SOU 2023:76
Vidareanvändning av hälsodata för vård och klinisk forskning
Till statsrådet och chefen för Socialdepartementet Jakob Forssmed
Regeringen tillsatte den 12 maj 2022 en särskild utredare med uppdrag att analysera och lämna förslag på utökade möjligheter för sekundäranvändning av hälsodata. I uppdraget har också ingått att redogöra för de konkreta tillämpningssvårigheter när det gäller den befintliga regleringen av hälsodata som eventuellt framkommer under utredningens gång.
Som särskild utredare förordnades från och med den 12 maj 2022 juristen Katarina Nyström. Utredningen har antagit namnet Utred-
ningen om sekundäranvändning av hälsodata.
Som sakkunniga till utredningen förordnades den 19 september 2022 departementssekreterare Evelina Björkegren, Socialdepartementet, Pontus Holm, Näringsdepartementet, och Katarina Nordqvist, Utbildningsdepartementet samt ämnesrådet Magnus Enzell.
Som experter till utredningen förordnades den 19 september 2022 vetenskaplig sekreterare Lena Almqvist, Etikprövningsmyndigheten, forskningssekreteraren Sara Belfrage, Stockholms universitet, dataskyddsexperten Per Bergstrand, Vetenskapsrådet, hälsoinformatikern Daniel Karlsson, Socialstyrelsen, enhetschefen Laurent Saunier, Vinnova och enhetschefen Michel Silvestri, E-hälsomyndigheten. Den 20 december 2022 entledigades hälsoinformatikern Daniel Karlsson, Socialstyrelsen som expert. Samma datum förordnades e-hälsostrategen Lotti Barlow, Socialstyrelsen som expert. Den 22 februari 2022 förordnades områdeschefen Jon Dutrieux, Försäkringskassan och handläggaren Petra Hasselqvist, Sveriges kommuner och regioner som experter. Den 26 maj 2023 entledigades områdeschefen Jon Dutrieux, Försäkringskassan som expert. Den 26 maj 2023 förordnades områdeschefen Ulrika Eriksson, Försäkringskassan som expert.
Utredningens expertgrupp har under utredningsarbetet bidragit med värdefulla och konstruktiva synpunkter och underlag. När begreppet utredningen används i betänkandet avses den särskilda utredaren samt sekretariatet. Den särskilda utredaren svarar ensam för innehållet i betänkandet.
Som huvudsekreterare i utredningen anställdes från och med den 13 juni 2022 departementssekreteraren Carl Nilsson. Som sekreterare anställdes från och med den 15 augusti 2022 sjukhusjuristen Anna Hofling Johansson och juristen Laura Eriksson. Den rättsliga experten Ida Frithiof arbetade som sekreterare i utredningen från och med 13 juni 2022 till och med den 30 juni 2023. Regionjuristen Amanda Carlström arbetade som sekreterare i utredningen från och med den 1 mars 2023 till och med den 22 oktober 2023.
Tack till alla aktörer som lagt ner tid och engagemang i utredningen. Tack till Sara Belfrage, Manólis Nymark och Andrea Hemming för era bidrag. Särskilt tack till Linda Larsson för din värdefulla insats. Särskilt tack också till Genomic Medicine Sweden, Karolinska Institutet, Region Stockholm, Västra Götalandsregionen och Göteborgs universitet för den kunskap ni delat med er av till utredningen.
I och med detta betänkande är uppdraget avslutat. Utredningen överlämnar härmed Betänkandet om vidareanvändning av hälsodata för vård och klinisk forskning.
Stockholm i november 2023
Katarina Nyström
/Carl Nilsson Amanda Carlström Anna Hofling Johansson Ida Frithiof Laura Eriksson
Förkortningar
ArkivlagenArkivlagen (1990:782) Barnkonventionen FN:s konvention om barnets rättigheter Biobankslagen Biobankslagen (2023:38) Biomedicinkonventionen Europarådets konvention om mänskliga rättigheter och biomedicin CTR Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG Datalagen Lag (2022:218) om den offentliga sektorns tillgängliggörande av data Dataskyddslagen Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning DIGITAL Programmet för ett digitalt Europa EDPB European Data Protection Board eller Europeiska Dataskyddsstyrelsen EPL Lagen (2003:460) om etikprövning av forskning som avser människor Europakonventionen Europeiska konventionen om skydd för de mänskliga
rättigheterna och de grundläggande friheterna
EU:s dataförvaltningsförordning eller dataförvaltningsförordningen
Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten)
EU:s dataskyddsförordning eller dataskyddsförordningen
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)
Findata Tillståndsmyndigheten enligt lagen om sekundäranvändning av personuppgifter inom social- och hälsovården (552/2019) Finska sekundäranvändningslagen
Lagen om sekundäranvändning av personuppgifter inom social- och hälsovården (552/2019)
Förslaget till EHDS Europeiska kommissionens förslag till Europaparlamentets och Rådets förordning om ett europeiskt hälsodataområde, COM(2022) 197 final av den 3 maj 2022 Förslaget till EU:s dataförordning
Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och användning av data (dataakten) COM(2022) 68 final av den 23 februari 2022
GCP Good Clinical Practice
GMS Genomic Medicine Sweden Helsingforsdeklarationen Helsingforsdeklarationen om etiska principer för medicinsk humanforskning, fastställd av World Medical Association HSF Hälso- och sjukvårdsförordningen (2017:80) HSL Hälso- och sjukvårdslagen (2017:30) HSLF-FS 2016:40 Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården IVDR Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitrodiagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU Kastreringslagen Den upphävda lagen (1944:133) om kastrering KL Kommunallagen (2017:725) KOMET Kommittén för teknologisk innovation och etik LPT lag (1991:1128) om psykiatrisk tvångsvård LRV lag (1991:1129) om rättspsykiatrisk vård MDR Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och
om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG
NGP Nationella Genomikplattformen OECD Organisation for Economic Co-operation and Development OSF Offentlighets- och sekretessförordningen (2009:641) OSL Offentlighets- och sekretesslagen (2009:400) PDL Patientdatalagen (2008:355) PL Patientlagen (2014:821) PSL Patientsäkerhetslagen (2010:659) RF Regeringsformen JO Riksdagens ombudsmän Rättighetsstadgan Europeiska unionens stadga om de grundläggande rättigheterna SmittskyddslagenSmittskyddslagen (2004:168) SolPul Lagen (2001:454) om behandling av personuppgifter inom socialtjänsten SCB Statistiska centralbyrån SVOD Lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation TandvårdslagenTandvårdslagen (1985:125) Utredningen om en långsiktig reglering av forskningsdatabaser
En långsiktig reglering av forskningsdatabaser, Dnr U2022/04089
TF Tryckfrihetsförordningen (1949:105) Vårdanalys Myndigheten för vård- och omsorgsanalys
Sammanfattning
Behovet och viljan att dela eller ta del av hälsodata är stort. Regelverket som styr hur hälsodata får delas upplevs dock av många som svårnavigerat och komplext, vilket skapar utmaningar och ibland oönskade begränsningar avseende vilka data som får och kan delas. Regelverket ställer också i viss utsträckning upp hinder för datadelning till förmån för angelägna ändamål.
I utredningens direktiv framgår det att utredningen ska analysera, bedöma om det behövs författningsändringar och i så fall lämna nödvändiga författningsförslag för att möjliggöra sekundäranvändning av hälsodata från hälso- och sjukvården för – att personuppgifter eller andra data från flera individer ska kunna
användas för vård och behandling av andra enskilda individer, – forskning, – utvecklings- och innovationsverksamhet, – undervisning på akademisk nivå samt, – statliga, regionala och kommunala myndigheters beslutsfattande.
I uppdraget ingår också att redogöra för konkreta tillämpningssvårigheter när det gäller den befintliga regleringen av hälsodata som eventuellt framkommer under utredningens gång.
Utredningen redogör i kapitel 2 för utredningens tolkning av direktiven samt vilka avgränsningar utredningen gjort.
Utredningens författningsförslag
Utredningen har haft ett omfattande uppdrag med begränsade tidsramar. Eftersom det krävs genomgripande utredning för att lämna författningsförslag som ska gå att genomföra, har utredningen varit tvungen att göra betydande avgränsningar. Utredningen lämnar därför författningsförslag avseende två av direktivens uppräknade ändamål. Utredningen har dock utrett samtliga ändamål och försökt att så detaljerat som möjligt redogöra för en väg framåt, utan att göra en mer djupgående juridisk analys som författningsförslag kräver.
Vidareanvändning för vårdändamål
Av direktiven följer att det finns ett behov att se över regleringen för att personuppgifter eller andra data från flera individer ska kunna användas för vård och behandling av andra enskilda individer. Utredningen benämner detta vidareanvändningen av personuppgifter för vård-
ändamål.
Utredningen bedömer att det behövs författningsändring för att möjliggöra den typ av vidareanvändning av personuppgifter för vårdändamål som behövs för att precisionsmedicin ska kunna användas på ett ändamålsenligt sätt i svensk hälso- och sjukvård. Utredningen föreslår därför ändringar i patientdatalagen (2008:355), förkortad PDL, och offentlighets- och sekretesslag (2009:400), förkortad OSL, samt en ny förordning som kompletterar föreslagna bestämmelser i PDL. Utredningen föreslår att kapitel 6 i PDL används för reglering av vidareanvändning av personuppgifter för vårdändamål. Utredningens förslag innebär att det på regional nivå inom hälso- och sjukvården skapas förutsättningar för vidareanvändning av personuppgifter för vårdändamål. Utredningen föreslår att det, i beaktande av det kommunala självstyret, ska vara frivilligt att tillämpa reglerna.
Ett nytt ändamål som avser behandling av personuppgifter för vård av en annan patient än den som uppgifterna avser
Utredningen föreslår att det införs ett nytt ändamål i PDL som avser behandling av personuppgifter för vård av en annan patient än den som personuppgifterna avser. Personuppgifter som behandlas för vården
av en annan patient än den som uppgifterna avser får inte behandlas för något annat ändamål.
Datadelning för det nya ändamålet ska, med vissa avgränsningar, kunna ske över vårdgivar- och myndighetsgränser. Utredningen förslår därför en ny sekretessbrytande grund med koppling till föreslagna regler i 6 kap. PDL. Utredningens förslag i övrigt har utformats med utgångspunkt i att behandling av personuppgifter för ändamålet ska kunna ske under så likartade villkor som möjligt, oavsett om det sker inom en myndighet eller över myndighetsgränser.
Precisering av ändamålet och integritetsskyddande åtgärder
Det integritetsintrång som utredningen förslag om vidareanvändning för vårdändamål innebär, behöver vägas upp av preciseringar av ändamålet, avgränsningar och skyddsåtgärder. Utredningens förslag innebär att behandling av personuppgifter för ändamålet preciseras i fyra steg:
1. Urval och tillgängliggörande av personuppgifter till precisionsmedicinsk databas
2. Inrättande och förande av precisionsmedicinsk databas
3. Tillgång till uppgifter i precisionsmedicinsk databas genom direktåtkomst eller annat elektroniskt utlämnande
4. Begäran om kompletterande personuppgifter från patientjournal
Utredningen föreslår att navet för behandling av personuppgifter för vård av en annan patient än den som uppgifterna avser utgörs av en ny, begränsad, uppgiftssamling kallad precisionsmedicinsk databas. En precisionsmedicinsk databas syftar till att skapa underlag för behandling av personuppgifter för det nya ändamålet. Det är ett urval av de personuppgifter som behövs för ändamålet som ska tillgängliggöras till en precisionsmedicinsk databas. Utredningens förslag lämnar möjlighet för samtliga vårdgivare att tillgängliggöra personuppgifter till en precisionsmedicinsk databas (steg 1).
Utredningen föreslår att patienten ska kunna motsätta sig tillgängliggörande av personuppgifter till en precisionsmedicinsk databas. Innan uppgifter tillgängliggörs till en precisionsmedicinsk databas ska patienten få information om bland annat vad personuppgiftsbehandling i precisionsmedicinsk databas innebär samt möjligheten att mot-
sätta sig att uppgifter görs tillgängliga. Särskilda regler om information och samtycke föreslås för personer som inte endast tillfälligt saknar förmåga att ta ställning. Vårdnadshavare kan motsätta sig tillgängliggörande av uppgifter rörande barn. Barn som utifrån ålder och mognad kan ta ställning kan själva motsätta sig tillgängliggörande.
Som en ytterligare skyddsåtgärd föreslår utredningen att personuppgifter i samtliga fyra steg ska vara pseudonymiserade eller skyddade på likvärdigt sätt. Det är endast regionala myndigheter inom hälso- och
sjukvården som får inrätta och föra precisionsmedicinska databaser
samt vara personuppgiftsansvarig för central behandling av personuppgifter i en precisionsmedicinsk databas (steg 2). Det är också endast regionala myndigheter inom hälso- och sjukvården som får ha tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till uppgifter i en sådan databas (steg 3). Hos regionala myndigheter inom hälso- och sjukvården är det endast den som arbetar inom den specialiserade hälso- och sjukvården och som behöver tillgång till en precisionsmedicinsk databas för sitt arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter som ska kunna tilldelas behörighet till en sådan databas.
Kopplat till förslaget om direktåtkomst eller annat elektroniskt utlämnande (steg 3) föreslår utredningen en regel om absolut sekretess.
Precisionsmedicinsk databas
Det hade enligt utredningens mening funnits fördelar med att ha en nationell precisionsmedicinsk databas eller en federerad lösning som möjliggör jämförelser över hela landet. Utredningen bedömer dock att det inte finns någon sådan infrastruktur på plats i dag och att det för närvarande saknas organisatoriska förutsättningar för att skapa en sådan infrastruktur som samtidigt är försvarbar ur ett rimligt tidsperspektiv för att skapa nytta inom en närtid. Utredningen har därför valt att lämna författningsförslag som skapar förutsättningar för dels, en precisionsmedicinsk databas per samverkansregion, dels att en precisionsmedicinsk databas får föras inom den Nationella Genomikplattformen, förkortad NGP. Den precisionsmedicinska databasen inom NGP möjliggör datadelning mellan landets sju regionsjukhus (universitetssjukhus), vilket innebär nödvändig täckning för till exempel diagnostisering och behandling av sällsynta diagnoser som fångas
upp av regionsjukhusen (universitetssjukhusen) i dagsläget. NGP som it-infrastruktur finns redan i dag, men används endast för forskning. De samverkansregionala precisionsmedicinska databaserna täcker sammantaget alla landets regioner och där finns möjlighet till ett bredare angreppsätt vad avser datamängder.
Den främsta anledningen till utredningens val av lösning är att det är det alternativ som skulle kunna komma på plats fortast och som utredningen bedömt vara proportionerlig ur ett integritetsperspektiv. På längre sikt ser utredningen dock att det bör övervägas och utredas om en nationell precisionsmedicinsk databas genom en federerad lösning som möjliggör jämförelser över hela landet kan införas. Utredningen bedömer att aktuella förslag går i linje med en sådan mer långsiktig lösning och att förslagen därmed inte bör innebära stora extra kostnader eller för den delen senarelägga den långsiktiga lösningen. Det här är en insats som, enligt utredningens bedömning, behöver anpassas efter förslaget till EHDS, när det är klart hur en slutlig version ser ut för det regelverket. Utredningen bedömer också att det är bättre att bygga infrastrukturen stegvis och att den skapar nytta succesivt, hellre än att bygga hela infrastrukturen i ett svep och sedan se om den fungerar och levererar enligt de behov som finns. Utredningen resonerar kring hur en mer långsiktig lösning skulle kunna se ut (se kapitel 19–23). Den delen av betänkandet består dock endast av bedömningar och inte färdiga förslag som går att ta vidare utan fortsatt utredning.
Kompletterande personuppgifter från patientjournal
Utredningen lämnar även förslag om att regionala myndigheter inom hälso- och sjukvården som har tillgång till en precisionsmedicinsk databas ska kunna begära och få ta del av kompletterande personuppgifter från patientjournal (steg 4). Kompletterande uppgifter ska även kunna tillgängliggöras internt inom en myndighet.
Syftet är att göra det möjligt att hämta in mer information om specifika patienter när uppgifterna i den precisionsmedicinska databasen inte är tillräckliga. Detta kan bli aktuellt i situationer där det endast finns enstaka andra patienter med samma eller liknande hälsotillstånd.
Vidareanvändning för ändamålet klinisk forskning
Av direktiven framgår att utredningen ska bedöma om det behövs författningsändringar för att möjliggöra vidareanvändning av hälsodata från hälso- och sjukvården för ändamålet forskning. Avseende ändamålet forskning har utredningen gjort en avgränsning till vidare-
användning av personuppgifter för klinisk forskning där samtycke till att delta i forskningen inhämtas.
Utredningen konstaterar att det kan vara en betungande uppgift att få tillgång till de uppgifter som behövs för att bedriva klinisk forskning. En specifik situation som utredningen sett över är när forskarna själva rent praktiskt kan logga in i patientjournaler, i egenskap av behandlande vårdpersonal, och då se uppgifter som behövs för forskningen. Enligt dagens lagstiftning krävs då, som huvudregel, att uppgifterna måste begäras ut. Det innebär att ett utlämnande av uppgifterna kan ske först efter föregående menprövning. Det här innebär en administrativ börda för både utlämnande myndighet och forskare som kan vara tidskrävande och kan upplevas omständlig. Utredningen gör bedömningen att möjlighet till en förenklad åtkomst skulle kunna underlätta för såväl forskare som utlämnande myndigheter och undanröja en del av problematiken.
En ny lag om vidareanvändning av personuppgifter för klinisk forskning
Utredningen har bedömt att det behövs författningsändring för att möjliggöra en förenklad åtkomst till personuppgifter från hälso- och sjukvården. I dag finns ingen lag som reglerar personuppgiftsbehandling inom forskning på samma sätt som motsvarar PDL inom hälso- och sjukvården. Det är enligt utredningens bedömning inte lämpligt att inför regler om förenklad åtkomst för ändamålet klinisk forskning i PDL. Utredningen föreslår därför en ny lag, lagen (0000:00)
om viss vidareanvändning av personuppgifter för klinisk forskning och
ändringar i OSL. Den nya lagen tar sin systematiska utgångspunkt i vidareanvändning för ändamålet klinisk forskning. Utredningen ser möjligheter att utreda vidare en eventuell utvidgning av lagen, dels avseende datamängder på datahållarsidan, dels om förenklade regler i någon form kan införas för klinisk forskning som inte bygger på samtycke till att delta i forskningen.
Den nya lagens tillämpningsområde avser, på datahållarsidan, regionala myndigheter som bedriver hälso- och sjukvård och, på dataanvändarsidan, regionala myndigheter och lärosäten som bedriver klinisk forskning. De personuppgifter som får tillgängliggöras enligt lagen är uppgifter som regionala myndigheter som bedriver hälso- och sjukvård behandlar enligt 2 kap. 4 § första stycket 1–6 PDL.
Begränsad direktåtkomst och villkor för tillgängliggörande och behandling av personuppgifter
Tillgängliggörande enligt lagen föreslås få ske genom en så kallad begränsad direktåtkomst eller annat elektronisk utlämnande. Begränsningen i direktåtkomsten innebär att de uppgifter som tillgängliggörs ska avse de personer som omfattas av ett aktuellt forskningsprojekt.
I praktiken innebär möjligheten till begränsad direktåtkomst att det finns rättsligt stöd för en region att skapa en modul eller liknande i sina it-system som kan visa vissa fält med sådana uppgifter som behövs för forskningen. Dessa fält kommer forskarna åt med en forskarbehörighet, utan att behöva begära utlämnande med föregående menprövning enligt allmänna regler. Den begränsade direktåtkomsten ska vara tidsbestämd.
Som villkor för tillgängliggörande föreslås att uppgifterna ska användas endast vid sådan klinisk forskning som är godkänd enligt tillämpligt etiskt regelverk samt där samtycke inhämtas för att delta i forskningen. Utöver samtycke till att delta i forskningen, ska enligt villkor i den nya lagen, även samtycke som en integritetshöjande åtgärd för den förenklade åtkomsten inhämtas från den registrerade. Den registrerade ska få information om vad den förenklade åtkomsten innebär. Särskilda regler om information och samtycke föreslås för barn och försökspersoner som inte är beslutskompetenta.
Utredningen föreslår att regionala myndigheter eller lärosäten som bedriver klinisk forskning endast ska få tillföra forskningen de personuppgifter som behövs för den kliniska forskningen.
Kopplat till den nya lagen föreslår utredningen en sekretessbrytande grund och en regel om absolut sekretess i forskningen för uppgifter som inte får tillföras forskningen.
Övriga ändamål
Utvecklings och innovationsverksamhet
Utredningen har resonerar kring utveckling och innovation och lämnar bedömningar avseende olika behov som identifierats. Utredningen för också resonemang kring hur utredningen uppfattar innebörden av begreppen.
Utredningen har konstaterar att frågorna är komplexa och behöver utredas vidare. Utredningen gör bedömningen att tillräcklig utredning för att kunna lämna författningsförslag för dessa ändamål inte kunnat rymmas inom de tidsramar som utredningen haft att förhålla sig till. Utredningen lämnar därför inte några författningsförslag avseende utveckling- och innovation, vilket förklaras mer utförligt i avsnitt 2.7.
Eftersom utredningen lämnar författningsförslag på en helt ny reglering av ändamålet vård är det en brist att sådan ny verksamhet inte ges rättsliga möjligheter att bedriva utveckling som inte ryms under dagens regler i PDL. Utredningens bedömning är därför att det är angeläget att dessa behov ses över.
Utredningen bedömer även att vissa av de behov som finns av utvecklings- och innovationsverksamhet ställer krav på organisatoriska och infrastrukturella lösningar som i dag inte finns för att det ska gå att använda känsliga personuppgifter för dessa ändamål, utan att intrånget i den personliga integriteten blir för stort i förhållande till nyttan. Se vidare resonemang i avsnitt 20.4 och kapitel 23.
Undervisning på akademisk nivå
Utredningen bedömer att de behov som framkommit, som avser undervisning på akademiska nivå, har en nära koppling till primäranvändningen av hälsodata. Undervisning som inte kan genomföras utan att behandling av personuppgifter uppstår inom hälso- och sjukvården innebär ofta en nära koppling till patienterna och vården som behöver utföras. Utredningen bedömer att dessa frågor behöver utredas gemensamt och inte avgränsat till sekundäranvändning. Utredningen lämnar därför inga författningsförslag för undervisning på akademisk nivå. Utredningens bedömning är att det behöver utredas varför olika regioner löser behoven på olika sätt och vad som krävs
för att lösa de behov som finns som är nära kopplade till primäranvändningen.
Statliga, regionala och kommunala myndigheters beslutsfattande
Utredningens har valt att inte lämna några författningsförslag avseende statliga, regionala och kommunala myndigheters beslutsfattande. Utredningens uppfattning är att dessa ändamål kan omfatta en ansenlig mängd olika behov. Utredningen har därför avgränsat den utredning som gjorts till vissa av de behov som omfattas.
Utredningens bedömning är att en del behov kopplat till regionala myndigheters beslutsfattande som uppstår i samband med vård bör kunna omhändertas av det författningsförslag avseende vårdändamålet som utredningen lämnar. Det är även möjligt att vissa behov kan omhändertas inom ändamålet utveckling som utredningen skriver om i avsnitt 2.7.6. Utredningen bedömer vidare att det saknas organisatoriska och infrastrukturella lösningar som skulle göra att nyttan stod i proportion till det intrång i den personliga integriteten som ett sådant förslag skulle innebära. Utredningen resonerar kring detta och lämnar bedömningar i avsnitt 20.5.
Konkreta tillämpningssvårigheter
Utredningen har haft i uppdrag att redogöra för olika tillämpningssvårigheter som identifierats under arbetets gång. Utredningen redogör därför för vilka utmaningar och behov som behöver ses över och vad det är för tillämpningssvårigheter som behöver utredas vidare för att kunna komma till rätta med problemen. Tre kapitel rör behov som utredningen bedömer helt eller delvis kan lösas med hjälp av en nationell datahubb (kapitel 19–21). Ytterligare två kapitel rör frågor för fortsatt utredning som utredningen bedömer behöver ses över och utredas vidare, utan att det behövs en nationell datahubb (kapitel 22–23).
Konsekvenser av förslagen
De främsta positiva konsekvenserna av utredningens författningsförslag avseende vårdändamålet är ökad patientnytta till följd av bättre möjlighet till införande av ett precisionsmedicinskt arbetssätt i hälso- och sjukvården och ett mer jämlikt införande. Den främsta positiva nyttan som följer av utredningens författningsförslag avseende klinisk forskning avser minskad administration och därmed kostnadsbesparingar kopplat till utlämnande för klinisk forskning.
De främsta negativa effekterna består av ett ökat intrång i den personliga integriteten för vissa patienter, vilket utredningen lämnat förlag för att balansera i form av integritetshöjande åtgärder. Förslagen innebär också viss kostnadsökning för regionerna avseende precisionsmedicinska databaser. Utredningens bedömning är dock att regionerna redan i dag spenderar mycket pengar på precisionsmedicin och att mycket medel läggs ner på lösningar som ska fungera med nuvarande regelverk. Enligt utredningens bedömning är dessa lösningar inte lika kostnadseffektiva som de lösningar som utredningens förslag möjliggör. Förslagen innebär i sig inga negativa konsekvenser för privata företag, men bidrar inte till några nya möjligheter att använda hälsodata. Utifrån att regeringen har en ambition om att Sverige ska vara en ledande life science-nation, gör utredningen bedömningen att uteblivna förslag för denna målgrupp är en negativ konsekvens. Utredningen har försökt att så långt det varit möjligt utreda hur dessa och andra behov som utredningen har fått till sig, skulle kunna omhändertas framgent, vilket redovisas i kapitel 19–23.
1. Författningsförslag
1.1. Förslag till lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning
Härigenom föreskrivs följande.
1 kap. Inledande bestämmelser
Uttryck i lagen
1 § I denna lag används följande uttryck med nedan angiven betydelse.
Uttryck Betydelse
EU:s dataskyddsförordning Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Förordning (EU) nr 536/2014 Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG.
Förordning (EU) 2017/745 Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG. Förordning (EU) 2017/746 Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitrodiagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU. Hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering. Lärosäte Ett statligt universitet eller en statlig högskola som har rätt att utfärda examen på forskarnivå, eller en enskild utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som
enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400) är ett organ som jämställs med myndighet i sin forskningsverksamhet.
Regional myndighet Myndighet i en region. Aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där en region utövar ett rättsligt bestämmande inflytande enligt 2 kap. 3 § offentlighets- och sekretesslagen (2009:400) ska vid tillämpningen av denna lag jämställas med en myndighet.
Tillämpningsområde
2 § Bestämmelserna i denna lag får tillämpas när personuppgifter som behandlas enligt 2 kap. 4 § första stycket 1–6 patientdatalagen (2008:355) av en regional myndighet som bedriver hälso- och sjukvård vidareanvänds av en regional myndighet eller ett lärosäte som bedriver klinisk forskning.
Ändamål
3 § Personuppgifter som anges i 2 § får, under de förutsättningar som anges i denna lag, vidareanvändas om det behövs för ändamålet klinisk forskning.
Förhållandet till annan dataskyddsreglering
4 § Denna lag kompletterar EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag.
Personuppgiftsansvar
5 § En regional myndighet som bedriver hälso- och sjukvård och som tillgängliggör personuppgifter enligt denna lag är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen.
6 § En regional myndighet eller ett lärosäte som bedriver klinisk forskning och som ges tillgång till personuppgifter enligt denna lag är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten eller lärosätet utför enligt lagen.
Behandling av känsliga personuppgifter
7 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 j i förordningen.
2 kap. Tillgängliggörande av personuppgifter
Tillgång genom begränsad direktåtkomst eller annat elektroniskt utlämnande
1 § En regional myndighet eller ett lärosäte som bedriver klinisk forskning får, under de förutsättningar som anges i detta kapitel, ges tillgång, genom begränsad direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas av en regional myndighet som bedriver hälso- och sjukvård.
2 § När personuppgifter görs tillgängliga genom begränsad direktåtkomst, ska åtkomsten vara tidsbestämd. När den bestämda tidsperioden har löpt ut, ska den begränsade direktåtkomsten upphöra.
Den regionala myndigheten inom hälso- och sjukvården som tillgängliggör personuppgifterna kan, efter begäran, förlänga den tidsperiod som har bestämts enligt första stycket.
Den totala tidsperioden enligt första och andra styckena får inte överskrida sex månader.
3 § Tillgång enligt 1 § får endast avse uppgiftsmängder som kan antas ha betydelse för forskningen.
Villkor för tillgängliggörande
4 § Tillgängliggörande av personuppgifter enligt 1 § får endast ske om
1. uppgifterna ska användas i
a) forskning som har godkänts av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning enligt lagen (2003:460) om etikprövning av forskning som avser människor,
b) en klinisk läkemedelsprövning som har beviljats eller anses ha beviljats tillstånd i enlighet med förordning (EU) nr 536/2014,
c) en klinisk prövning som får påbörjas eller genomföras i enlighet med bestämmelser i förordning (EU) 2017/745 eller enligt lagen (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter eller föreskrifter meddelade i anslutning till den lagen, eller
d) en prestandastudie som får påbörjas eller genomföras i enlighet med bestämmelser i förordning (EU) 2017/746, och
2. den registrerade har samtyckt till att delta i forskningen. Villkoret enligt första stycket 2 om samtycke till att delta i forskningen är också uppfyllt om vårdnadshavare samtycker till forskning på barn enligt 18 § andra stycket lagen (2003:460) om etikprövning av forskning som avser människor. Detsamma gäller om lagligen utsedd ställföreträdare samtyckt till forskning på barn eller försökspersoner som inte är beslutskompetenta enligt artiklarna 32 och 31 i Förordning (EU) nr 536/2014, artiklarna 65 och 64 i Förordning (EU) 2017/745 eller artiklarna 61 och 60 i Förordning (EU) 2017/746.
5 § Tillgängliggörande av personuppgifter enligt 1 § får endast ske om den registrerade, utöver samtycke enligt 4 § första stycket 2, har samtyckt till tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande.
Innan samtycke lämnas ska den registrerade, utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning, informeras om
1. vad begränsad direktåtkomst eller annat elektroniskt utlämnade enligt lagen innebär, och
2. rätten att återkalla ett samtycke till att uppgifter görs tillgängliga.
6 § Om vårdnadshavare eller lagligen utsedd ställföreträdare har lämnat samtycke till forskning enligt vad som anges i 4 § andra stycket, får tillgängliggörande enligt 1 § endast ske om vårdnadshavare eller lagligen utsedd ställföreträdare samtyckt till tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande.
Innan samtycke lämnas ska vårdnadshavare eller lagligen utsedd ställföreträdare få information enligt 5 § andra stycket.
7 § Om den registrerade återkallar samtycke som har lämnats enligt 5 § ska tillgängliggörandet upphöra så snart som möjligt.
Om vårdnadshavare eller lagligen utsedd ställföreträdare återkallar samtycke som har lämnats enligt 6 § ska tillgängliggörandet upphöra så snart som möjligt.
3 kap. Behandling av personuppgifter som gjorts tillgängliga
Tilldelning av behörighet för elektronisk åtkomst
1 § En regional myndighet eller ett lärosäte som bedriver klinisk forskning ska bestämma villkor för tilldelning av behörighet inom den egna organisationen för åtkomst till de personuppgifter som gjorts tillgängliga enligt 2 kap. 1 §. Sådan behörighet ska begränsas till vad som behövs för att den behörige ska kunna fullgöra sina arbetsuppgifter inom forskningen.
Villkor för att uppgifternas ska få tillföras forskningen
2 § En regional myndighet eller ett lärosäte som getts tillgång till personuppgifter enligt 2 kap. 1 § får endast tillföra forskningen de uppgifter som behövs för sådan forskning som anges i 2 kap. 4 § första stycket 1.
4 kap. Bevarande och gallring
1 § När en handling är tillgänglig enligt denna lag för en regional myndighet som bedriver hälso- och sjukvård och en regional myndighet eller ett lärosäte som bedriver klinisk forskning gäller skyl-
digheten att bevara handlingen endast för den regionala myndighet inom hälso- och sjukvården som har tillgängliggjort handlingen.
Denna lag träder i kraft den 1 januari 2025.
1.2. Förslag till lag om ändring i patientdatalagen (2008:355)
Härigenom föreskrivs i fråga om patientdatalagen (2008:355)
dels att 1 kap. 4 §, 2 kap. 2, 4 och 6 §§, 4 kap. 1 och 2 §§, 5 kap. 4 §
och 8 kap. 5, 6 och 7 §§ ska ha följande lydelse,
dels att det ska införas ett nytt kapitel, 6 kap., av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 kap.
4 §1
Denna lag innehåller bestämmelser som kompletterar EU:s dataskyddsförordning, vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Vid behandling av personuppgifter som avses i första stycket gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
I lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation finns ytterligare bestämmelser om vårdgivares behandling av personuppgifter inom hälso- och sjukvården.
I lag ( 0000:000 ) om viss vidareanvändning av personuppgifter för klinisk forskning finns bestämmelser om tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande av personuppgifter från hälso- och sjukvården.
1 Senaste lydelse 2022:915.
2 kap.
2 §2
Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den. Det gäller dock inte i de fall som anges i 4 kap. 4 § och 7 kap. 2 § eller om något annat framgår av annan lag eller förordning.
Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den. Det gäller dock inte i de fall som anges i 4 kap. 4 §, 6 kap. 2 § och 7 kap. 2 § eller om något annat framgår av annan lag eller förordning.
4 §3
Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för
1. att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,
2. administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall,
3. att upprätta annan dokumentation som följer av lag, förordning eller annan författning,
4. att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten,
5. administration, planering, uppföljning, utvärdering och tillsyn av verksamheten,
6. att framställa statistik om hälso- och sjukvården, eller
7. antalsberäkning inför klinisk forskning.
I 6 kap. 5 § finns särskilda bestämmelser om behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser.
I 7 kap. 4 och 5 §§ finns särskilda bestämmelser om ändamålen med behandling av personuppgifter i nationella och regionala kvalitetsregister.
2 Senaste lydelse 2022:915. 3 Senaste lydelse 2023:167.
6 §4
En vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I en region och en kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
Personuppgiftsansvaret enligt första stycket omfattar även sådan behandling av personuppgifter som vårdgivaren, eller den myndighet i en region eller en kommun som är personuppgiftsansvarig, utför när vårdgivaren eller myndigheten genom direktåtkomst i ett enskilt fall bereder sig tillgång till personuppgifter om en patient hos en annan vårdgivare eller annan myndighet i samma region eller kommun.
I 7 kap. och i 4 kap. 1 § lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation finns särskilda bestämmelser om personuppgiftsansvar.
I 6 och 7 kap. samt i 4 kap. 1 § lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation finns särskilda bestämmelser om personuppgiftsansvar.
4 kap.
1 §
Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.
I 6 kap. finns särskilda bestämmelser om inre sekretess vid behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser.
2 §5
En vårdgivare ska bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat. Sådan behörighet ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården.
4 Senaste lydelse 2022:915. 5 Senaste lydelse 2022:915.
I 6 kap. 17 § finns ytterligare bestämmelser som gäller vid tilldelning av behörighet till en precisionsmedicinsk databas.
Personuppgifter som behandlas i en utredning enligt lagen (2018:744) om försäkringsmedicinska utredningar för ändamål som anges i 2 kap. 4 § första stycket 1 och 2 får inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare. I den lagen finns särskilda bestämmelser om elektronisk åtkomst vid sådana utredningar.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tilldelning av behörighet enligt första stycket.
5 kap.
4 §6
Utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning.
Om en region eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma region eller kommun.
Ytterligare bestämmelser om direktåtkomst och annat elektroniskt utlämnande finns i 5 §, 7 kap. 9 § och i lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.
Ytterligare bestämmelser om direktåtkomst och annat elektroniskt utlämnande finns i 5 §, 6 kap.
16 § och 7 kap. 9 § och i lagen
(2022:913) om sammanhållen vård- och omsorgsdokumentation.
Bestämmelser om begränsad direktåtkomst och annat elektroniskt utlämnande av personuppgifter som behandlas inom hälso- och sjukvården finns i lag ( 0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning.
6 Senaste lydelse 2023:167.
6 kap. Vidareanvändning av patientdata för vårdändamål
Inledande bestämmelse
1 § Med precisionsmedicinsk databas avses en samling av personuppgifter som inrättas särskilt för ändamålet vården av en annan patient än den som uppgifterna avser.
En precisionsmedicinsk databas syftar till att skapa underlag för vården av en annan patient än den som uppgifterna avser.
Den enskildes inställning till personuppgiftsbehandling i precisionsmedicinsk databas
2 § Personuppgifter får inte göras tillgängliga till en precisionsmedicinsk databas, om den enskilde motsätter sig det.
Om den enskilde motsätter sig tillgängliggörandet sedan det påbörjats, ska uppgifterna utplånas ur den precisionsmedicinska databasen så snart som möjligt.
3 § En vårdgivare får tillgängliggöra uppgifter om en enskild som inte endast tillfälligt saknar förmåga att ta ställning till behandling i en precisionsmedicinsk databas, om
1. den enskildes inställning till sådan behandling av personuppgifter så långt som möjligt har klarlagts, och
2. det inte finns anledning att anta att den enskilde skulle ha motsatt sig behandlingen av personuppgifterna.
Information
4 § Innan personuppgifter görs tillgängliga till en precisionsmedicinsk databas ska den som är personuppgiftsansvarig informera den enskilde om
1. vad personuppgiftsbehandling i precisionsmedicinsk databas innebär,
2. vad behandling av kompletterande personuppgifter från patientjournal innebär och
3. möjligheten att motsätta sig att uppgifter görs tillgängliga till en precisionsmedicinsk databas.
Ändamål och inre sekretess
5 § I stället för vad som anges i 2 kap. 4 och 5 §§ gäller att personuppgifter, under de förutsättningar som anges i detta kapitel, får behandlas inom hälso- och sjukvården om det behövs för vården av en annan patient än den som uppgifterna avser.
Första stycket gäller inte för sådan hälso- och sjukvård som regleras i
1. tandvårdslagen (1985:125), eller
2. lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar.
I stället för vad som anges i 4 kap. 1 § gäller bestämmelser om inre sekretess i detta kapitel vid behandling av personuppgifter för det ändamål som anges i första stycket.
6 § Personuppgifter som behandlas för ändamålet vården av en annan patient än den som uppgifterna avser får inte behandlas för några andra ändamål.
Personuppgifter som behandlas för ändamål som anges i första stycket får dock behandlas för fullgörande av någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen (2009:400).
Personuppgiftsansvar
7 § Endast en regional myndighet inom hälso- och sjukvården får vara personuppgiftsansvarig för central behandling av personuppgifter i en precisionsmedicinsk databas.
I 2 kap. 6 § finns allmänna bestämmelser om personuppgiftsansvar.
Personuppgifter som får behandlas
8 § Endast sådana personuppgifter som behandlas enligt 2 kap. 4 § första stycket 1 och 2 och behövs för ändamål som anges i 5 § första stycket får behandlas med stöd av detta kapitel. 9 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av arti-
kel 9.2 h i förordningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.
Inrättande och förande av en precisionsmedicinsk databas
10 § Endast en regional myndighet inom hälso- och sjukvården får inrätta och föra en precisionsmedicinsk databas.
11 § Regional myndighet inom hälso- och sjukvården som för precisionsmedicinsk databas får endast behandla de personuppgifter som behövs för syftet med databasen.
12 § Den som arbetar hos en regional myndighet inom hälso- och sjukvården som för en precisionsmedicinsk databas får ta del av personuppgifter i databasen endast om han eller hon behöver uppgifterna för sitt arbete med databasen.
I 4 kap. 2 och 3 §§ finns allmänna bestämmelser om tilldelning av behörighet för elektronisk åtkomst och kontroll av elektronisk åtkomst.
Urval och tillgängliggörande av personuppgifter till en precisionsmedicinsk databas
13 § En vårdgivare får behandla personuppgifter för urval och tillgängliggörande till en regional myndighet inom hälso- och sjukvården som för en precisionsmedicinsk databas.
Urval och tillgängliggörande får endast ske av personuppgifter som behövs för att skapa underlag för det ändamål som anges i 5 § första stycket.
14 § Tillgängliggörande enligt 13 § får endast avse personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt.
15 § Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient om han eller hon behöver det för sitt arbete med urval och tillgängliggörande av uppgifter till en precisionsmedicinsk databas.
I 4 kap. 2 och 3 §§ finns allmänna bestämmelser om tilldelning av behörighet för elektronisk åtkomst och kontroll av elektronisk åtkomst.
Tillgång tillpersonuppgifter i precisionsmedicinsk databas
Tillgång genom direktåtkomst eller annat elektroniskt utlämnade
16 § En regional myndighet inom hälso- och sjukvården får ges tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas i en precisionsmedicinsk databas.
Tilldelning av behörighet för elektronisk åtkomst
17 § När en regional myndighet inom hälso- och sjukvården ska bestämma villkor för tilldelning av behörighet för elektronisk åtkomst enligt 4 kap. 2 § får behörighet till en precisionsmedicinsk databas endast tilldelas den som arbetar i den specialiserade vården och behöver åtkomsten för sitt arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tilldelning av behörighet enligt första stycket för åtkomst till uppgifter som förs helt eller delvis automatiserat.
Villkor för behandling av personuppgifter
18 § En regional myndighet inom hälso- och sjukvården får behandla personuppgifter som en annan myndighet som för precisionsmedicinsk databas har gjort tillgängliga om
1. någon som arbetar hos myndigheten och enligt 17 § har behörighet till precisionsmedicinsk databas deltar i vården av en patient, och
2. uppgifterna kan ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten.
Inre sekretess
19 § Den som arbetar hos en regional myndighet inom hälso- och sjukvården som för en precisionsmedicinsk databas och har behörighet till sådan databas, får ta del av personuppgifter i databasen om han eller hon
1. deltar i vården av en patient, och
2. uppgifterna kan ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten.
Kompletterande personuppgifter från patientjournal
Begäran om kompletterande personuppgifter
20 § En regional myndighet inom hälso- och sjukvården som har tillgång till en precisionsmedicinsk databas får, hos en vårdgivare som enligt 13 § har tillgängliggjort personuppgifter till den databasen, begära de kompletterande personuppgifter från den patientjournal som kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser.
En begäran om kompletterande personuppgifter från patientjournal får också göras inom den myndighet som tillgängliggjort uppgifter till en precisionsmedicinsk databas om uppgifterna kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser.
Tillgängliggörande av kompletterande personuppgifter
21 § En vårdgivare får tillgängliggöra de personuppgifter som omfattas av en begäran om kompletterande personuppgifter enligt 20 §.
Tillgängliggörande av kompletterande personuppgifter får endast ske till en regional myndighet inom hälso- och sjukvården som har tillgång till den precisionsmedicinska databasen som vårdgivaren tillgängliggjort uppgifter till.
22 § En regional myndighet inom hälso- och sjukvården får, utöver den behandling av personuppgifter som sker genom tillgång till en precisionsmedicinsk databas, endast behandla de kompletterande personuppgifter om en patient som behövs för vården av en annan patient än de som uppgifterna avser.
23 § Tillgängliggörande enligt 21 § får endast avse personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt.
Inre sekretess
24 § Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient om han eller hon behöver det för sitt arbete med begäran enligt 20 § om kompletterande personuppgifter från patientjournal.
I 4 kap. 2 och 3 §§ finns allmänna bestämmelser om tilldelning av behörighet för elektronisk åtkomst och kontroll av elektronisk åtkomst.
25 § Den som enligt 17 § har behörighet till en precisionsmedicinsk databas får ta del av kompletterande personuppgifter om patienter om han eller hon
1. deltar i vården av en patient, och
2. uppgifterna kan antas ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten.
Bevarande och gallring
26 § När en handling i en precisionsmedicinsk databas är tillgänglig för flera regionala myndigheter gäller skyldigheten att bevara den endast för den myndighet som för databasen.
27 § Personuppgifter i en precisionsmedicinsk databas får inte behandlas under längre tid än vad som behövs för ändamålen med databasen.
28 § Personuppgifter i en precisionsmedicinsk databas som enligt 2 § andra stycket ska utplånas till följd av att patienten motsatt sig tillgängliggörande sedan uppgifterna tillgängliggjorts får också gallras.
Ytterligare föreskrifter om precisionsmedicinska databaser
29 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om precisionsmedicinska databaser.
8 kap.
5 §
En vårdgivare ska på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst till uppgifter om patienten som förekommit.
Första stycket gäller inte den direktåtkomst eller elektroniska åtkomst som förekommit hos en regional myndighet inom hälso- och sjukvården i anledning av att myndigheten för en precisionsmedicinsk databas, har tillgång till en sådan databas eller behandlar kompletterande personuppgifter från patientjournal enligt 6 kap. denna lag.
Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om information enligt första stycket.
6 §7
Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska den som är personuppgiftsansvarig enligt denna lag lämna information till den registrerade om
1. den uppgiftsskyldighet som kan följa av lag eller förordning,
2. de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen,
3. rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras,
4. rätten enligt 5 § att få information om den åtkomst som förekommit,
5. rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personuppgifter i strid med denna lag, och
6. vad som gäller i fråga om sökbegrepp, direktåtkomst, utlämnande av uppgifter på medium för automatiserad behandling och annat elektroniskt utlämnande.
I 7 kap. 3 § och i 2 kap. 2 § lagen (2022:913) om sammanhållen vård- och omsorgsdoku-
I 6 kap. 4 §, 7 kap. 3 § och i 2 kap. 2 § lagen (2022:913) om sammanhållen vård- och omsorgs-
7 Senaste lydelse 2022:915.
mentation finns ytterligare bestämmelser om vilken information som ska lämnas i vissa fall.
dokumentation finns ytterligare bestämmelser om vilken information som ska lämnas i vissa fall.
7 §8
I denna lag finns föreskrifter om andra rättigheter för den enskilde i 3 kap. 8 § och 4 kap. 4 § samt 7 kap. 2 och 3 §§. Sådana föreskrifter finns även i 2 kap. 3 § första stycket lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.
I denna lag finns föreskrifter om andra rättigheter för den enskilde i 3 kap. 8 §, 4 kap. 4 § och
6 kap. 2 och 4 §§ samt 7 kap. 2
och 3 §§. Sådana föreskrifter finns även i 2 kap. 3 § första stycket lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.
Denna lag träder i kraft den 1 januari 2025.
8 Senaste lydelse 2022:915.
1.3. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)
dels att 10 kap. 19, 21, 23 och 24 §§, 24 kap. 9 § och 25 kap. 7, 10
och 11 §§ ska ha följande lydelse,
dels att det ska införas två nya paragrafer, 24 kap. 7 b § och 25 kap.
2 a §, och närmast före 24 kap. 7 b § och 25 kap. 2 a § nya rubriker av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
10 kap.
19 §1
Sekretessen enligt 25 kap. 1 §, 2 § andra stycket och 3–5 §§ och 26 kap. 1 §, 1 a § andra stycket, 3, 4 och 6 §§ hindrar inte att en uppgift lämnas till Polismyndigheten eller någon annan myndighet som ska ingripa mot brott, om uppgiften behövs för att förhindra ett förestående eller avbryta ett pågående brott som avses i
Sekretessen enligt 25 kap. 1 §, 2 § andra stycket, 2 a § andra
stycket och 3–5 §§ och 26 kap.
1 §, 1 a § andra stycket, 3, 4 och 6 §§ hindrar inte att en uppgift lämnas till Polismyndigheten eller någon annan myndighet som ska ingripa mot brott, om uppgiften behövs för att förhindra ett förestående eller avbryta ett pågående brott som avses i
1. 4 eller 4 a § lagen (1951:649) om straff för vissa trafikbrott,
2. 13 kap. 2 eller 3 § luftfartslagen (2010:500),
3. 30 § lagen (1990:1157) om säkerhet vid tunnelbana och spårväg,
4. 20 kap. 4 eller 5 § sjölagen (1994:1009),
5. 7 kap. 2, 3 eller 4 § järnvägssäkerhetslagen (2022:367), eller
6. 8 kap. 2, 3 eller 4 § lagen (2022:368) om nationella järnvägssystem.
21 §2
Sekretessen enligt 25 kap. 1 §, 2 § andra stycket och 3–5 §§, 26 kap. 1 §, 1 a § andra stycket,
Sekretessen enligt 25 kap. 1 §, 2 § andra stycket, 2 a § andra
stycket och 3–5 §§, 26 kap. 1 §,
1 Senaste lydelse 2022:916. 2 Senaste lydelse 2022:216.
3, 4 och 6 §§ samt 33 kap. 2 och 4 a §§ hindrar inte att en uppgift lämnas till en åklagarmyndighet eller Polismyndigheten, om uppgiften angår misstanke om brott som riktats mot någon som inte har fyllt arton år och det är fråga om brott som avses i
1 a § andra stycket, 3, 4 och 6 §§ samt 33 kap. 2 och 4 a §§ hindrar inte att en uppgift lämnas till en åklagarmyndighet eller Polismyndigheten, om uppgiften angår misstanke om brott som riktats mot någon som inte har fyllt arton år och det är fråga om brott som avses i
1. 3, 4 eller 6 kap. brottsbalken, eller
2. lagen (1982:316) med förbud mot könsstympning av kvinnor.
23 §3
Om inte annat följer av 19– 22 §§ får en uppgift som angår misstanke om ett begånget brott och som är sekretessbelagd enligt 24 kap. 2 a eller 8 §, 25 kap. 1 §, 2 § andra stycket eller 3–8 §§, 26 kap. 1 §, 1 a § andra stycket eller 2–6 §§, 29 kap. 1 §, 31 kap. 1 § första stycket, 2 eller 12 §, 33 kap. 2 eller 4 a §, 36 kap. 3 § eller 40 kap. 2 eller 5 § lämnas till en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller någon annan myndighet som har till uppgift att ingripa mot brottet endast om misstanken angår
Om inte annat följer av 19– 22 §§ får en uppgift som angår misstanke om ett begånget brott och som är sekretessbelagd enligt 24 kap. 2 a eller 8 §, 25 kap. 1 §, 2 § andra stycket, 2 a § andra
stycket eller 3–8 §§, 26 kap. 1 §,
1 a § andra stycket eller 2–6 §§, 29 kap. 1 §, 31 kap. 1 § första stycket, 2 eller 12 §, 33 kap. 2 eller 4 a §, 36 kap. 3 § eller 40 kap. 2 eller 5 § lämnas till en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller någon annan myndighet som har till uppgift att ingripa mot brottet endast om misstanken angår
1. brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år,
2. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller
3. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168).
3 Senaste lydelse 2022:216.
24 §4
Sekretess som följer av andra sekretessbestämmelser än dem som anges i 19–23 §§, 25 kap. 2 § första stycket och 26 kap. 1 a § första stycket hindrar inte att en uppgift som angår misstanke om ett begånget brott lämnas till en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller någon annan myndighet som har till uppgift att ingripa mot brottet, om fängelse är föreskrivet för brottet och detta kan antas föranleda någon annan påföljd än böter.
Sekretess som följer av andra sekretessbestämmelser än dem som anges i 19–23 §§, 24 kap.
7 b §, 25 kap. 2 § första stycket, 2 a § första stycket och 26 kap.
1 a § första stycket hindrar inte att en uppgift som angår misstanke om ett begånget brott lämnas till en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller någon annan myndighet som har till uppgift att ingripa mot brottet, om fängelse är föreskrivet för brottet och detta kan antas föranleda någon annan påföljd än böter.
24 kap.
Vidareanvändning enligt lag ( 0000:00 ) om viss vidareanvändning av personuppgifter för klinisk forskning
7 b §
Sekretess gäller hos en myndighet för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig av en myndighet i en region som bedriver verksamhet som avses i 25 kap. 1 § enligt lag ( 0000:00 ) om viss vidareanvändning av personuppgifter för klinisk forskning, om inte förutsättningarna enligt 3 kap. 2 § samma lag för att myndigheten ska få till-
4 Senaste lydelse 2022:216.
föra forskningen uppgiften är uppfyllda.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
9 §5
Den tystnadsplikt som följer av 2 a och 8 §§ och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 7 § andra meningen inskränker rätten enligt 1 kap.1 och 7 §§tryckfrihetsförordningen och 1 kap.1 och 10 §§yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
Den tystnadsplikt som följer av 2 § inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställighet av beslut om vård utan samtycke.
Den tystnadsplikt som följer av 2 och 7 b §§ inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställighet av beslut om vård utan samtycke.
25 kap.
Precisionsmedicinsk databas
2 a §
Sekretess gäller hos en myndighet som bedriver verksamhet som avses i 1 § i en region för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig av en annan sådan myndighet som för precisionsmedicinsk databas enligt 6 kap. patientdatalagen (2008:355) , om inte förutsättningarna enligt 6 kap. 18 § samma lag för att myndigheten ska få behandla uppgiften är uppfyllda.
Om de förutsättningar som anges i första stycket är uppfyllda eller myndigheten har behandlat
5 Senaste lydelse 2018:1919.
uppgiften enligt 6 kap. 18 § tidigare, gäller sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Sekretessen gäller inte om annat följer av 7, 8, 10 § eller 26 kap. 6 §.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
7 §
Sekretess gäller i verksamhet som anges i 1 §, 2 § andra stycket och 3–5 §§ för uppgift i anmälan eller utsaga av en enskild om någons hälsotillstånd eller andra personliga förhållanden, i förhållande till den som anmälan eller utsagan avser, endast om det kan antas att fara uppkommer för att den som har lämnat uppgiften eller någon närstående till denne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.
Sekretess gäller i verksamhet som anges i 1 §, 2 § andra stycket,
2 a § andra stycket och 3–5 §§ för
uppgift i anmälan eller utsaga av en enskild om någons hälsotillstånd eller andra personliga förhållanden, i förhållande till den som anmälan eller utsagan avser, endast om det kan antas att fara uppkommer för att den som har lämnat uppgiften eller någon närstående till denne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.
För uppgift i en allmän handling gäller sekretessen i högst femtio år.
10 §6
Sekretessen enligt 1 §, 2 § andra stycket, 3–5 §§ och 8 a och 8 b §§ gäller inte
Sekretessen enligt 1 §, 2 § andra stycket, 2 a § andra stycket, 3–5 §§ och 8 a och 8 b §§ gäller inte
1. beslut i ärende enligt lagstiftningen om psykiatrisk tvångsvård eller rättspsykiatrisk vård, om beslutet avser frihetsberövande åtgärd,
2. beslut enligt smittskyddslagen (2004:168), om beslutet avser frihetsberövande åtgärd,
3. beslut i ärende om klagomål mot hälso- och sjukvården eller dess personal,
6 Senaste lydelse 2010:679.
4. beslut i fråga om omhändertagande eller återlämnande av patientjournal, eller
5. beslut i ärende enligt 4 kap. 10 § eller 8 kap.patientsäkerhetslagen.
11 §7
Sekretessen enligt 1 § hindrar inte att uppgift lämnas
1. från en myndighet som bedriver verksamhet som avses i 1 § i en kommun till en annan sådan myndighet i samma kommun,
2. från en myndighet som bedriver verksamhet som avses i 1 § i en region till en annan sådan myndighet i samma region,
3. till en myndighet som bedriver verksamhet som avses i 1 §, 26 kap. 1 §, en enskild vårdgivare eller omsorgsgivare enligt det som föreskrivs i lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation,
4. från en myndighet som bedriver verksamhet som avses i 1 § i en region till en myndighet enligt det som föreskrivs i lag ( 0000:00 ) om viss vidareanvändning av personuppgifter för klinisk forskning,
5. från en myndighet som bedriver verksamhet som avses i 1 § i en region till en annan sådan myndighet i en annan region enligt det som föreskrivs i 6 kap. patientdatalagen (2008:355) ,
4. till ett nationellt eller regio-
nalt kvalitetsregister enligt patientdatalagen(2008:355),
5. från en myndighet som
bedriver verksamhet som avses i 1 § inom en kommun eller en region till annan sådan myndighet för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den
6. till ett nationellt eller regio-
nalt kvalitetsregister enligt patientdatalagen,
7. från en myndighet som
bedriver verksamhet som avses i 1 § inom en kommun eller en region till annan sådan myndighet för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den
7 Senaste lydelse 2022:916.
enskilde eller någon närstående till den enskilde lider men om uppgiften röjs, eller
6. till en enskild enligt vad
som föreskrivs i
enskilde eller någon närstående till den enskilde lider men om uppgiften röjs, eller
8. till en enskild enligt vad
som föreskrivs i
– lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål,
– lagen (1991:1129) om rättspsykiatrisk vård, – lagen (1995:831) om transplantation m.m., – smittskyddslagen (2004:168), – 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m., – lagen (2006:496) om blodsäkerhet, – lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler,
– lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ eller förordning som har meddelats med stöd av den lagen, eller
– 2 kap. lagen (2017:612) om samverkan vid utskrivning från sluten hälso- och sjukvård.
Denna lag träder i kraft den 1 januari 2025.
1.4. Förslag till förordning om vidareanvändning av patientdata i precisionsmedicinsk databas (0000:00)
Härigenom föreskrivs följande.
Inledande bestämmelser
1 § I denna förordning finns föreskrifter som ansluter till 6 kap. patientdatalagen (2008:355).
De ord och benämningar som används i förordningen har samma betydelse som i den nämnda lagen.
2 § Denna förordning är meddelad med stöd av 8 kap. 7 § regeringsformen.
Precisionsmedicinsk databas
3 § En precisionsmedicinsk databas ska tillgängliggöra personuppgifter för vården av en annan patient än den som uppgifterna avser.
Personuppgifterna i en precisionsmedicinsk databas får behandlas för de ändamål som anges i 6 kap. 5 § patientdatalagen (2008:355).
Samverkansregionala precisionsmedicinska databaser
4 § Endast en sådan regional myndighet inom hälso- och sjukvården som omfattas av en av de sex samverkansregioner för hälso- och sjukvård som anges i 3 kap. 1 § hälso- och sjukvårdsförordningen (2017:80) får inrätta och föra en precisionsmedicinsk databas enligt 6 kap. 10 § patientdatalagen (2008:355).
En samverkansregional precisionsmedicinsk databas får finnas i var och en av
1. samverkansregion Stockholm,
2. samverkansregion Linköping,
3. samverkansregion Lund/Malmö,
4. samverkansregion Göteborg,
5. samverkansregion Uppsala/Örebro eller
6. samverkansregion Umeå.
Precisionsmedicinsk databas inom den Nationella Genomikplattformen
5 § Hos en regional myndighet inom hälso- och sjukvården som ingår i Genomic Medicine Sweden får en precisionsmedicinsk databas inrättas och föras enligt 6 kap. 10 § patientdatalagen (2008:355) inom den Nationella Genomikplattformen.
Personuppgiftsansvar
6 § Endast den regionala myndighet som enligt 4 § inrättar och för precisionsmedicinsk databas får vara personuppgiftsansvarig för central behandling av personuppgifter i en precisionsmedicinsk databas enligt 6 kap. 7 § patientdatalagen.
7 § Den regionala myndighet som inrättar och för precisionsmedicinsk databas inom den Nationella Genomikplattformen enligt 5 § är personuppgiftsansvarig för central behandling av personuppgifter i databasen enligt 6 kap. 7 § patientdatalagen.
Urval och tillgängliggörande av personuppgifter till en precisionsmedicinsk databas
Samverkansregionala precisionsmedicinska databaser
8 § Vårdgivare som omfattas av en samverkansregion får endast tillgängliggöra personuppgifter till den precisionsmedicinska databas som finns i vårdgivarens samverkansregion.
9 § Vårdgivare som inte omfattas av en samverkansregion, men som bedriver hälso- och sjukvård med en region som huvudman, får tillgängliggöra personuppgifter till den samverkansregionala databas som huvudmannen omfattas av.
Precisionsmedicinsk databas inom den Nationella Genomikplattform
10 § Vårdgivare som ingår i Genomic Medicine Sweden får tillgängliggöra personuppgifter till den precisionsmedicinska databasen inom den Nationella Genomikplattformen.
Tillgång till personuppgifter precisionsmedicinsk databas
11 § Endast regionala myndigheter inom den samverkansregion där en samverkansregional precisionsmedicinsk databas förs får ges tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas i en samverkansregional precisionsmedicinsk databas.
12 § Endast de regionala myndigheter som ingår i Genomic Medicine
Sweden får ges tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas i den precisionsmedicinska databasen inom den Nationella Genomikplattformen.
Uppgiftslämnande
13 § Bestämmelser om sekretess inom allmän hälso- och sjukvårdsverksamhet finns i 25 kap. offentlighets- och sekretesslagen (2009:400).
Bestämmelser om tystnadsplikt inom enskild hälso- och sjukvårdsverksamhet finns i 6 kap.12, 13 och 16 §§patientsäkerhetslagen (2010:659).
Denna förordning träder i kraft den 1 januari 2025.
1.5. Förslag till förordning om ändring i patientdataförordningen (2008:360)
Härigenom föreskrivs i fråga om patientdataförordningen (2008:360)
att 2 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
2 §1
Socialstyrelsen får, efter att ha gett Integritetsskyddsmyndigheten tillfälle att yttra sig, meddela föreskrifter om verkställigheten av
1. tilldelning av behörighet för åtkomst till uppgifter som förs helt eller delvis automatiserat enligt 4 kap. 2 § patientdatalagen (2008:355) samt sådan tilldelning av behörighet vid sammanhållen vård- och omsorgsdokumentation enligt 4 kap. 3 § lagen (2022:913) om sammanhållen vård och omsorgsdokumentation,
1. tilldelning av behörighet för åtkomst till uppgifter som förs helt eller delvis automatiserat enligt 4 kap. 2 § och 6 kap. 17 § patientdatalagen (2008:355) samt sådan tilldelning av behörighet vid sammanhållen vård- och omsorgsdokumentation enligt 4 kap. 3 § lagen (2022:913) om sammanhållen vård och omsorgsdokumentation,
2. dokumentation och kontroll av elektronisk åtkomst enligt 4 kap. 3 § patientdatalagen samt dokumentation och kontroll av åtkomst vid sammanhållen vård- och omsorgsdokumentation enligt 4 kap. 4 § lagen om sammanhållen vård- och omsorgsdokumentation,
3. de krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst eller annat elektroniskt utlämnande som avses i 5 kap. 5 § patientdatalagen och i 4 kap. 2 § lagen om sammanhållen vård- och omsorgsdokumentation, och
4. den information som ska ges till patienten enligt 8 kap. 5 § patientdatalagen.
Denna förordning träder i kraft 1 januari 2025.
1 Senaste lydelse 2022:924.
2. Utredningens uppdrag och arbete
2.1. Inledning
I detta kapitel beskrivs utredningens uppdrag och bakgrund till uppdraget, utredningens tolkning och avgränsningar av uppdraget, vissa begrepp som används i betänkandet samt hur utredningen har bedrivit sitt arbete.
2.2. Övergripande om uppdraget
I direktiven anges att utredaren ska: – Analysera vilka möjligheter som, utifrån befintlig lagstiftning kring
offentlighet och sekretess, tystnadsplikt samt dataskydd, finns för att personuppgifter eller andra data från flera individer ska kunna användas för vård och behandling av andra enskilda individer samt för att sådana uppgifter ska kunna delas mellan olika aktörer som bedriver vård eller forskning och innovation eller bådadera. Analysen ska även innefatta en analys av den enskildes behov av skydd för den personliga integriteten. – Bedöma om det behövs författningsändringar för att möjliggöra
att personuppgifter eller andra data från flera individer ska kunna användas för vård och behandling av andra enskilda individer samt för att sådana uppgifter ska kunna delas mellan olika aktörer som bedriver vård eller forskning och innovation eller bådadera, samt i så fall lämna nödvändiga författningsförslag.
– Om det är nödvändigt med författningsändringar, särskilt redo-
göra för hur författningsförslagen förhåller sig till regleringar om offentlighet och sekretess, tystnadsplikt, dataskydd och till den enskildes behov av skydd för den personliga integriteten. – Analysera vilka möjligheter som, utifrån befintlig lagstiftning kring
offentlighet och sekretess, tystnadsplikt samt dataskydd, finns för att möjliggöra sekundäranvändning av hälsodata från hälso- och sjukvården för ändamålen forskning, utvecklings- och innovationsverksamhet, undervisning på akademisk nivå samt statliga och regionala och kommunala myndigheters beslutsfattande. Analysen ska även innefatta en analys av den enskildes behov av skydd för den personliga integriteten. – Bedöma om det behövs författningsändringar för att möjliggöra
sekundäranvändning av hälsodata från hälso- och sjukvården för ändamålen forskning, utvecklings- och innovationsverksamhet, undervisning på akademisk nivå samt statliga och regionala och kommunala myndigheters beslutsfattande, samt i så fall lämna nödvändiga författningsförslag. – Om det är nödvändigt med författningsändringar, särskilt redogöra
för hur författningsförslagen förhåller sig till regleringar om offentlighet och sekretess, tystnadsplikt och dataskydd, och till den enskildes behov av skydd för den personliga integriteten. – Redogöra för de konkreta tillämpningssvårigheter när det gäller
den befintliga regleringen av hälsodata som eventuellt framkommer under utredningens gång.
I uppdraget ingår inte att lämna förslag till bestämmelser som bryter statistiksekretessen eller förslag som riskerar att leda till att individdata lagras i egna databaser hos privata aktörer där vidareutnyttjandet inte kan kontrolleras. Det framgår även av direktiven att regeringen gör bedömningen att det inte är inom ramen för regleringen om nationella och regionala kvalitetsregister i 7 kap. patientdatalagen (2008:355), förkortad PDL, eller inom ramen för regler om registerbaserad forskning, som de behov som beskrivs i direktiven kan tillgodoses.
Bakgrunden till uppdraget framgår av direktivet. Direktivet hänvisar bland annat till regeringens nationella life science-strategi (N2019/03157) och regeringens datastrategi, Data – en underutnyttjad
resurs för Sverige (I2021/02739) där det framgår att dataområdet är under stor förändring samt vilka möjligheter nya data kan ge upphov till.
Direktivet hänvisar också till behovet av ändrad lagstiftning rörande sekundäranvändning av hälsodata för vård av annan än den enskilde, vilket är en förutsättning för nationell implementering av viss precisionsmedicin i Sverige.
Därtill lyfts att regeringen fått en rad synpunkter från olika samhällsaktörer om att regleringen av hälsodata är utdaterad och svårtillämpad. Riksdagen har i ett tillkännagivande till regeringen anfört att en översyn av patientdatalagen och annan relevant lagstiftning bör göras.1 Det är enligt riksdagen angeläget att lagstiftningen på området är anpassad till de krav som dagens teknik ställer, samtidigt som skyddet för den personliga integriteten värnas. Utredningens direktiv är indelade i tre delar, utredningen redogör för tolkningen av var och ett av dem under avsnitt 2.3, 2.4 och 2.5.
2.3. Tolkning av uppdraget om att skapa förutsättningar för sekundäranvändning av hälsodata för patientändamål
Den första delen av utredningens direktiv avser enligt rubriken sekundäranvändning av hälsodata för patientändamål. I denna del av utredningens direktiv är förutsättningarna för implementeringen av precisionsmedicin inom hälso- och sjukvården en central del. Kopplat till precisionsmedicin lyfts i direktiven frågan om utbyte av personuppgifter mellan olika aktörer för vård och behandling av andra enskilda individer. I denna del lyfts även delning av personuppgifter mellan olika aktörer som bedriver vård eller forskning och innovation eller bådadera.
Utredningen uppfattar att uppdraget i denna del först och främst avser vidareanvändning av personuppgifter för vårdändamål. Patienten i sig kan inte vara ett ändamål för personuppgiftsbehandlingen, utan det är enligt utredningens tolkning av uppdraget vården av patienten som är ändamålet för personuppgiftsbehandlingen. Däremot uppfattar utredningen att begreppet ”patientändamål” ger uttryck för att de nyttor av vidareanvändning som avses i denna del är av patientnära karaktär. Exakt var gränsen för detta går är inte möjligt att fastställa
1 Bet. hälso- och sjukvårdsfrågor 2018/19:SoU8 punkt 58, rskr. 2018/19:233.
och utredningen ser inte heller att det är av avgörande betydelse för utredningens uppdrag.
Utredningen tolkar vidare uppdraget i denna del som att rättsläget behöver analyseras med avseende på förutsättningarna att för vårdändamål behandla personuppgifter som avser en patient för vården av en annan patient. Det ingår även att utreda förutsättningarna för sådan behandling av personuppgifter mellan aktörer som bedriver hälso- och sjukvård. Utifrån att ändamålet är vård, uppfattar utredningen att de aktörer som kan avses är sjukvårdshuvudmän och vårdgivare. Utredningen uppfattar att det övergripande syftet med analysen och eventuella författningsförslag avseende vidareanvändning av personuppgifter för vårdändamål är att kartlägga de juridiska förutsättningarna för, samt vid behov lämna de författningsförslag som krävs, för att precisionsmedicin ska kunna implementeras inom svensk hälso- och sjukvård. För en beskrivning av precisionsmedicin, se avsnitt 11.4.1.
I utredningens författningsförslag formuleras ändamålet som be-
handling av personuppgifter för vården av en annan patient än den som personuppgifterna avser, se vidare avsnitt 14.4.1.
Utöver vårdändamålet, avser uppdraget i första delen av direktiven även ändamålen innovation och forskning. Utredningen har i denna del uppfattat att uppdraget avser situationer där vård, innovation och forskning sker parallellt med varandra. Personuppgifter samlas in och används primärt för vårdändamålet. Det finns även stora behov att kunna använda uppgifterna för utveckling, innovation och forskning. I dessa situationer kan det vara svårt att bedöma vilket det primära- respektive sekundära ändamålet är. Många gånger har det inte heller en praktisk betydelse för den registrerade.
2.4. Tolkning av uppdraget att lämna förslag som möjliggör utökad sekundäranvändning av hälsodata
Direktiven i den andra delen tar avstamp i att det generellt finns stor potential i de mängder hälsodata som finns lagrade inom hälso- och sjukvården och som kontinuerligt samlas in. I direktiven lyfts att det finns ett växande behov av användning av hälsodata för att kunna möta alltmer komplexa samhällsutmaningar och att en mer dynamisk datadelning skulle kunna möjliggöra mer effektiv och medborgar-
centrerad service och vård. Dessutom skulle det kunna öka förmågan att möta samhällsutmaningar och kriser med hjälp av datadrivna analyser och fördjupade kunskapsunderlag som kan ge bättre helhetsbilder i realtid. Det anges vidare att det i dag inte bedöms finnas tillräckliga rättsliga, organisatoriska eller tekniska förutsättningar när det gäller sekundäranvändning av hälsodata för att dessa data ska kunna komma till nytta för ändamål som forskning, utvecklings- och innovationsverksamhet, undervisning samt statliga och regionala myndigheters beslutsfattande. Utifrån detta ska utredningen analysera möjligheterna till sekundäranvändning av hälsodata från hälso- och sjukvården för de angivna ändamålen och bedöma om det behövs författningsändringar för att möjliggöra sådan sekundäranvändning.
Utredningen uppfattar att uppdraget redan i nu nämnda delar är mycket omfattande. Det kan tänkas omfatta förbättringar för hälso- och sjukvården, men också andra samhällsfunktioner. Det kan tänkas omfatta både aktörer inom hälso- och sjukvården (offentliga såväl som privata), som statliga, regionala och kommunala myndigheter och privata företag som kan ha nytta av att använda hälsodata från hälso- och sjukvården. Det rör sig om aktörer med olika uppdrag och verksamheter, som omfattas av olika regelverk.
För det fall utredningen lämnar författningsförslag, ska utredningen enligt direktiven särskilt redogöra för hur författningsförslagen förhåller sig till regleringar om offentlighet och sekretess, tystnadsplikt och dataskydd, och till den enskildes behov av skydd för den personliga integriteten. Utredningen konstaterar att detta i sig innebär omfattande analyser. Ju fler typer av aktörer som omfattas av förslagen, desto fler perspektiv och juridiska aspekter aktualiseras kopplat till dessa analyser.
Utredning noterar att ändamålen forskning och innovation återfinns såväl i denna del av utredningens direktiv som i första delen, avseende uppdraget beträffande sekundäranvändning av hälsodata för patientändamål, se ovan avsnitt 2.3. I direktiven kommenteras inte hur dessa eventuellt överlappar varandra. Utredningen uppfattar att det delvis kan finnas en överlappning avseende uppdragen rörande ändamålen forskning och innovation. Forskning och innovation inom eller med nära koppling till hälso- och sjukvården, där nyttorna realiseras nära patienten, skulle kunna tänkas omfattas av båda delarna i uppdragen. I direktiven framgår en bedömning att det i dag inte finns tillräckliga rättsliga, organisatoriska eller tekniska förutsättningar när det
gäller sekundäranvändning av hälsodata för att dessa data ska kunna komma till nytta för ändamål som forskning, utvecklings- och innovationsverksamhet, undervisning samt statliga och regionala myndigheters beslutsfattande. Utredningens tolkning av de utpekade ändamålen i direktivens andra del redogörs för, var för sig, nedan.
2.4.1. Forskning
Av direktiven framgår ingen begränsning av vilken typ av forskning som omfattas. Det framgår dock att det är forskning som kräver tillgång till hälsodata. Utredningens bedömning är att det finns olika typer av forskning när det kommer till hälsodata. Det innebär att en mängd olika juridiska aspekter kan aktualiseras. I kapitel 6 beskriver utredningen viktiga begrepp och regelverk inom sådan forskning som utredningen tolkar är av vikt för utredningens arbete. En av utgångspunkterna för utredningens uppdrag beskrivs i direktiven vara life science-strategin. Det framgår även i direktiven att svensk medicinsk forskning och life science ska ligga i framkant för att Sverige ska vara internationellt konkurrenskraftigt inom området. Enligt Vetenskapsrådets definition syftar medicinsk forskning till att öka grundläggande kunskaper om hur celler och vävnader fungerar och interagerar, samt till att bidra till att förbättra och utveckla läkemedel, vård- och behandlingsmetoder och medicintekniska produkter.2 Det här tolkar utredningen som att forskningen som avses i direktiven sannolikt avser sådan hälsodata som utgörs av personuppgifter. När hälsodata utgörs av personuppgifter aktualiseras särskilda bestämmelser i dataskyddsförordningen. En möjlig tolkning av direktiven är att det först och främst avser forskning som stärker hälso- och sjukvården och att forskningen då utgår från hälsodata som utgörs av personuppgifter. Utredningen anser dock att det inte går att utesluta en bredare tolkning. Annan forskning kan vara forskning kring exempelvis trafiksäkerhet som indirekt kan påverka hälso- och sjukvården. Det här innebär att det är svårt att sätta en yttre gräns för vilken forskning som skulle kunna omfattas av utredningens direktiv.
Även om tolkningen av vilken forskning som ska omfattas begränsas till att primärt avse forskning som stärker hälso- och sjuk-
2 https://www.vr.se/uppdrag/klinisk-forskning/definitioner-av-begrepp-inom-medicinskoch-klinisk-forskning.html (Hämtat 2023-10-05).
vården, innebär sådan forskning att det finns behov som kräver flera olika juridiska perspektiv att ta hänsyn till.
2.4.2. Utveckling och innovation
I utredningens direktiv definieras utvecklings- och innovationsverksamhet som utvecklingen och implementeringen av nya eller förbättrade produkter, processer eller tjänster genom användning av tekniska uppgifter, affärsinformation och annan befintlig kunskap tillsammans med sekundäranvändning av person-uppgifter från hälso- och sjukvården.
Utredningens bedömning är att det finns olika typer av utveckling när det kommer till hälsodata. Det finns utveckling inom vården som är direkt kopplad till vården av patienterna och omfattas av sådan utveckling som anges i 2 kap. 4 § 4 PDL. Sedan finns utveckling som indirekt påverkar vården. Detta kan röra exempelvis utveckling av fastighetsskötsel eller annat, så som underhåll av ramper. Ett utvecklingsarbete på detta område skulle exempelvis kunna vara att ersätta en ramp med en hiss. Utredningen bedömer att denna typ av utveckling inte är den typ av utveckling som avses i utredningens direktiv. Däremot är det en övergående skala från denna typ av utveckling till den utveckling som är nära kopplad till patienten. Slutligen finns utveckling som indirekt kan påverka vården men som kan ha en annan typ av koppling till vården. Exempelvis har ett läkemedels- eller medicinteknikföretag närmre koppling till hälso- och sjukvården än en biltillverkare som tillverkar krockkuddar. Det går att argumentera för att båda utvecklar produkter som kopplar till hälsa, men utredningen bedömer att utveckling av produkter som ska användas i sjukvården för vård av patienter har en närmare koppling till vården än exempelvis krockkuddar och säkerhetsbälten. Utredningens arbete har i första hand utgått ifrån behovet i vårdens kärnverksamhet och i andra hand utgått ifrån behovet för life science sektorn och vårdens kringverksamhet. Utveckling för övriga sektorer har utredningen tagit hänsyn till i sista hand eftersom deras behov bedömts vara minst i förhållande till de andra.
Vad gäller begreppet innovation så är det inget begrepp som finns definierat i den svenska lagstiftningen. I den finska lagen för sekundäranvändning finns innovation som ett eget ändamål. Utredningen
har varit i kontakt med Findata3 angående hur innovation används i praktiken och hur det skiljer sig mellan forskning och utveckling. Deras bedömning var att innovationsbegreppet är svårt att använda och att datauttag många gånger görs som forskning i stället eftersom det ofta ger tillgång till mer hälsodata och därför också möjliggör för fler typer av analyser.4 Utredningen har därför tolkat att själva begreppet innovation kan ses som utveckling eller utveckling med mer verkshöjd.
2.4.3. Utbildning på akademisk nivå
Av direktiven framgår ingen tydlig avgränsning av vilken typ av utbildning på akademisk nivå som omfattas. Det framgår dock att det är sådan utbildning på akademisk nivå som i förlängningen förväntas stärka hälso- och sjukvården. Det finns olika typer av akademisk undervisning som i förlängningen kan förväntas stärka hälso- och sjukvården. Utredningens tolkning av behoven är att det främst rör blivande vårdpersonal som läkarstudenters tillgång till hälsodata när de gör praktik eller när de skriver sin examensuppsats. Utredningen tolkar även direktiven som att andra yrkeskategorier kan ha liknande behov under förutsättning att de behöver så kallad vårdförlagd utbildning under sin akademiska utbildning. Utredningen konstaterar att begreppen primär- och sekundäranvändning skapar vissa utmaningar i sammanhanget.
Avseende till exempel läkarstudenters examensuppsatser skrivs dessa, som utredningen förstått det, många gånger under primärändamålet utveckling, ur vårdgivarens perspektiv. Samtidigt är det primära ändamålet utbildning för studenten och lärosätet. Utredningens uppfattning att det oftast handlar om två parallella primära ändamål snarare än ett primärt och ett sekundärt.
När det kommer till läkarstudenters praktik eller så kallad vårdförlagd utbildning så skapar uppdelningen mellan primär- och sekundäranvändning också problem. Den primära anledningen till att studenten gör praktik är utbildning sett ur studentens och lärosätets perspektiv. Ur vårdgivarens eller patientens perspektiv är det primära syftet vård.
3 Findata är en finsk tillståndsmyndigheten som utfärdar tillstånd för sekundäranvädning av hälsodata. 4 Möte med THL 2022-10-21.
Utredningen har konstaterat att utbildning på akademisk nivå är ett ändamål som återfinns i den finska lagstiftningen om sekundäranvändning. Utredningens tolkning är att den finska lagstiftningen fungerat som förebild vid framtagandet av direktiven och att det är en av anledningarna till att utredningen haft i uppdrag att utröna vilka behoven av hälsodata som finns inom utbildning på akademisk nivå. Utredningen konstaterar sammanfattningsvis att det är komplext att tolka behoven ur enbart ett sekundäranvändningsperspektiv.
2.4.4. Myndigheters beslutsfattande
Av direktiven framgår ingen begränsning av vilken typ av myndigheters beslutsfattande som omfattas, mer än att kommunala, regionala och statliga myndigheter listas. Det framgår däremot att det är sådant beslutsfattande som kräver tillgång till hälsodata. Det här innebär att uppdraget kan omfatta oerhört många typer av beslut och sannolikt lika många juridiska aspekter och perspektiv. Utredningens bedömning av ändamålet statliga, regionala och kommunala myndigheters beslutsfattande är att regeringen önskat driva på utvecklingen där hälsodata används i större utsträckning för att fatta välgrundade beslut. Utredningens tolkning vad gäller kommunala och regionala myndigheter är att de sannolikt bör begränsas till att omfattas av sådana myndigheter som bedriver vård. Utredningens bedömning är att det finns en tydlig skillnad mellan behoven av hälsodata för kommunala eller regionala myndigheter i form av vårdgivare jämfört med till exempel statliga myndigheter. Gemensamt är dock att alla kan behöva hälsodata för att fatta vissa av sina beslut. Kommunala och kanske framför allt regionala vårdgivare har behov av hälsodata för att fatta beslut på macro- meso- och micronivå. Med macronivå avser utredningen exempelvis vårdbehov som en regionledning kan behöva fatta beslut kring.
Med mesonivå avser utredningen exempelvis vårdplanering för enskilda sjukhus. Med micronivå avser utredningen enskilda kliniker eller enskilda personers användning av hälsodata i enskilda patientmöten.
I korthet har utredningen bedömt att statliga myndigheter framför allt har registerförfattning att använda som grund för beslutsfattande när det rör hälsodata som utgörs av personuppgifter som behövs för beslutsfattandet. För kommunala och regionala vårdgivare
som kräver tillgång till hälsodata som utgörs av personuppgifter för sina beslutsfattande tillämpas PDL. Utredningens egen uppfattning om hur behoven bör tillgodoses omhändertas i avsnitt 2.7.8.
Utredningens bedömning är att vissa aspekter omhändertas inom utredningens författningsförslag som avser vårdändamålet. Vid personuppgiftsbehandling som avser vård av annan än den personuppgifterna avser, utgör de nya möjligheterna som följer av utredningens författningsförslag, en form av beslutsstöd. Beslutsfattande som behöver fattas som direkt rör vård av patienter bör, till viss del, enligt utredningens uppfattning omhändertas inom utvecklingsändamålet. Den bedömningen gör utredningen utifrån att slutsatser som kan dras vid utveckling av vården bör kunna ligga till grund för nya beslut i framtiden.
Övriga behov handlar, enligt utredningens bedömning, sannolikt ofta om tillgång till hälsodata på aggregerad nivå som efterfrågas när det gäller olika myndigheters beslutsfattande. Utredningen tolkar därför direktiven som att det ges uttryck för att det främst saknas organisatoriska och tekniska möjligheter för att kunna använda hälsodata för dessa myndigheters beslutsfattande.
2.4.5. Frågan om inrättande av en nationell datahubb
Bedömning: Enligt direktiven ska utredningen säkerställa att de
förslag som lämnas är förenliga med målsättningen att inom ramen för en befintlig myndighet inrätta en teknisk och organisatorisk funktion för säker och effektiv delning av hälsodata. Utredningen har tolkat uppdraget som att det inte omfattar att lämna förslag på inrättande av en nationell datahubb vid en myndighet eftersom det skulle kräva omfattande och genomgripande författningsförslag som inte skulle ge utrymme åt utredning av de ändamål som uttryckligen anges i direktiven. Utredningen resonerar däremot så långt det är möjligt utan att lämna författningsförslag i kapitel 19–21 om införande av en sådan nationell datahubb. Resonemangen i dessa kapitel utgörs av bedömningar som efter ytterligare utredning kan leda till författningsförslag.
I utredningen direktiv anges att uppdraget omfattar att säkerställa att de förslag som lämnas är förenliga med målsättningen att inom ramen för en befintlig myndighet inrätta en teknisk och organisatorisk
funktion för säker och effektiv delning av hälsodata, i likhet med Findata i Finland eller andra liknande strukturer i andra länder. Utredningen noterar också att det finns stora likheter mellan de ändamål som omfattas av utredningens uppdrag avseende utökade möjligheter till sekundäranvändning av hälsodata och de ändamål som omfattas av den finska sekundäranvändningslagen. Vidare anges i direktiven att för att förbättrade rättsliga möjligheter till sekundäranvändning av hälsodata ska kunna få verkligt genomslag behöver dessa förbättringar framöver kunna kompletteras med bättre tekniska, kompetensmässiga och organisatoriska funktioner för den faktiska datadelningen. Dessa faktorer är också förutsättningar för att Sverige ska kunna vara en del av det europeiska hälsodataområdet. En möjlighet är att en befintlig myndighet görs ansvarig för att möjliggöra datadelning i likhet med Findata i Finland. Utredningen har utifrån detta haft anledning att ta ställning till hur långt utredningens förslag ska gå.
Utredningen uppfattar att uppdraget omfattar att kartlägga och analysera strukturer för datadelning i andra länder. Utredningen har tolkat detta som strukturer som följer av delen av förslagen till Europeiska kommissionens förslag till Europaparlamentets och Rådets förordning om ett europeiskt hälsodataområde, COM(2022) 197 final av den 3 maj 2022, förkortat förslaget till EHDS, som avser sekundäranvändning. Utredningen redogör för detta i kapitel 10. Utredningen uppfattar även uppdraget att se över just juridiska utmaningar med dagens lagstiftning. Utredningen har dock inte tolkat uppdraget som att det omfattar att lämnar förslag på inrättande av en nationell datahubb vid en statlig myndighet. Denna bedömning gör utredningen bland annat för att det inte uttryckligen står i direktivet. Att inrätta en nationell datahubb är ett mycket omfattande arbete och om regeringen hade velat att utredningen gjorde det så utgår utredningen från att det tydligt framgått av direktiven och att tydliga tekniska specifikationer skulle angetts. Utredningens uppfattning är även att utredningstiden skulle varit anpassad efter ett sådant uppdrag om det skulle ingått i uppdraget. Det hade inte varit möjligt för utredningen att både utreda rättsliga förutsättningar för de uttryckliga ändamålen som anges i direktiven parallellt med en så stor fråga som etableringen av en nationell datahubb med de angivna tidsramarna. Utredningen tolkar skrivelsen om att förslagen ska vara förenliga med målsättningen som att regeringen har en sådan målsättning men att regeringen har för ambition att först uttryckligen peka ut lämplig statlig myndighet
och att regeringen kommer återkomma i denna fråga. Utredningen bedömer vidare att det är rimligt att regeringen medvetet avvaktat med att uttryckligen skriva ut ett uppdrag om att reglera upp en nationell datahubb eftersom stora delar av en sådan datahubb sannolikt kommer påverkas av förslaget till EHDS. Av den anledningen bedömer utredningen att det är lämpligt att etableringen av en nationell datahubb utreds när regeringen vet mer om hur den slutliga förordningen kommer att se ut. Frågor som tekniska möjligheter, infrastruktur, it och informationssäkerhet behöver ses över med ett samlat grepp för att se vad som är möjligt att genomföra. Detta är frågor som utredningen inte haft möjlighet eller kompetens att se över. För att arbetet med att etablera en nationell datahubb ska bli så effektivt som möjligt behöver regeringen först peka ut lämplig statlig myndighet för att sedan utreda vilka rättsliga förutsättningar just den myndigheten skulle ha för uppdraget.
Utredningen har därför valt att fokusera på att skapa ett så bra underlag som möjligt för regeringen i dess arbete att ta fram en nationell datahubb, se kapitel 19–21 och bilaga 4.
2.5. Tolkning av uppdraget att redogöra för tillämpningssvårigheter gällande befintlig reglering
Enligt utredningens direktiv har utredningen i uppdrag att redogöra för eventuella tillämpningssvårigheter när det gäller befintlig reglering av hälsodata. Syftet med detta anges i direktivet vara att konkretisera vilka problem som finns och på så sätt underlätta regeringens fortsatta arbete på hälsodataområdet. Utredningen tolkar denna del av uppdraget som att regeringen konstaterar att behoven är många på hälsodataområdet och att utredningen inte kan förväntas lämna förslag på alla behov och problem som identifieras under utredningens gång. Utredningen avser därför redogöra för vilka utmaningar och behov som behöver ses över och vad det är för tillämpningssvårigheter som behöver utredas vidare för att kunna komma till rätta med problemen. Utredningen har valt att dela upp denna del i två delar för att på ett pedagogiskt sätt kunna hjälpa regeringen på bästa sätt med de resurser och den kompetens som utredningen haft tillgänglig. Den första delen rör behov som utredningen bedömer helt eller delvis kan lösas med
hjälp av en nationell datahubb (kapitel 19–21). Den andra delen rör frågor för fortsatt utredning som utredningen bedömer inte helt eller delvis går att lösa med hjälp av en nationell datahubb (kapitel 22–23).
2.6. Begrepp som påverkar tolkningar och avgränsningar av uppdraget
2.6.1. Definition av hälso- och sjukvården
Hälso- och sjukvården i utredningens direktiv
Hälso- och sjukvården är central i utredningens direktiv. Uppdraget att skapa förutsättningar för sekundäranvändning av hälsodata för patientändamål/vårdändamål har huvudfokus på hälso- och sjukvården, se vidare avsnitt 2.3. Uppdraget avseende utökade möjligheter till sekundäranvändning av hälsodata för forskning, utvecklings- och innovationsverksamhet, undervisning på akademisk nivå samt statliga och regionala och kommunala myndigheters beslutsfattande avser hälsodata ”från hälso- och sjukvården”.
Direktiven ger också uttryck för att det först och främst är i hälso- och sjukvården som nyttan av sekundäranvändningen ska realiseras. I direktiven talas om hälsodata som nationell resurs för framtidens hälso- och sjukvård och att sekundäranvändning för angivna ändamål förväntas stärka hälso- och sjukvården. I den inledande sammanfattningens av uppdraget anges att syftet med uppdraget är att utveckla möjligheterna till sekundäranvändning av hälsodata för att direkt eller indirekt stärka hälso- och sjukvården.
Utredningen noterar att det i direktiven saknas en definition av hälso- och sjukvården. Det anges inte heller vad som närmare avses med hälsodata ”från” hälso- och sjukvården. I det följande redogörs för hur utredningen definierar hälso- och sjukvården samt hur utredningen tolkar formuleringen ”från hälso- och sjukvården”.
Hälso- och sjukvård i lagstiftningen
Hälso- och sjukvård definieras i olika lagar. Definitionerna skiljer sig något åt.
Enligt hälso- och sjukvårdslagen (2017:30), förkortad HSL, avses med begreppet hälso- och sjukvård åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador, sjuktransporter, och omhändertagande av avlidna (2 kap. 1 § HSL).
Tillämpningsområdet för patientdatalagen (2008:355), förkortad, PDL är vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal. Förutom verksamhet enligt hälso- och sjukvårdslagen omfattar PDL även verksamheter i ett antal andra uppräknande lagar. Dessa är tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter, lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar samt den upphävda lagen (1944:133) om kastrering (1 kap. 3 § PDL).
I lag (2022:913) om sammanhållen vård- och omsorgsdokumentation, förkortad SVOD, definieras hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering (1 kap. 1 § SVOD).
Enligt biobankslag (2023:38) avses med hälso- och sjukvård verksamhet som omfattas av hälso- och sjukvårdslagen (2017:30) eller tandvårdslagen (1985:125).
Utredningens definition av hälso- och sjukvård
Utredningen konstaterar att det finns legaldefinitioner av hälso- och sjukvård. Utredningen anser att det är lämpligast att ansluta sig till en sådan befintlig definition av hälso- och sjukvård. Mot bakgrund
av att utredningens författningsförslag avser vidareanvändning av personuppgifter från hälso- och sjukvården utgår utredningen från tillämpningsområdet för PDL och därmed från definitionen av hälso- och sjukvård i den lagen. Vilka verksamheter som omfattas av utredningens förslag framgår av avsnitt 2.8. Det är vårdgivares behandling av personuppgifter enligt PDL som är utredningens utgångspunkt.
När det i utredningens direktiv anges ”vården”, tolkar utredningen det som att det är svensk hälso- och sjukvård som avses.
Socialtjänsten omfattas inte av hälso- och sjukvården, se vidare nedan avsnitt 2.7, Utredningens avgränsning av uppdraget.
Hälsodata ”från” hälso- och sjukvården omfattar enligt utredningens tolkning hälsodata som finns lagrad inom hälso- och sjukvården. Formulerat utifrån PDL:s tillämpningsområde får förstås personuppgifter som behandlas av vårdgivare inom hälso- och sjukvården (se 1 kap. 1 PDL). Utifrån tryckfrihetsförordningens (1949:105), förkortad TF, terminologi avser det hälsodata i handlingar som förvaras hos en myndighet som bedriver hälso- och sjukvård (se 2 kap. 3, 4 och 6–8 §§ TF).
Hälsodata från hälso- och sjukvården skulle också kunna tänkas avse hälsodata som producerats inom hälso- och sjukvården men som även finns hos andra aktörer. Till exempel rapporterar vårdgivare in data till statliga myndigheter, såsom Socialstyrelsen och Läkemedelsverket.
2.6.2. Begreppet hälsodata
Utredningens uppdrag avser enligt direktiven uteslutande sekundäranvändning av hälsodata. I direktiven definieras hälsodata med anknytning till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad EU:s dataskyddsförordning. Med hälsodata avses enligt direktiven en dokumenterad personuppgift som rör en persons
fysiska eller psykiska hälsotillstånd i bred bemärkelse och som utgör känsliga personuppgifter enligt EU:s dataskyddsförordning.
Utredningen noterar att begreppet hälsodata används allt oftare i olika sammanhang, vilket bland annat framgår av utredningsdirek-
tiven. Begreppet används av olika aktörer och dess innebörd varierar. Utredning konstaterar att begreppet inte har någon rättslig definition och att det inte heller i andra sammanhang har en entydig definition. I avsnitt 19.2 berörs också hälsodataområdets komplexitet.
Utredningen använder begreppet ”data” i meningen dokumenterad information (se avsnitt 3.2). Data är typiskt sett information i digitalt format, men kan också avse information som dokumenterats på annat sätt.
Infallsvinklar på begreppet hälsodata
En möjlig infallsvinkel på begreppet hälsodata är att knyta an till vad som utgör känsliga personuppgifter enligt EU:s dataskyddsförordning. Begreppet skulle då i vart fall omfatta uppgifter om hälsa enligt artikel 9.1. Om begreppet ska omfatta ”fysiska eller psykiska hälsotillstånd i bred bemärkelse”, såsom anges i direktiven, skulle det sannolikt också behöva omfatta genetiska uppgifter enligt samma bestämmelse i dataskyddsförordningen. En liknande typ av definition som anknyter till uppgifterna som sådana kopplat till en individ, är den som Kommittén för teknologisk innovation och etik, KOMET, har valt i sin rapport om samtycke inom vård och inom medicinsk forskning. I rapporten definieras hälsodata som ”en dokumenterad uppgift som rör en persons fysiska eller psykiska hälsotillstånd”.5
En sådan definition skulle dock utesluta data som inte är personuppgifter enligt EU:s dataskyddsförordning. Den synliggör inte heller andra juridiska perspektiv som kan finnas, till exempel sekretess.
Ett annat sätt att närma sig begreppet hälsodata är att försöka beskriva vad det är för typ av information. Hälsodata kan då kort och gott beskrivas som data kopplade till människors hälsa (se prop. 2022/21:60, s. 81). Ett liknande, men mer konkret sätt att förhålla sig till hälsodata, är att ange vilken typ av uppgifter som menas med tillhörande exempel. Detta sätt används också huvudsakligen i Socialstyrelsens rapport Kartläggning av datamängder av nationellt
intresse på hälsodataområdet – delrapport6 I rapporten beskrivs typer
av hälsodata enligt följande:
5 Komet beskriver 2019:07. Samtycke inom vård och medicinsk forskning, s. 3. 6 Kartläggning av datamängder av nationellt intresse på hälsodataområdet – delrapport, Nationellt tillgängliga hälsodata för en datadriven hälso- och sjukvård, forskning och innovation (2022-3-7781).
- Vårddata; exempelvis diagnoser, vårdåtgärder, läkemedelsanvändning, laboratoriesvar, bildanalys, enkäter, skattningsskalor, med mera inom vård och omsorg, tandvård eller socialtjänstens områden.
- Livsstilsdata; kost, fysisk aktivitet, alkohol, narkotika, dopning, tobak och spel, livskvalitet, med mera.
- Biologiska data; ålder, fenotyp, mikrobiomarkörer, vävnader, biometrisk information, genomik med mera.
- Socioekonomiska data; socialförsäkringsdata, yrke, utbildning, inkomst, demografiska data (bostadsområde, folkbokföringsadress, födelseland) med mera.
- Organisatoriska; sjukvårdssystem (organisatoriska, geografiska, ekonomiska data om verksamheter och personal till exempel yrke och utbildningsnivå, arbetsställe, med mera), produktregister.
- Miljödata; luft, vatten, boendemiljö, utemiljöer för barn med mera.
- Aggregerad information; beteenderelaterade mönster som resmönster, sökmönster (till exempel rådgivning, 1177, 112) med mera.
Ovan nämnda data kan många fall utgöra personuppgifter och även känsliga personuppgifter enligt EU:s dataskyddsförordning, men de måste inte alltid måste vara det. Hälsodata enligt detta synsätt är alltså bredare än den möjliga definitionen enligt utredningens direktiv som har anknytning till EU:s dataskyddsförordning.
Ett principiellt annat sätt att förhålla sig till begreppet hälsodata är att koppla begreppet till data i en viss verksamhet eller aktör, det vill säga var informationen finns. Hälsodata skulle då kunna definieras utifrån aktörer som bedriver verksamhet där det samlas in och registreras typer av hälsodata, till exempel vårddata och biologiska data. Sådana aktörer kan vara vård- och omsorgsgivare. Hälsodata kan utifrån detta beskrivas som data inom hälso- och sjukvården eller socialtjänsten.
Det går också att kombinera en beskrivning av informationen med var den finns, till exempel biologiska data, vårddata och livsstilsdata som genereras inom hälso- och sjukvården och omsorgen.7I Socialstyrelsens rapport ovan beskrivs vårddata i sig som information inom vård och omsorg, tandvård eller socialtjänstens områden.
7 Se för ett sådant angreppssätt, E-hälsomyndighetens förstudie om ett statligt, nationellt datautrymme för bilddiagnostik (S2021/03122), s. 147.
En definition med koppling till hälsodata som innehåller både typ av information som avses samt var den finns, i kombination med en koppling till EU:s dataskyddsförordning, finns förslaget till EHDS. I förslaget till EHDS definieras personliga e-hälsodata som uppgifter om hälsa och genetiska uppgifter enligt definitionen i EU:s dataskyddsförordning, samt uppgifter som avser bestämningsfaktorer för hälsa, eller uppgifter som behandlas i samband med tillhandahållande av hälso- och sjukvårdstjänster, och som behandlas i elektroniskt format (se artikel 2.2 a) i förslaget till EHDS).
Utredningens beskrivning av hälsodata
Utredningen använder begreppet hälsodata med innebörden dokumen-
terad information som avser vårddata, biologiska data, eller livsstilsdata.
Motivering till utredningens beskrivning är att utredningen anser att en beskrivning av hälsodata inte bör grundas i något regelverk. Det regelverk som i och för sig skulle ligga närmast till hands, utifrån att det har störst generell tillämplighet, är EU:s dataskyddsförordning. Om en definition av hälsodata ska göras utifrån ett regelverk, bör det enligt utredningens mening knyta an till EU:s dataskyddsförordning och utformas i linje med den definition som finns i utredningens direktiv. Hälsodata behöver dock inte alltid vara personuppgifter enligt dataskyddsregelverket. Det kan också vara så att ett så kallat dataset innehåller både information som är personuppgifter och som inte är det, eller inte längre är det. I ett dataset finns ofta en mängd variabler, där vissa utgörs av personuppgifter, andra inte. Några variabler kan utgöra personuppgifter först när de kombineras. Samtidigt finns andra regelverk som också kan vara tillämpligt på hälsodata, såsom sekretessregler. Utredningen ser därför ett behov av att frikoppla beskrivningen av hälsodata från olika potentiellt tillämpliga regelverk. Dessa kan i stället appliceras på den beskrivning som utredningen föreslår.
Förklaring till beskrivningen
Utredningen ser ett behov av en generell beskrivning av hälsodata som är praktiskt användbar för att belysa vilken typ av information som omfattas av begreppet. Utgångspunkten bör därför vara en be-
skrivning som anger vissa typer av information. Beskrivningen bör vara användbar och begriplig för både praktiker och jurister.
En omfattande eller allmänt hållen beskrivning av informationstyper har fördelen att den inte skapar gränsdragningsproblem. En sådan beskrivning tenderar dock att bli intetsägande och inte tillföra något av värde. Begreppet bör därför enligt utrednings uppfattning avgränsas på något sätt. Utredningens ambition har varit att ringa in det centrala och hitta kärnan i den information som bör anses vara hälsodata. Utredningen har därför övervägt olika sätt att avgränsa innebörden av begreppet hälsodata. Utredningen noterar en principiell skillnad mellan data om hälsa som härrör från individen och data som avser utifrån kommande faktorer som kan påverka människors hälsa. Exempel på data som härrör från individen är diagnos, biologisk ålder och personens arvsmassa, medan luftföroreningar eller socioekonomi inte härrör direkt från individen. Data som avser faktorer som kommer utifrån bör enligt utrednings mening inte ingå i en beskrivning av hälsodata, eftersom dessa snarare är faktorer som samvarierar med en persons hälsa eller på annat sätt indirekt säger något om en persons hälsa. Exempelvis går det att göra antaganden om att personer som utsatts för en viss typ av luftföroreningar på gruppnivå kommer ha sämre hälsa, men den hälsodata som direkt kopplar till individen är information om ett hälsotillstånd, som kan eller inte kan uppstått till följd av luftföroreningarna.
Utredningen konstaterar även att det finns en skiljelinje mellan information som i sig avser en individs hälsa och information om faktorer som är bestämmande för en individs hälsa, så kallade bestämningsfaktorer för hälsa (se artikel 2.2 a) i förslaget till EHDS). Bestämningsfaktorer för hälsa är exempelvis yrke, utbildning och sjukvårdssystem. Dessa faktorer kan påverka individens hälsa och ha betydelse för folkhälsan i stort. En beskrivning som omfattar även bestämningsfaktorer för hälsa riskerar dock att bli så vid att i princip vilka faktorer som helst ingår. Utredningen anser att en sådan beskrivning inte skulle bli särskilt praktiskt användbar. Avseende betydelsen av vårddata, biologiska data och livsstilsdata ansluter sig utredningen till den betydelse som anges i Socialstyrelsens rapport
Kartläggning av datamängder av nationellt intresse på hälsodataområdet
– delrapport8 Vårddata avser enligt utredningens tolkning av del-
rapporten all data om en individ inom områdena hälso- och sjukvård, omsorg, tandvård och socialtjänst. Det här innebär att utredningens uppfattning är att vissa uppgifter, som enligt Socialstyrelsens delrapport, kategoriseras som biologiska data eller livsstilsdata även utgör vårddata. Därutöver anser utredningen att även andra uppgifter, som yrke, bör omfattas av begreppet hälsodata när de finns inom områdena hälso- och vård och omsorg, tandvård eller socialtjänst. När vissa uppgifter som exemplet yrke inte finns inom dessa områden utgör de därför inte hälsodata, enligt utredningens uppfattning.
Utredningen ser ett behov av att definitionen ska belysa vilken typ av information som omfattas av begreppet. Utredningen anser att information om hälsa som härrör från individen är en rimlig avgränsning för att begreppet ska bli praktiskt användbart. På utredningens beskrivning av hälsodata kan olika aspekter läggas, exempelvis tillägg eller precisering av aktörer eller typ av verksamhet. Även olika rättsliga aspekter kan adderas till beskrivningen. Exempelvis kan man tala om hälsodata hos vårdgivare eller hälsodata som sekretessbelagda uppgifter eller uppgifter som omfattas av tystnadsplikt. På samma principiella sätt kan även utredningens författningsförslag beskrivas. Utrednings författningsförslag avser, på datahållarsidan, hälsodata i form av personuppgifter som finns inom hälso- och sjukvården, se avsnitt 2.7.
2.6.3. Begreppet patientdata
Enligt 1 kap. 1 § PDL ska PDL tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Begreppet patientdata definieras inte och förekommer inte alls i själva lagen. Utredningen konstaterar att det saknas en rättslig definition av patientdata. Däremot kan det konstateras att PDL reglerar vårdgivares personuppgifter inom hälso- och sjukvården och att lagen i tillämpliga delar även uppgifter om avlidna personer. Det vore därför rimligt att anta att begreppet patientdata avser personuppgifter, men att begreppet omfattar mer än personuppgifter enligt dataskyddsförordningen som inte är tillämplig på avlidna. Vad som avses med inom hälso- och sjuk-
8 Kartläggning av datamängder av nationellt intresse på hälsodataområdet – delrapport, Nationellt tillgängliga hälsodata för en datadriven hälso- och sjukvård, forskning och innovation (2022-3-7781), s. 13.
vården kan sannolikt kopplas till de bestämmelser lagen anger om
vårdgivares skyldighet att föra patientjournal. I PDL finns regler om journalföring som i stora delar fördes över oförändrade från 1985 års patientjournallag.9
En grundläggande bestämmelse föreskriver att det vid vård av patienter finns en skyldighet att föra patientjournal (se 3 kap. 1 § första stycket PDL). Syftet med att föra patientjournal är i första hand att bidra till en god och säker vård av patienten (3 kap. 2 § första stycket PDL). Av 3 kap. 2 § andra stycket PDL framgår att patientjournalen även är en informationskälla för patienten, uppföljning och utveckling av verksamheten, tillsyn och rättsliga krav, uppgiftsskyldighet enligt lag samt forskning.
I förarbetena till PDL anförs att patientjournalen i första hand är ett arbetsinstrument för hälso- och sjukvårdspersonalen. Vidare anförs att journalens grundläggande syfte är att tillgodose patientens intresse av en god och säker vård. Journalen kommer emellertid även fortsatt att ha betydelse inte bara för patienten själv utan även som till exempel underlag vid verksamhetsuppföljning, kontroll och tillsyn eller i rättsliga sammanhang samt som källmaterial vid forskning och kvalitetssäkring. För att detta ska tydliggöras i den föreslagna ramlagstiftningen ansåg regeringen att en bestämmelse om syftet med journalföringen skulle införas (prop. 2007/08:126, s. 89–90).
Skyldigheten att föra patientjournal är kopplat till hälso- och sjukvårdspersonalens medicinska yrkesansvar (se prop. 2007/08:126, s. 81). Utgångspunkten är att den som enligt 4 kap. patientsäkerhetslagen (2010:659) har legitimation eller särskilt förordnande för att utöva ett visst yrke har skyldighet att föra patientjournal (3 kap. 3 § 1 PDL). Därutöver finns skyldighet att föra patientjournal för vissa andra yrkeskategorier, utan att dessa innehar legitimation för yrket (se 3 kap. 3 § 2–4 PDL). I äldre förarbeten pekas den medicinska ledning ut som ytterst ansvarig för att personalen fullgör sina skyldigheter, däribland journalföringen (se prop. 1984/85:189, s. 26). Numera anges dock oftare vårdgivaren som ytterst ansvarig för att tillse att hälso- och sjukvårdspersonalen kan fullgöra sina skyldigheter.10
Det finns även regler om vad en patientjournal ska innehålla. Övergripande gäller att en patientjournal endast får innehålla de uppgifter som behövs för ändamålet vårddokumentation, det vill säga
9Prop. 2007/08:126, s. 46 och 90. 10 Se till exempel SOSFS 2011:9 och HLSF-FS 2016:40.
uppgifter som behövs i och för vården av patienten eller som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall (3 kap. 5 § PDL och 2 kap. 4 § första stycket 1 och 2 PDL). Patientjournalen ska vidare innehålla de uppgifter som behövs för en god och säker vård av patienten (3 kap 6 § första stycket PDL).
Uppgifter som tillförs en patientjournal bör därför vara att anse som patientdata. Enligt utredningens bedömning är det dock olyckligt att en författning har ett namn som inte definieras. Trots detta kommer utredningen att använda begreppet i delar av författningsförslagen. Det beror på att utredningen av lagtekniska skäl behöver ta hänsyn till befintliga namn på författningar. Om en författning sakligt hör samman med en annan författning, kommer sambandet mellan de båda författningarna nämligen att framgå av SFS-registret endast om författningarnas rubriker innehåller samma ord eller ord som börjar på samma sätt och som är lämpliga som sökord i registret.11 Av den anledningen har utredningen gjort bedömningen att det är lämpligt att använda begreppet patientdata för att författningsförslagen ska kopplas till PDL i SFS-registret vid till exempel en sökning på författningar.
2.6.4. Primär- och sekundäranvändning i rättsliga sammanhang
Med sekundäranvändning av personuppgifter avses enligt utredningens direktiv behandling av personuppgifter för något annat ändamål än det primära ändamålet med personuppgiftsbehandlingen. Direktiven definierar alltså sekundäranvändning i förhållande till primäranvändning. Direktivens definition av sekundäranvändning bygger på att det kan klarläggas vad som menas primär användning eller det primära ändamålet med behandling av personuppgifter. Primär- respektive sekundär användning definieras inte i EU:s dataskyddsförordning. Begreppet har dock nära koppling till bestämmelsen om ändamålsbegränsning i artikel 5.1 b i EU:s dataskyddsförordning.
Europeiska dataskyddsstyrelsen, förkortad EDPB, har utfärdat Riktlinjer 03/2020 om behandling av uppgifter om hälsa för vetenskapliga forskningsändamål i samband med covid-19-utbrottet. I dessa
11 Se Ds 2014:1, s. 17.
riktlinjer används begreppen primär och sekundär användning i samband med behandling om av personuppgifter för vetenskapliga forskningsändamål (se punkten 11). Med primär användning avses enligt riktlinjerna ”forskning utifrån personuppgifter (om hälsa) som består i användning av uppgifter som samlats in direkt för vetenskapliga studier”. Med sekundär användning avses "forskning utifrån personuppgifter (om hälsa) som består i ytterligare behandling av uppgifter som ursprungligen samlades in för ett annat ändamål”. EDPB kopplar alltså primär användning till det ursprungliga insamlingsändamålet, annan sekundär användning är ytterligare behandling av personuppgifter för ett annat ändamål.
Ett liknande sätt att göra skillnad på primär och sekundär användning av hälsodata är den som finns i den finska lagen om sekundäranvändning av personuppgifter inom social- och hälsovården (552/2019, ursprungligen i kraft 2019-05-01), förkortad finska sekundäranvändningslagen. I den finska sekundäranvändningslagen definieras begreppet ”primärt användningsområde för personuppgifter” som det användningsändamål för vilket personuppgifterna ursprungligen har registrerats (1 kap. 3 § 2). I samma lag definieras ”sekundärt användningsändamål för personuppgifter” som användning av personuppgifter för något annat användningsändamål än det primära användningsändamål som avses i definitionen av primärt användningsområde för personuppgifter (1 kap. 3 § 3).
I 2 kap. 4 PDL görs inte skillnad på ändamål som avser ”primäranvändning” eller ”sekundäranvändning” eftersom återanvändningen är så nära kopplad till kärnverksamheten. I propositionen till PDL uttalas att eftersom patientdatalagen får ett väsentligen mera vidsträckt tillämpningsområde i förhållande till vårdregisterlagen är det olämpligt att som i dag dela in ändamålen i primära och sekundära ändamål. Både primära och sekundära ändamål handlar om personuppgiftsbehandlingar som, mer eller mindre integrerat, normalt äger rum i varje vårdgivares egen verksamhet (prop. 2007/08:126, s. 56). Behandling av personuppgifter för exempelvis utveckling och uppföljning av vårdgivarens verksamhet avser i stor utsträckning återanvändning av uppgifter som samlats in i för vården av patienter och skulle därför kunna ses som sekundäranvändning. När det gäller registerförfattningar för statliga myndigheter görs skillnad på primära ändamål som myndigheten får samla in personuppgifter för inom myndighetens egen verksamhet, och sekundära som myndigheten får lämna
ut uppgifter för till externa mottagare, se SOU Dataskydd inom Socialdepartementet, s. 151).
I förslaget till EHDS finns definitioner kopplade till primär och sekundär användning av hälsodata. Med primär användning av e-hälso-
data avses behandling av personliga e-hälsodata för tillhandahållande
av hälso- och sjukvård i syfte att bedöma, bibehålla eller återställa hälsotillståndet hos den fysiska person som dessa data avser, inklusive förskrivning, expediering och tillhandahållande av läkemedel och medicintekniska produkter, samt för relevanta socialförsäkringsinstitutioner, förvaltningsenheter eller enheter med ansvar för utbetalning av ersättning.
Definitionerna i förslaget till EHDS tar, till skillnad från ovan nämnda definitioner, inte utgångspunkt i vad som är ändamålet för insamlingen, utan bestämmer vad som är primär och sekundär användning frikopplat från ursprunglig insamling och vidareanvändning. Ursprunglig insamling och registrering för forskning klassas då alltid som sekundär användning. Utredning uppfattar att detta är ett nytt sätt att förhålla sig till primär och sekundär användning som inte ligger i linje med den innebörd som begreppen för närvarande typiskt sett brukar ha.
Praktiska aspekter på primär- och sekundäranvändning
Utredningens erfarenhet är att det är svårt att i praktiken göra skillnad på primär och sekundär användning av hälsodata. En sekundäranvändning kan uppfattas ske för ett primärt ändamål i en verksamhet. Till exempel kan en uppgift samlas in till forskning, men sedan användas för vården av samma individ. Hos vårdgivaren är vård ett primärt ändamål, men om utgångspunkten för kategoriseringen är ursprungligt ett annat insamlingsändamål, kan vård ses som ett sekundärt ändamål.
Frågan är hur långt tillbaka i kedjan av användande av en personuppgift man behöver gå för att avgöra om det är primär eller sekundär användning. Om sekundäranvändning ska definieras utifrån ursprungligt insamlingsändamål behöver personuppgiftens hela ”livscykel” kunna följas, också mellan olika personuppgiftsansvariga, vilket kan vara en praktisk omöjlighet.
Hälsodata kan också samlas in för flera ändamål samtidigt. Under ett forskningsprojekt kan hälsodata samlas in som kan vara av vikt
för vården av patienten. Det innebär att uppgifter dom samlats in för det primära ändamålet forskning och återanvänds för det primära ändamålet vård.
Ett annat exempel är när en patient vårdas och hälsodata som samlats in inte varit tillräcklig. I den stunden kan verksamheten dra lärdom om vilka uppgifter som bör samlas in vid liknande situationer i framtiden. Det är då oklart om denna oundvikliga verksamhetshetutveckling som skedde av själva insamlandet bör ses som primäranvändning eller vidareanvändning.
Termen ”sekundär” leder ordalydelsemässigt in på den andra gången som en personuppgift används, medan personuppgifter i dag kan används för flera ändamål i samma verksamhet innan de senare lämnas ut för ytterligare användningar. Begreppet är därmed inte heller representativt rent språkligt för det som sker i praktiken. Utöver dessa perspektiv har utredningen även fått till sig att vissa aktörer tolkat begreppet sekundäranvändning som att det utgörs av något sekundärt, som något mindre viktigt än det primära ändamålet. Av flera anledningar anser därför utredningen att sekundäranvändning inte är ett optimalt begrepp att använda i sammanhanget.
2.6.5. Vidareanvändning i stället för sekundäranvändning
Utredningen har valt begreppet vidareanvändning i stället för sekundäranvändning. Utredningen är medveten om att detta inte löser alla de svårigheter som är förknippade med uppdelningen primär- och sekundär användning. Utredningen anser dock att det är ett begrepp som bättre belyser vad som rent praktiskt sker. Utredningen föregriper på detta sätt inte heller den eventuella definitionen av sekundäranvändning som kan komma i och med förslaget till EHDS. I utformningen av begreppet har utredningen hämtat inspiration från begreppet vidareutnyttjande som finns i Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om dataförvaltning (dataförvaltningsakten) COM(2020) 767 final av den 25 november 2020, förkortad dataförvaltningsförordningen, och lag (2022:818) om den offentliga sektorns tillgängliggörande av data. Utredningens begrepp vidareanvändning har inte samma juridiska innebörd som vidareutnyttjande enligt dessa regelverk. Däremot anser utredningen
att ledet ”vidare” är ett bra ord för att belysa nytt händer i förhållande till något tidigare eller annat.
I den engelska versionen av DFF används termen ”re-use”. Utredning anser att det mer neutrala användning är ett lämpligare ord än nyttjande.
Utredningen har även övervägt begreppet vidarebehandling. Ledet ”behandling” skulle knyta mer direkt an mot EU:s dataskyddsförordning och behandling av personuppgifter. Liksom avseende beskrivningen av begreppet hälsodata, anser utredningen att det är lämpligt att de begrepp som används tar höjd för att datadelning som sker kan omfatta dataset som även innehåller hälsodata som inte är personuppgifter. Användning ger då uttryck för detta bredare perspektiv som inte är direkt kopplat till åtgärder som avser personuppgifter. Utredningen bedömer också att ordet användning är mer begripligt från praktisk synvinkel, än vad behandling är. Användning omfattar dock även ”behandling” enligt dataskyddsförordningen. Det är enligt utredningens bedömning svårt att ge ett begrepp en definition som ger uttryck för dels vad som praktiskt sker, dels för de rättsliga konsekvenser som är relevanta i det aktuella fallet. De försök som gjorts att definiera sekundäranvändning illustrerar detta. Liksom med beskrivningen av begreppet hälsodata, ser utredningen ett behov av ett begrepp som är begripligt från praktiskt perspektiv, samtidigt som det är användbart juridiskt. Utredningen uppfattar att begreppet vidareanvändning överlag har mottagits positivt när utredningen har använt det i olika sammanhang under utredningstiden.
I stället för att försöka legaldefiniera begreppet vidareanvändning, beskriver utredningen vad det närmare avser i olika situationer.
Vidareanvändning hos en och samma aktör omfattar att insamlade hälsodata används för ett annat ändamål än vad de ursprungligen samlades in för. Vidareanvändning kan ske i flera led, till exempel först vård och sedan utveckling och uppföljning hos en vårdgivare. Vad som är samma eller ett nytt ändamål är inte alltid givet. Avser vidareanvändningen personuppgifter behöver frågan om en vidareanvändning ryms inom det ursprungliga insamlingsändamålet, analyseras utifrån dataskyddslagstiftningen. Inom ramen för uppdraget att analysera förutsättningarna för sekundäranvändning för patientändamål/vårdändamål, se avsnitt 2.3, har utredningen haft att bedöma vad som inom ett övergripande vårdändamål är att anse som en vidareanvändning av personuppgifter som kräver ny rättslig grund, se avsnitt 14.3.
Vidareanvändning omfattar också att hälsodata som samlats in av en aktör delas med en annan aktör som sedan använder informationen. Detta kan till exempel avse en vårdgivare som lämnar ut hälsodata till en myndighet eller privat aktör som bedriver forskning. Utredningens bedömning är däremot att det är primäranvändning när samma vårdgivare använder hälsodata för samma ändamål flera gånger, som exempelvis när en läkare läser på om en patients provsvar inför ett nytt besök.
Utredningens uppfattning är att hälsodata kan primäranvändas hos en vårdgivare och samtidigt kan samma hälsodata vidareanvändas hos en annan. Om vårdgivare A tar en röntgenbild av en patient och sedan skickar röntgenbilden till vårdgivare B så är röntgenbilden parallell primäranvändning hos båda vårdgivarna. Däremot är det rimligt att anse att vårdgivare B:s behandling av röntgenbilden utgör en vidareanvändning ur vårdgivare A:s perspektiv.
Sammanfattningsvis gör utredningen bedömningen att det finns inget optimalt begrepp för när hälsodata används flera gånger, parallellt eller i olika led. Vidareanvändning är dock det begrepp som bäst motsvarar utredningens uppfattning om vad det är som sker när hälsodata används flera gånger.
2.6.6. Den enskildes inställning
Utredningen konstaterar att det finns flera sätt som används i praktiken som avser ge uttryck för den enskildes inställning. Att samtycka till något kan enkelt förklaras med att en person godkänner något. Ett annat sätt att uttrycka den enskildes inställning kan vara en möjlighet att kunna motsätta sig något. Eftersom det finns olika typer av samtycken har utredningen valt att redogöra mer djupgående för olika typer av samtycken i en egen bilaga (se Bilaga 3 Samtycken inom vård och klinisk forskning). Utredningen listar därför endast kort i detta avsnitt vilka olika begrepp som används i utredningen och som ger uttryck för den enskildes inställning.
Utredningen använder formuleringen ”samtycke till vård” när samtycke enligt 4 kap. 2 § PL avses. En patient kan, om inte annat följer av lag, lämna sitt samtycke skriftligen, muntligen eller genom att på annat sätt visa att hen samtycker till en viss åtgärd.
Utredningen använder formuleringen ”samtycke avseende prover” när utredningen syftar på samtycke enligt biobankslagen (2023:38).
Utredningen använder formuleringen ”samtycke som rättslig grund
för behandling av personuppgifter” när samtycke enligt artikel 6.1 a i
dataskyddsförordningen avses.
Utredningen använder formuleringen ”samtycke som rättslig grund
för behandling av personuppgifter enligt bestämmelse i PDL”, när sam-
tycke enligt 2 kap. 3 § PDL. Bestämmelsen anger att behandling av personuppgifter som inte är tillåten enligt PDL ändå får ske, om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Det gäller dock inte i de fall som anges i 6 kap. 5 § eller om något annat framgår av annan lag eller förordning.
Utredningen använder formuleringen ”samtycke som integritets-
höjande åtgärd vid behandling av personuppgifter” när samtycke används
som en åtgärds som avser höja integriteten. Samtycke som integritetshöjande åtgärd är ett annat sorts samtycke än de samtycken som förekommer som rättslig grund för behandling av personuppgifter och som undantag för att den personuppgiftsansvarige ska få behandla känsliga personuppgifter. Ett integritetshöjande samtycke kan betraktas som ett slags extra skyddsåtgärd för den enskildes personliga integritet och för att säkerställa individens frivillighet inför en viss personuppgiftsbehandling.
Utredningen använder formuleringen ”samtycke till att bryta sekre-
tessen” när samtycke enligt 10 kap. 1 § OSL avses och innebär att den
person som sekretessen avser att skydda kan, med vissa undantag, helt eller delvis häva sekretessen.
Utredningen använder formuleringen ”samtycke till deltagande i
klinisk forskning” när vi syftar på samtycke enligt etikprövningslagen,
Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel upphävande av direktiv 2001/20/EG, förkortad CTR, Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG, förkortad MDR eller Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitrodiagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU, förkortad IVDR.
”Opt-in” är inte ett begrepp som är vanligt förekommande i ut-
redningen. Utredningen använder begreppet för att uttrycka att en person aktivt måste ge sitt samtycke. Begreppet ”opt-out”, eller ”rätten att motsätta sig” använder utredningen däremot för att beskriva när en enskild aktivt valt att avstå en viss personuppgiftsbehandling genom att motsätta sig behandlingen.
2.6.7. Datahållare och dataanvändare
Utredningen använder begreppet datahållare för den aktör som innehar den data som ska vidareanvändas. Utredning använder begreppet
dataanvändare för den aktör som ska använda data. Datahållare och
dataanvändare används i allmänspråklig mening i betänkandet och har inte i sig någon juridisk betydelse. Kopplat till begreppet datadelning representerar datahållaren ”från-sidan” och dataanvändaren ”till-sidan”.
I utrednings författningsförslag anges datahållaren och dataanvändaren med andra begrepp, se avsnitt 2.6.7. Datahållare är exempelvis vårdgivare och regional myndighet som bedriver hälso- och sjukvård, medan dataanvändare exempelvis utgörs av regionala myndigheter inom hälso- och sjukvården och lärosäten.
Ett begrepp som förekommer i praktiken kopplat till datahantering är ”ägarskap”. Utredningen uppfattar att ägarskap till data ofta synes vara ett uttryck för placering av ansvar för data inom en organisation. Rättigheter och skyldigheter kopplat till data uttrycks enligt utredningens mening inte lämpligen genom ett ägarbegrepp. I stället finns olika typer av rättigheter och skyldigheter kopplade till data beroende på regelverk.
I dataförvaltningsförordningen, förekommer begreppen datainnehavare och dataanvändare (se artikel 2 (8) och (9)). Utredningen använder medvetet inte begreppen datahållare och datainnehavare i den juridiska innebörd som begreppen datainnehavare och dataanvändare har enligt dataförvaltningsförordningen. Utredningen konstaterar dock att definitionerna av datainnehavare och dataanvändare i dataförvaltningsförordningen är breda och att det därför skulle kunna vara så att en datahållare eller dataanvändare enligt utredningens användning av dessa uttryck också skulle kunna vara en datainnehavare eller dataanvändare enligt dataförvaltningsförordningen.
2.7. Utredningens avgränsning av uppdraget
Bedömning: Utredningen lämnar författningsförslag avseende
vidareanvändning för ändamålen vård och forskning. Utredningens förslag för vård avser vidareanvändning för vården av en annan patient än den som personuppgifterna. Utredningens förslag för forskning avser begränsad direktåtkomst till personuppgifter för ändamålet klinisk forskning och har som syfte att förenkla tillgången till personuppgifter.
Utredningen lämnar inte författningsförslag avseende ändamålet undervisning på akademisk nivå, ändamålet utveckling och innovation eller ändamålet statliga, regionala och kommunala myndigheters beslutsfattande. För dessa ändamål lämnar utredningen bedömningar som behöver utredas vidare.
Av beskrivningarna i avsnitten ovan avseende utredningens uppdrag enligt direktiven framgår att det är mycket omfattande. Givet de tidsramar som utredningen har fått, finns behov av att göra avgränsningar. Nedan redogörs först för de avgränsningar som följer direkt av direktiven, sedan för de som utredningen själv har gjort.
2.7.1. Avgränsningar som följer av direktiven
Uttryckliga avgränsningar
Det står uttryckligen i direktiven att det inte ingår i uppdraget att lämna förslag till bestämmelser som bryter statistiksekretessen eller förslag som riskerar att leda till att individdata lagras i egna databaser hos privata aktörer där vidareutnyttjandet inte kan kontrolleras. Utredningens förslag avser inget av detta.
Det framgår även av direktiven att regeringen gör bedömningen att det inte är inom ramen för regleringen om nationella och regionala kvalitetsregister i 7 kap. patientdatalagen (2008:355), förkortad PDL, som de behov som beskrivs i direktiven kan tillgodoses. Utredningen lämnar inte förslag som går ut på att behoven av vidareanvändning av hälsodata tillgodoses genom användning av nationella eller regionala kvalitetsregister. Däremot är denna reglering en faktisk realitet som utredningen behöver förhålla sig till, bland annat i integritets-
analysen. Den kan även tjäna till lagteknisk ledning för delar av utredningens författningsförslag.
Utredningen bedömer inte heller att statliga myndigheters registersamlingar omfattas av uppdraget. Denna bedömning grundar sig på att de personuppgifter som krävs för vård också återfinns i vården och sällan i statliga register så som hälsodataregistren. Vad gäller delen om vidareanvändning så står det uttryckligen i direktiven att det avser hälsodata från hälso- och sjukvården.
Utredningen bedömer också att socialtjänsten inte omfattas av uppdraget eftersom direktiven avgränsas till att gälla hälsodata från hälso- och sjukvården.
2.7.2. Avgränsningar som utredningen har gjort
Inledning
Som framgår av avsnitt 2.1–2.5 är utredningens uppdrag omfattande. Det avser förutsättningarna för vidareanvändning av hälsodata för hälso- och sjukvård, men även för andra samhällsnyttor. Det avser ett flertal ändamål som är olika till sin karaktär och omfattar i princip alla aktörer som skulle kunna ha ett intresse av att använda sig av hälsodata. Utredningen är medveten om att det finns stora behov och identifierade problem med delning av data inom hälsodataområdet. Rent juridiskt innebär uppdraget oerhört många olika aspekter att förhålla sig till. I direktiven anges att utredningen inte förväntas kunna lösa alla problem som identifieras, utan en del av uppdraget är att redogöra för dem.
Utredningen tolkar direktiven som att regeringen har varit tydlig med vikten av en väl genomarbetad och utförlig integritetsanalys (dir 2022:41 s. 6 och 10). Utredningens har noterat att flera tidigare utredningar på hälsodataområdet inte lett till proposition (exempelvis SOU 2010:81, SOU 2014:23 och SOU 2015:32). Utredningens bedömning är att en av orsakerna till att dessa utredningar inte kunnat tas vidare kan vara att de har haft en bristande integritetsanalys. Dessa utredningar har på samma sätt som utredningen haft omfattande och svåra uppdrag.
Utredningen har därför begränsat författningsförslagen till att endast omfatta två av de uttryckliga ändamålen som anges i direktiven. Författningsförslagen som utredningen lämnar avser ändamålen
vård och forskning. Dessa utökade möjligheter har dock krävt en djupgående analys av juridiskt komplexa regleringar. Anledningen till det, utifrån direktiven sett, smala angreppssättet har varit att försöka få till en väl genomarbetad utredning med tillhörande fördjupad integritetsanalys utan att försöka greppa efter för mycket. Utifrån ett integritetsperspektiv, eller utifrån patienters och vårdgivares perspektiv, är vårdändamålet inte något smalt område utan ett avancerat ändamål som innebär genomgripande förändringar av befintlig lagstiftning. För att möjliggöra vidareanvändning för vården av annan patient än den personuppgifterna avser, krävs ingripande och långtgående bestämmelser. Författningsförslagen som avser vårdändamålet av därför vittgående och av omfattande karaktär. Det är dessutom helt nytt i svensk lagstiftning att föreslå regler som möjliggör det utredningen nu föreslår för vårdändamålet, det har inte funnits någon liknande förlaga att ta efter eller hämta inspiration ifrån. Att föreslå nya bestämmelser för detta ändamål som avser känsliga personuppgifter har därför varit både en komplicerad och tidskrävande övning. Anledningen till att utredningen valt att fokusera på just dessa två ändamål beror på att utredningen uppfattat direktiven som att det finns en stark önskan om att så snart som möjligt kunna få till rättsliga möjligheter för att implementera precisionsmedicin i Sverige. Utredningen har därför valt att huvudsakligen fokusera på att förslagen ska gå att genomföra. Utredningens förhoppning är att författningsförslagen som läggs fram kan vara ett litet men genomtänkt steg i rätt riktning och att kommande utredningar kan bygga vidare på utredningens analyser och förslag. Flera olika möjligheter för de olika ändamålen har övervägts under utredningens gång och många har avgränsats bort för att de varit för omfattande i sin komplexitet att försöka lösa under de angivna tidsramarna. Utredningens bedömning är att ytterligare utredningar behövs för att se över i vilken mån och på vilka sätt utredningens förslag går att utöka.
Som utredningen ser det hade alternativet varit att lämna fler författningsförslag utan lika genomarbetade analyser. Risken hade då varit att frågorna skulle behöva utredas om.
För att kompensera det faktum att utredningen inte lämnar författningsförslag för samtliga ändamål har utredningen försökt att se detaljerat som möjligt försöka beskriva vad utmaningarna på hälsodataområdet är och hur de ska kunna lösas praktiskt och vilka frågor som behöver utredas vidare. Utredningens ambition har varit att för-
söka maximera den nyttan som utredningen har kunnat bidra med, sett till kompetens och resurser i sekretariatet. De sistnämnda bedömningarna kräver inte samma fördjupade juridiska insatser som det gör att lämna författningsförslag.
Slutligen har utredningen bedömt att flera av de ändamål som anges i direktiven kräver en nationell datahubb för att utredningen skulle kunna lämna genomförbara författningsförslag.
2.7.3. Utredningens förslag avser vidareanvändning av personuppgifter som finns inom hälso- och sjukvården
Bedömning: Utredningens författningsförslag ska avse reglering
av vidareanvändning av personuppgifter som finns inom hälso- och
sjukvården.
I utredningens direktiv framgår det att utredningen ska se över utökade möjligheter till sekundäranvändning av hälsodata. Det anges också i direktiven att utredningen ska analysera, bedöma om det behövs författningsändringar och i så fall lämna nödvändiga författningsförslag för att personuppgifter eller andra data från flera individer ska kunna användas för vård och behandling av andra enskilda individer. Utifrån hur utredningens uppdrag anges finner utredningen det, av juridiska skäl, mest ändamålsenligt att och frångå begreppet hälsodata eller ”andra data” och avgränsa författningsförslagen till att endast omfatta personuppgifter.
Utredningen beskriver i avsnitt 2.6.2 dess förhållningssätt till begreppet hälsodata. Det är när hälsodata utgörs av personuppgifter som behovet av författningsreglering uppstår. De behoven som utredningen avser lösa, handlar om att reglera hälsodata som utgörs av personuppgifter. Så fort hälsodata utgörs av personuppgifter blir EU:s dataskyddsförordning tillämplig. När den rättsliga grunden i artikel 6.1 utgörs av uppgift av allmänt intresse (6.1 e) behövs uppgiften av allmänt intresse fastställas i nationell reglering (prop. 2017/18:105 s. 49). Dataskyddsförordningen fungerar som en yttre ram för personuppgiftsbehandling. Syftet med kompletterande lag till dataskyddsförordningen är att precisera tillåtna ändamål och reglera förutsättningarna för aktuell personuppgiftsbehandling (jämför artikel 6.3 andra stycket dataskyddsförordningen. Utredningens målsättning är därför att skapa
sådan kompletterande lagstiftning som krävs, genom de förslag som utredningen lämnar.
När det gäller behandling som avser särskilda kategorier av personuppgifter (känsliga personuppgifter) anges ytterligare villkor i artikel 9 i dataskyddsförordningen. Personuppgifterna som omfattas av utredningens förslag regleras som känsliga personuppgifter eftersom de utgörs av uppgifter om hälsa. De har dessutom samlats in inom hälso- och sjukvården. Personuppgifterna som omfattas av utredningens författningsförslag omfattas därför också typiskt sett av sekretess enligt offentlighets och sekretesslagen (2009:400), förkortad OSL, exempelvis enligt 25 kap. 1 § OSL, vilket också medför behov av författningsändringsförslag.
Utredningen är medveten om att begreppet personuppgifter även omfattar uppgifter på papper. Den aspekten har utredningen beaktat men bedömt att det inte har någon påverkan på utredningens förslag.
Vid tillämpningen av en reglering som avser personuppgifter uppkommer frågan om en viss datamängd, databas eller annan uppgiftssamling innehåller personuppgifter eller inte.
Uppgifter som inte utgörs av personuppgifter, omfattas inte av EU:s dataskyddsförordning och inte heller av utredningens förslag. Utredningen konstaterar dock att den juridiska uppdelningen mellan hälsodata som är personuppgifter och hälsodata som inte är det, i praktiken kan vara mycket svår att göra. Frågor uppkommer såsom om en aggregering av en viss datamängd har gjorts på ett sådant sätt att alla uppgifter i den verkligen är att anse som anonym data. Det kan också vara så att en datamängd innehåller både personuppgifter och uppgifter som inte utgörs av personuppgifter. I praktiken uppkommer då fråga hur man ska hantera sådana datamängder.
Utredningen har ingen ambition eller möjlighet att lösa dessa frågeställningar på ett generellt plan. Däremot konstaterar utredningen att förslagen som utredningen lämnar tillåter datadelning av personuppgifter på fler sätt och i fler situationer. Det i sin tur leder till att aktörerna i något färre situationer behöver framställa dataset som inte innehåller personuppgifter.
Reglerna som utredningen föreslår behöver kunna tillämpas på dataset som innehåller både personuppgifter och data som inte är personuppgifter. Den juridiska utgångspunkten som utredningen har att förhålla sig till måste dock vara personuppgifter för att skapa de
rättsliga förutsättningar som krävs för ändamålen utredningen lämnar förslag på.
Ovan har konstaterats att hälso- och sjukvården är central i utredningens direktiv. Kopplat till uppdraget om utökade möjligheter till sekundäranvändning av hälsodata anges det uttryckligen att det är hälsodata ”från” hälso- och sjukvården som avses. Utredningen har ovan presenterat sin tolkning av formuleringarna i dessa avseenden. Utifrån att formuleringarna också skulle kunna tolkas på andra sätt, redogör utredning nedan för verksamheter och hälsodatamängder som inte omfattas av utredningens uppdrag.
2.7.4. Avgränsningar avseende vidareanvändning för vårdändamål
Bedömning: Utredningen lämnar författningsförslag som avser
behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. Författningsförslagen avgränsas till att endast ge regionala myndigheter inom hälso- och sjukvården rätt att använda de utökade möjligheterna som författningsförslagen leder till.
Enligt utredningens direktiv har utredningen i uppdrag att skapa förutsättningar för sekundäranvändning av hälsodata för patientändamål. I avsnitt 2.7.3 redogör utredningen för att uppdraget avgränsas till vidareanvändning av personuppgifter för detta ändamål. Vidare redogör utredningen i avsnitt 2.3 att det i utredningen benämns vårdändamål. Utredningen anser att ett tydligt sätt att ge uttryck för ändamålet är att beskriva det som behandling av personuppgifter för vården av
en annan patient än den som uppgifterna avser.
De behov som utredningen fått till sig avseende vidareanvändning för vårdändamål (behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser) har nästan uteslutande kommit från regional hälso- och sjukvård. Det är en av anledningarna till att utredningen valt att avgränsa författningsförslagen till att endast regionala myndigheter inom hälso- och sjukvården ges rätt att använda de utökade möjligheterna som författningsförslagen leder till, i vården av patienter. Sannolikt skulle även till exempel privata vårdgivare kunna ha nytta av samma utökade möjligheter för ända-
målet vård av annan. Utredningen bedömer dock att det inte varit möjligt att utöka möjligheterna till att även omfatta privata vårdgivare i förhållande till utredningens tidsramar eftersom en sådan ansats skulle kräva ytterligare juridiska analyser av andra regelverk och även leda till ett behov av en ännu mer komplex integritetsanalys. I utredningens direktiv anges att det är av stor vikt att skyddet för den personliga integriteten respekteras och att informationssäkerheten säkras. Avvägningar måste därför göras mellan den nytta som datadriven hälso- och sjukvård kan skapa och de risker som det kan medföra för enskildas personliga integritet och vilka möjligheter som finns att hantera sådana risker. Utredningen konstaterar att en rimlig ansats är att begränsa vilka aktörer som får använda sig av de nya möjligheterna författningsförslaget avseende vårdändamålet medför till regionala myndigheter inom hälso- och sjukvården. En sådan avgränsning är nödvändig för att utredningen fullt ut kunna se över effekterna och riskerna för den personliga integriteten.
2.7.5. Avgränsningar avseende vidareanvändning för forskning
Bedömning: Utredningen lämnar författningsförslag avseende
vidareanvändning för ändamålet forskning och avser enklare tillgång till personuppgifter som finns hos regionala myndigheter som bedriver hälso- och sjukvård. Författningsförslagen avgränsas till klinisk forskning där samtycke till att delta i forskningen inhämtas.
Enligt utredningens direktiv har utredningen i uppdrag att skapa förutsättningar för sekundäranvändning av hälsodata för ändamålet forskning. I avsnitt 2.7.3 redogör utredningen för att uppdraget avgränsas till vidareanvändning av personuppgifter. Den vanligaste problematiken, som utredningen fått till sig, och som genererar en stor administrativ börda, handlar om otympliga tillvägagångssätt för att få tillgång till data som behövs för forskningen. Det handlar både om olika utfall av menprövningar som resulterar i varierade möjligheter till tillgång till data och om åtkomst av uppgifter som forskare redan rent praktiskt kan ha åtkomst till för ett annat ändamål. I kapitel 15 finns ett förklarande stycke om forskare som är anställda inom hälso- och sjukvården och som måste begära ut uppgifter som forskarna rent
praktiskt kan ha åtkomst till i egenskap av till exempel behandlande läkare för ändamålet vård.
Utredningens författningsförslag innebär en förenkling av åtkomsten till data som behövs för att forskningen ska kunna genomföras. Utredningens förslag är endast tillämplig på personuppgifter från regional hälso- och sjukvård. Denna avgränsning har gjorts utifrån samma resonemang som för ändamålet vård av annan patient än den personuppgifterna avser. Ett utökande av fler eller andra källor än regional hälso- och sjukvård skulle kräva en ytterligare, fördjupad integritetsanalys som inte är genomförbar med anledning av utredningens angivna tidsramar.
Utredningen har valt att begränsa forskningen som ska omfattas till klinisk forskning. Författningsförslaget gäller endast sådan klinisk forskning som baseras på samtycke till att delta i forskningen. Ett sådant samtycke som inhämtas för att delta i den kliniska forskningen ska då kompletteras med ytterligare ett samtycke som inhämtas samtidigt. Det ytterligare samtycket utgör en integritetshöjande åtgärd och avser samtycke till den begränsade åtkomsten. Utredningens bedömning är att det är svårt att leva upp till dataskyddsförordningens regler om integritetshöjande åtgärder för att förenkla åtkomsten av personuppgifter för annan forskning. Observationsstudier där samtycke inte inhämtas avgränsas därför bort från utredningens förslag om enklare åtkomst. Utredningen konstaterar att regeringens uttalande i direktiven pekar på att det bör vara en rimlig avgränsning eftersom det ”finns regleringar som avser registerbaserad forskning. Regeringen bedömer dock att det inte är inom ramen för sådana regleringar som de behov som beskrivs i dessa direktiv kan tillgodoses”12. Av den anledningen kommer utredningen inte lägga fram några författningsförslag som avser registerbaserad forskning. Däremot har utredningen fått till sig ett uttalat problem avseende registerbaserad forskning, som bland annat handlar om att vid vissa fall kunna ta kontakt med de registrerade vars uppgifter behandlas vid registerforskning, se vidare kapitel 22. Utredningens bedömning är därför att det uppenbarligen finns ett behov hos forskare om att till exempel kunna få tillgång till mer uppgifter än ett register tillhandahåller. Det kan handla om forskning som inleds som registerforskning men vid intressanta fynd skulle kunna utvecklas till klinisk forskning där forskaren behöver kontakta forskningspersoner och inhämta samtycke. Utredningen resonerar där-
12 Dir. 2022:41 s. 4.
för kring behovet av detta och möjligheter att tillmötesgå behovet genom en statlig, nationell datahubb med en funktion där invånarna kan samtycka till att bli kontaktade för olika syften, se vidare kapitel 19–21.
Utredningens uppfattning är även att det finns en problematik kring menprövningar som resulterar i olika bedömningar. Utredningens bedömning är att det är angeläget att ta vidare frågan om gemensam menprövning så forskare ska kunna få en förutsägbarhet genom enhetliga och konsekventa bedömningar. Utredningens anser dock att det inte är möjligt att lämna förslag på en sådan hantering utan att ha tillgång till en statlig, nationell datahubb (se vidare kapitel 19–21).
2.7.6. Avgränsningar avseende vidareanvändning för utveckling och innovation
Bedömning: Utredningen lämnar inte författningsförslag avseende
ändamålen utveckling och innovation. Ändamålen utveckling och innovation bör omhändertas av nya utredningar.
Utredningen hade inledningsvis en ambition att lämna författningsförslag även avseende utveckling och innovation. Dock var arbetet för tidskrävande för att hinna med en sådan grundlig analys som utredningen anser behövs för författningsförslag. Utredningen har därför vikt ett eget kapitel åt utveckling för att ge så bra möjligheter som möjligt för en ny utredningen att ta vid och fortsätta arbeta med analysen. De analyser som utredningen hann genomföra återfinns i kapitel 23. Utredningen anser att det är angeläget att en ny utredning tillsätts snarast för att omhänderta ändamålen utveckling och innovation. Det är en stor brist att det ena författningsförslaget ger nya möjligheter för vårdändamålet samtidigt som sådan regionöverskridande verksamhet inte har något rättsligt stöd för utveckling av verksamheten. För aktörerna som får använda de nya möjligheterna som författningsförslagen ger, i vården av patienter, kan utvecklingsändamålet i PDL sannolikt utökas till att även omfatta regionalöverskridande utveckling.
Det finns dock behov av utveckling som inte endast omfattar regionala myndigheter inom hälso- och sjukvården. Utredningen har fått till sig behov av utveckling för regionala myndigheter inom hälso-
sjukvården som bedriver nära samarbete med kommunal verksamhet. Kommuner bedriver verksamhet enligt både PDL (vård) och lag (2001:454) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPuL (socialtjänst). Mot bakgrund av detta bör ett samlat grepp tas för sådan utveckling i en egen utredning. Som angetts i avgränsningar som framgår av direktiven är utredningens uppfattning att direktiven är avgränsade till att inte omfatta socialtjänstens område.
Utöver offentliga aktörer finns även behov av utveckling och innovation som olika privata aktörer har. Utredningens bedömning är att många situationer där ändamålet för personuppgiftsbehandlingen är utveckling eller innovation kräver en nationell datahubb och en säker behandlingsmiljö för att nyttan ska stå i proportion till integritetsintrånget. Utredningen har därför avgränsat bort dessa behov för att de i stället ses över vid etablering av en nationell datahubb, se vidare kapitel 19–21.
2.7.7. Avgränsningar avseende undervisning på akademisk nivå
Bedömning: Utredningen lämnar inte författningsförslag avseende
ändamålet undervisning på akademisk nivå. Ändamålen undervisning på akademisk nivå bör omhändertas av nya utredningar.
Enligt utredningens direktiv har utredningen i uppdrag att skapa förutsättningar för utökade möjligheter till sekundäranvändning av hälsodata för ändamålet undervisning på akademisk nivå. Utredningen har fått till sig att de olika universiteten löser tillgång till hälsodata på olika sätt och att det finns en avsaknad av enhetlighet inom landet. Utredningens bedömning är att dessa behov behöver ses över och utredas. Däremot konstaterar utredningen att begreppen primär- och sekundäranvändning skapar utmaningar i sammanhanget. Den primära anledningen till att en student gör verksamhetsförlagd utbildning (VFU) är utbildning. Samtidigt konstaterar utredningen att det finns fler perspektiv att ta hänsyn till i sammanhanget. Ur studentens och lärosätets perspektiv är undervisning på akademisk nivå det primära syftet. Ur vårdgivarens eller patientens perspektiv är det primära syftet däremot vård. Utredningen anser att det inte är lämpligt att utredningen ser över dessa behov utan att hänsyn samtidigt tas till primäran-
vändningen. Utredningens bedömning är att det finns anledning till ytterligare utredning för att se över behoven, men att en sådan utredning behöver ta ett samlat grepp för att lösa dessa frågor på bästa sätt.
2.7.8. Avgränsningar avseende statliga, regionala och kommunala myndigheters beslutsfattande
Bedömning: Utredningen lämnar inte författningsförslag avseende
ändamålet statliga, regionala och kommunala myndigheters beslutsfattande. Ändamålen statliga, regionala och kommunala myndigheters beslutsfattande bör omhändertas av nya utredningar.
Som utredningen anger i 2.4.4 finns ett behov av tillgång till hälsodata för statliga, regionala och kommunala myndigheters beslutsfattande. Utredningens uppfattning av behoven som uppstår i samband med vård bör kunna omhändertas antingen av det författningsförslag avseende vårdändamålet som utredningen lämnar eller, efter fortsatt utredning, inom ändamålet utveckling som utredningen skriver om i 2.7.6.
Utredningen bedömer vidare att det saknas organisatoriska och infrastrukturella lösningar som skulle göra att nyttan stod i proportion till det intrång i den personliga integriteten som ett sådant förslag skulle innebära. Utredningen resonerar kring detta och lämnar bedömningar i avsnitt 20.5.
2.8. Aktörer som omfattas av utredningens förslag
Bedömning: De aktörer som omfattas av utredningens författ-
ningsförslag bör begränsas.
Utredningens förslag är avgränsade så att endast vissa aktörer kommer omfattas av dem. För att ge en bild av hur förslagen är tänkt att fungera i praktiken behöver en kort beskrivning förklara vilka aktörer som omfattas av förslagen. Förtydliganden och djupare resonemang om varför dessa avgränsningar gjorts kommer finnas i andra delar i betänkandet.
Generellt kan anges att förslagen avser vidareanvändning av personuppgifter från hälso- och sjukvården, se avsnitt 2.7.3. Verksamheten
på datahållarsidan är alltså hälso- och sjukvård. Utredningen tar utgångspunkt i definitionen av hälso- och sjukvård som finns i patientdatalagen (2008:355), förkortad PDL, se avsnitt 2.6.1. På dataanvändarsidan finns verksamhet i form av hälso- och sjukvård och klinisk
forskning, se avsnitt 2.7.4 och 2.7.5.
En fråga som utredningen har haft att överväga kopplat till författningsförslagen har varit vilka aktörer inom hälso- och sjukvård och klinisk forskning som ska omfattas på datahållar- respektive dataanvändarsidan. Som redogörs för i avsnitt 2.7.2 är behoven stora, samtidigt som utredningen har begränsade tidsramar att förhålla sig till. Utredningen har därför sett det nödvändigt att begränsa antalet aktörer, framför allt på dataanvändarsidan. Utredningen har fokuserat på de aktörer där utredningen uppfattar att de största och mest akuta behoven finns.
En ytterligare aspekt på avgränsningarna av aktörer på dataanvändarsidan som utredningen haft att ta hänsyn till är att ju fler aktörer som omfattas, desto mer omfattande och komplexa blir frågorna om integritets- och sekretesskydd. För att kunna lämna väl genomarbetade förslag, har utredningen därför behövt göra avgränsningar av antalet och typen av aktörer som omfattas. Exempelvis omfattas endast aktörer på dataanvändarsidan som omfattas av befintliga regler om sekretess eller lagstadgad tystnadsplikt.
Aktörer vars behov har identifierats av utredningen, men som inte omhändertas i utredningens författningsförslag omfattas av andra delar av betänkandet, se kapitel 19–23.
2.8.1. Vidareanvändning för vårdändamål
Med avseende på vidareanvändning för vårdändamål, föreslår utredningen ett nytt ändamål för behandling av personuppgifter. Ändamålet avser behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser, se avsnitt 14.4. Kopplat till det nya ändamålet föreslår utredningen en modell för vidareanvändningen som bygger på behandling av personuppgifter i fyra huvudsakliga steg, se avsnitt 13.4. De aktörer som, i olika delar, omfattas av utredningens förslag om vidareanvändning av personuppgifter för vårdändamål är vårdgivare och regional myndighet inom hälso- och sjuk-
vården. Vårdgivare har samma definition som i PDL (1 kap. 3 §). Med
regional myndighet inom hälso- och sjukvården menas en myndighet i en region som tillhandahåller hälso- och sjukvård, se vidare avsnitt 14.7.2.
Enligt utredningens förslag är det vårdgivare som är datahållare vid vidareanvändning för vårdändamål. Det är personuppgifter som har samlats in och som lagras hos vårdgivare som ska kunna bli föremål för vidareanvändning för det nya ändamålet. Vårdgivare ska i steg 1 och 4 i modellen kunna tillgängliggöra personuppgifter för vidareanvändning för vårdändamål.
Dataanvändare är regionala myndigheter inom hälso- och sjukvården. Regionala myndigheter inom hälso- och sjukvården ska kunna inrätta och föra en databas med personuppgifter för vidareanvändning. Utredningen kallar en sådan databas för precisionsmedicinsk databas (steg 2, se avsnitt 14.2.). Det är även regionala myndigheter inom hälso- och sjukvården som ska kunna ha tillgång till personuppgifter i en precisionsmedicinsk databas och personal hos sådana myndigheter som arbetar inom den specialiserade vården som ska kunna söka i den (steg 3, se avsnitt 14.8).
Närmare motivering till avgränsningarna avseende aktörer kopplat till vidareanvändning för vårdändamål finns i avsnitt 14.6.1, 17.7.2 och 14.8.1.
2.8.2. Vidareanvändning för klinisk forskning
För ändamålet klinisk forskning föreslår utredningen regler som innebär enklare tillgång till personuppgifter, se kapitel 16. Utredningen föreslår att vidareanvändning av personuppgifter som finns inom hälso- och sjukvården ska kunna ske genom en så kallad begränsad direktåtkomst eller annat elektroniskt utlämnande.
Datahållare vid vidareanvändning av personuppgifter för klinisk forskning enligt utredningens förslag är regionala myndigheter som
bedriver hälso- och sjukvård. Dataanvändare vid vidareanvändning av
personuppgifter för klinisk forskning är regionala myndigheter och
lärosäten som bedriver klinisk forskning. Definitioner av aktörerna finns
i avsnitt 16.3.
Närmare motivering till avgränsningar finns i avsnitt 16.4.2 och 16.7.4.
2.9. Utredningens uppdrag i förhållande till andra utredningar
Det finns flertalet pågående utredningar som utredningen samverkat med eftersom deras uppdrag har en anknytning till utredningens uppdrag.
Utredningen har haft löpande kontakt med Utredningen om e-recept och patientöversikter inom EES (S 2020:10) fram till dess att den överlämnade sitt slutbetänkande. Samverkan har framför allt bestått i kunskapsöverföring och att se till att utredningarnas förslag går i linje med varandra och att inga förslag krockar. Därutöver har utredningen haft avstämning med arbetsgruppen som skrev Förslag på åtgärder för att skapa bättre förutsättningar för kliniska prövningar (Ds 2023:8). Även denna samverkan har bestått i kunskapsöverföring men också säkerställande att förslagen ska vara förenliga med varandra. Slutligen har utredningen haft avstämningar varannan vecka med utredningen om infrastruktur för hälsodata som nationellt intresse (S 2022:10). Även här har samverkan bestått av kunskapsöverföring och att se till att förslagen ska vara förenliga med varandra. Utöver det har det varit viktigt att säkerställa så vi inte utreder samma frågor eller lämnar konkurrerande förslag.
Andra utredningar som utredningen haft mer sporadisk kontakt med men som bidragit med värdefull kunskap och vars arbete utredningen förhållit sig till är:
- Genomförande av EU:s dataförvaltningsförordning (Ds 2023:24),
- Utredningen om en effektiv organisation för statlig forskningsfinansiering (U 2022:06),
- Utredningen om hälsodataregister (S 2023:02),
- Utredningen om interoperabilitet vid datadelning (I 2022:03).
2.10. Utredningens arbete
Utredningsarbetet inleddes i augusti 2022 och har utgått ifrån utredningsdirektiven (dir. 2022:41). Utredningen skickade in en promemoria till Regeringskansliet den 8 februari 2023 med förslag om ändring av E-hälsomyndighetens instruktion (se bilaga 4 Promemoria med förslag om ändring av E hälsomyndighetens uppdrag inom hälsodata-
området). Regeringen beslutade 29 juni 2023 om tilläggsdirektiv till utredningen (dir. 2023:97). Tilläggsdirektivet innebär en förlängning av utredningens uppdrag med två månader.
Utredningarbetet har bedrivits på sedvanligt sätt med regelbundna sammanträden och andra kontakter med experter och sakkunniga. Under arbetet med slutbetänkandet har utredningen haft fem expertgruppsmöten varav ett slutjusteringsmöte.
Utredningen har i enlighet med vad som föreskrivs i direktiven haft samråd med andra utredningar med närliggande uppdrag. Samråden har i huvudsak genomförts via digitala möten.
Utöver detta har utredningen genomfört vanliga och digitala möten med företrädare för professions-, patient- och andra intresseföreningar, myndigheter, universitet och regioner. Syftet med mötena har varit att samla in information, kunskap och synpunkter utifrån respektive organisations perspektiv.
2.11. Betänkandets disposition
Slutbetänkandet är indelat i tre avdelningar. Den första avdelningen innehåller allmän bakgrund om vad data och datadelning är, pågående initiativ inom EU på hälsodataområdet samt gällande rätt (kapitel 3–10).
Den andra avdelningen innehåller utredningens internationella utblick, problemanalys, utgångspunkter samt utredningen överväganden och förslag (kapitel 10–18).
Den tredje avdelningen innehåller bedömningar avseende frågor för fortsatt utredning (kapitel 19–23).
Därefter avslutas utredningen med författningskommentar följt av utredningens bilagor. Bilaga 1 är utredningens direktiv. Bilaga 2 är utredningens tilläggsdirektiv. Bilaga 3 beskriver samtycken inom vård och klinisk forskning. Bilaga 4 innehåller en promemoria som utredningen skickade till regeringen med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet.
BAKGRUND
3. Vad är data och datadelning?
3.1. Inledning
Utredningen har bland annat i uppdrag att lämna förslag för att möjliggöra en utökad vidareanvändning av hälsodata. För att reglera användning av data i olika sammanhang krävs dock en djupare förståelse för vad data är och vad som avses med vidareanvändning, och framför allt hur dessa frågor påverkas av de juridiska ramar som finns på hälsodataområdet.
Utredningen har i sitt arbete uppfattat det som att det finns en diskrepans i förståelse mellan de som arbetar med teknik respektive juridik. Diskrepansen kan bland annat medföra att de olika professioner som arbetar med frågorna missförstår varandra eller att regler och andra rättsliga förutsättningar blir svåra att tillämpa i praktiken. Det kan även resultera i att juridiska problem kan få otillfredsställande tekniska lösningar då de juridiska frågorna saknar förankring hos de praktiker som ska lösa dem.
I ett försök att överbrygga denna diskrepans har utredningen därför valt att beskriva begreppet data ur olika perspektiv, samt försökt tydliggöra kopplingen mellan olika juridiska och tekniska begrepp.
Data har flera egenskaper. Data kan delas utan att förbrukas och många personer kan använda samma resurs samtidigt. Värdet av resursen kan dessutom öka ju mer av den du har. Data kan även dupliceras. Detta är bara några av de egenskaper som gör att data är en resurs som är olik många andra. Så även om data ibland beskrivs som den nya oljan finns flera tydliga skillnader mellan data och olja, vilket också ställer andra krav på lagstiftningen kring data som gemensam resurs.1
Av de datamängder som finns är hälsodata en av de mer integritetskänsliga datamängderna. Det har debatterats om hälsodata bör ses
1 https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-isno-longer-oil-but-data (Hämtat 2023-01-26).
som det nya blodet eller den nya oljan. Hälsodata är en värdefull resurs, inte minst för vården, men också en resurs som behöver regleras annorlunda då det inte är en resurs som alla andra.2
Datadelning av den omfattande skala som EU-kommissionen föreslår3 lyfter ett antal etiska frågeställningar. Förhoppningsvis bidrar utredningens betänkande till att komma längre i arbetet med att hitta en bra balans och lösningar för att möjliggöra en säker och ändamålsenlig datadelning som invånarna känner tillit till och som värnar deras integritet.
När det i utredningens direktiv talas om en datadriven hälso- och sjukvård, eller ett datadrivet samhälle, avses enligt utredningen när data används för att underlätta och skapa mervärde för olika användare baserat på kunskap. Data som används kan vara av låg kvalitet eller felaktig, vilket skulle kunna skapa situationer där data inte skapar mervärde. Utredningen menar dock att det är själva ansatsen som sådan att använda data för att skapa mervärde som är kärnan i de datadrivna processerna och gör inget anspråk på att datadrivet i samtliga fall leder till ett bättre utfall eller genererar utfall som kan ses som objektiva sanningar. Utredningen menar i stället att en datadriven process är ytterligare ett verktyg bland flera och som likt andra verktyg har sina styrkor och svagheter.
3.2. Vad är data?
Begreppet data kan många gånger användas synonymt med information, då data är just information. I allmänspråklig mening avser data ”uppgifter, fakta särskilt när de är digitalt behandlade”.4
Försök till att definiera begreppet data görs ofta i olika rättsliga källor. Det saknas dock en generellt giltig juridisk definition av begreppet data.
Integritetsskyddsmyndigheten definierar data som uppgifter eller information om något, oftast i samband med mätningar eller rapportering, exempelvis personuppgifter.5
2 Perakslis, E., & Coravos, A. 2019. Is health-care data the new blood?. The Lancet Digital Health, 1(1), e8–e9. 3 Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, ”Mot en blomstrande datadriven ekonomi”, COM (2014) 442. 4 https://svenska.se/tre/?sok=data&pz=1 (Hämtat 2022-10-05). 5 https://www.imy.se/ordlista/ (Hämtat 2022-10-07).
I artikel 2.1. i Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten), förkortad EU:s dataförvaltningsförordning, definieras begreppet data som
Varje digital återgivning av handlingar, fakta eller information och varje sammanställning av sådana handlingar, sådana fakta eller sådan information, däribland i form av ljudinspelningar, bildinspelningar eller audiovisuella inspelningar.
I lagen (2022:818) om offentliga sektorns tillgängliggörande av data definieras data som ”information i digitalt format oberoende av medium” (1 kap. 4 §).
Som framgår ovan är begreppet data förhållandevis brett och allmänt hållet, men i korthet kan sägas att det är information som är eller kan användas för att generera kunskap. Denna information kan utgöras av personuppgifter, men behöver inte utgöras av det. Utredningen använder begreppet ”data” i meningen att informationen som avses på något sätt är dokumenterad. Utredningens bedömning är att data typiskt sett är information i digitalt format, men att data även kan avse information som dokumenterats på annat sätt.
3.2.1. Olika typer av data
Insamlade data kan klassificeras, sorteras och struktureras på olika sätt. Det kan till exempel göras utifrån vad data handlar om, vad data har för form eller hur data är reglerad. Samma begrepp kan även ha olika innebörd inom olika fält.
Ett sätt att klassificera data är att skilja mellan kvalitativa data och
kvantitativa data. Ett exempel på kvalitativa data är fritext i en patient-
journal, medan ett blodtryck är ett exempel på kvantitativa data.
Data kan också sorteras in i skalor så som nominal-, ordinal-, intervall- och kvotskala.6 Data kan även vara strukturerad eller ostrukturerad. Det finns ingen entydig definition av vad strukturerade data är, men generellt avses ofta data som är organiserad på något sätt, till exempel i ett register.7 Inte heller för ostrukturerade data finns någon entydig definition, men vanligen avses att data är oorganiserad. Van-
6 Stanley S. S., 1946, On the Theory of Scales of Measurement. 7 Strukturerade data | IDG:s ordlista (Hämtat 2022-10-26). En till synes näraliggande men ändå separat fråga är det arbete som bedrivits av Socialstyrelsen med att ta fram ett ramverk för Strukturerad dokumentation inom vård och omsorg, NI 2023:5.
liga exempel på ostrukturerade data är fritext i en journal. Anledningen till att text sägs vara ostrukturerad data är för att en dator inte med lätthet kan tolka eller behandla innehållet. Det behöver inte alltid vara uppenbart för någon om datan är strukturerad eller ostrukturerad. Data kan se ostrukturerad ut, men med hjälp av rätt programvara kan det visa sig att datan är strukturerad och att det därmed kan röra sig om till exempel direkt identifierbara personuppgifter.
Vad för typ av data det rör sig om kan påverka bedömningen av om det rör sig om en direkt eller indirekt identifierbar personuppgift, eller om det i en viss situation rör sig om en personuppgift över huvud taget. Ett annat sätt att beskriva det är att om data utgörs av en eller flera personuppgift/-er eller när det rör sig om data som omfattas av sekretess får det rättsliga konsekvenser knutna till sig som måste hanteras.
3.2.2. Ostrukturerade data
Exemplifieringen i denna del är inte avsedd att vara uttömmande, syftet är snarare att skapa en förståelse för vilka de stora typerna av ostrukturerade datamängder som är vanligt förekommande inom vården.
Text
Ett av de vanligaste exemplen på textdata inom hälso- och sjukvården är journalanteckningar som är skrivna som fritext. Ur ett dataanvändarperspektiv är textdata svårt att använda eftersom innehållet och strukturen på texten inte är standardiserade och det finns därmed en stor variation av information i texten. Ytterligare en svår aspekt med textdata är att det kan vara väldigt svårt och tidskrävande att pseudonymisera eller anonymisera textdata. Textdata kan i vissa fall även innehålla information om andra personer än den registrerade, vilket gör det än svårare att hantera.
Text kan även bifogas andra datatyper exempelvis som metadata, det vill säga data om data. Ett sådant exempel kan vara data som beskriver vilken upplösning en bild har, men det kan också vara information om vilken person en viss röntgenbild tillhör. Det kan också röra sig om anteckningar som gjorts på eller till en bild. Men det kan
även röra sig om text som bara är sparat i ett bildformat, så som en skärmdump av en hemsida.
Bild
Bilder är en vanligt förekommande datamängd inom vården exempelvis finns röntgenbilder, bilder inom patologin, men även visuella representationer av data så som enklare diagram till mer avancerade visualiseringar av genomikdata.
Eftersom bilder är ostrukturerad data kan det vara svårt att identifiera enskilda personer från bilder utan att få ytterligare information rörande bilden om inte till exempel ett ansikte gör att en person enkelt kan identifieras.
Ljud
Hälsodata i form av ljud kan vara biomarkörer så som en ljudupptagning av en persons hosta, men det kan också vara dikterad patientinformation, inspelade telefonsamtal eller andra ljudfiler eller ljudspår till video. Ljuddata är därmed inte helt olikt bilddata och det kan vara svårt att direkt identifiera en person enbart utifrån bara ett ljud. Däremot kan en persons röst göra det lätt att identifiera personen i fråga.
Video
Exempel på video kan vara video som genererats vid en koloskopi eller en ultraljudsundersökning, det kan även röra sig om videosamtal, videoövervakning eller en simulering av en biologisk process. Video kan exempelvis användas i undervisningssyfte eller som del i ett videosamtal mellan en patient och en vårdgivare.
Avslutande kommentar
Text kan ibland framstå som strukturerad utan att för den sakens skull vara det. De flesta som läser är medvetna om att ett understruket ord kan betyda att ordet är extra viktigt. Beroende på avsändare och rubrik på ett dokument kan läsare generellt också ofta förstå vad det är för
information som finns i dokumentet. För en dator är det dock svårt att med lätthet utläsa dessa nyanser och skillnader, denna typ av data är ofta ostrukturerad. 8
Ostrukturerade data har dessutom av sin natur en inneboende osäkerhet kopplat till sig gällande om det utgörs av en personuppgift eller inte. Det är ofta en bedömningsfråga som dessutom beror på vilken ytterligare information som betraktaren har med sig eller kan tillskansa sig. Det visar tydligt på hur svårt det är att på ett ändamålsenligt sätt ta fram en övergripande datareglering som tillåter en integritetssäker datadelning. Det är även förklarligt att det finns ett behov av ökad precision i regleringen.
3.2.3. Strukturerade och standardiserade data
Strukturerade data är data som är ordnade på ett systematiskt sätt. Det har som tidigare nämnts inte att göra med om den av människor upplevs som strukturerad, utan om den är strukturerad på ett sätt som underlättar sökningar av data.9 Strukturerad data underlättar ofta för datadelning dels genom att det är enklare rent tekniskt, men det kan också underlätta vid utlämnande eftersom det många gånger är lättare att bedöma om strukturerade data är en personuppgift eller inte. Exempelvis är det svårt att ur ett textdokument få reda på exakt hur många namn som återfinns i texten, medan det i en strukturerad datamängd är enkelt att få fram den informationen.
Ett annat, liknande begrepp är standardiserade data. En standard kan ses som överenskomna gemensamma regler för beskrivning, utformning och framställning av en produkt eller tjänst.10 Standardiserade data är alltså data som följer en viss överenskommen standard och används oftast för att minska onödiga variationer och oklarheter som kommer av att exempelvis olika begrepp kan tolkas på olika sätt. Vid delning av data kan standardiserad data hjälpa aktörerna som delar data att få en bättre förståelse för vad det är för data de delar och vad datan betyder. Standardiserade data har många gånger inte någon direkt påverkan på huruvida data utgörs av personuppgifter
8 Feldman, R., & Sanger, J. 200). The text mining handbook: advanced approaches in analyzing
unstructured data. Cambridge University Press.
9 https://it-ord.idg.se/ord/strukturerade-data/ (Hämtat 2023-03-16). 10 https://it-ord.idg.se/ord/standard/ (Hämtat 2023-03-16).
eller inte utan nyttan uppstår ofta snarare i att datan blir mer jämförbar och lättare kan delas mellan olika system.
3.2.4. Aggregerade data
När enskilda rader i ett dataset samlas ihop brukar de benämnas som aggregerad data. Det finns flera olika fördelar med att aggregera data. En viktig aspekt kan vara att uppgifter som slås samman kan gå från att innehålla personuppgifter till att bli aggregerad data, som då inte längre utgörs av personuppgifter.
I vissa fall hjälper det inte att aggregera data för att det inte ska anses utgöra personuppgifter. När det finns många variabler som kan användas för att identifiera en person eller när antalet personer i en viss grupp är så pass få kan det innebära att det går att bakvägsidentifiera enskilda personer, trots att data är aggregerad. Aggregerade data har därmed utmaningar i att det kan vara svårt att bedöma huruvida en mängd data innehåller personuppgifter eller inte. För väldigt stora dataset kan det vara praktiskt omöjligt att veta eller ta reda på om datamängden innehåller personuppgifter eller inte.
3.2.5. Övriga datatyper
Utöver de datatyper som tagits upp ovan finns även andra datatyper som är svåra att kategorisera då de ofta är en sammanblandning av flera olika datatyper samtidigt eller att de på annat sätt har en annorlunda karaktär. Ett sådant exempel kan vara att datatyperna inte lagras utan bara existerar under vissa förhållanden eller korta perioder. Även här kommer utredningen bara kortfattat beskriva ett antal sådana typer som utredningen bedömt särskilt viktiga för hälsodataområdet.
Förstärkt- och virtuell verklighet
Förstärkt verklighet är en teknik som kombinerar människans sinnesintryck med datorgenererade intryck i realtid. Den vanliga yttervärlden som vi uppfattar med ögon, öron och andra sinnesorgan kompletteras med virtuella inslag. Det förutsätter speciella interaktiva glasögon eller liknande utrustning. En metod kan vara att man tittar på en historisk
turistattraktion genom bildskärmen på en smart mobil med kamera. På bildskärmen visas då motivet med datorgenererade tillägg, till exempel en rekonstruktion av hur arkeologer tror att en ruin såg ut innan den blev ruin. Det liknar virtuell verklighet, fast blandat med vanliga sinnesintryck.11
Virtuell verklighet är en teknik som visar en illusion av en verklig och interaktiv omgivning, skapad med datorteknik. Rörliga bilder, ljud gör att användaren tycker sig vara i en tredimensionell värld som går att röra sig i och också påverka.12
Det finns redan i dag en mängd olika medicintekniska produkter som använder sig av förstärkt eller virtuell verklighet.13 Allt eftersom denna teknik utvecklas och blir en mer integrerad del av vården så är utredningens bedömning att behovet av relevant och uppdaterad reglering kommer att öka. Exempelvis finns behov av att samla in data från användningen av dessa produkter för att utvärdera såväl säkerhet som effektivitet. För att dessa produkter ska fungera krävs ofta tränade algoritmer som i sin tur kräver stora datamängder för att tränas. På så sätt är denna teknik dataintensiv eftersom den både har ett behov av historiska data och samtidigt kan använda, sammanföra och generera stora mängder data i realtid.
Beräkningsdata
När en beräkning görs genereras många gånger olika värden. Utredningen har inte kunnat hitta ett bra begrepp för att beskriva denna typ av data och har därför valt att kalla det beräkningsdata. Ett exempel är parametrar, så som vikter i maskin- och djupinlärning. Utanför en ekvation, modell eller beräkning saknar dessa värden många gånger praktisk betydelse utan blir då bara värden. Ur ett integritetsperspektiv är problemet med denna typ av data snarlik problemen som finns med anonymisering av data. Det är svårt att veta om det går eller inte att identifiera en individ ur datan eller vilka andra data eller hjälpmedel som hade krävts för att kunna identifiera en person. För exemplet djupinlärning kan det röra sig om fler värden än vad en människa rimligen någonsin skulle kunna ta del av. Exempelvis använder Googles
11 https://it-ord.idg.se/ord/forstarkt-verklighet/ (Hämtat 2023-03-16). 12 https://it-ord.idg.se/ord/virtuell-verklighet/ (Hämtat 2023-03-16). 13 https://www.fda.gov/medical-devices/digital-health-center-excellence/augmented-realityand-virtual-reality-medical-devices (Hämtat 2023-03-16).
djupinlärningsmodell AlphaStar 139 miljoner parametrar14, OpenAI:s GPT-3 använder 175 miljarder parametrar.15
Maskin- såväl som djupinlärning blir ett allt vanligare verktyg, så även inom hälsodataområdet. Det är också ett fält där utvecklingen går väldigt snabbt framåt, vilket kan göra det svårt att bedöma hur dessa modeller får kombineras med hälsodata.
3.2.6. Kvalitativ metod och data
Inom samhällsvetenskaperna används både kvalitativ och kvantitativ metod. Med kvalitativ metod avses ett samlingsbegrepp för olika arbetssätt som förenas av att forskaren själv befinner sig i den sociala verklighet som analyseras, att datainsamling och analys sker samtidigt och i växelverkan, samt att forskaren söker fånga såväl människors handlingar som dessa handlingars innebörd.16 Kvalitativ metod fokuseras mer på textanalyser och fallstudier och kvalitativa data är därmed oftast formaterat som text.17 Inom hälso- och sjukvården är fritext i journal en typ av kvalitativ data.
På senare år har det blivit vanligare att maskininlärningsmodeller används för att omvandla kvalitativa data till kvantitativa data.18 Var gränsen går för kvantitativa respektive kvalitativa data är inte helt tydlig och förändras i takt med teknikens utveckling, även om metoderna fortsatt skiljer sig åt.
3.2.7. Kvantitativ metod och data
Kvantitativ metod är ett samlingsbegrepp inom samhällsvetenskaperna för de arbetssätt där forskaren systematiskt samlar in empiriska och kvantifierbara data, sammanfattar dessa i statistisk form samt från
14 Wang, Xiangjun, et al. (2021, July). SCC: An efficient deep reinforcement learning agent mastering the game of StarCraft II. In International conference on machine learning (pp. 10905–10915). PMLR. 15 Floridi, L., & Chiriatti, M. 2020. GPT-3: Its nature, scope, limits, and consequences. Minds and Machines, 30, 681–694. 16 https://www.ne.se/uppslagsverk/encyklopedi/l%C3%A5ng/kvalitativ-metod (Hämtat 2023-03-28). 17 Esiasson, P., Gilljam, M., Oscarsson, H., Towns, A., & Wängnerud, L. 2017. Metodpraktikan: Konsten att studera samhälle, individ och marknad. 5. uppl. Stockholm: Norstedts Juridik, (s. 211). 18 Khurana, D., Koli, A., Khatter, K., & Singh, S. 2023. Natural language processing: State of the art, current trends and challenges. Multimedia tools and applications, 82(3), 3713–3744.
dessa bearbetade data analyserar utfallet med utgångspunkt i testbara hypoteser.19 Denna metod är också väldigt vanlig utanför forskningen och används ofta i det som kallas datadriven hälso- och sjukvård, eller det som oftast avses med begreppet dataanalys. Vanligt är då också att analytiker använder så kallad real world data, vilket är all data som inte är data från en randomiserad kontrollerad studie.20
3.2.8. Real world data
Det finns ingen vedertagen definition eller svensk översättning av real world data (RWD). Statens beredning för medicinsk och social utvärdering (SBU) har förklarat begreppet som:
Ofta syftar det [real world data] på uppgifter om individers behandling och hälsa som finns i register och journaler, men också på hälso- och livsstilsinformation i smarttelefoner och bärbara sensorer. Det gemensamma är att uppgifterna inte primärt har samlats in i vetenskapligt syfte men ändå används av forskare.21
I praktiken innebär det i stort sett samtliga data som samlats in utanför vetenskapliga studier.
Utredningen har noterat att begreppet ibland förväxlas med begreppet realtidsdata, vilket beskrivs i avsnitt 3.2.9.
3.2.9. Realtidsdata
Det finns ingen definition av realtidsdata, det som däremot ofta avses är data som uppdateras och visas upp i realtid. I praktiken brukar begreppet användas i relation till beslutsstöd eller uppföljning även om realtidsdata förekommer även inom andra områden. Exempel på realtidsdata är om ett sjukhus kan monitorera antalet väntande på akuten i realtid. Ett annat exempel är medicintekniska produkter som visar värden i realtid så som EKG. Begreppet har blivit vanligare inom beslutsstöd på senare år för att verksamheter snabbare ska kunna agera på insamlade data. Utredningens bedömning är att vissa aktörer även
19 https://www.ne.se/uppslagsverk/encyklopedi/l%C3%A5ng/kvantitativ-metod (Hämtat 2023-03-28). 20 https://www.sbu.se/sv/publikationer/vetenskap-och-praxis/forskningen-flyttar-in-i-vardagen/ (Hämtat 2023-04-05). 21 https://www.sbu.se/sv/publikationer/vetenskap-och-praxis/forskningen-flyttar-in-i-vardagen/ (Hämtat 2023-09-18).
använder begreppet för att beskriva data som uppdateras ofta om än inte i realtid. Här verkar det vara upp till det specifika fallet om data kan anses uppdateras i realtid eller inte. I vissa fall kan en timmes eftersläpning anses vara nära nog realtid, medan det inte kan anses vara det i andra. Utredningen har noterat att begreppet i vissa fall felaktigt används för att beskriva real world data, se avsnitt 3.2.7.
3.2.10. Metadata
Metadata är data om data eller information om data. Det kan exempelvis vara en lista över vilka variabler som finns i en databas och information om de olika variablerna i databasen.
Metadata är ofta centralt för att aktörer ska kunna hitta och använda sig av relevant data. Ett exempel på användning av metadata är Vetenskapsrådets metadataverktyg Register Utiliser Tool (RUT). Verktyget underlättar registerbaserad forskning genom att tillåta sökning i och analys av metadata. På så sätt kan forskare utvärdera vilka register och variabler som de kan behöva i sin forskning.
Ett vanligt exempel på metadata är information om hur kategorivariabler är kodade. Exempelvis kan värdet 0 innebära kvinnligt kön och värdet 1 manligt kön. Det kan även finnas metadata som talar om att en viss insamlingsmetod ändrades ett specifikt år.
Eftersom metadata beskriver annan data så kan det underlätta för exempelvis dataanvändaren att bedöma vilka variabler som skulle gå att få ta del av och vilka data som kan behöva aggregeras. Ett sådant exempel är att metadata kan beskriva huruvida en variabel för ålder är kodat som exakt ålder eller om ålder är kodat i ålderskategorier. Metadata kan även användas som ett verktyg för uppgiftsminimering, utan rätt kunskap om datan som dataanvändaren vill få tillgång till kan det hända att användaren vill ta del av fler variabler än nödvändigt eftersom det kan vara svårt att på förhand veta om variablerna innehåller den information som dataanvändaren behöver för att göra den aktuella analysen. Dataanvändaren kanske på förhand bedömer att en variabel är av intresse, men av metadatan framgår att variabeln inte innehöll den data som användaren först trodde eller att kvaliteten gör att datan inte kan användas för det ändamål som användaren först tänkt. Därmed skulle ett utlämnande av den variabeln utgöra ett onödigt integritetsintrång.
Socialstyrelsen skriver i sin rapport Kartläggning av datamängder
av nationellt intresse på hälsodataområdet – slutrapport22att ett av syftena
med att tillgängliggöra metadata är att skapa bättre förståelse för vilka data som finns tillgängliga, var de är lokaliserade, vilken kvalitet de har och för att få en förståelse för på vilket sätt data går att använda och till vad.
3.3. Behandling, lagring, och strukturering av data
Behandling av data kan ske på en mängd olika sätt. Den tekniska utvecklingen innebär att data kan behandlas på alltmer komplicerade sätt och denna utveckling går framåt i snabb takt. I förslaget till Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och användning av data COM(2022) 68 final av den 23 februari 2022, förkortad förslaget till Förordning om harmoniserade regler för skälig åtkomst till och användning av data (även kallad dataakten) definieras behandling i artikel 2.11 som:
… åtgärd eller kombination av åtgärder som utförs på data eller dataset i elektroniskt format, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Behandling av data är alltså ett mer omfattande begrepp än dataskyddsförordningen behandling av personuppgifter, som endast avser behandling av sådan data som utgörs av personuppgifter.
Att behandla data kan även innebära att data samlas in, lagras och struktureras på olika sätt. Nedan följer en kort beskrivning av några olika sätt att lagra och strukturera data. En datainsamling kan beskrivas som en datamängd vilket kan ses som en informationsmängd. Begreppet datamängd kan betyda olika saker beroende på sammanhang. Begreppet brukar generellt avse en ordnad samling data (datapunkter) om en bestämd företeelse.23 En datamängd kan därför vara både data inom exempelvis ett område men kan också en specifik mängd av
22 Kartläggning av datamängder av nationellt intresse på hälsodataområdet – slutrapport (2022-10-8136). 23 https://it-ord.idg.se/ord/datamangd/ (Hämtat 2022-10-07).
data, på samma sätt som det går att ha en mängd med information. Samma data kan också tillhöra flera olika datamängdsbegrepp samtidigt, precis som en informationsmängd kan röra information om exempelvis krisberedskap och samtidigt vara en informationsmängd från en statlig myndighet. Mängden är alltså en förklaring av vad datan beskriver eller används för.
I figur 3.1 nedan visas en bild av ett dataset och utredningen kommer utifrån den bilden beskriva data från ett enskilt värde till en större samling av mer komplexa datamängder.
Figur 3.1 En bild över ett typiskt dataset
Källa: Utredningens illustration.
3.3.1. Datapunkt
En datapunkt är den minsta odelbara delen i en datamängd. Vad som är odelbart beror på sammanhanget.24 I figur 3.1 är exempelvis könet på en person en datapunkt. Det finns exempelvis ingen anledning att dela datapunkten kvinna till två separata datapunkter. För diagnoskod kan det däremot finnas anledning att dela datapunkten, exempelvis står bokstaven i början av diagnoskoden för en viss grupp av diagnoser. Så vad som räknas som odelbar beror därför på sammanhanget.
24 https://it-ord.idg.se/ord/datapunkt/ (Hämtat 2023-03-15).
