och
förebyggande arbete t ex inom psykisk hälsa (Moustaid et al, 2020). Komplexa system (eller
teoretiskt komplex adaptiva system) är system som består av många delar som interagerar
med varandra på ett dynamiskt sätt. Studiet av, och forskningen om, sådana system har
exploderat under senare decennier och inom vitt skilda områden (Foster, 2005; Khan et al.,
2018; Olsson et al., 2004; Rusoja et al., 2018; Zadeh, 1973).
Mycket inom den medicinska världen bygger på en socioteknisk rationalitet där
standardisering av arbetssätt och evidensbaserade insatser förväntas leda till optimal vård.
Denna logik håller för läkemedelsstudier och specifika behandlingar, men är begränsade för
dagens helhetsperspektiv på hälsa och sjukvård, då det är mer av ett mänskligt skapat system
än ett naturligt fenomen. (Checkland and Scholes, 1999) (Simon 1970) (Fernandez et al,
2015). När olika tjänster inom hälsodata samverkar med varandra så skapas ett nytt, större
system, som är komplext.
Modularisering är ett sätt att hantera storlek och komplexitet (Ethiraj & Levinthal, 2004). När
komplexa system delas upp i delsystem är det sällan entydigt var och hur gränsdragningen
ska göras (Reich et al, 1999; Eppinger, 1997). Beskrivningen av till exempel en process, kan
10 (19)
SOU 2023:13
Bilaga 9
552
tolkas olika i olika delsystem. Uppdelning och integrering är inte linjära i förhållande till
varandra och framför allt integrering påverkas av hur de olika oberoende delarna har
utvecklats (Efatmaneshnik och Reidsema, 2009). Därmed är begreppsdefinitioner i ett
komplext system oftast svårt.
I komplexa system med tekniska komponenter är modularisering en strategi för att kunna
hantera storleken och komplexiteten. Hur man modulariserar har stor betydelse för systemets
prestanda och det finns studier kring effekten av en för stor uppdelning i moduler samt att
låsa designen av små moduler i en tidig fas, innan helheten har fått sin form (t.ex. Ethiraj och
Levinthal, 2004). Baldwin och Clark (2006) visar även att modularisering har förändrat
industriella strukturer efter hur kostnader och fördelar faller ut.
Problemen med interoperabilitet som grundläggande princip i en infrastruktur, se ovan, kan
ses som konkreta exempel på det som inom teorin för design av komplexa system inom
ingenjörsvetenskap visade: Om ett komplext system är uppbyggt av många olika delsystem
som är beroende av varandra så måste varje delsystem ha kunskap om alla andra delar som
påverkar dess funktion och därmed hantera en förenklad representation av hela det större
systemet (Dietz et al., 2020).
Inom datamodellering används strukturerade begreppskluster (ontologier) som verktyg för
att utöka begreppsdefinitionerna med beskrivningar av begreppens inbördes relationer. Inom
precisionsmedicin, som är mycket datadriven, pågår (se till exempel Haendel et al, 2021)
arbeten för att homogenisera ontologier för att kunna arbeta med flera databaser som har
olika strukturer. Men det är viktigt att notera att ontologi, som vetenskapfilosofiskt begrepp,
skiljer sig från hur ordet används inom datamodellering. Inom vetenskapsfilosofi betyder
ontologisk positionering att man väljer ett perspektiv på vilka verkligheter som finns och som
människan ha kunskap om (Moon och Blackman, 2014). Relaterad till det är epistemologi,
vilket innebär vilken sorts evidens man accepterar. Ontologiskt perspektiv och epistemologi
inom ett ämne tenderar att förändras långsamt, medan metodologin utvecklas snabbare och
får mycket uppmärksamhet.
Inom hälsodata dominerar den ontologiska position som kallas Strukturell realism: Att det
finns en kännbar verklighet som kan uttryckas i en modell. Osäkerheten i kunskapen om
verkligheten hanteras genom att involvera experter, ofta hela kommittéer. Strukturell realism
är vanligt i ett naturvetenskapligt, (post-)positivistiskt perspektiv, men problematiskt för
komplexa system i samhället – något som är välkänt inom till exempel internationell politik
(t.ex. Glaser, 2014), och kritiserat inom omvårdnadsstudier där Kritisk realism har blivit ett
alternativ (Williams et al 2016).