Personnr. Förnamn Efternamn Diagnoskod Kön
123456-7890 Anna Andersson A15 Kvinna 234567-8901 Bertil Bengtsson C18 Man 345678-9012 Carl Carlsson E10 Man 345678-9012 Carl Carlsson D44 Man
Nyckel/Identifierare
Rad
Datapunkt
Variabel
Dataset
3.3.2. Variabel
En variabel är inom matematiken en storhet som tänks variera.25 En variabel skrivs ofta ut som bokstaven x och kan beskrivas som en bokstav som kan stå i ett uttryck och som vi kan byta ut mot olika värden. I en tabell med data brukar varje kolumn representera en variabel. I figur 3.1. ovan är exempelvis kön en variabel. Det är alltså ett värde som varierar beroende på vem observationen avser.26
3.3.3. Nyckel
Vissa variabler kan fungera som nycklar, även kallat identifierare. I databaser är nyckeln ett värde (namn, tal, nummer) som kan användas för att entydigt identifiera en rad (post) i en relationsdatabas eller i en annan fil. En vanlig förekommande nyckel är personnummer27, vilket också är den nyckel som använts som exempel i figur 3.1. I figuren ser vi dock att två rader har samma nyckel, många gånger är det inte lämpligt att välja en nyckel som inte är unik för den enskilda raden,28 det finns dock situationer där det viktiga är att nyckeln kan användas för att identifiera enskilda individer snarare än enskilda rader.
3.3.4. Rad, post eller observation
I en tabell med data finns även rader, dessa kallas också poster eller observationer.29,30 En rad är i många fall unik, men det förekommer situationer där det kan finnas identiska rader, exempelvis om vissa variabler har tagits bort av integritetsskäl. Det kan innebära att en eller flera rader blir identiska, men det kan även finnas andra situationer där identiska rader kan förekomma.
25 https://www.ne.se/uppslagsverk/encyklopedi/l%C3%A5ng/variabel (Hämtat 2023-03-15). 26 Organisation for Economic Co-operation and Development, 2008, OECD glossary of statistical
terms. Organisation for Economic Co-operation and Development. s. 577.
27 https://it-ord.idg.se/ord/nyckel/ (Hämtat 2023-03-15). 28 https://it-ord.idg.se/ord/nyckel/ (Hämtat 2023-03-15). 29 https://www.statology.org/observation-in-statistics/ (Hämtat 2023-03-15). 30 https://it-ord.idg.se/ord/post/ (Hämtat 2023-03-15).
3.3.5. Dataset
Ett dataset är en samling av datapunkter ordnade i rader och kolumner och som tillsammans utgör ett dataset. Ett dataset är alltså en samling data som behandlas tillsammans för ett bestämt ändamål av ett datorprogram.31
3.3.6. Databas
En databas är data som är samlade, ordnade, sökbara och skilda från specifika program (applikationer). En fördel med en databas jämfört med exempelvis ett dataset som är sparat som en fil är att en databas är enklare att underhålla och det gör också att flera program kan använda samma data.32 En databas kan vara ett register i dataskyddsförordningens mening, men behöver inte vara det. (Se ytterligare om databaser avsnitt 13.3.4)
3.3.7. Register
Ett register är typiskt sett en lista med uppgifter, inte sällan personuppgifter. Några exempel på register är nationella kvalitetsregister och Socialstyrelsens hälsodataregister. Ursprungligen fördes register på papper och bestod då rader och kolumner med uppgifter. I och med att datorn uppfanns så blev alltmer register digitaliserade, men register hade oftast samma form som de hade när de var på papper. På senare tid har det dock utvecklats en rad olika lösningar som gjort att det finns andra sätt att lagra data, men också andra sätt att sammanställa data än att samla allt i register.
Även om det finns vissa fördelar med register så som att det är ett enkelt sett att lagra och visualisera data så finns det också en rad utmaningar med register. Exempelvis kan det vara kostsamt att uppdatera och hålla register och uppgifter samlas oftast in för att senare kunna delas. Det har tidigare, framför allt när register var i pappersformat, funnits behov av att föra olika register med samma uppgifter i dem, vilket skapar mycket administration både gällande registrering av uppgifterna, och för att säkerställa att uppgifterna är korrekta i samtliga
31 https://it-ord.idg.se/ord/datamangd/ (Hämtat 2023-03-15). 32 https://it-ord.idg.se/ord/databas/ (Hämtat 2023-03-15).
register. På senare år har det blivit alltmer vanligt med lösningar där data lagras mer lokalt och att relevanta data tillgängliggörs efter behov. Ett sådant exempel är om en patient skulle byta adress, då kan detta göras i en databas där andra system hämtar informationen, i stället för att informationen behöver ändras i samtliga system.
Register kan alltså vara flera olika saker, från en processor i en dator till en innehållsförteckning i en bok. Ett register kan vara en förteckning över data som hålls strukturerat och därmed sökbart. Vanligen är därmed även ett register en databas. I EU:s dataskyddsförordning definieras register i artikel 4.6 som en ”strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden”. Enligt den svenska modellen för författningsreglering av register är viss registerföring särskilt reglerad i så kallade registerförfattningar, se nästföljande avsnitt.
Varje myndighet ska enligt 4 kap. 2 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, tillhandahålla information om de register och databaser som myndigheten har. Syftet är att underlätta för allmänheten att ta del av allmänna handlingar från de databaser och register som myndigheten ansvarar för. Innehåller databasen eller registret personuppgifter ansvarar den som är personuppgiftsansvarig för personuppgiftsbehandlingen i dessa, det vill säga vanligen aktuell myndighet. Varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare ska enligt artikel 30 i EU:s dataskyddsförordning föra ett register över behandling som utförts under dess ansvar. Personuppgiftsansvarig myndighet ansvarar därmed för att ha en särskild registerförteckning över de personuppgiftsbehandlingar som utförts under dess ansvar.
Ytterst är det EU:s dataskyddsförordning och dataskyddslagen som reglerar personuppgiftsbehandling i svensk rätt, men denna reglering kompletteras ofta med myndighetsspecifika registerförfattningar. Dessa, ofta sektorsspecifika registerförfattningar, kompletterar därmed EU:s dataskyddsförordning och kan innehålla avvikelser som ansetts nödvändiga eller lämpliga på det aktuella området i förhållande till det generella dataskyddet.
I svensk lagstiftning finns inom den offentliga sektorn en lång tradition av registerförfattningar. Vanligen innehåller ett sådant register personuppgifter och registerförfattningen reglerar hur behandlingen av dessa ska vara. Registerförfattningarna kompletterar dataskyddsför-
ordningen men reglerar mer specifikt viss typ av behandling av personuppgifter, både sådana som gäller för flera organisationer inom en sektor och sådana som enbart gäller för en viss myndighet. I vissa sammanhang skiljs på så kallade renodlade registerförfattningar, informationshanteringsförfattningar och annan reglering med inslag av dataskyddsbestämmelser.
I en registerförfattning anges ofta de ändamål för vilka personuppgifterna i fråga får behandlas. Detta är tillåtet förutsatt att registerförfattningen uppfyller vissa grundläggande krav i dataskyddsförordningen. Registerförfattningarna har företräde framför lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen, men måste fortfarande överensstämma med dataskyddsförordningen. Detta eftersom dataskyddslagen enligt 1 kap. 6 § är subsidiär till annan lag eller en förordning som innehåller någon bestämmelse som avviker från dataskyddslagen.
Registerförfattningar kan vara tillämpliga övergripande för en viss typ av personuppgifter inom ett visst område. Hälso- och sjukvårdens område är föremål för ett stort antal registerförfattningar. Dessa registerförfattningar utgörs av lagar som reglerar vissa specifika verksamheters personuppgiftsbehandling, såsom till exempel hälso- och sjukvård i form av PDL, och som gäller som komplement till dataskyddsförordningen.
3.3.8. Datalager
Datalager, även kallat informationslager är en databas som är anpassad
för snabb läsning, men som inte behöver klara ändringar och strykningar, eftersom den bara används för analys av sådant som redan har hänt. Datalager bygger på att färska data regelbundet överförs från det vanliga it-systemet, som då inte behöver belastas av tunga sökningar. I ett informationslager formateras datamängderna också om, så att de blir anpassade till analytikernas sökningar.33 Ett vanligt förekommande exempel inom vården är att data för analys inte hämtas direkt från en applikation så som ett journalsystem utan att det oftast hämtas från ett datalager. En anledning till det är att om all begäran om data skulle skickas direkt till journalsystemet så finns det en risk att journalsystemet blir överbelastat.
33 https://it-ord.idg.se/ord/informationslager/ (Hämtat 2023-03-15).
3.3.9. Stordata
Storadata, även kallat big data är ett begrepp som blev vanligt runt
2010 och är en benämning på mycket stora datamängder som kräver speciella metoder för analys. Det syftar oftast på ostrukturerade data, alltså sådana data som inte kan ordnas i tabeller eller kalkylark. Ett kriterium är att datamängderna är så stora att de i praktiken inte kan behandlas med traditionella program för analys och datautvinning. Områden där stordata är vanliga är analys av stora textmängder exempelvis från stora sociala medier, hälsodata, analys och kategorisering av fotografier och andra bilder, meteorologi, klimatanalys och data från handel.34
3.3.10. Datasjö
Datasjö är ett begrepp som brukar användas för att beskriva en lag-
ring av stor mängd data som sparas i oförändrad form i ett gemensamt förråd, det vill säga utan någon form av normalisering eller annan anpassning.35 Det kan exempelvis innebära lagring av både strukturerade data så som register och ostrukturerade data så som bilder. På det sättet skiljer sig datasjöar från de mer traditionella och mer strukturerade datalagren. Ett datalager kan ses som ett välstrukturerat förråd där allt står uppmärkt och ordnat i lådor och i rader. En datasjö kan ses som ett förråd där föremålen är inkastade, vissa saker i lådor, andra inte, vissa i rader, andra inte.36
En datasjö är alltså ett sätt att lagra och använda data, vilket innebär att en datasjö kan ägas och innehålla data om endast en enda person. Så även om namnet sjö antyder att det skulle kunna röra sig om gemensamt tillgängliga data är ordet snarare en beskrivning av att flera olika typer av kärl med data har slagits samman, även kallat
poolats, för att tillsammans bilda en sjö där data från de olika kärlen
blandas och tillgängliggörs för de som ägaren av datasjön har gett behörighet till. Det kan finnas situationer där olika aktörer vill sammanföra sina data i en gemensam sjö, det har dock inget med begreppet att göra, snarare att aktörerna väljer det formatet för att dela och använda data. På samma sätt som ett förråd kan vara ens
34 https://it-ord.idg.se/ord/big-data/ (Hämtat 2023-03-16). 35 https://it-ord.idg.se/?s=datasj%C3%B6 (Hämtat 2022-10-07). 36 https://it-ord.idg.se/ord/informationslager/ (Hämtad 2022-10-26).
privata förråd eller ens gemensamma förråd så är förråd i allmänhet inte gemensamma, utan snarare ett praktiskt sätt att lagra saker och förrådet kan användas på olika sätt beroende på behov.
3.3.11. Poolade data
Det finns ingen svensk definition av vad en datapool är utan begreppet är en anglicism. Begreppet kommer från engelskans data pool och ordet pool används då i bemärkelsen:
A number of people or a quantity of a particular thing, such as money, collected together for shared use by several people or organizations.37
Det betyder alltså att en eller flera personer eller aktörer valt att samla data tillsammans för att datan ska kunna användas av en eller flera aktörer. Verbet för detta är att poola och när data poolats så är den poolade datan en datapool.
Utredningen har noterat att begreppet datasjö ofta används felaktigt för att beskriva poolade data. Begreppen är både praktiskt och juridiskt väldigt olika. Att jämföra en datasjö med poolade data är ungefär som att jämföra en pool med en sjö. Det kan finnas likheter, men i praktiken är de väldigt olika. Utredningen tror att en av anledningarna till att begreppen blandas ihop är för att det rent intuitivt låter som att en datasjö är något större och offentligt, medan en pool är mer begränsad och privat. I praktiken är det däremot ofta tvärt om. En datasjö är ett sätt att lagra olika datatyper på ett visst sätt (se avsnitt 3.3.10) medan poolade data bara är data som lagts samman. En annan sak som gör begreppet mer svårhanterligt är att det går att poola datasjöar, vilket då blir poolade data.
Poolade data innebär juridiska utmaningar. Som konstaterats ovan i avsnitt 3.4 innebär datadelning oftast att olika juridiska regelverk aktualiseras beroende på omständigheterna och förutsättningarna i det aktuella fallet. Att samla data för olika ändamål innebär ofta att olika lagrum görs gällande. Dessutom kan det finnas olika rättsliga grunder och olika rättsliga aktörer har olika regelverk att förhålla sig till. Det här innebär att för att kunna poola data behöver en juridisk analys göras för att se så samtliga inblandade aktörer har förståelse för hur regelverket behöver efterlevas.
37 https://dictionary.cambridge.org/dictionary/english/pool (Hämtat 2023-09-13).
3.3.12. FAIR
FAIR är en akronym som står för Findable, Accessible, Interoperable och Reusable, det vill säga sökbar, tillgänglig, interoperabel och återanvändningsbar. FAIR-principerna innebär att forskningsdata ska gå att hitta, det ska finnas information om hur man får tillgång till dem, de ska vara kompatibla med andra data, och de ska vara möjliga att återanvända.38 Dessa principer kan även användas utanför forskningen, även om det primärt är inom forskning som de i dag används.
För att data ska vara sökbar används ofta metadata, se avsnitt 3.2.10. För att data ska vara tillgänglig krävs dels att datan kan tillgängliggöras, alternativt att dataägaren har en vilja att tillgängliggöra datan, dels att datan får tillgängliggöras. Exempelvis får inte vissa data tillgängliggöras av sekretesskäl.
För att data ska vara interoperabel krävs teknisk och semantisk interoperabilitet, exempelvis att datum registreras i samma format.
En förutsättning för att data ska vara återanvändningsbar är att data beskrivs med tillräckliga metadata, att metadata kan läsas av både människor och datorer och att det finns tydliga upplysningar om exempelvis vetenskapligt syfte, i vilket sammanhang data samlades in och vilken utrustning och programvara som användes. Även villkor för hur data får användas måste anges tydligt.39
3.4. Vad är datadelning?
Flera av de listade sätten ovan om hur data kan behandlas genom att samlas in, lagras och struktureras kan innebära att data delas. Vad datadelning faktiskt innebär och omfattar kan betyda flera olika saker både i praktiken och rent juridiskt. I detta avsnitt kommer utredningen översiktligt beskriva några centrala begrepp för att tydliggöra vad utredningen avser när utredningen skriver om datadelning.
38 https://snd.gu.se/sv/hantera-data/fardigstalla-tillgangliggora/FAIR-principerna (Hämtat 2023-09-18). 39 https://snd.gu.se/sv/hantera-data/fardigstalla-tillgangliggora/FAIR-principerna (Hämtat 2023-09-18).
3.4.1. Tillgängliggörande av data
Datadelning kan övergripande beskrivas som att en person eller en organisation gör sina data tillgängliga för andra.40 Inom denna övergripande beskrivning kan datadelning betyda olika saker. En allmän betydelse är att en datamängd görs tillgänglig för andra användare, antingen i en begränsad grupp eller mer generellt till allmänheten eller många mottagare. Dataledning kan också bestå i utbyte av data, genom att två eller flera organisationer kommer överens om att ha gemensam tillgång till varandras data. Av dessa beskrivningar följer att datadelning både kan vara envägs eller tvåvägs tillgängliggörande av data. Datadelning är även ett begrepp som finns definierat i artikel 2.10 i dataförvaltningsförordningen och beskrivs som
… en registrerads eller datainnehavares tillhandahållande av data till en dataanvändare för gemensam eller individuell användning av dessa delade data, baserat på frivilliga avtal, unionsrätt eller nationell rätt, direkt eller via en förmedlare, till exempel inom ramen för öppna eller kommersiella licenser mot en avgift eller kostnadsfritt.
Det innebär att det finns många olika förutsättningar att ta hänsyn till och datadelning blir snarare som en form av paraplybegrepp som i sin tur kan delas upp enligt olika juridiska förutsättningar.
I hälso- och sjukvården behandlas dagligen enorma mängder data som består av personuppgifter. En stor andel av uppgifterna utgörs av känsliga personuppgifter. Det finns flera bestämmelser inom hälso- och sjukvården som innebär att uppgifter delas.
Förutom dataförvaltningsförordningen som nämns ovan, förekommer begreppet datadelning inte i lagstiftning som rör informationshantering, såsom dataskyddsförordningen, tryckfrihetsförordningen (1949:105), förkortad TF, offentlighets- och sekretesslagen (2009:400), förkortad OSL, eller svenska registerförfattningar. I dessa författningar används andra begrepp för åtgärder som omfattas av begreppet datadelning. För att förstå vilka rättsliga aspekter en specifik datadelning aktualiserar, måste man därför analysera vad datadelningen innebär i förhållande till de rättsliga begrepp som finns i relevant lagstiftning.
40 https://it-ord.idg.se/ord/datadelning/ hämtat 2022-11-23.
3.4.2. Juridiska begrepp som kopplar till datadelning
Utlämnande
Den organisation som gör sin data tillgänglig, kan i lagens mening göra ett utlämnande av information. Begreppet utlämnande förekommer i TF och syftar på när en myndighet lämnar ut så kallade allmänna handlingar eller uppgifter ur allmänna handlingar (se 2 kap. 15–20 §§ TF). Utlämnande kan ske genom att den som begärt ut handlingen får ta del av en på stället på ett sådant sätt att den kan läsas eller avlyssnas eller uppfattas på annat sätt (2 kap. 15 § TF). Kan handlingen inte läsas eller uppfattas på något annat sätt utan något tekniskt hjälpmedel, ska myndigheten ställa ett sådant till förfogande. Det kan till exempel vara en uppkopplad skärm om det gäller en elektronisk handling. En handling får också skrivas av, fotograferas eller spelas in.
Utlämnande kan också ske genom att den som begär ut handlingen får del av en avskrift eller kopia av handlingen. Detta kan gå till så att handlingen kopieras och skickas per brev. Detta förekommer fortfarande hos myndigheter vad gäller sekretessbelagd information.
Utlämnande på medium för automatiserad behandling
Utlämnande på medium för automatiserad behandling är ett begrepp som förekommer i PDL och innebär utlämnande på medium för automatiserad behandling (ADB-utlämnande). Förarbetena till PDL anger att utlämnande också kan göras i elektronisk form, det vill säga på medium för automatiserad behandling eller via elektronisk kommunikation på annat sätt. Den elektroniska formen omfattar i sig ett stort antal variationer, till exempel användning av e-post, lagring på cd-rom, direktöverföring från ett datorsystem till ett annat via telenätet eller att en mottagare ges elektronisk tillgång till det utlämnande organets datorsystem (prop. 2007/08:126, s. 73).
Direktåtkomst
Utlämnande kan också ske genom så kallad direktåtkomst. Det finns ingen rättslig definition av direktåtkomst. Begreppet har använts i många utredningar och finns i lagstiftning utan att vara definierat i någon lag. Direktåtkomst innebär en form av elektroniskt utlämnande.
Utlämnandet sker då till en extern mottagare där den som är ansvarig för informationen inte längre har någon kontroll över vilka uppgifter som mottagaren tar del av. Den som tar emot uppgifterna kan inte heller påverka innehållet i det system eller register som uppgifterna lämnas ut från. Direktåtkomst till personuppgifter som behandlas enligt PDL får endast ske i den utsträckning som lag eller förordning anger det. Ett exempel på en lagstadgad form av direktåtkomst finns i 5 kap. 4 § 2 PDL. Ifall en region eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma region eller kommun. I 5 kap. 5 § patientdatalagen anges att en vårdgivare får medge en patient tillgång, genom direktåtkomst, till sådana uppgifter om sig själv som behandlas för vårddokumentation. Exempel på sådan direktåtkomst är vårdens e-tjänst Journalen via 1177 Vårdguiden.
Data som omfattas av direktåtkomsten blir allmänna handlingar hos mottagande myndighet. Direktåtkomsten begränsas av den behörighet som har givits användaren.
Annat elektroniskt utlämnande
I senare lagstiftningsarbete används formuleringen direktåtkomst eller annat elektroniskt utlämnande.
Med begreppet annat elektroniskt utlämnande avses sådan elektronisk överföring av uppgifter som inte sker genom direktåtkomst, till exempel e-post, USB-minne eller genom en så kallad fråga-svarfunktion där användaren kan ställa en fråga med begäran om utlämnande av uppgifter i ett sammanhållet system, och därefter få ett samlat svar från flera vårdgivare eller omsorgsgivare. Utredningen uppfattar det som att detta omfattas av begreppet ADB-utlämnande. Motiveringen till användande av detta begrepp, i tillägg till direktåtkomst, är att inte låsa fast vårdgivare till att de måste använda direktåtkomst, som anses vara förknippat med särskilda integritetsrisker. Utredningen konstaterar vidare att det noteras att det i praktiken inte är något stor skillnad mellan direktåtkomst och en elektronisk frågasvar-funktion. Se exempelvis prop. 2021/22:177, s. 78–79:
Regeringen delar utredningens bedömning att det inte är lämpligt att utforma regleringen på ett sådant sätt att den låser fast det elektroniska utlämnandet i system med sammanhållen vård- och omsorgsdokumentation till just direktåtkomst. Det kan finnas system som uppfyller behovet av informationsöverföring men med högre integritetsskydd än vid direkt-åtkomst, och dessa måste vara tillåtna. Regeringen avser inte att begränsa hur sådana system är uppbyggda mer än vad som motiveras utifrån ett sekretess- och dataskyddsperspektiv.”
Elektronisk åtkomst
Elektronisk åtkomst innebär, enligt utredningens mening, inte en form av datadelning men tas ändå upp här för att förtydliga begreppen i sammanhanget. Begreppet avser inte en form för utlämnande. Med elektronisk åtkomst avses åtkomst eller tillgång till uppgifter som behandlas elektroniskt inom den egna organisationen. Elektronisk åtkomst är alltså formen för hälso- och sjukvårdspersonalens interna åtkomst till personuppgifter inom vårdgivaren vilket sker på elektronisk väg, såsom inloggning i ett journalsystem. Vårdgivaren har ansvar för att göra en individuell prövning av sin personals behov. Denna behovsprövning avser även hälso- och sjukvårdspersonalens tillgång till uppgifter genom sammanhållen journalföring.
3.5. Data som utgör personuppgifter
Det finns flera juridiska begrepp som beskriver typer av data eller hälsodata. I detta avsnitt beskrivs några av de som utredningen bedömer är mest centrala.
3.5.1. Personuppgifter
Ett centralt begrepp i sammanhanget är som nämnts ovan personuppgifter. I artikel 4.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad dataskyddsförordningen, definieras personuppgifter som varje upplysning som avser en identifierad eller identifierbar fysisk person. I 2 kap. 7 § tryckfrihetsförordningen defi-
nieras personuppgift som all slags information som direkt eller indirekt kan hänföras till en fysisk person. Exempel på personuppgifter är namn, personnummer, bostadsadress och IP-adress.
3.5.2. Känsliga personuppgifter
I dataskyddsförordningen finns bestämmelser om särskilda kategorier av personuppgifter. Med detta begrepp avses bland annat genetiska uppgifter, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (se artikel 9.1 i dataskyddsförordningen). I svensk lagstiftning kallas dessa personuppgifter för känsliga personuppgifter (se 3 kap. 1 § lagen [2018:218] med kompletterande bestämmelser till EU:s dataskyddsförordning och 2 kap. 7 a § patientdatalagen [2008:355]).
3.5.3. Uppgifter om hälsa
Med begreppet uppgifter om hälsa avses personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus (artikel 4.15 dataskyddsförordningen). Ett exempel på en uppgift om hälsa är en uppgift om blodtryck. I skäl 35 i dataskyddsförordningen anges att personuppgifter om hälsa bör innefatta alla de uppgifter som hänför sig till en registrerad persons hälsotillstånd som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd.
3.5.4. Genetiska uppgifter
Med genetiska uppgifter avses alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga (artikel 4.13). Ett exempel på en genetisk uppgift är en uppgift om arvsanlag.
3.5.5. Uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden
I 25 kap. 1 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, används begreppet uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden för att definiera sekretessbestämmelsens föremål, se vidare om hälso- och sjukvårdssekretess i avsnitt 8.3.3. Begreppet hälsotillstånd är en typ av personligt förhållande som regeringen ansåg borde framhållas särskilt (prop. 1979/80:2, Del A s. 168). Begreppet hälsotillstånd definieras dock inte i förarbetena till bestämmelsen. Däremot finns skrivningar om begreppet andra personliga förhållanden, vilket också inkluderar begreppet hälsotillstånd. Där anges att vad som menas med personliga förhållanden måste bestämmas utifrån vanligt språkbruk. Vidare anförs att det är vitt skilda förhållanden som omfattas, såsom adress, ekonomiska förhållanden men även yttringar av ett psykiskt sjukdomstillstånd. (prop. 1979/80:2 Del A, s. 84 och 168).
3.5.6. När övergår personuppgifter till att inte längre vara personuppgifter?
Enligt dataskyddsförordningen är personuppgifter all slags information som direkt eller indirekt kan knytas till en person som är i livet. Ibland kan det vara svårt att avgöra var gränsen går för när data utgörs av personuppgifter eller när det inte längre anses utgöra personuppgifter. Ibland kan olika uppgifter tillsammans leda till att en viss person kan identifieras. Uppgifter som inte direkt kan identifiera en person klassas som personuppgifter om de är pseudonymiserade. Pseudonymisering är en säkerhetsåtgärd som innebär att personuppgifterna ersätts med något annat, som en kod eller ett löpnummer och då krävs kompletterande uppgifter för att det ska vara möjligt att hänföra uppgiften till en specifik person. Pseudonymiserade uppgifter är alltså fortfarande personuppgifter, även om risken för att identifiera en person minskar. Av skäl 26 i dataskyddsförordningen framgår att förordningen är tillämplig på personuppgifter som har pseudonymiserats och som skulle kunna tillskrivas en fysisk person genom att kompletterande uppgifter används. Dataskyddsförordningen är därför tillämplig även på pseudonymiserade personuppgifter.
Anonymisering innebär däremot att personuppgifter anonymiserats på ett sådant sätt att den registrerade inte längre är identifierbar (skäl 26 i dataskyddsförordningen). Dataskyddsförordningen är inte tillämplig på sådan anonym information, men själva anonymiseringen utgör en behandling av personuppgifter som omfattas av dataskyddsförordningen.41
I en relativt ny dom från EU-domstolen42 prövades huruvida uppgifter kunde anses vara anonyma hos mottagaren, trots att den organisation som lämnat uppgifterna hade tillgång till kompletterande uppgifter som möjliggjorde identifiering. Utredningen konstaterar att domen är intressant men att ytterligare rättspraxis skulle behövas för att få bättre förståelse för när pseudonymiserade personuppgifter kan klassas som anonyma. Det finns en mängd gråzoner gällande var gränsen går för när personuppgifter inte längre kan anses utgöra personuppgifter. Olika bedömningar görs på olika håll och utredningens bedömning är att det inte finns ett enkelt svar på frågan när dataskyddsförordningen blir tillämplig. För att bedöma om en person kan identifieras i ett dataset görs ofta en så kallad statistisk röjandekontroll. Begreppet statistisk röjandekontroll skiljer sig från röjandekontroll i sambandet röjande av sekretess. Det är metoder för att se till att inte uppgifter om enskilda personer eller företag ska gå att utläsa ur redovisad statistik eller statistiska material.
Med röjande menas att en utomstående får ny kunskap om en egenskap hos en enskild (en person eller ett företag). Ett röjande kan till exempel ske genom att en uppgift om någon enskild framgår från en tabell eller genom att uppgiften tas fram av någon som ”lägger pussel” med statistiska material och information från annat håll.
41 Se skäl 26 i Dataskyddsförordningen och jämför s. 7 i yttrande 05/2014 om avidentifieringsmetoder antaget den 10 april 2014 av Artikel 29-arbetsgruppen för skydd av personuppgifter. 42 Mål T-557/20.
Figur 3.2 Schematisk översikt över hur en röjandekontroll kan se ut
Källa: https://www.scb.se/hitta-statistik/artiklar/2017/Rojandekontroll--viktig-for-statistikens-kvalitet/ (Hämtat 2023-03-06).
I offentlighets- och sekretessammanhang förekommer begreppet avidentifierade uppgifter. För att hinder ska finnas mot att lämna ut uppgifter som är sekretessreglerade till skydd för enskilds personliga eller ekonomiska förhållanden, krävs det en enskild person riskerar att lida skada eller men. Av förarbetena till den tidigare sekretesslagen framgår att det krävs att uppgifterna är hänförliga till en viss individ för att en enskild person ska lida skada eller men. Vidare anges att det innebär att man i allmänhet bör kunna lämna ut så kallade avidentifierade uppgifter utan att risk för skada eller men uppkommer (prop. 1979/80:2 Del A s. 84).
Bedömning av
röjanderisk
Bedömning av
skaderisk
Skyddande av data
Bedömning av
kvalitet
Godtagbar
kvalitet?
Krävs
skydd?
Nej
Nej
Ja
Ja
”Överlämna”
”Åtgärd krävs”
3.6. Skyddsåtgärder
Om data består av personuppgifter och dataskyddsförordningen är tillämplig, finns en rad olika tekniker och metoder för att skydda de registrerades personliga integritet i samband med databearbetning och analys. Utredningen har valt att begränsa sig till att enbart skriva om ett par skyddsåtgärder som utredningen bedömer är relevanta för betänkandet. För en mer utförlig beskrivning av olika skyddsåtgärder så finns en bra sammanställning i forskningsdatautredningens delbetänkande (SOU 2017:50, kapitel 12).
Utredningen kommer i denna del beskriva tre generaliseringsmetoder i mer detalj eftersom utredningen bedömer att det är främst dessa som kan komma att vara aktuella för de som ska tillämpa utredningens förslag. Utöver detta kommer andra skyddsåtgärder beskrivas mer översiktligt eftersom de i olika sammanhang kommer att tas upp i betänkandet. Syftet med detta är dels att visa på komplexiteten när det kommer till att skydda data och anonymisera data, dels visa på andra metoder som inte enbart handlar om pseudonymisering. Vissa skyddsåtgärder är också lämpliga när det inte bedöms finnas någon större risk för att de som har tillgång till data aktivt kommer försöka avidentifiera den, vilket i vissa situationer kan vara fallet. En friare datadelning ställer därmed också större krav på olika typer av skyddsåtgärder och balansen mellan detaljeringsgrad och skyddsåtgärd kan vara svår. Det är inte heller så enkelt att avgöra vilken metod som är bäst lämpad i olika sammanhang. Vid datadelning som innefattar behandling av personuppgifter, behöver det alltid göras en avvägning mellan nyttan och intrånget i den personliga integriteten. Dessutom behöver det göras en bedömning om vilken typ av skyddsåtgärd som är mest lämplig för den enskilda situationen.
3.6.1. Generalisering av data
Generalisering av data är ett samlingsbegrepp som avser flera typer av skyddsåtgärder.
Med generalisering menas i allmänhet att undvika identifiering genom kvasiidentifierare43 genom att integritetskänsliga eller särskil-
43 Uppgift som indirekt eller i kombination med andra uppgifter kan identifiera en person, exempelvis postnummer, ålder och kön.
jande uppgifter aggregeras. I stället för att datasetet talar om exakt ålder på en registrerad så anges åldersspann (exempelvis ”20–29 år”).
För diagnos och behandling av personer med hjälp av precisionsmedicin kan det exempelvis vara viktigt att veta exakt vilken mutation en person har och om personen är ett barn eller inte. Barnets exakta ålder är därmed sällan, om någonsin, avgörande och därför inte nödvändig i datasetet. För biomarkörer kan det röra sig om att informationen som är viktig att känna till är om ett värde var kraftigt förhöjt, något förhöjt eller normalt. Skillnaden mellan variabler som beskriver en biomarkör jämfört med variabeln ålder är att behovet av detaljeringsgrad kan skilja sig åt beroende på situation och biomarkör. Det kan därför till skillnad från ålder vara svårt att säga att biomarkörsvariabler alltid ska vara generaliserade på ett visst sätt.
K-anonymitet
K-anonymitet innebär att en eller flera kvasiidentifierare aggregeras. Bokstaven k står för antalet gånger en kombination av så kallade kvasiidentifierare, återfinns i ett dataset.
Ett exempel är om värdena för ålder och vikt skulle aggregeras till grupper, exempelvis i steg om tio. Så i stället för 47 år så skulle det stå 40–50 år och i stället för 77 kg så skulle det stå 70–80 kg. Om det fortfarande finns individer som är unika trots detta, exempelvis om det bara finns en observation som har värdet 40–50 år och 70–80 kg så går det fortfarande att identifiera enskilda personer utifrån det nya datasetet trots generaliseringen. Då behöver datasetet generaliseras ytterligare för att kunna säga att k-anonymitet har uppnåtts.
Rent praktiskt är K-anonymitet inte svårt att använda, det svåra ligger snarare i att bedöma vilka variabler som ska aggregeras, på vilket sätt och på vilken nivå.
Det kan vara värt att notera att k-anonymitet inte innebär att det är omöjligt att identifiera personer, med vissa metoder och för vissa typer av data så kan det trots k-anonymitet gå att identifiera enskilda personer. K-anonymitet räcker många gånger om data ska anonymiseras för betrodda personer som det inte finns anledning att tro ska försöka identifiera enskilda personer. I vissa situationer kan det finnas risk för att enskilda aktörer aktivt vill identifiera personer i ett dataset. För att göra det kan exempelvis annan kompletterande data
användas av den som aktivt vill identifiera någon. Om det på förhand finns kännedom om att en specifik person ingår i ett dataset och det även finns kännedom om exakt ålder och adress som personen bor på kan det gå att identifiera enskilda personer. Det kan i sin tur leda till en ”snöbollseffekt” där det går att identifiera fler personer genom uteslutningsmetoden. I praktiken påminner det lite om att lösa ett sudoku, efter en viss punkt så blir det bara lättare och lättare tills du kan identifiera alla, trots att du från början inte hade tillräckligt med information för att identifiera mer än en eller ett fåtal individer. För att ytterligare skydda data kan då L-diversitet och T-närhet användas.
L-diversitet och t-närhet
L-diversitet är en metod som kan användas utöver k-anonymitet för att ytterligare stärka skyddet för personuppgifterna. L:et i L-diversitet står för antalet värden i varje ekvivalensklass. Ett konkret exempel på hur en grupp av observationer kan ingå i samma ekvivalensklass visas i figur 3.4.
L-diversitet kan användas som en ytterligare skyddsåtgärd och skyddar mot två typer av attacker som kan göras på data som anonymiserats med hjälp av k-anonymitet. Utredningen har försökt illustrera detta i figur 3.3 där uppgifterna i figuren är ursprungsdata.
Figur 3.3 Exempel på ett dataset med pseudonymiserade data
Källa: Machanavajjhala, A., Kifer, D., Gehrke, J., & Venkitasubramaniam, M. (2007). l-diversity: Privacy beyond k-anonymity. ACM Transactions on Knowledge Discovery from Data (TKDD), 1(1), 3-es.
Därefter har k-anonymitet använts för att generalisera datan för att göra att personerna inte längre är direkt identifierbara, se figur 3.4.
Figur 3.4 Exempel på ett dataset med pseudonymiserade data som anonymiserats med hjälp av k-anonymitet
Källa: Utredningens illustration.
Ickekänsliga uppgifter Känsliga uppgifter
Id Postnummer Ålder Födelseland Diagnos
1 13053 28 Ryssland Hjärtsjukdom 2 13068 29 USA Hjärtsjukdom 3 13068 21 Japan Infektionssjukdom 4 13053 23 USA Infektionssjukdom 5 14853 50 Indien Cancer 6 14853 55 Ryssland Hjärtsjukdom 7 14850 47 USA Infektionssjukdom 8 14850 49 USA Infektionssjukdom 9 13053 31 USA Cancer
10 13053 37 Indien Cancer 11 13068 36 Japan Cancer 12 13068 35 USA Cancer
Ickekänsliga uppgifter Känsliga uppgifter
Id
Postnummer Ålder Födelseland Diagnos
1 130** < 30 * Hjärtsjukdom 2
130** < 30 * Hjärtsjukdom
3 130** < 30 * Infektionssjukdom 4 130** < 30 * Infektionssjukdom 5
1485* ≥40 *
Cancer
6 1485* ≥40 * Hjärtsjukdom 7 1485* ≥40 * Infektionssjukdom 8
1485* ≥40 * Infektionssjukdom
9 130** 3* *
Cancer
10 130** 3* *
Cancer
11
130** 3* *
Cancer
12
130** 3* *
Cancer
Dessa observationer ingår i samma ekvivalensklass
Vi kan nu se att i kolumnen ”Id” har 9–12 bildat en homogen grupp där alla observationer är samma, vilket innebär att alla id i denna grupp ingår i samma ekvivalensklass.
Det finns två typer av attacker som kan utföras för att identifiera enskilda personer utifrån datasetet ovan. Det ena sättet ärattacker som följer av att data blivit för homogen, vilket är fallet i 3.4. Det andra sättet är att med hjälp av bakgrundsinformation och kunskap inom ett visst område, exempelvis medicinsk kunskap.
För attacker som avser data där generaliseringen skapat för homogena grupper finns följande exempel. Antag att det finns två grannar, Lotta och August som bor i ett område med ett postnummer som börjar på 130. Lotta ser att August blir körd till sjukhus. Vi antar vidare att Lotta har tillgång till det generaliserade datasetet (figur 3.4). Lotta vet alltså att August, som blev körd till sjukhus är 30 år gammal och vet också vilket postnummer hon ska leta efter för att kunna identifiera August. Lotta kan då identifiera att August åkte till sjukhuset på grund av att han hade fått cancer eftersom samtliga i den tredje gruppen har fått vård för cancer. Därmed har den uppgiften som är känslig, i detta fall diagnosen, kunnat identifieras på grund av att k-anonymiseringen lett till att en grupp är för homogen och att det därmed gått att knyta den känsliga uppgiften till en enskild person.
För attacker som avser bakgrundsinformation kan det vara så att någon känner till en person som ingår i den första gruppen i figur 3.4. och vet att den personen på grund av etniskt ursprung har mycket låg risk för hjärtsjukdomar. Då kan det gå att lista ut att personen med största sannolikhet har en infektionssjukdom.
T-närhet är en metod som kan användas när k-anonymitet använts men där l-diversitet bedömts behövas för att förhindra att personer identifieras. Det gäller till exempel en grupp, trots att de inte ingår i samma ekvivalensklass delar känsliga uppgifter som är semantiskt lika, vilket kan leda till att den känsliga uppgiften helt eller delvis röjs.44 Exempelvis ingår inte två observationer i samma ekvivalensklass om den ena personen har bröstcancer och den andra prostatacancer, men om den känsliga uppgiften är att personen har cancer, då ingår de i samma ekvivalensklass och därmed är den känsliga uppgiften röjd.
44 Li, N., Li, T., & Venkatasubramanian, S. (2006, April). t-closeness: Privacy beyond k-anonymity and l-diversity. In 2007 IEEE 23rd international conference on data engineering (pp. 106–115). IEEE.
Detta är bara några få exempel som visar på hur svårt det är att anonymisera data och att det ofta kan röra sig om känsliga personuppgifter när det kommer till delning av hälsodata. Det här leder till att det blir fråga om att väga nyttan mot riskerna och att det alltid måste finnas situationsanpassade skyddsåtgärder. Detta gör att området är svårt att reglera eftersom typ av skyddsåtgärd kan variera kraftigt från fall till fall trots att det kan samma data som delas i olika situationer. Vilken typ av åtgärd som är lämplig kommer bero på vilka data som ska delas, hur den ser ut, vem som ska ta del av den och för vilka ändamål.
3.6.2. Säkra behandlingsmiljöer
Det saknas en entydig definition av vad en säker behandlingsmiljö är. I förslaget till EHDS finns det beskrivet i artikel 50 och avser då en miljö där data kan behandlas och där risken för obehörig läsning, kopiering, ändring eller borttagning av data minimerats. Datatillgången har också begränsats till de data som dataanvändaren fått tillstånd att få tillgång till. Ett av de primära användningsområdena för säkra behandlingsmiljöer är att skapa en miljö där personuppgifter kan behandlas på ett mer integritetssäkert sätt och även att minimera risken för okontrollerat vidareutnyttjande.
I Sverige finns inga statliga säkra behandlingsmiljöer som liknar den säkra behandlingsmiljö som Findata erbjuder och dit aktörer kan vända sig för att behandla hälsodata. SCB har en mer generell plattform för tillgängliggörande av mikrodata, MONA (Microdata Online Access). I MONA kan användare göra bearbetningar via internet utan att mikrodata lämnar SCB. Med mikrodata menas uppgifter som avser enskilda objekt, till exempel personer eller företag. Hälsodata på micronivå är i stort sett alltid känsliga personuppgifter.
MONA-användare arbetar i Windowsmiljö via fjärruppkoppling. Mikrodata blir då synliga på dataskärmen och bearbetningar görs med de programvaror som finns i MONA. Resultat laddas ner till den egna datorn, men mikrodata sparas i MONA. Användaren kan inte utan särskild överenskommelse med SCB ta ut mikrodata från MONA. Användare har själva möjlighet att föra över eget material till sin lagringsyta i MONA, till exempel statistik eller skript som behövs för det syfte som SCB lämnat ut data för. Förutom åtkomst till utlämnade
mikrodata, programvaror och egen lagringsyta har användare i MONA tillgång till metadata om de flesta av SCB:s mikrodataregister.
Säkra behandlingsmiljöer och så kallade datahubbar, även kallat datadelningstjänster är centrala i förslaget till EHDS och utredningen skriver i kapitel 10 mer om det pågående arbete som de olika medlemsländer gör för att förbereda sig inför EHDS.
3.6.3. Syntetiska data
Syntetiska data är artificiella data som genereras från originaldata genom att använda en modell som är tränad för att reproducera egenskaperna och strukturen hos originaldatan. Det innebär att syntetiska data och originaldata bör ge mycket liknande resultat när de genomgår samma statistiska analys. Den grad i vilken syntetiska data är en korrekt proxy45 för originaldata är ett mått på användbarheten av metoden och modellen.46 Det gör att syntetiska data möjliggör användning av detaljerade data över stora populationer utan att de utgör personuppgifter, eftersom populationen som representeras i datan är en population som till sin struktur liknar den faktiska populationen, men innehåller inga individer som finns på riktigt. Exempelvis så har Storbritanniens National health service (NHS) Digital tagit fram ett syntetiskt dataset baserat på deras cancerregister.47
Det finns flera olika sätt att ta fram syntetiska data och precis som för anonymisering kan det vara svårt att bedöma om syntetiska data innehåller personuppgifter. Exempelvis kan slumpen göra att det genereras en person som inte finns på riktigt, men som teoretiskt sätt kan ha samma karakteristika som en person i verkligheten. Utredningens bedömning är att detta inte är en personuppgift på samma sätt som att någon skulle kunna gissa utifrån givna sannolikheter att en person har ett visst namn, ålder, diagnos och jobbar på en viss arbetsplats. Med givna sannolikheter går det att göra ganska träffsäkra gissningar. Sådana gissningar gör dock inte att det blir en personuppgift eftersom personen är en teoretisk person. Om antagandet görs
45 Proxy (av engelska proxy som betyder ”ombud”, ”fullmakt”, ”ställföreträdande” eller ”indirekt”) betyder i vetenskapliga sammanhang att man vill mäta eller uppskatta något som inte kan mätas direkt, där man då i stället mäter något annat som har en känd relation till det man egentligen ville undersöka. (Proxy – Wikipedia 2022-10-06). 46 https://edps.europa.eu/press-publications/publications/techsonar/synthetic-data_en (2022-10-06). 47 https://www.cancerdata.nhs.uk/simulacrum (2022-10-06).
att det skulle kunna ses som en personuppgift skulle också exempelvis fiktiva exempel i utbildningsmaterial som baseras på helt påhittade människor kunna vara personuppgifter om det senare visar sig att det finns eller har funnits en person som stämmer in på den karakteristikan. Att så är fallet går att härleda genom matematisk logik.
Ett exempel på detta är att ett syntetiskt dataset många gånger tas fram ifrån ett register. I det syntetiska datasetet som tagits fram ska det inte finnas några observationer som är samma som de i det ursprungliga datasetet. Det kan därmed antas att det inte finns några personuppgifter i det syntetiska datasetet. Om ett antal personer tillkommer till registret varje dag kommer registret till slut innehålla oändligt många observationer. Om det finns oändligt med observationer så innebär det att alla kombinationer kommer att finnas med i det ursprungliga registret. Det syntetiska datasetet kommer, allt eftersom tiden går mot oändligheten, att innehålla data som överensstämmer med oändligt många personer i det ursprungliga registret. Om det syntetiska datasetet inte kontrolleras mot det register som det skapades utifrån varje gång en ny observation läggs till registret, kommer det inte heller gå att observera när datasetet skulle antas innehålla personuppgifter.
Utredningen anser att antagandena ovan är rimliga eftersom det annars skulle betyda att det syntetiska datasetet innehåller personuppgifter på personer som ännu inte fötts. Därav kan antas att innehållet i det syntetiska datasetet inte är att betrakta som personuppgifter.
Ett pragmatiskt, förhållandevis snabbt och billigt exempel på ett sätt att se om det går att identifiera en person ur ett populationsregister är att be personen eller personerna som ingår i underlaget och gjort det syntetiska datasetet att hitta sig själva. De har oftast det tekniska kunnandet, tillgänglig teknik och dessutom oftast mer kunskap om sig själv än vad andra har. Kan de inte hitta sig själva är det sannolikt så att det syntetiska datasetet inte innehåller personuppgifter.
3.6.4. Federerade analyser
Federering avser att samordna eller sammanföra, exempelvis är federerade databaser flera databaser som hanteras som en enhet.48 Federerade analyser är metoder som gör det möjligt att åstadkomma ana-
48 https://it-ord.idg.se/ord/federate/.
lyser baserat på flera olika datakällor utan att behöva flytta känsliga personuppgifter utanför källsystemen och de skyddsmekanismer som omger dessa. Exponeringen av data kan därför reduceras.49,50
49 Läkemedelsverket 4.3.1-2020-017988. 50 Federerade analyser – IT-arkitektur, Rapport från Läkemedelsverket, Datum: 2021-12-03, Dnr: 4.3.1-2020-017988.
4. Initiativ inom EU på hälsodataområdet
4.1. Inledning
Utredningen bedömer att det är relevant att beskriva den EU-rättsliga kontexten som utredningens förslag behöver förhålla sig till. Det framgår också av direktiven till utredningen att flera delar av utredningens uppdrag sammanfaller med delar av Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om ett europeiskt hälsodataområde COM(2022) 197 final av den 3 maj 2022, förkortad förslaget till EHDS. Utredningens arbete kommer också påverkas av Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724, förkortad EU:s dataförvaltningsförordning (även kallad dataförvaltningsakten). Vidare kommer utredningens arbete påverkas av Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och användning av data COM(2022) 68 final av den 23 februari 2022, förkortad förslaget till Förordning om harmoniserade regler för skälig åtkomst till och användning av data (även kallad dataakten).
Eftersom EHDS och relaterade akter, så som dataakten fortfarande är under förhandling och kan komma att ändras under förhandlingsprocessen har utredningen valt att begränsa sig till att inte analysera kommissionens olika förslag mer djupgående. Utredningen förhåller sig i stället till akternas inriktning och vad de syftar till att åstadkomma för att utredningens förslag ändå ska gå i linje med vad Europeiska kommissionen vill uppnå med rättsakterna (se även kapitel 9 där EU:s dataförvaltningsförordning redogörs för ytterligare). Utredningens bedömning är också att utredningens förslag varken överlappar eller krockar med förslaget till EHDS.
4.2. En europeisk dataekonomi
4.2.1. Kommissionens meddelande om att skapa en europeisk dataekonomi
Arbetet inom Europeiska unionen med att skapa en europeisk dataekonomi har pågått under många år. Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad EU:s dataskyddsförordning, trädde i kraft 2018. Det var runt denna tidpunkt som arbetet med omställningen till en dataekonomi började ta form inom EU. Tidigare reglering hade endast berört enskilda sektorer så som direktiv 2015/2366 om betaltjänster eller data som inte är personuppgifter.1 Så även om dataekonomin diskuterats inom EU tidigare än 20182,3 var EU:s dataskyddsförordning den första mer övergripande regleringen som rörde personuppgiftsbehandling i syfte att skapa en stabil ram för digitalt förtroende (COM(2020) 66 final s. 4)4, vilket angetts som en förutsättning för att skapa en datadriven ekonomi (COM(2017) 9 final s. 3). Därefter har även förordningar såsom EU:s dataförvaltningsförordning och förslagen till dataförordningen och EHDS kommit, vilka alla kommer ha en stor inverkan på medlemsstaternas reglering av data.
Utredningen har valt att beskriva EU-kontexten från och med året 2017 som var året innan EU:s dataskyddsförordning trädde i kraft och året som meddelandet från Europiska kommissionen om att skapa en europeisk dataekonomi publicerades.5 Kommissionen konstaterar i sitt meddelande att data har blivit en viktig resurs för ekonomisk tillväxt, sysselsättning och samhällsutveckling. Vidare konstateras att genom dataanalys underlättas optimeringen av processer och beslut,
1 Europaparlamentets och rådets förordning (EU) 2018/1807 av den 14 november 2018 om en ram för det fria flödet av andra data än personuppgifter i Europeiska unionen (Text av betydelse för EES.). 2 Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, ”Skydd av den personliga integriteten i en uppkopplad värld En europeisk ram för personuppgiftsskydd för tjugohundratalet”, COM(2012) 9. 3 Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, ”Mot en blomstrande datadriven ekonomi”, COM(2014) 442. 4 Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, ”EU-strategi för data”, COM(2020) 66 final). 5 Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, ”Att skapa en europeisk dataekonomi”, COM(2017) 9 final av den 10 januari 2017.
innovation och möjligheten att förutse framtida händelser. Kommissionen framhäver att det inom olika områden finns stor potential i denna globala trend, så som inom hälsa, miljö, livsmedelssäkerhet, klimat- och resurseffektivitet, energi, intelligenta transportsystem och smarta städer (COM(2017) 9 final, s. 2).
Kommissionen beskriver dataekonomin6 som en ekonomi som kännetecknas av ett ekosystem bestående av olika typer av marknadsaktörer, såsom tillverkare, forskare och leverantörer av infrastruktur, som samarbetar för att säkerställa att data är tillgängliga och användbara. Dataekonomin gör det möjligt för marknadsaktörerna att dra nytta av data genom att skapa en mängd olika tillämpningar som har potential att förbättra produkter, tjänster och processer (COM(2017) 9 final, s. 2).
Vidare konstaterar kommissionen att den datadrivna omvandlingen och ny teknik leder till att det ständigt genereras ökande mängder data av maskiner och nya processer. Även uppkopplingen till internet i sig själv förändrar uppgifternas tillgänglighet, eftersom det i allt högre utsträckning delas data digitalt och datan blir därmed inte lika bunden av fysiska och geografiska barriärer.
4.2.2. EU:s dataskyddsförordning
Även då EU:s dataskyddsförordning har ett annat syfte än att skapa en mer datadriven ekonomi, kan förordningen enligt Kommissionen ses som ett av de första stegen mot en mer datadriven ekonomi när den trädde i kraft i maj 2018. I meddelandet från Europiska kommissionen om att skapa en europeisk dataekonomi angavs att en enda heltäckande uppsättning regler för hela Europa skulle garantera en konsekvent tolkning av de nya reglerna (COM(2017) 9 final, s. 2). I de inledande beaktandesatserna till förordningen finns liknande resonemang och vikten av att reglerna inte ska utgöra ett hinder för flöden av personuppgifter inom EU återfinns. Det framhålls även att ett tydligt och likvärdigt skydd för de enskildas personuppgifter utgör en förutsättning för att den inre marknaden ska fungera väl.7
6 Dataekonomin mäter de totala effekterna av datamarknaden, det vill säga marknaden för datatjänster där data utbyts som produkter eller tjänster som härrör från rådata, på ekonomin i sin helhet. Den omfattar den generering, insamling, lagring, bearbetning, distribution, analys, utveckling, leverans och det utnyttjande av data som möjliggjorts genom digital teknik (European Data Market study, SMART 2013/0063, IDC, 2016). 7 Se EU:s dataskyddsförordning skäl 10 och 13.
4.2.3. EU:s datastrategi och dataområde
I EU:s datastrategi8 skriver kommissionen att deras vision bygger på europeiska värden om grundläggande rättigheter och på övertygelsen om att människan är och bör förbli i centrum (COM(2020) 66 final s. 4). Kommissionen anger att målet är att skapa ett gemensamt europeiskt dataområde – en genuin inre marknad för data. För att åstadkomma det föreslår kommissionen att EU bör kombinera ändamålsenlig lagstiftning med styrning för att säkerställa tillgången till data, med investeringar i standarder, verktyg och infrastrukturer samt kompetens att hantera data (COM(2020) 66 final s. 5).
Vidare beskrivs att det europeiska dataområdets funktion kommer att vara beroende av EU:s förmåga att investera i nästa generations teknik och infrastruktur samt i digitala färdigheter som datakompetens. Infrastrukturen är tänkt att stödja skapandet av europeiska datapooler som möjliggör stordataanalys och maskininlärning på ett sätt som stämmer överens med dataskydds- och konkurrenslagstiftningen och gör det möjligt för datadrivna ekosystem att växa fram (COM(2020) 66 final s. 5).
4.2.4. Den digitala kompassen
I mars 2021 presenterade kommissionen sitt meddelande Digital kompass 2030: den europeiska vägen in i det digitala decenniet.9 I meddelandet föreslår kommissionen att en digital kompass ska införas för att omsätta EU:s digitala ambitioner för 2030 i konkreta mål och säkerställa att dessa mål uppnås. Kompassen består av fyra huvudpunkter (COM(2021) 118 final s. 4): – Kompetens. – Säker och hållbar digital infrastruktur. – Digital omställning av näringslivet. – Digitalisering av offentlig service.
8 Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, En EU-strategi för data, COM(2020) 66 final av den 19 februari 2020. 9 Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, Digital kompassen 2030: den europeiska vägen in i det digitala decenniet, COM(2021) 118 final av den 9 mars 2021.
Därutöver förtydligas att omställningen bygger på att säkerställa full respekt för EU:s grundläggande rättigheter (COM(2021) 118 final s. 14): – Yttrandefriheten, inklusive tillgången till mångsidig, tillförlitlig och
öppen information. – Friheten att starta och bedriva affärsverksamhet på nätet. – Skyddet av personuppgifter och integritet samt rätten att bli bort-
glömd. – Skyddet av enskildas intellektuella verk i det digitala rummet.
Till dessa tillkommer en uppsättning digitala principer som är tänka att möjliggöra att informera användare och vägleda beslutsfattare och digitala operatörer (COM(2021) 118 final s. 14): – Allmän tillgång till internettjänster. – En säker och tillförlitlig miljö på nätet. – Allmän digital utbildning och allmänna digitala färdigheter så att
människor kan delta aktivt i samhället och i demokratiska processer. – Tillgång till digitala system och apparater som tar hänsyn till miljön. – Digital offentlig service och information för alla med människan
i centrum. – Etiska principer för algoritmer där människan står i centrum. – Skydd och egenmakt för barn på internet. – Tillgång till digital hälso- och sjukvård.
Utöver huvudpunkterna, de grundläggande rättigheterna och de digitala principerna finns en rad mål. Tre exempel på mål är: – 75 procent av de europeiska företagen har anammat molntjänster,
stordata och artificiell intelligens (COM(2021) 118 final s. 11). – 100 procent av EU-medborgarna har tillgång till sina patientjour-
naler (e-journaler) (COM(2021) 118 final s. 13). – 80 procent av medborgarna använder en digital id-lösning (COM
(2021) 118 final s. 13).
Målen ska uppfyllas genom en kombination av investeringar och ny lagstiftning (COM(2020) 66 final, s. 5). Det finns en rad olika fonder som medlemsländerna kan ansöka om medel från. Det är framför allt Programmet för ett digitalt Europa (DIGITAL) som används för att bygga upp infrastrukturen för de olika dataområdena.10
Även om medlemsstaterna kan ansöka om medel från EU så kommer omställningen till en datadriven ekonomi sannolikt innebära omfattande investeringskostnader för samtliga medlemsländer.
4.2.5. Förslaget till AI-förordningen
I Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om harmoniserade regler för artificiell intelligens (rättsakt om artificiell intelligens) och om ändring av vissa unionslagstiftningsakter COM(2021) 206 final av den 21 april 2021, förkortad förslaget till AI-förordningen,11 föreslås harmoniserade regler för utveckling och användning av AI-system i unionen. De föreslagna regelverken har fyra specifika mål (COM(2021) 206 final s. 3): – Säkerställa att AI-system som släpps ut och används på unions-
marknaden är säkra och är förenliga med befintlig lagstiftning om de grundläggande rättigheterna och unionens värden. – Säkerställa rättssäkerhet för att underlätta investeringar och inno-
vation för AI. – Förbättra styrningen och säkra en effektiv kontroll av uppfyllandet
av befintlig lagstiftning om de grundläggande rättigheterna och säkerhetskrav som är tillämpliga på AI-system. – Främja utvecklingen av en inre marknad för lagliga, säkra och till-
förlitliga AI-tillämpningar och förhindra marknadsfragmentering.
I artikel 5.1 i förordningen föreslås att vissa typer av AI-tillämpningar ska vara förbjudna. En sådan AI-tillämpning är offentliga myndigheters användande av AI-system för att utvärdera eller klassificera fysiska personers pålitlighet under en viss tidsperiod på grundval av deras sociala beteende eller kända eller förutsedda personliga eller personlig-
10 Europaparlamentets och rådets förordning (EU) 2021/694 av den 29 april 2021 om inrättande av programmet för ett digitalt Europa och om upphävande av beslut (EU) 2015/2240. 11 Även kallad AI-akten.
hetsrelaterade egenskaper, med en social poängsättning som leder till skadlig eller ogynnsam behandling av vissa fysiska personer eller hela grupper av fysiska personer i sociala sammanhang som saknar koppling till de sammanhang i vilka berörda data ursprungligen genererades eller samlades in (se artikel 5.1 c).
Därtill föreslås klassificeringsregler för AI-system med hög risk (se artikel 6). Ett sådant exempel är AI-system som är avsedda att användas av myndigheter eller för offentliga myndigheters räkning för att utvärdera fysiska personers rätt till förmåner och tjänster i form av offentligt stöd samt för att bevilja, dra ner på, återkalla eller återkräva sådana förmåner och tjänster (se artikel 6.2). För den typen av AI föreslås en rad krav, såsom ökad dokumentation (se artikel 9.1).
4.2.6. EU:s dataförvaltningsförordning
I EU:s dataförvaltningsförordning finns reglering för att främja att data från offentliga myndigheter och vissa andra organ eller sammanslutningar görs tillgänglig för vidareutnyttjande (se vidare kapitel 9 för närmare redogörelse av vilka som träffas av reglerna). Det framgår också att främja tillgången till dessa data för vetenskaplig forskning enligt principen så öppen som möjligt, så begränsad som nödvändigt. (se skäl 16). Andra centrala skäl för förordningen är att det behövs åtgärder för att öka förtroendet för datadelning (se skäl 5).
I artikel 1 framgår att förordningen fastställer följande: – Villkoren för vidareutnyttjande inom unionen av vissa kategorier
av data som innehas av offentliga myndigheter, – En ram för anmälan av och tillsyn över tillhandahållandet av data-
förmedlingstjänster, – En ram för frivillig registrering av enheter som samlar in och be-
handlar data som tillhandahålls för altruistiska ändamål, – En ram för inrättandet av en europeisk datainnovationsstyrelse.
Förordningen innehåller i artikel 2 en rad definitioner som har relevans när det talas om datadelning, så som data (se vidare avsnitt 3.2), vidareutnyttjande (se vidare avsnitt 9.2), datadelning (se vidare avsnitt 3.4) med mera vilka utredningen har att förhålla sig till.
Som framgår av kapitel 9 skapar inte dataförvaltningsförordningen några nya möjligheter till datadelning eller vidareutnyttjande utan reglerar snarare hur ett sådant tillgängliggörande får se ut i de fall sådana data kan tillgängliggöras för vidareutnyttjande enligt befintliga regler och att dataförvaltningsförordningen är tillämplig på den aktuella situationen. Likaså påverkar inte dataförvaltningsförordningen nationella bestämmelser om sekretess. Det innebär att bestämmelser i offentlighets- och sekretesslagen (2009:400), förkortad OSL, ska tillämpas som vanligt även om datahållaren är en sådan aktör som kan omfattas av reglerna i dataförvaltningsförordningen.
På grund av det ovanstående gör utredningens den preliminära bedömningen att ingen av de situationer där utredningen lämnar författningsförslag är oförenliga med dataförvaltningsförordningen eller de kompletterande bestämmelser som föreslagits i Ds 2023:24 Genomförande av EU:s dataförvaltningsförordning. Enligt utredningen reglerar dataförvaltningsförordningen respektive utredningens förslag olika saker.
4.2.7. Förslaget till dataförordningen
I förslaget till dataförordningen föreslås harmoniserade regler för rättvis åtkomst till och användning av data (COM(2022) 68 final s. 1) Syftet är att säkerställa en rättvis fördelning av datauppgifternas värde bland aktörerna i dataekonomin och att främja åtkomsten till och användningen av data (COM(2022) 68 final s. 16), vilket regleras i artikel 13. Förslagets specifika mål är att (COM(2022) 68 final s. 13): – Underlätta konsumenternas och företagens åtkomst till och an-
vändning av data, och samtidigt bevara incitamenten att investera i skapandet av värde genom data. – Se till att de offentliga myndigheterna och unionens institutioner,
byråer och organ kan använda data som innehas av företag i särskilda situationer där behovet av data är stort. – Underlätta byten mellan olika tjänster för molnteknik och edge
computing. – Införa skyddsåtgärder mot olaglig överföring av data utan före-
gående meddelande av molntjänstleverantören.
– Utarbeta interoperabilitetsstandarder för data som ska återanvändas
mellan olika sektorer i ett försök att undanröja hinder för datautbytet mellan gemensamma domänspecifika europeiska dataområden, i enlighet med kraven på interoperabilitet inom sektorn, och mellan andra data som inte omfattas av ett särskilt gemensamt europeiskt dataområde.
Även denna förordning innehåller förslag på definitioner som har bäring på datadelning, såsom data, datainnehavare och datamottagare (se artikel 2).
4.2.8. Förslaget till EHDS
Reglering för inrättandet av det första domänspecifika gemensamma europeiska dataområdet, hälsodataområdet, återfinns i förslaget till EHDS. Förordningen håller fortfarande på att förhandlas, men i korthet kan sägas att EHDS bland annat syftar till att öka interoperabiliteten på hälsodataområdet, öka möjligheterna för sekundäranvändning av hälsodata samt öka fysiska personers kontroll över sina egna hälsodata.
Utredningen har bedömt att förslaget till EHDS syftar till att skapa ett juridiskt ramverk för att underlätta datadelning på hälsodataområdet inom EU. Förslaget syftar även till att i delar inrätta och i andra delar stimulera till utvecklingen av en EU-gemensam digital infrastruktur. Med detta avser utredningen en digital infrastruktur på den nationella nivån som är interoperabel mellan EU-länderna och med den digitala infrastruktur som finns på EU-nivå. Det innebär också en större integrering mellan infrastrukturer på olika områdena så som mellan hälso- och sjukvården och forskningen.
5. Hälso- och sjukvård
5.1. Inledning
Utredningen har på datahållarsidan avgränsat uppdraget till vidareanvändning av hälsodata som finns inom hälso- och sjukvården, se avsnitt 2.7.3. Hälso- och sjukvården finns också på dataanvändarsidan, bland annat vid vidareanvändning av hälsodata för vårdändamål, se avsnitt 2.7.4 och kopplat till utvecklingsändamålet, se kapitel 23. I ljuset av detta är regelverk som gäller för hälso- och sjukvård samt för dess organisation av betydelse för förståelsen av utredningens förslag och betänkandet i övrigt.
Regeringsformen, förkortad RF, tar i en av sina portalparagrafer upp det allmännas ansvar att verka för goda förutsättningar för hälsa (1 kap. 2 § andra stycket RF). Den rättsliga regleringen av hälso- och sjukvården finns i ett stort antal lagar och andra författningar. Även internationell och EU-rättslig reglering finns på hälso- och sjukvårdens område. I detta kapitel kommer regler kring hälso- och sjukvård med generell tillämplighet att beröras. Detta innefattar grundläggande internationella regler samt nationella mål, principer och regler för hälso- och sjukvården. Därutöver kommer vissa centrala skyldigheter för vårdgivare och hälso- och sjukvårdspersonal kopplade till vården att beskrivas. Viss speciallagstiftning på hälso- och sjukvårdsområdet kommer också att redogöras för. Slutligen kommer ansvaret för hälso- och sjukvården och dess övergripande organisatoriska förhållanden att beskrivas. Utredningens avgränsningar gör att det är den regionala hälso- och sjukvården som är fokus i betänkandet och i utredningens författningsförslag. För att redogörelsen av ansvar och organisation ska bli rättvisande beskrivs dock även kort kommunernas ansvar och privata aktörer som vårdgivare i detta kapitel.
Utredningen använder definitionen av hälso- och sjukvård som finns i patientdatalagen (2008:355), förkortad PDL, se avsnitt 2.6.1.
Definitionen i PDL omfattar även tandvården. Utifrån att utredningens författningsförslag inte omfattar tandvården, berörs inte tandvårdslagen (1985:125) i detta kapitel.
5.2. Hälsa och tillgång till sjukvård som mänsklig rättighet
Att ha tillgång till hälso- och sjukvård är en grundläggande förutsättning för att människor ska kunna tillförsäkras en godtagbar levnadsstandard. I FN:s allmänna förklaring om de mänskliga rättigheterna från 1948 illustreras detta genom bestämmelsen att var och en har rätt till en levnadsstandard tillräcklig för den egna och familjens hälsa och välbefinnande, inklusive mat, kläder, bostad, hälsovård och nödvändiga sociala tjänster (artikel 25.1). Förklaringen är inte formellt bindande, men ses som ett uttryck för sedvanerättsliga regler.
I artikel 12.1 i 1966 års FN-konvention om ekonomiska, sociala och kulturella rättigheter, förkortad ICESCR-konventionen erkänns rätten för var och en att åtnjuta bästa möjliga fysiska och psykiska hälsa. Där anges de åtgärder som konventionsstaterna ska vidta för att tillgodose denna rätt. Vidare anges bland annat att medlemsstaterna ska förbättra alla aspekter av samhällets hälsovård. Artikel 12.1 i ICESCRkonventionen anger också att medlemsstaterna ska förebygga, behandla och bekämpa alla epidemiska och endemiska sjukdomar, yrkessjukdomar och andra sjukdomar. Vidare anges att medlemsstaterna ska skapa förutsättningar som tillförsäkrar alla läkarvård och sjukhusvård i händelse av sjukdom. ICESCR ratificerades av Sverige år 1971 och trädde i kraft år 1976.1
I artikel 24 i FN:s konvention om barnets rättigheter, förkortad Barnkonventionen, erkänns barnets rätt till bästa möjliga hälsa och tillgång till hälso- och sjukvård och rehabilitering. Vidare anges att konventionsstaterna ska sträva efter att säkerställa att inget barn berövas sin rätt att ha tillgång till sådan hälso- och sjukvård. Sverige har ratificerat Barnkonventionen och den är dessutom svensk lag sedan den 1 januari 2020, se lag (2018:1197) om Förenta nationernas konvention om barnets rättigheter.
Även Europeiska unionens stadga om de grundläggande rättigheterna, förkortad rättighetsstadgan, erkänner rätten till hälsoskydd.
1 SÖ 1971:41. Sverige gjorde vid ratificeringen förbehåll mot artikel 7 d.
I artikel 35 anges att var och en har rätt till tillgång till förebyggande hälsovård och till medicinsk vård på de villkor som fastställs i nationell lagstiftning och praxis. Av samma bestämmelser framgår att en hög nivå av skydd för människors hälsa ska säkerställas vid utformning och genomförande av all unionspolitik och alla unionsåtgärder.
Rätten till skydd för den enskildes hälsa återfinns också i 1961 års europeiska sociala stadga. I artikel 11 anges att parterna åtar sig att vidta de åtgärder som är nödvändiga, bland annat för att så långt som möjligt undanröja orsakerna till ohälsa samt att så långt som möjligt förebygga uppkomsten av exempelvis sjukdomar och olycksfall.
5.3. Mål och principer för hälso- och sjukvården
Hälso- och sjukvårdslagen (2017:30), förkortad HSL, är en målinriktad ramlagstiftning för hälso- och sjukvården i Sverige (prop. 2016/17:43 s. 78 och 80). Den innehåller bland annat bestämmelser om hur hälso- och sjukvårdsverksamhet ska bedrivas, oavsett vem det är som bedriver vården (se 1 kap. 1 § HSL).
I 3 kap. 1 § HSL anges att målet med hälso- och sjukvården är en god hälsa och en vård på lika villkor för hela befolkningen. Hälso- och sjukvårdens hälsouppdrag lyfts även särskilt i 3 kap. 2 § HSL, där det framgår att hälso- och sjukvården ska arbeta för att förebygga ohälsa.
Av 3 kap 1 § andra stycket HSL framgår två grundläggande principer för hur hälso- och sjukvård ska ges. Vården ska ges med respekt för alla människors lika värde och för den enskilda människans värdighet (människovärdesprincipen). Den som har det största behovet av hälso- och sjukvård ska ges företräde till vården (behovs-solidaritetsprincipen). Vidare anges i 4 kap. 1 § HSL att all offentligt finansierad hälso- och sjukvårdsverksamhet ska vara organiserad så att den främjar kostnadseffektivitet (kostnadseffektivitetsprincipen). Kostnadseffektivitetsprincipen är underordnad de två andra principerna (prop. 1996/ 97:60 s. 21).
Människovärdesprincipen, behovs-solidaritetsprincipen och kostnadseffektivitetsprincipen är de etiska principer som återfinns i regeringens riktlinjer för prioriteringar inom hälso- och sjukvården, den
så kallade etiska plattformen för prioriteringar (prop. 1996/97:60 s. 18–22). Riksdagen har ställt sig bakom dessa riktlinjer.2
5.3.1. God vård
I 5 kap. 1 § HSL anges att hälso- och sjukvårdsverksamhet ska bedrivas så att kraven på en god vård uppfylls. Det innebär enligt bestämmelsen att vården särskilt ska
1. vara av god kvalitet och en god hygienisk standard,
2. tillgodose patientens behov av trygghet, kontinuitet och säkerhet,
3. bygga på respekt för patientens självbestämmande och integritet,
4. främja goda kontakter mellan patienten och hälso- och sjukvårds-
personalen, och
5. vara lätt tillgänglig.
Bestämmelsen om god vård infördes i lagstiftningen i och med 1982 års hälso- och sjukvårdslag och flyttades över till 2017 års HSL i en något omstrukturerad form (se prop. 2016/17:43 s. 95). Den innehåller centrala aspekter på vad en god vård avser, men är inte uttömmande. Enligt regeringen bör det stå klart för berörda aktörer att kraven på god vård är komplexa och att de även beskrivs bland annat på andra ställen i HSL samt i andra författningar och kunskapsstöd (prop. 2016/17:43 s. 95).
Det framkommer ingen ytterligare ledning i förarbetena till 2017års HSL kring vad en god vård konkret avser. För att hitta sådan ledning måste vägledning sökas i förarbetena till 1982 års hälso- och sjukvårdslag, där det bland annat uttalas att ett grundläggande krav som måste ställas på hälso- och sjukvården är att den är av god kvalitet. Kravet innebär bland annat att hälso- och sjukvården ska ha den medicinskt tekniska kvalitet som behövs och även tillgodose kraven på en god omvårdnad samt vara anpassad till den enskilde patientens särskilda förhållanden. Det måste förutsättas att vården tillgodoser människornas behov av trygghet och säkerhet i medicinskt hänseende (prop. 1981/82:97 s. 56). Vidare tas aspekter på god materiell kvalitet upp, såsom kvaliteten på såväl teknisk utrustning – från tänger, för-
2 Se Riksdagens protokoll 1996/97:90 och Socialutskottets betänkande 1996/97:SoU14.
bandsmateriel och läkemedel till den mest komplicerade tekniska utrustningen (se prop. 1981/82:96 s. 116). Innan en ny diagnos- eller behandlingsmetod som kan ha betydelse för människovärde och integritet börjar tillämpas, ska vårdgivaren se till att metoden har bedömts från individ- och samhällsetiska aspekter (5 kap. 3 § HSL). Den generella bestämmelsen om god vård kompletteras av 5 kap. 2 § HSL, av vilken det följer att där det bedrivs hälso- och sjukvårdsverksamhet ska det finnas den personal, de lokaler och den utrustning som krävs för att en god vård ska kunna ges. Vid bestämmelsens införande anförde regeringen att kraven på vårdgivarens personal, lokaler och utrustning är av avgörande betydelse för vårdens kvalitet och patientsäkerhet (prop. 1995/96:176 s. 53). Kvaliteten i verksamheten ska systematiskt och fortlöpande utvecklas och säkras (5 kap. 4 § HSL).
Begreppet god vård är även inarbetat i sjukvårdens ledningssystem för kvalitet. Det regleras i dag i Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete och ligger till grund för Socialstyrelsens arbete med bland annat nationella indikatorer för god vård (se prop. 2019/20:164 s. 37, samt nedan avseende systematiskt kvalitetsarbete inom hälso- och sjukvården avsnitt 5.5). Bland bestämmelserna i HSL om hur verksamheten ska bedrivas, återfinns också principen om barnets bästa. Det anges att när vård ges till barn ska barnets bästa särskilt beaktas (5 kap. 6 § HSL). Hälso- och sjukvården ska också särskilt beakta barns behov av information, råd och stöd om barnets förälder eller någon annan vuxen som barnet varaktigt bor tillsammans med har en psykisk störning eller en psykisk funktionsnedsättning, har en allvarlig fysisk sjukdom eller skada, har ett missbruk av alkohol, annat beroendeframkallande medel eller spel om pengar, eller utsätter eller har utsatt barnet eller en närstående till barnet för våld eller andra övergrepp (5 kap. 7 § första stycket HSL). Detsamma gäller enligt bestämmelsens andra stycke om barnets förälder eller någon annan vuxen som barnet varaktigt bor tillsammans med oväntat avlider.
När hälso- och sjukvård ges till personer som har stora och varaktiga funktionsnedsättningar ska det särskilt övervägas om vården kan ges på ett sätt som bidrar till att den enskilde får möjlighet att delta i samhällslivet och kan leva som andra (5 kap. 9 § HSL).
5.3.2. Säker vård och hälso- och sjukvårdspersonalens allmänna skyldigheter
Att eftersträva en hög patientsäkerhet är ytterligare en central del inom hälso- och sjukvården. I patientsäkerhetslagen (2010:659), förkortad PSL, finns ett antal skyldigheter för vårdgivare och vårdpersonal i syfte att främja en hög patientsäkerhet inom hälso- och sjukvården (se 1 kap. 1 § första stycket PSL). I lagen finns bland annat bestämmelser om vårdgivarens skyldighet att bedriva ett systematiskt patientsäkerhetsarbete (se 3 kap. PSL), skyldigheter för hälso- och sjukvårdspersonal3 med flera (se 6 kap. PSL) samt Inspektionen för vård och omsorgs tillsyn över hälso- och sjukvården och dess personal (se 7 kap. PSL). Vidare finns Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2017:40) om vårdgivares systematiska patientsäkerhetsarbete.
I 6 kap. 1 § PSL anges att hälso- och sjukvårdspersonal ska utföra sitt arbete i överensstämmelse med vetenskap och beprövad erfarenhet. En patient ska ges sakkunnig och omsorgsfull hälso- och sjukvård som uppfyller dessa krav. Vården ska så långt som möjligt utformas och genomföras i samråd med patienten. Patienten ska även visas omtanke och respekt (6 kap. 1 § PSL).
5.4. Hälso- och sjukvårdens skyldigheter från ett patientperspektiv
Hälso- och sjukvårdens skyldigheter, utifrån ett patientperspektiv, har ytterligare utvecklas och samlats i patientlagen (2014:821), förkortad PL. Lagen har till övergripande syfte att stärka och tydliggöra patientens ställning samt att främja patientens integritet, självbestämmande och delaktighet inom hälso- och sjukvården (1 kap. 1 § första stycket PL).
I PL framhålls att patientens självbestämmande och integritet ska respekteras (4 kap. 1 § PL). Vidare framgår av 4 kap. 2 § första stycket PL att hälso- och sjukvård inte får ges utan patientens samtycke, om inte annat följer av PL eller någon annan lag. I exempelvis akuta situationer får vård ges utan samtycke (se 4 kap. 4 § PL). Patienten kan, om inte annat följer av lag, lämna sitt samtycke skriftligen, muntligen eller genom att på annat sätt visa att han eller hon samtycker till den
3 Se definition av hälso- och sjukvårdspersonal i 1 kap. 4 § PSL.
aktuella åtgärden (4 kap. 2 § andra stycket PL). Enligt 4 kap. 2 § tredje stycket PL kan patienten när som helst ta tillbaka sitt samtycke. Om patienten avstår från viss vård eller behandling, ska patienten få information om vilka konsekvenser detta kan medföra.
Innan samtycke inhämtas ska patienten få information enligt 3 kap. PL (4 kap. 2 § första stycket PL). Patienten ska till exempel få information om sitt hälsotillstånd, de metoder som finns för undersökning, vård och behandling, det förväntade vård- och behandlingsförloppet och väsentliga risker för komplikationer och biverkningar (3 kap. 1 § PL). Enligt 3 kap. 2 § PL ska patienten även få information om bland annat möjligheten att välja behandlingsalternativ samt vårdgivare och utförare av offentligt finansierad hälso- och sjukvård. Patienten ska också får information om möjligheten att få en ny medicinsk bedömning.
Hälso- och sjukvården ska så långt som möjligt utformas och genomföras i samråd med patienten (5 kap. 1 § PL). Detta är ett uttryck för att patienten ska göras delaktig i sin vård.
När det finns flera behandlingsalternativ som står i överensstämmelse med vetenskap och beprövad erfarenhet ska patienten få möjlighet att välja det alternativ som hen föredrar. Patienten ska få den valda behandlingen, om det med hänsyn till den aktuella sjukdomen eller skadan och till kostnaderna för behandlingen framstår som befogat (7 kap. 1 § första stycket PL).
Patienter som omfattas av regionens ansvar för hälso- och sjukvård har rätt att välja utförare av offentligt finansierad öppen vård inom eller utom denna region (9 kap. 1 § första stycket PL). Nedan redogörs för ansvaret för hälso- och sjukvård samt olika utförare, se avsnitt 5.6.
5.5. Utveckling och säkring av verksamhetens kvalitet
För att kunna uppnå målen för hälso- och sjukvården och kunna ge en god och säker vård behöver vårdgivarna bland annat bedriva utveckling och säkring av verksamhetens kvalitet (jämför prop. 2016/17:43 s. 93).4 Detta kommer till uttryck i 5 kap. 4 § HSL där det anges att kvaliteten i verksamheten systematiskt och fortlöpande ska utvecklas och säkras. Utveckling och säkring av kvaliteten inom hälso- och sjuk-
4 Andra förutsättningar för att uppnå målen med hälso- och sjukvården är bland annat en god ledning, planering och samverkan (se prop. 2016/17:43 s. 93).
vården bedrivs på olika nivåer och på olika sätt. Grundläggande för att uppfylla kraven i 5 kap. 4 § HSL är att vårdgivaren har ett ledningssystem för systematiskt kvalitetsarbete.
Det lagstadgade kravet på systematisk och fortlöpande utveckling och säkring av verksamhetens kvalitet infördes i mitten av 1990-talet, när egenkontrollen5 fortfarande var under utveckling hos vårdgivare (se prop. 1995/96:176 s. 47). Numera är systematisk och fortlöpande utveckling och säkring av verksamhetens kvalitet ett väl utvecklat arbetssätt hos vårdgivare. Det som reglerna syftar till att eftersträva är ett konstruktivt samspel mellan egenkontrollen och den statliga tillsynen där de olika insatserna bör stödja och förstärka varandra (prop. 1995/96:176 s. 48).
Som komplement till av den generella regeln i 5 kap. 4 § HSL finns Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete.6 Av 1 kap. 1 § SOSFS 2011:9 framgår att de ska tillämpas i arbetet med att systematiskt och fortlöpande utveckla och säkra kvaliteten i sådan verksamhet som omfattas av bland annat 5 kap. 4 § HSL. Den gäller också för vårdgivares systematiska patientsäkerhetsarbete enligt 3 kap. PSL (1 kap. 2 § SOSFS 2011:9).
Med kvalitet förstås enligt föreskrifterna att en verksamhet uppfyller de krav och mål som gäller för verksamheten enligt lagar och andra föreskrifter om till exempel hälso- och sjukvård och beslut som har meddelats med stöd av sådana föreskrifter (2 kap. 1 § SOSFS 2011:9). Begreppet kvalitet i aktuellt sammanhang kopplar alltså till de grundläggande regler och krav som, såvitt avser vårdgivare, finns på hälso- och sjukvården, till exempel kravet på god vård, att arbeta utifrån vetenskap och beprövad erfarenhet samt att bedriva ett systematiskt patientsäkerhetsarbete.
För att kunna bedriva utveckling och säkring av verksamhetens kvalitet behöver vårdgivaren ha tillgång till hälsodata som typiskt sett utgörs av personuppgifter. Användningsområdet kan exempelvis handla om att följa upp omhändertagandet av patienter med en viss diagnos eller en viss vårdprocess, vilket kräver tillgång till hälsodata om patien-
5 Egenkontroll här i meningen att vårdgivaren kontrollerar sig själv, till skillnad från kontroll av vårdgivaren som utförs av en fristående aktör. Jämför egenkontroll i SOSFS 2011:9 som har en snävare betydelse. 6 Jämför prop. 1995/96:176 s. 53, som tar upp att bestämmelsen avser att vårdgivare ska ha system som synliggör förekomsten av risktillbud eller s.k. avvikande händelser. Detta är i dag väl utvecklat hos vårdgivare genom s.k. avvikelsehanteringssystem, vilka vid tiden för reglernas införande fortfarande var under uppbyggnad.
ter med diagnosen eller i vårdprocessen. Vårdgivares personuppgiftsbehandling i detta syfte regleras som uttryckligt ändamål i 2 kap. 4 § första stycket 4 PDL. Regionala och nationella kvalitetsregister är ett exempel på informationsmängder som omfattar stora volymer patientuppgifter och som har till syfte att utveckla kvaliteten inom hälso- och sjukvården (jämför 7 kap. 4 § PDL). Se vidare om dataskyddsreglerna i PDL i avsnitt 7.5.
5.6. Ansvaret för hälso- och sjukvården och övergripande om dess organisation
Ansvaret för hälso- och sjukvården i Sverige är delat mellan staten, regionerna och kommunerna. Nedan följer en övergripande beskrivning av denna ansvarsfördelning och centrala förhållanden kring hälso- och sjukvårdens organisation.7
5.6.1. Staten
Staten ansvarar för den övergripande hälso- och sjukvårdspolitiken. Statens styrning kan delas in i tre delar, lagstiftningen, budgeten i form av statsbidrag och myndighetsstyrningen. Dessa kan sedan delas in i ytterligare delar, exempelvis kan myndigheternas styrning vara både tvingande, genom föreskrifter, eller frivillig genom bland annat tillhandahållande av metodstöd.8 Staten har även det primära ansvaret för att bedriva och finansiera forskning och utbildning inom hälso- och sjukvårdsområdet (se vidare kapitel 6). Staten beslutar också om den nationella högspecialiserade vården (se 2 kap. 1 § hälso- och sjukvårdsförordningen [2017:80]).
Det finns flera statliga myndigheter med särskild inriktning mot hälso- och sjukvårdsområdet, såsom E-hälsomyndigheten, Folkhälsomyndigheten, Inspektionen för vård och omsorg, Läkemedelsverket, Myndigheten för vård- och omsorgsanalys, Socialstyrelsen, Statens beredning för medicinsk och social utvärdering och Tand- och läkemedelsförmånsverket.
7 För en mer utförlig redogörelse, se bland annat SOU 2020:36 och SOU 2021:80, kapitel 6. 8 Riksrevisionen, 2017, Staten och SKL (RIR 2017:3).
5.6.2. Regionerna och kommunerna
Ansvaret för att erbjuda hälso- och sjukvård i Sverige ligger på landets 20 regioner och 290 kommuner. I Gotlands län ansvarar Gotlands kommun för de uppgifter som regioner ansvarar för i övriga län. Den grundläggande regleringen av ansvaret för att erbjuda hälso- och sjukvård finns i HSL.
Regionerna ansvarar för att erbjuda en god hälso- och sjukvård åt den som är bosatt inom regionen och åt den som har skyddad folkbokföring och stadigvarande vistas inom regionen (8 kap. 1 § HSL). Regionen har ansvar för vård även i vissa andra situationer, exempelvis för de patienter som enligt 9 kap. 1 § PL väljer utförare av offentligfinansierad öppenvård utanför sin hemregion (8 kap. 3 § HSL).
Kommunen ansvarar för att erbjuda hälso- och sjukvård i:
- Permanent särskilt boende, korttidsboende och dagverksamhet som är reglerade i socialtjänstlagen (2001:453) (se 12 kap. 1 § HSL).
- Bostad med särskild service (LSS-boenden) samt daglig verksamhet som är reglerade i lagen (1993:387) om stöd och service till vissa funktionshindrade (se 12 kap. 1 § HSL9).
- Det egna hemmet, kallat ordinärt boende, i form av hemsjukvård om regionen och den aktuella kommunen kommit överens om att kommunen ska ta över ansvaret för sådan hälso- och sjukvård (se 14 kap. 1 § HSL). Sådan överenskommelse har nåtts med samtliga regioner utom Region Stockholm.
Mottagare av kommunal hälso- och sjukvård finns i praktiken i stor utsträckning bland äldre personer och bland personer med funktionsnedsättning.
9 I prop. 1992/93:159 s. 182, anges att insatserna bostad med särskild service för barn och ungdomar, bostad med särskild service för vuxna samt daglig verksamhet också är sådana bostäder respektive sådan verksamhet som avses i 21 och 10 §§socialtjänstlagen (numera 5 kap. 7 § och 3 kap. 6 §socialtjänstlagen 2001:453). Kommunerna har därför ett hälso- och sjukvårdsansvar (exklusive läkarinsatser) enligt hälso- och sjukvårdslagen för personer som bor i bostad med särskild service respektive vistas i dagverksamhet.
Begreppen huvudman och vårdgivare
I HSL definieras huvudman och vårdgivare. Vid införandet av HSL uttalade regeringen att det mot bakgrund av den alltmer differentierade strukturen på hälso- och sjukvårdsområdet, även inom regioners och kommuners hälso- och sjukvårdsorganisationer, är viktigt att tydliggöra huvudmannens och vårdgivarens åtskilda roller (prop. 2016/ 2017:43 s. 88).
Den region eller kommun som enligt lagen ansvarar för att hälso- och sjukvård erbjuds kallas huvudman (2 kap. 2 § HSL). Ansvaret som huvudman omfattar att finansiera, organisera och planera vården. I och med att huvudmannaskapet för hälso- och sjukvård i Sverige ligger hos regionerna och kommunerna karakteriseras hälso- och sjukvårdssystemet av en stark decentralisering. Den decentraliserade karaktären av hälso- och sjukvården har ytterligare förstärkts av framväxten av ett stort antal privata vårdgivare på regional och lokal nivå, se vidare avsnitt 5.6.3.
Regioner och kommuner har enligt 14 kap. 2 § RF kommunal självstyrelse, vilket bland annat innebär att de får ta ut skatt för att sköta sina uppgifter och att beslutanderätten utövas av valda församlingar (se 14 kap 1 och 4 §§ RF). Inom en region eller kommun råder därmed stor frihet att organisera hälso- och sjukvården utifrån de egna förutsättningarna och behoven. Detta innebär bland annat att hälso- och sjukvården kan bedrivas genom en eller flera nämnder som regionen och kommunen bestämmer (se 3 kap. 4 § kommunallagen [2017:725], förkortad KL, jämför med 7 kap. 1 § och 11 kap. 1 § HSL). Inom en kommun eller region kan det vidare finnas flera nämnder eller styrelser som ansvarar för hälso- och sjukvård, vilka är egna myndigheter.
Huvudmannen kan välja att bedriva vården i egen regi, vilket också är det vanligaste i Sverige totalt sett (SOU 2021:80 s. 200). Driften kan också utföras av någon annan, se avsnitt 5.6.3.
För att ange den som bedriver hälso- och sjukvårdsverksamhet används i HSL begreppet vårdgivare. En vårdgivare kan vara en statlig myndighet, region, kommun, annan juridisk person eller enskild näringsidkare (2 kap. 3 § HSL). Sjukvårdshuvudmännen kan alltså själva vara vårdgivare. De kan dock även överlåta driften av hälso- och sjukvård till privata aktörer, som då i lagens mening är vårdgivare
för den vård som har överlåtits. Inom en regions eller kommuns geografiska område kan det finnas flera vårdgivare (2 kap. 2 § HSL).
5.6.3. Privata aktörer som vårdgivare
Regioner och kommuner kan sluta avtal med någon annan om att utföra de uppgifter som regionen eller kommunen ansvarar för (10 kap. 1 § KL). Sådan överlåtelse sker med bibehållet huvudmannaskap, vilket på hälso- och sjukvårdens område uttryckligen framgår av 15 kap. 1 § HSL.
De flesta privata vårdgivare som finns har avtal med regioner eller kommuner och får offentlig finansiering. Uppdragen från regionerna kan lämnas över med stöd av lagen (2008:962) om valfrihetssystem, lagen (2016:1145) om offentlig upphandling, eller så kan det vara fråga om verksamhet som privatpraktiserande läkare eller fysioterapeuter utför enligt lagen (1993:1651) om läkarvårdsersättning respektive lagen (1993:1652) om ersättning för fysioterapi. Utöver privata aktörer med offentlig finansiering finns också den helt privata hälso- och sjukvården, det vill säga privata vårdgivare som bedriver vård utan en region eller kommun som huvudman. Finansiering av sådan vård kan ske genom privat sjukvårdsförsäkring eller enskilds egen betalning. Privata aktörer som bedriver hälso- och sjukvård är egna juridiska personer eller enskilda näringsidkare, organisatoriskt skilda från regionenen eller kommunen som huvudman eller vårdgivare. Privata aktörer som bedriver hälso- och sjukvård är alltså egna vårdgivare enligt definitionen i HSL (se 2 kap. 3 § HSL).
5.7. Speciallagstiftning på hälso- och sjukvårdsområdet
Viss verksamhet inom hälso- och sjukvården omfattas av speciallagstiftning. Nedan berörs kortfattat vissa av dessa lagar i den utsträckning dessa är relevanta för utredningens uppdrag och författningsförslag.
5.7.1. Biobankslagen
Biobankslagen (2023:38) trädde i kraft den 1 juli 2023. Dessförinnan gällde lag (2002:297) om biobanker inom hälso- och sjukvården med mera.
I biobankslagen finns bestämmelser om hur humanbiologiskt material, med respekt för den enskilda människans integritet, för vissa ändamål, får samlas in till och bevaras i en biobank och användas (1 kap. 1 § biobankslagen). Humanbiologiskt material från en levande eller avliden människa eller foster kallas i lagen för prov (se 1 kap. 2 § biobankslagen).
Biobankslagen ska tillämpas på identifierbara prover som samlas in och bevaras i en biobank eller används för 1. vård, behandling eller andra medicinska ändamål i en vårdgivares verksamhet, 2. forskning,
3. produktframställning, eller 4. utbildning, kvalitetssäkring eller utvecklingsarbete inom ramen för något av de ändamål som anges i 1–3 (1 kap. 3 § biobankslagen). Biobankslagen har därmed ett utökat tillämpningsområde i jämförelse med den tidigare gällande lagen (2002:297) om biobanker inom hälso- och sjukvården med mera (se prop. 2021/22:257 s. 33–38).
Biobankslagen är alltså tillämplig på prover, inte på hälsodata eller personuppgifter. Samtidigt som insamling med mera av prover enligt biobankslagen föranleder behandling av personuppgifter, finns det alltså inga särskilda regler om vilka personuppgifter som får eller ska samlas in och bevaras tillsammans med ett prov (se prop. 2021/22:257 s. 220). Biobankslagen kompletterar EU:s dataskyddsförordning och vid behandling av personuppgifter enligt biobankslagen gäller i stället, som utgångspunkt, bestämmelser i andra lagar om behandling av personuppgifter samt lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen (1 kap. 7 § biobankslagen).
I biobankslagen finns dock vissa bestämmelser som direkt rör behandling av personuppgifter. Sådana bestämmelser finns om det så kallade PKU-registret (se 7 kap. 4–7 §§). Utöver detta finns ytterligare ett fåtal bestämmelser om personuppgiftsbehandling. Av dessa är 5 kap. 4 § av relevans.10 Där framgår att om ett kodat prov från provgivaren tillgängliggörs samtidigt som andra personuppgifter från
10 Övriga bestämmelser som specifikt avser personuppgifter är 5 kap. 11 § och 8 kap. 3 §biobankslagen.
provgivaren, ska personuppgifterna tillgängliggöras på ett sådant sätt att de inte av någon obehörig kan kopplas samman med provet. Av 1 kap. 7 § andra stycket biobankslagen följer att de bestämmelser om personuppgiftsbehandling som finns i biobankslagen har företräde framför bestämmelser om behandling av personuppgifter i andra lagar, samt lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen (se även prop. 2021/22:257 s. 257).
I biobankslagen finns regler om samtycke och information (4 kap.). Huvudregeln är att provgivaren ska samtycka till att ett prov samlas in och bevaras i biobank (4 kap. 1 § biobankslagen). Innan ett samtycke lämnas ska provgivaren ha fått viss, i lagen angiven, information (se 4 kap. 2 § biobankslagen). Det finns vissa undantag från kravet på samtycke när det gäller prover för provgivarens vård eller behandling (4 kap. 7 § biobankslagen). Bland annat krävs inte samtycke om provgivaren har informerats och samtyckt till vård eller behandling enligt PL och fått viss angiven information i enlighet med 4 kap. 7 § biobankslagen.
I 4 kap. 3 § första stycket biobankslagen påminns det om att det i lagen (2003:460) om etikprövning av forskning som avser människor (nedan EPL), finns bestämmelser om information och samtycke som ska tillämpas. Om det i annan lag finns särskilda bestämmelser om information och samtycke ska de bestämmelserna tillämpas. Detta gäller dock inte i fråga om prover som enligt 4 kap. 5 eller 9 § samlas in, bevaras eller används (4 kap. 3 § andra stycket biobankslagen).
I lagen finns även regler om tillgängliggörande av prover och uppgifter (kap. 5). Bland detta kan noteras att ett prov som tillgängliggörs ska vara kodat, om inte detta hindrar att ändamålet med tillgängliggörandet uppfylls (5 kap. 3 §). Ett prov får skickas för forskning endast om provet ska ingå i 1) forskning som har godkänts av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning enligt EPL, 2) en klinisk läkemedelsprövning som har beviljats eller anses ha beviljats tillstånd i enlighet med förordning (EU) nr 536/2014, 3) en klinisk prövning som får påbörjas eller genomföras i enlighet med bestämmelser i förordning (EU) 2017/745 eller enligt lagen (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter eller föreskrifter meddelade i anslutning till den lagen, eller 4) en prestandastudie som får påbörjas eller genomföras
i enlighet med bestämmelser i förordning (EU) 2017/746 (5 kap. 10 § biobankslagen).
5.7.2. Lagen om psykiatrisk tvångsvård och lagen om rättspsykiatrisk vård
I 1 § lag (1991:1128) om psykiatrisk tvångsvård, förkortad LPT, stadgas att föreskrifterna i HSL och PL gäller all psykiatrisk vård och att kompletterande föreskrifter om psykiatrisk vård som är förenad med frihetsberövande och annat tvång (tvångsvård) ges i LPT. Föreskrifter om psykiatrisk tvångsvård finns också i lag (1991:1129) om rättspsykiatrisk vård, förkortad LRV (1 § andra stycket LPT).
Av 3 § LPT följer att tvångsvård får ges endast om patienten lider av en allvarlig psykisk störning och på grund av sitt psykiska tillstånd och sina personliga förhållanden i övrigt
1. har ett oundgängligt behov av psykiatrisk vård, som inte kan till-
godoses på annat sätt än genom att patienten är intagen på en sjukvårdsinrättning för kvalificerad psykiatrisk dygnetruntvård (sluten psykiatrisk tvångsvård) eller
2. behöver iaktta särskilda villkor för att kunna ges nödvändig psy-
kiatrisk vård (öppen psykiatrisk tvångsvård).
En förutsättning för vård enligt LPT är att patienten motsätter sig sådan vård som sägs i första stycket, eller det till följd av patientens psykiska tillstånd finns grundad anledning att anta att vården inte kan ges med hans eller hennes samtycke.
I 18–24 §§ LPT finns regler om tvångsåtgärder mot patienter. Dessa avser bland annat låsning, fastspänning, avskiljande och omhändertagande av viss egendom.
LRV gäller enligt 1 § den som
1. efter beslut av domstol ska ges rättspsykiatrisk vård,
2. är anhållen, häktad eller intagen på en enhet för rättspsykiatrisk
undersökning,
3. är intagen i eller ska förpassas till kriminalvårdsanstalt,
4. eller är intagen i eller ska förpassas till ett särskilt ungdomshem
till följd av en dom på sluten ungdomsvård enligt 32 kap. 5 § brottsbalken.
I 2 § LRV erinras om att bestämmelserna i HSL om skyldighet för en region att erbjuda hälso- och sjukvård även gäller rättspsykiatrisk vård. Rättspsykiatrisk vård ges efter beslut av domstol om överlämnande till sådan vård enligt vad som framgår av 31 kap. 3 § brottsbalken. Sådan vård ges enligt 3 § LRV som sluten rättspsykiatrisk vård eller, efter sådan vård, som öppen rättspsykiatrisk vård. Vård som ges när patienten är intagen på en sjukvårdsinrättning benämns sluten rättspsykiatrisk vård. Annan vård enligt lagen benämns öppen rättspsykiatrisk vård.
Enligt 6 § LRV ges rättspsykiatrisk vård på en sjukvårdsinrättning som drivs av en region. Den som ges öppen rättspsykiatrisk vård får vistas utanför en sådan sjukvårdsinrättning. Vidare framgår av 6 § LRV att vid rättspsykiatrisk vård gäller 15 a–17 LPT angående god säkerhet, upprättande av vårdplan och samråd med patienten i fråga om behandlingen och behandling utan samtycke, samt 31 b § LPT om dagliga aktiviteter och utomhusvistelse för patient som är under 18 år.
Av 8 § LRV framgår att vid sluten rättspsykiatrisk vård enligt LRV gäller, om inte annat anges i 8 a §, i tillämpliga delar bestämmelserna i 18–24 §§ LPT som reglerar olika tvångsåtgärder vid sluten psykiatrisk vård. Särskilda bestämmelser bland annat i fråga om den som är anhållen, häktad eller intagen i eller ska förpassas till kriminalvården regleras i 8 § andra stycket. I 8 a § finns särskilda bestämmelser om elektroniska kommunikationstjänster och i 8 b § om allmän inpasseringskontroll.
5.7.3. Smittskyddslagen
Smittskyddslagens (2004:168) syfte är att skydda befolkningen mot smittsamma sjukdomar. Lagen innehåller bestämmelser om smittskyddsåtgärder som riktar sig till människor. Smittskyddslagen ger uttryck för synen att enskilda måste vara beredda att acceptera vissa integritetsintrång när det krävs för att skydda andra människor från smitta. Smittskyddslagen innehåller bland annat skyldigheter för en-
skilda och förutsättningar för ingripande med tvång i vissa undantagsfall.
Smittskyddslagen kan sägas ha mer av ett samhällsperspektiv, till skillnad från det patientperspektiv som annars är utgångspunkten inom hälso- och sjukvårdsverksamhet och som kommer till uttryck i HSL och PL, se avsnitt 5.3 och 5.4. Smittskydd är inte hälso- och sjukvård enligt HSL (jämför 2 kap. 1 § HSL).
Smittskyddslagen omfattar smittsamma sjukdomar som kan överföras till eller mellan människor och som kan innebära ett inte ringa hot mot människors hälsa (1 kap. 2–3 §§). Särskilda bestämmelser gäller för allmänfarliga sjukdomar. Allmänfarliga sjukdomar är smittsamma sjukdomar som kan vara livshotande, innebära långvarig sjukdom eller svårt lidande eller medföra andra allvarliga konsekvenser och där det finns möjlighet att förebygga smittspridning genom åtgärder som riktas till den smittade (1 kap. 3 § andra stycket). För allmänfarliga sjukdomar gäller informationsplikt för enskilda (2 kap. 2 § andra stycket). De är även anmälningspliktiga och smittspårningspliktiga (2 kap. 5 § och 3 kap. 4 § ). Anmälningsplikten innebär att misstänkta och bekräftade fall av en allmänfarlig sjukdom ska anmälas till smittskyddsläkare och till Folkhälsomyndigheten (2 kap. 5 §). Smittspårningsplikten innebär en skyldighet för behandlande läkare att med den enskildes hjälp identifiera vem som kan ha överfört smittan och vilka andra personer som kan ha smittats (3 kap. 4 §).
Under vissa förutsättningar kan även tvångsåtgärder vidtas mot människor som är smittade eller misstänkt smittade av en allmänfarlig sjukdom, såsom tvångsundersökning (3 kap. 2 §) och isolering (5 kap. 1 och 3 §§). Förvaltningsrätten beslutar om tvångsundersökning och isolering enligt 5 kap. 1 § efter ansökan av smittskyddsläkaren. Smittskyddsläkaren beslutar om tillfällig isolering enligt 5 kap. 3 § men beslutet förfaller om det inte senast inom fyra dagar underställs förvaltningsrätten. Den som bär på eller misstänks bära på en allmänfarlig sjukdom ska också av behandlande läkare ges individuellt utformade förhållningsregler i syfte att hindra smittspridning. Förhållningsreglerna får bland annat avse inskränkningar som gäller arbete, förbud mot att donera blod och organ och skyldighet att informera till exempel vårdgivare eller sexualpartners om smittbärarskap (4 kap. 2 §).
Utöver reglerna om allmänfarliga sjukdomar finns regler om samhällsfarliga sjukdomar då extraordinära smittskyddsåtgärder får tillämpas. Med samhällsfarliga sjukdomar avses allmänfarliga sjukdomar som
kan få en spridning i samhället som innebär en allvarlig störning eller överhängande risk för en allvarlig störning i viktiga samhällsfunktioner och som kräver extraordinära smittskyddsåtgärder (1 kap. 3 § tredje stycket). De extraordinära smittskyddsåtgärderna avser hälsokontroll vid platsen för inresa (3 kap. 8 §), karantän (3 kap. 9 §), avspärrning (3 kap. 10 §) och förbud mot att resa ut ur landet (3 kap. 12 §).
5.7.4. Lagen om genetisk integritet
Lagen (2006:351) om genetisk integritet har till syfte att värna den enskilda människans integritet.
I förarbetena lyfts den genetiska informationens speciella karaktär fram. Särarten motiverar att genetisk information i vissa avseenden behandlas på ett annat sätt än medicinsk information i allmänhet. En grundläggande princip måste vara att informationen är den enskildes privatsak, och det måste finnas tungt vägande skäl för att någon ska få använda eller bereda sig tillgång till en genetisk information som rör någon annan. För människors tillit till hälso- och sjukvården och medicinsk forskning är det enligt regeringens mening viktigt att genetiska undersökningar och genetisk information inom dessa områden ges ett tillfredsställande lagligt skydd (prop. 2005/06:64 s. 49). Genetisk information omfattas dock av samma hälso- och sjukvårdssekretess enligt 25 kap. 1 § OSL och samma regler om behandling av personuppgifter som annan information inom hälso- och sjukvården (se prop. 2005/06:64 s. 62–64).
Lagen om genetisk integritet innehåller bestämmelser om användning av viss bioteknik som har utvecklats för medicinska ändamål samt om vissa rättsliga verkningar av sådan användning (1 kap. 1 §). Lagen skapades i syfte att utgöra en samlad lag för genetisk undersökning och information inom hälso- och sjukvården och medicinsk forskning samt genterapi, fosterdiagnostik och preimplantatorisk genetisk diagnostik och användning av genetisk information på försäkringsområdet. Den samlar också regler från ett antal andra lagar (prop. 2005/06:64 s. 65).
Med genetisk undersökning avses en undersökning inom hälso- och sjukvården eller medicinsk forskning som syftar till att ge upplysning om en människas arvsmassa genom molekylärgenetisk, mikrobiologisk, immunologisk, biokemisk, cytogenetisk eller därmed jämförlig analysmetod eller genom inhämtande av upplysningar om hans eller
hennes biologiska släktingar (1 kap. 5 §). Med genetisk information menas information om resultatet av en genetisk undersökning, dock inte till den del informationen endast innefattar upplysning om den undersöktes aktuella hälsotillstånd (1 kap. 5 §).
Lagen om genetisk integritet innehåller ett antal förbud och villkor avseende utförandet av genetiska undersökningar och användandet av genetisk information samt genterapi (2 kap.). Ingen får utan stöd i lag ställa som villkor för ett avtal att den andra parten genomgår en genetisk undersökning eller lämnar genetisk information om sig själv (2 kap. 1 § första stycket). Vidare gäller att ingen utan stöd i lag, i samband med avtal, får efterforska eller använda genetisk information om den andre (2 kap. 1 § andra stycket). Lagen reglerar också ett förbud mot att olovligen bereda sig tillgång till genetisk information om någon annan (2 kap. 1 § andra stycket). Förbuden motiveras av att det är viktigt att genetiska undersökningar kan göras i hälso- och sjukvårdssammanhang utan att de berörda behöver hysa oro för att resultaten missbrukas (prop. 2005/06:64 s. 50).
För försäkringsbolag gäller undantag från förbudet att efterforska och använda genetisk information vid riskbedömda personförsäkringar på mycket höga belopp (2 kap. 2 §).
Forskning med syfte att utveckla metoder för att åstadkomma genetiska effekter som kan gå i arv är tillåten (prop. 2005/06:64 s. 1). Däremot är försök i forsknings- eller behandlingssyfte samt behandlingsmetoder som medför genetiska förändringar som kan gå i arv hos en människa förbjudna (2 kap. 3–4 §§).
Vidare finns regler om tillstånd för genetisk undersökning vid allmänna hälsoundersökningar (3 kap.). Genom Socialstyrelsens föreskrifter (HSLF-FS 2019:12) om undantag från kravet på tillstånd till genetisk undersökning vid allmän hälsoundersökning har Socialstyrelsen meddelat undantag från kravet på tillstånd för undersökningar som avser vissa diagnoser.
En allmän hälsoundersökning beskrivs i förarbetena som en samlad undersökning av en större eller mindre grupp av människor eller en viss kategori av människor. Den berör samtidigt en grupp människor som inte behöver ha något annat gemensamt än att de till exempel är av samma ålder, bor i samma område eller dylikt. Syftet med en allmän hälsoundersökning behöver inte heller vara att ge enskilda besked om en diagnos, utan kan vara till exempel att skapa ett underlag för hälso- och sjukvårdens planering. Vid en allmän hälsoundersökning kom-
mer initiativet från den allmänna eller privata hälso- och sjukvården (prop. 2005/06:64 s. 67). När det gäller genetiska undersökningar i övrigt, till exempel sådana som utförs i diagnostiserande syfte efter att en enskild har sökt hälso- och sjukvård, gäller endast HSL:s allmänna bestämmelser (jämför prop. 2005/06:64 s. 68).
I lagen om genetisk integritet finns även grundläggande bestämmelser med villkor med mera för fosterdiagnostik, genetisk fosterdiagnostik och preimplantatorisk genetisk diagnostik (kapitel 4). Vidare finns regler om bland annat samtycke och tidsgränser vid åtgärder i forsknings- eller behandlingssyfte med ägg från människa (kapitel 5). Lagen innehåller också regler om villkor med mera för insemination (kapitel 6) och befruktning utanför kroppen (kapitel 7).
6. Forskning
6.1. Inledning
I detta kapitel beskrivs ansvar för forskning och regelverk rörande forskning. Kapitlet inleds med en redogörselse för begrepp inom medicinsk forskning.
Urvalet av de regelverk och förhållanden som beskrivs i kapitlet har gjorts utifrån vad utredningen har bedömt är relevant för utredningens uppdrag i förhållande till de avgränsningar som redogörs för i avsnitt 2.7. I ljuset av detta är de centrala regelverken som beskrivs nedan de som aktualiseras när klinisk forskning utförs av en myndighet i en region (regional myndighet) eller ett lärosäte, se definitioner kopplade till utredningens författningsförslag i avsnitt 16.3.
Den rättsliga regleringen av klinisk forskning finns i flera lagar och andra författningar. Även internationell och EU-rättslig reglering finns på området. Regler som rör hantering av data inom forskningen finns bland annat i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad EU:s dataskyddsförordning, patientdatalagen (2008:355), förkortad PDL, tryckfrihetsförordningen, offentlighets- och sekretesslagen (2009:400), förkortad OSL, och arkivlagen (1990:782). Utredningen har valt att redogöra samlat för regler som har det gemensamt att de syftar till att skydda information om individer, så kallade dataskyddsregler, se kapitel 7. Där berörs både generellt tillämpliga dataskyddsregler och dataskyddsregler som är specifikt tillämpliga inom forskning. Utredningen redogör för regler om offentlighet, sekretess och tystnadsplikt i kapitel 8. Där berörs bland annat centrala bestämmelser som sekretess inom forskning.
6.2. Begrepp inom medicinsk forskning
Den medicinska forskningen ger kunskap om hur kroppen fungerar samt hur sjukdomar förebyggs, uppkommer och behandlas. Enligt Vetenskapsrådets definition syftar medicinsk forskning till att öka grundläggande kunskaper om hur celler och vävnader fungerar och interagerar, samt till att bidra till att förbättra och utveckla läkemedel, vård- och behandlingsmetoder och medicintekniska produkter.1 Inom medicinsk forskning görs ofta skillnad mellan preklinisk och klinisk forskning.
Preklinisk forskning förutsätter inte vårdens strukturer. Vetenskapsrådet beskriver att preklinisk forskning är grundläggande experimentell forskning på molekylär, cellulär och integrativ nivå rörande de livsprocesser som bestämmer kroppens funktion – normalt och vid sjukdom. Vid preklinisk forskning vill forskaren till exempel se hur celler, vävnader, och organ fungerar och interagerar.2 Ett exempel på preklinisk forskning är djurstudier.
Begreppet klinisk forskning har ingen författningsreglerad definition, men i flera förarbeten konstateras att den kliniska forskningen förutsätter vårdens strukturer och resurser och utgår från de behov som finns i hälso- och sjukvården och förväntas leda till patient- och samhällsnytta (se SOU 2017:104 s. 188 och 339 samt SOU 2008:7 s. 57 och SOU 2009:43 s. 41–42). Inom klinisk forskning studeras bland annat vilka besvär som människor med en viss sjukdom har, hur träffsäkert ett diagnostiskt test är och vilken behandling som är mest effektiv. Den kliniska forskningen har som mål att lösa ett hälsoproblem eller att identifiera faktorer som leder till ökad hälsa. Den kunskapsutveckling som sker genom klinisk forskning möjliggör att ny diagnostik och bättre och mer effektiva behandlingsmetoder kan utvecklas. Detta i sin tur bidrar till att patienter kan erbjudas en förbättrad och mer modern hälso- och sjukvård. Klinisk forskning kan utföras av forskare med anställning vid bland annat universitet, inom hälso- och sjukvården eller vid företag.
Den kliniska forskningen kan delas in i ytterligare flera olika kategorier beroende på vilket syfte som forskningen har. Den kliniska forskningen inkluderar kliniska studier som är studier som genom-
1 Vetenskapsrådet, https://www.vr.se/uppdrag/klinisk-forskning/definitioner-av-begrepp-inom- medicinsk-och-klinisk-forskning.html. 2 Vetenskapsrådet, https://www.vr.se/uppdrag/klinisk-forskning/definitioner-av-begrepp-inom- medicinsk-och-klinisk-forskning.html.
förs på människor. Exempel på kliniska studier är interventionsstudier och observationsstudier. En interventionsstudie är en studie där deltagaren utsätts för någon form av intervention. Interventionen kan exempelvis vara ett läkemedel, en medicinteknisk produkt eller en viss behandlingsmetod. När interventionen är ett läkemedel eller en medicinteknisk produkt kallas sådan klinisk studie även klinisk prövning som alltså är ett snävare begrepp än klinisk studie. En observationsstudie är en studie där deltagaren observeras, men utan att forskaren påverkar förloppet. Det kan exempelvis handla om epidemiologiska undersökningar. Ytterligare en kategori av kliniska studier är så kallade registerbaserade kliniska studier. I sådana studier kan enligt Vetenskapsrådets definition mikrodata från exempelvis nationella och regionala kvalitetsregister eller statliga myndigheters register användas för att genomföra epidemiologiska studier eller för att planera, stödja eller följa upp interventionsstudier. Även registerbaserade randomiserade kliniska studier (R-RCT) och biobanksstudier omfattas.3
I figur 6.2 visas hur de centrala begreppen förhåller sig till varandra. Beroende på vilken typ av klinisk forskning som genomförs gäller olika regler, vilket utvecklas i avsnitt 6.4.
Figur 6.1 Begreppstruktur
Källa: Vetenskapsrådet, https://www.vr.se/uppdrag/klinisk-forskning/definitioner-av-begrepp-inommedicinsk-och-klinisk-forskning.html (hämtat 2023-10-11).
3 Vetenskapsrådet, https://www.vr.se/uppdrag/klinisk-forskning/definitioner-av-begrepp-inom- medicinsk-och-klinisk-forskning.html (hämtat 2023-10-11).
6.2.1. Forskningsbegrepp i lagstiftningen
Forskning återkommer som begrepp i olika former i lagstiftning. Det är för utredningen relevant att titta på hur forskning används i olika lagar och särskilt de lagar som har relevans inom den kliniska forskningen.
I 2 § lagen (2003:460) om etikprövning av forskning som avser människor, förkortad etikprövningslagen, finns en definition av begreppet forskning i förhållande till den lagen. Där anges att med forskning avses vetenskapligt experimentellt eller teoretiskt arbete eller vetenskapliga studier genom observation, om arbetet eller studierna görs för att hämta in ny kunskap, och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete eller sådana studier som utförs endast inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå.
I 7 kap. 5 § 2 PDL anges ändamålet forskning inom hälso- och sjukvården som ett av ändamålen för vilken personuppgifter i kvalitetsregister får behandlas. Av förarbetena framgår att det med detta begrepp avses forskning inom hälso- och sjukvårdsområdet. Begreppet omfattar både klinisk forskning och preklinisk forskning, men begreppet är bredare än så. Att det talas om hälso- och sjukvårdsområdet innebär att forskningen kan avse även sådana frågor som inte uteslutande tar sikte på medicinsk forskning. Till hälso- och sjukvårdsområdet hör också exempelvis hälsoekonomiska frågor (se prop. 2007/08:126 s. 259). Begreppet ska inte förstås så att forskningen måste bedrivas fysiskt inom hälso- och sjukvården. Forskningen kan således utföras inte bara av sjukvårdshuvudmännen utan också av till exempel universitet och företag.
Antalsberäkning är ett vanligt begrepp inför klinisk forskning. Sådan beräkning innebär att på förfrågan, inför planerad klinisk forskning, beräkna hur många personer som uppfyller vissa i förväg uppställda kriterier och som därmed kan komma att ingå i forskningen. Antalsberäkning har länge utförts inom hälso- och sjukvården men det har varit ifrågasatt huruvida det funnits rättsligt stöd för sådan personuppgiftsbehandling. Genom en nyligen gjord lagändring i PDL, har ett rättsligt stöd för den personuppgiftsbehandling som är nödvändig vid antalsberäkning införts (se 2 kap. 4 § första stycket 7 PDL4). Vidare har en definition införts i PDL av begreppet ”antalsberäkning
4 SFS 2023:167.
inför klinisk forskning” (1 kap. 3 § PDL). I förarbetena anges i förhållande till att det ska vara fråga om antalsberäkning inför klinisk forskning, att detta innebär att det ska vara fråga om forskning som förutsätter vårdens strukturer och resurser. Sådan forskning kan ha som mål att lösa ett hälsoproblem eller identifiera faktorer som leder till förbättrad hälsa. Den utgår från de behov som finns i hälso- och sjukvården och förväntas leda till patient- och samhällsnytta. Klinisk forskning kan utföras av forskare, anställda inom hälso- och sjukvården, universitet och högskola, eller företag (prop. 2022/23:31 s. 56).
I 18 kap. 2 § hälso- och sjukvårdslagen (2017:30), förkortad HSL, anges att regioner och kommuner ska medverka vid finansiering, planering och genomförande av dels kliniskt forskningsarbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete (se vidare prop. 1996/97:5 s. 181 och 185).
I 24 kap. 8 § OSL stadgas att sekretess gäller i sådan särskild verksamhet hos myndighet som avser framställning av statistik för uppgift som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. I tredje stycket anges att uppgift som behövs för forsknings- eller statistikändamål och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Vad som avses med forskning i detta sammanhang har inte preciserats i lagtexten. I förarbetena till motsvarande bestämmelse i den tidigare gällande sekretesslagen (1980:100) sägs om detta undantag endast att det kan finnas behov av att genombryta sekretessen i vissa särskilda fall, såsom för forskning om yrkessjukdomar (prop. 1979/80:2, Del A s. 264).
Begreppet forskning förekommer även i lag (2016:1145) om offentlig upphandling men begreppet är inte närmare definierat. Det är upp till rättstillämpningen att i varje enskilt fall pröva vad som utgör forskning i lagens bemärkelse.
I EU:s dataskyddsförordning definieras inte begreppet forskning. I förordningen används beteckningen ”vetenskapliga och historiska forskningsändamål”. Till ledning för tolkningen av detta begrepp anges det i skäl 159 i förordningen att begreppet vetenskapliga forskningsändamål bör ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Även studier som utförs av ett allmänt
intresse inom folkhälsoområdet bör omfattas av begreppet. Enligt förordningens skäl 160 omfattar historiska forskningsändamål historiska och genealogiska ändamål. Regeringen har gjort bedömningen att forskning enligt etikprövningslagen omfattas av dataskyddsförordningens begrepp forskningsändamål (se prop. 2018/19:165 s. 19).
I 4 kap. 3 § lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning anges att personuppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. För begreppet forskningsändamål hänvisas i förarbetena till dataskyddsförordningen (se prop. 2017/18:298 s. 29).
I artikel 2.2 i Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG, förkortad CTR5, definieras klinisk prövning i förhållande till den EU-förordningen. I Sverige används ofta den inarbetade benämningen klinisk läkemedelsprövning för att beskriva det som i förordningen kallas kliniska prövningar av humanläkemedel (se prop. 2017/18:193 s. 12). I läkemedelslagen (2015:315) hänvisas för definitionen klinisk läkemedelsprövning på människor till definitionen i CTR, se 2 kap. 1 § läkemedelslagen.
I artikel 2.44 Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG, förkortad MDR6, definieras klinisk prövning i förhållande till den EU-förordningen som en systematisk undersökning som involverar en eller flera försökspersoner för att bedöma en produkts säkerhet eller prestanda. I artikel 2.42 i Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitro-diagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU, förkortad IVDR7, definieras prestandastudie som en studie som genomförs för att fastställa eller bekräfta en produkts analytiska eller
5 Efter engelskans Clinical Trial Regulation. 6 Efter engelskans Medical Devices Regulation. 7 Efter engelskans In Vitro Diagnostic Regulation.
kliniska prestanda. På IVD-området används alltså uttrycket prestandastudier i stället för uttrycket klinisk prövning.
6.3. Ansvaret för forskning
Inom det offentliga sker forskning av staten, regioner och kommuner. Forskning sker också i stor utsträckning hos privata aktörer. Nedan följer en övergripande beskrivning av ansvarsfördelning och centrala förhållanden kring forskningens organisation.
6.3.1. Statens ansvar
Staten ansvarar för att bedriva och finansiera forskning. Uppgiften att bedriva forskning för staten sker genom statliga universitet och högskolor men också genom andra statliga myndigheter. Staten har även det primära ansvaret för forskning och utbildning på vårdområdet genom de statliga universiteten.8
För universitet och högskolor med staten som huvudman finns det bestämmelser i högskolelagen (1992:1434) som reglerar sådan verksamhet. I 1 kap. 2 § högskolelagen anges forskning som en av högskolornas uppgifter. I 1 kap. 3 a § samma lag ställs det krav på att vetenskapens trovärdighet och god forskningssed värnas i verksamheten. Andra statliga myndigheter, utöver universitet och högskolor, kan ägna sig åt forskning beroende på vilket uppdrag och vilka uppgifter som har ålagts respektive myndighet i gällande rätt. Flera myndigheter har en förordningsreglerad uppgift som omfattar forskning. Uppgiften att forska kan även regleras på annat sätt, till exempel direkt i lag eller genom särskilda regeringsbeslut.9
Utöver att bedriva forskning ansvarar staten också för att finansiera forskning. Exempel på myndigheter som har till uppdrag att bidra med finansiering av forskning är Forskningsrådet för arbetsliv, hälsa och välfärd (Forte), Vetenskapsrådet och Verket för innovationssystem (Vinnova).
8 Se även SOU 2021:80, s. 193. 9 Se även SOU 2018:36 s. 244.
6.3.2. Regionernas och kommunernas ansvar
Regioner och kommuner ska enligt 18 kap. 2 § HSL medverka vid finansiering, planering och genomförande av dels kliniskt forskningsarbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete. Regioner och kommuner ska i dessa frågor, i den omfattning som behövs, samverka med varandra och med berörda universitet och högskolor. Bestämmelsen infördes för att klargöra att landstingen (i dag regionerna) har en rätt och ett ansvar att bedriva denna typ av forskning. Samtidigt poängterades att huvudansvaret för forskningen fortsatt åvilar staten, främst genom universitet och högskolor (prop. 1996/97:5 s. 184).
När det gäller kommuner och regioner kan forskningsuppgiften också vara fastställd genom beslut om verksamheten i kommunen eller regionen som fattats av fullmäktige i enlighet med bestämmelserna i kommunallagen.10
Regionerna finansierar den kliniska forskningen dels via ALF-ersättning11 från staten, dels med egna medel. Samarbetet mellan staten och vissa regioner om utbildning av läkare, klinisk forskning och utveckling av hälso- och sjukvården regleras genom det så kallade ALFavtalet. Avtalet reglerar också statens ersättning för regionernas åtagande, det vill säga hur mycket statliga medel regionerna ska få för att medverka i utbildning av läkare, bedriva klinisk forskning och utveckla hälso- och sjukvården, Ersättningen benämns ALF-medel. För att skapa goda förutsättningar för forskning och utbildning är parterna enligt avtalet överens om att berörda universitet ska delta i organisering och ledning av verksamheten i den del av hälso- och sjukvården som utformas med särskild hänsyn tagen till forskningens och utbildningens behov. Denna verksamhet betecknas som universitetssjukvård och är en gemensam angelägenhet för berörda regioner och universitet. Enligt avtalet ska universitetssjukvårdens kärnverksamhet, jämte hälso- och sjukvård, vara klinisk forskning och utbildning liksom kunskapstillämpning och kunskapsspridning för hälso- och sjukvårdens utveckling. Med klinisk forskning avses sådan forskning som förutsätter vårdens strukturer och resurser och har som mål att lösa ett ohälsoproblem eller att identifiera faktorer som leder till ökad hälsa. Staten lämnar ersättning till regionerna för medverkan i den kliniska forsk-
10 Se även SOU 2018:36, s. 245. 11 Avtal om Läkarutbildning och Forskning, som reglerar statens ersättning till regionerna för vissa kostnader i samband med utbildning och medicinsk forskning.
ningen enligt vad som föreskrivs i avtalet. Närmare reglering sker genom regionala avtal mellan respektive region och universitet.12 Regeringskansliet har för närvarande tillsatt en särskild utredare att ta fram ett underlag inför en omförhandling av ALF-avtalet (U 2023:A).
6.3.3. Övriga aktörer
Forskning bedrivs även av andra aktörer än staten, regioner och kommuner såsom av privaträttsliga organisationer i form av exempelvis bolag, stiftelser och föreningar. Privata aktörer bedriver till exempel många läkemedelsprövningar och kliniska prövningar av medicintekniska produkter.
När det gäller universitet och högskolor finns utöver de statliga universiteten och högskolorna även ett antal enskilda utbildningsanordnare, det vill säga högskolor som drivs av andra aktörer än staten, till exempel av stiftelser eller föreningar. Regeringen har gett dessa utbildningsanordnare rätt att utfärda högskoleexamina enligt den svenska examensordningen. Exempel på enskilda utbildningsanordnare är Stiftelsen Chalmers tekniska högskola, Handelshögskolan i Stockholm och Högskolan i Jönköping. Verksamheten för enskilda utbildningsanordnare regleras i lagen (1993:792) om tillstånd att utfärda vissa examina. Utbildningen ska vila på vetenskaplig eller konstnärlig grund och på beprövad erfarenhet samt bedrivas så att den i övrigt uppfyller krav som ställs på utbildning i första kapitlet högskolelagen. För varje examen som tillståndet avser ska utbildningen uppfylla de särskilda krav som gäller för denna examen enligt examensordningen i bilaga 2 till högskoleförordningen. Övriga delar av högskolelagen och högskoleförordningen gäller inte för enskilda utbildningsanordnare. (SOU 2017:104 s. 136). Sådana enskilda utbildningsanordnare bedriver även forskning i stor utsträckning, både i egen regi och i samverkan med andra aktörer.
12 Se även SOU 2017:104 s. 244.
6.4. Regler vid klinisk forskning
6.4.1. Inledning
Flera olika regler kan bli tillämpliga beroende på vad den kliniska forskningen innefattar. Nedan görs en övergripande beskrivning av de för utredningen mest centrala reglerna.
6.4.2. Internationellt
Helsingforsdeklarationen
Internationella forskningsetiska riktlinjer för medicinsk forskning på människor finns i Helsingforsdeklarationen om etiska principer för medicinsk humanforskning, fastställd av World Medical Association, förkortad Helsingforsdeklarationen. Helsingforsdeklarationen innehåller grundläggande etiska principer som ska gälla vid medicinsk forskning som omfattar människor. Reglerna gäller också forskning som innefattar mänskligt material som är kopplat till viss person eller personuppgifter. Helsingforsdeklarationen är inte juridiskt bindande men har haft stor inverkan på lagstiftningen.
Europarådets konvention om mänskliga rättigheter och biomedicin
Europarådets konvention om de mänskliga rättigheterna och biomedicin, här kallad biomedicinkonventionen, har betydelse på forskningsområdet. Sverige har inte ratificerat konventionen, vilket innebär att den inte är bindande för Sverige, men den har ändå påverkat utformningen av den svenska lagstiftningen. Biomedicinkonventionens syfte är att skydda människor, integritet och andra fri- och rättigheter vid tillämpningen av biologi och medicin. Konventionen omfattar dels åtgärder inom hälso- och sjukvårdsområdet, dels forskning på människor.
Biomedicinkonventionen kompletteras av Europarådets rekommendation (CM/Rec[2016]6) om forskning på biologiskt material av mänskligt ursprung som beslutades i maj 2016. Rekommendationen innehåller principer för hur vävnadsprover får samlas in och bevaras för forskningsändamål och hur humanbiologiskt material som samlats in eller bevarats för något annat ändamål får användas i forskning. Här
finns bland annat rekommendationer om sekretess, informerat samtycke, strukturerad förvaring av vävnadsprover och forskningspersoners rätt att informeras om forskningsresultat som kan vara relevanta för deras hälsa.
Good Clinical Practice (GCP)
Good Clinical Practice (GCP), på svenska god klinisk sed, är en internationell etisk och vetenskaplig kvalitetsstandard för utformning, genomförande, registrering och rapportering av prövningar som involverar deltagande av försökspersoner. Efterlevnad av denna standard ger allmänheten garantier för att försökspersonernas rättigheter, säkerhet och välbefinnande skyddas, i enlighet med de principer som har sitt ursprung i Helsingforsdeklarationen, och att data från kliniska prövningar är trovärdiga. Syftet med GCP-riktlinjen från International Conference on Harmonisation (ICH) är att tillhandahålla en enhetlig standard för Europeiska unionen (EU), Japan och USA för att underlätta ömsesidigt godkännande av kliniska data av tillsynsmyndigheterna i dessa jurisdiktioner. Riktlinjen utvecklades med hänsyn till nuvarande god klinisk praxis i Europeiska unionen, Japan och USA, liksom i Australien, Kanada, de nordiska länderna och Världshälsoorganisationen (WHO). Denna riktlinje bör följas när data från kliniska prövningar som är avsedda att lämnas in till tillsynsmyndigheterna tas fram.13
6.4.3. Lag om ansvar för god forskningssed och prövning av oredlighet i forskning
Lag (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning innehåller bestämmelser om forskares och forskningshuvudmäns ansvar för att forskning utförs i enlighet med god forskningssed och bestämmelser om förfarandet vid prövning av frågor om oredlighet i forskning.
Forskningshuvudman är enligt lagens definition en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskning utförs, se 2 §. I samma paragraf definieras oredlighet i forskning som en allvarlig avvikelse från god forskningssed i form av fabricering,
13 https://ichgcp.net/.
förfalskning eller plagiering som begås med uppsåt eller av grov oaktsamhet vid planering, genomförande eller rapportering av forskning.
Det finns inte någon definition av begreppet god forskningssed i författning. I förarbetena till lagen sägs att vad som utgör god forskningssed ofta är fastställt i kodexar och policydokument och kan variera mellan olika forskningsområden samt att det kan finnas lagkrav som måste följas. Begreppet kan sägas innefatta de samlade etiska kraven på hur forskning bör bedrivas (se prop. 2018/19:58 s. 99).
I 3 § framgår vilka utförares forskning som lagen tillämpas på. Uppräkningen i paragrafen omfattar bland annat universitet och högskolor som har staten som huvudman och omfattas av högskolelagen, andra statliga myndigheter samt kommuner och regioner.
I 4 § framgår forskarens ansvar att följa god forskningssed. I 5 § finns bestämmelse om forskningshuvudmannens ansvar för att forskningen utförs enligt god forskningssed.
I 7 § anges att en särskild nämnd ska pröva frågor om oredlighet i forskning och hur sådana ärenden inleds. Nämndens beslut i ärenden om oredlighet i forskning ska redovisas i ett beslut enligt 9 §. Sådana beslut kan överklagas enligt 21 §. Om nämnden har fattat ett beslut om att det har förekommit oredlighet i forskning, eller det framgår av ett beslut av nämnden att det har förekommit en allvarlig avvikelse från god forskningssed i form av fabricering, förfalskning eller plagiering utan att uppsåt eller grov oaktsamhet har kunnat konstateras, ska forskningshuvudmannen inom sex månader efter att beslutet har vunnit laga kraft rapportera till nämnden vilka åtgärder huvudmannen har vidtagit eller avser att vidta med anledning av beslutet enligt 13 §. Forskningshuvudmannen ska också snarast efter att beslutet har fattats underrätta intressenter, se 14 §.
Bestämmelser om behandling av personuppgifter enligt lagen finns i 15–20 §§.
6.4.4. Lag om etikprövning av forskning som avser människor
Tillämpningsområde och centrala begrepp
Vid forskning inom hälso- och sjukvårdsområdet blir lagen (2003:460) om etikprövning av forskning som avser människor, förkortad EPL, ofta tillämplig. Lagen innehåller bestämmelser om etikprövning av forskning som avser människor och biologiskt material från män-
niskor. Den innehåller också bestämmelser om samtycke till sådan forskning. Syftet med lagen är att skydda den enskilda människan och respekten för människovärdet vid forskning (1 § EPL). Lagen tillämpas på forskning som ska utföras i Sverige (5 § EPL).
I 2 § EPL finns definitioner av ett antal centrala begrepp. Med forskning avses vetenskapligt experimentellt eller teoretiskt arbete eller vetenskapliga studier genom observation, om arbetet eller studierna görs för att hämta in ny kunskap, och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete eller sådana studier som utförs endast inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå. Forskningshuvudman är en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs. Med forskningsperson menas en levande människa som forskningen avser.
Enligt 4 § ska EPL tillämpas på forskning som: – innebär ett fysiskt ingrepp på en forskningsperson, – utförs enligt en metod som syftar till att påverka forsknings-
personen fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen fysiskt eller psykiskt, – avser studier på biologiskt material som har tagits från en levande
människa och kan härledas till denna människa, – innebär ett fysiskt ingrepp på en avliden människa, eller – avser studier på biologiskt material som har tagits för medicinskt
ändamål från en avliden människa och kan härledas till denna människa.
EPL ska också tillämpas på forskning som innefattar behandling av personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter), eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (3 § EPL).
EPL tillämpas inte på kliniska prövningar eller prestandastudier som omfattas av CTR, MDR eller IVDR. Detta framgår av 4 a och 4 b §§ EPL. Bestämmelser om etisk granskning finns i stället i lagen (2018:1091) med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel och i lagen (2021:603) med kompletterande bestämmelser om etisk granskning till EU:s förordningar om medicintekniska produkter.
Etikprövning och godkännande
Enligt 6 § EPL får forskning som omfattas av EPL utföras bara om den har godkänts vid en etikprövning. Ett godkännande får förenas med villkor. Ett godkännande ska avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. Forskningen får innefatta behandling av sådana personuppgifter som avses i 3 § bara om behandlingen har godkänts vid etikprövningen.
I 7–11 §§ EPL finns vissa utgångspunkter för själva etikprövningen. Grundläggande är att forskning bara får godkännas om den kan utföras med respekt för människovärdet (7 § EPL). Vidare ska mänskliga rättigheter och grundläggande friheter alltid beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov (8 § EPL). Forskning får godkännas bara om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde (9 § EPL). Behandling av personuppgifter som avses i 3 § får godkännas bara om den är nödvändig för att forskningen ska kunna utföras (10 § andra stycket EPL).
Information och samtycke
Vid forskning på levande människor eller biologiskt material från levande människor (jämför 4 § 1–3 EPL) gäller, med vissa i bestämmelsen angivna undantag, regler om information och samtycke (13 § EPL).
Forskningspersonen ska informeras om den övergripande planen för forskningen, syftet med forskningen, metoder som kommer att användas, de följder och risker som forskningen kan medföra, vem som är forskningshuvudman, att deltagande i forskningen är frivilligt, och forskningspersonens rätt att när som helst avbryta sin medverkan (16 § EPL).
Som huvudregel får forskning bara utföras om forskningspersonen har samtyckt till den forskning som avser henne eller honom, enligt 17 § EPL. Ett samtycke gäller bara om forskningspersonen dessförinnan har fått information om forskningen enligt 16 §. Samtycket ska vara frivilligt, uttryckligt och preciserat till viss forskning. Samtycket ska dokumenteras. Enligt 19 § EPL kan ett samtycke när som helst tas tillbaka med omedelbar verkan. De data som har hämtats in
dessförinnan får dock användas i forskningen. Det ska framhållas att samtycke till att delta i forskning inte är samma sak som samtycke som rättslig grund för behandling av personuppgifter (se vidare bilaga 3 till betänkandet, Samtycken inom vård och forskning).
Det finns särskilda regler avseende information och samtycke för forskningspersoner under 18 år (se 18 § EPL) samt för forskning där samtycke på grund av sjukdom, psykisk störning, försvagat hälsotillstånd eller något annat liknande förhållande hos forskningspersonen hindrar att hans eller hennes mening inhämtas (se 20–22 §§ EPL).
Forskning utan samtycke
Det bör noteras att bestämmelserna i 16–22 §§ EPL om information och samtycke gäller för forskning som avses i 4 § 1–3 EPL (se 13 § EPL). Med andra ord träffas inte forskning som visserligen innefattar behandling av känsliga personuppgifter (jämför 3 § 1 EPL) men som inte är sådan forskning som räknas upp i 4 § 1–314 av bestämmelserna om information och samtycke i 16–22 §§ EPL. Exempel på sådan forskning är registerbaserade studier. Det finns dock inget som hindrar att ett beslut om etikgodkännande i enskilda fall förenas med särskilda villkor om information och samtycke.
Ansökan och beslut
Enligt 23 § EPL ska ansökan om etikprövning av forskning göras av forskningshuvudmannen. När flera forskningshuvudmän medverkar i ett och samma forskningsprojekt ska de gemensamt uppdra åt en av dem att ansöka om etikprövning av projektet för allas räkning och att informera de övriga om Etikprövningsmyndighetens beslut.
Det är Etikprövningsmyndigheten som prövar ansökningar om etikprövning av forskning (24 § EPL).
Beslut från Etikprövningsmyndigheten i ärendet om etikprövning kan, om det gått huvudmannen emot, överklagas till Överklagandenämnden för etikprövning (36 § EPL).
14 Forskning som (1) innebär ett fysiskt ingrepp på en forskningsperson, (2) utförs enligt en metod som syftar till att påverka forskningspersonen fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen fysiskt eller psykiskt, eller (3) avser studier på biologiskt material som har tagits från en levande människa och kan härledas till denna människa.
6.4.5. EU-förordningen om kliniska prövningar av humanläkemedel
Tillämpningsområde
CTR trädde i kraft 16 juni 2014, och började tillämpas den 31 januari 2022. Svensk lag har anpassats till förordningen genom förslag i propositionen Anpassningar av svensk rätt till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:196) och propositionen Kompletterande bestämmelser om etisk granskning till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:193). Genom sistnämnda proposition infördes lagen (2018:1091) med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel. Lagen trädde i kraft den 31 januari 2022 när EU-förordningen började tillämpas. Kompletterande bestämmelser finns också i 7 kap. läkemedelslagen (2015:315).
Syftet med CTR är att förenkla förfarandet för beviljande av tillstånd för kliniska läkemedelsprövningar inom EU, speciellt i fråga om prövningar som ska ske i flera medlemsstater.
Enligt artikel 1 i CTR tillämpas den på alla kliniska prövningar som genomförs inom unionen. I artikel 2.2.2 i CTR finns en definition av begreppet klinisk prövning. CTR tillämpas inte på icke-interventionsstudier, som enligt definition i artikel 2.2.4 är annan klinisk studie än klinisk prövning.
Etisk granskning och tillstånd
Av CTR framgår att kliniska prövningar ska genomgå vetenskaplig och etisk granskning samt godkännas i enlighet med förordningen (artikel 4).
Ansökan om tillstånd att utföra en klinisk prövning ska lämnas in av en sponsor till avsedda berörda medlemsstater via en webbportal (EU-portalen) som Europeiska läkemedelsmyndigheten ska upprätthålla (artikel 5.1 och 80). Med sponsor avses person, företag, institution eller organisation som ansvarar för att inleda, leda och ordna med finansieringen av en klinisk läkemedelsprövning (artikel 2.2.14). Begreppet forskningshuvudman används inte i CTR.
Enligt 2 och 3 §§ i lagen (2018:1091) med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska pröv-
ningar av humanläkemedel ska Etikprövningsmyndigheten genomföra etisk granskning i enlighet med vad som stadgas i EU-förordningen, och redovisa denna i ett yttrande till Läkemedelsverket, vilken är den myndighet regeringen har utsett för att pröva frågor om tillstånd för att genomföra en klinisk läkemedelsprövning. Yttrandet ska innehålla en bedömning av om en ansökan om tillstånd att utföra klinisk läkemedelsprövning ska beviljas, beviljas på vissa villkor eller avslås. Vad som anges i 7–11 §§ i EPL ska ligga till grund för bedömningen. Etikprövningsmyndighetens beslut om yttrande får inte överklagas, se 5 § i lagen (2018:1091) med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel.
Att Läkemedelsverket prövar frågor om tillstånd att genomföra en klinisk läkemedelsprövning framgår av 7 kap. 7 § läkemedelslagen (2015:315). Tillstånd får inte meddelas om Etikprövningsmyndigheten vid den etiska granskningen har avgett ett negativt yttrande. Om Etikprövningsmyndigheten efter sin granskning har avgett ett yttrande med villkor för prövningens genomförande ska villkoren beaktas vid tillståndsgivningen.
Beslut som Läkemedelsverket meddelat om tillstånd till klinisk läkemedelsprövning får överklagas till allmän förvaltningsdomstol.
Skydd för försökspersoner och informerat samtycke
I kapitel V i CTR finns bestämmelser om skydd för försökspersoner och informerat samtycke. I artikel 28 finns allmänna bestämmelser om villkor för när en klinisk läkemedelsprövning får genomföras. Ett krav är att försökspersonen, eller dennes lagligen utsedda ställföreträdare, ska ha informerats och lämnat informerat samtycke till deltagandet i den kliniska läkemedelsprövningen i enlighet med artikel 29.
Enligt artikel 29 ska försökspersonen, eller dennes lagligen utsedda ställföreträdare, få information som gör det möjligt att förstå den kliniska prövningens karaktär, mål, nytta, konsekvenser, risker och olägenheter, samt information om rätten att vägra delta i prövningen och rätten att när som helst avbryta deltagandet i prövningen. Information ska också ges om omständigheterna kring genomförandet av den kliniska prövningen, inbegripet hur länge försökspersonen förväntas delta i den, och information om möjliga behandlingsalternativ
och eventuell uppföljning om försökspersonens deltagande i den kliniska prövningen avbryts. Den information som ges ska vara uttömmande, kortfattad, tydlig, relevant och begriplig för en lekman. Informationen ska tillhandahållas under en intervju med en medlem av prövningsgruppen men informationen ska även ges skriftligt. Det informerade samtycket ska vara skriftligt och undertecknas av försökspersonen. Om försökspersonen är oförmögen att skriva får samtycke ges och registreras på annat lämpligt sätt i närvaro av minst ett oberoende vittne.
Försökspersonen, eller dennes lagligen utsedda ställföreträdare, får när som helst avsluta sitt deltagande i prövningen genom att återkalla sitt informerade samtycke enligt artikel 28.3. De data som erhållits innan samtycket återkallades får användas i prövningen.
För svenska förhållanden framgår vem den lagligen utsedda ställföreträdaren är i 7 kap. 3 § läkemedelslagen (2015:315). Förutom de allmänna förutsättningarna i artikel 28 för att utföra kliniska läkemedelsprövningar, uppställer CTR ytterligare villkor som måste vara uppfyllda för att kliniska läkemedelsprövningar ska få utföras på icke beslutskompetenta vuxna och underåriga (se artikel 31 och 32).
I artikel 35 i CTR anges när klinisk läkemedelsprövning kan utföras på person i nödsituation. Enligt artikeln får informerat samtycke till att delta i en klinisk läkemedelsprövning inhämtas och information om den kliniska prövningen ges efter beslutet att inkludera försökspersonen i den kliniska prövningen, förutsatt att en rad omständigheter föreligger.
Övrigt
Från 31 januari 2023 ska inga nya ansökningar om klinisk läkemedelsprövning enligt EU-direktiv 2001/20/EG och relaterade nationella regelverk skickas in till Läkemedelsverket eftersom alla ansökningar då måste göras enligt bestämmelserna i CTR. Kliniska läkemedelsprövningar som sedan tidigare är godkända enligt direktivlagstiftningen får fortsätta att genomföras i enlighet med bestämmelserna i den äldre lagstiftningen, dock längst fram till 30 januari 2025.
6.4.6. EU-förordningarna om medicintekniska produkter
Tillämpningsområde
Kliniska prövningar av medicintekniska produkter och prestandastudier av medicintekniska produkter för in vitro-diagnostik regleras i MDR och IVDR. MDR började tillämpas den 26 maj 2021 och IVDR började tillämpas den 26 maj 2022. De huvudsakliga anpassningarna av svensk rätt till dessa EU-förordningar presenteras i propositionen Anpassningar till EU:s förordningar om medicinteknik – del 2 (prop. 2020/21:172). EU-förordningarna kompletteras av lagen (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter. Till EU-förordningarna finns det också en lag om etisk granskning, lagen (2021:603) med kompletterande bestämmelser om etisk granskning till EU:s förordningar om medicintekniska produkter.
Medicinteknisk produkt definieras i artikel 2.1 i MDR och medicinteknisk produkt för in vitro-diagnostik definieras i artikel 2.2 i IVDR.
Bestämmelserna om klinisk prövning regleras i huvudsak i kapitel VI i MDR. I IVDR finns bestämmelser om prestandastudier i huvudsak i kapitel VI.
Etisk granskning och tillstånd
Enligt artikel 62.3 i MDR och artikel 58.3 i IVDR ska vissa kliniska prövningar och vissa prestandastudier vara föremål för vetenskaplig och etisk granskning.
En sponsor för en klinisk prövning eller en prestandastudie ska lämna en ansökan samt den dokumentation som krävs till den eller de medlemsstater där prövningen eller prestandastudien ska genomföras (den s.k. berörda medlemsstaten). Ansökan ska lämnas in via ett elektroniskt system (som avses i artikel 73 i MDR och artikel 69 i IVDR).
I lagen (2021:603) med kompletterande bestämmelser om etisk granskning till EU:s förordningar om medicintekniska produkter framgår att Läkemedelsverket ska fatta beslut om tillstånd medan Etikprövningsmyndigheten ska utföra den etiska granskningen. Resultatet av denna granskning ska redovisas till Läkemedelsverket inför myndighetens beslut i tillståndsfrågan. Den relevanta regleringen återfinns i
4 § denna lag, 24 a § EPL samt i 2 kap. 4 § lag (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter. Därutöver ska Etikprövningsmyndigheten i vissa fall meddela ett eget beslut gällande en ansökan om att få genomföra en klinisk prövning av medicintekniska produkter eller en prestandastudie av medicintekniska produkter för in vitro-diagnostik. Det framgår av 5 § lagen med kompletterande bestämmelser om etisk granskning till EU:s förordning om medicintekniska produkter. Vad som anges i 7–11 §§ EPL ska ligga till grund för bedömningen vid granskningen (se 6 §).
Etikprövningsmyndighetens beslut enligt 4 § lag (2021:603) med kompletterande bestämmelser om etisk granskning till EU:s förordningar om medicintekniska produkter kan inte överklagas (se 7 §). Etikprövningsmyndighetens beslut enligt 5 § får däremot överklagas till Överklagandenämnden för etikprövning. Beslut av Överklagandenämnden för etikprövning får inte överklagas.
Skydd för försökspersoner och informerat samtycke
De allmänna kraven på kliniska prövningar regleras i artikel 62 i MDR och de allmänna kraven på prestandastudier i artikel 57 i IVDR.
Ett samtycke till en klinisk prövning eller en prestandastudie ska vara informerat och skriftligt (artikel 63 i MDR och artikel 59 i IVDR).
EU-förordningarna påverkar inte tillämpningen av nationell rätt enligt vilken det för en underårig som har förmåga att inta en ståndpunkt och bedöma den information han eller hon får, krävs att personen själv ger sitt samtycke för att kunna delta i en klinisk prövning eller prestandastudie. Kliniska prövningar eller prestandastudier på försökspersoner som inte är beslutskompetenta får endast genomföras om vissa villkor är uppfyllda (artikel 64 i MDR och artikel 60 i IVDR). Som exempel på sådana villkor kan nämnas att deras lagligen utsedda ställföreträdare har gett sitt informerade samtycke. I fråga om underåriga måste också vissa villkor vara uppfyllda (se vidare artikel 65 i MDR och artikel 61 i IVDR)
Av artikel 62.5 i MDR och artikel 58.6 i IVDR framgår att försökspersonen, eller om försökspersonen inte kan ge ett informerat samtycke, hans eller hennes lagligen utsedda ställföreträdare, när som helst får avsluta deltagandet i en klinisk prövning eller prestandastudie genom att återkalla sitt informerade samtycke.
EU-förordningarna ger också utrymme för att utföra kliniska prövningar och prestandastudier i nödsituationer på vissa villkor (artikel 68 i MDR och artikel 64 i IVDR).
I 2 kap. lagen (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter finns kompletterande bestämmelser till MDR som bland annat berör informerat samtycke för försökspersoner vars mening inte kan inhämtas och informerat samtycke för försökspersoner som är underåriga.
7. Dataskydd
7.1. Generella regler om behandling av personuppgifter
7.1.1. Inledning
Utredningens författningsförslag och stora delar av betänkandet i övrigt avser hälsodata i form av personuppgifter, se avsnitt 2.7.3. Enligt utredningens direktiv ingår det i utredningens uppdrag att analysera bland annat lagstiftning rörande dataskydd. I detta kapitel görs en genomgång av dataskyddsregleringen med särskilt fokus på sådana bestämmelser som kan ha relevans för utredningens förslag.
I kapitel 3, redogör utredningen för att data är information, och att informationen kan se ut på olika sätt. Som också anges där, kan data bestå av personuppgifter men behöver inte göra det. Personuppgifter utgör sådan information som skyddas av bestämmelser om personlig integritet och regler till skydd för enskildas privatliv. Enskild har inte endast en fysisk integritet utan även en digital integritet.
Digital integritet är bland annat rätten till skydd för personuppgifter och i andra digitala sammanhang. Ett särdrag när det gäller den digitala integriteten är att den inte lyder under geografiska gränser på samma sätt som andra delar av en persons integritet. Det regelverk som finns till skydd för personuppgifterna är således del av ett internationellt system och de verktyg som används för uttolkandet av reglerna är därför inte enbart vad som följer av inhemska förarbeten och praxis.
Till de källor som är vanligast förekommande på dataskyddsområdet som inte är del av de nationella rättskällorna, kan avgöranden från EU-domstolen och Europeiska domstolen för de mänskliga rättigheterna samt Europeiska dataskyddsstyrelsens vägledningar och yttranden, räknas.
Europeiska dataskyddsstyrelsen, förkortad EDPB, är inte en domstol och deras uttalanden och vägledningar är formellt sett inte en rätts-
källa. Då EDPB utgör ett oberoende organ som bland annat består av alla EU:s medlemsstaters dataskyddsmyndigheter (se bland annat skäl 139 och artiklarna 68–69 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), har dock deras uttalanden ansetts ha stor betydelse för hur specifika bestämmelser i dataskyddsförordningen ska tolkas.
7.1.2. Integritetsskydd som en grundläggande mänsklig rättighet
Förenta nationerna (FN)
I FN:s allmänna förklaring om de mänskliga rättigheterna från år 1948 finns bestämmelser om skydd för privatlivet och den personliga integriteten. Enligt artikel 12 får ingen utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp. Enligt artikel 29.2 får en person som utövar sina rättigheter och friheter endast underkastas sådana inskränkningar som har fastställts i lag. Inskränkningarna får ske i syfte att trygga tillbörlig hänsyn till och respekt för andras rättigheter och friheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd. Den allmänna förklaringen inte formellt bindande, men ett uttryck för sedvanerätt.
Inom FN har det också utarbetats en internationell konvention om medborgerliga och politiska rättigheter. Sverige anslöt sig till konventionen 1971. I artikel 17 upprepas vad som anges i artikel 12 i den allmänna förklaringen.
FN:s generalförsamling antog 1990 riktlinjer om datoriserade register med personuppgifter. I riktlinjerna finns tio grundläggande principer som medlemsstaterna ska ta hänsyn till vid lagstiftning avseende datoriserade register med personuppgifter.
Dataskyddskonventionen
Europarådets ministerkommitté antog 1980 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Konventionen trädde i kraft år 1985. Dataskyddskonventionen är den enda rättsligt bindande multilaterala avtalet som specifikt avser personuppgiftsskydd. Samtliga EU-länder har ratificerat konventionen.
Enligt dataskyddskonventionen krävs att parterna vidtar nödvändiga åtgärder i sin nationella lagstiftning för att säkerställa respekt för alla enskildas mänskliga rättigheter när det gäller behandling av personuppgifter (artikel 4). Av artikel 5 framgår att personuppgiftsbehandling ska vila på laglig grund och att ett antal grundläggande principer ska följas, bland annat att personuppgifter ska inhämtas och behandlas på ett korrekt och lagligt sätt och för särskilt angivna ändamål. Personuppgifter får, enligt samma bestämmelse, som huvudregel sedan inte användas på ett sätt som är oförenligt med dessa ändamål. Det finns även regler om till exempel särskilda kategorier av personuppgifter1, säkerhetsåtgärder och överföring av uppgifter över landsgränser (artiklarna 6, 7 och 14).
Konventionen har varit en viktig inspirationskälla vid utformningen av dataskyddslagstiftning inom EU. Dataskyddskonventionen uppdaterades år 20182, bland annat i syfte att anpassas till den tekniska utvecklingen och dataskyddsförordningens ikraftträdande.
Europarätt
Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, förkortad Europakonventionen, innehåller också bestämmelser om skydd för privatlivet och den personliga integriteten. Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens (artikel 8.1). Offentlig myndighet får inte ingripa i denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till den nationella säkerheten, den allmänna säkerheten eller landets ekonomiska välstånd,
1 Såsom genetiska data, biometriska data, uppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös tro eller annan övertygelse, hälsa och sexualliv. 2 Protokollet om ändring av konvention 108, antagen av Europarådets ministerkommitté den 18 maj 2018.
till förebyggande av oordning eller brott, till skydd för hälsa eller moral eller till skydd för andra personers fri- och rättigheter (artikel 8.2). Europakonventionen är svensk lag.3 Ingen lag eller föreskrift får meddelas i strid med Sveriges åtaganden enligt Europakonventionen (2 kap. 19 § regeringsformen).
I anslutning till Europakonventionen har Europarådets ministerkommitté antagit rekommendationer för behandling av personuppgifter på vissa områden. Av relevans för denna utredning är Recommendation No. R (97) 5 of the Committee of Ministers to Member States on the Protection of Medical Data4, som antogs i syfte att förtydliga vad som gäller för den särskilda kategorin av personuppgifter som rör hälsa (hälsouppgifter), se artikel 6 i Konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter Rekommendationen No. R (97) 5 är tillämplig på insamling och automatiserad behandling av hälsouppgifter.
Även Europeiska unionens stadga om de grundläggande rättigheterna, förkortad rättighetsstadgan, innehåller bestämmelser om skydd för den personliga integriteten. Rättighetsstadgan är bindande för EU:s medlemsstater.
Av artikel 3 framgår att var och en har rätt till fysisk och mental integritet. Inom medicin och biologi ska i synnerhet följande respekteras:
a) Den berörda personens fria och informerade samtycke, på de villkor
som föreskrivs i lag.
b) Förbud mot rashygieniska metoder, i synnerhet sådana som syftar
till urval av människor.
c) Förbud mot att låta människokroppen och dess delar i sig utgöra
en källa till ekonomisk vinning.
d) Förbud mot reproduktiv kloning av människor.
Var och en har också rätt till respekt för sitt privat- och familjeliv (artikel 7).
Vidare anges i artikel 8 rättighetsstadgan att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dessa upp-
3 Lag (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna. 4 Council of Europe, Recommendation No. R (97) 5 of the Committee of Ministers to Member States on the Protection of Medical Data, antaget 13 februari 1997 av Europarådets ministerkommitté.
gifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Det anges också att var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem.
I artikel 52.1 rättighetsstadgan anges att varje begränsning i utövandet av de rättigheter och friheter som erkänns i denna stadga ska vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.
Svensk rätt
Enligt 2 kap. 6 § andra stycket regeringsformen (förkortad RF), är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Bestämmelsen infördes år 2010 och innebar ett utvidgat grundlagsskydd för enskildas personliga förhållanden.
I förarbetena till bestämmelsen anförs att respekten för individens självbestämmande är grundläggande i en demokrati. Samt att det genom att stärka skyddet för den personliga integriteten på grundlagsnivå, utan att skyddsintresset i första hand ska värderas utifrån intresset av att skydda den fria åsiktsbildningen, betonas vikten av respekt för individens rätt att själv förfoga över och ta ställning till det allmännas tillgång till information som rör hans eller hennes privata förhållanden på ett tydligare sätt än vad som tidigare har skett (prop. 2009/10:80 s. 176).
Grundlagsskyddet omfattar endast betydande integritetsintrång och i förarbetena betonas att grundlagsbestämmelsen bara omfattar vissa kvalificerade intrång i den personliga integriteten. Vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden är det naturligt att stor vikt läggs vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Även hantering av ett litet fåtal uppgifter kan med
andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär (prop. 2009/10:80 s. 183).
I förarbetena anges vidare att mängden uppgifter givetvis också kan vara en viktig faktor i sammanhanget. Det anges också att konstitutionsutskottet i flera lagstiftningsärenden som rört myndigheters behandling av personuppgifter framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag och att regeringen vid åtskilliga tillfällen har instämt i denna bedömning (prop. 2009/10 s. 183).
Av förarbetena framgår också att uppgifternas karaktär och omfattning endast utgör två faktorer som ska beaktas vid bedömningen av vad som kan anses utgöra ett betydande intrång. Exempel på andra omständigheter som bör vägas in är ändamålet med behandlingen av uppgifterna och omfattningen av utlämnandet av uppgifter till andra som sker utan omedelbart stöd av offentlighetsprincipen. Vidare anges att frågan om vad som utgör ett betydande integritetsintrång måste bedömas utifrån de samhällsvärderingar som råder vid varje givet tillfälle. Dessa kan påverkas av en rad omständigheter, inte minst av den fortsatta tekniska utvecklingen men även av andra förhållanden i vår omvärld. (prop. 2009/10 s. 184 och s. 185).
När det gäller frågan om samtycke anförs i förarbetena att det utvidgade integritetsskyddet bör ta sikte på sådana åtgärder som den enskilde själv inte kan få kännedom om eller påverka genom ett krav på frivilligt godkännande. Om åtgärden däremot förutsätter den enskildes godkännande, kan det intrång som åtgärden innebär normalt inte anses vara av så allvarlig beskaffenhet att den bör omfattas av ett stärkt grundlagsskydd. Detta gäller oberoende av vilka slags uppgifter åtgärden eller behandlingen avser (prop. 2009/10 s. 178–179).
Vid bedömningen av om en åtgärd ska anses innebära övervakning
eller kartläggning är det, enligt förarbetena, inte åtgärdens huvudsakliga
syfte utan vilken effekt åtgärden har, som är avgörande. Exempelvis kan en åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda ärenden i många fall anses innebära kartläggning av enskildas förhållanden, även om kartläggning inte är avsikten. Ett annat exempel är de myndighetsspecifika verksamhetsregister och databaser med information som är knuten till en myndighets ärendehantering som förekommer inom i stort sett all statlig och kommunal förvaltning. Uppgifterna är i flertalet fall tillgängliga för myndigheterna på sådant sätt att lagringen
och behandlingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett något helt annat. Med hänsyn till dagens snabba tekniska utveckling ligger det i sakens natur att nya metoder kommer att utvecklas som möjliggör övervakning och kartläggning i andra former än vad som för närvarande är möjligt (prop. 2009/10 s. 180–181).
Med enskildas personliga förhållanden avses, enligt förarbetena, vitt skilda slag av information som är knuten till den enskildes person, till exempel uppgifter om namn och andra personliga identifikationsuppgifter, adress, familjeförhållanden, hälsa och vandel. Uttrycket avses ha samma innebörd som i tryckfrihetsförordningen, förkortad TF, och offentlighets- och sekretesslagen (2009:400), förkortad OSL. Även fotografisk bild samt uppgifter som inte är direkt knutna till den enskildes privata sfär, till exempel uppgift om anställning och uppgift om en persons ekonomi, omfattas av uttrycket personliga förhållanden (prop. 2009/10:80 s. 177).
Det skydd för den personliga integriteten som grundlagsbestämmelsen 2 kap. 6 § andra stycket RF innebär är inte absolut, utan kan under vissa förutsättningar begränsas med hänsyn till andra motstående intressen. En sådan begränsning får endast ske genom lag (2 kap. 20 § första stycket 2 RF). Det ställs också krav på att begränsningarna ska vara nödvändiga för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. En begränsning får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Vidare får begränsningen inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning (2 kap. 21 § RF).
Av förarbetena framgår att en önskad följd av regleringen bland annat är att lagstiftaren tydligt ska redovisa vilka avvägningar som gjorts vid proportionalitetsbedömningen. Detta kan förväntas öka förutsättningarna för att avvägningarna i fråga om integritetsintrånget blir mer ingående belysta och att de presenteras på ett sådant sätt att kvaliteten i lagstiftningen höjs ytterligare (prop. 2009/10:80 s. 177).
7.1.3. Allmänt om EU:s dataskyddsförordning
Syfte och tillämpningsområde
Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad dataskyddsförordningen eller EU:s dataskyddsförordning. Från och med den 25 maj 2018 trädde dataskyddsförordningens bestämmelser i kraft.
Dataskyddsförordningen utgör den generella regleringen av personuppgiftsbehandling inom EU. Att dataskyddsförordningen är en EUförordning innebär att den är direkt tillämplig i varje medlemsstat. Även om dataskyddsförordningen är direkt tillämplig innehåller den många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Förordningen har därmed i vissa delar en direktivliknande karaktär.
För att säkerställa en enhetlig skyddsnivå över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs, enligt skälen till förordningen, en förordning som skapar rättslig säkerhet och öppenhet för ekonomiska aktörer och som ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt ålägger personuppgiftsansvariga och personuppgiftsbiträden samma ansvar (skäl 13). Enligt artikel 1 i dataskyddsförordningen är syftet med förordningen att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Vidare anges att det fria flödet av personuppgifter inom unionen varken får begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter.
Dataskyddsförordningen syftar således till att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter samtidigt som den syftar till att få till stånd ett fritt flöde av personuppgifter inom EU som inte begränsas av dataskyddsskäl. Rätten till skydd av personuppgifter är som nämnts ovan, inte en absolut rättighet. Rättigheten måste förstås utifrån sin kontext i samhället och vägas mot andra grundläggande rättigheter utifrån en proportionalitetsbedömning (skäl 4).
Dataskyddsförordningen ska tillämpas på all helt eller delvis automatiserad (automatisk) behandling av personuppgifter. Detta gäller oavsett om personuppgifterna finns i ett register eller inte.
Dataskyddsförordningen ska dessutom tillämpas på manuell (ickeautomatisk) behandling av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1). Detta innebär till exempel att dataskyddsförordningen gäller behandling av personuppgifter i löpande text i en dator eller bilder på individer i skannade dokument. Dataskyddsförordningen har alltså ett brett tillämpningsområde.
Grundläggande begrepp
Nedan följer en kort beskrivning av några av de mest grundläggande begreppen i dataskyddsförordningen.
Personuppgifter
Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person (det är detta som avses med begreppet registrerad) (artikel 4.1). Redan ordalydelsen tyder på att en vid tolkning ska göras (”varje upplysning”). Exempel på personuppgifter är namn, adress och personnummer. Andra upplysningar som identifierar en fysisk person kan vara identifikationsnummer, lokaliseringsuppgift eller onlineidentifikatorer (till exempel IP-adress).
Information som är specifik för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet kan utgöra personuppgifter. Bilder på och ljudupptagningar av individer kan vara personuppgifter, även om inga namn nämns. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person.
Värt att notera är att uppgifter om avlidna fysiska personer inte utgör personuppgifter enligt dataskyddsförordningen (skäl 27). Definitionen av personuppgifter omfattar därför enbart levande fysiska personer.
Pseudonymisering och anonymisering
Dataskyddsförordningen är även tillämplig på pseudonymiserade uppgifter. Med pseudonymisering avses åtgärder som innebär att personuppgifterna inte längre direkt kan hänföras till en specifik registrerad utan att kompletterande information används (artikel 4.5). Även om man har kodat, krypterat eller på annat sätt pseudonymiserat uppgifterna är de personuppgifter i dataskyddsförordningens mening så länge de kan hänföras till en identifierbar fysisk person med hjälp av kompletterande uppgifter.
För att avgöra om en fysisk person är identifierbar bör alla hjälpmedel som rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen, beaktas.
För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör samtliga objektiva faktorer beaktas, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen (skäl 26). Det krävs inte att den personuppgiftsansvarige själv förfogar över de uppgifter som gör identifieringen möjlig. Till stöd för bedömningen kan den praxis som finns från EU-domstolen som tar sikte på när uppgifter ska anses pseudonymiserade respektive anonymiserade, se bland annat Breyer-domen (C 582–14 Patrick Breyer mot Bundesrepublik Deutschland från den 19 oktober 2016) och Single Resolution Board v. European Data Protection Supervisor (Mål T-557-20 från den 26 april 2023). Den senare domen avsåg den definition av personuppgifter som finns i förordning 2018/1725 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter, som utgör den dataskyddsförordning som är tillämpbar på personuppgiftsbehandling som utförs av Europeiska unionens institutioner. Domen avser överklagandet av ett beslut som fattats av den Europeiska datatillsynsmannen (EDPS).
När det gäller anonymiserade uppgifter är dataskyddsförordningen inte tillämplig. Med anonymiserade uppgifter avses uppgifter som inte ens med kompletterande information kan hänföras till en viss individ. Någon koppling till individen ska inte rimligen kunna skapas. Det innebär att dataskyddsförordningen inte gäller vid behandling av ano-
nymiserad information inom till exempel forskning eller för statistiska ändamål (skäl 26).
Behandling
I dataskyddsförordningen är ordet behandling central. En behandling är enligt dataskyddsförordningens definition en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring (artikel 4.2). Behandling är därmed ett vidsträckt begrepp och innefattar allt som kan göras med personuppgifter. Så snart personuppgifter på något sätt hanteras – automatiserat eller manuellt, oberoende av teknik – är det fråga om behandling i dataskyddsförordningens mening.
Personuppgiftsansvarig och personuppgiftsbiträde
I dataskyddsförordningen finns det flera utpekade roller. Bland de som ska utföra behandlingar på personuppgifter är personuppgiftsansvarig och personuppgiftsbiträde de två mest centrala. Något förenklat kan sägas att personuppgiftsansvarig är den som bestämmer varför personuppgifter ska behandlas och hur behandlingen ska gå till.
I dataskyddsförordningens definition uttrycks personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter (artikel 4.7). En medlemsstat har rätt att i sin nationella rätt precisera vem som är personuppgiftsansvarig. Ett exempel där personuppgiftsansvaret pekas ut i lag är i patientdatalagen (2008:335), förkortad PDL.
I artikel 4.8 i dataskyddsförordningen beskrivs personuppgiftsbiträde som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Till skillnad från den personuppgiftsansvariga bestämmer personuppgiftsbiträdet inte för vilka ändamål eller
hur behandlingen av personuppgifter ska gå till, utan gör detta på uppdrag av den personuppgiftsansvarige.
Känsliga personuppgifter
Med känsliga personuppgifter avses sådana personuppgifter som utpekas som särskilda kategorier av personuppgifter enligt artikel 9.1 i dataskyddsförordningen, det vill säga. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, liksom genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
Sagda bestämmelse innehåller ett principiellt förbud mot behandling av sådana uppgifter, men också flera undantag från detta förbud, vilka följer av artikel 9.2 a–j i förordningen. Vissa av undantagen innehåller hänvisningar till nationell rätt, innebärande att lagstiftningsåtgärder bör vidtas för att dessa undantag ska vara tillämpliga (artikel 9.2).
För utredningens del är det främst vissa av kategorierna av personuppgifter som är relevanta, som uppgifter om hälsa och genetiska uppgifter. Dessa undantag återges i korthet nedan.
Bland undantagen finns ett som avser behandling som är nödvändig av skäl som hör samman med tillhandahållande av hälso- och sjukvård (artikel 9.2 h). Av artikel 9.3 framgår vidare att personuppgifter som avses i artikel 9.1 får behandlas för de ändamål som avses i artikel 9.2 h, när uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt. Ett annat relevant undantag är det som följer av artikel 9.2 j, som medger behandling som är nödvändig för vetenskapliga forskningsändamål.
Vidare anges i dataskyddsförordningens skäl att personuppgifter om hälsa bör innefatta alla de uppgifter som hänför sig till en registrerad persons hälsotillstånd som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd. Detta inbegriper uppgifter om den fysiska personen som insamlats i samband med registrering för eller tillhandahållande av hälso- och sjukvårdstjänster, ett nummer, en symbol eller ett kännetecken som den fysiska personen tilldelats för att identifiera denne för hälso- och sjukvårdsändamål. Det kan också vara uppgifter som
härrör från tester eller undersökning av en kroppsdel eller kroppssubstans, däribland genetiska uppgifter och biologiska prov, och andra uppgifter om exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling med mera (skäl 35).
Enligt EDPB:s riktlinjer ska uppgifter om hälsa tolkas brett och innefattar bland annat information som samlats in av en vårdgivare i en patientjournal till exempel sjukdomshistoria och resultat av undersökningar och behandlingar.5
När det gäller genetiska uppgifter anges i dataskyddsförordningens skäl 34 att genetiska uppgifter bör definieras som personuppgifter som rör en fysisk persons nedärvda eller förvärvade genetiska kännetecken, vilka framgår av en analys av ett biologiskt prov från den fysiska personen i fråga, framför allt kromosom-, DNA- eller RNAanalys eller av en annan form av analys som gör det möjligt att inhämta motsvarande information.
Förhållande till offentlighetsprincipen
Dataskyddsförordningen innehåller ingen definition av begreppet utlämnande. Begreppet bör ses som ett EU-rättsligt begrepp.
Utlämnandebegreppet i förordningen är inte synonymt med ett utlämnande av uppgifter i allmänna handlingar enligt svensk rätt, även om viss överlappning finns. När en myndighet lämnar ut allmänna handlingar som innehåller personuppgifter, utgör själva utlämnandet en behandling av personuppgifter enligt dataskyddsförordningen. Samtidigt är det fråga om ett utlämnande som sker med stöd av offentlighetsprincipen och de övriga principerna i tryckfrihetsförordningen.
Enligt förordningen måste något av villkoren i artikel 6.1 vara uppfyllt för att behandlingen av personuppgifter ska vara tillåten. Dataskyddsförordningen innehåller därutöver specialregler för vad som kallas särskilda behandlingssituationer. Som särskilda behandlingssituationer räknas yttrande- och informationsfriheten samt allmänhetens tillgång till allmänna handlingar.
Utrymmet för att ge offentlighetsprincipen företräde framför personuppgiftsregleringen uttrycks i artikel 86. Av bestämmelsen följer att personuppgifter i allmänna handlingar får lämnas ut i enlighet med
5 Riktlinjer 3/2020 om behandling av uppgifter om hälsa för vetenskapliga forskningsändamål i samband med covid-19-utbrottet, antagna 21 april 2020, s. 5 punkterna 7–8.
nationell rätt, för att jämka samman allmänhetens rätt att få tillgång till handlingar med rätten till skydd för personuppgifter i enlighet med förordningen. Artikeln möjliggör alltså en tillämpning av tryckfrihetsförordningens reglering om allmänhetens tillgång till handlingar när det gäller allmänna handlingar som innehåller personuppgifter.
7.2. Dataskyddsförordningens grundläggande principer
7.2.1. Inledning
I artikel 5.1 i dataskyddsförordningen anges de grundläggande principerna för all personuppgiftsbehandling. De grundläggande principerna redogör för vilka allmänna krav som gäller för all personuppgiftsbehandling. Samtliga principer måste vara uppfyllda för att en behandling ska anses vara förenlig med dataskyddsförordningen. Artikel 5 utgör även ett kumulativt krav med artikel 6 för att en behandling ska anses ha rättslig grund (se prop. 2017/18:105 s. 48).
Den första principen som läggs fast i artikel 5.1 (led a) är att personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Principen om laglighet utgör en hänvisning till de rättsliga grunderna i artikel 6.1. I artikel 5.1 anges vidare att personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål (led b). Det anges i samma led att ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, under vissa förutsättningar, ska anses förenligt med de ursprungliga ändamålen. Kravet på ett specificerat ändamål anses utgöra ett uttryck för den så kallade finalitetsprincipen, se mer nedan. Att behandlingar som vidtas för forskningsändamål m.m. ses som förenliga med ursprungsändamålet utgör alltså ett undantag från finalitetsprincipen.
Vidare ska uppgifterna enligt artikel 5.1 bland annat vara adekvata och korrekta och får inte förvaras under en längre tid än vad som är nödvändigt (leden c, d och e). Uppgifterna måste också behandlas på ett sätt som säkerställer lämplig säkerhet (led f).
Nedan följer en lite närmare genomgång av de principer som kan anses särskilt berörda när man talar om vidareanvändning av personuppgifter.
7.2.2. Särskilt om principen om uppgiftsminimering
Av artikel 5.1 c följer ett krav på att personuppgifterna ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen, samt att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.
Den så kallade principen om uppgiftsminimering återfinns även på andra ställen i förordningen, exempelvis i artikel 25.1 när det talas om inbyggt dataskydd, och i artikel 89.1 om skyddsåtgärder vid behandling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål. Prövning av om en personuppgift behövs för en viss behandling eller inte måste göras kontinuerligt och inte bara då den samlas in och registreras. Även vid en senare hantering ska personuppgiften behövas för ändamålet med just den senare hanteringen (prop. 2007/08:126 s. 63).
7.2.3. Särskilt om principen ändamålsbegränsning
Syftet med principen om ändamålsbegränsning är öppenhet, rättssäkerhet och förutsebarhet för den registrerade. Målet är att skydda dennes integritet genom tydliga ramar för hur dennes personuppgifter får användas. Att ändamålet ska vara särskilt angivet innebär att en alltför allmänt hållen ändamålsangivelse inte godtas. Den registrerade ska kunna förstå och förutse att dennes uppgifter kommer att användas på ett visst sätt.
I skäl 39 anges bland annat att de särskilda ändamål som personuppgifterna behandlas för bör vara tydliga och legitima. De ska också ha bestämts vid den tidpunkt då personuppgifterna samlades in. Att ändamålet är tydligt angivet får särskild betydelse vid bedömning av om en rättslig grund för behandling föreligger.
Av artikel 5.1 b framgår, som angetts ovan, att ytterligare behandling för bland annat vetenskapliga eller historiska forskningsändamål inte ska anses oförenlig med de ursprungliga ändamålen. Skrivningen, det så kallade forskningsundantaget, innebär alltså att ytterligare behandling för forskningsändamål är särskilt gynnad (se vidare under avsnitt 7.2.4).
7.2.4. Särskilt om finalitetsprincipen och dess undantag
Som angetts i avsnittet ovan, får personuppgifter som samlas in för särskilda, uttryckligt angivna och berättigade ändamål inte senare behandlas på ett sätt som är oförenligt med dessa ändamål enligt den så kallade finalitetsprincipen. Om personuppgifterna behandlas ytterligare för bland annat vetenskapliga eller historiska forskningsändamål, anses de ändamålen inte vara oförenligt med de ursprungliga ändamålen (artikel 5.1 b).
Undantaget för historiska eller vetenskapliga forskningsändamål medför däremot inte att det går att bortse från kravet på särskilda, uttryckligt angivna och berättigade ändamål för insamlingen och den senare behandlingen. De på förhand fastställda ändamålen sätter alltså alltjämt ramarna för behandlingen (Ds Långsiktig reglering av forskningsdatabaser, U2022/04089, s. 80).
Av skäl 50 till dataskyddsförordningen framgår att vid sådan vidarebehandling som inte hindras av finalitetsprincipen krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Vidare anges att om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i en myndighetsutövning, kan EU-rätten eller medlemsstaterna i sin nationella rätt närmare fastställa för vilka uppgifter och syften ytterligare behandling ses som förenligt med det ursprungliga ändamålet.
I artikel 6.4 anges omständigheter som den personuppgiftsansvarige behöver beakta för att fastställa huruvida en behandling för andra ändamål än det vilket personuppgifterna ursprungligen samlades in för inte ska ses som oförenliga med de ursprungliga ändamålen. Häribland nämns kopplingen mellan de ändamål som för vilka personuppgifterna samlades in och ändamålen med den avsedda ytterligare behandlingen, sammanhanget inom vilket personuppgifterna samlades in och särskilt de registrerades rimliga förväntningar (jämför artikel 6.4 a och b samt skäl 50).
7.3. Dataskyddsförordningens rättsliga grunder för behandling av personuppgifter
Dataskyddsförordningen utgår från att varje behandling av personuppgifter måste vila på en rättslig grund. Behandling av personuppgifter får därför bara ske under de omständigheter som särskilt anges i lag-
stiftningen. I dataskyddsförordningen räknas dessa rättsliga grunder upp i artikel 6.1. Behandling är enligt denna bestämmelse endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
a) Den registrerade har lämnat sitt samtycke till att dennes person-
uppgifter behandlas för ett eller flera specifika ändamål.
b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den regi-
strerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse
som åvilar den personuppgiftsansvarige.
d) Behandlingen är nödvändig för att skydda intressen som är av
grundläggande betydelse för den registrerade eller för en annan fysisk person.
e) Behandlingen är nödvändig för att utföra en uppgift av allmänt
intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
f) Behandlingen är nödvändig för ändamål som rör den personupp-
giftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
Uppräkningen i artikel 6.1 är uttömmande. Om inget av dessa villkor är uppfyllda är behandlingen inte laglig och får därmed inte utföras.
Den omständigheten att behandlingen är laglig enligt artikel 6.1 i dataskyddsförordningen, att den är rättsligt grundad, innebär inte att behandling kan ske av vilka uppgifter som helst eller på valfritt sätt. Den personuppgiftsansvarige måste också uppfylla kraven i övriga bestämmelser i förordningen, till exempel de allmänna principerna i artikel 5. Utredningen har valt att nedan gå igenom vissa av de rättsliga grunderna i mer detalj, nämligen de rättsliga grunder som är relevanta att beröra i förhållande till utredningens förslag.
7.3.1. Särskilt om samtycke
Av artikel 6.1 a framgår att behandling av personuppgifter är tillåten om den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
Ett samtycke är varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne (artikel 4.11) (se vidare Bilaga 3 Samtycken inom vård och forskning, däri beskrivs olika relevanta typer av samtycken som finns på området).
Med frivilligt menas att den registrerade har ett genuint fritt val att medverka i behandlingen. Är situationen sådan att den registrerade i praktiken inte kan avstå, kan samtycket inte gärna vara ”frivilligt”. Samtycke bör därför inte utgöra giltig rättslig grund för behandling av personuppgifter om det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Detta gäller särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar (skäl 43).
För att samtycket ska vara informerat, bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda (skäl 42). Det är bara behandling av personuppgifter för det ändamål som den registrerade blivit informerad om som samtycket kan avse.
Har den personuppgiftsansvarige informerat om att behandlingen av personuppgifterna ska gå till på visst sätt, men denne senare önskar göra på något annat sätt, måste ett nytt samtycke hämtas in.6
Om en behandling av personuppgifter stödjer sig på samtycke som rättslig grund, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandlingen. Det krävs inte att samtycket är skriftligt, men vid tvist har den personuppgiftsansvarige bevisbördan för att samtycke lämnats. Den registrerade ska ha rätt att när som helst kunna återkalla ett samtycke (artikel 7 dataskyddsförordningen).
6 Öman, S., Dataskyddsförordningen (GDPR) m.m. – En kommentar, kommentaren till artikel 4, (JUNO) version:1A.
7.3.2. Särskilt om rättslig förpliktelse
Enligt den rättsliga grunden i artikel 6.1 c får personuppgifter behandlas om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
I första hand borde offentligrättsliga förpliktelser omfattas av begreppet rättslig förpliktelse. Det finns dock även i civilrättsliga författningar bestämmelser som i sig utgör eller kan medföra rättsliga skyldigheter, till exempel inom arbetsrätten.
Förpliktelser som följer av avtal där den registrerade själv är part utgör däremot en separat rättslig grund för personuppgiftsbehandling enligt dataskyddsförordningen, nämligen enligt artikel 6.1 b.
Förpliktelser som åligger enskilda eller kommuner kan regleras direkt i lag, i förordningar eller andra föreskrifter. Förpliktelser kan också fastställas i domar eller myndighetsbeslut som meddelats med stöd av lag eller andra föreskrifter. Som en följd av den svenska arbetsmarknadsmodellen kan rättsliga förpliktelser även anges i kollektivavtal. Sådana avtal omfattas inte av artikel 6.1 b, eftersom den registrerade inte själv är part (prop. 2017/18:105 s. 53).
7.3.3. Särskilt om uppgift av allmänt intresse
Vad som är ett allmänt intresse enligt dataskyddsförordningen definieras inte i förordningen. Innebörden av begreppet allmänt intresse i dataskyddsförordningens mening har ännu inte närmare utvecklats av EU-domstolen i mål om behandling av personuppgifter.
Det finns dock inget som tyder på att begreppet allmänt intresse ska uppfattas mer restriktivt enligt dataskyddsförordningen än enligt dataskyddsdirektivet. Dataskyddsutredningen har tvärtom ansett att mycket talar för att begreppet allmänt intresse bör ha en vidare EUrättslig betydelse genom dataskyddsförordningen än det hittills har haft (SOU 2017:39 s. 123).
Regeringen har ansett att sådan verksamhet som en statlig eller kommunal myndighet bedriver, inom ramen för sin befogenhet, är av allmänt intresse. Det är därmed den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av myndigheten (prop. 2017/18:105 s. 57).
Även privata aktörer kan utföra arbetsuppgifter av allmänt intresse på uppdrag av en myndighet eller på eget initiativ. Bedömningen av
om arbetsuppgiften är av allmänt intresse bör göras mot bakgrund av verksamhetens syfte, oavsett om den faktiskt utförs i myndighetens regi eller av någon annan (prop. 2017/28:105 s. 58). Som exempel på verksamheter med arbetsuppgifter av allmänt intresse kan nämnas hälso- och sjukvård, skola, stöd och service till personer med funktionsnedsättningar, kommunikation och energiförsörjning.
För att en behandling av personuppgifter ska vara tillåten enligt artikel 6.1 e i dataskyddsförordningen måste den vara nödvändig i förhållande till den rättsliga grunden. Nödvändighetskriteriet ska ses mot bakgrund av att undantag och begränsningar av skyddet för personuppgifter ska inskränkas till vad som är absolut nödvändigt.
Samtidigt följer av praxis att behandlingen kan anses nödvändig och därmed tillåten enligt artikel 6.1 om den leder till effektivitetsvinster men även att kravet på nödvändighet ska prövas tillsammans med principen om uppgiftsminimering enligt artikel 5.1 c i dataskyddsförordningen. (jämför prop. 2017/18:105 s. 46–47 med däri angiven praxis).
I artikel 6.3 i dataskyddsförordningen anges att grunden för behandlingen som avses i den rättsliga förpliktelsen, enligt artikel 6.1 c eller den uppgift av allmänt intresse enligt 6.1 e, ska vara fastställd i unionsrätt eller en medlemsstats nationella rätt. Den rättsliga grunden enligt artikel 6.3 är därför ofta fastställd i till exempel myndigheters instruktioner eller i annan reglering som styr verksamheten, till exempel hälso- och sjukvårdslagen (2017:30), förkortad HSL, och socialtjänstlagen (2001:453). På vissa områden kompletteras verksamhetsregleringen av en särskild författning som reglerar personuppgiftsbehandlingen, en så kallad registerförfattning.
Den rättsliga grunden som fastställs i nationell rätt enligt artikel 6.3 i dataskyddsförordningen omfattar då både verksamhetsregleringen och den aktuella registerförfattningen, exempelvis en eller flera bestämmelser i HSL och PDL.
I dataskyddsförordningen ställs det även krav på tydlighet, precision, förutsebarhet och proportionalitet avseende de rättsliga grunder som ska anses utgöra ett rättsligt stöd för en behandling av personuppgifter i enlighet med artikel 6.1 c och 6.1 e (se artikel 6.3 och skäl 41). Kravet på förutsebarhet ska ses från den registrerades – och inte den personuppgiftsansvariges – perspektiv (skäl 41).
Det måste alltid göras en bedömning av personuppgiftsbehandlingens och verksamhetens karaktär för att avgöra hur stor grad av
tydlighet och precision som krävs. Ett mer kännbart intrång kräver en mer preciserad rättslig grund, medan personuppgiftsbehandling med lägre integritetsrisker kan ske med stöd av en mer allmänt hållen rättslig grund (prop. 2017/18:105 s. 51).
7.4. Dataskyddslagen
Dataskyddsförordningen kompletteras i svensk lagstiftning av lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen. Dataskyddslagen innehåller anpassningar och kompletterande bestämmelser på ett generellt plan. Dataskyddslagen är subsidiär i förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i så kallade registerförfattningar. Dataskyddslagen trädde i kraft den 25 maj 2018, samtidigt som dataskyddsförordningen började tillämpas.
Personnummer och samordningsnummer är inte känsliga personuppgifter enligt artikel 9 dataskyddsförordningen, men har ändå en särställning som extra skyddsvärd. Dataskyddsförordningen ger medlemsstaterna möjlighet att bestämma särskilda villkor för när ett nationellt identifikationsnummer eller annat vedertaget sätt för identifiering får behandlas (artikel 87).
I Sverige finns detta reglerat i dataskyddslagen som anger att personnummer och samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl (3 kap. 10 §). I dataskyddslagen finns även vissa begränsningar av de registrerades rättigheter enligt förordningen, av störst betydelse i sammanhanget är kanske 5 kap. 1 § som anger begränsningar för rätten till information och tillgång till personuppgifter enligt artiklarna 13–15 i dataskyddsförordningen.
7.5. Patientdatalagen
7.5.1. Inledning
Även om dataskyddsförordningen är det grundläggande regelverket för behandling av personuppgifter även inom vården, finns det nationella regelverk som kompletterar dataskyddsförordningen avseende
personuppgiftsbehandling på hälso- och sjukvårdsområdet. De två lagar som främst berör utredningens arbete utgörs av PDL och lag (2022:913) om sammanhållen vård- och omsorgsdokumentation, förkortad SVOD. En närmare redogörelse för SVOD görs i avsnitt 7.6.
PDL är tillämplig vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal. Lagen gäller, till skillnad från dataskyddsförordningen, i tillämpliga delar även uppgifter om avlidna (jämför 1 kap. 1 § PDL och skäl 27 i dataskyddsförordningen). Mer om dess tillämpningsområde följer i avsnitt 7.5.2 om PDL:s syfte och tillämpningsområde.
7.5.2. Patientdatalagens syfte och tillämpningsområde
I förarbetena till PDL angavs att en utgångspunkt med lagen var att hanteringen av personuppgifter inom hälso- och sjukvården skulle underlättas samtidigt som patientsäkerheten och patientens egen möjlighet till medverkan skulle stärkas. Regelverket anpassades för att på ett bättre sätt svara mot de nya möjligheter som fanns att utbyta patientinformation som lagras elektroniskt. Ett uttalat syfte var också att underlätta informationsutbyte mellan vårdgivare och mellan vårdgivare och patient. Det betonades samtidigt att skyddet för patientens integritet skulle vara första prioritet (prop. 2007/08:126 s. 34).
Enligt 1 kap. 2 § PDL ska informationshanteringen inom hälso- och sjukvården vara organiserad så att den tillgodoser patientsäkerhet och god kvalitet samt främjar kostnadseffektivitet. Personuppgifter ska utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras. Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem.
PDL:s tillämpningsområde bestäms av definitionerna i 1 kap. 3 § av begreppen ”vårdgivare” och ”hälso- och sjukvård”.
Med vårdgivare avses statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).
Med hälso- och sjukvård menas verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128)
om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter, lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar samt den upphävda lagen (1944:133) om kastrering. Tillämpningsområdet för PDL är därmed bredare än för HSL. På grund av att PDL även gäller för avlidna personer, får även PDL ett bredare tillämpningsområde än om endast dataskyddsförordningen skulle ha tillämpats (jämför 1 kap. 1 § andra stycket PDL och skäl 27 till dataskyddsförordningen).
PDL har karaktären av en ramlag som innehåller grundläggande principer för vårdgivares behandling av personuppgifter. Lagen kompletteras med mer detaljerade bestämmelser i patientdataförordningen (2008:360) och av Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40).
I det följande redogörs för bestämmelser i PDL som är av särskild relevans för denna utredning. Särskilt fokus kommer att ligga på reglerna kring tillåtna ändamål för behandling av personuppgifter, tillåtna utlämnanden enligt lagen inklusive sådana som görs till nationella kvalitetsregister samt de skyddsbestämmelser som finns för den personliga integriteten.
7.5.3. Personuppgiftsansvar
I PDL pekas vårdgivaren ut som personuppgiftsansvarig (2 kap. 6 § PDL). Det anges vidare att den myndighet inom en region eller kommun som bedriver hälso- och sjukvård är den personuppgiftsansvariga för den behandling som myndigheten utför, 2 kap. 6 § stycke 1 andra meningen.
Inom den allmänna hälso- och sjukvården hos sjukvårdshuvudmännen är det den juridiska personen, det vill säga. regionen eller kommunen, som är vårdgivare. Som framgår av den andra meningen i första stycket 2 kap. 6 § PDL är det däremot inte den juridiska personen i rollen som vårdgivare som behöver vara personuppgiftsansvarig. PDL anger i stället att det är den myndighet, det vill säga
den nämnd eller annan myndighet som leder eller utför den faktiska hälso- och sjukvården, som är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Härmed avses exempelvis så kallad beställar- och utförarnämnder i en region eller en kommun.
Skälen för att personuppgiftsansvaret regleras på det sättet är att det skulle uppnås en samordning mellan personuppgiftsansvaret och ansvaret för allmänna handlingar enligt TF, dåvarande sekretesslagen och arkivlagen (1990:782) (prop. 2007/08:126 s. 61).
Vilka myndigheter i regioner eller kommuner som är personuppgiftsansvariga i regioners eller kommuners hälso- och sjukvård kan därför inte anges generellt utan beror på hur ansvaret för hälso- och sjukvårdens verksamhet organiserats i respektive region eller kommun.
Vem eller vilka som är personuppgiftsansvariga vid samverkan mellan olika vårdgivare regleras inte generellt utom till den del det rör sig om direktåtkomst, 2 kap. 6 § stycke 2 och till viss del avseende de nationella och regionala kvalitetsregisterna, jämför 7 kap. 7 § PDL.
Utformningen av 2 kap. 6 § PDL innebär därmed att den myndighet som gör personuppgifter om en patient tillgängliga för andra vårdgivare eller annan myndighet i samma region eller kommun har personuppgiftsansvaret för tillgängliggörandet med allt vad det innebär exempelvis som ansvaret för rättslig grund, efterlevnad av de grundläggande principerna, lämplig säkerhet och informationsskyldighet enligt både dataskyddsförordningen och PDL.
Vidare är den myndighet som bereder sig tillgång till andra vårdgivares uppgifter, för att söka efter och läsa vårddokumentation, i enlighet med PDL, personuppgiftsansvarig för den personuppgiftsbehandling som det handlandet innebär.
7.5.4. Tillåtna ändamål
Innan PDL trädde i kraft fanns utrymme för vårdgivarna att själva bestämma ändamål, vilket inte ansågs tillräckligt integritetsskyddande. Det ansågs därför viktigt att det i PDL uttryckligen och så uttömmande som möjligt skulle framgå vilka ändamål som skulle tillåtas och därmed regleras i lagen. Ändamålsregleringen är därför uttömmande i den meningen att vårdgivarna inte själva får besluta om ytterligare ändamål för vilket eller vilka personuppgifter kan samlas in i
verksamheten. Genom att också inkludera ändamål som tidigare endast reglerats av personuppgiftslagen ansågs integritetsskyddet öka i förhållande till vad som gällt tidigare (prop. 2007/08:126 s. 55–56).
Syftet med ändamålsbestämmelsen i 2 kap. 4 § PDL är att ge en yttersta ram för när personuppgifter får samlas in och fortsättningsvis behandlas. En och samma behandling av personuppgifter kan ske för mer än ett ändamål. Särskilt gäller detta i sådana stora elektroniska informationssystem som integrerar en mängd olika funktioner (prop. 2007/08:126 s. 55–57). När det gäller behandling för nationella kvalitetsregister finns en egen ändamålsbestämmelse i 7 kap. 4–5 §§ PDL.
Vid införandet av PDL ansågs det olämpligt att som tidigare dela in ändamålen i primära och sekundära ändamål. Enligt förarbetena handlar både primära och sekundära ändamål om personuppgiftsbehandlingar som, mer eller mindre integrerat, normalt äger rum i varje vårdgivares egen verksamhet (prop. 2007/08:126 s. 56).
Ändamålet vårddokumentation (2 kap. 4 § 1 och 2 PDL)
Personuppgifter får behandlas om det behövs för att fullgöra de skyldigheter som anges i 3 kap. PDL, som skyldigheten att föra patientjournal, och upprätta annan dokumentation som behövs i och för vården av patienter. Personuppgifter får också behandlas om det behövs för administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall (prop. 2007/08:126 s. 228).
Annan dokumentation (2 kap. 4 § 3 PDL)
Punkten 3 avser annan dokumentation än vårddokumentation som hälso- och sjukvården är skyldig att utföra enligt olika författningar. Exempel härpå är dokumentation enligt lagen (1985:12) om kontroll av berusningsmedel på sjukhus och bestämmelsen om rapporteringsskyldighet till vårdgivare i 6 kap. 4 § patientsäkerhetslagen (2010:659).
Det finns vidare en rad författningar som föreskriver att hälso- och sjukvården ska lämna ut uppgifter till olika myndigheter. I allmänhet rör det sig här om utlämnande av uppgifter som primärt har samlats in som vårddokumentation, det vill säga för ändamålet enligt punk-
terna 1 och 2 i 2 kap. 4 § PDL. Uppgifterna kan då normalt tillhandahållas utan någon föregående bearbetning. I dessa fall handlar det endast om en behandling för det ändamål som anges i 2 kap. 5 § PDL, alltså behandling för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning (prop. 2007/08:126 s. 228).
Ibland kan uppgiftsskyldigheten förutsätta en viss särskild personuppgiftsbehandling där dokumentationen utformas utifrån hur uppgiftsskyldigheten ska fullgöras. I sådana fall är det inte fråga om en ren ”återanvändning” av redan insamlade personuppgifter. Exempel på sådan behandling som görs särskilt med anledning av en uppgiftsskyldighet är den behandling som sker för att uppfylla 4 och 6 §§ förordningen (2001:707) om patientregister hos Socialstyrelsen.
Kvalitetsutveckling och kvalitetssäkring (2 kap. 4 § 4 PDL)
Detta ändamål ger lagstöd för behandling av personuppgifter inom vad som brukar kallas systematiskt kvalitetsarbete. Lydelsen har en direkt koppling till vårdgivares skyldighet enligt hälso- och sjukvårdslagen att aktivt arbeta med verksamhets- och kvalitetsutveckling (se även formuleringen att ”kvaliteten inom hälso- och sjukvården systematiskt och fortlöpande ska utvecklas och säkras” i 5 kap. 4 § HSL) (SOU 2021:4 s. 148).
Att kvalitetssäkring tas upp som en särskild punkt beror bland annat på den centrala roll som kvalitetssäkringsarbetet har inom hälso- och sjukvården. Kvalitetssäkringsarbete kan ske i många former och med olika metoder. En speciell form är verksamheten med hälso- och sjukvårdens kvalitetsregister (prop. 2007/08:126 s. 228).
I förarbetena till bestämmelsen anges att användning av modern informationsteknik avsevärt förbättrat möjligheterna att arbeta med kvalitetssäkring. I huvudsak rör det sig om att personuppgifter som samlats in och behandlas för det primära ändamålet vårddokumentation, men det förekommer också behandling av personuppgifter för det primära ändamålet kvalitetssäkring. Ibland är denna uppgiftsinsamling integrerad med det individinriktade arbetet. Det kan därför vara svårt att i praktiken avgöra vad som är det övergripande syftet med en viss behandling av personuppgifter (prop. 2007/08:126 s. 57 f.).
Övergripande planering, uppföljning med mera (2 kap. 4 § 5 PDL)
Med punkten 5 avses administration och planering på ett mer övergripande plan än vad som avses med den patientadministration som omfattas av ändamålet vårddokumentation (punkterna 1 och 2). Punkten 5 gör det möjligt för hälso- och sjukvården att bedriva verksamhetsuppföljning med individuppgifter. Med utvärdering avses analys och värdering av kvalitet, effektivitet och resultat av en verksamhet i förhållande till de mål som bestämts för denna. Personuppgiftsbehandling får också förekomma för att vårdgivaren ska kunna bedriva tillsyn av sin verksamhet (prop. 2007/08:126 s. 228 f.).
Statistik (2 kap. 4 § 6 PDL)
Enligt punkten 6 får personuppgifter behandlas för statistikändamål. Med detta menas inte så kallad verksamhetsstatistik, som ryms inom ändamålet i punkten 5, utan annan statistik. Exempel är sådan statistik som regionerna tar fram för att informera befolkningen om hälso- och sjukvårdsverksamheten.
Det är tillåtet att samköra personuppgifter i olika register eller datasystem inom hälso- och sjukvården, om samkörningen sker för något eller några av de ändamål som anges i paragrafen. Detsamma gäller om samkörningen sker för ändamål som inte är oförenliga med dessa ändamål.
Antalsberäkning inför klinisk forskning (2 kap. 4 § 7 PDL)
Ändamålsbestämningen ger stöd för alla vårdgivare, såväl offentliga som privata, att behandla personuppgifter för antalsberäkning inför klinisk forskning. Oavsett om antalsberäkningarna görs av en person eller via en automatiserad aktivitet, ligger ansvaret för att personuppgiftsbehandlingen görs på ett korrekt sätt på den personuppgiftsansvariga vårdgivaren eller personuppgiftsansvarig myndighet för ett regionalt eller nationellt kvalitetsregister (prop. 2022/23:31 s. 11).
Personuppgiftsbehandlingen utförs av anställd personal hos vårdgivaren eller hos den myndighet som ansvarar för kvalitetsregister. I första hand bör det vara fråga om sökningar i patientjournaler och lokala, regionala eller nationella kvalitetsregister, även om det är möj-
ligt att en vårdgivare har ytterligare databaser där relevant information finns. Även dessa databaser omfattas då av ändamålsbestämningen. Den information som redovisas till forskare som står bakom förfrågan består av ett sökresultat i form av ett exakt antal personer som uppfyller kriterierna eller som ett intervall.7
7.5.5. Inre sekretess och behörighetsregler
I förarbetena till PDL uppgavs att förtroendet för integritetsskyddet i informationshanteringen inom vården inte bara hade relevans när det gäller den yttre sekretessen gentemot utomstående och vid överföring av personuppgifter mellan vårdgivare, utan även inom en verksamhet måste det finnas ett integritetsskydd avseende hanteringen av uppgifter om enskilda, den så kallade inre sekretessen. Vidare uppgavs att i PDL avsågs med inre sekretess ett begrepp som inrymde ett flertal frågeställningar om hur känsliga uppgifter om enskildas hälsa och andra personliga förhållanden bör handhas inom en verksamhet för att motverka risker för obefogade intrång i den personliga integriteten (prop. 2007/08:126 s. 141).
Bestämmelsen i 4 kap. 1 § PDL innebär att den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.
Vidare är den inre sekretessen i 4 kap. 1 § PDL tillämplig på alla dokumenterade personuppgifter om en patient och gäller för såväl manuellt som elektroniskt dokumenterade uppgifter, för uppgifter i till exempel patientjournalen, annan vårddokumentation och kvalitetsregister.
Vilka praktiska åtgärder som avses med att ”delta i vården” eller hur ordet behov ska tolkas (”behöver för sitt arbete”) i enlighet med bestämmelsen utvecklas inte nämnvärt i PDL:s förarbeten. I samband med hänvisning till vissa äldre förarbeten och föreskrifter från Socialstyrelsen anges dock att det endast är en begränsad del av personalen vid en klinik som har behov av tillgång till journaler, och att det är den personal som arbetar på en enhet som är engagerad i vården som har rätt att ta del av journalen (prop. 2007/08:126 s. 142).
7 Nymark, M., Patientdatalagen en kommentar, version 2, (JUNO 2023), under rubriken Antalsberäkning för forskning.
Vidare anförs att för den arbetstagare som bryter mot bestämmelserna om inre sekretess kan få disciplinpåföljd i enlighet med PSL aktualiseras (prop. 2007/08:126 s. 148).
Den som arbetar hos en vårdgivare får även ta del av dokumenterade uppgifter om en patient om hen av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Detta kan exempelvis avse administration, uppföljning eller kvalitetsutveckling (prop. 2007/08:126 s. 142).
Särskilt om behörighetsregler
Genom att en användare endast får tillgång till sådana personuppgifter som hen har behov av i sitt arbete, kan risken för otillåten behandling av personuppgifter förbyggas eller åtminstone minskas. Vidare har regeringen anfört, i samband med dataskyddsförordningens ikraftträdande på Socialdepartementets område, att styrning av tilldelning och begränsning av behörigheter utgör sådana tekniska och organisatoriska åtgärder som en personuppgiftsansvarig ska vidta på eget initiativ enligt dataskyddsförordningen (prop. 2017/18:171, s. 138).
Som anförts ovan ansågs det vid införandet av PDL särskilt viktigt för den inre sekretessen att det fanns en särskild regel som klargjorde att en befattningshavare hos en vårdgivare endast var behörig att ta del av uppgifter om en patient som den deltog i vården av eller annars behövde för sitt arbete inom hälso- och sjukvården (prop. 2007/08:126 s. 148).
Av 4 kap. 2 § PDL framgår att det är den verksamhetsansvariga vårdgivaren som ska tilldela behörighet för elektronisk åtkomst åt sin personal. Av ansvaret anses även bland annat följa att behörigheter ska följas upp och förändras eller inskränkas efter hand som ändringar i en enskild befattningshavarens arbetsuppgifter ger anledning till det (prop. 2007/08:126 s. 148).
Likaså anfördes det i förarbetena att sådana beslut om behörighet skulle fattas efter en analys av både behov och risker med den tilltänkta behörigheten, och avgörande för beslutet borde vara att behörigheten skulle begränsas till vad befattningshavaren behövde för ändamålet en god och säker vård. En vidare eller mer grovmaskig behörighetstilldelning skulle enligt regeringen, även om den medförde effektivitetsvinster, anses som en spridning av journaluppgifter inom
en verksamhet och borde därför inte accepteras (prop. 2007/08:126 s. 148 f.).
Vårdgivare har vidare enligt 4 kap. 3 § PDL en skyldighet att se till att elektronisk åtkomst dokumenteras och kan kontrolleras. Av samma bestämmelse framgår att vårdgivare ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt uppgifter om patienter.
I Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40) finns ytterligare bestämmelser om tilldelning av behörigheter och kontroll av elektronisk åtkomst.
Utifrån att i princip all dokumentation om patienter i dag lagras digitalt hos vårdgivare, är det genom elektronisk åtkomst som personal normalt sett tar del av hälsodata om patienter. Rent praktiskt innebär elektronisk åtkomst att personalen tilldelas behörighet i vårdgivarens informationssystem och genom personlig inloggning kan ta del av patientuppgifter i systemen.
7.5.6. Olika former för elektroniska utlämnanden
Den stora mängd personuppgifter som hanteras inom hälso- och sjukvården kan lämnas ut på flera olika sätt. Till stor del lagras och hanteras dessa uppgifter digitalt. I PDL har man valt att skilja mellan den interna åtkomsten, den elektroniska åtkomsten (se ovan avsnitt 7.5.5) och den åtkomst som följer av att man lämnar ut, eller tillgängliggör, uppgifter utanför den egna organisationen. Utlämnanden sker ofta i elektronisk form, exempelvis via mejl, lagring på USB-minne, direktöverföring från ett datorsystem till ett annat eller att en mottagare får elektronisk tillgång till den utlämnande aktörens it-system. Nedan redogörs närmare för när uppgifter lämnas ut via direktåtkomst eller annat elektroniskt utlämnande.
Direktåtkomst
Enligt förarbetena till PDL är direktåtkomst en viss form av elektroniskt utlämnande till en extern mottagare. Den som är ansvarig för informationen har inte kontroll över vilka uppgifter som en mottagare vid ett visst tillfälle tar del av (automatiserad tillgång) och mot-
tagaren av informationen kan inte påverka innehållet i det informationssystem som informationen lämnas ut från (prop. 2007/08:126 s. 74).
Ett annat sätt att uttrycka det är att den som behöver ta del av informationen kan bereda sig åtkomst på eget initiativ. Personuppgifterna finns potentiellt tillgängliga för den som önskar ta del dem, utan att den som gjort uppgifterna tillgängliga behöver fatta något formellt beslut om utlämnande i det enskilda fallet. Vid direktåtkomst anses nämligen de uppgifter som omfattas av åtkomsten och finns potentiellt tillgängliga för andra, vara utlämnande i TF:s mening, redan genom att åtkomst medges (prop. 2007/08:126 s. 120–122). Synsättet avviker från ett traditionellt utlämnande av allmänna handlingar som förutsätter att en sekretessprövning görs i varje enskilt fall, innan uppgifterna kan lämnas ut.
Bestämmelser som medger direktåtkomst har inte i sig sekretessbrytande effekt utan de måste kombineras med särskilda sekretessbrytande regler om direktåtkomsten ska omfatta sådana uppgifter som det kan gälla sekretess för. Det finns också en särskild regel om överföring av sekretess i OSL vid myndigheters direktåtkomst till andra myndigheters upptagningar för automatiserad behandling (se 11 kap. 4 § OSL).
Direktåtkomst inom hälso- och sjukvården anses vara en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter (prop. 2007/08:126 s. 76). Det har därför angetts i PDL att utlämnanden genom direktåtkomst bara får ske i den utsträckning som medges i lag eller förordning (5 kap. 4 § PDL).
Annat elektroniskt utlämnande
Utlämnande på medium för automatiserad behandling innebär enligt förarbetena till PDL ett elektroniskt utlämnande utan möjlighet för mottagaren att själv bereda sig tillgång till uppgifterna. De exempel på utlämnande på medium för automatiserad behandling som tas upp i förarbetena är exempelvis genom användning av mejl, utlämnande på cd-rom eller genom filöverföring från ett datorsystem till ett annat. Vid denna typ av utlämnande fattas ett beslut i varje enskilt fall om uppgifterna kan lämnas ut eller om de omfattas av sekretess (prop. 2007/08:126 s. 77).
Som regel lämnas informationen ut i en form som medför att mottagaren kan bearbeta den. Bearbetningsmöjligheterna är dock inte avgörande för om det är fråga om ett utlämnande på automatiserat medium eller inte (prop. 2007/08:126 s. 77).
Gränsdragningen mellan direktåtkomst och utlämnande på medium för automatiserad behandling har belysts av Högsta förvaltningsdomstolen i den så kallade LEFI Online-domen (HFD 2015 ref. 61).
Försäkringskassan hade gett handläggare hos socialnämnder tillgång till uppgifter ur Försäkringskassans databas LEFI Online. Informationsutbytet skedde genom en fråga-svar-funktion. Frågan i målet var om socialnämndernas åtkomst till uppgifterna var att anse som direktåtkomst i socialförsäkringsbalkens mening – vilket i sådana fall ställde krav på vissa begränsningar när det gällde vilka uppgifter handläggarna fick ta del av – eller om det i stället var fråga om utlämnande på medium för automatiserad behandling.
Högsta förvaltningsdomstolen tog utgångspunkt i TF:s bestämmelser om allmänna handlingar. Av den tidigare lydelsen av 2 kap. 3 § andra stycket TF (nuvarande 2 kap. 6 § första stycket TF) framgår att en upptagning anses förvarad hos myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller uppfattas på annat sätt. De allmänna handlingar hos en myndighet som en annan myndighet får tillgång till, genom direktåtkomst, utgör, som redogjorts för ovan, allmänna handlingar även hos denna myndighet (prop. 2002/03:135 s. 90). Domstolen ansåg att den avgränsning som på detta sätt görs av begreppet direktåtkomst enligt TF även kunde användas för att bestämma innehållet i begreppet direktåtkomst i socialförsäkringsbalkens mening (2010:110). Det avgörande blev alltså om upptagningen kunde anses förvarad hos socialnämnderna i tryckfrihetsförordningens mening. I den delen gjorde Högsta förvaltningsdomstolen följande uttalande.
Socialnämnderna kan inte på egen hand söka information i socialförsäkringsdatabasen, utan ett utlämnande genom LEFI Online förutsätter att Försäkringskassan reagerar på en begäran om att de efterfrågade uppgifterna ska lämnas ut. Försäkringskassan får därigenom anses förfoga över frågan om och i så fall vilka uppgifter som ska lämnas ut. Någon sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket tryckfrihetsförordningen kan socialnämnderna således inte anses ha. Detta innebär att förfarandet inte är att betrakta som direktåtkomst enligt socialförsäkringsbalken.
Uttalandet från HFD skulle därför kunna ge stöd för den slutsats som regeringen gjort i PDL:s förarbeten, att tillgängliggörande av uppgifter som inte sker i form av en direktåtkomst utgör ett annat elektroniskt utlämnande.8
7.5.7. Kort om kvalitetsregister
I 7 kap. PDL finns bestämmelser som bara gäller för nationella och regionala kvalitetsregister. Med kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Kvalitetsregistren ska möjliggöra jämförelse inom hälso- och sjukvården på nationell eller regional nivå (7 kap. 1 § PDL). Registren är främst inriktade på medicinska specialiteter och har oftast byggts upp genom frivilliga initiativ av specialistföreningar för att användas som stöd för kvalitetsutveckling i det kliniska arbetet. All inrapporteringen sker till följd av ett frivilligt åtagande från vårdgivarnas sida (prop. 2007/08:126 s. 176).
Kvalitetsregistren möjliggör jämförelser inom hälso- och sjukvården på både nationell och regional nivå och sjunde kapitlet PDL ger på så sätt stöd för en särskild form av verksamhetsuppföljning över vårdgivargränser (SOU 2014:23 s. 103). Personuppgifter i nationella och regionala kvalitetsregister får primärt behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet (7 kap. 4 § PDL). Som huvudregel får kvalitetsregister därmed endast innehålla sådana personuppgifter som behövs för de ändamål för vilket det enskilda kvalitetsregistret verkar, exempelvis att säkra och utveckla kvaliteten i vården av en viss diagnos, till exempel diabetes, eller för en viss åtgärd, till exempel höftoperationer.
Personuppgiftsansvaret för behandling i nationella kvalitetsregister kan delas in i två nivåer. För den ena, där personuppgiftsbehandling som vårdgivare utför när de samlar in och registrerar uppgifter till ett nationellt kvalitetsregister, ansvarar respektive vårdgivare enligt den allmänna principen i 2 kap. 6 § första stycket PDL. För den andra nivån, som gäller ansvaret för att föra kvalitetsregistret, anges att endast myndigheter inom hälso- och sjukvården får vara personuppgifts-
8 Se även här den analys utredningen för SVOD gjort med anledning av dessa förarbetsuttalanden och HFD 2015 ref. 61, SOU 2021:4 s. 157 f. och s. 240–247.
ansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister (7 kap. 7 § PDL).
För att få registrera uppgifter i ett nationellt kvalitetsregister om en viss patient krävs att patienten inte motsatt sig det (7 kap. 2 § PDL). Det är alltså fråga om en så kallad opt-out (jämför även 2 kap. 2 § och 2 kap. 3 § SVOD). För personer som har permanent nedsatt beslutsförmåga får personuppgifter behandlas i ett kvalitetsregister om hens inställning till sådan personuppgiftsbehandling så långt som möjligt klarlagts, och det inte finns anledning att anta att hen skulle ha motsatt sig personuppgiftsbehandlingen (7 kap. 2 a § PDL).
Innan uppgifterna registreras är den personuppgiftsansvarige skyldig att lämna patienten utförlig information om den hantering av personuppgifter som gäller för det aktuella kvalitetsregistret (7 kap. 3 § och 8 kap. 6 § PDL).
7.5.8. Den enskildes inställning i förhållande till behandling av personuppgifter inom hälso- och sjukvården
Utgångspunkten enligt PDL är att behandling av personuppgifter som är tillåten enligt lagen får utföras även om den enskilde motsätter sig den (2 kap. 3 § PDL). I och med införandet av denna bestämmelse i PDL anfördes att skälen för detta, utifrån den dåvarande personuppgiftslagens bestämmelser var att kraven på uttrycklighet gjorde det olämpligt att ha samtycke som en förutsättning för att få behandla personuppgifter inom vården. Där till kom att flera av de personuppgiftsbehandlingar på området föranleddes av rättsliga förpliktelser, som journalföringsplikten, eller andra uppgifter av allmänt intresse som inte förutsatte ett samtycke för att vara förenligt med personuppgiftslagen (prop. 2007/08:126 s. 64 f.)
Regeringen ansåg det ändå skäligt att det i vissa situationer skulle finnas ett utrymme för att patientens inställning till behandlingen tillmättes betydelse när det gäller de olika formerna för elektronisk åtkomst (prop. 2007/08:126 s. 151). Det rör sig dels om möjligheten för en patient att spärra vissa uppgifter i vårdsyfte enligt 4 kap. 4 § PDL, dels om möjligheten att motsätta sig behandling för att förhindra tillgängliggörande eller åtkomst enligt bestämmelserna i SVOD, se mer nedan.
Att patienten kan spärra vissa uppgifter från att kunna nås via elektronisk åtkomst inom en vårdgivare, styr inte när olika sjukhus eller
kliniker får ta del av uppgifter inom en vårdgivare, utan bara sättet som det får göras på (prop. 2007/08:126 s. 151).
Möjligheten att kunna spärra sina uppgifter för andra vårdenhet eller vårdprocesser ansågs vara en möjlighet för patienten att påverka och för regelverket att ligga i linje med kravet i HSL på att verksamheten ska bygga på respekt för patientens självbestämmande och integritet och så långt det är möjligt utföras och genomföras i samråd med patienten (prop. 2007/08:126:151).
7.5.9. Kort om journalföring
En patientjournal består av en eller flera handlingar om rör samma patient enligt PDL (se 1 kap. 3 § PDL). Det är alltså inte tillåtet att föra en patientjournal för flera patienter. Däremot kan en patientjournal vara splittrad på olika dokumentationsytor så länge vårdgivaren kan hålla den samman enligt krav i HSLF-FS 2016:40.
Kopplat till reglerna om patientjournal, finns även begreppet jour-
nalhandling. Detta definieras i lagen som en framställning i skrift eller
bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder (1 kap. 3 § PDL). Såväl pappersbaserade som digitala handlingar omfattas av begreppet journalhandling. Exempel på journalhandlingar är löpande journalanteckningar, röntgenbilder, provsvar och remisser. Däremot omfattas typiskt sett inte livsstilsenkäter av journalföringsskyldigheten.
En patients klagomål och dokumentation kring hanteringen av det hör inte heller hemma i patientjournalen utan i vårdgivarens avvikelsehanteringssystem.
Patientjournalen i elektronisk form
Redan när PDL trädde i kraft år 2008 konstaterades att en stor del av vårddokumentationen hanterades elektroniskt (prop. 2007/08:126, s. 33–34). Patientjournalen och annan patientadministration är i dag digital hos de allra flesta vårdgivare. I den mån journalhandlingar i pappersform skickas in till vårdgivaren, eller produceras av vårdgiva-
ren, skannas dessa normalt sett in i digitala journalarkivsystem och finns därefter tillgängliga i digital form. Journalhandlingar kan också förekomma som exempelvis film eller i form av en chatt med en patient. De olika medium som journalinformation förekommer på har olika förutsättningar för till exempel bevarande.
För lagring och bevarande av journalhandlingar har vårdgivare typiskt sett olika digitala journalsystem och andra it-stöd. Vanligtvis finns ett huvudjournalsystem som används brett inom vårdgivaren. Utöver huvudjournalsystemet finns ofta flera andra dokumentationssystem, exempelvis för läkemedelshantering, operationsplanering, mödrahälsovård och akutsjukvård. Skiljt från journalföringssystem finns system för patientadministration för bland annat kallelser och betalning. Vilka system som används kan, i alla fall delvis, vara samma inom vissa vårdgivare (till exempel inom en region), men skiljer sig också mycket åt både inom och mellan vårdgivare. Antalet IT-system inom svensk hälso- och sjukvård är relativt stort.9
7.6. Lag om sammanhållen vård- och omsorgsdokumentation
7.6.1. Inledning
Den 15 juni 2022 antog riksdagen SVOD. Lagen trädde i kraft den 1 januari 2023. I och med den nya lagen finns nu regler om informationsöverföring mellan vårdgivare samt mellan vårdgivare och omsorgsgivare samlade i en lag.
För personuppgiftsansvariga vårdgivare inom hälso- och sjukvården har direktåtkomst mellan dem varit möjlig sedan tidigare med stöd av reglerna om sammanhållen journalföring (tidigare 6 kap. PDL). I och med den aktuella lagändringen, flyttades bestämmelserna i sjätte kapitlet PDL över till den nya lagen. Detta motiverades bland annat med att det av flera skäl förelåg ett stort behov av informationsutbyte inom den individinriktade omsorgsverksamheten för äldre och personer med funktionsnedsättningar vilket också påpekats av flertal tidigare utredningar (se bland annat prop. 2021/22:177 s. 39–41 och s. 55. Se även SOU 2021:4 s. 210).
Informationsutbytet enligt den nya lagen genomförs genom ett system där de olika vårdgivarna och omsorgsgivarna kan välja att ge åtkomst till sina journalhandlingar genom direktåtkomst eller annat elektroniskt utlämnande, samt välja om de vill ta del av journaler från andra genom direktåtkomst eller annat elektroniskt utlämnande (prop. 2021/22:177 s. 46). Att tillgängliggöra eller bereda sig åtkomst till uppgifterna är endast tillåtet när vissa särskilda förutsättningar i lagen är uppfyllda (2 kap. 2–6 §§ och 3 kap. 1–2 §§ SVOD). Systemet med sammanhållen vård- och omsorgsdokumentation är ett frivilligt åtagande, det föreligger således ingen skyldighet för vårdgivare eller omsorgsgivare att bygga upp ett sådant system (prop. 2021/22:177 s. 44).
De vårdgivare och omsorggivare som ingår i systemet fullgör sin respektive dokumentationsskyldighet i sina egna dokumentationssystem.
Nedanstående utgör inte en komplett redogörelse för den nya lagen utan fokuserar på de förutsättningar som gäller för att ett tillgängliggörande ska vara möjligt, formerna för tillgängliggörande, de skyddsbestämmelser som antagits samt tillhörande överväganden.
7.6.2. Kort om förutsättningarna för tillgängliggörande och åtkomst
Enligt 2 kap. 1–2 §§ SVOD ska följande förutsättningar vara uppfyllda för att en vårdgivare eller omsorgsgivare ska få tillgängliggöra information.
För det första behöver den information som ska tillgängliggöras endast vara uppgifter som behövs för att föra patientjournal och upprätta annan dokumentation som behövs för vården av patienten eller för att sköta administration som rör patienter och som syftar till att bereda vård i enskilda fallet eller som annars föranleds av vård i enskilda fall (2 kap. 1 § stycke 2 SVOD).
För det andra måste vårdgivaren i enlighet med 2 kap. 2 § ha gett patienten information om:
1. Vad sammanhållen vård- och omsorgsdokumentation innebär.
2. Möjligheten att motsätta sig att uppgifter görs tillgängliga för andra vårdgivare eller omsorgsgivare genom sådan dokumentation.
3. Patienten ska också informeras om att uppgiften om att det finns spärrade uppgifter om patienten och vilken vårdgivare som har spärrat uppgifterna ska göras tillgängliga för andra vårdgivare.
4. Därtill att vid fara för patientens liv eller när det annars finns allvarlig risk för dennes hälsa får en annan vårdgivare ta del av uppgift om vilken vårdgivare som har spärrat uppgifterna.
Det behövs inget aktivt samtycke från patienten, utan det är tillräckligt att patienten fått informationen som tillämplig lag kräver och att hen därefter inte motsatt sig att uppgifterna görs tillgängliga. Enligt förarbeten är det upp till vårdgivaren att avgöra på vilket sätt patienten ska informeras. Såväl muntlig information som skriftlig information fullgör kraven. Exempelvis skulle informationen kunna framgå på en affisch i receptionen (prop. 2021/22:177 s. 90). Om patienten motsätter sig får uppgifterna om patienten inte göras tillgängliga för andra vårdgivare eller omsorgsgivare. Uppgifterna ska i dessa fall genast spärras av vårdgivaren eller omsorgsgivaren (2 kap. 3 § SVOD).
När en vårdgivare eller omsorgsgivare som är ansluten till system för sammanhållen vård- och omsorgsdokumentation vill ta del av uppgifter om en patient som en annan vårdgivare tillgängliggjort i systemet och därmed behandla dessa uppställs vissa krav. Uppgifterna ska röra en patient som det finns en aktuell patientrelation med, patienten ska samtycka till personuppgiftsbehandlingen och för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten, utföra insatser enligt lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter eller bedöma behovet av sådana insatser det vill säga informationen ska antas vara av relevans för vården av den aktuella patienten (se 3 kap. 1 § 1–3 punkten SVOD). Uppgifter får också behandlas vid utfärdande av ett sådant intyg som avses i 3 kap. 16 § PDL förutsatt att vårdrelation finns och patienten ger sitt samtycke till behandlingen.
När en vårdgivare eller omsorgsgivare som är ansluten till system för sammanhållen vård- och omsorgsdokumentation vill ta del av uppgifter om en patient som en annan vårdgivare tillgängliggjort i systemet och därmed behandla dessa, uppställs vissa krav. Uppgif-
terna ska röra en patient som det finns en aktuell patientrelation med, patienten ska samtycka till personuppgiftsbehandlingen och för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten, utföra insatser enligt lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter eller bedöma behovet av sådana insatser. Informationen ska således antas vara av relevans för vården av den aktuella patienten (se 3 kap. 1 § 1–3 SVOD). Uppgifter får också behandlas vid utfärdande av ett sådant intyg som avses i 3 kap. 16 § PDL förutsatt att vårdrelation finns och patienten ger sitt samtycke till behandlingen.
7.6.3. Kort om säkerhetsåtgärderna och andra integritetsstärkande åtgärder
Enligt 3 kap. 7 § SVOD är lagens reglering uttömmande och uppgifter om en patient eller omsorgstagare får således inte behandlas under andra förutsättningar än de som finns i lagen, även om den har samtyckt till det. I förarbetena till bestämmelsen uppgavs anledningen för ett sådant förbud vara fördelar för förtroendet för ett system med sammanhållen vård- och omsorgsdokumentation, om uppgifterna enbart behandlas för de syften och ändamål som patienten och omsorgsmottagaren kan förutse och kontrollera (prop. 2021/22:177 s. 129).
I 4 kap. 3 § regleras åtkomsten till de uppgifter som gjorts tillgängliga genom system för sammanhållen vård- och omsorgsdokumentation. För hälso- och sjukvårdens del hänvisas det till 4 kap. 2 § PDL. Detta medför att PDL:s bestämmelser om tilldelning av behörighet även ska gälla för åtkomst hos en personuppgiftsansvarig till de uppgifter som den har åtkomst till inom ramen för ett system med sammanhållen vård- och omsorgsdokumentation (prop. 2021/22:177 s. 141–143).
I 4 kap. 4 § SVOD återfinns kraven på loggkontroll, och även här hänvisas det för hälso- och sjukvårdens del till PDL.
7.7. Regler om dataskydd inom forskning
7.7.1. Inledning
Vid behandling av personuppgifter inom forskning gäller dataskyddsförordningen. Det finns således ingen nationell lag som reglerar personuppgiftsbehandling på forskningsområdet i allmänhet. I stället regleras frågor som exempelvis personuppgiftsansvar och lämplig säkerhet i dataskyddsförordningen samt av olika registerförfattningar för vissa specifika behandlingssituationer som anknyter till forskningsverksamhet på olika sätt.
Med anledning av dataskyddsförordningens ikraftträdande gjordes vissa anpassningar i svensk rätt som syftade till att möjliggöra en fortsatt behandling av personuppgifter för forskningsändamål som är ändamålsenlig samtidigt som den enskildes fri- och rättigheter skyddas (se prop. 2017/18:298). Så gjordes exempelvis i lagen (2003:460) om etikprövning av forskning som avser människor, förkortad EPL, samt i dataskyddslagen. Nedan följer ett urval av de regler som enligt utredningen är av särskild vikt för att förstå hur dataskyddet på forskningens område ser ut.
7.7.2. Termen forskningsändamål
I dataskyddsförordningen används termen vetenskapliga eller historiska forskningsändamål. I vissa fall används bara termen forskningsändamål (prop. 2017/18:298 s. 29). I skäl 159 till dataskyddsförordningen anges att behandling av personuppgifter för vetenskapliga forskningsändamål i förordningen bör ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. I samma skäl anges också att all reglering av vetenskaplig forskning ska ta hänsyn till unionens målsättning att uppnå ett europeiskt forskningsområde. Denna målsättning har formulerats i artikel 179.1 i fördraget om Europeiska unionens funktionssätt.
Termen vetenskapliga eller historiska forskningsändamål anses därför ha en EU-rättslig innebörd som alltså inte kan definieras enbart utifrån nationell rätt eller praxis.
7.7.3. Ändamålsbegränsning och forskningsundantaget
Precis som för annan personuppgiftsbehandling måste samtliga av dataskyddsförordningens grundläggande principer i artikel 5 följas även vid behandling av personuppgifter för forskningsändamål. Av artikel 5.1 b framgår att ytterligare behandling för vetenskapliga eller historiska forskningsändamål inte ska anses oförenlig med de ursprungliga ändamålen. Skrivningen, det så kallade forskningsundantaget, innebär alltså att ytterligare behandling för forskningsändamål är särskilt gynnad (se avsnitt 7.2.3–7.2.4.)
7.7.4. Rättslig grund
De rättsliga grunder som kan vara relevanta när det gäller behandling av personuppgifter för forskningsändamål är främst samtycke (artikel 6.1 a), allmänt intresse (artikel 6.1 e) och intresseavvägning (artikel 6.1 f). I vissa fall kan också den rättsliga grunden rättslig förpliktelse (artikel 6.1 c) vara aktuell (prop. 2017/18:298 s. 29). I sammanhanget kan också nämnas att regeringen i förarbeten har uttalat att om ett forskningsprojekt har godkänts enligt EPL har forskningen erkänts i svensk rättsordning på ett sådant sätt att utförande av forskningsuppgiften är en i svensk rätt fastställd uppgift av allmänt intresse (prop. 2017/18:298 s. 87–89).
Rättslig grund för offentliga aktörer som bedriver forskning
Möjligheten att använda samtycke som rättslig grund är begränsad och aktualiseras främst inom områden som inte är offentligrättsligt reglerade (prop. 2017/18:298 s. 32). När den personuppgiftsansvarige är en offentligrättslig forskningsutförare måste beaktas om det föreligger en sådan ojämlik situation att det inte kan sägas att inhämtade samtycken lämnas frivilligt (prop. 2017/18:298 s. 39). Det föreligger dock inte alltid ett hinder för offentliga forskningsutförare att använda samtycke som rättslig grund (se prop. 2017/18:298 s. 41). Den rättsliga grunden intresseavvägning gäller inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter (artikel 6.1 andra stycket dataskyddsförordningen). För offentliga aktörer som bedriver
forskning är det därför framför allt allmänt intresse som aktualiseras som rättslig grund.
Enligt artikel 6.1 e får en personuppgift behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Grunden för behandlingen ska enligt artikel 6.3 fastställas i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Regeringen har i förarbeten uttalat att presumtionen bör vara att uppgiften att forska är en uppgift av allmänt intresse i dataskyddsförordningens mening (prop. 2017/18:298 s. 33). För kommunala myndigheter följer obligatoriska uppgifter av åligganden som fastställs i lag eller förordning. Även sådana frivilliga åtaganden som en kommun gör inom ramen för sin allmänna befogenhet ska framgå av gällande rätt, nämligen av det reglemente som fullmäktige utfärdar för den ansvariga nämnden (prop. 2017/18:298 s. 35). I förarbeten har gjorts bedömningen att 18 kap. 2 § HSL, som bland annat anger att regioner ska medverka vid finansiering, planering och genomförande av dels kliniskt forskningsarbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete, uppfyller dataskyddsförordningens krav på att reglering ska vara fastställd i nationell rätt. Vidare har uttalats att forskning i övrigt hör till området där regioner och kommuner kan göra frivilliga åtaganden inom ramen för sin befogenhet (prop. 2017/18:298 s. 49).
För den rättsliga grunden allmänt intresse finns som nämnts ovan under 7.3 ett nödvändighetsrekvisit. Vid forskning innebär nödvändighetsrekvisitet att personuppgiftsbehandlingen måste vara nödvändig för att forskningen ska kunna utföras, men utifrån en rimlighetsbedömning av vilka alternativa sätt att utföra forskningsuppgiften som är möjliga. I forskningssammanhang bör den rimlighetsbedömningen även kunna omfatta bedömningen av huruvida användandet av personuppgifter kan medföra högre kvalitet och tillförlitlighet i forskningsresultatet (prop. 2017/18:298 s. 38).
7.7.5. Behandling av känsliga personuppgifter och särskilda skyddsåtgärder
I dataskyddsförordningen finns ett förbud mot behandling av känsliga personuppgifter (artikel 9.1). Förbudet kompletteras av en rad undantag som möjliggör behandling av känsliga personuppgifter i vissa fall. Förutom undantag på grund av att det finns ett uttryckligt samtycke
finns även i artikel 9.2. j ett undantag för forskningsändamål. I artikeln anges att förbudet inte gäller om behandlingen är nödvändig för bland annat forskningsändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Särskilt om skyddsåtgärder vid behandling av personuppgifter för forskningsändamål
I artikel 89.1 dataskyddsförordningen anges att behandling för bland annat vetenskapliga eller historiska forskningsändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med dataskyddsförordningen för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas (se ovan under avsnitt 7.2.2).
En förutsättning för att få behandla känsliga personuppgifter med stöd av undantaget i artikel 9. 2 j, är att det i enlighet med artikel 89.1, jämte vissa andra villkor, i nationell rätt finns sådana bestämmelser om särskilda och lämpliga skyddsåtgärder. Vidare anges i skäl 156 att medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för forskningsändamål.
I svensk rätt är etikprövning enligt EPL en skyddsåtgärd vid behandling av känsliga personuppgifter. Forskning på känsliga personuppgifter som sker i enlighet med svensk rätt, kan därmed göras utan samtycke från den registrerade om utförandet sker med stöd av undantaget i artikel 9.2 j och att den nationella rätten uppfyller de angivna villkoren däri. Även etisk granskning enligt lagen (2018:1091) med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel anses utgöra en skyddsåtgärd (prop. 2017/18:298 s. 91–95).
7.7.6. Undantag från vissa rättigheter
I dataskyddsförordningen och i svensk rätt framgår vissa undantag när det gäller den registrerades rättigheter som har relevans när uppgifter behandlas för forskningsändamål.
Vilken information som ska lämnas till den registrerade när personuppgifter inte har inhämtats direkt från den registrerade regleras i artikel 14 dataskyddsförordningen. Enligt artikel 14.5 b ska bestämmelserna i artikeln inte tillämpas i den mån tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för bland annat forskningsändamål i enlighet med artikel 89.1, eller i den mån skyldigheten att lämna information sannolikt kommer att göra det omöjligt eller avsevärt försvåra uppfyllandet av målen med den aktuella behandlingen. I sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, inbegripet att göra uppgifterna tillgängliga för allmänheten (jämför även 5 kap. 1 § dataskyddslagen och avsnitt 7.4 ovan).
Rätten till radering som framgår av artikel 17 i dataskyddsförordningen ska inte gälla i den utsträckning som behandlingen är nödvändig för bland annat forskningsändamål enligt artikel 89.1, i den utsträckning som rätten sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med behandlingen (artikel 17.3 dataskyddsförordningen).
Rätten att göra invändning mot behandling av personuppgifter gäller enligt artikel 21.1 om behandlingen grundar sig på artikel 6.1 e allmänt intresse eller 6.1 f intresseavvägning. Av artikel 21.6 framgår dock att om personuppgifter behandlas för bland annat forskningsändamål och den rättsliga grunden för forskningen är allmänt intresse saknar den registrerade rätt att invända.
I dataskyddsförordningen finns även en bestämmelse som anger att den personuppgiftsansvarige inte ska behöva bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa förordningen (artikel 11.1). När personuppgifter behandlas för forskningsändamål är det inte ovanligt att det saknas direkt identifierande uppgifter, exempelvis när uppgifter kodats eller pseudonymiserats. Detta medför att den personuppgiftsansvarige i dessa fall saknar sådana uppgifter som gör det möjligt att exempelvis göra registerutdrag eller ens avgöra om uppgifter om en viss
person behandlas (prop. 2017/18:298 s. 104). Om den personuppgiftsansvarige i sådana situationer kan visa att denne inte kan identifiera den registrerade ska artiklarna 15–20 (vissa rättigheter för den registrerade) inte gälla, förutom när den registrerade tillhandahåller ytterligare information som gör identifieringen möjlig (artikel 11.2 dataskyddsförordningen).
Av OSL framgår att en myndighet, dels på begäran av en enskild, ska lämna ut uppgifter ur en allmän handling (6 kap. 4 §), dels på begäran av en annan myndighet ska lämna ut uppgifter som myndigheten förfogar över (6 kap. 5 §), i båda fallen under förutsättning att uppgifterna inte är sekretessbelagda eller att ett utlämnande skulle hindra arbetes behöriga gång. I artikel 14.5 c dataskyddsförordningen anges ett undantag från informationsskyldigheten i den mån att erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga skyddsåtgärder för att skydda den registrerades berättigade intressen. I förarbeten har regeringen uttalat att regleringen i OSL innebär att ett erhållande eller utlämnande av uppgifter uttryckligen är föreskrivet i svensk rätt i enlighet med artikel 14.5 c dataskyddsförordningen och att artikel 14.1–4 (informationsskyldigheten) inte behöver tillämpas i dessa fall (prop. 2017/18:298 s. 105). Detta gäller oavsett för vilket ändamål uppgifterna lämnas ut och alltså även när uppgifter lämnas ut för forskningsändamål (prop. 2017/18:298 s. 112). I dessa fall är regler om sekretess och tystnadsplikt en lämplig skyddsåtgärd som uppfyller kraven i artikel 14.5 c dataskyddsförordningen (prop. 2017/ 18:298 s. 114).
Det är också möjligt att i nationell rätt föreskriva undantag från vissa av den registrerades rättigheter (se artikel 89.2 i dataskyddsförordningen).
8. Offentlighet, sekretess och tystnadsplikt
8.1. Inledning
Enligt utredningens direktiv ingår det i utredningens uppdrag att analysera bland annat lagstiftning kring offentlighet och sekretess samt tystnadsplikt. Utredningen lämnar också författningsförslag avseende ändring av sekretessregler, se kapitel 17. Urvalet av de bestämmelser som beskrivs i detta kapitel har gjorts utifrån vad som bedömts relevant för utredningens uppdrag i förhållande till de avgränsningar som redogörs för i kapitel 2.
I detta kapitel redogörs för rätten att ta del av allmänna handlingar enligt tryckfrihetsförordningen (1949:105), förkortad TF, samt av rätten att ta del av uppgifter enligt offentlighets- och sekretesslagen (2009:400), förkortad OSL. Här beskrivs även bestämmelser om sekretess i OSL. Kapitlet innehåller även en redogörelse för den tystnadsplikt som gäller för den enskilda hälso- och sjukvården, det vill säga privata vårdgivare, enligt patientsäkerhetslagen (2010:659), förkortad PSL.
I kapitel 7 redogör utredningen för aktuella bestämmelser om dataskydd enligt bland annat Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad EU:s dataskyddsförordning eller dataskyddsförordningen, och patientdatalagen (2008:355), förkortad PDL som också ger skydd mot spridning av integritetskänsliga uppgifter.
8.2. Offentlighetsprincipen
Offentlighetsprincipen innebär att allmänheten ska ha insyn i statens och kommunernas1 verksamhet. Principen kommer till uttryck på olika sätt, exempelvis genom yttrande- och meddelarfrihet för tjänstemän.2 I första hand förknippas dock offentlighetsprincipen med grundsatsen om allmänna handlingars offentlighet. Denna grundsats kan ses som en del av informationsfriheten (prop. 1975/76:160 s. 23). Med informationsfrihet avses frihet att inhämta och ta emot upplysningar samt i övrigt ta del av andras yttranden (2 kap. 1 § första stycket 2 regeringsformen, förkortad RF).
8.2.1. Rätten att ta del av allmänna handlingar
Rätten att ta del av allmänna handlingar regleras i 2 kap. TF. Syftet med rätten att ta del av allmänna handlingar är bland annat att främja ett fritt meningsutbyte samt en fri och allsidig upplysning. Rätten att ta del av allmänna handlingar gäller också handlingar hos företag där kommuner eller regioner utövar ett rättsligt bestämmande inflytande (se 2 kap. 3 § första stycket OSL).
Rätten gäller var och en, det vill säga alla (se 2 kap. 1 § TF). Den gäller även juridiska personer (se RÅ 2003 ref. 83). För andra än svenska medborgare och svenska juridiska personer kan rätten att ta del av allmänna handlingar begränsas genom lag (14 kap. 5 § TF). Någon sådan lag finns dock inte för närvarande.
TF ger inte myndigheter någon rätt att ta del av allmänna handlingar från andra myndigheter. Däremot finns en särskild bestämmelse i OSL om skyldigheten för myndigheter att lämna uppgifter till varandra (se 6 kap. 5 § OSL). TF reglerar inte heller enskildas rätt att ta del av uppgifter i allmänna handlingar, utan även detta regleras i OSL. I avsnitt 8.3 (Offentlighets- och sekretesslagen) finns en närmare beskrivning av de aktuella bestämmelserna i OSL.
Vidare framgår av artikel 86 i EU:s dataskyddsförordning att personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift
1 Med kommuner avses i detta sammanhang även regioner, det vill säga kommuner på regional nivå (jämför 1 kap. 7 § regeringsformen). 2 Se Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, avsnitt 1.1. Vad innebär offentlighetsprincipen? (Juno version 26).
av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med medlemsstatens nationella rätt.
8.2.2. Vad som är en allmän handling
Rätten att ta del av handlingar enligt 2 kap. 1 § TF är endast tillämplig på allmänna handlingar. Begreppet allmän handling är därför centralt för att bestämma offentlighetsprincipens omfattning och de rättigheter med mera som är kopplade till begreppet.
Med handling avses en framställning i skrift eller bild samt en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt, nedan benämnd upptagning (2 kap. 3 § TF). Detta kan uttryckas som att en handling är ett föremål som innehåller information av något slag.3
Alla handlingar som finns hos myndigheterna är inte allmänna. En handling är allmän om den förvaras hos myndigheten och enligt vissa angivna regler anses inkommen till eller upprättad hos en myndighet (2 kap. 4 § TF).
En upptagning anses förvarad hos en myndighet, om den är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt (2 kap. 6 § första stycket TF). Det finns dock två undantag till denna huvudregel. Det första undantaget finns i 2 kap. 6 § andra stycket TF. Där anges att en sammanställning av uppgifter ur en upptagning för automatiserad behandling anses förvarad hos myndigheten endast om myndigheten kan göra sammanställningen tillgänglig med rutinbetonade åtgärder och inte annat följer av 7 §. Med rutinbetonade åtgärder avses en begränsad arbetsinsats som inte är förknippad med några nämnvärda kostnader. Bedömningen av om en åtgärd är rutinbetonad får göras med hänsyn till såväl den allmänna tekniska utvecklingen som den tekniska kompetensen och den tekniska utvecklingen på myndigheten i fråga (prop. 2001/02:70 s. 37). I HFD 2015 ref. 25 ansåg domstolen att en sammanställning av uppgifter ur en upptagning för automatiserad databehandling som krävde en arbetsinsats på fyra till sex timmar inte kunde anses tillgänglig med rutinbetonade åtgärder. Det andra undantaget finns i 2 kap. 7 § första
3 Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, avsnitt 2.2.1 Handlingsbegreppet (Juno version 26).
stycket TF. Där anges att en sammanställning enligt 6 § andra stycket inte anses förvarad hos myndigheten om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig.
En handling anses inkommen till en myndighet, när den har anlänt till myndigheten eller kommit behörig befattningshavare tillhanda. En upptagning anses i stället inkommen till myndigheten när någon annan har gjort den tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt (2 kap. 6 § första stycket och 2 kap. 9 § första stycket TF). Exempelvis anses en upptagning i form av en journalhandling som tillgängliggjorts i ett system för sammanhållen vård- och omsorgsdokumentation som inkommen hos övriga myndigheter som har tillgång till systemet, såvida upptagningen inte är spärrad.
En handling anses ha upprättats hos en myndighet, när den har expedierats. I HFD 2011 ref. 52 ansågs handlingar som en myndighet fört in i en databas och som befattningshavare hos en annan myndighet kunde ta del av i läsbart skick som expedierade hos den förstnämnda myndigheten. En handling som inte har expedierats anses upprättad när det ärende som den hänför sig till har slutbehandlats hos myndigheten eller, om handlingen inte hänför sig till ett visst ärende, när den har justerats av myndigheten eller färdigställts på annat sätt (2 kap. 10 § första stycket TF).
Har ett organ som ingår i eller är knutet till en myndighet lämnat över en handling till något annat organ inom samma myndighet, anses handlingen som inkommen eller upprättad därigenom endast om organen uppträder som självständiga i förhållande till varandra (2 kap. 11 § första stycket TF). Bestämmelsen har sin motsvarighet i 8 kap. 2 § OSL som gäller frågan om sekretess mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra, se avsnitt 8.3.1 (Allmänt om sekretess).
I 2 kap. 13 § första stycket TF finns ett undantag från huvudregeln om vad som är en allmän handling. Där anges att en handling som förvaras hos en myndighet endast som ett led i en teknisk bearbetning eller teknisk lagring för någon annans räkning inte anses som allmän handling hos den myndigheten.
8.2.3. Begränsningar i rätten att ta del av allmänna handlingar
Rätten att ta del av allmänna handlingar gäller inte utan begränsningar. Av 2 kap. 2 § första stycket TF framgår att rätten får begränsas endast om det krävs med hänsyn till vissa ändamål, bland annat skyddet för enskildas personliga eller ekonomiska förhållanden. En begränsning av rätten att ta del av allmänna handlingar ska anges noga i en bestämmelse i en särskild lag eller, om det anses lämpligare i ett visst fall, i en annan lag som den särskilda lagen hänvisar till (2 kap. 2 § andra stycket TF). Med den särskilda lagen avses i dag OSL. Sekretessbestämmelser till skydd för uppgift om enskilds personliga eller ekonomiska förhållanden finns i lagens femte avdelning (21–40 kap. OSL).
8.2.4. Utlämnande av allmänna handlingar
2 kap. TF innehåller även bestämmelser om själva utlämnandet av allmänna handlingar. Begreppet utlämnande syftar på när mottagaren får ta del av en allmän handling. En begäran att få ta del av en allmän handling görs hos den myndighet som förvarar handlingen (2 kap. 17 § första stycket TF). Begäran prövas, som huvudregel, av den myndighet som anges i första stycket (2 kap. 17 § andra stycket TF).
Den som begär ut en allmän handling som får lämnas ut ska få ta del av handlingen på stället på ett sådant sätt att den kan läsas, avlyssnas eller uppfattas på annat sätt. En handling kan också skrivas av, fotograferas eller spelas in. Kan en handling inte tillhandahållas utan att en sådan del av handlingen som inte får lämnas ut röjs, ska den i övriga delar göras tillgänglig för sökanden i avskrift eller kopia (2 kap. 15 första stycket TF). I 2 kap. 15 § andra stycket finns vissa undantag till bestämmelserna i första stycket. Den som önskar ta del av en allmän handling har även, med vissa undantag, rätt att mot en avgift få en avskrift eller kopia av handlingen till den del handlingen får lämnas ut (2 kap. 16 § första stycket TF).
8.3. Offentlighets- och sekretesslagen
OSL innehåller inte bara bestämmelser om sekretess utan innehåller även bestämmelser om myndigheters handläggning vid registrering, utlämnande och övrig hantering av allmänna handlingar (se 1 kap.
1 § första och andra stycket OSL). Bestämmelser om myndighetens hantering av allmänna handlingar finns bland annat i lagens sjätte kapitel som innehåller bestämmelser om utlämnade av allmänna handlingar och uppgifter (se 1 kap. 3 § OSL).
Utöver skyldigheten att lämna ut allmänna handlingar som följer av TF, ska en myndighet på begäran av en enskild också lämna uppgift
ur en allmän handling som förvaras hos myndigheten, om inte upp-
giften är sekretessbelagd eller det skulle hindra arbetets behöriga gång (6 kap. 4 § OSL). Bestämmelsen innebär inte någon skyldighet att lämna ut uppgifter som inte finns i allmänna handlingar.
Mellan myndigheter gäller att en myndighet på begäran av en annan myndighet ska lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång (6 kap. 5 § OSL). Denna bestämmelse kan ses som en precisering av den allmänna samverkansskyldigheten som gäller enligt 8 § FL. Skyldigheten att lämna information till andra myndigheter är mer vidsträckt än skyldigheten gentemot allmänheten. Enligt denna paragraf omfattar skyldigheten varje uppgift som myndigheten förfogar över, alltså inte bara uppgifter ur allmänna handlingar.4
8.3.1. Allmänt om sekretess
Inledande bestämmelser
OSL:s bestämmelser om sekretess innebär begränsningar i den rätt att ta del av allmänna handlingar som följer av TF (1 kap. 1 § andra stycket OSL). Med sekretess avses ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt (3 kap. 1 § OSL). Sekretess innebär således både handlingssekretess och tystnadsplikt.
Gäller förbud mot att röja en uppgift, får uppgiften inte heller i övrigt utnyttjas utanför den verksamhet för vilken den är sekretessreglerad (7 kap. 1 § OSL).
Det finns inte någon definition av ordet röja i OSL och det kan i vissa situationer vara svårt att avgöra om en uppgift kan anses röjd.
Förbudet att röja eller utnyttja en uppgift gäller för myndigheter (2 kap. 1 § första stycket OSL). Ett sådant förbud gäller också för en
4 Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, kommentaren till 6 kap. 5 § OSL (Juno version 26).
person som fått kännedom om uppgiften genom att för det allmännas räkning delta i en myndighets verksamhet som exempelvis anställd eller uppdragstagare (se 2 kap. 1 § andra stycket OSL). Bestämmelserna gäller också för företag där kommuner eller regioner utövar ett rättsligt bestämmande inflytande (se 2 kap. 3 § första stycket OSL).
Vilka sekretessen gäller mot
Sekretessen gäller såväl mot enskilda, det vill säga fysiska eller juridiska personer, som mot andra myndigheter (se 8 kap. 1 § OSL). Nämnder inom en kommun eller region anses som egna myndigheter. Om en kommun eller en region har valt att dela upp hälso- och sjukvården på flera sektorer som organisatoriskt hör till olika nämnder är OSL:s regler om sekretess därmed tillämpliga vid uppgiftslämnande mellan de olika nämndernas vårdinrättningar. Samma sak gäller i förhållande till kommunala företags vårdinrättningar (se prop. 2007/08:126 s. 164). Som ”enskild” betraktas även privata företag, vilket innebär att sekretess även gäller gentemot till exempel en privat vårdgivare.
Sekretessen gäller också mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra (8 kap. 2 § OSL). Det är inte alltid helt lätt att avgöra när det finns självständiga verksamhetsgrenar inom en myndighet. Av förarbetena till PDL framgår att all hälso- och sjukvård som lyder under samma nämnd inom en region eller en kommun utgör en och samma verksamhetsgren (prop. 2007/08:126 s. 163). Det innebär att någon sekretessprövning enligt OSL inte behöver göras när uppgifter överförs mellan olika vårdinrättningar, till exempel från ett sjukhus till en vårdcentral, så länge som dessa sorterar under samma nämnd.
Forskning som bedrivs av en vårdgivande myndighet som ett led i vården och behandlingen av en patient anses ingå i myndighetens hälso- och sjukvårdsverksamhet. Annan forskning betraktas dock i regel som en självständig verksamhetsgren, vilket innebär att sekretess gäller inom myndigheten mellan sådan forskningsverksamhet och hälso- och sjukvårdsverksamheten. Med annan forskning avses dokumentation som enbart sker i forskningssyfte och som inte heller har någon betydelse för vården (se prop. 2007/08:126 s. 51 och s. 202). Det kan vara svårt att avgöra var gränsen mellan sådan forskning och annan forskning går.
Utbildningsverksamhet är i regel en självständig verksamhetsgren även om den bedrivs inom en och samma myndighet som bedriver hälso- och sjukvård (se prop. 2007/08:126 s. 51 och s. 202).
Bestämmelserna i 8 kap. 1 och 2 §§ OSL reglerar den så kallade yttre sekretessen. OSL innehåller inte något förbud mot att röja uppgifter till någon inom en och samma myndighet eller verksamhetsgren, den så kallade inre sekretessen. Sådana bestämmelser finns i stället vad gäller hälso- och sjukvården i exempelvis PDL.
Utlämnande av avidentifierade och pseudonymiserade uppgifter
För att det ska finnas hinder mot att lämna ut uppgifter som är sekretessreglerade till skydd för enskilds personliga eller ekonomiska förhållanden krävs det att en enskild person riskerar att lida skada eller men (se exempelvis sekretessbestämmelserna i 25 kap. OSL). Vad som avses med begreppet men framgår av avsnitt 8.3.3.
I förarbetena till den tidigare sekretesslagen (1980:100) anges att det krävs att uppgifterna är hänförliga till en viss individ för att en enskild person ska lida skada eller men. Det innebär att det i allmänhet bör vara möjligt att lämna ut så kallade avidentifierade uppgifter utan att risk för skada eller men uppkommer. I enstaka fall kan det emellertid tänkas att en avidentifiering inte är tillräcklig för att hindra att sambandet mellan individen och uppgiften spåras. Frågan om en sådan risk föreligger får bedömas efter omständigheterna i det enskilda fallet (se prop. 1979/80:2 Del A s. 84).
För att uppgifter ska anses vara avidentifierade ska en enskild inte kunna identifieras vare sig utifrån de uppgifter som lämnas ut eller med hjälp av annan tillgänglig information, så kallad pusselläggning, (se bland annat Kammarrätten i Stockholms dom den 20 augusti 2020 i mål nr 4876–20).
I ett beslut av Riksdagens ombudsmän, JO, som rörde utlämnande av personuppgifter till tredje land, uttalar sig JO om pseudonymiserade uppgifter (JO:s beslut den 4 juni 2019, dnr 6794–2017 och dnr 6864– 2017). Där anges att tillämpningen av begreppet avidentifierade uppgifter under senare år har blivit mer restriktiv och att det som avsågs i förarbetena till den tidigare sekretesslagen torde ha varit det som i dag kallas pseudonymiserade uppgifter, det vill säga information utan
direktidentifierande uppgifter (jämför definitionen i artikel 4.5 i EU:s dataskyddsförordning).
Att lämna ut uppgifter i pseudonymiserad form kan, enligt JO, medföra att det saknas risk för att en enskild person ska lida skada eller men, och att uppgifterna då kan lämnas ut. Det är emellertid viktigt att den utlämnande myndigheten gör en noggrann prövning av vilka uppgifter som kan lämnas ut, och hur utlämnandet bör ske, för att inte riskera att röja enskilda individer. Vid bedömningen bör myndigheten beakta bland annat vilken typ av uppgifter som omfattas, vem som är mottagare, vilken spridning uppgifterna kommer att få, hur uppgifterna kommer att hanteras av mottagaren, vilka som har tillgång till referensuppgifterna och vilka risker som finns för ytterligare spridning av uppgifterna.
I kapitel 7. (Dataskydd) finns en närmare beskrivning av begreppet pseudonymisering. I det kapitlet redogörs också för betydelsen av begreppet anonymisering. Begreppet anonymisering används framför allt i dataskyddssammahang och i regel inte i sammanhang då det gäller sekretess. Begreppet anonymisering kopplar till frågan om en uppgift är en personuppgift eller inte medan begreppet avidentifiering kopplar till frågan om det finns en risk för skada eller men om uppgifterna lämnas ut.
Sekretessbrytande bestämmelser
En sekretessbrytande bestämmelse är en bestämmelse som innebär att en sekretessbelagd uppgift får lämnas ut under vissa förutsättningar (3 kap. 1 § OSL). I 10 kap. OSL finns sekretessbrytande bestämmelser som är tillämpliga på sekretess enligt alla eller ett stort antal sekretessbestämmelser i lagen. Sekretessbrytande bestämmelser som endast bryter sekretess som gäller enligt en viss sekretessbestämmelse eller enligt några få sekretessbestämmelser finns utspridda i olika kapitel, bland annat i 25 kap. OSL, se nedan i avsnitt 8.3.3).
Sekretess hindrar inte att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning (10 kap. 28 § första stycket OSL). Bestämmelsen är även tillämplig när uppgifter lämnas mellan olika verksamhetsgrenar inom en myndighet som är att betrakta som självständiga i förhållande till varandra (se 8 kap. 2 § OSL). Ett exempel på en sådan uppgiftsskyldighet är att den som bedriver verk-
samhet inom hälso- och sjukvården ska lämna uppgifter till ett hälsodataregister för vissa angivna ändamål (6 § lag (1998:543) om hälsodataregister).
I 10 kap. 1 § OSL finns en annan sekretessbrytande bestämmelse. I denna bestämmelse anges att det följer av 12 kap. OSL att sekretess till skydd för en enskild inte hindrar att en uppgift lämnas till en annan enskild eller till en myndighet, om den enskilde samtycker till det. I 12 kap. 2 § första stycket OSL anges att en enskild helt eller delvis kan häva sekretess som gäller till skydd för honom eller henne, om inte annat anges i denna lag. Till skillnad från 10 kap. 16 och 28 §§ OSL är denna sekretessbrytande bestämmelse inte bara tillämplig när det gäller att lämna uppgifter till myndigheter utan även till enskilda. Se mer om samtycke till att bryta sekretessen i Bilaga 3 (Samtycken inom vård och klinisk forskning).
Om 10 kap. 1 eller 28 §§ OSL är tillämpliga kan en uppgift lämnas ut utan att det behöver göras en bedömning av om ett sådant utlämnande innebär en risk för skada, men eller annan olägenhet.
Utlämnande av uppgift med förbehåll
I 10 kap. 14 § första stycket OSL finns en bestämmelse som ger en myndighet möjlighet att till en enskild lämna ut en uppgift som är sekretessbelagd, under förutsättning att den risk för skada, men eller annan olägenhet som hindrar att uppgifterna lämnas, kan undanröjas genom ett förbehåll som inskränker den enskildes rätt att lämna uppgiften vidare eller utnyttja den.
Som framgår av bestämmelsens ordalydelse kan ett sådant förbehåll endast riktas till enskilda mottagare. Vidare kan förbehållet endast användas i förhållande till sekretessbestämmelser som innehåller någon form av skaderekvisit (se prop. 1979/80:2 Del A s. 350). Ett förbehåll kan alltså inte möjliggöra ett utlämnande av en uppgift som omfattas av så kallad absolut sekretess.
En tystnadsplikt som följer av ett förbehåll som avses i 10 kap. 14 § första stycket OSL inskränker rätten att meddela och offentliggöra uppgifter (13 kap. 5 § andra stycket OSL).
Primära sekretessbestämmelser och bestämmelser om överföring av sekretess
Sekretessen följer som huvudregel inte med en uppgift när den lämnas till en annan myndighet. I förarbetena till den numera upphävda sekretesslagen motiverades denna ordning bland annat med att behovet av och styrkan i en sekretess inte kan bestämmas endast med hänsyn till sekretessintresset utan också måste vägas mot intresset av insyn i myndigheternas verksamhet. Ett annat skäl uppgavs vara att det är svårt att överblicka konsekvenserna av en regel som innebär att sekretessen sprider sig i flera led från myndighet till myndighet. En sådan regel bedömdes också skapa tillämpningssvårigheter (prop. 1979/80:2 Del A s. 75).
Får en myndighet en sekretessreglerad uppgift från en annan myndighet, gäller sekretess för uppgiften hos den mottagande myndigheten endast om sekretess följer av en primär sekretessbestämmelse som är tillämplig hos den mottagande myndigheten eller av en bestämmelse om överföring av sekretess. Motsvarande gäller om en myndighet har elektronisk tillgång till en sekretessreglerad uppgift hos en annan myndighet (7 kap. 2 § OSL). Med elektronisk tillgång avses exempelvis att en myndighet får så kallad direktåtkomst till journaluppgifter genom sammanhållen vård- och omsorgsdokumentation.
En primär sekretessbestämmelse är en bestämmelse om sekretess som en myndighet ska tillämpa på grund av att bestämmelsen riktar sig direkt till myndigheten eller omfattar en viss verksamhetstyp eller en viss ärendetyp som hanteras hos myndigheten eller omfattar vissa uppgifter som finns hos myndigheten (3 kap. 1 § OSL).
En bestämmelse om överföring av sekretess är en bestämmelse som innebär att en sekretessbestämmelse som är tillämplig på en uppgift hos en myndighet, ska tillämpas på uppgiften även av en myndighet som uppgiften lämnas till eller som har elektronisk tillgång till uppgiften hos den förstnämnda myndigheten (3 kap. 1 § OSL). I samma bestämmelse anges också att en sekundär sekretessbestämmelse är en bestämmelse om sekretess som en myndighet ska tillämpa på grund av en bestämmelse om överföring av sekretess.
Bestämmelser om överföring av sekretess
I 11 kap. OSL finns sekundära sekretessbestämmelser, det vill säga bestämmelser om överföring av sekretess, som innebär att sekretess överförs till vissa angivna typer av organ eller vissa angivna verksamheter.
Det finns en bestämmelse om överföring av sekretess när en myndighet i sin forskningsverksamhet får en sekretessreglerad uppgift från en annan myndighet (11 kap. 3 § OSL). I dessa fall blir alltså sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Detta gäller dock inte avseende en uppgift som ingår i ett beslut hos den mottagande myndigheten.
Vidare finns en bestämmelse om överföring av sekretess när en myndighet får direktåtkomst till andra myndigheters upptagningar för automatiserad behandling och en uppgift i denna upptagning är sekretessreglerad (11 kap. 4 § OSL). Även i dessa fall gäller sekretessbestämmelsen inte avseende en uppgift som ingår i ett beslut hos den mottagande myndigheten.
Konkurrens mellan primära sekretessbestämmelser och bestämmelser om överföring av sekretess
De sekundära sekretessbestämmelserna som finns i 11 kap. 3 och 4 §§ kan i vissa fall bli utkonkurrerade av en primär sekretessbestämmelse.
Huvudregeln om konkurrens mellan sekretessbestämmelser finns i 7 kap. 3 § OSL. I den bestämmelsen anges att om flera sekretessbestämmelser är tillämpliga på en uppgift hos en myndighet och en prövning i ett enskilt fall resulterar i att uppgiften inte är sekretessbelagd enligt en eller flera bestämmelser samtidigt som den är sekretessbelagd enligt en eller flera andra bestämmelser, ska de senare bestämmelserna ha företräde, om inte annat anges i denna lag.
I 11 kap. 8 § OSL finns ett undantag från denna huvudregel. Av den bestämmelsen framgår att de sekundära sekretessbestämmelserna som finns i 11 kap. 1–7 §§ OSL inte ska tillämpas på en uppgift när det finns en primär sekretessbestämmelse till skydd för samma intresse som är tillämplig hos den mottagande myndigheten. Detta gäller oavsett om den primära sekretessbestämmelsen ger ett starkare eller svagare skydd än den sekundära sekretessen. Även uttryckliga undantag från den primära sekretessbestämmelsens tillämpningsområde har företräde framför den överförda sekretessen (se prop. 2007/08:160 s. 165).
En sådan ordning har bland annat motiverats med att en primär sekretessbestämmelse normalt har utformats efter en avvägning av sekretessintresset och intresset av insyn hos just det organet eller i den verksamheten (jämför prop. 2007/08:160 s. 76).5
Om den primära och den sekundära sekretessbestämmelsen inte gäller till skydd för samma intresse är bestämmelsen i 11 kap. 8 § OSL inte tillämplig. Då ska i stället huvudregeln i 7 kap. 3 § OSL tillämpas.
Bestämmelsen i 11 kap. 8 § OSL är inte heller tillämplig vid konkurrens mellan de sekundära sekretessbestämmelserna i 11 kap. 1–7 §§ och de primära sekretessbestämmelser som finns i 21 kap. 1, 3, 3 a, 5 och 7 §§ OSL, det vill säga de bestämmelser som gäller som ett minimiskydd för enskildas personliga integritet inom hela den offentliga sektorn. Även i dessa fall ska i stället huvudregeln i 7 kap. 3 § OSL tillämpas.
8.3.2. Behandling i strid med dataskyddsregleringen
I kapitel 7 redogör utredningen för aktuella bestämmelser om dataskydd enligt EU:s dataskyddsförordning och lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen. Utredningen beskriver vidare bestämmelser i bland annat lagen (2003:460) om etikprövning av forskning som avser människor, förkortad EPL, se vidare kapitel 6
21 kap. OSL innehåller särskilda bestämmelser om sekretess till skydd för uppgift om enskilds personliga förhållanden oavsett i vilket sammanhang uppgiften förekommer. I det kapitlet finns en bestämmelse, 21 kap. 7 § OSL, som har direkt koppling till de ovan nämnda regelverken.
I bestämmelsen anges att sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen i den ursprungliga lydelsen, dataskyddslagen eller 6 § EPL (21 kap. 7 § första stycket OSL, vår kursivering). Bestämmelsen är utformad med ett så kallat rakt skaderekvisit, vilket innebär en presumtion för att uppgifter får lämnas ut.
Av förarbetena till dataskyddslagen framgår att vidare undersökningar av den kommande behandlingen får vidtas endast om det finns
5 Se även Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, kommentaren till 11 kap. 8 § OSL (Juno version 26).
konkreta omständigheter som indikerar att mottagaren kommer att behandla uppgifterna på ett sätt som strider mot dataskyddsregleringen. Finns det inga sådana indikationer behöver inte någon bedömning enligt dataskyddsregleringen göras (prop. 2017/18:105 s. 135).
8.3.3. Sekretess i verksamhet som avser hälso- och sjukvård med mera
I 25 kap. OSL finns särskilda bestämmelser om sekretess till skydd för enskild i verksamhet som avser hälso- och sjukvård med mera. Det kan dock vara värt att notera att även sekretessbestämmelser som finns i andra kapitel i OSL kan bli tillämpliga på uppgifter som finns inom hälso- och sjukvården. Exempelvis kan 35 kap. 1 § OSL, som bland annat innehåller bestämmelser om sekretess till skydd för enskildas intressen i förundersökning och annan brottsbekämpande verksamhet, bli tillämplig på uppgifter som finns inom hälso- och sjukvården. Ett annat exempel på sekretessbestämmelser som kan bli tillämpliga är 21 kap. 7 §, se avsnitt 8.3.2 (Behandling i strid med dataskyddsregleringen).
Verksamhet vid sjukhus och andra liknande inrättningar som drivs av enskilda, det vill säga privata vårdgivare, faller utanför OSL:s tillämplighet. Vad gäller dessa verksamheter finns det i stället bestämmelser om tystnadsplikt i PSL se avsnitt 8.4. (Tystnadsplikt för personal inom den enskilda hälso- och sjukvården).
Sekretess inom hälso- och sjukvården och annan medicinsk verksamhet
Sekretess gäller inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Bestämmelsen i 25 kap. 1 § första stycket OSL om sekretess i hälso- och sjukvården är alltså utformad med ett så kallat omvänt skaderekvisit, vilket innebär att presumtionen är att uppgifterna omfattas av sekretess. Sekretessen gäller också i annan medicinsk verksamhet, exempelvis rättsmedicinsk och rättspsykiatrisk undersökning, insemination, befruktning utanför kroppen, fastställande av könstillhörighet, abort, sterilisering, omskärelse och åtgärder
mot smittsamma sjukdomar (25 kap. 1 § första stycket OSL). Av bestämmelsens andra stycke framgår att det finns vissa undantag från denna huvudregel.
Med uttrycket hälso- och sjukvård förstås först och främst den öppna och slutna sjukvård som regleras i hälso- och sjukvårdslagen (2017:30), förkortad HSL. Hit hör också den förebyggande medicinska hälsovården, till exempel den som bedrivs vid mödra- och barnavårdscentralerna. Även tandvården hör till hälso- och sjukvården. Hälso- och sjukvård kan även utgöra inslag i annan förvaltning, till exempel inom skolväsendet eller socialtjänsten. Företagshälsovården i det allmännas verksamhet faller också under paragrafens tillämpningsområde.6
Med uttrycket annan medicinsk verksamhet avses verksamhet som inte primärt har vård- eller behandlingssyfte.7 I lagtexten ges exempel på sådana verksamheter.
Begreppet personliga förhållanden, som också inkluderar någons hälsotillstånd, ska tolkas utifrån vanligt språkbruk. Vitt skilda förhållanden omfattas, såsom adress, ekonomiska förhållanden och yttringar av ett psykiskt sjukdomstillstånd (se prop. 1979/80:2 Del A s. 84 och 168). Detta innebär att i stort sett alla personuppgifter som förekommer i hälso- och sjukvårdens verksamhet omfattas av sekretess.
Begreppet men har en mycket vid innebörd. I första hand avses att någon blir utsatt för andras missaktning om hans eller hennes personliga förhållanden blir kända. Redan den omständigheten att vissa personer känner till en, för någon enskild, känslig uppgift kan i många fall anses tillräckligt för att medföra men. Utgångspunkten för en bedömning av om men föreligger är den berörda personens egen upplevelse. Bedömningen måste dock i viss utsträckning kunna korrigeras på grundval av gängse värderingar i samhället. Begreppet men kan i vissa sammanhang även inbegripa ekonomiska konsekvenser för en enskild (se prop. 1979/80:2 Del A s. 83).
6 Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, kommentaren till 25 kap. 1 § OSL (Juno version 26). 7 Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, kommentaren till 25 kap. 1 § OSL (Juno version 26).
Sekretess för uppgifter som ingår i system med sammanhållen vård- och omsorgsdokumentation
Den 1 januari 2023 trädde lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation, förkortad SVOD, i kraft. Med sammanhållen vård- och omsorgsdokumentation avses ett elektroniskt system som gör det möjligt för en vårdgivare eller omsorgsgivare att ge eller få tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter hos andra vårdgivare eller omsorgsgivare (1 § SVOD). Regler om så kallad sammanhållen journalföring mellan vårdgivare fanns tidigare reglerat i 6 kap. PDL. Genom lagändringen har bestämmelser om elektroniskt utlämnande mellan vårdgivare samt mellan vårdgivare och omsorgsgivare samlats i en lag. För en närmare beskrivning av den nya lagen se kapitel 7.
När det gäller vårdgivare som får tillgång till uppgifter genom sammanhållen vård- och omsorgsdokumentation finns en särskild sekretessbestämmelse i 25 kap. 2 § OSL. I bestämmelsens första stycke anges att sekretess gäller hos en myndighet som bedriver verksamhet som avses i 1 §8 för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig av en annan vårdgivare eller omsorgsgivare enligt SVOD, om inte förutsättningarna enligt 3 kap. 1, 3, 5 eller 6 §§ samma lag för att myndigheten ska få behandla uppgiften är uppfyllda.
Om de villkor för behandling av uppgifter som uppställs i de angivna paragraferna inte är uppfyllda, gäller således så kallad absolut sekretess för uppgifterna. Absolut sekretess avser att en sekretessbestämmelse saknar skaderekvisit, det vill säga sekretess råder oavsett vilka följder ett röjande skulle få. Absolut sekretess medför således att någon skadeprövning inte ska göras. Myndigheten behöver därmed inte ta del av uppgifterna för att pröva sekretessfrågan. En begäran om att lämna ut uppgifterna kan därmed avslås med hänvisning till att begärda uppgifter inte förvaras hos myndigheten (prop. 2021/ 22:177 s. 228).
Om förutsättningarna i de angivna paragraferna för att den anslutna vårdgivaren ska få behandla uppgifterna är uppfyllda, eller om myndigheten har behandlat uppgifterna enligt nämnda bestämmelser tidigare, gäller däremot sekretess med ett omvänt skaderekvisit. Sekretess gäller då om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (25 kap. 2 §
8 Det vill säga hälso- och sjukvård eller annan medicinsk verksamhet.
andra stycket första meningen OSL). Av samma stycke andra meningen framgår vidare att det finns vissa undantag till det som anges i första meningen.
Sekretessbrytande bestämmelser
I 25 kap. 11 § OSL finns ett antal bestämmelser som bryter sekretessen i 1 §, det vill säga sekretessen inom hälso- och sjukvården och annan medicinsk verksamhet. Därtill kan de sekretessbrytande bestämmelser som finns i 10 kap. OSL bli tillämpliga, se avsnitt 8.3.1 (Allmänt om sekretess).
Av 25 kap. 11 § 1 och 2 OSL framgår att sekretessen enligt 1 § inte hindrar att uppgift lämnas från myndighet som bedriver verksamhet som avses i den paragrafen till en annan sådan myndighet i samma kommun eller region. Företag där kommuner eller regioner utövar ett rättsligt bestämmande inflytande ska jämställas med myndigheter i detta sammanhang (se 2 kap. 3 § första stycket OSL). Bestämmelsen gör det möjligt för kommuner och regioner att fritt välja sin organisation utan hänsyn till att sekretess i princip råder mellan myndigheter. Även om ingen sekretess gäller mellan hälso- och sjukvårdsmyndigheter i samma kommun eller region kan bestämmelsen i 5 kap. 1 § 3 HSL om att vården ska bygga på respekt för patientens självbestämmande innebära att vissa uppgifter inte ska lämnas ut. I den mån uppgifterna behandlas enligt PDL träder även skyddsreglerna i den lagen och EU:s dataskyddsförordning in.9 För en närmare beskrivning av dessa regelverk, se kapitel 5 (Hälso- och sjukvård) och kapitel 7 (Dataskydd).
Av 25 kap. 11 § 3 framgår att sekretessen enligt 1 § inte hindrar att uppgift lämnas till en myndighet som bedriver verksamhet som avses i den paragrafen, 26 kap. 1 §10 OSL eller en enskild vårdgivare eller omsorgsgivare enligt det som föreskrivs i lagen om sammanhållen vård- och omsorgsdokumentation. Även i detta sammanhang ska företag där kommuner eller regioner utövar ett rättsligt bestämmande inflytande jämställas med myndigheter. I 25 kap. 2 § OSL regleras vilken sekretess som gäller hos den myndighet som får tillgång till uppgifterna, se ovan.
9 Se Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, kommentaren till 25 kap. 11 § OSL (Juno version 26). 10 Det vill säga socialtjänst och därmed jämställd verksamhet.
Av bestämmelsens femte punkt framgår att sekretessen enligt 1 § inte hindrar att uppgift lämnas från en myndighet som bedriver verksamhet som avses i den paragrafen inom en kommun eller en region till annan sådan myndighet för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs. Bestämmelsen är utformad med ett rakt skaderekvisit, vilket innebär en presumtion för att uppgifter får lämnas ut. Som framgår av ordalydelsen är bestämmelsen endast tillämplig när uppgift lämnas till en myndighet som bedriver hälso- och sjukvård eller annan medicinsk verksamhet. När uppgift lämnas till exempelvis ett lärosäte i egenskap av forskningshuvudman är det i stället 25 kap. 1 § OSL som ska tillämpas, se ovan. Som framgår av avsnitt 8.3.1 (Allmänt om sekretess) finns det en bestämmelse om överföring av sekretess när en myndighet i sin forskningsverksamhet får en sekretessreglerad uppgift från en annan myndighet (11 kap. 3 § OSL).
Rätten att meddela och offentliggöra uppgifter
Av 25 kap. 18 § andra stycket OSL framgår att den tystnadsplikt som följer av 1 och 2 §§ inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställigheten av beslut om omhändertagande eller beslut om vård utan samtycke. Rätten att meddela och offentliggöra sådana uppgifter som omfattas av sekretess enligt dessa bestämmelser är alltså mycket starkt begränsad.
8.3.4. Sekretess inom forskning
Det finns ingen sekretessbestämmelse som generellt reglerar sekretessen till skydd för enskilds personliga och ekonomiska förhållanden inom forskningsverksamhet. I stället finns det flera sekretessbestämmelser som kan aktualiseras och bli tillämpliga. Vidare blir indelningen mellan primära och sekundära sekretessbestämmelser central när det gäller forskningsverksamhet. När det gäller forskning som bedrivs inom en hälso- och sjukvårdsmyndighet är det även nödvändigt att skilja på sådan forskning som sker som ett led i vården och behandlingen av en patient, och annan forskning som bedrivs som en självständig verksamhetsgren. Nedan följer en beskrivning av ett antal
sekretessbestämmelser som kan bli aktuella på uppgifter som finns där forskningen bedrivs efter att uppgifterna har tillgängliggjorts genom utredningens författningsförslag.
Primära sekretessbestämmelser
Behandling i strid med dataskyddsregleringen
I avsnitt 8.3.2 (Behandling i strid med dataskyddsregleringen) finns en beskrivning av bestämmelsen i 21 kap. 7 § OSL. Bestämmelsen kan få betydelse om uppgifter i forskningsverksamhet begärs ut.
Sekretess till skydd för enskild inom forskning och statistik
I 24 kap. OSL finns vissa bestämmelser som särskilt reglerar sekretess till skydd för enskild inom forskning och statistik.
Enligt 24 kap. 1 § OSL gäller sekretess för uppgift som hänför sig till psykologisk undersökning som utförs för forskningsändamål, om det inte står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon närstående till denne lider men. Ett omvänt skaderekvisit gäller, det vill säga det råder en presumtion för sekretess.
I 24 kap. 8 § OSL regleras den så kallande statistiksekretessen. Enligt bestämmelsens första stycke gäller sekretess i sådan särskild verksamhet hos en myndighet som avser framställande av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Sekretessen är absolut. Detta stycke blir normalt inte tillämpligt på uppgifter som finns hos en region eller ett lärosäte som bedriver forskning. Detta beror bland annat på att denna verksamhet generellt inte har statistikframställning som sitt huvudsakliga syfte (se prop. 2013/14:162 s. 9).
Enligt bestämmelsens andra stycke gäller dock en motsvarande sekretess i annan jämförbar undersökning som utförs av myndigheter som nämns i bestämmelsen eller av någon annan myndighet i den utsträckning regeringen meddelar föreskrifter om det. I 7 § offentlighets- och sekretessförordningen (2009:641), förkortad OSF, finns en uppräkning av de myndigheter och undersökningar som berörs, liksom vilka uppgifter som omfattas av sekretessen. Där framgår bland annat att sekretessen enligt 24 kap. 8 § OSL också gäller uppgifter om enskil-
das personliga förhållanden hos sjukvårdsinrättningar, utbildningsanstalter och forskningsinrättningar i miljömedicinska, socialmedicinska, psykiatriska eller andra medicinska studier och hos utbildningsanstalter och forskningsinrättningar för undersökningar i sociologiska, psykologiska, pedagogiska eller andra beteendevetenskapliga eller samhällsvetenskapliga studier.
Vad avser begreppet annan jämförbar undersökning anförs i förarbetena till bestämmelsen att undersökningar med hjälp av statistiska metoder genomförs inom en rad myndigheters verksamheter. Vissa sådana undersökningar omfattas av statistiksekretess trots att de genomförs utanför en särskild verksamhet för framställning av statistik. En skillnad jämfört med sekretessen i särskild statistikverksamhet är att sekretessens räckvidd inte gäller i hela verksamheten utan är begränsad till sådana uppgifter som kan hänföras till undersökningen (prop. 2013/14:162 s. 10).
Är bestämmelsen i 24 kap. 8 § andra stycket tillämplig gäller således absolut sekretess även för uppgifterna hänförliga till sådan jämförbar verksamhet.
Det finns emellertid vissa undantag från den absoluta sekretessen i 24 kap. 8 § första och andra stycket OSL. Ett av dessa handlar om uppgifter som behövs för forsknings- eller statistikändamål. Ett annat undantag omfattar uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde. I dessa undantagsfall får uppgifter lämnas ut, om det står klart att dessa kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men (se 24 kap. 8 § tredje stycket OSL). Bestämmelsen är utformad med ett så kallat omvänt skaderekvisit, vilket innebär att presumtionen är att uppgifterna omfattas av sekretess.
Rätten att meddela och offentliggöra uppgifter
Av 24 kap. 9 § OSL framgår att den tystnadsplikt som följer av 8 § samma kapitel inskränker rätten att meddela och offentliggöra uppgifter.
Forskning som ett led i vården och behandlingen av en patient
Som framgår av avsnitt 8.3.1 (Allmänt om sekretess) anses forskning som bedrivs som ett led i vården och behandlingen av en patient ingå i en myndighets hälso- och sjukvårdsverksamhet. Detta till skillnad från forskning där dokumentation enbart sker i forskningssyfte och där forskningen inte har någon betydelse för vården. Sådan forskning betraktas i regel som en självständig verksamhetsgren.
När det gäller forskning som bedrivs som ett led i vården och behandlingen av en patient omfattas denna forskning av hälso- och sjukvårdssekretessen (prop. 2007/08:126 s. 202). Bestämmelsen i 25 kap. 1 § OSL blir alltså tillämplig som primär sekretessbestämmelse i sådana fall. En beskrivning av denna bestämmelse finns i avsnitt 8.3.3 (Sekretess i verksamhet som avser hälso- och sjukvård med mera).
Som framgår i avsnitt 8.3.1 (Allmänt om sekretess) är det inte helt enkelt att dra gränsen mellan forskning som bedrivs som ett led i vården och behandlingen av en patient och sådan forskning som sker som en självständig verksamhetsgren.
8.3.5. Överföring av sekretess i forskningsverksamhet
Som framgår av avsnitt 8.3.1 (Allmänt om sekretess) finns en bestämmelse om överföring av sekretess som anger att om en myndighet i sin forskningsverksamhet får en sekretessreglerad uppgift från en annan myndighet, blir sekretessbestämmelsen tillämplig på uppgiften även hos den mottagande myndigheten. Detta gäller dock inte avseende uppgifter som ingår i ett beslut hos den mottagande myndigheten (se 11 kap. 3 § OSL).
Bestämmelsen om överföring av sekretess blir tillämplig i de fall det inte finns någon primär sekretessbestämmelse hos den mottagande myndigheten som är tillämplig på uppgifterna som behandlas i forskningsverksamheten. Sekretessen överförs alltså i det fall uppgifterna lämnas till en myndighets forskningsverksamhet under förutsättning att uppgifterna inte redan omfattas av en primär sekretessbestämmelse till skydd för samma intresse hos den mottagande myndigheten. Detta framgår av 11 kap. 8 § OSL som reglerar konkurrens mellan primära och sekundära sekretessbestämmelser, se avsnitt 8.3.1 (Allmänt om sekretess).
I avsaknad av en primär sekretessbestämmelse innebär 11 kap. 3 § OSL bland annat att den sekretess med omvänt skaderekvisit som gäller enligt 25 kap. 1 § OSL överförs från en utlämnande myndighet till en mottagande myndighet. Detta får betydelse inom forskningen eftersom en viktig källa för forskare, främst på det medicinska området, är personuppgifter som hämtas från hälso- och sjukvården. Sådana uppgifter skyddas av hälso- och sjukvårdssekretess i 25 kap. 1 § OSL.
8.4. Tystnadsplikt för personal inom den enskilda hälso- och sjukvården
Som framgår ovan omfattas inte personal inom den enskilda hälso- och sjukvården, det vill säga privata vårdgivare, av bestämmelserna i OSL. För den enskilda hälso- och sjukvården gäller i stället bestämmelser om tystnadsplikt i 6 kap. 12–14 och 16 §§ PSL. Där anges bland annat att den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen får röja vad han eller hon i sin verksamhet har fått veta om en persons hälsotillstånd eller andra personliga förhållanden (6 kap. 12 § PSL). Inte heller den som, utan att höra till hälso- och sjukvårdspersonalen, till följd av anställning eller uppdrag eller på annan liknande grund deltar eller har deltagit inom den enskilda hälso- och sjukvård får obehörigen röja vad han eller hon därvid fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden (6 kap. 16 § PSL). Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning.
Vid tolkningen av obehörighetsrekvisitet har det ansetts naturligt att söka viss ledning i skaderekvisitet som finns i OSL:s motsvarande bestämmelse. Därigenom nås en i sak nära överensstämmelse mellan tystnadsplikten för personal inom den offentliga hälso- och sjukvården och tystnadsplikten för personal inom den enskilda hälso- och sjukvården (jämför prop. 1981/82:186, s. 26).
8.5. Brott mot tystnadsplikten
Röjande eller olovligen utnyttjande av en uppgift, som någon är pliktig att hemlighålla enligt lag eller annan författning eller enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning, är straffsanktionerat som brott mot tystnadsplikt. För straffansvar krävs att gärningen begåtts med uppsåt eller av oaktsamhet och att det inte rör sig om ringa fall av oaktsamhetsbrott (se 20 kap. 3 § brottsbalken).
Straffbestämmelsen avser både sådan tystnadsplikt som gäller i offentlig verksamhet enligt OSL och sådan tystnadsplikt som gäller i enskild verksamhet enligt andra författningar, exempelvis PSL. Exempel på förbehåll som har meddelats med stöd av lag är sådana förbehåll som görs med stöd av 10 kap. 14 § OSL.
9. Övrig lagstiftning
9.1. Inledning
Utredningen redogör i kapitel 5–8 för gällande rätt avseende områdena Hälso- och sjukvård (kapitel 5), Forskning (kapitel 6), Dataskydd (kapitel 7) och Offentlighet, sekretess och tystnadsplikt (kapitel 8). Utöver de regelverk som faller under dessa teman, har utredningen identifierat två ytterligare regelverk som är relevanta för betänkandet. Dessa regelverk redogörs för nedan.
9.2. Dataförvaltningsförordningen
Bestämmelserna i Europaparlamentet och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltningsförordning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten), förkortad dataförvaltningsförordningen, började tillämpas den 24 september 2023. Dataförvaltningsförordningen omfattar villkor för vidareutnyttjande av vissa typer av skyddade data från offentliga myndigheter, en ram för anmälan av och tillsyn över tillhandahållande av dataförmedlartjänster, ett ramverk för frivillig registrering av och tillsyn över dataaltruismorganisationer samt inrättande av en europeisk datainnovationsstyrelse. Dataförvaltningsförordningen är en del av genomförandet av EU:s datastrategi.
Bakgrund och kopplingen till datalagen
Reglerna om tillgängliggörande av skyddade data för vidareutnyttjande i dataförvaltningsförordningen har en stark koppling till det tidigare genomförda öppna data-direktivet. Öppna data-direktivet hade som
syfte att säkerställa att myndigheter gör en större del av de data de producerar lätt tillgängliga för användning och vidareutnyttjande.
Av olika skäl har vissa kategorier av data, såsom data som rör affärshemligheter, insynsskyddade statistiska data och data som skyddas av tredje parts immateriella rättigheter inbegripet personuppgifter, inte tillgängliggjorts i den utsträckning som är möjligt enligt unionsrätten (Ds 2023:24 Genomförande av EU:s dataförvaltningsförordning s. 74 f.).
Öppna data-direktivet har i Sverige primärt införlivats i svensk rätt genom inrättandet av en ny lag, lagen (2022:818) om den offentliga sektorns tillgängliggörande av data, förkortad datalagen, som trädde i kraft i 1 augusti 2022.
Datalagen syftar till att främja den offentliga sektorns tillgängliggörande av data för vidareutnyttjande, särskilt i form av öppna data, under förutsättning att krav på informationssäkerhet och skydd av personuppgifter kan upprätthållas och att det inte innebär risker för Sveriges säkerhet (1 kap. 1 §). Enligt 1 kap. 2 § ska datalagen inte påverka bestämmelser som styr tillgången till data enligt nationell- eller unionsrätt. Inte heller ska den påverka tillämpningen av bestämmelser i annan lag eller förordning om skyddet för personuppgifter. Av 1 kap. 3 § kan utläsas att för det fall det föreskrivs strängare krav för ett tillgängliggörande i annan författning ska de kraven gälla, i annat fall gäller det som sägs i datalagen. Anledningen är att öppna-data direktivet ansågs vara av minimi-karaktär (jämför prop. 2021/22:225 s. 23).
Sammanfattningsvis kan det konstateras att datalagen varken ger en mer vidsträckt rätt för någon att få tillgång till data än vad som följer av någon annan författning, eller begränsar en sådan rätt till data som regleras i annan lag eller förordning (prop. 2021/22:225 s. 22 f.).
I kapitel II dataförvaltningsförordningen finns villkor och ramar för vidareutnyttjande av skyddade data som innehas av offentliga myndigheter. Kapitlet kan ses som en vidareutveckling gällande det rättsliga ramverket för att kunna tillgängliggöra offentligt producerade data för vidareutnyttjande. Detta eftersom dataförvaltningsförordningen omfattar villkor för vidareutnyttjande från offentliga myndigheter av vissa typer av just sådana typer av skyddade data som öppna datadirektivet, och även datalagen, inte omfattar. I förarbetena till datalagen anges att sådana data som är undantagna lagens tillämpningsområde i allmänhet är av den arten att de är nära knutna till en viss person och som alltså inte skulle tillhandahållas någon annan, främst för att
datan innehåller integritetskänsliga personuppgifter eller omfattas av sekretess. Syftet med undantaget är att minimera risken för att data av känslig karaktär tillgängliggörs för vidareutnyttjande (jämför 1 kap. 9 § och prop. 2021/22:225 s. 32).
Närmare om regleringen i dataförvaltningsförordningens kapitel II
I kapitel II dataförvaltningsförordningen, regleras vidareutnyttjande av vissa kategorier av skyddade data som innehas av offentliga myndigheter. Kapitlet ger inte en ny dataskyddsrättslig grund för att dela skyddade data. Inte heller innebär det skyldigheter att tillgängliggöra sådana data. I stället införs villkor för hur ett sådant tillgängliggörande får se ut i de fall sådana data kan tillgängliggöras för vidareutnyttjande enligt befintliga regler.
Vad som avses med vidareutnyttjande
Med vidareutnyttjande i dataförvaltningsförordningen avses fysiska eller juridiska personers användning av data som innehas av offentliga myndigheter för andra ändamål än de ursprungliga ändamålen inom den offentliga verksamheten (artikel 2.2)1.
Vilka omfattas av regleringen
Bestämmelserna i kapitel II dataförvaltningsförordningen är tillämpliga på offentliga myndigheter (artikel 3.1 dataförvaltningsförordningen). Med offentliga myndigheter avses enligt artikel 2.18 statliga, regionala eller lokala myndigheter och offentligrättsliga organ, eller sammanslutningar av en eller flera sådana myndigheter eller offentligrättsliga organ. Offentligrättsliga organ är juridiska personer som har inrättats för att tillgodose behov av allmänt intresse och som till största del finansieras av statliga, regionala eller kommunala myndigheter, eller står under administrativ tillsyn av myndigheter eller av ett kontrollorgan som till mer än hälften utses av sådana myndigheter, artikel 2.19.
Bestämmelserna ska i enlighet med artikel 3.2 inte tillämpas på offentliga företag, public service-bolag, kulturinstitutioner och utbild-
1 I avsnitt 2.6 redogörs för valet av begreppet vidareanvändning i betänkandet.
ningsinstitutioner. Med offentliga företag avses enligt definitionen i artikel 2.19 dataförvaltningsförordningen företag som offentliga myndigheter har ett direkt eller indirekt bestämmande inflytande över.
Kort om villkoren som kan ställas för vidareutnyttjande
I artikel 5 regleras vilka villkor som får ställas upp när offentliga myndigheter tillgängliggör de särskilda kategorierna av skyddade data för vidareutnyttjande. Villkoren ska vara icke-diskriminerande, transparenta, proportionerliga och objektivt motiverade med hänsyn till kategorierna av data, vidareutnyttjandets syfte och typerna av data. Villkoren får inte begränsa konkurrensen. Villkoren för vidareutnyttjande ska offentliggöras via den gemensamma informationspunkt som ska inrättas enligt artikel 8.
De krav som kan föreskrivas av offentliga myndigheter omfattar olika skyddsåtgärder för att upprätthålla datans aktuella skydd. Det avser bland annat anonymisering av personuppgifter, ändringar av uppgifter innehållande affärshemligheter eller immateriella rättigheter, att tillgång till och vidareutnyttjande ska ske i en säker behandlingsmiljö som tillhandahålls och kontrolleras av myndigheten eller att tillgång till och vidareutnyttjande av data i vissa fall ska ske i bestämda fysiska lokaler där den säkra behandlingsmiljön är belägen.
Dataförvaltningsförordningen påverkar inte nationella bestämmelser om sekretess, inte heller sådan sekretess som avser de kategorier av skyddade data som kapitel II tar sikte på. Det innebär att vissa bestämmelser i offentlighets- och sekretesslagen (2009:400), förkortad OSL, som till exempel statistiksekretess och affärssekretess samt dataskyddssekretess i 21 kap. 7 § OSL inte påverkas, utan ska tillämpas på samma sätt som i dag även efter att dataförvaltningsförordningen börjat tillämpas.
I skäl 7 beskrivs olika tekniker som kan användas för att skydda eller ta bort personuppgifter ur en datamängd såsom exempelvis generalisering, undertryckande och randomisering (för beskrivning av dessa begrepp se även kapitel 3). Om en myndighet skulle bearbeta känsliga uppgifter med någon av dessa metoder så skulle resultatet av bearbetningen sannolikt anses vara en ny handling skild från handlingen med de känsliga uppgifterna i obearbetad form.
De moderna metoder som avses i dataförvaltningsförordningen skiljer sig från traditionell maskning enligt svensk sekretesslagstiftning
där det vanligen är den handling där de känsliga uppgifterna ursprungligen finns i som blir föremål för utlämnande. Bearbetningen, det vill säga användandet av nämnda metoder, torde aldrig kunna ses som sådana rutinbetonade åtgärder som avses i 2 kap. 6 § andra stycket tryckfrihetsförordningen. Någon skyldighet att använda metoderna och i praktiken framställa nya handlingar eller data som kan göras tillgänglig för vidareutnyttjande finns inte, varken i dataförvaltningsförordningen eller i svensk rätt (Ds 2023:24 Genomförande av EU:s dataförvaltningsförordning s. 85).
9.3. Nationell lagstiftning om bevarande och gallring
Svenska myndigheter, kommunala företag och vissa andra organ är enligt arkivlagen (1990:782) skyldiga att bevara sina allmänna handlingar. Myndighetens arkiv bildas av allmänna handlingar från myndighetens verksamhet och sådana handlingar som avses i 2 kap. 12 § tryckfrihetsförordningen och som myndigheten beslutar ska tas om hand för arkivering. Myndigheternas arkiv är en del av det nationella kulturarvet. Arkiven ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov (3 § arkivlagen).
I förarbetena till dataskyddslagen har regeringen uttalat att det står klart att behandling av personuppgifter som utförs för att uppfylla de krav som ställs i arkivlagen och anslutande föreskrifter måste anses ske för arkivändamål av allmänt intresse. Den behandling av personuppgifter som myndigheter och andra utför när de i enlighet med föreskrifter om arkiv arkiverar sina handlingar utgör således en vidarebehandling som sker för arkivändamål av allmänt intresse. Behandlingen i arkiv ska enligt artikel 5.1 b i dataskyddsförordningen inte anses som oförenlig med de ursprungliga ändamålen. Det krävs då inte någon annan rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs (se skäl 50 till dataskyddsförordningen och prop. 2017/18:105 s. 110 f.)
Myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser 1) rätten att ta del av allmänna handlingar, 2) behovet av information för rättskipningen och förvaltningen, och 3) forskningens behov (3 § tredje stycket arkivlagen). Utgångspunkten enligt
arkivlagen är alltså att allmänna handlingar ska bevaras för framtiden (detta kallas ibland evig bevarandetid). Av 10 § arkivlagen följer dock att allmänna handlingar får gallras. Med gallring avses att handlingar sorteras ut och förstörs. Vid gallring från upptagningar för automatisk databehandling raderas information från det fysiska underlaget. Att föreskriven gallring sker är viktigt både av integritetsskäl och av ekonomiska skäl. Gallring på den statliga sidan sker med stöd av föreskrifter eller särskilda beslut av Riksarkivet. Gallringsföreskrifter för kommunala eller regionala myndigheter meddelas i allmänhet av kommunerna eller regionerna själva2.
I förarbetena till arkivlagen anges att gallringen utgör en praktisk nödvändighet. Utan den skulle arkivmaterialet växa i en omfattning som vore ohanterlig, utan att det skulle medföra några fördelar från insyns- eller informationssynpunkt. Tvärtom skulle arkiven bli mer svårhanterliga. Gallringen syftar till att arkiven inte ska tyngas av handlingar som saknar påtagligt informationsvärde, som bara utgör en dubblering av information som bättre kan sökas i ett annat arkiv eller som har ett informationsvärde som är markant begränsat i tiden. Vid gallring ska alltid beaktas att arkiven utgör en del av kulturarvet. Det arkivmaterial som återstår ska kunna tillgodose de ändamål som anges i 3 § tredje stycket arkivlagen. Även efter en genomförd gallring måste arkiven kunna tillgodose rätten att ta del av allmänna handlingar, rättskipningens och förvaltningens behov och forskningens behov (se prop. 1989/90:72 s. 42).
Det är den arkivbildande myndigheten som verkställer föreskriven gallring i arkivet (6 § arkivlagen). Av 8 § andra stycket arkivlagen framgår att kommunstyrelsen är arkivmyndighet i kommunen och regionstyrelsen i regionen, om inte kommunfullmäktige eller regionfullmäktige har utsett någon annan nämnd eller styrelse till arkivmyndighet.
Huvudregeln är alltså att allmänna handlingar ska bevaras i myndigheternas arkiv med en evig bevarandetid. Gallring får dock under vissa förutsättningar ske. Avvikande gallringsbestämmelser i lag eller förordning tar över arkivlagens regler om bevarande och gallring (10 § tredje stycket arkivlagen). Särskilda gallringsregler finns till exempel i de registerlagar som reglerar personregister på integritetskänsliga områden.3
2 Adlercreutz, Arkivlag (1990:782) 10 §, Karnov (JUNO)(besökt 2023-09-14). 3 Adlercreutz, Arkivlag (1990:782) 10 §, Karnov (JUNO)(besökt 2023-09-14).
ANALYS, ÖVERVÄGANDEN
OCH FÖRSLAG
10. Internationell jämförelse
10.1. Inledning
I detta kapitel har utredningen fokuserat på en internationell utblick. Syftet har varit att försöka väga Sveriges situation och nivå mot andra jämförbara länder på hälsodataområdet. Utredningen har även försökt ringa in vad Sverige kan lära sig av andra länder. Utredningen har i jämförelsen tittat närmare på automatiserad databehandling, nationellt tillgängliga medborgartjänster, teknisk och semantisk interopabilitet, samt nationell digital infrastruktur.
Eftersom området är så pass stort och komplext finns det många dimensioner och perspektiv där ett land kan vara bättre eller sämre i relation till ett annat. Samtidigt finns många faktorer som samvarierar och påverkar varandra, vilket gör att det är svårt att jämföra hela eller enskilda delar av hälsodataområdet. Utredningen har dock försökt att i så stor mån det är möjligt att fokusera på insatser som andra länder gjort och sätta det i en kontext för att på så vis försöka kunna estimera hur lång tid det skulle ta för Sverige att uppnå ett liknande resultat, givet den svenska kontexten. För att göra detta har utredningen försökt kvantifiera i år som Sverige ligger efter föregångsländerna, syftet med det är att försöka konkretisera insatserna som behöver göras framgent i ett policycykelperspektiv. Utredningen vill poängtera att bedömningarna i detta kapitel endast är uppskattningar från utredningens håll och vill understryka att det är svårt att göra jämförelser mellan länder på ett så pass stort och vagt definierat område som hälsodataområdet är.
10.2. Allmänna utgångspunkter
Sverige ser sig och har historiskt sett sig som ett land med god tillgång till hälsodata. Utredningens bedömning är att det är svårt att använda ett eller ett fåtal mått för att avgöra om ett land kan klassas som i framkant vad gäller tillgång till och användning av hälsodata. Flera mätningar, så som indexet för digital ekonomi och digitalt samhälle (DESI) är oftast generella och fokuserade på historiskt viktiga indikatorer, eller indikatorer som kanske är viktiga för länder som inte kommit så långt i sin digitala utveckling. Ett exempel på en sådan indikator är andelen kvinnor respektive män som använder internet. I Sverige är andelen som använder internet 95 procent bland både kvinnor och män1och det finns inget som tyder på att det kommer ändras framöver.
Ett mer informativt mått skulle kunna vara hur många personer under 18 år som kan programmera. Ett annat skulle kunna vara vilka länder som har handlingsplaner för att möt de behov av färdigheter som kommer av omställningen till en datadriven ekonomi. Av denna anledning är det svårt att göra en mer kvantifierbar jämförelse mellan olika länder och det är svårt att bedöma hur Sverige står sig gentemot andra länder.
Om två eller flera olika länder ska jämföras så är det också viktigt att fastställa om det som jämförs är hur situationen ser ut just nu eller om det är prognosen över utvecklingen som jämförs. Utredningens bedömning är att det finns ett antal rapporter som belyst nuläget men att nuläget inte är så intressant ur ett policyperspektiv. Enligt utredningen är det viktigare att försöka förstå hur Sverige kommer ligga till i framtiden inom användning av hälsodata, jämfört med andra länder.
Det finns olika sätt att gå till väga för att studera framtiden. En metod är genom att göra prognoser. Det finns en mängd olika sätt att göra prognoser på och utredningen kommer inte gå in i detalj på det. I korthet kan dock sägas att ofta baseras en prognos på historiska data och trender. Prognoser kan även kompletteras med exempelvis kvalificerade gissningar gällande större förändringar i framtiden som prognosmakaren bedömer kommer påverka utfallet. Förslaget till EHDS är ett sådant exempel på en händelse som sannolikt kommer ske i framtiden och som förhoppningsvis kommer ha en positiv effekt
1 Europeiska kommissionen, 2021, Women in Digital Scoreboard 2021.
på trenden för användning av hälsodata, både inom och över landsgränser, oaktat de olika medlemsländernas tidigare situation.
En annan metod är backcasting. Backcasting kan beskrivas som en ansats eller en metod inom framtidsstudiefältet där man vänder på perspektiven, i stället för att utgå från nuet och sedan analysera framtiden, utgår man från hur det skulle kunna vara i framtiden för att öka förståelse för hur beslut i nuet skulle kunna påverka framtiden.2
Utredningen bedömer att det inte finns några sammanställda data av hög kvalitet som på ett tillförlitligt och tillfredsställande sätt kan beskriva vare sig nuläget eller trenden inom hälsodataområdet. Därmed bedömer utredningen att det behövs både en prognos för att beräkna tidshorisonten och en backcasting för att analysera vad som kan komma att behöva göras för att Sverige ska kunna nå målbilden som EU-kommissionen pekat ut.
Utredningen bedömer också att hälsodataområdet är ett så kallat komplext system, vilket gör att det sannolikt inte kommer finnas uppdaterade och relevanta data som kan beskriva komplexiteten på hälsodataområdet, åtminstone inte i vår direkta närtid. Det här talar ytterligare för att det inte är lönt att utredningen själv försöker sammanställa sådan data utan i stället försöka resonera kring vilka de övergripande utmaningarna är och vilka de kritiska besluten kommer vara för att Sverige ska kunna rankas högt inom hälsodataområdet. En hög rankning i sig självt är inget självändamål, däremot finns det en risk kopplat till att medborgare upplever att den offentligt finansierade vården inte kan hantera data på samma sätt som övriga samhället och därmed inte dra nytta av fördelarna med dataanvändning.
10.3. Bedömning av Sveriges position i förhållande till relevanta jämförelseländer
En prognos om hur många år Sverige ligger efter andra länder som ligger i framkant är endast en grov uppskattning från utredningens håll. Det finns inget facit för den här typen av bedömning utan är endast avsett att ge en indikation och ungefärlig uppskattning som ska kunna sättas i förhållande till vad som kan vara rimligt att åstadkomma under en mandatperiod.
2 Alm, S., Palme, J., & Westholm, E. 2012. Att utforska framtiden: valda perspektiv. Dialogos Förlag.
Estimeringen kan göras på olika sätt, men utredningen har valt att göra enligt följande.
Utredningen gjorde bedömningen ett år innan betänkandet publicerades, om inga åtgärder gjorts mellan det att utredningen gjorde sin bedömning och publicering så lägger detta till ett år till estimatet. Intervallet för denna del är 0–1 år.
Från det att problemet blir känt för regeringen så tar det olika lång tid för regeringen att agera på informationen, vilket beror på en rad olika faktorer. Men generellt kan sägas att om ändringen är av sådan typ av den kräver lagändring så görs detta två gånger om året och föregås av beslutsprocess. Därav skulle ett initiativ som kräver lagändring ta, från identifierat problem till det att direktiven är beslutade innebära cirka 0,5–1 år. Det går att göra snabbare, men utredningen har ingen anledning att tro att hälsodatafrågorna skulle vara så akuta så att de togs utanför ordinarie processer. Till detta tillkommer själva utredningstiden på 1–2 år. Därefter påbörjas lagstiftningsprocessen i Regeringskansliet. Hur lång tid denna tar beror på en rad olika faktorer, men utredningen har valt att anta att det tar 1–2 år från att betänkandet levereras till dess att propositionen läggs fram för riksdagen. Beroende på vad det är för förslag så tillkommer olika lång ikraftträdandetid. Eftersom flera av förslagen på hälsodataområdet rör kommunsektorn och exempelvis deras journalsystem så krävs ofta i alla fall ett år. Sammantaget blir då lagstiftningsprocessen 3,5–6 år från initiativ till dess att lagen träder ikraft.
Om initiativet kräver reformmedel, vilket är fallet för hälsodataområdet, behöver det beslutas om i budgetpropositionen. Även här skulle det kunna beslutas i höst- och vårändringsbudgeten, men utredningen har även här ingen anledning att tro att hälsodatafrågorna skulle vara så akuta att de beslutades om medel rörande hälsodata i ändringsbudgetarna. Beroende på när problemet blir känt för regeringen så tar det upp emot ett år till nästa budgetproposition. Intervallet här blir därmed 0,5–1 år.
Ett problem med hälsodataområdet är att det är väldigt komplext, har många ömsesidiga beroenden och kräver infrastruktursatsningar, som inte sällan tar lång tid och är kostsamma (se exempelvis SOU 2021:71).
Ett annat verktyg som regeringen har är myndighetsstyrningen och ett myndighetsuppdrag kan tas fram på några få veckor och uppdragstiden kan variera men är ofta runt ett år.
En utmaning på hälsodataområdet är att det inte sällan krävs utredning antingen i form av ett myndighetsuppdrag eller en statlig utredning. Därefter krävs det reformmedel och att infrastruktur byggs. Utredningen anser att det inte är orimligt att anta att det i samband med det uppdagas nya behov av lagstiftning eller att det i vissa fall inte går att lagstifta om något innan infrastrukturen är byggd. Exempelvis kan utredningen inte lämna författningsförslag för datahubben eftersom en sådan inte finns. Detta gör att det först kommer krävas utredning, vilken kan ta 3,5–6 år, följt av beslut av budgetproposition och myndighetsuppdrag, vilket då tar ytterligare 1–1,5 år. Följt av ytterligare ett lagstiftningsärende på 3,5–6 år. Utredningens bedömning är dock att vissa saker går att göra parallellt åtminstone delar av tiden och bedömer inte att spannet blir 8–13,5 år, samtidigt är det inte så mycket som går att göra parallellt. Utredningen bedömer att det därför krävs cirka 4,5–7 år bara för att ta fram något som liknar exempelvis Findata (se avsnitt 10.4) eller den franska datahubben (se avsnitt 10.3.11). Eftersom det enligt utredningens bedömning kommer krävas åtminstone två på varandra följande lagstiftningsärenden.
Att studera framtiden innebär av naturliga skäl att det finns en stor grad av osäkerhet. Exempelvis är det svårt för utredningen att bedöma på vilket sätt Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om ett europeiskt hälsodataområde COM(2022) 197 final av den 3 maj 2022, förkortad förslaget till EHDS, kommer att påverka estimeringen. Därutöver tillkommer politiska prioriteringar, prioriteras frågorna högt kan det gå snabbare, prioriteras de lågt kan det ta längre tid.
Utredningen har valt att utgå ifrån länder som på ett eller annat sätt sticker ut och har lyckats ta fram system, lösningar eller modeller som skapar nytta med hjälp av hälsodata eller som underlättar vidareanvändande av hälsodata. Fokus kommer ligga på europeiska länder eller andra länder som på annat sätt bedömts vara jämförbara med Sverige. Utredningen har valt ut ett antal rapporter från större internationella aktörer så som OECD och EU-kommissionen, relevanta myndighetsrapporter samt gjort egna bedömningar.
10.3.1. OECD
Under 2021 publicerade OECD en undersökning hur infrastrukturen och styrningen för hälsodata såg ut i de olika länderna.3 Undersökningen fokuserar primärt på två utfallsmått, det ena är tillgång till data, det andra är styrningsmodell. På tillgång till data fick Sverige ett betyg på 6,84 av 8 möjliga, att jämföras med medelvärdet som ligger på 5,41 och där Danmark, som fått högst poäng ligger på 7,77. Utredningen bedömer att resultaten i denna jämförelse ska tolkas med försiktighet, då denna bedömning baseras på ländernas tillgång på data gällande diabetes och hjärt- och kärlsjukdomar och därav inte representerar datatillgången i allmänhet. De två kvalitetsregistren som har data över diabetes och hjärt- och kärlsjukdomar kan anses vara bland de mest utvecklade kvalitetsregistren som Sverige har. Det finns skillnader mellan register och alla är inte lika välutvecklade som dessa två.
På styrmodeller får Sverige en poäng på 10,22 av totalt 15, vilket är samma som medelvärdet för de jämförda länderna. Betyget kan jämföras med Danmark, som är det land som fått högst poäng och fått 14,90 av 15 poäng. Även vad gäller styrningsmodell bedömer utredningen att resultaten är svåra att dra några större generella slutsatser ifrån. Det beror på flera orsaker, bland annat att det är ett litet antal frågor som ställts, inom ett förhållandevis smalt område. Därutöver rör frågorna ett begränsat antal datamängder vilka utredningen inte bedömer är representativa för Sverige och därmed sannolikt inte representativa för de andra jämförbara länderna heller.
Slutligen bedömer utredningen att det är svårt att dra några generella slutsatser utifrån denna jämförelse, men kan konstatera att jämförelsen stödjer bedömningen att Sverige historiskt haft god datatillgång, men lite eller inget om nutidens eller framtidens behov och tillgång till data.
10.3.2. EU
Under det franska ordförandeskapet i EU:s ministerråd första halvåret 2022 lät det franska hälsoministeriet företaget EY göra en nationell jämförelse mellan medlemsländerna.4 Rapporten är en så kallad
3 Oderkirk J. (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/55d24b5den. 4 https://ue.esante.gouv.fr/sites/default/files/202207/Final%20Report%20of%20the%20stu dy%20on%20digital%20health.pdf (Hämtat 2023-03-30).
skrivbordsanalys, som bygger på publika källor och inte på intervjuer. Utredningens bedömning är att rapporten innehåller flertalet felaktigheter gällande Sverige, exempelvis att Sverige har en lagstiftning för vidareanvändning av hälsodata och att Sverige har ett tvingande regelverk för interoperabilitet. Eftersom båda dessa frågor utreds för närvarande så kan utredningen konstatera att denna rapport inte kan användas för att jämföra hur de olika länderna ligger till i förhållande till varandra och utredningen har inte hittat några andra tillförlitliga och relevanta data från EU som går att använda för att göra en relevant jämförelse mellan länderna.
10.3.3. Global digital health partnership
Global digital health partnership (GDHP) är ett samverkansprojekt mellan en mängd stater och projektet syftar till att vara en internationell plattform där länder kan lära av varandra inom hälsodataområdet. (GDHP) gjorde i juli 2020 en jämförelse mellan olika länder och hur långt de kommit med sitt arbete med interoperabilitet på hälsodataområdet.5 I deras jämförelse fick länder svara på frågor rörande hur höga de upplevde att hindren var inom interoperabilitetsområdet. Skalan går från 0 till 3 där 0 betyder att det inte finns några hinder och utmaningar, medan 3 betyder att det finns höga hinder och stora utmaningar. Ett medelvärde räknades sedan fram per land samt ett medelvärde för samtliga länder.
Sverige fick ett medelvärde på 2,2 vilket är högst av alla de 22 jämförda länderna. Medelvärdet för länderna som ingick var 1,32. Av jämförelsen kan det även konstateras att Sverige har ett dåligt resultat på frågor rörande förvaltningsmodell, enhetlighet och reglering.
10.3.4. TEHDAS
Finska Sitra koordinerar ett EU-projekt som heter Towards European health data space (TEHDAS) där 25 länder deltar. En arbetsgrupp inom TEHDAS har besökt tolv medlemsländer och sammanställt ett underlag per land gällande varje lands förberedelser inför förslaget till
5 Rucker, D., Hasan, A., Lewi,s L., Tao, D. Advancing Interoperability Together Globally: GDHP White Paper on Interoperability; July 2020. Sydney, Australia.
EHDS.6 Utredningens bedömning är att de faktablad som TEHDAS låtit ta fram är de mest nyanserade och korrekta sammanställningarna av alla de jämförelser som gjorts mellan några av EU:s medlemsländer. Utredningen har valt att inte redogöra för samtliga 12 länder som TEHDAS intervjuat, utan kommer i stället redogöra för ett urval som utredningen bedömer är av särskilt intresse.
Länderna som utredningen valt att titta närmare på är Danmark, Estland, Finland och Tyskland. Danmark och Finland är av intresse eftersom de nordiska länderna sannolikt är de som liknar varandra mest. Estland har valts eftersom de ofta lyfts fram som ett föregångsland och Tyskland eftersom utredningen bedömer att Tyskland likt Sverige har en hög grad av decentralisering och därmed liknande utmaningar.
I korthet kan sägas att Sverige har liknande utmaningar som de andra länder som TEHDAS varit i kontakt med. Kompetensbrist lyfts av i stort sett samtliga länder, brist på infrastruktur och fungerande styrningsmodell lyfts av flera om än inte alla. 7 Generellt sett kan också sägas att länderna ställer sig positiva till förslaget till EHDS, men de flesta länderna ser också risker med förslaget till EHDS om inte vissa begrepp och skrivningar i förslaget förtydligas. Flera länder ser också risker kopplat till bristande finansiering för att få till stånd den infrastruktur som förslaget till EHDS kommer att kräva.8
10.3.5. Myndighetsrapporter
Utredningen har valt att framför allt utgå ifrån två myndighetsrapporter från Myndigheten för vård- och omsorgsanalys (hädanefter Vårdanalys) eftersom dessa är de två senaste rapporterna som utredningen kunnat identifiera som specifikt tittar på hälsodata och strukturreformer inom hälso- och sjukvården. Det finns andra myndighetsrapporter som gör internationella jämförelser, men dessa fokuserar ofta på en specifik del av hälsodataområdet och inte på hälsodataområdet i stort.
6 https://tehdas.eu/packages/package-4-outreach-engagement-and-sustainability/tehdascountry-visits/ (Hämtat 2023-04-04). 7 Se exempelvis avsnitt Resources (human, technical, financial) i respektive lands faktablad. https://tehdas.eu/packages/package-4-outreach-engagement-and-sustainability/tehdascountry-visits/ (Hämtat 2023-04-04). 8 Se avsnitt European Health Data Space (EHDS) i respektive lands faktablad. https://tehdas.eu/ packages/package-4-outreach-engagement-and-sustainability/tehdas-country-visits/ (Hämtat 2023-04-04).
Ökad precision i Europa
Vårdanalys analyserade i sin rapport sju europeiska länders satsningar på precisionsmedicin och hälsodata och rapporten publicerades 2021.
I korthet anger myndigheten att de tre länderna som ligger i framkant inom hälsodata är Danmark, Finland och Island och att gemensamt för länderna är statliga nationella satsningar på infrastruktur som kompletteras med lagstiftning med tydliga krav på exempelvis anslutning till infrastrukturen.
I rapporten har myndigheten också lyft fyra andra internationella jämförelser. Av dessa två bedömer utredningen att det finns två som är relevanta för utredningens jämförelse, de två som sållats bort är en rapport från E-hälsomyndigheten som fokuserar på invånarens tillgång till hälsodata och den andra är en rapport från The commonwealth fund som fokuserade på primärvårdsläkare, där tre av utfallsmåtten rörde hälsodata. Utredningen bedömer att dessa två jämförelser inte är relevanta för denna jämförelse, eftersom de berör två nischade delar av hälsodataområdet. Nedan följer en kort redogörelse för de två rapporter som utredningen bedömt är relevanta för jämförelsen.
Mirror, mirror 2021: Reflecting poorly – Health care in the U.S. compared to other high-income countries
I denna undersökning från 2021 rankas 11 länder, bland andra Nederländerna, Norge, Storbritannien och Tyskland samt Sverige. Jämförelsen gäller bland annat administrativ effektivitet som mäts i fem indikatorer. Fyra av indikatorerna avser mängden administration för primärvårdsläkare och den femte mäter hur stor andel av patienter som vänt sig till akuten i stället för exempelvis en vårdcentral till följd av att vårdcentralen inte var öppen eller tillgänglig. Sverige hamnar på plats 7 av 11 i jämförelsen när de olika indikatorerna läggs samman. Det är svårt att dra några långtgående slutsatser ifrån jämförelsen eftersom det inte var administration i sjukvården som jämfördes. Däremot ger det en indikation på att primärvårdsläkare i Sverige i förhållande till jämförelseländerna spenderar mycket tid på administration.
Tabell 10.1 Tabell som visar ländernas ranking inom varje mätområde
samt genomsnittlig ranking
Land Tillgång
till vård
Vårdprocess Administrativ
effektivitet
Jämlikhet Medicinska
resultat
Genomsnittlig ranking
AUS
8
6
2
1
1
3
CAN
9
4
7
10 10
10
FRA
7 10
6
7
6
8
GER
3
9
9
2
7
5
NETH
1
3
8
5
4
2
NZ
5
1
3
9
8
6
NOR
2
8
1
8
2
1
SWE
6 11
5
6
5
7
SWIZ
10
7
10
3
3
9
UK
4
5
4
4
9
4
US
11
2
11
11 11
11
Källa: Eric C. Schneider et al., Mirror, Mirror 2021 — Reflecting Poorly: Health Care in the U.S. Compared to Other High-Income Countries (Commonwealth Fund, Aug. 2021). https://doi.org/10.26099/01DV-H208.
A vision of a nordic secure digital infrastructure for health data: the nordic commons
I NordForsks rapport bedöms Danmark, Norge, Finland och Sverige. status för sju olika typer av data uppfyller FAIR-principerna (Findable, Accessible, Interoperable, Reusable, se avsnitt 3.4.12). Typerna av data som jämförs är
1. Hälsodataregister,
2. Kvalitetsregister,
3. Biobanker,
4. OMICS,
5. Laboratoriedata,
6. Forskningsdata inom hälsa,
7. Socioekonomiska register.
I fyra av datatyperna har Danmark kommit längst, i en har Norge kommit längst, i en annan bedöms Danmark, Norge och Finland ha kommit lika långt. För ytterligare en datatyp bedöms samtliga fyra
länder ha kommit lika långt. I två datatyper ligger Sverige ensamt sist. De olika typerna och Sveriges status redogörs för i tabellen nedan. Jämförelsen ska tolkas med försiktighet, det ger dock en indikation på att Sverige inte arbetat eller åtminstone inte lyckats lika bra med att få ner transaktions- och insamlingskostnaderna för sina hälsodatamängder lika mycket som de andra nordiska länderna.
Tabell 10.2 FAIR-status för olika typer av hälsodata i Danmark,
Sverige, Finland och Norge
Ljusgrå = Acceptabelt, grå = Arbete pågår, Mörkgrå = Inte tillfredställande
Domän
Land Finadble Accessible Interoperable Reusable
Hälsodataregister Danmark
Sverige
Finland
Norge
Kvalitetsregister
Danmark
Sverige
Finland
Norge
Biobanker
Danmark
Sverige
Finland
Norge
OMICS
Danmark
Sverige
Finland
Norge
Laboratoriedata
Danmark
Sverige
Finland
Norge
Forskningsdata inom hälsa
Danmark
Sverige
Finland
Norge
Socioekonomiska register
Danmark
Sverige
Finland
Norge
Källa: NordForsk, 2019, A vision of a Nordic secure digital infrastructure for health data: The Nordic Commons.
Strukturreformer i hälso- och sjukvårdssystem
I korthet konstaterar Vårdanalys att de mest genomgripande förändringarna som skett av svensk hälso- och sjukvård skedde under perioden 1960–1992, vilka ökade decentraliseringen.
Strukturreformerna i Danmark och Norge har fokuserat på ökad centralisering och myndigheten konstaterar sammanfattningsvis att den ökade graden av statlig styrning och större regioner tycks ha lett till följande effekter:9– Färre och större sjukhusorganisationer. – Blandade effekter på förmågan att koncentrera specialiserade be-
handlingar. – Ökad produktivitet. – I vissa avseenden kortare väntetider. – Vissa positiva effekter på geografisk likvärdighet. – Utmaningar i att skapa sammanhållen och förebyggande vård. – Vissa positiva effekter på forskning och infrastruktur. – Signaler om minskad lokaldemokrati men ökat patientinflytande.
Gällande den danska strukturreformen konstaterar myndigheten att byråkratiseringen minskat:
Den samlade bedömningen av den danska kommunalreformen från 2007 är att den har lett till mindre byråkrati och att den genom hälsoavtalen har skapat förutsättningar för bättre ansvarsfördelning, kommunikation och samordning av vården mellan olika myndigheter.10
Myndigheten konstaterar också att det haft positiva effekter för ett mer sammanhållet it-system, vilket generellt är positivt för möjligheten att använda hälsodata.11
Det utökade mandatet att styra och koordinera sjukhusvården har också lett till ett mer sammanhållet it-system. I och med etablerandet av regioner utvecklades ett enhetligt it-system för varje region. Det har gett
9 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem, s. 27. 10 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem, s. 66. 11 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem, s. 70.
förutsättningar för ett mer effektivt informationsutbyte och därmed en mer sammanhängande vård. Tidigare hade varje landsting egna system för till exempel elektroniska patientjournaler.
10.3.6. Estland
Ett land som återkommande lyfts när det kommer till att använda hälsodata är Estland. Estland påbörjade sitt arbete med att digitalisera sin offentliga sektor 1994 i samband med beslutet om principerna för informationspolicy för Estland.12 År 2008 infördes ett nationellt system för att integrera data för vårdgivare i Estland. Detta mål liknar den målbild som EU-kommissionen presenterat i förslaget till EHDS, men även i meddelanden från EU-kommissionen (COM(2018) 233 final). Det ligger också i linje med den målbild som utredningen presenterade i sin promemoria till regeringen om att skapa en nationell digital infrastruktur (se bilaga 4 Promemoria med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet).
Under antagandet att målbilden skulle kunna uppnås enbart genom att förslagen som utredningen lämnat i sin promemoria samt att pågående utredningar leder till nödvändiga lagändringar, skulle en sådan process troligtvis vara klar som tidigast 2026. Denna uppskattning baserar utredningen på att Utredningen om infrastruktur för hälsodata som nationellt intresse (S 2022:10) ska lämna sitt slutbetänkande senast 30 april 2024. Därefter tillkommer beredning i Regeringskansliet fram till dess att en proposition kan lämnas över till beslut i riksdagen. Det är vidare rimligt att anta att enbart perioden för ikraftträdandet sannolikt kommer ligga på upp emot ett år. Baserat på dessa antaganden skulle Sverige ligga minst 18 år efter Estland gällande att ha en nationellt fungerande digital infrastruktur för hälsodata med hög grad av teknisk och semantisk interoperabilitet, med tillhörande digitala medborgartjänster. Detta är dock en grov jämförelse som förmodligen överskattar hur långt efter Sverige ligger Estland, men det ger en indikation på ungefär hur Sverige förhåller sig till Estland.
I GDHP:s jämförelse ligger Estland på 0,8 i snitt jämfört med Sveriges 2,2. Detta styrker att Sverige ligger efter Estland, men det är svårt att kvantifiera hur långt efter i tid Sverige ligger endast baserat på dessa data.
12 https://e-estonia.com/story/ (Hämtat 2023-03-30).
I OECD:s jämförelse får Estland 6,09 av 8 poäng gällande datatillgänglighet och 9,44 poäng av 15 gällande styrningsmodell, att jämföra med Sveriges 6,84 respektive 10,22 poäng. Resultaten indikerar att Sverige fortsatt står sig bra gentemot Estland avseende datatillgång och att länderna ligger förhållandevis lika avseende styrmodell.
Även här är det svårt att göra en uppskattning av hur Sverige förhåller sig till Estland kvantifierat i tid, det beror också på vad det är som mäts.
Utredningens slutsats är att Estland ligger före Sverige vad gäller infrastruktur för hälsodata och att Estland utvecklas i en snabbare takt än Sverige, men att Sverige i dagsläget har en bättre datatillgång på vissa områden än vad Estland har. Utredningen bedömer dock att det försprånget kommer vara borta inom några år till följd av att Estland har bättre förutsättningar för en skalbar och effektiv datainsamling.
10.3.7. Danmark
Danmark finns inte med i GDHP:s jämförelse, men är med i både TEHDAS kartläggning och i OECD:s jämförelse.
I OECD:s jämförelse får Danmark 7,77 av 8 poäng på tillgång till data13, att jämföra med Sveriges 6,84. På styrmodeller får Danmark en poäng på 14,90 av 15, att jämföra med Sveriges 10,22.14 Resultaten är väntade eftersom datamängderna som analyseras i delen om tillgång till data är begränsade och avser om än centrala datamängder, datamängder som flera av de nordiska länderna samlat in under många år. Det är inte heller oväntat att Danmark får ett bättre resultat gällande styrmodell eftersom Danmark, likt Finland, Norge och Estland gjort stora strukturreformer i närtid som bland annat syftat till starkare statlig styrning och i de hänseenden som rör styrmodeller för hälsodata saknar Sverige en sådan motsvarande statlig styrmodell. Sveriges nuvarande modell bygger i stor utsträckning på frivillighet.15
13 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 34. 14 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 75. 15 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem. Erfarenheter från Danmark, Norge, England och Nederländerna.
Av TEHDAS kartläggning anger Danmark varken decentralisering, bristande eller svag styrning som ett problem16, vilket sannolikt beror på den strukturreform som genomfördes i Danmark 2007, vars ena syfte bland annat var att stärka statens styrning.17 Därtill så etablerade Danmark den statliga myndigheten Sundhetsdatastyrelsen 2015 i syfte att skapa ett sammanhängande system för hälsodata och digitala lösningar till nytta för patienter och kliniker samt forskning och administration inom hälso- och sjukvården. Myndigheten omsatte år 2020 drygt 400 miljoner danska kronor, varav 300 miljoner var anslagsfinansierat. Danmark har därtill tagit fram en handlingsplan för en nationell forskningsinfrastruktur kopplat till hälsodata.18
Av det ovan beskrivna är det svårt att estimera hur långt före Danmark ligger, men Danmark har dels gjort en strukturreform 2007, vilket regeringen aviserat att även Sverige ska utreda med start 2023 (prop. 2022/23:1 Utgiftsområde 9 s. 46). Det är rimligt att anta att en sådan reform skulle vara utredd och beslutad om som tidigast fyra år, vilket skulle innebära att Sverige gör en liknande reform som Danmark cirka 20 år senare.
Danmark etablerade 2015 den statliga myndigheten Sundhedsdatastyrelsen i syfte att skapa sammanhängande hälsodata och digitala lösningar till nytta för patienter och kliniker samt forskning och administration inom hälso- och sjukvården.19 Utredningens bedömning är Danmarks lösning är liknande de lösningar som utredningen föreslog i sin promemoria (se bilaga 4 Promemoria med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet
Baserat på antagandet att Regeringen skulle välja att bygga upp en nationell digital infrastruktur i år så är Sverige ungefär åtta år efter Danmark.
Sammanfattningsvis kan sägas att Sverige ligger efter Danmark på hälsodataområdet i de flesta hänseendena, både gällande datatillgång, effektiv datainsamling och datadelning. Utredningens väldigt grova uppskattning är att Sverige ligger någonstans emellan 4 och 20 år efter Danmark. Utredningens bedömning är att det gissningsvis rör sig om cirka 10 års utveckling för att komma till den nivå som Danmark är på nu, men att det framför allt beror på strukturreformen och att Sverige
16 TEHDAS, 2022, Country visit – Denmark. 17 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem. Erfarenheter från Danmark, Norge, England och Nederländerna. 18 Myndigheten för vård- och omsorgsanalys, 2021, Ökad precision i Europa. 19 Myndigheten för vård- och omsorgsanalys, 2021, Ökad precision i Europa, s. 30.
teoretiskt skulle kunna komma upp i en liknande nivå på 6–8 år med en aggressiv reformagenda.
Vad gäller Danmarks utvecklingstakt så är den svår att bedöma och utredningen kan bara konstatera att utvecklingstakten i Danmark på detta område är snabbare än i Sverige.
10.3.8. Norge
Norge ingår inte i GDHP:s jämförelse, men ingår däremot i OECD:s jämförelse. I den jämförelsen får Norge 5,91 av 8 poäng gällande tillgång till hälsodata, jämfört med Sveriges 6,84.20 Avseende styrmodell så rankar Norge näst lägst av samtliga jämförda länder och får där 6,90 av 15 poäng, att jämföra med Sveriges 10,22.21
Norge genomförde 2002 en strukturreform som centraliserade sjukhusvården. Ett par av reformens syften var att korta ner väntetiderna och skapa bättre förutsättningar för nationella it-system och stärka förutsättningarna för forskning och utveckling och få till en bättre koordinering av sjukhusinvesteringar. Även om det funnits negativa effekter av reformen så har den inneburit en positiv effekt på just väntetiderna, förutsättningarna för forskning och utveckling för att nämna några av de positiva effekterna.22
Norge beslutade 2013 om en hälso- och omsorgsstrategi med satsningar på hälsodata som en nationell tillgång. Därefter tillsattes en utredning 2016, som slutrapporterade 2017, där bland annat förslag om en datahubb lämnades. En plattform började byggas 2020 med planen att lanseras 2022, men pausades 2021 till följd av Schrems IIdomen och det är i dag oklart när plattformen ska vara klar.23
Norge beslutade också 2002 i samband med strukturreformen om en nationell branschstandard för hälsodata,24 vilket liknar det uppdrag som Utredningen om infrastruktur för hälsodata som nationellt intresse (S 2022:10) har.
20 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 34. 21 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 75. 22 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem. Erfarenheter från Danmark, Norge, England och Nederländerna, s. 92. 23 https://www.ehelse.no/aktuelt/setter-arbeidet-med-helseanalyseplattformen-pa-pause (Hämtat 2023-04-06). 24 https://www.ehelse.no/normen/om-normen (Hämtat 2023-04-06).
Även om Sverige och Norge liknar varandra på många sätt genomförde Norge en större strukturreform redan 2002, men till skillnad från exempelvis Danmark, Frankrike och Storbritannien så centraliserades endast sjukhusvården. Den ökade centraliseringen av specialistvården verkar dock ha lett till ökade förutsättningar för användning av hälsodata, även om den decentraliserade primärvården verkar försvåra dataförsörjningen. Av den anledningen är det svårt att jämföra hur Sverige ligger till i förhållande till Norge.
Norge verkar ha större utmaningar med vissa delar så som datatillgång, men har kommit längre vad gäller interoperabilitet och datadelningstjänster. Utredningens bedömning är därför att Sverige och Norge ligger både före och efter varandra fast inom olika delar av hälsodataområdet. Norge har en starkare utvecklingstrend och deras arbete med datatillgång, uppdateringsfrekvens och kostnaden för datadelning förbättras i en snabbare takt än i Sverige. Det finns inget som tyder på att deras utvecklingstakt håller på att stanna av och det är därför sannolikt att de kommer fortsätta att bli bättre än Sverige samt gå om Sverige i de avseenden där Sverige i dag är bättre än Norge. En sådan prognos bygger på antagandet att Sverige inte börjar fatta beslut som stärker den svenska utvecklingen.
10.3.9. Tyskland
Tyskland ingår inte heller i GDHP:s jämförelse, men ingår däremot i OECD:s jämförelse. I den jämförelsen får Tyskland 3,64 av 8 poäng gällande tillgång till hälsodata, jämfört med Sveriges 6,8425 och 8,33 poäng av 15 avseende styrningsmodell för hälsodata, jämfört med Sveriges 10,22.26 I och med Tysklands historia så finns inte samma kultur och tillit till statlig datainsamling, vilket skulle kunna vara en förklaring till att de får så låg poäng gällande tillgång till data. Tyskland är, likt Sverige, mycket decentraliserat. Exempelvis har Tyskland 16 delstater med viss lagstiftningsmakt. Detta skulle kunna vara en av förklaringarna till den låga poängen avseende styrmodeller då det är svårt att få till en enhetlig nationell styrning.
25 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 34. 26 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 75.
I Vårdanalys rapport framgår att Tyskland antog en ny lag 2019 i syfte att driva på den digitala utvecklingen inom vården och därmed gjorde det obligatoriskt för sjukhus och apotek att ansluta sig till den nationella digitala infrastrukturen, medan det är fortsatt frivilligt att ansluta sig för vissa vård- och rehabiliteringskliniker som tillhandahåller till exempel mödravård eller fysioterapi.27 I Vårdanalys rapport om strukturförändringar konstaterar myndigheten också att Tyskland, tillsammans med Sverige och Norge är ett av de länder där flest patienter angett att vården inte lyckats samordna viktig information om patientens medicinska bakgrund eller behandling.28 Av TEHDAS kartläggning framgår att den höga graden av decentralisering skapat liknande utmaningar som i Sverige och att även Tyskland står inför en omfattande omställning i och med förslaget till EHDS. Tyskland uppger att implementeringstiden för EHDS skulle behöva vara runt tio år.29
Sammanfattningsvis kan noteras att Sverige och Tyskland står inför liknande utmaningar med ett decentraliserat hälso- och sjukvårdssystem, men att Sverige förmodligen ligger före Tyskland till följd av att Sverige historiskt legat bra till på hälsodataområdet. Det är svårt att ange i antal år hur stor skillnaden är, men sannolikt ligger Sverige före Tyskland gällande användning av hälsodata.
10.3.10. Storbritannien
Storbritannien finns inte med i OECD:s jämförelse, men är däremot med i GDHP:s jämförelse. Där får Storbritannien en poäng på 1,16 av 3 avseende hur stora barriärer som finns inom interoperabilitet på hälsodataområdet, att jämföra med Sveriges 2,20. Storbritanniens lägre poäng kommer framför allt från att de har en starkare styrning och mindre frivillighet, vilket lett till lägre barriärer för att dela data.30
I Vårdanalys landsjämförelse konstateras egentligen bara att Storbritannien etablerade en plattform som en gemensam ingång till hälsodata 2020.31 I Vårdanalys rapport om strukturreformer konstaterar myndigheten att Storbritanniens system liknar de skandinaviska,
27 Myndigheten för vård- och omsorgsanalys, 2021, Ökad precision i Europa, s. 68. 28 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem. Erfarenheter från Danmark, Norge, England och Nederländerna, s. 31. 29 TEHDAS, 2022, Country visit – Germany, s. 4. 30 Rucker, D., Hasan, A., Lewis, L., Tao, D. Advancing Interoperability Together Globally: GDHP. White Paper on Interoperability; July 2020, Sydney, Australia. 31 Myndigheten för vård- och omsorgsanalys, 2021, Ökad precision i Europa, s.62.
men att de länge har haft en betydligt mer centraliserad styrning av sjukvården som gjort det lättare att förändra strukturen i en enhetlig inriktning. Detta skulle kunna förklara varför Storbritannien lyckats med flera av sina stora struktursatsningar inom hälsodataområdet.32
Storbritannien började också inrätta datahubbar redan 2019 och har sedan dess startat nio regionala datahubbar.33 Varje hubb har specialiserat sig inom områden där det finns universitet med djup kunskap inom det specifika området. Varje hubb har också ett nära samarbete med hälso- och sjukvården, akademin, industrin och patienterna.34
Figur 10.1 Bild över Storbritanniens datahubbar
Källa: https://www.hdruk.ac.uk/helping-with-health-data/health-data-research-hubs/ (Hämtat 2023-05-25).
Eftersom Storbritannien lämnat EU så tillämpar de inte längre GDPR och skiljer sig därför åt jämfört med flera andra europeiska länder. I stället tillämpar de Data Protection Act 2018, som har inkorporerat GDPR:s bestämmelser till brittisk lagstiftning.35 Storbritanniens utträde ur EU minskar därmed jämförbarheten med Sverige, vilket gör det svårt att säga något om ländernas framtida utvecklingstakt i förhållande till varandra.
32 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem. Erfarenheter från Danmark, Norge, England och Nederländerna, s. 45. 33 https://www.hdruk.ac.uk/helping-with-health-data/health-data-research-hubs/ (Hämtat 2023-04-06). 34 https://www.hdruk.ac.uk/helping-with-health-data/health-data-research-hubs/ (Hämtat 2023-05-25). 35 Overview – Data Protection and the EU | ICO, (Hämtat den 22 augusti 2023).
Även om Storbritannien kommit långt inom hälsodataområdet har det inte varit helt utan kontroverser. Under 2013 informerade NHS att patientdata skulle extraheras till en central databas om patienterna inte aktivt valde att motsätta sig detta. Kritiken rörde framför allt den bristande informationen till patienterna och att genomförandet var dåligt förankrad bland patienter och vårdpersonal och inte kommunicerats på ett bra sätt.36
Under 2021 genomförde Storbritannien en reform inom hälsodataområdet kallad General Practice Data for Planning and Research i syfte att tillgängliggöra patienternas data för planering och för forskning. Även denna reform fick omfattande kritik av patienter och de som arbetar inom hälso- och sjukvården bland annat på grund av att intrånget i den personliga integriteten inte upplevdes stå i proportion till nyttan. Kritiken bestod även av uppfattningen att staten inte på ett adekvat sätt konsulterat exempelvis medborgarna eller hälso- och sjukvårdspersonalen i tillräckligt stor utsträckning. Storbritannien har sedan dess arbetat intensivt med att lyssna in olika grupper för att få till lösningar som aktörerna anser acceptabla sett ur ett integritetsperspektiv.37
Utredningens bedömning är att dessa exempel tydligt visar på riskerna med att dels välja för snabba lösningar, dels hur lätt det är att medborgarna tappar tilltron till datainsamlingen. En sådan effekt kan få till följd att medborgarna väljer att inte dela sina hälsodata. Detta är en viktig lärdom för Sverige, eftersom dåligt genomförda förslag riskerar att hämma snarare än att driva utvecklingen framåt.
Att jämföra Sverige och Storbritannien inom detta område är svårt. Det finns dock en likhet i att Sverige inte alltid involverar och konsulterar medborgarna i samband med att ny insamling eller behandling av hälsodata. Storbritannien har drivit hälsodatafrågorna hårt, men i vissa delar brustit i sin transparens och medborgarinvolvering.
Storbritannien har trots vissa omdiskuterade beslut nu lyckats bygga upp säkra behandlingsmiljöer för hälsodata38 och tillgängliggör mycket hälsodata för bland annat forskning.39
36 https://www.theguardian.com/technology/2016/jul/06/nhs-to-scrap-single-database-ofpatients-medical-details (Hämtat 2023-04-05). 37 https://digital.nhs.uk/data-and-information/data-collections-and-data-sets/data-collections/ general-practice-data-for-planning-and-research/about-the-gpdpr-programme (Hämtat 2023-04-05). 38 https://www.opendemocracy.net/en/ournhs/weve-won-our-lawsuit-over-matt-hancocks-23m-nhs-data-deal-with-palantir/ (Hämtat 2023-04-05). 39 https://www.healthdatagateway.org/ (Hämtat 2023-04-05).
Det är svårt att säga hur många år före Storbritannien ligger än Sverige, men utredningen kan konstatera att Storbritannien kommit längre i sin omställning till en mer datadriven hälso- och sjukvård än vad Sverige har.
Med tillämpandet av samma antagande som användes för jämförelsen med Estland det vill säga att pågående utredningar och utredningens promemoria leder till att Sverige kommer ha ett lika utvecklat ekosystem för hälsodata som Storbritannien har gör utredningen bedömningen att Sverige ligger 6–7 år efter Storbritannien. Denna bedömning är dock behäftad med betydande osäkerhet.
10.3.11. Frankrike
Frankrike är inte med i GDHP:s jämförelse, men är däremot med i OECD:s jämförelse. Frankrike bedöms där, avseende tillgång till data till en poäng om 5,42 av 8, att jämföra med Sveriges 6,84.40 På styrningsmodell får Frankrike 12,67 av 15 poäng, att jämföra med Sveriges 10,22.41
Frankrike är inte med i varken TEHDAS kartläggning eller i Vårdanalys båda rapporter. Frankrike har också ett försäkringsfinansierat hälso- och sjukvårdssystem,42 vilket gör att deras system skiljer sig en del mot det svenska.
Frankrike reformerade delar av sitt sjukvårdssystem i samband med att en ny lag gällande sjukvårdens organisation och transformation trädde i kraft 2019.43 Som en del i denna reform inrättades den franska hälsodatahubben, health data hub (LOI no 2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santè). Hälsodatahubben kan användas för beslutsstöd i hälso- och sjukvården, tillgängliggöra data för forskning och får användas av såväl offentliga och privata aktörer i de fall som syftet är att förbättra något
40 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 34. 41 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 75. 42 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem. Erfarenheter från Danmark, Norge, England och Nederländerna. 43 Reformen har innefattat flera lagändringar och initierades med LOI no 2016-41 du 26 janvier 2016 de modernisation de notre système de santé och själva hubben inrättades i samband med LOI n° 2019-774 du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé.
för det offentliga. Det är uttryckligen förbjudet att använda data från huben i kommersiella syften.44
I juli 2022 meddelade EU-kommissionen att konsortiet som leds av den franska hälsodatahubben vunnit utlysningen om att agera pilotprojekt för det europeiska hälsodataområdet HealthData@EU i syfte att bidra till kunskap i den pågående förhandlingen av förslaget till EHDS.45 Det återstår att se hur utfallet av denna pilot blir.
Även i Frankrike kan vi se att det de senaste åren har skett en strukturreform kopplat till hälsodata som haft fokus på ökad styrning och centralisering. Med tillämpandet av samma antagande som användes för jämförelsen med Estland, det vill säga att pågående utredningar och utredningens promemoria (se bilaga 4 Promemoria med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet) leder till att Sverige kommer ha ett lika utvecklat ekosystem för hälsodata som Frankrike har gör utredningen bedömningen att Sverige ligger 6–7 år efter Frankrike. Denna bedömning är dock behäftad med betydande osäkerhet.
10.4. Särskilt om Finland och Findata
Finland finns med i OECD:s jämförelse, men inte i GDHP:s. Finland finns också med bland de länder TEHDAS besökt. I OECD:s jämförelse får Finland 6,67 av 8 poäng avseende tillgång till data, att jämföra med Sveriges 6,84.46 På styrningsmodell får Finland 12,78 av 15 poäng, att jämföra med Sveriges 10,22.47
Av TEHDAS sammanställning framgår att Finland har i stort sett alla komponenter klara inför implementeringen av EHDS men att Finland kommer behöva utöka och utveckla befintliga komponenter ytterligare till följd av ökade behov av datadelning.48
Det är svårt att bedöma hur Sverige ligger till i förhållande till Finland i synnerhet eftersom Finland precis genomgått en större hälso-
44 https://www.health-data-hub.fr/page/faq-english (2023-04-06). 45 https://www.health-data-hub.fr/sites/default/files/2022-07/Press%20release%20-%20EHDS2 %20pilot%20launch.pdf (Hämtat 2023-04-06). 46 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 34. 47 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 75. 48 TEHDAS, 2022, Country visit –Finland.
och sjukvårdsreform. Men uppskattningsvis ligger Sverige 6–10 år efter Finland.
10.4.1. Den finska sekundäranvändningslagen, Findata och Finlands nationella datahubb
Finland tog under 2018 fram ett förslag på en ny lag för sekundäranvändning av hälsodata, lagen om sekundär användning av personuppgifter inom social- och hälsovården, förkortad finska sekundäranvändningslagen. Lagen trädde i kraft under 2019 och utgör en komplettering till dataskyddsförordningen (1 kap. 2 § finska sekundäranvändningslagen).
Lagen ska ses som en del av en helhet, där den andra delen består av regleringen av de s.k. Kanta-tjänsterna.49 Den till dataskyddsförordningen kompletterande nationella lagstiftning som reglerar personuppgiftsbehandlingen för Kantatjänsterna är lag om elektronisk behandling av kunduppgifter inom social- och hälsovården, och tar sikte på den primära användningen av personuppgifter inom social- och hälsovården (lag om elektronisk behandling av kunduppgifter inom social- och hälsovården 1 kap. 1 och 2 §§).
Sammanfattningsvis kan det sägas att lagen går ut på att förenkla processen när en aktör vill använda data från flera olika personuppgiftsansvariga, genom att utse en ansvarig myndighet, Findata, som blir ansvarig för inhämtandet av personuppgifter från dessa personuppgiftsansvariga för att sedan sköta utlämnandet till den aktör som begärt datan (RP 159/2017 rd s. 1 och s. 93). Findata har även möjlighet att samköra data från olika personuppgiftsansvariga och sammanställa material på olika sätt.
Lagen skiljer på två typer av utlämnande från Findata, utlämnande i enlighet med ett tillstånd som beslutas av myndigheten själv, ett så kallat dataanvändningstillstånd, eller i enlighet med en begäran om
information. Den senare avser endast aggregerade data som begärts
för ändamål som omfattas av lagen (1 kap. 3 § p. 9 finska sekundäranvändningslagen).50 En begäran om information ska handläggas snabbare än utlämnanden i enlighet med ett dataanvändningstillstånd.
49 Lagstiftning – Professionella – Kanta.fi (Hämtat 2023-08-22) och Sekundär användning av kanta uppgifter – Professionella – Kanta.fi (Hämtat 2023-08-22). 50 https://findata.fi/sv/tillstand/#Val-och-ifyllnad-av-ansokningsblankett (Hämtat 2023-08-22.).
10.4.2. När får sekundäranvändning ske?
Den finska sekundäranvändningslagen har snävat in sekundäranvändningen genom att räkna upp sju ändamål och genom att ange vilka personuppgiftsansvarigas personuppgifter som omfattas av lagen. I 1 kap. 2 § finska sekundäranvändningslagen anges följande ändamål för vilka personuppgifter får behandlas för:
- statistikföring,
- vetenskaplig forskning,
- utvecklings- och innovationsverksamhet,
- undervisning,
- informationsledning,
- myndighetsstyrning och myndighetstillsyn inom social- och hälsovården, samt
- myndigheternas planerings- och utredningsuppgifter.
Användande av data för att genomföra medicinsk och klinisk läkemedelsforskning51 är exkluderat, och regleras i annan ordning, (se 1 § och 2 § p. 1 lag om medicinsk forskning (9.4.1999/488)).
Vidare anges tre olika situationer för att det ska anses finnas grund för att lämna ut personuppgifter för ett sekundärt ändamål; att det finns ett tillstånd från de relevanta personuppgiftsansvariga, det finns ett tillstånd från Findata, eller med stöd i lag (4 kap. 35 §).
10.4.3. Rättslig grund enligt dataskyddsförordningen
Enligt förarbetena till den finska sekundärlagen utgör 4 kap. 35–38 §§ rättslig grund enligt artikel 6 i dataskyddsförordningen för datahållaren, alltså den som är personuppgiftsansvarig för insamlingen av personuppgifter för den primära användningen och för Findata. I de fall då
mottagaren, alltså den som begärt data för ett sekundärt användnings-
ändamål, är en offentlig aktör utgör lagen för särskilt angivna ändamål den rättsliga grunden även för dem, vilket regleras i 4 kap. 39–42 §§. Sistnämnda bestämmelser tar sikte på sekundäranvändning för de sär-
51 Den finska definitionen skiljer sig något från den svenska, se den finska lagen lag om medicinsk forskning (9.4.1999/488) för mer information.
skilda ändamålen undervisning, myndighetsplanerings- och utredningsuppgifter, informationsledning, myndighetsstyrning och myndighetstillsyn inom social- och hälsovården.
Är mottagaren en privat aktör anges det i förarbetena att den mottagaren även kan använda sig av intresseavvägning enligt artikel 6.1 f dataskyddsförordningen som rättslig grund (RP 159/2017 rd s.125).
10.4.4. Hur den finska datahubben fungerar i praktiken
Enligt 2 kap. 5 § sekundäranvändningslagen ska Findata förutom att bevilja tillstånd för sekundäranvändning i enlighet med lagen, ansvara för insamling, samkörning och förbehandling av data för att sedan kunna lämna ut i enlighet med beviljade tillstånd (2 kap. 5 § stycke 1). Av samma bestämmelse framgår att myndigheten har informationssäker drifttjänst för mottagande av personuppgifter och för utlämnande av sådana (se 2 kap. 5 § andra stycket samt 3 kap. 17 §). De har även en informationssäker driftsmiljö där en innehavare av tillstånd för sekundäranvändning kan bearbeta den data den får utlämnat till sig. Denna driftssäkra miljö kallas för Kapseli och fungerar i korthet som en fjärråtkomst, det vill säga att användaren kan nå den från sin egen dator.52
Användandet av Kapseli faktureras sedan separat och kan köpas in i olika nivåer.53 Kapseli är en driftsmiljö som är individualiserat på så sätt att det kopplas till ett specifikt tillstånd. En tillståndsinnehavare kan alltså inte använda den informationssäkra driftsmiljön för att bearbeta data som omfattas av ett annat tillstånd (se 3 kap. 20 § sekundäranvändningslagen).
När en användare beviljats ett tillstånd från Findata, samlas sedan personuppgifter från de relevanta personuppgiftsansvariga in (i enlighet med tillståndet) till Findatas säkra driftsmiljö. Användaren har därefter tre månader på sig att gå igenom materialet för att kunna säkerställa att datan överensstämmer med deras beställning.
Findata raderar samtlig data fyra månader efter att användaren tagit del av den, men sparar kodnyckeln utifall om att data behöver återställas. Alla tillstånd är tidsbegränsade och när denna tid gått ut så stängs användarens tillgång till Kapseli av och all data raderas då permanent.54
52 https://findata.fi/sv/kapseli/ (hämtat 2023-08-23). 53 https://findata.fi/sv/kapseli/ (hämtat 2023-08-23). 54 Mailkonversation med Findata. Komm2022/00460/S 2022:04-33.
Enligt lagen ska de olika personuppgiftsansvariga som omfattas av sekundäranvändningslagen (se 6 §) sammanställa materialbeskrivningar av den data de har i sina respektive datalager. De ska även ansvara för att det finns en rådgivningstjänst av sina egna data, för att de som behöver ska kunna få tillräcklig information om datainnehållet hos de personuppgiftsansvariga och på så sätt kunna bedöma om det täcker informationsbehovet (se 3 kap. 12–13 §§ sekundäranvändningslagen).
10.4.5. För- och nackdelar med den finska sekundäranvändningslagen
Utredningen har varit i kontakt med den finska myndigheten Institutet för hälsa och välfärd (THL) och Findata för att bättre förstå vad som blivit bra, mindre bra och vilka utmaningar som fortfarande finns kvar.
Några av fördelarna med Findata är att det blivit tydligare för aktörer som vill begära ut data till vem de ska vända sig. Även Findatas rådgivning där de ger råd i frågor som gäller ansökan om dataanvändningstillstånd, begäran om uppgifter och ändringstillstånd och allmänna råd angående lagen om sekundär användning har fått mycket positivt bemötande. För råd gällande specifika datamängder hänvisar Findata till de personuppgiftsansvariga, eftersom de oftast är dem som har bäst koll på sina egna data.
Findata är fortsatt i en utvecklingsfas och det är därför svårt att i nuläget säga vilka av de negativa effekter som kommer gå över med tiden och vilka positiva effekter som kommer uppstå på sikt när systemet har anpassat sig efter de nya förutsättningarna och Findata har fått möjlighet att förbättra sin verksamhet.
Findata har fått viss kritik för att regelverket och att deras uppdrag om att dela data i vissa fall inte fått bort mycket av den administration som var tänkt att försvinna för datahållarna. Exempelvis finns det i samband med behandlingen av dataanvändningstillstånd vissa datamängder där datahållarna själva ändå måste avgöra om data kan lämnas ut eller inte, så som när det rör sig om ett litet antal patienter. En anledning till det är att det är datahållaren som har förståelse och kunskap för de variabler som de kan lämna ut och vilken kvalitet just den data som ska lämnas ut har. Det antyder att en dialog ändå kan komma att behövas mellan dataanvändaren och datahållaren för vissa datamängder.
Viss kritik har också framförts gällande att lagstiftningen är svår att tillämpa i praktiken och att lagstiftningen upplevdes som utdaterad
inom vissa områden redan när den antogs, inte minst kopplat till teknikutvecklingen. Ett exempel där lagen ansetts särskilt otydlig och lett till tillämpningssvårigheter är hur innovationsbegreppet definierats och hur gränsen mellan forskning och innovation ska dras.
Annan kritik som lyfts mot den finska lagen om sekundäranvändning är att den ansetts vara för detaljerad. Vidare har kritik getts för att det är långa handläggningstider hos Findata och att datauttag blivit mer kostsamma än tidigare. Vissa aktörer har även lyft att de upplever att den säkra behandlingsmiljön hos Findata är för hårt reglerad, exempelvis genom att den är för detaljerad eller för snäv, vilket gjort att den inte upplevs som ändamålsenlig, vilket är en av orsakerna till att universitetssjukhusen byggt upp egna behandlingsmiljöer.
Vad som däremot kan sägas som positivt med den finska sekundäranvändningslagen är att bara ett hundratal individer har valt att opt:a ut,55 att jämföra med Storbritanniens satsning 2021 där 1,4 miljoner personer opt:ade ut på bara två månader.56,57
10.5. Sammanfattning
I korthet kan sägas att utredningen bedömer att Sverige ligger efter vad gäller nationell digital infrastruktur. Med det avser utredningen att Sverige har en bristande teknisk och semantisk interoperabilitet samt brist på nationellt tillgängliga medborgartjänster. De tjänster som finns, som exempelvis 1177 är tillgängligt för alla medborgare, men är inte tillgänglig för alla vårdgivare. Där till kommer att myndigheter har begränsad möjlighet att använda sig av den plattform som finns. Detsamma gäller nationella tjänsteplattformen som rent geografiskt finns tillgänglig, om än i olika utsträckning i hela landet, men där det också finns begränsningar i vilka som kan nyttja deras tjänster.
55 Kommunikation med Findata 2023-03-23, utredningens diarienummer: Komm2022/00460/S 2022:04-25. 56 https://www.opendemocracy.net/en/ournhs/millions-opt-out-of-englands-health-datasharing-plan/ (Hämtat 2023-04-25). 57 https://www.theguardian.com/society/2021/aug/22/nhs-data-grab-on-hold-as-millions-optout?CMP=fb_gu&utm_medium=Social&utm_source=Facebook&fbclid=IwAR2KbwEu7 BAEjCIelqEGK76r9HJS6xfyDWiVplidYcMTa0cM9UHJR0V-ihw#Echobox=1629617253 (Hämtat 2023-04-25).
Utredningens bedömning är dock att Sverige fortsatt står sig bra när det kommer till detaljerade historiska data, vilket är en fortsatt styrka för Sverige. Utredningens bedömning är dock att bristen på nationell digital infrastruktur riskerar att göra att Sverige hamnar efter även på det området i framtiden.
10.6. Avslutande kommentarer
Sammanvägd bedömning:
1. Samtliga länder har uppgett att rekrytering och kompetens är en av de största utmaningarna för omställningen till en datadriven hälso- och sjukvård. Utredningen delar bedömningen de aktörer som TEHDAS intervjuat om att kompetensförsörjningen och kompetensväxlingen kommer vara en av de största strukturella utmaningarna för hälso- och sjukvården under det kommande decenniet, inte minst i ljuset av den omfattande utveckling som håller på att ske på dataområdet och inom klinisk genetik.
2. En av de enligt utredningen viktigaste lärdomarna från den internationella utblicken är att förtroendet för delning av hälsodata snabbt kan ändras. Brister i kommunikation och förankringen hos medborgarna kan få långtgående negativa effekter och utredningen bedömer därför att det är av yttersta vikt att invånarna informeras och involveras på ett tydligt sätt i reformprocesserna. Skyddet för den personliga integriteten måste värnas och medborgarnas inflytande och möjlighet till ansvarsutkrävande måste vara tydligt.
3. Sverige har halkat efter andra länder inom hälsodataområdet. En av anledningarna är, enligt utredningens bedömning, reformer som inte åstadkommit det som eftersträvats. Utredningens uppskattning är att Sverige befinner sig i en position där föregångsländerna befann sig för 7–15 år sedan. Utredningen bedömer dock att det inte behöver betyda att det tar 7–15 år för Sverige att komma i kapp, eftersom Sverige nu har många förlagor som går att kopiera. Däremot gör utredningen bedömningen att det mest sannolika scenariot för Sverige är att Sverige även framgent kommer ligga efter föregångsländerna. Detta
eftersom det ter sig osannolikt att Sverige skulle gå från att vara en av de länder med lägst utvecklingstakt till att få en utvecklingstakt som är starkare än föregångsländerna. Ett första mål bör snarare vara att komma upp i samma utvecklingstakt som föregångsländerna. Utredningen ser att det finns potential för Sverige att komma i kapp föregångsländerna och på sikt återigen inta positionen som ett föregångsland inom hälsodata. Det skulle dock kräva omfattande politiska prioriteringar som sträcker sig över flera mandatperioder.
En begränsning med utredningens internationella jämförelse är att utredningen endast jämfört Sverige med länder som i stort liknar Sverige avseende exempelvis BNP per capita eller att de har liknande hälso- och sjukvårdssystem och så vidare. Utredningen har valt att inte jämföra Sverige med länder som kanske är mer lika Sverige gällande vissa utmaningar inom hälsodataområdet så som, Polen, Portugal, Tjeckien och Ungern som alla var del av TEHDAS kartläggning. Anledningen till detta var att utöver de utmaningar som Sverige står inför så står vissa av dessa länder inför andra utmaningar som Sverige inte står inför, exempelvis saknar vissa av länderna unika identifierare så som personnummer.
Utvecklandet av Findata är enligt utredningen ett bra exempel som visar på komplexiteten i att ta fram lagstiftning på hälsodataområdet och hur beroende lagstiftningen är av tekniken. Utredningens bedömning är att arbetet kräver involveringen av såväl praktiker som jurister i lagstiftningsarbetet och att problemen behöver lösas i flera små delar, ibland parallellt och vissa seriellt. Det gör att det är svårt att uppskatta hur lång tid det kommer ta för Sverige att bygg upp liknande system.
De länder som ligger före Sverige bröt ny mark och hade inga förlagor som de kunde ta inspiration ifrån. Sverige har såväl flera länder att hämta inspiration ifrån som hela förslaget till EHDS, vilket i stora delar syftar till att medlemsstaterna ska ta fram de system som föregångsländerna har byggt upp. Det är dock svårt att bedöma tidsbesparingen som följer av detta, i synnerhet eftersom många av de svåra frågorna kopplat till infrastrukturen för hälsodata snarare är nationella och starkt kopplade till vilket arv länderna har med sig in i arbetet med hälsodata.
Utredningen bedömer dock att Sverige historiskt haft en god datatillgång och även fortsatt har god datatillgång inom vissa områden
jämfört med andra länder. Föregångsländerna har dock byggt upp en infrastruktur som är mer skalbar, ekonomiskt effektiv och har en starkare och bättre styrning inom hälsodataområdet, och därmed nu också har en starkare utvecklingskurva.
Utredningens noterar att samtliga av föregångsländerna har eller håller på att centralisera infrastrukturen för hälsodata och många gånger även styrningen av hälso- och sjukvården. De flesta länderna har arbetat med en nationell infrastruktur för hälsodata under många år, gjort stora investeringar och haft ett starkare politiskt fokus på hälsodatafrågorna än vad Sverige haft.
Utredningens bedömning är att bristen på relevant statlig nationell styrning är en starkt bidragande faktor till Sveriges förhållandevis dåliga placering. Några exempel på sådan styrning är den prestationsbaserade vårdgarantin (kömiljarden), omställningen till god och nära vård, vision e-hälsa 2025 och utformningen av satsningen på nationella kvalitetsregister, för att nämna några.
Utredningen baserar sin bedömning på de utredningar som gjorts av dessa reformer. Dessa utredningar pekar på att reformerna lett till ökad administration i vården58,59, utebliven effekt60,61,62 samt inte bidragit till en nationellt hållbar lösning (se bilaga 4 Promemoria med förslag om ändring av E hälsomyndighetens uppdrag inom hälsodataområdet). Utredningen anser att samtliga reformer, i varierad grad, haft en hög alternativkostnad och därmed haft en negativ påverkan på utvecklingen inom hälsodataområdet i Sverige och bidragit till Sveriges förhållandevis dåliga resultat.
Sverige är i dag enligt utredningen i samma position som föregångsländerna befann sig för någonstans mellan 7 och 15 år sedan och att Sverige har en av de svagaste utvecklingskurvorna av samtliga av de jämförda länderna. Utredningen bedömer därför att Sverige kommer ligga mer efter föregångsländerna de kommande åren även om Sveriges utvecklingskurva skulle öka eftersom det kommer ta tid att komma upp i samma utvecklingstakt. Bedömningen är behäftad med betydande osäkerhet inte minst eftersom det är svårt att bedöma hur lika EU-
58 Myndigheten för vård- och omsorgsanalys, 2023, Ordnat för omställning? Utvärdering av omställningen till en god och nära vård: delrapport, s. 6 ff. 59 Myndigheten för vård- och omsorgsanalys, 2006, Lapptäcke med otillräcklig täckning, s. 14 ff. 60 Riksrevisionen, 2005, Ökad tillgänglighet i sjukhusvården? s. 24. 61 Riksrevisionen, 2022, På skakig grund – beslutsunderlag inför stora reformer s. 66. 62 Socialstyrelsen, 2014, Vårdgaranti och kömiljard Uppföljning 2013, s. 34.
länderna kommer vara några år efter att EHDS trätt i kraft och hur den föreslagna förordningen kommer påverka ländernas utveckling.
Utredningen ser tre scenarion framför sig för det svenska hälsodataområdet jämfört med föregångsländerna.
10.6.1. Scenario 1 – Utvecklingstakten ligger kvar oförändrat eller försämras
Reformmässigt så har utvecklingstakten på hälsodataområdet enligt utredningen varit låg de senaste tio åren och flera utredningar på området har av olika skäl inte lett till lagstiftning och myndigheternas mandat, roll och relevans på området har också minskat under denna period, till förmån för stärkandet av Inera AB och SKR.
Utredningens bedömning är att det inte är sannolikt att utvecklingstakten förblir oförändrad eller minskar eftersom Regeringen de senaste åren tillsatt en rad utredningar och beslutat om ett stort antal regeringsuppdrag på hälsodataområdet. Men för fullständighetens skull bedömer utredningen att detta scenario ändå kan vara intressant att lyfta, eftersom det på ett bra sätt tydliggör vilka effekter en försämrad utvecklingstakt är och riskerna med att inte investera i hälsodataområdet.
Utredningen ser en risk med att Sverige skulle kunna hamna i en situation där förtroende för offentligt finansierad och offentlig utförd vård skulle kunna börja försvagas om Sverige hamnar ännu mer efter exempelvis våra grannländer. En konsekvens av det skulle kunna vara att allt fler som följd kommer att teckna privata sjukvårdsförsäkring eller välja privata alternativ. Det skulle i sin tur också bidra till att öka de socioekonomiska klyftorna. Utöver att detta skulle kunna skapa en större klyfta mellan individer baserat på deras inkomst så är det sannolikt också så att vårdens medarbetare kommer söka sig till de arbetsplatser som erbjuder en bättre arbetsmiljö där det finns tillgång till datadrivna beslutsstöd, automatiserad datainsamling och behandling. Utvecklingen skulle sannolikt också leda till att offentligt finansierad sjukvård i Sverige skulle vara relativt oproduktiv jämfört med våra grannländer.
Det är enligt utredningen inte en sannolik utveckling på kort och medellång sikt att Sverige går från Beveridge-modell (skattefinansierad sjukvård) till Bismarck-modell (försäkringsfinansierad sjukvård) genom ökat antal privata sjukvårdsförsäkringar, eftersom dagens försäkringar generellt sett endast omfattar en mycket liten del av sjukvården (SOU 2021:80 s. 162).
Ett mer troligt scenario är enligt utredningen snarare att missnöjet med hälso- och sjukvården ökar och leder till högre krav på politiken, samtidigt som problemen blir svårare och dyrare att lösa för varje år som går där problemen inte adresseras i tid. Ett sådant exempel skulle kunna vara genom ett ökat antal privata utförare. Privata utförare i sig behöver inte innebära varken något positivt eller negativt, men om det saknas tydlig nationell styrning så finns det stor risk att de privata utförarna, likt regionerna, skapar egna lösningar vilket fragmentiserar hälsodataområdet ytterligare.
10.6.2. Scenario 2 – Utvecklingstakten ökar till att matcha föregångsländerna
Baserat på ett antagande att Sverige beslutar den lagstiftning kopplat till vidareanvändning av hälsodata och interoperabilitet som behövs och investerar i utvecklingen av en nationell infrastruktur för hälsodata i linje med vad utredningen skrev i sin promemoria (se bilaga 4 Promemoria med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet), finns det möjligheter för Sverige att komma upp i den utvecklingstakt som föregångsländerna har.
Antagandet om att Sverige ska kunna matcha föregångsländernas utvecklingstakt bygger därmed dels på att Sverige ökar sin takt och att föregångsländernas utvecklingstakt inte stannar av och stagnerar.
Under dessa antaganden skulle Sverige om tio år fortsatt ligga tio år efter föregångsländerna. Utredningens bedömning är att Sverige då om tio år kommer ha löst många av de problem som föregångsländerna i dag har löst. Exempelvis gällande ökade förutsättningar för vidareanvändning av hälsodata samt minskad administrativ börda i hälso- och sjukvården.
Det är enligt utredningen inte orimligt att anta att allt fler länder kommer komma i kapp Sverige under denna period, även om Sverige i förhållande till föregångsländerna samtidigt inte halkar efter mer. Effekten av det är att Sverige ur ett internationellt perspektiv då endast kan ses som ytterligare ett land i mängden länder som inte excellerar inom hälsodataområdet.
En trolig effekt av det är att Sverige svårligen kommer kunna konkurrera med föregångsländerna inom områden som är väldigt datatunga, så som precisionsmedicin Därtill skulle konkurrensen om investeringar, men även exporten inom life science-sektorn minska till
följd av att Sverige både minskat sin konkurrenskraft, samtidigt som konkurrensen från andra länder ökat. Det är också rimligt att anta att denna effekt även kommer att synas inom forskningen, inte minst inom hälsodatatunga områden.
10.6.3. Scenario 3 – Utvecklingstakten ökar till en nivå där Sverige kommer i kapp eller går om föregångsländerna
Scenariot att utvecklingstakten skulle öka till en nivå där Sverige kommer i kapp eller går om föregångsländerna skulle innebära omfattande investeringar och starkt politiskt ledarskap. Det skulle kräva en stark samordning av staten, samt mellan staten, kommuner och regioner, forskare, näringsliv och patienter.
Med denna utvecklingstakt bedömer utredningen att Sverige hade kunnat stärka sin konkurrenskraft inom såväl life science som inom flera andra forskningsområden. Det skulle också möjliggöra att Sverige skulle kunna erbjuda en hälso- och sjukvård i världsklass även i framtiden. Det skulle sannolikt också öka effektiviteten i hälso- och sjukvården, men också inom omsorgen till följd av ökad automatisering av datainsamling, effektivare informationsdelning samt smartare beslutsstöd.
I denna typ av prognoser är det mer regel än undantag att nyttorna överskattas och kostnaderna och hindren underskattas.
Utredningen bedömer att om det görs omfattande satsningar på hälsodata så har Sverige en möjlighet att komma i kapp och gå om föregångsländerna på 4–15 års sikt. Utredningen baserar det på att Sverige har fortsatt goda resultat utanför den offentligt finansierade hälso- och sjukvården vad gäller hälsodata, samt framstående forskning, ett starkt näringsliv, bra grundinfrastruktur med exempelvis personnummer. Så om styrningen och utvecklingen av hälsodata inom det offentliga skulle komma i kapp och matcha utvecklingstakten inom exempelvis forskningen eller den privata sektorn så finns goda förutsättningar för Sverige att återta en ledande position inom hälsodata. Anledningen till det stora spannet är att hälsodataområdet är ett heterogent område och Sverige ligger fortsatt bra inom vissa områden, vissa områden går också att förändra mycket snabbare än andra. Mer långtgående strukturproblem tenderar dock att ta långt mycket längre tid.