Ett ontologisk alternativ som passar bättre för hälsodata skulle kunna vara Begränsad
relativism. Detta förutsätter att olika praktiserande grupper kan ha sin verklighet och förstå
samma begrepp inom den egna gruppen, men att begreppen inte är direkt utbytbara mellan
grupperna. Till detta hör då en konstruktivistisk eller kritisk realistisk epistemologi. Det blir
för långt att i detta dokument att fördjupa dessa argument men de har viktiga konsekvenser
11 (19)
553
Bilaga 9
SOU 2023:13
för kunskapen kring informationsinfrastrukturer och passar mycket bra i den skandinaviska
forskningen kring informationssystem (Öglund, 2018).
Begrepp som inte är utbytbara mellan grupper skulle kräva någon form av översättning, vilket
är en standardmetod inom den semantiska webben genom ontologikartläggning
(Stuckenschmidt och van Harmelen, 2005). Vid översättningen måste man anta att de
begreppsuppsättningar som ligger bakom olika datamängder kan vara olika men att de kan
översättas ömsesidigt baserat på delad ontologi (Stuckenschmidt och van Harmelen, 2005).
Till exempel kan ett nytt begrepp vara en specialisering till ett befintligt och kan därför
relateras till det genom underordning. Detta tillvägagångssätt kräver dock att det finns en
grundläggande delad ontologi. Därför kan interoperabilitet inte garanteras genom
standardisering. All standardisering av begrepp (i termer av en formell teori) kräver ett
gemensamt perspektiv som fungerar som en nämnare för alla olika perspektiv. Detta är dock
precis vad som inte kan förväntas under multiperspektivitet (Greengalgh et al, 2011;
Greengalgh och Swinglehurst, 2011).
7 Infrastruktur
Givet komplexiteten och omfattningen av problemen blir den logiska konsekvensen att vissa
förmågor och funktioner måste lyftas bort från enskilda aktörer inom hälsodata, och i stället
omhändertas i en gemensam infrastruktur. En sådan infrastruktur finns inte idag och måste
således utvecklas, tekniskt, och förses med en hållbar förvaltning. Inget hindrar att
infrastrukturen implementeras stegvis, från lokalt till regionalt och nationellt. Givet
ambitionerna inom EU, där EHDS är på väg att bli lag, bör ambitionsnivån från början vara
multispråklig och global (EC 2022).
Nedan redogörs för ett antal komponenter som måste omhändertas i en infrastruktur. Det
finns en omfattande väv av ömsesidiga beroenden mellan alla komponenter. För att göra
framställningen teknikneutral används ordet ”Tjänst” i stället för ”System” för att beteckna
varje form av teknisk lösning för interaktion med hälsodata. En tjänst kan till exempel vara en
hälsoapp, en applikation för statistik och uppföljning på regional nivå, eller ett journalsystem
inom vården.
Digital identitet
För att säkerställa att varje fysisk individ har en digital identitet krävs att identiteten kan
utfärdas på ett säkert sätt. En förvaltning som certifierar vilka aktörer som får göra detta, och
vilka tekniska lösningar som är tillåtna, kommer att krävas.
Inloggning
Så långt det är möjligt måste funktioner finnas för att säkerställa att det är rätt fysiska individ
som loggar in till en tjänst med sin digitala identitet. Även här uppstår krav på en förvaltning
som certifierar tjänster och vilka lösningar som används för inloggning mot dessa.
12 (19)
SOU 2023:13
Bilaga 9
554
Definitioner
Definitioner av data, processer och roller måste finnas och vara globalt tillgängliga.
Definitionerna måste vara explicit lagrade och maskinellt tolkningsbara dvs direkt
användbara för bearbetning i en dator, för att till exempel kunna ligga till grund för
implementering av behörigheter på en teknisk nivå och därmed göra dem omöjliga att
kringgå. Definitionerna måste även vara normalt begripliga för människor att skapa och
förhålla sig till. För att kunna exekveras av distribuerade tjänster och vara mänskligt
otvetydiga i skilda sammanhang, måste definitionerna skapas genom att följa en
grundläggande princip gemensam för alla aktörer. Detta måste kunna ske på alla språk och
språkbruk vilket kräver en avancerad hantering av terminologi. Definitioner måste kunna
ingå i olika standarder för olika verksamheter men även kunna skapas lokalt när behov
uppstår, med bibehållen global förståelse.