11. Övergripande beskrivning av utmaningar och behov på hälsodataområdet
11.1. Inledning
I det här kapitlet avser utredningen redogöra för utmaningar och behov av övergripande karaktär. Det finns flera faktorer som gör situationen utmanande. Vi står inför nya förutsättningar som ställer krav på bland annat uppdaterat regelverk, anpassad infrastruktur och modern datahantering. Data har blivit en alltmer central resurs i samhället och allt fler delar av samhället styrs av algoritmer som använder stora mängder data. Det finns flera olika begrepp för att beskriva denna omställning inom hälso- och sjukvården. Utredningen har valt att använda begreppet datadriven hälso- och sjukvård. Med datadriven hälso- och sjukvård avser utredningen processer där data är en central resurs som används för att automatisera eller stötta i beslut eller processer som görs inom eller i angränsning till hälso- och sjukvården. Ett exempel är vid vård av annan patient än den personuppgifterna avser. Det kan också röra sig om automatiserad datainsamling som möjliggör automatiserade beslut. Det kan till exempel handla om användningen av en insulinpump som doserar insulin baserat på de värden från patientens kontinuerliga glukosmätare.
Datadriven hälso- och sjukvård är i sig inget nytt och eftersom data många gånger är information så är det heller inget nytt att vård baseras på kunskap och fakta. Vad som däremot är nytt är den omfattande volymen av data som nu finns tillgänglig. I dag kan vi producera mer data om en individ på några dagar än vad som tidigare var möjligt under en livstid. Detta ställer nya krav på hur vi hanterar de data vi samlar in. Denna omställning är inte helt olik den omställning som skedde i samband med internet, eller när datorerna kom. Det är
inte en sak eller en process som byts ut eller ändras utan det innebär ett helt annat sätt att arbeta och kommer kräva omfattande investeringar. Även om det finns stora vinster med att använda data så finns det också stora utmaningar och direkta och indirekta kostnader. Det finns även gott om exempel på dyra it-projekt där de positiva effekterna aldrig kunnat realiseras. Trots detta kommer Sverige behöva ställa om till en mer datadriven hälso- och sjukvård för att fortsatt kunna erbjuda invånarna en vård i världsklass, men också för att klara framtidens vårdbehov och kostnader. Utmaningarna som Sverige står inför i och med omställningen till en mer datadriven hälso- och sjukvård är många och i detta avsnitt kommer utredningen översiktligt beskriva de utmaningar som Sverige står inför och som faller inom ramen för utredningens arbete.
11.2. Regelverken upplevs som svåra att tillämpa
Utredningen har fått till sig att det finns svårigheter att förstå och tillämpa lagstiftningen på hälsodataområdet. Ett problem som utredningen identifierat är att förarbetena till bland annat patientdatalagen (2008:355), förkortad PDL, i vissa avseenden kan vara svåra att applicera på dagens förutsättningar. Gamla exempel eller utdaterade begrepp medför att tolkningarna av lagen och förarbetena kan gå isär vilket medför att det skapas en osäkerhet om vad som faktiskt gäller. Regelverket verkar därmed vara komplicerat för såväl icke-jurister som jurister. Detta medför att behovet av stöd från jurister ofta är stort. Dessutom finns det en brist på kunniga jurister inom hälsodataområdet och de som har god kompetens har ofta ett pressat schema för att hinna med sina arbetsuppgifter. Dessutom kan tolkningsutrymmen leda till olika lokala tolkningar. Utifrån juristernas perspektiv verkar det upplevas som att efterfrågan på rådgivning överstiger utbudet. Juristerna behöver dessutom ofta ta ställning till en komplex lagstiftning där det saknas konsensus om hur lagen ska tolkas, se kapitel 3 Vad är data och kapitel 19, Frågor för fortsatt utredning för ytterligare resonemang.
En mer enhetlig och tydlig reglering inom hälsodataområdet bedömer utredningen skulle kunna göra att vårdpersonal och forskare på området lättare kan tillskansa sig en mer grundläggande förståelse för regelverket och på så sätt bättre kunna förstå när en jurist behö-
ver rådfrågas. Det finns således ett glapp mellan de jurister som kan området bra och personer ute i verksamheterna som behöver tillämpa regelverken. Det saknas inte bara jurister som kan området utan det saknas även tillräckligt med utbyte mellan professioner i verksamheterna för att få till ett önskvärt scenario.
11.2.1. Utmaningar kopplat till begreppen primär- och sekundäranvändning
I vissa juridiska sammanhang förekommer en uppdelning mellan användning av hälsodata, som utgörs av personuppgifter, för primära respektive sekundära ändamål. I utredningens direktiv ges också uttryck för denna distinktion, genom att det anges att med sekundäranvändning av personuppgifter avses behandling av personuppgifter för något annat ändamål än det primära ändamålet med personuppgiftsbehandlingen. Exempel på uppdelning i primär- och sekundäranvändning är att det i många så kallade registerförfattningar görs en uppdelning i primära ändamål Dessa avser typiskt sett användande av personuppgifter i myndighetens egen verksamhet, och sekundära ändamål som avser utlämnande av personuppgifter till externa mottagare.1
I Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad dataskyddsförordningen eller EU:s dataskyddsförordning finns ingen definition av primär eller sekundär behandling, jämför artikel 4.2, däremot kan det anses finnas en distinktion mellan primära och sekundära ändamål. Skillnaden formuleras genom principen om ändamålsbegränsning i artikel 5.1 b i dataskyddsförordningen. I artikeln framgår det att uppgifter får samlas in för särskilda, uttryckliga och berättigade ändamål och får senare inte behandlas på ett sätt som är oförenligt med dessa ändamål. Bestämmelsen ger uttryck för den så kallade finalitetsprincipen. Utifrån detta kan en åtskillnad göras mellan, å ena sidan, användning för det ändamål som uppgifterna ursprungligen samlades in för (primär användning) och, å andra sidan, vidare användning för
1 Jämför SOU 2017:66 s. 151 och s. 228.
andra ändamål (sekundär användning), för ytterligare beskrivning se kapitel 7 Dataskyddsreglering.2
Alla ändamål som anges i kap. 2 och 7 patientdatalagen (2008:355), förkortad PDL, är berättigade ändamål enligt dataskyddsförordningen. I PDL görs dock ingen skillnad mellan primär- och sekundäranvändning. (se prop. 2007/08:126 s. 56.). Utredningen gör bedömningen att det kan vara svårt att skilja på primäranvändning och sekundäranvändning i praktiken då de många gånger används parallellt (se djupare analys angående innebörden av detta i kapitel 13).
11.2.2. Utlämnande av hälsodata varierar inom och mellan organisationer
Tillgång till hälsodata förutsätter att datat får lämnas ut. Flera aktörer har lyft att menprövningen av utlämnande av hälsodata ibland upplevs komplex, godtycklig och oförutsägbar. Eftersom menprövning är en bedömning ligger det i sakens natur att utfallet kan variera beroende på vem det är som gör prövningen. Mer specifika problem och utmaningar som följer av detta redogörs för i kapitel 15 och 22.
Förutsättningarna för en menprövning inför ett eventuellt utlämnande av hälsodata påverkas av en rad olika faktorer. För att illustrera utmaningarna och dess komplexitet har utredningen gjort en schematisk illustration över två fiktiva regioner i figur 11.1.
I både Region A och B råder det en yttre sekretessgräns mellan verksamheterna hos regionen som vårdgivare och verksamheterna hos de privata vårdgivarna, trots att verksamheterna rent geografiskt kan vara belägen i en och samma region. De privata vårdgivarna illustreras av de grå cirklarna i figuren.
Organiseras verksamheten inom en och samma vårdgivare, såsom Sjukhus 1 i Region A och Primärvård Region A i figur 11.1, uppstår ingen yttre sekretessgräns mellan verksamheterna.
2 Europeiska dataskyddsstyrelsen, 2020, Riktlinjer 03/2020 om behandling av uppgifter om hälsa för vetenskapliga forskningsändamål i samband med covid-19 utbrottet, punkt 11.
Figur 11.1 Schematisk illustration över två fiktiva regioner med olika vårdgivare och vård som bedrivs i både offentlig och privat regi
Källa: Utredningens illustration.
11.3. Utmaningar med omställningen till en mer datadriven hälso- och sjukvård
I detta avsnitt kommer utredningen redogöra översiktligt för icke-juridiska utmaningar och behov som rör omställningen till en mer datadriven hälso- och sjukvård.
11.3.1. Digital infrastruktur för hälsodata
Bristen på en nationell digital infrastruktur har lyfts av en rad aktörer.3 Utredningen har fått till sig att den infrastruktur som finns i dag på hälsodataområdet inte anses vara nationell och att den infrastrukturen som finns i dag har flera brister kopplat till såväl primär- som sekundäranvändning. Utredningen har försökt utröna vilken infrastruktur det handlat om. Utredningens bedömning är att det dels verkar handla om en generell känsla av att det finns många aktörer och ingen tydlig nationell aktör på området. På området finns flera
3 Möte med Barncancerfonden 27 september 2022, SciLifeLab 27 september 2022, Sahlgrenska Universitetssjukhuset 30 september 2022, och Karolinska Institutet 14 november 2022, Research institute of Sweden 10 november 2022.
Specialistsjukvård privat vårdgivare 2 Region B
Sjukhus 1 Region A
Region A
Region A som vårdgivare
Sjukhus 1 Region B
Sjukhus 2 Region B
Primärvård Region A
Region B som vårdgivare
Region B
Specialistsjukvård privat vårdgivare 1 Region B
Specialistsjukvård privat vårdgivare 3 Region B
Specialistsjukvård privat vårdgivare Region A
olika aktörer så som statliga förvaltningsmyndigheter, universitet, regioner, Inera AB med flera. Utöver detta så har även Inera AB:s tjänster lyfts fram specifikt eftersom inte alla aktörer har möjlighet att använda deras tjänster och att Inera AB:s tjänster därmed inte upplevs som nationella. Därutöver har det även lyfts att det kan vara kostsamt eller krångligt att ansluta sig eller att tjänsterna inte täcker alla områden som aktörerna har behov av. Utredningen har inte gjort någon bedömning eller utrett vidare vad som avsetts med krångligt.
Det ingår inte i utredningens uppdrag att ta ett så omfattande grepp om hälsodataområdet, men bristen på samordning och infrastruktur har en stor påverkan på vilka förslag som utredningen kan lämna och vilka nödvändiga avgränsningar utredningen behövt göra. Utredningen egna bedömning är också att debatten och styrningen inom digitalisering och hälsodata präglas av splittring, okunskap, kompetensbrist och glädjekalkyler.4 Utredningen drar denna slutsats dels ifrån egen tolkning av samhällsdebatten, dels från de aktörer som utredningen varit i kontakt med, vilket inkluderar regioner, statliga myndigheter, intresseorganisationer med flera. Utredningen har inte heller träffat någon aktör som gjort bedömningen att infrastruktursatsningar ofta håller de initiala kostnadsberäkningarna och att slutanvändarna som regel är en del av hela beslutsprocessen. Utredningens slutsats är på ingetdera sätt unik för hälso- och sjukvården, utan verkar gälla digitalisering i stort. Det finns gott om dyra it-projekt såväl inom som utanför Sverige som inte levt upp till de förväntningar som fanns vid projektstarten. Utredningen kommer i detta avsnitt bara översiktligt beskriva den nulägesbild som utredningen uppfattat då det är den som utredningen kommer utgå ifrån i resten av betänkandet (se även bilaga 4 Promemoria med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet).
Den svenska digitala infrastrukturen saknar långsiktig styrning och finansiering
Genom den internationella utblicken kan det konstateras att flera länder som anses ha kommit längre än Sverige på hälsodataområdet verkar ha vissa saker gemensamt. Det ena är att de har en tydligare statlig styrning med tvingande regler snarare än frivillighet. Det har
4 Se bland annat Arena Idé, 2022, Digitaliseringslobbyn – på vems villkor digitaliseras vården?
också centraliserat flera av de områden av hälso- och sjukvården där det finns storskalfördelar och flyttat dem från regional nivå till statlig nivå. Detta har sedan kombinerats med statliga långsiktiga investeringar på hälsodataområdet.
Utredningen konstaterar även att EU-regleringar nyligen trätt i kraft eller är på gång vilka alla berör hälsodataområdet (EU:s dataförvaltningsförordning5, förslaget till dataförordning6 och förslaget till förordning om ett europeiskt hälsodataområde [EHDS]7). Samtliga regleringar innefattar olika typer av aktörer eller organ med ansvar för data. För att inte öka på den decentraliserade styrningen bedömer utredningen att det kan övervägas om en och samma statliga myndighet bör få ansvar för att utföra de uppgifter som anges i samtliga av de ovan nämnda EU-förordningarna.
Omställningen till en mer datadriven hälso- och sjukvård kommer att vara kostsam och ta tid. Men ju längre Sverige halkar efter desto mer kommer det att kosta i såväl pengar som livskvalitet och levnadsår för Sveriges medborgare om arbetet inte påskyndas. Det bör i sammanhanget noteras att regionerna håller på att byta ur stora delar av sin digitala infrastruktur och även staten har tagit ett större ansvar för hälsodatafrågorna de senaste åren. Så hur förändringstakten kommer bli till följd av detta är svårt att säga i nuläget. Utredningens bedömning är ändock att utvecklingstakten på hälsodataområdet behöver öka om Sverige ska komma i kapp föregångsländerna (se vidare kapitel 10).
Tillgång till data är nödvändigt för att både göra befintliga behandlingar inom hälso- och sjukvården bättre och mer träffsäkra, men också för att utveckla nya behandlingar. Data behövs också för att hantera de kostnadsrisker som nya behandlingar ofta för med sig. Utredningen
5 Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten). 6 Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och användning av data (dataakten) COM(2022) 68 final av den 23 februari 2022. 7 Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om ett europeiskt hälsodataområde COM(2022) 197 final av den 3 maj 2022.
beskriver ett exempel om användningen av riskdelningsavtal för nya läkemedelsbehandlingar i avsnitt 20.5.1 och 20.6.1. 8,9,10
Omställningen kommer ställa höga krav på den digitala infrastrukturen med tillhörande organisatoriska och juridiska strukturer för att möjliggöra en fungerande datadelning där den hälsodata som delas också är av tillräckligt god kvalitet. Det kommer alltså innebära omfattande investeringar i såväl verksamhets- som it-utveckling för berörda aktörer i kombination med ett omfattande regleringsarbete.
Utredningens bedömning, likt regeringens (prop. 2022/23:1, Utgiftsområde 9 s. 32), är att omställningen till en mer datadriven hälso- och sjukvård präglas av underinvesteringar. Det har bland annat lett till att en stor del av den data som i dag samlas in samlas in manuellt av vårdpersonalen i stället för att göras automatiserat eller genom att redan insamlade data återanvänds. Detta gäller såväl inmatning i olika register, som att besvara enkäter eller att data behöver registreras in flera olika system.
Underinvesteringar i digital infrastruktur kan också leda till höga driftkostnader då äldre system ofta inte är lika effektiva och skalbara som nya system.11 Ökade kostnader kan också komma av att underinvesteringar i digital infrastruktur inte gör data lättare att samla in och bearbeta i samma takt som behoven av datainsamling ökar. En sådan utveckling leder till att en allt större del av hälso- och sjukvårdens medarbetare behöver lägga tid på manuell datainsamling och administration (SOU 2016:2 s. 291, s. 366 och s. 575).
Utredningens bedömning är att Sverige hamnat i en nedåtgående spiral på hälsodataområdet bland annat till följd av bristande investeringar och styrning.12 Följden har blivit att kostnaderna och administrationen ökar i snabbare takt än besparingarna och mycket fokus
8 Tandvårds- och läkemedelsförmånsverket, 2021, Hur ska vi utvärdera och hur ska vi betala? Hälsoekonomiska bedömningar och betalningsmodeller för precisionsmedicin och ATMP. 9 Tandvårds- och läkemedelsförmånsverket, 2022, Beräkning och betalning. Fortsatt utredning om utvärderingsmetoder och betalningsmodeller för nya läkemedel som ATMP och precisionsmedicin. 10 Tandvårds- och läkemedelsförmånsverket, 2021, Utvecklad uppföljning med hjälp av data från exempelvis nationella tjänsteplattformen. 11 Crotty, J., & Horrocks, I., 2017. Managing legacy system costs: A case study of a meta-assessment model to identify solutions in a large financial services company. Applied computing and informatics, 13(2), 175–183. 12 Myndigheten för vård- och omsorgsanalys, 2021, Ökad precision i Europa. Sju europeiska länders satsningar på precisionsmedicin och hälsodata.
läggs på digitalisering13 snarare än datadrivet arbetssätt.14 Därutöver finns det i dag få möjligheter och strukturer som möjliggör för aktörer som är sekundära användare av hälsodata som har stora behov av hälsodata att bidra med finansieringen av infrastrukturen. Detta är sannolikt en fråga som kommer behöva utredas om Sverige ska klara de investeringsbehov som Sverige står inför på hälsodataområdet.
Utredningen delar regeringens (prop. 2022/23:1 Utgiftsområde 9 s. 32) om att det kommer krävas ett omfattande arbete för att göra omställningen till en mer datadriven hälso- och sjukvård. Exempelvis bedömer utredningen att Sverige kommer behöva investera i kompetensförsörjning, verksamhetsutveckling och infrastruktur som gör det möjligt att vända den nedåtgående trenden med ökande administration och bristfälliga möjligheter att använda de data som samlats in och skapa nytta för patienterna.
Problemet med ökande administration i vården har påpekats av flera utredningar, exempelvis utredningen Effektiv vård (SOU 2016:2 s. 291, s. 366 och s. 575). I våra grannländer har denna omställning pågått under flera år och även om det pågått i Sverige har exempelvis våra grannländer kommit längre på flera områden. Vi kan från deras arbete se att omställningen är möjlig, men att den också är svår och kostsam.15,16
11.3.2. Automatiserad datainsamling
Ett återkommande problem som lyfts till utredningen är bristen på automatiserad datainsamling och bearbetning17. Ett sådant arbetssätt skapar dubbelarbete för hälso- och sjukvårdens medarbetare (dir. 2022:98). Manuell datainsamling riskerar också att leda till felinmatningar eller att datainsamlingen prioriteras bort till förmån för annat arbete eller att det uppstår lokala variationer i datainsamlingen.
13 Med digitisering avses konvertering av information från analog till digital form. Till exempel att skanna in text och bilder och att överföra musik från band och LP‑skivor till digitalt format som CD och MP3. Digitisering kan också kallas för digifiering, dessa begrepp är ej att förväxla med digitalisering. 14 Institutet för framtidsstudier, 2018, Förbjuden framtid? Den digitala kommunen. 15 Myndigheten för vård- och omsorgsanalys, 2021, Ökad precision i Europa. Sju europeiska länders satsningar på precisionsmedicin och hälsodata. 16 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem. Erfarenheter från Danmark, Norge, England och Nederländerna. 17 SLIT–nätverket för Sveriges IT-direktörer, 2022, IT och digitalisering i hälso- och sjukvården 2022 (s. 21).
Automatiserad datainsamling innebär i praktiken en rad olika utmaningar så som standardisering, utveckling med mera och är därför ofta en komplex process att få till. Utredningen kommer inte i detta avsnitt gå in närmare på dessa utmaningar då flera utmaningar är kopplade till enskilda verksamheter.
Utredningen delar bilden som aktörerna utredningen träffat beskrivit, om att automatiseringen av datainsamlingen i vården inom hälsodataområdet måste öka för att kunna frigöra de resurser som vården kommer behöva för att hantera framtidens vårdbehov.18 Utredningens bedömning är att datahantering och dataförsörjning sannolikt kommer vara en av hälso- och sjukvårdens och välfärdens största utmaningar de kommande åren.
11.3.3. Datamängderna fortsätter att växa
NHS19 i England har ett pågående projekt som tydligt belyser hur omfattande datainsamlingen börjar bli inom hälso- och sjukvården. Sedan 2021 har NHS genomfört ett pilotprojekt tillsammans med företaget GRAIL för att screena för 50 olika cancertyper.20 I dagsläget omfattar deras genomikdatabas cirka 335 000 deltagare och omfattar över 12 petabyte, vilket motsvarar en miljon gigabyte, data.21 Detta kan jämföras med att vissa estimat visar att det globalt producerades2297 zettabyte23 data år 202224. NHS databas motsvarar alltså cirka 0,000012 procent av all data som genererades 2022.
18 Möte med Vårdföretagarna, Swedish Medtech 2 november 2022 och Svensk sjuksköterskeförening 26 september 2022. 19 Storbritanniens satsning på tidig detektion av cancer med hjälp av flytande biopsier – beskrivning och analys, RISE, 2022. 20 Storbritanniens satsning på tidig detektion av cancer med hjälp av flytande biopsier – beskrivning och analys, RISE, 2022. 21 https://grail.com/our-journey/ (Hämtat 2023-01-30). 22 Med producerades avses ”skapad, infångad, kopierad eller konsumerad”. Utredningen antar att estimatet är behäftat med betydande osäkerhet, men bedömer ändå att det ger en tillräcklig indikation på ungefär vilken magnitud datainsamlingen ligger på globalt. 23 För referens så motsvarar en zettabyte 1000 miljarder gigabyte. 24 https://www.statista.com/statistics/871513/worldwide-data-created/ (Hämtat 2023-01-30).
Figur 11.2 Estimerad global årlig datagenerering
Källa: https://www.statista.com/statistics/871513/worldwide-data-created/ (Hämtad 2023-01-30).
Ett annat sätt att se på storleken på GRAIL:s datamängd är att räkna ut hur stor den varit om lika mycket data skulle samlas in om samtliga individer globalt. I så fall skulle deras genomikdatabas motsvara 0,3 procent av all data som producerades globalt under 2022.
Marknaden för bolag som utvecklar genetiska tester ökar i snabb takt, därmed ökar också datainsamlingen. Under 2020 utgjorde den globala populationen ungefär 7 procent av alla människor som någonsin levt.25 Siffrorna visar tydligt på hur enormt stor datainsamlingen sannolikt kommer att bli de kommande åren.
Hälso- och sjukvårdens behov av storskalig lagring och beräkningskapacitet kommer sannolikt öka allt eftersom den tekniska utvecklingen inom life-science-området ökar.
25 https://info.nicic.gov/ces/global/population-demographics/how-many-people-have-everlived-earth (Hämtat 2023-01-27).
0 20 40 60 80 100 120 140 160 180 200
Zetta b yte
År
11.3.4. En uppgift en gång
Enligt FAIR-principerna (se avsnitt 3.3) ska data vara återanvändningsbar (reusable). I detta sammanhang brukar även principen om en uppgift en gång användas.26,27 Detta innebär att en uppgift endast ska behöva samlas in en gång. I dagsläget samlas mycket hälsodata in flera gånger och av olika aktörer. Exempelvis konstaterade Myndigheten för vård- och omsorgsanalys i en rapport att redan insamlade data inte alltid används.28 Detta medför dels att nyttan blir lägre för insamlade hälsodata, dels att det bli ökade kostnader för de fall då hälsodata samlas in flera gånger.
Det finns flera anledningar till att samma eller liknande uppgifter samlas in flera gånger. Några exempel är att uppgifterna samlats in med enbart ett syfte i åtanke snarare än ett bredare syfte och därmed begränsar återanvändbarheten. Ett annat problem är att hälsodata av olika skäl inte går eller får delas. I kapitel 2 redogörs för vad begreppet hälsodata innefattar enligt utredningen.
Ett av de stora problemen som utredningen identifierat är att det många gånger inte är samma personer eller aktörer som samlar in data som sedan nyttjar den. Ett sådant exempel kan vara att det är sjuksköterskor som samlar in data som sedan används av exempelvis sjukhusledningen. Det kan även röra datainsamling som följer av olika myndighetskrav som sedan kan behövas för ett annat ändamål. Den problematiken gäller såväl den primära som sekundära insamlingen. Att det är en aktör eller person som samlar in data och någon annan som använder den kan göra att datainsamlingen upplevs som meningslös.29 Det kan också leda till att för lite hälsodata samlas in, eftersom det är aktören som samlar in som står för större delen av kostnaden, medan det kan vara andra aktörer som har behovet. Då uppstår en diskrepans mellan utbud och efterfrågan som leder till ett suboptimalt nyttjande av hälsodata.
26 Se exempelvis DIGG:s arbete med nationellt ramverk för grunddata https://www.digg.se/ ledning-och-samordning/ena---sveriges-digitala-infrastruktur/nationella-grunddata (Hämtat 2023-08-07). 27 https://commission.europa.eu/news/once-only-principle-system-breakthrough-eusdigital-single-market-2020-11-05_en (Hämtat 2023-10-11). 28 Myndigheten för vård- och omsorgsanalys, 2017, Lapptäcke med otillräcklig täckning. Slututvärdering av satsningen på nationella kvalitetsregister. 29 https://www.dn.se/debatt/till-stora-kostnader-samlas-data-in-som-aldrig-anvands/ (Hämtat 2023-01-30).
11.3.5. Kompetensbristen är en stor utmaning i omställningsarbetet
Utmaningar med kompetensbristen är inte ett unikt problem för Sverige. Flertalet medlemsländer som intervjuades i projektet Towards the European Health Data Space (TEHDAS) gällande utmaningar kopplade till implementeringen av EHDS lyfte just kompetensbristen som en av de stora utmaningarna.30 Som utredningen tolkar underlaget som TEHDAS tagit fram att kompetensbristen avser såväl brist på generell- som spetskompetens inom exempelvis datahantering och bearbetning. Omställningen till en mer datadriven hälso- och sjukvård kommer innebära en hög grad av kompetensväxling inom vissa verksamheter, främst inom hälso- och sjukvården.
För att lyckas med omställningen till en mer datadriven hälso- och sjukvård krävs ökad kompetens inom områden som rör datahantering. Utredningens bedömning är att allt fler yrkeskategorier, så som administratörer, jurister, ekonomer men även vårdpersonalen behöver en ökad kompetens inom matematik, mer specifikt kvantitativ metod, men också inom datavetenskap. Allt eftersom data får en mer central roll och börjar genomsyra hela verksamheten behöver i stort samtliga som arbetar inom hälso- och sjukvården ha en grundläggande förståelse för vad data är och hur det kan användas. Utöver en ökad grundläggande kompetens bland samtliga medarbetare ökar även behovet av spetskompetens inom exempelvis dataanalys allt eftersom omställningen kommer längre och datamängderna och användningen av exempelvis AI ökar. Det finns även en brist på resurser och kompetens inom området hälsoinformatik. Ett område som utgör en central del i arbetet med att standardisera hälsodata och skapa förutsättningar för effektiv informationsförsörjning.31
11.3.6. Datakvalitet och tillgång till data
En datadriven hälso- och sjukvård kräver inte bara fungerande system och adekvata regelverk. Utan tillgång till nödvändiga data av bra kvalitet blir nyttan av datainsamlingen begränsad.
30 https://tehdas.eu/packages/package-4-outreach-engagement-and-sustainability/tehdascountry-visits/ (Hämtat 2023-03-23). 31 Möte med SKR 7 juni 2023.
Datatillgång
Efter dialog med flertalet aktörer kan utredningen konstatera att datatillgången begränsas av olika skäl. Nedan redogörs för de vanligaste skälen som lyfts till utredningen.
Juridiska hinder eller otydligheter
De juridiska aspekterna beskrivs i olika hänseenden närmare i kapitel 12, 13 respektive 15 samt genomgående i hela betänkandet och kommer därför inte redogöras för i detalj under detta men innebär i korthet att det i flera situationer saknas legala förutsättningar för att få tillgång till hälsodata.
Avsaknad av infrastruktur
Avsaknaden av teknisk och/eller organisatoriska infrastrukturella förmågor som möjliggör datadelning tas inte heller upp nedan utan beskrivs mer i kapitel 19, samt i bilaga 4 Promemoria med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet.
Bristande interoperabilitet
Behov av ökad teknisk och semantisk interoperabilitet kommer utredningen inte gå in på i någon större detalj eftersom det dels ligger utanför utredningens uppdrag, dels finns två pågående utredningar som tittar specifikt på interoperabilitet. Utredningen om infrastruktur för hälsodata som nationellt intresse (S 2022:10) och Utredningen om interoperabilitet vid datadelning (I 2022:03).
Bristande möjligheter för att hitta data
Flertalet aktörer har lyft problemet med att hitta vilka data som finns och var dessa data finns (N 2022:A).32,33 Ett sådant behov har även identifierats av EU-kommissionen som i artikel 55 i förslaget till EHDS skriver att de organ som ansvarar för tillgång till hälsodata ska informera dataanvändarna om tillgängliga dataset och deras egenskaper genom en metadatakatalog.
Utredningen delar aktörernas bedömning och ser att det finns behov av en nationell datahubb (se kapitel 19) som bör kompletteras med ansvaret för att, i ett första skede, tillhandahålla en metadatakatalog över de hälsodatamängder som omfattas av PDL, lag (1998:543) om hälsodataregister samt utredningens eget förslag, lag om vidareanvändning av vissa personuppgifter för klinisk forskning. I ett senare skede bör, enligt utredningens bedömning, även andra datamängder inkluderas. I det arbetet bör även befintliga strukturer så som Vetenskapsrådets metadatatjänst RUT beaktas.
Låg uppdateringsfrekvens och långa ledtider
Flera aktörer har lyft behovet av ökad uppdateringsfrekvens och kortare ledtider. Det handlar primärt om hälsodataregister eller register som finns i regionerna, så som nationella kvalitetsregister.34 Det har även i budgetpropositionen för 2022 (prop. 2021/22:1 Utgiftsområde 9 s. 45) angetts att uppdateringsfrekvensen behöver öka för att kunna hantera aktuella samhällsproblem.
Uppdateringsfrekvensen är inte bara viktig för krishantering, den är också viktig för den nationella uppföljningen, forskning, innovation och för bland annat life science-industrin, som är en av Sveriges stora basnäringar.35 Enligt dataskyddsförordningen finns även ett generellt krav på att de som är personuppgiftsansvariga ska se till att personuppgifter som behandlas är korrekta och om nödvändigt uppdaterade (artikel 5.1 d).
32 Socialstyrelsen, 2022, Kartläggning av datamängder av nationellt intresse på hälsodataområdet (delrapport), s. 34. 33 E-hälsomyndigheten, 2022, Förstudie om ett statligt, nationellt datautrymme för bilddiagnostik, s. 54. 34 Industrin, TLV, LV, VOA, Coronakommissionen, SoS utredning, BP, uppdateringsfrekvensen i hälsodataregistren är så låg (Socialstyrelsen 2022-10-8136, TLV 1694/2020. 35 Regeringskansliet, 2019, En nationell strategi för life science.
Den låga uppdateringsfrekvensen är också ett problem för regeringen då en stor del av den statliga uppföljningen bedrivs genom att myndigheter får uppdrag att ta fram myndighetsrapporter. Dessa rapporter bygger ofta på användningen av data från bland annat Socialstyrelsens hälsodataregister. Registren har i dag olika uppdateringsfrekvens, vissa månadsvis, andra årsvis. I praktiken innebär det att de flesta myndighetsrapporter baseras på gamla data, vilket får till följd att rapporterna kan belysa hur situationen såg ut för flera år sedan. Detta tillför även andra problem, exempelvis att det är svårt att komplettera analyserna med intervjuer av aktörer inom hälso- och sjukvården eftersom den data som svaren jämförs med kan vara flera år gamla. Det kan i sin tur bland annat leda till att det kan bli svårt för myndigheterna att lämna rekommendationer på åtgärder, lite beroende på hur trögrörliga trenderna är som analyseras. En effekt av det är att många rapporter av olika skäl inte svarar upp emot de behov som Regeringskansliet har (SOU 2020:36 s. 262).
Möjlighet att ta del av data
Det kan i vissa fall finnas skäl till att olika privata och offentliga aktörer väljer att inte dela hälsodata. De två vanligaste orsakerna som lyfts till utredningen är kostnaden för utlämnande samt osäkerhet kring om hälsodata får lämnas ut eller inte. Vad gäller kostnaderna för utlämnande så kan det röra såväl brister på tekniska eller organisatoriska förutsättningar mellan datahållare som gör att kostnaden för utlämnande kan skilja sig åt. Exempelvis att data inte är strukturerad eller sammanställd på ett sätt så att de enkelt kan delas.
Det kan också röra sig om att vissa datauttag är mer komplexa och innebär omfattande administration, exempelvis i samband med menprövningar. Vad som får lämnas ut är dessutom en bedömningsfråga som kan skilja sig från en aktör till en annan. Exempelvis kan olika regioner eller myndigheter inom en region göra olika bedömningar kring förutsättningarna att göra ett utlämnande i enlighet med gällande sekretessregler. Dessa förutsättningar kan få till effekt att den som begär ut hälsodata får hälsodata från vissa regioner och avslag från andra regioner.
En annan orsak som utredningen fått till sig är att en del datahållare känner sig osäkra på om de får tillgängliggöra data eller att de
känner sig otrygga med huruvida de kan behålla kontrollen över sina hälsodata om de delar sina hälsodata. Det kan exempelvis avse att mottagande aktör inte bedöms ha adekvat cyber- och informationssäkerhet för att säkerställa att uppgifterna inte kommer obehöriga till del. En annan anledning är att datahållare ser en risk att deras hälsodata kan komma att tolkas felaktig om dataanvändaren inte har tillräcklig kunskap om den. Det kan också bero på en upplevd risk att hälsodatan kommer delas eller användas för andra ändamål än för vad de tillgängliggjorts för.
Ytterligare orsaker som lyfts är att data i vissa fall är eller ses som en företagshemlighet och att de företag som äger informationen inte vill eller kan dela den.
Sammanfattning
Det finns flera utmaningar kopplat till frågan om tillgång till data och det är på vissa områden anmärkningsvärt hur bristfällig tillgången på relevanta data är. Exempelvis finns i dag inga nationella tillförlitliga och uppdaterade data över tillgängligheten till vård (SOU 2021:58, s. 374), trots att tillgängligheten till vård är en av väljarnas viktigaste fråga.36
Enligt utredningens bedömning kommer inrättandet av en nationell datahubb med tillhörande regionala datahubbar inte att lösa alla problem för frågan om datatillgång utan det kommer även krävas omfattande investeringar i kommuner och regioner samt en starkare statlig styrning som prioriterar och harmoniserar investeringarna inom detta område som i sin tur skapar nationella infrastrukturella förmågor att ställa om hälso- och sjukvården till att bli mer datadriven.
Datakvalitet
Flera aktörer har lyft att det inom vissa områden finns brist på hälsodata av bra datakvalitet. Det har främst handlat om uppgifter i exempelvis journaler eller patientgenererade data. I dag saknas delvis strukturer som säkerställer att de hälsodata som rapporteras in inom hälso- och
36 Näsman, P., Oscarsson, H. E., Pettersson, M., & Holmberg, S. 2022. VALU 2022-SVT:s vallokalsundersökning riksdagsvalet 2022.
sjukvården är korrekta. Ett exempel som visar på denna avsaknad var när journaler började tillgängliggöras via nätet, då upptäckte vissa patienter fel i journalerna, så som hur ofta patienten hade symptom eller liknande.37 Det kan i detta sammanhang också nämnas att journaldata är en datamängd som är notoriskt svårhanterad. Personer kan säga fel eller läkaren kan behöva tolka diffusa förklaringar av problem och därefter göra antaganden som kan vara mer eller mindre korrekta. Det finns därför gott om situationer där det kan uppstå felaktigheter.
Det kommer aldrig gå att kontrollera alla hälsodata för alla eventuella fel. I stället kommer det krävas att relevant data har en tillräcklig kvalitet för ändamålet. Ibland kan det behöva accepteras att kvaliteten för olika variabler inte är lika god i ett helt dataset eller att täckningsgraden inte är fullständig. Exempelvis kan en datamängd om exempelvis läkemedelsordination ha tillräckligt god kvalitet för att det ska kunna utläsas en trend i datamängden, även om några enskilda observationer skulle vara felaktiga. I det enskilda fallet skulle en felaktig observation däremot kunna innebära en betydande patientsäkerhetsrisk.
Sammanfattningsvis kan det konstateras att kvalitén på relevant data kan variera beroende på situation. Ibland krävs att kvalitén är väldigt hög, medan den i andra situationer kan vara tillräckligt att datan är av medel till hög kvalité. Eftersom behoven och nyttan kan variera ner på variabelnivå inom samma datamängd så kan kostnaden för datainsamlingen alltså i vissa fall behöva bedömas ner på variabelnivå för att bedöma om kostnaderna står i relation till nyttan.
En annan vanligt återkommande synpunkt som lyfts till utredningen är behovet av god kännedom om de hälsodata som analyseras. Detta kräver att både dataanvändaren och datahållaren har god kännedom om aktuella hälsodata. Oftast är det aktörerna som är nära insamlingen av den relevanta hälsodatan som har bäst koll på dess styrkor och svagheter och för vilka ändamål olika datamängder lämpar sig.38
37 Möte med Regionala cancercentrum 22 september 2023. 38 Möte med Regionala cancercentrum 22 september 2022, Institutet för hälsa och välfärd (THL) 21 oktober 2022, Centrum för hälsodata 12 januari 2023, Socialstyrelsen 27 januari 2023.
11.3.7. Behovet av direkt identifierbara individdata
Flera aktörer har framhållit behovet av direkt identifierbara personuppgifter, medan andra har ifrågasatt behovet av individdata. Utredningen kommer därför kortfattat redogöra för de behov som dataanvändare har av direkt identifierbara personuppgifter.
Det finns olika skäl till att en aktör kan behöva få tillgång till direkt identifierbara personuppgifter. Inom forskning kan det bero på att individen observeras direkt och att det därmed är svårt eller ibland inte ens möjligt att använda sig av annat än direkt identifierbara personuppgifter.
Ett annat vanligt behov är att kunna samköra hälsodata. Ett sådant exempel är om en forskningsstudie är intresserad av hälsodata från två olika kvalitetsregister där samma personer finns registrerade. Om dessa två datamängder ska sammanfogas krävs en nyckel (se avsnitt 3.3.4) för att veta vilka hälsodata som hör till vilken individ. En vanligt förekommande nyckel är personnummer. Den som samkör hälsodata har sällan ett behov eller en vilja av att veta vem individen är, men utan någon form av kodnyckel saknas möjligheten att kunna sammanfoga och jämföra hälsodata från olika register.
Ett av syftena med hälsodatareglering är enligt utredningen att förhindra okontrollerad vidareanvändning och okontrollerad samkörning av personuppgifter. Det finns en efterfrågan att kunna minimera intrånget i den personliga integriteten genom att samköra hälsodata inom en säker behandlingsmiljö39 eller på något annat sätt där integritetsintrånget kan minimeras och informations- och cybersäkerheten kan hållas på en hög nivå. Andra aspekter som efterfrågas är öppenhet och information till de berörda personerna kring samkörningsmöjligheterna och att så sker.
39 I detta sammanhang avses begreppet säker behandlingsmiljö som är definierat i artikel 2 i Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten) och begreppet ska alltså inte tolkas så som det kan används allmänspråkligt.
11.3.8. Tillit är en grundförutsättning för att kunna dela data
En grundförutsättning för datadelning är att det finns tillit mellan invånarna vars data samlas in och den som samlar in data.
Regeringen har utöver direktiven till denna utredning (dir. 2022:41) i en rad olika dokument kommunicerat vikten av integritetsskydd och medborgarnas tillit. I budgetpropositionen 2022 skriver regeringen:
Datadelning ska präglas av öppenhet och transparens och det ska vara tydligt för den enskilde om, hur, när och i vilka syften data kan komma att delas. Kontrollerade, säkra och transparenta mekanismer för datadelning med tillhörande tillsyn är en förutsättning för att motverka diskriminering och orimliga intrång i individens integritet, samtidigt som det är ett värdefullt verktyg för att kunna erbjuda en god och effektiv vård.
Att samla in stora mängder data om individer är ett stort ansvar. Insamling av data bygger i stora delar på individens tillit till att datahållaren använder datan på ett ansvarsfullt och säkert sätt.
Utmaningar kring tillit för hantering av personuppgifter och utbud av digitala tjänster.
Viljan att dela hälsodata verkar skilja sig åt mellan grupper, ändamål och typ av hälsodata det är som ska delas. Detta kan exempelvis ses i den undersökning som den europeiska paraplyorganisationen för sällsynta hälsotillstånd EURORDIS gjort. De tillfrågade sina medlemmar om deras inställning till datadelning. Av urvalet som tillfrågades att svara på enkäten svarade endast 19 procent, vilket gör att svaren ska tolkas med försiktighet.
Enligt undersökningen skulle 97 procent av de som besvarade enkäten vara redo att dela med sig av sina personuppgifter för att utveckla nya behandlingar och förbättra diagnostiken av sin sjukdom. Vidare var 95 procent villiga att dela med sig av sina personuppgifter för att förbättra forskningen om andra sjukdomar än deras egen.40
Enligt undersökningen uppgav 80 procent att de ville ha full (47 procent) eller nästan full (33 procent) kontroll över de personuppgifter de delar med sig av. De som svarade på undersökningen uppgav i detta sammanhang även att de två största riskerna, som de ser i samband
40 Courbier, S., Dimond, R., & Bros-Facer, V. (2019). Share and protect our health data: an evidence based approach to rare disease patients’ perspectives on data sharing and data protection-quantitative survey and recommendations. Orphanet journal of rare diseases, 14, 1–15.
med datadelning, är att deras data ska delas med tredje part utan deras samtycke samt att deras data skulle användas för något annat än det som de delade med sig av sina data för.
Enligt E-hälsomyndighetens Invånarundersökning från 2021 uppger var fjärde invånare att de delvis eller inte alls litar på att deras information behandlas på ett säkert sätt av hälso- och sjukvården eller socialtjänsten.41 Även om denna fråga inte svarar på invånarnas vilja att dela sina personuppgifter så anser utredningen att det är rimligt antagande att de flesta sannolikt tycker att det är en viktig del i beslutet om de vill dela sina personuppgifter eller inte. Detta grundar utredningen utöver egen bedömning utifrån det kontakter utredningen haft, men bedömningen grundar sig också i att det skett protester mot exempelvis förslaget till EHDS där kritik riktats mot att invånare tappar kontrollen över hur deras hälsodata används.42
Orsakerna till att en person vill dela med sig av sina personuppgifter kan vara många, en grundförutsättning är dock att det finns tillit till att personuppgifterna inte missbrukas. Tilliten till datadelning verkar lätt att förlora och desto svårare att bygga upp, vilket varit fallet i exempelvis Storbritannien (se avsnitt 10.3.10).
Sammanfattningsvis konstaterar utredningen att det är angeläget att det finns en tillit hos landets invånare till att utökade möjligheter för vidareanvändning av hälsodata hanteras på ett sätt som invånarna kan känna sig trygga och bekväma med. I det ingår att såväl tjänsterna som informationen tillgängliggörs på ett sätt som är tillgängligt för samtliga invånare, oavsett om de är vuxna, barn, personer med kognitiva eller andra funktionsvariationer.
11.4. Nya förutsättningar på hälsodataområdet
Allt eftersom nya typer av datamängder kan samlas in, kan även förväntningarna från medborgarna på att dessa data används på lämpligt sätt inom hälso- och sjukvården öka. När det blev möjligt att mäta blocksockernivåerna i blodet uppstod en förväntan bland många personer med diabetes att denna information skulle samlas in och användas för att få till en bättre hälso- och sjukvård för diabetiker. I dag
41 E-hälsomyndigheten, 2021, Invånarundersökningen 2021, Om digitala tjänster inom hälso- och sjukvård och socialtjänst. 42 https://www.dn.se/sverige/hundratusen-i-protest-mot-delad-patientdata-i-eu/ (2023-10-11).
är den datainsamlingen en självklar del av diabetesvården och en central del för att kunna erbjuda bra behandling.
Ett annat exempel, som i dag tas för givet, är när teknik som gjorde det möjligt att mäta halterna av olika ämnen i vatten eller luft utvecklades. Denna teknik har möjliggjort att forskare har kunnat koppla ihop halterna av dessa ämnen med olika hälsoutfall, vilket i flera fall lett till en reglering på området.43
11.4.1. Precisionsmedicin
Precisionsmedicin, är ett relativt nytt begrepp som blir allt viktigare inom hälso- och sjukvården. Utredningen avser inte definiera exakt vad som ingår i begreppet precisionsmedicin men enligt utredningen kan det generellt anses innebära att prevention, behandling, diagnostik och uppföljning skräddarsys efter den enskilde patientens unika förutsättningar. Det kan göras genom olika metoder där ett vanligt sätt är att analysera den genetiska profilen hos en individ.
Begreppet precisionsmedicin
Utredningen konstaterar att det pågår en diskussion kring semantiken och begreppet personlig hälso- och sjukvård i förhållande till begreppen precisionsmedicin, precisionshälsa och precisionsterapi. Exempelvis finns en EU rådslutsats från 2015 som Sverige skrivit på och där det på engelska heter ”personalised medicine” (2015/C 421/03) som översatts till ”individualiserad behandling för patienter”. Det skulle kunna gå att argumentera för att detta begrepp är något bredare än precisionsmedicin och inte heller är något nytt. Utredningen konstaterar därmed bara att olika begrepp florerar och utredningen har inte för avsikt att försöka definiera begreppen eller se över semantiken.
Utredningen utgår primärt från begreppet precisionsmedicin eftersom det, enligt utredningens bedömning, är det i särklass vanligaste begreppet som använts av de som utredningen varit i kontakt med inom det aktuella ämnet. Inom vissa områden är precisionsmedicin vanligare än inom andra, men utvecklingen indikerar att precisionsmedicin sprider sig och används inom allt fler områden. I dag skulle
43 Se exempelvis: Europaparlamentets och rådets direktiv 2008/50/EG av den 21 maj 2008 om luftkvalitet och renare luft i Europa.
en patient med behov av en blodtransfusion inte få en sådan transfusion utan att hälso- och sjukvården först ser till så till exempel blodgrupp matchar patientens blod. På samma sätt ämnar precisionsmedicin se till patienternas individuella förutsättningar och anpassa vård och behandling därefter.44
Vad innebär användning av precisionsmedicin
En läkarundersökning genomförs oftast för att en läkare försöker hitta orsaken till att en patient upplever ett obehag, smärta eller annat symtom som gett patienten anledning att uppsöka hälso- och sjukvården. För att hitta orsaken och ställa en diagnos finns det många olika undersökningar som kan behöva göras, som till exempel klinisk undersökning, avbildning med röntgen eller nuklearmedicin och laboratorieanalyser av urin eller blod. Det är även möjligt att undersöka och analysera patientens arvsmassa vilket kallas sekvensering. Att genomföra en gen- eller genomsekvensering är en avancerad undersökning av delar eller hela patientens arvsmassa (genomet). En sådan sekvensering genererar enorma mängder data.
I våra celler finns en molekyl som kallas DNA. DNA:t fungerar som en instruktionsbok, som styr hur vår kropp byggs upp och fungerar. Instruktionen är uppbyggd av fyra kemiska molekyler, som betecknas med bokstäverna A, G, T och C. Den kompletta uppsättningen bokstäver, DNA-molekyler, utgör individens genomsekvens. Hela genomet består av två uppsättningar, en från vardera föräldern, av 3 miljarder av dessa DNA-bokstäver. Cirka 99 procent av DNAsekvensen är lika hos alla människor, medan det är den resterande 1 procent som gör oss olika och som bestämmer allt från en individs längd till individens hårfärg. Förändringar i DNA-sekvensen kan ge hälsoproblem eller sjukdom.
Olikheter mellan våra genom uppstår av slumpvisa förändringar när celler delar sig och DNA kopieras. Dessa förändringar kan liknas vid ett stavfel eller en bugg i en datakod. Oftast innebär det här inga problem för personen, utan är enbart individuella skillnader. Ibland leder dock stavfelet till hälsoproblem eller sjukdom hos individen, då kroppen inte får rätt instruktionen.
44 Dialog med Genomic Medicine Sweden (GMS) 2023-08-25.
Att upptäcka och förstå stavfelen/buggarna i en individs DNA kan hjälpa hälso- och sjukvården att ställa rätt diagnos och i bästa fall hitta en behandling som är skräddarsydd för den specifika patientens genförutsättningar.
Genom att ta ett blodprov eller annan vävnad kan hälso- och sjukvården analysera vissa av patientens gener eller hela patientens genom. Genomsekvensering och helgenomsekvensering innebär samma sak.
För att hitta de eventuella förändringarna i en specifik patients DNA behöver gen- eller genomsekvensen jämföras med sekvensen från andra individer. Ju fler sekvenser som kan jämföras med, desto säkrare utfall. För att kunna förstå vilka förändringar i en specifik patients DNA som kan bidra till ohälsa och vilka som är normalvariationer och därmed ofarliga, behöver läkaren även veta hur DNA:t ser ut hos friska individer. Ibland jämförs en individs genomsekvens med nära släktingars sekvens, som mellan föräldrar och barn eller syskon. Vid en sådan jämförelse kan det även avgöras om det kan finnas ärftlighet i genförändringen. Genom att veta exakt var den specifika patientens genom är annorlunda, kan den kunskapen hjälpa läkaren att ställa diagnos för patientens tillstånd, eller avfärda en misstänkt diagnos. Därmed ökar möjligheten att hitta den bästa individuella vården och behandlingen.
Gen- och genomsekvensering är komplicerade processer, som kräver både mycket kunskap och avancerade analysmetoder. Förändringar i DNA:t som hittas behöver bedömas av specialister.
Som nämnts tidigare består en individs DNA av 3 miljarder bokstäver i olika kombinationer som utgör den mänskliga arvsmassan och där vissa genförändringar kan ge upphov till olika hälsotillstånd.
Kunskapen och möjligheter till att ställa diagnos förbättras hela tiden i snabb takt. Ju fler genom som sekvenseras, desto mer kunskap genereras om betydelsen av genetiska varianter och därmed kan fler personer få en genetisk diagnos. Nyckeln till ännu fler och snabbare förbättringar ligger i att kunna jämföra och dela sådan data.
Utöver genomik finns även andra tekniker så som bildanalys, AI, proteomik, transkriptomik, epigenomik45 med flera vilka också är viktiga delar av precisionsmedicinen. Det är dock svårt att i nuläget säga vilka omik-tekniker som kommer användas inom precisionsmedicin i framtiden. Teknologiska framsteg inom genomik och rela-
45 Förenklat kan sägas att Proteomik, transkriptomik, epigenomik likt genomik är ett samlingsbegrepp för olika metoder för att analysera biologiska tillstånd eller processer.
terade områden har underlättat stora sekvenseringsinsatser, stöttat nya biologiska upptäckter inom till exempel cancersjukdomar och skapat en era av biomarkörer som analyseras i blod. Trots dessa framsteg finns det ytterligare frågor som kan få svar med hjälp av avancerad helkropps-avbildning med röntgen eller nuklearmedicinska metoder. Tidig diagnos, spridning av sjukdomen, uttryck av olika biomarkörer kan visualiseras med olika bildgivande metoder. Denna information används för att ge den unika patienten en korrekt diagnos, för att planera och välja behandling samt för att följa behandlingssvar och sjukdomsutveckling. Molekylär avbildning med till exempel positronemissionstomografi (PET) kan vägleda behandlingsval genom att påvisa förekomst av särskilda biomarkörer och hur utbredda dessa är i kroppen. Det går även att se om biomarkörerna varierar mellan olika områden av sjukdomen. Bilderna kan även analyseras med olika datadrivna metoder som genererar stora mängder data. Precis som med omik finns praktiska utmaningar för en bredare användning av precisionsavbildning i sjukvården och det finns dessutom ett stort behov av infrastruktur för datadelning av bilddata.
På behandlingssidan finns även avancerade terapiläkemedel som i varierande grad anpassas efter personen eller personens specifika genuppsättning och är en viktig del av precisionsmedicinen. Det finns flera utmaningar med behandlingar som CAR-T46, gen- och vävnadsterapier, såsom stora kostnader vid behandlingstillfället samt en osäkerhet kopplat till långtidseffekterna av behandlingen. Det kan även leda till stor osäkerhet kopplat till långtidseffekterna ur ett hälsoekonomiskt perspektiv. Både diagnostiken och den precisionsmedicinska behandlingen genererar stora mängder data.
Fördelar med precisionsmedicinska arbetssätt
Nyttan som precisionsmedicinen bidrar med kan hjälpa patienter att få en diagnos eller rätt anpassad behandling. För sällsynta diagnoser är möjligheten att få en diagnos en viktig förutsättning för att få tillgång till rätt vård, omhändertagande och stödinsatser. Att använda sig av till exempel helgenomsekvensering kan ha en avgörande roll för att fastställa sällsynta diagnoser. Rätt behandling kan i sin tur både rädda liv och minska lidande för patienterna. Inom ett forsknings-
46 Chimeric antigen receptor T cell therapy.
projekt har flera barn i Sverige med hittills obotlig cancer fått individanpassad behandling. Forskningsprojektet har bidragit till att barnen fått prova anpassade läkemedel som riktar sig mot just genetiska fel i cancercellerna. I minst 25 fall har tumörerna minskat eller slutat växa.47För fler fördelar som följer av förslagen, se konsekvensutredningen i avsnitt 18.2.1.
11.4.2. Ökad reglering ökar behovet av data
Utöver ökade förväntningar så kommer hela tiden nya krav på dokumentation gällande exempelvis säkerhet och effekt av läkemedel och medicintekniska produkter. Kraven på dokumentation ställer i sin tur krav på tillgång till data. EU-förordningarna som reglerar medicintekniska produkter och medicintekniska produkter för in vitrodiagnostik, (2017/745 respektive 2017/746) ställer nya och ökade krav på dokumentation kring medicintekniska produkter. Tillverkarna måste ha tillgång till data för att uppfylla kraven på tillräcklig dokumentation för att användarna ska få tillgång till säkra och effektiva produkter. Samtidigt som behovet av data har ökat har kostnaden för datainsamlingen i sjukvården inte minskat i samma takt och förutsättningarna för insamlingen av dessa data har inte heller nödvändigtvis ökat eller förenklats.
11.4.3. Hälsodata som krävs för att hantera kriser
Ytterligare ett exempel på behov av nya datamängder är data som krävs för att hantera kriser såsom en pandemi. Ett problem med denna typ av hälsodata är att det på förhand kan vara svårt att veta vilka data som behövs för en specifik kris. Detta ställer högre krav på en mer flexibel lagstiftning i en krissituation, men framför allt att det finns system, semantik och infrastruktur på plats som kan hantera de nya behoven.
47 Se https://www.barncancerfonden.se/barncancerforskning/sa-ska-forskarna-utrota-barncancer/ forskningsreportage/ny-chans-for-barn-med-hittills-obotlig-cancer/ (hämtad 11 oktober 2023).
11.5. Övriga utmaningar som följer av den tekniska utvecklingen
11.5.1. AI
Flera aktörer har lyft till utredningen att det är svårt att veta hur data får användas i samband med utveckling och användning av AI. Utredningen kommer inte gå in på detta av olika skäl. Hur AI får användas kommer delvis att regleras i AI-förordningen, se kapitel 4.
11.5.2. Datautvinning
Datautvinning kallas även för data mining och innebär sökning efter mönster och samband i stora data-mängder. Metoden används bland annat för att leta efter sådant som: – samtidiga samband så som företeelser som uppträder samtidigt
eller under samma omständigheter, – sekventiella samband så som företeelser som brukar uppträda i en
bestämd ordning, – kategorisering så som gruppering efter nyupptäckta mönster, – samhörighet så som gruppering efter andra samband, se affinitets-
analys och – förutsägelser så som prediktiv analys.
Ett konkret exempel från detaljhandeln är en amerikansk stormarknadskedja som upptäckte att försäljningen av både öl och blöjor ökade på fredagar. När dessa varor placerades intill varandra ökade försäljningen av båda ytterligare. Förklaringen var att småbarnspappor brukar handla just på fredagar.48
Exemplet ovan kan verka banalt, men med stora datamängder och mycket beräkningskraft kan denna metod hitta samband som ingen människa skulle kunna göra. Det är därför oftast svårt att på förhand veta exakt vilka samband och trender modellen kan hittat ur en given mängd data. Även om det kan vara utmanande att ta reda på om sambanden från denna typ av analysmetod är kausala eller inte och i så
48 https://it-ord.idg.se/ord/datautvinning/ (Hämtat 2023-03-27).
fall åt vilket håll det kausala sambandet går samt hur hela det kausala sambandet ser ut så har de på senare år skapat nya möjligheter för att generera nya hypoteser.49
Ett problem med denna typ av analyser är att det oftast krävs mycket data och i fallet för hälsodata så rör det sig oftast om känsliga personuppgifter. Eftersom den som analyserar datan inte på förhand alltid vet vad hen letar efter kan det vara svårt att uppgiftsminimera. Det är också svårt att på förhand specificera och avgränsa vilka typer av samband det är som analytikern förväntar sig att hitta och huruvida dessa samband faktiskt finns eller om de bara beror på slumpen. Så trots att denna typ av analysmetod många gånger analyserar flera miljoner datapunkter, som gör det praktiskt omöjligt för den som analyserar datan att identifiera enskilda i den, så är den ändock ur ett integritetsperspektiv svårhanterad. Utredningen bedömer dock att denna typ av metod blir allt vanligare inom hälsodataområdet, inte minst för forskning, uppföljning och utveckling.
49 Oquendo, M. A., et al. 2012. Machine learning and data mining: strategies for hypothesis generation. Molecular psychiatry, 17(10), 956–959.
12. Problemanalys kopplad till utredningens författningsförslag
12.1. Inledning
I föregående kapitel har övergripande behov på området beskrivits. Olika brister har identifierats och utredningen har, via de kontakter som förevarit inom utredningsarbetet, fått till sig att regelverken på hälsodataområdet upplevs som otydliga och otillräckliga.
I detta kapitel redogör utredningen för de problem och brister som utredningen bedömer faller inom ramen för utredningens direktiv. Vidare är problemanalysen i detta kapitel begränsad till de situationer där det, enligt utredningens bedömning, är möjligt för utredningen att lämna författningsförslag. I utredningens direktiv framgår det att utredningen ska analysera, bedöma och i de fall det behövs, lämna författningsförslag för att möjliggöra sekundäranvändning av hälsodata från hälso- och sjukvården för flera olika ändamål. Utredningen har landat i att det är möjligt att lämna författningsförslag för två av ändamålen som räknas upp i direktiven. Det ena ändamålet är när personuppgifter från en eller flera patienter ska kunna användas för vård och behandling av andra enskilda patienter. Det andra ändamålet är när personuppgifter ska användas för forskning. Utredningens avgränsningar och bedömningar av varför dessa två är möjliga att lämna författningsförslag på, finns beskrivna i avsnitt 2.6. Ändamål som finns med i utredningens direktiv, men som utredningen av olika anledningar inte kan lämna författningsförslag på, beskrivs närmare i kapitel 19 en nationell datahubb, Kapitel 20 En nationell datahubb för ändamålen i utredningens direktiv, Kapitel 21 Byggstenar för den nationella datahubben och Kapitel 22 Frågeställningar för fortsatt utredning. I dessa kapitel kommer även konkreta tillämpningssvårigheter och behov som utredningen fått till sig men som inte faller inom utredningens direktiv att redovisas.
12.2. Vidareanvändning för vårdändamål
12.2.1. Inledning
Att använda data från flera olika personer för att utveckla och förbättra vården är i sig inget nytt. Däremot skapas kontinuerligt nya möjligheter genom att använda mer detaljerade data om enskilda patienter för att behandla en annan enskild patient. Flera aktörer har lyft för utredningen att det finns nytta av denna typ av dataanvändning inom flera olika medicinska områden och verksamheter inom hälso- och sjukvården. Behoven förefaller vara störst inom den så kallade precisionsmedicinen.
I dagsläget är det möjligt att analysera en patients gener och därigenom fastställa diagnos och skräddarsy behandling utifrån den enskilda individens genetiska förutsättningar. Denna typ av diagnostik och behandling brukar benämnas precisionsmedicin, vilket avser diagnostiska metoder och terapi för individanpassad utredning, prevention och behandling av sjukdom, applicerade på individnivå eller på delar av befolkningen.1 Ibland används även begreppet precisionshälsa för att belysa att det är bredare och omfattar fler områden än det medicinska området.2
Vilka data som är och kommer vara aktuella för precisionsmedicin i framtiden är svårt att säga. I dagsläget är det vanligt att analysera patientens gener, vilket gör genomikdatan central. Däremot finns det andra typer av data och andra tekniker som också är relevanta för precisionsmedicinen, som till exempel bildanalys, AI, proteomik, transkriptomik, epigenomik3 med flera. Sådan data kan också behöva samköras med andra datatyper som till exempel bilder.
Nuvarande regelverk som styr hälso- och sjukvården har tillkommit under en tid när inte precisionsmedicin fanns och är följaktligen inte anpassat efter dagens förutsättningar. Patientdatalagen (2008:355), förkortad PDL, är därför inte utformad efter de behov som precisionsmedicinen har. Behandling av personuppgifter från en (eller flera) patienter för vård av en annan patient, än den (eller de) personuppgifterna avser, är i dag inte ett uttryckligt tillåtet ändamål enligt PDL. Det rättsliga stödet för att vårdpersonal i ett enskilt fall ska få behandla
1 Regeringskansliet, 2019, En nationell strategi för life science. 2 Möte med Svensk sjuksköterskeförening 26 september 2022. 3 Proteomik, transkriptomik, epigenomik är likt genomik och enkelt utryckt är dessa olika metoder för att analysera biologiska processer eller egenskaper.
personuppgifter för vårdändamål utgår från att personalen deltar i vården av den patient vars uppgifter behandlas. Behovet av att ta del av andra patienters personuppgifter, som personalen inte deltar i vården av, för ändamålet vård och behandling genom att till exempel jämföra olika analyser i stor skala saknar ett tydligt rättsligt stöd i dagens lagstiftning. Om personuppgifter ska delas mellan vårdgivare, till exempel mellan två regioner, finns också sekretessgränser att ta hänsyn till.
I dag finns således inte de rättsliga förutsättningarna för att fullskaligt kunna implementera precisionsmedicin i Sverige. Detta har sedan tidigare påtalats i en hemställan till regeringen av Genomic Medicine Sweden4 och av Komets förslag om att utreda insamling och delning av hälsodata.5
Precisionsmedicin används dock i viss utsträckning redan i dag. Exempelvis är det möjligt att identifiera kliniskt relevanta molekylära förändringar och markörer som den enskilda patienten har. En sådan process kan skapa grundläggande förståelse för patientens förutsättningar och kan vara avgörande för att sätta in en målinriktad behandling. Detaljrika kartläggningar av olika sjukdomar och mer skräddarsydda behandlingar som kartläggningarna öppnar för, ökar. Däremot saknas rättsliga förutsättningar för vårdpersonalen att jämföra dessa uppgifter mellan olika patienter. Oaktat de legala förutsättningarna ser även förutsättningarna för användandet av precisionsmedicin olika ut i olika delar av landet i dag. Utredningen anser att det går att ifrågasätta om de bristande juridiska förutsättningarna är etiskt försvarbara och om konsekvenserna av de legala begränsningarna är förenliga med hälso- och sjukvårdens målsättning om vård på lika villkor för hela befolkningen, se 3 kap. 1 § hälso- och sjukvårdslagen (2017:30), förkortad HSL.
12.2.2. Juridiska förutsättningar
Nedan kommer de främsta juridiska hindren att övergripande beröras. Dessa hinder samt andra juridiska aspekter av betydelse för utredningens förslag kommer att beröras mer i detalj i kapitel 13 Vidareanvändning för vård av en annan patient än den som uppgifterna avser.
4 Regeringskansliet, 2020, dnr S2020/08250-1. 5 Kommittén för teknologisk innovation och etik, N 2018:04, 2020, Förslag om att utreda insamling och delning av hälsodata (dnr komm2020/00543/N 2018:04).
Avsaknad av uttryckligt ändamål i PDL
PDL är utformad så att det i lagen finns en bestämmelse som har till syfte att så uttömmande som möjligt ange för vilka ändamål som vårdgivare får behandla personuppgifter inom hälso- och sjukvården. Bestämmelsen finns i 2 kap. 4 § PDL och kallas nedan för ändamålsbestämmelsen. I förarbetena till lagen lyfts särskilt att vårdgivarna inte själva får besluta om ytterligare ändamål för vilket eller vilka personuppgifter kan samlas in i verksamheten (prop. 2007/08:126 s. 56). Utredningen anser att detta uttalande även har bäring på vidareanvändning för nya ändamål, se vidare avsnitt 13.8.
Ändamålsbestämmelsen består av sammanlagt sju punkter, med sju olika specificerade ändamål. Vad avser behandling av personuppgifter för den individinriktade patientvården, är punkterna 1–2 i ändamålsbestämmelsen relevanta. Punkterna brukar gemensamt benämnas för ändamålet vårddokumentation, se vidare avsnitt 7.5.4). Enligt dessa punkter får vårdgivare behandla personuppgifter om det behövs för
- att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,
- administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall.
I den utsträckning journalföringsplikt finns är sådan insamling och registrering också en skyldighet för hälso- och sjukvårdspersonal (se 3 kap. 1 och 3 §§ PDL). Av ordalydelsen i punkterna ovan framgår inte att de uppgifter som dokumenteras får användas för vården av en annan patient än den som uppgifterna avser.
Av förarbetena till PDL framgår dock att ändamålet vårddokumentation även omfattar senare användning av de registrerade uppgifterna i den omfattning som behövs för patientvården eller patientadministrationen (se prop. 2007/08:126, s. 57). Att uppgifterna inte enbart får behandlas för att fullgöra journalföringsplikten eller upprättande av annan dokumentation framgår alltså inte uttryckligen av lagtexten. Utredningen Rätt information på rätt plats i rätt tid föreslog att det i förtydligande syfte skulle tas in en formulering om detta i PDL.6 Förslaget ledde inte till lagstiftning. Utredningen uppfattar dock inte att det råder något tvivel om att vårdgivare även får
6 Se SOU 2014:23, s. 155–156.
behandla personuppgifter för vården av den patient som uppgifterna avser, även efter det att de skyldigheter som framgår av punkten 1 ovan har fullgjorts. Sådan behandling kan enligt utredningens mening inte heller vara oförutsebar för den registrerade. Däremot framgår inte av förarbetena att registrerade uppgifter om en eller flera patienter skulle kunna användas för vården av en annan patient.
Ändamålet i 2 kap. 4 § första stycket 1 PDL kopplar enligt dess ordalydelse till journalföringsplikten i 3 kap. PDL. Frågan är om reglerna i 3 kap. PDL kan ge stöd för att tolka 2 kap. 4 § första stycket punkten 1 PDL som att ändamålet även omfattar behandling av personuppgifter för vård av annan patient. Utredningen har utrett denna fråga och kommit fram till att så inte är fallet. Utredningens resonemang kring detta utvecklas i avsnitt 13.8.
Utredningens sammantagna slutsats är att det inte finns något stöd i PDL eller dess förarbeten för att vårdgivare skulle få använda personuppgifter som samlats in och behandlas för vården av en patient, för vården av en annan patient. Enligt utredningens mening finns också en stor principiell skillnad mellan att, å ena sidan, använda registrerade data om en patient för vården av den patienten, och, å andra sidan, att använda samma data för vården av en annan patient. Utredningens bedömning är att den personuppgiftsbehandling som krävs inte är förenlig med finalitetsprincipen, se vidare avsnitt 13.8.2.
Utredningen konstaterar sammanfattningsvis att det saknas rättslig grund som tillåter att vårdgivare behandlar personuppgifter för vård av en annan patient än den som uppgifterna avser. Slutsatsen innebär ett juridiskt hinder för den personuppgiftsbehandling som är nödvändig för att fullt ut implementera bland annat precisionsmedicin.
Begränsningar avseende rättsligt stöd för vårdgivarens personal att ta del av dokumenterade personuppgifter vid vård av annan patient än den personuppgifterna avser
Ytterligare en fråga som utredningen har uppmärksammats på är begränsningarna av den rättsliga grunden i PDL för behörig personal att ta del av dokumenterade personuppgifter. Relevant bestämmelse finns i 4 kap. 1 § PDL. Av bestämmelsen följer att den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.
Förarbetena till PDL ger inte någon mer utförlig ledning till hur ”deltar i vården” eller ”annat skäl” i 4 kap. 1 § PDL ska tolkas eller hur dessa formuleringar förhåller sig till ändamålsbestämmelsen i 2 kap. 4 § PDL (jämför prop. 2007/08:126, s. 238). Ett utförligare resonemang kring detta förs i avsnitt 13.9.
Sammanfattningsvis anser utredningen att det saknas rättsligt stöd för personalens tillgång till dokumenterade personuppgifter om en eller flera patienter i syfte att vårda en annan patient.
Befintliga möjligheter till datadelning över vårdgivargränser för patientändamål avser endast samma patient
I lagen (2022:913) om sammanhållen vård och omsorgsdokumentation, förkortad SVOD, samt 25 kap. 2 § och 25 kap. 11 § 3 offentlighets- och sekretesslagen (2009:400), förkortad OSL, finns regler som möjliggör datadelning under vissa förutsättningar mellan vårdgivare. Reglerna avser datadelning avseende personuppgifter som behandlas för ändamålet vårddokumentation enligt PDL (se 2 kap. 1 § SVOD). Reglerna består kortfattat av sekretessbrytande bestämmelser och möjlighet till direktåtkomst eller annat elektroniskt utlämnande av vårddokumentation. För en mer utförlig beskrivning av dessa regler, se, avsnitt 7.6 och avsnitt 8.3.3.
Ett av kraven för att vårdgivare ska få behandla personuppgifter enligt SVOD är att vårdgivaren har en aktuell patientrelation med den patienten och att patienten samtycker till behandlingen i det enskilda fallet (3 kap. 1–2 §§ SVOD). Regleringen ställer även krav på att uppgifterna bland annat ska antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten. Reglerna i SVOD möjliggör således inte heller för vårdgivare att behandla personuppgifter om en eller flera patienter för vård av en annan patient.
Sekretess mellan vårdgivare
Uppgifter inom offentligt bedriven hälso- och sjukvård omfattas av regleringen i OSL. Inom hälso- och sjukvården gäller som huvudregel sekretess för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men
(25 kap. 1 § OSL). Hälso- och sjukvårdssekretessen gäller alltså med ett omvänt skaderekvisit, det vill säga det finns en presumtion för att uppgifterna inte ska lämnas ut. Inom enskild hälso- och sjukvård gäller i stället tystnadsplikt enligt 6 kap.12–14 och 16 §§patientsäkerhetslagen (2010:659), förkortad PSL.
Sekretess i offentlig verksamhet gäller som huvudregel både i förhållande till enskilda och andra myndigheter (8 kap. 1 § OSL). Nämnder inom en kommun eller region anses utgöra egna myndigheter. Detta innebär att sekretess som utgångspunkt gäller mellan till exempel olika nämnder inom en region. Mellan myndigheter inom en kommun eller en region som bedriver hälso- och sjukvård finns en sekretessbrytande bestämmelse (25 kap. 11 § 1–2 OSL).
Mellan vårdgivare finns en sekretessbrytande bestämmelse kopplade till SVOD (25 kap. 11 § 3 OSL). Det finns även sekretessbrytande bestämmelse för uppgiftslämnande till nationella eller regionala kvalitetsregister (25 kap. 11 § 4 OSL). Ingen av dessa bestämmelser kan dock tillämpas om exempelvis en region, för vården av en patient i en annan region, vill tillgängliggöra uppgifter som avser en annan patient än den som ska vårdas. Mellan hälso- och sjukvårdsmyndigheter i olika regioner finns således sekretessgränser som hindrar datadelning.
Utrymme för olika tolkningar
Utredningen har under sitt arbete tagit del av tolkningar som olika aktörer gör avseende ovan berörda regler. Utredningen kan konstatera att aktörerna gör olika bedömningar. Vissa aktörer anser till exempel att det kan finnas ett utrymme för att tolka in behandling av personuppgifter för vård av en annan patient än den som uppgifterna avser i ändamålsbestämmelsen i PDL. De finns aktörer som ser ett utrymme för att tolka befogenhetsbestämmelsen i 4 kap. 1 § PDL så att ”annat skäl” kan anses utgöra stöd för personalens åtkomst till dokumenterade personuppgifter om patienter, medan andra inte gör det.
Den sammantagna bilden som utredningen fått är att reglerna i PDL ger stort utrymme för tolkning. Tolkningar som går isär är ett problem som skapar oförutsebarhet och rättsosäkerhet om inte lagstiftaren ingriper. Det faktum motiverar i sig lagstiftning. Utredningens bedömning är att det uppenbarligen behövs tydligare regler för att
det ska vara förutsebart och finnas ett tydligt rättsligt stöd för både vårdgivare och patienter.
12.3. Vidareanvändning för klinisk forskning
12.3.1. Inledning
Som nämnts i kapitel 6 Forskning utgörs klinisk forskning av medicinsk och hälsovetenskaplig forskning som förutsätter vårdens strukturer och resurser och har som mål att lösa ett hälsoproblem. Forskningen kan även ha som mål att identifiera faktorer som leder till ökad hälsa. Som utgångspunkt behövs tillgång till hälsodata som finns inom hälso- och sjukvården för att bedriva klinisk forskning. Ett problem som lyfts av flertalet aktörer avser åtkomsten till uppgifter som behövs för att klinisk forskning ska kunna genomföras. Utredningen konstaterar att det finns sekretessregler som underlättar utlämnande från hälso- och sjukvården till klinisk forskning, se avsnitt 8.3.4). I praktiken förekommer även utlämnande i stor omfattning till klinisk forskning. Däremot har utredningen fått till sig att den praktiska hanteringen kring utlämnande inte alltid är så smidig och upplevs utdaterad i flera avseenden. Utlämnande till klinisk forskning kräver ofta en omfattande och tidskrävande manuell sammanställning av uppgifter som vanligen utförs av administrativ personal hos vårdgivaren. Långa ledtider medför i sin tur fördröjning av angelägen klinisk forskning. Dessutom riskerar olika slutsatser vid menprövningar att leda till att forskare får ut olika mycket information från olika myndigheter. En sådan effekt kan i sin tur leda till ett obalanserat underlag för den kliniska forskningen. Utöver dessa problem har utredningen även fått till sig att omfattande utlämnanden många gånger sker på papper, trots att uppgifterna hanteras digitalt både före och efter utlämnandet.
Problemen är, av allt att döma, flera och av olika art. För att förenkla och förbättra en sådan hantering fullt ut räcker inte författningsändringar, se vidare avsnitt 15.3.4. Utredningen har däremot för avsikt att ringa in vilka problem som genom nya författningsförslag skulle kunna åtgärdas till viss del för att underlätta åtkomst till hälsodata som finns inom hälso- och sjukvården.
12.3.2. Juridiska förutsättningar
Regelverk för klinisk forskning som verksamhet
Förutsättningarna för att bedriva klinisk forskning inom hälso- och sjukvården regleras typiskt sett av lagen (2003:460) om etikprövning av forskning som avser människor, förkortad etikprövningslagen. Omfattas den kliniska forskningen av MDR,7 IVDR8 eller CTR9 är dessa EU-förordningar och kompletterande svensk lagstiftning om etisk granskning tillämpliga i stället för etikprövningslagen (se 4 a och 4 b §§ etikprövningslagen). När hälso- och sjukvård och klinisk forskning bedrivs inom exempelvis en region tillämpas alltså regelverken avseende hälso- och sjukvården, parallellt med regelverken avseende forskningen. Regionen uppträder då både som vårdgivare och forskningshuvudman (eller motsvarande enligt ovan nämnda förordningar). Inblandad personal behöver vara medvetna om, förstå och förhålla sig till att olika regelverk är tillämpliga beroende på om det är hälso- och sjukvård eller klinisk forskning den utför. Utredningen redogör nedan för olika juridiska perspektiv som behöver tas hänsyn till i sammanhanget.
Ändamål och åtkomst
Som utredningen konstaterat tidigare är det olika regelverk som aktualiseras beroende på vilket ändamål en personuppgift ska behandlas för. För vårdändamål gäller vissa regler. Handlar det i stället om forskningsändamål gäller andra regler. Regleringen av åtkomsten till uppgifter som finns inom en vårdgivares verksamhet beror på ändamålet och vårdpersonalen har behörighet för åtkomst baserat på sitt individuella behov, kopplat till ett eller flera ändamål.
Vilka uppgifter personalen får ta del av varierar således beroende på vilken behörighet personalen har i förhållande till vilket område personalen arbetar. I PDL finns tydliga regler för hur vårdpersonal
7 Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG. 8 Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitro-diagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU. 9 Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG.
får bereda sig åtkomst till dokumenterade uppgifter om en patient inom en vårdgivares verksamhet för ändamålet vård. Åtkomsten styrs av så kallad inre sekretess, och beskrivs i avsnitt 12.2.2.
Behörigheten som personalen tilldelas begränsas till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. PDL tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården (se 1 kap. 1 § PDL). Enligt e contrario tolkning av definitionen av hälso- och sjukvård (se 2 kap. 1 § HSL) utgör forskning inte hälso- och sjukvård. Eftersom forskning därmed inte utgör en del av tillämpningsområdet för PDL, gäller följaktligen inte en behörighet som personalen tilldelats för åtkomst till patientuppgifter inom hälso- och sjukvården om personalen behöver tillgång till uppgifter för ändamålet klinisk forskning. Ändamålet antalsberäkning (se 1 kap. 3 § och 2 kap. 4 § 7 PDL) utgör inte i sig forskning, utan är ett moment inom hälso- och sjukvården som görs inför planerad klinisk forskning. Klinisk forskning omfattas inte heller av SVOD.
Ett vanligt praktiskt problem som utredningen fått till sig är när personal både forskar och tillhandahåller vård till samma individer. En sådan situation innebär att olika juridiska regelverk blir gällande för de olika personuppgiftsbehandlingarna. Personal som rent praktiskt har åtkomst till personuppgifter som behövs för både vård och klinisk forskning får då generellt sett inte använda åtkomsten för båda ändamålen. Uppgifter som behövs för klinisk forskning måste i stället vanligtvis begäras ut från den personuppgiftsansvariga vårdgivaren för forskningsändamålet. Det spelar alltså ingen roll att det de facto finns en åtkomst till uppgifterna för personalen, eftersom rätten att ta del av uppgifter om patienter styrs av ändamålen och den rättsliga grunden som en personuppgiftsbehandling vilar på. Det juridiska regelverk som styr detta beskrivs i stycket nedan.
Efter att utredningen har varit i kontakt med ett flertal aktörer framstår frågan om processen för åtkomst till personuppgifter för ändamålet klinisk forskning som mest angelägen för hälso- och sjukvårdspersonal som också bedriver klinisk forskning. Utredningen konstaterar att angelägenheten är tydligast inom regionerna. En betydande andel av utlämnande av data från hälso- och sjukvården för ändamålet klinisk forskning sker från regionala myndigheter som bedriver hälso- och sjukvård till regionala myndigheter som bedriver klinisk forskning eller till lärosäten som bedriver klinisk forskning. Inom universitet
och högskolor bedrivs också klinisk forskning, ibland i samarbete med regioner och ibland mer självständigt.
Sekretessgränser
Forskning som inte är ett led i vården betraktas från sekretessperspektiv som en självständig verksamhetsgren inom vårdgivare som är myndigheter (offentliga vårdgivare), se avseende självständiga verksamhetsgrenar, kapitel 8 Offentlighet, sekretess och tystnadsplikt, samt kapitel 13, avsnitt 13.7 Forskning som ett led i vården och patientnära forskning. Detta innebär att det finns en yttre sekretessgräns inom den vårdgivande myndigheten mellan, å ena sidan, hälso- och sjukvårdsverksamheten, och å andra sidan, klinisk forskning, som inte är ett led i vården av patienter. Rent formellt finns därmed en sekretessgräns mellan vårdverksamheten och forskningsverksamheten även om båda sker på samma klinik med samma personal.
Som nämns i avsnitt 12.3.1 blir det extra tydligt för det fall personal både tillhandahåller vård och forskar på samma individer. När klinisk forskning och vård sker momentant omfattas båda situationerna av samma sekretess, se avsnitt 15.6. Sekretessgränsen uppstår däremot när personal tillhandahåller vård och behandlar en patient på förmiddagen för att sedan på eftermiddagen bedriva klinisk forskning på samma individ som då utgörs av en forskningsperson. Då innebär reglerna att personalen behöver förhålla sig till en sekretessgräns mellan vården som ges till patienten och den kliniska forskningen på samma person. Förhållandet mellan de olika verksamhetsgrenarna får till följd att det vanligtvis behöver ske ett utlämnande av personuppgifter från hälso- och sjukvården till den kliniska forskningen. Forskaren måste alltså, i enlighet med reglerna om handlingsoffentlighet i 2 kap. tryckfrihetsförordningen begära ut de uppgifter som behövs för den kliniska forskningen, trots att forskaren, i egenskap av till exempel behandlande läkare, kan ha åtkomst till samma uppgifter med stöd av sin behörighet och reglerna om inre sekretess i 4 kap. 1–2 §§ PDL.
Ett utlämnande ska föregås av en så kallad menprövning som ska göras av någon som objektivt kan bedöma om uppgifterna ska lämnas ut, vilket vanligtvis då inte är forskaren själv. I praktiken sker en sådan process på olika sätt. En yrkesutövare som önskar ta del av den
egna verksamhetens journalinformation för forskningsändamål kan i många regioner endast få tillgång till den efter att verksamhetschefen eller annan beslutsfattare har fattat ett beslut om utlämnande. Ett sådan beslut om utlämnande innebär inte att det är tillåtet att ta del av journaluppgifterna genom att logga in i regionens journalsystem.
För många yrkesverksamma i hälso- och sjukvården är det även vanligt med så kallade kombinationsanställningar, där personal är anställd både inom en region och hos ett lärosäte. Här kan det, utifrån sett, upplevas som tydligt att åtkomst till vårdgivarens journalsystem endast kan bli aktuellt som anställd hos vårdgivaren för ändamålet vård. Verkligheten är dock inte lika distinkt, då samma person ofta byter roll och arbetsgivare flera gånger under en och samma dag. Ofta flyter arbetsuppgifterna för kombinationsanställda samman och det kan upplevas som verklighetsfrånvänt att dra en skarp linje mellan dessa arbetsuppgifter för att det juridiska regelverket kräver det. Utredningen konstaterar att det juridiska regelverket är tydligt men otympligt att efterleva i praktiken. En region, som i denna kontext är en vårdgivare, kan bestå av flera myndigheter som bedriver hälso- och sjukvård. Styrelser och nämnder inom en region är egna myndigheter. Mellan myndigheter inom en vårdgivare och mellan myndigheter hos olika vårdgivare finns som utgångspunkt också yttre sekretessgränser mellan hälso- och sjukvårdsverksamhet och klinisk forskning. Det saknas regler om direktåtkomst eller annat elektroniskt utlämnande för ändamålet klinisk forskning, medan sådan åtkomst kan ske över dessa gränser för vårdändamål. Samma praktiska problem finns därmed även mellan myndigheter inom vårdgivaren och mellan vårdgivare när det kommer till utlämnande till klinisk forskning.
Till den del den patientnära forskningen innefattar patientjournalföring eller annan dokumentation som hör till vården av patienten, ska den informationshanteringen ske med stöd av PDL (se prop. 2007/08:126, s. 51). I förarbetena till PDL (prop. 2007/08:126, SOU 2006:82) saknas vägledning om hur forskning som ett led i vården ska tolkas och i vilka situationer det kan vara tillämpligt. Denna diskrepans har lyfts som ett problem till utredningen. Utredningen behandlar denna fråga i avsnitt 15.6. Forskning som ett led i vården och patientnära forskning.
I figur 12.1 har utredningen försökt illustrera olika sekretessgränser som finns. Varje svart linje utgör en sekretessgräns. Det innebär att det finns sekretessgränser både mellan olika regioner och inom en
region, det vill säga mellan olika myndigheter inom en och samma region. Det finns även sekretessgränser inom en och samma myndighet i en region, mellan olika verksamhetsgrenar, exempelvis mellan hälso- och sjukvårdsverksamheten och den kliniska forskningen. Utöver dessa sekretessgränser finns det också sekretessgränser mellan hälso- och sjukvårdsverksamheten vid en myndighet inom en region och forskningsverksamhet vid ett universitet. När det finns sådana sekretessgränser kan uppgifter ändå utlämnas efter föregående menprövning enligt beskrivningarna ovan, vilket pilarna nedan illustrerar.
Figur 12.1 Sekretessgränser mellan hälso- och sjukvård och klinisk forskning hos myndigheter
Källa: Utredningens illustration.
Hälso- och sjukvårds-
verksamhet
Hälso- och sjukvårds-
verksamhet
Klinisk forskning
Region B
Region A
Övrig verksamhet
Klinisk forskning
Universitet A
Myndighet 1 (ex. ett sjukhus)
Myndighet 2 (ex. ett sjukhus)
Myndighet 1 (ex. ett sjukhus)
Myndighet 2 (ex. ett sjukhus)
Hälso- och sjukvårds-
verksamhet
Personuppgiftsbehandling
Vad avser personuppgiftsbehandling hos en vårdgivare som sker endast i forskningssyfte, omfattas den, som redan nämnts ovan, inte av PDL:s tillämpningsområde. Med detta avses dokumentation som enbart sker i forskningssyfte och som inte heller har någon betydelse för vården (se prop. 2007/08:126 s. 51). Patientdatalagen ska tillämpas vid behandling av personuppgifter i vårdgivares kärnverksamhet som avser tillhandahållande av hälso- och sjukvård inklusive tandvård åt patienter (prop. 2007/08:126, s. 48). Personuppgiftsbehandling som sker inom forskning saknar en motsvarande kompletterande författningsreglering och regleras enbart av Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad EU:s dataskyddsförordning (se vidare avsnitt 7.7). För den personuppgiftbehandling och hantering av personuppgifter som PDL är tillämplig på är vårdgivaren personuppgiftsansvarig, se 2 kap. 6 § PDL.
Avseende den personuppgiftshanteringen som enbart sker för forskningen, finns ingen liknande utpekad personuppgiftsansvarig i nationell lagstiftning. Bedömning av vem som är personuppgiftsansvarig måste i stället göras enligt reglerna i EU:s dataskyddsförordning. Inom forskningsprojekt kan det variera hur parterna reglerar personuppgiftsansvaret beroende på hur förutsättningarna ser ut i det enskilda fallet. Flera olika upplägg som kan vara möjliga finns och förekommer inom den kliniska forskningen. Ett är när det finns två eller flera parallella, självständiga personuppgiftsansvariga. Ett annat upplägg kan vara att parterna som ingår i forskningsprojektet, ingår ett avtal om gemensamt personuppgiftsansvar. Ett tredje kan vara att en part utgör ett personuppgiftsbiträde åt en annan part som då är personuppgiftsansvarig. I sammanhanget kan även nämnas att för antalsberäkning, som ansetts utgöra ett förberedande steg för klinisk forskning gäller alltjämt personuppgiftsansvaret enligt PDL (jämför ovan och se prop. 2022/ 23:31 s. 17 och 25 f.).
13. Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
13.1. Inledning
Av kapitel 2 framgår att utredningen lämnar författningsförslag avseende vårdändamålet. Utredningens författningsförslag avser vidareanvändning av personuppgifter för vården av en annan patient än den som uppgifterna avser. Överväganden och förslag som avser de bestämmelser som utredningen lämnar förslag på finns i kapitel 14.
I förevarande kapitel berörs utgångspunkter och inriktning för utredningens förslag till regler avseende vidareanvändning för vårdändamålet.
I avsnitt 13.2 beskrivs från praktisk synvinkel de behov som finns inom hälso- och sjukvården kopplade till att hitta relevant hälsodata för vården av en annan patient än den som uppgifterna avser. Vid sökning av hälsodata om andra patienter än den som uppgifterna avser uppkommer frågan om gränsen mellan vård och forskning (avsnitt 13.2.2) samt etiska aspekter på att tillgängliggöra information för hälso- och sjukvårdspersonal att använda på nya sätt (avsnitt 13.2.3). Utredningen beskriver vidare den praktiska gången vid sökning efter relevant hälsodata för vårdändamål, avsnitt 13.2.4.
Utredningen redogör för de övergripande ställningstaganden som utredningen haft att göra avseende vilken eller vilka informationsmängder som det ska bli tillåtet att göra sökning i, avsnitt 13.3. I pedagogiskt syfte presenterar utredningen i avsnitt 13.4 den övergripande modell som utredningen föreslår ska gälla för behandling av personuppgifter för ändamålet vården av en annan patient än den som uppgifterna avser. Överväganden kopplade till modellen återkommer i avsnitt 13.3–13.5 i detta kapitel, samt mer detaljerat i kapitel 14. En principiell fråga som utredningen har haft att ta ställning till är om
reglerna ska vara frivilliga eller utgöra skyldigheter för aktörerna. Denna fråga berörs i avsnitt13.6.
Utredningen har valt en lösning som bygger på att det ska få inrättas databaser som samlar relevanta hälsodata för ändamålet vården av en annan patient än den som uppgifterna avser. Utredningens överväganden kring utformningen av sådana databaser och hur de ska få inrättas finns i avsnitt 13.6 och avsnitt 14.7.
Utredningens överväganden avseende den övergripande lagtekniska utformningen av regleringen finns i avsnitt 13.7.
Två principiellt viktiga rättsliga frågor är om befintliga ändamålsbestämmelser i patientdatalagen (2008:355), förkortad PDL, omfattar behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser samt om befintliga bestämmelser i PDL om befogenhet att ta del av patientuppgifter ger stöd för hälso- och sjukvårdspersonal att ta del av uppgifter för att vårda en annan patient än den som uppgifterna avser. Utredningens analys av dessa frågor finns i avsnitt 13.8 och 13.9.
I de mer praktiskt inriktade delarna av kapitlet använder utredningen begreppen data, hälsodata, vidareanvändning och vårdändamål. När utredningen skriver om den föreslagna regleringen använder utredningen begreppet personuppgifter i stället för hälsodata, eftersom det är det som utredningens författningsförslag avser, se avsnitt 2.6.3. Vårdändamålet formuleras enligt utredningens förslag som behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser, se avsnitt 14.4.
13.2. Att hitta relevant hälsodata för vårdändamål
Vad precisionsmedicin är och innebär beskrivs mer utförligt i avsnitt 11.4.1. Precisionsmedicin generellt kräver och genererar stora mängder hälsodata, lite beroende på område. Metoden går ut på att kunna skräddarsy vård och behandling för den enskilda patienten, utifrån dennes individuella förutsättningar. För att kunna arbeta med ett precisionsmedicinskt arbetssätt krävs att det går att jämföra relevanta hälsodata. Hälsodata från andra patienter som har liknande förutsättningar kan ge ledning i det enskilda fallet. För att kunna hitta datan som ger ledning krävs att aktuell personal har tillgång till relevanta hälsodata.
13.2.1. Om sökning och utfall
Aktörer inom hälso- och sjukvården har för utredningen beskrivit de konkreta behoven som finns för att hälsodata ska kunna vidareanvända för vårdändamål. Det som beskrivs tar sin utgångspunkt i behoven att kunna söka och hitta relevant hälsodata för vården av den patient som vårdas.
I detta avsnitt berörs begreppen sökning och utfall av sökning. Dessa begrepp är grundläggande för förståelsen av det sätt som man inom hälso- och sjukvården behöver använda hälsodata för att implementera precisionsmedicin i vården.
Utredningen har identifierat tre typiska utfall av en sökning i en datamängd som innehåller hälsodata om patienter. Avsnittet innehåller även en redogörelse för dessa typfall, benämnda Typfall 1–3.
Vad är sökning och utfall?
Utredningen använder begreppet sökning för en aktivitet som går ut på att leta efter relevant information i en informationsmängd genom att ange urval eller kriterier. Utredningen har valt ett exempel som vem som helst ska kunna ta till sig. Exempel på ett urval är ”krukor” och exempel på urval med kriterium är krukor under 500 kronor.
Svaret på en sökning, det vill säga den information som kommer ut av sökningen, kallar utredningen för utfall. Utfallet av sökningen är en uppsättning data som uppfyller det urval eller de kriterier som sattes upp i sökningen. En sökning kan exempelvis vara ”alla grå krukor under 500 kronor, sorterade på pris”. På en sådan sökning kommer användaren få se alla grå krukor under 500 kronor som finns i en databas, sorterade på pris. För att översätta detta till sökning efter hälsodata i en databas för vårdändamål kan en sökning avse en viss genförändring (urval) hos kvinnor i ålder 20–30 år (kriterium). Ett exempel på utfall är att den som sökte får se en informationsmängd där effekt av behandling (variabel) samt vilken behandling de fått (variabel) baserat på de urval och kriterier som ställts upp för sökningen.
Det finns olika sätt att söka efter data. Ett exempel är att användaren söker efter data i en databas genom att skicka en fråga till databasen. Frågor till en databas är i stort sett samma sak som sökfunktioner på hemsidor där användaren kan filtrera sin sökning efter exempelvis färg, pris eller storlek. Skillnaden är att frågan oftast skrivs i ett program-
meringsspråk, medan sökningar på hemsidor har programmeringskod i grunden som gör att användaren ska slippa kunna programmera för att genomföra sökningen. I praktiken är det dock samma sak som händer.
I vissa fall kan sökning likna antalsberäkning för forskning, se avsnitt 13.2.2. Utredningen har valt att benämna förfarandet sökning för att inte skapa förvirring eller sammanblandning med sådan antalsberäkning som redan finns reglerad i PDL (se 2 kap. 4 § första stycket 7 PDL) och som utförs inför klinisk forskning.
Utredningen har även övervägt andra begrepp, till exempel efterforskning. Utredning anser att efterforskning är mindre lämpligt i ett sammanhang där det handlar om vidareanvändning av hälsodata för vårdändamålet, eftersom det kan föra tankarna till forskning. Utredningen uppfattar inte heller att efterforskning är en term som används i praktiken. Utredningen har därför landat i att använda begreppet sökning.
Utfall av sökningen – tre typfall
Utredningen har identifierat att utfallen vid sökning kan delas in i tre typfall, vilka visas i figur 13.1.
Figur 13.1 Utfallstyper 1–3. Typfall 1 och 2 är vidareanvändning för vårdändamål och typfall 3 är vidareanvändning för forskningsändamål
Källa: Utredningens illustration.
Mängd information
Antal patienter
Antal patienter
Antal patienter
Vård av annan
Forskning
Typfall 1 – mycket information om ett fåtal patienter
Typfall 1 avser utfallet mycket information om ett fåtal patienter. Sökningen har i denna situation gjorts utifrån att behovet för vården av en patient är mycket information om ett fåtal patienter. Detta kan exempelvis vara fallet vid behandling av en person med ett sällsynt hälsotillstånd. Patientgruppen är ofta liten och det är inte ovanligt med en komplex sjukdomsbild. För att kunna vårda dessa patienter på bästa sätt krävs ofta mycket information från patienter med samma eller liknande hälsotillstånd.
Typfall 2 – lite information om många patienter
Typfall 2 avser utfallet lite information om många patienter. Sökning i denna situation har gjorts utifrån att behovet för vården av en patient är att det behövs lite information om många patienter. Ett sådan exempel kan vara att se hur patienter med en viss typ av cancer reagerat på olika typer av läkemedelsbehandling. I dagsläget är det vanligt att cancer delas in baserat på vilken vävnad cancern sitter i, exempelvis bröstcancer. Läkemedelsbehandlingar har traditionellt utvecklats för att behandla cancern utifrån denna uppdelning och därför är det vanligt att cancerläkemedel blir godkända för behandling av exempelvis bröstcancer.
På senare år har det blivit allt vanligare att titta på vilken mutation det är som gett upphov till cancern och därmed sätta in den behandling som har bäst effekt baserat på patientens specifika mutation. I praktiken skulle det kunna vara så att en läkare har en patient som fått bröstcancer, tumören har sekvenserats och läkaren har gott om information om cancern. Läkaren kan nu välja att sätta in det läkemedel som traditionellt varit bäst för samtliga personer som fått bröstcancer. I stället har läkaren möjlighet att titta i en databas som innehåller alla patienter som fått diagnosen bröstcancer, tumörspecifik information, vilka behandlingar de fått samt behandlingsutfall. Läkaren kan efter denna sökning konstatera att patienten i det aktuella fallet har en ovanligare form av bröstcancer och att andra patienter fått effekt av den läkemedelsbehandling som patienten i normala fall skulle fått efter att ha testat två andra, vanligare läkemedelsbehandlingar. Läkaren väljer därför att ordinera patienten på en behandling som sannolikt är bättre anpassad direkt.
Typfall 3 – mycket information om många patienter
Typfall 3 avser utfallet mycket information om många patienter eller till och med ”allt om alla” utifrån ett visst urval eller kriterium. I denna situation är behovet relativt mycket information och relativt många patienter. Utfallet i typfall 3 grundar sig på en mer explorativ sökning som exempelvis att testa en hypotes på ett större datamaterial. Utredningen utvecklar resonemanget i 13.2.2.
Endast typfall 1 och 2 kan vara vidareanvändning av hälsodata för vårdändamål
Utredningens bedömning är att användning av den information som blir utfallet av sökning i typfall 1 och 2 kan falla in under kravet på att hälso- och sjukvårdspersonalen ska utföra sitt arbete i överensstämmelse med vetenskap och beprövad erfarenhet (se 6 kap. 1 § patientsäkerhetslagen, förkortad PSL). Den information som till exempel behandlande läkare får ta del av från denna typ av sökning är, enligt utredningen, möjligt att jämföra med den information den som söker hade fått genom att rådfråga andra läkare som haft liknande patientfall. En sökning i en samlad informationsmängd gör det dock möjligt att ”rådfråga” och ta del av andra patienters uppgifter och på så vis dra nytta av samlad, upparbetad kunskap och beprövad erfarenhet. Informationsmängden som utfallet av sökningen resulterar i blir en sammanställning av information om exempelvis vilken typ av behandling som satts in i liknande situationer. Bedömningarna av behandlingsval bör antas vara grundade på vetenskap, kunskap och beprövad erfarenhet.
13.2.2. Gränsen mot forskning
Ur ett etiskt och juridiskt perspektiv är det centralt att göra skillnad mellan hälso- och sjukvård och forskning. Olika etiska principer och regelverk gäller för verksamhet som avser hälso- och sjukvård respektive forskning, se vidare om detta i kapitlen 5 och 6.
En förklaring till denna uppdelning är att medan hälso- och sjukvård har den enskilda patientens välmående och hälsa i fokus, syftar forskning till att skapa vetenskaplig kunskap till gagn för kommande
patienter och framtidens vård. Precisionsmedicin kan dock, rent juridiskt, ses som en uppluckring av denna gränsdragning – här handlar det inte enbart om åtgärder med den vars information det gäller i fokus, utan även om att skapa kunskap för vård av andra, aktuella och identifierade, patienter. Kunskapen som erhålls är också av ett annat slag än den som skapas med hjälp av gängse vetenskapliga metoder. Det innebär att medan precisionsmedicin handlar om vård av patienter, uppkommer en möjlig slitning mellan den nytta som uppstår för en person av att begränsa nyttjandet av dennes information (bevarad integritet) och nyttan som uppstår av att personuppgifterna kan användas för att vårda någon annan.
Vid personuppgiftsbehandling är det dock viktigt att hålla reda på för vilket ändamål som användningen av personuppgifter sker. Insamling av personuppgifter får bara ske för särskilda, uttryckligt angivna och berättigade ändamål och får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (artikel 5.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad dataskyddsförordningen). I PDL, finns en uppräkning av de ändamål som vårdgivare får behandla personuppgifter för inom hälso- och sjukvården (se 2 kap. 4 § andra stycket PDL). I typfall 3 i figur 13.1 innebär behandlingen av personuppgifter en mer explorativ sökning för att jämföra olika data utan att det specifika målet med personuppgiftsbehandlingen ska vara en enskild patients vård. Forskning hjälper till att skapa ny kunskap. Utredningen konstaterar att det finns forskning som bedrivs på mycket små patientgrupper eller utifrån informationen i stora register. Det innebär att figuren och typfall 1 och 2 även kan aktualiseras vid forskning. Utredningens målsättning med att ändå försöka illustrera typfallen är att visa på att precisionsmedicinska databaser inte har som syfte att användas för forskning.
De regler som utredningen föreslår för ändamålet vård av annan än den som personuppgifterna avser, syftar till att skapa utökade möjligheter till personuppgiftsbehandling för vårdändamål. Allmänna regler som gäller för hälso- och sjukvård och vårdprofessionen är tillämpliga även i situationer där personuppgifter behandlas för vård av annan än den som uppgifterna avser. Detta innebär att PSL:s regler om vetenskap och beprövad erfarenhet gäller. Utredningens förslag avser endast
möjligheter till tillgång till information. En bedömning måste alltid göras av om informationen är medicinskt relevant. Utredningen belyser detta ytterligare i både figur 13.1 och i konsekvensutredningen (se avsnitt 18.2.6–18.2.7).
13.2.3. Övergripande om etiska aspekter
Ur etiskt hänseende finns det vissa risker kopplade till att nya personuppgifter om personers hälsa tillgängliggörs för hälso- och sjukvårdspersonal. Dessa risker finns även när befintliga personuppgifter om personers hälsa tillgängliggörs för fler personer eller för fler syften. Dessa risker kan vara av olika slag, några exempel är intrång från externa aktörer, otillbörlig åtkomst av vårdens personal för otillåtna syften och spridning av uppgifter av misstag. Utförliga beskrivningar och kartläggningar av risker av dessa slag finns i bland annat Integritetskommitténs delbetänkande (SOU 2016:41, kapitel 9). Nyttan med digitala hälsouppgifter och risker ur ett integritetsperspektiv beskrivs också i Vårdanalys rapport Vad står på spel?1
Hur allvarliga riskerna är beror på olika saker, inklusive de enskildas situation och deras egna bedömningar. Även om alla personuppgifter om hälsa per definition är så kallade känsliga personuppgifter enligt EU:s dataskyddsförordning2, varierar deras upplevda känslighet mellan individer och sammanhang. Nyttjande av en enskilds uppgifter som är tillåten, kan av den enskilde upplevas som ett integritetsintrång. Samtidigt kan andra situationer, som innebär nyttjande av en enskilds uppgifter som inte är tillåten, av vissa, uppfattas som helt okänsligt ur ett integritetsperspektiv. Det kan då framstå som mest rättvist att alltid inhämta samtycke inför en personuppgiftsbehandling av den enskildes personuppgifter, för säkerhets skull. Alternativet att säkerställa att den enskildes samtycke erhålls inför varje nyttjande av den enskildes uppgifter är dock inte alltid vare sig möjlig eller proportionerlig. Det kan finnas tillfällen som nödsituationer eller då den enskilde själv inte är förmögen att ta ställning eller kan uttrycka sitt ställningstagande där det inte är möjligt att inhämta samtycke. Att inhämta samtycke vid varje enskild användning kan också innebära ett poten-
1 Myndigheten för vård- och omsorgsanalys, 2016, Vad står på spel? kapitel 3. 2 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
tiellt integritetsintrång eftersom hen då kan påminnas om en traumatisk upplevelse som patient.
Om ändamålet med nyttjandet av personuppgifterna är något annat än vården av den enskilde själv, kan det också anses omotiverat att alltid överlåta beslutet om sådan vidareanvändning till den enskilde vars uppgifter det gäller, då priset i termer av förhindrade kunskapsvinster med mera kan bedömas vara för högt.
Att vidta åtgärder för att minska riskerna för intrång i den enskildes personliga integritet är nödvändigt och ter sig än mer angeläget när patients samtycke inte inhämtas. Ju större mängd data som tillgängliggörs, desto noggrannare överväganden behöver finnas avseende vem som kan bereda sig åtkomst till dem och för vilka syften.
Förutom att värna den enskildes personliga integritet, är det nödvändigt att skydda patienters uppgifter för att säkerställa att förtroendet för vården och dess sätt att hantera patientuppgifter bibehålls. Om detta förtroende eroderas, riskerar det att leda till att patienter blir mindre villiga att vara sanningsenliga i sina kontakter med vården. En sådan utveckling försämrar möjligheterna för patienterna själva att kunna ta del av god vård men det försämrar också vårdens egna möjligheter att dra nytta av datamängderna för andra syften.
13.2.4. Den praktiska gången vid sökning för vårdändamål
Utredningen avser att i detta avsnitt redogöra för den praktiska gången för sökning och utfall för vårdändamål, se typfall 1 och 2 i avsnitt 13.2.1.
I ett första steg handlar det om att söka för att se om det över huvud taget finns relevant hälsodata om andra patienter för vården av den aktuella patienten. Rent praktiskt påminner denna typ av sökning den som görs för antalsberäkningar inför klinisk forskning. Sökningen går ut på att ta reda på om något utfall finns och i så fall hur mycket relevant information som ett första urval ger. Själva patienten i sig är typiskt sett inte relevant, utan det intressanta är om en sökning över huvud taget ger ett utfall. Sökning i detta första steg illustreras i figur 13.2.
Utredningen föreslår att särskilda samlingar av hälsodata, så kallade precisionsmedicinska databaser, ska få skapas där sökningar för vårdändamål ska få göras, se avsnitt 13.4 och 14.7. Urval och tillgängliggörande av relevant hälsodata ska få ske till databaserna, se avsnitt 14.6.
Den övergripande modellen beskrivs i avsnitt 13.4, där urval och tillgängliggörande av relevant hälsodata är steg 1, samlingarna av hälsodata är steg 2 och sökning möjliggörs av tillgången till personuppgifter i steg 3.
Figur 13.2 Första steget för ändamålet vård av annan är att göra en sökning i en relevant hälsodatamängd
Källa: Utredningens illustration.
Den som söker kommer sannolikt behöva göra upprepade sökningar för att kunna hitta relevant hälsodata för vården av patienten och förfina sina sökningar baserat på vad tidigare sökningar har gett för utfall. I utredningens kontakter med hälso- och sjukvården har det framkommit att sökningarna typiskt sett kommer att behöva vara en iterativ process.
Finns det relevanta patienter?
Ja
Nej
Vård av annan
Ändamålet vård av annan är inte
tillämpligt
Räcker informationen
som
beslutsstöd?
Begär ut journaler från
relevanta vårdenheter
Använd informationen
för att vårda
patienten
Använd informationen
för att vårda
patienten
Ja
Nej
Sökning
I syfte att möta dessa behov lämnar utredningen förslag om bland annat direktåtkomst och en befogenhetsregel med utrymme för medicinsk bedömning, se avsnitt 14.8.2 och 14.8.4. Efter att sökningen eller sökningarna är genomförd finns det två möjliga utfall; antingen finns det relevanta data om andra patienter eller så finns det inte det. Om det inte finns några relevanta personuppgifter så saknas motiv för att kunna gå vidare till nästa steg.
Figur 13.3 Andra steget är om utfallet är att det finns relevant data eller inte. Finns inte relevant data är ändamålet inte tillämpligt
Källa: Utredningens illustration.
Om utfallet är att det finns relevant data om andra patienter behöver den som söker ta ställning till om informationen är tillräcklig. Om informationen är tillräcklig kan informationen användas som beslutsstöd för att vårda patienten.
Finns det relevanta patienter?
Ja
Nej
Vård av annan
Ändamålet vård av annan är inte
tillämpligt
Räcker informationen
som
beslutsstöd?
Begär ut journaler från
relevanta vårdenheter
Använd informationen
för att vårda
patienten
Använd informationen
för att vårda
patienten
Ja
Nej
Sökning
I vissa situationer är informationen dock inte tillräcklig. I dessa fall finns behov av mer information om patienterna vars personuppgifter har sökts fram, än den som finns i den informationsmängd som sökningen har gjorts i. Behovet i den situationen är att kunna ta del av kompletterande personuppgifter från den patientjournal som kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser. Detta motsvarar steg 4, begäran om kompletterande personuppgifter från patientjournal, i beskrivning av den övergripande modellen nedan avsnitt 13.4.
Utredningens förslag för att möta detta behov av kompletterande uppgifter från patientjournal finns i avsnitt 14.9.
Figur 13.4 I det tredje steget får en bedömning göras om utfallet räcker för att vårda patienten, eller om det finns behov av kompletterande journalinformation.
Källa: Utredningens illustration.
Finns det relevanta patienter?
Ja
Nej
Vård av annan
Ändamålet vård av annan är inte
tillämpligt
Räcker informationen
som
beslutsstöd?
Begär ut journaler från
relevanta vårdenheter
Använd informationen
för att vårda
patienten
Använd informationen
för att vårda
patienten
Ja
Nej
Sökning
13.3. Valet av databas som nav för vidareanvändningen
Förslag: Vidareanvändningen ska grunda sig i inrättande och för-
ande av nya samlingar av personuppgifter i form av databaser.
Ovan har framgått att det praktiska behov som hälso- och sjukvården har för att kunna vidareanvända personuppgifter för vården av en annan patient än den som uppgifterna avser grundar sig i att utföra sökningar efter relevanta personuppgifter om patienter. Syftet med detta är att se om det över huvud taget finns relevant information och i så fall omfattningen av denna. Sökningar behöver utföras i någon form av informationsmängd. Frågan är då vilken eller vilka informationsmängder som sökningar ska få ske i. Det finns olika alternativ. Ett alternativ är att tillåta sökning i en eller flera befintliga informationsmängder. Ett annat alternativ är att tillåta skapande av nya informationsmängder för det aktuella ändamålet. Nedan följer utredningens överväganden i denna fråga.
13.3.1. Hur behöver sökning kunna utföras för att möta behoven?
De mer specifika behoven kopplat till författningsförslag och utformningen av dessa återfinns i kapitel 14. I syfte att ge en övergripande bild, sammanfattar utredningen i detta avsnitt behoven i övergripande drag.
Utredningen har i kontakt med företrädare från hälso- och sjukvården som arbetar inom precisionsmedicin fått till sig de övergripande behoven som finns med avseende på sökning enligt vad som beskrivs i avsnitt 13.2.1.
Först och främst avser behoven vissa typer av vårddata, inte alla personuppgifter som vårdgivare lagrar om patienter. Uppgifterna behöver inte vara direktidentifierbara.
Från professionen är det starkt efterfrågat att kunna söka bland relevanta personuppgifter, både inom och mellan olika vårdgivare. För att kunna erbjuda jämlik vård behöver tillgången till relevant hälsodata också bli mer jämlik. I vissa fall kan det räcka med att söka i några regioners hälsodatamängder, medan det i vissa andra situa-
tioner finns så få patientfall att all relevant data som finns i Sverige behöver kunna tillgås. Hälsodata behöver därför kunna delas mellan vårdgivare för att uppfylla de behov som finns.
För att precisionsmedicin ska kunna bli en integrerad del i vården, krävs att sökning kan ske inom ramen för det löpande arbete inom hälso- och sjukvården. Det finns vidare behov av att kunna utföra upprepade sökningar. I akuta skeden finns inte tid för administrativa utlämnandeprocesser. Dessa behov kräver enligt utredningens bedömning att direktåtkomst till uppgifterna är tillåtet, förenat med behörigheter till relevant personal.
13.3.2. Sökning i befintliga informationsmängder
Det kan övervägas om befintliga informationsmängder inom hälso- och sjukvården bör kunna användas för sökning. De befintliga informationsmängderna inom hälso- och sjukvården som utredningen har identifierat är befintliga patientjournalsystem, systemet för sammanhållen vårddokumentation enligt SVOD eller nationella och regionala kvalitetsregister.
Lämpligheten i att söka i befintliga informationsmängder bör enligt utredningens mening bedömas utifrån praktisk användbarhet, kostnadsaspekter och integritetsperspektivet. Vid en bedömning utifrån dessa aspekter anser utredningen att det inte är en lämplig lösning att sökning sker i befintliga informationsmängder. Utredningens överväganden framgår i det följande.
Ett sätt att sammanföra personuppgifter mellan olika vårdgivare är att de som behöver söka får någon form tillgång som är direkt kopplad till olika vårdgivare. Från ett praktiskt perspektiv skulle det krävas en stor mängd integrationer i patientjournalsystem och systemet för sammanhållen vårddokumentation för att dessa skulle kunna användas för sökning. Omfattningen av de integrationer som krävs skulle medföra höga kostnader och vara mycket tidskrävande. Data skulle dessutom behöva vara systematiserad på helt andra sätt än vad som är fallet i dag för att kunna sökas i på ett användbart sätt. Detta gäller både patientjournalsystem och systemet för sammanhållen vårddokumentation.
Både patientjournalsystem och systemet för sammanhållen vårddokumentation innehåller väsentligen mycket mer hälsodata än vad
som behövs för vården av en annan patient än den som uppgifterna avser. Det är endast ett urval av patientuppgifter som behövs för att tjäna syftet med sökning. Hälsodata ska inte användas i större omfattning än vad som behövs. Att tillåta sökning i befintliga informationsmängder skulle enligt utredningens mening medföra ett alltför stort integritetsintrång som inte går att motivera utifrån det behov som finns inom hälso- och sjukvården. Utifrån hur befintliga patientjournalsystem samt sammanhållen vårddokumentation är uppbyggt finns det inga praktiska möjligheter att ställa krav på urval av uppgifter eller pseudonymisering. För sammanhållen vårddokumentation finns å andra sidan andra skyddsåtgärder, såsom samtycke från patienten, vilka inte är möjliga att applicera vid personuppgiftsbehandling som rör annan patient än den som vårdas (se angående samtycke, avsnitt 14.10.). Utredningen gör bedömningen att systemet som föreskrivs i SVOD varken ur juridisk eller teknisk synvinkel är möjlig att tillämpa för ändamålet vård av annan patient än den som uppgifterna avser.
Regionala och nationella kvalitetsregister är systematiserade utifrån diagnos, vilket inte är ett ändamålsenligt sätt utifrån behovet att söka uppgifter för vården av en annan patient än den som uppgifterna avser. Kvalitetsregistren utgör ett stort antal olika uppgiftssamlingar med mycket omfattande innehåll. Att tillåta sökning i dessa mellan olika regioner skulle medföra ett betydande integritetsintrång, med tanke på omfattningen i innehållet. Utredningen har också noterat att det i direktiven till utredningen anges att det inte är inom ramen för regionala eller nationella kvalitetsregister som lösningarna bör sökas, se vidare avsnitt 2.6.1.
Gemensamt för samtliga befintliga informationsmängder som utredningen har identifierat är att de innehåller stora mängder direktidentifierbara personuppgifter. Vid sökning i sådana informationsmängder för vidareanvändning av uppgifter för vården av en annan patient än den som uppgifterna avser, finns inte behov av direktidentifierbara uppgifter. En viktig skyddsåtgärd som utredningen ser det är därför pseudonymisering av uppgifterna som sökning får göras i. Detta är inte förenligt med utformningen av befintliga informationsmängder.
Federerad lösning
Utredningen har vägt mellan lösningen med att ha databaser att söka i mot att ha en federerad lösning där aktörerna skulle kunna söka direkt i regionernas befintliga system och datalager i stället för att bygga upp en ny uppgiftssamling. Flertalet aktörer som utredningen haft kontakt med har lyft att de helst velat se en sådan federerad lösning. En federerad lösning har fördelar ur ett informationssäkerhets- och därmed också integritetsperspektiv. Om data lagras centraliserat i en eller flera uppgiftssamlingar finns vissa risker. Ett exempel är om en antagonist lyckas bereda sig tillgång till en databas, så får antagonisten tillgång till samtliga uppgifter i databasen. En nackdel med en federerad lösning är dock att det ställer högre krav på interoperabilitet. En federerad lösning kräver också att det skapas teknisk funktionalitet som möjliggör federeringen. Fördelen med en ny uppgiftssamling är att det kräver mindre reglering och skulle kunna tas i bruk mycket snabbare, särskilt i den utsträckning som befintlig infrastruktur kan användas. Ledtiderna skulle då enbart bestå i beslutsprocessen och ikraftträdandetiden. En federerad lösning bedömer utredningen skulle ställa helt andra krav på författningsstöd, interoperabilitet och teknisk utveckling. Utredningens bedömning är att det skulle ta flera år och att det sannolikt är ett arbete som kommer behöva ske parallellt inom ramen för arbetet med anpassningen till Europeiska kommissionens förslag till Europaparlamentets och Rådets förordning om ett europeiskt hälsodataområde, COM(2022) 197 final av den 3 maj 2022, förkortad förslaget till EHDS.
Utredningens bedömning är mot bakgrund av ovan att en federerad lösning skulle ta för lång tid, även om det sannolikt hade inneburit en smidigare och mer heltäckande lösning när den väl kom på plats. Utredningens bedömning är att den fördelen inte väger tyngre än patienternas behov som kommer vara ouppfyllda under de åren som lösningen utvecklas. Därutöver bedömer utredningen att en sådan federerad lösning bör ta sikte på att lösa en större del av hälso- och sjukvårdens informationsförsörjningsbehov än bara precisionsmedicinens. Sannolikt kommer även arbetet med EHDS innebära att en federerad lösning i någon form kommer behöva tas fram. Detta skulle eventuellt kunna göra databaserna mindre relevanta om det gick att hämta data direkt från vårdgivarnas datalager utan att gå via en databas. Utredningens bedömning är dock att en sådan lösning är väldigt många
år bort och om det någonsin kommer på plats så bedömer utredningen att mycket av det arbete som görs med att ta fram databaserna kommer gå att återanvända när en sådan lösning tas fram. Därav bedömer utredningen att det bästa alternativet är att det får tillskapas nya uppgiftssamlingar för vidareanvändning för vårdändamål, se avsnitt 13.3.3.
Sammantaget ser utredningen flera mycket negativa aspekter i att utforma regelverket avseende vidareanvändning för vårdändamål utifrån sökning i befintliga informationsmängder, även inbegripet federerade lösningar.
13.3.3. Nya uppgiftssamlingar
Utifrån utredningens slutsats att det finns betydande negativa aspekter förknippade med sökning i befintliga informationsmängder, se avsnitt 13.2.1. Utifrån detta har utredningen övervägt om det är lämpligt att skapa nya uppgiftssamlingar avseende vidareanvändning för vårdändamål.
Att skapa nya uppgiftssamlingar kan ses som integritetskänsligt i sig. Det handlar i aktuellt fall dessutom om hälsodata som i många fall kommer att utgöras av personuppgifter om hälsa. Personuppgifter som hälsa är känsliga personuppgifter enligt EU:s dataskyddsförordning. För att kunna möta de behov som finns avseende sökning, behöver informationsmängderna som sökning görs i, innehålla uppgifter från olika vårdgivare. Detta anses vanligtvis också vara mer integritetskänsligt än att personuppgifter behandlas inom en vårdgivare. Sammantaget finns ett antal omständigheter som gör att den nya uppgiftssamlingen är av mycket integritetskänslig art. Utredning konstaterar dock att en ny samling inte kommer att innehålla vårddata som inte redan finns lagrade hos vårdgivare. Det är alltså inte fråga om ny
insamling av känsliga personuppgifter, utan om vidareanvändning av
befintlig vårddokumentation, se vidare avsnitt 13.8.
Utredningen ser ett antal fördelar med att skapa nya uppgiftssamlingar för vidareanvändning för vårdändamål.
Skapande av nya uppgiftssamlingar kan ske utifrån det behov som finns avseende vilken hälsodata som ingår i samlingen. Ett relevant urval av data kan göras utifrån syfte med uppgiftssamlingen. Av detta följer att hälsodata lättare kan minimeras. Utifrån att behoven är sådana att direktåtkomst till datamängden behöver tillåtas för att sökningar
ska kunna ske på ett praktiskt användbart sätt inom hälso- och sjukvården, anser utredningen att en avgränsning av hälsodata som sökning tillåts i är en förutsättning ur integritetssynpunkt.
Skapandet av nya uppgiftsamlingar där central behandling av personuppgifter sker, medför också en möjlighet till tydligt utpekande av ansvar för uppgiftssamlingen. Integritetshöjande åtgärder kan anpassas utifrån behov och risker med den nya uppgiftsamlingen.
Vidare ger nya uppgiftssamlingar också förutsättningar för behandling av personuppgifter oberoende av om detta sker inom en myndighet, mellan myndigheter inom en vårdgivare eller mellan vårdgivare. Utredningen har identifierat ett behov av andra ”gränssnitt” än vad dagens reglering är uppbyggd utifrån, se avsnitt 14.4.5. Utifrån en ny uppgiftssamling är det enligt utredningens mening enklare att skapa mer träffsäkra regler utifrån både behov och integritetsskydd.
13.3.4. Vad som menas med ”databas”
Utredningen har valt begreppet databas för de nya uppgiftssamlingar som ska tillåtas för vidareanvändning för vårdändamålet. Utredningen uppfattar att databas är ett etablerat begrepp för uppgiftsamlingar av olika slag både i praktiska och juridiska sammanhang. Utredningen utvecklar nedan vad som menas med databas och beskriver vissa juridiska sammanhang där begreppet används. Utredningen förklarar i avsnitt 14.2 vad som avses med precisionsmedicinsk databas.
Från ett praktiskt perspektiv utgörs en databas av data som är samlade, ordnade, sökbara och skilda från specifika program (applikationer). Grundtanken gällande databaser är att separera data från de program som använder dem. På så sätt görs det enklare att underhålla datamängden och det gör också att flera program kan använda samma data. Det finns flera fördelar med att lagra data i en databas. Ett sådant exempel är att en ändring bara behöver göras i databasen och då visar den rätt informationen i de applikationer som visar upp data från databasen. Utöver detta så kan en databas användas för att avgränsa datamängder från varandra vilket ibland kan vara önskvärt av olika skäl så som att en del av en organisation behöver lagra en delmängd av en större databas. Av detta följer att en ”databas” också kan vara en avgränsad del av en större databas.
Utredningen har tittat på hur begreppet databas används i olika juridiska sammanhang. Det saknas en enhetlig legaldefinition, men begreppet finns i gällande rätt. Nedan följer några exempel på databas i rättsliga sammanhang.
Enligt 1 kap. 2 § yttrandefrihetsgrundlagen definieras databas som en samling av information lagrad för automatiserad behandling. I 2 kap. lag om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet finns bestämmelser om folkbokföringsdatabasen. Enligt 2 kap. 1 § ska det i folkbokföringsverksamhet finnas en samling person-
uppgifter som med hjälp av automatiserad behandling används gemen-
samt i verksamheten för de i 1 kap. 4 § samma lag angivna ändamålen. Av 2 a kap. 1 § framgår att det i folkbokföringsverksamhet även ska finnas en samling personuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 1 kap. 4 a § angivna ändamålen (analys- och urvalsdatabas). I denna reglering används alltså begreppet databas i meningen samling av personuppgifter kopplat till vissa ändamål.
I utredningen om en långsiktig reglering av forskningsdatabaser förekommer begreppet ”forskningsdatabas”. Begreppet används för att beskriva en uppgiftssamling som har funktionen att tillhandahålla underlag för tilltänkta men ännu ej definierade forskningsprojekt.3Den föreslagna lagens tillämpningsområde anges till behandling av personuppgifter i verksamhet med sådana forskningsdatabaser där insamling och registrering av personuppgifter görs i register eller annan
samling med personuppgifter genom registrerades frivilliga medverkan
och där forskningsdatabasernas syfte att skapa underlag för flera framtida forskningsprojekt är av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv. I dessa förslag ställs till exempel inte krav på att uppgifterna ska vara sökbara eller skilda från specifika program, jämför den praktiska beskrivningen ovan.
13.3.5. Databas som begrepp för den nya samlingen av personuppgifter
Utredningen konstaterar att den praktiska och juridiska innebörden skiljer sig något åt. Den definition eller betydelse som databas har i juridiska sammanhang är något bredare än den praktiska innebörden.
3 En långsiktig reglering av forskningsdatabaser, Dnr U2022/04089, s. 91.
Gemensamt är dock att det handlar om en samling av data (eller uppgifter). Utredningen tar fasta på denna grundläggande likhet i hur begreppet används både praktisk och juridiskt.
En samling av data kan vara en databas i den praktiska mening som anges ovan (sökbart och så vidare). I praktiken skulle samlingen av data även kunna ligga i exempelvis ett datalager eller i en datasjö (se kapitel 3 för innebörden av dessa begrepp). I praktiken är det alltså själva uppgiftssamlingen som avses och att denna är avgränsad för att begränsa tillgången som är det viktiga. Vilken praktisk lösning som är den mest lämpliga lämnar utredningen upp till aktörerna att bestämma, så länge som inrättande och förande av databas är förenligt med övriga regler. Utredningen ser inte att den tekniska lösningen i sig har någon betydelse juridiskt sett, så länge det är en teknisk lösning som är att likställa med en databas. Exempelvis skulle en datasjö kunna användas för att lättare hantera bilddata, vilket skulle kunna vara relevant. Utredningen ser inte att en utökad funktionalitet för att underlätta jämförelse av data som är lagrade i olika medier ändrar själva personuppgiftsbehandlingen. En textsträng som beskriver en bild eller själva bilden i sig bedömer utredningen inte har någon betydelse inom ramen för den precisionsmedicinska databasen. Utredningen bedömer att detta också gör lagstiftningen mer flexibel i förhållande till den tekniska utvecklingen, utan att göra avkall på integritetsskyddet. Trots att den tekniska lösningen kan vara något annat än en databas i praktisk mening anser utredningen att databas är det mest lämpliga begreppet för de nya uppgiftssamlingarna.
Andra begrepp som utredningen övervägt är register och patientdataindex.
Register kan vara flera olika saker, från en processor i en dator till
en innehållsförteckning i en bok. Ett register kan vara en förteckning över data som hålls strukturerat och därmed sökbart. Vanligen är därmed även registret en databas. Registret kan innehålla personuppgifter, men behöver inte göra det. Register definieras i artikel 4.6 i dataskyddsförordningen som en ”strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden”. Enligt den svenska modellen för författningsreglering av register är viss registerföring särskilt reglerad i så kallade registerförfattningar.
Utredningens bedömning är att en databas för vidareanvändning av personuppgifter för vårdändamål kan vara ett register i dataskyddsförordningens mening. Dataskyddsförordningens definition är dock betydligt bredare än den betydelse det ofta har för praktiker, se avsnitt 3.3. Utredningens bedömning är att register i dess praktiska innebörd är för specifikt och skulle riskera att leda tankarna till en avgränsning av användningen på ett sätt som inte bedömts som ändamålsenligt, exempelvis om databasen behöver innehålla bilder. Vad gäller patientdataindex så bedömer utredningen att begreppet inte är lika etablerat som databas och att det finns en risk för att det uppstår olika tolkningar av vad ett patientdataindex är. Lagstiftningen och området innehåller redan många begrepp som är svårtolkade och utredningen har försökt att inte lägga till nya begrepp om det inte varit nödvändigt.
13.4. Den övergripande modellen
I detta avsnitt beskrivs övergripande utredningens modell för vidareanvändning av personuppgifter för vårdändamål. Modellen baserar sig på de praktiska behov av sökning och utfall som har redogjorts för i avsnitt 13.2.1 och 13.2.4. Den utgår också ifrån utredningens val av databas som navet för vidareanvändningen, se avsnitt 13.3. Utredningen föreslår att namnet på en databas som används för vården av en annan patient än den som uppgifterna avser benämns precisions-
medicinsk databas, se avsnitt 14.2. Utredningen har ritat upp en bild
av hur den övergripande modellen och de fyra stegen kan se ut i en precisionsmedicinsk databas. Utredningen har valt att illustrera exemplet med en samverkansregion. Vilka som ska få inrätta och föra en precisionsmedicinsk databas förtydligas i avsnitt 13.5.3.
Figur 13.5 Principskiss över steg 1–4 med exempel på precisionsmedicinsk databas i Samverkansregion Mellansverige
Källa: Utredningens illustration. Kartan: https://www.xn--sjukvrdsregionmellan-0zb.se/ (Hämtat 2023-09-13).
13.4.1. Urval och tillgängliggörande till precisionsmedicinsk databas (steg 1)
Alla vårdgivare ska ges möjlighet att tillgängliggöra personuppgifter till en precisionsmedicinsk databas som hos vårdgivaren behandlas enligt 2 kap. 4 § första stycket 1–2 PDL. Urval och tillgängliggörande får endast ske av de uppgifter som behövs för att skapa underlag för vården av en annan patient än den som uppgifterna avser. Tillgängliggörande får ske genom elektroniskt utlämnande. Utredningens förslag i denna del finns i avsnitt 14.6.
13.4.2. Inrättande och förande av precisionsmedicinsk databas (steg 2)
Inrättande och förande av precisionsmedicinsk databas ska vara förbehållet regionala myndigheter inom hälso- och sjukvården. Syftet med behandling av personuppgifter i en precisionsmedicinsk databas är att skapa ett underlag för behandling av personuppgifter för vården
Steg 3: Sökning inom
den specialiserade regionala hälso- och sjukvården
Steg 4: Regional myndighet
inom hälso- och sjukvården begär kompletterande personuppgifter från patientjournal hos vårdgivare
Steg 2: Regional myndighet
inom hälso- och sjukvården för en precisionsmedicinsk databas
Steg 3: Direktåtkomst eller
annat elektroniskt utlämnande till regional myndighet inom hälso- och sjukvården
Steg 1: Vårdgivare gör urval och
tillgängliggörande av vissa patientuppgifter
av en annan patient än den som uppgifterna avser. Vilka databaser som ska vara tillåtna ska fastställas i förordning.
Från ett praktiskt perspektiv är poängen med en precisionsmedicinsk databas att samla en relevant informationsmängd för sökningar efter relevant hälsodata för vården av en annan patient än den som informationen avser, se avsnitt 13.2.4.
Utredningens förslag om regler avseende inrättande och förande av precisionsmedicinsk databas finns i avsnitt 13.7 och 14.7. Utredningen överväganden avseende tillskapandet av nya informationsmängder finns i avsnitt 13.3.
13.4.3. Tillgång till personuppgifter i precisionsmedicinsk databas för sökning (steg 3)
Personal inom den regionala specialiserade vården ska kunna söka i den precisionsmedicinska databasen efter relevanta patientfall och använda dessa uppgifter i vården av en patient. Om det visar sig att det finns relevanta data om andra patienter så behöver den som söker ta ställning till om informationen räcker för de behov som hen har. Om informationen är tillräcklig kan informationen användas som beslutsstöd för att vårda den enskilda patienten.
Tillgång till personuppgifter i den precisionsmedicinska databasen ska få ges genom direktåtkomst eller annat elektroniskt utlämnande till regional myndighet inom hälso- och sjukvården. Det ska gälla särskilda villkor för behörighet och befogenhet att ta del av uppgifter i databasen.
Utredningens förslag i denna del finns i avsnitt 14.8.
13.4.4. Begäran om kompletterande personuppgifter från patientjournal (steg 4)
Om det behövs mer information om patienterna vars data sökts fram i en precisionsmedicinsk databas, ska myndigheten som gjort sökningen kunna vända sig direkt till den vårdgivare som tillgängliggjort uppgifter till databasen med en så kallad begäran om kompletterande
personuppgifter från patientjournal för den eller de relevanta patienterna.
Begäran om kompletterande personuppgifter från patientjournal ska kunna ske efter att sökning har gjorts i en precisionsmedicinsk
databas och vara villkorat av att kompletterande uppgifter kan antas ha betydelse för vården av patienten. Utredningens förslag i denna del finns i avsnitt 14.9.
13.5. Hur bör en precisionsmedicinsk databas få inrättas?
Utredningen har hitintills beskrivit varför utredningen bedömer att en databas är en lämplig lösning för att möjliggöra vidareanvändning för vårdändamålet. I detta avsnitt kommer utredningen redogöra för hur en sådan eller sådana databaser bör få inrättas.
13.5.1. Aspekter på inrättandet av en databas för vidareanvändning för vårdändamål
Det finns ett antal aspekter som utredningen anser bör beaktas vid valet av ordning för inrättande av databas för vidareanvändning av personuppgifter för vårdändamål. Det finns här motstående intressen som behöver vägas mot varandra. Några sådana är skyddet för den personliga integriteten, användbarheten eller praktisk genomförbarhet. Utredningen kommer i detta avsnitt redogöra för de intressen som utredningen bedömt varit mest centrala och vad de innebär. Bedömningen av vilka dessa är har utredningen gjort själv, men utredningen har framför allt försökt väga in de intressen som regeringen ger uttryck för som extra viktiga i utredningens direktiv.
Statlig styrning och kostnadseffektivitet
Även om staten inte har ansvar för hälso- och sjukvården finns det behov av statlig styrning inom vissa områden. Några sådana exempel är att skapa en jämlik vård i hela landet, ett annat är ansvaret för normgivningen. Hälsodataområdet är ett komplext område och det finns i dag många lokala lösningar som gör att det är svårt att få till en jämlik hälso- och sjukvård, men också ett sammanhängande system för hela hälso- och sjukvården. Utredningen upplever att det dels finns en ökad vilja att få till en ökad statlig styrning på hälso- och sjukvårdsområdet av flera olika skäl. En mer jämlik vård, en mer resurs-
effektiv vård, en mer konkurrenskraftig life science-sektor, ökade krav från bland annat EU är bara några av de anledningar som talar för en mer enhetlig styrning av hälso- och sjukvården (se bland annat prop. 2023/24:1 Utgiftsområde 9, s. 45). Utredningen har därför valt att i sitt arbete i den mån det gått försökt lämna förslag som går i den riktningen, är kostnadseffektiva, men samtidigt bevarar det kommunala självstyret i så stor utsträckning som möjligt.
Integritet och ändamålsglidning
Många databaser kan i sig vara en risk ur ett integritetsperspektiv. Samtidigt kan större mängder data samlade också ses som integritetskänsligt. Utredningen bedömer att regeringen i direktiven varit tydliga med vikten av den personliga integriteten. Att göra en proportionalitetsbedömning är många gånger svårt, i synnerhet när det kommer till känsliga personuppgifter. Ytterligare skyddsåtgärder leder många gånger, om än inte alltid till minskad nytta för de som ska använda personuppgifterna. Skyddsåtgärderna kan också vara kostsamma eller svåra att tillämpa i praktiken. Det finns också många olika typer av skyddsåtgärder och vilka eller vilken kombination av skyddsåtgärder som bör användas behöver ofta bedömas utifrån det enskilda fallet. Utredningen har försökt hitta en balans mellan risker och skyddet för den personliga integriteten, men har i vissa fall aktivt valt att göra avkall i vissa delar där utredningen bedömt att en skyddsåtgärd inte varit proportionerlig eller där kostnaden gjort att genomförandet hade blivit praktiskt ogenomförbart.
Tidsperspektivet
I utredningens arbete med ändamålet vård har utredningens bedömning varit att en av de viktigaste aspekterna är att utredningens förslag ska börja skapa nytta så fort som möjligt. Precisionsmedicin finns redan i dag och utredningens bedömning är att Sveriges implementering halkat efter. Denna bedömning gör utredningen baserat på de kontakter utredningen haft med olika aktörer. Utredningens bedömning är att det därför är angeläget att Sverige så snart som möjligt kan implementera precisionsmedicin på ett jämlikt sett i hela landet, då tillgången till precisionsmedicin i dag är ojämlik över landet. Bäst tillgång har
de som bor i en region med ett universitetssjukhus och de som kan ingå i olika kliniska studier.
I figur 13.6 nedan har utredningen försökt illustrera nyttan av olika val på lösningar som hade kunnat övervägas. Grafen visar nyttan över tid, där t
0
representerar i dag, t
1
representerar en tidsenhet längre fram
i tiden. Utredningen har valt att inte definiera hur lång en sådan tidsenhet är. Syftet är i stället att illustrera hur nyttan förändras över tid och hur den förhåller sig till de olika tidsperioderna. Exempelvis kan t
1
tolkas som på kort sikt, t
2
som på medellång sikt och allt efter det
är på lång sikt.
Utredningen har valt den lösning som visas längst till vänster i figur 13.6. Det vill säga en lösning som ska generera nytta så snart som möjligt. Utredningen bedömer också att detta är den lösning som skulle generera störst nytta totalt. Ett alternativ till de förslag som utredningen lämnat är att Sverige skulle invänta inrättandet av en nationell datahubb och skapa en federerad lösning. Utredningens bedömning är att detta kommer behövas oaktat utredningens förslag, men att en sådan lösning endast kommer börja generera nytta på lång sikt. Under den tiden kommer många patienter både utstå lidande och i vissa fall också avlida innan dess att en lösning kommer på plats. Utredningen bedömning är att det inte är etiskt försvarbart att invänta en sådan lösning.
Utredningen har också funderat på om det finns någon lösning som börjar generera större nytta redan på medellång sikt, vilket visas i mitten av de tre graferna i figur 13.6. Utredningen har dock inte kunnat identifiera någon sådan lösning som skulle vara ekonomiskt försvarbar eller praktiskt genomförbar. Det ena alternativet har i praktiken stått mellan att göra en lösning som skapar lite nytta så snart som möjligt och på sikt skapar stor nytta. Detta förslag bedömer utredningen också skapar bättre förutsättningar för staten och regionerna att påbörja arbetet med datahubbar.
Det andra alternativet har varit att enbart fokusera på en nationell datahubb direkt. Att reglera upp en nationell datahubb ingår dock inte i utredningens uppdrag och utredningen bedömer inte heller att det hade varit en lämplig lösning, då det skulle innebära att patientnytta hade uteblivit fram till dess att datahubben var på plats. Utredningen bedömer vidare att tiden för inrättandet av en datahubb sannolikt inte hade kunnat påskyndas i någon större utsträckning eftersom datahubben är beroende av bland annat förslaget till EHDS. Så mot bak-
grund av allt ovan har utredningen bedömt tidsaspekten som central för utredningens vägval avseende vilka förslag som skapade mest nytta för patienterna och som leder till långsiktigt bästa lösningen för hälsodataområdet och dess aktörer.
Figur 13.6 Illustration över nyttan med olika val av lösningar för införandet av precisionsmedicin i Sverige
Källa: Utredningens illustration.
13.5.2. Olika sätt att reglera inrättandet av databaser
Utifrån de aspekter som redogörs för i avsnitt 13.5.1 har utredningen övervägt olika alternativ för inrättande av databaser för vidareanvändning av personuppgifter för vårdändamålet.
Alternativ A – Reglera antal databaser i författning
Ett alternativ är att i författning ange de databaser som får finnas och vem som får föra dem. Ett exempel på reglering av en utpekad databas och vem som får föra den är lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa, den så kallade LifeGene-lagen. Lagen trädde i kraft den 1 december 2013 och gäller till utgången av år 2023.
I Utredningen om en långsiktig reglering av forskningsdatabaser föreslås en ny lag om vissa forskningsdatabaser samt en förordning om vissa forskningsdatabaser. Lagen föreslås reglera behandling av personuppgifter i verksamhet med sådana forskningsdatabaser där insamling och registrering av personuppgifter görs i register eller annan samling med personuppgifter genom registrerades frivilliga medverkan och där forskningsdatabasernas syfte att skapa underlag för flera framtida forskningsprojekt är av särskilt vetenskapligt värde för forskningen i ett
Nytta
Nytta
Nytta
Tid
Nytta
Tid
Nytta
Tid
Nytta Nytta
långsiktigt perspektiv. Enligt förslaget får behandling av personuppgifter i en forskningsdatabas bara utföras i verksamhet som bedrivs av lärosäten. I förslaget till lag anges vidare att regeringen kan meddela föreskrifter, dels om vilka forskningsdatabaser som får föras, dels om vilka lärosäten som får behandla personuppgifter enligt lagen. Den utredningen lämnar även förslag till förordning som ansluter till lagen. I förslaget till förordningen finns bestämmelser om att Karolinska Institutet får föra forskningsdatabaserna LifeGene och Tvillingregistret.
En fördel med denna typ av reglering är att det är tydligt vem som är ansvarig och att det finns en begränsning i antalet databaser. En begränsning av antalet databaser kan antas vara kostnadseffektivt och gynnsamt ur integritetsperspektiv. Ett utpekande av en viss databas eller aktör låser dock fast inrättandet på ett betydande sätt. Det saknas då flexibilitet och möjligheter till anpassning utifrån regionala förhållanden.
En variant som ger större flexibilitet är att av författning följer det antal databaser som får finnas. Det går också att kombinera med att ange en viss utpekad databas. I stället för att ange en viss utpekad aktör kan författningen innehålla krav på vilken typ av aktör som får inrätta databas.
Alternativ B – Fritt antal databaser på regional nivå
Ett alternativ är att i lagen endast ange att regionala myndigheter inom hälso- och sjukvården får möjlighet att inrätta och föra precisionsmedicinska databaser. Detta alternativ skapar stor flexibilitet för regionerna. En sådan reglering innebär i sig ingen begränsning i antal databaser. Detta alternativ skulle innebära en låg tröskel för att inrätta en databas, vilket enligt utredningens bedömning då skulle kunna förväntas ske relativt snabbt.
Fritt inrättande av databaser skulle i praktiken vara likt nationella kvalitetsregister. Av erfarenhet är det känt att det med stor sannolikhet kommer leda till låg täckningsgrad, låg kostnadseffektivitet och en stor mängd olika databaser. Utredningen bedömer att detta inte är ett lämpligt alternativ, i synnerhet inte eftersom förslaget till EHDS ställer högre krav på nationell styrning inom hälsodataområdet.
Utredningen ser också att det finns en risk för att det blir svårt för regionerna att ha kontroll över alla databaser och se till att de an-
vänds på ett ändamålsenligt sätt och att ingen ändamålsglidning sker. Utredningen anser att en reglering som lämnar utrymme för ett stort antal databaser medför betydande integritetsrisker.
Utredningen bedömer också att en större mängd databaser riskerar att göra att det kommer krävas mångt mycket fler integrationer mellan olika system och databaser. Det går då också att ifrågasätta vad hela poängen med lagstiftningen är, eftersom själva tanken är att skapa större upptagningsområden. En mängd små samlingar av hälsodata skulle sannolikt inte fylla en bättre funktion än vad vårdens befintliga register redan skulle kunna lösa.
Alternativ C – Tillståndsprocess
Ett alternativ kan vara att inrättande av en precisionsmedicinsk databas föregås av ett tillståndsförfarande. En jämförelse kan göras med förfarandet vid beviljande av att bedriva nationell högspecialiserad vård (se 7 kap. 5 a § hälso- och sjukvårdslag (2017:30), förkortad HSL). Liksom vid tillståndsgivning för nationell högspecialiserad vård skulle en myndighet, till exempel Socialstyrelsen, kunna vara den som prövar ansökningar och beviljar tillstånd (se 7 kap. 5 b § HSL och 2 kap. hälso- och sjukvårdsförordning (2017:80).
Det alternativet skulle skapa en tydligare och starkare statlig styrning och en god översikt. Det skulle sannolikt även vara fördelaktigt utifrån ett integritetsperspektiv. Däremot är en nackdel med denna typ av reglering att den ger resultat långsammare och det kommer därför ta längre tid innan nyttan realiseras. Det skulle också innebära ökade kostnader och en, enligt utredningen, omotiverad inskränkning i det kommunala självstyret. Eftersom det skulle ta längre tid bedömer utredningen att det inte heller skulle vara ändamålsenligt då det sannolikt hade varit bättre att i så fall invänta ett inrättande av en nationell datahubb.
Alternativ D – En nationell datahubb
Ett alternativ till en precisionsmedicinsk databas är inrättandet av en nationell datahubb som erbjuder en teknisk lösning som låter regionerna federera data.
Fördelen med detta alternativ är att det är det mest flexibla och skalbara systemet som också skulle kunna användas av flest aktörer. Utredningen bedömer dock att detta alternativ också är det mest komplexa, dyra och tidskrävande alternativet. Dessutom innehåller förslaget till EHDS regler som delvis avser samma sak som ett sådant förslag, vilket gör att ett sådant förslag skulle överlappa och riskera att förekomma vad som sedermera kommer att komma, utan att kunna ta ett helhetsgrepp kring de frågorna. Detta framstår inte som lämpligt. Utredningen anser dock att det förslag som utredningen lägger fram är kompatibelt med förslaget till EHDS och att det kommer gå att bygga vidare på det senare, när EHDS trätt i kraft.
Centralt är också att vidareanvändning av personuppgifter för vårdändamål är en typ av användning av hälsodata som kommer att ske vårdnära – i det dagliga patientarbetet – och i nuläget framför allt inom den regionala specialiserade vården. Det är regionerna som har ansvaret för den hälso- och sjukvård där denna typ av användning av hälsodata kommer att ske. Utifrån detta är det rimligt att den grundläggande infrastrukturen finns hos regionerna. På sikt finns dock fördelar med även en nationell datahubb, exempelvis för att fler aktörer ska kunna använda data.
13.5.3. Precisionsmedicinska databaser bör regleras i författning och begränsas i antal
Förslag: Inrättande av databaser med samlingar av personuppgif-
ter för vidareanvändning för vårdändamål, så kallade precisionsmedicinska databaser, ska begränsas i antal. Varje samverkansregion ska få inrätta en precisionsmedicinsk databas. Även den Nationella Genomikplattformen ska få inrätta en precisionsmedicinsk databas.
Genomgången av olika alternativ i avsnitt 13.5.2 visar att olika lösningar har olika för- och nackdelar utifrån de kriterier som utredningen har prövat. Utredningens ambition är att föreslå en lösning som sammanvägt har klart övervägande fördelar förknippande med sig. Utredningens författningsförslag utgår ifrån Alternativ A.
Inrättande av databaser med samlingar av personuppgifter för vidareanvändning för ska därför begränsas i antal.
Slutsatsen av de överväganden utredningen lämnar i avsnitt 13.3 är att det finns ett behov av nya uppgiftssamlingar. Utredningen bedömer att det finns behov av fler databaser än bara en ensam nationell databas. Det finnas fördelar med en nationell datahubb. Utredningen bedömer dock att en nationell lösning skulle kräva en federerad lösning för att motiveras ur integritetssynpunkt. I avsnitt 13.3.2 beskriver utredningen varför utredningen bedömt att det i nuläget inte är en framkomlig väg. I korthet är utredningens bedömning att det kommer ta för lång tid att bygga upp en nationell datahubb och att den nationella datahubben kommer behöva byggas på med flera funktioner. Det är därför svårt att säga när en federerad lösning för precisionsmedicin hade kunnat prioriteras och genomföras.
Utredningen anser dock att det behövs en begränsning av antalet databaser. Det finns fördelar med att knyta an till befintliga samverkansstrukturer. Utredningens bedömning är, i likhet med andra utredningar (SOU 2015:98, 2016:48, 2018:10 och 2021:25), att det är lämpligt att bygga vidare på indelningen samverkansregioner (tidigare sjukvårdsregioner).
Vidare anser utredningen att databaserna behöver regleras i författning. Detta eftersom utredningen anser det lämpligast ur styrningsperspektiv samt utifrån de rättsliga krav som ställs på den här typen av uppgiftssamlingar enligt regeringsformen, förkortad RF (se fullständigt resonemang i avsnitt 13.7.1). På grund av den detaljeringsgrad ett begränsande i antal och lämpliga integritetsskyddande åtgärder medför anser utredningen att regleringen inte endast bör göras i lag, utan även genom kompletterande bestämmelser i förordning, se vidare resonemang om uppdelningen i lag och förordning under rubriken ”Krävs lagform för närmare bestämmelser om precisionsmedicinska databaser enligt grundlagen”.
Fördel med begränsning i antal för statlig styrning och kostnadseffektivitet
Ur ett statligt styrningsperspektiv är det en fördel med att fåtal databaser eftersom det innebär att regionerna behöver arbeta tillsammans och ta fram lösningar som fungerar över regiongränser och att det därmed inte uppstår omotiverade lokala lösningar.
Detta gör i sin tur att staten kan ha en tydligare styrning gentemot regionerna som enligt utredningen också underlättar för förutsäg-
barheten och långsiktigheten för staten, regionerna och patienterna. Det är också långt mycket enklare att ha överblick över sex databaser än 21 som det hade varit om varje region skulle ha en egen databas. Det är också rent praktiskt lättare samverka att samverka med sex aktörer snarare än 21.
Utredningen bedömer att den samverkansregionala nivån innebär en bra balans mellan regional förankring och statlig styrning då det överlappar med den indelning som flera statliga myndigheter använder (se exempelvis civilområden, prop. 2022/23:45). Det överlappar också med indelning som regionerna använder regionala cancercentrum.
Ur ett kostnadseffektivitetsperspektiv är det enligt utredningen också rimligt att centralisera databaserna till samverkansregionerna eftersom det finns tydliga skalfördelar med att enbart bekosta driften och utvecklingen av sex databaser i stället för 21 databaser. Det är inte heller säkert att små regioner skulle ha ekonomiska förutsättningar för att inrätta en databas. Vissa regioner är också förhållandevis små och det går då att ifrågasätta om patientunderlaget är tillräckligt för att uppnå den kritiska massa som krävs för att databasen ska göra någon nytta.
Även om utredningen bedömer att det finns tydliga skalfördelar och att det hade varit mest kostnadseffektivt med en enda nationell databas, så har utredningen gjort bedömningen att de besparingarna inte står i proportion till de ökade riskerna, om den inte bygger på en federerad lösning. Sammanfattningsvis bedömer utredningen att den samverkansregionala nivån skapar en balans som är bra utifrån både styrningsperspektiv, kostnadseffektivitet och avseende skyddet av den personliga integriteten.
Precisionsmedicinsk databas med viss inriktning
Utredningens bedömning är att de precisionsmedicinska databaserna som upprättas inom varje samverkansregion skulle kunna bidra i arbetet med att inrätta regionala datahubbar (se avsnitt för förklaring av regionala datahubbar 19.5.4).
En fråga som uppkommer är om precisionsmedicinska databaser bör ha inriktning mot en viss medicinsk frågeställning eller inte. En sådan lösning finns i exempelvis Storbritannien (se avsnitt 10.3.10).
Det finns en rad fördelar med en sådan lösning. Det skulle potentiellt kunna innebära mer specialiserade och därmed mindre uppgiftssamlingar. Det skulle dock sannolikt betyda att antalet uppgiftssamlingar också blev fler. Det skulle också leda till att ett färre antal personer skulle ha behov av att få tillgång till uppgiftssamlingarna, men det skulle också sannolikt innebära gränsdragningsproblematik och att vissa patienter som inte passar in i någon av uppgiftssamlingarna sannolikt får sämre vård.
Ett ökat antal uppgiftssamlingar, i synnerhet om de är specialiserade skulle sannolikt kunna leda till större regionala variationer och lägre interoperabilitet. Ytterligare en baksida med en sådan indelning är att det skulle göra det svårare att erbjuda vård till patienter som befinner sig i två av uppgiftssamlingarna och det finns då enligt utredningen en uppenbar risk att alla och ingen blir ansvarig för patienten, med följden att patienten inte får den vård som hen skulle fått om uppgiftssamlingen var samlad. Exempelvis så skulle en specialisering kunna vara virus, en annan cancer, en tredje ärftliga sjukdomar. För en person med cancer kan det dock vara så att cancern uppstod till följd av en virusinfektion och att den kunde uppstå för att det fanns en ärftlig faktor som gjorde att patienten hade en hög risk för att utveckla den cancertypen. En annan fråga är hur dessa olika databaser skulle placeras i Sverige.
Utredningens bedömning är därför att det inte är ändamålsenligt att i författning fastställa att en precisionsmedicinsk databas ska ha en viss inriktning. Sen kan det i praktiken bli så att vissa patienter som får högspecialiserad vård endast kommer att återfinnas i en av de samverkansregionala databaserna eftersom samtliga patienter behandlas på ett specifikt sjukhus. Utredningen ser dock inte att detta i praktiken skulle innebära några problem för varken hälso- och sjukvården eller patienterna.
Fördel ur tidsperspektivet
Utredningen har bedömt att tidsperspektivet är en av de viktigaste faktorerna som utredningen haft att förhålla sig till i framtagandet av utredningens förslag. Utredningen bedömer att en nationell eller en federerad lösning skulle ta för lång tid. En databas per region riskerar också att vissa regioner inte inrättar en databas för att kostnaderna
är för höga eller patientunderlaget är för litet. Detta skulle innebära en längre tid där patienter står utan rätt vård. Även ur ett tidsperspektiv har utredningen bedömt att den samverkansregionala nivån är det alternativ som minimerar tiden till dess att precisionsmedicin kan införas jämlikt i svensk hälso- och sjukvård.
Sammanfattande bedömning avseende inrättandet av precisionsmedicinska databaser
Utredningen anser att det bästa alternativet är att antalet databaser med samlingar av personuppgifter för vidareanvändning för vårdändamål begränsas. Sammantaget finner utredningen att en precisionsmedicinsk databas per samverkansregion tillsammans med en inom den Nationella Genomikplattformen (NGP), som beskrivs mer i detalj i avsnitt 14.7.3, är de bästa alternativen utifrån de förutsättningar och behov som finns. Det är en sammanvägd bedömning av de olika alternativen som skulle kunna vara aktuella. Fri etablering av databaser riskerar att bli spretigt och sakna styrning. En ensam nationell datahubb riskerar att ta lång tid att etablera med följden att en stor del av nyttan hinner gå förlorad.
Utredningen konstaterar att en precisionsmedicinsk databas per samverkansregion, tillsammans med en inom NGP, ligger i linje med arbetet med förslaget till EHDS och tanken på en nationell datahubb med tillhörande regionala datahubbar. Utredningen bedömer också att detta förslag är det som skulle skapa störst nytta på kort tid även om en federerad lösning och en nationell datahubb hade varit bättre på sikt.
13.6. Skyldighet eller frivillighet?
Förslag: Det ska vara frivilligt att inrätta en precisionsmedicinsk
databas och att i övrigt vidareanvända personuppgifter för vårdändamål enligt utredningens förslag.
De regler som preciserar tillåten behandling av personuppgifter för vård av annan ska utformas på sådant sätt att det blir en möjlighet, inte en skyldighet, för vårdgivare att behandla personuppgifter för
vård av annan än den som uppgifterna avser. Det ska till exempel vara frivilligt att inrätta en precisionsmedicinsk databas och att tillgängliggöra personuppgifter till databasen.
Att behandling av personuppgifter för ändamålet vård av annan än den som uppgifterna avser är frivilligt framgår av bestämmelserna genom att det anges att en viss aktör får utföra en viss behandling av personuppgifter. Till exempel anges att en vårdgivare får behandla personuppgifter för urval och tillgängliggörande till precisionsmedicinsk databas.
13.6.1. Övergripande skäl för frivillighet
Det finns olika skäl till att utredningen valt att det ska vara frivilligt att inrätta en precisionsmedicinsk databas. Det primära skälet är att detta är en så pass verksamhetsnära och specifik fråga som dessutom kommer kräva att flera regioner samverkar på ett fungerande sätt. Utredningen bedömer inte att det är statens roll att detaljstyra enskilda databaser i vården.
Utredningen konstaterar dock att det finns en risk för att frivillighet kan leda till viss ojämlikhet avseende införandet av precisionsmedicinska databaser på samverkansregionalnivå. Möjligheten att vidareanvända hälsodata från flera patienter vid vården av en annan patient är vidare något som efterfrågas starkt från hälso- och sjukvården. Utredningen uppfattar att det finns ett starkt intresse och behov inom framför allt den regionala specialiserade vården att kunna använda hälsodata på detta sätt för att kunna implementera precisionsmedicin fullt ut i vården. Utredningen bedömer utifrån detta att det borde finnas ett starkt incitament att inrätta precisionsmedicinska databaser i syfte att kunna använda de nya sätten att behandla personuppgifter på, utan att det behöver utgöras av skyldigheter i lagstiftningen.
En skyldighet hade även inneburit att staten hade behövt besluta om vilken av regionerna inom samverkansregionen som skulle bli ansvarig för att inrätta en precisionsmedicinsk databas, vilket är en betydande inskränkning i det kommunala självstyret. Utredningen har inte kunnat identifiera några direkta fördelar med att staten skulle ta det beslutet mer än att genomförande eventuellt skulle gå marginellt fortare. Det skulle också undvika risken att regionerna inom en samverkansregion inte kan komma överens. Utredningen bedömer dock
att den frågan bör kunna lösas utan lagstiftning. Utredningens bedömning är därför att ett krav hade inneburit en oproportionerlig inskränkning i det kommunala självstyret och därför inte är lämpligt.
13.6.2. Kostnader och finansieringsprincipen i relation till de precisionsmedicinska databaserna
Kostnaderna för inrättande av databaserna kommer att variera beroende på en rad olika faktorer, så som ambitionsnivå, vilken infrastruktur som redan i dag finns på plats och så vidare. Utredningen bedömer att ambitionsnivån bör vara upp till regionerna att besluta om. Den kommunala finansieringsprincipen innebär att staten inte ska ålägga kommuner och landsting nya uppgifter utan att ge dem adekvat finansiering.4
Utredningens bedömning är att det är sannolikt att förslaget till EHDS direkt eller indirekt kommer att leda till att det införs ett krav på regionerna att rent praktiskt kunna dela de personuppgifter som kommer att finnas i den precisionsmedicinska databasen oavsett om de inrättat en sådan eller inte. Utredningen ser en risk för att regionerna inte kommer vilja investera i inrättandet av precisionsmedicinska databaser om det finns en osäkerhet avseende hur långvarig nyttan kommer vara. Här är utredningens bedömning dessa strukturer bör gå att bygga vidare på i det nationella arbetet. Utredningen bedömer också att databaserna kan lägga grunden eller komplettera påbörjat arbete med regionala eller samverkansregionala datahubbar. Utredningens bedömning är därmed att det utöver patientnyttan finns ett tydligt incitament för regionerna att inrätta precisionsmedicinska databaser.
Finansieringsprincipen i förhållande till förslaget till EHDS
Ett framtida krav på att tillgängliggöra data skulle kunna innebära att finansieringsprincipen kan komma att bli tillämplig. Detta är inget som utredningen utrett eftersom det ännu inte är klart hur förslaget till EHDS kommer att se ut. Utredningen ställer sig dock frågande till om det är praktiskt genomförbart att staten bär alla kostnader som följer direkt eller indirekt av förslaget till EHDS. Utredningens bedömning
4 https://www.riksrevisionen.se/download/18.685c78e5162242160221104e/1521650321427/ RiR_2018_8_ANPASSAD.pdf.
är att förslagen kommer beröra en så betydande del av hälso- och sjukvårdens verksamhet att en full finansiering av alla följdeffekter av förslagen i praktiken skulle kunna innebära att staten tog över kostnaderna för exempelvis journalsystem och så vidare. Utredningen ser inte hur det skulle vara möjligt utan att ansvaret för hälso- och sjukvården flyttades över till staten. Här ser utredningen att det finns en uppenbar risk för en låsning i Sverige i samband med införande av EHDS såsom förslaget till reglering ser ut. Utredningen har dock inte till uppgift att reda ut denna fråga, men vill ändå lyfta problematiken, eftersom den är omfattande och indirekt berör utredningens förslag.
Finansieringsprincipen skulle inte vara ändamålsenlig
Utredningens bedömning är att krav på att inrätta en precisionsmedicinsk databas sannolikt skulle kunna göra finansieringsprincipen aktuell. Utredningens bedömning är dock att kostnaderna för att uppnå minimikraven för att tillgängliggöra de personuppgifter som utredningen föreslår är låg och att regionerna delvis redan har delar av infrastrukturen på plats. Att förslaget är frivilligt beror därmed inte på att utredningen vill att kostnaderna hamnar på regionerna i stället för på staten. Utredningens bedömning är att det är bättre att regionerna själva får lägga ambitionsnivån för databaserna och integrera det med övriga initiativ de har. Här kan exempelvis biobanker, centrum för hälsodata eller andra regionala initiativ som rör hälsodata eller precisionsmedicin nämnas. Om staten skulle införa ett krav ser utredningen snarare att det finns en risk för att regionerna tvingas ta fram ännu ett system som löper parallellt med befintliga system. Finansieringsprincipen har därför inte varit ett tungt vägande skäl för utredningens val avseende om inrättandet ska vara ett krav eller en frivillighet. Det är snarare det kommunala självstyret som varit det tyngsta skälet.
Utredningens bedömning är vidare att det inte finns något som hindrar att staten och regionerna kommer överens om att samfinansiera utvecklingen ändå. Om detta görs bör dock arbetet med nationella kvalitetsregister beaktas. En blandning av medel är sällan önskvärd eftersom det enligt utredningen skapar ett otydligt ansvarutkrävande.
Placering och kostnader för inrättandet av en precisionsmedicinsk databas
Utredningens förslag innebär att det endast är en regional myndighet inom hälso- och sjukvården inom respektive samverkansregion som får inrätta och föra en precisionsmedicinsk databas. Utredningen noterar att varje samverkansregion har ett universitetssjukhus, förutom Samverkansregion Mellansverige som har två (Örebro och Uppsala). Utredningen har i sitt arbete uppfattat att det framför allt är vid universitetssjukhusen som precisionsmedicin utförs. Det kan därför bli naturligt att de samverkansregionala precisionsmedicinska databaserna inrättas inom en region som har ett universitetssjukhus. Utredningen bedömer dock att regionerna bäst själva kan komma överens om var den samverkansregionala precisionsmedicinska databasen ska ligga och lämnar därför detta öppet i förslagen till reglering.
Vad gäller kostnaderna för inrättandet så har utredningen bedömt att det bästa är att överlämna den frågan till regionerna att själva komma överens sinsemellan, eftersom det kan finnas regionala skillnader som gör att olika samverkansregioner väljer att samfinansiera databasen på olika sätt. Utredningen har utgått ifrån att regionerna gemensamt betalar för inrättandet och utveckling utifrån en fördelning de tycker är lämplig, vilket exempelvis skulle kunna vara befolkningsmängd. Driften av databasen skulle kunna finansieras genom exempelvis att regioner betalar för att få använda databasen, antingen genom fast kostnad eller baserat på användning.
Sammanfattad bedömning
Sammanfattningsvis gör utredningen bedömning att klart övervägande skäl talar för att det ska vara frivilligt att inrätta precisionsmedicinska databaser och att i övrigt vidareanvända hälsodata för vårdändamål enligt utredningens föreslagna regler.
Utredningen ser en risk för att precisionsmedicinvården kan komma att bli ojämlik under perioder, allt eftersom regionerna eventuellt etablerar de samverkansregionala databaserna i olika takt. Utredningen ser det dock inte som sannolikt att någon samverkansregion helt skulle avstå från att inrätta en precisionsmedicinsk databas. Utredningen utgår vidare från att den NGP kommer att användas som precisionsmedicinsk databas om detta blir tillåtet. Även om någon av samverkans-
regionerna mot förmodan inte skulle inrätta en precisionsmedicinsk databas kommer NGP sannolikt finnas som ett alternativ. Utredningen bedömer också att det inom en snar framtid efter att betänkandet publiceras kommer bli känt vilka samverkansregioner som bestämt sig för att inrätta en precisionsmedicinsk databas. Skulle det då visa sig att regionerna avstår på grund av ekonomiska skäl, är det inget som skulle kräva andra regler än de som utredningen föreslår. Om det skulle visa sig att ekonomin utgör ett hinder mot inrättande av precisionsmedicinsk databas, har staten alltid möjlighet att bidra med finansiering.
13.7. Reglering av vidareanvändning för vårdändamål
Förslag: Det ska införas en reglering för vidareanvändning av per-
sonuppgifter för vården av en annan patient än den som uppgifterna avser.
I avsnitt 2.6.3 framgår att utredningens författningsförslag avser vidareanvändning av personuppgifter. De nya samlingar av vårddata som utredningen föreslår ska vara möjlig i databaser utgörs i många fall av personuppgifter enligt EU:s dataskyddsförordning. Regleringen behöver därför utgå ifrån att det är personuppgifter som vidareanvänds. Vidare är det uppgifter som omfattas av sekretess, se vidare avsnitt 17.1.
Ovan har framgått att det för vidareanvändning av hälsodata för vårdändamål behövs nya uppgiftssamlingar där sökning kan ske. De behov som finns avseende delning av personuppgifter och möjliga skyddsåtgärder skiljer sig både lagtekniskt och materiellt från hur patientuppgifter i dag är reglerade i PDL och SVOD.
Utredningen anser att det behövs en reglering som sätter en struktur och gränser för hur vidareanvändning för vårdändamål ska kunna ske som är anpassad utifrån de behov och möjligheter till skyddsåtgärder som är specifika för vidareanvändning av personuppgifter för vården av en annan patient än den som uppgifterna avser. Regleringen ska bygga på den modell som framgår avsnitt 13.4. Centralt för utredningens förslag är inrättandet av så kallade precisionsmedicinska databaser, se avsnitt 13.5.
13.7.1. På vilken normgivningsnivå ska regleringen ske?
Förslag: Reglering av vidareanvändning av personuppgifter för
vården av en annan patient än den som uppgifterna avser ska ske i lag med kompletterande bestämmelser i förordning i vilka regeringen meddelar föreskrifter om precisionsmedicinska databaser.
Bedömning: Bestämmelsen i 2 kap. 6 § andra stycket RF utgör inte
ett hinder mot närmare reglering i förordning avseende precisionsmedicinska databaser.
Rättsliga utgångspunkter
Normgivningsmakten är enligt 8 kap. regeringsformen, förkortad RF, fördelad mellan riksdagen och regeringen. Med normgivningsmakten avses rätten att besluta rättsregler, det vill säga sådana regler som är bindande för enskilda och myndigheter och som gäller generellt. Dessa regler kallas i RF för föreskrifter. Fördelningen av normgivningsmakten mellan riksdagen och regeringen bygger på principen att de centrala delarna av normgivningen ska ligga hos riksdagen (se Ds 2014:1 s. 9).
Riksdagens normgivningsområde
Det område där i första hand riksdagen har normgivningskompetensen kallas för riksdagens normgivningsområde eller det primära lagområdet. Detta område regleras huvudsakligen i 8 kap. 2 § RF.
I 8 kap. 2 § första stycket 2 RF anges att föreskrifter ska meddelas genom lag om de avser förhållandet mellan enskilda och det allmänna under förutsättning att föreskrifterna gäller skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden. Med ”ingrepp” åsyftas sådana åtgärder från normgivarens sida som allmänt anses innebära inskränkningar i enskildas dittillsvarande handlingsfrihet, möjligheter att förfoga över egendom etcetera (prop. 1973:90 s. 210). Inrättande av personregister har inte ansetts hänförligt till bestämmelser som kräver stöd i lag eller annan författning (se bland annat KU 1979/80:3y).
I 8 kap. 2 § första stycket 3 RF anges att föreskrifter ska meddelas genom lag om de avser grunderna för kommunernas organisation och
verksamhetsformer och för den kommunala beskattningen samt kommunernas befogenheter i övrigt och deras åligganden.
Den delen av det primära lagområdet där riksdagen inte kan bemyndiga regeringen att meddela föreskrifter, det vill säga inte kan delegera, brukar kallas det obligatoriska lagområdet. Den delen av det primära lagområdet där riksdagen genom delegering kan överlåta delar av sin normgivningskompetens till regeringen brukar kallas för det delegeringsbara området (se Ds 2014:1 s. 10). Detta område regleras i 8 kap. 3–5 §§ RF. Av 8 kap. 3 § RF framgår att riksdagen, med vissa undantag, kan bemyndiga regeringen att meddela föreskrifter enligt 2 § första stycket 2 och 3 RF.
I samband med att riksdagen bemyndigar regeringen att meddela föreskrifter i ett ämne kan riksdagen tillåta att regeringen i sin tur överlåter hela eller delar av denna normgivningskompetens till en förvaltningsmyndighet (se 8 kap. 10 § RF). Detta kallas subdelegering (Ds 2014:1 s. 10).
Regeringens normgivningsområde
I 8 kap. 7 § RF finns de huvudsakliga bestämmelserna om det område där regeringen utan delegering från riksdagen får meddela föreskrifter, det vill säga regeringens primärområde. Hit hör föreskrifter om verkställighet av lag samt föreskrifter som inte enligt grundlag ska meddelas av riksdagen, den så kallade restkompetensen.
Med verkställighetsföreskrifter avses i första hand tillämpningsföreskrifter av administrativt slag. Dessutom avses föreskrifter som i materiellt hänseende ”fyller ut” en lag, även om lagen i och för sig skulle befinna sig inom det obligatoriska lagområdet. En förutsättning är att den lagbestämmelse som ska kompletteras är så detaljerad att regleringen inte tillförs något väsentligt nytt genom den av regeringen beslutade föreskriften. I verkställighetsföreskrifter får det inte ingå sådant som kan uppfattas som en ny skyldighet för enskilda eller som ett nytt ingrepp i enskildas personliga eller ekonomiska förhållanden (se Ds 2014:1 s. 11 och prop. 1973:90 s. 211).
Till restkompetensen hör sådana offentligrättsliga föreskrifter som inte rör förhållandet mellan enskilda och det allmänna utan avser de statliga myndigheternas organisation, arbetsuppgifter och inre verksamhetsformer. Till restkompetensen hör också sådana föreskrifter som vis-
serligen rör förhållandet mellan enskilda och det allmänna men som ur den enskildes synpunkt inte är betungande utan gynnande eller neutrala.
Av 8 kap. 11 § RF framgår att regeringen får delegera normgivningsmakten inom sitt primärområde till en myndighet under regeringen.
Grundläggande fri- och rättigheter
I 8 kap. 2 § andra stycket RF anges att det av andra bestämmelser i RF och av annan grundlag följer att föreskrifter av visst innehåll ska meddelas genom lag. En sådan bestämmelse finns i 2 kap RF.
Enligt 2 kap. 6 § andra stycket RF är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.
Det skydd för den personliga integriteten som grundlagsbestämmelsen innebär är inte absolut, utan kan under vissa förutsättningar begränsas med hänsyn till andra motstående intressen. En sådan begränsning får dock endast ske genom lag (se 2 kap. 20 § första stycket 2 RF). En närmare beskrivning av dessa bestämmelser finns i avsnitt 7.1.2 (Integritetsskydd som en grundläggande mänsklig rättighet).
Reglering i lag
Utredningen föreslår att den grundläggande regleringen avseende behandling av personuppgifter för vården av en annan patient än den som uppgifter avser, sker i lag. Behandling av personuppgifter för vård av annan än den som uppgifterna avser kommer att kunna ske utan samtycke. Behandlingen kommer inte avse nyinsamling av uppgifter från de registrerade, utan kommer att avse vidareanvändning av redan insamlade uppgifter hos vårdgivare. Nya samlingar av uppgifter kommer dock att tillåtas i form av precisionsmedicinska databaser. De uppgifter som samlas i databasen avser känsliga personuppgifter om hälsa, däribland genetiska uppgifter. Uppgifterna kommer tillgängliggöras till den myndighet som för databasen, antingen från en annan myndighet eller avskiljas för ändamålet inom den myndighet som för databasen. Tillgång till uppgiftssamlingen i en precisionsmedicinsk databas kommer att kunna ges till regionala myndigheter inom hälso- och sjukvården och användas inom den specialiserade vården i vård
av enskilda patienter. Även om det är fråga om ett urval av uppgifter kan komma att bli fråga om en inte obetydlig mängd uppgifter. Utredningen anser att behandling av personuppgifter för vård av annan patient än den som uppgifterna avser enligt utredningen förslag kommer innebära ett betydande intrång i den personliga integriteten.
Uppgifterna i en precisionsmedicinsk databas kan avse exempelvis genförändring, ålder, kön och behandlingsutfall. Utöver uppgifterna i databasen, kommer det vara möjligt att begära kompletterande personuppgifter från patientjournaler. Utredningen gör bedömningen att de uppgifter som kan tillgängliggöras enligt föreslagna regler innebär en kartläggning av en enskilds personliga förhållanden.
Utredningen föreslår att det ska vara möjligt för enskilda att motsätta sig tillgängliggörande av personuppgifter till en precisionsmedicinsk databas. Det kommer också att finnas en skyldighet för vårdgivare att informera om vad personuppgiftsbehandling i precisionsmedicinsk databas och kompletterande uppgifter från patientjournal innebär. Dessa förhållanden medför dock enligt utredningen bedömning inte att intrånget i den personliga integriteten sker med samtycke. Det följer alltså av 2 kap. 6 § andra stycket och 2 kap. 20 § RF att de regler som utredning föreslår som medför intrång i den personliga integriteten ska meddelas i lag.
Utredningen noterar också att konstitutionsutskottet i flera lagstiftningsärenden som rört myndigheters behandling av personuppgifter framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag och att regeringen vid åtskilliga tillfällen har instämt i denna bedömning (se prop. 2009/10 s. 183).
Utifrån ovanstående gör utredningen bedömningen att regler om ändamålet, urval och tillgängliggörande, möjligheten att inrätta och föra precisionsmedicinsk databas, tillgången till uppgifterna i databasen samt möjligheten att begära kompletterande personuppgifter från patientjournal ska meddelas i lag. Dessa regler utgör också den rättsliga grunden för behandling av personuppgifter för det nya ändamålet, se avsnitt 14. Vidare ska även regler om behörighet och befogenhet att behandla personuppgifter för ändamålet vård av annan än den som uppgifterna avser meddelas i lag.
Kompletterande reglering i förordning avseende precisionsmedicinsk databas
I avsnitt 13.6 har utredningen övervägt olika ordningar för inrättande av precisionsmedicinsk databas. Utredningen har kommit fram till att antalet databaser bör bestämmas i författning. Utredningen anser att den lämpligaste ordningen är bestämmelser i PDL som kompletteras av regler i förordning.
Utredningen har övervägt om samtliga regler bör finnas i lagform. Som framgår nedan gör utredningen bedömningen att det inte är nödvändigt utifrån kraven i 2 kap. RF. En fördel med att ha samtliga regler i lag är att de finns samlade, vilket skapar en bättre överblick. Utredningen konstaterar dock att reglerna i lagen skulle behöva vara relativt detaljerade och att det skulle bli en omfattande reglering. Den detaljnivå som reglerna behöver ha passar enligt utredningens bedömning bättre i förordningsform.
En fördel med att dela upp reglerna i lag respektive förordning är också att de förhållanden som bestäms i förordningen enklare kan ändras eller upphävas. Som framgår ovan ser utredningen framför sig att det framöver kommer att ske en utveckling på området, bland annat i och med när förslaget till EHDS antas. Utifrån det kan ändringar kring till exempel antalet databaser och till vilka databaser som tillgängliggörande ska kunna få ske behöva göras. Utredningen ser därmed en fördel i att placera generella bestämmelser i lag och bestämmelser som har koppling till antalet databaser i förordningsform.
Krävs lagform för närmare bestämmelser om precisionsmedicinska databaser enligt grundlagen?
Utredningen gör bedömningen att varken 2 kap. 6 § andra stycket RF eller 8 kap. 2 § första stycket 2–3 RF utgör hinder mot att meddela närmare föreskrifter om precisionsmedicinska databaser i förordning. Utredningen resonemang i dessa delar följer nedan.
Skyddet för den personliga integriteten som följer av 2 kap. 6 § medför krav på att delar av den reglering som utredning föreslår meddelas i lag.
För att tydliggöra regelverket närmare i detalj föreslår utredning en ordning där närmre föreskrifter kopplade till inrättande och förandet av precisionsmedicinska databaser meddelas i förordning. Reglerna i förordningen ska avse inom vilka samverkansregioner som precisionsmedicinska databaser får inrättas och föras samt att det inom Nationella Genomikplattformen får föras en precisionsmedicinsk databas.
Vidare kommer det i förordningen att föreskrivas begränsningar kopplat till vilken eller vilka precisionsmedicinska databaser som vårdgivare får göra urval och tillgängliggörandet till. Det kommer även att föreskrivas till vilken eller vilka databaser som regionala myndigheter inom hälso- och sjukvården får ges tillgång till. Urval och tillgängliggörande samt tillgången ska följa den samverkansregionala indelningen. Urval och tillgängliggörande samt tillgång till precisionsmedicinsk databas inom Nationell Genomikplattform ska kopplas till deltagande regioner och myndigheter inom Genomic Medicine Sweden (GMS). GMS beskrivs närmare i 14.7.3.
Utredningens bedömning är att det är viktig att kunna specificera regelverket på ett sådant sätt att det blir tydligt för de aktörer som omfattas av det vad som rent konkret faktiskt gäller. Den typen av detaljerat regelverk är enligt utredningens bedömning inte lämpligt att placera i lag. Utredningen har övervägt att ha sådan detaljreglering i 6 kap. PDL men har landat i att det kapitlet skulle bli orimligt långt och alltför avvikande i förhållande till övriga PDL om det skulle utvidgas med ytterligare bestämmelser. Att i stället helt utesluta den sortens detaljerade bestämmelser är, enligt utredningens uppfattning, inte ändamålsenligt.
De regler som föreskrivs i förordningen utgör inget ytterligare intrång i den personliga integriteten än vad som följer av föreslagna regler i lag. Reglerna i förordningen tar sikte på organisatoriska/geografiska förhållanden/uppdelningar kopplade till möjligheterna att behandla personuppgifter för det nya ändamålet. Reglerna innebär en begränsning och kontroll av användandet av ändamålet.
Mot denna bakgrund anser utredningen att skyddet i 2 kap. 6 § andra stycket RF inte utgör hinder mot närmare reglering i förordning avseende precisionsmedicinska databaser.
8 kap. 2 § första stycket 2 och 3 RF
Som framgår ovan av de rättsliga förutsättningarna har förande av personregister inte ansetts innebära ett sådant ingrepp i enskildas personliga förhållanden som avses i 8 kap. 2 § första stycket 2 RF. Utredningen anser i linje med detta att inte heller behandling av personuppgifter i en precisionsmedicinsk databas eller vad som i övrigt blir tillåtet enligt utredningens förslag till reglering avseende behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser utgör ett sådant ingrepp.
Av 8 kap. 2 § första stycket 3 följer såvitt är av intresse att föreskrifter ska meddelas genom lag om de avser den kommunala beskattningen samt kommunernas befogenheter i övrigt. Kommunernas befogenheter avser vilken verksamhet som kommunerna får bedriva. Exempel på bestämmelser som avser kommunala befogenheter är 2 kap. kommunallagen som avser kommunala angelägenheter. Av 2 kap. 1 § kommunallagen framgår att kommuner och regioner får själva ha hand om angelägenheter av allmänt intresse som har anknytning till kommunens eller regionens område eller deras medlemmar. Kommunala befogenheter finns också reglerade i lag (2009:47) om vissa kommunala befogenheter. Lagen utvidgar den kommunala kompetensen i förhållande till kommunallagens bestämmelser (se 1 kap. 1 § lag (2009:47) om vissa kommunala befogenheter).
Inrättande och förande av precisionsmedicinsk databas och behandling av personuppgifter i övrigt för vården av en annan patient än den som uppgifterna avser kommer enligt utredningens förslag endast att få ske inom hälso- och sjukvården för ändamålet vård. Utredningens förslag avser inte regioners befogenheter vad avser verksamhet som får bedrivas, utan avser endast förutsättningarna för viss typ av personuppgiftsbehandling inom verksamhet som regionerna redan har ansvar för och bedriver enligt lag. Stöd för indelning i samverkansregioner följer också redan av lag.
Det är utredningens bedömning att de regler som utredningen föreslår inte berör kommunernas befogenheter i den mening som avses i 8 kap. 2 § första stycket 3 RF.
I avsnitt 13.5 redogörs för att de föreslagna reglerna ska vara frivilliga att tillämpa. De utgör därför inget åliggande enligt 8 kap. 2 § första stycket 3 RF.
Av ovanstående följer att normgivningsbestämmelserna i 8 kap. RF inte medför att de närmare föreskrifterna avseende de precisionsmedicinska databaserna behöver meddelas i lagform.
13.7.2. Reglerna ska föras in i patientdatalagen och en ny kompletterande förordning
Förslag: Vidareanvändning av personuppgifter för vården av en
annan patient än den som uppgifterna avser ska regleras i PDL och i en ny kompletterande förordning till PDL.
Ovan har framgått att vidareanvändning av personuppgifter för vården av en annan patient än den som uppgifterna avser ska regleras i lag. Frågan är hur den lagtekniska utformningen av de nya reglerna ska se ut. De lagar som ligger närmast till hands är sådana som rör personuppgiftsbehandling inom, eller kopplat till, de ändamål som utredningen avser att reglera. För hälso- och sjukvårdens del finns PDL och lagen (2022:913) om sammanhållen vård och omsorgsdokumentation, förkortad SVOD.
Utredningens förslag om vidareanvändning av personuppgifter för vården av en annan patient än den som uppgifterna avser, rör behandling av personuppgifter som sker inom hälso- och sjukvården. Ändamålet kommer att användas inom individanpassad vård, så kallad precisionsmedicin. Vidareanvändningen kommer ske inom hälso- och sjukvården och det är vårdgivare på både datahållar- och dataanvändarsidan.
PDL är kompletterande lagstiftning till EU:s dataskyddsförordning med regler som gäller vårdgivares behandling av personuppgifter inom hälso- och sjukvård. PDL avser personuppgiftsbehandling inom den individbaserade hälso- och sjukvården. Ovanstående talar enligt utredningens mening för att de nya reglerna om vidareanvändning av personuppgifter för vård av annan än den som uppgifterna avser ska föras in i PDL.
PDL omfattar i dag redan flera ändamål som avser återanvändning eller vidareanvändning av personuppgifter som sker i nära samband med hälso- och sjukvården. Det är logiskt att ytterligare möjligheter till vidareanvändning som sker inom vårdgivares hälso- och sjukvårds-
verksamhet och avser den individbaserade vården fortsatt regleras i PDL.
Utredningens förslag omfattar vidareanvändning av personuppgifter både inom och mellan vårdgivare. Frågan är om det utifrån detta finns anledning att placera reglerna i olika lagar, till exempel både i PDL och i SVOD.
PDL reglerar i dag, efter ikraftträdandet av SVOD, huvudsakligen behandling av personuppgifter som sker inom en vårdgivare. Där finns regler om personuppgiftsbehandling även mellan myndigheter inom en vårdgivare (se 5 kap. 4 § andra stycket PDL). Det är endast reglerna om nationella och regionala kvalitetsregister i 7 kap. PDL som reglerar behandling av personuppgifter där uppgifterna samlas in från flera vårdgivare (se 7 kap. 1 § PDL) och då för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet (se 7 kap. 4 § PDL). Personuppgifter som behandlas för detta ändamål får, såvitt nu är av intresse, också behandlas för ändamålen statistik, antalsberäkning inom klinisk forskning, och forskning inom hälso- och sjukvården. Reglerna om sammanhållen journalföring som tidigare fanns i 6 kap. PDL finns i dag i SVOD. SVOD reglerar tillgängliggörande och behandling av personuppgifter för vårdändamål mellan vård- och omsorgsgivare. Utifrån detta skulle den vidareanvändning av personuppgifter för vård av annan än den som uppgifterna avser, som ska få ske mellan vårdgivare kunna regleras i SVOD. Utredningen har dock av flera skäl funnit att detta inte är lämpligt.