Definierade data med kontext
All data måste ha en inbyggd koppling till en definition. För att det hela ska fungera i praktisk
verksamhet måste definitionen kunna kopplas när data skapas. Processen i vilken data
skapades måste ingå i definitionen. Det är processen som ger kontext och gör det möjligt att
tolka och använda data externt.
Inloggning till en tjänst med en viss roll (användarroll)
I användandet av en tjänst är det nödvändigt att veta inte bara användarens digitala identitet
utan även vilken roll som användaren ikläder sig. En användarroll kan t ex vara privatperson,
skattebetalare, patient, en anställning eller ett yrke så som sjuksköterska eller läkare. Detta är
nödvändigt för att kunna hantera behörigheter till olika data. Rollerna måste vara distinkt
definierade och för vissa roller även verifierade av lämplig instans – en läkarroll måste vara
verifierad av Socialstyrelsen och en viss tjänstebefattning av arbetsgivaren. Detta innebär i sin
tur att organisationer och centrala personer inom dessa måste vara definierade.
Behörigheter via lagar, medgivanden och situation
När en användarroll ska hantera data om någon annan måste den ha behörighet. Denna
behörighet kan vara lagstadgad eller ske via ett aktivt medgivande (auktorisering) från den
individ vars data ska hanteras. Behörigheterna, utifrån medgivanden eller lagrum, måste
kunna baseras på definitioner. Ett exempel är att en narkosläkare alltid kan se somatiska data
om en patient men kanske inte psykiatrisk. En akutläkare med en medvetslös patient skulle
kanske ha en lagstadgad rätt att se både och. Behörigheter måste kunna upprättas för olika
nivåer (granularitet) av data och vara tekniskt omöjliga att kringgå.
Säkerhet
En generell infrastruktur måste i grunden och i varje aspekt vara designad för säkerhet och
integritet. De tekniska lösningarna som används, till exempel kryptering, måste kunna
uppdateras över tid. Det är viktigt att dessa uppdateringar kan kontinuerligt säkerställas för
alla tjänster som nyttjar infrastrukturen.
13 (19)
555
Bilaga 9
SOU 2023:13
Spårbarhet
Även det säkraste system kan missbrukas. Den absolut viktigaste komponenten för att kunna
beivra missbruk och skapa tillit till infrastrukturen är att allt som görs med någons data
loggas så att all hantering blir spårbar för individen.
Tjänster
Det komplexa system av tjänster som ska erbjuda journalföring och andra funktioner för
hälso- och sjukvård, samt forskning och AI baserade på infrastrukturen måste kunna hantera
ovanstående behov/krav/förmågor. Tjänsterna måste kunna ge stöd vid skapandet av data så
att rätt definition kopplas till data och att det sker i rätt process. De måste ha ett gränssnitt
som ger användaren, på sitt valda språk, möjlighet att förstå definitioner och processer.
Definierade processer måste exekveras i tjänsterna på ett strikt enhetligt sätt, utan att riskera
en individs integritet.
Förvaltning
För att upprätthålla nödvändiga krav på de aktörer som nyttjar infrastrukturen, till exempel
avseende metod för inloggning/verifiering eller för upprättande av digital identitet, så krävs
en gemensam förvaltning med såväl organisatoriska som tekniska verktyg för att säkerställa
att kraven upprätthålls. För att skapa maximal tillit bör förvaltningen vara oberoende av
stater, institutioner och kommersiella aktörer. Skapandet av en infrastruktur måste därmed
innefatta skapandet av dess förvaltning.
8 Slutsatser
Att göra hälsodata generellt användbara är högsta prioritet men förslag till lösningar behöver
utformas med kritisk blick och med välgrundade principer för modelleringen av data.
Interoperabilitet (i betydelsen tekniska system som utbyter data med varandra) kan tillämpas
i begränsade sammanhang men fungerar inte som bas för en generell lösning inom
hälsosektorns komplexa verklighet.
Standardisering är nödvändigt för kommunikation och samarbete men kan inte lösa
problemen med interoperabilitet inom hälsosektorn.
Förändrad lagstiftning kan komma att krävas när nya lösningar introduceras men är av
begränsat värde som isolerad åtgärd. Nya tekniska lösningar och ny lagstiftning måste
utvecklas hand i hand.
För att skapa en fungerande lösning där hälsodata kan nyttiggöras mellan olika tjänster, olika
organisationer, och över lands- och språkgränser behöver man finna en ny, post-modern
filosofi inom forskning och systemutveckling.