Utredningen konstaterar att SVOD framför allt är en gemensam lag för underlättat informationsutbyte mellan hälso- och sjukvården och socialtjänsten för vård av samma patient eller omsorgstagare. Utredningens förslag kommer enbart att avse vårdgivares vidareanvändning av personuppgifter för det nya ändamålet inom hälso- och sjukvården och avser vidareanvändning från en eller flera patienter till en annan patient. SVOD skulle kompletteras med ett så pass stort antal nya bestämmelser som rör en principiellt sett annan situation (vården av en annan patient, i stället för vård av samma patient) och skulle därmed i stora delar ändra karaktär.
Vidare bedömer utredningen att det från ett vårdgivar- och patientperspektiv skulle framstå som mer logiskt att samtliga situationer där personuppgiftbehandling sker för ändamålet vård av annan än den som uppgifterna avser finns samlat i en och samma lag. Detta borde enligt utredningens mening även öka transparensen i regleringen, vilket
är viktigt inte minst ur integritetshänseenden. Regleringen bedöms även blir lättare att tillämpa med en sådan konstruktion.
Sammantaget gör utredningen bedömningen att det lämpligaste alternativet är att komplettera PDL med regler som avser vidareanvändning av personuppgifter för vård av annan än den som uppgifterna avser.
13.7.3. Förhållandet till European Health Data Space
I Europeiska kommissionens förslag till Europaparlamentets och Rådets förordning om ett europeiskt hälsodataområde, COM(2022) 197 final av den 3 maj 2022, förkortat förslaget till EHDS, finns en artikel (34.1.h) som räknar upp ändamål för vilka e-hälsodata kan behandlas för sekundär användning. Där framgår att tillgång till viss e-hälsodata kan ges för ett ändamål som är snarlikt utredningens författningsförslag avseende vårdändamålet.
Förslaget till EHDS är vid tidpunkten för utredningens arbete fortfarande ett förslag och det är därför inte känt för utredningen hur en eventuell reglering avseende vidareanvändning för vårdändamål kommer att se ut i EHDS om och när EHDS beslutas. Utredningen finner dock anledning att utifrån det förslag som finns på ett övergripande plan kommentera hur utredningen ser på förhållandet mellan utredningens förslag till reglering av vidareanvändning för vårdändamål och föreslagen reglering i EHDS.
Enligt förslaget till EHDS ges tillgången genom ett organ med ansvar för tillgång till e-hälsodata och sker efter en tillståndsprocess. Den föreslagna tidsfristen för datainnehavare att ställa de e-hälsodata till förfogande för organet med ansvar för tillgång till hälsodata är som huvudregel två månader från mottagandet av begäran från organet med ansvar för tillgång till hälsodata.
Utredningen ser att förslaget till EHDS innehåller formuleringar som skulle kunna utgöra en rättslig grund för behandling av personuppgifter för ett ändamål som är snarlikt det som utredningen föreslår. Förslaget till EHDS adresserar dock inte den vårdnära datadelning som utredningens förslag avser. Ett förfarande med ansökan, tillstånd och tidsfrister omfattas inte av utredningens förslag och synes enligt utredningens uppfattning avser en mer övergripande nivå och andra situationer än de som utredningens förslag adresserar. Utredningens
förslag avser att vårdgivare ska kunna dela data för att få bättre beslutsunderlag i den dagliga vården av enskilda patienter. Utredningen har fått till sig behov från den regionala specialiserade vården som kräver snabb tillgång till sådant beslutsunderlag. Ett sådant exempel har varit läkare som beskrivit situationer med krampande barn som har en sällsynt diagnos. För att kunna hjälpa en sådan patient är det en förutsättning att snabbt kunna logga in och se om det går att ta ledning från andra liknande fall med samma diagnos. I akuta fall skulle en tillståndsprocess genom ett organ inte kunna fylla någon funktion. Utredningen uppfattar mot denna bakgrund att förslaget till EHDS och utredningens förslag avser olika nivåer av reglering.
Det kan vidare konstateras att det finns ett antal frågor som behöver lösas i nationell lagstiftning, som förlaget till EHDS inte berör. En sådan fråga är sekretess. För att uppgifter ska kunna vidareanvändas för vårdändamål behöver det kunna ske utan hinder av sekretess. Utredningen lämnar sådana förslag. Utredningen lämnar också förslag avseende säkerhetsåtgärder. Som utredningen redogör för i avsnitt 2.6.2 inkluderar begreppet hälsodata i många fall sådana särskilda kategorier av känsliga personuppgifter som enligt huvudregeln är förbjudna att behandla enligt artikel 9.1 i dataskyddsförordningen, så kallade känsliga personuppgifter. När det gäller precisionsmedicin är det tydligt att känsliga personuppgifter behövs (se vidare avsnitt 14.3.3). För att behandla dessa behövs således en analys göras av vilket tillämpligt undantag i artikel 9.2 i dataskyddsförordningen som är aktuellt och huruvida samtliga villkor, exempelvis krav på tystnadsplikt för de som behandlar uppgifterna (se artikel 9.3), är uppfyllda. En sådan analys måste således ta ställning till om bestämmelserna i förslaget till EHDS reglerar detta eller om det krävs kompletterande nationell lagstiftning för att uppnå förenlighet med dataskyddsförordningens krav. En ytterligare fråga är hur de enskildas rättigheter enligt PDL och dataskyddsförordningen ska tillgodoses för olika behandlingar som genomförs med stöd av bestämmelser i förlaget till EHDS. Dessa frågor behöver hanteras inom ramen för anpassningar av gällande nationell rätt inför ett ikraftträdande. Utredningens förslag för ändamålet vården av en annan patient än den personuppgifterna avser har beaktat dessa rättigheter i sina förslag och gjort förslag på ändringar där det utredningen ansett det motiverat.
Utredningen ser förslaget om precisionsmedicinska databaser på regional nivå som en grundläggande infrastruktur för att möjliggöra
en vårdnära datadelning. Som en följd av EHDS skulle en nationell infrastruktur, exempelvis en federerad lösning, kunna byggas på, se vidare avsnitt 13.3.
13.8. Behovet av en ny ändamålsbestämmelse
Bedömning: Vidareanvändning av personuppgifter för vården av
en annan patient än den som uppgifterna avser omfattas inte av befintliga ändamålsbestämmelser i PDL och är inte heller möjlig med stöd av finalitetsprincipen.
Behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser, är en ny typ av personuppgiftsbehandling som inte har skett tidigare i vården. Eftersom det är fråga om en ny typ av personuppgiftsbehandling, uppstår frågan om det också finns behov av en ny ändamålsbestämmelse i PDL.
13.8.1. Befintliga ändamålsbestämmelser i patientdatalagen
Vårddokumentation
Utredningen har övervägt om personuppgiftsbehandlingen för vården av en annan patient än den som uppgifterna avser, kan anses ingå i något av de ändamål som redan finns i PDL:s ändamålsbestämmelse (se 2 kap. 4 § första stycket PDL). Det ändamål som skulle kunna vara aktuellt är ändamålet vårddokumentation (se 2 kap. 4 § första stycket 1 och 2 PDL).5
I första och andra punkten i PDL:s ändamålsbestämning anges att personuppgifter får behandlas inom hälso- och sjukvården om det behövs för
1. att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan
dokumentation som behövs i och för vården av patienter (punkt 1).
2. administration som rör patienter och som syftar till att ge vård i
enskilda fall eller som annars föranleds av vård i enskilda fall (punkt 2).
5 Begreppet ”vårddokumentation” används i prop. 2007/08:126 (Patientdatalag m.m.) som benämning av punkterna 1 och 2 (se exempelvis s. 57).
Att ändamålen tas upp i två punkter och inte i en har ingen saklig betydelse. Båda punkterna tar sikte på den individinriktade patientverksamheten. I förarbetena anges att det enbart är av språkliga skäl som uppdelningen i två punkter har gjorts (prop. 2007/08:126 s. 228).
Ryms ändamålet vården av en annan patient än den som uppgifterna avser under vårddokumentation?
Utredningen har först och främst analyserat punkternas ordalydelse. Den första punkten handlar i dess första led om ”att fullgöra de skyldigheter som anges i 3 kap.”. I 3 kap. PDL finns bestämmelser om skyldigheten att föra patientjournal. Vidare handlar punkten i dess andra led om att ”upprätta annan dokumentation som behövs i och för vården av patienter”. Detta uppfattar utredningen avser insamling och registrering av annan information än den som behövs för patientjournalföringen.
När personuppgifter om en patient ska användas för vården av en annan patient, handlar det enligt utredningen inte om att fullgöra journalföringsplikt eller att annan information ”upprättas”. Det är i stället uteslutande fråga om en vidareanvändning av redan insamlade och registrerade uppgifter om en patient. Denna insamling och registrering har skett hos en vårdgivare för ändamålet vårddokumentation. Vidareanvändningen består i att dessa uppgifter används inom ramen för vården av en annan patient. Mot denna bakgrund anser utredningen att behandling av personuppgifter för vård av annan än den som uppgifterna avser inte utifrån en ordalydelsetolkning kan anses ingå i 2 kap. 4 första stycket 1 PDL.
Den andra punkten handlar om ”administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall”. Ordalydelsen i denna punkt är något mer svårtolkad i förhållande till vidareanvändning av befintliga uppgifter om en patient för vården av en annan patient. Ordet ”administration” kan dock enligt utredningens mening knappast anses omfatta den medicinska användning som är aktuell avseende de personuppgifter som vidareanvänds för vård av annan patient.
Utredningen har också funderat över om andra bestämmelser i PDL kan ge någon ledning i om vidareanvändning av personuppgifter för vård av annan patient än uppgifterna avser, kan anses ingå i ändamålet vårddokumentation. I sammanhanget kan 3 kap. 2 § PDL där
det anges vad syftet med en patientjournal är, vara av intresse. Syftet med att föra en patientjournal är i första hand att bidra till en god och säker vård av patienten (första stycket). Vidare är en patientjournal även en informationskälla för patienten, uppföljning och utveckling av verksamheten, tillsyn och rättsliga krav, uppgiftsskyldighet enligt lag samt forskning (andra stycket). Utredningen uppfattar när patienten nämns i detta sammanhang att det är patienten själv som avses, och inte någon annan patient. Formuleringarna kan därför enligt utredningens mening inte ge stöd för eller öka klarheten i att ändamålet i punkten 1 skulle omfatta även behandling av personuppgifter för vård av annan patient än den som uppgifterna avser.
Ett annat angreppssätt är att se på vad lagstiftaren har menat ska ingå i punkterna (ändamålstolkning).
I samband med att PDL infördes ansågs det av principiella skäl viktigt att uttryckligen och så uttömmande som möjligt reglera för vilka ändamål personuppgifter får behandlas i PDL. Syftet med ändamålsbestämningen i PDL är att ange en yttersta ram för när personuppgifter får samlas in och behandlas (prop. 2007/08:126 s. 56). Utgångspunkten är att endast sådan personuppgiftsbehandling som inryms i något eller några av de uppräknade ändamålen får äga rum (se dock 2 kap. 5 §) (prop. 2007/08:126 s. 227).
När det gäller punkterna vårddokumentation är förarbetena sparsmakade i förklaringen av vad som ingår. Klart är att patientjournalföring omfattas. När det gäller vad som övrigt omfattas uttrycks att sådan dokumentation som faller vid sidan av skyldigheten att föra journal bör omfattas av ett ändamål som rör den individinriktade patientverksamheten alldeles oavsett dess formella status. Av den anledningen avses med ändamålen i punkterna 1 och 2 inte bara själva insamlingen och registreringen av personuppgifterna utan även den senare användning av de registrerade uppgifterna i den omfattning som behövs i patientvården eller patientadministrationen (prop. 2007/08:126 s. 57). Detta uttalande skulle kunna tala för att även en vidareanvändning av befintliga uppgifter om en patient för vården av en annan patient skulle kunna omfattas av vårddokumentationsändamålet. Uttalandet ger också uttryck för att punkterna 1–2, trots sin mer begränsade ordalydelse, bör tolkas som ett stöd för personuppgiftsbehandling för ett mer generellt vårdändamål. Ett sådant synsätt skulle öppna upp för möjligheten att tolka in även behandling av personuppgifter för
vården av en annan patient än den som uppgifterna avser.
I förarbetena uttalas också att både första och andra punkten tar sikte på den individinriktade patientverksamheten (prop. 2007/08:126 s. 228). Frågan som inställer sig här är om lagstiftaren sett något annat framför sig än behandling av personuppgifter för vården av samma
patient. Inget i förarbetena ger uttryck för att lagstiftaren har avsett
något annat än att personuppgifterna skulle användas för vården av samma patient. Situationen att vårdgivarna skulle ha behov av att använda uppgifter om en patient för vården av en annan patient, på det sätt som precisionsmedicinen förutsätter, var inte heller något som fanns på den tiden som förarbetena till PDL skrevs. Det behov som utredningen har i uppdrag att se över regleringen av har uppstått på senare tid och är enligt utredningens mening ingenting som lagstiftaren har förutsett eller kunnat förutse vid tidpunkten för införandet av PDL.
Det är utredningens sammantagna bedömning att den behandling av personuppgifter, en form av vidareanvändning, för vård av annan patient än den som uppgifterna avser, inte kan anses rymmas inom PDL:s nuvarande ändamålsbestämmelser.
Omformulering eller tolkning av ändamålet vårddokumentation
Utredningen har gjort bedömningen att det inte är lämpligt att lämna förslag på en generell omformulering av 2 kap. 4 § första stycket 1–2 PDL. Detta skulle kräva ett mer omfattande grepp av punkterna överlag och kräver en egen utredning. Däremot skulle utredningen kunna föreslå tillägg som motsvarar den vidareanvändning för vård som utredningen har i uppdrag att se över.
En möjlig form av tillägg skulle kunna vara att i förarbeten skriva att bestämmelsen ska tolkas som ett mer generellt vårdändamål som också omfattar behandling av personuppgifter för vård av annan än den som uppgifterna avser. Mot bakgrund av den analys som utredningen presenterat ovan anser dock utredningen att detta skulle komma för långt ifrån bestämmelsens ordalydelse. Det skulle också enligt utredningen inte vara tillräckligt tydligt för de som har att tillämpa ändamålen.
Utredningen gör som sagt bedömningen att den behandling av personuppgifter för vård av annan än den som uppgifterna avser, inte kan anses rymmas inom PDL:s nuvarande ändamålsbestämmelser i 2 kap. 4 § PDL. Om man kommer till annan slutsats, det vill säga att per-
sonuppgiftsbehandlingen ryms under PDL:s ändamålsbestämmelser, skulle en del av personuppgiftsbehandlingen som krävs kunna stödjas av 2 kap. 5 § PDL. I den bestämmelsen anges att personuppgifter som behandlas för ändamålen i 2 kap. 4 § PDL också får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Ett sådant uppgiftsutlämnande skulle i sådana fall kunna vara till en precisionsmedicinsk databas. Eftersom utredningen kommer till annan slutsats, utreds inte detta vidare.
13.8.2. Finalitetsprincipen
En annan variant än att tolka in behandling av personuppgifter för vård av annan patient än den som personuppgifterna avser i någon av ändamålsbestämmelserna i PDL, är att anse att det är en tillåten behandling enligt finalitetsprincipen.
Dataskyddsförordningen och PDL
Finalitetsprincipen följer av artikel 5.1 b i EU:s dataskyddsförordning och innebär att personuppgifter som har samlats för att behandlas för särskilda, uttryckligt angivna och berättigade ändamål inte får behandlas även för andra, nya ändamål, om dessa är oförenliga med de ursprungliga ändamålen.
En motsvarighet till finalitetsprincipen finns i 2 kap. 5 § PDL. Där klargörs att personuppgifter som behandlas enligt 2 kap. 4 § PDL även får behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Utredningen har noterat att PDL:s bestämmelse om finalitetsprincipen är annorlunda formulerad än bestämmelsen i dataskyddsförordningen. I 2 kap. 5 § PDL uttrycks att personuppgifter ”får även behandlas för andra ändamål under förutsättningar att […], det vill säga bestämmelsen talar om när en vårdgivare får göra något. I artikel 5. b dataskyddsförordningen uttrycks att personuppgifter efter insamlandet inte får behandlas på ett sätt som är oförenligt med de ursprungliga ändamålen. Här talar bestämmelsen i stället om vad man inte får göra. Utredningen förstår dock inte det som att skillnaden i formuleringarna har tänkt att ha någon praktisk betydelse. 2 kap. 5 §
PDL har nämligen en koppling till dataskyddsförordningen. Innan dataskyddsförordningens ikraftträdande fanns i PDL en hänvisning till den tidigare gällande personuppgiftslagen (1998:204) där det framgick att personuppgifter inte fick behandlas för något ändamål som var oförenligt med det ändamål för vilket de samlades in (9 § första stycket d personuppgiftslagen). Bestämmelsen behövde anpassas i och med dataskyddsförordningens ikraftträdande och personuppgiftslagens upphörande. För att undvika oklarheter om artikel 5.1 b i EU:s dataskyddsförordning ska tillämpas eller inte ansåg regeringen att det av tydlighetsskäl fanns anledning att behålla någon form av hänvisning till finalitetsprincipen i registerförfattningar. Det ansågs dock inte finnas skäl att ange vilken artikel i dataskyddsförordningen som förtydligas i registerförfattningarna (prop. 2017/18:171 s. 89–90).
I skäl 50 dataskyddsförordningen anges att när behandling av personuppgifter för andra ändamål än för vilka de ursprungligen samlades in är förenligt med det ursprungliga ändamålet krävs det inte någon annan separat rättslig grund för den ytterligare behandlingen.
I dag har personuppgiftsbehandling inom hälso-och sjukvården sitt rättsliga stöd i både sektorsspecifik lagstiftning, som HSL, samt i registerförfattningen PDL. Fråga uppstår då om det behövs ett ytterligare stöd för att behandling av personuppgifter för vård av annan än den personuppgifterna avser ska anses vara i enlighet med dataskyddsförordningens krav, eller om det räcker med det som i dag följer av dessa lagar. Nedan följer utredningens bedömning om hur tillämpningen av finalitetsprincipen skulle falla ut, samt varför det finns ett behov av ytterligare rättsligt stöd för att möjliggöra behandling av personuppgifter för vård av annan än den personuppgifterna avser.
Utredningens bedömning av finalitetsprincipen
Att behandla personuppgifter för vård av annan än den som uppgifterna avser innebär i praktiken att personuppgifter som har samlats in och behandlas med stöd av ändamålet vårddokumentation (2 kap. 4 § första stycket 1–2 PDL) vidarebehandlas i syfte att vårda en annan person. Det skulle kunna tänkas att detta kan ses som en personuppgiftsbehandling där uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (jämför med finalitetsprincipen i 2 kap. 5 § PDL). Till stöd i bedömningen för vad
som anses oförenligt eller inte med det ursprungliga ändamålet anges det i artikel 6.4 i dataskyddsförordningen vissa kriterier som den personuppgiftsansvarige ska beakta. Vidare kan viss vägledning hämtas från skäl 50 i datasskyddsförordningen.
Av artikel 6.4 a–e framgår att följande ska beaktas: – kopplingarna mellan de ändamål för vilka personuppgifterna samlats
in och ändamålen med den avsedda ytterligare behandlingen, – det sammanhang inom vilket personuppgifterna samlats in, särskilt
förhållandet mellan de registrerade och den personuppgiftsansvarige, – personuppgifternas art, särskilt huruvida särskilda kategorier av
personuppgifter behandlas i enlighet med artikel 9, – konsekvenserna för registrerade av den planerade fortsatta behand-
lingen, samt – förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryp-
tering eller pseudonymisering.
Avseende kopplingen mellan ändamålet vård av annan patient än den som uppgifterna avser så är det övergripande syftet att ge vård, vilket också är fallet för det ändamål för vilka personuppgifterna ursprungligen samlades in (även om det gäller en annan patient). Detta skulle kunna tala för att det på ett generellt plan finns en stark koppling mellan de olika ändamålen. Ur en personuppgiftsansvarig vårdgivares perspektiv, kanske det rent utav kan ses som samma ändamål, trots att behandlingen av personuppgifter rör helt olika personer utan vetskap om varandra. Utredningen delar den uppfattning som Socialdatautredningen uttalade om att det yttersta syftet med personuppgiftsbehandling enligt PDL är att ge god vård (SOU 2017:66 s. 327).
I en mer specifik situation där personuppgifter samlas in och dokumenteras för att exempelvis uppfylla dokumentationskrav i enlighet med 3 kap. PDL eller interna rutiner avseende en viss patient kan dock kopplingen mellan de olika ändamålen inte anses vara särskilt stark.
Enligt utredningens mening måste även vad en patient rimligen förväntar sig vägas in i hur stark denna koppling egentligen är (se skäl 50 dataskyddsförordningen). I ett äldre beslut från Integritetsskyddsmyndigheten, ska denna hypotetiska bedömning göras utifrån vad en
patient typiskt sett skulle förvänta sig, inte en patient i ett specifikt fall (jämför DI-1369-2012, från den 14 januari 2013).
Utredningen är av uppfattningen att en patient typiskt sett inte förväntar sig att hens personuppgifter som samlas in från läkare och annan vårdpersonal inom ramen för vården hen får, kommer att användas för vården av någon annan. Till viss del kan detta anses bero på att precisionsmedicin fortfarande är något relativt nytt. Oaktat detta bör det vägledande vara hur en typisk patient förväntar sig att hens personuppgifter hanteras inom vården. Till detta bör även hållas i åtanke att personuppgifterna som samlas in i en vårdsituation sker i ett sammanhang där man som patient kanske ofta befinner sig i ett utsatt läge och är i ett starkt beroendeförhållande till den personuppgiftsansvarige (jämför artikel 6.4 b). De personuppgifter som omfattas av utredningens förslag och som också behövs för att kunna implementera precisionsmedicin utgörs nästan uteslutande av så kallade känsliga personuppgifter enligt artikel 9 (jämför artikel 6.4 c). Samtliga av dessa omständigheter talar emot att behandlingen för ändamålet vård av annan än personuppgifterna avser kan anses förenligt med det ursprungliga ändamålet.
I utredningens förslag finns det förvisso bestämmelser om pseudonymisering eller annat likvärdigt skydd (se avsnitt 14.6.4 och 14.9.3) Även om detta utgör en skyddsåtgärd ämnad att begränsa effekten av intrånget i den personliga integriteten, utgör det inte enligt utredningen ett sådant starkt skydd att behandling för ändamålet vård av annan än den personuppgifterna avses ska anses förenligt med det ursprungliga ändamålet (jämför artikel 6.4 e).
Om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig (artikel 6.3). Som angetts i avsnitt 13.8.1 (Befintliga ändamålsbestämmelser i PDL), anser inte utredningen att den befintliga ändamålsbestämmelsen, efter en tolkning av ordalydelsen och dess ändamål, kan anses utgöra ett stöd för att behandling av personuppgifter för vård av annan än den personuppgifterna avser är tillåtet. Detta särskilt med hänsyn till uttalanden i förarbetena till PDL om att ändamålsbestämmelsen ska vara en yttersta ram för när personuppgifter får samlas in och behandlas, samt att utgångspunkten är
att endast sådan personuppgiftsbehandling som inryms i något eller några av de uppräknade ändamålen får äga rum (prop. 2007/08:126 s. 56 och s. 227). Det finns enligt utredningen inte utrymme för en sådan extensiv tolkning av finalitetsprincipen.
Utredningens slutsats är på grund av det ovan anförda att behandling av personuppgifter för vård av annan än den som personuppgifterna avser inte kan anses som en tillåten behandling enligt finalitetsprincipen.
13.8.3. Samtycke enligt 2 kap. 3 § patientdatalagen
En ytterligare variant för att möjliggöra behandling av personuppgifter för vård av annan än den som personuppgifterna avser, är att titta på möjligheten att använda patienters samtycke i 2 kap. 3 § PDL.
Bestämmelsen anger att behandling av personuppgifter som inte är tillåten enligt PDL ändå får ske, om den enskilde lämnat ett uttryckligt samtycke till behandlingen (2 kap. 3 § PDL). Det gäller dock inte om något annat framgår av annan lag eller förordning.
I förarbetena till PDL anfördes att paragrafen kan sägas ge uttryck för principen att en enskilds uttryckliga samtycke till en viss personuppgiftsbehandling normalt ska respekteras (prop. 2007/08:126 s. 277).
I sammanhanget är det relevant att reflektera över hur bestämmelsen förhåller sig till dataskyddsförordningen. I skäl 43 anges följande:
För att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.
För offentliga vårdgivare finns det alltså särskild anledning att fundera över om det råder sådan betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige myndigheten som nämns i skäl 43 i dataskyddsförordningen, att samtycket inte bör utgöra rättslig grund för behandling av personuppgifter.
Inför ikraftträdande av dataskyddsförordningen bedömdes att bestämmelsen kunde behållas (prop. 2017/18:171, s. 159–160). I lagstiftningsärendet framhöll Integritetsskyddsmyndigheten (då Datainspektionen) att de registerförfattningar som innehåller bestämmelser om
samtycke som rättslig grund för behandling av personuppgifter måste analyseras noggrant, dels utifrån om samtycke överhuvudtaget kan användas med hänsyn till den situation i vilken den registrerade befinner sig i förhållande till den personuppgiftsansvarige, dels utifrån att dataskyddsförordningen inte ger stöd till medlemsstaterna att införa nationella bestämmelser om samtycke som rättslig grund. Regeringen ansåg dock, med hänvisning till artikel 6.1 a och 9.2 a samt skäl 8 i dataskyddsförordningen, att bestämmelsen i 2 kap. 3 § PDL kunde behållas (prop. 2017/18:171, s. 159–160). Även i de fall det är fråga om en myndighet så borde det, enligt regeringen, finnas utrymme för samtycke som rättslig grund. Det krävs då särskilda överväganden för att bedöma om samtycke kan utgöra stöd för behandlingen (prop. 2017/18:171, s. 87).
Enligt utredningens uppfattning har möjligheten att använda samtycke i 2 kap. 3 § PDL begränsad tillämplighet i praktiken, särskilt när det gäller regionala myndigheter. I många fall borde det anses råda ojämlikhet mellan regionen och enskilda patienter så som beskrivs i skäl 43 dataskyddsförordningen. Utredningen anser därför att det inte är möjligt att grunda en behandling av personuppgifter för vård av annan än den personuppgifterna avser på samtycke enligt 2 kap. 3 § PDL. Samtycke är enligt utredningens uppfattning inte heller ett praktiskt lämpligt alternativ (se mer om detta i avsnitt 14.10 (Betydelsen av den enskildes inställning till personuppgiftsbehandlingen).
13.8.4. Närmre om uppdelningen i primära och sekundära ändamål och EHDS förslag rörande ”personlig hälso- och sjukvård”
Vid PDL:s införande ansågs det olämpligt att dela in ändamålen i lagen i primära och sekundära ändamål. Detta motiverades bland annat med att både primära och sekundära ändamål handlar om personuppgiftsbehandlingar som, mer eller mindre integrerat, normalt äger rum i varje vårdgivares egen verksamhet (prop. 2007/08:126 s. 56). PDL omfattar alltså både insamling och registrering av uppgifter samt den vidareanvändning som sker för de ändamål som räknas upp; detta utan att det görs någon formell skillnad mellan vad som är (ny)insamling eller vidareanvändning.
I detta sammanhang bör förslaget till EHDS lyftas. Utredningen har kortfattat redogjort för förslaget i avsnitt 4.2.8. I förslaget till
EHDS finns indelningen mellan primär och sekundär användning. I artikel 34, som handlar om ändamål för vilka e-hälsodata kan behandlas för sekundär användning, anges ändamålet ”tillhandahållande av personlig hälso- och sjukvård som består i att bedöma, bibehålla eller återställa fysiska personers hälsotillstånd på grundval av andra fysiska personers hälsodata” (punkten h). Detta kan jämföras med det utredningen kallar vidareanvändning för vården av en annan patient än den som personuppgifterna avser. I förslaget till EHDS görs alltså en skillnad mellan så kallad primär användning och sekundär användning, till skillnad från PDL:s systematik.
Även om PDL inte gör skillnad mellan primära och sekundära ändamål, och vidareanvändning för vården av en annan patient än den som personuppgifterna avses skulle kunna argumenteras för kan tolkas in i existerande ändamål i 2 kap. 4 § PDL, eller anses vara en behandling som inte är oförenlig med det ändamål för vilket uppgifterna samlades in, anser utredningen ändå att det finns en poäng i att särskilt synliggöra denna personuppgiftsbehandling i lagstiftningen. Det är fråga om en helt ny typ av personuppgiftsbehandling där en persons uppgifter används i vården av någon annan. En sådan ny typ av personuppgiftsbehandling anser utredningen ska framgå tydligt att den är tillåten.
13.8.5. Sammanvägd bedömning
Enligt utredningen är det viktigt i integritetshänseende att PDL:s ändamålsreglering är tydlig. Är det inte tydligt vad som ingår eller får göras enligt PDL:s ändamål är det inte förutsägbart för den enskilde, eller för de personuppgiftsansvariga inom vården, vad som får göras med den enskildes personuppgifter. Detta blir särskilt relevant eftersom personuppgiftsbehandlingen kommer inkludera känsliga personuppgifter (uppgifter om hälsa). Det finns då enligt utredningen starka skäl som talar för att man redan utifrån ordalydelsen i PDL ska kunna förstå att personuppgifter om en patient får användas i vården av en annan patient. Utredningen tycker att detta talar för att det bör tas in ett nytt ändamål som ger ett tydligt stöd för vårdgivare att behandla personuppgifter om en patient för vården av en annan patient. Ett sådant resonemang ligger också väl i linje med tidigare uttalanden från regeringen dels avseende att 2 kap. 4 § PDL ska anses utgöra en uttömmande reglering av för vilka ändamål som personuppgifter inom
PDL:s tillämpningsområde får behandlas för, dels att desto mer kännbart intrång i någons integritet som föranleds av en uppgift av allmänt intresse desto tydligare bör den rättsliga grunden vara (se prop. 2007/ 08:126 s. 56 och prop. 2017/18:105 s. 51).
Utredningen anser sammantaget att det därmed finns starka skäl att införa ett tydligt och ändamålsenligt stöd i PDL för behandling av personuppgifter för vården av en annan patient än den som personuppgifterna avser.
13.9. Behovet av nya befogenhetsbestämmelser
Bedömning: Enligt 4 kap. 1 § PDL får den som arbetar hos en
vårdgivare ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Utredningen gör bedömningen att bestämmelsen inte ger stöd för att den som arbetar inom hälso- och sjukvården kan del av uppgifter om en patient för ändamålet vården av en annan patient än den som uppgifterna avser.
En fråga som uppkommer är om befintlig bestämmelse om befogenhet att inom den inre sekretessen ta del av uppgifter om patienter i 4 kap. 1 § PDL ger stöd för att den som arbetar inom hälso- och sjukvården tar del av sådana uppgifter även för ändamålet vården av en annan patient än den som uppgifterna avser. Begreppen behörighet, befogenhet och inre sekretess återkommer avseende vårdändamålet i kapitel 13 och 14. Behörighet för åtkomst avser en användares faktiska möjligheter att ta del av uppgifter i exempelvis vårdgivarens journalsystem. Behörighet kan förenklat uttryckas vad en person kan göra. Med befogenhet avses vad en person får göra. Även om vårdpersonal rent praktiskt kan logga in i ett journalsystem har den inte rätt att läsa journaler fritt. Inre sekretess är en typ av befogenhetsbestämmelse och uttrycker därmed vad vårdpersonalen faktiskt får göra. I 4 kap. 1 § PDL uttrycks det genom att den som arbetar hos en vårdgivare endast får ta del av dokumenterade uppgifter om en patient om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.
Ger 4 kap. 1 § PDL stöd för att ta del av personuppgifter för vården av en annan patient än den som uppgifterna avser?
Enligt 4 kap. 1 § gäller att den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.
Uttalandena i förarbetena till PDL är generellt sett sparsmakade vad gäller kommentarer till bestämmelsen. Förarbetena till PDL ger inte någon mer utförlig ledning till hur ”deltar i vården” eller ”annat skäl” i 4 kap. 1 § ska tolkas eller hur dessa formuleringar förhåller sig till ändamålsbestämmelsen i PDL (jämför prop. 2007/08:126 s. 238).
Deltar i vården
Ordalydelsen i led ett av bestämmelsen, ”får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten”, tyder enligt utredningens mening på att det är samma patient som avses. Det praktiska situation inom hälso- och sjukvården där detta tillämpas är också såvitt utredningen erfarit att personalen deltar i vården av den patient, vars uppgifter man då får ta del av i den utsträckning som det behövs för att ge patienten en god och säker vård.
Vid behandling av personuppgifter för vård av en annan patient än den som uppgifterna avser blir situationen en annan. För det första är det inte alltid så att samma personal deltar i vården av de patienter vars uppgifter ska användas för vården av en annan patient. För det andra är det enligt utredningens mening oklart om formuleringen i 4 kap. 1 § PDL kan anses omfatta att personal, även om de skulle ”delta i vården” av alla inblandade patienter, får ta del av uppgifter om vissa patienter i syfte att vårda en annan patient. Formuleringen ”… dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten” [utredningens kursivering] talar enligt utredningens mening emot att så skulle vara fallet.
Utredningens bedömning är att första ledet i 4 kap. 1 § PDL inte ger stöd för att personal får ta del av dokumenterade personuppgifter för vården av en annan patient än den som uppgifterna avser.
Av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården
Frågan är då om vad som menas med ”annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården”. Utredningen konstaterar att förarbetena inte ger någon konkret vägledning. Utredningen har gjort en tolkning utifrån bestämmelsens ordalydelse och systematiken i PDL.
Läser man formuleringen ”annat skäl” mot ”deltar i vården” antyder det enligt utredningens mening att det som avser är annat skäl än att man deltar i vården av en patient. Utifrån detta skulle annat skäl inte kunna vara att man deltar i vården av en annan patient än den som uppgifterna avser.
Utredningen har övervägt om ytterligare ledning i tolkningen av ”annat skäl” kan hämtas ur en systematisk tolkning av PDL, där 4 kap. 1 § PDL läses mot 2 kap. 4 § första stycket PDL. I förarbetena förklaras inte hur bestämmelsen i 4 kap. 1 § PDL kopplat till ändamålsbestämmelsen i 2 kap. 4 § första stycket samma lag. Enligt utredningens mening är det dock ur systematisk synvinkel logiskt att tänka sig att första ledet i 4 kap. 1 § PDL, ”deltar i vården”, kopplar till 4 kap. 2 § första stycket 1–2. När personal behandlar personuppgifter för att den deltar i vården av en patient är ändamålet vårddokumentation som behandlingen av personuppgifterna avser. Termen ”vård” förekommer också i punkterna 1–2 i ändamålsbestämmelsen.
Läst mot ändamålsbestämmelsen i 2 kap. 4 § PDL är det vidare logiskt att ”annat skäl” avser arbetsuppgifter som innefattar behandling av personuppgifter enligt första stycket 3–7. Annat skäl bör även omfatta behandling av personuppgifter som följer av 2 kap. 5 § PDL. Dessa bestämmelser avser inte behandling av personuppgifter för ”vård”. Bestämmelserna avser i stället att upprätta annan dokumentation (än patientjournal) som följer av lag, förordning eller annan författning, att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten, administration, planering, uppföljning, utvärdering och tillsyn av verksamheten, att framställa statistik om hälso- och sjukvården, eller antalsberäkning inför klinisk forskning.
Sammantaget gör utredningen bedömningen att grunden ”annat skäl” för att ta del av dokumenterade personuppgifter inte ger stöd för att den som arbetar hos en vårdgivare får ta del av sådana uppgifter för vården av en annan patient än den som uppgifterna avser.
Utredningens sammantagna tolkning av bestämmelsen i 4 kap. 1 § PDL är att den inte ger stöd för att den som arbetar hos en vårdgivare tar del av personuppgifter om en patient i syfte att använda de uppgifterna för vården av en annan patient. I vart fall är det inte tydligt att så är fallet. Det bör enligt utredningens mening finnas ett tydligt rättsligt stöd för den som arbetar i vården att ta del av uppgifter om patienten för ändamålet vården av en annan patient än den som uppgifterna avser. Utredningens förslag avseende bestämmelser om befogenhet för personal att ta de av dokumenterade uppgifter om en patient finns avsnitt 14.6.6, 14.7.5, och 14.8.5 och 14.9.5.
14. Nya regler om vidareanvändning av personuppgifter för vårdändamål
14.1. Inledning
I avsnitt 2.3, finns en beskrivning av hur utredningen övergripande ser på uppdraget enligt direktiven att skapa förutsättningar för vidareanvändning av personuppgifter för patientändamål. Utredningen tolkar uppdraget som att det avser vidareanvändning för vårdändamål. Utredningen uttrycker det specifika ändamålet som behandling av person-
uppgifter för vården av en annan patient än den som uppgifterna avser.
Av problemanalysen, kapitel 12, framgår att det finns juridiska hinder som gör att personuppgifter i dag inte kan behandlas för vården av en annan patient än den som personuppgifterna avser. Utredning anser att det behövs nya regler som ger ett rättsligt stöd för vidareanvändning av personuppgifter om patienter för vården av en annan patient. Utredningens bedömning är att det ska bland annat bli tillåtet med behandling av personuppgifter i en avgränsad uppgiftsmängd som utredningen kallar precisionsmedicinsk databas, för vården av en annan patient än den som uppgifterna avser.
Behovet av personuppgiftsbehandling för vården av en annan patient än den som uppgifterna avser finns inom den så kallade precisionsmedicinen. Vad precisionsmedicin är beskrivs i avsnitt 11.4.1.
I kapitel 13 finns utredningens överväganden kring utgångspunkter och inriktning för reglering av vidareanvändning för vårdändamål. Där framgår att reglerna ska vara frivilliga att använda. Utredningen gör bedömningen att utgångspunkten är en reglering i lag och att reglerna ska placeras i patientdatalagen (2008:355), förkortad PDL. Vidare anser utredningen att vissa kompletterande regler ska finnas i en ny förordning som ansluter till föreslagna regler i PDL.
I avsnitt 13.8 kommer utredningen fram till att det saknas stöd i PDL för behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. Utredningens förslag om ett nytt ändamål i PDL samt frågor kopplade till detta finns i avsnitt 14.4.
Den övergripande modellen som utredningen föreslår presenteras i avsnitt 13.4. Modellen återkommer i mer juridisk tappning i avsnitt 14.4.5. Utredningens detaljerade överväganden och förslag kopplade till modellen finns i avsnitt 14.6–14.9.
I kapitel 13 har övergripande redogjorts för databas som nav för behandlingen av personuppgifter presenterats, se avsnitt 13.3. I avsnitt 14.2 finns utredningens överväganden och förslag om precisionsmedicinsk databas.
För att utredningens förslag på nya regler kring vidareanvändning ska kunna tillämpas, behöver ändringar ske i offentlighets- och sekretesslagen (2009:400), förkortad OSL. Utredningen föreslår en sekretessbrytande grund och en regel om absolut sekretess, se avsnitt 17.1–17.2.
14.2. Precisionsmedicinsk databas
Förslag: Det ska införas bestämmelser som tillåter behandling av
personuppgifter i precisionsmedicinsk databas för ändamålet vården av en annan patient än den som uppgifterna avser.
Med precisionsmedicinsk databas avses en samling av personuppgifter som inrättas särskilt för ändamålet vården av en annan patient än den som uppgifterna avser. En precisionsmedicinsk databas syftar till att skapa underlag för vården av en annan patient än den som uppgifterna avser.
Av avsnitt 13.3 framgår att nya uppgiftssamlingar i form av databaser ska vara navet för behandling av personuppgifter för vården av annan patient än den som uppgifterna avser. För en sådan samling av uppgifter har utredningen valt att använda begreppet ”precisionsmedicinsk databas”. Vad som menas med databas redogörs för i avsnitt 13.3.4.
Det som gör att en databas är att anse som en precisionsmedicinsk databas är att de uppgifter som samlas i databasen finns där för ändamålet vården av en annan patient än den som uppgifterna avser. Uppgifter i en precisionsmedicinsk databas får inte behandlas för några andra ändamål, se avsnitt 14.4.3.
För att uppnå det juridiskt relevanta att avgränsa en informationsmängd som bara får användas för ändamålet vården av en annan patient än den som uppgifterna avser kan olika tekniska lösningar användas, se avsnitt 13.3.5. Det avgörande är inte vilken teknisk lösning som används, utan att reglerna om ändamål med mera följs.
14.2.1. Syftet med en precisionsmedicinsk databas
Syftet med en precisionsmedicinsk databas ska vara att skapa underlag för vården av en annan patient än den som uppgifterna avser. Betydelsen av vård framgår av avsnitt 14.4.1. En sådan databas ska skapa förutsättningar för behörig vårdpersonal i den regionala specialiserade sjukvården att söka i en relevant uppgiftssamling för att hitta information som kan vara av betydelse för vård av patienter. Hur sökprocessen rent praktiskt är tänkt att gå till beskrivs i ett antal steg i avsnitt 13.2.4.
Syftet med databasen är viktigt i relation till bestämmelserna om urval och tillgängliggörande till precisionsmedicinsk databas. Syftet med databasen begränsar vilka uppgifter som det finns behov av att tillgängliggöra, se avsnitt 14.6.2.
En precisionsmedicinsk databas får endast användas för vårdändamål. Syftet får inte vara andra ändamål, till exempel forskning. Anledningen till att en precisionsmedicinsk databas inte får användas för ändamålet forskning beror på att utredningen ser en risk med att det indirekt skulle kunna utgöra en forskningsdatabas. Utredningen föreslår att finalitetsprincipen inte ska gälla för personuppgifter i en precisionsmedicinsk databas, se avsnitt 14.4.3.
14.3. Rättslig grund och stöd för behandling av känsliga personuppgifter
Bedömning: Den rättsliga grunden i EU:s dataskyddsförordning
för behandlingen av personuppgifter för vården av en annan patient än den som uppgifterna avser är att behandlingen är nödvändig för att fullgöra en arbetsuppgift av allmänt intresse enligt artikel 6.1 e. Bestämmelser i hälso- och sjukvårdslagen (2017:30) tillsammans med utredningens förslagna bestämmelser i 6 kap. PDL medför att det allmänna intresset är fastställt i nationell rätt.
För att en personuppgiftsbehandling ska vara laglig krävs det att den har en rättslig grund i enlighet med artikel 6.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad dataskyddsförordningen. Som redogörs för i avsnitt 14.3.1 och 14.3.2 anser utredningen att den rättsliga grunden i enlighet med artikel 6.1 dataskyddsförordningen utgörs av uppgift av allmänt intresse. Uppgiften av allmänt intresse regleras i detta fall av nationell rätt. I enlighet med artikel 6.3 dataskyddsförordningen kommer den rättsliga grunden i aktuellt fall bestå av både existerande lagar och av utredningens förslagna bestämmelser i PDL.
En förutsättning för att införa bestämmelser som ger möjlighet att behandla personuppgifter genom precisionsmedicinsk databas i syfte att vårda någon annan patient än den personuppgifterna avser, är att det är förenligt med dataskyddsförordningen.
Som redogjorts för i kapitel 7 är inte samtycke en lämplig grund när det råder betydande ojämlikhet mellan parterna (se även skäl 42 och 43 i dataskyddsförordningen). Eftersom ändamålet är vård anser utredningen att det främst är alternativen uppgift av allmänt intresse eller rättslig förpliktelse som kan aktualiseras som rättslig grund enligt artikel 6 dataskyddsförordningen.
14.3.1. Om den rättsliga grunden uppgift av allmänt intresse och hälso- och sjukvård
En behandling av personuppgifter är laglig om den är nödvändig för att utföra en arbetsuppgift av allmänt intresse (artikel 6.1 e dataskyddsförordningen). Grunden för behandlingen ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av.
Av skäl 45 till dataskyddsförordningen framgår att hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster inbegrips i allmänintresset. Vidare framgår att dataskyddsförordningen inte medför något krav på en särskild lag för varje enskild behandling. Det kan räcka med en lag som grund för flera behandlingar som bygger på ett allmänt intresse.
Den största delen av den behandling av personuppgifter som sker i enlighet med de ändamål som räknas upp i PDL avser dokumentation i en patientjournal och kan därmed anses ha stöd i artikel 6.1 c dataskyddsförordningen, rättslig förpliktelse (se prop. 2007/08:126 s. 34 och SOU 2017:66 s. 326). Utredningen är dock av uppfattningen att de krav som finns på vårdgivare att bedriva en god vård i enlighet med 5 kap. 1 § hälso- och sjukvårdslagen (2017:30), förkortad HSL, ger stöd för bedömningen att det yttersta syftet med personuppgiftsbehandling enligt PDL är just att kunna ge en god vård (jämför SOU 2017:66 s. 327). Bestämmelserna i HSL utgör oftast inte rättsliga förpliktelser i dataskyddsförordningens mening. Detta får anses följa av att syftet enligt artikel 6.3 andra stycket första meningen, ska fastställas i det rättsliga stöd som den rättsliga förpliktelsen vilar på (se även prop. 2017/18:105 s. 54).
Utredningens bedömning är att behandling av personuppgifter enligt PDL anses nödvändig för att kunna ge god vård och därmed utföra en arbetsuppgift av allmänt intresse i enlighet med artikel 6.1 e i dataskyddsförordningen. Socialdataskyddsutredningen uttalade att redan det förhållandet att det enligt lag är en rättslig skyldighet för det allmänna att bedriva hälso- och sjukvård, visar att det är en arbetsuppgift av allmänt intresse (jämför SOU 2017:66 s. 327).
Utredningen anser följaktligen att för uppgiften att tillhandahålla vård täcks av den rättsliga grunden uppgift av allmänt intresse i dataskyddsförordningen. Det finns flera bestämmelser i befintlig sektorsspecifik lagstiftning som får anses uppnå kraven på en tillåten nationell
reglering enligt artikel 6.3 och kan anses fastställa grunden för den aktuella uppgiften av allmänt intresse – att ge vård.
Behandlingen är vidare nödvändig på det sätt som avses i dataskyddsförordningen, den utförligare bedömningen återfinns i avsnitt 13.2.1 och 13.3.1.
14.3.2. Kraven på den rättsliga grunden
Som framgår av skäl 41 och artikel 6.3 i dataskyddsförordningen behöver en rättslig grund vara tydlig och precis. Tillämpningen av den rättsliga grunden ska även vara förutsebar för personer som omfattas av den. Enligt artikel 6.3 står det även klart att den nationella rätt som ska utgöra rättslig grund för en personuppgiftsbehandling måste vara proportionerlig (se bland annat C-623-/17, Privacy International dom av den 6 oktober 2020, punkt 68 med däri angiven rättspraxis). Enligt utredningens bedömning kan inte PDL i sin nuvarande utformning eller annan nationell lagstiftning uppfylla dessa krav med avseende på den behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser och inrättandet av precisionsmedicinska databaser (se även artikel 9.4 där det anges att medlemsstater får införa ytterligare villkor, även begränsningar, för behandlingen av genetiska, biometriska eller uppgifter om hälsa). I enlighet med de överväganden som utredningen gjort i avsnitt 13.7 samt avsnitt 13.8 anser utredningen därför att det behövs ny lagstiftning och särskilda bestämmelser för att kunna uppnå dessa krav.
I det aktuella sammanhanget rör det sig om uppgifter inom hälso- och sjukvården från patienter som kan befinna sig i ett utsatt läge och dessutom i en beroendesituation gentemot den personuppgiftsansvariga. Utredningens bedömning är att den rättsliga grunden för den personuppgiftsbehandling som sker till följd av att precisionsmedicinska databaser införs måste vara så precis och tydlig som möjligt (se prop. 2017/18:105 s. 51).
Från de registrerades perspektiv är förutsebarhet ett av de främsta skälen för ny reglering (för utförligare resonemang om detta se avsnitt 13.8.2). Vidare anser utredningen det befogat med särskilda skyddsåtgärder (de särskilda övervägandena för detta återfinns i avsnitt 14.6–14.8). I relation till de personuppgiftsansvariga är det av yttersta vikt att de som är ansvariga för behandlingarna har klart för
sig vilka skyldigheter som följer av att de ska få behandla personuppgifter som härstammar från en annan patient vid vården av en annan än den personuppgifterna avser.
Till följd av detta har utredningen ansett det befogat med en särskild bestämmelse om personuppgiftsansvar, se vidare under 14.5.2. Utredningen har även ansett det befogat med bestämmelser som reglerar urval och tillgängliggörande av personuppgifter till en precisionsmedicins databas, se vidare under 14.6. Utredningen har vidare valt att införa begränsningar i vem som får föra en precisionsmedicinsk databas, se under 14.7.2 och 14.7.3. Utredningen har reglerat för vilka ändamål behandling av personuppgifter i en precisionsmedicinsk databas får ske och hur åtkomst till en precisionsmedicinsk databas får utformas, se vidare under 14.7.4 respektive 14.8. I ovan nämnda avsnitt redogörs de närmare överväganden som gör att utredningen anser att de föreslagna bestämmelserna utgör tillräckligt för att uppnå kraven på en laglig och rättvis behandling, samt uppnå ett mål av allmänt intresse och vara proportionerliga (se även avsnitt 14.15) i enlighet med artikel 6.3 dataskyddsförordningen.
14.3.3. Rättsligt stöd för behandling av känsliga personuppgifter
Förslag: Det rättsliga stödet för behandling av känsliga person-
uppgifter ska anges i en särskild bestämmelse i 6 kap. PDL.
Bedömning: Vårdgivare får behandla känsliga personuppgifter för
vården av en annan patient än den som uppgifterna avser med stöd av artikel 9.2 h i EU:s dataskyddsförordning och enligt en särskild bestämmelse som införs i 6 kap. PDL.
Behandling av känsliga personuppgifter är enligt huvudregeln i artikel 9.1 förbjuden, men får enligt artikel 9.2 h i dataskyddsförordningen ske om den är nödvändig av skäl som hör samman med bland annat tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och deras system.
Utredningens föreslagna bestämmelser är tänkta att placeras i ett eget kapitel i PDL. I 1 kap. 3 § PDL definieras vilken verksamhet som
avses med hälso- och sjukvård enligt PDL. Den verksamhet som omfattas av de föreslagna bestämmelserna hör, enligt utredningens bedömning, samman med medicinska diagnoser och utgör tillhandahållande av hälso- och sjukvård på det sätt som avses i artikel 9.2. h i dataskyddsförordningen.
I precisionsmedicinska databaser är det kategorierna uppgifter om hälsa och genetiska uppgifter, som ska få behandlas för vården av annan än den personuppgifterna avser och därmed omfattas av de föreslagna bestämmelserna.
Enligt utredningens bedömning gör inte artikel 9.2 h någon åtskillnad på om de känsliga personuppgifterna som ska behandlas härstammar från en patient och sedan behandlas för vården av en annan patient. Det väsentliga är att personuppgifter omfattas av de skäl som anges i artikel 9.2 h och att förutsättningen i artikel 9.3 om tystnadsplikt är uppfyllt.1 Den nationella rätten som kommer att reglera behandlingen återfinns i PDL och kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen är uppfyllt eftersom sekretess gäller inom hälso- och sjukvården enligt 25 kap. OSL. Utredningen har även föreslagit en ytterligare sekretessbestämmelse för behandlingen av känsliga personuppgifter i en precisionsmedicinsk databas, se avsnitt 17.2. För personal inom privat hälso- och sjukvård finns bestämmelser om tystnadsplikt i 6 kap. patientsäkerhetslagen (2010:659), förkortad PSL.
Sammanfattningsvis gör utredningen bedömningen att behandlingen av känsliga personuppgifter i enlighet med de föreslagna bestämmelserna kan ske med stöd av artikel 9.2 h i dataskyddsförordningen.
Utredningens bedömning är att det bör finnas en särskild bestämmelse som anger med stöd av vilket undantag i artikel 9.2 personuppgifterna får behandlas. Utredningen föreslår därför en ny bestämmelse i kapitel 6 PDL som anger att känsliga personuppgifter får behandlas med stöd av artikel 9.2 h samt påminner om kravet på tystnadsplikt enligt artikel 9.3 dataskyddsförordningen (se även SOU 2017:66 s. 310).
1 Jämför EDPB Document on response to the request from the European Commission for clarifications on the consistent application of the GDPR, focusing on health research, antaget den 2 februari 2021, s. 7 p. 22.
14.4. Ett nytt ändamål för personuppgiftsbehandling för vården av en annan patient än den som personuppgifterna avser
14.4.1. En ny ändamålsbestämmelse
Förslag: I PDL ska en ny ändamålsbestämmelse införas. Ändamålet
ska avse behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. I stället för vad som anges i 2 kap. 4–5 §§ PDL gäller att personuppgifter, under de förutsättningar som anges i 6 kap. PDL, får behandlas inom hälso- och sjukvården om det behövs för vården av en annan patient än den som uppgifterna avser.
En ny ändamålsbestämmelse i PDL
Utredningen har i avsnitt 13.8 bedömt att behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser inte omfattas av befintliga ändamålsbestämmelser i 2 kap. 4 § PDL. Utredningen föreslår därför att det i PDL ska införas en ny ändamålsbestämmelse.
Hur ska det nya ändamålet formuleras?
Utredningen har övervägt olika sätt att formulera det nya ändamålet.
I utredningens direktiv förekommer formuleringar som ”att skapa förutsättningar för sekundäranvändning av hälsodata för patientändamål”, och ”personuppgifter eller andra data från flera individer ska kunna användas för vård och behandling av andra enskilda individer”. Ett sätt att formulera ändamålet är att konkret beskriva den behandling av personuppgifter som sker från en eller flera patienter till en annan. En sådan formulering skulle kunna vara ”behandling av personuppgifter inom hälso- och sjukvården för vården av en annan patient än den som uppgifterna avser”.
Ett annat sätt att formulera ändamålet är att tydligare synliggöra att det handlar om vidareanvändning i kliniskt syfte. Utifrån detta skulle ändamålet kunna formuleras ”klinisk vidareanvändning av per-
sonuppgifter inom hälso- och sjukvården” eller kort ”klinisk vidareanvändning”.
Ett ytterligare alternativ är att hämta inspiration från förslaget till EHDS. Där formuleras ändamålet som ”tillhandahållande av personlig hälso- och sjukvård som består i att bedöma, bibehålla eller återställa fysiska personers hälsotillstånd på grundval av andra fysiska personers hälsodata” (se artikel 34.1.h i förslag till EHDS). Kort skulle det kunna formuleras som ”personlig hälso- och sjukvård”. Denna formulering har mer fokus på det medicinska syftet.
De ovan nämnda formuleringarna ”klinisk vidareanvändning av personuppgifter inom hälso- och sjukvården” och ”personlig hälso- och sjukvård” kräver enligt utredningens mening en förklarande formulering. Det är också så artikel 34.1.h i förslaget till EHDS är formulerad. Med ”klinisk vidareanvändning” eller ”personlig hälso- och sjukvård” skulle avses behandling av personuppgifter inom hälso- och sjukvården för vården av en annan patient än den som uppgifterna avser.
Utredningen anser att det är tydligast att direkt i lagen formulera den behandling av personuppgifter som faktiskt sker. Utredningen har därmed valt formuleringen behandling av personuppgifter för vården
av en annan patient än den som uppgifterna avser.
Betydelsen av ”vård”
Det nya ändamålet gäller personuppgiftsbehandling för vården av annan patient än den som personuppgifterna avser. Utredningens uppfattning är att, innebörden av vad vård är, inte bör skilja sig från vad som gäller enligt PDL i dag.
I förarbetena till PDL anges att utgångspunkten ska vara att PDL koncentreras till att omfatta personuppgiftsbehandling i den individinriktade patientvården inom hälso- och sjukvården. Till denna kärnverksamhet hör åtgärder för att förebygga, utreda och behandla sjukdomar och skador hos enskilda. Vidare anges att PDL ska vara tillämplig för personuppgiftsbehandling i all individinriktad patientverksamhet som innefattar vård, undersökning eller behandling. Det betyder att även sådan individinriktad patientvård som inte inryms i begreppet hälso- och sjukvård enligt HSL omfattas av PDL (prop. 2007/08:126 s. 49).
Begreppet vård används i PDL:s ändamålskatalog i första och andra punkten (så kallad vårddokumentation). I första punkten anges att personuppgifter får behandlas inom hälso- och sjukvården om det behövs för att fullgöra de skyldigheter som anges i 3 kap. (förande av patientjournal) och upprätta annan dokumentation som behövs i och för vården av patienter. I andra punkten anges att personuppgifter får behandlas inom hälso- och sjukvården om det behövs för administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall (2 kap. 4 § första stycket PDL).
Även för den ändamålsbestämmelse som utredningen föreslår, avses vård i samma avseende som begreppet används i PDL i övrigt. Skillnaden ligger i att personuppgifter från en patient kan användas i vården av en annan patient än den som personuppgifterna avser, och inte i vårdbegreppet som sådant.
Det nya ändamålet gäller i stället för 2 kap. 4–5 §§ PDL
Utredningen gör bedömningen att befintliga ändamålsbestämmelser i PDL inte omfattar behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser, se avsnitt 13.8. Av tydlighetsskäl bör det uttryckligen framgå av ändamålsbestämmelsen i kapitel 6 att den bestämmelsen gäller i stället för ändamål enligt 2 kap. 4–5 §§ PDL. Utredningen noterar att en liknande lagteknisk konstruktion finns i 7 kap. 4 § PDL med avseende på ändamål vid behandling av personuppgifter i nationella eller regionala kvalitetsregister.
14.4.2. Vidareanvändning av personuppgifter som behandlas enligt 2 kap. 4 § första stycket 1 och 2 patientdatalagen
Förslag: Vidareanvändning för ändamålet behandling av person-
uppgifter för vården av en annan patient än den som uppgifterna avser ska omfatta personuppgifter som vårdgivare behandlar enligt 2 kap. 4 § första stycket 1 och 2 PDL.
Bedömning: Behandling av personuppgifter som sker för vården
av annan patient än den som uppgifterna avser innebär en vidareanvändning av uppgifter som redan har samlats in av en vårdgivare inom hälso- och sjukvården.
Det nya ändamålet tar sikte på vidareanvändning av personuppgifter som samlats in och registrerats hos en vårdgivare. Den vidareanvändningen bör kopplas till ett eller flera befintliga ändamål i PDL. Hur kopplingen utformas bör utgå från behovet av vidareanvändning. Det ska också utformas så att praktiska tillämpningssvårigheter inte uppkommer.
De uppgifter som behövs vid vården av en annan patient än den som uppgifterna avser, utgörs av vissa typer av uppgifter som finns i patientjournalen. Utifrån detta bör en koppling finnas mellan möjligheten till vidareanvändning för det nya ändamålet och personuppgifter som vårdgivare behandlar enligt 2 kap. 4 § första stycket 1 PDL.
Det är enligt utredningens mening inte lika tydligt att behovet av vidareanvändning även omfattar personuppgiftsbehandling för administration enligt punkten 2 i 2 kap. 4 § första stycket PDL. Det behov som finns avser primärt rent medicinska uppgifter om patienten. Det kan dock inte uteslutas att någon uppgift som behöver tillgängliggöras för ändamålet behandlas enligt punkten 2. Utredningen noterar också att punkterna 1 och 2 ofta omnämns tillsammans som vårddokumentation och att det sällan i praktiken finns anledning för vårdgivare att fundera över om en behandling av personuppgifter sker enligt första eller andra punkten i bestämmelsen. En sådan uppdelning skulle därför riskera att skapa tillämpningssvårigheter.
I lag (2022:913) om sammanhållen vård- och omsorgsdokumentation, förkortad SVOD, som också avser vidareanvändning för vårdändamål, är bestämmelserna utformade så att tillgängliggörande av
personuppgifter till andra vård- och omsorgsgivare får ske avseende personuppgifter som vårdgivare behandlar enligt båda punkterna.
Sammantaget gör utredningen bedömningen att vidareanvändning för vården av en annan patient än den som uppgifterna avser, bör omfatta personuppgifter som vårdgivare behandlar enligt 2 kap. 4 § första stycket 1–2 PDL. Det är de uppgifter som behandlas för vårddokumentation och som behövs för ändamålet vården av en annan patient än den som uppgifterna avser som ska får behandlas för ändamålet.
Begreppet vidareanvändning används inte i lagtexten
Ovan har konstaterats att behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser, handlar om vidareanvändning av personuppgifter som tidigare ha samlats in och registrerats hos vårdgivare.
Vidareanvändning av insamlade personuppgifter förekommer redan i dag i stor omfattning hos vårdgivare. Ovan har konstaterats att även senare användning av de registrerade uppgifterna omfattas av ändamålet vårddokumentation. Detta är enligt utredningens mening en form av vidareanvändning av personuppgifter. För exempelvis utveckling av verksamheten eller utförande av annan dokumentation som följer av lag, förordning eller annan författning också omfattande vidareanvändning av personuppgifter (benämnt ”återanvändning” i propositionen till PDL, se till exempel prop. 2007/08: 126, s. 57–58).
I PDL görs dock ingen skillnad mellan primär- och sekundäranvändning. Avseende de ändamål som finns i PDL i dag har tidigare gjorts bedömningen att de mer eller mindre integrerat ingår i en vårdgivares verksamhet (prop. 2007/08:126 s. 45). Därav saknas anledning att göra en distinktion mellan insamling för ett visst ändamål och vidare användning för ett annat ändamål enligt 2 kap. 4 eller 5 §§ PDL. Det finns enligt utredningens uppfattning inga skäl för att se annorlunda på det nya ändamål som utredningen föreslår. Behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser, kommer att utgöra en integrerad del i den vård som ges patienten. Sådan behandling av personuppgifter avser ett arbetssätt som utvecklas inom hälso- och sjukvården inom ramen för det som kallas precisionsmedicin, se vidare avsnitt 11.4.1. Precisionsmedicin är under utveckling och tillämpas i dag i störst utsträckning hos regioner med
universitetssjukvård. Där precisionsmedicinen tillämpas är den att betrakta som en integrerad del i verksamheten. Utvecklingen går också mot att fler och fler vårdgivare och verksamheter arbetar på detta sätt. Ett hinder mot utvecklingen är att de rättsliga förutsättningarna inte har funnits.
Utifrån PDL:s systematik finner utredningen att det inte är lämpligt att i lagen formulera ändamålet som en vidareanvändning. Det är i stället bättre att mer konkret beskriva den personuppgiftsbehandling som sker, se vidare överväganden i avsnitt 14.4.5.
14.4.3. Begränsning av finalitetsprincipen
Förslag: Personuppgifter som behandlas för ändamålet vården av
en annan patient än den som uppgifterna avser får inte behandlas för några andra ändamål.
Finalitetsprincipen följer av artikel 5.1 b i EU:s dataskyddsförordning och innebär att personuppgifter som har samlats för att behandlas för särskilda, uttryckligt angivna och berättigade ändamål inte får behandlas även för andra, nya ändamål, om dessa är oförenliga med de ursprungliga ändamålen.
En motsvarighet till finalitetsprincipen finns i 2 kap. 5 § PDL. Där klargörs att personuppgifter som behandlas enligt 2 kap. 4 § PDL även får behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Utredningen har övervägt om finalitetsprincipen bör gälla för uppgifter som behandlas för det nya ändamålet vården av en annan patient än den som personuppgifterna avser. Utredningen har konstaterat att uppgifter i en precisionsmedicinsk databas skulle kunna vara till nytta även för ändamål som utveckling och forskning. Utredningen konstaterar att vetenskapliga ändamål är ett sådant ändamål som enligt EU:s dataskyddsförordning alltid är förenlig med det ursprungliga insamlingsändamålet. Utredningen har vägt detta mot det faktum att förutsebarheten och skyddet för den personliga integriteten skulle bli högre om finalitetsprincipen inte gällde. Utredningen konstaterar också att om en precisionsmedicinsk databas skulle få användas för forskningsändamål, skulle det i praktiken innebära att regionala myn-
digheter inom hälso- och sjukvården tilläts föra en typ av databas som har likheter med forskningsdatabaser. Frågan om en långsiktig reglering av forskningsdatabaser är för närvarande under behandling i Regeringskansliet. Utredningen anser inte att det är lämpligt att föregripa resultatet av den behandlingen. Utredningen ser vidare en risk för att urvalet för tillgängliggörande till en precisionsmedicinsk databas kan påverkas av att uppgiftssamlingen även får användas för forskning.
Utredningen anser sammantaget att det finns många frågor som behöver utredas grundligare än vad utredningen har möjlighet att göra innan uppgifter i en precisionsmedicinsk databas får användas för andra ändamål än vård. Se även vidare, avsnitt 18.2.8.
Att finalitetsprincipen inte är tillämplig innebär att personuppgifter som behandlas för ändamål vården av en annan patient än den som uppgifterna avser, inte får behandlas för andra ändamål, även om uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
En jämförelse kan göras med personuppgifter i nationella och regionala kvalitetsregister. Personuppgifter i nationella och regionala kvalitetsregister får inte behandlas för några andra ändamål än de som anges i 7 kap. 4 och 5 §§ (7 kap. 6 § PDL). Detta innebär att finalitetsprincipen inte gäller vid behandling av personuppgifter i nationella och regionala kvalitetsregister. Med andra ord är det inte tillåtet att behandla dessa personuppgifter för andra ändamål även om de ändamålen inte är oförenliga med det ändamål för vilket personuppgifterna samlades in.
Utredningen bedömer att det är tillåtet att begränsa finalitetsprincipens tillämplighet. Medlemsstaterna får införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i EU:s dataskyddsförordning när det gäller behandling som är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.2 i EU:s dataskyddsförordning). Den rättsliga grund för behandlingen som i dessa fall ska fastställas i den nationella rätten kan också innehålla särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen (artikel 6.3). I samband med anpassning av PDL till dataskyddsförordningens ikraftträdande gjordes en liknande bedömning i förhållande till att finalitetsprincipen inte gäller vid behandling av personuppgifter i nationella och regionala kvalitetsregister (se SOU 2017/66 s. 356–357 och s. 203–206 samt prop. 2017/18:171 s. 68–69).
Konsekvensen av att finalitetsprincipen inte gäller blir exempelvis att uppgifter inte får lämnas ut från en precisionsmedicinsk databas för ändamålet forskning. Utredningen har övervägt att införa forskning som ett sekundärt ändamål (jämför vad som gäller för kvalitetsregister). Uppgifterna i en databas kommer dock vara sådana uppgifter som vårdgivare redan behandlar för ändamålet vårddokumentation (2 kap. 4 § första stycket 1–2 PDL). Utredningens uppfattning är att, om uppgifter begärs ut för forskning, ska uppgifterna lämnas ut direkt från den vårdgivare som uppgifterna ursprungligen kommer ifrån, och inte från den precisionsmedicinska databasen. Med andra ord får forskare som vill ha ut uppgifter vända sig direkt till vårdgivaren, och inte till den som har den precisionsmedicinska databasen. Det är utredningens uppfattning att det är vårdgivaren som har samlat in uppgifterna från början som är mest lämpad att göra sekretessprövningen som krävs i den situationen.
Utredningens sammantagna bedömning är att finalitetsprincipen inte bör gälla för uppgifter som behandlas för ändamålet vården av en annan patient än den som uppgifterna avser. För att kringgående av begräsningen inte ska vara möjlig, bör den omfatta all behandling av personuppgifter som sker enligt det nya ändamålet.
14.4.4. Uppgiftsskyldighet som följer av lag eller förordning
Förslag: Personuppgifter som behandlas för ändamålet vården av
en annan patient än den som uppgifterna avser, får också behandlas för fullgörande av någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § OSL.
Personuppgifterna får, enligt ett särskilt föreskrivet ändamål, lämnas ut för att fullgöra någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § OSL. Utredningen gör bedömningen att bestämmelsen behövs för att undanröja den konflikt som kan uppstå mellan föreslaget om ändamålsbegränsning, se avsnitt 14.4.1, och skyldigheter som kan finnas i andra lagar eller förordningar.
Uppgiftsskyldighet som följer av lag eller förordning kan till exempel gälla skyldigheterna enligt offentlighetsprincipen i 2 kap. TF. I dessa
fall har myndigheten som förvarar uppgifterna att göra en prövning av om uppgifterna omfattas av sekretess eller kan lämnas ut.
Av 6 kap. 5 § OSL framgår att en myndighet på begäran av en annan myndighet ska lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Skälen mot att tillåta utlämnande med stöd av 6 kap. 5 § OSL är att det är svårt att överblicka vilket uppgiftslämnande som en tillämpning av den bestämmelsen kan leda till.
14.4.5. Tillåten behandling av personuppgifter för ändamålet vården av en annan patient än den som uppgifterna avser ska preciseras
Förslag: Tillåten behandling av personuppgifter inom hälso- och
sjukvården för ändamålet vården av en annan patient än den som uppgifterna avser samt villkoren för sådan behandling ska preciseras i lagstiftningen. Reglerna ska införas i kapitel 6 PDL. Rubriken till kapitel 6 PDL ska vara Vidareanvändning av patientdata
för vårdändamål.
Tillåten behandling av personuppgifter för ändamålet får endast avse följande:
1. Urval och tillgängliggörande av personuppgifter till precisionsmedicinsk databas.
2. Inrättande och förande av precisionsmedicinsk databas.
3. Tillgång till personuppgifter i precisionsmedicinsk databas för sökning.
4. Begäran om kompletterande personuppgifter från patientjournal.
Behandling av personuppgifter inom hälso- och sjukvården för ändamålet vården av en annan patient än den som uppgifterna är i sig brett. Ett sådant brett formulerat ändamål går inte att koppla till de behov som finns inom hälso- och sjukvården för denna typ av behandling av personuppgifter. Integritetsintrånget skulle enligt utredningens bedömning inte kunna motiveras. Ändamålet behöver preciseras till den behandlingen av personuppgifter som det finns behov av i olika delar och kopplas till olika skyddsåtgärder. En precisering
i uttryckliga regler om tillåten behandling behövs enligt utredningens uppfattning för att den rättsliga grunden ska anses vara fastställd i nationell rätt på ett tillräckligt preciserat sätt, se avsnitt 14.3.
De fyra stegen utifrån den övergripande modellen
Utifrån de behov som utredningen har fått till sig har utredningen tagit fram den modell som översiktligt presenteras i avsnitt 13.4. Modellen innehåller fyra huvudsakliga delar:
1. Urval och tillgängliggörande av personuppgifter till precisionsmedicinsk databas (steg 1).
2. Inrättande och förande av precisionsmedicinsk databas (steg 2).
3. Tillgång till personuppgifter i precisionsmedicinsk databas (steg 3).
4. Begäran och tillgängliggörande kompletterande personuppgifter från patientjournal (steg 4).
Steg 1–4 ska förenas med villkor som är anpassade utifrån behoven av personuppgiftsbehandlingen och integritetsskydd i varje steg.
Steg 1 – Urval och tillgängliggörande av personuppgifter till precisionsmedicinsk databas
Utredningen föreslår regler som innebär att vårdgivare får göra urval av uppgifter som behövs för att skapa underlag för behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. Utredningens förslag i denna del finns i avsnitt 14.6.
Steg 2 – Inrättande och förande av precisionsmedicinsk databas
Utredningen föreslår regler som innebär att precisionsmedicinska databaser får inrättas och föras. Det är endast regionala myndigheter inom hälso- och sjukvården som får inrätta och föra precisionsmedicinska databaser, se avsnitt 14.7.2 och som får vara ansvariga för central behandling av personuppgifter i sådan databas, se avsnitt 14.5.2.
Precisionsmedicinska databaser ska enligt utredningens förslag få inrättas och föras i varje samverkansregion enligt 3 kap. 1 § hälso- och
sjukvårdsförordningen (2017:80), förkortad HSF. Utöver det ska en särskild precisionsmedicinsk databas få inrättas och föras inom Nationella Genomikplattformen, förkortad NGP.
Utredningens förslag till regler avseende inrättande och förande av precisionsmedicinsk databas finns i avsnitt 14.7.
Steg 3 – Tillgång till personuppgifter i precisionsmedicinsk databas för sökning
Utredningen föreslår regler om tillgång till precisionsmedicinsk databas för sökning i databasen. Reglerna avser direktåtkomst eller annat elektroniskt utlämnade, villkor för tilldelning av behörighet samt en befogenhetsregel.
Utredningens förslag avseende tillgång till precisionsmedicinsk databas finns i avsnitt 14.8.
Steg 4 – Begäran om kompletterande personuppgifter från patientjournal
Utredningen föreslår att det utöver sökning i precisionsmedicinsk databas ska vara tillåtet att begära kompletterande personuppgifter från patientjournal för vården av en annan patient än den som uppgifterna avser. Utredning lämnar förslag på regler avseende villkor för begäran om kompletterande personuppgifter.
Utredningens förslag avseende begäran om kompletterande personuppgifter från patientjournal finns i avsnitt 14.9.
Avvägningen mellan specifika lösningar och en enhetlig lagstiftning
Utredningen har i sitt arbete identifierat den motsättning som kan finnas mellan att skapa specifika lösningar och regler för ett visst ändamål och intresset av en enhetlig lagstiftning där liknande regler, begreppsanvändning med mera används i så stor utsträckning som möjligt.
Utredning har övervägt i vilken utsträckning befintliga generella regler, strukturer och begrepp i PDL kan användas även för ändamålet vården av en annan patient än den som uppgifterna avser. Eftersom utredningens förslag omfattar personuppgiftsbehandling både
inom och mellan myndigheter och vårdgivare, har utredningen i olika delar hämtat inspiration från både regler i PDL och SVOD. Utredningen har även jämfört med den lagtekniska strukturen och begreppsanvändningen som finns i 7 kap. PDL för regionala och nationella kvalitetsregister. Vissa regler i PDL kan också rakt av tillämpas även vid behandling av personuppgifter för det nya ändamålet.
Precisering av ändamålet i stället för utgångspunkt i myndighetsgränser
Utredningen föreslår ett nytt angreppssätt i det att systematiken i det föreslagna 6 kap. PDL inte tar sin utgångspunkt i om vidareanvändningen sker inom eller mellan en myndighet och vårdgivare. Utredningens förslag till systematik tar i stället som utgångspunkt i modellen med steg 1–4. Vidareanvändning av personuppgifter kan i respektive steg ske antingen inom en myndighet eller mellan olika myndigheter.
Preciseringen av tillåtna behandlingar syftar till att ange den yttersta ram inom vilken behandling av personuppgifter får ske för ändamålet vården av en annan patient än den som uppgifterna avser. Det är fråga om behandling av känsliga personuppgifter som är mycket integritetskänsliga. Utredningen konstaterar att ju mer integritetskänsliga uppgifter som behandlas är, desto högre grad av precision i ändamålsbestämning krävs. Utredningen gör bedömningen att ändamålet behöver var väl preciserat för att väga upp integritetsintrånget och för att det ska vara förutsebart för den enskilde vilken typ av behandling av personuppgifter som kan komma i fråga inom ramen för ändamålet.
Det övergripande syftet med att dela upp ändamålet i olika steg är att få en så träffsäker och så välanpassad reglering som möjligt. Regleringen ska kunna tillåta den behandling av personuppgifter som möter behovet, samtidigt som integritetsintrånget ska vara proportionerligt. Det är genom att identifiera tillåtna behandlingar, anpassa behörighetskrav, tillåta den form av tillgängliggörande som behövs och kan motiveras i varje steg och samtidigt differentiera vad som är tillåtet för olika aktörer och typ av verksamhet inom hälso- och sjukvården, med mera som behov och integritetsintrång enligt utredningens mening kan balanseras.
Traditionellt anses datadelning över myndighets- eller vårdgivargränser vara mer integritetskänsligt än inom en vårdgivare eller inom en myndighet. Sekretesslagstiftningen utgår från myndighets- eller
verksamhetsgränser. Utredningen konstaterar dock att det i många fall kan vara minst lika integritetskänsligt att dela data inom en stor organisation som mellan två mindre. Utredningen anser att integritetsintrånget principiellt sett får anses lika stort om personuppgifter används för vården av en annan patient än den som uppgifterna avser inom exempelvis ett regionsjukhus (universitetssjukhus) som mellan två olika regionsjukhus (universitetssjukhus). Integritetsintrånget är framför allt förknippat med att personuppgifter över huvud taget används på det sättet och inte om det sker över organisationsgränser eller inte.
Utredningens ingång i arbete med att skapa regler för vidareanvändning för vårdändamål har varit att datadelning ska kunna ske både inom och mellan vårdgivare och med en tydlig precisering av det tillåtna ändamålet. Utredningen bedömer att detta angreppssätt ligger i linje med vad regeringen har uttalat i Data – en underutnyttjad resurs för Sverige: en strategi för ökad tillgång till data för bland annat artificiell intelligens och digital innovation. I strategin anges bland annat att det finns anledning att utreda om regelverk och policy för datadelning kan göras mer ändamålsenlig utifrån ett växande behov av att utveckla individcentrerad service och vård samt för att kunna möta alltmer komplexa samhällsutmaningar. Det lyfts också att varken enskildas behov av vård och service eller samhällsutmaningar definieras av organisationsgränser (s. 9).2
Den modell som utredningen föreslår innebär relativt sett detaljerade regler. Det framträder framför allt vid en jämförelse med hur PDL i övrigt är utformad. Utredningens förslag kan uppfattas som en ”särlösning” som adderar komplexitet till dagens redan komplicerade regelverk. Utredningen gör dock den övergripande bedömningen att regleringen av ändamålet vården av annan än den som personuppgifterna avser, för att möta de behov som finns och samtidigt utgöra ett proportionerligt intrång i den personliga integriteten, behöver vara utformad på ett specifikt sätt som inte fullt ut har någon motsvarighet i lagstiftningen som finns i dag. Utredningen har dock i största möjliga mån tagit inspiration från och använt systematik, formuleringar och begrepp som förekommer i befintlig reglering av personuppgiftsbehandling inom hälso- och sjukvården.
2 https://www.regeringen.se/contentassets/459769c805ce4c99861d29fad92bea64/data--enunderutnyttjad-resurs-for-sverige-en-strategi-for-okad-tillgang-av-data-for-bl.a.-artificiellintelligens-och-digital-innovation (hämtat 2023-06-12).
Behovet av regler i ett eget kapitel i PDL
Utredningen har övervägt om reglerna kan bakas in, i vart fall i delar, i övriga PDL. Utredningens bedömning är dock att det inte är en ändamålsenlig lösning och föreslår därför att reglerna om behandling av personuppgifter för vården av annan än den som uppgifterna avser placeras i ett eget kapitel i PDL. Utredningens förslag är till en del likt regionala och nationella kvalitetsregister som regleras i ett eget kapitel i PDL. För att reglerna ska kunna ta utgångspunkt i utredningens förslag till övergripande modell och tillåtna behandlingar krävs utrymme för en anpassad systematik som inte kan uppnås på annat sätt än genom ett eget kapitel. Utredning anser också att det är enklare att ha alla regler för ändamålet samlade på ett ställe. I de fall utredningen gör bedömningen att allmänna regler i PDL är tillämpliga anges det i överväganden och författningskommentar. I de fall det är motiverat med en hänvisning föreslår utredningen en sådan. Sedan reglerna om sammanhållen journalföring flyttats till SVOD finns inga regler i 6 kap. PDL. Utredningen anser att de föreslagna reglerna om personuppgiftsbehandling för ändamålet vården av en annan patient än den som uppgifterna avser lämpligen kan placeras i 6 kap. PDL. Kapitlet föreslås få rubriken Vidareanvändning av patientdata för vård-
ändamål. Utredningen konstaterar att begreppet patientdata saknar
en definition i PDL men att utredningen av lagtekniska skäl behöver ta hänsyn till befintliga namn på författningar, se vidare resonemang i 2.6.3. Det blir utifrån detta logiskt att även rubriken till kapitel 6 PDL följer samma begreppsvändning.
14.4.6. Skyldighet att dokumentera att vidareanvändning har skett
Bedömning: Den dokumentationsskyldighet som följer av 3 kap.
11 § PDL gäller vid utlämnande till en precisionsmedicinsk databas samt vid utlämnande till följd av en begäran om kompletterande uppgifter från patientjournal.
Om en avskrift eller kopia av en journalhandling har lämnats ut till någon, ska det dokumenteras i patientjournalen vem som fått den enligt 3 kap. 11 § PDL. Enligt samma bestämmelse klargörs att denna skyldighet inte gäller vid direktåtkomst.
I steg 1, urval och tillgängliggörande till en precisionsmedicinsk databas, samt i steg 4, begäran om kompletterande personuppgifter från patientjournal, kan tillgängliggörandet från den personuppgiftsansvariga vårdgivaren gå till på sådant sätt att det är att ses som ett utlämnande.
Bestämmelsen i 3 kap. 11 § PDL infördes för att motsvara den skyldighet som fanns i 7 § andra stycket patientjournallagen (1985:562) (se prop. 2007/08:126 s. 235). I förarbetena till bestämmelsen i patientjournallagen anförde regeringen att kravet på dokumentering av när ett utlämnande sker och till vem, följde av den utökade möjlighet till förstöring av journalhandlingar till handlingar som även förvarades utanför hälso- och sjukvården och att det därför behövdes en sådan dokumentationsskyldighet för att kunna öka spårbarheten (prop. 1984/85:189 s.43–44).
Utredningen har ansett det är av stor vikt för den personliga integriteten och för proportionaliteten i de föreslagna åtgärderna att en patient ska kunna motsätta sig tillgängliggörande till en precisionsmedicinsk databas (se avsnitt 14.10). Om en patient inte motsatt sig kan alltså relevanta uppgifter som finns om hen tillgängliggöras till en precisionsmedicinsk databas (se 14.6). I enlighet med artikel 13.1 e dataskyddsförordningen finns en skyldighet för vårdgivare att till en patient lämna information om vem som är mottagare av personuppgifterna. Artikel 13 gör ingen åtskillnad på om mottagare fått del av uppgifterna via en uppgiftsskyldighet eller via den personuppgiftsansvariges fria val (jämför 8 kap. 6 § 1 PDL).
För att det skydd som ges en enskild, genom möjligheten att motsätta sig tillgängliggörande, ska få fullt genomslag bör utlämnanden
till en precisionsmedicinsk databas samt vid utlämnande till följd av en begäran om kompletterande uppgifter från patientjournal, dokumenteras i enlighet med 3 kap. 11 § PDL. Likaså bör det vara en förutsättning att 3 kap. 11 § PDL tillämpas i dessa situationer, för att den regionala myndigheten som bedriver hälso- och sjukvård ska kunna uppfylla sina skyldigheter enligt dataskyddsförordningen.
14.4.7. Information enligt 8 kap. 5 § patientdatalagen
Förslag: En regional myndighet inom hälso- och sjukvården ska
vara undantagen från skyldigheten att på begäran av patient lämna information om den elektroniska åtkomst som förekommit i anledning av förande av en precisionsmedicinsk databas eller behandling av kompletterande personuppgifter från patientjournal.
En regional myndighet inom hälso- och sjukvården ska vara undantagen från skyldigheten att på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst som förekommit i anledning av tillgång till en precisionsmedicinsk databas.
Bedömning: Skyldighet att lämna information enligt 8 kap. 5 §
PDL gäller för vårdgivares tillgängliggörande av personuppgifter till en precisionsmedicinsk databas samt tillgängliggörande av kompletterande personuppgifter från patientjournal.
Enligt 8 kap. 5 § PDL ska en vårdgivare på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst till uppgifter om patienten som förekommit. Av förarbetena till bestämmelsen framgår att kravet innebär att det exempelvis tydligt bör framgå när och från vilken enhet inom hälso- och sjukvården åtkomst har skett (prop. 2007/08:126 s. 265).
I 4 kap. 10 § i Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården, förkortad HSLF-FS 2016:40, konkretiseras den information som ska lämnas enligt 8 kap. 5 § PDL. Föreskriften anger att det av informationen ska framgå från vilken vårdenhet samt vid vilken tidpunkt någon har tagit del av uppgifterna. Informationen
ska vara utformad så att patienten kan bedöma om åtkomsten har varit befogad eller inte.
Utredningen har funnit anledning att analysera på vilket sätt skyldigheten att lämna information i 8 kap. 5 § PDL kan bli tillämplig kopplat till utredningens förslag om tillåten behandling för ändamålet vården av en annan patient än den som uppgifterna avser och överväga om det behövs undantag från bestämmelsen. Utredningens bedömning i dessa frågor följer nedan.
Informationsskyldighetens tillämplighet
Utredningen gör bedömningen att skyldigheten att lämna information blir tillämplig på den elektroniska åtkomst som kan förekomma i anledning av urval och tillgängliggörande till en precisionsmedicinsk databas (steg 1), se avsnitt 14.6. Skyldigheten att lämna information kan också bli tillämplig vid elektronisk åtkomst till uppgifter i precisionsmedicinsk databas som sker inom den regionala myndighet som för databasen (steg 2), se avsnitt 14.7.4 och 14.7.5. Vidare kan skyldighet att informera om direktåtkomst och elektronisk åtkomst aktualiseras med koppling till tillgång till precisionsmedicinsk databas genom direktåtkomst eller annat elektroniskt utlämnande (steg 3), se avsnitt 14.8. Slutligen kan skyldigheten att lämna information uppkomma avseende den elektroniska åtkomst som kan förekomma i anledning av en begäran om kompletterande personuppgifter från patientjournal, se avsnitt 14.9.5.
Vårdgivare som tillgängliggör personuppgifter till en precisionsmedicinsk databas, respektive kompletterande personuppgifter från patientjournal, har enligt utredningens bedömning möjlighet att uppfylla den skyldighet att informera patienten som följer av 8 kap. 5 § PDL. Vårdgivare har tillgång till information om vilka patienter som tillgängliggörande har gjort för och kan svara på en sådan begäran som kan framställas enligt bestämmelsen.
Utredning gör dock bedömningen att regionala myndigheter inom hälso- och sjukvården, utifrån hur utredningens förslag är utformade, inte har möjlighet att svara på en begäran enligt 8 kap. 5 § PDL med avseende på den direktåtkomst eller elektronisk åtkomst som förekommit inom myndigheten kopplat till behandling av personuppgifter
enligt ändamålet. Utredningen ser både behov och skäl för ett undantag, vilket utvecklas i det följande.
Behov av undantag från skyldigheten att lämna information
En regional myndighet inom hälso- och sjukvården som för en precisionsmedicinsk databas har endast tillgång till pseudonymiserade uppgifter om de patienter som finns i databasen. Detsamma gäller för de regionala myndighet inom hälso- och sjukvården som har tillgång till databasen genom direktåtkomst eller annat elektronisk utlämnande och samma myndigheter när detta tar emot kompletterande personuppgifter från patientjournal. Dessa myndigheter är också ”vårdgivare” i den mening som avses i 8 kap. 5 § PDL (se 1 kap. 3 § PDL). Utifrån att dessa vårdgivare endast har tillgång till pseudonymiserade uppgifter i ovan angivna situationer är det inte praktiskt möjligt att på begära av en patient lämna den information som följer av 8 kap. 5 § PDL. Det finns inte heller någon direktåtkomst för dessa vårdgivare till tillgängliggörande vårdgivares journalsystem varför någon identifiering av patienten kan ske den vägen. Utformningen av utrednings förslag och de integritetsskyddand åtgärder som föreslås, medför alltså att skyldigheten att lämna information i 8 kap. 5 PDL med koppling till ändamålet vården av en annan patient än den som uppgifterna avser i viss utsträckning inte kan uppfyllas. Utredningen föreslår därför ett undantag. Utredningen anser att det går att motivera ur integritetshänseende och gör följande analys i detta avseende.
De precisionsmedicinska databaserna kommer inte vara kopplade till de tillgängliggörande vårdgivarnas system utan utgöra avgränsade uppgiftssamlingar. En sätt för tillgängliggörande vårdgivare även kunna ge information om den åtkomst som skett till tillgängliggjorda uppgifter till databasen, hade varit att databasen var kopplad direkt till vårdgivarnas journalsystem så att vårdgivaren som tillgängliggjort skulle kunna se de sökningar som sker. I enlighet med de överväganden som utredningen gjort i avsnitt 14.6.2, där det konstateras att det skulle vara ett oskäligt stort integritetsintrång att ha en stående koppling till en precisionsmedicinsk databas, kommer tillgängliggörande till en precisionsmedicinsk databas ske vid bestämda tillfällen. Utredningen anser att detta är en viktig ordning ur integritets-
synpunkt. En annan ordning kan inte motiveras av att det ska vara möjligt att den information som följer av 8 kap. 5 § PDL.
Ett ytterligare skäl är att personuppgifterna som tillgängliggörs till en precisionsmedicinsk databas ska vara pseudonymiserade, vilket innebär att ett utfall efter en sökning inte kan kopplas till en specifik person utan att vissa tillkommande uppgifter adderas. Detsamma gäller för kompletterande personuppgifter från patientjournal. Ett sådant merarbete skulle innebära en betungande administrativ arbetsbörda för vårdgivarna utan att den kan anses ge ett stort värde för den enskilde patientens integritet eller för dennes möjligheter att utöva sitt inflytande över behandlingen.
Utredningen lämnar förslag om att patienter ska kunna motsätta sig tillgängliggörande till en precisionsmedicinsk databas samt att viss specifik information ska lämnas till patienten, se avsnitt 14.10. Utredningen anser att dessa förslag också kompenserar för det undantag som utredning föreslår med avseende på information enligt 8 kap. 5 § PDL. Utredningen anser att det framför allt är information kopplat till tillgängliggörande av personuppgifter till en precisionsmedicinsk databas som ur ett integritetsperspektiv är viktigast. Med tanke på att patienten ges möjlighet att motsätta sig att personuppgifter om hen görs tillgängliga till en precisionsmedicinsk databas och att ett tillgängliggörande av personuppgifter till en precisionsmedicinsk databas inte får ske förrän den patienten fått möjlighet att ta ställning till om hen vill motsätta sig ett tillgängliggörande eller inte kan det därför anses särskilt viktigt för den enskilde att kunna kontrollera den behandling som sker i samband med ett tillgängliggörande till en precisionsmedicinsk databas. Utredningen konstaterar även att skyldigheten att lämna information som följer av artiklarna 13 och 14 i dataskyddsförordningen gäller, se 8 kap. 6 § PDL.
Sammanfattningsvis är utredningen av uppfattningen att den skyldighet som följer av 8 kap. 5 § PDL inte ska gälla för direktåtkomst eller elektronisk åtkomst i anledning av att regionala myndigheter för precisionsmedicinsk databas, har tillgång till en sådan databas genom direktåtkomst eller annat elektroniskt utlämnande, eller behandlar kompletterande personuppgifter från patientjournal.
14.4.8. Undantag från ändamålet
Förslag: Verksamhet enligt tandvårdslagen (1985:125) och lagen
(2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar ska undantas.
Hälso- och sjukvård – verksamheter enligt olika lagar
I PDL definieras hälso- och sjukvård enligt en uppräkning av ett antal lagar (se 1 kap. 3 § PDL). Enligt definitionen omfattar lagen verksamhet som avses i
- hälso- och sjukvårdslagen (2017:30),
- tandvårdslagen (1985:125), förkortad tandvårdslagen,
- lagen (1991:1128) om psykiatrisk tvångsvård, förkortad LPT,
- lagen (1991:1129) om rättspsykiatrisk vård, förkortad LRV,
- smittskyddslagen (2004:168),
- lagen (1972:119) om fastställande av könstillhörighet i vissa fall,
- lagen (2006:351) om genetisk integritet m.m.,
- lagen (2018:744) om försäkringsmedicinska utredningar,
- lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter,
- lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar och
- den upphävda lagen (1944:133) om kastrering, förkortad kastreringslagen.
Utredningen föreslår ett nytt ändamål för behandling av personuppgifter inom hälso- och sjukvården. Utredningen anser att utgångspunkten bör vara att den definition som finns i PDL av hälso- och sjukvård ska gälla även för det nya ändamålet. Utgångspunkten är alltså att verksamhet enligt de lagar som räknas upp i PDL:s definition av hälso- och sjukvård ska omfattas av möjligheten att behandla personuppgifter för det nya ändamålet. Utredningen anser vidare att om
ett undantag avseende viss verksamhet ska ske, behöver det omfatta samtliga tillåtna behandlingar för det nya ändamålet som utredningen föreslår. Det skulle enligt utredningens mening medföra en för hög grad av komplexitet i lagstiftningen om undantag avseende viss verksamhet endast gjorde för vissa av de tillåtna behandlingarna, se avsnitt 14.4.5. Begräsningar i möjligheterna att använda det nya ändamålet sker i stället på andra sätt, till exempel genom att det endast är tillåtet att tillgängliggöra det uppgifter som behövs för ändamålet, begränsning av vilka aktörer som får tillgång till att söka i en precisionsmedicinsk databas och regler om behörighetstilldelning.
Frågan är om finns anledning att generellt undanta någon eller några av dessa verksamheter hos vårdgivare från möjligheten till behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. Utredningen har identifierat två möjliga anledningar till att generellt undanta viss verksamhet. Den ena är att viss verksamhet inte har behov av att behandla personuppgifter för det nya ändamålet. Den andra är att det inte skulle vara etiskt försvarbart att verksamheten omfattas av det nya ändamålet. I bedömningen av om ett generellt undantag ska införas behöver också intresset av enhetlighet i lagstiftningen och att undantag inte bör skapa tillämpningssvårigheter.
Undantag på grund av att behov saknas
I utredningens arbete har frågan ett generellt undantag på grund av att behov saknas aktualiserats i förhållande till tandvården. I de kontakter som utredningen har haft med företrädare för tandvården har inte framkommit något behov av vidareanvändning för vårdändamålet på det sätt som aktörer som lyder under HSL har lyft. Utredningen uppfattar att arbetssättet inom tandvården inte omfattar ett precisionsmedicinskt angreppssätt. Detta talar enligt utredningens mening för att helt undanta verksamhet enligt tandvårdslagen från möjligheterna att behandla personuppgifter för ändamålet vården av en annan patient än den som uppgifterna avser.
Den tandvård som bedrivs av regioner, folktandvården, är organisatoriskt skild från hälso- och sjukvård enligt HSL. I fem regioner bedrivs den regionala tandvården i bolagsform3. Utredningen gör där-
3 https://www.tlv.se/tandvard/tandvardsmarknaden.html (hämtat 2023-09-11).
med bedömningen att ett undantag för tandvårdslagen inte borde riskera att skapa tvärsnitt inom organisatoriska enheter som kan medföra tillämpningssvårigheter om verksamhet enligt tandvårdslagen inte omfattas.
PDL omfattar verksamhet enligt lagen (2021:363) om estetiska och kirurgiska ingrepp och estetiska injektionsbehandlingar. Syftet med denna lag är att stärka skyddet för den enskildes liv och hälsa vid estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar (1 §). Från den lagens tillämpningsområde undantas kirurgiska ingrepp och injektionsbehandlingar om de bland annat utgör hälso- och sjukvård enligt HSL. Verksamhet enligt denna lag utgör inte en integrerad del av hälso- och sjukvården. De behov av vidareanvändning för vården av en annan patient än den som personuppgifterna avser har inte heller någon koppling till denna typ av verksamhet. Utifrån detta bedömer utredningen att verksamhet enligt lagen (2021:363) om estetiska och kirurgiska ingrepp och estetiska injektionsbehandlingar kan undantas.
Det kan enligt utredningens mening framstå som obehövligt att ta med kastreringslagen. Ingen verksamhet bedrivs längre enligt den lagen och utredningen kan inte se att den typen av personuppgifter som kan bli aktuell för vidareanvändning för vården av en annan patient avser information som finns lagrad hos vårdgivare utifrån verksamhet som har bedrivits enligt den upphävda lagen. Utredningen konstaterar dock att lagen finns med i definitionen av hälso- och sjukvård i SVOD (1 kap. 1 § SVOD). Anledningen till detta är att regeringen bedömde att sammanhållen vård- och omsorgsdokumentation kan innebära hantering av personuppgifter i verksamhet som avses i kastreringslagen (prop. 2021/22:177, s. 57). Utredningen kan inte se att motsvarande behov finns för vidareanvändning av personuppgifter för vården av en annan patient än den som uppgifterna avser. I utredningens förslag till ny lag om vidareanvändning av personuppgifter för klinisk forskning behöver enligt utredningens mening definitionen av hälso- och sjukvård omfatta även kastreringslagen. Enhetlighetsskäl talar för att den inte ska undantas från ändamålet vården av annan patient än den som uppgifterna avser. Utredningen har inte identifierat att det skulle medföra något ytterligare integritetsintrång om lagen skulle omfattas av det nya ändamålet. Utredningen anser mot denna bakgrund att kastreringslagen inte bör undantas.
Utredningen har även övervägt om undantag bör göras för verksamhet enligt lag (2018:744) om försäkringsmedicinska utredningar. Med en försäkringsmedicinsk utredning avses en medicinsk undersökning som syftar till ett utlåtande som kan ligga till grund när Försäkringskassan ska ta ställning till en försäkrads rätt till ersättning eller andra förmåner enligt socialförsäkringsbalken (se prop. 2017/ 18:224 s. 16). Utredningen gör bedömningen att personuppgifter som behandlas i verksamhet enligt lagen sannolikt inte är relevanta att behandla för ändamålet vården av en annan patient än den som uppgifterna avser. Utredningen kan dock inte utesluta att så är fallet och att ett undantag för verksamhet enligt lagen kan medföra tillämpningsproblem. Utredningen föreslår därför inte ett undantag för verksamhet enligt lag (2018:744) om försäkringsmedicinska utredningar.
Undantag på grund av etiska aspekter
Särskilda etiska aspekter avseende vidareanvändning av personuppgifter aktualiseras för patienter som vårdas mot sin vilja enligt LPT och LRV.
En principiell aspekt som aktualiseras för LPT och LRV är att vård kan ges utan samtycke från den enskilda individen. Särskilda tvångsåtgärder kan också utföras mot individen som vårdas. Personuppgifter i sådan verksamhet kan därmed uppkomma inom ramen för situationer som den enskilde inte själv samtyckt att delta eller medverka i. Att tillgängliggöra personuppgifter som tillkommit under sådana förhållanden för nya ändamål bör enligt utredningens mening övervägas särskilt.
Utredningen har i kontakt med företrädare för hälso- och sjukvården fått beskrivningar och exempel av vilken typ av uppgifter som typiskt sett skulle behöva tillgängliggöras för det nya ändamålet, se vidare avsnitt 14.6. Utredningen gör bedömningen att den typ av uppgifter som typiskt sett behöver tillgängliggöras för vården av en annan patient än den som uppgifterna avser inte är sådana uppgifter som genereras i någon särskild omfattning till följd av vård enligt LPT och LRV. Det är inte heller inom den psykiatriska tvångvården som utredningen har fått till sig de största behoven av tillgång till personuppgifter om andra patienter.
Däremot konstaterar utredningen att patienter som vårdas enligt LPT eller LRV också kan vårdas för somatiska sjukdomar, exempelvis
cancer, enligt HSL. Inom ramen för patientens somatiska vård kan det finnas anledning att både tillgängliggöra och behandla personuppgifter för det nya ändamålet. Att uppnå detta, samtidigt som ett undantag finns för verksamhet enligt LPT eller LRV från ändamålet skulle möjligen vara teoretiskt möjligt, men riskerar enligt utredningens mening att skapa tillämpningssvårigheter. Det är förvisso så att vårdgivare behöver ha klart för sig enligt vilken lagstiftning själva vården ges. Det gäller dock inte personuppgiftsbehandling på så sätt att en skiljelinje behöver dras mellan personuppgifter som uppkommer i den ena eller andra typen av vård. Att i detta avseende göra skillnad på, å ena sidan, vård enligt HSL, och å andra sidan vård enligt LPT eller LRV skulle medföra en ny typ av gränsdragning inom vårdgivares verksamhet. Utredningen anser inte att det är lämpligt.
Det finns enligt utredningens mening inte heller anledning att göra skillnad på denna situation jämfört om patienten bara hade vårdats under HSL. De utmaningar som finns kopplat till att personer som vårdas enligt LPT eller LRV kan ha svårigheter att ta ställning berörs i avsnitt 14.10.7.
Sammanfattande överväganden
Som anförts ovan, anser utredningen att utgångspunkten bör vara att verksamhet enligt befintlig definition av hälso- och sjukvård i PDL ska gälla även för behandling av personuppgifter enligt det nya ändamålet. Generellt bör enhetlighet i lagstiftningen eftersträvas. Det finns dock även ett intresse av att lagstiftningen är anpassad till det som den är avsedd för. Finns inte behov av att behandla personuppgifter på ett visst sätt inom en viss verksamhet talar det för att verksamheten helt ska undantas. Utredningen anser att verksamhet enligt tandvårdslagen och lagen (2021: 363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar av skäl som angetts ovan bör undantas. Detta ligger även i linje med utredningens förslag avseende verksamhet som omfattas av den föreslagna lagen om vidareanvändning av personuppgifter för klinisk forskning, se avsnitt 16.4.3.
Utredningen anser inte att någon ytterligare verksamhet bör undantas. De etiska aspekter som finns avseende behandling av personuppgifter för det nya ändamålet kopplat till tvångsvård enligt LPT och LRV omhändertas enligt utredningens bedömning bättre genom andra regler
än genom att helt undanta verksamheten från tillämpningsområdet. Utredningen anser att värdet av att tillåta behandling av personuppgifter för det nya ändamålet väger tyngre än att inte göra det. Utredningen konstaterar samtidigt att detta är svåra frågor där det finns utmaningar i att hitta tillfredställande lösningar, se vidare avsnitt 14.10.7.
14.4.9. Inre sekretess
Förslag: Vid behandling av personuppgifter som behövs för ända-
målet vården av en annan patient än den som uppgifterna avser, gäller särskilda bestämmelser om inre sekretess i stället för vad som anges i 4 kap. 1 § PDL.
Utredningen gör bedömningen att den inre sekretessen som följer av 4 kap. 1 § PDL inte ger stöd för att den som arbetar inom hälso- och sjukvården kan ta del av personuppgifter i vården av en annan patient än den som uppgifterna avser. Bedömningen att 4 kap. 1 § PDL inte är tillämplig redogörs för i avsnitt 13.9.
I stället för bestämmelsen om inre sekretess i 4 kap. 1 § föreslår utredningen särskilda bestämmelser om befogenhet som behövs för när vårdpersonal tar del av personuppgifter i en precisionsmedicinsk databas. Utredningens överväganden om dessa bestämmelser återfinns i 14.6.6, 14.7.5, 14.8.5 och 14.9.5. Utredningen anser att detta av tydlighetsskäl bör framgå av lagtexten.
14.5. Personuppgiftsansvar
Förslag: Endast en regional myndighet inom hälso- och sjukvården
får vara personuppgiftsansvarig för central behandling av personuppgifter i en precisionsmedicinsk databas.
Bedömning: För övrig behandling av personuppgifter för ända-
målet vården av en annan patient än den som uppgifterna avser gäller allmänna regler om personuppgiftsansvar i 2 kap. 6 § PDL.
14.5.1. Allmänt om personuppgiftsansvar
Personuppgiftsansvarig är, enligt definitionen i artikel 4 i EU:s dataskyddsförordning, en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Definitionen av begreppet personuppgiftsansvarig och vad ansvaret innebär berörs närmare i kapitel 7 (Dataskydd). Den personuppgiftsansvarige ska bland annat genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter sker i enlighet med dataskyddsförordningen.
Av definitionen i artikel 4 i EU:s dataskyddsförordning framgår att om ändamålen och medlen för behandlingen bestäms av EU-rätten eller medlemsstaternas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i EUrätten eller i medlemsstaternas nationella rätt. Det är alltså tillåtet enligt dataskyddsförordningen att i nationell lagstiftning ange vem som är personuppgiftsansvarig för en viss behandling av personuppgifter (se artikel 6.2 och 6.3 samt skäl 45 i dataskyddsförordningen). Ett exempel där personuppgiftsansvaret särskilt pekas ut i lag är PDL.
I 2 kap. 6 § PDL finns en generell bestämmelse om vårdgivares personuppgiftsansvar. Enligt bestämmelsen är en vårdgivare personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I en region eller en kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
Ett annat exempel i PDL där personuppgiftsansvar regleras är 7 kap. 7 § PDL. Enligt bestämmelsen, som handlar om personuppgiftsansvar för nationellt eller regionalt kvalitetsregister, anges att endast myndigheter inom hälso- och sjukvården får vara personuppgiftsansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister. Vidare får regeringen eller den myndighet som regeringen bestämmer besluta om undantag från det nyss sagda. I övrigt hänvisar bestämmelsen till PDL:s generella bestämmelse om vårdgivares personuppgiftsansvar i 2 kap. 6 §.
I SVOD regleras personuppgiftsansvaret i 4 kap. 1 §. Bestämmelsen anger att en vårdgivare eller en omsorgsgivare är personuppgiftsansvarig för behandling av personuppgifter enligt lagen. I en region eller i en kommun är varje myndighet som bedriver hälso- och sjukvård
personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Vidare anges att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vem som ska ha personuppgiftsansvar för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen vård- och omsorgsdokumentation. I förarbetena till PDL, där föregångaren till sammanhållen vård och omsorgsdokumentation – sammanhållen journalföring – reglerades innan SVOD, angavs att det vore olämpligt att i lagtexten peka ut personuppgiftsansvar eftersom vårdgivarna själva fick bestämma hur sammanhållen journal skulle utformas (prop. 2007/ 08:126 s. 134). Samma skäl ansågs kvarstå vid införandet av SVOD (prop. 2021/22:177 s. 133).
14.5.2. Personuppgiftsansvar för central behandling i en precisionsmedicinsk databas
Inrättande och förande av precisionsmedicinsk databas kommer att bygga på samarbete mellan regionala myndigheter inom hälso- och sjukvården. I en precisionsmedicinsk databas kommer personuppgifter från flera vårdgivare att kunna samlas. I fråga om förande av precisionsmedicinsk databas uppkommer därför frågan om det finns anledning att föreslå någon särreglering av personuppgiftsansvaret, eller om den allmänna bestämmelsen i 2 kap. 6 § PDL ska gälla.
Bör personuppgiftsansvaret särregleras?
Ovan har konstaterats att det i 2 kap. 6 § PDL finns en generell bestämmelse om vårdgivares personuppgiftsansvar. Ett alternativ är att låta personuppgiftsansvaret för förande av precisionsmedicinskdatabas regleras av denna bestämmelse. Ett annat alternativ är att införa en särreglering för denna personuppgiftsbehandling.
Utredningens bedömning är att det vore otydligt att låta personuppgiftsansvaret för förande av en precisionsmedicinsk databas regleras av 2 kap. 6 § PDL. Att i stället ha en särreglering skulle vara önskvärt från integritetssynpunkt, eftersom det då skapar en större tydlighet för de samarbetande regionala myndigheterna, för de vårdgivare som tillgängliggör uppgifter till databasen och för de registrerade. Det motverkar också att bedömningarna av hur personupp-
giftsansvar för en precisionsmedicinsk databas riskerar att skilja sig mellan de olika samverkansregionerna, något som kan vara förvirrande för registrerade.
Utredningen har därför gjort bedömningen att det skapas en bättre helhet och en tydligare tillämpning om möjligheten att i lagstiftning reglera personuppgiftsansvaret utnyttjas.
Hur bör en särreglering utformas?
Utredningen har övervägt hur en särreglering av personuppgiftsansvar kan se ut.
Utredningen har jämfört med reglerna om personuppgiftsansvar för nationella och regionala kvalitetsregister i 7 kap. PDL. Enligt 7 kap. 7 § första stycket PDL får endast myndigheter inom hälso- och sjukvården vara personuppgiftsansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister. Denna regel är inte ett direkt utpekade av vem som ska vara personuppgiftsansvarig (se prop. 2007/08:126, s. 183). Däremot avgränsas vilken typ av aktör som kan vara ansvarig för central behandling av personuppgifter i ett kvalitetsregister.
På motsvarande sätt föreslår utredningen att endast regionala myndigheter ska få inrätta och föra precisionsmedicinsk databas, se avsnitt 14.7. I en precisionsmedicinsk databas kommer personuppgifter från olika vårdgivare eller regionala myndigheter som bedriver hälso- och sjukvård kunna samlas. Förande av den precisionsmedicinska databasen kommer medföra en liknande form av central behandling av personuppgifter som den som finns för kvalitetsregister. Utredningen anser därför att en liknande reglering av personuppgiftsansvaret som gäller för nationella och regionala kvalitetsregister är lämplig, nämligen att endast en regional myndighet inom hälso- och sjukvården får vara personuppgiftsansvarig för central behandling av personuppgifter i en precisionsmedicinsk databas.
En fråga som uppkommer är vilken detaljeringsgrad en regel om utpekat personuppgiftsansvarig kan och bör ha. Ett alternativ kan vara att direkt i lag peka ut vilken myndighet inom en samverkansregion som ska få vara personuppgiftsansvarig för en precisionsmedicinsk databas.
I de lagregler som utredningen föreslår för inrättande och förande av precisionsmedicinsk databas, preciseras dock inte vilka regionala myndigheter som kommer att få inrätta och föra databas. Enligt utredningens förslag kommer det endast regleras att en regional myndighet inom hälso- och sjukvården per sådan samverkansregion för hälso- och sjukvård som anges i 3 kap. 1 § HSF får inrätta och föra precisionsmedicinsk databas, se avsnitt 14.7. Därtill föreslås att en regional myndighet inom hälso- och sjukvården som ingår i Genomic Medicine Sweden, förkortad GMS, få inrätta och föra precisionsmedicinsk databas inom NGP, se vidare 14.6.4 och 14.7.3. Enligt förslaget kommer det inte att fastställas vilken regional myndighet inom hälso- och sjukvården som inrättar de precisionsmedicinska databaserna.
Som en följd av att det inte fastställs vilka regional myndighet inom hälso- och sjukvården som inrättar de precisionsmedicinska databaserna, är det inte möjligt att i lag ange vilken myndighet som kommer att vara ansvarig för central behandling av personuppgifter i en precisionsmedicinsk databas. Ett sådant utpekande skulle också enligt utredningens mening vara en för oflexibel lösning. Frågan om vilken regional myndighet som ska vara ansvarig för central behandling av personuppgifter i en precisionsmedicinsk databas kommer därmed följa den som inrättar och för databasen.
Gemensamt personuppgiftsansvar
Utredningen har också övervägt om personuppgiftsansvaret för behandling av personuppgifter i precisionsmedicinsk databas i lag bör pekas ut till ett gemensamt ansvar för de myndigheter i en samverkansregion som samarbetar kring en precisionsmedicinsk databas.
I EU:s dataskyddsförordning finns en särskild bestämmelse som definierar vad som kännetecknar ett gemensamt personuppgiftsansvar (artikel 26). Avgörande är om de faktiska omständigheterna är sådana att det i praktiken är två eller fler personuppgiftsansvariga som gemensamt fastställer ändamålen med den aktuella personuppgiftsbehandlingen. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar genom ett inbördes arrangemang, om inte skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av.
Enligt utredningens mening finns vissa omständigheter som talar för att det skulle kunna röra sig om ett gemensamt personuppgiftsansvar mellan de regionala myndigheter som samarbetar kring en viss precisionsmedicinsk databas. Främsta skälen för ett sådant synsätt skulle vara att de regionala myndigheterna behöver enas om hur behandlingen i en precisionsmedicinsk databas ska gå till och att de personuppgiftsbehandlingar som föranleds av att inrätta och föra en sådan databas skulle kunna anses så pass kopplade till varandra att de kan anses vara odelbara.4 Förhållandena kring en precisionsmedicinsk databas går även att se på så sätt att de regionala myndigheterna som inrättar en databas gör det för det gemensamma syftet att kunna erbjuda de patienter som omfattas av respektive regions ansvar för att erbjuda hälso- och sjukvård (se 8 kap. 1 § HSL) tillgång till precisionsmedicinsk vård och att det gynnar samtliga av dem, även om den regionala myndighet som för databasen skulle ha ett större inflytande över hur databasen inrättas eller utformas.5
Det finns även omständigheter som talar mot att det skulle kunna röra sig om ett gemensamt personuppgiftsansvar. I sammanhanget anser utredningen att det är av betydelse att de föreslagna ändringarna i PDL kommer att reglera ändamålet med en precisionsmedicinsk databas, liksom att flera villkor för hur den får föras kommer att följa av lag. Dessa omständigheter talar för att parternas utrymme att bestämma över behandlingen är beskuren. Detta anser utredningen medför att skälen för ett gemensamt personuppgiftsansvar i detta hänseende väger mindre. Utredningen anser också att det är fördelaktigt att det finns ett tydligt övergripande ansvar för central behandling i precisionsmedicinska databaser för att skapa en tydlighet gentemot registrerade. Personuppgiftsansvaret för en precisionsmedicinsk databas ska således inte i lagen bestämmas till ett gemensamt personuppgiftsansvar.
4 Se EDPB, Riktlinjer 07/2020 angående begreppen personuppgiftsansvarig och personuppgiftsbiträde i GDPR s. 19, p. 54–55. Jämför med engelskans ord inseperable eller inextricably linked. 5 Jämför EDPB, Riktlinjer 07/2020 angående begreppen personuppgiftsansvarig och personuppgiftsbiträde i GDPR s. 23, p. 63–65.
Innebörden av personuppgiftsansvar för central behandling i precisionsmedicinsk databas
Den personuppgiftsbehandling som följer av det centrala ansvaret är central organisering, lagring eller annan central behandling. Hit hör också till exempel ansvaret för säkerhetsfrågor och ansvaret för att felaktiga uppgifter i registret rättas ser vidare 14.7.4.
14.5.3. Personuppgiftsansvar i övrigt
Utredningen föreslår att personuppgiftsansvar för övrig tillåten behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser ska följa 2 kap. 6 § PDL. Av bestämmelsen följer att en vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I en region är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
Detta innebär att den vårdgivare som gör urval och tillgängliggör uppgifter till en precisionsmedicinsk databas är personuppgiftsansvarig för den behandlingen. Likaså är den regionala myndighet som använder den precisionsmedicinska databasen i vården av patienter personuppgiftsansvarig för denna behandling.
Skälen till att den allmänna regeln i 2 kap. 6 § PDL om personuppgiftsansvar ska gälla är att det är rimligt att vårdgivarna och de regionala myndigheterna själva bär ansvaret för den personuppgiftshantering som de själva utför i samband med urval och tillgängliggörande till en precisionsmedicinsk databas samt när de använder uppgifter i databasen i vården. Den personuppgiftshanteringen har den som är centralt ansvarig normalt inga möjligheter att närmare kontrollera.
14.5.4. Generella krav på informationssäkerhet
Bedömning: De krav på informationssäkerhet som ställs på per-
sonuppgiftsansvariga inom vården i HSLF-FS 2016:40 gäller för behandling av personuppgifter som sker enligt ändamålet vården av en annan patient än den som uppgifterna avser.
Av dataskyddsförordningen följer allmänna krav på informationssäkerhet vid behandling av personuppgifter som görs inom hälso- och sjukvården (artikel 32–34 i dataskyddsförordningen). I HSLF-FS 2016:40, finns flera detaljerade bestämmelser som gäller i alla de verksamheter som omfattas av PDL:s tillämpningsområde (1 kap. 1 §).
Bestämmelserna ställer bland annat krav på informationssäkerhetsarbetet, säkerhetskopior, hur hantering av personuppgifter ska hanteras i öppna nät och autentisering. De olika stegen med urval och tillgängliggörande (avsnitt 14.6), inrättande och förande av en precisionsmedicinsk databas (avsnitt 14.7), tillgång till personuppgifter i en precisionsmedicinsk databas (avsnitt 14.8), samt kompletterande personuppgifter från patientjournal faller alla inom föreskrifternas tillämpningsområde (avsnitt 14.9) (se 1 kap. 1 § HSLF-FS 2016:40).
Vid det tillgängliggörande som sker i steg 1 (urval och tillgängliggörande till en precisionsmedicinsk databas) samt när en vårdgivare eventuellt ska tillgängliggöra kompletterande personuppgifter från patientjournal (steg 4), finns det inget krav på att dessa måste göras genom automatiserade system. Den personuppgiftsansvariga vårdgivaren kan välja hur den vill göra. För det fall det inte görs genom helt eller delvis automatiserade system kan det vara så att vissa av föreskrifternas bestämmelser om exempelvis behörighetsstyrning inte blir tillämpliga (se 1 kap. 2 § HSLF-FS 2016:40). Utredningen ser dock framför sig att då det i steg 1 kan komma att röra sig om ett stort antal personuppgifter, att det troligaste är att det i princip alltid kommer göras med hjälp av automatiserade system. Oavsett hur tillgängliggörandet sker kommer kraven på säkerhet i PDL och dataskyddsförordningen att gälla (1 kap. 4 § och artikel 2.1 dataskyddsförordningen).
14.6. Urval och tillgängliggörande av personuppgifter till precisionsmedicinsk databas
Förslag: Vårdgivare får behandla personuppgifter för urval och
tillgängliggörande till en precisionsmedicinsk databas. Urval och tillgängliggörande får endast ske av uppgifter som behövs för att skapa underlag för vården av en annan patient än den som uppgifterna avser. Vårdgivare som omfattas av en samverkansregion får endast tillgängliggöra personuppgifter till den precisionsmedicinska databas som finns i vårdgivarens samverkansregion.
Vårdgivare som inte omfattas av en samverkansregion, men som bedriver hälso- och sjukvård med en region som huvudman, får tillgängliggöra personuppgifter till den samverkansregionala databas som huvudmannen omfattas av. Vårdgivare som ingår i GMS får tillgängliggöra personuppgifter till den precisionsmedicinska databasen inom NGP.
Bedömning: Utredningen lämnar inget författningsförslag om vil-
ken samverkansregional databas som övriga vårdgivare får tillgängliggörande uppgifter till.
Av 5 kap. 6 § PDL följer att ett tillgängliggörande som innebär ett utlämnande får ske genom ett elektroniskt utlämnande. Tillgängliggörande ska inte få ske genom direktåtkomst.
Steg 1 i utredningen modell för behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser är urval och tillgängliggörande av personuppgifter till precisionsmedicinsk databas. I detta avsnitt finns utredningens överväganden kring steg 1.
14.6.1. Alla vårdgivare omfattas av möjligheten till urval och tillgängliggörande till precisionsmedicinsk databas
Nedan beskrivs vilka typer av personuppgifter som typiskt sett behövs för syftet med en precisionsmedicinsk databas. Dessa typer av uppgifter kan uppkomma hos olika vårdgivare, på olika vårdnivåer et cetera. Utredningen föreställer sig att precisionsmedicinska databaser inte har någon specifik inriktning mot ett medicinskt fält, utan att de ska kunna innehålla relevanta personuppgifter för vården av en
annan patient utifrån olika medicinska perspektiv. Särskilt de samverkansregionala databaserna ska kunna anta ett brett perspektiv.
Utredningen anser att det inte bör spela någon roll var i sjukvårdssystemet som en relevant uppgift uppkommer. Det är behovet av uppgiften som ska styra om den får tillgängliggöras för det nya ändamålet eller inte. Alla vårdgivare bör därför ha rättsliga möjligheter att bidra med personuppgifter till en precisionsmedicinsk databas. Således ska urval och tillgängliggörande till precisionsmedicinsk databas kunna ske från alla vårdgivare. Det som är relevant att avgränsa är i stället vilka uppgifter som ska tillgängliggöras och skyddsåtgärder avseende detta.
Utredningen konstaterar dock att det i praktiken är så att vissa typer av uppgifter som är relevanta för det nya ändamålet typiskt sett finns hos framför allt vissa vårdgivare. Ett sådant exempel är uppgift om genvariation, som framför allt genereras inom den regionalt bedrivna specialiserade vården. Det kan således i praktiken vara så att vissa vårdgivare har större volymer relevanta uppgifter än andra. Utifrån att reglerna är frivilliga, se avsnitt 13.5, är upp till de berörda aktörerna att bestämma vilka vårdgivare som i praktiken ska tillgängliggöra uppgifter till en precisionsmedicinsk databas.
Det ska framhållas att utredningen lämnar förslag som på annat sätt begränsar användningsområdet för ändamålet, såsom begränsningar avseende tillgången till precisionsmedicinsk databas och möjligheten att motsätta sig att tillgängliggörande av personuppgifter sker. Detta är enligt utredningens mening ett lämpligare och mer träffsäkert sätt att reglera ändamålet.
Särskilt om begreppsanvändningen
Utredningens förslag innebär att begreppet vårdgivare används kopplat till urval och tillgängliggörande samt kompletterande personuppgifter från patientjournal, se avsnitt 14.9. Det är alltså vårdgivare som enligt utredningens förslag har möjlighet att tillgängliggöra personuppgifter för vården av en annan patient än den som uppgifterna avser. Vårdgivare har den betydelse som följer av definitionen 1 kap. 3 § PDL. Vårdgivare omfattar statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person
eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).
I praktiken ser inte utredningen att det kommer vara aktuellt för statlig eller kommunal hälso- och sjukvård att tillgängliggöra personuppgifter till en precisionsmedicinsk databas. Utredningens förslag om inrättande och förande av precisionsmedicinsk databas bygger också på att detta är en angelägenhet inom den regionala hälso- och sjukvården. Utredningen föreslår inte heller att statliga eller kommunala vårdgivare omfattas av föreslaget till sekretessbrytande bestämmelse, se avsnitt 17.1. Att undanta statliga och kommunala aktörer från definitionen sav vårdgivare framstår dock inte som ändamålsenligt. Vårdgivarbegreppet är ett väl etablerat begrepp inom hälso- och sjukvården. Det kan skapa osäkerhet och otydlighet att införa ett nytt begrepp i PDL som endast omfattar vissa vårdgivare.
Frågan om avgränsning av vårdgivarbegreppet har också uppkommit kopplat till utredningens förslag till ny lag om vidareanvändning av personuppgifter för klinisk forskning, se avsnitt 16.3.3. Utredningen har konsekvent valt att använda ett myndighetsbegrepp i situationer där inte alla vårdgivare enligt definitionen i PDL ska omfattas av en bestämmelse. Utredningen har dock i sitt arbete med utformningen av de regler som föreslås noterat att det svårligen går att hitta en begreppsanvändning som är träffsäker utifrån det utredningen avser att reglera samtidigt som det blir tydlighet och enhetligt. Utredningen har försökt hitta en så god balans mellan dessa hänsyn som möjligt.
För det nya vårdändamålet använder utredningen även begreppet regional myndighet inom hälso- och sjukvården. Detta är ett snävare begrepp än vårdgivare. Det är endast en regional myndighet inom hälso- och sjukvården som får inrätta och föra precisionsmedicinsk databas och som får vara ansvarig för central behandling av personuppgifter i precisionsmedicinsk databas. Tillgång till precisionsmedicinsk databas genom direktåtkomst eller annat elektroniskt utlämnande får vidare endast ske till en regional myndighet inom hälso- och sjukvården. Nackdelen som är förknippad med att använda olika begrepp motiverar enligt utredningens bedömning inte att färre aktörer ges möjlighet att tillgängliggöra uppgifter för det nya ändamålet. Det finns även starka skäl för begränsningarna som kopplar till regional myndighet inom hälso- och sjukvården, se avsnitt 14.7.2 och 14.8.2. Användandet av olika begrepp blir därför en nödvändighet. Utred-
ningen konstaterar samtidigt att det redan i dag finns både begreppen vårdgivare och regional myndighet i PDL.
14.6.2. Urval och tillgängliggörande
Urval och tillgängliggörande är tillåtet avseende personuppgifter som behandlas enligt 2 kap. 4 § första stycket 1–2 PDL, det vill säga av vårddokumentation. Avseende avgränsningen till 2 kap. 4 § första stycket 1–2 PDL, se avsnitt 14.4.2.
Utifrån de behov som utredningen har fått till sig har utredningen gjort bedömningen att det är tillräckligt med en begränsad mängd personuppgifter att söka i. Av detta följer att inte alla personuppgifter som vårdgivare behandlar som vårddokumentation behövs för syftet med en precisionsmedicinsk databas. Det ska alltså ske ett urval av uppgifter som tillgängliggörs. Urvalet ska avse de personuppgifter som behövs för att skapa underlag för vården av en annan patient än den som uppgifterna avser. Bedömningen av vilka uppgifter som behövs ska göras utifrån medicinsk synvinkel, se avsnitt 14.6.3. Eftersom en precisionsmedicinsk databas kommer att innehålla känsliga personuppgifter är det särskilt viktigt att urval av personuppgifter som görs med största noggrannhet.
Urval innebär att relevanta personuppgifter för ändamålet avgränsas
på något sätt. Hur detta sker är inte något som utredningen anser kan eller bör regleras. Det bör vara upp till inblandade aktörer att välja det sätt som passar bäst i förhållande till den aktuella precisionsmedicinska databasen. Urval kan enligt utredningens uppfattning ske med både manuella åtgärder och automatiskt. Utredningens bedömning är det krävs samverkan mellan de regioner som tillhör en samverkansregion att komma överens om urval och upplägget i övrigt avseende tillgängliggörande till en precisionsmedicinsk databas. Formellt ansvarig för urvalet är dock den vårdgivare som är personuppgiftsansvarig för tillgängliggörandet, se om personuppgiftsansvar i avsnitt 14.5.3.
Kravet på pseudonymisering ska tillämpas på de uppgifter som ingår i urvalet innan tillgängliggörande får ske, se vidare avsnitt 14.6.5.
Tillgängliggörande kan ske både mellan och inom myndigheter
I avsnitt 14.4.5 har utredningen beskrivit att den tagit utgångspunkt i steg 1–4 avseende tillåtna behandlingar för ändamålet vården av en annan patient än den som uppgifterna avser. Detta innebär att reglerna inte utgår ifrån myndighetsgränser. Regleringen måste därför i varje steg ta höjd för att aktuell behandling av personuppgifter för ändamålet sker inom myndigheter, mellan myndigheter inom samma vårdgivare och även mellan olika vårdgivare ur både sekretessmässigt och dataskyddshänseende (se vidare avsnitt 14.3 och avsnitten 17.1–17.2).
Begreppet tillgängliggörande omfattar samtliga nu nämnda situationer.
Ett tillgängliggörande omfattar således när det är fråga om ett utlämnande över vårdgivar- eller myndighetsgräns. Ett tillgängliggörande omfattar även när personuppgifter inom den myndighet som för en precisionsmedicinsk databas ska tillföra databasen uppgifter som härrör från behandling enligt 2 kap. 4 § första stycket 1–2 PDL. I praktiken handlar det enligt utredningens uppfattning om att uppgifter kopieras och på något sätt tillförs den precisionsmedicinska databasen. Inom den myndighet som för databasen handlar det om att byta ändamål och rättslig grund för personuppgiftsbehandlingen, inte om ett utlämnande.
Utredningen noterar att begreppet tillgängliggörande används i situationer som endast innefattar ett utlämnande (jämför 2 kap. SVOD). Utredningen anser dock att tillgängliggörande inte behöver vara likalydande med ett utlämnande. Att begreppet får omfatta båda situationerna medför en enklare begreppsanvändning, vilket är en fördel. Utredningen föreslår därför att begreppet tillgängliggörande används som begrepp för när personuppgifter tillförs en precisionsmedicinsk databas, oavsett om detta sker över en myndighetsgräns eller inte.
När tillgängliggörandet är ett utlämnande, ska det få ske elektroniskt, se under rubriken ”Tillgängliggörande ska kunna ske i elektronisk form”. I dessa situationer uppkommer också frågor rörande sekretess. Utredningens förslag avseende sekretessbrytande grund kopplat till ändamålet vården av en annan patient än den som uppgifterna avser finns i avsnitt 17.1.
Tillgängliggörande ska kunna ske i elektronisk form
Tillgängliggörande till precisionsmedicinsk databas ska kunna ske i elektronisk form.
När tillgängliggörandet sker inom en myndighet finns inga särskilda regler som rör formen för hur personuppgifterna ska tillföras den precisionsmedicinska databasen. Det står myndigheten principiellt fritt att använda de tekniska lösningar den finner lämpligt, utifrån att relevanta krav på informationssäkerhet och dataskydd följs (se avsnitt 14.5.4). Det centrala utifrån utredningens förslag är att de tekniska lösningarna ska stödja kraven på urval av personuppgifter som följer av föreslagna bestämmelser.
När tillgängliggörandet är ett utlämnande aktualiseras 5 kap. 6 § PDL. Av denna bestämmelse följer att om en personuppgift får lämnas ut, kan det ske på medium för automatiserad behandling. Utredningen redogör för bestämmelsens innebörd i avsnitt 7.5.6.
Enligt förarbetena till PDL är direktåtkomst en viss form av elektroniskt utlämnande till en extern mottagare. Den som är ansvarig för informationen har inte kontroll över vilka uppgifter som en mottagare vid ett visst tillfälle tar del av (automatiserad tillgång) och mottagaren av informationen kan inte påverka innehållet i det informationssystem som informationen lämnas ut från (prop. 2007/08:126 s. 74). Den elektroniska formen omfattar i sig ett stort antal variationer, till exempel användning av e-post, lagring på cd-rom, direktöverföring från ett datorsystem till ett annat via telenätet eller att en mottagare ges elektronisk tillgång till det utlämnande organets datorsystem (prop. 2007/08:126 s. 73).
Begreppet ”på medium för automatiserad behandling”, likväl som exemplen i förarbetena kan framstå som ålderdomliga. Begreppet i lagtexten tar dock endast sikte på den elektroniska formen för utlämnandet och exemplen i förarbetena är också just bara exempel. Varken formuleringen i lagtexten eller exemplen i förarbetena utesluter enligt utredningens uppfattning att när det talas om ”elektroniskt utlämnande”, att detta kan ske även med mer modern teknik. Avgörande från juridisk synvinkel är att den teknik som används inte medför att utlämnandet ses som en direktåtkomst. Detta eftersom det vid direktåtkomst finns vissa särskilda rättsliga frågor som måste lösas innan just den formen av tillgängliggörande används se vidare under rubriken ”Varför inte direktåtkomst”.
Utredningens bedömning är att det följer av 5 kap. 6 § PDL att utlämnande kan ske genom ett annat utlämnande än direktåtkomst, förutsatt att sekretess inte hindrar det. Utredningens förslag avseende sekretessbrytande bestämmelse finns i avsnitt 17.1.
Varför tillgängliggörande till precisionsmedicinsk databas inte ska få göras genom direktåtkomst
Det som enligt utredningens mening bör vara tillåtet är tillgängliggörande på annat elektroniskt sätt än genom direktåtkomst. Ovan har framgått att utlämnande kan ske redan följer av 5 kap. 6 § PDL.
Utredningen konstaterar saknas en legaldefinition av begreppet direktåtkomst. Utredningen konstaterar att begreppet har berörts i många lagstiftningsarbeten och att det förekommer i ett stort antal författningar. I PDL och SVOD finns bestämmelser om direktåtkomst (se till exempel 5 kap. 4 §, 7 kap. 9 § PDL och 2 kap. 1 § SVOD).
I propositionen till SVOD anges att med ”direktåtkomst” avses vanligtvis att någon har direkt tillgång till någon annans register eller databas och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. I begreppet ligger också att den som är personuppgiftsansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av (prop. 2021/22:177 s. 46).
Förutom den viktiga juridiska skillnaden att det vid elektroniskt utlämnande måste göras en sekretessprövning vid varje enskilt utlämnandetillfälle brukar även informationen avse en avgränsad informationsmängd som är anpassad för ett specifikt utlämnande.
Vid direktåtkomst sker generellt sett ingen avgränsning av information vid varje tillfälle som mottagaren tar del av uppgifter. Direktåtkomsten begränsas i stället av de villkor som är uppställda för den aktuella rätten att få åtkomst till uppgifter genom direktåtkomst. Exempelvis styrs direktåtkomsten enligt SVOD av de förutsättningar som måste föreligga enligt 2 kap. 1–2 §§SVOD.
En ytterligare dimension av vad som brukar avses med direktåtkomst framgår av HFD 2015 ref. 61. Av avgörandet framgår att för att ett elektroniskt utlämnande ska anses utgöra direktåtkomst krävs det att den aktuella upptagningen anses förvarad hos mottagaren på det sätt som avses i 2 kap. 6 § första stycket TF, det vill säga att upptagningen är tillgänglig för mottagaren med tekniskt hjälpmedel
som mottagaren själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt.
I förarbetena till SVOD har det anförts att skillnaden mellan direktåtkomst och annat elektroniskt utlämnande i praktiken inte behöver vara särskilt stor (jämför HFD 2015 ref. 61 och prop. 2021/22:177 s. 78). Ett exempel på annat elektroniskt utlämnande är en elektronisk så kallad fråga-svar-funktion (prop. 2021/22:177 s. 78).
En konsekvens av att information som är åtkomlig via direktåtkomst ses som en allmän handling hos den myndigheten som har rätt till direktåtkomst är att uppgifterna blir potentiellt tillgängliga på fler ställen. Ju fler myndigheter som har direktåtkomst till uppgifter hos någon annan myndighet, desto fler ställen kommer uppgifterna finnas på och kommer i den mån de inte omfattas av sekretess, då utgöra handlingar som allmänheten kan få ta del av. Sekretesskyddet, men även i viss mån integritetsskyddet i allmänhet, blir således beroende av vad för typ av sekretess uppgifterna kommer omfattas av hos den mottagande myndigheten, se vidare avsnitt 17.3.
Ett förlorat sekretesskydd kan kompenseras med andra typer av sekretessbestämmelser som till exempel bestämmelser om överföring av sekretess. I 11 kap. 4 § OSL föreskrivs att om en myndighet hos en annan myndighet har elektronisk tillgång till en upptagning för automatiserad behandling och en uppgift i denna upptagning är sekretessreglerad, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Bestämmelsen motiveras av att en myndighet vid direktåtkomst regelmässigt får teknisk tillgång till fler uppgifter än de uppgifter som omfattas av myndighetens rätt att ta del av uppgifter (jämför prop. 2007/08:160 s. 73).
Ur ett dataskyddsperspektiv har åtkomst i form av direktåtkomst ansetts utgöra en särskilt integritetskänslig åtkomstform (se till exempel prop. 2021/22:177 s. 78). Den ökade integritetskänsligheten kan anses bestå dels av att personuppgifter i elektronisk form lättare kan bearbetas, dels att den personuppgiftsansvarige inte har samma typ av kontroll över vilka personuppgifter den mottagande parten tar del av eller vid vilken tidpunkt (jämför prop. 2007/08:126 s. 73–76).
Enligt utredningens uppfattning är det av största vikt att ett tillgängliggörande till precisionsmedicinsk databas är avgränsat och inte omfattar mer uppgifter än vad som behövs ur medicinsk synvinkel för syftet med databasen (se utförligare överväganden i avsnitt 14.6.3). Uppgifter utöver detta ska inte vara tillåtet att tillgängliggöra. Detta
anser utredningen är viktigt ur integritetshänseende. Det beror på att det dels inte kan anses finnas ett behov av det, dels för att det rör sig om uppgifter som utgör känsliga personuppgifter enligt artikel 9 i dataskyddsförordningen. Att tillgängliggöra en mer omfattande mängd känsliga personuppgifter än vad som kan motiveras utifrån ändamålet med en precisionsmedicinsk databas kan inte anses förenligt med dataskyddsförordningens regler om vare sig uppgiftminimering eller kraven på proportionalitet.
Eftersom databasen enligt utredningens mening inte ha ska ha ”stående tillgång” till alla personuppgifter som vårdgivare behandlar enligt 2 kap. 4 § första stycket 1–2 PDL, är direktåtkomst inte ett lämpligt sätt att tillgängliggöra uppgifter till en precisionsmedicinsk databas på. De tekniska lösningar som används för tillgängliggörandet behöver vara anpassade i förhållande till detta.
Förhållandet till uppgiftsutlämnande 6 kap. 5 § OSL
Enligt 6 kap. 5 § OSL ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. En fråga som bör belysas är om denna bestämmelse kan bli tillämplig på vårdgivares tillgängliggörande av personuppgifter till en precisionsmedicinsk databas. Om 6 kap. 5 § OSL är tillämplig skulle det innebära att möjligheten att behandla personuppgifter för tillgängliggörande till precisionsmedicinsk databas kan bli en skyldighet att lämna ut uppgifter. Utredningen gör följande överväganden i denna fråga.
Syftet med en precisionsmedicinsk databas är att samla personuppgifter för vården av en annan patient än den som uppgifterna avser och göra de sökbara för användning i vården av en annan patient än den uppgifterna avser. En viktig del i detta är att tillhandahålla ett underlag så att det ska gå hitta relevanta uppgifter att göra sökningar på (se vidare avsnitt 13.2 och 13.4) Det är ofta inte känt för den myndighet som för den precisionsmedicinska databasen eller för de myndigheter som har tillgång till den vilka personuppgifter som finns hos vårdgivare som är av relevans för vården av en annan patient än den som uppgifterna avser. Kännedomen är i vart fall typiskt sett inte av sådan precision att en begäran enligt 6 kap. 5 § OSL kan formuleras.
Utredningen gör mot denna bakgrund bedömningen att det sällan kommer bli möjligt för den regionala myndigheten inom hälso- och sjukvården som för en precisionsmedicinsk databas att kunna precisera en begäran om uppgiftslämnande enligt 6 kap. 5 § OSL. Utredningens bedömning är därmed att bestämmelsen i 6 kap. 5 § OSL inte medför att tillgängliggörande i steg 1 enligt utredningens förslag (se avsnitt 13.4 för redovisning av de olika stegen), bör medföra skyldigheter för myndigheter att tillgängliggöra uppgifter till en precisionsmedicinsk databas.
14.6.3. Vilka uppgifter ska omfattas?
I detta avsnitt kommer utredningen redogöra för bedömningar av personuppgifter som behövs för att skapa ett underlag och göras sökbara i en precisionsmedicinsk databas, samt resonemang kring hur dessa ska begränsas och preciseras
De personuppgifter som behövs för att skapa underlag för ändamålet ska få tillgängliggöras
Urval och tillgängliggörande av personuppgifter ska enligt utredningens förslag vara begränsat till vad som behövs för att skapa underlag för vården av en annan patient än den som uppgifterna avser. Det ska inte vara tillåtet att tillgängliggöra hela patientjournaler eller stora delar av en patientjournal. I stället ska ett urval av relevanta typer av uppgifter för sökning i precisionsmedicinsk databas göras.
Utredningen anser att utgångspunkten för vilka uppgifter som ska vara tillåtet att tillgängliggöra till en precisionsmedicins databas måste utgå ifrån behovet av uppgifter för vården av en annan patient än den som uppgifterna avser. Utredningen konstaterar att personuppgifter får behandlas inom hälso- och sjukvården för de ändamål som finns i 2 kap. 4 § första stycket PDL om det behövs. I 2 kap. 4 § anges att en vårdgivare får behandla endast sådana personuppgifter som behövs för de ändamål som anges i den paragrafen. I linje med detta anser utredningen att en lämplig och tillräcklig reglering av det nya ändamålet utgörs av ett behovskriterium i lagstiftningen. Utredningen redogör nedan för den typ av uppgifter, som utredningen i kontakt
med företrädare för hälso- och sjukvården, har fått till sig behövs för ändamålet.
Utredningen föreslår alltså ett behovskriterium. Utredningen har dock även prövat ett antal olika sätt att närmre precisera de uppgifter som får tillgängliggöras. Utredningen ser att en närmre precisering, om den är möjlig, skulle kunna skapa en ökad tydlighet i lagstiftningen. Utredningen har dock mött stora svårigheter i försöken att närmare precisera typen av uppgifter. Utredningen redogör nedan för de alternativ som utredningen har prövat och varför utredningen inte anser att dessa är en framkomlig väg.
Exempel på personuppgifter som behövs för sökning
I utredningens direktiv anges exempel på uppgiftstyper kopplat till vården av annan patient än den som uppgifterna avser. Där räknas kön, ålder, bakgrunden till att undersökningen utfördes, klinisk bedömning, andra bakomliggande hälsotillstånd hos patienten, klinik som utfört undersökning och tolkning av fynd upp.
Utredningen har varit i kontakt med aktörer som arbetar med precisionsmedicin för att få kunskap om de uppgifter som professionen anser behövs för sökning i en precisionsmedicinsk databas. Exempel som framkommit i dessa kontakter är fenotypdata så som kön, ålder, diagnoser, men också andra datamängder så som genvariant, virustyp och data avseende sekvensering av virus. Det kan även vara typ och val av behandling och behandlingsutfall, då allt från biomarkörer, patientrapporterat utfall som komplikationer eller långtidseffekter av behandlingen. Även vissa radiologiska bilder är användbara för att jämföra patientfall och behandlingar vid liknande bildfynd. Utifrån detta gör utredningen bedömningen att den uppräkning som görs i direktiven snarare utgör exempel på typ av personuppgifter som totalt sett kan vara relevant att ta del av i vården av ett enskilt fall, inte endast det som behövs för sökning i en precisionsmedicinsk databas. Utredningens bedömning är därför att personuppgifter som ska få tillgängliggöras till databasen bör vara mer avgränsad.
Särskilt om känsliga personuppgifter
De uppgifter som behöver tillgängliggöras utgör särskilda kategorier av personuppgifter enligt EU:s dataskyddsförordning, så kallade känsliga personuppgifter. Känsliga personuppgifter är bland annat uppgifter om hälsa. Även genetiska uppgifter är känsliga personuppgifter.
Inom hälso- och sjukvården får även genetiska uppgifter betraktas som uppgifter om hälsa. Härvid kan även den definition som finns av genetiska uppgifter beaktas, se artikel 4.13 i EU:s dataskyddsförordning. I definitionen anges att alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av biologiskt prov från den fysiska personen i fråga utgör genetiska uppgifter enligt förordningen. I sammanhanget kan även noteras att genetiska uppgifter som behandlas för precisionsmedicinska syften kan indirekt avslöja att den vars genetiska uppgifter kommer ifrån troligtvis har en viss etnicitet. I artikel 9.1 dataskyddsförordningen räknas personuppgifter som avslöjar etniskt ursprung som sådan särskild kategori av personuppgift som omfattas av förbudet att behandlas enligt huvudregeln. Eftersom detta endast är indirekt konsekvens av att genetiska uppgifter kan komma att behandlas i en precisionsmedicinsk databas anser inte utredningen att det är en kategori som särskilt skulle behöva anges i en generisk formulering utan att den får anses inkluderas i det vidare begreppet hälsa.
Samtliga uppgifter som tillgängliggörs ska vara sökbara
Syftet med en precisionsmedicinsk databas är att utgöra underlag för vården av en annan patient än den som uppgifterna avser. De uppgifter som tillgängliggörs ska endast behövas för detta syfte. Poängen med databasen är att samla relevanta personuppgifter för sökning. Som utgångspunkt anser utredningen därför att alla typer av uppgifter som tillgängliggörs ska vara sökbara. Det är endast uppgifter som är av medicinskt intresse att söka på som är relevanta att ha i en precisionsmedicinsk databas. det innebär att endast uppgifter som kan behöva sökas fram för ändamålet ska tillgängliggöras. Uppgifter om hälsa får tillgängliggöras, göras sökbara och sökas efter, men inte andra typer av känsliga personuppgifter, se vidare avsnitt 14.8.5 om sökbegrepp.
Utredningens försök att närmre precisera de uppgifter som ska få tillgängliggöras
Utredningen har övervägt olika sätt att närmre precisera vilka uppgifter som ska få ingå i urval och tillgänggörande.
Ett sätt är att i lagtext försöka räkna upp typer eller kategorier av uppgifter som ska få tillgängliggöras. Redan i momentet att hitta formuleringar som inbegriper de uppgifter som i dag finns behov av att tillgängliggöra mötte utredning stora utmaningar. En uppräkning skulle behöva innehålla ålder, kön, diagnos, virustyp och behandlingsutfall. Vad som är svårare att ringa in är den typ av biologiska uppgifter som också behövs. Här avses bland annat så kallade omiker. Uppräkningen tenderade redan här att bli väldigt lång och innehålla medicinska termer som inte är lämpliga för lagtext och lagtolkning. Utredningen gör bedömningen att den typ av uppräkning som skulle tjäna någon klargörande funktion, skulle vara så detaljerad att det är främmande att ha i lagtext. Det finns också en överhängande risk att uppräkningen inte blir uttömmande. Det skulle förvisso vara ett alternativ att ha en exemplifierande uppräkning. Ur transparenshänseende får det dock anses vara av begränsat värde. En exemplifierande uppräkning är enligt utredningens uppfattning mer lämplig att ha i en författningskommentar.
En ytterligare aspekt som utredningen har identifierat är att vad som behöver kunna tillgängliggöras kommer att variera över tid. Utifrån att precisionsmedicinen, som styrs av forskningens framsteg, utvecklas mycket snabbt kommer också behovet av uppgifter förändras förhållandevis snabbt. Vad som är relevant information att tillgängliggöra till en precisionsmedicinsk databas utifrån vetenskap och beprövad erfarenhet ändras fort. Det ligger i forskningens natur att vi inte vet vilka personuppgifter som kommer att behövas för morgondagens vård. Det är av nu nämnda skäl inte möjligt att i lag reglera detta i detalj. Regeringen har fört liknande resonemang i exempelvis prop. 2022/23:41 s. 45 där regeringen anger att:
Det är enligt regeringens uppfattning inte möjligt att i nuläget förutse den exakta omfattningen av samtliga slags uppgifter som kommer att behandlas i analys- och urvalsdatabasen. Vilka slags uppgifter som kan behövas kan också variera, bl.a. beroende på vilka riskanalyser som tas fram. I alla lägen kommer det dock enbart röra sig om sådana uppgifter som behövs för analys och urval.
Propositionen avser ett annat område och innehåller förslag om att få behandla personuppgifter för folkbokföringsverksamheten, men utredningen anser att slutsatsen är applicerbar även för utredningens förslag.
Utredningen har även övervägt om en precisering av uppgifter i stället skulle kunna ske på ett lämpligt sätt på en lägre normgivningsnivå än lag. Utredningen har gjort en jämförelse med regleringen av hälsodataregister, där uppgifter först räknas upp i förordning och sedan kompletteras med ytterligare detaljerade uppräkningar i föreskrifter. En fördel med lägre normgivningsnivå är att mer detaljerade uppräkningar är möjligt samt att en ändring av till exempel föreskrifter normalt sett går snabbare än en ändring av lagtext. Hälsodataregister har dock helt andra syften och är inte jämförbart med behandling av personuppgifter som ska ske vårdnära. Även om det går snabbare att ändra föreskrifter, finns en tröghet i detta som skulle vara negativ för vården. En statlig myndighet, exempelvis Socialstyrelsen, skulle behöva ha ansvaret för att uppdatera föreskrifterna. Detta skulle enligt utredningens bedömning behöva ske i samråd med den medicinska professionen. I praktiken skulle det därför ändå i stor utsträckning vara en bedömning från den medicinska professionen som avgör vilka uppgifter som får tillgängliggöras. Den administrativa process och insyn från en statlig myndighet som skulle föregå en ändring av föreskrifterna skulle kunna medföra ett visst ökat integritetsskydd. Utredningen anser dock inte att nyttan skulle bli speciellt stor och inte heller överväga den administrativa börda som förfarandet skulle medföra för alla inblandade aktörer. Dessutom skulle ett sådant förfarande förlänga processen ytterligare med att få ett heltäckande regelverk på plats och syftet med regelverket inte komma patienterna till del lika fort. Ett tillräckligt integritetsskydd kan enligt utredningen mening uppnås på andra sätt (se vidare avsnitt 14.15).
Utifrån de svårigheter som finns med att ha en preciserad uppräkning, har utredningen övervägt om det är möjligt att hitta en lämplig formulering av generiskt slag. En möjlig sådan formulering skulle kunna vara uppgifter om hälsa enligt artikel 9.2 i EU:s dataskyddsförordning. Uppgifter om hälsa definieras i EU:s dataskyddsförordning som uppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus (artikel 4.15). Vidare anges följande i skäl 35. Personuppgifter om hälsa bör innefatta alla de upp-
gifter som hänför sig till en registrerad persons hälsotillstånd som ger information om den enskildes tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd. Detta inbegriper uppgifter om den fysiska personen som insamlats i samband med registrering för eller tillhandahållande av hälso- och sjukvårdstjänster till den fysiska personen enligt Europaparlamentets och rådets direktiv 2011/24/EU. Sådana uppgifter kan utgöras av ett nummer, en symbol eller ett kännetecken som den fysiska personen tilldelats för att identifiera denne för hälso- och sjukvårdsändamål, uppgifter som härrör från tester eller undersökning av en kroppsdel eller kroppssubstans, däribland genetiska uppgifter och biologiska prov, och andra uppgifter om exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling eller den enskildes fysiologiska eller biomedicinska tillstånd, oberoende av källan, exempelvis från en läkare eller från annan sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitrotest. I skäl 63 i dataskyddsförordningen anges som exempel på uppgifter om hälsa uppgifter i läkarjournaler så som diagnoser, undersökningsresultat, bedömningar av behandlande läkare och eventuella vårdbehandlingar eller interventioner.
Utifrån ovan får förstås att uppgifter om hälsa kan tolkas brett. Det är också så utredningen uppfattar praxis på området. Fördelen med detta är att de variabler som över tid behöver tillgängliggöras för syftet med en precisionsmedicinsk databas enligt utredningens bedömning har stora möjligheter att omfattas. Däremot är begreppet uppgifter om hälsa inte särskilt begränsande i sig. Poängen med att ange ”uppgifter om hälsa” skulle framför allt vara att tydligare i lagtexten synliggöra vad det är fråga om för uppgifter. En ytterligare funktion skulle vara att uttryckligen utesluta andra känsliga uppgifter, så till vida de inte också räknas som uppgift om hälsa (se ovan avseende genetiska uppgifter). Dessa förhållanden synliggörs dock på andra sätt. Utredningen föreslår en uttrycklig bestämmelse som avser behandling av känsliga personuppgifter, se avsnitt 14.3.3. Utredningen ser utifrån detta ingen poäng med att också ange uppgifter om hälsa i bestämmelsen om tillgängliggörande.
14.6.4. Vilken eller vilka precisionsmedicinska databaser som tillgängliggörande får göras till
Utredningen föreslår en geografisk uppdelning avseende inrättande och förandet av precisionsmedicinska databaser, se avsnitt 14.7.3. Sex precisionsmedicinska databaser ska få inrättas och föras i respektive samverkansregion. Utöver detta ska en särskild precisionsmedicinsk databas få inrättas och föras inom NGP. Tillgängliggörande av personuppgifter till precisionsmedicinsk databas ska ske utifrån utredningens förslag avseende inrättande och förande av precisionsmedicinska databaser. Utredningen redogör i det följande för innebörden av detta.
Föreslagen reglering finns i utredningens förslag till förordning.
Tillgängliggörande till samverkansregional precisionsmedicinsk databas
Tillgängliggörande till samverkansregional precisionsmedicinsk databas kan delas upp mellan vårdgivare som omfattas av en samverkansregion och vårdgivare som inte gör det. Bland de vårdgivare som inte omfattas av en samverkansregion har utredningen valt att lämna ett specifikt förslag på reglering avseende privata aktörer med huvudsakligen offentlig finansiering. För övriga kategorier vårdgivare gör utredningen bedömningen att det inte i praktiken kommer vara aktuellt att tillgängliggöra personuppgifter till precisionsmedicinsk databas. I syfte att regleringen ska vara heltäckande lämnar utredningen dock ett förslag som även omfattar dessa.
Vårdgivare som omfattas av en samverkansregion
De vårdgivare som omfattas av en samverkansregion utgörs av de regioner eller kommuner som ingår i respektive samverkansregion enligt 3 kap. 1 § HSF. Vårdgivare som omfattas av en samverkansregion får tillgängliggöra personuppgifter till den precisionsmedicinska databas som förs av den samverkansregion som vårdgivaren omfattas av. Det är inte tillåtet för vårdgivare att tillgängliggöra personuppgifter till en samverkansregional precisionsmedicinsk databas som finns i någon annan samverkansregion än den som vårdgivaren omfattas av.
Genom att tillgängliggörande endast får ske till den samverkansregionala databas som finns i den samverkansregion som vårdgivaren ingår i, begränsas omfattningen av personuppgifter som ingår i databasen. Utifrån samverkansregionernas storlek kan ändå databaserna få en sådan volym uppgifter att de är användbara för sitt syfte. Utredningen gör bedömningen att detta är en rimlig avvägning mellan behoven av större möjligheter till datadelning och intressen av integritetsskydd.
Privata vårdgivare med regionen som huvudman
För vårdgivare som inte ingår i en samverkansregion behövs också en reglering med avseende på vilken eller vilka precisionsmedicinska databaser som tillgängliggörande ska få ske till. Utredningen har övervägt olika alternativt. För vårdgivare som får offentlig finansiering eller har uppdrag från en region, går det att koppla tillgängliggörandet till den precisionsmedicinska databas som finns i finansiärens eller huvudmannens samverkansregion. I praktiken berör detta privata vårdgivare med uppdrag/finansiering från en eller flera regioner.
Utredningen har övervägt om kopplingen ska knytas till huvudmannaskapet eller finansieringen. Utredningen anser att det är tydligare och medför minst tillämpningssvårigheter att knyta kopplingen till huvudmannaskapet. Finansiering kan snabbt ändras över tid, vilket gör det till ett mer instabilt kriterium. Samtidigt konstaterar utredningen att huvudmannaskapet endast kan avse en mycket liten del av en vårdgivares verksamhet. I de fallen kommer det dock enligt utredningens mening sannolikt inte bli fråga om att tillämpa reglerna. Över huvud taget gör utredningen den bedömningen att de regler som utredningen nu föreslår avseende datadelning för vården av annan än den som uppgifterna avser framför allt kommer att börja tillämpas inom offentlig driven vård. Det framstår som mest sannolikt att privata vårdgivare inte kommer att börja tillämpa ändamålet, i vart fall inte i någon större omfattning, förrän en helt nationell infrastruktur finns på plats, se kapitel 19–21. Utöver detta bedömer utredningen också att vilket val utredningen gör i denna del enbart marginellt, om ens alls, skulle kunna påverka de som använder den precisionsmedicinska databasen eller de patienter som blir behandlade till följd av användandet av databaserna.
Tillgängliggörande får ske till den eller de precisionsmedicinska databaser som huvudmannen omfattas av. Detta innebär att tillgängliggörande i teorin kan ske till mer än en databas. Utredningen gör dock bedömningen att detta i så fall kommer utgöra en mycket liten mängd personuppgifter. Utredningen ser det inte motiverat att reglera detta på en ytterligare detaljnivå, utan anser att det är mest lämpligt att överlämna åt de berörda aktörerna att hantera dessa situationer på ett praktiskt lämpligt sätt.
Övriga vårdgivare
Vad beträffar övriga vårdgivare (statliga och kommunala vårdgivare samt privata vårdgivare som inte omfattas enligt ovan), är det utredningens bedömning att det är mycket osannolikt att de ens kommer blir aktuella för tillgängliggörande av personuppgifter. Avseende övriga vårdgivare som är myndigheter föreslår utredningen inte heller någon sekretessbrytande grund, se avsnitt 17.1.
Om regleringen ska vara formellt sett fullständig i den meningen att samtliga vårdgivare omfattas, skulle förordningen behöva innehålla en regel för övriga vårdgivare. Enligt utredningens mening skulle den i så fall lämpligen föreskriva att tillgängliggörande får ske till samverkansregional databas enligt överenskommelse med den regionala myndigheten inom hälso- och sjukvården som för databasen. Utredningen anser dock att detta är en i praktiken obehövlig reglering som dessutom inte är logisk till följd att utformningen av förslagen sekretessbrytande grund. Utredningen lämnar därför inget förslag till sådan reglering.
Tillgängliggörande till särskild precisionsmedicinsk databas inom den Nationella Genomikplattformen
NGP är en it-infrastruktur som etablerats av GMS. För en beskrivning av NGP och GMS, se avsnitt 14.7.3.
Det är enligt utredningens bedömning rimligt att det endast är de vårdgivare som ingår i GMS som ska tillgängliggöra personuppgifter till den precisionsmedicinska databasen som får föras inom den NGP.
Samtliga regioner med universitetssjukvård ingår i GMS. Det innebär att samtliga regionsjukhus (universitetssjukhus) ingår i GMS. Det
är på dessa sjukhus som bland annat patienter med bland annat sällsynta diagnoser vårdas. Ett område där nationell delning av personuppgifter är avgörande för att uppnå medicinsk nytta är genetisk diagnostik kopplad till nedärvda sjukdomar. För att få en korrekt diagnostik behöver sekvensering (genanalys) av till exempel alla tekniskt korrekta genvarianter och alla tolkade genvarianter kunna delas. Anledningen till detta är att genförändringar kan vara så ovanliga att en samling av personuppgifter inom endast en samverkansregion inte är tillräcklig. Detta är fallet vid så kallade sällsynta diagnoser. Var och en av diagnoserna är så ovanlig att det behövs en nationell datadelning. Behovet uppstår även när det gäller både bildbehandling och mikrobiologi. När det är fråga om sällsynta fall behöver upptagningsområdet vara större för att det ska finnas relevant jämförelsedata. Att få information om hur patienter med samma bildresultat har behandlats eller hur liknande patienters laboratoriedata ser ut, ger möjligheter att jämföra på ett sätt som möjliggör god precisionsmedicin.
Ett annat område där de personuppgifter från patienter som finns i hela landet behöver kunna delas avser personuppgifter kopplade till cancer (icke nedärvda sjukdomar). Själva cancerformen kan i och för sig vara vanlig, men kombinationer av form och förändringar i genomet kan vara ovanliga. Utifrån kombinationerna av form och förändringar bildas undergrupper till en cancerform. Vissa undergrupper är att betrakta som ovanliga. För dessa ovanliga undergrupper finns behov av att dela data nationellt.
Patienter med sällsynta diagnoser eller cancer med målinriktad behandling får regelmässigt vård på något av landets regionsjukhus (universitetssjukhus). Till exempel sker då gensekvensering för dessa patientgrupper på universitetssjukhusen. Där finns eller genereras den relevanta typen av information. Detta blir enligt utredningens bedömning ”nationellt” i den mening att all relevant information som finns i landet som fångas upp av GMS kommer då att kunna användas i vården av de patienter som behöver det.
De personuppgifter som behöver kunna delas bredare än på samverkansregional nivå finns således hos regionsjukhusen (universitetssjukhusen). För dessa personuppgifter kan det alltså finnas några få runtom i landet. Det innebär att det inte skulle ge tillräckligt med underlag om det finns en eller två fall i varje samverkansregion.
I stället öppnar NGP för möjligheten att samla dessa fall på ett ställe och på så sätt öka chanserna att utgöra ett tillräckligt underlag som
behandlande vårdpersonal kan vara behjälpta av. Utredningen gör bedömningen att tillgängliggörande av de vårdgivare som ingår i GMS tillgodoser de behov av datadelning som finns för GMS. Att aktuella vårdgivare ingår i GMS bekräftar också i sig att det är mellan just dessa som behovet av viss datadelning finns för att uppnå syftet att fullt ut implementera precisionsmedicin.
Det är samtidigt en rimlig avvägning att endast de vårdgivare som ingår i GMS är de som får tillgängliggöra uppgifter till den precisionsmedicinska databas som får föras där. Utredningen har inte uppfattat att det skulle vara avgörande för användbarheten att även andra vårdgivare får tillgängliggöra personuppgifter till den precisionsmedicinska databasen inom NGP. I förlängningen skulle det kunna finnas en nytta av helt nationell datadelning för vården av annan patient än den som personuppgifterna avser. Detta får dock enligt utredningens mening utredas och etableras kopplat till en nationell datahubb, se kapitel 19–21.
När behov inte längre finns ska uppgifter sluta tillgängliggöras
Kravet på att personuppgifter som tillgängliggörs till en precisionsmedicinsk databas behövs för att skapa underlag för vården av en annan patient än den som uppgifterna avser innebär först och främst att endast personuppgifter som bedöms behövs får tillgängliggöras, se avsnitt 14.6.3. Det är en medicinsk bedömning som enligt utredningens mening ska ligga till grund för vilka uppgifter som behövs för att skapa underlag för vården av en annan patient än den som uppgifterna avser.
Kravet på att uppgifterna ska behövas som underlag för vården av en annan patient än den som uppgifterna avser medför också att tillgängliggörande av en viss typ av uppgift ska upphöra om den inte längre behövs. Detta behöver prövas kontinuerligt av vårdgivare som tillgängliggör uppgifter. Prövningen ska utgå ifrån en medicinsk bedömning. Har det exempelvis visat sig att en viss typ av uppgift inte längre är relevant vid sökning ska den inte längre tillgängliggöras. Utredningen ser framför sig att samråd kring denna typ av frågor kan behöva ske mellan de regionala myndigheter som samverkar avseende en precisionsmedicinsk databas och med de vårdgivare som tillgängliggör uppgifter till databasen.
14.6.5. Pseudonymisering eller annat likvärdigt skydd
Förslag: Tillgängliggörande till en precisionsmedicinsk databas får
endast avse personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt.
Vad innebär pseudonymisering eller likvärdigt skydd?
Med begreppet pseudonymisering avses enligt artikel 4.5 i dataskyddsförordningen att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används. Dessa kompletterande uppgifter ska, enligt nyss nämnda bestämmelse, förvaras separat och vara föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.
I artikel 32.1 i dataskyddsförordningen anges vidare att den personuppgiftsansvarige, med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet bland annat pseudonymisering. Tillämpningen av pseudonymisering av personuppgifter kan minska riskerna för de registrerade som berörs och hjälpa personuppgiftsansvariga att fullgöra sina skyldigheter i fråga om dataskydd (se skäl 28 dataskyddsförordningen).
Som alternativ till pseudonymisering med kodnyckel kan det finnas andra skyddsåtgärder som uppfyller samma syfte, det vill säga att se till att de personuppgifter som tillgängliggörs inte kan sammankopplas med de registrerades identiteter. Därmed kan ett likvärdigt eller till och med bättre skydd ges än vid pseudonymisering med kodnyckel. Exempel på sådana åtgärder är olika typer av kryptering eller generalisering (utredningen har beskrivit generalisering i avsnitt 3.7.1 (Generalisering av data).
Vad innebär kravet i praktiken?
I praktiken kommer pseudonymisering fungera på så vis att det i stället för identifierbara personuppgifter i en precisionsmedicinsk databas finns en beteckning hos vårdgivaren som tillgängliggör uppgifter som kan kopplas till den enskildes personnummer eller motsvarande identitetsbeteckning. Uppgifter som möjliggör identifiering ska alltså förvaras separat hos den tillgängliggörande vårdgivaren, och en så kallad kodnyckel kan användas för att ersätta direkta identifierare såsom personnummer eller namn.
För regionala myndigheter inom hälso- och sjukvården som kommer använda personuppgifter i en precisionsmedicinsk databas i vården av en patient kommer direkta identifierare att vara ointressant. Det är inte uppgifter om exempelvis namn eller personnummer som är relevanta att använda i vården av en annan patient. Ett krav på pseudonymisering eller likvärdigt skydd för de personuppgifter som tillgängliggörs till en precisionsmedicinsk databas kommer mot den bakgrunden fungera bra sett till syftet med en precisionsmedicinsk databas.
En integritetsskyddande åtgärd
Vetskapen hos en registrerad om att dennes personuppgifter som finns i en precisionsmedicinsk databas inte kommer vara direkt identifierbara, kan förväntas bidra till en ökad känsla av trygghet kring den behandling av personuppgifter som sker i databasen. Nämnda trygghet kan dessutom tänkas öka benägenheten hos enskilda att låta vården tillgängliggöra insamlade personuppgifter om dem i en sådan databas, vilket kan leda till att färre patienter känner behov av att använda möjligheten till så kallad opt-out (möjlighet att motsätta sig att behandling av personuppgifter sker). Se mer om detta i avsnitt 14.10.5 (Möjlighet att motsätta sig urval och tillgängliggörande till precisionsmedicinsk databas).
Kravet på att personuppgifter som tillgängliggörs till en precisionsmedicinsk databas ska vara pseudonymiserade eller skyddade på likvärdigt sätt, är därför enligt utredningens mening ägnat att, dels minska oro för integritetsrisker hos de registrerade, dels underlätta för de personuppgiftsansvariga att bedriva verksamheten med databaserna och fullgöra sina skyldigheter i fråga om dataskydd. Kravet är alltså
en skyddsåtgärd för att värna de registrerades integritet. Skyddsåtgärden minskar risk för onödigt intrång i de registrerades integritet som skulle kunna uppstå om det i stället var fråga om direkt identifierbara uppgifter.
Mot denna bakgrund gör utredningen bedömningen att tillgängliggörande till en precisionsmedicinsk databas endast får ske av personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt.
Risk att den enskilde ändå kan identifieras
Även om tillgängliggörande till en precisionsmedicinsk databas endast får ske av personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt, det vill säga den enskilde inte är direkt identifierbar, finns en risk att en registrerad ändå kan identifieras i vissa fall. Så kan vara fallet om det är fråga om en sällsynt sjukdom som bara få registrerade har. Huruvida någon kan identifieras eller inte beror också på vad för annan information vårdpersonalen i den regionala myndigheten inom hälso- och sjukvården kan och får söka fram i den precisionsmedicinska databasen. Utredningens uppfattning är att uppgifterna i sådana fall är pseudonymiserade, men att det finns en sannolikhet att någon kan bli identifierbar trots detta.
Utredningen anser att det är en risk som inte helt kan elimineras med kravet på pseudonymisering eller likvärdigt skydd. Denna risk vägs dock upp mot att den enskilde har möjlighet att välja att dennes personuppgifter inte ska tillgängliggöras till en precisionsmedicinsk databas genom en möjlighet att motsätta sig detta, så kallad opt-out. Den vägs också upp av andra skyddsåtgärder så som att det kommer finnas vissa krav på behörighetstilldelning. Intresset av att personuppgifterna ändå kan tillgängliggöras får anses väga tyngre, och uppvägas av nyss nämnda andra skyddsåtgärder, att risken får accepteras.
Kryptering
Utredningen har övervägt att införa ett krav på att uppgifter ska vara krypterade. Det finns olika typer av kryptering som kan användas för att skydda personuppgifter. Eftersom utredningen ställer krav på pseudonymisering eller likvärdigt skydd, har utredningen inte sett att det finns behov av att ställa specifika krav i form av någon typ av
kryptering. Utredningens bedömning är att för den typ av data som kommer finnas i de precisionsmedicinska databaserna skulle det inte innebära något större ytterligare skydd med envägskryptering i praktiken utöver att använda pseudonymisering. Eftersom kryptering generellt är dyrare än pseudonymisering ser utredningen inte att ett sådant krav skulle vara proportionerligt i förhållande till nyttan.
Vissa typer av kryptering kan däremot användas för att få till ett likvärdigt skydd som pseudonymisering ger. Envägskryptering för att kryptera personnummer i stället för att använda löpnummer skulle kunna användas som ett likvärdigt skydd förutsatt att den vårdgivare som tillgängliggör uppgifter är ensam om att ha tillgång till kodnyckeln.
14.6.6. Behörighet, befogenhet och kontroll
Förslag: Den som arbetar hos en vårdgivare får ta del av dokumen-
terade uppgifter om en patient om han eller hon behöver det för sitt arbete med urval och tillgängliggörande till precisionsmedicinsk databas.
En bestämmelse som upplyser om att reglerna i 4 kap. 2 och 3 §§ PDL gäller vid urval och tillgängliggörande till precisionsmedicinsk databas ska införas i 6 kap. PDL.
Bedömning: De allmänna reglerna om behörighet i 4 kap. 2 §
PDL samt föreskrifter som har meddelats med stöd av 4 kap. 2 § tredje stycket PDL gäller. Den elektroniska åtkomst som sker till följd av att urval och tillgängliggörande till en precisionsmedicinsk databas omfattas av bestämmelsen i 4 kap. 3 § PDL samt föreskrifter som har meddelats med stöd av 4 kap. 3 § andra stycket PDL.
Om behörighet för urval och tillgängliggörande till en precisionsmedicinsk databas
I avsnitt 13.3 har utredningen på ett övergripande plan redogjort för vilka personuppgiftsbehandlingar som föranleds av utredningens förslag om att precisionsmedicinska databaser kan inrättas. Av beskrivningen framgår att urval och tillgängliggörande ska ske från en vårdgivare. I ett första skede måste således ett urval av de relevanta personupp-
gifterna från berörda patienter göras inom en vårdgivares organisation, för att sedan kunna tillgängliggöras till aktuell databas. Vilka personuppgifter som får tillgängliggöras och därmed får omfattas av urvalet framgår av avsnitt 14.6.3.
Utredningen har för momenten att urskilja och tillgängliggöra personuppgifter jämfört med hur regleringen för nationella och regionala kvalitetsregister ser ut. Utredningen är av uppfattningen att tillgängliggörande till en precisionsmedicinsk databas, i detta syfte, kan likställas med den inrapportering som sker till nationella och regionala kvalitetsregister. I 7 kap. PDL finns inga särskilda bestämmelser som reglerar tillgängliggörandet av personuppgifter till ett nationellt eller regionalt kvalitetsregister. Detta följer av att man har ett så kallat uppdelat personuppgiftsansvar. Med det uppdelade personuppgiftsansvaret följer att den vårdgivare som tillgängliggör personuppgifter till ett nationellt eller regionalt kvalitetsregister är personuppgiftsansvarig enligt den allmänna regeln i 2 kap. 6 § PDL för den behandling det innebär (se prop. 2007/08:126 s. 183).
Av de skäl som angetts ovan, se avsnitt 14.5.2 och 14.5.3, anser utredningen att det även för personuppgiftsansvaret i relation till en precisionsmedicinsk databas är lämpligast med en lösning där det talas om ett uppdelat personuppgiftsansvar. Det vill säga där de vårdgivare som tillgängliggör och nyttjar databasen alltjämt är personuppgiftsansvariga för den behandling det innebär och den regionala myndighet inom hälso- och sjukvården som för databasen får bära personuppgiftsansvaret för den centrala behandling som sker i en precisionsmedicinsk databas. I 4 kap. 2 § PDL fastställs en vårdgivares skyldighet att bestämma villkoren för behörighet för de som ingår i vårdgivarens organisation. I bestämmelsen anges att behörigheten ska begränsas till vad som behövs för att den enskilde medarbetaren ska kunna utföra sina arbetsuppgifter inom hälso- och sjukvården. Bestämmelsen gäller för all vårdgivares verksamhet (se prop. 2007/08:126 s. 239 och prop. 2021/22:177 s. 142). Utredningen bedömer att 4 kap. 2 § PDL därför kan tillämpas vid urval och tillgängliggörande till en precisionsmedicinsk databas. Nästa fråga är om det är lämpligt att använda samma behörighetsregel för detta moment.
Med behörighet för åtkomst avses en användares faktiska möjligheter att ta del av uppgifter i exempelvis vårdgivarens journalsystem. Behörighetsstyrning är samlingsbegreppet för de organisatoriska, administrativa och tekniska åtgärder som vidtas för att anpassa och
begränsa behörigheten efter användarens behov för att kunna utföra sitt arbete.
Utredningen anser inte att den hantering av känsliga personuppgifter som måste ske med anledning av ett tillgängliggörande till en precisionsmedicinsk databas motiverar en särskild regel om behörighet. Det finns åtskilliga situationer där känsliga personuppgifter inom hälso- och sjukvården behandlas för att fullgöra olika typer av uppgiftslämnande som följer utav lag och förordning. Även om ett tillgängliggörande i förevarande fall innebär en anpassning utifrån vad den precisionsmedicinska databasen ska avse anser inte utredningen att själva urskiljandet och tillgängliggörandet utgör en särskilt integritetskänslig behandling (jämför prop. 2007/08:126 s. 57). I enlighet med vad regeringen uttalat vid flera olika tillfällen avseende 4 kap. 2 § PDL, är det förstås av stor betydelse att de behovs- och riskanalyser som ska ligga till grund för behörighetstilldelningen är så träffsäkra som möjligt avseende vilka som lämpligast är att ha en sådan behörighet och vad behörigheten bör innefatta (se prop. 200//08:126 s. 149 och prop. 2021/22:177 s. 142 f.).
Däremot anser utredningen att behörigheten att få söka i precisionsmedicinska databasen och begära kompletterande personuppgifter från patientjournal bör regleras särskilt av olika skäl (se vidare under avsnitt 14.8.3 och 14.9.4).
Sammanfattningsvis anser utredningen därför att den nuvarande bestämmelsen i 4 kap. 2 § PDL kan och bör tillämpas för urval och tillgängliggörande till en precisionsmedicinsk databas.
Om befogenhet att ta del av personuppgifter för urval och tillgängliggörande
I avsnitt 13.9 redogör utredningen för sin analys av varför 4 kap. 1 § PDL inte kan anses tillämplig på situationen när en arbetstagare hos en vårdgivare ska hantera personuppgifter för ändamålet vården av annan. Av analysen framgår att det enligt utredningens mening inte kan anses vara fråga om en åtkomst som ses som ett ”deltagande i vården” av den personuppgifterna härrör från. Det som snarare skulle kunna ligga närmare till hands är att när det i bestämmelsen anges att en arbetstagare hos en vårdgivare får ta del av uppgifter för att den ”av annat skäl behöver det för sitt arbete inom hälso- och sjukvården”. Som konstateras i ovan nämnda avsnitt får detta uttryck ses som en
hänvisning till arbete som är kopplat till de ändamål som anges i 2 kap. 4 § punkten 3–7 PDL.
Då 4 kap. 1 § PDL inte kan anses tillämplig bedömer utredningen att det behövs en särskild befogenhetsregel. Föreslagen bestämmelse ska tydliggöra att de medarbetare hos en vårdgivare som behöver ta del av personuppgifter för urval och tillgängliggörande till en precisionsmedicinsk databas, också kan göra det.
I takt med att tekniken utvecklas och att hälso- och sjukvården alltmer nyttjar de tekniska möjligheter som finns i dag kan det inte uteslutas att urval och tillgängliggörande till en precisionsmedicinsk databas görs rent maskinellt. I en sådan situation skulle behandlingen inte behöva stödja sig på den föreslagna befogenhetsbestämmelsen. Det skulle då enligt utredningens bedömning vara tillräckligt att det var tillåtet att behandla personuppgifter för ändamålet vården av en annan än den uppgifterna avser, vilket också skapas i och med det nya 6 kapitlet i PDL.
Om kontroll av den elektroniska åtkomst som sker för urval och tillgängliggörande
I 4 kap. 3 § PDL finns krav på att en vårdgivare ska dokumentera och kontrollera den åtkomst som sker till de uppgifter om patienter som förs helt eller delvis automatiserat. De frågor som uppstår är om det vid urval och tillgängliggörande till en precisionsmedicinsk databas behövs en särskild regel om kontroll av den åtkomst som föranletts med anledning av det eller om den befintliga bestämmelsen kan anses tillämpbar och om den utgör ett tillräckligt krav för att uppnå det önskade syftet.
Vid införandet av 4 kap. 3 § PDL anfördes att det med bestämmelsen ville tydliggöra vårdgivarens ansvar att kontrollera och följa upp den behörighetstilldelning och på så vis lättare kunna beivra eventuell obehörig åtkomst som skett (prop. 2007/08:126 s. 149 f.).
I det skede när det rör sig om urval och tillgängliggörande till en precisionsmedicinsk databas anser utredningen att den behandlingen till stor del kan jämställas med den hantering som sker i dag för att tillgodose olika uppgiftslämnande, även i de fall då tillgängliggörandet innebär ett utlämnande i TF:s mening.
Eftersom 4 kap. 3 § PDL gäller alla personuppgifter som hos en vårdgivare behandlas på automatiserad väg, ska det även gälla för
kontroll av elektronisk åtkomst samt direktåtkomst för en precisionsmedicinsk databas (jämför prop. 2007/08:126 s. 149 och s. 183, prop. 2021/22:77 s. 145).
14.7. Inrättande och förande av precisionsmedicinsk databas
Förslag: Endast en regional myndighet inom hälso- och sjukvården
får inrätta och föra precisionsmedicinsk databas.
En precisionsmedicinsk databas får inrättas och föras i var och en av de samverkansregioner som anges i 3 kap. 1 § hälso- och sjukvårdsförordningen (2017:80). En precisionsmedicinsk databas som inrättas och förs inom ramen för samverkansregionalt samarbete kallas för samverkansregional precisionsmedicinsk databas.
Därutöver får en precisionsmedicinsk databas inrättas och föras inom den NGP.
Steg 2 i utredningens modell för behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser består av inrättande och förande av precisionsmedicinsk databas. I avsnitt 13.6 finns utredningens överväganden kring hur precisionsmedicinska databaser ska få inrättas. Utredningens förslag innebär att det endast får finnas ett visst antal precisionsmediciniska databaser. Databaserna ska inrättas på regional nivå och det är endast en regional myndighet inom hälso- och sjukvården som får inrätta och föra precisionsmedicinsk databas. Det ska vara frivilligt att inrätta och föra en precisionsmedicinsk databas. I detta avsnitt finns utredningens närmare överväganden kring inrättande och förande av precisionsmedicinsk databas.
14.7.1. Behovet av en generell bestämmelse om inrättande och förande av precisionsmedicinsk databas
Utredningen har i avsnitt 11.3 beskrivit precisionsmedicin. Kortfattat avser precisionsmedicin diagnostiska metoder och individanpassad utredning, prevention och behandling av sjukdom, applicerade på individnivå eller på delar av befolkningen. En av grundstenarna för precisionsmedicin är att kunna dela data från många individer för att ge rätt
behandling till rätt patient. Precisionsmedicin bygger på avancerad analys av hälsodata, till exempel genetiska data. I dag hanteras denna typ av data av flera olika fragmenterade system, främst vid regionsjukhusen.
För att maximera nyttan av den genetiska data som genereras inom hälso- och sjukvården behöver det finnas en möjlighet att dela denna data mellan vårdgivare. En sådan behandling av hälsodata går även i linje med det ökade nyttjandet och användningsområdena för denna typ av data. Angelägenheten att använda hälsodata genom delning belyses som en av åtta punkter i regeringens nationella life sciencestrategi från 20196.
För att skapa ny kunskap som kan förändra processer, organisationer och system till det bättre och för att på både kort och lång sikt skapa en bättre och mer jämlik vård finns som ovan beskrivits inom precisionsmedicinen ett stort behov av att öka förmågan och möjligheterna att använda insamlade data och således utnyttja den samlade hälsodataresursen. Detta gäller inte enbart för den patient vars uppgifter har samlats in för vårddokumentation utan även för andra patienter. Vårdpersonal kan för vården av en patient vara i behov av jämförbara hälsodata från en annan patient med liknande symptom etcetera.
Tillgången till sådana patientdata är kritisk för att framför allt patienter med sällsynta diagnoser ska få tillgång till jämlik och god vård över hela landet. Precisionsmedicin är framtidens sjukvård och innebär att med rätt resurser kunna möjliggöra för den specialiserade vården att kunna ge rätt insatser till varje enskild patient i rätt tid.
Utredningen har konstaterat att det ökade behovet att kunna vidareanvända patientuppgifter har uppstått på senare tid. Den moderna hälso- och sjukvården med flera olika parallella aktörer ställer stora krav på nya arbetssätt och samverkan över organisationsgränser. Parallella organisationer i sjukvården med såväl statliga, kommunala, regionala och privata aktörer är faktorer som utgör svårigheter för införandet av precisionsmedicin på en jämlik nivå och som gagnar hälso- och sjukvårdens mål om god hälsa och en vård på lika villkor för hela befolkningen.
Samtidigt innebär hälso- och sjukvårdens organisation numera en tydlig inriktning mot att precisionsmedicin är en naturlig del i moderniseringen av svensk hälso- och sjukvård och kommer på sikt att vara en modell som är en naturlig del av såväl den nära vården som den högspecialiserade hälso- och sjukvården. Av denna anledning krävs
6 Regeringskansliet, En nationell strategi för life science, 2019, N2019/03157, s. 17.
arbetssätt som gör det möjligt att dela information för vidareanvändning, samtidigt som patientens integritet bevaras. Med beaktande av hälso- och sjukvårdens organisation och struktur med den specialiserade vården förlagd till regionerna är det naturligt att det endast är de regionala myndigheterna som ska få inrätta och föra precisionsmedicinska databaser. Regionerna har såväl kopplingen mellan avancerad diagnostik och individanpassad behandling och därmed bättre möjlighet att erbjuda en mer träffsäker behandling med användande av precisionsmedicin.
Sammantaget anser utredningen att en särskild reglering avseende vem som får inrätta och föra en precisionsmedicinsk databas ska införas. Utredningen anser att det finns särskild anledning att endast en regional myndighet inom hälso- och sjukvården får inrätta och föra precisionsmedicinsk databas. Regleringen ska preciseras genom ytterligare bestämmelser i förordning.
14.7.2. Regional myndighet inom hälso- och sjukvården
Utredningen föreslår att endast regionala myndigheter inom hälso-
och sjukvården ska få ansvara för precisionsmedicinska databaser.
Det är endast sådan myndighet som ska få inrätta och föra precisionsmedicinsk databas samt vara personuppgiftsansvarig för central behandling av personuppgifter i sådan databas (se avsnitt 14.5.1). Genom att specifikt reglera att endast en regional myndighet inom hälso- och sjukvården får inrätta och föra en precisionsmedicinsk databas är förslaget även förenligt med utredningens förslag om reglering av personuppgiftsansvaret.
I detta avsnitt berörs närmre vad som menas med regional myndighet inom hälso- och sjukvården och varför endast sådana aktörer ska tillåtas att inrätta och föra precisionsmedicinska databaser.