En infrastruktur som kan hantera noggrant strukturerade data och metadata/kontext är ett
logiskt steg som idag saknas. En sådan infrastruktur måste utgå från pluriformiteten i
14 (19)
SOU 2023:13
Bilaga 9
556
hälsoområdet och respektera att olika synsätt, kontexter och definitioner kommer att finnas
parallellt.
Det krävs verktyg för att modellera områdets pluriformitet och föränderlighet, samtidigt som
standarder kan vara representerade/implementerade för de delar där gemensamma
definitioner behövs och är möjliga att skapa.
En infrastruktur som möjliggör pluriform modellering och sammanhållen personcentrerad
information skulle förändra mycket av dynamiken kring hälsodata. Tjänster kan skapas
mellan aktörer utifrån ömsesidiga behov. Spridning av innovation kan främjas, samtidigt som
samarbetskluster och konsortier kan skapas som vill testa nya lösningar. Möjlighet att skapa
lokala definitioner med bibehållen global förståelse kan möjliggöra standardisering nedifrån
och upp, genom konvergens.
Om vi kopplar kraven att fånga kontexten då data skapas, att hantera medgivanden, och att
bygga in förvaltning och säkerhet, med en personscentrerad ansats, blir det logiska steget
framåt att utveckla nya infrastrukturkandidater som effektivt hanterar dessa krav. En sådan
infrastruktur måste från början utvecklas som en helhetslösning för att säkerställa att alla
funktionella komponenter kan implementeras och praktiskt samverka med varandra.
Infrastrukturen kan då, över tid, bli ett lager i internets teknikstack, som tjänar som grundval
vid skapande av alla typer tjänster inom hälsodata.
15 (19)
557
Bilaga 9
SOU 2023:23
Referenser
Aceto, G. , Persico, V. and A. Pescapé (2020). Industry 4.0 and Health: Internet of Things, Big Data,
and Cloud Computing for Healthcare 4.0, Journal of Industrial Information Integration, Vol. 18, 2020,
100129, ISSN 2452-414X,
https://doi.org/10.1016/j.jii.2020.100129
.
Ackoff, Russell L. (1989) "From data to wisdom." Journal of applied systems analysis 16.1: 3-9.
Adnan, K., Akbar, R., Khor, S. W., & Ali, A. B. A. (2020). Role and Challenges of Unstructured Big
Data in Healthcare (pp. 301–323). https://doi.org/10.1007/978-981-32-9949-8_22
Alavi, M., & Leidner, D. E. (2001). Review: Knowledge Management and Knowledge Management
Systems: Conceptual Foundations and Research Issues. MIS Quarterly, 25(1), 107–136.
https://doi.org/10.2307/3250961
Asghar, M. R., Lee, T., Baig, M. M., Ullah, E., Russello, G., & Dobbie, G. (2017). A Review of Privacy and
Consent Management in Healthcare: A Focus on Emerging Data Sources. 2017 IEEE 13th International
Conference on E-Science (e-Science), 518–522. https://doi.org/10.1109/eScience.2017.84
Ash, J.S., Berg, M., Coiera, E. (2004) Some Unintended Consequences of Information Technology in
Health Care: The Nature of Patient Care Information System-related Errors, Journal of the American
Medical Informatics Association, Volume 11, Issue 2, , pp 104–112,
https://doi.org/10.1197/jamia.M1471
Baldwin, C.Y., Clark, K.B. (2006). Modularity in the Design of Complex Engineering Systems. In:
Braha, D., Minai, A., Bar-Yam, Y. (eds) Complex Engineered Systems. Understanding Complex
Systems. Springer, Berlin, Heidelberg.
https://doi.org/10.1007/3-540-32834-3_9
Bowman S. Impact of electronic health record systems on information integrity: quality and safety
implications. Perspect Health Inf Manag. 2013 Oct 1;10(Fall):1c. PMID: 24159271; PMCID:
PMC3797550.
Burton, C., Elliott, A., Cochran, A. et al. Do healthcare services behave as complex systems? Analysis of
patterns of attendance and implications for service delivery. BMC Med 16, 138 (2018).
https://doi.org/10.1186/s12916-018-1132-5
Checkland, P., & Scholes, J. (1999). Soft systems methodology in action. John Wiley & Sons.