Endast regional offentlig verksamhet
Utredningen anser att det endast ska vara inom offentlig verksamhet som en precisionsmedicinsk databas ska får inrättas och föras. Att samtliga aktörer i hälso- och sjukvården skulle få möjlighet att inrätta och föra en precisionsmedicinsk databas skulle leda till bland annat integritetssänkande som ekonomiska konsekvenser, se vidare av-
snitt 13.6. En spridning av de precisionsmedicinska databaserna till samtliga vårdgivare skulle inte gå i linje med var precisionsmedicin bedrivs. Begreppet ”nivåstrukturering” används ofta i allmän bemärkelse inom hälso- och sjukvården och avser främst en form av arbetsfördelning inom vården. Termerna koncentration, centralisering, decentralisering och regionalisering är nära förknippade med begreppet nivåstrukturering. Dessa termer beskriver i sjukvårdssammanhang vanligen en förskjutning av ansvar för ett tillstånd eller åtgärd mellan olika vårdnivåer såsom riksnivån med den nationella högspecialiserade sjukvården, regionsjukvården med universitetssjukvården och den lokala nivån med länssjukvården. Nivåstruktureringen kan även ske mellan olika vårdgivare (prop. 2017/18:40 s. 11). Utredningen anser att liksom exempelvis den nationella högspecialiserade vården är nivåstrukturerad till regioner, så bör även regleringen av vilka vårdgivare som får inrätta och föra precisionsmedicinska databaser vara.
Utredningen har jämfört med hur regleringen avseende regionala och nationella kvalitetsregister är utformad. Enligt 7 kap. 7 § första stycket PDL får endast myndigheter inom hälso- och sjukvården vara personuppgiftsansvariga för central behandling av personuppgifter i ett kvalitetsregister. Utredningen konstaterar att samtliga offentliga vårdgivare skulle omfattas om formuleringen ”myndighet inom hälso- och sjukvården” användes, det vill säga även kommunala och statliga myndigheter som bedriver hälso- och sjukvård (jämför definitionen av vårdgivare i 1 kap. 3 § PDL). Utredningen ser förvisso inte att det i praktiken skulle komma att bli aktuellt att en kommunal eller statlig myndighet inrättar eller för en precisionsmedicinsk databas. Samtidigt ser utredningen flera skäl som talar för en begränsning till ”regional” myndighet. Det är inom den regionala hälso- och sjukvården de största behoven av behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser finns. Utredningen anser att det i lagtexten tydligt bör framgå att det endast är regionala myndigheter som får inrätta och föra precisionsmedicinsk databas.
Med regional myndighet avses en myndighet i en region. Myndigheter i en region kan vara nämnder eller styrelser. En region kan utgöras av en enda myndighet, vilket medför att regionen som juridisk person sammanfaller med myndigheten. Detta ser dock olika ut i olika regioner, se vidare nedan. En regional myndighet inom hälso- och sjukvården är även vårdgivare eller en del av en vårdgivare enligt 1 kap. 3 § PDL.
Begreppet regional myndighet används även i den nya lagen om viss vidareanvändning av personuppgifter för klinisk forskning som utredningen föreslår, se avsnitt 16.3.3. I grunden har begreppen samma innebörd. En skillnad är att i den nya lagen jämställs kommunala företag enligt 2 kap. 3 § OSL med myndighet. Kommunala företag omfattas inte av begreppet regional myndighet inom hälso- och sjukvården enligt utredningens förslag till regler i 6 kap. PDL.
Utredningen föreslår även att det i förordning beslutas om att precisionsmedicinska databaser ska få inrättas och föras inom regional verksamhet, se vidare i avsnitt 14.7.3. Utredningen anser även att det blir tydligare om den regionala avgränsningen också framgår av lagen. Samma formulering, ”regional myndighet”, används då också i 6 kap. PDL som i utredningens förslag till ny lag om viss vidareanvändning av personuppgifter för klinisk forskning, se kapitel 16. I den nya lagen används av enhetlighetsskäl utifrån benämningen av aktörer i den lagen formuleringen regional myndighet ”som bedriver” hälso- och sjukvård. Utredningen anser att det har samma innebörd som ”inom” hälso- och sjukvården.
Endast inom hälso- och sjukvården
Utredningens förslag innebär att en ny reglering införs som innebär att endast en regional myndighet inom hälso- och sjukvården får inrätta och föra precisionsmedicinsk databas. Att verksamheten är ”inom hälso- och sjukvården” är ett begrepp som sedan tidigare återfinns bland annat i portalparagrafen i PDL, 1 kap. 1 § PDL. Lagens tillämplighet gäller för personuppgiftsbehandling inom hälso- och sjukvården. Av författningskommentaren till 1 kap. 1 § PDL (prop. 2007/08:126 s. 222) framkommer att begreppet till en början innebär att personuppgiftsbehandlingen är tillämplig i en vårdgivares så kallade kärnverksamhet det vill säga då vårdgivaren tillhandahåller hälso- och sjukvård respektive tandvård åt patienter. Verksamheterna är inte närmare specificerade och inte heller vårdgivarens driftsform, det vill säga PDL är tillämplig i såväl offentligt som enskilt bedriven verksamhet och oavsett verksamhetsform. Någon kommentar om myndighetsindelning inom hälso- och sjukvårdsverksamheten finns inte, utan beroende på den aktuella vårdgivarens eventuella organisation är vårdgivaren en myndighet eller flera.
Regioner har enligt kommunallagen (2017:725) en stor frihet att själva bestämma sin organisation. Regioner kan därmed vara organiserade på olika sätt och är också det. En del regioner är en enda myndighet, medan andra regioner inbegriper flera myndigheter. Det kan även vara så att det är flera myndigheter inom en region som bedriver hälso- och sjukvård. Nuvarande organisationsstrukturer kan också ändras i framtiden.
Hur en region organisatoriskt ska inrätta och föra en precisionsmedicinsk databas ska enligt utredningens mening vara upp till regionen att bestämma, dock med motsvarande begränsning som gäller för nationella och regionala kvalitetsregister i det att det ska vara ”inom hälso- och sjukvården”.
Personuppgiftsbehandling för den rent administrativa verksamheten utan direkt koppling till patientverksamheten – till exempel personaladministration – faller dock utanför lagens tillämpningsområde. Detsamma gäller forskning, såvida det inte är fråga om en vårdgivares så kallade patientnära eller kliniska forskning som innefattar patientjournalföring eller annan dokumentation som hör till vården.
CPUA för kvalitetsregister kan variera. I många fall ligger ansvaret på regionstyrelser, men det kan också vara enskilda sjukhusmyndigheter.7
Utredningen bedömer att det är av vikt att det är en regional myndighet inom just hälso- och sjukvården som får inrätta och föra precisionsmedicinsk databas. Det måste också innefatta myndigheter inom en region som har i uppdrag att fullgöra regionens ansvar som sjukvårdshuvudman eller vårdgivare
Utredningen anser dock inte att en myndighet vars uppdrag inte avser hälso- och sjukvården ska få inrätta och föra en precisionsmedicinsk databas. Myndighet som bedriver annan typ av verksamhet än hälso- och sjukvård eller stöd till annan typ av verksamhet inom regioner, exempelvis en fastighetsförvaltande myndighet som tillhandahåller lokaler till hälso- och sjukvården ska inte anses omfattas av förslaget att få inrätta och föra en precisionsmedicinsk databas. Denna inskränkning torde enligt utredningen vara mer teoretiskt, då det inte kan anses sannolikt att vara aktuellt i praktiken. En sådan vid tolkning av begreppet ”inom hälso- och sjukvården” framstår enligt utredningen
7 Se till exempel uppgift om centralt personuppgiftsansvarig för kvalitetsregister inom cancerområdet, https://cancercentrum.se/samverkan/vara-uppdrag/kunskapsstyrning/kvalitetsregister/ registrerades-rattigheter/kontaktuppgifter-cpua/.
inte som lämplig även om dessa uppdrag kan anses avse regionens ansvar som sjukvårdshuvudman eller vårdgivare. Däremot är det utredningens uppfattning att verksamhet inom en regional myndighet som har som uppdrag att stödja verksamhet inom hälso- och sjukvården, exempelvis genom att inom en regional myndighet tillhandahålla sådan infrastruktur som behövs för att inrätta och föra en precisionsmedicinsk databas, till exempel en it-förvaltning, ska få inrätta och föra en precisionsmedicinsk databas.
Sammanfattningsvis anser utredningen att den bedömning som gjorts ligger i linje med den reglering som tillämpas för kvalitetsregister som förs ”inom hälso- och sjukvården”. Då tolkningarna är förenliga anser utredningen att det är möjligt och mest enhetligt att använda samma formuleringar inom PDL.
14.7.3. Den Nationella Genomikplattformen och precisionsmedicinsk databas i varje samverkansregion
Utredningen har förslagit att det ska få inrättas och föras precisionsmedicinska databaser i regionala myndigheter. Regionerna ansvarar för uppgifter som är gemensamma för stora geografiska områden och som ofta kräver stora ekonomiska resurser. Förutsättningarna att bedriva en god och effektiv hälso- och sjukvård varierar mellan dagens 21 regionala sjukvårdshuvudmän. Möjligheten att bedriva en god och effektiv vård, samt forskning och utveckling av hög kvalitet, förutsätter ofta högre patientvolymer och mer resurser än vad som är fallet för varje enskild sjukvårdshuvudman. Samtidigt finns ett nationellt intresse av att kunna tillvarata och vidareutveckla NGP som redan i dag finns och används för forskning kopplat till precisionsmedicin.
Samverkansregionala precisionsmedicinska databaser
För hälso- och sjukvård som berör flera regioner har regeringen enligt 6 kap. 1 § 1 punkten HSL, möjlighet att föreskriva om att landet ska delas in i så kallade ”samverkansregioner” för den hälso- och sjukvård som berör flera regioner. Bestämmelsen i 7 kap. 8 § HSL anger också att regioner i frågor om hälso- och sjukvård som berör flera regioner, ska regionerna samverka. Av 3 kap. 1 § HSF framgår att landet har delats in i sex samverkansregioner för sådan hälso- och sjuk-
vård som berör flera regioner: Stockholmsregionen, Linköpingsregionen, Lund/Malmöregionen, Göteborgsregionen, Uppsala/Örebroregionen och Umeåregionen.
Befolkningsunderlagen i samverkansregionerna varierar kraftigt, alltifrån cirka 2,5 miljoner invånare i Stockholmsregionen till cirka 900 000 invånare i Umeåregionen. Samverkansregionerna är administrativa enheter och syftar till att möjliggöra samverkan kring regionsjukvård samt kring övergripande frågor som rör styrning med kunskap i de regioner som ingår i samverkansregionen. Samverkansregionerna benämndes tidigare, och gör ibland fortfarande att, för sjukvårdsregioner.
I varje samverkansregion finns en samverkansnämnd, som består av politiker från aktuella sjukvårdshuvudmän. Nämnden är det huvudsakliga forumet för samverkan i regionen och har bland annat till uppgift att samordna den högspecialiserade vården. Samverkansnämnden fattar rådgivande beslut. Besluten fastställs därefter i vart och ett av de ingående regionerna. Samverkansnämnderna var från början en relativt homogen funktion, men ser i dag mer olika ut vad gäller utformning och ansvar. I Umeåregionen och Linköpingsregionen har exempelvis de ingående regionerna valt att utveckla samverkansnämnden och skapa en plattform med ett tydligare beslutsmandat. I Umeåregionen har samverkansnämnden omvandlats till ett regionförbund, som är ett kommunalförbund med de ingående regionerna som medlemmar. I Linköpingsregionen har i stället en regionsjukvårdsnämnd inrättats, med placering i Region Östergötlands linjeorganisation. Särskilda avtal reglerar ansvar och uppgifter för samverkans- och regionsjukvårdsnämnder samt för regionförbund.
Den verksamhet som huvudsakligen bedrivs inom samverkansregionerna är så kallad regionsjukvård (även kallad utomlänsvård), utveckling och utbildning, regionala medicinska råd eller motsvarande, samt solidariskt finansierade verksamheter, som regionala cancercentrum. I avtalen inom samverkansregionerna anges även att universitetssjukhusen ska ses som en gemensam regional angelägenhet och att en grundläggande uppgift för samverkansregionen är att komma överens om prislistan för regionsjukvården (prop. 2017/18:40 s. 8).
Det finns tre nivåer i den svenska sjukhusvården – länsdelssjukhus, länssjukhus och regionsjukhus eller så kallade universitetssjukhus. I Sverige finns ett tjugotal länssjukhus och ett fyrtiotal länsdelssjukhus. Länssjukhusen har de flesta typer av specialistmottagningar och
avancerad medicinsk utrustning som täcker de flesta sjukhusområden. Länsdelssjukhusen är enklare och har ett urval av mottagningar.
Begreppet universitetssjukhus är inte närmare definierat. Universitetssjukhus kännetecknas av att ett sjukhus som förutom sjukvård också bedriver medicinsk forskning och utbildning av olika yrkesgrupper inom sjukvård, exempelvis läkare och sjuksköterskor. I Sverige finns, sedan universitetssjukhusen i Malmö och Lund bildat en gemensam enhet år 2010, sju universitetssjukhus. Varje universitetssjukhus innehar även rollen som regionsjukhus i en av de sex sjukvårdsregionerna.
Med regionsjukhus avses ett sjukhus med resurser för länsdels-, läns-, region- och i vissa fall rikssjukvård. Sällsynta och komplicerade sjukdomar och skador behandlas vid regionsjukhusen, liksom sjukdomar och skador som kräver mer omfattande eller avancerad behandling, ofta efter remiss från länssjukvården. En stor andel av remitteringarna är av akut karaktär. Vid regionsjukhusen sker även diagnostik i en betydande omfattning dels efter att patienten remitterats dit, dels genom analys av insända prover. Det finns sju sjukhus i Sverige som kategoriseras som regionsjukhus. I varje sjukvårdsregion finns således minst ett regionsjukhus. Som ovan nämnt räknar sig samtliga som universitetssjukhus. Regionsjukhusen enskilt svarar för en betydande andel av hela rikets sjukhusvård (cirka 28 procent) mätt i vårdtillfällen i slutenvård. I vissa regioner kan det finnas vårdenheter utanför regionsjukhusen som bedriver högspecialiserad riks- och regionsjukvård, exempelvis viss thoraxkirurgi. Sådana regionkliniker har liksom regionsjukhusen hela sjukvårdsregionen som sitt upptagningsområde och bedriver liksom regionsjukhusen forskning och utvecklingsarbete.
Sjukhusbenämningarna tar inte enbart sikte på den hälso- och sjukvård som bedrivs, utan lika mycket på indelningen av sjukhusens upptagningsområden. Det finns inga exakta och gemensamma uppdragsbeskrivningar för de olika nivåerna. I stället avgör, i linje med det kommunala självstyret, respektive region själva hur de ska styra och organisera vården. Den högspecialiserade vården utgör en begränsad del av det totala vårdutbudet och utförs i huvudsak på regionsjukhusen (universitetssjukhusen).
Precisionsmedicin bygger på avancerad analys av hälsodata, till exempel genetiska data. I dag hanteras denna typ av data av flera olika fragmenterade system, främst vid universitetssjukhusen. Med beakt-
ande av ovanstående resonemang kring den nivåstrukturering som finns i hälso- och sjukvården, den kommunala kompetensen som medför att landets regioner har indelat sig i varierande antal myndigheter samt det faktum att det sedan länge redan finns en indelning i strukturella grupperingar för samverkan i form av samverkansregioner, ser utredningen det som motiverat att hänföra inrättandet och förandet av de precisionsmedicinska databaserna till samverkansregionerna. Sammanlagt skulle landet därmed kunna få sammanlagt sju precisionsmedicinska databaser varav en ska föras inom NGP och resterande sex i respektive samverkansregion i landet. En sådan ytterligare differentiering och renodling av de precisionsmedicinska databaserna i landet skulle även ha en ytterligare integritetshöjande effekt.
Utredningen föreslår att endast en regional myndighet inom hälso- och sjukvården får inrätta och föra en precisionsmedicinsk databas samt att regeringen med stöd av 8 kap. 7 § regeringsformen får meddela föreskrifter om vilka precisionsmedicinska databaser som får föras enligt den föreslagna lagen. Som ytterligare precisering föreslår utredningen att regeringen i förordning meddelar att endast en regional myndighet inom hälso- och sjukvården i var och en av de sex samverkansregionerna enligt 3 kap. 1 § HSF får inrätta och föra en precisionsmedicinsk databas. Angående personuppgiftsbehandlingen i sådan databas, se avsnitt 14.5.2.
Utredningen anser sammanfattningsvis att en ytterligare avgränsning avseende de precisionsmedicinska databaserna behövs och är motiverad. Utredningen föreslår att av de regionala myndigheter som får inrätta och föra de precisionsmedicinska databaserna ska avgränsas ytterligare genom att koppla de regionala precisionsmedicinska databaserna till samverkanregionerna för att på så sätt kunna tillgodose kapacitet, integritetsskydd och ansvar för databaserna.
Precisionsmedicinsk databas inom den Nationella Genomikplattformen
GMS är en nationell satsning inom precisionsmedicin som består av de sju regionerna med universitetssjukvård (Region Skåne, Västra Götalandsregionen, Region Östergötland, Region Örebro, Region Stockholm, Region Uppsala och Region Västerbotten) och de sju universiteten med medicinska fakulteter (Lunds universitet, Göteborgs universitet, Linköpings universitet, Örebro universitet, Karolinska
institutet, Uppsala universitet och Umeå universitet). De regioner som ingår i GMS deltar på vissa håll med olika myndigheter. Det kan i praktiken innebära att både enskilda sjukhusförvaltningar och andra myndigheter, såsom en it-förvaltning, är involverade och bidrar i arbetet med GMS. Samtliga förvaltningar som arbetar med GMS inom sin respektive region får anses vara regionala myndigheter som ingår i GMS. GMS har byggt upp en nationell it-infrastruktur, NGP, för att underlätta datadelning mellan GMS parter. Syftet med etableringen av plattformen har varit att på ett smidigt sätt möjliggöra datadelning som krävs för vård, forskning och utveckling av precisionsmedicin. Eftersom det i dag inte är möjligt att dela data för ändamålet vården av en annan patient än den personuppgifterna avser mellan vårdgivarna som ingår i GMS så har plattformen endast börjat användas för ändamålet forskning. Samarbetet inom GMS är grundat på olika typer av avtal som samtliga i GMS ingående parter undertecknat.
NGP har tre huvudsakliga funktioner:
1. lagra genomik- och hälsodata enligt överenskomna standarder,
2. söka och dela data på nationell nivå,
3. analysera data för att identifiera kliniskt relevanta genetiska för-
ändringar.8
Infrastrukturen möjliggör också framtida delning av genomikdata med nationella kvalitetsregister, journalsystem och industrin samt med internationella aktörer. Detta är något som kan aktualiseras först när rättsliga möjligheter finns på plats.
Nedan följer en översikt av den NGP:s möjligheter i dag (helifyllda pilar) och funktioner som är tänkta att utvecklas framöver (streckade pilar).
8 https://genomicmedicine.se/2023/05/03/varfor-behovs-en-nationell-genomikplattform/ (Hämtat 2023-08-17).
Figur 14.1 Översikt av Nationella Genomikplattformens möjligheter i dag och framöver
Källa: https://genomicmedicine.se/wp-content/uploads/2023/04/Nationella-Genomikplattformendigital-broschyr.pdf (hämtat 2023-08-17).
NGP driftas i dag från Västra Götalandsregionen.
GMS stödjer införandet av precisionsmedicin inom vården och på så sätt stärks även svensk forskning och innovation för att utveckla morgondagens diagnostik och behandlingar inom hälso- och sjukvården. Ytterst handlar NGP om att förbättra hälsan i befolkningen och att stärka patientens ställning och möjlighet att bidra till sin vård och behandling.
Potentialen med NGP begränsas eftersom det i dagsläget inte finns rättsligt stöd för personuppgiftsbehandling för vården av en annan patient än den personuppgifterna avser, något som GMS flera gånger har påtalat behovet av. Datadelning mellan regioner är en förutsättning för implementeringen av precisionsmedicin i hälso- och sjukvården. För att kunna göra korrekta bedömningar behövs det, enligt GMS, dels tillgång till genomikdata från andra patienter och då oftast också från andra regioner, dels mer kunskap om respektive patient såsom uppgifter om kön, ålder, bakgrunden till att undersökningen utfördes, klinisk bedömning, andra bakomliggande hälsotillstånd hos patienten, klinik som utfört undersökning och tolkning
av fynd. Tillgången till sådana uppgifter är enligt GMS kritisk för att framför allt patienter med sällsynta diagnoser ska få tillgång till jämlik och god vård över hela landet.
Utredningen gör bedömningen att GMS får anses ha ett rättmätigt behov av att även få vidareanvända uppgifterna i NGP för vården av annan patient än den som uppgifterna avser. För att fullt ut kunna implementera precisionsmedicin krävs datadelning som innefattar alla landets regionsjukhus och har mer av en ”nationell” karaktär. Vid till exempel sällsynta diagnoser eller undergrupper av olika cancerformer som innebär små patientgrupper, räcker det inte med delning inom en samverkansregion. De relevanta data som finns om patienter med sällsynta sjukdomar eller som tillhör små patientgrupper finns oftast samlade hos landets regionsjukhus, eftersom det är där som dessa patientgrupper vårdas.
En precisionsmedicinsk databas syftar till att skapa underlag för att förebygga, utreda eller behandla sjukdomar och skador hos en annan patient än den som uppgifterna avser.
NGP finns, rent juridiskt, i dag hos regionstyrelsen inom Västra Götalandsregionen. Ett alternativ skulle därför vara att i förordningen peka ut regionstyrelsen i Västra Götalandsregionen som den regionala myndighet som får föra den precisionsmedicinska databasen inom NGP. Därmed kan det anses naturligt att låta Västra Götalandsregionen få det utpekade ansvaret för den nationella regionala precisionsmedicinska databasen. Regionstyrelsen skulle då vara centralt personuppgiftsansvarig för NGP.
Utredningen anser dock inte att det är en lämplig lösning. Även om det inte är sannolikt att NGP skulle flyttas skulle ett utpekande i förordningen låsa fast förandet av databasen i en lösning som inte är flexibel och som kan visa sig inte vara ändamålsenlig över tiden (för liknande resonemang, se angående nationella och regionala kvalitetsregister i prop. 2007/08:126, s. 183). Det bör således lämnas till de myndigheter som samarbetar inom ramen för GMS att bestämma hos vilken regional myndighet inom hälso- och sjukvården som den precisionsmedicinska databasen ska föras.
Utredningen uttrycker det som att den precisionsmedicinska databasen får föras ”inom” Nationell Genomikplattform. Utredningen syftar då på NGP som en generell it-infrastruktur som innefattar olika tekniska lösningar, där precisionsmedicinsk databas kan utgöra en av funktionerna.
Sammantaget föreslår utredningen att det i förslag till förordning om precisionsmedicinsk databas införs en reglering om att det även får inrättas och föras en precisionsmedicinsk databas inom NGP.
14.7.4. Tillåten behandling av personuppgifter i precisionsmedicinsk databas
Förslag: Regional myndighet inom hälso- och sjukvården som
för precisionsmedicinsk databas får endast behandla de personuppgifter som behövs för syftet med databasen.
Tillåten behandling av personuppgifter i precisionsmedicinsk databas bör regleras. Den regionala myndighet som för databas behöver ha tillåtelse att behandla personuppgifter i syfte att föra databasen och i egenskap av ansvarig för central behandling av personuppgifter i databasen.
Utredningen har övervägt om en uppräkning av tillåtna personuppgifter ska göras i lagen eller om det ska vara en mer allmänt formulerad bestämmelse. För ändamålet som helhet samt avseende tillgängliggörande till precisionsmedicinsk databas föreslår utredningen en bestämmelse med ett behovskriterium, se avsnitt 14.4.2 och 14.6.3.
Vid en jämförelse med regleringen av nationella och regionala kvalitetsregister kan följande konstateras. Av 7 kap. 8 § första stycket PDL följer att endast sådana personuppgifter som behövs för ändamål som anges i 4 § får behandlas i ett nationellt eller regionalt kvalitetsregister. En enskilds personnummer eller namn får enligt bestämmelsens andra stycket behandlas i ett nationellt eller regionalt kvalitetsregister endast om det inte är tillräckligt för ändamål som anges i 4 § att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde.
I 7 kap. 8 1 tredje stycket regleras att uppgifter om hälsa får behandlas i nationella och regionala kvalitetsregister. Vidare följer av bestämmelsen att andra känsliga personuppgifter får behandlas i nationella och regionala kvalitetsregister endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det.
Utredningen anser att regleringen även i denna del ska formuleras utifrån ett behovskriterium. Det låter sig svårligen preciseras vilka uppgifter som behöver behandlas för förandet av den precisionsmedi-
cinska databasen. Däremot är det enligt utredningens mening för brett att koppla behovet i denna del till hela ändamålet. Det är endast de personuppgifter som behöver behandlas för syftet med databasen som ska omfattas av bestämmelsen.
Även om en uppräkning eller annan precisering av vilka uppgifter som behöver behandlas för syftet med databasen inte låter sig göras, ser utredningen ett värde i att beskriva vad det kan vara fråga om. Först och främst avser det behandling av de personuppgifter som tillgängliggörs till databasen. Dessa ska lagras och kan även behöva behandlas på annat sätt. Exempelvis ska uppgifter utplånas i händelse av att en patient, efter att ett tillgängliggörande har skett, motsätter sig detta, se avsnitt 14.10.5.
Tillgängliggörande sker av pseudonymiserade uppgifter. Behandling av exempelvis namn och personnummer behövs enligt utredningens mening inte för syftet med databasen. Däremot kommer uppgift om vårdgivare och löpnummer eller motsvarande för patienterna att finns i databasen. Den regionala myndighet som för databasen utgör vidare en länk mellan de vårdgivare som tillgängliggör uppgifter och den myndighet som önskar begära kompletterande uppgifter från patientjournal, se avsnitt 14.9.
14.7.5. Behörighet, befogenhet och kontroll hos myndigheten som för precisionsmedicinsk databas
Förslag: Den som arbetar hos en regional myndighet inom hälso-
och sjukvården som för en precisionsmedicinsk databas får ta del av personuppgifter i databasen endast om han heller hon behöver uppgifterna för sitt arbete med databasen.
En bestämmelse som upplyser om att reglerna i 4 kap. 2 och 3 §§ PDL gäller vid förande av precisionsmedicinsk databas ska införas i 6 kap. PDL.
Bedömning: De allmänna reglerna om behörighet i 4 kap. 2 § PDL
samt föreskrifter som har meddelats med stöd av 4 kap. 2 § tredje stycket PDL gäller. Den allmänna regeln om kontroll av elektronisk åtkomst i 4 kap. 3 § PDL samt föreskrifter som meddelats med stöd av 4 kap. 3 § andra stycket gäller för förandet av en precisionsmedicinsk databas.
Den regionala myndighet som utses till centralt personuppgiftsansvarig och därmed får föra en precisionsmedicinsk databas behöver kunna tilldela medarbetare behörighet för åtkomst till personuppgifter i databasen för att kunna hantera eventuella säkerhetsfrågor, utplåna uppgifter (se avsnitt 14.10.5) och exempelvis hantera utlämnande enligt uppgiftsskyldighet enligt lag eller förordning (se vidare avsnitt 14.4.4).
I 4 kap. 2 § PDL fastställs en vårdgivares skyldighet att bestämma villkoren för behörighet för de som ingår i vårdgivarens organisation. I bestämmelsen anges att behörigheten ska begränsas till vad som behövs för att den enskilde medarbetaren ska kunna utföra sina arbetsuppgifter inom hälso- och sjukvården. Bestämmelsen gäller för all vårdgivares verksamhet (se prop. 2007/08:126 s. 239 och prop. 2021/22:177 s. 142).
PDL gäller för den individinriktade patientvården inom hälso- och sjukvården. Med hälso- och sjukvården avses åtgärder för att förebygga, utreda och behandla sjukdomar och skador hos enskilda oavsett om det sker inom ramen för verksamhet som styrs av HSL eller sådan annan lagstiftning som uppges i 1 kap. 3 § PDL (prop. 2007/08:126 s. 49). Förandet av en precisionsmedicinsk databas för ändamålet vården av en annan patient än den som uppgifterna avser sådan individinriktad patientvård som regleras av HSL och förandet av databasen bör därmed ses som arbetsuppgifter inom hälso- och sjukvården. Av detta följer att 4 kap. 2 § PDL bör kunna tillämpas för tilldelandet av behörigheter inom en central personuppgiftsansvarigs organisation.
Åtkomsten till databasen av medarbetare i vårdsyfte regleras dock i en annan bestämmelse se 6 kap. 17 § PDL i utredningens förslag. Av de skäl som angetts i avsnitt 13.9 har utredningen dock inte ansett att behandla personuppgifter för ändamålet vården av en annan patient än den uppgifterna avser ryms inom ordalydelsen eller systematiken av 4 kap. 1 § PDL. Härvid har utredningen gjort bedömningen att led ett av bestämmelsen, ”får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten”, tyder på att det är samma patient som avses.
Vidare anser utredningen att uttrycket ”annat skäl” i bestämmelsen ska läsas mot ändamålsbestämmelsen i 2 kap. 4 § PDL och då rimligen avser arbetsuppgifter som innefattar behandling av personuppgifter enligt första stycket punkterna 3–7. Det bör även omfatta behandling av personuppgifter som följer av 2 kap. 5 § PDL. Dessa bestämmelser avser inte behandling av personuppgifter för ”vård”.
Då 4 kap. 1 § PDL inte kan anses tillämplig bedömer utredningen att det behövs en särskild befogenhetsregel som också tydliggör att de medarbetare som arbetar hos en centralt personuppgiftsansvarig ska inte samtliga ha tillgång till uppgifterna i databasen. Endast de som utifrån sina arbetsuppgifter med förandet av databasen ska ha åtkomst till databasen för det, och de medarbetare som har behov av tillgång till personuppgifterna i den precisionsmedicinska databasen i syfte att kunna vårda patienter, kommer göra det med stöd av en annan bestämmelse.
Om kontroll av den elektroniska åtkomst som sker inom ramen för förandet av en precisionsmedicinsk databas
I 4 kap. 3 § PDL finns krav på att en vårdgivare ska dokumentera och kontrollera den åtkomst som sker till de uppgifter om patienter som förs helt eller delvis automatiserat. De frågor som uppstår är om det vid urval och tillgängliggörande till en precisionsmedicinsk databas behövs en särskild regel om kontroll av den åtkomst som föranletts med anledning av det eller om den befintliga bestämmelsen kan anses tillämpbar och om den utgör ett tillräckligt krav för att uppnå det önskade syftet.
Vid införandet av 4 kap. 3 § PDL anfördes att det med bestämmelsen avsågs tydliggöra vårdgivarens ansvar att kontrollera och följa upp behörighetstilldelning och på så vis lättare kunna beivra eventuell obehörig åtkomst som skett (prop. 2007/08:126 s. 149 f.).
I det skede när det rör sig om urval och tillgängliggörande till en precisionsmedicinsk databas anser utredningen att den behandlingen till stor del kan jämställas med den hantering som sker i dag för att tillgodose olika uppgiftslämnande, även i de fall då tillgängliggörandet innebär ett utlämnande i TF:s mening.
Eftersom 4 kap. 3 § PDL gäller alla personuppgifter som hos en vårdgivare behandlas på automatiserad väg, ska det även gälla för kontroll av elektronisk åtkomst samt direktåtkomst för en precisionsmedicinsk databas (jämför prop. 2007/08:126 s. 149 och s. 183, prop. 2021/22:77 s. 145).
14.7.6. Uppgifter i en precisionsmedicinsk databas kan vara allmänna handlingar
En fråga som uppkommer är om personuppgifter i en precisionsmedicinsk databas kan utgöra allmänna handlingar hos, dels en regional myndighet inom hälso- och sjukvården som för en precisionsmedicinsk databas, dels en myndighet som genom direktåtkomst har tillgång till uppgifter i databasen, se vidare om direktåtkomst i avsnitt 14.8.2. Utredning gör följande överväganden i denna fråga.
En handling är allmän, om den förvaras hos en myndighet och enligt 2 kap.9 eller 10 §§tryckfrihetsförordningen (1949:105), förkortad TF, är att anse som inkommen eller upprättad hos en myndighet (2 kap. 4 § TF). Med handling avses en framställning i skrift eller bild samt en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt (2 kap. 3 § TF). Personuppgifter som tillgängliggörs till en precisionsmedicinsk databas kommer enligt utredningens bedömning utgöras av upptagningar enligt 2 kap. 3 § TF.
Vårdgivare får tillgängliggöra personuppgifter till en precisionsmedicinsk databas, se avsnitt 14.6. Tillgängliggörandet av personuppgifter kommer enligt utredningens bedömning typiskt sett medföra att en eller flera upptagningar anses inkomna hos den myndighet som för den precisionsmedicinska databasen. Tillgång till personuppgifter genom direktåtkomst eller annat elektroniskt utlämnande medför också enligt utredningens mening att en eller flera upptagningar anses inkomna hos den myndighet som har tillgången.
En upptagning anses förvarad hos en myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt (2 kap. 6 § TF). Utredningen gör bedömningen att förande av precisionsmedicinsk databas, samt de centrala personuppgiftsansvar är förknippat med det, kommer att kunna innebära inrättande av sådana tekniska lösningar som medför att upptagningar i databasen är tillgängliga för den myndighet som för databasen på sådant sätt att upptagningen anses förvarad i den mening som avses i bestämmelsen. Utredningen gör även bedömning att direktåtkomst till en precisionsmedicinsk databas innebär att upptagningar i databasen också kan anses vara förvarade hos de myndigheter som har direktåtkomst till databasen (jämför prop. 2021/22:177 s. 97).
Utredningen finner i sammanhanget anledning att beröra frågan om personuppgifter i en precisionsmedicinsk databas kan utgöra så kallade potentiella handlingar och om den så kallade begränsningsregeln i 2 kap 7 § TF kan vara tillämplig.
Potentiella handlingar och begränsningsregeln
I 2 kap 3 § TF anges att med handling avses en framställning i skrift eller bild samt en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt. Ur förvaringshänseende görs en åtskillnad mellan elektroniska handlingar och handlingar som utgör sammanställningar av uppgifter ur en upptagning för automatiserad behandling, så kallade potentiella handlingar. Någon legaldefinition av begreppen finns inte.
Med färdig elektronisk handling avses enligt förarbetena sådana elektroniska handlingar där utställaren – myndigheten eller den som lämnat in handlingen till myndigheten – har gett den ett bestämt, fixerat innehåll som går att återskapa gång på gång. Som typiska exempel på färdiga elektroniska handlingar nämns e-brev, promemorior, protokoll och beslut i elektronisk form (prop. 2001/02:70 s. 20).
En ytterligare inskränkning i fråga om förvaringskriteriet föreskrivs i 2 kap. 7 § TF och innebär att en sammanställning av uppgifter ur en upptagning för automatiserad behandling inte anses förvarad hos myndigheten om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Endast begränsningar i lag eller förordning, till exempel förbud i så kallade registerförfattningar för en myndighet att använda vissa sökbegrepp eller att ta fram sammanställningar genom samkörning mellan olika register, är relevanta. Färdiga elektroniska handlingar omfattas inte av bestämmelsen 2 kap. 7 § TF. Sådana handlingar är alltid att anse som förvarade hos en myndighet även om de innehåller personuppgifter och även om det i lag eller förordning finns förbud för myndigheten att använda vissa sökbegrepp vid sökning efter handlingarna (prop. 2001/02:70, s. 38).
I en precisionsmedicinsk databas kan enligt utredningens bedömning finnas både färdiga elektroniska handlingar och så kallade potentiella handlingar. Exempel på en färdig elektronisk handling kan vara uppgifter om en viss patient som kopplats till ett löpnummer. Ett
exempel på potentiell handling kan enligt utredningens mening vara utfallet av en specifik sökning i en precisionsmedicinsk databas. Om uppgifter i en precisionsmedicinsk databas är färdiga elektroniska handlingar kan enligt utredningens mening inte sägas generellt, utan beror på hur databasen är utformad och hur uppgifterna i den systematiseras. Om uppgifterna inte kan anses vara färdiga elektroniska handlingar, bör de enligt utredningen mening typiskt sett vara potentiella handling som de myndigheter som har tillgång till databasen skulle kunna sammanställa med i vart fall rutinbetonade åtgärder (jämför 2 kap. 6 § andra stycket TF). Mot bakgrund av kravet på pseudonymisering eller likvärdigt skydd för uppgifter i en precisionsmedicinsk databas, kommer dock uppgifterna inte vara tillgängliga för myndigheterna exempelvis utifrån sökning på personnummer eller namn. Detta innebär att inte går att sammanställa uppgifter i en precisionsmedicinsk databas utifrån den typen av kriterier och att det därmed inte heller är en förvarad handling hos myndigheterna.
Utredningen föreslår villkor för behandling av personuppgifter i en precisionsmedicinsk databas som görs tillgängliga genom direktåtkomst eller annat elektroniskt utlämnande, se avsnitt 14.8.5. utredningens förslag om villkor är inte en sådan begränsning som avses i 2 kap. 7 § PDL (jämför prop. 2021/2022: 177, s. 98). Den allmänna bestämmelsen om sökbegränsningar i 2 kap. 7 § PDL är dock även tillämplig på uppgifter i en precisionsmedicinsk databas, se avsnitt 14.8.6.
14.8. Tillgång till personuppgifter i precisionsmedicinsk databas
Förslag: Endast en regional myndighet inom hälso- och sjukvården
får ges tillgång till en precisionsmedicinsk databas.
Tillgång till personuppgifter i en precisionsmedicinsk databas får ges genom direktåtkomst eller annat elektroniskt utlämnande.
Till samverkansregionala precisionsmedicinska databaser, får endast regionala myndigheter inom den samverkansregion där en samverkansregional precisionsmedicinsk databas förs ges tillgång. Till precisionsmedicinsk databas inom NGP får endast regionala myndigheter som ingår i GMS ges tillgång.
Tillgången till personuppgifter i en precisionsmedicinsk databas ska utgå från var de största behoven av sådan tillgång finns. För att integritetsintrånget ska vara proportionerlig krävs att avgränsningar görs både avseende vilka aktörer som kan ges tillgång och vilka personer som inom aktörerna kan få behörighet att behandla personuppgifter i databasen. Frågor uppkommer också kring hur tillgången ska ges samt villkoren för behandling av personuppgifter i ett specifikt fall. I detta avsnitt finns utredningens överväganden och förslag i dessa frågor.
14.8.1. Behoven av tillgång till personuppgifter i databasen
I avsnitt 11.2.1, finns en beskrivning av precisionsmedicin. Precisionsmedicin syftar till att ge vård och behandling utifrån den enskilde patientens unika förutsättningar. Förenklat kan sägas att precisionsmedicin går ut på att ta reda på så mycket som möjligt om en specifik patient för att kunna ställa en så exakt diagnos som möjligt. Först då kan bästa möjliga behandlingen sättas in. Medfödda sällsynta sjukdomar, cancer och infektionssjukdomar är i dag de vanligaste områdena där den regionala specialiserade sjukvården använder sig av precisionsmedicin och skräddarsydda behandlingar efter patientens individuella förutsättningar. Till exempel kan genetisk profil eller specifika biomarkörer användas som hjälp för att förstå hur de individuella förutsättningarna ser ut. I dag är det till exempel tekniskt möjligt att undersöka hela arvsmassan vilket ger enorma mängder information att basera medicinska beslut på. När sådan information finns tillgänglig om andra patienter, som har samma eller liknande individuella förutsättningar, kan den informationen utgöra ett mycket värdefullt underlag för hälso- och sjukvårdens bedömningar. För att till exempel kunna jämföra olika intressanta fynd vid en genanalys utgör personuppgifter från andra patienter en viktig källa. Behandling av personuppgifter för ändamålet vården av annan patient än den personuppgifterna avser, är därför nödvändig inom precisionsmedicinen, för att kunna ta tillvara den kunskap som finns och individanpassa vården. De områden som detta förekommer inom är som tidigare nämnts bland annat vid utredning av sällsynta diagnoser och vid cancerdiagnostik.
En gen- eller genomsekvensering är en avancerad och i dag förhållandevis kostsam åtgärd som främst förekommer inom den regio-
nalt bedrivna specialiserade sjukvården. Detta kan ändras över tid allt eftersom precisionsmedicinen blir billigare och mer rutinartad. Utredningens bedömning är dock att vården av denna typ inte i närtid kommer bedrivas i exempelvis primärvården där allmänläkare på ett enkelt sätt kan fatta beslut baserat på genetiska data. När och om tekniken och vården blir mogen för det, kommer sannolikt regelverket ses över när dataförsörjningsbehoven sannolikt se annorlunda ut. Det är också rimligt att anta att tekniken och infrastrukturen för datadelning då också utvecklats och skapat nya förutsättningar. Behovet av att få tillgång till den precisionsmedicinska databasen är mot denna bakgrund enligt utredningens bedömning starkast inom den regionalt bedrivna specialiserade sjukvården. Det är exempelvis där som patienter med sällsynta diagnoser och olika cancerformer vårdas, där professionen i dag ser ett konkret värde i att jämföra data mellan patienter. Vad avser sällsynta diagnoser kopplat till gensekvensering, behöver vården till exempel kunna dela sekvensering av alla tekniskt korrekta varianter och alla tolkade varianter för att få en korrekt diagnostik. På cancerområdet kan nämnas behovet av att dela form och färg av genomet som är ovanliga. Detta är tillämpningar som utredningen uppfattar är aktuell inom den regionala specialiserade vården.
Utifrån att det främst är inom den regionala specialiserade vården som behovet av sökning finns, har utredningen övervägt om tillgång endast ska få ges till regional myndighet inom den specialiserade hälso- och sjukvården. Utredningen anser dock inte att det är en lämplig lösning. Det skulle addera ytterligare ett sätt att uttrycka aktörerna på (utöver vårdgivare och regional myndighet inom hälso- och sjukvården). Om en begränsning görs skulle det också innebära att en tolkning behöver göras av vilka regionala myndigheter som omfattas. Utredningen anser att det blir onödigt komplicerat. Det väsentliga är enligt utrednings uppfattning att det är personal vid en regional myndighet inom hälso- och sjukvården som får ges tillgång. I detta sammanhang ska också ses utredningen förslag om särskild regel för tilldelning av behörighet till precisionsmedicinsk databas. Det ska endast vara den som arbetar inom den regionala specialiserade vården som ska kunna ges behörighet till precisionsmedicinsk databas. Detta krav tar sikte på att göra tillgången mer träffsäker i förhållande till de behov som är starkast. Utredningen anser att detta är ett mer ändamålsenligt
sätt att göra begränsningen än att ytterligare snäva in aktören som får ges tillgång.
Utanför den krets av aktörer som utredningens förslag avser finns myndigheter som bedriver primärvård, hälso- och sjukvård i kommunal regi och privata vårdgivare. Vad avser privata vårdgivares tillgång till personuppgifter i precisionsmedicinsk databas anser utredningen att det lämpligen utreds särskilt och tillsammans med andra frågor som rör privata vårdgivares vidareanvändning av hälsodata, se avsnitt 2.6.2. Även om uppgifter om andra patienter kan ha ett visst värde i vård som bedrivs även av andra aktörer än inom den regionalt bedrivna specialiserade sjukvården, gör utredningen bedömningen att det behovet inte väger så tungt att integritetsintrånget kan motiveras. I sammanhanget ska noteras att det utredningen lämnar förslag på är direktåtkomst till detaljerade personuppgifter om andra patienter. Det finns andra former av beslutsstöd som baserar sig på exempelvis aggregerade hälsodata från patienter som kan vara mer lämpliga att använda i annan hälso- och sjukvård.
14.8.2. Tillgång till personuppgifter genom direktåtkomst eller annat elektroniskt utlämnande
Utredningen har i avsnitt 14.6.2 beskrivit vad direktåtkomst och annat elektronisk utlämnande innebär.
Behovet av direktåtkomst eller annat elektroniskt utlämnande
Tillgång till personuppgifter i en samverkansregional precisionsmedicinsk databas kan innebära att ett utlämnande av personuppgifter behöver ske från den regionala myndighet som för den precisionsmedicinska databasen till de andra regionala myndigheterna inom samverkansregionen som ska ha tillgång till databasen. Det är först fråga om utlämnande mellan myndigheter inom olika vårdgivare. Beroende på hur den region som för databasen är organiserad kan det även vara fråga om utlämnande mellan myndigheter inom den regionen.
Tillgång till personuppgifter i den precisionsmedicinska databasen inom NGP kommer också behöva ske genom utlämnande till de regionala myndigheter som ingår i GMS.
Syftet med en precisionsmedicinsk databas är att utgöra underlag för behandling av personuppgifter vid vården av en annan patient än
den som uppgifterna avser. Praktiskt kommer databasen användas för att söka i efter relevant hälsodata, se avsnitt 13.2. I vissa situationer, till exempel inom cancerdiagnostik, kan det räcka med de uppgifter som finns i databasen för att åstadkomma den individanpassning av vården som är målet med användandet av databasen. Ibland kan sökningen i databasen vara en första ingång till en bredare utredning, till exempel vid sjukdomar med stark ärftlighet.
För att precisionsmedicin ska kunna tillämpas i den kliniska vardagen, krävs en stående tillgång till den datamängd som relevant att göra sökningar i. Den som eftersöker information vet inte om någon relevant information finns eller vad den i så fall består i. Det kan vara en eller flera variabler i databasen som visar sig vara av värde för vården av patienten. Sökning kan behöva vara en iterativ process där ett visst utfall vid en sökning ger grund för nästa sökning. Utifrån detta och syftet med databasen är det inte tillräckligt att endast medge att ett avgränsat elektroniskt utlämnande sker. Tillgång genom direktåtkomst behöver därför vara tillåtet.
Behovet av en regel som tillåter direktåtkomst eller annat elektroniskt utlämnande
Utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning (5 kap. 4 § PDL). Det behövs därmed en uttrycklig regel som tillåter direktåtkomst till precisionsmedicinsk databas, som täcker de situationer när tillgången är ett utlämnande.
Utredningen har utifrån ett vårdgivar-/myndighetsperspektiv identifierat tre typsituationer där tillgång till precisionsmedicinsk databas kan ges:
1. Från en regional myndighet inom en vårdgivare till en regional myndighet inom en annan vårdgivare,
2. Från en regional myndighet till en annan regional myndighet inom samma vårdgivare eller
3. Inom samma regionala myndighet.
Dessa tre situationer redogörs för nedan. I typsituation 3 är det inte fråga om ett utlämnande, utan här gäller endast utredningens före-
slagna regler om behörighet och villkor för sökning i databas, se avsnitt 14.8.3 och 14.8.4.
Mellan myndigheter hos olika vårdgivare
Tillgång till en precisionsmedicinsk databas ska kunna ges från en regional myndighet inom en vårdgivare till en regional myndighet inom en annan vårdgivare. Ett exempel på detta är att Karolinska universitetssjukhuset ska kunna ges tillgång till den precisionsmedicinska databasen inom NGP om den förs hos regionstyrelsen i Västra Götalandsregionen. Regler som tillåter direktåtkomst i en sådan situation finns i dag endast i SVOD.
För att en myndighet inom en annan vårdgivare än den som för databasen ska kunna söka i den behöver direktåtkomst vara tillåtet över vårdgivargränser. Det finns i dag ingen sådan bestämmelse som kan tillämpas vid ändamålet vården av en annan patient än den som uppgifterna avser.
Mellan myndigheter inom en vårdgivare
Tillgång till en precisionsmedicinsk databas ska också kunna ges från en myndighet inom en region till en annan myndighet inom samma region. Regionen är en vårdgivare. I en sådan situation ges alltså tillgången mellan myndigheter inom en vårdgivare.
Enligt 5 kap. 4 § andra stycket PDL gäller att om en region eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma region eller kommun. Utredningen gör bedömningen att regeln ger stöd för direktåtkomst i den situationen där en precisionsmedicinsk databas förs inom en regional myndighet och tillgång ska ges till en annan myndighet inom den regionen. Regeln avser dock endast ”direktåtkomst”. Utredningens föreslagna regler omfattar även ”annat elektroniskt utlämnade”. Utredningen konstaterar att utredningens förslag delvis överlappar med bestämmelsen i 5 kap. 4 § andra stycket PDL. Utredningen anser dock att det är motiverat med en regel om tillgång genom direktåtkomst eller annat elektroniskt utlämnande som gäller generellt för ändamålet vården av en annan patient än den som uppgifterna
avser. Det blir tydligare om en samlad reglering finns i kapitel 6 PDL. Mot denna bakgrund anser utredningen att även utlämnande som ske mellan myndigheter i samma region ska omfattas av regeln om tillgång till precisionsmedicinsk databas.
Förhållandet till 5 kap. 6 § PDL
Utredningen föreslår en fullständig reglering av det utlämnande som får ske, det vill säga både direktåtkomst och annat elektroniskt utlämnande. Utredningen konstaterar att det delvis kan anses överlappa med regleringen i 5 kap. 6 § PDL som redan tillåter utlämnande på medium för automatiserad behandling. Utredningen anser dock att det av tydlighetskäl behövs en samlad bestämmelse som reglerar formerna för utlämnande kopplat till ändamålet vården av en annan patient än den som uppgifterna avser.
14.8.3. Till vilken eller vilka precisionsmedicinska databaser ska tillgång ges?
Tillgång till precisionsmedicinsk databas ska följa reglerna som gäller för inrättande och förande av precisionsmedicinsk databas.
Inrättande och förande av precisionsmedicinsk databas får ske inom var och en av de sex samverkansregionerna enligt 3 kap. 1 § HSF. Tillgång till en precisionsmedicinsk databas i en samverkansregion får följaktligen ges till de regionala myndigheter som omfattas av den samverkansregion där databasen förs. Exempelvis får tillgång till en precisionsmedicinsk databas som förs inom samverkansregion Mellansverige endast ges till de regionala myndigheter inom hälso- och sjukvården som omfattas av den samverkansregionen. Tillgång till den precisionsmedicinska databasen i samverkansregion Mellansverige får inte ges till regionala myndigheter inom exempelvis samverkansregion Syd.
Vad avser precisionsmedicinsk databas inom NGP har utredningen gjort följande överväganden. I den precisionsmedicinska databasen inom NGP ges möjlighet att dela personuppgifter mellan regioner som bedriver universitetssjukvård. De personuppgifter som behöver delas är sådana där samlingen behöver omfatta ett bredare geografiskt urval än en samverkansregion. Spridningen sker då mellan större geografiska områden. Utredningen anser att det av integritetsskäl endast bör
vara de regionala myndigheter inom ingår i GMS som kan ges tillgång till den precisionsmedicinska databasen inom NGP. Det är också där som de största behoven finns av tillgång till de personuppgifter som samlas där. Endast de regionala myndigheter som ingår i GMS får alltså enligt utredningens förslag ges tillgång till personuppgifter som behandlas i den precisionsmedicinska databasen inom NGP.
14.8.4. Behörighet för tillgång till precisionsmedicinsk databas
Förslag: När en regional myndighet inom hälso- och sjukvården
bestämmer villkor för tilldelning av behörighet enligt 4 kap. 2 § PDL, får behörighet till en precisionsmedicinsk databas endast tilldelas den som arbetar i den specialiserade vården och som behöver åtkomsten för sitt arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter.
Utredningen föreslår en särskild bestämmelse som gäller vid tilldelning av behörighet till en precisionsmedicinsk databas. Bestämmelsen kompletterar 4 kap. 2 § första stycket PDL. Utredningens överväganden följer nedan.
Det behövs en särskild bestämmelse om behörighet
För att ytterligare snäva in åtkomsten till personuppgifterna föreslår utredningen en särskild bestämmelse om behörighet som är specifikt anpassad för ändamålet.
Utredningen har övervägt behovet av en särskild bestämmelse. Det hade kunnat tänkas att ingen särskild bestämmelse om behörighet föreslogs och att enbart regeln i 4 kap. 2 § första stycket PDL skulle gälla. I den bestämmelsen anges att en vårdgivare ska bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat och att denna behörighet ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Utredningen anser att denna regel är för generell sett till det behov som finns att få behörighet till en precisionsmedicinsk databas. Utredningens uppfattning är att det främst är i den specialiserade hälso- och sjukvården
som behovet av att söka i en precisionsmedicinsk databas finns och att regeln i 4 kap. 2 § första stycket PDL är för bred i detta sammanhang. Behovet beskrivs mer utförligt i avsnitt 14.8.1.
Behovet av att söka i precisionsmedicinsk databas är alltså knutet till den specialiserade vården. Med anledning av detta anser därför utredningen att det i 6 kap. PDL tydliggörs att utöver de ställningstaganden som följer av 4 kap. 2 § första stycket PDL och 4 kap. 2 § i HSLF-FS 2016:40 som den aktuella personuppgiftsansvarige gör, får tilldelning av behörighet, endast ges till en person som arbetar i den specialiserade vården och som behöver åtkomsten för sitt arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter. Utredningen anser att detta är det lämpligaste sättet att ge uttryck för att 4 kap. 2 § PDL alltjämt ska tillämpas, dock med den begränsning i vilka som kan få behörighet till precisionsmedicinsk databas. Nedan följer en redogörelse för utredningens syn på innebörden av begreppet specialiserade vården.
Att det är särskilt motiverat med en begränsning av vilka som ska ges behörighet till en precisionsmedicinsk databas följer av att det rör sig om en ny samling av en stor mängd känsliga personuppgifter, som berörda medarbetare inte skulle fått tillgång till annars och att utredningen i 6 kap. PDL ämnar reglera tillgången på ett så heltäckande sätt som möjligt. Utredningen anser att det är av största vikt att förtroendet för precisionsmedicinska databaser upprätthålls genom att bland annat minska riskerna för obehörig åtkomst (se vidare under avsnitt 14.6.6). Utredningen anser att föreslaget tillägg till 4 kap. 2 § första stycket PDL är en viktig integritetsskyddande åtgärd.
Betydelsen av den specialiserade vården
Behörigheten ska, som ovan beskrivet, kopplas till att någon arbetar inom den specialiserade vården. Fråga uppstår då vad som menas med att någon arbetar inom den specialiserade vården.
Begreppet specialiserade vården är inte definierat i lag. Begreppet förekommer däremot i lag, exempelvis kopplat till regleringen om vårdgaranti i 9 kap. 1 § 3 HSL och motsvarande reglering i 2 kap. 3 § 3 patientlagen (2014:851). I förarbetena till dessa regleringar definieras inte den specialiserade vården specifikt eller på något entydigt sätt, utan snarare beskrivs framväxten av den specialiserade vården
(se exempelvis redogörelsen om expansionen av sjukvården och den specialiserade vården i SOU 2019:29 s. 46 ff.). Begreppet ingår även som en del av begreppet nationell högspecialiserad vård, definierad i 2 kap. 7 § HSL.
Specialiserad vård är enligt Socialstyrelsens termbank sådan hälso-
och sjukvårdsverksamhet som kräver mer specialiserade åtgärder än vad som kan ges i primärvård (termstatus rekommenderad).9 Termen specialistvård förekommer inte i Socialstyrelsens termbank.
Begreppet specialistvård är inte uttryckligen definierad i någon författning. Däremot förekommer begreppen specialistkompetens och specialisttjänstgöring dock som begrepp i kontext med person, se till exempel i 4 kap. 3 § HSL och 10 kap. 5 § HSL som beteckning för att personen arbetar i den specialiserade vården.
Däremot är begreppet primärvård definierat i HSL. I 2 kap. 6 § HSL anges att med primärvård avses hälso- och sjukvårdsverksamhet där öppen vård ges utan avgränsning när det gäller sjukdomar, ålder eller patientgrupper. Primärvården svarar för behovet av sådana åtgärder i form av medicinsk bedömning och behandling, omvårdnad, förebyggande arbete och rehabilitering som inte kräver särskilda medicinska eller tekniska resurser eller någon annan särskild kompetens. Paragrafen sågs nyligen över för att moderniseras och anpassas till de strukturella förändringar som skett på hälso- och sjukvårdsområdet (prop. 2019/20:164 s. 69).
Begreppen specialiserad vård och specialistvård synes enligt utredningen ha i princip samma innebörd som båda syftar till att vara den vård som ges om inte primärvård ges och det inte är fråga om den nationella högspecialiserade vården. Specialistvården omnämns vanligen som en beskrivande term av den faktiska vård som den specialiserade vården utför.
Utredningens uppfattning är även att den specialiserade vården är motsatsvis den vårdnivå som anges i definitionen av primärvård i enligt 2 kap. 6 § HSL. Motsatstolkningen ligger därmed även i linje med den förklaring som finns för den specialiserade vården i Socialstyrelsens termbank och begreppet stämmer lagtekniskt överens med begreppets användning i HSL. Till ledning av vad som utgör den spe-
9 Socialstyrelsens termbank, https://termbank.socialstyrelsen.se/#results, (hämtad 2023-09-29). Termbanken innehåller begrepp för fackområdet vård och omsorg. Begreppen har analyserats enligt terminologilärans metoder och principer och förankrats i bred remiss till kommuner, regioner, myndigheter och andra organisationer.
cialiserade vården i utredningens lagförslag kan därför förarbetena till 2 kap. 6 § HSL användas.
Enligt förarbetena till 2 kap. 6 § HSL står primärvården för en bred kompetens som kan tillgodose den enskilda individens allra flesta vårdbehov. Primärvård kännetecknas av att verksamheten är beroende av flera olika generalistkompetenser som samverkar kring patienten och definieras därför utifrån generalistens breda kompetens. Den allmänmedicinska specialistkompetensen är därför central, även om det samtidigt krävs en mängd andra generalistkompetenser (prop. 2019/20:164 s. 69–70). I förarbetena anges också att primärvården ska svara för befolkningens behov av grundläggande vård och behandling med mera. Detta ska ske utan avgränsning vad gäller sjukdomar, ålder eller patientgrupper. I primärvården ska det således inte finnas särskilda specialiteter för olika sjukdomar eller kroppsdelar (prop. 2019/20:164 s. 70 och prop. 1994/95:195 s. 80–81). I 2 kap. 6 § HSL anges att primärvården inte kräver särskilda medicinska eller tekniska resurser eller någon annan särskild kompetens. Med särskilda medicinska resurser avses enligt förarbetena annan kompetens än specialistkompetens i allmänmedicin eller likvärdig specialitet, såsom geriatrik eller barn- och ungdomsmedicin. Med särskilda tekniska resurser avses exempelvis särskilt avancerad eller kostsam utrustning som brukar koncentreras till exempelvis sjukhusen. Vad som avses med uttrycket annan särskild kompetens kan vara att det tar sikte på till exempel om viss teknisk utrustning kräver särskild kompetens som inte finns i primärvården eller om det krävs ett sådant sammansatt kompetensteam av yrkeskategorier som inte finns tillgängliga i primärvården (prop. 2019/20:164 s. 71).
Tidigare definition av primärvård hade ett sjukhusperspektiv. I praktiken kom sjukhusbyggnaden ofta att avgöra var gränsen mellan primärvård och annan specialiserad vård gick. Detta ansågs inte ligga i linje med hur primärvård i dag bedrivs och gränsdragningen kopplas därför inte längre till sjukhusbyggnaden (prop. 2019/20:164 s. 69).
Det finns enligt utredningen en poäng i att inte försöka definiera den ”specialiserade vården” i förhållande till utredningens lagförslag. Detta för att inte introducera en definition som inte stämmer överens med hur begreppet tolkas i ljuset av skillnaden mellan primärvård och den specialiserade vård. Innebörden av den specialiserade vården som utförs ska därför tolkas motsatsvis den primärvård som definieras i 2 kap. 6 § HSL.
I förordning (2001:707) om patientregister hos Socialstyrelsen finns i en bestämmelse som reglerar när personuppgifter får behandlas i patientregister (4 §). Bestämmelsens andra punkt anger att sådana personuppgifter får behandlas som rör patienter som behandlats av läkare inom den öppna vården som inte är primärvård. Det skulle kunna tänkas att utredningen kan formulera sin bestämmelse på liknande sätt och i stället för att använda termen ”specialiserade vården”, använder negationen ”som inte är primärvård”. Lagtekniskt skulle detta vara enhetligt med övrig lagstiftning eftersom begreppet specialiserade vården inte är legaldefinierat. Utredningen anser dock att detta är en onödigt krånglig formulering och har därför valt att använda den i HSL befintliga termen specialiserade vården.
Utredningen konstaterar att vad som anses utgöra specialiserade vården i viss mån kan innefatta en bedömning. Detta anser dock utredningen är ett sådant bedömningsutrymme som kan och bör ges till hälso- och sjukvården inom ramen för det ansvar som finns avseende organisation och verksamhet. I många fall borde det dock enligt utredningens mening stå klart vilka personer som får tilldelas behörighet för elektronisk åtkomst till en precisionsmedicinsk databas. Utredningen har fått ett antal mycket konkreta exempel på yrkeskategorier och verksamheter inom regionsjukhusen där de stora behoven finns. Kriteriet att den som kan få behörighet ska arbeta inom den specialiserade vården ska även ses tillsammans med att personen behöver åtkomsten för sitt arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter. Dessa kriterier får enligt utredningens mening tillsammans skapa den vägledning och avgränsning som är motiverad.
Av avsnitt 14.6 framgår att endast de personuppgifter som behövs för vården av en annan patient än den som uppgifterna avser får tillgängliggöras till en precisionsmedicinsk databas. Det urval som görs får konsekvens för vilken personal och i vilka situation som det blir aktuellt att söka i en precisionsmedicinsk databas. Utifrån de exempel som utredning har fått till sig vad avser typen av uppgifter, gör utredningen bedömningen att det typiskt sett endast är viss personal inom den specialiserade hälso- och sjukvården kan ha användning för uppgifterna. Annorlunda uttryckt behövs det en viss specialiserad kompetens för att uppgifterna ska kunna användas i vården av en patient.
Behörigheten ska inte begränsas till vissa personalkategorier
Utredningen har övervägt om det är möjligt att i PDL eller på lägre normgivningsnivå ange mer preciserat, utöver att någon ska arbeta i specialiserade sjukvården, vilken typ av personal inom hälso- och sjukvården som ska kunna tilldelas behörighet att söka i precisionsmedicinsk databas. Så skulle exempelvis kunna ske genom att ytterligare ringa in en viss personalkrets eller personalkategori. Utredningen har övervägt om det är möjligt att ringa in den personalkrets eller liknande som ska kunna tilldelas behörighet. Kan det till exempel vara möjligt att begränsa möjligheten att tilldela behörighet till vissa personalkategorier. Utredningen har övervägt om det är möjligt att i lagen eller längre normgivningsnivå ange mer preciserat vilken typ av personal inom hälso- och sjukvården som ska kunna få behörighet att söka i precisionsmedicinsk databas.
Ett sätt skulle kunna vara att knyta möjligheten att tilldela behörighet till personal med viss legitimation. Detta skulle till exempel kunna fungera för läkare, där vissa relevanta yrkeskategorier med bevis om specialistkompetens skulle kunna förtecknas.
Utredningen har dock fått till sig att även andra yrkeskategorier än legitimerade sådana har en central roll inom precisionsmedicinen. Till dessa yrkesgrupper hör till exempel sjukhusgenetiker och bioinformatiker. Detta är personer med naturvetenskaplig utbildningsbakgrund som saknar legitimation eller möjlighet till bevis om specialistkompetens (jämför 4 kap. 8 § PSL). Det är enligt utredningens bedömning svårare att i lagstiftning, som ett kriterium för tilldelning av behörighet, formulera yrkeskategorier utifrån utbildningsbakgrund. En förteckning av en viss personalkategori skulle också närma sig frågan om vem som får göra vad inom hälso- och sjukvården. Detta regleras av PSL, patientsäkerhetsförordningen (2010:1369) och Socialstyrelsens förskrifter och allmänna råd, bland annat HSLF-FS 2022:20.
Utredningens bedömning är att det inte på ett ändamålsenligt sätt går att ange mer precist vilken personal som ska kunna tilldelas behörighet till precisionsmedicinsk databas. Det är arbetsuppgifterna som bör styra och det bestäms utifrån andra regler. Tilldelning av behörighet ska på så sätt följa det regelverket och i övrigt de beslut som fattas i hälso- och sjukvårdsverksamheten med avseende på arbetsuppgifter. Ytterligare en modell som har lyfts till utredningen är att skapa en särskild yrkesfunktion kopplat till behörighet till precisions-
medicinsk databas och att bara denna yrkesgrupp får söka i en precisionsmedicinsk databas. Detta finns beträffande så kallade transplantationskoordinatorer.
En transplantationskoordinator är en sjuksköterska som ansvarar för den samordnande funktionen mellan intensivvård och transplantation vid en donationsprocess. Enligt 8 § i Socialstyrelsens föreskrifter (SOSFS 2012:14) om hantering av mänskliga organ avsedda för transplantation, ska den vårdgivare som ansvarar för transplantationsverksamhet säkerställa att det dygnet runt finns tillgång till minst en transplantationskoordinator som ska 1. lokalisera möjliga mottagare av ett organ, 2. koordinera tillvaratagandet och transplantationen av ett organ och 3. upprätta en tillvarataganderapport enligt 7 kap. 10 § i samma föreskrifter. Bland arbetsuppgifterna finns att göra kontroll i donationsregistret.10
Att koppla rätten att söka i en precisionsmedicinsk databas till en viss skapad yrkeskategori skulle förvisso innebära en tydlig avgränsning av personkretsen, vilket är en fördel ur transparenshänseende. Den kontroll som en transplantationskoordinator gör i donationsregistret, eller de uppgifter som en transplantationskoordinator har i övrigt, är dock enligt utredningens uppfattning inte jämförbara med de analyser och bedömningar som behöver göras vid sökning och utfall i en precisionsmedicinsk databas. Som ovan har redogjorts för är det kompetens från ett antal olika yrkesutövare som är relevant, exakt vilka är beroende av aktuellt patientfall och hur verksamheten är organiserad. Utredningen anser att det är viktigt av transparensskäl att de som faktiskt tar del av uppgifterna och gör bedömningarna också är de som har möjlighet att få behörighet att söka. Det finns annars en risk att en snävare krets som har behörigheten enligt den särskilda yrkeskategorin gör sökningen, och annan personal de facto tar del av uppgifterna och gör bedömningarna. Av integritetsskäl är det en fördel med en snäv krets behöriga. Utredningen anser dock att det vore olyckligt om personuppgiftsbehandling för ändamålet öppnas upp, men att reglerna utformas så att inte relevant personal får söka och ta del av uppgifterna. Målet med en bättre och mer jämlik vård kommer då inte att uppnås. Risken för kringgående av reglerna bör även beaktas. Utredningen anser att den regel om tilldelning av behörighet som före-
10 För ytterligare beskrivning av en transplantationskoordinators roll och uppgifter, se SOU 2015:84.
slås, tillsammans med övriga integritetshöjande åtgärder är tillräckliga för att tillgodose integritetsintresset.
Betydelsen av att ”förebygga, utreda eller behandla sjukdomar och skador hos patienter”
Som ovan konstaterat behöver arbetsuppgifter kopplade till precisionsmedicinsk vård utföras av olika yrkeskategorier inom hälso- och sjukvården. Tilldelning av behörighet behöver kunna ske på ett ändamålsenligt sätt utifrån detta.
Ändamålet för en precisionsmedicinsk databas omfattar dock endast ”vården” av en patient. Detta får enligt utredningens bedömning den följden att behörigheten bör tilldelas endast utifrån att den ska användas i vården av en patient, inte inom hälso- och sjukvården generellt, det vill säga för ändamål enligt 2 kap. 4–5 §§ PDL). Behovet av att söka i en precisionsmedicinsk databas bör endast vara kopplat till vårdändamål.
Utredningen har utifrån detta föreslagit att tilldelning av behörighet ska ske utifrån personens behov för sitt ”arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter”. Denna formulering är mer begränsad än den i 4 kap. 2 § PDL, som anger behörighet begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Utredningen att den föreslagna formuleringen bättre knyter an till syftet och ändamålet med en precisionsmedicinsk databas och ytterligare förstärker det förhållande att en sådan databas endast får användas för vårdändamål.
Utredningen har övervägt om endast ”vården” är ett lämpligare begrepp. Utredningen använder begreppet vården kopplat till ändamålet. Avseende regler som mer direkt kopplar till sökning i databasen använder utredningen den lite längre och mer konkreta formuleringen inom hälso- och sjukvården. Det begreppet återfinns också i SVOD. Se även överväganden till villkor för sökning i precisionsmedicinsk databas, se avsnitt 14.8.5.
Behörighetstilldelning följer tillgången till en precisionsmedicinsk databas
Vilken precisionsmedicinsk databas någon som arbetar inom den specialiserade sjukvården kan få tillgång till hänger också ihop med vilken eller vilka precisionsmedicinska databaser den regionala myndighet som personen arbetar hos har tillgång till. Detta kan vara en samverkansregional precisionsmedicinsk databas, eller den precisionsmedicinska databasen som får föras inom NGP, se mer om vilka databaser som ska få finnas i avsnitt 14.7.3.
Utredningen har i avsnitt 14.7.2 beskrivit att det är regionala myndigheter inom hälso- och sjukvården som kan inrätta och föra precisionsmedicinska databaser. Det kan falla sig så att samma regionala myndighet inom hälso- och sjukvården som tilldelar behörighet att söka i precisionsmedicinsk databas, också är den myndighet som har inrättat och för den precisionsmedicinska databasen.
14.8.5. Villkor för behandling av personuppgifter i precisionsmedicinsk databas och inre sekretess
Förslag: En regional myndighet inom hälso- och sjukvården får
behandla personuppgifter som en annan myndighet som för precisionsmedicinsk databas har gjort tillgängliga om
1. någon som arbetar hos myndigheten och har behörighet till
precisionsmedicinsk databas deltar i vården av en patient, och
2. uppgifterna kan ha betydelse för att inom hälso- och sjuk-
vården förebygga, utreda eller behandla sjukdomar och skador hos patienten. Den som arbetar hos en myndighet som för precisionsmedicinsk databas och har behörighet till precisionsmedicinsk databas får ta del av personuppgifter i databasen om han eller hon
1. deltar i vården av en patient, och
2. uppgifterna kan ha betydelse för att inom hälso- och sjuk-
vården förebygga, utreda eller behandla sjukdomar och skador hos patienten.
Det behövs en bestämmelse som reglerar villkoren för att söka i precisionsmedicinsk databas när tillgång ges genom direktåtkomst. Det behövs även en bestämmelse om befogenhet att söka i precisionsmedicinsk databas när tillgången endast ges inom den myndighet som för den precisionsmedicinska databasen (inre sekretess). På grund av de formella skillnader som finns mellan dessa två situationer, behöver bestämmelserna vara något olika formulerade. De bör dock i materiellt hänseende vara likalydande på så sätt att sökning i precisionsmedicinsk databas får ske under samma villkor oberoende av om tillgången till databasen sker internt inom en myndighet eller över en myndighetsgräns. Detta går i linje med utredningens generella överväganden om utformningen av regleringen, se avsnitt 14.4.5.
Den lagtekniska utformningen av bestämmelserna
Utredningen har gjort bedömningen att det saknas stöd i 4 kap. 1 § PDL för den som arbetar hos en vårdgivare att ta del av dokumenterade personuppgifter om en annan patient än den man deltar i vården av, se avsnitt 13.9. För tillgång mellan regionala myndigheter hos olika vårdgivare finns över huvud taget ingen bestämmelse som är tillämplig för ändamålet vården av annan patient än den som uppgifterna avser. Det behövs därför dels en bestämmelse med villkor för när annan regional myndighet inom hälso- och sjukvården får behandla personuppgifter i en precisionsmedicinsk databas, dels en bestämmelse som ger stöd för den som har tilldelats behörighet till en precisionsmedicinsk databas att ta del av uppgifter i databasen om den finns inom myndigheten. Utredningen har i utformningen av den föreslagna bestämmelsen tagit inspiration från 4 kap. 1 § PDL och 3 kap. 1 § SVOD.
Ett nödvändigt element är att personen som ska ta del av uppgifter i en precisionsmedicinsk databas deltar i vården av en patient. Exempel på när en person deltar i vården är vid patientbesök. Utredningen konstaterar att personen deltar i vården av en patient när hen bidrar med sin kompetens i vården av patienten, till exempel vid konsultationer (se Göta hovrätts dom den 14 april 2022 i mål nr B 1446-21 samt SOU 2014:23, s. 370).
Det andra elementet är att uppgifterna i databasen kan ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten. Denna formulering har utred-
ningen hämtat från SVOD, men tagit bort kriteriet ”antas”. Anledningen till detta är följande.
Den som söker i databasen vet inte alltid om det ens finns uppgifter i databasen som har betydelse för vården av patienten. Själva syftet med sökningen kan vara att ta reda på om det över huvud taget finns relevant information. Det kan också vara så att den som behandlar personuppgifter i databasen har en uppfattning om att det kan finnas uppgifter som är relevanta, men inte i vilken omfattning eller hur betydelsefulla de kan vara. För att en precisionsmedicinsk databas ska kunna användas för sitt syfte, kan inte kraven för sökning vara för höga. Ett för högt ställt krav på betydelsen för vården av patienten kan få till följd att den precisionsmedicinska databasen inte kan användas för sitt syfte. Samtidigt behöver det finnas kriterier som ramar in situationerna när en behandling av personuppgifter får ske. En lämplig avvägning är enligt utredningens bedömning ett krav på att uppgifterna i databasen kan ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten. Detta är ett lågt ställt beviskrav. Utifrån att den som söker i vart fall initialt inte alltid vet om det finns uppgifter av relevans, anser utredningen att ett krav som innefattar ett sådant antagande är ett för högt krav (se 3 kap. 1 § SVOD). I utredningens föreslagna formulering ligger dock att en bedömning ska göras av att den typen av uppgifter som finns i databasen kan vara av värde för behandlingen av patienten.
Utredningen konstaterar vidare att det är en medicinsk bedömning som ska avgöra frågan om när det kan ha betydelse att behandla uppgifter i en precisionsmedicinsk databas. Den medicinska bedömningen ska baseras på vetenskap och beprövad erfarenhet.
Uppgifterna ska ha betydelse för att inom hälso- och sjukvården före-
bygga, utreda, behandla sjukdomar och skador. Det är för vård och be-
handling av patienten som uppgifterna ska användas, vilket utöver det generella ändamålet bör uttryckas som ett krav vid behandlingen av personuppgifter i en precisionsmedicinsk databas. Utredningen har övervägt vilken formulering som är lämplig att använda. Endast ”vården”, såsom anges för syftet med databasen, skulle kunna vara ett alternativ. Den längre och mer konkretiserade formuleringen som utredningen föreslår är emellertid samma formulering som gäller enligt 3 kap. 1 § SVOD vid behandling av uppgifter i sammanhållen vård- och omsorgsdokumentation. Utredningen finner det lämpligt att använda samma formulering som i SVOD. I förarbetena till SVOD anges
kravet innebär att en vårdgivare som deltar i ett system med sammanhållen vård- och omsorgsdokumentation inte får använda sin tillgång till andra vårdgivares eller omsorgsgivares uppgifter för andra syften än vård och behandling (prop. 2021/22: 177, s. 205). Avseende behandling av personuppgifter i precisionsmedicinsk databas innebär kravet att en regional myndighet inte får använda tillgången till databasen för andra syften än vård och behandling.
Utredningen har utgått ifrån definitionen av hälso- och sjukvård i PDL med två undantag, se avsitt 14.4.7. Det är alltså hälso- och sjukvård i den meningen som avses.
Ingen begränsning i antalet sökningar
Utredning har i kontakt med professionen som arbetar inom precisionsmedicin och fått beskrivet för sig hur en precisionsmedicinsk databas skulle användas. Utredningen beskriver i avsnitt 13.2.4 den praktiska gången vid sökning för vårdändamål. Utredningen anser att reglerna om villkor och befogenhet är utformade på ett sådant sätt att det är praktiskt användbart på det sätt som där beskrivs.
Ett konkret exempel skulle kunna vara följande. En sjukhusgenetiker gör en sökning på en genförändring. Den kan leda till ett relevant utfall direkt. Någon mer sökning behöver då inte göras. Oftare förutses dock en form av ”iterativ process”. Det kan exempelvis handla om att man söker på diagnos. Första sökningen ger för många träffar för att resultatet ska vara medicinsk relevant för vården av patienten. Då kan exempelvis ytterligare ett sökfilter läggas till sökningen för att få ett mer avgränsat utfall som kan vara mer relevant. Beroende på hur utfallet blir kan processen fortsätta.
Utredningen har identifierat att ett sätt att begränsa integritetsintrånget som följer av databasen är att begränsa antalet sökningar som varje person får göra vid ett tillfälle. Detta är dock av praktiska skäl varken lämpligt eller rimligt. Nedan följer ett par exempel som visar på varför en sökbegränsning inte bör införas i databasen.
Om det är första gången en person söker i en datamängd så kan det vara svårt att på förhand veta vilken information som går att få ut ur databasen. Även om det finns en metadatakatalog som beskriver viken typ av personuppgifter som ingår, vet den som söker i databasen inte på förhand exempelvis hur många patienter det finns med en viss
diagnos. Detta är hela anledningen till att sökningen ibland görs. I praktiken skulle en sökbegränsning innebära att patient som hade en läkare som var mindre van vid att söka i databasen fick sämre vård, eftersom nyare användare av databasen sannolikt behöver använda sig av fler sökningar än vana användare. Exempelvis kan vana användare veta sedan tidigare sökningar eller utifrån sin allmänna erfarenhet, att det saknas data avseende behandlingsutfall för en specifik patientgrupp och avstår därför från att söka på den informationen. Ett system med sökbegränsningar skulle också kunna skapa betydande etisk stress bland användarna, utifrån att mindre ”bra” sökningar i databasen kan komma att leda till att deras patient inte får den vård den ska ha.
Ett annat exempel är svårare fall eller där osäkerheten kring vilken patientgrupp som är en relevant jämförelsegrupp för den patient som vårdas är större än normalt. Patienten som vårdas i dessa fall har sannolikt större behov av att personuppgifter från andra patienter kan användas i vården av hen, eftersom bristen på kunskap om deras diagnos ofta också innebär att de inte kan få lika bra behandling jämfört med personer som har vanligare diagnoser. I dessa fall skulle en sökbegränsning innebära att patienter som har en sjukdom som är svårare att hitta relevant information om får sämre behandling.
Slutligen så är det också praktiskt svårt att fastställa en relevant sökbegränsning. Om sökningen begränsas per läkare i kombination med per patient kommer det leda till att patienten bör söka sig till flera olika läkare. Om avgränsningen görs enbart per patient är det sannolikt att patienter med mer komplexa behov kommer missgynnas. Om avgränsningen görs per läkare kommer patienter med mindre komplexa behov missgynnas eftersom en läkare kan ha slut på sökningar den dagen de ska behandlas.
Situationen skulle kunna liknas vid att söka efter kläder på en hemsida. Om du ska köpa strumpor kanske ”svart” är en tillräcklig sökterm som genererar ett hanterbart och relevant utfall. Medan samma sökterm för exempelvis klänningar behöver kompletteras med ytterligare söktermer för att begränsa urvalet. Detta kan också skilja sig åt från vilken hemsida du söker på. Mer rutinerade kunder kommer då veta vilka hemsidor och exempelvis vilka märken som kräver mer eller mindre detaljerade söktermer, medan nyare kunder kommer ha svårt att hitta det de letar efter om de bara får tillgång till ett begränsat antal sökningar.
Utredningens sammantagna bedömning är därför att det inte är lämpligt att avgränsa antalet sökningar i databasen, eftersom en sådan
avgränsning i flera fall skulle kunna leda till omotiverade skillnader mellan patienternas möjlighet att få en god vård.
Ingen precisering av i vilka situationer sökning får ske
Utredningen har övervägt om villkoren för tillgång till personuppgifter kan avgränsas med ett kriterium som tar sikte på den situation i vilken tillgången bör ges. Detta skulle möjligen kunna fungera om behovet av behandlingen av personuppgifterna rörande andra patienter i vårdprocessen uppkommer i en viss situation, skede eller liknande som går att precisera.
Utredningen har lyft denna fråga med den medicinska professionen. Möjligheten att ha ett specificerat kriterium avseende situation kopplar till när det är medicinskt motiverat att få precisionsmedicinsk vård. Detta är en medicinsk bedömning som diskuteras både i Sverige och internationellt. Utredningen har erfarit att det finns arbeten i andra länder, forskning och så vidare som har adresserat denna fråga. Utredning uppfattar att detta är en fråga i förändring. Det finns olika synsätt på hur det ska bestämmas om en patient ska erbjudas utredning och behandling inom precisionsmedicin eller inte. Det diskuteras även vilka så kallade inklusionskriterier som ska gälla. Det kan till exempel handla om typ av besvär eller om det finns behov av ytterligare underlag för medicinska bedömningar. Det kan vidare avse mindre allvarliga fall, som blir allvarliga om inget görs. Kan också vara allvarligt från början.
Utredningen gör bedömningen att det inte är möjligt att ha ett villkor i lagen som utgår ifrån att behandlingen av andra patienters personuppgifter sker i en viss situation. Det skulle i praktiken innebära att den lagstiftning som utredningen föreslår indirekt styr den medicinska professionens bedömningar om när en patient ska utredas och behandlas inom precisionsmedicinen. Detta är inte en juridisk fråga som man kan definiera i lagstiftning, utan en medicinsk bedömning. Utredningen lämnar därför inte förslag på att sökning i precisionsmedicinsk databas endast får göras i vissa situationer.
14.8.6. Sökbegrepp
Bedömning: I 2 kap. 8 § PDL finns allmänna regler om tillåtna
sökbegrepp. Ingen särreglering behövs avseende sökbegrepp vid tillgång till personuppgifter i precisionsmedicinsk databas.
Enligt 2 kap. 8 § första stycket PDL får känsliga personuppgifter eller uppgifter om lagöverträdelser som avses i 7 § inte användas som sökbegrepp. Trots detta förbud är det enligt bestämmelsens andra stycke tillåtet att som sökbegrepp använda uppgifter om hälsa.
I avsnitt 14.6.3 redogör utredningen för exempel på uppgifter som typiskt sett kan komma att bli aktuella för tillgängliggörande till en precisionsmedicinsk databas. Det kan avse kön, ålder, diagnoser, genvariant eller virustyp. De uppgifter som tillgängliggörs blir föremål för sökning. Som sökbegrepp får då utifrån regleringen i 2 kap. 8 § PDL endast användas känsliga personuppgifter i form av uppgifter om hälsa.
Utifrån de exempel som utredningen har fått till sig, gör utredningen bedömningen att det inte synes finnas behov av att som sökbegrepp använda andra känsliga personuppgifter än sådana som är uppgifter om hälsa. Det finns enligt utredningens bedömning inte anledning att införa en särreglering med avseende på sökbegrepp för sökning i precisionsmedicinsk databas. Vid sökning i precisionsmedicinsk databas gäller således regleringen i 2 kap. 8 § PDL.
14.8.7. Hantering av tillgängliggjorda uppgifter vid patientjournalföring
I 3 kap. PDL finns bestämmelser om skyldighet att föra patientjournal. Syftet med journalen är att bidra till en god och säker vård av patienten, men den är också en informationskälla i olika avseenden (jämför 3 kap. 2 § PDL). Journalen ska innehålla de uppgifter som behövs för en god och säker vård av patienten. Det finns också bestämmelser om att en patientjournal alltid ska innehålla vissa uppgifter om uppgifterna finns tillgängliga (3 kap. 6 § PDL). Ytterligare bestämmelser om patientjournals innehåll finns också i HSLF-FS 2016:40 (se 5 kap.).
Då utredningens lagförslag möjliggör att en patients personuppgifter kan användas i vården av en annan patient, uppstår frågan vad skyldigheten att föra patientjournal innebär i dessa fall. Journalen ska innehålla de uppgifter som behövs för en god och säker vård av patienten. Det kan då finnas ett behov att det framgår i journalen att en annan patients uppgifter har använts i vården. Den som för patientjournal måste då ta hänsyn till att sekretess gäller mellan patienter. Med andra ord kan det inte antecknas information som gör att uppgifter om en patient röjs i en annan patients journal.
Utredningens uppfattning är att lämpliga avvägningar mellan vad som behöver antecknas för att uppfylla journalföringsplikten, och vad som inte kan antecknas på grund av sekretessen, behöver göras i varje enskilt fall. Redan i dag gör hälso- och sjukvården liknande bedömningar när det exempelvis handlar om sekretess mellan patient och närstående.
Ytterligare en situation som kan uppstå är att den patient man vårdar frågar efter, eller begär ut uppgifter om annan patient som har använts. I den mån patienten frågar muntligen kan vårdpersonalen informera och tillmötesgå patientens frågor i den mån det går utan att bryta sekretessen. Om det handlar om en begäran om att få ut allmän handling får en sedvanlig sekretessprövning ske.
14.9. Begäran om kompletterande personuppgifter från patientjournal
Förslag: En regional myndighet inom hälso- och sjukvården som
har tillgång till en precisionsmedicinsk databas får, hos en vårdgivare som har tillgängliggjort personuppgifter till den databasen, begära de kompletterande personuppgifter från den patientjournal som kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser.
Om de kompletterande personuppgifterna ska tillgängliggöras inom samma myndighet får en intern begäran göras, om uppgifterna kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser.
En vårdgivare får tillgängliggöra de personuppgifter som omfattas av en begäran om kompletterande personuppgifter. Tillgängliggörande av kompletterande personuppgifter får endast ske till en regional myndighet inom hälso- och sjukvården som har tillgång till den precisionsmedicinska databasen som vårdgivaren tillgängliggjort uppgifter till.
En regional myndighet inom hälso- och sjukvården får, utöver den behandling av personuppgifter som sker genom tillgång till en precisionsmedicinsk databas, endast behandla de kompletterande uppgifter om en patient som behövs för vården av en annan patient än de som uppgifterna avser.
Bedömning: Av 5 kap. 6 § PDL följer att ett tillgängliggörande
som innebär ett utlämnande får ske genom ett elektroniskt utlämnande. Tillgängliggörande ska inte få ske genom direktåtkomst.
I detta avsnitt nedan följer utredningens överväganden och förslag avseende Steg 4 i den övergripande modellen (se avsnitt 13.3). Utredningen kallar Steg 4 för Begäran av kompletterande personuppgifter från
patientjournal.
Syftet med en precisionsmedicinsk databas är att utgöra underlag för att hitta relevanta personuppgifter för vården av en annan patient än den som personuppgifterna avser. Utifrån det utfall som behörig vårdpersonal fått i en precisionsmedicinsk databas efter sökning och urval, kan det i vissa fall finnas behov av mer information om de patie-
nterna än det som finns i den precisionsmedicinska databasen, utöver utfallen. Mer information handlar då om kompletterande personuppgifter från en eller flera patientjournaler för att använda i vården av en annan patient än den personuppgifterna avser. Det rör sig då om specifik information som den behandlande personalen behöver i det enskilda fallet och kan alltså inte tillgodoses av de kategorier av uppgifter som finns i den precisionsmedicinska databasen som vårdpersonalen har tillgång till. Kompletterande personuppgifter behövs då från patientjournalen.
Den vanligaste situationen som utredningen fått till sig om när behovet av kompletterande uppgifter aktualiseras är vid behandlingen av patienter som tillhör en liten patientgrupp. Vanligen rör det sig om sällsynta hälsotillstånd. I fallet av sällsynta hälsotillstånd kommer antalet möjliga utfall i en precisionsmedicinsk databas oftast vara få. Till exempel består sällsynta hälsotillstånd av flera tusen olika sjukdomar vilket gör det viktigt att söka ytterligare detaljerad information om vård, eventuella behandlingar och uppföljningar. Cancer är ett annat exempel som i sin tur består av hundratals olika diagnoser. Inom varje diagnos kan man sedan dela in i ytterligare undergrupper. Enbart lymfom består av över 80 olika diagnoser. Gemensamt för dessa sällsynta hälsotillstånd är att patientgrupperna är små. Det är därför den behandlande personal kan behöva kompletterande uppgifter för att kunna ge adekvat vård i det enskilda fallet.
Utredningens förslag bygger på följande praktiska gång:
1. En regional myndighet begär kompletterande personuppgifter från patientjournal hos den vårdgivare som har tillgängliggjort.
2. Vårdgivaren tillgängliggör kompletterande personuppgifter från patientjournalen.
3. Den regionala myndigheten behandlar de kompletterande personuppgifterna.
Utredningens överväganden till förslag avseende led 1–3 redogörs för i avsnitt 14.9.1–14.9.3. I avsnitt 14.9.4 finns utredningens överväganden och förslag avseende om pseudonymisering eller annat likvärdigt skydd för kompletterande uppgifter. I avsnitt 14.9.5 finns utredningens överväganden, förslag och bedömningar om behörighet, befogenhet och kontroll.
Utredningen har övervägt den övergripande lagtekniska utformningen av de regler som förslås avseende kompletterande personuppgifter från patientjournal. Utredningens förslag till förordning avser regler kopplade till precisionsmedicinsk databas. Förfarandet med utgångspunkt i en begäran om kompletterande personuppgifter, steg 4, är fristående i förhållande till de behandlingar som ryms inom steg 1–3 i utredningens övergripande modell, se 13.4. Utredningen gör därför bedömningen att det mest lämpliga är att reglerna i steg 4 placeras i 6 kap. PDL.
14.9.1. Begäran om kompletterande personuppgifter
En utgångspunkt för den ytterligare behandlingen av personuppgifter som ska få ske, är att alltså att den ska ske först efter att sökning har gjorts i en precisionsmedicinsk databas. En begäran om kompletterande personuppgifter från patientjournal får göras när vårdpersonal gjort bedömningen att det finns ett behov av kompletterande personuppgifter för vården av den patient som personalen deltar i vården av. Det är endast den regionala myndighet som har tillgång till en precisionsmedicinsk databas som kan göra bedömningen av om det behövs kompletterande uppgifter. Det är inte möjligt för den vårdgivare som ska tillgängliggöra uppgifter att göra den bedömningen. Utredningen förslår därför att begäran måste villkoras av en sådan bedömning. Den regionala myndighet som gör begäran om kompletterande uppgifter behöver precisera vilka uppgifter om en patient som den önskar ta del av. Patienten är inte direkt identifierbar, utan har ett pseudonym. Begäran ska göras hos den vårdgivare som har tillgängliggjort personuppgifter till en precisionsmedicinsk databas. För att kompletterande personuppgifter ska kunna begäras, behöver den som ska göra begäran kännedom om vilken vårdgivare som har tillgängliggjort uppgifterna samt vilken pseudonym (löpnummer eller motsvarande) som patienten har. Detta är information som myndigheten som för den precisionsmedicinska databasen kan bistå med. Pseudonymiseringen kvarstår även i detta steg, se avsnitt 14.9.4.
Utredningen har övervägt det förhållande att begäran endast kan göras hos den vårdgivare som har tillgängliggjort uppgifter till den precisionsmedicinska databasen. Det kan potentiellt finnas uppgifter om patienten hos andra vårdgivare som kan vara av relevans för vår-
den av patienten. Att möjliggöra begäran hos fler vårdgivare skulle dock innebära att patienten behöver identifieras och kunna kopplas till fler vårdgivare. Detta innebär ett väsentligt ökat integritetsintrång som utredningen inte anser går att motivera.
Begäran villkoras av att kompletterande personuppgifter kan antas
ha betydelse för vården. Till skillnad från när sökning i en precisions-
medicinsk databas sker, se ovan avsnitt 14.8.5, bedömer utredningen att en begäran om kompletterande uppgifter endast ska få göras efter en bedömning att de kompletterande uppgifter som begärs kan antas ha betydelse för vården. I detta skede föreställer sig utredningen att vårdpersonalen, utifrån det utfall som blivit vid sökning i den precisionsmedicinska databasen, har en uppfattning om vilka ytterligare uppgifter som behövs för vården av patienten. Det ska alltså utifrån utfallet och kännedomen om patienten som vårdas, gå att precisera en begäran om kompletterande uppgifter. Vidare krävs ett aktivt ställningstagande kring att uppgifterna som begärs kan antas ha betydelse för vården. Det ska på goda grunder kunna antas att uppgifterna har någon betydelse i vården av patienten. Detta är ett något högre krav än för sökning i databasen, jämför avsnitt 14.8.5. Rekvisitet är detsamma som finns i 3 kap. 1 § SVOD.
Vilka uppgifter som kan komma att behövas i det enskilda fallet går inte att standardisera på det sätt som är möjligt för tillgängliggörandet till precisionsmedicinsk databas. Vilka uppgifter det rör sig om i de enskilda fallen kommer bli en bedömningsfråga för den berörda vårdpersonalen.
Behovet av kompletterande personuppgifter från patientjournal kan också uppstå inom en myndighet som för den precisionsmedicinska databasen. För att rättslig grund för behandling av personuppgifter ska finnas i den situationen, föreslår utredningen en särskild befogenhetsregel, se avsnitt 14.9.5.
Förhållande till 6 kap. 5 § OSL och allmänna regler om begäran av uppgiftsutlämnande
Enligt allmänna regler kan en begäran om utfående av uppgift från allmänna handlingar göras hos vilken myndighet som helst, jämför 6 kap. 4 § OSL, dock inte av uppgift som omfattas av sekretess. Enligt 6 kap. 5 § OSL gäller dock en uppgiftsskyldighet som inte begränsas av att det måste röra sig om en allmän handling hos den tillfrågade myndig-
heten. I stället anges att en myndighet ”ska på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång”. Bestämmelsen anses utgöra en precisering av den allmänna samverkansskyldigheten som gäller för myndigheter enligt 8 § förvaltningslagen (2017:900) och syftar bland annat till att underlätta för myndigheter att fullgöra sin verksamhet.11
I teorin skulle således en begäran om kompletterande uppgifter och eventuellt tillgängliggörande kunna göras med stöd av 6 kap. 5 § OSL. Den sekretessbrytande bestämmelse som utredningen lämnat förslag på är dock kopplad till de förutsättningar som anges i 6 kap. PDL, avsnitt 17.1. De uppgifter som kan lämnas ut med stöd av ovan nämnda bestämmelse är i sådana fall endast sådana som inte omfattas av sekretess enligt 25 kap. 1 § OSL. Till detta behöver även beaktas att i enlighet med de överväganden som utredningen gjort i avsnitt 13.9 och 14.3 behöver den som ska behandla personuppgifter för vården av annan än den uppgifterna avser, ett rättsligt stöd för att behandlingen ska anses förenlig med dataskyddsförordningens krav på rättslig grund enligt artikel 6. Sådant rättsligt stöd finns endast om villkoren i 6 kap. PDL är uppfyllda.
Begäran av kompletterande uppgifter från patientjournal inom en myndighet
Utredningen har haft att överväga hur en begäran och tillgängliggörande av kompletterande personuppgifter ska ske inom en myndighet. Intern begäran och tillgängliggörande aktualiseras när de kompletterande personuppgifterna finns inom samma myndighet som behovet av att använda uppgifterna finns.
En av utredningens utgångspunkter är att det principiellt sett är samma integritetsintrång oavsett om personuppgifter behandlas för vården av en annan patient inom eller mellan myndigheter, se avsnitt 14.4.5. Utredningens uppfattning är därför att villkoren för behandling av personuppgifter inom och mellan myndigheter ska vara så lika som möjligt. Utredningens uppfattning är därför att en medarbetare inom den myndighet som tillgängliggjort personuppgifter till en precisionsmedicinsk databas endast ska få ta del av uppgifterna
11 Se Alfvén Nickson, Offentlighet- och sekretesslag (2009:400), 6 kap. 5 §, Karnov (JUNO) (besökt 2023-09-25).
om villkoren för begäran och tillgängliggörande som utredningen föreslår ska gälla mellan myndighet är uppfyllda. Det ska alltså inte vara möjligt för den medarbetare som behöver kompletterande personuppgifter från patientjournal att använda sin vanliga behörighet till patientjournalsystemet för att på egen hand bereda sig åtkomst till de kompletterande uppgifter som behövs. För att detta ska vara tydligt behövs enligt utredningens mening en uttrycklig formulering om detta i lagtexten.
Av skäl som angetts i avsnitt 14.6.5 kommer uppgifterna som tillgängliggörs till en precisionsmedicinsk databas vara pseudonymiserade eller skyddade på likvärdigt sätt. Detta innebär i praktiken att det i stället för identifierbara personuppgifter i en precisionsmedicinsk databas finns en beteckning (ett löpnummer eller motsvarande) hos vårdgivaren som tillgängliggör uppgifter som kan kopplas till patientens personnummer eller motsvarande identitetsbeteckning. Uppgifter som möjliggör identifiering ska alltså förvaras separat hos den tillgängliggörande vårdgivaren, och en så kallad kodnyckel eller motsvarande kan användas för att ersätta direkta identifierare såsom personnummer eller namn.
Den medarbetare som har behörighet och befogenhet att söka i en precisionsmedicinsk databas kommer därför som utgångspunkt inte kunna veta vem uppgifterna hör till och kan därmed inte heller med hjälp av sin egen vanliga behörighet till patientjournalsystem söka fram mer information om patienten från hens patientjournal. Om behörig personal arbetar inom den myndighet som också är den vårdgivare som medarbetaren ska vända sig till med en begäran om kompletterande uppgifter är frågan under vilka förutsättningar och i vilken ordning detta ska kunna ske.
Utifrån de principiella resonemangen ovan, anser utredningen att det även internt ska göras en preciserad begäran som föregås av en bedömning att kompletterande uppgifter kan antas ha betydelse för vården av patienten. Det kommer att behövas en intern ordning för hur en sådan begäran ska framställas och handläggas. Till följd av begäran får uppgifter inom den inre sekretessen lämnas inom myndigheten till den vårdpersonal som vårdar patienten12, se vidare om befogenhet i avsnitt 14.9.5.
12 Jämför Karlsson Rikard, Sekretess inom en myndighet – en analys av självständighetsrekvisitet
i 8 kap. 2 § OSL, Förvaltningsrättslig tidskrift 2016, s. 547.
14.9.2. Tillgängliggörande av kompletterande personuppgifter
Utredningen föreslår att tillgängliggörande får ske av de uppgifter som omfattas av en begäran av kompletterande personuppgifter.
En vårdgivare som mottar en begäran om kompletterande uppgifter kan inte göra någon närmare bedömning av vilka uppgifter som behövs (se ovan i avsnitt 14.9.1). Utredningen anser att ett generellt stöd i 6 kap. PDL behöver finnas som medger vårdgivare att tillgängliggöra de personuppgifter som omfattas av en begäran.
För att ett sådant tillgängliggörande ska kunna ske till en myndighet som har tillgång till en databas, det vill säga en regional myndighet inom hälso- och sjukvården, behöver vårdgivaren som tar emot en sådan begäran dock förvissa sig om vissa omständigheter.
Det främsta är att begäran görs av en sådan regional myndighet inom hälso- och sjukvården som har tillgång till den precisionsmedicinska databas som vårdgivaren tillgängliggjort uppgifter till. Med detta avser utredningen att en vårdgivare på Gotland, i de fall det rör sig om en precisionsmedicinsk databas inom en samverkansregion, inte kommer kunna lämna ut kompletterande personuppgifter till en regional myndighet inom hälso- och sjukvården i Skåne, eftersom den regionala myndigheten inte har tillgång till den precisionsmedicinska databas som vårdgivaren tillgängliggjort sina personuppgifter till i steg 1 (urval och tillgängliggörande), se vidare avsnitt 14.7.3. Tillgängliggörandet ska alltså följa den indelning mellan olika precisionsmedicinska databaser som utredningen förslår. Utifrån att möjligheten att göra begäran är kopplad till uppgift om vårdgivaren och rätt pseudonym i databasen ser utredningen inte heller att något annat skulle vara praktiskt möjligt. Utredningen anser dock att det bör finnas en uttrycklig regel som fastställer sambandet mellan tillgängliggörande till precisionsmedicinsk databas och tillgängliggörande av kompletterande uppgifter.
Av de föreslagna reglerna om ändamålet framgår att det endast är de personuppgifter som behandlas hos vårdgivaren för ändamålen i 2 kap. 4 § första stycket 1–2 PDL som får behandlas för vården av en annan patient än den som uppgifterna avser. Detta gäller likaså vid ett tillgängliggörande av kompletterande personuppgifter från patientjournal. Som anförts ovan ska uppgifterna vid ett tillgängliggörande i steg 4 också vara pseudonymiserade eller skyddade på annat likvärdigt sätt, se avsnitt 14.9.4.
Även om det ankommer på den begärande myndigheten att precisera vilka uppgifter den behöver, har vårdgivaren som mottar en sådan begäran alltjämt en skyldighet att inte tillgängliggöra uppgifter om omfattningen på uppgifterna i begäran tycks vara helt ogrundad. Likaså har vårdgivaren för det fall den är en offentlig vårdgivare att tillämpa 21 kap. 7 § OSL.
I enlighet med de överväganden som utredningen gjort i avsnitt 17.1.4 har en sekretessbrytande grund i OSL föreslagits med anledning av möjligheten till att begära kompletterande personuppgifter från patientjournal. För det fall ett tillgängliggörande av kompletterande uppgifter ska göras av en privat vårdgivare, se utredningens resonemang kring obehörighetsrekvisitet i PSL avsnitt 17.1.5.
Tillgängliggörande får ske i elektronisk form
Vid elektroniskt utlämnande enligt 5 kap. 6 § PDL fattas ett beslut i varje enskilt fall om uppgifterna kan lämnas ut eller om de omfattas av sekretess. Som regel lämnas informationen ut i en form som medför att mottagaren kan bearbeta den. Det står utlämnande myndigheter principiellt fritt att använda de tekniska lösningar den finner lämpligt, givetvis efter beaktande av de säkerhetskrav som ställs bland annat utifrån dataskyddsförordningen, PDL och HSLF-FS 2016:40.
Utredningen har i detta sammanhang övervägt om begreppet till-
gängliggöra räcker, eller om begreppet behöver förtydligas på något sätt
för att skapa tydlighet gentemot tillgängliggörande till precisionsmedicinsk databas i steg 1, se avsnitt 14.6.2. Utredningen har övervägt formuleringen tillgängliggöra genom att lämna.
Utredningen använder begreppet tillgängliggörande i meningen att personuppgifter görs åtkomliga för en annan myndighet eller inom en myndighet. Eftersom ett tillgängliggörande för tankarna till ett att en uppgift görs tillgänglig i elektronisk form och endast blir synligt för mottagaren finns det en risk för att enbart begreppet tillgängliggörande i steg 4 uppfattas som mer snävt än vad som motsvarar vad som faktiskt händer. Ett tillgängliggörande kan även utgöra ett utlämnande TF eller ett uppgiftslämnande enligt 6 kap. 5 § OSL. Utredningens uppfattning är att det som avses snarare är att en uppgift faktiskt tas emot för att behandlas hos mottagaren. Skrivningen behöver dock ta höjd för möjligheten att myndigheterna rent tekniskt utvecklar
möjligheter att tillgängliggöra uppgifter som inte nödvändigtvis läm-
nar den myndigheten där uppgiften ursprungligen fanns eller att mot-
tagande myndighet direkt behandlar uppgifterna
Sammanfattningsvis har utredningen gjort bedömningen att det mest tydliga alternativet för vad som faktiskt avses är att endast begreppet tillgängliggöra, eftersom tillgängliggörande även kan utgöras av ett utlämnande enligt TF eller ett uppgiftslämnande enligt OSL. Det finns också en fördel med att använda samma begrepp som i steg 1, då det skapar enhetlighet i lagstiftningen. Det centrala utifrån utredningens förslag är att de tekniska lösningarna ska stödja kraven på att ett sådant tillgängliggörande av kompletterande personuppgifter inte blir för omfattande utan följer de begränsningar som följer av föreslagna bestämmelser.
Utredningens bedömning är att det följer av 5 kap. 6 § PDL att utlämnande kan ske genom ett annat utlämnande än direktåtkomst, förutsatt att sekretess inte hindrar det. Utredningens förslag avseende sekretessbrytande bestämmelse finns i avsnitt 17.1.
Tillgängliggörande inom en myndighet
Utredningen lämna förslag som innebär att en begäran om kompletterande personuppgifter inom en myndighet ska ske på samma villkor som en begäran över myndighetsgränser, se ovan avsnitt 14.9.1. Begreppet tillgängliggörande avser både den externa och interna situationen.
Det ska enligt utredningens mening inte vara tillåtet för de medarbetare som ska använda uppgifterna i vården av en patient att själva bereda sig tillgång till dessa genom sin vanliga inloggning till patientjournalsystem. Det behöver finnas en intern ordning för begäran och tillgängliggörande. Den interna ordningen utesluter inte enligt utredningens mening att de kompletterande personuppgifterna tillgängliggörs elektroniskt. En sådan ordning kan enligt utredningens bedömning basera sig på tilldelning av behörighet enligt 4 kap. 2 § PDL, men kan inte avse den allmänna behörighet som tilldelas till patientjournalsystem. Personuppgifterna som tillgängliggörs behöver avgränsas utifrån den begäran som görs och som endast får avse de kompletterande uppgifter som kan antas behövas för vården av en annan patient än den som uppgifterna avser.
Förslag avseende befogenhet för att ta del av personuppgifter för tillgängliggörande och mottagande finns i avsnitt 14.9.5.
14.9.3. Behandling av mottagna personuppgifter
Den regionala myndighet som gjort en begäran och fått tillgång till personuppgifter från vårdgivaren, behöver ha rättsligt stöd för att behandla dessa. Utredningen föreslår en bestämmelse om detta. Behandling avser exempelvis mottagande, användande i vården och eventuellt journalföring beträffande den patient som vårdas.
Redan begäran av personuppgifter är villkorad av att uppgifterna ska antas ha betydelse för vården av en annan patient än den som uppgifterna avser. Att behandling av personuppgifter aldrig får ske utöver vad som är nödvändigt bör enligt utredningens konsekvensenligt framgå av själva bestämmelsen. Utredningen föreslår därför att behandling endast ska få ske, av de kompletterande personuppgifter om en patient som behövs för vården av en annan patient än de som uppgifterna avser.
Från ett praktiskt perspektiv, finns det enligt utredningens mening en risk för att behandling av personuppgifter i form av användande av utfallet av en sökning i precisionsmedicinsk databas och behandling av kompletterande uppgifter flyter ihop. För att tydliggöra att behandling av kompletterande uppgifter juridiskt sett är en tillkommande behandling föreslår utredningen att det i bestämmelsen uttryckligen anges att denna behandling får ske utöver tillgång till precisionsmedicinsk databas.
14.9.4. Pseudonymisering eller annat likvärdigt skydd
Förslag: Tillgängliggörande av kompletterande uppgifter från pati-
entjournal ska endast avse personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt.
Vad innebär pseudonymisering eller likvärdigt skydd?
Utredningen har beskrivit vad som avses med pseudonymisering enligt dataskyddsförordningen ovan i avsnitt 14.6.5. Även när kompletterande personuppgifter begärs från patientjournal ska personuppgifter
pseudonymiseras eller skyddas på likvärdigt sätt. Som beskrivet ovan i avsnitt 14.6.5 kan det finnas alternativ till pseudonymisering med kodnyckel som uppfyller samma syfte, det vill säga att se till att de personuppgifter som tillgängliggörs inte kan sammankopplas med de registrerades identiteter. Därmed kan ett likvärdigt eller till och med bättre skydd ges än vid pseudonymisering med kodnyckel. Exempel på sådana åtgärder är olika typer av generalisering (utredningen har beskrivit generalisering i avsnitt 3.6.1).
Vad innebär kravet i praktiken?
Utifrån ett utfall vid sökning i en precisionsmedicinsk databas, kan en regional myndighet inom hälso- och sjukvården, under vissa förutsättningar, vända sig till den eller de vårdgivare som har tillgängliggjort uppgifterna med en begäran om att få ta del av kompletterande personuppgifter från patientjournaler. Utredningen bedömer att den som begär ytterligare uppgifter inte behöver ta del av direkt identifierbara uppgifter såsom namn och personnummer. Det är inte uppgifter om exempelvis namn eller personnummer som kommer vara intressanta att använda i vården av någon annan.
Den vårdgivare som får begäran om att lämna kompletterande uppgifter behöver alltså se till att ta bort direkt identifierbara uppgifter, innan de kompletterande uppgifterna tillgängliggörs.
En integritetsskyddande åtgärd
Kravet på att tillgängliggörande av kompletterande uppgifter från patientjournal endast ska avse personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt, får sägas vara ägnat att dels minska oro för integritetsriskerna hos de registrerade, dels hjälpa de personuppgiftsansvariga att fullgöra sina skyldigheter i fråga om dataskydd. Vetskapen hos en registrerad om att dennes personuppgifter inte kommer vara direkt identifierbara, kan förväntas bidra till en ökad känsla av trygghet kring den behandling av personuppgifter som sker. Kravet hjälper också personuppgiftsansvariga att uppfylla sina skyldigheter enligt dataskyddsförordningen att vidta lämpliga åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken (jämför art. 32.1 dataskyddsförordningen).
Risk att den enskilde ändå kan identifieras
Även om uppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt, finns en risk att en registrerad i vissa fall ändå kan identifieras av den hälso- och sjukvårdspersonal som personuppgifterna tillgängliggörs till. Så kan vara fallet om det är fråga om en sällsynt sjukdom som bara få registrerade har. Huruvida någon kan identifieras eller inte beror också på vad för annan information den regionala myndighet inom hälso- och sjukvården uppgifterna tillgängliggörs till har. Det kan alltså då, även om direkta identifierare har tagits bort, finnas en risk att hälso- och sjukvårdspersonalen vet vem personen är. Utredningens uppfattning är att uppgifterna i sådana fall är pseudonymiserade, men att det finns en sannolikhet att någon kan bli identifierbar trots detta.
Utredningen anser att det är en risk som inte helt kan minimeras. Denna risk vägs dock upp mot att den enskilde har möjlighet att välja att dennes personuppgifter inte ska få tillgängliggöras till en precisionsmedicinsk databas genom en möjlighet att motsätta sig detta, så kallad opt-out. Intresset av att personuppgifterna ändå kan tillgängliggöras får anses väga tyngre, och uppvägas av nyss nämnda andra skyddsåtgärder, att risken får accepteras.
Kryptering
I avsnitt 14.6.5 redogör utredningen för vad som kan anses vara likvärdigt skydd till pseudonymisering enligt förslagen och varför förslagen inte omfattar ett krav på kryptering.
14.9.5. Behörighet, befogenhet och kontroll
Förslag: Den som arbetar hos en vårdgivare får ta del av doku-
menterade uppgifter om en patient om han eller hon behöver det för sitt arbete med begäran om kompletterande personuppgifter från patientjournal.
Den som har behörighet till precisionsmedicinsk databas får ta del av kompletterande personuppgifter från en patientjournal, som kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser, om han eller hon
1. deltar i vården av en patient, och
2. uppgifterna kan antas ha betydelse för att inom hälso- och
sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten. En bestämmelse som upplyser om att reglerna i 4 kap. 2 och 3 §§ PDL gäller vid begäran om kompletterande uppgifter från patientjournal ska införas i 6 kap. PDL.
Bedömning: De allmänna reglerna om behörighet i 4 kap. 2 §
PDL samt föreskrifter som har meddelats med stöd av 4 kap. 2 § tredje stycket PDL gäller. Den allmänna regeln om kontroll av elektronisk åtkomst i 4 kap. 3 § PDL samt föreskrifter som meddelats med stöd av 4 kap. 3 § andra stycket gäller vid tillgängliggörande av kompletterande personuppgifter.
Om behörighet och befogenhet för tillgängliggörande i enlighet med en begäran om kompletterande personuppgifter från patientjournal
Utredningen noterar att begäran och tillgängliggörande av kompletterande uppgifter från patientjournal i administrativt hänseende liknar uppgiftslämnande som sker med stöd av 2 kap. 5 § PDL. Ur det perspektivet skulle det därför kunna argumenteras för att 4 kap. 1 § PDL är tillämplig på sådan behandling som sker hos den vårdgivare som får en begäran om kompletterande personuppgifter från patientjournal. I övriga steg i utredningens förslag till modell (avsnitt 14.4.5) har dock utredningen lämnat förslag på en särskild befogenhetsregel
som bygger på utredningens bedömning i avsnitt 13.9, se avsnitt 14.6.6, 14.7.5 och 14.8.5.
Även om 4 kap. 1 § PDL kan anses ge stöd åt den administrativa hanteringen vid tillgängliggörande av kompletterande personuppgifter, anser utredningen att det är lämpligare att införa en särskild befogenhetsbestämmelse även för detta moment. Anledningen till detta är att utredningen anser att det finns fördelar med att ha en så pass enhetlig och fullständig reglering av ändamålet som möjligt. Som redogjorts för i avsnitt 13.9 anser inte utredningen att 2 kap. 5 § PDL typiskt sett avser behandling av personuppgifter för vårdändamål. Det föreslagna förfarandet i steg 4 med tillgängliggörande av kompletterande personuppgifter genomförs för syftet att ge vård, närmare bestämt för vården av en annan patient än den uppgifterna avser. Av enhetlighet- och tydlighetsskäl bör därför en särskild befogenhetsbestämmelse finnas i 6 kap. PDL. Bestämmelsen bygger på hur 4 kap. 1 § PDL är utformad och anger att "den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient om han eller hon behöver det för att tillgängliggöra kompletterande personuppgifter från patientjournal”.
Som redogjorts för i avsnitt 14.6.6 fastställs i 4 kap. 2 § PDL en vårdgivares skyldighet att bestämma villkoren för behörighet för de som ingår i vårdgivarens organisation. I bestämmelsen anges att behörigheten ska begränsas till vad som behövs för att den enskilde medarbetaren ska kunna utföra sina arbetsuppgifter inom hälso- och sjukvården.
Med behörighet för åtkomst avser en användares faktiska möjligheter att ta del av uppgifter i exempelvis vårdgivarens journalsystem. Behörighetsstyrning är samlingsbegreppet för de organisatoriska, administrativa och tekniska åtgärder som vidtas för att anpassa och begränsa behörigheten efter användarens behov för att kunna utföra sitt arbete.
Av ovan anförda skäl anser utredningen att den nuvarande bestämmelsen i 4 kap. 2 § PDL kan och bör tillämpas vid ett tillgängliggörande av kompletterande uppgifter från patientjournal. För utredningens bedömning avseende kontrollen av den åtkomst som sker med anledning av en begäran om kompletterande personuppgifter från patientjournal se under rubriken ”Om kontroll av elektronisk åtkomst vid tillgängliggörande efter en begäran om kompletterande personuppgifter”.
Om befogenhet att ta del av kompletterande personuppgifter från patientjournal
I avsnitt 13.9 redogör utredningen för sin analys av varför 4 kap. 1 § PDL inte kan anses tillämplig på situationen när den som arbetar hos en vårdgivare ska ta del av personuppgifter för ändamålet vården av en annan patient än den som uppgifterna avser. Av analysen framgår att det enligt utredningens mening inte kan anses vara fråga om en åtkomst som ses som ett ”deltagande i vården” av den personuppgifterna härrör från. Det som snarare skulle kunna ligga närmare till hands är att när det i bestämmelsen anges att en personal hos en vårdgivare får ta del av uppgifter för att den ”av annat skäl behöver det för sitt arbete inom hälso- och sjukvården”. Som konstateras i ovan nämnda avsnitt får detta uttryck ses som en hänvisning till arbete som är kopplat till de ändamål som anges i 2 kap. 4 § 3–7 PDL.
Då 4 kap. 1 § PDL inte kan anses tillämplig för den behandlande personal som ska använda någon annans personuppgifter i vården av den patient de har framför sig bedömer utredningen att det behövs en särskild befogenhetsregel.
Föreslagen bestämmelse ska tydliggöra att endast de som har behörighet till en precisionsmedicinsk databas och uppfyller villkoren ska ha befogenhet att ta del av kompletterande uppgifter som tillgängliggörs. Utredningens förslag hämtar inspiration från bestämmelsen i 4 kap. § PDL och 3 kap. 1 § SVOD.
Villkoren är att personen i fråga:
1. deltar i vården av en patient, och
2. uppgifterna kan antas ha betydelse för att inom hälso- och sjuk-
vården förebygga, utreda eller behandla sjukdomar och skador hos patienten.
Kriterierna i 1–2 ovan är desamma som utredningens förslag till villkor och befogenhet kopplat till tillgång till precisionsmedicinsk databas, se ovan avsnitt 14.8.5. Utredningen anser att förutsättningarna på mottagarsidan bör vara desamma oavsett om personuppgifterna kommer från den precisionsmedicinska databasen, som genom ett tillgängliggörande av kompletterande information. Utredningens överväganden avseende betydelsen av ”deltar i vården” framgår av avsnitt 14.8.5. De överväganden som görs i samma avsnitt avseende
formuleringen i punkten 2 ovan, har samma tillämplighet på kompletterande uppgifter.
Om kontroll av elektronisk åtkomst vid tillgängliggörande efter en begäran om kompletterande uppgifter
I 4 kap. 3 § PDL finns krav på att en vårdgivare ska dokumentera och kontrollera den åtkomst som sker till de uppgifter om patienter som förs helt eller delvis automatiserat. De frågor som uppstår är om det vid tillgängliggörande och mottagande av kompletterande personuppgifter behövs en särskild regel om kontroll av den åtkomst som föranletts med anledning av det eller om den befintliga bestämmelsen kan anses tillämpbar och om den utgör ett tillräckligt krav för att uppnå det önskade syftet.
Vid införandet av 4 kap. 3 § PDL anfördes att bestämmelsen avsåg tydliggöra vårdgivarens ansvar att kontrollera och följa upp behörighetstilldelningen och på så vis lättare kunna beivra eventuell obehörig åtkomst som skett (se prop. 2007/08:126 s. 149 f.).
Eftersom 4 kap. 3 § PDL gäller alla personuppgifter som hos en vårdgivare behandlas på automatiserad väg, gäller den även för kontroll av den eventuella elektronisk åtkomst som sker vid tillgängliggörande och mottagande av kompletterande personuppgifter (jämför prop. 2007/08:126 s. 149 och s. 183, prop. 2021/22:77 s. 145).
14.10. Betydelsen av den enskildes inställning till personuppgiftsbehandlingen
14.10.1. Den enskildes inställnings betydelse för integritetsskyddet
Redan den omständighet att uppgifter är potentiellt tillgängliga för hälso- och sjukvården kan av olika anledningar uppfattas som skrämmande av den enskilde. Av betydelse för integritetsskyddet har därför att en enskild har möjlighet att få gehör för sin inställning till att dennes personuppgifter görs tillgängliga på olika sätt. Detta är en av de faktorer som påverkar om en personuppgiftsbehandling uppfattas som ett integritetsintrång eller inte. Generellt inom vården gäller att per-
sonuppgifter får behandlas av vårdgivare oavsett den enskildes inställning (2 kap. 2 § PDL), men det finns undantag (se avsnitt 14.10.3).
Det kan antas att de registrerade har lättare att acceptera de föreslagna reglerna om de har möjlighet att påverka tillgängliggörandet av sina personuppgifter. Utredningen har därför funderat över möjligheten för den enskilde att själv bestämma över om dennes personuppgifter kan tillgängliggöras till en precisionsmedicinsk databas, och på vilket sätt detta skulle kunna göras. Det kan också tänkas att en avvägning resulterar i att det allmännas intresse av personuppgiftsbehandlingarna i precisionsmedicinska databaser väger tyngre än den enskildes intresse av medbestämmande.
14.10.2. Former för frivillig medverkan
De former för frivillig medverkan som utredningen ser kan aktualiseras är aktivt samtycke till behandling av personuppgifter eller en möjlighet att motsätta sig att behandling av personuppgifter sker.
Ett aktivt samtycke skulle vara ett samtycke som utgör en integritetshöjande åtgärd, se bilaga 3, avsnitt 1.6. Det integritetshöjande samtycket skulle vara uppställt som ett villkor i PDL för att personuppgiftsbehandling ska få ske i ett visst led eller för att en viss behandling ska få utföras.
Alternativt skulle enskilda kunna få möjlighet att motsätta sig behandling (så kallad opt-out). För att detta alternativ ska ha effekt, behöver enskilda få möjligheten att motsätta sig innan behandlingen sker. Det behövs då ett villkor i PDL om att enskilda ska ha fått den möjligheten innan en viss personuppgiftsbehandling påbörjas.
Kopplat till samtycke eller opt-out krävs att enskilda informeras om den tilltänkta behandlingen före behandlingen sker. Detta för att de ska kunna fatta ett välgrundat beslut i frågan om personuppgiftsbehandlingen. Utredningens överväganden kopplat till information finns i avsnitt 14.10.8.
14.10.3. Rättsläget för frivillig medverkan vid personuppgiftsbehandling inom hälso- och sjukvården
För att kunna göra en avvägning av om, och i så fall hur, den enskildes inställning ska kunna tillmätas betydelse i de regler utredningen föreslår, har utredningen haft anledning att se om det finns andra situationer inom hälso- och sjukvården där den enskilde måste samtycka eller kan motsätta sig viss personuppgiftsbehandling.
Behandling av personuppgifter som är tillåten enligt PDL får utföras även om den enskilde motsätter sig den (2 kap. 2 § PDL). Detta är alltså utgångspunkten i PDL. Det gäller dock inte i de fall som anges i 4 kap. 4 §, 7 kap. 2 § eller om något annat framgår av annan lag eller förordning.
- I 4 kap. 4 § PDL finns bestämmelser om att en patient har möjlighet att begränsa hälso- och sjukvårdspersonalens elektroniska åtkomst till uppgifter om patienten.
- I 7 kap. 2 § PDL föreskrivs att en patient kan motsätta sig att uppgifter om patienten behandlas i ett nationellt eller regionalt kvalitetsregister.
Behandling av personuppgifter som inte är tillåten enligt PDL får ändå ske, om den enskilde lämnat ett uttryckligt samtycke till behandlingen (2 kap. 3 § PDL). Det gäller dock inte om något annat framgår av annan lag eller förordning. Enligt utredningens uppfattning har denna bestämmelse begränsad tillämplighet i praktiken, särskilt när det gäller offentliga myndigheter (se mer om detta i avsnitt 13.8.3).
I SVOD gäller något annat än att behandling av personuppgifter får utföras även om den enskilde motsätter sig den (jämför 2 kap. 2 § PDL). I lagen framgår att en patient på olika sätt kan bestämma om uppgifter om denne ska vara tillgängliga vid sammanhållen vård- och omsorgsdokumentation. Bestämmelserna gäller tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till andra vårdgivares uppgifter om patienter. Om en patient motsätter sig det, får uppgifter om patienten inte göras tillgängliga för andra vårdgivare. I sådant fall ska uppgifterna genast spärras av vårdgivaren (2 kap. 3 § SVOD). Vidare ställer lagen upp vissa krav som behöver vara uppfyllda för att en vårdgivare ska få behandla uppgifter som en annan vårdgivare gjort tillgängliga. Ett av kraven är att patienten har samtyckt (3 kap. 1 § SVOD).
Det finns alltså vissa situationer där den enskilde kan motsätta sig personuppgiftsbehandling inom hälso- och sjukvården. Detta är dock undantag. Som huvudregel gäller ovan nämnda bestämmelse i 2 kap. 2 § PDL, nämligen att behandling av personuppgifter som är tillåten enligt PDL får utföras även om den enskilde motsätter sig den (prop. 2007/08:126, s. 64). En patient kan till exempel inte motsätta sig att det förs patientjournal eller att personuppgifter används för utveckling eller uppföljning av vården inom en vårdgivare. Det finns ändock, som framgår, ovan olika sorters behandling av personuppgifter, där man som en integritetsstärkande åtgärd kräver att den enskilde inte motsätter sig, alternativt aktivt samtycker till, behandlingen för att denna ska få ske.
14.10.4. Hur skulle den enskildes inställning till personuppgiftsbehandling kunna tillmätas betydelse?
Som nämnts ovan ser utredningen att de former för frivillig medverkan som kan aktualiseras är aktivt samtycke till behandling av personuppgifter eller en möjlighet att motsätta sig att behandling av personuppgifter sker (så kallad opt-out). En fråga är också om ett samtycke eller ett motsättande kan avse vissa personuppgifter, till exempel en viss diagnos, eller om den enskildes inställning ska gälla generellt för alla personuppgifter. Ytterligare fråga för övervägande är i vilka led den enskildes inställning skulle kunna tillmätas betydelse, det vill säga när ett samtycke eller ett motsättande ska kunna ske. Nedan redogörs för utredningens överväganden i dessa avseenden.
Samtycke eller motsättande för alla eller bara för vissa uppgifter
En möjlig modell skulle kunna vara att den enskilde samtycker till eller motsätter sig att hens personuppgifter över huvud taget behandlas för ändamålet vården av annan än den som uppgifterna avser. Med andra ord skulle ett samtycke eller motsättande avse samtliga uppgifter.
En annan modell skulle kunna vara att den enskilde samtycker till eller motsätter sig behandling av vissa typer av uppgifter, till exempel en viss diagnos eller uppgifter från en viss typ av klinik. En kategorisering av personuppgifter skulle troligtvis då behöva göras för att
den enskilde skulle kunna ta ställning till vad denne vill och inte vill dela. Utredningens uppfattning är att detta skulle bli för praktiskt svårt och resurskrävande för att vara ett bra alternativ.
Utredningen bedömer därför att ett samtycke eller ett motsättande behöver avse alla personuppgifter som finns om en viss person. Samtycket eller motsättandet ska alltså inte kunna avse enbart vissa personuppgifter som den enskilde själv kan välja.
Urval och tillgängliggörande till precisionsmedicinsk databas
Den enskilde skulle kunna samtycka till eller motsätta sig att personuppgifter hos vårdgivare behandlas i syfte att tillgängliggöra uppgifter till en precisionsmedicinsk databas. Med andra ord skulle hänsyn kunna tas till den enskildes inställning innan uppgifter görs tillgängliga till en precisionsmedicinsk databas.
Ett samtycke innan tillgängliggörande till en precisionsmedicinsk databas skulle kunna inhämtas när en patient söker vård. Detta skulle dock innebära att uppgifterna i en precisionsmedicinsk databas blir begränsad eftersom många kanske inte har kontinuerlig kontakt med hälso- och sjukvården för att samtycket ska kunna inhämtas. Detta blir särskilt relevant för patienters uppgifter som redan samlats in men där hälso- och sjukvården inte längre har någon pågående kontakt med patienten i fråga. Ett sådant exempel kan vara personer som har genomgått utredningar och behandlingar inom hälso- och vården och senare blivit friskförklarade. Med en variant där samtycke ska inhämtas när en patient söker vård, skulle hälso- och sjukvården gå miste om mycket historiska data. Det går också att tänka sig att hälso- och sjukvården går ut med information och ber personer samtycka till ett tillgängliggörande till precisionsmedicinska databaser. Ett sådant förfarande skulle dock förmodligen innebära att många inte tar sig tiden att samtycka. Vidare skulle det kräva mycket resurser av hälso- och sjukvården för att hantera alla samtycken. Utredningen anser därför att detta inte är ett tillfredsställande alternativ.
Ett alternativ till samtycke är att enskilda får möjlighet att motsätta sig att deras personuppgifter görs tillgängliga till en precisionsmedicinsk databas (en så kallad opt-out-lösning). På så sätt ger man den enskilde inflytande om den önskar, men hälso- och sjukvården behöver inte hantera samtycken. I stället får hälso- och sjukvården hantera
motsättande, vilket inte bör vara lika resurskrävande som att hantera samtycken. Ett motsättande skulle då innebära att enskildas personuppgifter inte alls görs tillgängliga till en precisionsmedicinsk databas, alternativt om de redan har gjorts tillgängliga, tas bort ur databasen. Om den enskilde ska ges möjlighet till inflytande, anser utredningen detta vara ett genomförbart alternativ.
Behandling (sökning) av personuppgifter som tillgängliggjorts (i databasen)
Utredningen har övervägt om den enskilde ska kunna motsätta sig eller samtycka till den behandling av personuppgifter som sker genom att sökning görs i databasen efter relevanta fall. Detta skulle innebära att hälso- och sjukvården på något sätt behöver kontakta patienter som finns i en precisionsmedicinsk databas innan en sökning görs på deras uppgifter. Utredningen har svårt att se att detta är ett alternativ som skulle fungera i praktiken. Den som söker i databasen vet troligen inte vilka uppgifter om patienter som kommer att visa sig vid en sökning, vilket gör det svårt att inhämta ett samtycke eller att en patient ska kunna motsätta sig innan en sökning. Utredningen anser därför att detta inte är ett lämpligt alternativ.
Innan användning
Ett annat alternativ är att hälso- och sjukvården ger enskilda möjlighet att samtycka efter att deras personuppgifter visats som del av ett utfall vid sökning i databasen, men innan uppgifterna används i vården av en annan patient. Detta skulle innebära att hälso- och sjukvården kontaktar patienter som de får träff på. Detta skulle bli resurskrävande. Många skulle förmodligen också tycka att det var onödigt att bli kontaktade av hälso- och sjukvården av denna anledning och i vissa fall även upplevas integritetskränkande att exempelvis bli påmind om en diagnos. De som inte vill bidra med sina personuppgifter skulle dessutom troligtvis inte ens vilja finnas med i den precisionsmedicinska databasen alls. En ytterligare aspekt att ta hänsyn till är att personuppgifter som skulle kunna användas i pseudonymiserat format om ett samtycke inte krävs, inte längre kan vara pseudonymiserade om den enskilde ska kontaktas innan användning. Något som får betydelse
för integritetsskyddet. Utredningen ser därför inte att detta är ett lämpligt alternativ.
Kompletterande information från patientjournal
I vissa fall kanske inte informationen i en precisionsmedicinsk databas räcker, och vårdpersonalen som ska använda uppgifterna vill ha kompletterande information från patientjournal från den vårdgivare som har tillgängliggjort uppgifterna till den precisionsmedicinska databasen. I detta led skulle kunna tänkas att den enskilde ges möjlighet att samtycka till att kompletterande uppgifter från patientjournal lämnas ut. Hälso- och sjukvården behöver då kontakta patienter innan kompletterande information görs tillgänglig.
Precis som för andra alternativ ovan skulle förmodligen många tycka att det var onödigt att bli kontaktade av hälso- och sjukvården av denna anledning. De som inte vill bidra med sina personuppgifter skulle också troligtvis inte vilja finnas med i den precisionsmedicinska databasen alls.
Det går också att ställa sig frågan om det är etiskt försvarbart att kontakta patienter med en sådan fråga. Att få frågan kan uppfattas som mer integritetskränkande än att uppgifterna bara delas mellan vårdgivare i hälso- och sjukvården.
Slutsats
Efter en genomgång av alternativen ovan har utredningen kommit till följande slutsatser.
En enskilds inställning till personuppgiftsbehandling behöver avse alla personuppgifter som finns om denna person. Samtycket eller motsättandet ska alltså inte enbart kunna avse vissa personuppgifter som den enskilde själv kan välja.
En enskilds inställning till personuppgiftsbehandling kan tas hänsyn till i olika led. Utredningen anser att enskildas inställning bör beaktas innan ett tillgängliggörande till en precisionsmedicinsk databas sker.
Vidare anser utredningen att det mest lämpliga alternativet är att en enskilds inställning beaktas med en så kallad opt-out lösning, det vill säga att enskild ges möjlighet att motsätta sig (till skillnad från ett aktivt samtycke).
Det går dock att tänka sig att den enskildes inställning inte ska beaktas alls. Utredningens bedömning av detta följer i avsnitt 14.10.5.
14.10.5. Möjlighet att motsätta sig urval och tillgängliggörande till precisionsmedicinsk databas
Förslag: Den enskilde ska kunna motsätta sig att personuppgifter
om denne görs tillgängliga till en precisionsmedicinsk databas. Om en patient motsätter sig det får uppgifter om patienten inte tillgängliggöras till en precisionsmedicinsk databas.
Om patienten motsätter sig tillgängliggörande efter att behandlingen påbörjats, ska uppgifterna utplånas ur databasen så snart som möjligt.
Den enskilde ska kunna motsätta sig ett tillgängliggörande till precisionsmedicinsk databas
Ett sätt att beskriva begreppet personlig integritet i samband med informationshantering är att den enskilde ska kunna kontrollera spridningen av uppgifter om sig själv eller ha en rätt att bestämma vilka uppgifter om sig själv som han eller hon vill dela med sig till andra. Utredningen har därför funderat hur ett tillfredsställande integritetsskydd bör konstrueras och i vad mån detta skydd bör ta sig uttryck i den enskildes frivilliga medverkan (se särskilt föregående avsnitt där olika sätt att ta hänsyn till den enskildes inställning diskuteras). Denna avvägning har resulterat i att utredningen anser att den enskilde ska ha möjlighet att välja om denne vill att hens personuppgifter tillgängliggörs till en precisionsmedicinsk databas. Det mest lämpliga sättet att göra detta är enligt utredningen att den enskilde ges möjlighet att motsätta sig att personuppgifter om denne görs tillgängliga till en precisionsmedicinsk databas, en så kallad opt-out-lösning. Hur utredningen har kommit till denna slutsats utvecklas nedan.
Möjligheten för den enskilde att själv ha inflytande över hur dennes personuppgifter behandlas är en av de faktorer som påverkar om en behandling uppfattas som ett integritetsintrång eller inte. Det kan antas att de registrerade har lättare att acceptera reglerna om de har möjlighet att motsätta sig behandling. Detta bidrar också till att den
enskilde har mer kontroll över användningen av sina personuppgifter och i förlängningen känner sig respekterad. Frågan om den enskilde möjlighet till inflytande är alltså viktig ur ett integritetsperspektiv.
Utredningens förslag innebär att personuppgifter, oftast av känslig natur, ska kunna tillgängliggöras till en precisionsmedicinsk databas från flera olika vårdgivare. Det handlar alltså om känsliga personuppgifter som kan komma att behandlas utanför den myndighet där personuppgifterna ursprungligen dokumenterades. Det kommer därmed medföra en spridning av personuppgifterna över vad som annars skulle skyddas av sekretessgränser. Detta medför att behandlingen kan uppfattas som särskilt integritetskänslig. Utredningen menar därför att det är en viktig del av integritetsskyddet att den enskilde har möjlighet att själv bestämma över tillgängliggörandet. Detta ligger också i linje med grundprincipen i hälso- och sjukvårdslagstiftningen för patientens självbestämmande och integritet. Dessa omständigheter talar enligt utredningen för att det finns skäl att införa en möjlighet för den enskilde att motsätta sig personuppgiftsbehandlingen.
Den enskildes möjlighet till opt-out ska dock ställas emot den precisionsmedicinska databasens viktiga syfte som är att kunna använda personuppgifterna för vården av någon annan. I förlängningen kan detta innebära att liv räddas. Ska då den enskilde ha möjlighet att motsätta sig behandling? Är det rätt att låta invånarna ha en sådan makt att kunna förvägra andra människor möjligheten till vård som kan handla om liv och död? Här står två viktiga intressen emot varandra.
Det finns också anledning att fundera över vad som ingår i samhällskontraktet. Vilken makt ska tillskrivas en enskild och vilken makt ska i stället ligga hos någon annan? Har den enskilde en moralisk skyldighet att bidra med sina personuppgifter? En ytterligare aspekt är att samma person som motsätter sig behandling av dennes personuppgifter, kan få vård baserat på någon annans personuppgifter i en situation där denne behöver det. Något som kan tyckas orättvist.
På andra sidan om detta finns alltså den enskildes intresse att ha inflytande över hur dennes personuppgifter används. Att en persons personuppgifter används i vården för denne själv tycker nog de flesta är självklart. Att personuppgifterna ska användas i vården för någon annan är inte lika självklart. När den enskilde söker vård har denne dessutom som utgångspunkt inte möjlighet att styra över hur personuppgifter som samlas in i samband med detta används av hälso- och sjukvården. Huvudregeln är nämligen att behandling av personupp-
gifter som är tillåten enligt PDL får utföras även om den enskilde motsätter sig den (se särskilt om detta i ovan i avsnitt 14.10.3.I en precisionsmedicinsk databas ska dessa personuppgifter, som den enskilde alltså inte har haft möjlighet att motsätta sig insamlingen och registrering av, vidareanvändas i vården av någon annan. Risken om den enskilde inte har möjlighet att motsätta sig är att den enskilde tappar förtroendet för hälso- och sjukvården och undviker att söka vård i rädsla för hur personuppgifterna kommer att användas.
Något som kan tala emot en lösning med opt out är att underlaget till precisionsmedicinska databaser riskerar att inte bli tillräckligt stort, om alltför många väljer att inte medverka. Mot detta intresse ska dock vägas skyddet av patienternas personliga integritet. Utredningen har funderat över ovan aspekter. Utredningens uppfattning är att de flesta individer kommer vilja bidra med sina personuppgifter, men att det finns ett antal individer som inte kommer vilja det. Det kommer dock troligtvis endast röra sig om en liten minoritet patienter. Det är också denna uppfattning patientföreningar som utredningen har varit i kontakt med ger uttryck för. Det fåtal patienter som motsätter sig att delta bör därför inte få några påtagliga effekter på de precisionsmedicinska databaserna. Utredningen anser vid en avvägning därför att patienternas intresse av självbestämmande och integritet har företräde framför intresset av kompletta precisionsmedicinska databaser. För att tillgodose integritetsintresset anser utredningen att en möjlighet till opt-out är en rimlig lösning. På så sätt ges den enskilde en möjlighet att delta frivilligt.
En annan omständighet som kan tala mot en lösning med opt-out är att det kan komma att krävas komplicerade tekniska lösningar för att hantera patienters motsättande. Utredningen konstaterar dock att det redan i dag krävs komplexa tekniska lösningar vid behandling av personuppgifter inom vården till följd av befintliga regelverk som ställer krav på att kunna hantera stora mängder känslig information med bland annat opt-out. Utredningen anser inte att eventuella tekniska svårigheter är en tillräckligt tungt vägande faktor för att avstå från att föreslå en konstruktion med opt-out.
Vid en sammanvägd avvägning mellan att den enskildes ska kunna motsätta sig och inte, gör utredningen bedömningen att den enskilde ska kunna motsätta sig. Detta är enligt utredningen en lämplig avvägning mellan den enskildes inflytande över hur dennes personuppgifter tillgängliggörs till en precisionsmedicinsk databas och en ända-
målsenlig reglering som uppfyller det tänkta syftet. Patienten ska alltså ha en möjlighet att motsätta sig tillgängliggörande av uppgifter till en precisionsmedicinsk databas. Bestämmelsen uppställer alltså inte något krav på att patienten ska lämna ett uttryckligt samtycke till att uppgifterna om honom eller henne får göras tillgängliga i en precisionsmedicinsk databas. Detta ger uttryck för en så kallad opt-out-modell, eller en ordning i vilket ett tyst samtycke gäller. Om den enskilde motsätter sig innebär detta att uppgifterna på den enskildes begäran inte får tillgängliggöras till en precisionsmedicinsk databas. Om patienten motsätter sig tillgängliggörande efter att behandlingen påbörjats, ska uppgifterna utplånas ur databasen så snart som möjligt.
14.10.6. Barn och deras vårdnadshavare
Bedömning: Det bör inte finnas några särskilda bestämmelser för
barn. Det innebär att barnets vårdnadshavare som regel kan motsätta sig att barnets personuppgifter görs tillgängliga till en precisionsmedicinsk databas. I likhet med vad som gäller i övrigt inom hälso- och sjukvården ska allt större hänsyn tas till barnets önskemål utifrån barnets ålder och mognad. Barn som har tillräcklig ålder och mognad kan självt motsätta sig tillgängliggörande.
Utredningens bedömning
Med barn avses den som är under 18 år. Vårdnaden om ett barn består till dess att barnet fyller 18 år. Vårdnadshavaren har rätt och skyldighet att bestämma i frågor som rör barnets personliga angelägenheter. Vårdnadshavaren ska i takt med barnets stigande ålder och utveckling ta allt större hänsyn till barnets synpunkter och önskemål (6 kap. 11 § föräldrabalken).
För uppgifter om ett barn gäller sekretess som utgångspunkt även i förhållande till dennes vårdnadshavare. Sekretessen gäller dock inte i förhållande till vårdnadshavaren i den utsträckning denne enligt 6 kap. 11 § föräldrabalken har rätt och skyldighet att bestämma i frågor som rör den underåriges personliga angelägenheter, såvida det inte kan antas att den underårige lider betydande men om uppgiften röjs för vårdnadshavaren, eller det annars anges i OSL (12 kap. 3 § första
stycket OSL). Om sekretess inte gäller i förhållande till vårdnadshavaren, förfogar denne ensam eller, beroende på den underåriges ålder och mognad, tillsammans med den underårige över sekretessen till skydd för den underårige (12 kap. 3 § andra stycket OSL). Det betyder att en vårdnadshavare, när det gäller yngre barn, i regel får ha full insyn i barnets uppgifter i exempelvis en patientjournal och att vårdnadshavaren ensam kan häva den sekretess som annars gäller för uppgifterna om barnet. Med barnets stigande ålder och mognad kan sedan vårdnadshavaren besluta tillsammans med barnet. Slutligen, särskilt när det gäller äldre barn som närmar sig 18-årsåldern, kan barnet självt disponera över sina uppgifter utan att vårdnadshavaren har rätt att ta del av dessa och häva den sekretess som gäller till skydd för barnet.
I viss lagstiftning på hälso- och sjukvårdsområdet finns det särskilda bestämmelser för barn. I SVOD finns en särskild bestämmelse som anger att vårdnadshavare inte får spärra uppgifter om barn från tillgänglighet i ett system med sammanhållen vård- och omsorgsdokumentation (2 kap. 3 § andra stycket SVOD). I det fallet tar den särskilda bestämmelsen över i förhållande till föräldrabalkens regler som annars ger vårdnadshavaren rätt att bestämma i frågor som rör den underåriges personliga angelägenheter, vilket typiskt sett omfattar uppgifter i barnets patientjournal. Motivet till den särskilda regeln för sammanhållen vård- och omsorgsdokumentation är att ge vårdpersonal möjlighet att upptäcka barn som far illa och att kunna bedöma om det behöver göras en orosanmälan enligt socialtjänstlagen för att barnet ska få erforderligt skydd (prop. 2021/22:177 s. 94). Utredningen gör bedömningen att det inte finns några sådana skyddsintressen för barn när det gäller personuppgiftsbehandling i precisionsmedicinsk databas. Intresset av att ett barns uppgifter ingår i en precisionsmedicinsk databas handlar inte om att skydda barnet från missförhållanden som utövas av vårdnadshavaren eller att kunna fullgöra någon lagstadgad anmälningsplikt. För behandling i en precisionsmedicinsk databas handlar det i stället om ett allmänt intresse av att kunna använda personuppgifter i vården av någon annan.
Utredningen noterar också att det inte finns någon särreglering för barn när det gäller nationella och regionala kvalitetsregister (7 kap. PDL). Avseende kvalitetsregister allmänna principer om vårdnadshavares rätt och skyldighet att bestämma i frågor som rör barnets personliga angelägenheter, och att allt större hänsyn ska tas till barnets önskemål utifrån barnets ålder och mognad.
Med hänsyn till ovan redogörelse gör utredningen bedömningen att det för tillgängliggörande till precisionsmedicinsk databas inte ska finnas några särskilda bestämmelser för barn. Det innebär att barnets vårdnadshavare som regel kan motsätta sig att barnets personuppgifter görs tillgängliga till en precisionsmedicinsk databas. I likhet med vad som gäller i övrigt inom hälso- och sjukvården ska allt större hänsyn tas till barnets önskemål utifrån barnets ålder och mognad. Det barn som har tillräcklig ålder och mognad kan självt motsätta sig behandlingen.
Utredningen anser att denna bedömning är förenlig med det särskilda skydd för uppgifter om barn som kommer till uttryck i skäl 38 till dataskyddsförordningen. Enligt skäl 38 till dataskyddsförordningen förtjänar barns personuppgifter särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter.
I sammanhanget bör nämnas att Förenta nationernas konvention om barnets rättigheter, förkortad barnkonventionen, som sedan den 1 januari 2020 gäller som svensk lag (lagen [2018:1197] om Förenta nationernas konvention om barnets rättigheter). Lagen innebär ett förtydligande av att rättstillämparna i samtliga mål och ärenden ska tolka svenska bestämmelser i förhållande till barnkonventionen. Enligt artikel 12 ska konventionsstaterna tillförsäkra det barn som är i stånd att bilda egna åsikter rätten att fritt uttrycka dessa i alla frågor som rör barnet. Barnets åsikter ska tillmätas betydelse i förhållande till barnets ålder och mognad. Av artikel 5 följer bland annat att konventionsstaterna ska respektera det ansvar och de rättigheter och skyldigheter som tillkommer till exempel föräldrar eller vårdnadshavare eller andra personer som har juridiskt ansvar för barnet, att på ett sätt som står i överensstämmelse med den fortlöpande utvecklingen av barnets förmåga ge lämplig ledning och råd då barnet utövar de rättigheter som erkänns i konventionen. Utredningens bedömning står, enligt utredningens uppfattning, i överensstämmelse med det som anges i artikel 5 och artikel 12 om att i takt med barnets stigande ålder och mognad ska allt större hänsyn tas till barnets åsikter, önskemål och vilja.
Utredningen anser att det inte heller finns skäl att införa någon specifik åldersgräns för när ett barn självt ska få motsätta sig att personuppgifter görs tillgängliga till precisionsmedicinsk databas. Utredningen anser att det framstår som mest lämpligt att barns självbestäm-
mande respekteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården.
Skäl som talar för att det inte ska vara möjligt att motsätta sig att barns uppgifter görs tillgängliga till precisionsmedicinsk databas
Utredningen har landat i bedömningen att det inte bör finnas några särskilda bestämmelser för barn och att barnets vårdnadshavare som regel kan motsätta sig att barnets personuppgifter görs tillgängliga till en precisionsmedicinsk databas. Utredningen har dock övervägt alternativet att barnets vårdnadshavare inte ska kunna ha den rätten att motsätta sig sådan personuppgiftsbehandling. Argument som skulle tala för ett sådant förhållningssätt är att barn är extra skyddsvärda. Det finns anledning att se etiska aspekter i att ge enskilda vårdnadshavare en rätt att motsätta sig sådan personuppgiftsbehandling om nyttan sätts i relation till integritetsskyddet. Om uppgifter från ett barn potentiellt skulle kunna ge behandlande vårdpersonalen rätt information för att sätta in rätt behandling och minska lidande för ett annat barn är det sannolikt så att det, enligt utredningens bedömning, går att argumentera för att nyttan står i proportion till integritetsintrånget. Det kanske till och med kan handla om att rädda liv, då behöver frågan ställas om det är rimligt att kunna motsätta sig sådan behandling. Det går sannolikt även att resonera om att det kommer finnas färre uppgifter om just barn varför just dessa blir extra värdefulla att kunna ta del av. Utredningen har dock landat i att möjligheten att motsätta sig är en viktig ventil för författningsförslaget ska tas vidare och anses vara tillräckligt anpassat för att säkerställa enskildas integritet. Utredningen har därför, trots resonemanget ovan, ansett att samma regler ska gälla för barn som för vuxna.
14.10.7. Personer som inte endast tillfälligt saknar förmåga att ta ställning
Förslag: En vårdgivare får tillgängliggöra uppgifter om en person
som inte endast tillfälligt saknar förmåga att ta ställning till behandling i en precisionsmedicinsk databas, om
1. personens inställning till sådan behandling av personuppgifter
så långt som möjligt har klarlagts, och
2. det inte finns anledning att anta att personen skulle ha motsatt
sig behandlingen av personuppgifterna.
Ovan har utredningen konstaterat att personer ska ha möjlighet att motsätta sig urval och tillgängliggörande till precisionsmedicinsk databas (se avsnitt 14.10.5). Detta förutsätter att personen har förmåga att ta del av information om, och ta ställning till, ett tillgängliggörande. Fråga uppstår då vad som ska gälla för personer som inte endast tillfälligt saknar förmåga att ta ställning.
Utredningen anser att frågan om vad som ska gälla för personer som inte endast tillfälligt saknar förmåga att ta ställning är en del av en större fråga om dessa personers ställning inom vård generellt. Samtidigt kan frågan om dessa personers roll generellt inom vård naturligtvis inte lösas inom ramen för utredningens uppdrag.
Utredningen konstaterar att det för kvalitetsregister finns bestämmelse i 7 kap. 2 a § PDL som anger att för enskild som inte endast tillfälligt saknar förmåga att ta ställning får personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister, om hans eller hennes inställning till sådan personuppgiftsbehandling så långt som möjligt klarlagts, och det inte finns anledning att anta att han eller hon skulle ha motsatt sig personuppgiftsbehandlingen. Bestämmelsen fanns inte vid PDL:s införande utan har införts senare (se prop. 2013/14:202, Förbättrad informationshantering avseende vissa patienter inom hälso- och sjukvården). Liknande reglering gäller vid sammanhållen vård- och omsorgsdokumentation (se 2 kap. 6 § SVOD). I den nyligen införda biobankslagen (2023:38) finns en bestämmelse som är annorlunda utformad. Där anges att ett prov får samlas in till och bevaras i en biobank för provgivarens vård eller behandling även om provgivaren på grund av sjukdom, psykisk störning, försvagat hälsotillstånd eller något annat liknande förhållande inte kan ta ställning till frågan om hanteringen
av provet (4 kap. 8 §). Motiveringen bakom denna regel är att det är av stor vikt att biobankslagstiftningen inte medför att beslutsoförmögna går miste om vård och behandling (prop. 2021/22:257 s. 142).
Frågan om beslutsoförmögnas roll inom vård har behandlats i flera statliga utredningar. Utredningen om beslutsoförmögna personers ställning i vård, omsorg och forskning (SOU 2015:80) föreslår en ny lag om stöd och hjälp till vuxna vid ställningstaganden till hälso- och sjukvård och omsorg, med bestämmelser om företrädare för vuxna personer som inte har förmåga att i olika situationer själva ta ställning i frågor som gäller deras hälso- och sjukvård och omsorg. Betänkandet har ännu inte lett till några författningsändringar, vilket visar på komplexiteten i dessa frågor.
Utredningen konstaterar att det hade varit önskvärt om en helhetslösning inom vården kunnat åstadkommas för personer som inte kan ta ställning, som utredningens lagförslag kunnat utgöra en del av. Mot bakgrund av att det i dag inte finns några sådana lösningar, behöver utredningen ta ställning till vad som ändå ska gälla för dessa personer i förhållande till precisionsmedicinska databaser.
Utredningen anser att det ska finnas förutsättningar att inkludera personuppgifter om personer som inte endast tillfälligt saknar förmåga att ta ställning i precisionsmedicinska databaser. Att helt exkludera dessa personer kan leda till att vissa patientgrupper inte får tillgång till vård med stöd av precisionsmedicinska databaser, vilket vore olyckligt.
Utredningen anser att det framstår som mest lämpligt att dessa personers självbestämmande hanteras på motsvarande sätt som i kvalitetsregister och i sammanhållen vård- och omsorgsdokumentation. Att införa ännu en reglering som skiljer sig åt från dessa regler i utformning finner utredningen mindre lämpligt, även om utredningen också kan konstatera att bestämmelsen inte är helt tillfredsställande. Detta eftersom vårdgivaren inte alltid har den kontakt med patienten som krävs för att den föreslagna regleringen ska fungera optimalt.
Med hänsyn till ovan redogörelse föreslår utredningen att vårdgivare får tillgängliggöra uppgifter om personer som inte endast tillfälligt saknar förmåga att ta ställning till behandling i en precisionsmedicinsk databas, om personens inställning till sådan behandling av personuppgifter så långt som möjligt har klarlagts, och det inte finns anledning att anta att personen skulle ha motsatt sig behandlingen av personuppgifterna.
14.10.8. Information om möjligheten att motsätta sig tillgängliggörande till en precisionsmedicinsk databas
Förslag: Innan personuppgifter görs tillgängliga i en precisions-
medicinsk databas ska den som är personuppgiftsansvarig informera den enskilde om vad personuppgiftsbehandling i precisionsmedicinsk databas innebär, vad behandling av kompletterande personuppgifter från patientjournal innebär och möjligheten att motsätta sig att uppgifter görs tillgängliga till en precisionsmedicinsk databas.
Att den enskilde ska ges viss information bygger på respekten för den enskildes självbestämmande och integritet. Att den enskilde har fått klar, tydlig och korrekt information är en förutsättning för att den enskilde ska kunna fatta ett välgrundat beslut i frågan om personuppgifterna bör få göras tillgängliga till en precisionsmedicinsk databas. Rätten till information och individens möjlighet att därmed tillvarata sin rätt att motsätta sig personuppgiftsbehandlingen är ett viktigt led i skyddet av den personliga integriteten. Det bör därför finnas bestämmelse som slår fast att den enskilde, innan uppgifter görs tillgängliga till en precisionsmedicinsk databas, ska informeras om vad personuppgiftsbehandling i precisionsmedicinsk databas innebär, vad behandling av kompletterande personuppgifter från patientjournal innebär och möjligheten att motsätta sig att uppgifter görs tillgängliga till en precisionsmedicinsk databas.
Hur informationen ska lämnas överlåts åt de personuppgiftsansvariga att bestämma. Det är viktigt att de personuppgiftsansvariga utarbetar rutiner för hur informationsskyldigheten ska fullgöras. Säkra rutiner ligger i den personuppgiftsansvarigas eget intresse, så att de kan visa att faktisk information har lämnats till den enskilde.
Den information som ska lämnas enligt utredningens förslag ska uppfylla kraven i dataskyddsförordningen på information till den enskilde. Av artikel 12 i dataskyddsförordningen följer bland annat att sådan information ska tillhandahållas i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form.
Av artikel 13 i dataskyddsförordningen följer att om personuppgifter samlas in från den registrerade, ska den personuppgiftsansvarige,
när personuppgifterna erhålls, till den registrerade lämna viss information om bland annat ändamål och rättslig grund för behandlingen, lagringstid, uppgift om den registrerades rätt till tillgång, rättelse, radering, begränsning av behandling, invändning mot behandling och rätten att återkalla ett eventuellt samtycke. Artikel 14 i dataskyddsförordningen reglerar den information som ska tillhandahållas om personuppgifterna har erhållits från någon annan än den registrerade. Den personuppgiftsansvarige är således redan enligt EU:s dataskyddsförordning skyldiga att lämna viss information till den registrerade.
Utredningen gör bedömningen att det inte strider mot dataskyddsförordningen att ställa upp ytterligare krav på att den enskilde blir informerad för att personuppgifterna ska få behandlas på ett visst sätt. Enligt artikel 6.2 och 6.3 i dataskyddsförordningen är det tillåtet med sådana särskilda bestämmelser när det gäller personuppgifter som behandlas med stöd av artikel 6.1 e (för att utföra en uppgift av allmänt intresse) i dataskyddsförordningen, vilket det här är fråga om (se avsnitt 14.3). Det är således förenligt med dataskyddsförordningen att ställa upp särskilda krav på information som förutsättning för att personuppgifter ska få behandlas.
14.11. Bevarande och gallring
Förslag: Personuppgifter i en precisionsmedicinsk databas ska gall-
ras när de inte längre behövs för ändamålen med databasen.
Personuppgifter i en precisionsmedicinsk databas som ska utplånas till följd av att patienten motsatt sig tillgängliggörande sedan uppgifterna tillgängliggjorts får gallras.
När en handling i en precisionsmedicinsk databas är tillgänglig för flera regionala myndigheter gäller skyldigheten att bevara den endast för den myndighet som för databasen.
Utredningen ser behov av bestämmelser som rör bevarande och gallring av personuppgifter i en precisionsmedicinsk databas. Utredningen föreslår en generell regel om gallring av personuppgifter i precisionsmedicinisk databas, se avsnitt 14.11.1. Vidare föreslår utredningen en bestämmelse om gallring som avser uppgifter som enligt utredningens förslag till regler i 6 kap. PDL ska utplånas ur en precisionsmedicinsk databas, se avsnitt 14.11.1. Slutligen föreslår utredningen en bestäm-
melse som rör ansvar för arkivbildningen där uppgifter i en precisionsmedicinsk databas är tillgängliga för flera myndigheter, se avsnitt 14.11.2.
14.11.1. Gallring i precisionsmedicinsk databas
Utredningen ser behov av att reglera två situationer där gallring av uppgifter i precisionsmedicinsk databas får ske. Den ena är när uppgifter inte längre behövs för ändamålet med databasen. Den andra är när uppgifterna ska utplånas till följd av att patienten, sedan uppgifterna har tillgängliggjorts, motsatt sig tillgängliggörande.
Gallring för att uppgifterna inte längre behövs för ändamålet
Lagring av personuppgifter är en form av behandling av personuppgifter enligt EU:s dataskyddsförordning. Huvudregeln i artikel 5.1 e i EU:s dataskyddsförordning är att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Denna utgångspunkt får anses vara ett uttryck för resultatet av avvägningen mellan integritetsskyddsintresset och det informationsbehov som uppgifterna ska tillgodose.
När en personuppgift inte längre behöver behandlas för de ursprungliga ändamålen ska uppgiften raderas eller avidentifieras. Med avidentifiering menas att alla möjligheter att identifiera en person tas bort. Särskilda regler gäller enligt EU:s dataskyddsförordning om personuppgifter behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Om personuppgifter behandlas enbart för dessa ändamål, får de bland annat lagras under längre perioder i enlighet med kraven i artikel 89.1 i EU:s dataskyddsförordning och under förutsättning att lämpliga tekniska och organisatoriska åtgärder vidtas.
Regleringen i EU:s dataskyddsförordning gäller inte i den utsträckning att det skulle hindra en myndighet att arkivera och bevara allmänna handlingar. Handlingsoffentligheten har företräde framför EU:s dataskyddsförordning, vilket innebär att personuppgifter i allmänna handlingar inte ska gallras enligt bestämmelser i dataskyddsförordningen. Av 3 § arkivlagen (1990:782), förkortad arkivlagen, framgår
att en myndighets arkiv, som bland annat består av de allmänna handlingarna från myndighetens verksamhet, ska bevaras. Huvudprincipen enligt arkivlagstiftningen är således att allmänna handlingar ska bevaras. Enligt bestämmelsen ska myndigheternas arkiv bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. Det följer dock av 10 § arkivlagen att allmänna handlingar under vissa förutsättningar får gallras.
När det gäller gallring är arkivlagens bestämmelser subsidiära i förhållande till annan lagstiftning. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning, har de bestämmelserna företräde (10 § tredje stycket arkivlagen). En bestämmelse om gallring innebär alltså inte bara att uppgiften inte längre får behandlas i dataskyddsförordningens mening, utan även att arkivrättslig gallring ska ske. Om det i författningar som rör myndigheters behandling av personuppgifter inte finns några särskilda regler om gallring, ska således arkivlagens bestämmelser om bevarande som huvudprincip tillämpas.
Regeringen har bedömt att bestämmelser i registerförfattningar, som innebär att personuppgifter ska eller får bevaras under viss tid alternativt gallras efter en viss tid eller när de inte längre är nödvändiga för de ändamål för vilka de behandlas, är sådana nationella bestämmelser om lagringstid som är tillåtna enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning när behandlingen grundar sig på en rättslig förpliktelse, en uppgift av allmänt intresse eller som ett led i myndighetsutövning.
Den rättsliga grunden för de precisionsmedicinska databaserna är uppgift av allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning. Enligt 3 kap. 17 § PDL ska en journalhandling bevaras i minst tio år efter det att den sista uppgiften fördes in i handlingen. I patientjournallagen (1985:562), som upphävdes år 2008 när PDL trädde i kraft, gällde som huvudregel för journalhandlingar en bevarandetid på minst tre år efter det att den sista uppgiften fördes in i handlingen. Uppgifterna i en precisionsmedicinsk databas utgör dock inte sådan journalhandling att PDL:s reglering i 3 kap. 17 § blir tillämplig.
Utredningens bedömning är därför att en särskild bestämmelse om lagringstid är förenlig med dataskyddsförordningen och kan införas i lagen. Principen att gallring ska ske motiveras i första hand av integritetsskäl. Behovet av gallringsbestämmelser måste således avgöras genom en avvägning mellan å ena sidan intresset av skydd för den
personliga integriteten och å andra sidan intresset av offentlighet och insyn i myndigheternas verksamhet. Bevarandetidens längd ska motiveras utifrån de ändamål som den precisionsmedicinska databasen avser att tillgodose och med beaktande av integritetsskyddsintresset. Den tid under vilken personuppgifter bevaras bör inte vara längre än vad som behövs för att de ändamål som den aktuella personuppgiftsbehandlingen syftar till ska kunna uppnås. Vid lagringen av uppgifter i de precisionsmedicinska databaserna kommer känsliga personuppgifter att behandlas om patienters hälsa. Behandlingen kan komma att omfatta många patienter. Utredningens bedömning är därför att en bestämmelse om vilken bevarandetid som ska gälla för uppgifterna som behandlas i de precisionsmedicinska databaserna i samverkansregionerna och GMS enligt PDL ska införas. Bevarandetidens längd ska motiveras utifrån de ändamål som lagen avser att tillgodose och med beaktande av integritetsskyddsintresset.
Gallring är en oåterkallelig åtgärd som kan ha återverkningar bland annat på uppgifternas användbarhet för forskningsändamål. För att tydligare skilja mellan arkivrättsliga regler och regler om skydd för personuppgifter bör begreppet gallring enbart användas i den betydelse det har i arkivlagstiftningen. När syftet som i detta fall är att skydda den personliga integriteten bör regleringen därför i stället ange den yttersta gränsen för hur länge personuppgifterna får behandlas. Sådan bestämmelse bör därför formuleras så att de anger den längsta tid som personuppgifter får behandlas.
Frågan om olika bevarandetider i samband med behandling av patientuppgifter utan att vara journalhandlingar, har lyfts tidigare inom ramen för andra lagstiftningsärenden, bland annat i förarbetena till lagen (2018:1212) om nationell läkemedelslista (prop. 2017/18:223) och i delbetänkande av Utredningen om E-recept inom EES (SOU 2021:102). Det framhålls då att en konstruktion med olika bevarandetider skulle försvåra den personuppgiftsansvariges hantering av uppgifterna och även för den enskilde att bilda sig en uppfattning om vad den verkliga bevarandetiden är. En sådan lösning är därför utifrån ett integritetshänseende inte ändamålsenlig. Avseende regleringen om bevarandetid i lagen om nationell läkemedelslista gjorde regeringen bedömningen att den tid om fem år som föreslagits i departementspromemorian var välavvägd för att ändamålen med personuppgiftsbehandlingen i den nationella läkemedelslistan skulle uppnås. Vid bedömningen av vilken bevarandetid som var lämplig ansågs syftet
med dessa ändamål vara vägledande. Regeringen bedömde då att fem år var välavvägd för ändamålen med personuppgiftsbehandlingen i den nationella läkemedelslistan. Vad gäller de i PDL föreslagna ändamålen kan det precis som i förarbetena till den nationella läkemedelslistan diskuteras om det är lämpligt med olika bevarandetider för de olika ändamålen. Syftet är i vissa avseenden liknande som i PDL, bland annat genom användandet av patientuppgifter för vård. Syftet med en precisionsmedicinsk databas är dock inte att skapa ett register med fullständig information om patienten, utan att tillgängliggöra ett samlat underlag för behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. Utredningen bedömer mot denna bakgrund att bevarandetiden för uppgifterna i de precisionsmedicinska databaserna inte bör följa regleringen i 3 kap. 17 § PDL, utan uppgifterna ska i stället bevaras så länge syftet med databaserna är uppfyllt och därefter gallras när uppgifterna inte längre behövs för ändamålen med databasen.
Gallring för att uppgifterna ska utplånas
Enligt utredningens förslag ska patienten få information om vad personuppgiftsbehandling i precisionsmedicinsk databas innebär och ha möjlighet att motsätta sig tillgängliggörande av uppgifter till sådan databas. Motsätter sig patienten ska tillgängliggörande inte ske. I den situation att patienten motsätter sig efter att tillgängliggörande har skett, ska uppgifterna i den precisionsmedicinska databasen utplånas. Uppgifter i en precisionsmedicinsk databas kan vara allmänna handlingar som omfattas av arkivlagens regler om bevarande. För att ett utplånande inte ska hamna i strid med arkivlagens bestämmelser krävs en regel om att gallring av uppgifter är tillåten i den aktuella situationen.
En regel om gallring får inte stå i strid med intresset av bevarande av allmänna handlingar. Utredningen konstaterar att de uppgifter som finns i en precisionsmedicinsk databas är uppgifter som vårdgivare behandlar enligt 2 kap. 4 § första stycket 1–2 PDL och som vidareanvänds för vården av en annan patient än den som uppgifterna avser. Uppgifter som utplånas finns därmed bevarade som journalhandlingar hos den vårdgivare som tillgängliggjort uppgifterna. Intresset av bevarande får därigenom anses tillgodosett.
14.11.2. Ansvar för bevarande när handlingar är tillgängliga för flera myndigheter
Huvudregeln enligt arkivlagen är att allmänna handlingar ska bevaras. En myndighets arkiv bildas i huvudsak av de allmänna handlingarna från myndighetens verksamhet.
I 2 a § arkivlagen föreskrivs att det som enligt den lagen gäller för kommunala myndigheters arkiv även ska gälla för arkiv hos sådana juridiska personer som avses i 2 kap. 3 § OSL, det vill säga sådana bolag, föreningar och stiftelser där kommuner eller regioner utövar ett rättsligt bestämmande inflytande.
För elektronisk information gäller till en början en undantagsregel som är av särskilt intresse i fråga om tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande. Upptagningar för automatisk behandling som är tillgängliga för flera myndigheter så att de utgör allmänna handlingar hos alla dessa myndigheter, ska dock bilda arkiv endast hos en av myndigheterna, i första hand den myndighet som svarar för huvuddelen av upptagningen (3 § första stycket andra meningen arkivlagen). Undantaget är nödvändigt eftersom en upptagning för automatiserad behandling som är tillgänglig för flera myndigheter på så sätt att de till exempel kan läsa innehållet, anses förvarad hos och inkommen till samtliga myndigheter som kan läsa den (se 2 kap. 6 och 9 §§ TF). Upptagningen är därmed allmän handling hos samtliga myndigheter som kan ta del av den (se prop. 1989/90:72 bilaga 1, s. 30 och 68). I denna situation ska samma upptagning inte bevaras och bilda arkiv hos alla myndigheterna. De myndigheter som inte ansvarar för upptagningen kan därmed normalt gallra den. Om en myndighet använder uppgifter ur upptagningen i sin verksamhet, så kan dessa omfattas av dokumentationsskyldighet och ingå i myndighetens arkiv.
När det gäller gallring är arkivlagens bestämmelser subsidiära i förhållande till annan lagstiftning. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning, har de bestämmelserna företräde (10 § tredje stycket arkivlagen). En bestämmelse om gallring innebär alltså inte bara att uppgiften inte längre får behandlas i dataskyddsförordningens mening, utan även att arkivrättslig gallring ska ske. Om det i författningar som rör myndigheters behandling av personuppgifter inte finns några särskilda regler
om gallring, ska således arkivlagens bestämmelser om bevarande som huvudprincip tillämpas.
Bestämmelser om bevarande och gallring av patientjournaler inom hälso- och sjukvården och dokumentation inom socialtjänsten finns i olika författningar. Av 3 kap. 17 § PDL följer att en journalhandling ska bevaras minst tio år efter det att den sista uppgiften fördes in i handlingen. I vissa fall får regeringen eller den myndighet som regeringen bestämmer föreskriva om längre bevarandetid. Enligt gallringsföreskrifter inom den regionala inom hälso- och sjukvården gäller ofta evig bevarandetid för patientjournaler.
Utredningens förslag om tillgång till personuppgifter i precisionsmedicinsk databas innebär att handlingar kan anses inkomna och förvarade hos den regionala myndigheter inom hälso- och sjukvården som har tillgång till en databas och därmed utgöra allmänna handlingar hos den myndigheten, se avsnitt 14.7.6. Tillgång får enligt utredningens förslag ges genom direktåtkomst eller annat elektroniskt utlämnande.
Tillgång till en precisionsmedicinsk databas bör inte medföra en omfattande utökning av arkivbildningen hos de myndigheter som ges tillgång. Samtidigt bör inte heller bevarande av allmänna handlingar försämras. Utredningen konstaterar att de uppgifter som tillgängliggörs enligt utredningens förslag ingår i arkivbildningen, dels hos de vårdgivare som tillgängliggör uppgifter till den precisionsmedicinska databasen, dels hos den myndighet som för databasen. För att intresset av bevarande av allmänna handlingar ska tillgodoses behöver inte uppgifter i en precisionsmedicinsk databas, endast av de skälet att de är tillgängliga, även ingår i arkivbildningen hos de myndigheter som ges tillgång till en sådan databas. Detta bör uttryckas i en särskild bestämmelse i 6 kap. PDL. I de fall uppgifter laddas ner eller på annat sätt tillförs dokumentationen hos den myndighet som har tillgång till databasen ingår uppgifterna i den myndighetens arkivbildning (jämför prop. 2021/22: 177, s. 156).
14.12. Ytterligare föreskrifter om precisionsmedicinska databaser och bemyndiganden
Förslag: Det ska i 6 kap. PDL införas en bestämmelse som upp-
lyser om att regeringen med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om precisionsmedicinska databaser.
Regeringen ska med stöd av 8 kap. 7 § regeringsformen bemyndiga Socialstyrelsen att meddela närmare föreskrifter om tilldelning av behörighet till precisionsmedicinsk databas.
Bedömning: I anledning av förslagen reglering i 6 kap. PDL kan
HSLF-FS 2016:40 behöva ändras.
Utredningen förslår, dels att det i 6 kap. PDL ska finns en generell bestämmelse som upplyser om att regeringen med stöd av den så kallade restkompetensen i 8 kap. 7 § regeringsformen kan meddela föreskrifter om precisionsmedicinska databaser, se vidare avsnitt 14.12.1. Utredning föreslår även en bestämmelse om att regeringen bemyndigar Socialstyrelsen att meddela närmare föreskrifter om tilldelning av behörighet till precisionsmedicinsk databas, se vidare avsnitt 14.12.2. Vidare konstaterar utredningen att, utan behov av förändring i patientdataförordningen (2008:360), HSLF-FS 2016:40 kan behöva ändras i anledning av utredningens förslag till reglering i 6 kap. PDL.
14.12.1. Ytterligare föreskrifter i förordning om precisionsmedicinsk databas
Utredningen föreslår att vissa förhållanden rörande precisionsmedicinsk databas regleras i en ny förordning vid namn Förordning om
vidareanvändning av patientdata i precisionsmedicinsk databas.
De förhållanden som utredningen förslår ska regleras i förordningen avser förslag i avsnitt 14.6 om tillgängliggörande till precisionsmedicinsk databas, avsnitt 14.7 om inrättande och förande av precisionsmedicinsk databas och avsnitt 14.8 om tillgång till precisionsmedicinsk databas.
Utredningen har övervägt om en upplysningsbestämmelse avseende regeringens möjlighet att meddela föreskrifter bör placeras vid varje bestämmelse i kapitel 6 som kopplar till utredningens förslag
till förordning, eller annars där utredningen ser att det kan bli aktuellt med normgivning på lägre nivå än lag. Utifrån att utredningens förslag till förordning ansluter till flera delar av föreslagna regler i kapitel 6 PDL, anser utredningen att det är lämpligast att ha en upplysningsbestämmelse i slutet av kapitlet med en generell formulering. Utredningen föreslår därför en bestämmelse som upplyser om att regeringen med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om precisionsmedicinska databaser.
Utredningen sammanfattar i det följande vilka huvudsakliga förhållanden som utredningen föreslår att regeringen, med stöd av 8 kap. 7 § regeringsformen, ska besluta om i den nya förordningen.
I förordningen ska det finnas bestämmelser om inrättande och förande av precisionsmedicinisk databas, se avsnitt 14.7.1. En precisionsmedicinsk databas får inrättas och föras i var och en av de samverkansregioner som anges i 3 kap. 1 § HSF. En precisionsmedicinsk databas som inrättas och förs inom ramen för samverkansregionalt samarbete kallas för samverkansregional precisionsmedicinsk databas. Därutöver får en precisionsmedicinsk databas inrättas och föras inom NGP. Bestämmelserna kopplar till föreslagen regel i 6 kap. 10 §.
I förordningen ska det finna bestämmelser om urval och tillgängliggörande av personuppgifter till en precisionsmedicinsk databas, se avsnitt 14.6. Vårdgivare som omfattas av en samverkansregion får endast tillgängliggöra personuppgifter till den precisionsmedicinska databas som finns i vårdgivarens samverkansregion. Vårdgivare som inte omfattas av en samverkansregion, men som bedriver hälso- och sjukvård med en region som huvudman, får tillgängliggöra personuppgifter till den samverkansregionala databas som huvudmannen omfattas av.
Övriga vårdgivare får tillgängliggöra personuppgifter till samverkansregional precisionsmedicinsk databas efter överenskommelse med den regionala myndighet som för databasen. Bestämmelserna kopplar till föreslagen regel i 6 kap. 13 § PDL.
I förordningen ska det finna bestämmelser om tillgång till personuppgifter till precisionsmedicinsk databas, se avsnitt 14.8. Till samverkansregionala precisionsmedicinska databaser får endast regionala myndigheter inom den samverkansregion där en samverkansregional precisionsmedicinsk databas förs, ges tillgång. Till precisionsmedicinsk databas inom NGP, får endast regionala myndigheter som ingår i GMS ges tillgång. Bestämmelserna kopplar till föreslagen regel i 6 kap. 16 § PDL.
14.12.2. Bemyndigande till Socialstyrelsen avseende närmare föreskrifter om tilldelning av behörighet till precisionsmedicinsk databas
Utredningen föreslår att regeringen med stöd av 8 kap. 7 § regeringsformen ska bemyndiga Socialstyrelsen att meddela föreskrifter om tilldelning av behörighet till precisionsmedicinsk databas. Enligt utredningens förslag ska 2 § 1 i patientdataförordningen (2008:360) ändras så att den även omfattar tilldelning av behörighet för åtkomst till precisionsmedicinsk databas.
Med stöd av bemyndigandet kan Socialstyrelsen, i den utsträckning det behövs, göra ändringar i HSLF-FS 2016:40 som avser utredningens förslag om tilldelning av behörighet för åtkomst till precisionsmedicinsk databas, se avsnitt 14.8.4.
14.12.3. Eventuella ytterligare ändringar i HSLF-FS 2016:40
Utöver föreslagen ändring i patientdataförordningen avseende tilldelning av behörighet, se avsnitt 14.12.2, har utredningen inte identifierat något behov av ändring i patientdataförordningen för att Socialstyrelsen ska kunna göra eventuellt behövliga ändringar i HSLF-FS 2016:40 med anledning av utredningens förslag till reglering i kap. 6 PDL. Utredningen noterar att exempelvis 3 § i patientdataförordningen redan omfattar eventuella bestämmelser i 6 kap. PDL. Ändringar i HSLF-FS 2016:40 i fråga om säkerhetsåtgärder vid helt eller delvis automatiserad behandling av personuppgifter som kan behövas i anledning av utredningens förslag till nya regler i 6 kap. PDL kan således göras utan ändring i patientdataförordningen. Utredningen konstaterar att det kan finnas behov av en översyn och eventuellt ändringar i HSLF-FS 2016:40 om utredningens förslag till regler i 6 kap. PDL införs.
14.13. Följdändringar
Förslag:
Av 2 kap. 2 § PDL ska det framgå att behandling av personuppgifter inte får ske om den enskilde motsätter sig det enligt 6 kap. 2 § PDL.
I 2 kap. 4 § andra stycket PDL ska det upplysas om att det i 6 kap. 5 § finns särskilda bestämmelser om behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser.
I 2 kap. 6 § PDL ska det upplysas om att det i 6 kap. finns särskilda bestämmelser om personuppgiftsansvar.
I 4 kap. 1 § PDL ska det upplysas om att det i 6 kap. PDL finns särskilda bestämmelser om inre sekretess vid behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser.
I 4 kap. 2 § ska det upplysas om att det i 6 kap. PDL finns ytterligare bestämmelser som gäller vid tilldelning av behörighet till en precisionsmedicinsk databas.
I 5 kap. 4 § PDL ska det upplysas om att det finns ytterligare bestämmelser om direktåtkomst och annat elektroniskt utlämnande i 6 kap. PDL.
I 8 kap. 6 § andra stycket PDL ska det upplysas om att det i 6 kap. finns ytterligare bestämmelser om vilken information som ska lämnas i vissa fall.
I 8 kap. 7 § PDL ska det upplysas om att det i 6 kap. PDL finns förskrifter om rättigheter för den enskilde.
I anledning av utredningens förslag om regler avseende precisionsmedicinska databaser och behandling i övrigt av personuppgifter för vården av en annan patient än den som uppgifterna avser, behöver vissa följdändringar göras i PDL.
Enligt 2 kap. 2 § PDL får behandling av personuppgifter som är tillåten enligt lagen utföras även om den enskilde motsätter sig den. Detta gäller dock inte i de fall som anges i vissa bestämmer som räknas upp i paragrafen. Den enskilde kan enligt utredningens förslag motsätta sig tillgängliggörande av personuppgifter till en precisionsmedicinsk databas. Därför ska även 6 kap. 2 § vara med i den uppräkning som görs i bestämmelsen.
I 2 kap. 4 § PDL första stycket finns en uppräkning av ändamål som personuppgifter får behandlas för inom hälso- och sjukvården. av bestämmelsen andra stycket finns en upplysning om att det i 7 kap. 4 och 5 §§ finns särskilda bestämmelser om ändamålen med behandling av personuppgifter i nationella och regionala kvalitetsregister. Utredningen föreslår införande av särskilda bestämmelser för behandling av personuppgifter för ändamålet vården av en annan patient än den som uppgifterna avser. Det bör därför göras ett tillägg i 2 kap. 4 § andra stycket som upplyser om detta.
I 2 kap. 6 § PDL finns bestämmelser om personuppgiftsansvar. Med anledning av utredningens förslag om personuppgiftsansvar för central behandling av personuppgifter i precisionsmedicinsk databas, bör bestämmelsen kompletteras med en upplysning om att det i 6 kap. PDL finns särskilda bestämmelser om personuppgiftsansvar.
I 4 kap. 1 § PDL finns en bestämmelse om befogenhet att ta del av uppgifter om en patient inom den så kallade inre sekretessen. Utredningen föreslår bestämmelser om befogenhet att ta del av uppgifter om en patient för ändamålet vården av en annan patient än den som uppgifterna avser. Det bör i 4 kap. 1 § upplysas om att särskilda bestämmelser om inre sekretess finns i kapitel 6.
Enligt 4 kap. 2 § PDL ska en vårdgivare bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat. Sådan behörighet ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Utredningen föreslår att när en regional myndighet inom hälso- och sjukvården bestämmer villkor för tilldelning av behörighet enligt 4 kap. 2 § PDL, får behörighet till en precisionsmedicinsk databas endast tilldelas den som arbetar i den specialiserade vården och behöver åtkomsten för sitt arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter. I 4 kap. 2 § PDL bör det upplysas om bestämmelsen i 6 kap. som rör tilldelning av behörighet till en precisionsmedicinsk databas.
I 5 kap. 4 § PDL finns bestämmelser om direktåtkomst och annat elektroniskt utlämnande. I anledning av utredningens förslag om tillgång till personuppgifter i precisionsmedicinsk databas genom direktåtkomst eller annat elektroniskt utlämnande, bör bestämmelsen kompletteras med en upplysning om att det i 6 kap. 16 § finns ytterligare bestämmelser om direktåtkomst och annat elektroniskt utlämnande.
I 8 kap. 6 § PDL finns en bestämmelse om information. I anledning av utredningens förslag om information till patienten innan personuppgifter tillgängliggörs till en precisionsmedicinsk databas, bör bestämmelsen kompletteras med en upplysning om att det finns ytterligare bestämmelser om information i 6 kap. 4 §.
I 8 kap. 7 § PDL finns en bestämmelse om anges andra rättigheter för den enskilde. I anledning av utredningens förslag om patientens rätt att få information samt möjligheten för patienten att motsätta sig tillgängliggörande av personuppgifter till en precisionsmedicinsk databas, bör bestämmelsen kompletteras med en upplysning om de bestämmelser som reglerar detta.
14.14. Ikraftträdande och övergångsbestämmelser
Förslag: De föreslagna reglerna ska träda i kraft 1 januari 2025.
Bedömning: Det behövs inga övergångsbestämmelser.
Utredningens förslag till regler om vidareanvändning av personuppgifter för vården av en annan patient än den som uppgifterna avser är frivilliga möjligheter för vårdgivare att behandla personuppgifter för det nya ändamålet. Det är frivilligt för regionala myndigheter inom hälso- och sjukvården att inrätta och föra precisionsmedicinsk databas. Några obligatoriska skyldigheter som kräver förberedelser föreslås inte. Däremot kommer det finnas behov av åtgärder för att de regler utredningen föreslår ska kunna tillämpas fullt ut. Det behöver bland annat inrättas precisionsmedicinska databaser i de olika samverkansregionerna. Detta kan ta olika lång tid beroende på varje samverkansregions förutsättningar. Utredningen konstaterar att NGP har bäst förutsättningar att börja tillämpa reglerna utifrån att en infrastruktur för aktuell typ av vidareanvändning redan finns. En fråga är om de olika förutsättningarna bör påverka tidpunkten för ikraftträdandet i senare riktning. Utredningen anser inte att så bör ske. Ett ikraftträdande kan snarare vara ett incitament till att få nödvändig infrastruktur på plats. Det borde också finnas ett intresse hos regionala myndigheter att så skyndsamt som möjligt genomföra åtgärder som gör att reglerna kan tillämpas till nytta för både patienter och vårdgivare.
Utredningen överlämnar detta betänkande i november 2023. Lagförslagen syftar till att möjliggöra behandling av personuppgifter för att precisionsmedicinen ska kunna implementeras fullt ut i Sverige. Det framstår som mycket angeläget att ändringarna kan träda i kraft relativt snart, framför allt för att de fördelar som datadelningen innebär ska kunna komma patienter till godo. Utredningen anser att det framstår som rimligt att de föreslagna reglerna i 6 kap. PDL samt den föreslagna förordningen om precisionsmedicinsk databas kan träda i kraft den 1 januari 2025. Detsamma gäller de ändringar som föreslås i annan lagstiftning, se avsnitt 14.12 om ändring i patientdataförordningen (2008:360), avsnitt 14.13 avseende följdändringar i PDL och avsnitt 17.1,17.2 och 17.5 avseende ändringar i OSL.
Utredningens förslag avser nya regler som kan börja tillämpas på behandling av personuppgifter från och med att de träder i kraft. Utredningen ser inget behov av övergångsbestämmelser.