DIGG (2020 02): Website accessed 2023/01/23
https://www.digg.se/download/18.79c61f7c17db5871992f0c1/1647952780168/uppdrag-att-etablera-
en-forvaltningsgemensam-digital-infrastruktur-for-informationsutbyte.pdf
Dietz, T., Klamroth, K., Kraus, K., Ruzika, S., Schäfer, L. E., Schulze, B., Stiglmayr, M., & Wiecek, M. M.
(2020). Introducing multiobjective complex systems. European Journal of Operational Research,
280(2), 581–596. https://doi.org/10.1016/J.EJOR.2019.07.027
EC (2017 03): Website accessed 2023/01/23
https://ec.europa.eu/isa2/eif_en/
EC (2022): Website accessed 2023/01/23
https://health.ec.europa.eu/publications/proposal-
regulation-european-health-data-space_en
EC (2023): Website accessed 2023/01/23
https://commission.europa.eu/strategy-and-
policy/priorities-2019-2024/europe-fit-digital-age/european-digital-identity_en
Efatmaneshnik, Mahmoud and Reidsema, Carl (2009). Decomposition, integration, and emergence in
complex system design. Nonlinear Phenomena in Complex Systems 12 (3) 211-231.
Eppinger, S. D. (1997, August). A planning method for integration of large-scale engineering systems.
In International Conference on Engineering Design (Vol. 97, pp. 199-204).
Ethiraj, S. K., & Levinthal, D. (2004). Modularity and Innovation in Complex Systems. In Management
Science (Vol. 50, Issue 2, pp. 159–173). INFORMS Inst.for Operations Res.and the Management
Sciences. https://doi.org/10.1287/mnsc.1030.0145
Fatokun, T., Nag, A., & Sharma, S. (2021). Towards a Blockchain Assisted Patient Owned System for
Electronic Health Records. Electronics, 10(5), 580. https://doi.org/10.3390/electronics10050580
16 (19)
SOU 2023:13
Bilaga 9
558
Fernandez, A., Sturmberg, J., Lukersmith, S. et al. (2015) Evidence-based medicine: is it a bridge too
far?. Health Res Policy Sys 13, 66.
https://doi.org/10.1186/s12961-015-0057-0
Foster, J. (2005). From simplistic to complex systems in economics. Cambridge Journal of Economics,
29(6), 873–892. https://doi.org/10.1093/CJE/BEI083
Glaser, C. L. (2014). Realists as optimists: Cooperation as self-help. In Realism Reader (pp. 157-166).
Routledge.
Greenhalgh, T., Russell, J., Ashcroft, R.E. and Parsons, W. (2011), Why National eHealth Programs
Need Dead Philosophers: Wittgensteinian Reflections on Policymakers’ Reluctance to Learn from
History. The Milbank Quarterly, 89: 533-563.
Greenhalgh, T., Swinglehurst, D. (2011) Studying technology use as social practice: the untapped
potential of ethnography. BMC Med 9, 45 (. https://doi.org/10.1186/1741-7015-9-45
Haendel MA, Chute CG, Robinson PN. Classification, Ontology, and Precision Medicine. N Engl J Med.
2018 Oct 11;379(15):1452-1462. doi: 10.1056/NEJMra1615014. PMID: 30304648; PMCID:
PMC6503847.
HIMSS (2023): Website accessed 2023/01/23
https://www.himss.org/resources/interoperability-
healthcare
Hägglund, M., & Scandurra, I. (2022). Usability of the Swedish Accessible Electronic Health Record:
Qualitative Survey Study. JMIR Human Factors, 9(2), e37192.
https://doi.org/10.2196/37192
Inan, O. T., Tenaerts, P., Prindiville, S. A., Reynolds, H. R., Dizon, D. S., Cooper-Arnold, K., Turakhia,
M., Pletcher, M. J., Preston, K. L., Krumholz, H. M., Marlin, B. M., Mandl, K. D., Klasnja, P., Spring, B.,
Iturriaga, E., Campo, R., Desvigne-Nickens, P., Rosenberg, Y., Steinhubl, S. R., & Califf, R. M. (2020).
Digitizing clinical trials. NPJ Digital Medicine, 3(1), 101. https://doi.org/10.1038/s41746-020-0302-y
Jaiman, V., & Urovi, V. (2020). A Consent Model for Blockchain-Based Health Data Sharing Platforms.