14.15. En avvägning mellan behov och risker avseende förslagen på ändringar i patientdatalagen
14.15.1. Inledning
Som beskrivits i avsnitt 11.4.1 är precisionsmedicin ett relativt nytt begrepp som blir allt viktigare inom hälso- och sjukvården. Enligt utredningen kan det generellt anses innebära att prevention, behandling, diagnostik och uppföljning skräddarsys efter den enskilde patientens unika förutsättningar. Det kan göras genom olika metoder där ett vanligt sätt är att analysera den genetiska profilen hos en individ. För att kunna arbeta med ett precisionsmedicinskt arbetssätt krävs att det går att hitta relevanta hälsodata. För att data ska gå att använda krävs att behörig personal både har tillgång till relevanta hälsodata samt kan göra urval för att få fram den information som behövs för det enskilda fallet (se avsnitt 13.2).
14.15.2. Sammanfattning av behoven
Som redogjorts för i problemanalysen, avsnitt 12.2.1, är nuvarande regelverk som styr hälso- och sjukvården inte anpassat efter dagens förutsättningar. PDL är därför inte utformad efter de behov som precisionsmedicinen har.
Behandling av personuppgifter från en eller flera patienter för vården av en annan patient än uppgifterna avser, är i dag inte ett uttryckligt tillåtet ändamål i PDL. För att vårdpersonal i ett enskilt fall ska få behandla personuppgifter för vårdändamål krävs att personalen deltar i vården av den patient vars uppgifter behandlas. Behovet av att ta del av andra patienters personuppgifter, som personalen inte deltar i vården av, genom att till exempel jämföra olika analyser eller bildbehandlingar, saknar ett tydligt rättsligt stöd i dagens lagstiftning. Om personuppgifter ska delas mellan vårdgivare, till exempel mellan två regioner, finns det dessutom sekretessgränser att ta hänsyn till (för utförligare beskrivning se avsnitt 12.2.2).
Från vårdpersonalen är det starkt efterfrågat att kunna söka bland relevanta personuppgifter, både inom och mellan olika vårdgivare. För att kunna erbjuda jämlik vård behöver tillgången till relevant hälsodata också bli mer jämlik. I vissa fall kan det kan räcka med uppgifter från några regioner för att få tillräckligt med underlag att söka i. I andra situationer finns det så få patientfall att all relevant data som finns i Sverige behöver kunna samlas för att ge tillräckligt underlag att söka i (se vidare avsnitt 13.3.1).
I avsnitt 13.2.4 redogör utredningen genom en utförlig beskrivning av vad som faktiskt behövs för vården av annan. I det avsnittet finns även klargörande illustrationer. I avsnitt 13.4 och avsnitt 14.4.5 beskrivs den övergripande modellen med de olika steg som följer av förslagen (avsnitt 14.4.5 innehåller även vissa juridiska utgångspunkter).
Steg 1 innefattar urval och tillgängliggörande till precisionsmedicinsk databas. Steg 2 handlar om inrättande och förande av precisionsmedicinsk databas. Steg 3 aktualiserar tillgång till personuppgifter i precisionsmedicinsk databas för sökning. Det tredje steget innebär att sökning ska kunna utföras för att se om det över huvud taget finns relevant hälsodata om andra patienter för vården av den aktuella patienten. Rent praktiskt påminner denna typ av sökning om den som görs för antalsberäkningar inför klinisk forskning. Sökningen går ut på att ta reda på om något utfall finns och i så fall hur mycket relevant
information som ett första utfall ger. Namn eller personnummer är typiskt sett inte relevant (se vidare under rubriken ”Föreslagna integritetstärkande åtgärder” där det framgår att alla uppgifter i en precisionsmedicinsk databas ska vara pseudonymiserade), utan det intressanta är om en sökning över huvud taget leder till ett utfall.
Efter att sökningen är genomförd finns det två möjliga utfall; antingen finns det relevanta personuppgifter om andra patienter eller så finns det inte relevanta personuppgifter om andra patienter.
Om utfallet resulterar i att det finns relevant data om andra patienter behöver den som behandlande personalen som söker ta ställning till om informationen räcker för vården av den enskilde. Om informationen är tillräcklig, kan informationen användas som beslutsstöd för att vårda patienten.
I vissa situationer är informationen dock inte tillräcklig. Det kan då finnas behov av kompletterande information till den informationsmängd som sökts fram. Denna del utgörs av steg 4 i den övergripande modellen i avsnitt 13.4. Detta är ett delmoment som inte sker som en sökfunktion i den precisionsmedicinska databasen utan är reglerat som en begäran om kompletterande personuppgifter från patientjournal, se avsnitt 14.9.
Varför kan inte de nationella kvalitetsregistren fylla behovet?
I kapitel 2 har utredningen redogjort för den begränsning som följer av utredningens direktiv i förhållande till nationella och regionala kvalitetsregister, att regeringen bedömt att behoven inte kan tillgodoses inom den befintliga regleringen i 7 kap. PDL. Anledningarna till att nationella och regionala kvalitetsregister inte kan ses som lämpliga underlag för vården av annan än den personuppgifterna avser är flera.
Ur ett medicinskt perspektiv bör det framhållas att regionala och nationella kvalitetsregister är systematiserade utifrån diagnos, vilket inte är ett ändamålsenligt sätt utifrån behoven som ovan beskrivits (se vidare avsnitt 13.3.2).
Ur ett juridiskt perspektiv bör det beaktas att nationella och regionala kvalitetsregister kan innehålla stora mängder direkt identifierbara personuppgifter (se 7 kap. 8 § stycke 2 PDL). Vid sökning för vidareanvändning av uppgifter för vården av en annan patient än den som uppgifterna avser finns inte behov av direkt identifierbara uppgifter.
Det är enligt utredningens mening därför inte proportionerligt att få söka i dessa känsliga uppgifter med direkt identifierbara personuppgifter när det inte behövs. En viktig skyddsåtgärd som utredningen föreslagit är pseudonymisering av de uppgifter som ska finnas i en precisionsmedicinsk databas.
Vidare kan det antas att flertalet människor inte har exakt kunskap om i vilka nationella eller regionala kvalitetsregister de förekommer i, eller i så fall exakt vilka personuppgifter som finns om dem däri. Att införa en reglering som skulle innebära sökning i dessa register utan att de enskilda som berörs har någon reell överblick om de påverkas eller inte kan ur integritetshänseende inte ses som något önskvärt.
En annan rättslig begränsning med de nationella och regionala kvalitetsregistren är att de inrättas för syftet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet (7 kap. 4 § PDL). Ytterligare en aspekt är att när en vårdgivare exempelvis vill ha ut uppgifter från ett nationellt kvalitetsregister görs detta genom ett utlämnande, såvida inte det är till vårdgivarens egna uppgifter då direktåtkomst är möjligt. Utlämnandeförfaranden med tillhörande sekretessprövningar kan inte ses som ändamålsenligt för den process utredningen anser behövs för vården av annan patient än den personuppgifterna avser. Andra skäl är av politisk och ekonomisk karaktär och redogörs för i kapitel 18.
Sammanfattningsvis anser utredningen att de nationella och regionala kvalitetsregistren inte kan eller bör utgöra de uppgiftssamlingar som fyller behoven av precisionsmedicin.
14.15.3. Specifika integritetsrisker med förslaget om inrättande av precisionsmedicinska databaser
Risker utifrån inrättande och förande av en precisionsmedicinsk databas
Utredningens förslag går ut på att det ska finnas en möjlighet att inom den regionala hälso- och sjukvården att inrätta och föra precisionsmedicinska databaser där det ska kunna samlas personuppgifter för vården av en annan patient än den uppgifterna avser. Det är endast regionala myndigheter inom hälso- och sjukvården som får inrätta och föra precisionsmedicinsk databas.
Uppgifter om hälsa och genetiska uppgifter utgör båda kategorier av känsliga personuppgifter enligt dataskyddsförordningens definition. De precisionsmedicinska databaserna kommer utgöra nya sammanställningar av känsliga personuppgifter.
I kapitel 13 redogör utredningen för skälen till att utredningen ansett det lämpligt med möjligheten att införa precisionsmedicinska databaser inom samverkansregioner samt en inom NGP. NGP är en it-infrastruktur som GMS har etablerat. Syftet med etableringen av NGP var att tekniskt möjliggöra datadelning på ett smidigt sätt som krävs för vård, forskning och utveckling av precisionsmedicin. Eftersom det i dag inte är möjligt att dela data för vården av annan patient än den personuppgifterna mellan vårdgivarna som ingår i GMS så har plattformen endast börjat användas för ändamålet forskning (för ytterligare beskrivning se avsnitt 13.7.3).
Utredningen föreslår även att en förordning ansluter till de föreslagna bestämmelserna i 6 kap. PDL för att mer detaljerat kunna reglera vidareanvändning av personuppgifter i precisionsmedicinska databaser (se avsnitt 13.7.2). Bland annat framgår att endast en sådan regional myndighet inom hälso- och sjukvården som omfattas av en av de sex samverkansregioner får inrätta och föra en precisionsmedicinsk databas. Utöver dessa sex får även NGP inrätta och föra en precisionsmedicinsk databas. I förordningen kommer det även att föreskrivas begränsningar kopplat till vilken eller vilka precisionsmedicinska databaser som vårdgivare får göra urval och tillgängliggörandet till, samt till vilken eller vilka databaser som regionala myndigheter inom hälso- och sjukvården får ges tillgång. Urval och tillgängliggörande samt tillgången ska alltså följa den samverkansregionala indelningen (se vidare avsnitt 14.6.4). För den precisionsmedicinska databasen som får inrättas inom NGP gäller att endast regionala myndigheter som ingår i GMS får tillgängliggöra uppgifter till den databasen och ges tillgång till den för sökning.
En särskild risk som aktualiseras med införandet av en precisionsmedicinsk databas är att utredningen valt angreppssättet att tillgången till personuppgifterna ska följa med ändamålet och inte begränsas av organisationsgränser. I samband med det blir det alltid en risk att fler personer får tillgång till uppgifter de annars inte hade fått. Inom hälso- och sjukvården har det ansetts motiverat av integritetsskäl att även ha begränsningar av vårdpersonalens befogenheter (se avsnitt 7.5.5 för ytterligare beskrivning av inre sekretess). För att ett precisionsmedi-
cinskt arbetssätt ska kunna fungera som del av det dagliga arbetet behövs egna regler för inre sekretess avseende detta ändamål (se vidare under rubriken ”Föreslagna integritetsstärkande åtgärder”).
Beroende på om det rör sig om en samverkansregional databas eller den precisionsmedicinska databasen inom NGP, kommer omfattningen av uppgiftssamlingen i realiteten att variera. Samtliga precisionsmedicinska databaser kommer innehålla stora mängder personuppgifter av känslig natur som hålls potentiellt tillgängliga för aktörer som den enskilde inte har någon vårdrelation med, vilket kan uppfattas som ett integritetsintrång samt en integritetsrisk i sig.
En generell utgångspunkt är, att ju större informationsmängder som finns samlade elektroniskt så att personuppgifter kan sökas och sammanställas på ett allt enklare sätt, desto mer ökar möjligheterna till kontroll över och kartläggning av enskilda. Som en följd av detta ökar också risken för att enskild drabbas av oacceptabla intrång i sin personliga sfär.
För att möjliggöra en precisionsmedicinsmedicinsk databas ska ett urval av de personuppgifter som behövs göras, från de uppgifter en vårdgivare behandlarenligt 2 kap. 4 § första stycket 1–2 PDL, för att skapa underlag för vården av en annan patient än den som uppgifterna avser. Bedömningen av vilka uppgifter som behövs ska göras utifrån medicinsk synvinkel, se avsnitt 14.6.3. Urval kan enligt utredningens uppfattning ske med både manuella åtgärder och automatiskt. Det formella ansvaret för att tillgängliggörandet omfattar de uppgifter som behövs ligger dock på den vårdgivare som är personuppgiftsansvarig för tillgängliggörandet.
Sammanfattningsvis har förslagen avseende precisionsmedicinsk databas inte närmare preciserat vilka uppgifter som ska få finnas i en precisionsmedicinsk databas. I stället har utredningen ansett att utgångspunkten för vilka uppgifter som ska vara tillåtet att tillgängliggöra till en precisionsmedicinsk databas måste utgå ifrån behovet av uppgifter för vården av en annan patient än den som uppgifterna avser (se vidare avsnitt 14.6.3). En potentiell risk är att ändamålet inte är tillräckligt snävt angett för att skapa en tydlig reglering. I förlängningen skulle det kunna medföra att de vårdgivare som enligt förslagen är som personuppgiftsansvariga för den behandling som urval och tillgängliggörandet innebär kanske inte har klart för sig vilka uppgifter som får tillföras och tillför uppgifter som inte bör finnas i en precisionsmedicinsk databas.
Risker utifrån att tillgång till en precisionsmedicinsk databas ges genom direktåtkomst
I förslaget om precisionsmedicinska databaser har utredningen ansett det nödvändigt att åtkomsten till den precisionsmedicinska databasen behöver göras i formen av direktåtkomst. För att precisionsmedicin ska kunna bli en integrerad del i vården, krävs att sökning kan ske inom ramen för det löpande arbetet inom hälso- och sjukvården. Det finns vidare behov av att kunna utföra upprepade sökningar. I akuta skeden finns inte tid för administrativa utlämnandeprocesser. Dessa behov kräver enligt utredningens bedömning att direktåtkomst till uppgifterna är tillåtet (se vidare avsnitt 13.3.1 och 14.8.2).
Möjligheten att införa ytterligare en direktåtkomst i vårdsyfte mellan olika personuppgiftsansvariga inom hälso- och vården innebär att informationen potentiellt kan förmedlas till en betydligt större krets av personer än tidigare, eftersom fler användare kommer att kunna ta del av patienternas personuppgifter. Därmed ökar också risken att personer som inte har rätt till det tar del av uppgifterna eller att uppgifterna sprids utanför den tillåtna kretsen. I det hänseendet utgör förslaget inte bara en integritetsrisk utan även ett potentiellt brott mot sekretessen.
Som anförts ovan utgör uppgifter om hälsa och genetiska uppgifter sådana kategorier av känsliga personuppgifter som avses i artikel 9.1 i dataskyddsförordningen. I sammanhanget med en ökad risk av obehörig åtkomst bör det därför särskilt beaktas att informationen i de precisionsmedicinska databaserna kommer bestå av känsliga personuppgifter.
De sätt som finns att förhindra att personer som inte har rätt till det tar del av uppgifter är att begränsa tillgången på uppgifter och kontrollera åtkomsten, till exempel genom loggning och tekniska åtgärder. Sådana åtgärder kan antas minska risken för att personer som inte har rätt till det tar del av uppgifter, men risken elimineras inte helt och hållet. Det är även viktigt att den personuppgiftsansvarige ger medarbetarna instruktioner för behandlingen av personuppgifter.
Ytterligare en risk med direktåtkomst och annat elektroniskt utlämnande som kan bli aktuell i dessa sammanhang är att personuppgifter kan få en större spridning. Det kan således skapas fler oförutsedda sammanställningar av känsliga personuppgifter som de enskilda inte kan överblicka.
Risker som följer av att en begäran om kompletterande personuppgifter från patientjournal möjliggörs
Som redogjorts för tidigare kan det i vissa situationer vara så att den information som kan erhållas genom sökning och utfall i en precisionsmedicinsk databas inte är tillräcklig utan kompletterande uppgifter behövs. En sådan situation leder till att steg 4 i den övergripande modellen i avsnitt 13.4 aktualiseras. Behovet i den situationen består i att behörig personal behöver kunna ta del av kompletterande uppgifter. Sådan information kan fås efter begäran om kompletterande personuppgifter från patientjournal som kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser. Detta är ett delmoment som inte sker som en sökfunktion i den precisionsmedicinska databasen utan således är reglerat som ett utlämnande efter en specifik begäran.
Den vanligaste situationen som utredningen fått till sig om när behovet av kompletterande uppgifter aktualiseras, är vid behandlingen av patienter som tillhör en liten patientgrupp. Vanligen rör det sig om sällsynta hälsotillstånd. I fallet av sällsynta hälsotillstånd kommer antalet möjliga utfall i en precisionsmedicinsk databas oftast vara få. Till exempel består sällsynta hälsotillstånd av flera tusen olika sjukdomar vilket gör det viktigt att söka ytterligare detaljerad information om vård, eventuella behandlingar och uppföljningar. Cancer är ett annat exempel som i sin tur består av hundratals olika diagnoser. Inom varje diagnos kan man sedan dela in i ytterligare undergrupper. Enbart lymfom består av över 80 olika diagnoser, vilket medför att det inte finns så mycket uppgifter inom varje undergrupp. Gemensamt för dessa sällsynta hälsotillstånd är att patientgrupperna är små.
I steg 4 har utredningen gjort bedömningen att den personuppgiftsbehandling som behöver regleras är den som sker vid ett tillgängliggörande av dessa kompletterande personuppgifter från aktuella patientjournaler, samt den efterföljande behandlingen som sker hos den regionala myndigheten inom hälso- och sjukvården som begärt uppgifterna (se vidare avsnitt 14.9).
Riskerna som aktualiseras vid en begäran om kompletterande uppgifter från patientjournal liknar de risker som i övrigt aktualiseras med att vidareanvändning för vården av en annan patient än den personuppgifterna avser tillåts, och de specifika risker som följer av införandet av en precisionsmedicinsk databas. Det innebär att personal som den
enskilde inte har någon vårdrelation med får ta del av uppgifter om denne. Utredningen har föreslagit att ett utlämnande får ske efter en begäran om specifika uppgifter och att ett utlämnande får ske genom elektronisk utlämnande men inte genom direktåtkomst (se vidare avsnitt 14.9.2). För det fall att de kompletterande personuppgifterna finns inom samma regional myndighet, ska personalen inte kunna använda sin vanliga behörighet till patientjournalsystem för att ta del av dem utan detta ska följa intern ordning som motsvara de villkor som gäller för begäran mellan myndigheter (se vidare avsnitt 14.9.1).
Den främsta risken består i att eftersom det rör sig om små patientgrupper och den personal som har rätt att behandla kompletterande uppgifter kommer få tillgång till ytterligare uppgifter vilket kan resultera i en relativt omfattande mängd uppgifter om dessa patienter. Detta skulle även kunna medföra att dessa patienter, trots att samtliga uppgifter som behörig personal får tillgång till är pseudonymiserade, kan identifieras.
14.15.4. Föreslagna integritetsstärkande åtgärder
För att begränsa de risker och det integritetsintrång som förslaget innebär för en enskild patient har utredningen föreslagit följande åtgärder: – att personuppgifter som tillgängliggörs för ändamålet ska vara
pseudonymiserade eller skyddade på likvärdigt sätt (avsnitt 14.6.5) det innebär att de personuppgifter som finns i en precisionsmedicinsk databas är pseudonymiserade eller skyddade på likvärdigt sätt, – att en patient har rätt att motsätta sig att uppgifter tillgängliggörs
till en precisionsmedicinsk databas (avsnitt 14.10), – att innan personuppgifter tillgängliggörs till en precisionsmedi-
cinsk databas ska särskild information lämnas till den enskilde (avsnitt 14.10.8), – att endast sådana uppgifter som behövs för att kunna ge vård till
annan patient än den personuppgifterna avser ska få finnas i databasen (avsnitt 14.6.3), – att finalitetsprincipen inte ska gälla för personuppgifter som be-
handlas för ändamålet vården av en annan patient än den som personuppgifterna avser (avsnitt 14.4.4), och
– att det finns särskilda bestämmelser om tilldelning av behörighet
till precisionsmedicinsk databas och särskilda befogenhetsregler (inre sekretess) för respektive steg avseende urval och tillgängliggörande, förande av precisionsmedicinsk databas och tillgång till precisionsmedicinsk databas för sökning samt vid begäran om kompletterande uppgifter från patientjournal (avsnitt 14.6.6, 14.7.4, 14.8.5 och 14.9.5).
Av stor betydelse ur ett dataskyddsperspektiv för hur ett integritetsintrång upplevs, har om den enskilde har möjlighet att få gehör för sin inställning till att dennes personuppgifter behandlas eller inte. Generellt inom vården gäller att personuppgifter får behandlas av vårdgivare oavsett den enskildes inställning (2 kap. 2 § PDL), men det finns undantag. Det främsta integritetsskyddet i förslagen utgörs av att den enskilde patienten kan utnyttja sin rätt att motsätta sig behandlingen genom en så kallad opt-out (se vidare under avsnitt 14.10.5).
För att kunna göra det måste dock den enskilde få klar och tydlig information i enlighet med artikel 12 i dataskyddsförordningen om att dennes personuppgifter kan komma att ingå i databasen och dennes möjligheter att motsätta sig behandlingen. I enlighet med detta har därför utredningen föreslagit en särskild bestämmelse om information som ska lämnas innan personuppgifter om en patient görs tillgängliga till en precisionsmedicinsk databas. Av bestämmelsen framgår att patienten ska informeras av den personuppgiftsansvariga vårdgivaren om följande: – vad personuppgiftsbehandling i precisionsmedicinsk databas inne-
bär, – vad behandling av kompletterande personuppgifter från patient-
journal innebär, och – möjligheten att motsätta sig att uppgifter görs tillgängliga till en
precisionsmedicinsk databas.
Enligt utredningens förslag ska urval och tillgängliggörande vara begränsat till de personuppgifter som behövs för att skapa underlag för vården av en annan patient än den som uppgifterna avser. Det ska inte vara tillåtet att tillgängliggöra hela patientjournaler eller stora delar av en patientjournal. I stället ska ett urval av relevanta typer av uppgifter för sökning i precisionsmedicinsk databas göras. Detta moti-
veras dels av att utredningen inte ansett att behoven för att få tillgång till alla personuppgifter som finns tillgängliga hos olika vårdgivare har klarlagts, dels att en sådan omfattande tillgång därför skulle anses oproportionerlig.
En gen- eller genomsekvensering är en avancerad och i dag förhållandevis kostsam åtgärd som endast förekommer inom den regionalt bedrivna specialiserade vården. Detta kan ändras över tid allt eftersom precisionsmedicinen blir billigare och mer rutinartad. Utredningens bedömning är dock att vården av denna typ inte i närtid kommer bedrivas i exempelvis primärvården där allmänläkare på ett enkelt sätt kan fatta beslut baserat på genetiska data. Behovet av att få tillgång till den precisionsmedicinska databasen är mot denna bakgrund enligt utredningens bedömning starkast inom den regionalt bedrivna specialiserade sjukvården (se vidare avsnitt 14.8.1). Utredningen redogör i avsnitt 14.6.3 för ståndpunkten att utgångspunkten för vilka uppgifter som ska vara tillåtet att tillgängliggöra till en precisionsmedicins databas, måste utgå ifrån behovet av uppgifter för ändamålet vården av en annan patient än den som uppgifterna avser. Utredningen föreslår alltså ett behovskriterium.
Utredningen föreslår vidare att personuppgifter som tillgängliggörs till en precisionsmedicinsk databas ska vara pseudonymiserade eller skyddade på likvärdigt sätt. Detta krav uppställs även vid det steg 4, tillgängliggörande av kompletterande personuppgifter från patientjournal. Kravet på att personuppgifter som tillgängliggörs till en precisionsmedicinsk databas ska vara pseudonymiserade eller skyddade på likvärdigt sätt, är ägnat att dels minska oron för integritetsrisker hos de enskilda vars personuppgifter tillgängliggörs, dels för att hjälpa de personuppgiftsansvariga att bedriva verksamheten med databaserna och fullgöra sina skyldigheter i fråga om dataskydd. Skyddsåtgärden minskar vidare risken för onödigt intrång i de registrerades integritet som annars skulle uppstå om det i stället var fråga om direkt identifierbara uppgifter.
För att motverka riskerna med ökad spridning och obehörig åtkomst har utredningen ansett att det i stället för de allmänna reglerna om behörighet och befogenhet som finns i 4 kap. PDL, finns behov av vissa särskilda behörighets- och befogenhetsregler. Den särskilda regeln gäller för åtkomsten till en precisionsmedicinsk databas för sökning. I stället för bestämmelsen om inre sekretess i 4 kap. 1 § PDL föreslår
utredningen specifika befogenhetsbestämmelser kopplade till respektive steg (se avsnitt 13.4 och 14.4.5 för redogörelse över de olika stegen).
Med behörighet för åtkomst avser en användares faktiska möjligheter att ta del av uppgifter i exempelvis vårdgivarens journalsystem. Behörighetsstyrning är samlingsbegreppet för de organisatoriska, administrativa och tekniska åtgärder som vidtas för att anpassa och begränsa behörigheten efter användarens behov för att kunna utföra sitt arbete.
Utredningens uppfattning är att det framför allt är i den specialiserade hälso- och sjukvården som behovet av tillgång till en precisionsmedicinsk databas finns, och att regeln i 4 kap. 2 § första stycket PDL är för bred i detta sammanhang. Av det skälet har utredningen ansett att behörighet endast ska kunna tilldelas till den som arbetar inom den specialiserade vården. Utöver det, anser utredningen att det också behöver finnas kriterier som kopplar till vilka arbetsuppgifter personen har (se vidare under avsnitt 14.8.4). Det är även dessa personer som har rätt att ta del av eventuella kompletterande uppgifter från patientjournal (se vidare avsnitt 14.9.5).
För att minimera riskerna som följer av att uppgifterna i en precisionsmedicinsk databas kan utgöra allmänna handlingar hos de regionala myndigheter som har tillgång till en precisionsmedicinsk databas, har utredningen föreslagit en bestämmelse om absolut sekretess (se vidare under 17.2.1).
Att finalitetsprincipen inte är tillämplig innebär att personuppgifter som behandlas för ändamål vården av en annan patient än den som uppgifterna avser, inte får behandlas för andra ändamål, även om uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (se vidare överväganden i avsnitt 14.4.3).
14.15.5. Den sammanvägda bedömningen av behoven och riskerna
Sammantaget finns ett antal omständigheter som gör att den nya uppgiftssamlingen är av mycket integritetskänslig art. Utredningen konstaterar dock att en ny samling inte kommer att innehålla personuppgifter som inte redan finns lagrade hos vårdgivare. Det är alltså inte fråga om en ny insamling av känsliga personuppgifter, utan om vidareanvändning av befintlig vårddokumentation, se vidare avsnitt 13.8 och 14.4.2.
Utredningen har identifierat ett antal fördelar med att skapa nya uppgiftssamlingar för vidareanvändning för vårdändamål. En fördel
är att den nya uppgiftssamlingen då skapas utifrån det behov som finns avseende vilka personuppgifter som behöver ingå i samlingen. Av detta följer att mängden personuppgifter lättare kan anpassas och minimeras. Utifrån att behoven är sådana att direktåtkomst behöver tillåtas för att sökningar ska kunna ske på ett praktiskt användbart sätt inom hälso- och sjukvården, anser utredningen att en avgränsning av den data som ska kunna ingå i en precisionsmedicinsk databas är en viktig faktor ur integritetshänseende.
Utredningen har i försök att skapa ökad tydlighet i lagstiftningen och minska riskerna med förandet av precisionsmedicinska databaser prövat ett antal olika sätt att närmre precisera de uppgifter som får tillgängliggöras. Utredningen har i detta arbete dock mött stora svårigheter.
I avsnitt 14.6.3 har utredningen redogjort för de alternativ som utredningen utrett i detta avseende och redogör även där varför utredningen inte ansett att de olika alternativen utgjort en framkomlig väg. I sammanhanget kan dock beaktas att i utredningens direktiv anges exempel på uppgiftstyper. Där räknas kön, ålder, bakgrunden till att undersökningen utfördes, klinisk bedömning, andra bakomliggande hälsotillstånd hos patienten, klinik som utfört undersökning och tolkning av fynd upp.
Utredningen har vidare varit i kontakt med aktörer som arbetar med precisionsmedicin för att få kunskap om de uppgifter som professionen anser behövs för sökning i en precisionsmedicinsk databas. De exempel som framkommit i dessa kontakter har bland annat varit fenotypdata så som kön, ålder, diagnoser, men också andra datamängder så som genvariant, virustyp och data avseende sekvensering av virus. Utredningen har gjort bedömningen att dessa uppgiftstyper utgör alla exempel och inte nödvändigtvis är det som behövs för att genomföra en sökning. Utredningens anser därför att personuppgifter som ska få tillgängliggöras till databasen bör vara mer avgränsat, men kommer inte kunna preciseras i lag eller förordning (se vidare 14.6.3). Utredningen har dock vidtagit andra angreppsvinklar för att begränsa omfattningen på precisionsmedicinska databaser och tillhörande risker.
Bland de sätt som övervägts återfinns att i lagtext försöka räkna upp typer eller kategorier av uppgifter som ska få tillgängliggöras. Uppräkningen skulle behöva innehålla ålder, kön, diagnos, virustyp och behandlingsutfall. Vad som är svårare att ringa in är den typ av biologiska uppgifter som också behövs, de så kallade omikerna. Uppräkningen
tenderade bli väldigt lång och innehålla medicinska termer som utredningen inte anser vara lämpliga för lagtext och lagtolkning. Termerna skulle även ge lite nytta för att skapa förutsebarhet för en enskild som inte är inom professionen. Utredningen gör därmed bedömningen att den typ av uppräkning som skulle tjäna någon klargörande funktion, skulle vara så detaljerad att det är främmande att ha i lagtext. Det finns också en överhängande risk att uppräkningen inte blir uttömmande.
Vidare övervägdes en exemplifierande uppräkning. Ur transparenshänseende får det dock anses vara av begränsat värde. En exemplifierande uppräkning är enligt utredningens uppfattning mer lämplig att ha i en författningskommentar.
En ytterligare aspekt som är av relevans är att behovet av vilka uppgifter som behöver kunna tillgängliggöras kommer att variera över tid. Som utredningen förstått det utvecklas området med precisionsmedicin mycket snabbt, vilket medför att behovet av uppgifter förändras förhållandevis snabbt. Utredningen har därför uppfattat det som att det inte är lämpligt att i lag reglera detta i detalj utan att uppräkningen snabbt skulle bli inaktuell.
Utredningen övervägde även alternativet med att en precisering av uppgifter i stället skulle göras på en lägre normgivningsnivå än lag. Utredningen gjorde en jämförelse med regleringen av hälsodataregister, där uppgifter först räknas upp i förordning och sedan kompletteras med ytterligare detaljerade uppräkningar i föreskrifter. En fördel med lägre normgivningsnivå är att mer detaljerade uppräkningar är möjligt samt att en ändring av till exempel föreskrifter normalt sett går snabbare än en ändring av lagtext. En statlig myndighet, exempelvis Socialstyrelsen, skulle behöva ha ansvaret för att uppdatera föreskrifterna. Detta skulle enligt utredningens bedömning behöva ske i samråd med den medicinska professionen. I praktiken skulle det därför ändå i stor utsträckning vara en bedömning från den medicinska professionen som avgör vilka uppgifter som får tillgängliggöras, vilket även är fallet med hur förslagen utformats slutligen (för ytterligare redogörelse se avsnitt 14.6.3).
Även om detta alternativ skulle kunna anses medföra ett visst ökat integritetsskydd i form av ökad förutsebarhet, anser utredningen inte att den eventuella nyttan skulle överväga den administrativa bördan och den extra tid det skulle ta att få sådana föreskrifter på plats. I sammanhanget skulle ett sådant förfarande medföra en trögrörlighet som inte gynnar de patienter som väntar på anpassad vård. Eftersom de preci-
sionsmedicinska databaserna enligt förslagen till en del, blir en samverkansregional angelägenhet (se avsnitt 14.7.3) ser utredningen framför sig att de aktuella regionerna inom ett sådant område kommer att få samverka fram vilka uppgifter mer precist som behövs för ändamålet och därmed vilka uppgifter som får tillgängliggörs. På samma sätt behöver de regionala myndigheter som ingår i GMS samverka kring NGP.
Utredningen anser att det något bredare ändamålet och avsaknaden av en uttrycklig angivelse av vilka uppgifter som ska ingå i varje precisionsmedicinsk databas i stället får snävas in utifrån vilka som ska få tillgång till uppgifterna, särskilda behörighet och befogenhetsregler samt möjligheten för den enskilde att motsätta sig behandlingen. Därtill kommer andra integritetshöjande åtgärder.
Som anförts i avsnitt 14.7.3 kommer precisionsmedicinska databaser endast få inrättas inom samverkansregionerna och inom NGP.
De vårdgivare som omfattas av en samverkansregion utgörs av de regioner eller kommuner som ingår i respektive samverkansregion enligt 3 kap. 1 § HSF. Vårdgivare som omfattas av en samverkansregion får tillgängliggöra personuppgifter till den precisionsmedicinska databas som förs inom den samverkansregion som vårdgivaren omfattas av. Det är därmed inte tillåtet för vårdgivare att tillgängliggöra personuppgifter till en samverkansregional precisionsmedicinsk databas som finns i någon annan samverkansregion än den som vårdgivaren omfattas av. Tillgång till databasen får bara ges till de regionala myndigheter som ingår i samverkansregionen. Genom att tillgängliggörande endast får ske till den samverkansregionala databas som finns i den samverkansregion som vårdgivaren ingår i, begränsas omfattningen av personuppgifter som ingår i databasen. Likaså blir antalet personer som kan tänkas få tillgång till databasen begränsad, jämfört med om samtliga precisionsmedicinska databaser skulle göras till nationella sådana. Utifrån samverkansregionernas sammantagna storlek kan ändå databaserna få en sådan volym av uppgifter att de är användbara för sitt syfte. Utredningen gör därför bedömningen att detta är en rimlig avvägning mellan behoven av större möjligheter till datadelning och intresset av integritetsskydd.
På samma sätt är det endast de regionala myndigheter som ingår i GMS som får ges tillgång till NGP och som även får tillföra uppgifter till NGP.
Vidare har utredningen gjort bedömningen att pseudonymisering eller likvärdigt skydd är en praktiskt möjlig och lämplig skyddsåtgärd
utifrån de behov som finns avseende vidareanvändning för vårdändamål. För att uppnå skyddet så behöver detta göras innan uppgifterna tillgängliggörs till en precisionsmedicinsk databas. Om det skulle göras efter tillgängliggörandet, skulle det innebära att den regionala myndigheten inom hälso- och sjukvården som för den samverkansregionala precisionsmedicinska databasen hade tillgång till de direkt identifierbara uppgifterna i databasen. Detta bedömer utredningen skulle innebära ett oproportionerligt intrång i den personliga integriteten som inte kan godtas.
Eftersom de regionala myndigheter inom hälso- och sjukvården som kan ges tillgång till en precisionsmedicinsk databas inte behöver direkta identifierare som exempelvis namn eller personnummer, bedöms ett krav på pseudonymisering eller likvärdigt skydd för de personuppgifter som tillgängliggörs till en precisionsmedicinsk databas vara ändamålsenligt dels sett till syftet med en precisionsmedicinsk databas, dels sett till intresset av att skydda patienternas identitet.
Även om tillgängliggörande till en precisionsmedicinsk databas endast får ske av personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt kommer det finnas en risk att en registrerad ändå kan identifieras i vissa fall. Så kan vara fallet om det är fråga om en sällsynt sjukdom som några få patienter har. Huruvida någon kan identifieras eller inte, beror också på vad för annan information den regionala myndighet inom hälso- och sjukvården som har tillgång till den precisionsmedicinska databasen har. Utredningens uppfattning är att uppgifterna i sådana fall ändå är att ses som pseudonymiserade, men att det finns en sannolikhet att någon kan bli identifierbar trots detta (se vidare 14.6.5).
Denna risk vägs dock upp med att den enskilde har möjlighet att motsätta sig att dennes personuppgifter inte ska tillgängliggöras till en precisionsmedicinsk databas, så kallad opt-out. Den vägs också upp av andra skyddsåtgärder så som att det kommer finnas vissa krav på behörighetstilldelning. Intresset av att personuppgifterna ändå kan tillgängliggöras får anses väga tyngre och uppvägas av nyss nämnda andra skyddsåtgärder. Risken får därmed accepteras.
Som anförts ovan i 14.15.3 innebär utredningens förslag att känsliga personuppgifter kan komma att behandlas utanför den myndighet där personuppgifterna ursprungligen dokumenterades och medför därmed en spridning av personuppgifterna över vad som annars skulle skyddas av sekretessgränser. Detta medför att behandlingen kan upp-
fattas som särskilt integritetskänslig. Utredningen har härvid försökt beakta detta genom att den enskilde själv ska ha möjlighet att bestämma över tillgängliggörandet till en precisionsmedicinsk databas (steg 1, se 14.4.5). Detta ligger också i linje med grundprincipen i hälso- och sjukvårdslagstiftningen för patientens självbestämmande och integritet.
Det integritetsintrång som inrättandet och användandet av precisionsmedicinska databaser i vården medför behöver ställas emot databasernas viktiga syfte; att kunna använda personuppgifterna för vården av någon annan. Nyttan som precisionsmedicinen bidrar med kan hjälpa patienter att få en diagnos eller rätt anpassad behandling och även rädda liv. För sällsynta diagnoser är möjligheten att få en diagnos en viktig förutsättning för att få tillgång till rätt vård. Att använda sig av till exempel helgenomsekvensering kan ha en avgörande roll för att fastställa sällsynta diagnoser. Rätt behandling kan i sin tur både rädda liv och minska lidande för patienterna (se även avsnitt 18.2.6). Här står två viktiga intressen emot varandra, rätten till integritet mot rätten till god vård.
Det finns också anledning att fundera över vad som ingår i samhällskontraktet. Vilken makt ska tillskrivas en enskild och vilken makt ska i stället ligga hos någon annan? Har den enskilde en moralisk skyldighet att bidra med sina personuppgifter? En ytterligare aspekt är att samma person som motsätter sig behandling av dennes personuppgifter, kan få vård baserat på någon annans personuppgifter i en situation där denne behöver det. Något som kan tyckas orättvist. Utredningen har gjort bedömningen att förslagen som lämnas både ska kunna bidra till bättre anpassad vård och samtidigt tillförsäkra patienten ett gott skydd för den personliga integriteten.
Särskilt om barn och precisionsmedicinska databaser
Enligt skäl 38 och till dataskyddsförordningen förtjänar barns personuppgifter särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter.
Barnkonventionen gäller sedan den 1 januari 2020 som svensk lag (lagen [2018:1197] om Förenta nationernas konvention om barnets rättigheter). Lagen innebär ett förtydligande av att rättstillämparna i
samtliga mål och ärenden ska tolka svenska bestämmelser i förhållande till barnkonventionen. Enligt artikel 12 ska konventionsstaterna tillförsäkra det barn som är i stånd att bilda egna åsikter rätten att fritt uttrycka dessa i alla frågor som rör barnet. Barnets åsikter ska tillmätas betydelse i förhållande till barnets ålder och mognad.
Av artikel 5 följer att konventionsstaterna bland annat ska respektera det ansvar och de rättigheter och skyldigheter som tillkommer till exempel föräldrar eller vårdnadshavare eller andra personer som har juridiskt ansvar för barnet, att på ett sätt som står i överensstämmelse med den fortlöpande utvecklingen av barnets förmåga ge lämplig ledning och råd då barnet utövar de rättigheter som erkänns i konventionen.
Intresset av att ett barns uppgifter ingår i en precisionsmedicinsk databas handlar inte om att skydda barnet från missförhållanden som utövas av vårdnadshavaren eller att kunna fullgöra någon lagstadgad anmälningsplikt. För behandling i en precisionsmedicinsk databas handlar det i stället om ett allmänt intresse av att kunna använda personuppgifter i vården av någon annan. Patienten som behöver vård och förhoppningsvis ska bli hjälpt av att vårdpersonal kan behandla en annan patients personuppgifter, kan även vara ett barn. När det gäller barns uppgifter ställs frågan om två viktiga intressen på sin spets. Skyddet av barns integritet och skyddet av barns hälsa och ibland liv. I sammanhanget bör det noteras att barn generellt tillhör en mindre patientgrupp där det finns färre fall att ta ledning ifrån. Ju färre fall det finns att jämföra med desto viktigare blir de fallen som finns att kunna utgå ifrån.
Som framgår i avsnitt 14.15.5 konstaterar utredningen att det inte finns någon särreglering för barn när det gäller nationella och regionala kvalitetsregister (7 kap. PDL). Vid behandling av personuppgifter om barn i kvalitetsregister gäller allmänna principer om vårdnadshavares rätt och skyldighet att bestämma i frågor som rör barnets personliga angelägenheter, och att allt större hänsyn ska tas till barnets önskemål utifrån barnets ålder och mognad. Utredningen gör bedömningen att detsamma bör gälla för tillgängliggörande till precisionsmedicinsk databas och att det därmed inte ska finnas några särskilda bestämmelser avseende barn.
Det innebär att barnets vårdnadshavare som regel kan motsätta sig att barnets personuppgifter görs tillgängliga till en precisionsmedicinsk databas. I likhet med vad som gäller i övrigt inom hälso-
och sjukvården ska allt större hänsyn ska tas till barnets önskemål utifrån barnets ålder och mognad. Utredningen har heller inte ansett att det finns skäl att införa någon specifik åldersgräns för när ett barn självt ska få motsätta sig att personuppgifter görs tillgängliga till precisionsmedicinsk databas, utan att det framstår som mest lämpligt att barns självbestämmande respekteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården. Det barn som har tillräcklig ålder och mognad kan självt motsätta sig ett tillgängliggörande.
Utredningens bedömning står, enligt utredningens uppfattning, i överensstämmelse med det som anges i artikel 5 och artikel 12 i barnkonventionen om att i takt med barnets stigande ålder och mognad ska allt större hänsyn tas till barnets åsikter, önskemål och vilja. Bedömningen får även anses uppfylla de krav som dataskyddsförordningen ställer. I sammanhanget kan vikten av att barn, vars inställning kan beaktas utifrån ålder och mognad, får informationen som omfattas av förslaget på ett sådant sätt att de kan tillgodogöra sig den, inte nog understrykas.
Slutsats
Utredningen gör den sammanvägda bedömningen att behovet av att kunna vårda en patient med stöd av en eller flera andra patienters personuppgifter väger tyngre än de potentiella risker som förslagen innebär. Förutom nyttan för de patienter som nu kan få bättre eller rätt vård, är det en nytta för samhället att kunna erbjuda individuellt anpassad vård där det krävs. Utredningen anser att förslagen i största möjliga mån begränsar intrånget på enskildas integritet och är proportionerliga. I en situation där två viktiga intressen står mot varandra och bedömningarna om vad som är mest korrekt ur ett moraliskt perspektiv kan falla olika ut beroende på vem som svarar, anser utredningen att möjligheten för den enskilde att utöva sitt inflytande är avgörande för att förslagen ska ses som genomförbara.
Utredningen vill även i detta sammanhang påminna om att precisionsmedicin, så som den beskrivs i utredningen, är ett relativt nytt fenomen och att genomföra en sådan stor förändring inom hälso- och sjukvården som förslagen innebär utan en enskilds inflytande bör ses som främmande. Det innebär inte att det i framtiden inte kan
göras andra bedömningar utifrån hur den medicinska utvecklingen och synen på datadrivna arbetssätt inom hälso- och sjukvården ser ut då.
14.15.6. Reglering i lag
Övervägandena om varför det bör regleras i lag återfinns i avsnitt 13.7 och 14.3. För att inte skapa en alltför detaljrik reglering samt mindre anpassningsbar författningslösning har utredningen ansett det lämpligt med kompletterande bestämmelser avseende precisionsmedicinska databaser i förordning. I avsnitt 13.7.1 anges de överväganden som utredningen gjort för att denna lösning.
15. Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
15.1. Inledning
I detta kapitel redogörs för utgångspunkter och inriktning avseende utredningens författningsförslag avseende vidareanvändning av personuppgifter för klinisk forskning.
Utredningens avgränsningar finns i kapitel 2. Utredningen har övervägt olika typer av författningsförslag i syfte att underlätta tillgången till hälsodata för klinisk forskning. I avsnitt 15.2 redogörs för alternativ som utredningen har övervägt med av olika skäl valt att inte föreslå.
I avsnitt 15.3 redogörs övergripande för vilken typ av förslag som utredningen lämnar. Där redogörs också för befintliga regler om utlämnande för forskningsändamål och vilken skillnad som utredningens förslag innebär samt behoven av ändrade regler ur lagtekniskt perspektiv. För en beskrivning av de praktiska behoven, se kapitel 12.
Utredningens bedömning är att de regler om förenklad tillgång som föreslår är en del i en bredare kontext. Utredningen redogör för detta i avsnitt 15.4.
Utredningens överväganden kring lämplig normgivningsnivå samt den övergripande lagtekniska utformningen finns i avsnitt 15.5 och 15.6.
En aspekt som har aktualiseras inom ramen för utredningens arbete är gränsdragningsfrågor inom hälso- och sjukvården mellan vård och forskning, dels ur ett sekretessperspektiv, dels från ett dataskyddsperspektiv. Utredningens analys av dessa frågor berörs i avsnitt 15.7.
15.2. Olika typer av författningsförslag
Utredningen har övervägt olika typer av författningsförslag i syfte att skapa utökade möjligheter till vidareanvändning av hälsodata för forskningsändamålet. Utredningen redogör i detta avsnitt för en fristående ändring av offentlighets- och sekretesslagen (2009:400), förkortad OSL, införande av forskning som ändamål i PDL och pseudonymisering som skyddsåtgärd vid utlämnande till klinisk forskning.
15.2.1. Fristående ändring i offentlighets- och sekretesslagen
Bedömning: Utredningen anser inte att en fristående ändring av
sekretesskyddet i offentlighets- och sekretesslagen går att motivera ur integritetssynpunkt. En sådan ändring förutsätter möjlighet att motsätta sig att uppgifter lämnas ut till klinisk forskning. Detta kräver ny infrastruktur, till exempel inom ramen för en nationell datahubb.
Ett alternativ för att skapa utökade möjligheter till vidareanvändning av hälsodata för forskningsändamålet skulle kunna vara att införa en bredare bestämmelse om lägre sekretesskydd för uppgifter som omfattas av hälso- och sjukvårdssekretess enligt 25 kap. 1 § OSL när dessa lämnas ut för ändamålet klinisk forskning.
Exempel på en sådan typ av bestämmelse, som har ett begränsat tillämpningsområde, finns i dag i 25 kap. 11 § 5 OSL. Bestämmelsens skaderekvisit – ”om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men” – medför en presumtion för att uppgifter ska lämnas ut till forskning. Bestämmelsen möjliggör ett mer schabloniserat utlämnande till bland annat forskning mellan myndigheter inom kommuner eller regioner.
Ett alternativ kan vara att införa en bestämmelse med presumtion för utlämnande med ett bredare tillämpningsområde än 25 kap. 11 § 5 OSL. Den skulle till exempel kunna omfatta all klinisk forskning som är godkänd enligt de etiska regelverk som finns för bedrivande av forskning. Dessa utgörs numera av lag (2003:460) om etikprövning avseende människor, förkortad etikprövningslagen (EPL), Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande
av direktiv 2001/20/EG, förkortad CTR, Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG, förkortad MDR, och Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitrodiagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU, förkortad IVDR. För att vara bredare i sitt tillämpningsområde avseende enklare tillgång till hälsodata för forskning, skulle bestämmelsen omfatta både forskning som föregås av samtycke till att delta i forskning och forskning som sker utan samtycke, framför allt observationsstudier och registerstudier. En fördel med en sådan bestämmelse är att mer forskning omfattas av enklare möjligheter till tillgång till hälsodata från hälso- och sjukvården.
Någon form av integritetshöjande åtgärd krävs enligt utredningens mening för att kunna motivera ett sådant lägre sekretesskydd. Detta gäller framför allt forskning som den enskilde inte har vetskap om att hens uppgifter ingår i.
Nedan framgår att utredningens bedömning är att krav på pseudonymisering av uppgifter som lämnas ut till klinisk forskning inte är ett lämpligt krav på skyddsåtgärd.
Däremot anser utredningen att det faktum att den enskilde motsätter sig utlämnande till forskningen kunna vara en sådan skyddsåtgärd. Vid en tolkning av sekretessbestämmelsen, skulle utrymmet för motsättande kunna ligga i att det då ”kan antas” att den enskilde lider men om ett utlämnande sker. För att denna skyddsåtgärd ska kunna vara verkningsfull i praktiken, särskilt i situationer där forskning sker utan samtycke, krävs det enligt utredningens bedömning fungerande information till de registrerade och en infrastruktur som ger praktiska möjligheter att utöva rätten att motsätta sig. Utredningen gör bedömning att en sådan infrastruktur inte existerar i dag. I kapitel 19–21 beskriver dock utredningen vad en nationell datahubb kan ha för funktioner. Utredningen anser att frågan om en mer omfattande lättnad i sekretesskyddet skulle kunna övervägas vidare kopplat till fungerande infrastruktur vid en nationell datahubb.
Både kraven på godkännande enligt de etiska regelverken samt möjligheten att motsätta sig behöver enligt utredningens mening vara tydligt i lagstiftningen. Utredningen har svårt att se att kravet på
transparens är uppfyllt med mindre än att dessa villkor och möjligheter uttryckligen framgår av lagtexten. En sådan bestämmelse skulle skilja sig betydligt från utformningen av befintliga sekretessbestämmelser i OSL. Från lagteknisk synvinkel anser utredningen att annan kompletterande lagstiftningen som tar sikte på integritetsskyddet är en lämpligare lösning. Det är i linje med detta som utredningen lämnar sina förslag på enklare tillgång till hälsodata för klinisk forskning.
Det behöver också enligt utredningens mening noga övervägas om en regel med svagare sekretesskydd kan gälla i förhållande till privata aktörer och i så fall vilka ytterligare skyddsåtgärder som kan behövas för sådan vidareanvändning. I dag gäller att sekretessen enligt 25 kap. 1 § OSL följer med enligt 11 kap. 3 § OSL när uppgifter lämnas till myndigheter och organ som omfattas av sekretess enligt OSL, alternativt att ett starkare sekretesskydd gäller på mottagarsidan, se avsnitt 17.3. Så är inte fallet vid utlämnande till privata företag. Ur detta perspektiv anser utredningen att Europaparlamentets och Rådets förordning om ett europeiskt hälsodataområde, COM(2022) 197 final av den 3 maj 2022, förkortad förslaget till EHDS, bör inväntas. Som en följd av detta kan infrastruktur som möjliggöra säkrare datadelning bli nödvändigt att etablera i Sverige. Det kan också övervägas om lagstadgad tystnadsplikt kan och bör införas för aktörer som har etiskt godkännande enligt EPL eller motsvarande enligt CTR, MDR och IVDR, men som inte omfattas av sekretess enligt OSL.
15.2.2. Införande av forskning som ändamål i patientdatalagen
Bedömning: Det är inte lämpligt att införa forskning som ett ända-
mål i PDL.
PDL gäller vårdgivares behandling av personuppgifter inom hälso- och sjukvården (1 kap. 1 § PDL). Forskning som bedrivs inom hälso- och sjukvården omfattas inte av PDL:s tillämpningsområde och finns inte heller uppräknat som ändamål i lagen (jämför 2 kap. 4 § PDL). Utredningen har övervägt om det är lämpligt att införa forskning som ett ändamål i PDL. Utredningens uppfattning är att så inte är fallet.
Först det första skulle PDL:s tillämpningsområde enligt utredningens bedömning behöva utvidgas om forskning infördes som ändamål i lagen på så sätt att även verksamhet inom forskning omfattades.
Detta skulle i sig vara en stor förändring av lagens grundläggande karaktär.
Frågan är vidare vilka aktörer som skulle omfattas. I dag ska PDL tillämpas av vårdgivare. PDL gäller över huvud taget inte universitet eller högskolor, vilka är centrala aktörer inom den kliniska forskningen. Inom ramen för utredningens arbete med att ringa in en lämplig krets aktörer för utredningens förslag om enklare tillgång till hälsodata för klinisk forskning har utredningen förstått att det inte är lämpligt att skapa olika rättsliga förutsättningar för å ena sidan regioner som bedriver klinisk forskning och å andra sidan universitet och högskolor som bedriver klinisk forskning med avseende på tillgången till hälsodata för klinisk forskning. I linje med detta skulle även universitet och högskolor som bedriver klinisk forskning behöva omfattas av PDL med avseende på ändamålet klinisk forskning. PDL skulle då helt ändra karaktär och det skulle även framstå som främmande från de statliga myndigheternas sida.
En ytterligare fråga är vilka delar av övriga PDL som skulle tilllämpas på forskningen. Hela PDL är utformad utifrån hälso- och sjukvårdens behov och förutsättningar. Dessa skiljer sig i stora delar från forskningens förutsättningar och behov. Det skulle vara ett mycket omfattande arbete att anpassa PDL:s regler efter forskningen. Detta skulle snarare innebära att klinisk forskning får en kompletterande registerförfattning, något som saknas i dag. Detta anser utredningen är en mycket stor fråga som behöver övervägas i en egen utredning.
Utredningen vill framhålla att det från integritetsperspektiv inte är möjligt att motivera användande av samma behörighet och befogenhetsregler för klinisk forskning som gäller för vård, vilket är något som är efterfrågat inom hälso- och sjukvården, se vidare avsnitt 15.5.1.
15.2.3. Pseudonymisering som skyddsåtgärd
Bedömning: Utredningen gör bedömningen att ett krav på pseu-
donymisering eller annat likvärdigt skydd inte är en lämplig skyddsåtgärd vid vidareanvändning för klinisk forskning kopplat till utredningens författningsförslag.
Utredningen har övervägt om ett krav på pseudonymisering kan vara en möjlig skyddsåtgärd kopplat till förslagen om regler om förenklade möjligheter för vidareanvändning av hälsodata för klinisk forskning. Utredningen har lyft frågan med myndigheter och aktörer inom forskningen, som alla ser utmaningar med ett sådant krav. Det synes framför allt vara när hälsodata begärs ut eller behöver hanteras med utgångspunkt i enskilda individer. Utredningen anser att ett krav på pseudonymisering i sådana situationer inte är en lämplig skyddsåtgärd vid vidareanvändning för klinisk forskning. Utredningens övervägande i denna fråga följer nedan.
Vissa utlämnande i dag sker på basis av att den som begär ut anger personnummer och det är det man söker på i sjukvårdens system. Inom den kliniska forskningen kan det också finnas behov av att ha direktidentifierbara uppgifter för att syftet med forskningen ska kunna uppfyllas. Utredningen noterar att i sammanhang där pseudonymisering övervägts kopplat till utlämnande för forskning har också förslag lämnats på undantag, se promemoria i En långsiktig reglering av forskningsdatabaser, dnr U2022/04089. Enligt utredningens bedömning riskerar ett undantag dock att urholka huvudregeln. Så har till exempel skett avseende regeln i 7 kap. 8 § andra stycket PDL avseende behandling av personnummer och namn i regionala eller nationella kvalitetsregister. Enligt bestämmelsen är utgångspunkten att kvalitetsregister inte ska innehålla namn eller personnummer, men i praktiken är detta mycket vanligt.
Utredningen anser mot denna bakgrund att det inte är lämpligt med ett formellt krav som förespeglar ett skydd som inte efterlevs i praktiken.
Ett krav på pseudonymisering behöver enligt utredningens mening vara verkningsfullt och endast föreskrivas där det kan tillämpas. De situationer som utredningen lämnar förslag på är inte sådana situationer.
Däremot skulle pseudonymisering kunna övervägas i situationer där exempelvis den kliniska forskningen utgår ifrån hela patientgrupper eller på andra sätt avgränsade populationer. Utredningen konstaterar även att i förslaget till EHDS finns pseudonymisering av e-hälsodata med som en dataminimeringsåtgärd, om anonyma data inte är tillräckligt för att syftet med dataanvändarens behandling kan uppnås (se artikel 44). Utredningen uppfattar att tillgängliggörande av anonyma eller pseudonymiserade data enligt förslaget till EHDS tar sikte på andra situationer än de som utredningen lämnar förslag på.
15.3. Förenklad tillgång till personuppgifter för klinisk forskning
Förslag: Författningsförslagen avseende ändamålet klinisk forsk-
ning ska avse enklare tillgång till personuppgifter från hälso- och sjukvården.
Utredningens författningsförslag avser att förenkla tillgången till personuppgifter från hälso- och sjukvården för ändamålet klinisk forskning och minska den administrativa bördan för utlämnande myndigheter.
Redan i dag sker omfattande utlämnande av hälsodata från hälso- och sjukvården för klinisk forskning. Detta sker enligt allmänna regler om begäran om att få ta del av allmänna handlingar eller reglerna om uppgiftsutlämnande mellan myndigheter (se 6 kap. 5 § OSL). Uppgifter från hälso- och sjukvården omfattas som huvudregel av sekretess och en menprövning ska därför göras innan ett utlämnande kan ske. Enligt 25 kap. 1 § OSL gäller ett omvänt skaderekvisit, vilket ställer höga krav på menprövningen. Endast inom och mellan myndigheter inom samma region finns en presumtion för utlämnande (se 25 kap. 11 § 5 OSL). Avskiljande av uppgifter och menprövning är ett omfattande arbete inom de myndigheter som lämnar ut mycket hälsodata till forskning, se kapitel 12. Vidare framstår tillgången till uppgifterna för forskare, särskilt de som också är anställa inom hälso- och sjukvården, som onödigt krånglig.
15.3.1. Befintliga regler avseende formerna för utlämnande
Enligt tryckfrihetsförordningen (1949:105), förkortad TF, har den som begär ut en allmän handling som får lämnas ut, rätt att få ta del av handlingen på stället på ett sådant sätt att den kan läsas, avlyssnas eller uppfattas på annat sätt (2 kap. 15 § första stycket TF). Det finns även bestämmelser om rätt att få en kopia av handlingen (2 kap. 16 § första stycket TF). TF innehåller inga bestämmelser om digitalt utlämnande. Inte heller 6 kap. 5 § OSL som reglerar uppgiftsskyldighet mellan myndigheter innehåller några bestämmelser vad gäller formen för utlämnandet. Det finns i dessa regelverk inget som i sig hindrar att ett utlämnande sker digitalt.
Av 5 kap. 6 § PDL framgår att om en personuppgift får lämnas ut, kan det ske på medium för automatiserad behandling, så kallat ADB-utlämnande. I förarbetena anges avseende denna bestämmelse att utlämnande kan göras i elektronisk form, det vill säga på medium för automatiserad behandling eller via elektronisk kommunikation på annat sätt. Den elektroniska formen omfattar i sig ett stort antal variationer, till exempel användning av e-post, lagring på cd-rom, direktöverföring från ett datorsystem till ett annat via telenätet eller att en mottagare ges elektronisk tillgång till det utlämnande organets datorsystem (prop. 2007/08:126, s. 73). ADB-utlämnande kallas ofta numera för ett annat elektroniskt utlämnande (jämför SOU 2021:4, s. 247). ”Annat” syftar på att det elektroniska utlämnandet inte är en direktåtkomst.
Enligt 5 kap. 4 § PDL är utlämnande genom direktåtkomst till personuppgifter endast tillåtet i den utsträckning som anges i lag eller förordning. Det finns i dag inga regler som tillåter utlämnande genom direktåtkomst från hälso- och sjukvården till klinisk forskning.
15.3.2. Behovet av nya regler om tillgängliggörande
Det är alltså i dag i och för sig tillåtet för vårdgivare att göra andra elektroniska utlämnanden än utlämnande genom direktåtkomst till klinisk forskning. Detta görs också till forskning, bland annat genom att uppgifter laddas ner på ett usb och lämnas ut. Denna möjlighet tar dock inte bort det stora administrativa arbete som det manuella avskiljandet av uppgifter för varje registrerad som utlämnande myndigheter gör i dag. Det innebär också informationssäkerhetsrisker att hantera känsliga data genom utlämnande på papper eller usb.
Befintlig regel i PDL om ADB-utlämnande är vidare mycket knapphändig och de exempel som tas i förarbetena är gamla. Ett modernare och tydligare regelverk kring digitalt utlämnande för klinisk forskning skulle enligt utredningen skapa en större tydlighet kring vad som är tillåtet och utgöra incitament till utbyggnad av bättre it-stöd och mer enhetliga rutiner för utlämnande.
Även om utvecklingen går framåt, uppfattar utredningen att de tekniska möjligheterna inte finns för att utifrån dagens patientjournalsystem avskilja exakt de personuppgifter som är relevanta för ett enskilt forskningsprojekt enbart eller ens i huvudsak på teknisk väg.
Beroende på vilka it-system och datamängder som är aktuella, krävs en inte obetydlig manuell hantering. Till detta kommer även att journalföring av medicinska och juridiska skäl inte heller görs på ett sådant sätt att personuppgifter endast med bättre tekniska lösningar skulle kunna avgränsas exakt till vad som behövs i ett specifikt forskningsprojekt. Ett exempel på detta är fritextfält i en patientjournal.
Det behöver därför vara tillåtet att i digital form tillgängliggöra mer information om varje registrerad patient än vad som kommer behövas för det aktuella forskningsprojektet.
Tillgång till hälsodata genom en form av direktåtkomst eller annat elektroniskt utlämnande skulle enligt utredningens mening medföra både säkrare och enklare utlämnanden av hälsodata från hälso- och sjukvården till klinisk forskning. Åtkomst till hälsodata på detta sätt skulle också förenkla för forskare.
Ett regelverk som medför att menprövning inte heller behöver göras inför ett utlämnande skulle också innebära betydande förenklingar för utlämnande myndigheter. Borttagande av menprövning behöver kompenseras med andra skyddsåtgärder för den personliga integriteten. Utredningen föreslår ett antal villkor och skyddsåtgärder som ska gälla för den förenklade tillgången. I stället för att göra en menprövning inför utlämnande prövas om lagens villkor är uppfyllda, vilket utredningen bedömer är en enklare typ av prövning.
Utredningen anser därför att klinisk forskning ska omfattas av nya regler om tillgängliggörande. Dessa bör avse möjlighet att tillgängliggöra personuppgifter genom begränsad direktåtkomst eller annat elektroniskt utlämnande och vara förenat med en sekretessbrytande grund, kombinerat med villkor och skyddsåtgärder för den personliga integriteten
15.3.3. Vidareanvändning enligt utredningens förslag ska vara frivilligt
Förslag: Det ska vara frivilligt att tillämpa de föreslagna reglerna
om tillgängliggörande för klinisk forskning.
Utredningen har övervägt om de föreslagna reglerna ska vara frivilliga att tillämpa eller om det ska vara en skyldighet. En skyldighet skulle inskränka det kommunala självstyret.
Utredningen anser att reglerna bör vara frivilliga för regionala myndigheter som bedriver hälso- och sjukvård. Det är främst aktörer inom hälso- och sjukvård som har efterfrågat enklare sätt att hantera utlämnande för forskning. Utredningen bedömer att det hos samtliga inblandade aktörer borde finnas ett starkt incitament att använda de föreslagna reglerna. Utredningen anser inte att det skulle vara en proportionerlig inskränkning i det kommunala självstyret att göra reglerna tvingande. En anledning till det är att det sannolikt skulle innebära ett allt för trubbigt system. Utredningens bedömning är behovet av ett förenklat utlämnande varierar mellan verksamheter inom hälso- och sjukvården. Utredningen bedömer därför att det är mer lämpligt att det blir upp till regionerna att själva göra en bedömning av när och för vilka verksamheter det förenklade utlämnande hade genererat besparingar. Reglerna bygger också på att de regionala myndigheterna och lärosätena hittar praktiska lösningar inom både forskningen och hälso- och sjukvården som fungerar för dem båda. Detta bedömer utredningen behöver få utvecklas under frivilliga former.
Det finns en risk att det uppstår lokala lösningar. Utredningen ser dock inte att det skulle leda till några betydande problem och bedömer därför att en tvingande reglering och de negativa effekter de skulle föra med sig inte skulle stå i proportion till nyttan och inte heller motivera den inskränkning i det kommunala självstyret som det skulle innebära.
Det går att argumentera för att göra bestämmelserna i den nya lagen tvingande för att finansieringsprincipen inte ska bli tillämplig. Utredningen har inte vägt in detta i valet mellan frivillighet och tvingande regler. Övervägandena som utredningen har tagit ställning till redogörs för ovan. Utredningen bedömer vidare att kostnaderna för att inrätta denna typ av system inte behöver vara kostsam och därför skulle det inte innebära några större kostnader för staten, vilket var ett av skälen till att utredningen inte bedömt att en eventuell vilja att undvika finansieringsprincipen var värd att beakta. Därutöver tillför regeringen miljarder till regionerna (prop. 2023/24:1 Utgiftsområde 9, s. 43) för att stötta regionernas ekonomi. Staten skulle då investera mindre om pengar skulle avsättas för att bekosta dessa system och få ut en större besparingseffekt i regionen än de medel som de avsatte. Det är dock enligt utredningen inte lämpligt att staten skulle bryta upp exempelvis sektorsbidraget och överpröva regionernas prioriteringar i så små frågor som denna. Mot bakgrund av detta har
utredningen bedömt att det inte funnits anledning att i denna del beakta finansieringsprincipen i valet av frivillig eller tvingande lagstiftning.
Det kommer alltså att anges att bestämmelserna i den nya lagen ”får” tillämpas vid vidareanvändning. Vidareanvändning i generell mening kan även ske på andra sätt än genom tillämpning av den nya lagen. Utlämnande kan även ske enligt allmänna regler om begäran om allmänna handlingar eller uppgiftsutlämnande mellan myndigheter. Sker tillgängliggörande enligt lagen, gäller dock lagens villkor för detta.
15.3.4. Regler om förenklad tillgång är en del i en helhet
Utredningen är medveten om att förslagen som utredningen lämnar avseende klinisk forskning inte svarar upp mot alla de behov som finns (se kapitel 11 och 19–23). Utredningen bedömer dock att detta är ett steg av flera som behöver tas för att Sverige ska kunna göra omställningen mot en mer datadriven ekonomi (se kapitel 10). Flera av de problem som behöver lösas har utredningen bedömt kräver en nationell datahubb (se kapitel 19–22).
Förslagen går i linje med ambitionen att minska administrationen i vården
Regeringen har en uttalad ambition om att minska administrationen i vården (prop. 2023/24:1 Utgiftsområde 9, s. 45). Problemet med ökad administration har varit känd i många år och som utredningen beskrev i sin promemoria (se Bilaga 2) så har flera reformer snarare lett till ökad administration. Både föregående och nuvarande regering har dock bara de senaste åren tillsatt en rad utredningar och tillfört reformmedel på hälsodata, vilka samtliga har goda möjligheter att minska administrationen i vården (se exempelvis Dir. 2022:98).
Vissa delar av administrationen är kopplade till vårdens system och processer, exempelvis utsökning av data, vilket framför allt är kopplat till primäranvändningen. Annan administration, så som menprövning är kopplad till vidareanvändning och kommer av juridiska krav. Administrationen som uppkommer i primäranvändningssteget utreds inom ramen för Utredningen om infrastruktur för hälsodata som natio-
nellt intresse (S 2022:10) och är inget som kommer beröras i denna utredning. Utredningen har därför fokuserat på det utredningen kunnat göra för att minska administrationen för vidareanvändningen. Utredningen har utöver behovet av att minska administrationen också försökt lämna förslag som går i linje med och har synergieffekter, dels med övriga satsningar som regeringen gör, dels med de bedömningar för fortsatt utredning som utredningen gör i kapitel 19–23.
15.4. På vilken normgivningsnivå ska regleringen ske?
Förslag: Reglering av enklare tillgång till personuppgifter från
hälso- och sjukvården för ändamålet klinisk forskning ska ske i lag.
15.4.1. Rättsliga utgångspunkter
Normgivningsmakten är enligt 8 kap. regeringsformen, förkortad RF, fördelad mellan riksdagen och regeringen. Med normgivningsmakten avses rätten att besluta rättsregler, det vill säga sådana regler som är bindande för enskilda och myndigheter och som gäller generellt. Dessa regler kallas i RF för föreskrifter. Fördelningen av normgivningsmakten mellan riksdagen och regeringen bygger på principen att de centrala delarna av normgivningen ska ligga hos riksdagen (se Ds 2014:1 s. 9).
Riksdagens normgivningsområde
Det område där i första hand riksdagen har normgivningskompetensen kallas för riksdagens normgivningsområde eller det primära lagområdet. Detta område regleras huvudsakligen i 8 kap. 2 § RF.
I 8 kap. 2 § första stycket 2 RF anges att föreskrifter ska meddelas genom lag om de avser förhållandet mellan enskilda och det allmänna under förutsättning att föreskrifterna gäller skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden. Med ”ingrepp” åsyftas sådana åtgärder från normgivarens sida som allmänt anses innebära inskränkningar i enskildas dittills varande handlingsfrihet, möjligheter att förfoga över egendom et cetera (prop. 1973:90 s. 210). Inrättande av personregister har inte
ansetts hänförligt till bestämmelser som kräver stöd i lag eller annan författning (se bland annat KU 1979/80:3y).
I 8 kap. 2 § första stycket 3 RF anges att föreskrifter ska meddelas genom lag om de avser grunderna för kommunernas organisation och verksamhetsformer och för den kommunala beskattningen samt kommunernas befogenheter i övrigt och deras åligganden.
Den delen av det primära lagområdet där riksdagen inte kan bemyndiga regeringen att meddela föreskrifter, det vill säga inte kan delegera, brukar kallas det obligatoriska lagområdet. Den delen av det primära lagområdet där riksdagen genom delegering kan överlåta delar av sin normgivningskompetens till regeringen brukar kallas för det delegeringsbara området (se Ds 2014:1 s. 10). Detta område regleras i 8 kap. 3–5 §§ RF. Av 8 kap. 3 § RF framgår att riksdagen, med vissa undantag, kan bemyndiga regeringen att meddela föreskrifter enligt 2 § första stycket 2 och 3 RF.
I samband med att riksdagen bemyndigar regeringen att meddela föreskrifter i ett ämne kan riksdagen tillåta att regeringen i sin tur överlåter hela eller delar av denna normgivningskompetens till en förvaltningsmyndighet (se 8 kap. 10 § RF). Detta kallas subdelegering (Ds 2014:1 s. 10).
Regeringens normgivningsområde
I 8 kap. 7 § RF finns de huvudsakliga bestämmelserna om det område där regeringen utan delegering från riksdagen får meddela föreskrifter, det vill säga regeringens primärområde. Hit hör föreskrifter om verkställighet av lag samt föreskrifter som inte enligt grundlag ska meddelas av riksdagen, den så kallade restkompetensen.
Med verkställighetsföreskrifter avses i första hand tillämpningsföreskrifter av administrativt slag. Dessutom avses föreskrifter som i materiellt hänseende ”fyller ut” en lag, även om lagen i och för sig skulle befinna sig inom det obligatoriska lagområdet. En förutsättning är att den lagbestämmelse som ska kompletteras är så detaljerad att regleringen inte tillförs något väsentligt nytt genom den av regeringen beslutade föreskriften. I verkställighetsföreskrifter får det inte ingå sådant som kan uppfattas som en ny skyldighet för enskilda eller som ett nytt ingrepp i enskildas personliga eller ekonomiska förhållanden (se Ds 2014:1 s. 11 och prop. 1973:90 s. 211).
Till restkompetensen hör sådana offentligrättsliga föreskrifter som inte rör förhållandet mellan enskilda och det allmänna utan avser de statliga myndigheternas organisation, arbetsuppgifter och inre verksamhetsformer. Till restkompetensen hör också sådana föreskrifter som visserligen rör förhållandet mellan enskilda och det allmänna men som ur den enskildes synpunkt inte är betungande utan gynnande eller neutrala.
Av 8 kap. 11 § RF framgår att regeringen får delegera normgivningsmakten inom sitt primärområde till en myndighet under regeringen.
Grundläggande fri- och rättigheter
I 8 kap. 2 § andra stycket RF anges att det av andra bestämmelser i RF och av annan grundlag följer att föreskrifter av visst innehåll ska meddelas genom lag. En sådan bestämmelse finns i 2 kap. RF.
Enligt 2 kap. 6 § andra stycket RF är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.
Det skydd för den personliga integriteten som grundlagsbestämmelsen innebär är inte absolut, utan kan under vissa förutsättningar begränsas med hänsyn till andra motstående intressen. En sådan begränsning får dock endast ske genom lag (se 2 kap. 20 § första stycket 2 RF). En närmare beskrivning av dessa bestämmelser finns i avsnitt 7.1.2 (Integritetsskydd som en grundläggande mänsklig rättighet).
15.4.2. Regleringen bör ske i lag
Utredningens förslag om enklare tillgång till personuppgifter för klinisk forskning innebär att personuppgifter får göras tillgängliga genom begränsad direktåtkomst eller annat elektroniskt utlämnande. Utredningen föreslår att tillgången till personuppgifter enligt de nya reglerna får ske först efter att den registrerade har samtyckt till detta, se avsnitt 16.8.3. För barn gäller att vårdnadshavare lämnar samtycke till tillgången om vårdnadshavare också lämnar samtycke till att forskning sker på barnet. För personer som inte endast tillfälligt saknar förmåga att ta ställning gäller att lagligen utsedd ställföreträdare lämnar samtycke om denne även lämnar samtycke till forskningen. För
utrednings överväganden och förslag personer som inte kan samtycka, se avsnitt 16.8.4.
Utredning gör bedömningen att de föreslagna reglerna om enklare tillgång inte kan anses vara sådan art att de utgör ett ingrepp i enskildas personliga eller ekonomiska förhållanden i den mening som avses i 8 kap. 2 § första stycket 2 RF. Utredningen föreslår att det ska vara frivilligt för regionala myndigheter inom hälso- och sjukvården att tillämpa de nya reglerna. De föreslagna reglerna utgör enligt utredningens bedömning därför inte ett åliggande i den mening som avses i 8 kap. 2 § första stycket 3 RF. Reglerna utgör inte heller en befogenhet enligt nämnda bestämmelse.
Med avseende på 2 kap. 6 § andra stycket RF gör utredningen följande överväganden. Den förenklade tillgången till personuppgifter för klinisk forskning medför ett intrång i den personliga integriteten. Utifrån att de uppgifter som tillgängliggörs utgörs av journalinformation eller andra personuppgifter om den enskilde som finns inom hälso- och sjukvården och därmed kan vara av mycket känslig karaktär anser utredningen att intrånget kan vara betydande. Effekten av tillgängliggörandet är att regionala myndigheter och lärosäten som bedriver forskning får ett underlag med personuppgifter om enskilda som kan användas i forskningen. Detta kan medföra möjligheter till kartläggning av den enskildes personliga förhållanden. Intrånget sker dock inte utan den registrerades vetskap och föregås av samtycke. För personer som inte kan samtycka ges samtycke av vårdnadshavare eller lagligen utredda ställföreträdare. Utifrån detta kan det enligt utredningens mening diskuteras om de föreslagna reglerna innebär ett sådant intrång i den personliga integriteten att det faller under 2 kap. 6 andra stycket RF. Oavsett detta anser utredningen att de nya reglerna bör införas i lag enligt vad som framgår nedan.
Utredningen noterar att konstitutionsutskottet i flera lagstiftningsärenden som rört myndigheters behandling av personuppgifter framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag och att regeringen vid åtskilliga tillfällen har instämt i denna bedömning (prop. 2009/10 s. 183). Utredningen gör bedömningen att förslagen avseende förenklad tillgång till personuppgifter för klinisk forskning inte avser tillskapande av register i en traditionell mening. De uttalande som regering och riksdag har gjort behöver
enligt utredningens mening dock kunna överföras till andra tekniska lösningar och kunna tjäna till ledning även där.
Utredningens förslag innebär att en avgränsad uppgiftsmängd som innehåller direkt identifierbara personuppgifter får göras tillgänglig under en begränsad tidsperiod. Uppgiftsmängden kan innehålla ett mer eller mindre stort antal individer, beroende på omfattningen av forskningsprojektet och hur många som har samtyckt till att personuppgifter tillgängliggörs enligt det förenklade sättet. Tillgängliggörandet enligt utredningens förslag kan ske samtidigt för flera forskningsprojekt och kan därmed för en regional myndighet inom hälso- och sjukvården som tillämpar reglerna omfatta ett inte obetydligt antal individer. Under den tidsperiod som uppgifterna är tillgängliga kommer det vara möjligt att logga in, läsa och ladda ner de uppgifter som kan antas behövas för forskningen. En tillämpning av reglerna medför enligt utredningens uppfattning att en ny tillfällig uppgiftsmängd skapas och ges tillgång till på ett sätt som inte är tillåtet i dag. För uppgiftsmängden gäller en sekretessbrytande grund. Utredningen konstaterar vidare att det rör som känsliga personuppgifter om hälsa. I vissa fall kan det röra sig om mycket integritetskänslig information. För vissa personkategorier är det inte den registrerade själv som samtycker till tillgängliggörandet. Utredningen anser att det ligger i linje med vad regering och riksdag har uttalat att föreslagna regler införs i lag. Utredningen anser även att det är lämpligt utifrån ett förutsebarhetsperspektiv. Utredningen har även jämfört med en reglering i PDL som begränsar användandet av direktåtkomst till personuppgifter som behandlas inom hälso- och sjukvården. I bestämmelsen anges att utlämnanden genom direktåtkomst till personuppgifter endast är tillåten i den utsträckning som anges i lag eller förordning (5 kap. 4 § PDL). Bestämmelsen måste läsas i sitt sammanhang och gäller för utlämnanden av personuppgifter som görs inom PDL:s tillämpningsområde (för ytterligare beskrivning av tillämpningsområdet se avsnitt 15.6.1 och avsnitt 16.5.3). Skälet till att begränsningen fördes in var att direktåtkomst ansågs utgöra en särskild integritetskänslig form av elektroniskt utlämnande och det var därför önskvärt att det klargjordes i vilka fall direktåtkomst kunde vara tillåtet (prop. 2007/08:126 s. 76 och 244). Utredningen konstaterar att bedömningen går i linje med utredningens uppfattning om att föreslagna regler införs i lag.
15.5. Den övergripande lagtekniska utformningen
Förslag: Förenklad tillgång till personuppgifter från hälso- och
sjukvården för ändamålet klinisk forskning ska regleras i en ny lag.
Ovan har framgått att reglering av förenklad tillgång till personuppgifter för ändamålet klinisk forskning ska ske i lag. Frågan är hur den lagtekniska utformningen av de nya reglerna ska se ut. Det finns olika alternativ för detta. Ett alternativ är att komplettera någon befintlig lag. Den lag som utredningen i så fall bedömer kan vara aktuell är PDL. Utredningen noterar att det för forskning inte finns någon motsvarande generell kompletterande lagstiftning till EU:s dataskyddförordning Ett annat alternativ är en helt ny lag. Utredningens överväganden kring den övergripande lagtekniska utformningen redogörs för nedan.
15.5.1. Ändring av patientdatalagen
Utredningen resonerar i avsnitt 15.2.2 generellt kring införandet av forskning som ändamål i PDL. Utredningen anser inte att det skulle vara lämpligt. Övervägandena kring PDL i detta avsnitt är kopplade till utredningens specifika författningsförslag och är mer av lagteknisk karaktär. Vissa aspekter som belyses i avsnitt 15.2.2 återkommer även nedan.
Övervägandena om lämpligheten i att placera utredningens förslag om förenklade regler för vidareanvändning för klinisk forskning i PDL behöver utgå ifrån vad som är PDL:s nuvarande tillämpningsområde.
PDL är tillämplig på vårdgivares behandling av personuppgifter inom hälso- och sjukvården (1 kap. 1 § PDL).
Med vårdgivare avses statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).
Med hälso- och sjukvård avses verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk
vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter, lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar samt den upphävda lagen (1944:133) om kastrering. PDL omfattar inte i dag verksamhet enligt EPL, CTR, MDR och IVDR.
PDL reglerar inte personuppgiftsbehandling inom forskning, annat än när forskningen är ett led i vården, se vidare avsnitt 15.6. Den personuppgiftsbehandling som sker enligt PDL, när forskning är ett led i vården, utförs för vårdändamålet och av den personuppgiftsansvarige i egenskap av vårdgivare, inte av den personuppgiftsansvarige i egenskap av ansvarig för forskningen eller för forskningsändamålet. Personuppgiftsbehandling som endast sker i forskningssyfte regleras inte av PDL. Det är dessutom utredningens bedömning att den stora merparten av den kliniska forskning som förekommer inom samma myndighet som bedriver hälso- och sjukvård, inte är ett led i vården, se avsnitt 15.6.
Utredningens förslag om vidareanvändning för klinisk forskning avser enklare tillgång till personuppgifter som finns inom hälso- och sjukvården och som där omfattas av PDL. Utredningen föreslår att tillgång till personuppgifter kan ges genom så kallad begränsad direktåtkomst eller genom att elektroniskt utlämnande, se avsnitt 16.7.2. I PDL finns i dag vissa bestämmelser om direktåtkomst. Utredningen har övervägt om det skulle vara lämpligt att införa bestämmelserna om begränsad direktåtkomst eller annat elektroniskt utlämnande av personuppgifter och tillämpningsområdet på datahållarsidan, se avsnitt 16.4, i PDL. Från datahållarperspektiv skulle det kunna finnas en viss logik i detta. Utredningen konstaterar dock att ändamålet för befintliga regler i PDL om direktåtkomst är vård. Det finns även redan i dag regler om direktåtkomst i annan lag än PDL. Enligt SVOD får vård- och omsorgsgivare, genom direktåtkomst eller annat elektroniskt utlämnande, göra personuppgifter tillgängliga för varandra. Se vidare om utredningens bedömning om den nya lagens förhållande till PDL, avsnitt 16.5.3.
Vidareanvändning enligt utredningens förslag innebär, enkelt uttryckt, att det utförs personuppgiftsbehandling för ändamålet klinisk forskning av forskare i stället för ändamålet vård av hälso- och sjukvården. På dataanvändarsidan enligt utredningens förslag finns regio-
nala myndigheter som bedriver forskning samt lärosäten som bedriver forskning. Utredningen föreslår också vissa regler som gäller för dessa aktörer när de behandlar personuppgifter som tillgängliggörs av regionala myndigheter som bedriver hälso- och sjukvård. Att införa dessa regler i PDL skulle enligt utredningens bedömning innebära att PDL:s tillämpningsområde behöver utökas. PDL skulle behöva omfatta viss personuppgiftsbehandling som utförs av andra än vårdgivare, i annan verksamhet än hälso- och sjukvård. Utredningen anser av flera skäl att detta inte är lämpligt.
För det första skulle helt nya aktörer i form av statliga universitet, statliga högskolor och enskilda utbildningsanordnare behöva börja tillämpa regler i PDL. Utredningen gör bedömning att detta skulle framstå som främmande för dessa aktörer. Att reglera personuppgiftsbehandling inom andra självständiga verksamhetsgrenar hos en vårdgivare ligger inte heller i linje med det grundläggande syftet med lagen som är att reglera behandling av personuppgifter i vårdgivares kärnverksamhet som avser tillhandahållande av hälso- och sjukvård inklusive tandvård åt patienter (se prop. 2007/08:126, s. 46).
Att dessutom införa detaljerade regler för en viss typ av utlämnande ligger inte heller i linje med hur PDL i dag är utformad. Det finns regler om för vilka ändamål utlämnande får ske. Regler som direktåtkomst finns mellan myndigheter inom en region eller kommun som bedriver hälso- och sjukvård (jämför 5 kap. 4 § PDL) och i förhållande till enskild med avseende på vårddokumentation (5 kap. 5 § PDL). Direktåtkomst inom vårdgivare hör enligt utredningens uppfattning till primäranvändning. Det vore enligt utredningens mening väsensskilt att i PDL lägga in de detaljerade regler för utlämnande till klinisk forskning som utredningen föreslår. Det skulle också göra det ännu otydligare för forskare när PDL är tillämplig och inte, vilket redan i dag kan uppfattas som svårt i praktiken. Ett alternativ skulle då vara att ha vissa bestämmelser i PDL och andra i en ny lag. Utredningen anser inte att det är ett lämpligt alternativ, eftersom det är en klar fördel ur ett tillämparperspektiv att ha bestämmelserna samlade.
Utredningens anser att det finns starka skäl som talar för att det ska vara så tydligt som möjligt. Utredningen tar också en ansats att förtydliga forskning som ett led i vården för att ytterligare skapa en tydlighet, se nedan avsnitt 15.7.
Enligt utredningens bedömning finns i dag ingen lämplig lag för att placera utredningens förslag i, avseende vidareanvändning för klinisk
forskning. Även i beaktande av intresset att använda befintliga lagar i så stor utsträckning som möjligt, då ytterligare författningar i sig bidrar till ökad komplexitet, ser utredningen ingen sådan lämplig möjlighet.
Ändamålen vård och forskning behöver hållas isär
Utredningen har fått till sig önskemålet om att vårdpersonal som också forskar ska kunna använda den elektroniska åtkomsten eller direktåtkomst som finns till patientuppgifter för vårdändamål också för forskningsändamålet. Från vårdpersonalens perspektiv kan det framstå som ologiskt att ena stunden kunna logga in i patientjournalsystemet och ta del av uppgifter för vården av patienten, men andra stunden inte få göra det för forskning, trots att det handlar om samma patient och samma uppgifter.
Utredningen har förståelse för att detta, från ett praktiskt perspektiv, framstår som orimligt och onödigt krångligt. Utredningen lämnar också förslag som är avsedda att förenkla tillgången för forskning. Dessa förslag bygger dock inte på att vårdpersonal får använda den elektroniska åtkomsten de har för vårdändamålet även för åtkomst i forskningssyfte. Utredningen har gjort följande överväganden kopplat till detta.
Den interna behörigheten enligt 4 kap. 2 § PDL samt regelverket för sammanhållen vård- och omsorgsdokumentation är utformat för ändamålet vård. Det skulle enligt utredningens bedömning vara helt andra hänsyn som behöver beaktas om dessa regelverk också skulle användas för forskning. Det innebär att villkor för till exempel tillgängliggörande och behörighetsstyrning skulle behöva anpassas specifikt utifrån forskningsändamålet. Utredningen ser inte att det är proportionerligt att ur integritetshänseende motivera en så pass bred behörighet för forskningsändamålet som går att göra för vårdändamålet. Dessutom finns en yttre sekretessgräns mellan hälso- och sjukvårdsverksamheten och forskningsverksamheten, se avsnitt 15.7.
En ytterligare aspekt är att utredningen inte anser det lämpligt att införa ändamålet forskning som ett ändamål i PDL, se avsnitt 15.2.2. Lagens tillämpningsområde är ”hälso- och sjukvården” och lagen är utformad utifrån den verksamheten. Forskning bedrivs inte på ett sätt som gör att PDL:s bestämmelser är ändamålsenliga.
Sammanfattningsvis, det som från ett praktiskt perspektiv kanske kan framstå som en ”bra och enkel” lösning på fråga om tillgång till personuppgifter för forskning, är dels enligt utredningens mening juridiskt sett inte möjligt, dels inte heller ur ett bredare perspektiv lämpligt ur ett forskningsperspektiv.
15.5.2. En ny lag
Utredningens bedömning är att det inte finns någon befintlig lag som är lämplig för de nya regler om vidareanvändning av personuppgifter för klinisk forskning som utredningen föreslår. Utredningen anser därför att det behövs en ny lag för de regler som utredningen föreslår. En fördel med ny lag är också att den kan utformas för just vidareanvändning och skulle kunna byggas på. Utgångspunkten för utredningens förslag till ny lag är vidareanvändningen och ändamålet klinisk forskning. Utredningen har gjort avgränsningar avseende vilka aktörer och ändamål som författningsförslag nu lämnas på, se avsnitt 2.6. Syftet är dock att det ska kunna gå att bygga vidare med exempelvis fler aktörer och datamängder på datahållarsidan, såsom omsorgsgivare. Utredningen ser även en möjlighet att utreda om även annan klinisk forskning än sådan som bygger på samtycke till att delta i forskningen kan få någon typ av förenklade regler. Utredningen ser då att lagstiftningen bör ta utgångspunkt i vidareanvändningen, snarare än datahållarna och dataanvändarna och deras befintliga kompletterande regelverk för personuppgiftsbehandling. En ny författning ger lagteknisk struktur som utgår från vidareanvändning. Ur detta perspektiv framstår det som mest ändamålsenligt att placera regler som rör vidareanvändning för en del av forskningen i en separat författning, som kan byggas på.
Vid en sammantagen bedömning har utredningen landat i att det mest ändamålsenliga är att placera regler om vidareanvändning av personuppgifter för ändamålet klinisk forskning i en ny författning.
15.6. Forskning som ett led i vården och patientnära forskning
Bedömning: Med forskning som ett led i vården avses forskning
som utgör en del av hälso- och sjukvården eller annan medicinsk verksamhet enligt 25 kap. 1 § OSL. Forskning är ett led i vården till den del den bedrivs organisatoriskt integrerat med hälso- och sjukvårdsverksamhet och dokumentation för både vård- och forskningsändamålen sker samtidigt.
Med patientnära forskning avses forskning som sker parallellt med hälso- och sjukvårdsverksamheten utan att vara organisatoriskt integrerade med varandra. Dokumentation sker vid olika tillfällen.
Utredningens förslag om nya regler för förenklad tillgång till personuppgifter för klinisk forskning avser bland annat att överbrygga de yttre sekretessgränser som finns. Yttre sekretessgränser finns mellan myndigheter både inom och mellan vårdgivare. Inom en myndighet som bedriver hälso- och sjukvård finns också en yttre sekretessgräns mellan hälso- och sjukvård och forskning, om forskningen är en självständig verksamhetsgren. Frågan om forskningen är en självständig verksamhetsgren har alltså betydelse för i vilka situationer det blir aktuellt att tillämpa de regler som utredningen lämnar förslag på. Utredningen har från aktörer också blivit uppmärksammad på att detta är en oklar rättslig fråga och att det medför tillämpningsproblem i praktiken. Utredningen har mot denna bakgrund utrett frågan närmare.
En närliggande, men enligt utredningen, formellt sett annan fråga, är PDL:s tillämplighet vid så kallad patientnära forskning. Vad som menas med patientnära forskning och hur detta begrepp förhåller sig till ”forskning som ett led i vården” är också frågor som utretts.
15.6.1. De övergripande rättsliga frågeställningarna
Utredningen uppfattar att det finns två huvudsakliga rättsliga perspektiv när det handlar om vård och forskning inom en myndighet. Det ena är sekretessperspektivet som innefattar frågan om när vård och forskning är självständiga verksamhetsgrenar. Mellan självstän-
diga verksamhetsgrenar finns en ”yttre” sekretessgräns inom myndigheten. Om sekretessreglerade uppgifter ska från den ena självständiga verksamhetsgrenen till den andra, krävs ett formellt utlämnande som föregås av en sekretessprövning. Om sekretessreglerade uppgifter ska från hälso- och sjukvårdsverksamhet inom en vårdgivande myndighet till forskningsverksamhet inom samma myndighet, och dessa verksamheter utgör självständiga verksamhetsgrenar i förhållande till varandra, ska alltså en sekretessprövning göras innan ett utlämnande kan ske. Om forskningen däremot inte är en självständigverksamhetsgren i förhållande till vården, behövs inte det. Den sekretessprövning som görs när uppgifter ska lämnas från vård till forskning som är en självständig verksamhetsgren går typiskt sett ut på att pröva om ett utlämnade innebär men enligt 25 kap. 1 § OSL.
Det andra huvudsakliga rättsliga perspektivet är det dataskyddsrättsliga. Från dataskyddsperspektiv gäller bland annat att en myndighet behöver hålla reda på för vilket ändamål personuppgifter behandlas. Detta gäller oavsett inom vilken eventuell självständig verksamhetsgren som behandlingen sker.
Inom en vårdgivare gäller PDL som kompletterande lagstiftning till EU:s dataskyddsförordning vid vårdgivares personuppgiftsbehandling inom hälso- och sjukvården. PDL gäller inte för personuppgiftsbehandling inom forskning.
15.6.2. Vård och forskning som självständiga verksamhetsgrenar enligt sekretesslagstiftningen
Utgångspunkten är alltså att sekretess gäller mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra (8 kap. 2 § OSL).
I propositionen till PDL uttalas att den så kallade patientnära eller kliniska forskningen (se vidare nedan om dessa begrepp) hos vårdgivare inte sällan bedrivs integrerat med patientvården. Forskning respektive patientvård kan emellertid också utgöra självständiga verksamhetsgrenar i förhållande till varandra (prop. 2007/08:126, s. 50).
När frågan om självständiga verksamhetsgrenar utvecklas i propositionen används formuleringen forskning som ett led i vården. Med detta avses forskning som ingår i samma verksamhetsgren som hälso- och sjukvårdsverksamheten, nedan benämnd hälso- och sjukvårds-
grenen. Forskning som inte är ett led i vården är att betrakta som en annan verksamhetsgren, nedan benämnd forskningsgrenen.
Forskning som ingår i hälso- och sjukvårdsgrenen omfattas av hälso- och sjukvårdssekretessen (se prop. 2007/08:126, s. 202). Om forskningen utgör en självständig verksamhetsgren följer sekretessen med vid ett utlämnande från hälso- och sjukvårdsgrenen till forskningsgrenen (se 8 kap. 2 § OSL och 11 kap. 3 § första stycket OSL.1Om det finns en primär sekretessbestämmelse i forskningsverksamheten tar den över, se avsnitt 8.3.4–8.3.5.
En jämförelse kan göras med sekretessen i verksamhet som endast utgör hälso- och sjukvård eller annan medicinsk verksamhet. Samtliga verksamheter, som utgör hälso- och sjukvård eller annan medicinsk verksamhet, inom den offentliga sektorn har att tillämpa sekretessen enligt 25 kap. 1 § OSL. Härav följer att all hälso- och sjukvård som lyder under samma nämnd inom en region eller en kommun utgör en och samma verksamhetsgren i sekretesslagstiftningens mening (jämför prop. 2007/08:126, s. 163). I propositionen räknas ett antal lagstiftningsärenden upp. Sedan uttalas att ”Av nämnda lagstiftningsärenden framgår att om olika delar av en myndighets verksamhet har att tillämpa olika sekretessbestämmelser får de anses utgöra olika verksamhetsgrenar i sekretesslagens mening” (prop. 2007/ 08:126, s. 162). ”Först om olika delar av en myndighets verksamhet har att tillämpa olika sekretessbestämmelser finns det skäl att även ta ställning till om de olika verksamhetsgrenarna är att betrakta som självständiga i förhållande till varandra.” (Prop. 2007/08:126, s. 163.)
Uttalandena i propositionen om vad som menas med forskning som ett led i vården är dock knapphändiga. De anges att när ”det gäller forskning som bedrivs inom en hälso- och sjukvårdsmyndighet måste man skilja mellan sådan forskning, som sker som ett led i vården och behandlingen av en patient, och annan forskning som bedrivs med myndigheten som huvudman. Med annan forskning avses dokumentation som enbart sker i forskningssyfte och som inte heller har någon betydelse för vården”. Vidare uttalas att ”[h]uruvida [verksamhetsgrenarna] är att betrakta som självständiga i förhållande till varandra beror dock på hur verksamheten hos myndigheten i fråga har organiserats” (prop. 2007/08:126, s. 202).
1 I propositionen hänvisas till 1 kap. 3 § andra stycket respektive 13 kap. 3 § sekretesslagen (1980:100).
I den statliga utredning som låg till grund för propositionen till PDL anges att det ”krävs att en sekretessprövning har gjorts innan uppgifterna lämnas ut och används för forskning. Detta gäller oavsett om forskningen bedrivs inom vårdgivarens egna verksamhet eller inte” (se SOU 2006:82, s. 495–496). Utredningen anger även att i de fall forskningen bedrivs integrerat med vården av patienter kommer patientdatalagen att vara tillämplig beträffande den personuppgiftsbehandling som rör vården, till exempel i fråga om journalföring (SOU 2006:82, s. 496).
Det som enligt utredningens tolkning går att utläsa ur förarbetena är att frågan om självständiga verksamhetsgrenar dels har med
dokumentationen att göra, dels även hur verksamheten är organiserad.
Om detta är alternativa eller kumulativa faktorer anges inte. Inte heller hur de förhåller sig till varandra. På vilket sätt verksamheten ska vara organiserad för att forskningsgrenen ska anses vara självständig anges inte heller. Viss konkretisering ges i utredningen som talar om forskning som bedrivs integrerat med vården.
Vilka situationer som detta konkret kan vara aktuellt i och vad det i så fall har för praktisk betydelse för informationsöverföringen från vård till forskning ger dock inte förarbetena något svar på. Utredningen delar därför den bedömning som många aktörer har lyft, att det får betraktas som rättsligt oklart vilken forskning som är ”ett led” i vården och i vilka situationer som en sekretessgräns inte finns mellan vård och forskning.
Utredningens syn på forskning som ett led i vården
Avseende frågan i vilka situationer som forskning kan vara ett led i vården, bör enligt utredningens mening utgångspunkten vara att hälso- och sjukvård och klinisk forskning (inklusive patientnära forskning) är aktiviteter som lyder under olika rättsliga regleringar. Skillnaderna i rättslig reglering finns i flera regelverk. Även i OSL görs en skillnad på sekretess inom hälso- och sjukvård och sekretess som gäller i forskningsverksamhet.
Forskning som ett led i vården innebär att forsknings- och vårdverksamheten bedrivs på ett sådant sätt att forskningen ingår i hälso- och sjukvården enligt 25 kap. 1 § OSL. Den bestämmelsen reglerar sekretess till skydd för enskild i verksamhet som avser hälso- och sjukvård.
För att forskning ska kunna anses ingå i en hälso- och sjukvårdsverksamhet enligt 25 kap. 1 § OSL krävs enligt utredningens mening, vilket också antyds i propositionen till PDL, att vården och forskning i dessa fall bedrivs integrerat hos vårdgivaren (se SOU 2006:82, s. 496).
En aspekt av detta är det organisatoriska sambandet mellan vården och forskningen. För att forskning ska kunna ses som ett led i vården behöver den bedrivas inom exempelvis en klinik eller annan organisatorisk enhet (avdelning, mottagning eller dylikt) som erbjuder hälso- och sjukvård och vara en integrerad del i vårdverksamheten (jämför prop. 1979/80:2 Del A, s. 121). Det bör också vara samma personal som är inblandad i vården och forskningen.
Utredningen anser dock inte att den organisatoriska integreringen kan vara en tillräcklig förutsättning för att forskningen ska ses som ett led i vården. En ytterligare aspekt på integreringen är hur dokumentationen sker.
Dokumentation som enbart sker i forskningssyfte, och inte samtidigt för vård, kan inte vara ett ”led i vården”, även om forskningen organisatoriskt är integrerad i vården. För att forskningen ska kunna ses som ett led vården krävs enligt utredningens mening att dokumentation sker både för vård- och forskningsändamålet parallellt och i direkt anslutning till varandra. Det är i den del som dokumentation sker för både forskning och vård som forskningen kan anses vara ett led i vården. Detta kan enligt utredningens mening rent praktiskt ske endast i situationer där dokumentation utförs för båda ändamålen samtidigt, det vill säga när vård och forskning sker momentant.
I ett forskningsprojekt kan vissa delar av forskningen utgöra ett led i vården. I en interventionsstudie kan till exempel moment som provtagning och vissa analyser vara en del även i vården av patienten. Andra delar av forskningsprojektet kan ligga utanför vården. Det är bara de delar av ett forskningsprojekt som ingår på ett integrerat sätt i vården som enligt utredningens mening kan utgöra ett ”led i vården”.
Vidare anser utredningen att forskning inte ”blir” ett led i vården endast av det skäl att information överförs från ett forskningsprojekt till patientjournalen. Det brister då i det organisatoriska sambandet och att forskningen inte var integrerad i den vård som gavs patienten.
Figur 15.1 Översiktsbild av när forskning kan anses vara ett led i vården
Källa: Utredningens illustration.
Följden av att forskning är ett led i vården – rättsligt och praktiskt
När forskning är ett led i vården behövs det formellt sett inte göras någon sekretess-/menprövning och det blir formellt inget utlämnande från en verksamhetsgren till en annan om uppgifter överförs från patientjournalen till forskningsjournalen. Däremot gäller fortfarande kraven från dataskyddsrättsligt perspektiv. Detta innebär att myndigheten alltid måste veta för vilket ändamål personuppgiftsbehandling sker och bedöma om den behövs för just det ändamålet. Vad avser behörighet till elektronisk åtkomst enligt PDL ska också framhållas att den endast får ske i vårdsyfte. Även om det inte finns någon sekretessgräns, får personal inte använda inloggning i journalsystem i forskningssyfte.
Frågan som inställer sig är om de rättsliga följderna har någon större praktisk betydelse. Utredning bedömer att så inte är fallet. Anledningarna till detta är följande.
När forskningen är integrerad både organisatoriskt och dokumentationsmässigt, finns inget behov av att överföra information från
Bedrivs forskningen
integrerat med hälso-
och sjukvården och sker dokumentationen
momentant?
Forskning som
led i vården
Patientnära
forskning
Ja Nej
Forskning
den ena verksamheten till den andra. Dokumentationen sker momentant och i den utsträckning som behövs för respektive ändamål. Det blir alltså i praktiken inte något behov av att överföra information från hälso- och sjukvårdsgrenen till forskningsgrenen. Ett praktiskt exempel kan vara att en individs BMI mäts och konstateras till en viss siffra. Personalen för då, direkt efter mätningen, in siffran i både journalen för vårdändamålet och i systemet eCRF (electronic Case Report Form), där forskningsuppgifter dokumenteras, för forskningsändamålet.
När integreringen inte finns och forskning alltså inte är ett led i vården, blir det fråga om ett utlämnande och en sekretessprövning. Utredningen gör bedömningen att när behov uppstår av att ta del av patientinformation från hälso- och sjukvården till ett forskningsprojekt, är det ett uttryck för att det inte handlar om en integrerad situation, utan då handlar det om forskning som en självständig verksamhetsgren. Utredningen menar därför att det som utgångspunkt bör vara fråga om ett utlämnande som ska föregås av en sekretessprövning när patientuppgifter ska från hälso- och sjukvårdsgrenen, till exempel från patientjournalen, för att användas i forskningsgrenen. Utifrån detta menar utredningen vidare att det sällan aktualiseras att det är behörighets- och befogenhetsreglerna i PDL som i sig hindrar en enklare tillgång av patientuppgifter till forskning. Det skulle inte heller göra någon nämnvärd praktisk skillnad för en enklare tillgång om PDL kompletterades med regler som tillät elektronisk åtkomst i forskningssyfte, eftersom sekretessgränsen mellan vård och forskning finns. Enligt utredningens mening finns även andra skäl som talar emot att reglera forskning i PDL, se ovan avsnitt 15.2.2 och 15.5.1.
Utredningens syn på patientnära forskning
Utredningen konstaterar ovan att utgångspunkten är att hälso- och sjukvård och klinisk forskning är aktiviteter som lyder under olika rättsliga regleringar. Skillnaderna i rättslig reglering finns i flera regelverk. Även i OSL görs en skillnad på sekretess inom hälso- och sjukvård och sekretess som gäller i forskningsverksamhet. Forskning som ett led i vården innebär att forsknings- och vårdverksamheten
bedrivs på ett sådant sätt att forskningen ingår i hälso- och sjukvården enligt 25 kap. 1 § OSL.
Skillnaden mellan sådan forskning, som utgörs av forskning som ett led i vården, och annan form av klinisk forskning som fortfarande kan vara patientnära forskning, är enligt utredningens bedömning just denna reglering. För att utgöra patientnära forskning måste det förstås handla om forskning som sker nära patienten. Det kan därför endast utgöras av interventionsstudier och aldrig av observationsstudier, enligt utredningens uppfattning.
När inhämtandet av uppgifter och därmed dokumentationen inte sker momentant utan sker vid olika tillfällen för forskning och vård talar det för att det snarare handlar om patientnära forskning än forskning som ett led i vården. Den enskilda individen är forskningsperson och patient parallellt, men inte nödvändigtvis exakt samtidigt.
Patientnära forskning – dataskyddsrättsliga perspektivet
Den övergripande ingången från det dataskyddsrättsliga perspektivet är för vilket ändamål behandlingen av personuppgifter sker. I aktuellt sammanhang handlar det om behandling av personuppgifter som sker i forskningssyfte, vårdsyfte eller båda delar. Detta har betydelse för när PDL är tillämplig. Det är när forskningen kommer nära vården och patienter som gränsdragningen kan vara svår att göra. I detta sammanhang används i förarbetena till PDL så kallad patientnära forskning. I förarbetena förklaras inte vad som menas med patientnära forskning.
I propositionen till PDL uttalas att den särskilda personuppgiftsbehandlingen som föranleds av forskningen i den patientnära forskningen inte ska regleras av PDL. Härmed avses dokumentation som enbart sker i forskningssyfte och som inte heller har någon betydelse för vården (prop. 2007/08:126, s. 51). Sådan personuppgiftsbehandling regleras enbart av allmänna dataskyddsregler, i dag EU:s dataskyddsförordning.
Till den del den patientnära forskningen innefattar patientjournalföring eller annan dokumentation som hör till vården, ska den informationshanteringen dock regleras av PDL (prop. 2007/08:126, s. 51).
Utredningen har försökt hitta ledning för vad som omfattas av patientnära forskning. Utredningen har också ställt frågan till aktö-
rer som utredningen har haft kontakt med. Utredningen konstaterar att det inte helt lätt att definiera begreppet.
Semantiskt tyder begreppet på att forskningen sker nära en person som betecknas som patient. Patient är man inom hälso- och sjukvården. Utifrån detta skulle patientnära forskning alltså ske inom eller med koppling till hälso- och sjukvården. Detta leder in på innebörden av klinisk forskning. I propositionen används också formuleringen ”den patientnära eller kliniska forskningen”. Är då all klinisk forskning ”patientnära”? Kan till exempel en registerstudie, som inte ens patienten är medveten om, anses vara ”patientnära”? Enligt utredningens mening kan så inte vara fallet. För att behov ska uppkomma att reflektera över de frågor som uttalandet i förarbetena ovan, krävs enligt utredningens mening att man fysiskt befinner sig i en vård- och forskningssituation samtidigt med patienten. Personalen har patienten/forskningspersonen framför sig och ställs inför bedömningen av om dokumentation ska ske för vårdändamål i patientjournalen, för forskningsändamål i eCRF eller för båda delar. Denna situation uppkommer enligt utredningens mening inte inom ramen för all klinisk forskning. Utredningens uppfattning är därmed att patientnära forskning är en del av den kliniska forskningen.
Utredningen uppfattar dock att begreppet patientnära forskning är bredare än forskning som ett led i vården. Den patientnära forskningen omfattar också dokumentation som endast sker i forskningssyfte och som omfattas av annan sekretess än hälso- och sjukvårdssekretessen. En del av den patientnära forskningen kan alltså vara forskning som ett led i vården, medan andra delar inte är det.
15.6.3. Praktiska exempel
Utredningen beskriver här ett antal exempel för att illustrera utredningens uppfattning av vad som avses med forskning som ett led i vården i relation till patientnära forskning. De exempel som anges är utredningens egen tolkning av begreppen.
Exempel 1: Forskning som ett led i vården
Individen är både patient och forskningsperson samtidigt. Läkaren deltar i vården av patienten och deltar i forskningsprojektet där individen är forskningsperson. Forskningen bedrivs integrerat med hälso- och sjukvården på den mottagning där individen är patient. Individen har fått behandling genom ett nytt läkemedel som endast godkänts för klinisk läkemedelsprövning. Information om behandlingens resultat har betydelse för både vården av patienten och för forskningen. Dokumentering behöver ske för båda ändamålen och sker i stort sett momentant.
Kommentar
Vid vård av en patient ska det föras patientjournal. Journalföringsplikten gäller för uppgifter som behövs för en god och säker vård av patienten. Relevanta uppgifter om läkemedelsbehandlingen ska journalföras enligt reglerna i PDL. Dokumentation ska även ske inom ramen för forskningsprojektet. Kravet på dokumentation följer av god forskningssed och, eftersom exemplet gällde en klinisk läkemedelsprövning, Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG, förkortad CTR. Skälen för sådan dokumentation är flera. Själva forskningen och forskningsresultat behöver dokumenteras för att forskningen ska kunna bedrivas. Forskningen och forskningsresultaten måste även kunna kontrolleras. Dokumentationen kan också efterfrågas vid en utredning om en anklagelse för vetenskaplig oredlighet skulle framföras.
Informationen som genereras omfattas i det här exemplet både av journalföringsplikt enligt PDL och en skyldighet att dokumentera för forskningsprojektet. Dokumentationen sker momentant för båda ändamålen. Läkemedelsbehandlingen sker som ett led i vården av patienten, det vill säga forskning som ett led i vården.
Exempel 2: Off-label
En cancerpatient har fått all behandling som finns enligt den ”ordinära” vården. Som ett sista försök att rädda livet på patienten förskrivs ett nytt läkemedel som inte är färdigtestat.
Kommentar
Patienten kan i undantagsfall inkluderas i ett forskningsprojekt, om det finns ett pågående lämpligt forskningsprojekt där villkoren matchar patientens individuella förutsättningar och då kan det vara fråga om forskning som ett led i vården. Forskningen ska då bedrivas integrerat i hälso- och sjukvården på så sätt som redogjorts för i exemplet ovan.
Oftast utgörs scenariot i stället, enligt vad utredningen har fått till sig, fråga om så kallad off-labelanvändning av läkemedel. För off-label-användning gäller att dokumenterad vetenskap och beprövad erfarenhet ska ligga till grund för användning av ett godkänt läkemedel på icke-godkänd indikation. Läkemedelslagstiftningen har en skyddsmekanism som ska ge patienterna tillgång till ändamålsenliga läkemedel av god farmaceutisk kvalitet där förväntade nyttoeffekter överväger möjliga risker. Ett led av detta är att en ny indikation för ett visst läkemedel kan godkännas endast efter att företaget som ansvarar för läkemedlet ansökt om det. Ett vanligt exempel kan vara att ett visst läkemedel sätts in på barn trots att det endast finns godkänd indikation för att använda läkemedlet för vuxna.
Icke-godkänd indikation innebär alltså att läkemedlet inte är godkänt för just den specifika behandlingen som avses sättas in. Behandlingen sker då på den förskrivande läkarens ansvar. Den fria förskrivningsrätten, det vill säga rätten att baserat på vetenskap och beprövad erfarenhet förskriva läkemedel utanför godkänd indikation, möjliggör för förskrivaren att ge adekvat läkemedelsbehandling till enskilda patienter även om behandlingen inte helt uppfyller produktresuméns uppsatta kriterier men förväntas ge medicinsk nytta. En sådan förskrivning innebär alltså vård och inte forskning som ett led i vården.
Exempel 3 Patientnära forskning, inte led i vården
Precis som i första exemplet är individen både patient och forskningsperson samtidigt. Läkaren deltar i vården av patienten och deltar i forskningsprojektet där individen är forskningsperson. Forskningen bedrivs däremot inte integrerat med vården. Det kan till exempel handla om en patient med reumatiska besvär som blir tillfrågad om att delta i ett forskningsprojekt. Forskningsprojektet går ut på att ett nytt hjälpmedel för svårt reumatiska besvär ska testas. Patienten är intresserad och samtycker till att delta i forskningsprojektet. Ett sådant forskningsprojekt innebär en interventionsstudie där en ny medicinteknisk produkt testas.
Patienten fortsätter då med sina regelbundna vårdbesök, men får utöver detta även genomföra besök för att delta i forskningsstudien. Det är möjligt att besöken rent praktiskt sker på samma klinik, men de sammanfaller inte nödvändigtvis med vården. Förhållandena kan även vara så att själva forskningsprojektet sker på en prövningsenhet, separat från reumatologiska verksamheten. Utredningens utgångspunkt har varit att patientnära innebär att det inte endast utgörs av uppgifter som samlats in om patienten inom hälso- och sjukvården utan att den på något sätt innebär att den utförs nära patientens vård i fråga. Det innebär att utredningens uppfattning är att till exempel registerbaserad forskning sällan utgörs av patientnära forskning.
Informationen som genereras i forskningsprojektet omfattas som utgångspunkt endast av skyldigheten att dokumentera för forskningsprojektet. Ibland kan uppgifter ha betydelse för vården och då görs ett utlämnande från forskningen till vården. Dokumentation sker inte momentant. Det här exemplet utgörs av patientnära forskning men är inte ett led av vården.
16. En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
16.1. En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
16.1.1. Inledning
Utredningen lämnar förslag på en ny reglering som avser vidareanvändning av personuppgifter för klinisk forskning. Utredningens förslag avser att adressera de problem som redogörs för i avsnitt 12.3. I avsnitt 15.3 redogörs för befintliga regler som avser utlämnande till forskning och behovet av förenklade regler. Utredningen ser förslagen på nya regler för vidareanvändning av personuppgifter för klinisk forskning som en del i en helhet av förändringar som behövs för att adressera de problem som finns kopplat till utlämnande för forskningsändamål, se vidare avsnitt 15.3.4. Utredningen gör bedömningen att den nya regleringen bör ske i lag och att det är lämpligast att reglerna placeras i en ny lag, se avsnitt 15.4 och 15.5.
Den föreslagna lagen har två övergripande syften. Det ena är att skapa förenklade möjligheter till vidareanvändning av personuppgifter från hälso- och sjukvården för ändamålet klinisk forskning. Det andra är att säkerställa att registrerades personliga integritet skyddas vid vidareanvändning av personuppgifter som görs med stöd av lagen. Det finns ingen rangordning mellan syftena. Däremot uppkommer behovet av särskilda skyddsåtgärder för den personliga integriteten som en följd av de enklare åtkomstmöjligheter som föreslås enligt lagen.
De förenklade möjligheterna till vidareanvändning avser regler som möjliggör en enklare tillgång till personuppgifter som finns inom hälso- och sjukvården för ändamålet klinisk forskning. Utredningens
tanke är att lagen ska kunna byggas på med fler regleringar som exempelvis ytterligare hälsodatamängder, se avsnitt 15.5.2. Den enklare tillgången utgörs av en begränsad direktåtkomst eller annat elektroniskt utlämnande i kombination med en sekretessbrytande grund. Den enklare tillgången ska förenas med villkor i lagen som ska vara uppfyllda för att begränsad direktåtkomst eller annat elektroniskt utlämnande ska få ske enligt lagen samt med bestämmelser som syftar till att skydda den enskildes personliga integritet. Med detta avses olika typer av skyddsåtgärder, såsom bestämmelser om integritetshöjande samtycke och absolut sekretess för överskottsinformation.
Utredningens förlag på ändringar av sekretessregler finns i avsnitt 17.3 och 17.4.
16.1.2. Tillåtligheten av en kompletterande särreglering
Bedömning: En särreglering av vidareanvändning av personupp-
gifter från hälso- och sjukvården är en tillåten kompletterande nationell reglering till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av person-uppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Vid överväganden om att införa en särreglering till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av person-uppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad EU:s dataskyddsförordning, behöver en bedömning göras av om en sådan särreglering är en tillåten kompletterande reglering till förordningen.
Kompletterande nationell reglering av personuppgiftsbehandling kan endast ske i den mån EU:s dataskyddsförordning medger det, och då inom de ramar förordningen sätter. Även om dataskyddsförordningen är direkt tillämplig i medlemsstaterna, tillåts medlemsstaterna att behålla eller införa mer specifika nationella bestämmelser i olika avseenden. Ibland är också mer specifika bestämmelser nödvändiga för att förordningens bestämmelser ska kunna erhålla den önskade effekten.
Enligt artikel 6.2 och 6.3. b tillåts nationell reglering för att närmare fastställa hur förordningens bestämmelser ska tillämpas när det gäller behandling som utförs med stöd bland annat av den rättsliga grunden utförande av uppgift av allmänt intresse.
Det är tillåtet att i sådan nationell reglering ha bestämmelser om bland annat de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling. Sådana bestämmelser kan även reglera vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål. De kan även regleraändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling med mera.
Den nationella regleringen ska vidare uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas, enligt artikel 6.3 stycke 2.
I skäl 9 anges vidare att förordningen ger medlemsstaterna handlingsutrymme att specificera sina bestämmelser. Det gäller även för behandling av känsliga personuppgifter och förordningen utesluter inte att det i den nationella rätten fastställs närmare omständigheter för specifika situationer där uppgifter behandlas. Det kan till exempel handla om mer exakta villkor för laglig behandling av personuppgifter.
Dubbel- eller överreglering bör undvikas, för inte riskera att det råder oklarhet gällande förhållandet mellan dataskyddsförordningen och eventuell kompletterande nationell reglering. Kompletterande bestämmelser kan emellertid vara motiverat under vissa förutsättningar.
Utgör allmänt intresse den rättsliga grunden enligt artikel 6.1 e ställer förordningen även krav på nationella bestämmelser som får till exempel precisera vilka personuppgifter som får lämnas ut och för vilket ändamål. Den föreslagna lagen ska även ange de särskilda skyddsåtgärder som är nödvändiga för att säkerställa att behandlingarna utförs på ett integritetssäkert sätt. Dessa villkor är därför inte enbart en tillåten kompletterande nationell reglering i enlighet med artikel 6.2 utan utgör även en förutsättning enligt artikel 6.3 andra stycket.
Ytterligare bedömningar om de särskilda villkoren och åtgärder som utredningen anser är nödvändiga för att uppnå en integritetssäker behandling, och därmed även proportionalitet återfinns särskilt i avsnitt 16.7–16.10 och 16.13.
16.1.3. Den rättsliga grunden vid vidareanvändning av personuppgifter enligt lagen
Bedömning: Den rättsliga grunden för personuppgiftsbehandling
som sker med stöd av lagen är, enligt utredningens bedömning, behandling som är nödvändig för att fullgöra en arbetsuppgift av allmänt intresse.
Av tydlighets- och integritetsskäl behövs särskilda bestämmelser som anger hur enskildas fri- och rättigheter skyddas. Lagen utgör därmed en sådan precisering av den rättsliga grunden uppgift av allmänt intresse (6.1.e) i enlighet med artikel 6.2 och artikel 6.3 i dataskyddsförordningen.
För att en personuppgiftsbehandling ska vara laglig krävs att den har en rättslig grund i enlighet med artikel 6.1 dataskyddsförordningen. Först måste det därför avgöras vilka behandlingar som kan aktualiseras. Den föreslagna lagen reglerar vidareanvändning av personuppgifter för klinisk forskning.
Den efterföljande behandlingen regleras inte av föreslagen lag. Ett tillgängliggörande enligt lagen kan delas upp i två led, den ena avser själva tillgängliggörandet, genom att en regional myndighet eller lärosäte som bedriver klinisk forskning medges åtkomst till uppgifterna. Det andra ledet består i att den regionala myndigheten eller lärosätet som bedriver den kliniska forskningen använder sin åtkomst och bereder sig tillgång till de personuppgifter som omfattas av den begränsade direktåtkomsten samt tillför uppgifter till forskningen (jämför 2 kap. 6 § andra stycket patientdatalagen [2008:355], förkortad PDL, och 4 kap. 1 § andra stycket lagen [2022:913] om sammanhållen vård- och omsorgsdokumentation, förkortad SVOD) (för utförligare beskrivning av när uppgifter tillförs forskningen se avsnitt 16.9.3).1
Båda dessa led bör enligt utredningens mening i detta fall ses som två separata behandlingar (jämför även artikel 4.2 dataskyddsförordningen där en behandling definieras som bland annat strukturering, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt). Det kan tyckas främmande att dela upp
1 Här kan jämföras med den föreslagna förordningen om European Health Data Space, kapitel 4 där man talar om ”secondary use”, förordningen beskrivs närmare i avsnitt 4.2.8 och 19.5.2. Likaså kan det jämföras med hur den finska sekundäranvändningslagen ser ut, som beskrivs närmare i avsnitt 10.4.
ett tillgängliggörande på detta sätt, särskilt när det med teknikens möjligheter kan bli ett näst intill sömlöst förfarande. En anledning till att det behöver delas upp är att det i rör sig om olika personuppgiftsansvarigas hantering (jämför prop. 2007/08:126 s. 51 f.), En annan anledning är att den efterföljande behandlingen, det vill säga bedrivandet av den kliniska forskningen, inte regleras av den föreslagna lagen. Som framgår av de överväganden som utredningen gjort i avsnitt 15.5.1 anser inte utredningen det lämpligt eller möjligt att utvidga PDL:s tillämpningsområde till att även omfatta klinisk forskning. Båda dessa behandlingar måste därför ha en rättslig grund.
Nedan följer utredningens redogörelse över att den rättsliga grunden i enlighet med artikel 6.1 dataskyddsförordningen, i båda dessa fall kommer att utgöras av uppgift av allmänt intresse (artikel 6.1 e).
Slutligen kommer även ett avsnitt (16.1.4) om vilket rättsligt stöd som finns för att behandla känsliga personuppgifter.
Rättslig grund för den behandling som utgörs av tillgängliggörandet
Utredningen har begränsat datahållarna som omfattas av förslaget till regionala myndigheter som bedriver hälso- och sjukvård. En första fråga blir därför vilken rättslig grund dessa myndigheter har för ett tillgängliggörande enligt lagen.
I hälso- och sjukvårdslagen (2017:30), förkortad HSL, 13 a kap. 1 § 5 anges att regioner och kommuner inom ramen för verksamhet som utgör primärvård särskilt ska möjliggöra medverkan vid genomförande av forskningsarbete. I 18 kap. 2 § HSL, anges vidare att regioner och kommuner ska medverka vid finansiering, planering och genomförande av dels kliniskt forskningsarbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete. Det framgår även att regioner och kommuner ska, samverka med varandra och med berörda universitet och högskolor i den omfattning som behövs. Även om förarbetena till den senare bestämmelsen främst behandlar vikten av att regionerna och kommunerna ska bidra ekonomiskt, nämns att bestämmelsen utgör ett tydliggörande av hur viktig forskningens och utvecklingsarbetets betydelse är inom hälso- och sjukvården (prop. 1996/97:5 s. 184). I sammanhanget kan även noteras att regeringen har uttalat att 18 kap. 2 § HSL utgör en sådan lagstadgad uppgift av allmänt intresse som är en så pass tydlig och precis att den
uppfyller dataskyddsförordnigens krav på rättslig grund (prop. 2017/ 18:298 s. 49 och prop. 2022/23:31 s. 28 f.).
I PDL 2 kap. 5 § anges att personuppgifter som behandlas för ändamål som anges i 2 kap. 4 § PDL även får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I förarbetena till bestämmelsen nämns även uppgiftslämnande som sker med stöd av nuvarande 6 kap. 5 § OSL (prop. 2007/08:126 s. 59).
Samtliga sådana ålägganden som följer av lag, även i den mån de är frivilliga, har av regeringen ansetts utgöra uppgifter av allmänt intresse (se prop. 2017/18:105 s. 57 f). Utredningens sammantagna bedömning är därför att uppgift av allmänt intresse är den rättsliga grund som är det mest naturliga alternativet. Uppgifter av allmänt intresse måste inte alltid regleras uttryckligen i den nationella lagstiftningen (se även under 16.1.2 och 16.7.2) och om känsliga personuppgifter (se vidare under avsnitt 16.1.4) anser utredningen det av tydlighetsskäl vara motiverat (jämför prop. 2017/18:105 s. 49 och skäl 45 i dataskyddsförordningen). Utredningen har gjort bedömningen att det av bland annat proportionalitetsskäl och tydlighetsskäl ändå behövs ett uttryckligt stöd i lagen. Utredningen har gjort den bedömningen eftersom det inte kan anses finnas stöd, enligt befintlig rätt, för att genomföra ett utlämnande av personuppgifter från vården genom en form av direktåtkomst eller annat elektroniskt utlämnande till andra myndigheter över en yttre sekretessgräns, utan att en sekretessprövning görs (se även avsnitt 15.6.1) (jämför prop. 2017/18:105 s. 51 och skäl 41 i dataskyddsförordningen).
Av skälen som anförts under avsnitt 15.3 anser utredningen att det är nödvändigt med en lösning som medger att en sekretessprövning inte görs samt att ett urskiljande kan göras på en mer övergripande nivå. Behandlingen är således nödvändig på det sätt som avses i dataskyddsförordningen.
Rättslig grund för mottagandet
Mottagandet består i att den regionala myndigheten eller lärosätet som bedriver den kliniska forskningen använder sin åtkomst och bereder sig tillgång till de personuppgifter som omfattas av den begränsade direktåtkomsten samt tillför uppgifter till forskningen.
Regionala myndigheter inom hälso- och sjukvården som bedriver forskning kan, enligt utredningens mening, tillämpa bestämmelserna i 18 kap. 2 § HSL och 2 kap. 2 § 1 lag (2018:218) om kompletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen, och därmed anses ha en uppgift av allmänt intresse som uppfyller kraven i artikel 6 i dataskyddsförordningen (prop. 2017/18:298 s. 49. Se även prop. 2017/18:105 s. 57).
Av högskolelagen (1992:1434) 1 kap. 2–4 §§ framgår att statliga universitet och högskolor har till uppgift att bedriva och främja forskning på olika sätt. Att detta utgör en uppgift av allmänt intresse enligt dataskyddsförordningens mening följer av att dessa statliga myndigheter ålagts just den uppgiften (se prop. 2017/18:105 s. 56 f och prop. 2017/18:298 s. 43 och s. 48).
Den rättsliga grunden för mottagandet utgörs därför av uppgift av allmänt intresse för både regionala myndigheter som bedriver hälso- och sjukvård och lärosäten.
Tillämpning av undantaget till finalitetsprincipen i aktuellt fall
I artikel 5.1 b anges att personuppgifter endast får behandlas för särskilt uttryckligt angivna ändamål och att uppgifterna inte senare får behandlas för på ett sätt som är oförenligt med dessa ändamål. I samma bestämmelse anges dock att ytterligare behandling som sker för vetenskapliga eller historiska forskningsändamål som sker i enlighet med artikel 89.1 inte ska anses vara oförenliga med de ursprungliga ändamålen (se även avsnitt 7.2.3 och 7.2.4). Sådan behandling som anses ske för forskning enligt unionsrätten undantas således från den ändamålsbegränsningsprincip som fastställs i artikel 5.1 b första meningen.
När en efterföljande behandling sker för ett ändamål som anses vara förenligt med det ursprungliga ändamålet behövs enligt skäl 50 ingen separat rättslig grund. I detta fall skulle det medföra att den behandling av personuppgifter som då sker för ändamålen med den kliniska forskning som omfattas av lagen, under förutsättning att kraven i artikel 89. 1 är uppfyllda, inte skulle behöva en egen rättslig grund (jämför även artikel 6.4 dataskyddsförordningen). Som utredningen redogjort för i 16.1.2 konstaterar dock utredningen att rättslig grund ändå finns och utgörs av uppgift av allmänt intresse.
Av artikel 89. 1 framgår att sådan behandling som sker för vetenskapliga eller historiska forskningsändamål måste omfattas av lämpliga skyddsåtgärder, enligt förordningen, för den registrerades rättigheter och friheter. Dessa skyddsåtgärder ska säkerställa att tekniska och organisatoriska åtgärder har införts för att särskilt se till att principen om uppgiftsminimering iakttas. Det anges vidare att sådan åtgärd får inbegripa pseudonymisering om de vetenskapliga forskningsändamålen kan uppfyllas ändå. I skäl 50 anges även att; om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Av dessa skäl, har utredningen ansett det lämpligt med särskilda bestämmelser som ska utgöra sådana särskilda skyddsåtgärder (se vidare under avsnitt 16.1.4).
Som utredningen redogjort för i avsnitt 15.2.3 har pseudonymisering inte ansetts vara aktuell eftersom lagen är avgränsad till klinisk forskning där deltagarna samtycker till att delta (se vidare under avsnitt 16.8.2–16.8.3). Däremot har utredningen ansett det särskilt viktigt med regler dels för behörighetsstyrningen på dataanvändarsidan, dels för att tydliggöra att endast de uppgifter som behövs för forskningen är de som får tillföras forskningen. Det här blir viktigt eftersom åtkomsten kan innebära åtkomst till viss överskottsinformation (avsnitten 16.9.2 och 16.9.3). Utredningen har även gjort bedömningen att det är viktigt att begränsa den föreslagna direktåtkomsten även på andra sätt (se vidare avsnitt 16.7.3 och 16.7.5 för närmare överväganden). Av de överväganden som utredningen gjort i avsnitten 16.1.2 och 15.5 är utredningen av den uppfattningen att sådana bestämmelser inte bör placeras i PDL utan i stället i en ny lag. Sammanfattningsvis anser utredningen att även om det i enlighet med finalitetsprincipen inte skulle behövas en särskild rättslig grund för mottagandet, behöver skyddsåtgärderna, som förutsätts enligt artikel 89.1 dataskyddsförordningen, införas i en ny lag.
16.1.4. Undantag för behandling av känsliga personuppgifter
Förslag: I lagen ska det finnas en uttrycklig regel som anger att
personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas för ändamålet klinisk forskning med stöd av artikel 9.2 j i förordningen.
Bedömning: De villkor som ställs i lagen utgör sådana särskilda
och lämpliga skyddsåtgärder som uppfyller kraven i artikel 89.1 i dataskyddsförordningen.
För behandling av personuppgifter som sker med stöd av lagen bedöms artikel 9. 2 j, behandling för vetenskapliga eller historiska forskningsändamål, vara det tillämpliga undantaget som medför att behandling av känsliga personuppgifter är möjligt.
Utredningen kan konstatera att förslaget rör vad som anses utgöra klinisk forskning enligt nationell rätt. Som redogjorts för i avsnitt 7.7.2, ska begreppet vetenskapliga eller historiska forskningsändamål ges en EU-rättslig innebörd. Att det rör sig om en bred innebörd framgår av skäl 159 till dataskyddsförordningen. Utredningen anser därför att förslagen om klinisk forskning även omfattas av dataskyddförordningens bestämmelser om forskning.
Även om dataskyddsförordningens bestämmelser är direkt tillämpliga har utredningen gjort bedömningen att det är viktigt för att undvika osäkerhet kring det rättsliga stödet för personuppgiftsbehandlingen, att det i den föreslagna lagen finns en bestämmelse som anger vilket av undantagen i artikel 9. 2 i dataskyddsförordningen som är tillämpligt (jämför IMY:s remissvar på betänkandet Långsiktig reglering av forskningsdatabaser, IMY 2022-12298).
För att undantaget i artikel 9.2 j ska vara tillämpligt förutsätts att den föreslagna nationella rätten ska vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades rättigheter och intressen. Enligt utredningens bedömning utgör följande delar i förslagen sådana lämpliga och särskilda åtgärder som säkerställer de registrerades grundläggande rättigheter och intressen, samt gör förslaget förenligt med rätten till dataskydd och de krav som ställs i artikel 89.1 dataskyddsförordningen.
– endast sådan klinisk forskning där forskningspersonerna samtyckt
till att delta omfattas, – kravställning på ett integritetshöjande samtycke till att ett tillgäng-
liggörande ska ske via den begränsade direktåtkomsten, – tillgängliggörande enligt lagen är endast möjligt till forsknings-
projekt som är tillåtna enligt lag (2003:460) om etikprövning av forskning som avser människor, förkortad EPL, och förordningarna CTR2, MDR3 samt IVDR4 (se 16.3.1 för utförligare beskrivning), – tillgängliggörande får endast ske av uppgiftsmängder som kan antas
ha betydelse för forskningen, – kravställning på behörighetsstyrning hos den regionala myndighet
eller det lärosäte som ges åtkomst till uppgifterna, – särskilda sekretessbestämmelser, samt – tidsbegränsning för den begränsade direktåtkomsten.
För närmare redogörelse kring de olika åtgärderna se vidare avsnitt 16.8 och 16.9.
16.2. Lagens namn
Förslag: Lagens namn ska vara lag om viss vidareanvändning av
personuppgifter för klinisk forskning.
I övervägandena kring lagens namn, har utredningen tagit utgångspunkt i lagens tillämpningsområde. Centralt för tillämpningsområdet är att lagen avser vidareanvändning av personuppgifter. Detta bör enligt utredningens mening framgå av lagens namn. Just vidareanvändning är också utgångspunkten för lagens struktur. Utredningen har även en tanke om att lagen ska kunna byggas på med fler aktörer och
2 Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG. 3 Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG. 4 Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitrodiagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU.
datamängder (se avsnitt 15.5.2). Det som utredningen ser skulle kunna vara aktuellt att se över som påbyggnad är fler aktörer och datamängder på datahållarsidan. Ett exempel är personuppgifter på socialtjänstens område. Datahållare skulle i så fall vara omsorgsgivare. Det som i denna modell kommer att vara konstant, är vidareanvändning av personuppgifter och sannolikt även ändamålet klinisk forskning.
Utredningen har också övervägt om lagens namn bör innehålla en eller flera hänvisningar till varifrån eller till vad personuppgifter ska vidareanvändas. Det går att tänka sig olika alternativ. Namnet skulle exempelvis kunna innehålla angivelser av aktörer, typ av verksamhet eller ändamål för vidareanvändning. Kopplat till detta finns ett antal aspekter att beakta. Lagens namn bör inte vara för långt. Namnet ska helst inte heller behöva genomgå större förändringar om lagens tillämpningsområde utvidgas.
Att ange aktörer på datahållar- eller dataanvändarsidan riskerar att bli väldigt långt, alternativt inte särskilt representativt. Det är i dessa avseenden som utredningen även föreställer sig att en påbyggnad skulle kunna ske, vilket i så fall skulle göra namnet mindre representativt.
Lagen fokuserar uteslutande på vidareanvändning för ändamålet klinisk forskning. Utredningen anser att detta bör komma till uttryck i lagens namn. Det är inte i första hand genom fler ändamål som utredningen ser att en påbyggnad av lagen kan förväntas ske. Det skulle förvisso möjligen kunna vara aktuellt att lagen omfattar även annan forskning än klinisk forskning, men utredningen håller ändå inte detta för särskilt sannolikt, utifrån att forskning som inte har en koppling till hälso- och sjukvården behöver andra förutsättningar för bättre åtkomst till hälsodata, se kapitel 20 och 21. Sammantaget anser utredningen att det bästa alternativet är att lagens namn ger uttryck för vilket ändamålpersonuppgifterna ska användas för, det vill säga klinisk forskning. Utredningens tanke är även att de författningsförslag som utredningen lämnar är ett första steg som innebär förenklad tillgång för en del av den kliniska forskningen. Lagen är utformad så att den med fördel kan byggas på med ytterligare bestämmelser som kan möjliggöra utökad vidareanvändning av personuppgifter för annan klinisk forskning, såsom registerforskning och observationsstudier, se avsnitt 20.3.
Den föreslagna lagen utgör inte en uttömmande reglering av förutsättningarna för all vidareanvändning av personuppgifter för klinisk forskning. Det finns andra lagar som också reglerar vidareanvändning Utredningen anser att det är lämpligt att detta på något sätt synliggörs
i lagens namn. Utredningen föreslår därför att ordet ”viss” placeras framför vidareanvändning i lagens namn.
16.3. Uttryck
Förslag: Med EU:s dataskyddsförordning förstås Europaparlamen-
tets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Med Förordning (EU) nr 536/2014 förstås Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG.
Med Förordning (EU) 2017/745 förstås Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG.
Med Förordning (EU) 2017/746 förstås Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitrodiagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU.
Med hälso- och sjukvård ska förstås verksamhet som avses i hälso- och sjukvårdslagen (2017:30), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering.
Med regional myndighet avses en myndighet i en region. Aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där en region utövar ett rättsligt bestämmande inflytande enligt 2 kap. 3 § offentlighets- och sekretesslagen (2009:400) ska vid tillämpningen av denna lag jämställas med en myndighet.
Med lärosäte avses ett statligt universitet eller en statlig högskola som har rätt att utfärda examen på forskarnivå, eller en enskild
utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400) är ett organ som jämställs med myndighet i sin forskningsverksamhet.
I lagen bör vissa begrepp definieras.
16.3.1. EU-förordningar
Utredningen finner det lämpligt att i lagen kunna hänvisa till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) med ett kortare begrepp. Så sker även i PDL och SVOD. Utredning föreslår därför att EU:s dataskyddsförordning tas in som ett särskilt uttryck i lagen. Utredningen finner det även lämpligt att i lagen kunna hänvisa till EU-förordningarna rörande forskning med kortare begrepp. Detta avser Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG, i löptext förkortad CTR, Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG, i löptext förkortad MDR och Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitrodiagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU, i löptext förkortad IVDR.
16.3.2. Hälso- och sjukvård
Lagens tillämpningsområde är, till en del, kopplad till en definition av hälso- och sjukvård, se avsnitt 16.3.1. Betydelsen av hälso- och sjukvård i lagen bör därför anges i lagen. Så sker även i PDL och SVOD.
Vad som omfattas av hälso- och sjukvård enligt lagen skiljer sig något åt i förhållande till definitionen i PDL och SVOD. Den om-
fattar däremot verksamheter enligt samma lagar som utredningens förslag i 6 kap. PDL om behandling av personuppgifter för vård av en annan patient än den som uppgifterna avser. Utredningens överväganden kring vilka verksamheter som ska omfattas av begreppet hälso- och sjukvård finns i avsnitt 16.4.3.
I förhållande till PDL skiljer sig definitionen åt på så sätt att tandvårdslagen (1985:125), förkortad tandvårdslagen, och lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar, inte omfattas.
I förhållande till SVOD skiljer sig definitionen åt på så sätt att tandvårdslagen inte omfattas, medan lagen (2018:744) om försäkringsmedicinska utredningar omfattas.
16.3.3. Regional myndighet
Utredningen har avgränsat datahållarsidan vid vidareanvändning för klinisk forskning till regional hälso- och sjukvård, se avsnitt 2.7 och 2.8. Med regional hälso- och sjukvård avser utredningen sådan hälso- och sjukvård som regionerna bedriver i egen regi. På dataanvändarsidan finns bland annat också regioner som bedriver klinisk forskning. Utredningen ser ett behov av att definiera de regionala aktörerna på både datahållar- och dataanvändarsidan.
När regioner bedriver hälso- och sjukvård eller klinisk forskning kan det ske genom förvaltningsform (nämnder eller styrelser), men också genom andra associationsformer där regionen har ett bestämmande inflytande. Det är således viktigt att definitionen knyts till regionen som offentlig aktör. Andra aktörer som bedriver hälso- och sjukvård inom en regions geografiska område (jämför 2 kap. 2 § HSL) eller som, oberoende av hemvist, har i uppdrag av en region att bedriva hälso- och sjukvård som regionen ansvarar för som sjukvårdshuvudman (jämför 15 kap. 1 § HSL) ska inte omfattas. Statliga eller kommunala aktörer ska inte heller omfattas.
Begreppet vårdgivare som utgångspunkt för aktörerna på datahållarsidan
Utredningen har övervägt om det är lämpligt att definitionen på datahållarsidan utgår ifrån ett vårdgivarbegrepp. Enligt HSL avses med vårdgivare statlig myndighet, region, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet (2 kap. 3 § HSL). En region som bedriver hälso- och sjukvård i egen regi omfattas av detta begrepp. I PDL avses med vårdgivare statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård. Även denna definition omfattar en region som bedriver hälso- och sjukvård i egen regi.
Nu nämnda definitioner av vårdgivare skulle dock behöva avgränsas för den föreslagna lagens tillämpningsområde och ett nytt vårdgivarbegrepp introduceras i lagstiftningen för att åstadkomma den avgränsning som utredningen har gjort. Alternativ som utredningen har övervägt är ”regional vårdgivare” eller ”regioner som vårdgivare”. Utredningen anser dock att dessa formuleringar inte är helt entydiga. Regional vårdgivare skulle, förutom regionen som juridisk person eller myndighet, också kunna tänkas omfatta privata vårdgivare som utför hälso- och sjukvård på uppdrag av regionen med regional finansiering. Att introducera ännu ett vårdgivarbegrepp kan också i sig skapa otydligheter och bidra till en oenhetlig lagstiftning. Vad utredningen fått till sig från aktörer inom hälso- och sjukvården är att existerande vårdgivarbegrepp redan i dag är förknippad med tillämpningssvårigheter.
När regionen bedriver klinisk forskning är den inte ”vårdgivare”. Ett vårdgivarbegrepp kan därför inte användas för att definiera regionen på dataanvändarsidan. Ett vårdgivarebegrepp på datahållarsidan skulle därför innebära att olika begrepp används för att definiera regionen på datahållar- respektive dataanvändarsidan, vilket skulle skapa otydlighet. Utredningen anser mot denna bakgrund att ett modifierat vårdgivarbegrepp inte är lämpligt att använda i den föreslagna lagen.
Ett enhetligt myndighetsbegrepp för regionen på datahållar- och dataanvändarsidan
Utredningen har även övervägt om ett myndighetsbegrepp i stället kan vara ett bättre sätt att beskriva de aktörer som ska omfattas.
Vad avser den allmänna hälso- och sjukvården är det också egentligen verksamhet inom nämnder och andra myndigheter som regleras av PDL, även om definitionen av vårdgivare i PDL formellt sett tar sikte på den juridiska personen. I propositionen till PDL anges att inom den allmänna hälso- och sjukvården hos sjukvårdshuvudmännen är det den juridiska personen regionen eller kommunen som är vårdgivare. Hos dessa vårdgivare är det dock personuppgiftsbehandlingen hos den nämnd eller annan myndighet som utövar ledningen av eller utför den faktiska hälso- och sjukvården som regleras av lagen. Exempelvis så kallade beställar- och utförarnämnder i en region eller en kommun (jämför prop. 2007/08:126 s. 50). Utredningen uppfattar av detta att även om begreppet vårdgivare i PDL formellt enligt ordalydelsen kopplar till den juridiska personen regionen, är det i praktiken de nämnder och andra myndigheter i regionen som lagens regler träffar. I en region eller kommun är det också varje myndighet som är personuppgiftsansvarig (2 kap. 6 § PDL). Att använda begreppet myndighet i den föreslagna lagen skulle därför enligt utredningens mening inte hamna i konflikt med PDL.
Utredningen noterar att det i offentlighets- och sekretesslagen (2009:400), förkortad OSL, finns sekretessbrytande bestämmelser som har kopplingar till den regionala organisationen. Enligt 25 kap. 11 § 2, OSL hindrar inte sekretessen enligt 1 § att uppgift lämnas ”från en myndighet som bedriver verksamhet som avses i 1 § i en region till en annan myndighet i samma region”. Enligt förarbetena är innebörden av bestämmelsen att hälso- och sjukvårdssekretess inte hindrar att en uppgift lämnas från en myndighet som bedriver hälso- och sjukvård eller annan medicinsk verksamhet i en region till en annan sådan myndighet i samma region (se prop. 2007/08:126, s. 160).
För det första ska hälso- och sjukvårdsverksamhet inom en region som juridisk person omfattas. Det följer av kommunallagen (2017:725) att fullmäktige ska tillsätta de nämnder som behövs för att fullgöra regionens uppgifter enligt lag eller annan författning och för övrig verksamhet (3 kap. 4 §). Regionerna bedriver sin verksamhet i en
eller flera nämnder eller andra myndigheter. Exempel på myndigheter kan vara både sjukhus och styrelser.
Bestämmelsen i 25 kap. 11 § punkten 2 OSL tillkom i syfte att undanröja att omotiverade sekretessgränser uppkom inom en region till följd av att regionen valt att organisera sin verksamhet i till exempel flera nämnder (prop. 2007/08:126, s. 165–166). Bestämmelsens formulering tar sikte på den individinriktade hälso- och sjukvården som bedrivs i allmän regi av regioner (jämför prop. 2007/08:126 s. 160). Detta överensstämmer med den verksamhet som utredningen också avser att ringa in.
Utredningen har utifrån detta övervägt om formuleringen myn-
dighet i en region eller myndighet inom en region är lämpliga begrepp.
Dessa formuleringar är enligt utredningens uppfattning tydliga, men samtidigt långa och skulle – i den omfattningen som blir aktuell – tynga lagtexten betydligt. De skulle också skilja sig mot det myndighetsbegrepp som utredningen föreslår används i förslaget om regler för vidareanvändning av personuppgifter för vårdändamål i kapitel 6 PDL (se avsnitt 14.7.2).
Ett alternativ till myndighet i en region skulle kunna vara den något kortare formuleringen regional myndighet. som då kan definieras som ”myndighet i en region”. Till detta begrepp kan läggas ”som bedriver hälso- och sjukvård” eller ”som bedriver klinisk forskning” för att beskriva regionen på datahållar- respektive dataanvändarsidan. Utredningen anser att detta är ett lagtekniskt mer tilltalande alternativ. Utredningen konstaterar samtidigt att regional myndighet inte används i vare sig PDL eller OSL i dag. I OSL föreslår utredningen formuleringar som följer befintliga uttryckssätt i den lagen. Utredningen föreslår även nya regler i 6 kap. PDL avseende vidareanvändning för vårdändamål, där begreppet regional myndighet också används, se avsnitt 14.7.2.
Utredningen anser att reglerna om förenklad tillgång till personuppgifter för klinisk forskning bör vara neutrala i förhållande till hur en region har valt att organisera sig, se vidare avsnitt 16.4.2. Detta innebär att kommunala företag, exempelvis ett aktiebolag, som regionen har ett rättsligt bestämmande inflytande över ska omfattas av definitionen av regional myndighet.
För att förtydliga vill utredningen poängtera att det faktum att kommunala företag enligt 2 kap. 3 § OSL omfattas av definitionen regional myndighet här, innebär en skillnad mot den betydelse som
”regional myndighet” har i utredningens förslag till regler i 6 kap. PDL. Skillnaden utgörs av det faktum att med regional myndighet jämställs kommunala företag enligt 2 kap. 3 § OSL, medan så inte är fallet i utredningens förslag till regler i 6 kap. PDL. En regional myndighet är dock i sig detsamma, det vill säga att nämnder och styrelser i en region. Utredningen anser att fördelarna överväger med att använda samma begrepp för det som i grunden avser samma sak. Skillnaden tydliggörs i och med att utredningen föreslår en definition som uttryckligen anger att begreppet regional myndighet i den föreslagna lagen även omfattar kommunala företag enligt 2 kap. 3 § OSL.
16.3.4. Lärosäte
På dataanvändarsidan är utgångspunkten att klinisk forskning som bedrivs av offentliga aktörer ska omfattas, se nedan avsnitt 16.7.4. Offentliga aktörer som bedriver klinisk forskning är statliga universitet och statliga högskolor. Det är statliga universitet och statliga högskolor som har forskningsverksamhet som avses. Även enskilda utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § OSL omfattas av reglerna i tryckfrihetsförordningen (1949:105), förkortad TF, om rätten att ta del av allmänna handlingar och som vid tillämpningen av OSL jämställs med myndigheter ska ingå. Exempel på organ som omfattas av 2 kap. 4 § OSL är Stiftelsen Chalmers tekniska högskola, (all verksamhet) och Högskolan i Jönköping AB (all verksamhet), vilka också har examensrätt på forskarnivå.
Utredningen anser att det är för otympligt att skiva ut statliga universitet, statliga högskolor och enskilda utbildningsanordnare löpande i lagtexten, vilket gör det lämpligt med ett definierat uttryck för detta i lagen. I förslaget till långsiktig reglering av forskningsdatabaser används begreppet lärosäte. Utredningen anser att det även är ett lämpligt begrepp i utredningens förslag till ny lag.
Utredningen har även övervägt begreppet forskningshuvudman för aktörerna på dataanvändarsidan. Forskningshuvudman används dock endast avseende forskning som omfattas av EPL. Utredningens förslag avser även klinisk forskning som bedrivs enligt CTR, MDR och IVDR. Vidare avser forskningshuvudman även till exempel privata
aktörer som får etiskt godkännande enligt EPL, medan utredningens förslag endast omfattar offentliga aktörer som bedriver klinisk forskning. Utredningen anser mot denna bakgrund att begreppet forskningshuvudman inte är lämpligt som benämning för aktörerna på dataanvändarsidan.
Vem eller vilka som är forskningshuvudman i ett forskningsprojekt som omfattas av EPL kan trots det nu sagda ha betydelser vid tillämpningen av de regler som utredningen föreslår. Utredningen berör detta i avsnitt 16.8.1.
16.4. Lagens tillämpningsområde och ändamålet för vidareanvändningen
Förslag: Bestämmelserna i den föreslagna lagen får tillämpas när
personuppgifter som behandlas enligt 2 kap. 4 § första stycket 1–6 patientdatalagen (2008:355) av en regional myndighet som bedriver hälso- och sjukvård, vidareanvänds av en regional myndighet eller ett lärosäte som bedriver klinisk forskning.
Personuppgifter som omfattas av lagens tillämpningsområde får vidareanvändas om det behövs för ändamålet klinisk forskning. Vidareanvändning får endast ske under de förutsättningar som anges i lagen.
Den lag som utredningen föreslår tar sin utgångspunkt i vidareanvändning av personuppgifter. Det finns flera perspektiv som aktualiseras vid vidareanvändning av personuppgifter. Utredningen har identifierat följande perspektiv som relevanta:
1. Hos vilken aktör finns personuppgifterna? Med andra ord, vem är datahållaren?
2. Från vilken verksamhet hos datahållaren kommer personuppgifterna?
3. Vilka personuppgifter hos datahållaren ska omfattas?
4. Vilka aktörer ska få använda personuppgifterna? Med andra ord, vilka är dataanvändare?
5. För vilket ändamål får uppgifterna användas?
Utredningen föreslår att tillämpningsområdet omfattar 1–4 ovan och att ändamålet för vidareanvändning anges i separat bestämmelse. Utredningen anser att tillämpningsområdet först och främst behöver ringa in datahållaren, verksamheten hos datahållaren och vilka uppgifter som ska kunna omfattas av vidareanvändningen. Utöver detta har utredningen övervägt om även dataanvändarna ska anges i tillämpningsområdet. Utredningen konstaterar att även dataanvändarna utgör en del av den ram inom vilken reglerna tillämpas och att de därför också bör anges i tillämpningsområdet.
Utredningen anser vidare att ändamålet för vidareanvändningen behöver anges kopplat till tillämpningsområdet. Ändamålet bör dock uttryckas i en egen bestämmelse.
Utredningens övergripande avgränsningar framgår av avsnitt 2.7. Av avgränsningarna följer att det är regionala myndigheter som bedriver hälso- och sjukvård som är datahållare. Regionala myndigheter som datahållare beskrivs nedan i avsnitt 16.4.2. Den övergripande verksamhet hos regionala myndigheter som personuppgifter kommer ifrån är hälso- och sjukvård. Utredningen använder PDL:s definition av hälso- och sjukvård som utgångspunkt för sina författningsförslag. Utredningens överväganden om definitionen av hälso- och sjukvård i den föreslagna lagen finns i avsnitt 16.4.3. Utredningens överväganden kring vilka personuppgifter som ska omfattas av vidareanvändning finns i avsnitt 16.4.4. Det är regionala myndigheter och lärosäten som bedriver klinisk forskning som enligt utredningens förslag omfattas av möjligheten till enklare åtkomst till personuppgifter som finns inom hälso- och sjukvården. Aktörerna berörs i avsnitt 16.4.5. Ändamålet klinisk forskning berörs i avsnitt 16.4.6.
16.4.1. Begreppet vidareanvändning
Utredningen har i avsnitt 2.6.5 resonerat övergripande kring begreppet vidareanvändning. Där har bland annat redogjorts för varför utredningen använder begreppet vidareanvändning och inte sekundäranvändning.
Utredningen har övervägt om en definition av begreppet vidareanvändning ska införas i lagen. En fördel med det skulle vara att skapa tydlighet kring begreppet. Detta bygger dock på att begreppet kan fångas på ett bra sätt i form av en definition. En definition ska vara
tillräckligt tydlig för att ge vägledning och ska samtidigt vara tillräckligt inkluderande. Utredningen har funnit det svårt att formulera en sådan definition. Utredningen har också blivit upplyst om att definitionen av ”sekundäranvändning” i den finska sekundäranvändningslagen har vållat tillämpningssvårigheter. Utredningen har mot denna bakgrund landat i att inte definiera vidareanvändning i lagen. Utredningen avser i stället att beskriva vad begreppet tar sikte på.
I lagen omfattar termen vidareanvändning principiellt sett både det tillgängliggörande av personuppgifter som sker av en regional myndighet som bedriver hälso- och sjukvård och den behandling som sker av tillgängliggjorda uppgifter på dataanvändarsidan, det vill säga av regionala myndigheter och lärosäten som bedriver klinisk forskning. Den föreslagna lagen innehåller endast en begränsad reglering med avseende på behandlingen av personuppgifter på dataanvändarsidan.
Lagen är en kompletterande lagstiftning till EU:s dataskyddsförordningen, se vidare nedan avsnitt 16.5.1, som reglerar vissa förhållanden avseende tillgängliggörande och behandling av personuppgifter. Tillgängliggörande berörs i avsnitt 16.7–16.8 och behandling av de personuppgifter som tillgängliggörs i avsnitt 16.9.
Det lagen reglerar är användning av personuppgifter som en personuppgiftsansvarig har samlat in och registrerat för ett eller flera ändamål. Vidareanvändning av personuppgifter enligt lagen kan ses som ett slags ”återanvändning” av personuppgifter (jämför prop. 2007/ 08:126, s. 57). Begreppet vidareanvändning avser att belysa att det handlar om ytterligare behandling av personuppgifter som redan samlats in och registrerats av en personuppgiftsansvarig. Den ytterligare användningen kan ske av samma personuppgiftsansvarig eller av en annan personuppgiftsansvarig. Begreppet vidareanvändning behöver inte betyda att användningen på dataanvändarsidan sker för ett annat ändamål än det som uppgifterna behandlas för hos datahållaren. I utredningens förslag är det emellertid fallet, eftersom klinisk forskning inte är ett ändamål för behandling av personuppgifter enligt PDL.
Begreppet vidareanvändning är inte kopplat till vilken som var den ”ursprungliga” behandlingen hos den personuppgiftsansvarige som tillgängliggör uppgifterna. Hos regionala myndigheter som bedriver hälso- och sjukvård görs ingen skillnad mellan primär- och sekundäranvändning med avseende på tillåtna ändamål för personuppgiftsbehandling enligt 2 kap. 4 § första stycket PDL (se prop. 2007/08:126, s. 56). Vidareanvändning sker därmed även inom den insamlande myn-
digheten, till exempel då den använder uppgifter från vårddokumentation till utveckling av kvaliteten i verksamheten. Tillämpningsområdet för lagen är därför kopplad till vilka ändamål uppgifter behandlas för enligt 2 kap. 4 § första stycket PDL oavsett hur behandlingen har sett ut tidigare, se vidare avsnitt 16.4.4.
16.4.2. Endast personuppgifter som behandlas hos en regional myndighet som bedriver hälso- och sjukvård ska omfattas av den föreslagna lagen
Av utredningens avgränsningar framgår att utredningens författningsförslag avseende vidareanvändning för ändamålet klinisk forskning omfattar personuppgifter som finns hos regionala myndigheter som
bedriver hälso- och sjukvård. Hos myndigheter inom regioner som
bedriver hälso- och sjukvård finns viktiga datamängder för klinisk forskning.
Personuppgifter kan finnas inom olika myndigheter (nämnder och styrelser) i en region. Det omfattar både sådana myndigheter som erbjuder hälso- och sjukvård, såsom en sjukhusförvaltning, och myndigheter i en region som har uppdrag kopplat till regionens ansvar för hälso- och sjukvård. I utredningens förslag till regler för vidareanvändning av personuppgifter för vård av en annan patient än den som uppgifterna avser, se kapitel 14, förekommer begreppet regional myndighet ”inom hälso- och sjukvården”. Det är utredningens uppfattning att ”bedriver hälso- och sjukvård” och ”inom hälso- och sjukvården” har samma innebörd, se avsnitt 14.7.2.
Hälso- och sjukvård i regional regi bedrivs typiskt sett i förvaltningsform. Detsamma gäller klinisk forskning där regioner är forskningshuvudmän eller motsvarande. Det förekommer dock att regioner bedriver hälso- och sjukvård i till exempel bolagsform. Utredningen anser att en omotiverad skillnad skulle uppstå om inte kommunala företag som en region har bestämmande inflytande över skulle omfattas av den föreslagna lagen. I syfte att ta höjd för regionernas frihet vad avser organisationsformer bör dock även aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där regioner utövar ett rättsligt bestämmande inflytande över omfattas (jämför 2 kap. 3 OSL). Syftet med detta är att skapa neutralitet i förhållande hur regionen bedriver hälso- och sjukvård och klinisk forskning i egen regi.
Utredningens förslag omfattar inte vidareanvändning av personuppgifter som finns inom kommunal eller statlig hälso- och sjukvård. Utredningens förslag omfattar inte heller vidareanvändning av personuppgifter som finns hos privata vårdgivare som inte är kommunala företag enligt 2 kap. 3 § OSL (se definitionen av regional myndighet i avsnitt 16.3.3). Med privata vårdgivare avses annan juridisk person än statlig myndighet, region och kommun eller enskild näringsidkare som bedriver hälso- och sjukvård (se 1 kap. 3 § PDL). Utanför lagens tillämpningsområde faller privata aktörer som bedriver hälso- och sjukvård på uppdrag av en sjukvårdshuvudman med offentlig finansiering och hälso- och sjukvård som är privat driven och privat finansierad. För utredningens motivering till detta, se avsnitt 2.8 och 16.7.4.
I avsnitt 16.4.3 beskrivs från ett lagtekniskt perspektiv vilka verksamheter som utredningen föreslår ska omfattas av den föreslagna lagen. Det finns enligt utredningens mening också ett värde i att kort beskriva den vård som omfattas från ett mer praktiskt perspektiv. Inom regionala myndigheter som bedriver hälso- och sjukvård finns den hälso- och sjukvård som bedrivs i regional regi. De huvudsakliga delarna organisatoriskt utgörs av primärvård och sjukhusvård. Primärvård erbjuds framför allt på vårdcentraler, medan sjukhusvård erbjuds vid länsdelssjukhus, länssjukhus och regionsjukhus (universitetssjukhus). Den regionala hälso- och sjukvården omfattar både öppen- och slutenvård. Med slutenvård avses hälso- och sjukvård som ges till en patient som är intagen vid en vårdinrättning (se 2 kap. 4 § HSL). Slutenvård bedrivs vid de regionala sjukhusen. Inom den regionala hälso- och sjukvård bedrivs specialiserad vård, se vidare 14.8.4.
Behoven av personuppgifter från regionala myndigheter som bedriver hälso- och sjukvård
I kapitel 12 beskriver utredningen problem som är kopplade till åtkomsten till personuppgifter för ändamålet klinisk forskning. För ändamålet klinisk forskning finns ett generellt behov av tillgång till personuppgifter från hälso- och sjukvården. I den utsträckning sådan tillgång går att förenkla är det gynnsamt för genomförandet av klinisk forskning.
Vid genomförandet av klinisk forskning finns typisk sett behov av tillgång till personuppgifter som finns inom den regionalt bedrivna hälso- och sjukvården. Centralt är typiskt sett behovet av personuppgifter från specialiserade vården. Är det en regional myndighet
som bedriver forskningen handlar det ofta om att ta del av personuppgifter från en annan verksamhetsgren inom myndigheten. Det kan också finnas behov av att ta del av uppgifter om en patient när hen tidigare fått vård inom någon annan del av regionen, till exempel ett sjukhus i en annan del av regionen eller en vårdcentral. I dessa fall handlar det om tillgång till personuppgifter över myndighetsgränser, men inom samma region. Patienten kan också ha kommit till den specialiserade vården i en region, men vara hemmahörande i en annan region. Det kan då finns behov av tillgång till personuppgifter om patienten från hens hemregion.
Lärosäten som bedriver klinisk forskning har också behov av personuppgifter från olika delar av den regionalt bedriva hälso- och sjukvården. Behoven är desamma för klinisk forskning som bedrivs av lärosäten. När lärosäten ska få tillgång till personuppgifter från regionala myndigheter som bedriver hälso- och sjukvård är det alltid fråga om ett utlämnande över en myndighetsgräns.
16.4.3. Verksamhet som ska omfattas av lagens tillämpningsområde
Förslag: Lagen ska omfatta verksamhet som avses i hälso- och
sjukvårdslagen (2017:30), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering.
Bedömning: Lagen ska inte omfatta verksamhet som avses i tand-
vårdslagen (1985:125) eller lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar.
Utredningen använder den definition av hälso- och sjukvård som finns i PDL, se avsnitt 2.6.1. Definitionen av hälso- och sjukvård i PDL omfattar verksamhet enligt följande lagar:
- hälso- och sjukvårdslagen (2017:30),
- tandvårdslagen (1985:125),
- lagen (1991:1128) om psykiatrisk tvångsvård, förkortad LPT
- lagen (1991:1129) om rättspsykiatrisk vård, förkortad LRV
- smittskyddslagen (2004:168), förkortad smittskyddslagen
- lagen (1972:119) om fastställande av könstillhörighet i vissa fall,
- lagen (2006:351) om genetisk integritet m.m.,
- lagen (2018:744) om försäkringsmedicinska utredningar,
- lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter,
- lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar, och
- den upphävda lagen (1944:133) om kastrering, förkortad kastreringslagen.
Utredningen har att ta ställning till om samtliga dessa verksamheter ska omfattas av tillämpningsområdet för den föreslagna lagen, eller om definitionen av hälso- och sjukvård i lagen bör skilja sig från den som finns i PDL.
PDL:s definition är formad utifrån att den lagen ska vara en kompletterande skyddslagstiftning för personuppgiftsbehandling inom hälso- och sjukvården. Den innehåller dessutom regler om journalföringsplikt som alltså blir tillämpliga på sådan verksamhet som omfattas av definitionen av hälso- och sjukvård. Den typ av uppräkning som finns i PDL liknar den som fanns i den tidigare vårdregisterlagen (som ersattes av PDL). Enligt förarbetena till vårdregisterlagen avses hänvisning till uppräknade lagar skapa tydlighet i fråga om vilken vårdverksamhet som omfattades av vårdregisterlagens tillämpningsområde. All elektronisk patientjournalföring – oavsett om den grundar sig på patientjournallagen eller annan författning – regleras av vårdregisterlagen (prop. 1997/98:108 s. 68 f.).
För en lag om vidareanvändning av personuppgifter som finns inom hälso- och sjukvården för ändamålet klinisk forskning är det också viktigt att det är tydligt vilken verksamhet som omfattas av lagen.
En liknande uppräkning som den i PDL är därför lämpligt. Det är också en fördel om PDL och den föreslagna lagen har en lagtekniskt liknande utformning av bestämmelsen som definierar vad hälso- och sjukvård är. Även SVOD har en uppräkning av verksamheter i definitionen av hälso- och sjukvård (1 kap. 1 § SVOD).
Den föreslagna lagen om vidareanvändning har dock inte samma syfte som PDL eller SVOD och det är därmed inte nödvändigtvis så att verksamheter enligt samma lagar bör omfattas av tillämpningsområdet. Därför bör det övervägas särskilt vilka verksamheter som bör omfattas. Utredningen har därför att ta ställning till vilka verksamheter som bör omfattas av en sådan lag.
När den föreslagna lagens tillämpningsområde ska ringas in behöver hänsyn tas till olika aspekter. En central aspekt som bör styra tillämpningsområdet är de behov som finns avseende vidareanvändning för ändamålet klinisk forskning. Etiska aspekter bör vägas in. Hänsyn bör vidare tas till att avgränsningar inte ska skapa tillämpningssvårigheter, såsom svåra eller opraktiska gränsdragningsfrågor. Intresset av enhetlighet i lagstiftningen bör också beaktas.
HSL är den grundläggande lagstiftningen för hälso- och sjukvård i Sverige. Det är från verksamheter som lyder under HSL som utredningen har fått till sig de behov som utredningens förslag avser att lösa. HSL är generellt tillämplig på den hälso- och sjukvård där personuppgifter som i dag lämnas ut till klinisk forskning genereras. Den föreslagna lagen syftar till att förenkla sådant utlämnande. För att uppnå det syftet måste lagen omfatta verksamhet enligt HSL.
Utredningen har undersökt om det finns något behov av förenklingar eller större möjligheter till vidareanvändning av personuppgifter för klinisk forskning avseende tandvården. Utredningen har varit i kontakt med aktörer inom tandvården. Aktörerna har uppgett att det i stora drag finns fungerande processer för tillgång till den hälsodata som behövs för klinisk forskning. Tandvården har inte påtalat de problem som aktörer som lyder under HSL har lyft till utredningen. Det
har inte heller framkommit att verksamhet under HSL efterfrågar enklare tillgång till information från tandvården för ändamålet klinisk forskning. Detta talar enligt utredningens mening för att verksamhet enligt tandvårdslagen inte ska omfattas av lagens tillämpningsområde.
Den tandvård som bedrivs av regioner, folktandvården, är organisatoriskt skild från hälso- och sjukvård enligt HSL. I fem regioner bedrivs den regionala tandvården i bolagsform.5. Utredningen gör därmed bedömningen att ett uteslutande av tandvårdslagen inte borde riskera att skapa tvärsnitt inom organisatoriska enheter. Vidare gör utredningen bedömningen att det inte bör skapa tillämpningssvårigheter om verksamhet enligt tandvårdslagen inte omfattas.
Sammantaget gör utredningen bedömningen att verksamhet enligt tandvårdslagen inte ska omfattas av den föreslagna lagen.
Lagen och psykiatrisk tvångsvård och lagen om rättspsykiatrisk vård
LPT och LRV kompletterar HSL (se vidare om dessa lagar i avsnitt 5.7.2). En principiell aspekt som aktualiseras för LPT och LRV är att vård kan ges utan samtycke från den enskilda individen. Särskilda tvångsåtgärder kan också utföras mot individen som vårdas. Personuppgifter i sådan verksamhet kan därmed uppkomma inom ramen för situationer som den enskilde inte själv samtyckt att delta eller medverka i. Utredningens förslag avseende vidareanvändning för klinisk forskning avser enklare tillgång till personuppgifter genom begränsad direktåtkomst eller annat elektroniskt utlämnande till en regional myndighet eller ett lärosäte som bedriver klinisk forskning. Här har utredningen ställt sig frågan om utredningens förslag om enklare tillgång till personuppgifter för klinisk forskning ska kunna omfatta personuppgifter som tillkommit inom ramen för vård enligt LPT eller LRV. Utredningen anser att denna fråga aktualiserar etiska aspekter.
Ett synsätt kan vara att personuppgifter som tillkommit under tvångsvård eller tvångsåtgärder inte alls borde omfattas av förenklade åtkomstregler på grund av att det i sig skulle vara oetiskt att underlätta tillgång till personuppgifter kopplat till situationer som den enskilde inte samtycker till att delta i. Ett sådant synsätt skulle dock kunna uppfattas som väl kategoriskt och onyanserat. Klinisk forsk-
5 https://www.tlv.se/tandvard/tandvardsmarknaden.html (hämtat 2023-09-11).
ning förekommer redan i dag avseende individer som tvångsvårdas och med användande av personuppgifter som genereras inom ramen för sådan vård. Tvärtom kan det då argumenteras för att det är oetiskt att inte sådan, också värdefull, forskning får enklare tillgång till de personuppgifter som behövs. Patientgrupper som tvångsvårdas skulle missgynnas om inte klinisk forskning som avser dessa patientgrupper också omfattades av enklare tillgång. De etiska aspekterna skulle vidare kunna hanteras på annat sätt än genom att helt utesluta verksamhet enligt LPT och LRV från lagens tillämpningsområde.
En annan ingång i frågan är att utgå från utredningens förslag om villkor för tillgängliggörande, se avsnitt 16.8. Den förenklade tillgången får endast tillämpas vid klinisk forskning som föregås av samtycke enligt den lagstiftning som reglerar forskningen i fråga. Utöver detta samtycke krävs enligt utredningens förslag även ett integritetshöjande samtycke till den förenklade åtkomsten. De personer vars uppgifter kan komma i fråga för tillgängliggörande enligt lagen har själva eller, för personer som inte är beslutskompetenta genom så kallad lagligen utsedd ställföreträdare, samtyckt till att delta i forskningen och till den förenklade tillgången till personuppgifter, se avsnitt 16.8.4. Utredningen anser att dessa krav medför att det finns skyddsbestämmelser som gör det etiskt försvarbart att lagen omfattar personuppgifter i verksamhet enligt LPT och LRV. Utredningen anser också att vikten av forskning för dessa patientgrupper bör vägas in i bedömningen.
En ytterligare aspekt på att helt undanta verksamhet enligt LPT eller LRV är att det skulle kunna skapa tillämpningsproblem. Verksamhet enligt dessa lagar bedrivs mer eller mindre integrerat inom den regionala hälso- och sjukvården, tillsammans med verksamhet enligt framför allt HSL. Att vid vidareanvändning enligt lagen behöva särskilja personuppgifter som behandlas i verksamhet som omfattas av LPT eller LRV från personuppgifter som omfattas av HSL kan enligt utredningens mening vara svårt i praktiken.
Sammantaget anser utredningen att verksamhet enligt LPT och LRV ska omfattas av lagens tillämpningsområde.
Övrig speciallagstiftning
Utifrån definitionen av hälso- och sjukvård i PDL har utredningen vidare att ta ställning till verksamhet enligt ett antal ytterligare speciallagar som kompletterar HSL bör omfattas. Sådan speciallagstiftning är bland annat smittskyddslagen, lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, och lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter. Verksamhet enligt HSL och dessa speciallagar bedrivs, såvitt utredningen förstår, integrerat inom regionala myndigheter som bedriver hälso- och sjukvård. Verksamhet enligt dessa speciallagar är alltså typiskt sett inte organisatoriskt åtskilda. Att inte inkludera verksamheter enligt lagar ovan som bedrivs mer integrerat organisatoriskt skulle, enligt utredningens mening, kunna riskera att skapa tillämpningsproblem och medföra att lagens syfte inte fullt ut kan realiseras. Det är inte heller så att de behov av vidareanvändning för klinisk forskning som finns inte går att koppla till verksamheter enligt dessa lagar (jämför ovan avseende tandvårdslagen). Utredningen konstaterar vidare att det inte görs någon skillnad i dag vid till exempel utlämnande till klinisk forskning utifrån vilken av nu aktuella verksamheter som behandlingen av personuppgifter förekommer i.
Smittskyddslagen föreskriver möjlighet till vissa tvångsåtgärder mot patienter. Ovan har utredningen övervägt om LPT och LRV ska omfattas av tillämpningsområdet för den föreslagna lagen och funnit att så bär vara fallet, bland annat mot bakgrund av de villkor som utredningen föreslår ska gälla för tillgängliggörande enligt lagen. Utredningen anser att samma bedömning kan göras med avseende på smittskyddslagen.
Verksamhet enligt smittskyddslagen, lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, och lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter bör därför omfattas av den föreslagna lagen.
Det bedrivs inte längre någon verksamhet enligt den upphävda lagen (1944:133) om kastrering. Däremot kan det fortfarande förekomma personuppgifter inom hälso- och sjukvården som har samlats in i verksamhet enligt lagen. Utredningen noterar att definitionen av hälso- och sjukvård i SVOD omfattar denna upphävda lag och att
särskilda överväganden om det gjordes i propositionen till SVOD (prop. 2021/22:177, s. 57). Utredningen gör bedömningen att det inte kan uteslutas att tillgängliggörande kan komma att aktualiseras med avseende på personuppgifter som förekommit i verksamhet enligt den upphävda lagen. Det kan då skapa tillämpningsproblem om det inte omfattas av lagen tillämpningsområde. Den upphävda lagen om kastrering bör därför också omfattas av den föreslagna lagens definition av hälso- och sjukvård.
PDL:s definition av hälso- och sjukvård omfattar även lagen (2021: 363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar. Bestämmelserna i den lagen tillämpas på kirurgiska ingrepp och injektionsbehandlingar som görs i syfte att förändra eller bevara utseendet på en människa och som utförs inom en yrkesmässig verksamhet (2 § första stycket). Kirurgiska ingrepp och injektionsbehandlingar omfattas inte av den föreslagna lagen om de utgör hälso- och sjukvård enligt HSL (3 §). Den föreslagna lagen avser att förenkla utlämnande av personuppgifter från verksamhet där HSL är tillämplig. Lagen är endast tillämplig när regionala myndigheter som bedriver hälso- och sjukvård lämnar ut personuppgifter. Sådan verksamhet omfattas av HSL. Utredningen ser därför inte behov av att lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar omfattas. Utredningen noterar även att definition av hälso- och sjukvård i SVOD inte omfattar denna lag (se 1 kap. 1 § SVOD). Utredningen ser inte att några tillämpningssvårigheter bör uppkomma i och med att lag (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar inte skulle omfattas. Verksamhet enligt lag (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar bör därför inte omfattas av den föreslagna lagen.
16.4.4. Personuppgifter som behandlas enligt 2 kap. 4 § första stycket 1–6 patientdatalagen omfattas
Lagens tillämpningsområde behöver definieras utifrån vilka personuppgifter som ska kunna omfattas av vidareanvändning enligt lagen. Vid tidpunkten för tillgängliggörandet ska tillämpningsområdet koppla till vilka ändamål personuppgifterna behandlas för hos den regionala myndigheten som samlat in dem. Det ska inte koppla till det ursprungliga ändamålet med behandlingen, eftersom det riskerar att skapa tillämpningsproblem. PDL gör inte heller skillnad på primär- och
sekundäranvändning enligt ändamålen i 2 kap. 4 § första stycket PDL. Att göra det i förhållande till tillämpningen av den föreslagna lagen framstår därför inte som lämpligt.
Tillämpningsområdet med avseende på vilka personuppgifter som ska kunna vidareanvändas bör enligt utredningens mening vara brett, dels för att inte undanta personuppgifter som kan vara relevanta för vidareanvändning, dels för att inte skapa tillämpningssvårigheter för de aktörer som ska tillgängliggöra uppgifterna. Det är inte genom denna regel som begränsningar av vidareanvändningen främst sker, utan det görs på andra sätt, till exempel genom att begränsa inblandade aktörer och andra uppställda krav för tillgängliggörandet.
Den föreslagna lagen avser förenkla en del av forskningen genom förenklad åtkomst. Det innebära att sådan typ klinisk forskning redan i dag bedrivs, även om uppgifterna som behövs i forskningen inte tillgängliggörs enligt förslagen till den nya lagen. Sådan klinisk innebär ofta behandling av känsliga personuppgifter. Det är därför naturligt att den föreslagna lagen avser omfatta samma typer av uppgifter. Utredningen bedömer att relevanta personuppgifter för vidareanvändning för klinisk forskning är sådana uppgifter som behandlas för de ändamål som anges i 2 kap. 4 § första stycket punkterna 1–6. Utredningen ser dock inte att ändamålet i den nyligen tillkomna punkten 7 om antalsberäkning inför klinisk forskning ska inkluderas. Antalsberäkning inför klinisk forskning är beräkning som på förfrågan av forskare inför planerad klinisk forskning görs av hur många personer som uppfyller vissa i förväg uppställda kriterier och som därmed kan komma att omfattas av forskningen (1 kap. 3 § PDL) Detta är något som sker inför forskning, det vill säga innan ett forskningsprojekt påbörjas för att veta om det finns tillräckligt underlag för forskningen. Utredningen bedömer inte att personuppgifter som behandlas för detta ändamål är sådana som sedan kommer vara relevanta för vidareanvändning enligt utredningens förslag.
Utredningen ser inte heller att sådana uppgifter som behandlas med stöd av 2 kap. 3 § PDL ska inkluderas. Bestämmelsen anger att behandling av personuppgifter som inte är tillåten enligt PDL ändå får ske, om den enskilde lämnat ett uttryckligt samtycke till behandlingen. För en mer ingående redogörelse av bestämmelsen, se avsnitt 13.8.3. Utredningens uppfattning är att möjligheten att använda samtycke i 2 kap. 3 § PDL har begränsad tillämplighet i praktiken, särskilt när det gäller offentliga vårdgivare på grund av den ojämlikhet som kan uppstå gent-
emot enskilda patienter (jämför skäl 43 i dataskyddsförordningen). Utredningens uppfattning är också att det inte är förutsägbart att inkludera behandlingar som stödjer sig på denna bestämmelse.
Personuppgifter som behandlas i nationella eller regionala kvalitetsregister enligt kapitel 7 PDL ska inte heller omfattas. Det följer av att ett av kraven för att tillgång ska få ges enligt den föreslagna lagen att den registrerade har samtyckt till att delta i forskningen i enlighet med EPL, CTR, MDR eller IVDR (se avsnitt 16.8.2). Av samma anledning faller även andra uppgiftssamlingar utanför den föreslagna lagens tillämpningsområde, som till exempel precisionsmedicinska databaser som utredningen lämnar författningsförslag om (se kapitel 13–14). Både kvalitetsregister och andra uppgiftssamlingar kan innehålla information som kan vara värdefull att beforska, utredningen har dock gjort bedömningen att sådan förenklad åtkomst som den föreslagna lagen medför av integritetsskäl endast bör omfatta sådan forskning där den enskilde ger uttryck för sin vilja att vara med i forskningen (se avsnitt 16.8.2).
En ytterligare anledning att uttryckligen ange de ändamål som ska omfattas av lagen är att dess tillämpningsområde inte ”automatiskt” ska utvidgas om fler punkter läggs till i 2 kap. 4 § PDL. Utredningen konstaterar till exempel att en punkt i paragrafen nyligen har lagts till som avser antalsberäkning (SFS 2023:167). En bedömning behövs av vilka ändamål som faktiskt är lämpliga att omfattas av den föreslagna lagens bestämmelser. Att inte avgränsa till utpekade ändamål skulle innebära att omfattningen inte är anpassad efter behov. Utredningen konstaterar även att utredningen om patientöversikter inom EES, SOU 2023:13, har lagt ett förslag om tillägg i 2 kap. 4 § första stycket PDL. Det blir mot denna bakgrund mer förutsebart om de punkter i 2 kap. 4 § första stycket som omfattas räknas upp i lagen. Vidareanvändning som kan ske enligt 2 kap. 5 § PDL tas i enlighet med samma resonemang inte heller med i lagens tillämpningsområde eftersom det får anses vara för oförutserbart.
16.4.5. Regional myndighet eller lärosäte som bedriver klinisk forskning
Utredningen har avgränsat dataanvändarsidan till regionala myndigheter och lärosäten. Det är i dessa aktörers verksamhet inom klinisk forskning som vidareanvändning enligt lagen kan ske. För motivering
till utredningens övergripande avgränsningar, se avsnitt 2.6.5. Utredningens närmare överväganden kring aktörerna på dataanvändarsidan finns i avsnitt 16.7.4.
Klinisk forskning i regional regi bedrivs typiskt sett i förvaltningsform. Den kan också bedrivas i till exempel bolagsform. Utredningen anser att en omotiverad skillnad skulle uppstå om inte kommunala företag som en region har bestämmande inflytande över skulle omfattas av den föreslagna lagen. I syfte att ta höjd för regionernas frihet vad avser organisationsformer bör dock även aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där regioner utövar ett rättsligt bestämmande inflytande över omfattas (jämför 2 kap. 3 OSL). Syftet med detta är att skapa neutralitet i förhållande hur regionen bedriver klinisk forskning i egen regi.
Utredningen har övervägt om aktörerna på dataanvändarsidan ska anges i lagens tillämpningsområde eller inte. Vid bestämmande av tillämpningsområdet har utredningen i första hand jämfört med annan lagstiftning om personuppgiftshantering inom hälso- och sjukvården. Både i PDL och SVOD anges de relevanta aktörerna i lagarnas tillämpningsområde. En skillnad är att aktörerna inte är lika många och att tillämpningsområdet bestäms mer generellt än vad som är fallet i utredningens förslag till lag. Utredningens förslag avser emellertid en delvis ny form av lagstiftning som utgår ifrån vidareanvändning för ett visst ändamål, med olika aktörer på datahållar- respektive dataanvändarsidan. Det är dessa aktörer som har att tillämpa lagen. Det bör enligt utredningens mening vara tydligt till vilka aktörer som lagen riktar sig. Samtliga aktörer på datahållar- respektive dataanvändarsidan bör därför enligt utredningens uppfattning anges i lagens tillämpningsområde.
16.4.6. Ändamålet klinisk forskning
Lagen omfattar vidareanvändning för ändamålet klinisk forskning. Ändamålet för vidareanvändningen är centralt och bör därför anges i en särskild bestämmelse i lagen. Att ändamålet anges till klinisk forskning innebär att vidareanvändning enligt lagen inte får ske för andra ändamål.
Utredningen föreslår som villkor för tillgängliggörande bland annat att forskning som är godkänd enligt EPL, CTR, MDR eller IVDR.
Detta innebär att vidareanvändning i ett enskilt fall sker i ett avgränsat forskningsprojekt. Ändamålet klinisk forskning preciseras därmed i varje enskilt fall av vidareanvändning. Det är när personuppgifter som behandlas enligt 2 kap. 4 § första stycket 1–6 PDL behövs för ändamålet klinisk forskning som lagen kan tillämpas. Ändamålet behöver också kopplas till de aktörer som finns på datahållar- respektive dataanvändarsidan, det vill säga regionala myndigheter som bedriver hälso- och sjukvård respektive regionala myndigheter eller lärosäten som bedriver klinisk forskning.
Utredningen har övervägt om ändamålet bör anges i själva tillämpningsområdet för lagen. I den finska sekundäranvändningslagen anges ändamålen i bestämmelsen om lagens tillämpningsområde. Detta synes dock inte vara vanligt i svensk lagstiftning som rör behandling av personuppgifter inom det offentliga. En bestämmelse om tillämpningsområde kan inte heller vara för omfattande, eftersom det skulle göra bestämmelsen svårläst. Utredningen anser att det blir mer likt andra författningar om behandling av personuppgifter om ändamålet anges i en separat bestämmelse och att även tydlighetsskäl talar för detta.
Begreppet klinisk forskning
I utredningens direktiv anges ändamålet ”forskning”. Utredningens tolkning av ändamålet samt motiven till utredningens avgränsning till klinisk forskning framgår av avsnitt 2.4.1 och 2.6.5.
Med klinisk forskning avses forskning som förutsätter vårdens strukturer och resurser. Den kliniska forskningen utgår från de behov som finns i hälso- och sjukvården och förväntas leda till patient- och samhällsnytta. Inom klinisk forskning studeras bland annat vilka besvär som människor med en viss sjukdom har, hur träffsäkert ett diagnostiskt test är och vilken behandling som är mest effektiv. Den kliniska forskningen har som mål att lösa ett ohälsoproblem eller att identifiera faktorer som leder till ökad hälsa. I den föreslagna lagen avses med klinisk forskning sådan forskning som förutsätter vårdens strukturer och resurser och som har som mål att lösa ett ohälsoproblem eller identifiera faktorer som leder till ökad hälsa.