IEEE Access, 8, 143734–143745.
https://doi.org/10.1109/ACCESS.2020.3014565
Khan, S., Vandermorris, A., Shepherd, J., Begun, J. W., Lanham, H. J., Uhl-Bien, M., & Berta, W.
(2018). Embracing uncertainty, managing complexity: applying complexity thinking principles to
transformation efforts in healthcare systems. BMC Health Services Research, 18(1), 192.
https://doi.org/10.1186/s12913-018-2994-0
Kim, J., Kim, H., Bell, E., Bath, T., Paul, P., Pham, A., Jiang, X., Zheng, K., & Ohno-Machado, L. (2019).
Patient Perspectives About Decisions to Share Medical Data and Biospecimens for Research. JAMA
Network Open, 2(8), e199550.
https://doi.org/10.1001/jamanetworkopen.2019.9550
Kraft, S. A., Cho, M. K., Gillespie, K., Halley, M., Varsava, N., Ormond, K. E., Luft, H. S., Wilfond, B. S.,
& Lee, S. S.-J. (2018). Beyond Consent: Building Trusting Relationships With Diverse Populations in
Precision Medicine Research. The American Journal of Bioethics, 18(4), 3–20.
https://doi.org/10.1080/15265161.2018.1431322
Liew, A. (2013). DIKIW: Data, information, knowledge, intelligence, wisdom and their
interrelationships. Business Management Dynamics, 2(10), 49.
Lipsitz LA. Understanding health care as a complex system: the foundation for unintended
consequences. JAMA. 2012 Jul 18;308(3):243-4. doi: 10.1001/jama.2012.7551. PMID: 22797640;
PMCID: PMC3511782.
Meystre, S. M., Friedlin, F. J., South, B. R., Shen, S., & Samore, M. H. (2010). Automatic de-
identification of textual documents in the electronic health record: a review of recent research. BMC
Medical Research Methodology, 10(1), 70. https://doi.org/10.1186/1471-2288-10-70
Teodoro, D., Choquet, R., Schober, D., Mels, G., Pasche, E., Ruch, P., & Lovis, C. (2011).
Interoperability driven integration of biomedical data sources. Studies in Health Technology and
Informatics, 169, 185–189. https://doi.org/10.3233/978-1-60750-806-9-185
Lucking, M., Manke, R., Schinle, M., Kohout, L., Nickel, S., & Stork, W. (2020). Decentralized patient-
centric data management for sharing IoT data streams. 2020 International Conference on Omni-Layer
Intelligent Systems (COINS), 1–6.
https://doi.org/10.1109/COINS49042.2020.9191653
17 (19)
559
Bilaga 9
SOU 2023:13
Lupiáñez-Villanueva, F., Gunderson, L., Vitiello, S., Febrer, N., Folkvord, F., Chabanier, L., Filali, N.,
Hamonic, R., Achard, E., Couret, H., Arredondo, M. T., Cabrera, M. F., García, R., López, L., Merino,
B., Fico, G., & Sante, D. G. (2021). Study on Health Data, Digital Health and Artificial Intelligence in
Healthcare.
https://doi.org/10.2875/702007
Margheri, A., Masi, M., Miladi, A., Sassone, V., & Rosenzweig, J. (2020). Decentralised provenance for
healthcare data. International Journal of Medical Informatics, 141,
104197.
https://doi.org/10.1016/j.ijmedinf.2020.104197
Moustaid E, Kornevs M, Lindencrona F, Meijer S. A System of Systems of Mental Health in Cities,
Digging Deep into the Origins of Complexity. Adm Policy Ment Health. 2020 Nov;47(6):961-971. doi:
10.1007/s10488-020-01035-0. PMID: 32222843; PMCID: PMC7547963.
Nurgalieva, L., Cajander, Å., Moll, J., Åhlfeldt, R.-M., Huvila, I., & Marchese, M. (2020). ‘I do not share
it with others. No, it’s for me, it’s my care’: On sharing of patient accessible electronic health records.
Health Informatics Journal, 26(4), 2554–2567.
https://doi.org/10.1177/1460458220912559
Olsson, P., Folke, C., & Berkes, F. (2004). Adaptive comanagement for building resilience in social-
ecological systems. Environmental Management, 34(1), 75–90. https://doi.org/10.1007/S00267-003-
0101-7/TABLES/1
Perera, G., Holbrook, A., Thabane, L., Foster, G., & Willison, D. J. (2011). Views on health information
sharing and privacy from primary care practices using electronic medical records. International
Journal of Medical Informatics, 80(2), 94–101. https://doi.org/10.1016/j.ijmedinf.2010.11.005
Pickett KE, Pearl M (2001) Multilevel analyses of neighbourhood socioeconomic context and health
outcomes: a critical review. Journal of Epidemiology & Community Health; 55:111-122.
Reich, Y., Konda, S., Subrahmanian, E., Cunningham, D., Dutoit, A., Patrick, R., ... & n-dim group.
(1999). Building agility for developing agile design information systems. Research in Engineering
Design, 11, 67-83.
Riggare, S. Patient researchers — the missing link?. Nat Med 26, 1507 (2020).
https://doi.org/10.1038/s41591-020-1080-4
Rusoja, E., Haynie, D., Sievers, J., Mustafee, N., Nelson, F., Reynolds, M., Sarriot, E., Swanson, R. C., &
Williams, B. (2018). Thinking about complexity in health: A systematic review of the key systems
thinking and complexity ideas in health. Journal of Evaluation in Clinical Practice, 24(3), 600–606.
https://doi.org/10.1111/JEP.12856
Sendil K. Ethiraj, Daniel Levinthal, (2004) Modularity and Innovation in Complex Systems.
Management Science 50(2):159-173.
https://doi.org/10.1287/mnsc.1030.0145
Shah, S. M., & Khan, R. A. (2020). Secondary Use of Electronic Health Record: Opportunities and
Challenges. IEEE Access, 8, 136947–136965. https://doi.org/10.1109/ACCESS.2020.3011099
Spencer, K., Sanders, C., Whitley, E. A., Lund, D., Kaye, J., & Dixon, W. G. (2016). Patient Perspectives
on Sharing Anonymized Personal Health Data Using a Digital System for Dynamic Consent and
Research Feedback: A Qualitative Study. Journal of Medical Internet Research, 18(4), e66.
https://doi.org/10.2196/jmir.5011
Sergeeva, A. v. (2023). Why developers matter: The case of patient portals. Health Informatics
Journal, 29(1), 146045822311527. https://doi.org/10.1177/14604582231152780
Stuckenschmidt, H., & Van Harmelen, F. (2005). Information sharing on the semantic web. Springer
Science & Business Media.
European Commission, Directorate-General for Health and Food Safety, (2022). Study supporting the
impact assessment of policy options for an EU initiative on a European health data space : final
report, Publications Office of the European Union.
https://data.europa.eu/doi/10.0000/320027
Teodoro, D., Choquet, R., Schober, D., Mels, G., Pasche, E., Ruch, P., & Lovis, C. (2011).
Interoperability driven integration of biomedical data sources. Studies in Health Technology and
Informatics, 169, 185–189. https://doi.org/10.3233/978-1-60750-806-9-185
18 (19)
SOU 2023:13
Bilaga 9
560
Thapa, C., & Camtepe, S. (2021). Precision health data: Requirements, challenges and existing
techniques for data security and privacy. Computers in Biology and Medicine, 129, 104130.
https://doi.org/10.1016/j.compbiomed.2020.104130
Vinnova (2020): Website accessed 2023 01 22
https://www.vinnova.se/globalassets/utlysningar/2020-04314/omgangar/d26179d1-8f82-4e3d-ba4c-
d9d1d7f9e2d0.pdf1063655.pdf?cb=20201110125711
Wiki (2023): Website accessed 2023/01/23
https://en.wikipedia.org/wiki/Interoperability
Williams L, Rycroft-Malone J, Burton CR. Bringing critical realism to nursing practice: Roy Bhaskar's
contribution. Nurs Philos. 2017 Apr;18(2). doi: 10.1111/nup.12130. Epub 2016 Jul 6. PMID: 27381640.
Zadeh, L. A. (1973). Outline of a New Approach to the Analysis of Complex Systems and Decision
Processes. IEEE Transactions on Systems, Man, and Cybernetics, SMC-3(1), 28–44.
https://doi.org/10.1109/TSMC.1973.5408575
Øgland, Petter. (2018). Do ontological and epistemological assumptions matter in information
infrastructure research?. In book: Making Change: How to Succeed with Information Systems Action
Research (pp.131-146) Publisher: Lulu Press
19 (19)