Utredningen har övervägt om klinisk forskning bör anges som ett definierat uttryck i lagen. Utredningen noterar att begreppet klinisk forskning används i 1 kap. 3 § och 2 kap. 4 § första stycket 7 PDL
kopplat till ändamålet antalsberäkning för klinisk forskning. Begreppet klinisk forskning definieras dock inte i PDL. Utredningen konstaterar att klinisk forskning som fenomen inte kan definieras på ett lagtekniskt sätt såsom hälso- och sjukvård och begreppen för de aktörer som omfattas av lagen kan. Generellt sett gäller för de ändamål som omfattas av utredningens direktiv att de svårligen kan fångas i en juridisk definition som är tydlig och precis och samtidigt tillräckligt omfattande för att fungera i praktiken, jämför utredningens tolkning av ändamålen i direktiven, avsnitt 2.6. Utredningen anser att ett lämpligare förhållningssätt är att, i förekommande fall, beskriva generellt i betänkandet, överväganden och författningskommentarer vad som avses med ändamålen.
Klinisk forskning kan bedrivas enligt olika regelverk. Klinisk forskning kan bedrivas enligt EPL, CTR, MDR och IVDR. För beskrivning av dessa regelverk generellt, se kapitel 6. Utredningen föreslår villkor för tillgängliggörande som är kopplade till EPL, CTR, MDR och IVDR, se avsnitt 16.8. Förhållandet till andra närliggande begrepp
Medicinsk forskning som inte är klinisk forskning omfattas inte av lagen. Detta betyder att preklinisk forskning inte omfattas. Preklinisk forskning är en grundläggande typ av forskning som inte kräver vårdens strukturer och resurser, se vidare avsnitt 6.2 (Begrepp inom medicinsk forskning).
I lagstiftning förekommer begreppet forskning inom hälso- och sjukvården, se 7 kap. 5 § andra punkten PDL. Forskning inom hälso- och sjukvården omfattar klinisk forskning, men kan även avse preklinisk forskning. Vidare kan även helt annan forskning än medicinsk forskning som sker inom hälso- och sjukvården omfattas av begreppet forskning inom hälso- och sjukvården (se prop. 2007/08:126 s. 259).
Klinisk forskning omfattas av termen vetenskapliga forskningsändamål i EU:s dataskyddsförordning. Med vetenskapliga forskningsändamål avses till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning (se skäl 159). Se vidare avsnitt 7.7.2.
Villkoren i lagen avgränsar i praktiken ändamålet
Utredningens förslag till villkor om samtycke till att delta i forskningen, se avsnitt 16.8.1, medför att det i praktiken framför allt är interventionsstudier som reglerna blir tillämpliga på. I interventionsstudier utsätts studiedeltagarna för någon form av intervention, till exempel ett läkemedel, en medicinteknisk produkt eller en kirurgisk metod. Interventionsstudier som inkluderar läkemedel eller medicintekniska produkter kallas även kliniska prövningar. Klinisk forskning är därför ett bredare begrepp än de forskningsprojekt som i praktiken kommer att omfattas av enklare tillgång till personuppgifter enligt författningsförslagen.
Utredningen har mot denna bakgrund övervägt om ett snävare begrepp än klinisk forskning bör anges redan i lagens tillämpningsområde. Utredningen anser dock inte att det är lämpligt att använda ett annat begrepp för benämning av ändamålet.
Även om det enligt utredningens bedömning är i interventionsstudier som utredningens förslag framför allt kommer att vara tillämpliga, kan det inte uteslutas att även andra typer av studier inom klinisk forskning kan uppfylla den föreslagna lagens villkor på samtycke med mera. Tvärtom är det inte heller alla interventionsstudier som kommer att omfattas, exempelvis inte sådana där forskningen kan bedrivas utan samtycke enligt lag (2003:460) om etikprövning av forskning som avser människor, förkortad EPL. Interventionsstudier skulle därför inte heller vara helt rättvisande att använda.
Vidare är klinisk forskning ett vedertaget begrepp inom forskarvärlden och det har även använts i lagstiftning nyligen (2 kap. 4 § första stycket 7 PDL). Enhetlighet i lagstiftningen talar för att använda samma begrepp.
Utredningens tanke är även att de författningsförslag som utredningen lämnar är ett första steg som innebär förenklad tillgång för en del av den kliniska forskningen. Det är en fördel om lagen är utformad så att den kan byggas på med ytterligare bestämmelser som kan möjliggöra utökad vidareanvändning av personuppgifter för annan klinisk forskning, såsom registerforskning och observationsstudier, se avsnitt 20.3.
16.5. Förhållandet till annan närliggande reglering
Förslag: I lagen ska det finnas en upplysning om att lagen kom-
pletterar EU:s dataskyddsförordning.
Det ska även finnas en upplysning om att lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av den föreslagna lagen.
16.5.1. EU:s dataskyddsförordning
EU:s dataskyddsförordningen är direkt tillämplig och har företräde framför nationell lagstiftning. Den föreslagna lagen kommer därför endast att innehålla bestämmelser som kompletterar eller tar över bestämmelserna i EU:s dataskyddsförordning, när det är tillåtet. För att tillämparen ska få en tydlig uppfattning av vilken reglering som är tillämplig bör den föreslagna lagen innehålla en bestämmelse med en upplysning om att EU:s dataskyddsförordning gäller. Bestämmelsen bör formuleras på samma sätt som i andra lagar som reglerar behandling av personuppgifter inom Socialdepartementets verksamhetsområde.6
Hänvisningar till EU-rättsakter kan göras antingen statiska eller dynamiska. Med en statisk hänvisning avses att hänvisningen görs till EU-rättsakten i en viss angiven lydelse. En följd av denna hänvisningsteknik är att den nationella författningen vanligtvis behöver ändras varje gång EU-bestämmelsen ändras. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen. Lagrådet har uttalat att en konsekvensanalys bör göras vid valet av hänvisningsteknik och redovisas för var och en av de hänvisningar som görs (prop. 2015/16:156 s. 34). Vid analysen bör särskilt belysas hur det nationella regelsystemet ändras genom hänvisningen och hur ändringar av rättsakten kan komma att påverka den nationella regleringen. Det innebär att det, enligt Lagrådet, ofta finns anledning att undvika att genom definitioner koppla rättsakten i en viss angiven lydelse till olika författningsbestämmelser.
6Prop. 2017/18:171 s. 73 f. Se t.ex. 3 § lagen (1996:1156) om receptregister, 4 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten och 1 kap. 4 § patientdatalagen (2008:355).
EU:s dataskyddsförordning är direkt tillämplig och syftet med hänvisningen är endast att upplysa om att dataskyddsförordningen gäller. Det framstår därför som mest lämpligt att hänvisningen dit görs dynamisk.
Att EU:s dataskyddsförordning är direkt tillämplig innebär alltså att bestämmelserna i dataskyddsförordningen, utöver bestämmelserna i den föreslagna lagen, ska tillämpas. Exempel på bestämmelser som är generellt tillämpliga vid behandling av personuppgifter är bestämmelserna om de grundläggande principerna för behandling av personuppgifter, den registrerades rättigheter och den personuppgiftsansvariges skyldigheter att vidta säkerhetsåtgärder.
Dataskyddsförordningen gäller inte för personuppgifter om avlidna, det gör dock den kompletterande lagstiftningen i PDL. Den föreslagna lagen tillåter tillgängliggörande endast till klinisk forskning som sker på personer som samtyckt till att delta i forskningen. Det kommer därmed inte bli aktuellt att lagen tillämpas på annan behandling av personuppgifter än den som följer av den.
16.5.2. Dataskyddslagen
Om en annan lag eller förordning innehåller någon bestämmelse som rör behandling av personuppgifter och som avviker från dataskyddslagen, ska den bestämmelsen tillämpas (1 kap. 6 § dataskyddslagen). Dataskyddslagen är alltså subsidiär i förhållande till annan lagstiftning som reglerar behandling av personuppgifter.
I förarbetena som föregick ändringar av författningar på Socialdepartementets område i samband med att dataskyddsförordningen började tillämpas anges att den regleringsteknik som innebär att en registerförfattning gäller utöver den generella nationella regleringen av behandling av personuppgifter kan och bör behållas (prop. 2017/18:171 s. 73). Eftersom dataskyddslagen som nämnt är subsidiär, behövs egentligen ingen materiell bestämmelse i registerförfattningen för att uppnå detta. Registerförfattningarna innehåller emellertid ändå ofta en upplysning om att den generella lagen gäller, om inte annat följer av registerförfattningen eller föreskrifter som har meddelats i anslutning till författningen. I linje med de bedömningar som gjorts när sådana bestämmelser införts, är det enligt förarbetena, lämpligt att uttryckligen upplysa om att det kan finnas tillämpliga bestämmelser om be-
handling av personuppgifter i dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen, om inte annat följer av lagen eller föreskrifter som har meddelats i anslutning till den (prop. 2017/18:171 s. 73).
Den föreslagna lagen ska reglera tillgängliggörande av personuppgifter för ändamålet klinisk forskning från regionala myndigheter som bedriver hälso- och sjukvård, och forskares tillgång till personuppgifterna. Tillämpningsområdet är således avgränsat i förhållande till all behandling av personuppgifter som utförs på hälso- och sjukvårdsområdet. Den föreslagna lagen bör endast innehålla de bestämmelser som är viktigast ur ett integritetsskyddsperspektiv i förhållande till dataskyddsförordningen och dataskyddslagen. Utredningen gör därför bedömningen att den ovan nämnda huvudregeln ska gälla även här, det vill säga att den föreslagna lagen ska gälla utöver den generella nationella regleringen i dataskyddslagen. Alternativet, det vill säga att i lagen heltäckande reglera vilka bestämmelser i dataskyddslagen och anknytande föreskrifter som ska gälla, framstår som mindre lämpligt, eftersom även bestämmelserna i dataskyddsförordningen ska tillämpas.
Eftersom dataskyddslagen är subsidiär, krävs egentligen ingen materiell bestämmelse för att den föreslagna lagen ska gälla utöver den generella nationella regleringen i dataskyddslagen. Av tydlighetsskäl är det dock lämpligt med en bestämmelse som anger att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter enligt den föreslagna lagen, om inte annat följer av den föreslagna lagen eller föreskrifter som har meddelats med stöd av den. När dataskyddslagen är tillämplig, är också bestämmelser som regeringen meddelat i anslutning till dataskyddslagen tillämpliga. Det innebär att eventuella förordningsbestämmelser om undantag från dataskyddslagens tillämplighet gäller.
16.5.3. Patientdatalagen
PDL tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården (1 kap. 1 § PDL).
PDL innehåller bestämmelser som kompletterar EU:s dataskyddsförordning vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av person-
uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Vid sådan behandling av personuppgifter är även dataskyddslagen tillämplig, men om bestämmelserna i PDL eller föreskrifter som har meddelats i anslutning till den lagen avviker ska de senare ha företräde (se 1 kap. 4 § första och andra stycket PDL).
Den föreslagna lagen reglerar tillgängliggörande av personuppgifter från en regional myndighet som bedriver hälso- och sjukvård. En sådan myndighet är, eller är del av, en vårdgivare. PDL ska gälla all personuppgiftsbehandling som sker som en del av den individinriktade patientvården. Med det avses åtgärder för att förebygga, utreda och behandla sjukdomar och skador hos enskilda oberoende av om verksamheten sker enligt hälso- och sjukvårdslagen, tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168) eller någon annan lagstiftning (prop. 2007/08:126 s. 49). Enligt förarbetena är den individinriktade patientvården ett vidare begrepp än det som utgör vård enligt HSL:s definition (se prop. 2007/08:126 s. 49). PDL ska vidare gälla den personuppgiftsbehandling som vårdgivare utför (se prop. 2007/08:126 s. 50). Som framgår av förarbetena utgör ett uppgiftslämnande ”för annans räkning” och de åtgärder som föregår ett sådant utlämnande en sådan behandling som omfattas av PDL, 2 kap. 5 § PDL första meningen (se prop. 2007/08:126 s. 60).
Utredningens föreslagna lag reglerar inte någon personuppgiftsbehandling som hör till patientvård eller omfattas av de verksamheter som räknas upp i PDL. Den föreslagna lagen kan därför inte anses fylla ut PDL. Utredningen har jämfört resonemanget som fördes av utredningen Informationsöverföring inom vård- och omsorg där SVOD anses komplettera PDL då den reglerar personuppgiftsbehandling som ska ske inom hälso- och sjukvården (se SOU 2021/2022:04 s. 352). När uppgifterna faller inom den föreslagna lagens tillämpningsområde behandlas de uteslutande för ändamålet klinisk forskning och för att de ska kunna användas för dokumentation i forskningssyfte (för ytterligare resonemang om utredningens syn på patientnära forskning och ändamålen i lagen se avsnitt 15.7 och 16.4) (jämför även prop. 2007/08:126 s. 51). Det kan uttryckas som att den föreslagna regleringen tar vid där PDL slutar.
16.5.4. Biobankslagen
Biobankslagen (2023:38) avser reglering av prover som samlas in till och bevaras i en biobank eller används för 1) vård, behandling eller andra medicinska ändamål i en vårdgivares verksamhet, 2) forskning, 3) produktframställning, eller 4) utbildning, kvalitetssäkring eller utvecklingsarbete inom ramen för något av de ändamål som anges i 1–3 (1 kap. 3 § biobankslagen). Utredningens förslag till lag om viss vidareanvändning av personuppgifter för klinisk forskning reglerar när personuppgifter från vården kan tillgängliggöras för ändamålet klinisk forskning på det särskilda sätt som lagen föreskriver. Som utgångspunkt reglerar alltså biobankslagen och utredningens förslag till nya lag olika saker. I biobankslagen finns ett fåtal regler som rör behandling av personuppgifter (se till exempel 7 kap. 4–7 §§ om PKU-register).
Biobankslagen innehåller vidare bestämmelser om förhållandet till lagstiftning som rör behandling av personuppgifter. Av 1 kap. 7 § biobankslagen följer att vid behandling av personuppgifter enligt biobankslagen gäller bestämmelser i andra lagar om behandling av personuppgifter samt dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av lagen eller föreskrifter som har meddelats i anslutning till lagen. Biobankslagen kompletterar vidare EU:s dataskyddsförordning (1 kap. 7 § första stycket).
Utgångspunkten är därmed att vid behandling av personuppgifter enligt biobankslagen gäller bestämmelser om personuppgiftsbehandling som finns i EU:s dataskyddsförordning, dataskyddslagen och andra lagar om behandling av personuppgifter. I den utsträckning det finns bestämmelser i biobankslagen som föreskriver annat än det som följer av dataskyddslagen och andra lagar om behandling av personuppgifter gäller bestämmelserna i biobankslagen. Andra lagar om personuppgiftsbehandling kan exempelvis avse PDL. I propositionen till biobankslagen konstateras att eftersom den föreslagna biobankslagen kommer att ha få bestämmelser som direkt reglerar personuppgiftsbehandling i samband med hanteringen av prover kommer sådan behandling i många fall att regleras i annan lag, i fråga om hälso- och sjukvård framför allt i PDL (se prop. 2021/22: 257 s. 220). Någon ytterligare vägledning kring vad ”andra lagar” kan avse finns inte i propositionen till biobankslagen (jämför även författningskommentaren, prop. 2021/22:257 s. 256–257).
Utredningens förslag till ny lag om viss vidareanvändning av personuppgifter för klinisk forskning avser bestämmelser om behandling i form av tillgängliggörande och mottagande av personuppgifter för ändamålet klinisk forskning. Utredningens bedömning är att lagen kompletterar EU:s dataskyddsförordning, se avsnitt 16.5.1. Däremot skiljer sig den föreslagna lagen till sin karaktär i förhållande till exempelvis PDL. Den reglerar förutsättningarna för utlämnande (tillgängliggörande) av personuppgifter, mottagandet och vissa förhållanden rörande behandlingen av de utlämnade uppgifterna på dataanvändarsidan.
Den utgör därmed inte en generell kompletterande reglering av behandling av personuppgifter hos vissa aktörer eller i viss verksamhet såsom är fallet med PDL. I avsaknad av en begränsning i vilken typ av andra lagar med bestämmelser om personuppgiftsbehandling som avses i 1 kap. 7 § andra stycket biobankslagen, anser utredningen att förslaget till lag om vidare av personuppgifter för klinisk forskning skulle kunna vara en sådan annan lag. I situationer där personuppgifter lämnas ut till klinisk forskning som en följd av en tillämpning av biobankslagen, skulle således bestämmelserna i den föreslagna lagen principiellt sett kunna tillämpas, om inte annat följer av biobankslagen eller föreskrifter som är meddelade med i anslutning till biobankslagen. Tillgängliggörande av prover och uppgifter för klinisk forskning skulle enligt utredningen kunna vara en sådan situation där en tillämpning av utredningens förslag till lag om vidareanvändning av personuppgifter för klinisk forskning kan aktualiseras.
16.6. Personuppgiftsansvar enligt den föreslagna lagen
Förslag: Den regionala myndighet eller det lärosäte som bedriver
klinisk forskning och som ges tillgång till personuppgifter är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten eller lärosätet utför med stöd av lagen.
En regional myndighet som bedriver hälso- och sjukvård är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför med stöd av lagen.
Bedömning: Personuppgiftsansvar för den personuppgiftsbehand-
ling som sker i övrigt inom forskningen regleras av EU:s dataskyddsförordning.
16.6.1. Personuppgiftsansvar för regional myndighet som bedriver hälso- och sjukvård
I avsnitt 16.5.3 har utredningen redogjort för sin bedömning att när en regional myndighet som bedriver hälso- och sjukvård tillgängliggör personuppgifter i enlighet med den föreslagna lagen faller detta utanför PDL:s tillämpningsområde.
Uppgifterna har dock samlats in inom ramen för hälso- och sjukvårdsverksamhet. En regional myndighet som är personuppgiftsansvarig enligt 2 kap. 6 § PDL är också personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför med stöd av den föreslagna lagen. Myndigheten ses då som datahållare (se vidare de överväganden som utredningen gjort i avsnitt 2.6.7, samt avsnitt 16.4). Med anledning av detta finner utredningen det lämpligt att utgå från hur personuppgiftsansvaret är konstruerat i PDL. Som angetts i avsnitt 7.5.3 är det den myndighet eller nämnd som bedriver hälso- och sjukvård som är personuppgiftsansvarig för den behandling av personuppgifter som utförs (2 kap. 6 § PDL första stycket andra meningen).
Därför ska den regionala myndigheten som är personuppgiftsansvarig enligt 2 kap. 6 § PDL även vara personuppgiftsansvarig för tillgängliggörandet enligt den föreslagna lagen (se även avsnitt 16.7.1). För att tydliggöra detta ska en särskild bestämmelse införas.
Enligt utredningens uppfattning vore det olämpligt med en annan ordning och den föreslagna ordningen är också den som ligger mest i linje med att den personuppgiftsansvariga ska vara den som har det faktiska inflytandet över behandlingen (se artikel 4.7 dataskyddsförordningen och jämför prop. 2007/08:126 s. 61 f.).
Av definitionen i artikel 4 i dataskyddsförordningen framgår att om ändamålen och medlen för behandlingen bestäms av EU-rätten eller medlemsstaternas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i EUrätten eller i medlemsstaternas nationella rätt. Det är tillåtet enligt EU:s dataskyddsförordning att i nationell lagstiftning ange vem som är personuppgiftsansvarig för en viss behandling av personuppgifter (jämför artikel 6.2 och 6.3 samt skäl 45 i dataskyddsförordningen och prop. 2017/18:171 s. 68 f).
16.6.2. Personuppgiftsansvar för regionala myndigheter och lärosäten som bedriver klinisk forskning
Vid hantering av personuppgifter i elektronisk form omfattas varje åtgärd som vidtas, oavsett om det är fråga om insamling, registrering, lagring, sökning, bearbetning, utlämnande, radering eller någon annan åtgärd (SOU 2021:04 s. 446). Detta innebär att nyttjandet av den begränsade direktåtkomsten och därigenom möjligheten att ta del av dessa uppgifter utgör en behandling av personuppgifter enligt dataskyddsförordningen. Eftersom denna behandling inte görs som en del av hälso- och sjukvården omfattas den inte av PDL (för ytterligare resonemang om detta se avsnitt 16.5.3).
Som anförts vid införandet av PDL (se prop. 2007/08:126 s. 73) anses den elektroniska formen för utlämnande medföra risker i sig för otillbörliga integritetsintrång. Där till kommer att direktåtkomst förknippas med särskilda integritetsrisker (prop. 2021/22:177 s. 78). Det handlar inte enbart om antagonistiska angrepp utifrån, utan även otillbörlig åtkomst inom en verksamhet kan få allvarliga konsekvenser om det sker digitalt på grund av att spridning kan ske på ett mer okontrollerat sätt. Det har även anförts att mottagaren också har större möjligheter att bearbeta den digitala informationen än om utlämnandet skett på papper (prop. 2007/08:126 s. 73).
För en enskild är det av stor betydelse att veta vem som är personuppgiftsansvarig för de behandlingar av personuppgifter som den kommer omfattas av, eftersom det är till den en registrerad kan vända sig för utnyttjandet av sina rättigheter enligt förordningen och kompletterande lagstiftning. I dag regleras inte personuppgiftsansvaret för klinisk forskning i en egen kompletterande nationell lagstiftning till dataskyddsförordningen. Personuppgiftsansvaret följer i stället av dataskyddsförordningens regler, se artikel 4.7 i dataskyddsförordningen. Det innebär att innan en personuppgiftsbehandling påbörjas måste det stå klart för samtliga inblandade vem eller vilka som är personuppgiftsansvariga för den aktuella forskningen.
Ett av villkoren för tillgängliggörande enligt lagen, som hänger ihop med personuppgiftsansvaret, är ett integritetshöjande samtycke (se vidare avsnitt 16.8.3). Ytterligare en aspekt är att för att ett samtycke, även då det rör sig om ett integritetshöjande samtycke, ska kunna anses vara informerat måste det dels framstå som tydligt vad för personuppgiftsbehandling som omfattas av samtycket, dels vem
som är ansvarig för personuppgiftsbehandlingen (jämför även uttalanden i bland annat remissvar DI-1366-2017).
Utredningen har gjort bedömningen att personuppgiftsansvaret för den föreslagna direktåtkomsten måste regleras särskilt. Utredningen har i detta hänseende tittat på hur personuppgiftsansvaret reglerats avseende direktåtkomst i PDL samt SVOD (jämför 2 kap. 6 § PDL och 4 kap. 1 § SVOD, samt prop. 2007/08:126 s. 62 och prop. 2021/22:177 s. 131–133).
Utredningen anser att den regionala myndighet eller det lärosäte som bedriver klinisk forskning och som ges tillgång till personuppgifter enligt lagen ska vara den personuppgiftsansvarige för den behandling som direktåtkomsten innebär. Det innebär att det är den myndigheten eller det lärosätet som ska se till att samtliga skyldigheter enligt dataskyddsförordningen uppfylls avseende denna behandling, se artikel 24 i dataskyddsförordningen.
Övrig personuppgiftsbehandling inom ett forskningsprojekt regleras inte av den föreslagna lagen. Där gäller dataskyddsförordningens allmänna regler om personuppgiftsansvar.
16.6.3. Personuppgiftsansvar för informationssäkerhet
Personuppgiftsansvar innebär ett ansvar att se till att dataskyddsförordningen följs. Det innebär att även informationssäkerhet behöver beaktas av den som är personuppgiftsansvarig. Informationssäkerhet handlar om att skydda information, som att hindra informationen från att läcka ut till obehöriga, förvanskas eller förstöras. Det kan även handla om att rätt information ska finnas tillgänglig för rätt personer i rätt tid. Informationssäkerhet ska förhindra att informationen hamnar i orätta händer och missbrukas. Det är även viktigt att de registrerade vet vem eller vilka som använder deras personuppgifter och varför. Bristande informationssäkerhet kan få både allvarliga och direkta konsekvenser. Därför är det angeläget att belysa vikten av informationssäkerhet när utredningens författningsförslag ger nya möjligheter att behandla personuppgifter. När den regionala myndigheten som är ansvarig för tillgängliggörandet ger åtkomst till de relevanta uppgiftsmängderna gör den det med stöd av den föreslagna lagen och den rättsliga grund som skapats med den (se vidare om begreppet tillgängliggörande respektive om vilka uppgiftsmängder
som kan omfattas i avsnitt 16.7.1 och 16.7.5). För detta tillgängliggörande behövs det, enligt dataskyddsförordningen, finnas lämplig säkerhet (se artikel 32). Vad som utgör lämplig säkerhet ska enligt förordningen bedömas utifrån vad som utgör den senaste utvecklingen avseende säkerhet och genomförandekostnader. Det ska även bedömas utifrån behandlingens art, omfattning och sammanhang. Ändamål och riskerna för enskildas rättigheter och friheter behöver också beaktas.
När personuppgifter behandlas i de verksamheter som faller inom PDL:s tillämpningsområde gäller Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården, förkortad HSLF-FS 2016:40, (se 1 kap. 1 § HSLF-FS 2016:40). När de regionala myndigheter inom hälso- och sjulvården som omfattas av den föreslagna lagen behandlar personuppgifter med stöd av lagen, är utredningen av uppfattningen att dessa föreskrifter inte gäller.
Utredningen konstaterar att lämplig säkerhet i denna kontext inte skiljer sig nämnvärt från när aktuella personuppgifter behandlas inom ramen för PDL. Personuppgiftsbehandlingens art att det rör sig om känsliga personuppgifter enligt artikel 9, och att personuppgifterna kommer från myndigheter som faller under PDL:s tillämpningsområde, talar för att situationerna är liknande. Utredningen anser därför att en sådan regional myndighet som har att tillgängliggöra personuppgifter enligt den föreslagna lagen kan med fördel hämta viss ledning i HSLF-FS 2016:40 för bedömningen av vad som kan anses utgöra lämplig säkerhet i olika moment. Här återfinns bland annat regler om ledningssystem för systematiskt kvalitetsarbete, riskanalyser och detaljerad reglering om åtkomst av uppgifter om patienter. Det går även att få inspiration från hur behörigheter bör delas ut, förändras, tas bort och regelbundet följs upp. En annan viktig informationssäkerhetsaspekt kan vara vilka åtgärder som bör vidtas till skydd mot obehörig åtkomst, eller hur autentisering ska tillämpas. Andra säkerhetsaspekter som till exempel skydd mot brand och fukt behöver också ses över. Beskrivning av hur systematiska behörighetskontroller av patientuppgifter (så kallade loggkontroller) ska genomföras, hur ofta, av vem och så vidare behöver även tas höjd för vid arbetet med informationssäkerhet. Vad som slutligen utgör lämplig säkerhet i enlighet med dataskyddsförordningen när ett tillgängliggörande sker blir upp till den personuppgiftsansvariga regionala myndigheten inom hälso- och sjukvården att avgöra.
16.7. Tillgängliggörande av personuppgifter
Förslag: En regional myndighet eller ett lärosäte som bedriver kli-
nisk forskning får ges tillgång till personuppgifter som behandlas av en regional myndighet som bedriver hälso- och sjukvård. Tillgången får ges genom en begränsad direktåtkomst eller annat elektroniskt utlämnande.
När personuppgifter tillgängliggörs genom begränsad direktåtkomst, ska åtkomsten vara tidsbestämd. När den bestämda tidsperioden har löpt ut, ska den begränsade direktåtkomsten upphöra.
Den regionala myndigheten inom hälso- och sjukvården kan, efter begäran, förlänga tidsperioden.
Den totala tidsperioden får inte överskrida sex månader.
16.7.1. Begreppet tillgängliggörande
Lagen syftar övergripande till att förenkla möjligheterna till vidareanvändning av personuppgifter från hälso- och sjukvården för ändamålet klinisk forskning. En central aspekt i detta är att personuppgifter behöver göras tillgängliga. För att beskriva det led i vilket personuppgifter görs tillgängliga över en yttre sekretessgräns har utredningen valt att använda begreppet ”tillgängliggörande”. Ett tillgängliggörande är alltså när personuppgifter görs åtkomliga för en annan myndighet eller en annan självständig verksamhetsgren inom en myndighet. Utredningen använder också formuleringar som ”ges tillgång”, ”tillgången” eller liknande för att beskriva samma sak kopplat till vidareanvändningen av personuppgifter.
I valet av begrepp för att beskriva att personuppgifter görs åtkomliga från en myndighet eller självständig verksamhetsgren har utredningen tagit intryck av närliggande lagstiftning. Utredningen konstaterar att ”tillgängliggörande” och ”ges tillgång” är begrepp som används i SVOD (se 2 kap. SVOD) kopplat till regler som avser utlämnade av personuppgifter mellan vård- och omsorgsgivare.
Tillgängliggörande utgör det första ledet i en vidareanvändning, se avsnitt 16.4.1.
I den del av utredningens förslag som handlar om ett nytt sjätte kapitel i PDL för behandling av personuppgifter för vård av en annan patient än den som uppgifterna avser, använder utredningen också
begreppet tillgängliggörande, se avsnitt 14.6 och 14.9. Vid tillgängliggörande till precisionsmedicinsk databas samt tillgängliggörande av kompletterande personuppgifter från patientjournal används begreppet ur datahållarens perspektiv, det vill säga den aktör som representerar ”från-sidan” vid ett tillgängliggörande (för ytterligare beskrivning av begreppet se avsnitt 2.6.7). Däremot används ”ges tillgång till”, det vill säga dataanvändarens perspektiv och ”till-sidan”, avseende tillgången som sker till personuppgifter i en precisionsmedicinsk databas. Vidare omfattar begreppet tillgängliggörande i de föreslagna reglerna i 6 kap. PDL även när uppgifter avskiljs inom en myndighet till en precisionsmedicinsk databas och när kompletterande personuppgifter görs tillgängliga inom en myndighet, se vidare avsnitt 14.6.2 och 14.9.2.
Tillgängliggörandet är en behandling av personuppgifter hos den myndighet inom en region som tillgängliggör uppgifterna. Ett tillgängliggörande enligt den föreslagna lagen kan även utgöra ett utlämnande enligt TF, eller ett uppgiftslämnande enligt 6 kap. 5 § OSL. Tillgängliggörs sekretessbelagda uppgifter, vilket det enligt utredningens bedömning typiskt sett är fråga om, kan ett tillgängliggörande också utgöra ett röjande enligt OSL, se vidare kapitel 17.3.
Ett tillgängliggörande kan rent praktiskt ske på olika sätt. Utredningens förslag avser dock endast digitalt tillgängliggörande i form av en så kallad begränsad direktåtkomst eller annat elektroniskt utlämnande. Formerna för tillgängliggörande redogörs för i följande avsnitt.
16.7.2. Formerna för det elektroniska tillgängliggörandet
För att skapa den förenkling som utredningen avser, behöver myndigheter inom hälso- och sjukvården kunna tillgängliggöra personuppgifter digitalt. Detta går i dag att göra endast genom annat elektroniskt utlämnande än direktåtkomst, där uppgifterna som ska ingå i utlämnandet menprövas i varje enskilt fall (se 5 kap. 6 § PDL). Utöver det behöver en tillräcklig nivå avseende informationssäkerhet säkerställas (se HSLF-FS 2016:40, se vidare 16.6.3).
Myndigheten ska inte behöva göra en menprövning när utlämnande sker enligt de nya reglerna. I stället görs en bedömning av om villkoren i lagen är uppfyllda.
Det är även av vikt att åtkomsten för forskarna behöver vara enklare och mer flexibel. Framför allt ser utredningen att det är motiverat när
det handlar om patientnära forskning (se utförligare beskrivning i avsnitt 15.6). Mellan myndigheter hos olika vårdgivare och mellan myndigheter inom en vårdgivare finns som utgångspunkt också yttre sekretessgränser mellan hälso- och sjukvårdsverksamhet och klinisk forskning. Det saknas regler om direktåtkomst eller annat elektroniskt utlämnande för ändamålet klinisk forskning, medan sådan åtkomst kan ske över dessa gränser för vårdändamål. Samma praktiska problem finns därmed även mellan myndigheter inom vårdgivaren som mellan vårdgivare när det kommer till utlämnande av personuppgifter till klinisk forskning.
Utredningens uppfattning är att det inte alltid är motiverat med dessa gränser under förutsättning att integritets- och informationssäkerhetsaspekter kan omhändertas på ett fullgott sätt. Nedan utvecklar därför utredningen sitt resonemang om vad den föreslagna lösningen innebär.
Allmänt om innebörden av begreppen direktåtkomst och annat elektroniskt utlämnande samt medföljande risker
Det saknas en legaldefinition av begreppet direktåtkomst. Utredning konstaterar att begreppet har berörts i många lagstiftningsarbeten och att det förekommer i ett stort antal författningar. I PDL och SVOD finns bestämmelser om direktåtkomst (se till exempel 5 kap. 4 §, 7 kap. 9 § PDL och 2 kap. 1 § SVOD).
I avsnitt 7.5.6 redogörs närmare för vad som avses med direktåtkomst enligt PDL. Vanligtvis avses med begreppet direktåtkomst att någon har tillgång till någon annans register eller databas och att den på egen hand kan söka efter information, utan att kunna påverka innehållet i registret eller databasen. I begreppet ligger också att den som är personuppgiftsansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av (jämför prop. 2021/22:177 s. 46).
I avsnitt 7.5.6 redogörs även kortfattat för HFD 2015 ref. 61. Av avgörandet framgår att för att ett elektroniskt utlämnande ska anses utgöra direktåtkomst krävs att den aktuella upptagningen anses förvarad hos mottagaren på det sätt som avses i 2 kap. 6 § första stycket TF. Det innebär att upptagningen är tillgänglig för mottagaren med tekniskt hjälpmedel som mottagaren själv utnyttjar för överföring i
sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt (jämför även HFD 2020 not 16).
En konsekvens är då att informationen utgör en allmän handling hos den myndigheten som har rätt till direktåtkomsten. Ju fler myndigheter som har direktåtkomst till uppgifter hos någon annan myndighet, desto fler ställen kommer uppgifterna finnas på och som då utgörs av allmänna handlingar. Sekretesskyddet, men även i viss mån integritetsskyddet i allmänhet, blir således beroende av vad för typ av sekretess uppgifterna kommer omfattas av hos den mottagande myndigheten, se vidare avsnitt 17.3.
Ett förlorat sekretesskydd kan kompenseras med andra typer av sekretessbestämmelser som till exempel bestämmelser om överföring av sekretess. I 11 kap. 4 § OSL föreskrivs att om en myndighet hos en annan myndighet har elektronisk tillgång till en upptagning för automatiserad behandling och en uppgift i denna upptagning är sekretessreglerad, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Bestämmelsen motiveras av att en myndighet vid direktåtkomst regelmässigt får teknisk tillgång till fler uppgifter än de uppgifter som omfattas av myndighetens rätt att ta del av uppgifter (jämför prop. 2007/08:160 s. 73).
Ur ett dataskyddsperspektiv har åtkomst i form av direktåtkomst ansetts utgöra en särskilt integritetskänslig åtkomstform (se till exempel prop. 2021/22:177 s. 78). Den ökade integritetskänsligheten kan anses bestå dels av att personuppgifter i elektronisk form lättare kan bearbetas, dels att den personuppgiftsansvarige inte har samma typ av kontroll över vilka personuppgifter den mottagande parten tar del av eller vid vilken tidpunkt (jämför prop. 2007/08:126 s. 73–76).
I förarbetena till SVOD har det anförts att skillnaden mellan direktåtkomst och annat elektroniskt utlämnande i praktiken inte behöver vara särskilt stor (jämför HFD 2015 ref. 61 och prop. 2021/22:177 s. 78). Ett exempel på annat elektroniskt utlämnande är en elektronisk så kallad fråga-svars-funktion (prop. 2021/22:177 s. 78).
Utredningen uppfattar dock att en viktig juridisk skillnad är att vid ett annat elektroniskt utlämnade än direktåtkomst, sker utlämnandet av en avgränsad informationsmängd som är anpassad för det specifika utlämnandetillfället. Då kan, åtminstone i teorin, också en sekretessprövning ske vid varje sådant utlämnandetillfälle. Vid direktåtkomst saknas som ovan nämnts möjligheten till det.
Gränsen mellan elektroniskt utlämnande och direktåtkomst kan bli oskarp i och med den tekniska utvecklingen. Utredningen finner i ljuset av detta att det snarare handlar om att identifiera vilka juridiska frågor som behöver lösas för att ett utlämnande eller utbyte av uppgifter ska kunna fungera i en viss kontext. En väsentlig poäng med att fortsätta skilja direktåtkomst som utlämnandeform från andra elektroniska former för utlämnande, är enligt utredningen att den förutsätter att relevanta sekretessfrågor är lösta på ett mer generellt plan på förhand, innan utlämnandet sker (jämför prop. 2007/08:160 s. 73).
Utgör utredningens förslag direktåtkomst?
Utredningen gör bedömningen att uppgifterna som kommer att omfattas av tillgängliggörandet, åtminstone vid det tillfälle den mottagande regionala myndigheten eller lärosätet ges tillgång till dessa, genom exempelvis inloggningsuppgifter eller tilldelas behörighet i ett system, måste anses förvarade enligt 2 kap. 6 § TF hos den regionala myndighet eller det lärosäte som tillgängliggörandet sker till. Vidare kommer de regionala myndigheterna inom hälso- och sjukvården vid tillgängliggörandet inte behöva göra en formell sekretessprövning, utan tillämpar i stället villkoren i den föreslagna lagen.
Den regionala myndigheten eller lärosätet som bedriver klinisk forskning kommer inom ramen för sin behörighet kunna söka på relevanta uppgiftsmängder.
Som vid andra former av direktåtkomst, kommer den regionala myndigheten eller lärosätet som bedriver klinisk forskning, själv disponera när och hur ofta åtkomst till de aktuella uppgifterna kommer att ske. Vid dessa tillfällen kommer det göras utan den tillgängliggörande myndighetens inblandning och kontroll.
Eftersom ett urval sker av vilka uppgifter som görs tillgängliga, skulle det kunna argumenteras för att det i det hänseendet mest liknar en annan form av elektroniskt utlämnande än direktåtkomst. Urvalet görs dock på mängd-nivå och det kommer finnas överskottsinformation i uppgiftsmängderna. Ett möjligt scenario är att endast ett vårdtillfälle kan göras tillgängligt. Det innebär inte att all information från det vårdtillfället är relevant för forskningen. Den aspekten talar för att det rör sig en form av direktåtkomst. Ur ett sekretess- och dataskyddsperspektiv anser därför utredningen att det ses som en form av direkt-
åtkomst. Sammanfattningsvis gör utredningen bedömningen att tillgängliggörandet enligt lagen är en begränsad direktåtkomst.
Utredningens uppfattning är att det av tydlighetsskäl bör framgå uttryckligen av lagen. Något annat begrepp än begränsad direktåtkomst bör bland annat av enhetlighetsskäl inte användas. Utredningens föreslagna regler om dataskydd respektive sekretess har även utformats utifrån detta (se vidare avsnitt 16.7.3, 16.8 och 16.9 som avser dataskydd samt avsnitt 17.4 som handlar om sekretess).
Utredningen konstaterar att formuleringen ”direktåtkomst eller annat elektroniskt utlämnande” nyligen har använts i lagstiftningssammanhang (se 2 kap. 1 § SVOD och prop. 2021/22:177 s. 76). Syftet är att inte låsa in tillgängliggörandet i formen av en direktåtkomst om andra mer integritetsvänliga lösningar finns. Utredningen anser att dessa överväganden även har bäring på utredningens förslag. Utredning föreslår därför att samma formulering ska användas i den föreslagna lagen. Detta innebär att regionala myndigheter som bedriver hälso- och sjukvård ges möjlighet till olika tekniska lösningar som kan användas vid tillgängliggörande enligt lagen.
Närmare om vad utredningen avser med begränsad direktåtkomst
De uppgifter som den regionala myndigheten eller det lärosäte som bedriver den kliniska forskningen ges åtkomst till, är begränsade till att endast innehålla personuppgifter om de registrerade som ingår i forskningsprojektet samtyckt till att delta i forskningen och till den förenklade åtkomsten (se vidare avsnitt 16.8.2 och 16.8.3). Vidare är de personuppgifter som omfattas av tillgängliggörandet sådana uppgiftsmängder som har valts ut av den tillgängliggörande myndigheten (se avsnitt 16.7.5).
Det är alltså inte fråga om att samtliga uppgifter om dessa forskningspersoner ska finnas potentiellt tillgängliga för forskning.
Vidare ser utredningen framför sig att tillgängliggörandet av personuppgifter innebär att relevanta uppgifterna endast visas för den som tilldelats behörighet inom den regionala myndigheten, eller det lärosäte som bedriver den kliniska forskningen (se vidare under avsnitt 16.9.3).
Att direktåtkomsten därför bör ses som begränsad anser utredningen följer av att åtkomsten är avgränsad i tillgängliga uppgifts-
mängder om ett begränsat antal personer, av vem som tilldelats behörighet för att se uppgifterna och av att åtkomsten är tidsbestämd (se under avsnitt 16.7.3).
Begreppet direktåtkomst är inte definierat i lagstiftning i dag. Utredningen anser att det är ett begrepp som inte enkelt låter sig fångas i en tydlig definition. Utredningen anser mot denna bakgrund att det inte är lämpligt med en definition i lagen om vad begränsad direktåtkomst avser. Ledning i rättstillämpningen får i stället hämtas från beskrivningar av vad begreppet avser.
Uppgifterna som visas ska, genom användning av tekniska begränsningar, vara avskuren på sådant sätt att den mottagande myndigheten eller lärosätet som har rätt till en begränsad direktåtkomst enligt lagen endast kan se det som omfattas av den begränsade direktåtkomsten.
Utredningen lämnar inte förslag i lagen på hur ett tillgängliggörande rent tekniskt ska gå till, annat än att lagen endast omfattar utlämnande i elektronisk form. Myndigheterna inom hälso- och sjukvården som omfattas av reglerna står som nämnts ovan fria att använda de tekniska lösningar som de finner lämpligt för att åstadkomma den begränsade direktåtkomsten.
Vid utvecklandet av den tekniska lösningen behöver den personuppgiftsansvariga regionala myndighet som bedriver hälso- och sjukvård ta hänsyn till samtliga relevanta regelverk, se vidare under 16.6.3.
Utredningen har i figur 16.1 på ett övergripande plan försökt redogöra genom en förenklad bild av hur utredningen ser framför sig att behörighethetstilldelningen rent praktiskt skulle kunna se ut.
Figur 16.1 Illustration som visar ett exempel på hur ett behörighetssystem skulle kunna se ut
Källa: Utredningens illustration.
16.7.3. Den begränsade direktåtkomsten ska vara tidsbestämd
Som tidigare anförts (se särskilt avsnitt 16.1.2, 16.6 och 16.7.2) bör elektroniska utlämnanden av olika skäl ses som extra integritetskänsliga. I detta sammanhang bör det även beaktas att det rör sig om känsliga personuppgifter som, beroende på forskningsprojektets storlek, kan avse många registrerade och även omfatta många uppgifter om varje registrerad.
Av artikel 5.1 e i dataskyddsförordningen följer att en personuppgiftsansvarig inte får lagra personuppgifter längre än vad som är nödvändigt för ändamålen de behandlas för. Det finns dock möjlighet att göra undantag för bland annat arkivändamål av allmänt intresse och vetenskapliga eller historiska ändamål. När uppgifterna tillgängliggörs med stöd av lagen görs det för ändamålet klinisk forskning. Avsikten är att förenkla tillgången för regionala myndigheter och
Behörighet från region A
Användare Behörighet från regionen
Lärosäte A X Lärosäte B X Läresäte C X … X
Behörighet inom lärosäte B
Användare Behörighet från lärosätet
Förnamn Efternamn på personen vid lärosätet som behörigheten avser.
X
Person 2 X Person 3 X … X … X
lärosäten som bedriver klinisk forskning. Tillgången innebär att uppgifter som behövs kan tillföras forskningen. Med anledning av att en personuppgiftsansvarig inte får lagra personuppgifter längre än vad som är nödvändigt för ändamålen de behandlas för, har utredningen gjort bedömningen att den begränsade direktåtkomsten ska vara tidsbestämd. Utredningen ser inte heller att forskningsprojekten har något behov av att ha en sådan åtkomst under en obegränsad eller längre tid. Den begränsade direktåtkomsten bör då vara tidsmässigt anpassad efter förutsättningarna i det enskilda fallet. Behovet i tid kan variera med hänsyn till omfattningen beroende på antalet forskningspersoner, vilka uppgiftsmängder som har tillgängliggjorts och vad syftet med forskningen är. Det blir upp till den regionala myndigheten som tillgängliggör uppgifterna att besluta om den aktuella tidsperioden för varje tillgängliggörande utifrån dessa omständigheter. Tidsperioden för en begränsad direktåtkomst bör bestämmas utifrån vad som behövs för det aktuella forskningsprojektet.
Utredningen ser framför sig att det relativt snabbt bör kunna byggas upp en intern praxis hos regionala myndigheter inom hälso- och sjukvården kring vad som är en skälig tid utifrån dataskyddsförordningens krav för olika forskningsprojekt.
Det är även tänkbart att tiden sätts utifrån viss dialog med den regionala myndighet eller det lärosäte som begärt ett tillgängliggörande.
Efter att tidsperioden har löpt ut ska den begränsade direktåtkomsten upphöra. Med upphörande avses i detta fall att den regionala myndigheten eller lärosätet inte längre ska ha åtkomst till uppgifterna. Med upphörande avses i detta fall att den regionala myndigheten eller lärosätet inte längre ska ha begränsad direktåtkomst till uppgifterna.
För att undvika extra administration eller att ett upphörande av åtkomsten inte sker eller glöms bort, ska en tidpunkt för upphörande vara bestämd i förväg. Ett upphörande av ett tillgängliggörande enligt lagen kan med fördel ske automatiskt utan manuell handläggning. Utredningen anser att det är lämpligt att den satta tidsperioden ska kunna förlängas efter begäran. Det kan sannolikt vara så att omständigheter inträffar, som inte alltid gått att förutspå i förväg, som gör att den bestämda tidsperioden inte räcker. Då är det rimligt att en förlängning kan begäras. En sådan begäran bör alltid motiveras för att den personuppgiftsansvariga myndigheten som bedriver hälso- och sjukvård ska kunna avgöra om skäl finns för att godkänna sådan förlängning. Utredningens bedömning är vidare att det ska finnas en
maximal tidsperiod som inte får vara för omfattande. Detta eftersom syftet med att ha en tidsbestämning annars skulle kunna gå förlorad.
Utredningen har härvid beaktat vad som gäller enligt den finska sekundäranvändningslagen (se även kapitel 10) och vad som gäller enligt Europeiska kommissionens förslag till Europaparlamentets och Rådets förordning om ett europeiskt hälsodataområde, COM(2022) 197 final av den 3 maj 2022 (nedan förslaget till EHDS).
Av det förslag till EHDS framgår det i artikel 46.9 att den bortre gränsen för data att finnas tillgänglig i en säker behandlingsmiljö hos en ansvarig myndighet för primär- och sekundäranvändning, är sex månader efter att ett tillgängliggörande har skett (se vidare avsnitt 19.5). Bland sekundäranvändningsändamålet enligt förslaget till EHDS finns forskning. Utredningen anser att sex månader även kan vara en lämplig total tidsperiod för en begränsad direktåtkomst enligt utredningens förslag till lag. Sex månader bör vara tillräckligt för att kunna täcka behovet av åtkomst även för omfattande projekt och fall där det krävs mer omfattande arbete i det efterföljande momentet att tillföra forskningen de uppgifter som behövs. Avseende att tillföra forskningen uppgifter, se avsnitt 16.9.3). Utredningen vill dock framhålla att tidsperioden för ett tillgängliggörande som huvudregel ska bestämmas till en kortare tidsperiod än sex månader. Det är således endast i undantagsfall det kan anses finnas skäl med en tidsperiod som motsvaras av den totala tidsperiod som fastställs i lagen.
När en begäran om förlängning godkänns skulle krav kunna ställas på att den myndighet som är personuppgiftsansvarig för tillgängliggörandet motiverar skälen för godkännandet. Utredningen gör dock bedömningen att en sådan process medför en ökad administrationen som inte vägs upp av en motsvarande nytta, varför utredningen inte anser att det är lämpligt att ställa krav på en sådan aktivitet.
16.7.4. Endast en regional myndighet eller ett lärosäte som bedriver klinisk forskning får ges tillgång till personuppgifter
Utredningens förslag för ändamålet klinisk forskning avser tillgängliggörande till en regional myndighet, ett statligt universitet, en statlig högskola eller en enskild utbildningsanordnare som jämställs med myndighet enligt OSL. Begreppet regional myndighet berörs i avsnitt 16.3.3. För att gemensamt benämna ett statligt universitet, en
statlig högskola eller en enskild utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § OSL använder utredningen begreppet ”lärosäte”, se avsnitt 16.3.4.
Andra aktörer som bedriver klinisk forskning kan inte ges tillgång till personuppgifter enligt den föreslagna lagen. Dessa aktörer kan dock, även i fortsättningen, använda allmänna regler om utlämnande av allmänna handlingar eller uppgifter enligt TF eller, för det fall de utgör myndigheter, av informationsskyldigheten enligt regleringen, 6 kap. 5 § OSL, se avsnitt 8.2. För utredningens överväganden avseende avgränsningen på dataanvändarsidan, se avsnitt 2.6.7 samt nedan ”Tillgängliggörande till forskningsprojekt med flera aktörer”.
Se vidare om privata aktörers tillgång till hälsodata för forskning i kapitel 20.
Klinisk forskning som bedrivs av regioner
När utredningen använder termen klinisk forskning avses sådan forskning som förutsätter vårdens strukturer och resurser och som har som mål att lösa ett hälsoproblem eller identifiera faktorer som leder till ökad hälsa, se avsnitt 16.4.6. Eftersom den kliniska forskningen förutsätter vårdens strukturer och resurser innebär det att regioner inte sällan på ett eller annat sätt medverkar i, eller själva bedriver forskning. Den kliniska forskningen bedrivs därmed ofta i nära anslutning till hälso- och sjukvården, och ofta på regionsjukhusen (universitetssjukhusen).
Regionerna har också ett enligt lag reglerat ansvar att medverka vid finansiering, planering och genomförande av klinisk forskning inom vården. Ansvaret innebär också att regioner, i den omfattning det behövs, ska samverka med varandra och med berörda universitet och högskolor (18 kap. 2 § HSL), se vidare avsnitt 6.3.2. Regioner har därmed en central roll i den kliniska forskningen.
Tillgängliggörande enligt lagen får ske till en regional myndighet som bedriver forskning. Detta omfattar tillgängliggörande från hälso- och sjukvårdsverksamhet som självständig verksamhetsgren inom en myndighet, till forskningsverksamhet inom samma myndighet. Det omfattar även tillgängliggörande från hälso- och sjukvårdsverksamhet i en myndighet inom en region till forskningsverksamhet i en annan
myndighet inom samma region. Det omfattar slutligen även tillgängliggörande från hälso- och sjukvårdsverksamhet i en myndighet inom en region till forskningsverksamhet i en annan myndighet i en annan region. Utredningens förslag omfattar tillgängliggörande av personuppgifter i samtliga nu nämnda situationer.
Klinisk forskning som bedrivs av lärosäten
En stor del av den forskning i Sverige som bedrivs av offentligrättsliga aktörer utförs vid lärosäten. I 2 kap. 18 § andra stycket regeringsformen, förkortad RF, fastslås att forskningens frihet är skyddad enligt bestämmelser som meddelas i lag. Högskolelagen (1992:1434) reglerar verksamhet vid lärosäten under statligt huvudmannaskap och innehåller bestämmelser som tar avstamp i grundlagsregleringen. I 1 kap. 2 § högskolelagens anges forskning som en huvuduppgift. I 1 kap. 3 a § samma lag uppställs krav på att vetenskapens trovärdighet och god forskningssed värnas i verksamheten. I 1 kap. 6 § 2 regleras forskningens frihet, genom att allmänna principer anges för den delen av högskolornas verksamhet.
Eftersom klinisk forskning kräver vårdens strukturer och resurser är hälso- och sjukvården mer eller mindre inblandad i den kliniska forskning som bedrivs av lärosäten. I vissa situationer kan det handla om nära band, till exempel genom att den forskande personalen är anställd både på lärosätet och inom hälso- och sjukvården, och forskningen sker patientnära. I andra situationer kan det handla om att hälso- och sjukvården ”bidrar” med patienter och informationsunderlag, men att själva forskningen inte sker inom hälso- och sjukvårdens organisation utan på lärosätet.
Utredningen anser att en förutsättning för att lärosäten ska kunna omfattas av möjligheten till enklare tillgång till personuppgifter enligt lagen är att ett fullgott sekretesskydd kan garanteras på dataanvändarsidan. Utredningens förslag omfattar därför endast lärosäten som omfattas av OSL. Därmed inkluderas även de enskilda utbildningsanordnare med tillstånd att utfärda examen på forskarnivå som är organ som enligt 2 kap. 4 § OSL jämställs med myndighet i sin forskningsverksamhet. För utredningens överväganden kring sekretessfrågor kopplade till ändamålet klinisk forskning, se avsnitt 17.3 och 17.4.
Varför ska regioner och högskolor omfattas av förenklad tillgång till personuppgifter inom hälso- och sjukvården?
Det finns redan i dag särskilda sekretessregler som underlättar vissa utlämnanden från hälso- och sjukvården till klinisk forskning (se 11 kap. 3 § och 25 kap. 11 § 5 OSL). I praktiken förekommer också utlämnande av personuppgifter i stor omfattning till klinisk forskning. Däremot är självahanteringen kring utlämnande opraktisk och utdaterad i flera avseenden. Några av de praktiska problem som utredningen har fått till sig är att utlämnandena kräver en omfattande och tidskrävande manuell sammanställning av uppgifter som ofta utförs av administrativ personal hos den utlämnande myndigheten. Detta leder till långa ledtider som i sin tur medför fördröjning i forskningsprojekten. Utöver det sker utlämnandena fortfarande ibland på papper, trots att uppgifterna hanteras digitalt både före och efter utlämnandet, se vidare kapitel 12 (Problemanalys). Utredningen ser att det därför finns ett behov av regler som möjliggör ett enklare och mer modernt sätt att tillgängliggöra personuppgifter till klinisk forskning. Utredningens förslag om regler för enklare tillgång till personuppgifter är ett sätt att underlätta tillgången. Det finns dock också andra åtgärder än regelförändringar som kan förenkla vidareanvändning av personuppgifter för klinisk forskning, se vidare avsnitt 15.3.4.
En stor del av den kliniska forskningen med nära koppling till hälso- och sjukvården bedrivs av regionala myndigheter och lärosäten. Stora delar av de volymerna av utlämnanden som sker i dag enligt befintliga regler sker till därför dessa aktörer. Behoven av enklare tillgång och minskad administration är därför kopplade till regionerna och lärosätena när de utför klinisk forskning.
Det är också hos regionala myndigheter, framför allt genom regionsjukhusen (universitetssjukhusen), som en stor del av den patientnära kliniska forskningen sker. Ibland bedrivs forskningen enbart av den regionala myndigheten, men ofta sker den tillsammans med lärosäten. I sådan forskning sker ofta vård och forskning parallellt. Detta ger inte sällan upphov till situationen att en person, i rollen som vårdpersonal och för ändamålet vård, kan ta del av uppgifter om en patient. När samma person sedan behöver samma uppgifter för sin roll som forskare, behöver det ske genom en krånglig administrativ process, se avsnitt 12.3.2. Utredningen ser att det finns ett stort behov av att förenkla den processen. Samtidigt behöver tillgången till känsliga per-
sonuppgifter som finns inom hälso- och sjukvårdsverksamhet för klinisk forskning alltjämt ske på ett kontrollerat sätt. En tillämpning av utredningens föreslagna regler förutsätter en viss beslutsprocess och tillgängliggörandet får endast ske om vissa villkor är uppfyllda, se avsnitt 16.8.
Utredningen har övervägt om det för att uppnå syftena med förslagen skulle räcka att endast regionala myndigheter omfattas av möjligheterna till tillgång enligt den föreslagna lagen. I många fall där ett lärosäte är forskningshuvudman eller motsvarande borde en regional myndighet vara involverad på ett sådant sätt i den kliniska forskningen att forskningen anses bedrivas i vart fall även hos den regionala myndigheten och inte enbart hos lärosätet. Aktörer inom forskningen har dock påtalat för utredningen att viktig klinisk forskning skulle uteslutas från de förenklade möjligheterna till tillgång om förslagen endast omfattar regionala myndigheter. Det är i praktiken många faktorer som påverkar vem eller vilka som anges som forskningshuvudman eller motsvarande för ett forskningsprojekt (se vidare avsnitt nedan). Att låta reglerna endast omfatta regionala myndigheter som bedriver forskning kan medföra att en skillnad görs mellan klinisk forskning som i praktiken bedrivs på mycket likartade sätt. Utredningen anser att det är mer ändamålsenligt att ställa andra krav på när bestämmelserna får tillämpas, än att göra en skillnad mellan regionala myndigheter och lärosäten. Det viktiga ur integritetsskyddssynpunkt är att tillgängliggörandet endast får ske till aktörer som omfattas av OSL och att den enklare tillgången endast får ske efter samtycke från den registrerade, se avsnitt 16.8.3. Detta garanterar ett tillräckligt integritetsskydd även i förhållande till lärosäten som dataanvändare. Utredningen anser därför att även lärosäten ska omfattas av förslagen om enklare tillgång till personuppgifter för ändamålet klinisk forskning.
Tillgängliggörande till forskningsprojekt med flera aktörer
Ovan har framgått att tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande endast får ske till en regional myndighet eller ett lärosäte. Detta betyder att utlämnandet av personuppgifter sker till en regional myndighet eller ett lärosäte.
Det är vanligt att klinisk forskning sker i samarbete mellan flera olika aktörer. Det förekommer att regionala myndigheter och läro-
säten samarbetar i kliniska forskningsprojekt. Det förekommer även att regionala myndigheter och lärosäten tillsammans eller var för sig samarbetar med andra aktörer i kliniska forskningsprojekt. Exempelvis kan samarbete ske mellan en regional myndighet och ett privat företag inom ramen för ett kliniskt forskningsprojekt. I en sådan situation kan ett tillgängliggörande, för det fall förutsättningarna enligt lagen är uppfyllda, ske till den regionala myndigheten. Det finns alltså inget som hindrar att fler aktörer är involverade i forskningen, än den eller de som har möjlighet att ges tillgång till personuppgifter enligt utredningens förslag om enklare tillgång. Andra aktörer kan vara både svenska och utländska. Indirekt kan därmed även andra aktörer än de som själva tillgängliggörandet sker till dra nytta av utredningens förslag till enklare tillgång till personuppgifter, utifrån att det utgör en förenkling för forskningsprojektet som helhet.
Utredningen föreslår vidare ett fåtal bestämmelser som rör den regionala myndighetens behandling av tillgängliggjorda personuppgifter, se avsnitt 16.9. Hur personuppgifterna i övrigt hanteras och eventuellt delas till andra aktörer inom forskningsprojektet regleras inte av utredningens lagförslag. Detta är ingen skillnad mot nu gällande ordning. När utlämnande sker enligt allmänna regler i dag sker det också typiskt sett till en offentlig aktör i forskningsprojektet. Hur utlämnad information sedan hanteras är en fråga för forskningsprojektet. Utredningens förslag innebär ingen skillnad i det avseendet. Vad utredningen förstått anser regionala myndigheter inom hälso- och sjukvården att möjligheterna till utlämnande av personuppgifter från hälso- och sjukvården direkt till privata företag som bedriver klinisk forskning är relativt begränsade i dag. Utlämnande sker typiskt sett till en offentlig aktör som omfattas av OSL och uppgifterna slussas sedan vidare inom forskningsprojektet i avidentifierad form. Denna ordning kan även tillämpas kopplat till utredningens förslag. I ett forskningsprojekt där exempelvis privata aktörer samarbetar med en regional myndighet eller ett lärosäte, kan den offentliga aktören ges tillgång till personuppgifter enligt utredningens förslag. Därefter kan den privata aktören efter avidentifiering och enligt den ordning som i övrigt tillämpas för personuppgiftshantering inom projektet, ta del av uppgifterna.
16.7.5. Urval av uppgiftsmängder vid tillgängliggörande
Förslag: Tillgång får endast avse uppgiftsmängder som kan antas
ha betydelse för forskningen.
Som beskrivits i kapitel 12 och avsnitt 15.3 är urvalet och menprövningen av samtliga relevanta personuppgifter en betungande administrativ process. Ett av syftena med lagen är att förenkla tillgången till personuppgifter vid klinisk forskning (se vidare avsnitt 16.1). För att uppnå detta har utredningen föreslagit elektroniskt tillgängliggörande i form av en så kallad begränsad direktåtkomst eller genom annat elektronisk utlämnande (för närmare beskrivning om vad som avses med det se avsnitt 16.7.2 och 16.7.3), vilket innebär att de uppgifter som kommer att lämnas ut genom det föreslagna förfarandet inte kommer att menprövas. I stället tillämpas villkoren i den föreslagna lagen.
Enligt dataskyddsförordningen har varje personuppgiftsansvarig en skyldighet att uppgiftsminimera vid de behandlingar som de är ansvariga för (artikel 5.1 c). Med uppgiftsminimering avses att personuppgifterna som ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål som personuppgifterna behandlas för (för en utförligare beskrivning se avsnitt 7.2.2). En personuppgiftsansvarig som får en begäran om att få ta del av uppgifter i enlighet med lagen behöver därför enligt dataskyddsförordningen se till att kraven på uppgiftsminimering är tillgodosedda inför tillgängliggörandet.
Vid behandling för bland annat vetenskapliga forskningsändamål, ska det finnas skyddsåtgärder för att se till att principen om uppgiftsminimering iakttas (artikel 89.1 i dataskyddsförordningen). Det finns därför ett behov av en särskild bestämmelse som särskilt tar sikte på principen vid tillämpning av lagen. Den personuppgiftsansvariga får enligt lagen tillgängliggöra de uppgiftsmängder som kan antas ha betydelse för forskningen utifrån vad det aktuella forskningsprojektet eller del av projektet har som vetenskaplig frågeställning (jämför 6 § EPL och prop. 2002/03:50 s. 113).
Vad som avses med uppgiftsmängder som kan antas ha betydelse för forskningen får tolkas utifrån vilka uppgiftsmängder som finns hos den aktuella regionala myndigheten som bedriver hälso- och sjukvård och utifrån syftet med forskningen. Det ska enligt utredningens mening finnas ett bedömningsutrymme för den regionala myndighet som till-
gängliggör uppgifter. Även praktiska faktorer såsom vad som med rimliga manuella eller tekniska åtgärder går att avskilja ska kunna beaktas.
För att illustrera hur utredningen ser på den bedömning som den regionala myndigheten som bedriver hälso- och sjukvård har att göra kan följande exempel tas. Ponera att i ett forskningsprojekt har ett hundratal personer som samtyckt till att delta i ett forskningsprojekt där den vetenskapliga frågeställningen rör hjärtsvikt. Då ska den regionala myndighet inom hälso- och sjukvården som är ansvarig för tillgängliggörandet enligt den föreslagna lagen endast omfatta de uppgifter som vid en övergripande bedömning antas ha betydelse för just den frågeställningen. Uppgifter som handlar om patientens vård som inte alls kopplar till hjärtsvikten bör därför inte omfattas av tillgängliggörandet. Däremot ska till exempel uppgifter från ett vårdtillfälle kunna göras tillgängliga om informationen från vårdtillfället generellt sett är av relevans för forskningsprojektet, även om inte exakt alla dokumenterade uppgifter från det vårdtillfället kan antas ha betydelse för forskningen. Det är alltså fråga om ett mer schematiskt urval av relevanta uppgiftsmängder avseende de personer som samtyckt till att delta i forskningen, samt lämnat det integritetshöjande samtycke som regleras av lagen, till skillnad från en menprövning av varje uppgift som ska omfattas av utlämnande i förhållande till respektive person.
För att kompensera för det integritetsintrång som blir följden av detta mer övergripande urvalet har utredningen föreslagit en regel om absolut sekretess för överskottsinformation inom ramen för den begränsade direktåtkomsten (se vidare avsnitt 17.4.).
Särskilt om urvalet inom en organisation
Hur urvalet ska se ut rent tekniskt reglerar inte den föreslagna lagen. Den åtkomst som möjliggörs enligt den föreslagna lagen behöver hållas tekniskt separerad från de övriga åtkomstmöjligheter som den aktuella medarbetaren tilldelats. Det ska inte heller kunna finnas några möjligheter att tillföra uppgifter som inte uppfyller samtliga villkor i lagen.
Utredningen anser även att en sådan teknisk begränsning är en viktig faktor för att upprätthålla förtroendet från de som deltar i forskningen för att deras samtycke inte kan ”missbrukas”. Likaså är det ur ett dataskyddsrättsligt perspektiv viktigt att gränserna mellan
de olika personuppgiftsansvariga inom hälso- och sjukvården respektive forskningen, upprätthålls.
16.8. Villkoren för tillgängliggörande
Utredningen ser behov av att lagen uppställer särskilda villkor för att ett tillgängliggörande ska få ske. Det är enligt utredningens bedömning vid tillgängliggörandet som integritetsskyddade regler har mest effekt. Det är av flera skäl mindre lämpligt att ha detaljerade regler på dataanvändarsidan när ändamålet för vidareanvändningen är forskning. Dels har det sämre effekt på integritetsskyddet, dels omfattas inte forskning i dag av någon generell kompletterande personuppgiftslagstiftning, se vidare avsnitt 16.9.1.
16.8.1. Forskning som personuppgifterna ska användas i
Förslag: Tillgängliggörande får endast avse personuppgifter som
ska användas i – forskning som har godkänts av Etikprövningsmyndigheten eller
Överklagandenämnden för etikprövning enligt EPL, – en klinisk läkemedelsprövning som har beviljats eller anses ha
beviljats tillstånd i enlighet med förordning (EU) nr 536/2014, – en klinisk prövning som får påbörjas eller genomföras i enlig-
het med bestämmelser i förordning (EU) 2017/745 eller enligt lagen (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter eller föreskrifter meddelade i anslutning till den lagen, eller – en prestandastudie som får påbörjas eller genomföras i enlig-
het med bestämmelser i förordning (EU) 2017/746.
Tillgängliggörande av personuppgifter till forskningsprojekt innefattar vissa risker för de registrerades personliga integritet. Ett naturligt och i sammanhanget lämpligt sätt att säkerställa att de registrerades känsliga personuppgifter hanteras säkert är att föreskriva krav på att tillgängliggörande endast får ske till sådana forskningsprojekt som
har etikgodkännande eller motsvarande. Utredningens utvecklar sina överväganden i det följande.
Forskning enligt etikprövningslagen
EPL tillämpas bland annat på forskning som innefattar behandling av känsliga personuppgifter (3 §). De personuppgifter som, genom utredningens förslag kommer vara föremål för tillgängliggörande, är uppgifter om hälsa. Sådana personuppgifter anses som känsliga personuppgifter.
Den forskning som omfattas av etikprövningslagen får inte utföras utan ett etikgodkännande (6 §). Med begreppet att utföra forskning avses själva genomförandefasen, det vill säga att forskningen påbörjas genom att forskningspersoner rekryteras och material samlas in, att konkreta försök utförs och att den kunskap som kommer fram analyseras och bearbetas (prop. 2002/03:50 s. 114, 115 och 195). Att material samlas in för forskning ingår alltså i utförandet av forskningen, för vilken det ska finnas ett etikgodkännande.
I 7–11 §§ EPL anges de allmänna utgångspunkter som gäller vid etikprövningen. Syftet med bestämmelserna är att skydda både människovärdet i stort och den enskilde forskningspersonens välbefinnande (prop. 2002/03:50 s. 196). Enligt EPL får forskning bara godkännas om den kan utföras med respekt för människovärdet. Mänskliga rättigheter och grundläggande friheter ska alltid beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov. Vidare gäller för godkännande att de risker som forskningen kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde. Forskning får inte heller godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet. Behandling av sådana personuppgifter som avses i 3 § får dessutom godkännas bara om den är nödvändig för att forskningen ska kunna utföras. Det ställs också krav på vetenskaplig kompetens hos forskaren. Det sagda framgår av 7–11 §§ EPL.
Utredningens bedömning är att en förutsättning för ett tillgängliggörande av personuppgifter enligt utredningens förslag ska vara att
forskningshuvudmannen har ett etikgodkännande enligt EPL (eller motsvarande enligt EU-förordningarna vilket utvecklas nedan). Detta blir ett extra skydd där tillgängliggörande bara sker till de forskningsprojekt som får utföras enligt de forskningsspecifika bestämmelserna. På så sätt omgärdas de känsliga personuppgifterna av ett integritetsskydd när uppgifterna tillgängliggörs för forskning. Detta anser utredningen är ett naturligt och i sammanhanget lämpligt sätt att säkerställa att de registrerades känsliga personuppgifter hanteras säkert även vid den fortsatta behandlingen i forskningsprojekten. Detta anknyter också till bestämmelserna i EU:s dataskyddsförordning. Att uppställa krav på etikgodkännande bedöms av utredningen vara en sådan i nationell rätt fastställd och lämplig åtgärd som artikel 9.2 j i EU:s dataskyddsförordning kräver vid nödvändig behandling av känsliga personuppgifter för forskningsändamål.
Av ovan följer att den regionala myndighet som bedriver hälso- och sjukvård som tillgängliggör personuppgifter enligt den föreslagna lagen behöver utföra någon form av administrativ granskning där det kontrolleras att etikgodkännande för aktuell forskning finns. Förfarandet medför att forskare måste bifoga etikgodkännande vid begäran om tillgång till personuppgifter enligt den föreslagna lagen. Detta likt så som redan sker i dag vid en begäran om utlämnande av personuppgifter för forskning (jämför 21 kap. 7 § första stycket 3 OSL). I praktiken innebär det att en regional myndighet eller lärosäte som bedriver klinisk forskning, och vill ha tillgång enligt den föreslagna lagen, som utgångspunkt behöver vara angiven som forskningshuvudman på etikgodkännandet.
Forskning enligt EU-förordningarna
Till följd av den anpassning av svensk rätt som gjorts till sammanlagt tre EU-förordningar, CTR, MDR och IVDR, bedömer utredningen att det måste finnas alternativa krav för tillgängliggörande av personuppgifter för forskning som lyder under de förordningarna. Detta eftersom EPL inte tillämpas på kliniska prövningar eller prestandastudier som omfattas av CTR, MDR eller IVDR (4 a och 4 b §§ EPL). För sådana kliniska prövningar eller prestandastudier följer en annan ordning. Däremot ges Etikprövningsmyndigheten alltid möjlighet att etiskt granska ansökningar om att få genomföra en klinisk
läkemedelsprövning, en klinisk prövning eller en prestandastudie och avge yttrande härom.
För de tre förordningarna gäller i Sverige en ordning där Etikprövningsmyndigheten genomför en etisk granskning och redovisar denna i ett yttrande till Läkemedelsverket. Läkemedelsverket är den myndighet regeringen har utsett för att pröva frågor om tillstånd (se 2 och 3 §§ lagen [2018:1091] med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel, 7 kap. 7 § läkemedelslagen [2015:315], 4 § lagen [2021:603] med kompletterande bestämmelser om etisk granskning till EU:s förordningar om medicintekniska produkter, 24 a § EPL samt 2 kap. 4 § lagen [2021:600] med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter). I vissa fall fattar dock Etikprövningsmyndigheten beslutet (se 5 § tredje stycket lagen [2021:603] med kompletterande bestämmelser om etisk granskning till EU:s förordningar om medicintekniska produkter).
Utredningen har valt att formulera kraven för EU-förordningarna så att begreppen som används i EU-förordningarna speglas i bestämmelsen. Här kan också göras jämförelse med 5 kap. 10 § i nya biobankslagen (2023:38) där liknande formuleringar används. Den bestämmelsen handlar om krav för att ett prov ska få skickas för forskning.
När det gäller den föreslagna bestämmelsens betydelse som skyddsåtgärd, gör utredningen samma bedömning för forskning som utförs enligt EU-förordningarna, som för forskning som utförs enligt EPL. Bedömningen innebär att bestämmelsen blir ett extra skydd där tillgängliggörande bara sker till de forskningsprojekt som får utföras enligt de forskningsspecifika reglerna.
Den regionala myndighet som bedriver hälso- och sjukvård och tillgängliggör personuppgifter enligt den föreslagna lagen, behöver utföra någon form av administrativ granskning. En sådan granskning innebär en kontroll av att den regionala myndighet eller det lärosäte som bedriver klinisk forskning och som begär tillgång till personuppgifter enligt den föreslagna lagen, som utgångspunkt är angiven som sponsor eller prövningsställe för den etiska granskning som har skett.
16.8.2. Krav på samtycke till att delta i forskningen
Förslag: Tillgängliggörande av personuppgifter får endast ske om
den registrerade har samtyckt till att delta i forskningen.
Kravet på samtycke till att delta i forskningen är också uppfyllt om vårdnadshavare samtycker till forskning på barn enligt 18 § i EPL.
Kravet på samtycke till att delta i forskningen är också uppfyllt om lagligen utsedd ställföreträdare samtycker till forskning på barn enligt artikel 32 i CTR, artikel 65 i MDR eller artikel 61 i IVDR.
Kravet på samtycke till att delta i forskningen är även uppfyllt om lagligen utsedd ställföreträdare samtycker till forskning på en person som inte är beslutskompetent enligt artikel 31 i CTR, artikel 64 i MDR eller artikel 60 i IVDR.
Bedömning: Samråd enligt 22 § EPL innebär inte att kravet på
samtycke till att delta i forskningen är uppfyllt.
En integritetshöjande åtgärd för utredningens författningsförslag är att det bara är sådan forskning där enskilda samtycker till att delta i forskningen som kan bli föremål för utredningens förslag. Ett krav för att få förenklad tillgång till personuppgifter är således att den forskning som tillgång ges till, är sådan som den registrerade har samtyckt till att delta i enlighet med EPL, CTR, MDR eller IVDR.
Kravet på samtycke till forskningen har stark koppling till ytterligare ett samtycke som den föreslagna lagen ställer krav på. Det andra samtycket avser ett integritetshöjande samtycke som den registrerade ska lämna för att möjliggöra att personuppgifter tillgängliggörs genom direktåtkomst eller annat elektroniskt utlämnande, se avsnitt 16.8.3.
Utredningens förslag skiljer sig från hur utlämnande till forskning kan ske enligt allmänna regler, där forskare efter en menprövning kan få tillgång till sekretessbelagda uppgifter från hälso- och sjukvården. I sådana fall har den utlämnande myndigheten avskilt uppgifterna och gjort en sekretessprövning innan utlämnande sker. Framför allt anser utredningen att hänsyn måste tas till att det oftast rör sig om känsliga personuppgifter och att det troligtvis kommer finnas överskottsinformation. Utredningen kan inte se att sådant integritetsintrång kan motiveras utan att den enskilde fått ge sin inställning till har lämnat sam-
tycke. Därför ställer utredningen krav på samtycken i den föreslagna lagen.
Kravet på samtycke till att delta i forskningen får till följd att sådan forskning som sker utan den registrerades samtycke inte omfattas av utredningens förslag. Konsekvensen av detta är att det framför allt är interventionsstudier som omfattas av den enklare tillgången till personuppgifter från hälso- och sjukvården. Utredningen anser dock att det av integritetsskäl är motiverat att endast sådan forskning där den enskilde ger uttryck för sin vilja att vara med i forskningen bör omfattas av förslagen.
För forskning som sker utan samtycke står ett vanligt utlämnande som redan är möjligt i dag till förfogande. Utredningens lagförslag hindrar alltså inte att uppgifter lämnas ut på sätt som är möjligt redan i dag.
Utredningen har varit i kontakt med Etikprövningsmyndigheten och konstaterar att i vissa fall förenas Etikprövningsmyndighetens beslut om godkännande med särskilda villkor om informerat samtycke, även om EPLs bestämmelser om information och samtycke (16–22 §§) inte träffar forskningen. Bestämmelserna i EPL om information och samtycke (16–22 §§) gäller för forskning som avses i 4 § 1–3 EPL (se 13 § EPL). Det krävs alltså enligt lagen inget samtycke om forskningen inte är forskning som 1) innebär ett fysiskt ingrepp på en forskningsperson, 2) utförs enligt en metod som syftar till att påverka forskningspersonen fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen fysiskt eller psykiskt, eller 3) avser studier på biologiskt material som har tagits från en levande människa och kan härledas till denna människa. I vissa fall, där lagen alltså egentligen inte kräver det, förenar dock Etikprövningsmyndigheten sitt beslut om etikgodkännande med särskilda villkor om informerat samtycke. Utredningens uppfattning är att sådana forskningsprojekt kan utnyttja utredningens lagförslag på tillgängliggörande av personuppgifter, det vill säga kravet på samtycke till forskningen är i sådana fall uppfyllda.
Barn och deras vårdnadshavare
Ovan har utredningen föreslagit att tillgängliggörande av personuppgifter endast får ske om den registrerade har samtyckt till att delta i forskningen. I vissa fall kan individen inte själv samtycka. Så är ofta fallet för barn, åtminstone för yngre barn.
Utredningen bedömer att i de fall någon annan samtycker i barnets ställe enligt forskningsreglerna (EPL, CTR, MDR och IVDR), är kravet på samtycke från den registrerade för att tillgängliggörande av personuppgifter enligt lagförslaget ska få ske, uppfyllt. I vissa fall anses barnet ha nått en sådan ålder och mognad att denne själv kan samtycka. Då är kravet också uppfyllt.
Om forskningen regleras av EPL gäller specifika regler i den lagen om barns samtycke till forskningen. Om forskningspersonen har fyllt 15, men inte 18 år och inser vad forskningen innebär för hans eller hennes del, ska han eller hon själv informeras om och samtycka till forskningen. I fall där barnet har fyllt 15 år men saknar förmåga att inse vad forskningen innebär för hans eller hennes del när forskningspersonen inte har fyllt 18 år, ska vårdnadshavarna informeras om och samtycka till forskningen. Oavsett ska forskningspersonen själv, så långt det är möjligt, informeras om forskningen. Trots vårdnadshavarnas samtycke får forskningen inte utföras om en forskningsperson som är under 15 år inser vad den innebär för hans eller hennes del och motsätter sig att den utförs. Detta framgår av 18 § EPL. En sådan situation får till följd att om vårdnadshavare samtycker till forskningen men barnet själv motsätter sig att forskningen utförs kan villkoret för att samtycka till att delta i forskningen inte anses uppfyllt.
Om forskningen regleras av CTR, MDR eller IVDR gäller specifika regler där om barns samtycke till forskningen. I CTR finns särskilda bestämmelser om kliniska prövningar på underåriga (artikel 32). Liknande bestämmelser finns också i MDR och IVDR (artikel 65 MDR och artikel 61 IVDR). Bland annat anges att den underåriges lagligen utsedda ställföreträdare ska ha gett sitt informerade samtycke. För svensk del är vårdnadshavarna de lagligen utsedda ställföreträdarna. En underårig försöksperson som har fyllt 15 år ska också själv ge sitt informerade samtycke till att delta i prövningen, under förutsättning att den underårige inser vad prövningen innebär för honom eller henne (7 kap. 3 § läkemedelslagen [2015:315] och 2 kap. 2 § lag [2021:600]
med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter).
Försökspersoner som inte är beslutskompetenta
Ovan har utredningen föreslagit att tillgängliggörande av personuppgifter endast får ske om den registrerade har samtyckt till att delta i forskningen. I vissa fall kan individen inte själv samtycka.
Utredningen bedömer att i de fall någon annan samtycker i personens ställe enligt forskningsreglerna, är kravet på samtycke från den registrerade för att tillgängliggörande av personuppgifter enligt lagförslaget ska få ske, uppfyllt.
I CTR, MDR och IVDR finns särskilda bestämmelser om kliniska prövningar på försökspersoner som inte är beslutskompetenta. För alla tre förordningar anges att en lagligen utsedd ställföreträdare ger informerat samtycke (artikel 31 CTR, artikel 64 MDR och artikel 60 IVDR). För svenska förhållanden är den lagligen utsedda ställföreträdaren en god man eller förvaltare enligt 11 kap. 4 § eller 7 §föräldrabalken med behörighet att sörja för den enskildes person (7 kap. 3 § läkemedelslagen [2015:315] och 2 kap. 1 § lag [2021:600] med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter). Utredningen har hämtat inspiration i 7 kap. 3 § läkemedelslagen och i 2 kap. 1 § lag (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter vid formuleringen av utredningens lagförslag.
I EPL gäller dock en annan ordning jämfört med de nyss nämnda EU-förordningarna. Där är det i stället fråga om forskning utan samtycke, men med samråd av vissa personer. Reglerna om när forskning kan utföras utan samtycke om sjukdom, psykisk störning, försvagat hälsotillstånd eller något annat liknande förhållande hos forskningspersonen hindrar att hans eller hennes mening inhämtas finns i 20–22 §§ EPL. Forskningen kan i sådana fall utföras utan samtycke om 1) forskningen kan förväntas ge en kunskap som inte är möjlig att få genom forskning med samtycke, och 2) forskningen kan förväntas leda till direkt nytta för forskningspersonen. Även om inte forskningen kan förväntas leda till direkt nytta för forskningspersonen (nyss nämnda villkor två), får forskningen utföras om (i) syftet är att bidra till ett resultat som kan vara till nytta för forskningspersonen eller någon
annan som lider av samma eller liknande sjukdom eller störning, och (ii) forskningen innebär en obetydlig risk för skada och ett obetydligt obehag för forskningspersonen. Det sagda framgår av 21 § EPL. Forskningspersonen ska i sådana fall så långt som möjligt informeras personligen om forskningen. Samråd ska också ske med forskningspersonens närmaste anhöriga och med god man eller förvaltare om frågan ingår i dennes uppdrag. Om forskningspersonen i någon form ger uttryck för att inte vilja delta eller om någon av dem som samråd har skett med motsätter sig utförandet, får forskningen inte utföras. Detta framgår av 22 § EPL. I dessa fall anser inte utredningen att det i juridisk mening går att hävda att ett aktivt samtycke har getts. Praktiskt förstår dock utredningen att ett samtycke och samråd kan tyckas vara väldigt lika. Utredningen har dock landar i att samråd enligt 22 § EPL innebär att kravet på samtycke till att delta i forskningen juridiskt sett inte är uppfyllt.
16.8.3. Integritetshöjande samtycke och information
Förslag: Tillgängliggörandet av personuppgifter för klinisk forsk-
ning får endast ske om den registrerade samtyckt till tillgängliggörandet genom begränsad direktåtkomst eller annat elektronisk utlämnande.
Innan samtycke lämnas ska den registrerade, utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning, informeras om vad begränsad direktåtkomst eller annat elektroniskt utlämnade enligt lagen innebär och rätten att återkalla ett samtycke till att uppgifter görs tillgängliga.
Om den registrerade återkallar sitt samtycke ska tillgängliggörandet upphöra så snart som möjligt.
Bedömning: Samtycket är en integritetshöjande åtgärd.
Ett integritetshöjande samtycke krävs för tillgängliggörande
Ett sätt att beskriva begreppet personlig integritet i samband med informationshantering är att den enskilde ska kunna kontrollera spridningen av uppgifter om sig själv eller ha en rätt att bestämma vilka
uppgifter om sig själv som han eller hon vill dela med sig till andra. Utredningen har därför övervägt hur ett tillfredsställande integritetsskydd bör konstrueras och i vad mån detta skydd bör ta sig uttryck i den registrerades frivilliga medverkan.
I avsnitt 16.8.2 har konstaterats att ett krav för att tillgång ska få ges enligt den föreslagna lagen är att den registrerade har samtyckt till att delta i forskningen, vilket får en effekt på vilken forskning som kan omfattas av den föreslagna lagen. Utöver detta anser utredningen att ett samtycke också krävs för själva personuppgiftsbehandlingen som tillgängliggörandet innebär. Utredningen anser alltså att den registrerade aktivt behöver ta ställning till om denne vill att hens personuppgifter tillgängliggörs på det sätt som föreslås i lagen. Samtycket som ska lämnas avseende tillgängliggörandet ska vara ett så kallat integritetshöjande samtycke. Hur utredningen har kommit till denna slutsats utvecklas nedan.
Möjligheten för den registrerade att själv bestämma är en av de faktorer som påverkar om en behandling uppfattas som ett integritetsintrång eller inte. Frågan om den registrerades möjlighet till inflytande är alltså viktig ur ett integritetsperspektiv. Personuppgifterna som behandlas i klinisk forskning är ofta av känslig natur. I förslaget möjliggörs en begränsad direktåtkomst eller annat elektroniskt utlämnande. Direktåtkomst kommer med vissa integritetsrisker. Dels medför direktåtkomsten att viss överskottsinformation kan förekomma, det vill säga uppgifter som tillgängliggörs till forskaren men som kanske inte behövs för forskningen. Dels innebär en direktåtkomst att det inte görs någon föregående menprövning i det enskilda fallet (för fullständig redogörelse över formerna för tillgängliggörande se avsnitt 16.7.2. Detta medför att behandlingen kan uppfattas som särskilt integritetskänslig. Dessa omständigheter talar för att det finns skäl att införa krav på ett informerat och uttryckligt samtycke från den enskilde för att personuppgifter ska få tillgängliggöras enligt den föreslagna lagen.
Samtidigt måste kravet på ett samtycke vara möjligt att tillämpa i praktiken. Ett av syftena med den föreslagna lagen är att skapa förenklade möjligheter till vidareanvändning av personuppgifter från hälso- och sjukvården. Kravet på samtycke skulle kunna medföra att det finns risk att det önskade syftet inte uppnås om det är praktiskt svårt att tillämpa i praktiken. Utredningens tanke är att samtycket lämpligen kan inhämtas i samband med att personen också sam-
tycker till forskningen enligt de forskningsspecifika reglerna (även om samtycket inte nödvändigtvis måste inhämtas då). Det bör, enligt utredningens bedömning, inte vara något praktiskt problem att också be om samtycke till den enklare tillgången som den föreslagna lagen möjliggör, utöver samtycket till själva forskningen. Utredningen anser dock att det bör lämnas öppet exakt hur och av vem som samtycket inhämtas. Det bör vara upp till regionala myndigheter och lärosäten att kunna utforma praktiska rutiner för detta som också ska kunna anpassas utifrån förutsättningarna i de enskilda fallen.
Om en forskningsperson inte vill samtycka till det förenklade utlämningsförfarandet, kan den regionala myndigheten eller lärosätet som bedriver den kliniska forskningen begära åtkomst till uppgifter i enlighet med en ”vanlig” begäran om utlämnande. Detta måste den enskilde informeras om, se vidare under rubriken ”Information som ska lämnas enligt den föreslagna lagen”.
Vid en avvägning mellan att den registrerades samtycke ska inhämtas och inte, gör utredningen bedömningen att de övriga integritetsstärkande åtgärder som utredningen föreslår inte kompenserar för det eventuella integritetsintrång det skulle innebära att i lagen inte ställa krav på ett aktivt ställningstagande i form av ett integritetshöjande samtycke. Detta är enligt utredningen en lämplig avvägning mellan den registrerades inflytande över hur dennes personuppgifter tillgängliggörs för forskaren och en ändamålsenlig reglering som är praktiskt tillämpbar och som inte skapar för stort merarbete i forskningsverksamheten.
Samtycket är en integritetshöjande åtgärd
I avsnitt 16.1.3 har utredningen bedömt att personuppgiftsbehandlingen som utförs vid tillgängliggörandet utgör en uppgift av allmänt intresse och att detta är den rättsliga grunden för behandlingen. Behandlingen av personuppgifter ska dessutom vara sådan som den registrerade medverkar och samtycker till. Ett sådant samtycke utgör däremot inte den rättsliga grunden enligt dataskyddsförordningen. Tanken med den föreslagna regleringen bygger i stället på att de registrerades samtycken ses som en sådan lämplig och särskild åtgärd i regleringen för att säkerställa den enskildes grundläggande rättigheter och intressen, samt skapa proportionalitet enligt dataskyddsförordningen. Samtycket utgör alltså i detta sammanhang enbart en integ-
ritetshöjande åtgärd som manifesterar den registrerades frivilliga medverkan, och inte en rättslig grund enligt artikel 6.1 i EU:s dataskyddsförordning (jämför även prop. 2017/18:223 s. 127). Samtycket utgör inte heller det tillämpliga undantaget enligt artikel 9.2 a i EU:s dataskyddsförordning för att få behandla känsliga personuppgifter. Vidare ska samtycket inte ses som ett samtycke för att häva sekretessen.
Kraven på det integritetshöjande samtycket
En fråga är vilka krav som ska ställas för villkoret på samtycke till behandling av personuppgifter enligt den föreslagna lagen ska anses uppfyllt. Utredningens uppfattning är att samtycket ska uppfylla samma krav som följer av EU:s dataskyddsförordning. Ett samtycke är varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne (artikel 4.11 i dataskyddsförordningen).
Kravet på att samtycket ska vara frivilligt ger uttryck för att den enskilde verkligen ska ha ett val. Det kan konstateras att de aktörer som kan få tillgång till personuppgifter med stöd av den föreslagna lagen är myndigheter eller aktörer som enligt 2 kap. 3 § OSL jämställs med myndigheter (jämför skäl 43 i dataskyddsförordnigen). Det ojämlika förhållandet som potentiellt råder mellan en forskningsdeltagare och den regionala myndigheten eller lärosätet som bedriver den kliniska forskningen kan medföra att frivilligheten i ett lämnat samtycke kan ifrågasättas. EPDB har i en vägledning gjort ett uttalande om samtycken i förhållande till CTR och dataskyddsförordningen. Samtycke kan vara ett, av flera alternativ, som kan utgöra en rättslig grund enligt dataskyddsförordningen för personuppgiftsbehandling som följer av forskningen.7 EDPB anger även samtycke som avser dataskyddet enligt dataskyddsförordningen är inte samma sak som det informerade samtycket som ska lämnas enligt CTR, och som avser att skydda en enskilds kroppsliga integritet och värdighet.8 Vidare anges
7 Opinion 3/2019 concerning the Questions and Answers on the interplay between the Clinical Trials Regulation (CTR) and the General Data Protection regulation (GDPR) (art.70.1.b), antagen 23 januari 2019, s. 5 p. 14. 8 Opinion 3/2019 concerning the Questions and Answers on the interplay between the Clinical Trials Regulation (CTR) and the General Data Protection regulation (GDPR) (art.70.1.b), antagen 23 januari 2019, s. 5 p. 15–16. Jämför Helsingforsdeklarationen från 1964 om etiska principer för läkare och andra som medverkar vid medicinsk forskning, artikel 25.
att för att ett samtycke ska anses vara frivilligt behöver det finnas ett riktigt val och möjlighet att utöva kontroll över personuppgiftsbehandlingen för den enskilde.9
Som tidigare konstaterats är samtycket i detta sammanhang inte den rättsliga grunden för behandling av personuppgifterna, utan en integritetshöjande åtgärd. Enligt utredningen befinner sig inte den registrerade i en sådan betydande ojämlikhet eller beroendeställning till myndigheten i detta avseende att den registrerades samtycke till formen för utlämnande inte kan anses frivilligt lämnat i dataskyddsförordningens mening. Utredningen anser att det finns ett riktigt val, eftersom uppgifterna kan lämnas ut på ”vanligt sätt” om den forskningsdeltagaren inte vill samtycka till det förenklade tillgängliggörandet. Ytterligare stöd för att detta integritetshöjande samtycke ger den enskilde kontroll följer av utredningen föreslår en bestämmelse som anger att för det fall en enskild återkallar sitt samtycke ska tillgängliggörandet upphöra (se vidare under rubriken ”Återkallelse av samtycke”). Att inte ställa krav på frivillighet avseende det integritetshöjande samtycket skulle i utredningens mening medföra att det inte fyllde lika stor nytta som en integritetshöjande åtgärd.
I information avseende och vid inhämtandet av det integritetshöjande samtycket är det av största vikt att den enskilde inte känner sig tvingad till att lämnas sitt medgivande eller att den upplever att den skulle hamna i en sämre situation i forskningsprojektet om ett integritetshöjande samtycke inte lämnas.
En registrerad kan som huvudregel inte lämna ett giltigt generellt samtycke till behandling av personuppgifter som inte är preciserad till något eller några ändamål. Forskningsprojektet behöver därför precisera för vilka ändamål samtycket ges. Det följer av kravet på att samtycket ska vara specifikt.
Att samtycket ska vara otvetydigt innebär att det inte får råda någon tvekan om att den registrerade godtar behandlingen av personuppgifterna. Det är därför lämpligt att samtycket dokumenteras. Det är även lämpligt för att forskningsprojektet ska kunna bevisa att den registrerade har samtyckt till behandlingen.
Samtycket ska också föregås av att den registrerade får information om vad han eller hon har samtyckt till.
9 Opinion 3/2019 concerning the Questions and Answers on the interplay between the Clinical Trials Regulation (CTR) and the General Data Protection regulation (GDPR) (art.70.1.b), antagen 23 januari 2019, s. 5 p. 17.
Återkallelse av samtycke
Den registrerade ska ha rätt att återkalla sitt samtycke. Om den registrerade återkallar sitt samtycke ska tillgängliggörandet upphöra så snart som möjligt. Återkallandet har ingen effekt med avseende personuppgifter som redan har tillförts forskningen. Sådana uppgifter får behandlas i forskningen enligt de regler som gäller för detta inom den aktuella forskningen.
Information
Samtycket ska föregås av att den registrerade får information om vad begränsad direktåtkomst eller annat elektroniskt utlämnade enligt lagen innebär. Det ska även föregås av information om rätten att återkalla ett samtycke till att uppgifter görs tillgängliga. Det är viktigt att den registrerade får information så att denne kan avgöra vilka integritetsrisker som är förknippade med tillgängliggörandet. Detta är en förutsättning för att den registrerade ska kunna fatta ett välgrundat beslut i frågan om dennes personuppgifter ska få göras tillgängliga på sättet som den föreslagna lagen föreskriver. Informationen kan lämpligen ges i samband med att personen informeras om forskningsprojektet. Informationen ska vidare innehålla en upplysning om att ett lämnat samtycke gäller för hela den aktuella perioden som kan bli aktuellt enligt lagen och därmed även vid en eventuell begäran om förlängning att ges tillgång till uppgifterna.
I övrigt gäller också bestämmelserna i EU:s dataskyddsförordning för personuppgiftsbehandlingen generellt som syftar till att säkerställa den registrerades rätt till information (se artikel 13 och 14).
Utredningen gör bedömningen att det inte strider mot EU:s dataskyddsförordning att ställa upp ytterligare krav på att den enskilde blir informerad för att personuppgifterna ska få behandlas på ett visst sätt. Enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning är det tillåtet med sådana särskilda bestämmelser när det gäller personuppgifter som behandlas med stöd av artikel 6.1 e (för att utföra en uppgift av allmänt intresse), vilket det här är fråga om (se avsnitt 16.1.3). Det är således förenligt med EU:s dataskyddsförordning att i den föreslagna lagen ställa upp särskilda krav på information som förutsättning för att personuppgifter ska få behandlas.
Information om den direktåtkomst eller elektroniska åtkomst som har förekommit
I PDL finns i 8 kap. 5 § krav på att vårdgivare, efter begäran av en enskild, ska lämna information om den direktåtkomst eller den elektroniska åtkomst till uppgifter om patienten som förekommit. Den rätt till information som följer av bestämmelsen utgör en viktig del i att upprätthålla integritetsskyddet vid personuppgiftsbehandling inom hälso- och sjukvården på så vis att den enskilde själv med hjälp av den informationen själv ska kunna bilda sig en uppfattning om ett åtkomsttillfälle varit befogad eller inte (jämför prop. 2007/08:126 s. 150 och s. 265). Enligt förarbetena och HSLF-FS 2016:40, ska det till exempel tydligt framgå när och från vilken enhet inom hälso- och sjukvården en åtkomst har skett (se prop. 2007/08:126 s. 265 och 4 kap. 10 § HSLF-FS 2016:40). Frågan blir därmed om en liknande bestämmelse behöver finnas i den föreslagna lagen för att upprätthålla ett adekvat skydd för den personliga integriteten.
I detta hänseende bör följande beaktas. Det finns ett krav på ett integritetshöjande samtycke för att åtkomst till uppgifterna ska kunna vara möjligt enligt den föreslagna lagen. Vidare ska åtkomsten vara tidsbestämd (se vidare under avsnitt 16.7.3), vilket den enskilde också ska informeras om. Slutligen ska det även göras ett urval av vilka uppgiftsmängder som ska tillgängliggöras, det vill säga minimera mängden överskottsinformation (se vidare avsnitt 16.7.5). Till detta kommer att ett tillgängliggörande enligt lagen endast sker till en utpekad regional myndighet eller ett lärosäte som bedriver klinisk forskning (se avsnitt 16.7.4).
Enligt utredningens uppfattning utgörs det integritetskänsliga i behandlingen framför allt av att forskningsutförarna får ta del av överskottsinformation och får uppgifterna elektroniskt. Eftersom den enskilde samtyckt till att formen av tillgängliggörande och det sker till en på förhand utpekad aktör kan inte åtkomsten via exempelvis den begränsade direktåtkomsten anses vara obefogad. I vårdsammanhang ser det annorlunda ut eftersom det inte i förväg kan säga vilka enheter eller kliniker som kan komma behöva ta del av uppgifter om en patient.
Utredningen ser vidare inte att den enskilde har särskilt stort intresse av att få veta exakt när behörig personalen från forskningsprojektet tar del av uppgifterna eller vem i personalen. För ett sådant fall skulle även de anställda inom forskningsprojektets integritet be-
höva beaktas. Enligt 8 kap. 5 § PDL ska inte uppgifter om vilken enskild medarbetare som haft åtkomst behöva lämnas (se prop. 2007/08:126 s. 150). Av betydelse i sammanhanget är också den rätt till tillgång och information som en enskild har rätt till enligt artikel 15 i dataskyddsförordningen som gäller vid behandlingen. Även om artikel 15 inte anses ha samma syfte som 8 kap. 5 § PDL anser utredningen att den utgör ett viktigt komplement i just detta hänseende. Sammantaget anser därför utredningen att en särskild bestämmelse om informationsplikt över den åtkomst som sker med stöd av den föreslagna lagen inte behövs.
16.8.4. Integritetshöjande samtycke när den registrerade inte kan samtycka
Förslag: Tillgängliggörande av personuppgifter för klinisk forsk-
ning på barn där vårdnadshavaren samtycker till forskningen får endast ske om vårdnadshavaren också samtycker till tillgängliggörandet.
Tillgängliggörande av personuppgifter för klinisk forskning på en person som inte är beslutskompetent där lagligen utsedd ställföreträdare samtycker till forskningen får endast ske om den lagligen utsedda ställföreträdaren också samtycker till tillgängliggörandet.
Innan samtycke lämnas ska vårdnadshavare eller lagligen utsedd ställföreträdare, utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning, informeras om vad begränsad direktåtkomst eller annat elektroniskt utlämnade enligt lagen innebär och rätten att återkalla ett samtycke till att uppgifter görs tillgängliga.
Om vårdnadshavare eller lagligen utsedd ställföreträdare återkallar sitt samtycke ska tillgängliggörandet upphöra så snart som möjligt.
Barn och deras vårdnadshavare
Den föreslagna regleringen med inhämtande av ett integritetshöjande samtycke förutsätter att den enskilde kan ta ställning och ge uttryck för sin vilja. Barn kan inte alltid göra detta. Frågan uppstår då om
barn kan lämna informerat samtycke, och i så fall hur. Det ter sig självklart att väldigt små barn inte har den mognad som krävs för att förstå vad ett samtycke till tillgängliggörande enligt den föreslagna lagen innebär. Med stigande ålder och mognad är dock inte frågan lika självklar. Ytterligare en fråga är om någon annan, exempelvis barnets vårdnadshavare, kan lämna samtycke åt sitt barn.
Utredningen har gjort en jämförelse med andra rättsliga regleringar och studerat hur regler om samtycke, när individen är ett barn, kan se ut. Detta har bland annat inkluderat de regler som gäller i hälso- och sjukvården för samtycke till vård och även samtycke kopplat till system för sammanhållen vård- och omsorgsdokumentation i SVOD. Vidare har utredningen studerat bestämmelserna i EU:s dataskyddsförordning om barns samtycke. Det som dock framstår som mest närliggande att göra jämförelser med enligt utredningen, är dock de forskningsspecifika reglerna. Detta eftersom tillgängliggörandet sker för ändamålet klinisk forskning. Om barnet har nått en sådan ålder och mognad att hen själv kan samtycka till själva forskningen, eller om någon annan kan samtycka i barnets ställe, anser utredningen att ett integritetshöjande samtycke till tillgängliggörandet enligt den föreslagna lagen borde kunna lämnas på samma sätt.
Om forskningen regleras av EPL gäller specifika regler i den lagen om barns samtycke till forskningen. Om forskningspersonen har fyllt 15, men inte 18 år och inser vad forskningen innebär för hans eller hennes del, ska han eller hon själv informeras om och samtycka till forskningen. I andra fall när forskningspersonen inte har fyllt 18 år, ska vårdnadshavarna informeras om och samtycka till forskningen. Forskningspersonen själv ska dock så långt möjligt informeras om forskningen. Trots vårdnadshavarnas samtycke får forskningen inte utföras om en forskningsperson som är under 15 år inser vad den innebär för hans eller hennes del och motsätter sig att den utförs. Detta framgår av 18 § EPL.
Om forskningen regleras av CTR, MDR eller IVDR gäller specifika regler där om barns samtycke till forskningen. I CTR finns särskilda bestämmelser om kliniska prövningar på underåriga (artikel 32). Liknande bestämmelser finns också i MDR och IVDR (artikel 65 MDR och artikel 61 IVDR). Bland annat anges att den underåriges lagligen utsedda ställföreträdare ska ha gett sitt informerade samtycke. För svensk del är vårdnadshavarna de lagligen utsedda ställföreträdarna. En underårig försöksperson som har fyllt 15 år ska också själv
ge sitt informerade samtycke till att delta i prövningen, under förutsättning att den underårige inser vad prövningen innebär för honom eller henne (7 kap. 3 § läkemedelslagen [2015:315] och 2 kap. 2 § lag [2021:600] med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter).
Utredningen anser att om barnet kan samtycka till själva forskningen enligt de nyss nämnda forskningsspecifika reglerna som forskningen lyder under, ska barnet också kunna lämna det integritetshöjande samtycket till tillgängliggörandet enligt utredningens föreslagna lag. I de fall det i stället är vårdnadshavarna som kan samtycka till själva forskningen, kan vårdnadshavarna också lämna det integritetshöjande samtycket. På samma sätt som angetts tidigare avseende information, gäller även i dessa situationer att innan samtycke lämnas ska vårdnadshavare informeras om vad begränsad direktåtkomst eller annat elektroniskt utlämnade enligt lagen innebär och rätten att återkalla ett samtycke till att uppgifter görs tillgängliga.
Försökspersoner som inte är beslutskompetenta
Som ovan konstaterat, kräver den föreslagna regleringen med inhämtande av ett integritetshöjande samtycke, att den enskilde kan ta ställning och ge uttryck för sin vilja. I klinisk forskning kan dock forskas på uppgifter om personer som av en eller annan anledning saknar möjlighet att ta ställning och ge uttryck för sin vilja. Fråga uppstår då hur ett integritetshöjande samtycke ska hanteras i sådana fall.
Utredningen har sett över hur regler om samtycke ser ut i olika rättsliga regleringar när den enskilde själv saknar möjlighet att ge uttryck för sin vilja. Detta har bland annat innefattat regler i föräldrabalken om god man eller förvaltare. Det har också inkluderat de regler som gäller i hälso- och sjukvården för samtycke till vård och även samtycke till sammanhållen vård- och omsorgsdokumentation. Det ligger dock enligt utredningens bedömning närmast till hands att göra de forskningsspecifika reglerna. Detta eftersom tillgängliggörandet sker för ändamålet klinisk forskning. Detta går också i linje med vad som ovan har konstaterats om barns integritetshöjande samtycke. Om någon annan enligt forskningsreglerna kan samtycka till forskningen i personens ställe, anser utredningen att ett integritetshöjande samtycke
till tillgängliggörandet enligt den föreslagna lagen bör kunna lämnas på samma sätt.
I CTR, MDR och IVDR finns särskilda bestämmelser om kliniska prövningar på försökspersoner som inte är beslutskompetenta. För alla tre förordningar anges att en lagligen utsedd ställföreträdare ger informerat samtycke (artikel 31 CTR, artikel 64 MDR och artikel 60 IVDR). För svenska förhållanden är den lagligen utsedda ställföreträdaren en god man eller förvaltare enligt 11 kap. 4 § eller 7 §föräldrabalken med behörighet att sörja för den enskildes person (7 kap. 3 § läkemedelslagen [2015:315] och 2 kap. 1 § lag [2021:600] med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter). I dessa fall anser utredningen att den lagligen utsedda ställföreträdaren också kan ge det integritetshöjande samtycket till tillgängliggörandet enligt den föreslagna lagen. Utredningen har hämtat inspiration i 7 kap. 3 § läkemedelslagen och i 2 kap. 1 § lag (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter vid formuleringen av utredningens lagförslag.
Som redogjorts för ovan gäller även här att innan samtycke lämnas ska lagligen utsedd ställföreträdare informeras om vad begränsad direktåtkomst eller annat elektroniskt utlämnade enligt lagen innebär och rätten att återkalla ett samtycke till att uppgifter görs tillgängliga.
Som ovan konstaterats (se 16.8.2 under rubriken ”Personer som inte endast tillfälligt saknar förmåga att ta ställning”), faller den forskning som sker utan samtycke till forskningen enligt EPL, men med samråd från forskningspersonens närmaste anhöriga och med god man eller förvaltare om frågan ingår i dennes uppdrag (jämför 20–22 §§ EPL), utanför utredningens lagförslag. Det är därför inte relevant med ett integritetshöjande samtycke i sådana fall.
16.9. Behandling av personuppgifter som gjorts tillgängliga
Den föreslagna lagen avser viss vidareanvändning av personuppgifter för klinisk forskning. Vidareanvändning enligt lagen avser dels tillgängliggörande, dels behandling av personuppgifter på dataanvändarsidan koppat till tillgängliggörandet. Utredningen har i föregående avsnitt redogjort för utredningens lagförslag när det gäller själva tillgängliggörandet, se avsnitt 16.8. I detta avsnitt finns utredningens
överväganden och förslag avseende behandling av personuppgifter av regionala myndigheter eller lärosäten som bedriver klinisk forskning som getts tillgång till personuppgifter enligt lagen. Med andra ord avser detta avsnitt dataanvändarsidan, för behandling av personuppgifter på som görs tillgängliga genom begränsad direktåtkomst eller annat elektroniskt utlämnande.
16.9.1. Begränsad kompletterande reglering på dataanvändarsidan
Vid behandling av personuppgifter inom forskning gäller dataskyddsförordningen. Det finns ingen nationell lag som reglerar personuppgiftsbehandling på forskningsområdet i allmänhet. Se mer om dataskydd inom forskningsområdet i avsnitt 7.7.
Utredningen föreslår vissa regleringar kopplade till behandling av personuppgifter för en regional myndighet eller ett lärosäte som bedriver klinisk forskning och som ges tillgång till personuppgifter enligt förslagen. Exempelvis regleras personuppgiftsansvaret för dessa aktörers behandling av personuppgifter som sker enligt den föreslagna lagen, se avsnitt 16.6.2. För efterföljande personuppgiftsbehandling ska dataskyddsförordningen dock gälla, se avsnitt 16.6. Utredningen föreslår även regler som gäller tilldelning av behörighet för elektronisk åtkomst, se avsnitt 16.9.2.
Gemensamt för reglerna som utredningen föreslår, på dataanvändarsidan, är att de gäller i anslutning till tillgängliggörandet enligt lagen. Utredningen föreslår alltså inte någon särskild reglering av personuppgiftsansvaret för personuppgiftshantering i den kliniska forskningen. Den efterföljande personuppgiftsbehandlingen i den kliniska forskningen regleras i stället, precis som i dag, av de allmänna reglerna i dataskyddsförordningen. Anledningen till detta utvecklas nedan.
Då personuppgiftsbehandling i klinisk forskning i dag regleras av dataskyddsförordningens allmänna regler, anser inte utredningen att det är lämpligt att föreslå detaljerade regler för den kliniska forskningen som omfattas av den föreslagna lagen, bara för att sättet för ett utlämnande eller tillgängliggörande enligt utredningens förslag regleras. Reglerna för den efterföljande personuppgiftshanteringen i den kliniska forskningen skulle då skilja sig om forskare begär ut uppgifter på sätt som redan är möjligt i dag, jämfört med den enklare tillgången enligt utredningens förslag. Det blir, enligt utredningen, onödigt kom-
plicerat och inte motiverat. Vidare rör utredningens lagförslag bara ett led i forskningen (själva tillgängliggörandet av personuppgifter) och inte vad som händer med uppgifterna därefter. Det vore därför ologiskt att reglera personuppgiftshanteringen för efterkommande behandling när lagen i övrigt inte berör detta skede i forskningen.
Utredningens lagförslag avser därför viss begränsad kompletterande reglering på dataanvändarsidan, som rör själva tillgängliggörandet. För annan personuppgiftsbehandling i andra skeenden i forskningen föreslås inga regleringar.
16.9.2. Behörighetsstyrning
Förslag: En regional myndighet eller ett lärosäte som bedriver kli-
nisk forskning ska bestämma villkor för tilldelning av behörighet inom den egna organisationen för åtkomst till de personuppgifter som gjorts tillgängliga med stöd av lagen. Sådan behörighet ska begränsas till vad som behövs för att den behörige ska kunna fullgöra sina arbetsuppgifter inom forskningen.
Som anförs i avsnitt 16.7.2 utgör elektronisk åtkomst till personuppgifter en särskilt integritetskänslig form av åtkomst. Utredningen har gjort bedömningen att det behöver finnas en reglering på dataanvändarsidan av vilka inom ett forskningsprojekt som ska få den begränsade direktåtkomsten för att den föreslagna formen av åtkomst ska kunna motiveras ur ett integritetsperspektiv. Med behörighet för åtkomst avses en användares faktiska möjligheter att ta del av uppgifter i olika system. Behörighetsstyrning är samlingsbegreppet för de organisatoriska, administrativa och tekniska åtgärder som vidtas för att anpassa och begränsa behörigheten efter användarens behov för att kunna utföra sitt arbete (för ytterligare beskrivning se avsnitt 7.5.5).
Inom regionala myndigheter som bedriver hälso- och sjukvård regleras behörighetsreglerna av PDL. Utredningen anser att det behövs en motsvarande bestämmelse i den föreslagna lagen. I praktiken innebär villkoren ett ansvar att göra en aktiv och individuell behovsprövning inför tilldelning av behörigheten. Behörigheten ska således begränsas till vad som behövs för att den behörige ska kunna fullgöra sina arbetsuppgifter inom forskningen.
Artikel 32 i EU:s dataskyddsförordning förutsätter lämplig säkerhet för personuppgifterna. Detta medför att kraven på lämplig säkerhet måste anpassas utifrån bland annat behandlingens karaktär, omfattning och sammanhang. Detta skulle tala för att en naturlig del i säkerhetsarbetet för forskningsprojektet skulle utgöras av att analysera vilka i projektet som skulle ha ett behov av att ta del av personuppgifterna i direkt identifierbar form för att kunna utföra sina arbetsuppgifter. Det behövs även en analys av vilka risker som skulle kunna följa av att låta alla inom forskningsprojektet få åtkomstbehörighet till personuppgifterna. Efter en avvägning av de behov och risker som gjorts skulle sedan den personuppgiftsansvariga för forskningen tilldela behörigheter (jämför prop. 2017/18:171 s. 138). Utredningen konstaterar därför att dataskyddsförordningen redan ställer krav på lämplig säkerhet. Utredningen bedömer dock att den regleringen inte är tillräckligt tydlig eller precis. (se även 16.6.3).
Av tydlighetsskäl för både de personuppgiftsansvariga och de enskilda som deltar i forskningen anser därför utredningen att det bör införas en bestämmelse i den föreslagna lagen.
16.9.3. Endast personuppgifterna som behövs för forskningen får tillföras forskningen
Förslag: En regional myndighet eller ett lärosäte som har getts till-
gång till personuppgifter får endast tillföra forskningen de personuppgifter som behövs för – forskning som har godkänts av Etikprövningsmyndigheten eller
Överklagandenämnden för etikprövning enligt EPL, – en klinisk läkemedelsprövning som har beviljats eller anses ha
beviljats tillstånd i enlighet med förordning (EU) nr 536/2014, – en klinisk prövning som får påbörjas eller genomföras i enlig-
het med bestämmelser i förordning (EU) 2017/745 eller enligt lagen (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter eller föreskrifter meddelade i anslutning till den lagen, eller – en prestandastudie som får påbörjas eller genomföras i enlig-
het med bestämmelser i förordning (EU) 2017/746.
De uppgifter som den regionala myndigheten eller det lärosäte som bedriver den kliniska forskningen har getts åtkomst till, är begränsad till att endast innehålla personuppgifter om de registrerade som ingår i forskningsprojektet och som har samtyckt till, dels att delta i forskningen, dels till att tillgång ges genom direktåtkomst eller annat elektroniskt utlämnande. Utredningens förslag medför dock att viss överskottsinformation kan förekomma, det vill säga uppgifter som tillgängliggörs till forskare men som kanske inte behövs för forskningen. Detta medför, i utredningens mening, att det behöver regleras vad som får kopieras, laddas ner eller på annat sätt tillföras forskningen.
Överskottsinformation kan aktualiseras om att all information från ett specifikt vårdtillfälle görs tillgängligt. Dokumentation från ett sådant vårdtillfälle kan i huvudsak innehålla uppgifter som behövs för forskningen. Det går dock inte att ta för givet att alla uppgifter som dokumenterats i samband med vårdtillfället kan anses ha betydelse för forskningen. Sådana uppgifter som dokumenterats i samband med ett vårdtillfälle och som inte behövs för forskningen utgörs då av så kallad överskottsinformation.
Endast de uppgifter som behövs ska därefter få behandlas i själva forskningsprojektet. Detta medför att en regional myndighet eller ett lärosäte som bedriver klinisk forskning och som har getts tillgång till personuppgifter behöver göra en bedömning i det enskilda fallet vilka uppgifter som ska tillföras forskningen. Från integritetssynpunkt är det väsentligt att inte andra personuppgifter än vad som är befogat utifrån forskningsprojektet tillförs forskningen. Utredningen har därför valt att uttrycka detta i lagförslaget genom att använda termen ”behövs”. Att närmare än så specificera vilka personuppgifter som får tillföras forskningen skulle, i utredningens mening försvåra lagens tillämpning. Detta ska därför styras av en bedömning i det enskilda fallet där endast de personuppgifter som behövs för forskningen behandlas efter ett tillgängliggörande.
Vad som rent faktisk kan anses behövas kan vara svårt att exemplifiera. Utredningens bedömning är att ledning bör kunna hämtas från vad och vilka uppgifter det enskilda forskningsprojektet fått godkänt för att behandla enligt EPL, CTR, MDR eller IVDR.
Utredningen anser att denna ordning är godtagbar utifrån integritetssynpunkt, inte minst mot bakgrund av att uppgifterna som inte behövs för forskningen omfattas av absolut sekretess som är ägnad att förhindra obehörig spridning (se avsnitt 17.4). Om en regional myndighet eller ett lärosäte som har getts tillgång till personuppgifter tillför forskningen andra uppgifter än de som behövs för forskningen bryter myndigheten eller lärosätet mot den absoluta sekretessen som gäller för dessa uppgifter.
Det kan också noteras att dataskyddsförordningens grundläggande krav på uppgiftsminimering gäller, det vill säga att personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (artikel 5.1.c dataskyddsförordningen). Om en regional myndighet eller ett lärosäte som har getts tillgång till personuppgifter tillför forskningen andra uppgifter än de som behövs för forskningen bryter myndigheten eller lärosätet kan innebära ett brott mot dataskyddsförordningen.
16.10. Bevarande och gallring
Förslag: När en handling är tillgänglig för en regional myndighet
som bedriver hälso- och sjukvård och en regional myndighet eller ett lärosäte som bedriver klinisk forskning gäller skyldigheten att bevara handlingen endast för den regionala myndighet inom hälso- och sjukvården som har tillgängliggjort handlingen.
Huvudregeln enligt arkivlagen (1990:782) är att allmänna handlingar ska bevaras. En myndighets arkiv bildas i huvudsak av de allmänna handlingarna från myndighetens verksamhet.
I 2 a § arkivlagen föreskrivs att det som enligt den lagen gäller för kommunala myndigheters arkiv även ska gälla för arkiv hos sådana juridiska personer som avses i 2 kap. 3 § OSL, det vill säga sådana bolag, föreningar och stiftelser där kommuner eller regioner utövar ett rättsligt bestämmande inflytande.
För elektronisk information gäller till en början en undantagsregel som är av särskilt intresse i fråga om tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande. Upptagningar för automatisk behandling som är tillgängliga för flera myndigheter så att de utgör allmänna handlingar hos alla dessa myndigheter, ska dock bilda arkiv endast hos en av myndigheterna, i första hand den myndighet som svarar för huvuddelen av upptagningen (3 § första stycket andra meningen arkivlagen). Undantaget är nödvändigt eftersom en upptagning för automatiserad behandling som är tillgänglig för flera myndigheter på så sätt att de till exempel kan läsa innehållet, anses förvarad hos och inkommen till samtliga myndigheter som kan läsa den (se 2 kap. 6 och 9 §§ TF). Upptagningen är därmed allmän handling hos samtliga myndigheter som kan ta del av den (se prop. 1989/90:72, bilaga 1, s. 30 och 68. I denna situation ska samma upptagning inte bevaras och bilda arkiv hos alla myndigheterna. De myndigheter som inte ansvarar för upptagningen kan därmed normalt gallra den. Om en myndighet använder uppgifter ur upptagningen i sin verksamhet, så kan dessa omfattas av dokumentationsskyldighet och ingå i myndighetens arkiv.
När det gäller gallring är arkivlagens bestämmelser subsidiära i förhållande till annan lagstiftning. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning, har de bestämmelserna företräde (10 § tredje stycket arkivlagen).
En bestämmelse om gallring innebär alltså inte bara att uppgiften inte längre får behandlas i dataskyddsförordningens mening, utan även att arkivrättslig gallring ska ske. Om det i författningar som rör myndigheters behandling av personuppgifter inte finns några särskilda regler om gallring, ska således arkivlagens bestämmelser om bevarande som huvudprincip tillämpas.
Bestämmelser om bevarande och gallring av patientjournaler inom hälso- och sjukvården regleras i PDL. Av 3 kap. 17 § PDL följer att en journalhandling ska bevaras minst tio år efter det att den sista uppgiften fördes in i handlingen. Enligt gallringsföreskrifter inom den regionala inom hälso- och sjukvården gäller dock ofta evig bevarandetid för patientjournaler. För personuppgifter inom hälso- och sjukvården som inte ingår i journalhandlingar finns ingen särreglering i PDL. För sådana personuppgifter som ingår i allmänna handlingar gäller därför endast allmänna regler i arkivlagen och interna gallringsföreskrifter.
Inom forskning som bedrivs hos statliga myndigheter gäller arkivlagen för den forskningsdokumentation som är allmänna handlingar. Det kan finnas gallringsföreskrifter hos myndigheten som medför att forskningsdokumentation kan ska gallras. Riksarkivet har utfärdat föreskrifter och allmänna råd om gallring av handlingar i statliga myndigheters forskningsverksamhet, RA-FS 1999:1.
Utredningens definition av lärosäte omfattar enskilda utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400) jämställs med myndighet. I 2 § arkivlagen anges att det som enligt denna lag gäller för statliga myndigheters arkiv ska gälla även för arkiv hos sådana organ som avses i 2 kap. 4 § första meningen offentlighets- och sekretesslagen (2009:400) till den del arkivet härrör från den verksamhet som avses i bilagan till offentlighets- och sekretesslagen. För enskilda utbildningsanordnare som omfattas av definitionen av lärosäte, se avsnitt 16.3.4, gäller i arkivhänseende således samma regler som för myndigheter.
I artikel 58 i CTR föreskrivs en arkiveringsskyldighet för sponsorn och prövare på 25 år med avseende på den så kallade prövningspärmen, såvida inte en längre arkiveringsperiod följer av andra delar av unionsrätten. Försökspersonernas patientjournaler ska dock arkiveras i enlighet med nationell rätt. I MDR och IVDR finna inga spe-
cifika regler om arkivering. Arkivering i forskning som omfattas av dessa regelverk sker enligt de regler som gäller för den verksamhet som prövaren tillhör.10 Utredningens förslag till begränsad direktåtkomst innebär att handlingar kan anses inkomna till och förvarade hos den regionala myndighet eller lärosäte som bedriver forskning och därmed bli allmänna handlingar i den mening som avses i 2 kap. TF (se 2 kap. 6 § TF och avsnitt 16.7.2). Utredningens förslag innebär vidare att den regionala myndighet eller det lärosäte som bedriver klinisk forskning får tillföra forskningen de personuppgifter som behövs för forskningen. För eventuell överskottsinformation som har tillgängliggjorts gäller enligt utredningens förslag absolut sekretess, se avsnitt 17.4. Enligt utredningens förslag ska den begränsade direktåtkomsten vara tidsbestämd. Den begränsade direktåtkomsten kommer alltså att upphöra vid en viss bestämd tidpunkt. De personuppgifter som omfattats av den begränsade direktåtkomsten kommer då inte längre att vara tillgängliga för den regionala myndigheten eller lärosätet som bedriver klinisk forskning, från regionala myndigheter som bedriver hälso- och sjukvård.
16.10.1. Uppgifter som tillförs forskningen
De personuppgifter som den regionala myndigheten eller lärosätet som bedriver klinisk forskning har tillfört forskningen kommer vara fortsatt tillgängliga hos dessa myndigheter inom forskningsprojektet. Med avseende på personuppgifter som tillförs forskningen gör utredningen bedömningen att de allmänna regler om bevarande och gallring som gäller i forskningen blir tillämpliga. Detta inbegriper även regler om arkivering i CTR. I den utsträckning personuppgifterna är allmänna handlingar bildar de arkiv hos den regionala myndigheten eller lärosätet som bedriver forskning. Forskningsprojektet har att förhålla sig till de regler om bevarande och gallring som gäller inom den myndighet som forskningen bedrivs och eventuella specifika arkiveringsregler för den forskning som bedrivs.
10 Se https://kliniskastudier.se/forskningsprocessen/arkivering (hämtat 2023-09-19).
16.10.2. Uppgifter som inte tillförs forskningen
Uppgifter som tillgängliggörs genom begränsad direktåtkomst, men som inte tillförs forskningen, kommer under den begränsade tidsperiod som tillgången ges att kunna anses som inkomna och förvarade hos den regionala myndigheter eller lärosätet som bedriver forskningen. När den begränsade direktåtkomsten upphör finns inte uppgifterna längre tillgängliga för den regionala myndigheter eller lärosätet som bedriver forskningen. Frågan är hur detta förhåller sig till arkivlagens bestämmelser och om en särreglering behövs i den föreslagna lagen.
Tillgängliggörande genom begränsad direktåtkomst bör enligt utredningens uppfattning inte medföra mer omfattande arkivbildning inom ramen för forskningen än vad som är motiverat utifrån forskningens behov. Samtidigt bör inte heller bevarande av allmänna handlingar försämras. Utredningen konstaterar att de uppgifter som tillgängliggörs enligt utredningens förslag till ny lag ingår i arkivbildningen hos den regionala myndighet inom hälso- och sjukvården som tillgängliggör uppgifterna. De uppgifter som tillförs forskningen ingår i arkivbildningen hos den regionala myndighet eller lärosäte som bedriver forskningen. Regionala myndigheter och lärosäten har ansvar för sin egen dokumentation. Regionala myndigheter eller lärosäten som bedriver klinisk forskning ska dock inte ha ansvar för att bevara eller gallra handlingar enbart av den anledning att uppgifter i dessa har gjort tillgängliga för myndigheten enligt utredningens förslag. Utredningen föreslår därför en regel som föreskriver detta.
Utredningen gör bedömningen att en begränsad direktåtkomst eller annat elektroniskt utlämnande enligt utredningens förslag typisk sett inte medför att endast potentiella handlingar görs tillgängliga. Även om så skulle vara fallet, behövs inte någon särskild regel om gallring för sådana handlingar (jämför prop. 2021/22: 177 s. 155).
Arkiveringsregeln i CTR omfattar prövningspärmen. Utredningen gör bedömningen att det endast är uppgifter som tillförs forskningen som ingår i prövningspärmen. Utredningens förslag till regel avseende uppgifter som inte tillförs forskningen står därför inte i strid med skyldigheterna enligt CTR.
16.10.3. Potentiella handlingar och begränsningsregeln
I 2 kap 3 § TF anges att med handling avses en framställning i skrift eller bild samt en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt. Ur förvaringshänseende görs en åtskillnad mellan elektroniska handlingar och handlingar som utgör sammanställningar av uppgifter ur en upptagning för automatiserad behandling, så kallade potentiella handlingar. Någon legal definition av begreppen finns inte.
Med färdig elektronisk handling avses enligt förarbetena sådana elektroniska handlingar där utställaren – myndigheten eller den som lämnat in handlingen till myndigheten – har gett den ett bestämt, fixerat innehåll som går att återskapa gång på gång. Som typiska exempel på färdiga elektroniska handlingar nämns e-brev, promemorior, protokoll och beslut i elektronisk form (prop. 2001/02:70 s. 20).
En ytterligare inskränkning i fråga om förvaringskriteriet föreskrivs i 2 kap. 7 § TF och innebär att en sammanställning av uppgifter ur en upptagning för automatiserad behandling inte anses förvarad hos myndigheten om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Endast begränsningar i lag eller förordning, till exempel förbud i så kallade registerförfattningar för en myndighet att använda vissa sökbegrepp eller att ta fram sammanställningar genom samkörning mellan olika register, är relevanta. Färdiga elektroniska handlingar omfattas inte av bestämmelsen 2 kap. 7 § TF. Sådana handlingar är alltid att anse som förvarade hos en myndighet även om de innehåller personuppgifter och även om det i lag eller förordning finns förbud för myndigheten att använda vissa sökbegrepp vid sökning efter handlingarna (prop. 2001/02:70, s. 38).
Om tillgängliggjorda personuppgifter enligt utredningens förslag kan utgöra potentiella handlingar hos de regionala myndigheter eller lärosäten som får tillgång till uppgifterna beror på hur tillgängliggörandet går till. Utredningen gör bedömningen att uppgifterna som kommer att omfattas av tillgängliggörandet, åtminstone vid det tillfälle den mottagande regionala myndigheten eller lärosätet ges tillgång till dessa, genom exempelvis inloggningsuppgifter eller tilldelas behörighet i ett system, måste anses förvarade enligt 2 kap. 6 § TF hos den regionala myndighet eller det lärosäte som tillgängliggörandet sker till. Utredningens bedömning är dock att en begränsad direktåtkomst till
personuppgifter enligt den föreslagna lagen typiskt sett inte innebär att personuppgifterna endast är potentiellt tillgängliga. Ett tillgängliggörande får i stället normalt sett anses omfatta färdiga handlingar. Utredningen gör denna bedömning mot bakgrund av att de uppgifter som tillgängliggörs avser ett urval av uppgiftsmängder kopplade till bestämda individer. Ett sådant urval borde i normalfallet anses vara ett sådant bestämt, fixerat innehåll som går att återskapa gång på gång.
Utredningens föreslår en bestämmelse om att regionala myndigheter och lärosäten som bedriver forskning endast får tillföra forskningen de personuppgifter som kan antas ha betydelse för forskningen, se avsnitt 16.9.3. Detta villkor utgör enligt utredningens bedömning inte en sådan begränsning som innebär att undantaget i 2 kap. 7 § TF är tillämpligt (jämför prop. 2021/2022: 177 s. 98).
16.11. Följdändringar
Med anledning av den föreslagna lagen finns det enligt utredningen mening behov av att i PDL införa bestämmelser som upplyser om den föreslagna lagen om viss vidareanvändning av personuppgifter för klinisk forskning samt vissa regler i den föreslagna lagen.
16.11.1. Förhållande till annan dataskyddsreglering
Förslag: I PDL ska det införas en upplysning om att det i lag om
viss vidareanvändning av personuppgifter för klinisk forskning finns bestämmelser om tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande av personuppgifter från hälso- och sjukvården.
I 1 kap. 4 § PDL finns bestämmelser om lagens förhållande till annan dataskyddslagreglering. I första stycket anges att PDL kompletterar EU:s dataskyddsförordning, vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Av andra stycket framgår att vid sådan behandling av personuppgifter som avses i första stycket
gäller dataskyddslagen, om inte annat följer av PDL eller föreskrifter som är meddelande i anslutning till PDL. Av bestämmelsens tredje stycke följer att i SVOD finns ytterligare bestämmelser om vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I avsnitt 16.5.3 redogör utredningen för sin syn på den föreslagna lagens förhållande till PDL. Utredningen anser inte att den föreslagna lagen kompletterar PDL eller innehåller ytterligare bestämmelser om vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Utredningens uppfattning är att den föreslagna lagen tar vid där PDL:s tillämpningsområde slutar. Bestämmelserna i den föreslagna lagen reglerar dock en viss form av utlämnande av personuppgifter från verksamhet som ingår i hälso- och sjukvården i den mening som avses i PDL. Utredningen anser att det i PDL bör införas en bestämmelse som upplyser om detta. Bestämmelsen bör placeras i ett nytt fjärde stycke i 1 kap. 4 § PDL.
16.11.2. Direktåtkomst eller annat elektroniskt utlämnande
Förslag: I PDL ska det införas en upplysning om att det i lagen
om viss vidareanvändning av personuppgifter för klinisk forskning finns bestämmelser om begränsad direktåtkomst och annat elektroniskt utlämnande.
I 5 kap. 4 § första stycket PDL anges att utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning. Av bestämmelsens andra stycke framgår att om en region eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma region eller kommun. I 5 kap. 4 § tredje stycket finns en upplysning om att det i 5 §, 7 kap. 9 § och i SVOD finns ytterligare bestämmelser om direktåtkomst och annat elektroniskt utlämnande.
I utredningens nya lag finns bestämmelser som möjliggör att tillgång ges genom begränsad direktåtkomst eller annat elektroniskt utlämnande till personuppgifter som finns inom hälso- och sjukvården. Utredningen anser att det i PDL bör införas en bestämmelse som upplyser om detta. Bestämmelsen bör placeras i 5 kap. 4 § tredje stycket PDL.
16.12. Ikraftträdande och övergångsbestämmelser
Förslag: Den föreslagna lagen om viss vidareanvändning av per-
sonuppgifter för klinisk forskning samt ändringar i andra lagar som föranleds av den lagen ska träda i kraft den 1 januari 2025.
Bedömning: Det behövs inga övergångsbestämmelser.
Utredningens förslag till ny lag om vidareanvändning av personuppgifter för klinisk forskning avser frivilliga möjligheter till förenklad tillgång till personuppgifter för klinisk forskning. Regionala myndigheter inom hälso- och sjukvården kan välja att tillämpa de bestämmelserna efter att lagen har trätt i kraft. Några obligatoriska skyldigheter som kräver förberedelser föreslås inte. Däremot skulle det kunna uppkomma ett tryck på regionala myndigheter som bedriver hälso- och sjukvård att anpassning av it-system behövs. Utredningen gör samtidigt bedömningen att det borde finnas ett intresse hos datahållanade myndigheter att så skyndsamt som möjligt genomföra sådana anpassningar, eftersom de förenklade reglerna innebär en lägre administrativ börda för tillgängliggörande myndigheter.
Utredningen överlämnar detta betänkande i november 2023. Lagförslagen syftar till att förenkla tillgången till personuppgifter för klinisk forskning. Föreslagna regler innebär förenklingar och minskad administrativ börda för inblandade aktörer och kan gynna genomförande av viktig forskning. Det framstår som angeläget att ändringarna kan träda i kraft relativt snart, bland annat för att skapa incitament för regionala myndigheter som bedriver hälso- och sjukvård samt regionala myndigheter och lärosäten som bedriver forskning att börja tillämpa bestämmelserna. Utredningen anser att det framstår som rimligt att den föreslagna lagen om viss vidareanvändning av personuppgifter för klinisk forskning kan träda i kraft den 1 januari 2025. Detsamma gäller de ändringar som föreslås i annan lagstiftning, se avsnitt 16.11 avseende följdändringar i PDL och avsnitt 17.3, 17.4 och 17.5 avseende ändringar OSL. Utredningens förslag avser en ny lag som kan börja tillämpas på utlämnande för klinisk forskning från och med att den träder i kraft. Utredningen ser inget behov av övergångsbestämmelser.
16.13. En avvägning mellan behov och risker
16.13.1. Inledning
Flera tidigare utredningar, däribland Registerforskningsutredningen (SOU 2014:45) och Forskningsdatautredningen har i slutbetänkandet Rätt att forska – långsiktig reglering av forskningsdatabaser (SOU 2018:36) konstaterat att den politiska utgångspunkten är att forskning är något värdefullt för vårt samhälle. Det framgår även av regeringens tidigare forskningspropositioner. Utredningen konstaterar att en reglering av personuppgiftsbehandling inom forskningen måste vara ändamålsenlig och uppfylla forskningens behov. Samtidigt måste en sådan reglering innefatta ett gott skydd för den personliga integriteten. Vid införandet av eventuell ny lagstiftning på området måste det därför göras en avvägning mellan å ena sidan forskningens behov av tillgång till personuppgifter och, å andra sidan, forskningspersonernas rätt till personlig integritet.
Även om det kan uppfattas som ett motsatsförhållande vid en första anblick är det intressen som i högsta grad sammanfaller. För både forskarna och samhället i stort är det av största vikt att allmänheten hyser ett stort förtroende för forskningsprocessens alla led. Som också konstaterats i Långsiktig reglering av forskningsdatabaser, kan även forskarnas och individernas intressen sammanfalla på andra sätt. Exempelvis vid forskning om sjukdomars uppkomst och utveckling, där både de enskilda individerna och samhället kan tjäna på att forskning leder till medel som kan lindra eller bota sådana sjukdomar, men även vid forskning som syftar till ökad förståelse för samhällsutvecklingen i stort (se en Långsiktig reglering av databaser, Dnr U2022/04089, s. 108). Av central betydelse för att upprätthålla ett starkt förtroende för forskningen är, enligt utredningens mening, öppenhet kring hur personuppgifter används och möjligheten till inflytande för den vars personuppgifter ska behandlas.
16.13.2. Sammanfattning av behoven
Utredningen har fått till sig att ett av det finns ett stort behov av att förenkla åtkomsten till personuppgifter för ändamålet klinisk forskning. Forskning är som huvudregel en självständig verksamhetsgren vilket medför att det ur sekretessperspektiv finns en sekretessgräns
mellan vårdverksamheten och forskningsverksamheten, även om båda verksamheterna sker på samma klinik med samma personal (se vidare avsnitt 12.3). Uppgifter som behövs för forskningen måste då begäras ut och utlämnande måste föregås av en så kallad menprövning. Det här innebär en administrativ process som tar tid och resurser för vården. Utredningen har fått till sig att det hos många vårdgivare endast ges tillgång till sådana uppgifter som begärts ut först efter att verksamhetschefen har fattat ett beslut om utlämnande. Ett sådan beslut om utlämnande innebär inte att det är tillåtet att ta del av journaluppgifterna genom att logga in i regionens journalsystem utan att den som begärt ut uppgifterna kan få dem utlämnade
Det är i och för sig tillåtet för vårdgivare att göra andra elektroniska utlämnanden än utlämnande genom direktåtkomst. Detta görs också till forskning, bland annat genom att uppgifter laddas ner på ett usb-minne och lämnas ut. Denna möjlighet tar dock inte bort det stora administrativa arbete som det manuella avskiljandet av uppgifter för varje registrerad som utlämnande myndigheter gör i dag (se vidare avsnitt 15.3).
Förutom den administrativa börda som utlämnandeprocessen innebär medför det även att det blir långa ledtider för den aktuella forskningen, som i sin tur kan innebära fördröjning av angelägen forskning. Det kan även leda till att menprövningar hos olika vårdgivare resulterar i olika utfall och bidrar till ett underlag som inte blir representativt. Ett annat upplevt problem är att omfattande utlämnanden sker på papper i stället för digitalt, detta trots att uppgifterna hanteras digitalt både före och efter utlämnandet.
16.13.3. Specifika integritetsrisker med förslaget om begränsad direktåtkomst och annat elektroniskt utlämnande för ändamålet klinisk forskning
De aktörer som omfattas av den föreslagna lagens möjligheter utgörs av regionala myndigheter eller ett lärosäte som bedriver klinisk forskning. De mer generella riskerna med elektroniska utlämnanden och särskilt i form av direktåtkomst återfinns i avsnitt 16.7.2.
Möjligheten att införa direktåtkomst eller annat elektroniskt utlämnande för en regional myndighet, eller ett lärosäte, som bedriver klinisk forskning innebär att informationen potentiellt kan förmedlas till en större krets av personer än tidigare, eftersom fler användare
kommer att kunna ta del av patienternas personuppgifter. Därmed ökar också risken att personer som inte har rätt till det tar del av uppgifterna eller att uppgifterna sprids utanför den tillåtna kretsen. I det hänseendet utgör förslaget inte bara en integritetsrisk utan även ett potentiellt brott mot sekretessen.
Till detta bör även särskilt beaktas att urvalet av personuppgifter ska göras på mängdnivå för de aktuella forskningsprojekten, även del av så kallad överskottsinformation. Sådan överskottsinformation skulle normalt sett inte tillgängliggöras för regionala myndigheter eller lärosäten som bedriver klinisk forskning om tillgängliggörandet i stället gjordes genom ett utlämnande enligt allmänna regler. Åtkomsten till överskottsinformationen utgör även den en risk för obehörigt röjande och otillbörlig spridning.
De sätt som finns att förhindra att personer som inte har rätt till det tar del av uppgifter är att begränsa tillgången på uppgifter och kontrollera åtkomsten, till exempel genom loggning och tekniska åtgärder. Sådana åtgärder torde minska risken för att personer som inte har rätt till det tar del av uppgifter, men risken elimineras inte helt och hållet. Det är även viktigt att den personuppgiftsansvarige ger medarbetarna instruktioner för behandlingen av personuppgifter.
Ytterligare en riskfaktor är att det är fråga om behandling av känsliga personuppgifter. Uppgifter om hälsa och genetiska uppgifter utgör båda kategorier av känsliga personuppgifter enligt dataskyddsförordningens definition. Begreppet hälsa innefattar inte endast uppgifter om psykisk och fysisk hälsa, utan även uppgifter om mediciner, hjälpmedel och socialt välbefinnande. Beroende på hur omfattande det aktuella forskningsprojektet är, kan det röra sig om relativt stora mängder personuppgifter av känslig natur som hålls potentiellt tillgängliga för en aktör utanför vården, vilket kan uppfattas som en integritetsrisk. Den regionala myndigheten, eller lärosätet, som bedriver den kliniska forskningen kan potentiellt också ha getts tillgång till uppgifter hos flera olika regionala myndigheter som bedriver hälso- och sjukvård samtidigt.
En generell utgångspunkt är, som anges i avsnitt 16.7.2, att ju större informationsmängder som finns samlade elektroniskt så att personuppgifter kan sökas och sammanställas på ett allt enklare sätt, desto mer ökar möjligheterna till kontroll över och kartläggning av enskilda. Som en följd av detta ökar också risken för att enskild drabbas av oacceptabla intrång i sin personliga sfär.
Ytterligare en risk med direktåtkomst och annat elektroniskt utlämnande som kan bli aktuell i dessa sammanhang är att personuppgifter kan få en större spridning, eftersom de på ett lättare sätt kan laddas ner och lagras hos den regionala myndigheten eller lärosätet som bedriver klinisk forskning och som getts tillgång, även om det inte finns något behov av sådan lagring. Sådan hantering av personuppgifter kan stå i strid sekretesslagstiftningen och med dataskyddsförordningens princip om uppgiftsminimering (artikel 5.1 c) (se även avsnitt 16.13.5 och 16.9.2).
En annan omständighet som är relevant i detta sammanhang är att många patienter kanske inte känner till vad som finns dokumenterat om dem i hälso- och sjukvårdens informationssystem. Detta kan göra det svårt för dem att bedöma vilken information som den personuppgiftsansvariga myndigheten som bedriver den kliniska forskningen kommer att kunna ta del av vid ett tillgängliggörande enligt lagen.
16.13.4. Föreslagna integritetsstärkande åtgärder
Avvägningen mellan de risker ett förenklat åtkomstförfarande för klinisk forskning kan innebära, och den nytta det för med sig, påverkas av vilka integritetsstärkande åtgärder som kan vidtas för att förhindra och försvåra intrång i den personliga integriteten. Utredningen har försökt begränsa de potentiella riskerna och säkerställa de registrerades grundläggande rättigheter och intressen, samt de krav som ställs i artikel 89.1 dataskyddsförordningen genom följande åtgärder: – krav på ett integritetshöjande samtycke till att den begränsade
direktåtkomsten får användas (avsnitt 16.8.3), – att endast sådan forskning där den registrerade (forskningspersonen)
samtyckt till forskningen kan omfattas av lagen (avsnitt 16.8.2), – en särskild bestämmelse om information (avsnitt 16.8.3), – att ett tillgängliggörande enligt lagen endast är möjligt till forsk-
ningsprojekt som är tillåtna enligt EPL och förordningarna MDR, CTR, IVDR (se 16.3.1 för utförligare beskrivning), – att ett tillgängliggörande endast får ske av det urval av uppgiftsmäng-
der som kan antas ha betydelse för forskningen (avsnitt 16.7.5),
– krav på behörighetsstyrning hos den regionala myndighet eller det
lärosäte som bedriver forskningen (avsnitt 16.9.2), – att endast de personuppgifter som behövs för forskningen får till-
föras forskningen (avsnitt 16.9.3), – bestämmelse om absolut sekretess för den överskottsinformation
som kommer att finnas vid tillgängliggörandet, samt – att åtkomsten via en begränsad direktåtkomst kommer vara tids-
bestämd (avsnitt 16.7.3)
Den registrerades möjlighet till inflytande över behandlingen av personuppgifter har av utredningen ansett vara av central betydelse för om den behandlingen som omfattas av lagen uppfattas som en integritetskränkning eller inte. Därför har utredningen inte enbart avgränsat lagens tillämpningsområde till att avse sådan klinisk forskning där den registrerade har samtyckt till att delta i forskningen i enlighet med EPL, CTR, MDR eller IVDR (se vidare 16.8.2), utan även satt som villkor att det ska finnas ett integritetshöjande samtycke till att personuppgifterna tillgängliggörs i enlighet med lagen.
Enligt dataskyddsförordningen är barns personuppgifter extra skyddsvärda och i bedömning av riskerna med en särskild behandling måste det särskilt beaktas när det rör sig om barn eller andra sårbara fysiska personer (skäl 38 och skäl 75). Utredningen har inte föreslagit några undantag för lagens tillämpning för barn, utan i stället försökt beakta de särskilda förutsättningar som kan gälla för dem. I lagen anges därför att om barnet har nått en sådan ålder och mognad att den själv kan samtycka till själva forskningen, eller om någon annan kan samtycka i barnets ställe, anser utredningen att ett integritetshöjande samtycke till tillgängliggörandet enligt den föreslagna lagen borde kunna lämnas på samma sätt (se avsnitt 16.8.4). Dessutom gäller att om vårdnadshavare har samtyckt till forskning men barnet själv motsätter sig forskningen, anses inte villkoret på samtycke till forskningen uppfyllt. En särskild ordning har även föreslagits för personer med en lagligt utsedd ställföreträdare.
Skulle en registrerad ändra sig och återkalla sitt integritetshöjande samtycke, har utredningen föreslagit att tillgängliggörandet avseende dennes personuppgifter ska upphöra.
En förutsättning för att en enskild ska kunna lämna det integritetshöjande samtycket är att hen erhållit korrekt information och
på ett sådant sätt att den kan tillgodogöra sig detta. Med anledning av detta har utredningen föreslagit en bestämmelse som anger att samtycket ska föregås av att den registrerade får information om vad begränsad direktåtkomst eller annat elektroniskt utlämnade enligt lagen innebär, samt rätten att återkalla ett samtycke till att uppgifter görs tillgängliga (se även 16.8.3).
Förutom bestämmelser som ger den registrerade inflytande över behandlingen av personuppgifter, innehåller utredningens förslag ytterligare bestämmelser med syfte att stärka skyddet för den personliga integriteten. En sådan bestämmelse är att det vid ett tillgängliggörande i form av en begränsad direktåtkomst, ska åtkomsten upphöra efter en viss i förväg beslutad tid. Tidsperioden ska sättas utifrån hur lång tid det kan behövas för att tillföra de relevanta uppgifterna till forskningen. Genom att göra åtkomstsmöjligheten tidsbestämd begränsas även de identifierade riskerna som kommer med tillgängliggörandet. Vid upphörandet av den begränsade direktåtkomsten upphör riskerna för de registrerade som omfattades. Av denna anledning har även utredningen ansett det nödvändigt att sätta en bortre gräns om sex månader. Utan en bortre gräns skulle en regional myndighet, eller ett lärosäte, som bedriver klinisk forskning åtminstone i teorin kunna få sin åtkomst förlängd i oändlighet. En sådan ordning skulle medföra att det tänkta skyddet av utredningens förslag om en tidsgräns bli illusoriskt.
Utöver detta är kravet på urval av uppgiftsmängder ett sätt att begränsa riskerna för de forskningsdeltagare som lämnat sitt samtycke. Genom att sätta som en förutsättning för tillgängliggörandet att de uppgiftsmängder som ska omfattas måste begränsas till dem som kan antas ha betydelse för forskningen, vill utredningen säkerställa att principen om uppgiftsminimering iakttas. Detta trots att ett förenklat och effektivare förfarande eftersträvas (jämför artikel 89.1 i dataskyddsförordningen). Med rekvisitet ”kan antas ha betydelse för forskningen”, avses att någon form av ställningstagande eller bedömning måste göras utifrån vad det aktuella forskningsprojektet eller del av projektet har som vetenskaplig frågeställning. Då bedömningen avser personuppgiftsmängder blir urskiljandet ändå enligt utredningens bedömning mer effektiv än den ordning som gäller i dag. Alternativet hade kunnat vara att låta samtliga personuppgifter som finns om en forskningsdeltagare hos den aktuella datahållaren omfattas av tillgäng-
liggörandet. En sådan lösning har inte utredningen ansett vara befogad utifrån de risker som finns (för fullständig redogörelse i avsnitt16.7.5).
Vidare är behörighetsstyrning ett av de vanligaste sätten att motverka obehörig åtkomst och okontrollerad spridning. I lagen har det därför ansetts nödvändigt med en reglering på dataanvändarsidan avseende vilka personer inom ett forskningsprojekt som ska kunna tilldelas behörighet och få ta del av personuppgifter genom den begränsade direktåtkomsten, och därmed se de känsliga personuppgifterna i klartext och även kunna se den så kallade överskottsinformationen. Behörigheten ska enligt förslaget begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom forskningen (se vidare under avsnitt 16.9.3).
Från integritetssynpunkt är det även väsentligt att inte andra personuppgifter än vad som är befogat utifrån forskningsprojektet rent faktiskt tillförs forskningen. Utredningen har därför ansett det befogat med en sådan bestämmelse. Att i lagen specificera vilka personuppgifter som får tillföras forskningen skulle innebära tillämpningsproblem och försvåra lagens tillämpning. Det får därför styras av en bedömning i det enskilda fallet där endast de personuppgifter som behövs för forskningen är det som tillförs. Utredningen anser att denna ordning är godtagbar utifrån integritetssynpunkt, inte minst mot bakgrund av att uppgifterna som inte behövs för forskningen omfattas av en absolut sekretess som är ägnad att förhindra obehörig spridning (se avsnitt 16.9.3 och avsnitt 17.4).
16.13.5. Den sammanvägda bedömningen av behoven och riskerna
Svårigheterna kring hur regelverket ser ut för de regionala myndigheter och lärosäten när de bedriver klinisk forskning kan i förlängningen leda till att viss forskning inte genomförs alls, eller att forskning avgränsas på olika sätt för att minimera behovet av olika utlämnandeprocesser. Med att viss forskning inte genomförs alls avses i detta fall att den som är ansvarig för forskningen i stället väljer att genomföra en annan typ av forskning som exempelvis en registerstudie, vilket bland annat innebär att man inte behöver den enskilde patientens samtycke och att resultatet av forskningen blir av en annan karaktär. Syftet med den föreslagna lagen är att skapa förenklade möjligheter till vidareanvändning av personuppgifter från hälso- och sjukvården
för ändamålet klinisk forskning och samtidigt säkerställa att registrerades personliga integritet skyddas vid den vidareanvändning som görs med stöd av lagen.
I det hänseendet är en aspekt på den hantering som sker i dag, trots att det görs i syfte att upprätthålla ett gott skydd för de registrerades integritet, att det ibland medför andra risker ur ett integritetshänseende.
Det kan röra sig om att många olika personer måste involveras för ett manuellt utlämnande. Det kan även röra sig om att uppgifter lämnas ut i former som i sin tur kanske inte förvaras eller skyddas på lämpligt sätt (se exempelvis beslut från Integritetsskyddsmyndigheten, dnr IMY-2022-1290, som avsåg hanteringen av ett okrypterat usbminne där personuppgifter från ett kvalitetsregister förvarades och dnr DI-2019-9457 där uppgifter mejlades till forskare i okrypterat format).
Utredningen har konstaterat att integritetsriskerna kan antas vara större när känslig information tillgängliggörs elektroniskt så att de är tillgängliga för mer än ett fåtal personer och dessutom kan tillföras andra system i form av forskningsdokumentation. Det är därför särskilt viktigt att sådan behandling av personuppgifter omgärdas av integritetsskyddande regler. Nyttan av snabbare och enklare tillgång till personuppgifter måste vägas mot de risker för integritetsintrång som ett sådant förfarande kan innebära.
Som nämnts ovan utgör åtkomsten, särskilt med hänsyn till överskottsinformationen, en risk för obehörigt röjande och en otillbörlig spridning. I det hänseendet utgör förslaget inte bara en integritetsrisk utan även ett potentiellt brott mot sekretessen. Inom vården finns i dag tydliga riktlinjer, rutiner och utbildningar för att säkerställa att personalen behandlar eventuell överskottsinformation på rätt sätt och är van vid tystnadsplikt och sekretess. Utredningens förslag innebär dock även att anställda vid lärosäten kommer få tillgång till viss överskottsinformation.
Utredningen har gjort bedömningen att den föreslagna bestämmelsen om behörighetsstyrning och absolut sekretess utgör sådana åtgärder som medför att riskerna blir avsevärt mindre. Här utgörs också en central del i integritetsskyddet de samtycken som de aktuella forskningspersonerna lämnat, dels till att delta i forskningsprojektet, dels det integritetshöjande samtycket som lämnats avseende formen för tillgängliggörandet. Dessa samtycken utgör på så vis skäl till att
de risker som följer med ett tillgängliggörande enligt lagen ändå kan ses som acceptabel. Utredningen vill härvid understryka vikten av att den information som lämnas till de som ska delta i forskningen är klar och tydlig och anpassad efter forskningsdeltagarnas varierade förutsättningar att tillgodogöra sig sådan information.
I sammanhanget är det även relevant att de personer som kommer komma i kontakt med uppgifterna både på datahållarsidan respektive dataanvändarsidan enligt utredningens uppfattning bör vara utbildade i sekretessfrågor samt har vana att hantera just dessa uppgifter redan i dag. Som utredningen redogjort för ovan sker utlämnande av dessa uppgifter redan i dag, dock inte på det sätt som lagen reglerar. I övrigt gäller att otillåten behandling eller spridning kommer att utgöra ett brott om dataintrång, se 4 kap. 9 c § alternativt ett brott mot tystnadsplikten 20 kap. 3 § brottsbalken.
Vidare anser utredningen att förutsättningen att den begränsade direktåtkomsten tidsbestäms utgör ett viktigt verktyg i att begränsa de potentiella riskerna.
Slutligen vill även utredningen påminna om ett resonemang som regeringen lyfte fram vid införandet av PDL när det gällde åtkomst till personuppgifter inom amen för den sammanhållna journalföringen i hälso- och sjukvården för forskning. Regeringen ansåg det inte försvarbart att öppna upp den sammanhållna journalföringen med direktåtkomst för forskning eftersom enskilda skulle få behålla rätten att själva bestämma om deras personuppgifter skulle ingå i forskning eller inte (se prop. 2007/08:126 s. 205). Det är därmed av största vikt att den regionala myndighet, eller det lärosäte, som bedriver klinisk forskning tekniskt inte kan få tillgång till någon annan patient än den som samtyckt i enlighet med lagen. De avgränsningar och krav som utredningen gett förslag på avseende integritetshöjande samtycken och att samtycke till aktuella forskningen finns, bör enligt utredningens uppfattning ligga i linje med detta uttalande.
Det bör också påpekas att den föreslagna regleringen som möjliggör det förenklade tillgängliggörandet innebär en möjlighet för datahållarna inom vården respektive dataanvändarna att hantera utlämnanden på det sättet. Lagen innehåller således vissa grundläggande bestämmelser.
Ett elektroniskt utlämnande, särskilt genom direktåtkomst, innebär vissa integritetsrisker, men enligt utredningens bedömning kan de föreslagna integritetsstärkande åtgärderna eliminera, eller i vart fall
effektivt motverka dessa risker. Utredningens samlade bedömning är att den föreslagna lagen får anses proportionerlig eftersom utredningens förslag om direktåtkomst eller annan elektronisk åtkomst för klinisk forskning som bedrivs av en regional myndighet eller ett lärosäte är förenat med de särskilda krav på den enskildes samtycke och andra villkor som uppställs i lagen.
16.13.6. Reglering i lag
I avsnitt 15.4.2, 16.1.2 och 16.1.4 redogörs för skälen ur ett integritetsperspektiv om varför den åtkomst som omfattas av förlaget bör regleras i lag.
17. Ändring av sekretessregler
Av principen om handlingsoffentlighet följer att var och en har rätt att ta del av allmänna handlingar. Begränsning av handlingsoffentligheten får som utgångspunkt endast ske i särskild lag och med hänsyn till vissa angivna intressen (se 2 kap. 2 § Tryckfrihetsförordningen 1949:105, förkortad TF). Offentlighets och sekretesslagen (2009:400), förkortad OSL, utgör en sådan särskild lag. I kapitel 8 redogör utredningen för relevant gällande rätt avseende offentlighet, sekretess och tystnadsplikt.
I OSL finns regler om sekretess till skydd för enskildas personliga och ekonomiska förhållanden. Inom hälso- och sjukvård gäller sekretess enligt 25 kap. 1 § OSL för uppgifter som rör enskildas personliga förhållanden. Sekretess innebär både handlingssekretess och tystnadsplikt. Regler om tystnadsplikt finns även i hälso- och sjukvård som bedrivs av privata aktörer, så kallad enskild hälso- och sjukvård (se 6 kap. 12 § patientsäkerhetslagen (2010:659), förkortad PSL. Sekretess och tystnadsplikt för personliga förhållanden är även en viktig del i integritetsskyddet.
Sekretess och tystnadsplikt hindrar dock vidareanvändning av personuppgifter för angelägna ändamål. Utredningens förslag om en ny lag om vidareanvändning av personuppgifter för klinisk forskning samt utredningens förslag om ändringar i patientdatalagen (2008:335), förkortad PDL, avser tillgängliggörande av sekretessreglerade uppgifter över yttre sekretessgränser inom och mellan myndigheter som bedriver hälso- och sjukvård och från privata vårdgivare. För att tillgängliggörande ska kunna ske enligt de föreslagna reglerna krävs ändringar i OSL. Särskilda aspekter från sekretessynpunkt aktualiseras i de delar förslagen avser direktåtkomst. En bedömning behöver även göras i förhållande till regler om tystnadsplikt i PSL. I detta kapitel finns utredningens förslag och bedömningar av frågor
rörande sekretess och tystnadsplikt med koppling till förslagen i kapitel 14 och 16.
I avsnitt 17.1 finns överväganden och förslag till en sekretessbrytande bestämmelse som möjliggör tillgängliggörande av personuppgifter mellan myndigheter i olika regioner för ändamålet vården av en annan patient än den som uppgifterna avser. I avsnitt 17.2 finns överväganden och förslag till en bestämmelse om absolut sekretess för uppgifter som myndighet ges tillgång till i en precisionsmedicinsk databas.
I avsnitt 17.3 finns överväganden och förslag till en sekretessbrytande bestämmelse för tillgängliggörande av personuppgifter enligt utredningens förslag till ny lag om viss vidareanvändning för klinisk forskning. I avsnitt 17.4 finns överväganden och förslag till en bestämmelse om absolut sekretess för uppgifter som inte får tillföras forskningen.
17.1. Sekretessbrytande bestämmelse för tillgängliggörande av personuppgifter för vården av en annan patient än den som uppgifterna avser
Förslag: En ny sekretessbrytande bestämmelse ska föras in i OSL
med innebörden att sekretess enligt 25 kap. 1 § OSL inte hindrar att uppgifter lämnas från en myndighet som bedriver verksamhet inom hälso- och sjukvård i en region till en annan sådan myndighet i en annan region enligt det som föreskrivs i 6 kap. PDL.
Bedömning: Den sekretessbrytande bestämmelsen i 25 kap. 11 § 2
OSL är tillämplig vid utlämnande från en myndighet som bedriver verksamhet inom hälso- och sjukvård i en region till en annan sådan myndighet i samma region även när behandling av personuppgifter sker för vården av en annan patient än den som uppgifterna avser.
Någon särreglering behövs inte för privata vårdgivare.
17.1.1. Behovet av en sekretessbrytande bestämmelse
Uppgifter inom offentligt bedriven hälso- och sjukvård omfattas av OSL. Inom hälso- och sjukvården gäller som huvudregel sekretess för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (25 kap. 1 § OSL). Sekretess gäller alltså med ett omvänt skaderekvisit, det vill säga att det finns en presumtion för att uppgifterna inte ska lämnas ut.
Sekretess gäller som huvudregel både i förhållande till enskilda och andra myndigheter (8 kap. 1 § OSL). Sekretess kan även gälla mellan olika verksamhetsgrenar inom en myndighet, när dessa är att betrakta som självständiga i förhållande till varandra (8 kap. 2 § OSL).
Om en myndighet eller en enskild begär att en allmän handling som innehåller en uppgift som skyddas av sekretess ska lämnas ut, ska begäran prövas av den myndighet som förvarar handlingen (2 kap. 17 § TF). Vid ett omvänt skaderekvisit är, som anges ovan, sekretess huvudregel. Enligt förarbetena till den tidigare sekretesslagen (1980:100) har den som ska tillämpa ett omvänt skaderekvisit i praktiken ett begränsat utrymme för sin bedömning (prop. 1979/80:2 Del A s. 82, SOU 2003:99 s. 132). För att kunna bedöma om en uppgift omfattas av sekretess vid tillämpningen av ett omvänt skaderekvisit måste hänsyn tas till samtliga omständigheter i det enskilda fallet. Många gånger måste handläggaren ta reda på mottagarens identitet och avsikter för att kunna avgöra om uppgifterna ska lämnas ut.
Utredningen föreslår att personuppgifter som behandlas av vårdgivare enligt 2 kap. 4 § första stycket 1–2 PDL, ska få behandlas för ändamålet vården av en annan patient än den som personuppgifterna avser. Detta är uppgifter som inom den offentligt bedrivna hälso- och sjukvården omfattas av sekretess enligt 25 kap. 1 § OSL. Sådana personuppgifter ska få tillgängliggöras till en regional myndighet inom hälso- och sjukvården som för en precisionsmedicinsk databas (steg 1 i utredningens modell, se avsnitt 13.3.). Regionala myndigheter inom hälso- och sjukvården ska vidare, genom direktåtkomst eller annat elektroniskt utlämnande, kunna ges tillgång till de uppgifter som lagras i en precisionsmedicinsk databas (steg 3). Därutöver ska vårdgivare efter begäran av de kompletterande personuppgifter från den patientjournal som kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser, få tillgängliggöra de person-
uppgifter som omfattas av en sådan begäran (steg 4). Tillgängliggörande i steg 1, 3 och 4 får ske mellan myndigheter inom hälso- och sjukvården, men har ingen sekretessbrytande effekt i sig. Tillgängliggörande mellan myndighet kommer kunna bli aktuellt både kopplat till samverkansregional precisionsmedicinska databaser och den precisionsmedicinska databasen som för föras inom den Nationella Genomikplattformen, se utredningens förslag om inrättande och förande av precisionsmedicinska databaser i avsnitt 14.7.3. I den utsträckning tillgängliggörande sker mellan myndigheter kommer uppgifterna i samtliga steg ovan att anses utlämnade respektive inkomna i TF:s och OSL:s mening.
Behovet utifrån kraven på prövning i varje enskilt fall
Utan någon särskild reglering innebär de ovan redovisade bestämmelserna om sekretessprövning och sekretessgränser mellan myndigheter att den myndighet som tillgängliggör personuppgifter för ändamålet vården av en annan patient än den som uppgifterna avser, ska göra en sekretessprövning i varje enskilt fall av tillgängliggörande av uppgifter. Vid sekretess enligt 25 kap. 1 § ska myndigheten vid en så kallad menprövning bedöma om uppgiften kan hänföras till en enskild och om det innebär skada och men för den enskilde eller dennes närstående om uppgiften lämnas ut. Vid denna prövning ska samtliga omständigheter i det enskilda fallet beaktas, såsom mottagarens identitet och avsikter. Om prövningen resulterar i slutsatsen att den uppgift som begärs ut är sekretessbelagd, får uppgiften inte lämnas ut.
Sekretessbestämmelserna i 25 kap. 1 § OSL innebär alltså att den myndighet som förvarar en uppgift ska göra en menprövning i det enskilda fallet vid varje begäran om att uppgiften ska lämnas ut (se 6 kap. 4–5 §§ OSL). De föreslagna reglerna om tillgängliggörande till precisionsmedicinsk databas förutsätter dock rutinmässigt och löpande utlämnande av vissa typer av personuppgifter. Direktåtkomst eller annat elektroniskt utlämnande av personuppgifter i en precisionsmedicinsk databas innebär att den myndighet som för databasen inte har kontroll över vilka myndigheter som vid varje givet tillfälle tar del av uppgifter. Det går heller inte att på förhand avgränsa ett utlämnande av uppgifter på så sätt som förutsätts vid menprövning enligt beskrivning ovan. Kravet på sekretessprövning i varje enskilt fall skulle
därmed utgöra ett hinder mot behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser när det avser tillgängliggörande av personuppgifter till precisionsmedicinsk databas hos annan myndighet och tillgång genom direktåtkomst eller annat elektroniskt utlämnande.
Vid tillgängliggörande av kompletterande uppgifter förutsätter utredningens förslag att ett avgränsat utlämnande sker efter en prövning i varje enskilt fall. Detta medför att en sekretessbrytande bestämmelse inte behövs i denna del utifrån kravet på att en prövning ska göras i varje enskilt fall.
Behovet utifrån att utlämnande endast kan ske om det står klart att den enskilde eller någon närstående inte lider men
Utredningen föreslår att ett urval av de personuppgifter som behövs för ändamålet vården av en annan patient än den som uppgifterna avser ska ske, se avsnitt 14.6. Utredningens förslag innebär att endast vissa typer av personuppgifter ska få tillgängliggöras till en precisionsmedicinsk databas. Vidare föreslår utredningen att tillgängliggörande till en precisionsmedicinsk databas endast får ske av uppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt. Detsamma gäller för tillgängliggörande av kompletterande personuppgifter från patientjournal. Frågan är om urvalet och pseudonymiseringen kan medföra att uppgifterna är avidentifierade i sekretesshänseende och att ett röjande alltså inte sker vid de utlämnanden som sker avseende behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser.
Rättsliga utgångspunkter avseende avidentifiering i sekretesshänseende
I förarbetena till den tidigare sekretesslagen (1980:100) anges att det krävs att uppgifterna är hänförliga till en viss individ för att en enskild person ska lida skada eller men. Det innebär att det i allmänhet bör vara möjligt att lämna ut så kallade avidentifierade uppgifter utan att risk för skada eller men uppkommer. I enstaka fall kan det emellertid tänkas att en avidentifiering inte är tillräcklig för att hindra att sambandet mellan individen och uppgiften spåras. Frågan om en sådan
risk föreligger får bedömas efter omständigheterna i det enskilda fallet (se prop. 1979/80:2 Del A s. 84).
För att uppgifter ska anses vara avidentifierade ska en enskild inte kunna identifieras vare sig utifrån de uppgifter som lämnas ut eller med hjälp av annan tillgänglig information, så kallad pusselläggning, (se bland annat Kammarrätten i Stockholms dom den 20 augusti 2020 i mål nr 4876-20).
Av JO:s beslut den 4 juni 2019, dnr 6794-2017 och 6864-2017 följer att en noggrann sekretessprövning behöver göras även om pseudonymiserade uppgifter lämnas ut.
För en mer utförlig beskrivning de rättsliga utgångspunkterna avseende avidentifiering, bland annat avseende förhållandet till begreppet anonymisering, se avsnitt 7.3.1.
Utredningens bedömning
Utredningen gör bedömningen att personuppgifterna genom urvalet och pseudonymisering eller likvärdigt skydd i många fall kan komma att vara avidentifierade sekretessmässigt, vilket innebär att röjande inte sker. Exempelvis är det typiskt sett inte möjligt att identifiera en person utifrån uppgift om kön, genvariant och behandlingsutfall, se vidare avsnitt 14.6.3.
Det går emellertid enligt utredningens mening inte att utesluta att ett röjande sker och detta kan vara fallet i samtliga steg som tillgängliggörande förekommer. Utredningen bedömer risken för röjande vid urval och tillgängliggörande till precisionsmedicinsk databas som liten. Utifrån uppgift om till exempel ålder och kön samt diagnos eller ett visst provsvar går det normalt sett inte att identifiera en enskild patient. Med ökat antal uppgifter, ökar risken dock generellt sett. Finns det endast ett fåtal patientfall med exempelvis en viss ovanlig genförändring eller sällsynt diagnos, blir risken för identifiering större. Kombinationen av uppgifter kan också vara sådan, även om det är ett fåtal uppgifter per person, att ett röjande inte kan uteslutas. Det går alltså inte att utesluta att tillgängliggörandet av uppgifter till en precisionsmedicinsk databas kan medföra identifieringsmöjligheter, utifrån att det kan finnas väldigt få patienter med vissa karaktäristika Utredningens uppfattning är dock att detta inte innebär att kravet på pseudonymisering i sig inte är uppfyllt, se avsnitt 14.6.5 och 14.9.4.
Som har framgått ovan kommer det inte vara praktiskt möjligt att göra en menprövning i varje enskilt fall. Ett fungerande system bygger därför på att det finns en sekretessbrytande grund för tillgängliggörande till en precisionsmedicinsk databas.
Sökning i en precisionsmedicinsk databas sker bland det urval av uppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt som har tillgängliggjorts till databasen. Som utgångspunkt är de enskilda patienterna inte möjliga att identifiera utifrån en sådan sökning. Samma principiella risker som berörts ovan i förhållande till sällsynta fall finns även här. I sökningssituationen tillkommer den omständighet att den som söker kan ha kunskap om information som, tillsammans med sökresultatet, innebär att hen kan identifiera en patient. Detta är en situation som regleringen behöver ta höjd för.
Vad slutligen avser begäran om kompletterande personuppgifter från patientjournal bedömer utredning att risken för identifiering av patienten generellt sett ökar. I detta steg kan det bli fråga om så pass många och detaljerade uppgifter om en patient att en identifiering i många fall kan vara möjlig.
Innebörden av men
Uttrycket men i sekretesslagstiftningen har en mycket vid innebörd. Av förarbetena framgår följande avseende innebörden av men.
I första hand åsyftas sådana skador som att någon blir utsatt för andras missaktning, om hens personliga förhållanden blir kända. Redan den omständigheten att vissa personer känner till en för någon enskild känslig uppgift kan i många fall anses vara tillräckligt för att medföra men. Utgångspunkten för en bedömning av om men föreligger måste således vara den berörda personens egen upplevelse. Bedömningen måste självfallet i viss utsträckning kunna korrigeras på grundval av gängse värderingar i samhället. Enbart det förhållandet att en person tycker att det i största allmänhet är obehagligt att andra vet var han bor kan till exempel inte anses innebära men i här avsedd bemärkelse (se prop. 1979/80:2 Del A s. 83).
Uppgifter ska som regel kunna lämnas ut från vårdpersonal till vårdpersonal som ett led i vården utan att risk för men uppkommer. Det kan enligt förarbetena dock inte komma i fråga att lämna ut uppgifter till vårdpersonal som begär att få dem för att fullgöra uppdrag
som hen har fått från annan än patienten själv, till exempel att lämna utlåtande rörande patienten till myndighet. I sådana fall bör uppgifterna lämnas ut endast om patienten samtycker till det (se prop. 1979/80:2 Del A, s. 168).
Även om ett utlämnande enligt det föreslagna ändamålet sker som ett led i vården, finns det enligt utredningens uppfattning en principiellt viktig skillnad när fråga är om vården av en annan patient än den som uppgifterna avser. Detta liknar mer det exempel som anges i förarbetena att uppdraget kommer från annan än patienten själv. I de fall som det trots urval och pseudonymisering eller likvärdigt skydd av uppgifter går att identifiera en enskild patient, gör utredningen bedömningen att men enligt 25 kap. 1 § OSL inte kan uteslutas. Det kan med andra ord, enligt utredningens mening, inte uteslutas att men föreligger vid ett utlämnande av identifierbara uppgifter för vården av en annan patient än den som uppgifterna avser. Ett sådant utlämnande skulle då innebära ett otillåtet röjande av sekretessbelagda uppgifter i strid med 25 kap. 1 § OSL, för det fall det inte fanns en sekretessbrytande grund.
Behovet av sekretessbrytande bestämmelse finns när tillgängliggörande sker till annan myndighet
Utredningens förslag innebär att tillgängliggörande får ske i tre steg: 1) till en regional myndighet inom hälso- och sjukvården som för precisionsmedicinsk databas, 2) från en precisionsmedicinsk databas till en regional myndighet inom hälso- och sjukvården, och 3) avseende kompletterande personuppgifter från patientjournal, också till en till en regional inom hälso- och sjukvården.
Ur sekretesshänseende är det av betydelse att identifiera över vilken typ av sekretessgräns som uppgifterna ska kunna tillgängliggöras. Inom en myndighet finns ingen sekretessgräns, förutom mellan självständiga verksamhetsgrenar. Tillgängliggörande av uppgifter för vården av en annan patient än den som uppgifterna avser sker inom hälso- och sjukvårdsverksamhet. Detta anses var samma verksamhetsgren inom en myndighet och någon sekretessgräns uppkommer därför inte inom en myndighet med koppling till behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser (se prop. 2008/09:150, s. 360). Det finns således inte behov av regler som bryter sekretess inom en myndighet. Däremot har utredningen föreslagit regler om behörighet och befogenhet som begränsar
den interna spridningen av uppgifterna, se avsnitt 14.6.6, 14.7.5, 14.8.4, 14.8.5 och 14.9.5.
När tillgängliggörande sker mellan myndigheter i en region är det fråga om ett utlämnade. Så är även fallet vid tillgängliggörande mellan myndigheter i olika regioner. I dessa situationer behövs en sekretessbrytande grund.
17.1.2. Finns det någon tillämplig sekretessbrytande bestämmelse?
Som huvudregel gäller alltså sekretess även mellan myndigheter (8 kap. 1 § OSL). Det har dock ansetts att sekretessregleringen inte bör hindra myndigheterna från att utväxla uppgifter i de fall intresset av att uppgifterna lämnas ut bör ha företräde framför det intresse som sekretessen ska skydda. Därför har ett antal sekretessbrytande bestämmelser och undantag från sekretessen införts i OSL. När en ny sekretessbrytande bestämmelse är under övervägande bör man alltid undersöka om det redan finns en tillämplig sekretessbrytande bestämmelse.
Sekretessbrytande bestämmelse mellan myndigheter inom en region
Av 25 kap. 11 § 2 OSL följer att sekretess enligt 1 § samma kapitel inte hindrar att uppgift lämnas från en myndighet som bedriver verksamhet som avses i 1 § i en region till en annan sådan myndighet i samma region. Bestämmelsen gör det möjligt för kommuner och regioner att fritt välja sin organisation i nämnder och styrelser utan hänsyn till att sekretess i princip råder mellan myndigheter. Bestämmelsen innebär att det finns en sekretessbrytande grund mellan myndigheter inom en region som bedriver hälso- och sjukvård.
Behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser förekommer inom hälso- och sjukvårdsverksamhet. Det är uppgifter som behandlas enligt 2 kap. 4 § första stycket 1–2 PDL som omfattas av tillåten vidarebehandling för ändamålet vården av en annan patient än den som uppgifterna avser. Utredningen gör mot denna bakgrund bedömningen att 11 kap. 25 § 2 OSL är tillämplig i de situationer som tillgängliggörande enligt ändamålet
sker från en myndighet som bedriver verksamhet inom hälso- och sjukvård i en region till en annan sådan myndighet i samma region. Bestämmelsen är dock inte tillämplig i den situation tillgängliggörande sker från en myndighet som bedriver verksamhet inom hälso- och sjukvård till en annan sådan myndighet i en annan region.
Andra befintliga sekretessbrytande bestämmelser
Ovan har framgått att det i 25 kap. 11 § 2 OSL finns en sekretessbrytande bestämmelse som är tillämplig inom en region mellan myndigheter som bedriver hälso- och sjukvård. Den är däremot inte tillämplig mellan myndigheter i olika regioner. Frågan är om det finns andra befintliga sekretessbrytande bestämmelser som är tillämpliga i denna situation.
Att sekretess inte hindrar att en uppgift lämnas till en annan enskild eller till en myndighet, om den enskilde samtycker till det, följer av 12 kap. och gäller med de begränsningar som anges där (se 10 kap. 1 OSL). Enligt 12 kap. 2 § OSL kan en enskild helt eller delvis häva sekretess som gäller till skydd för honom eller henne, om inte annat anges i denna lag. Utredningen gör dock bedömningen att samtycke till att bryta sekretessen inte är en vare sig möjlig eller lämplig lösning kopplat till den modell som utredningen föreslår för behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. Tillgängliggörande till precisionsmedicinsk databas behöver kunna ske rutinmässigt och även av historiska uppgifter. Det är då inte praktiskt möjligt att inhämta samtycke från de enskilda. Vid sökning i precisionsmedicinsk databas vet inte den som söker vem personuppgifter som behandlas och det är därmed omöjligt att be om samtycke. Samtycke skulle vidare omöjliggöra att sökning i en precisionsmedicinsk databas kan ske integrerat i vården. Generellt gäller också att samtycke skulle så i strid med den integritetsskyddande åtgärden i form av pseudonymisering eller likvärdigt skydd. Att bli tillfrågas om samtycke kan också utgöra ett större integritetsintrång än att inte bli tillfrågas, se avsnitt 14.10. Utredningen föreslår en generell möjlighet för registrerade att motsätta sig tillgängliggörande till precisionsmedicinsk databas. Detta är enligt utredningens bedömning en lämplig och samtidigt det möjliga sätt som finns för att be-
akta den enskildes inställning till personuppgiftsbehandlingen, se avsnitt 14.10.5.
Enligt 10 kap. 2 § OSL hindrar inte sekretess att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Bestämmelsen ska tillämpas restriktivt, och det räcker till exempel inte med att myndighetens verksamhet blir mindre effektiv om uppgifterna inte lämnas ut (se prop. 1979/80:2 Del A s. 465). Utredningen gör bedömning att utlämnande av uppgifter för vården av en annan patient än den som uppgifterna avser inte är nödvändigt för den utlämnande myndigheten i den mening som avses i bestämmelsen.
Den så kallade generalklausulen i 10 kap. 27 § OSL är inte tillämplig på sekretess enligt 25 kap. 1 § OSL. utredningen har ovan redogjort för att personuppgifter som ska tillgängliggöras omfattas av sekretess enligt 25 kap. 1 § OSL. Det är därmed inte möjligt att stödja ett tillgängliggörande av personuppgifter på 10 kap. 27 § OSL. Utredningen har inte heller i övrigt funnit någon tillämplig sekretessbrytande bestämmelse i OSL.
17.1.3. Är det lämpligt med en sekretessbrytande grund?
Utredningen föreslår att behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser ska införas som ändamål i PDL. Vissa tillåtna behandling av personuppgifter enligt ändamålet ska preciseras i 6 kap. PDL. Reglerna syftar till att möjliggöra ett precisionsmedicinskt arbetssätt inom hälso- och sjukvården som kommer vara till stor nytta för patienter. För en beskrivning av precisionsmedicin, se avsnitt 11.4.1. För att de nyttor som precisionsmedicinen kan medföra ska kunna realiseras behöver tillgängliggörande av personuppgifter kunna ske över myndighetsgränser, se kapitel 12, avsnitt 14.6.4, 14.7.1, 14.8.2 och 14.9.2. Behov finns även att tillgängliggöra personuppgifter mellan regionala myndigheter inom hälso- och sjukvården i olika regioner. Utredningens förslag om inrättande och förande av precisionsmedicinska databaser inom varje samverkansregion förutsätter att regionala myndigheter inom samverkansregionerna kan dela personuppgifter mellan varandra. Likaså innebär utredningens förslag om inrättande och förande av precisionsmedicinsk databas inom Nationell Genomikplattform behov av att
dela personuppgifter mellan flera regionala myndigheter. För att en sekretessbrytande regel ska kunna motiveras behövs integritetsstärkande åtgärder som kompenserar för det uteblivna sekretesskyddet. Det är viktigt att säkerställa integritetsskyddet för den enskilde. Det är också viktigt att förtroendet för hälso- och sjukvårdens hantering av känsliga uppgifter upprätthålls. En sekretessbrytande bestämmelse kan i sig tänkas leda till ett sämre integritetsskydd för enskilda och att allmänhetens förtroende för hälso- och sjukvårdens hantering av personuppgifter skadas. En sammantagen bedömning behöver dock göras utifrån de integritetsstärkande åtgärder som utredningen föreslår.
Föreslagna integritetsstärkande åtgärder avser för det första en precisering av vilka behandlingar som är tillåtna för ändamålet vården av en annan patient än den som uppgifterna avser. Vidare sker ett urval och tillgängliggörande till en precisionsmedicinsk databas av uppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt. Sökning av relevanta patientfall och annan information för ändamålet får endast ske i en sådan databas och efter särskild behörighetstilldelning samt särskilda villkor för befogenhet att söka i ett enskilt fall. Begäran av kompletterande personuppgifter från patientjournal får endast ske om uppgifterna kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser. Utredningen föreslår även en möjlighet för enskilda att motsätta sig tillgängliggörande av personuppgifter till precisionsmedicinsk databas. Den enskildes personuppgifter får då inte behandlas enligt det nya ändamålet.
Utredningen anser att dessa åtgärder, tillsammans med förslaget om absolut sekretess för uppgifter i precisionsmedicinsk databas (se nedan avsnitt 17.2) utgör ett tillräckligt skydd för de enskildas integritet och för att allmänhetens förtroende för hälso- och sjukvårdens hantering av personuppgifter inte ska ta skada. En ytterligare viktig faktor för bedömningen av lämpligheten av en sekretessbrytande bestämmelse är hur sekretesskyddet ser ut hos mottagande myndigheter.
När det gäller sekretesskyddet för uppgifterna hos de mottagande myndigheter kan det konstateras att, som anges ovan, sekretess gäller med ett omvänt skaderekvisit för uppgift om enskilds hälsotillstånd och andra personliga förhållanden inom hälso- och sjukvården (25 kap. 1 § OSL). Samma starka sekretess gäller därmed för uppgifterna både hos den utlämnande och den mottagande hälso- och sjukvårdsmyndigheten (utlämnande från privata vårdgivare berörs i avsnitt 16.3.6).
Vad avser sekretesskyddet på mottagarsidan konstaterar utredningen att medföljande sekretess enligt 11 kap. 4 § OSL inte blir tillämplig vid tillgängliggörande genom direktåtkomst eller annat elektroniskt utlämnande kopplat till precisionsmedicinsk databas, eftersom den enligt 11 kap. 8 § OSL blir utkonkurrerad av 25 kap. 1 § OSL som primär sekretess.
Utredningen gör bedömningen att de föreslagna åtgärderna som syftar till att stärka patientens personliga integritet och det existerande sekretesskyddet för uppgifter om enskildas personliga förhållanden inom hälso- och sjukvård innebär tillräcklig kompensation för det minskade integritetsskydd som en sekretessbrytande bestämmelse kan innebära. Mot bakgrund av syftet med behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser, det vill säga en bättre och mer patientanpassad vård till stor nytta för patienter, menar utredningen att övervägande skäl talar för att införa sekretessbrytande bestämmelser för att möjliggöra utlämnande av uppgifter från en myndighet som bedriver hälso- och sjukvård i en region till en annan sådan myndighet inom en annan region enligt föreslagna reglerna för behandling av personuppgifter vården av en annan patient än den som uppgifterna avser.
17.1.4. Utformningen av en sekretessbrytande bestämmelse
Utredningens förslag avseende tillgängliggörande till en precisionsmedicinsk databas omfattar ”vårdgivare”. Det är dock endast vårdgivare som är myndigheter i en region som bedriver verksamhet inom hälso- och sjukvård som behöver omfattas av en sekretessbrytande bestämmelse. Statliga och kommunala vårdgivare behöver inte omfattas, se avsnitt 14.6.1. Utredningen anser därför att den sekretessbrytande bestämmelsen ska utformas utifrån detta.
Det är endast regionala myndigheter inom hälso- och sjukvården som får inrätta och föra precisionsmedicinsk databas, se avsnitt 14.7.2. Tillgång till personuppgifter i precisionsmedicinsk databas får endast ges till regional myndighet inom hälso- och sjukvård. Detsamma gäller för tillgängliggörande av kompletterande personuppgifter från patientjournal. Frågan är hur den sekretessbrytande bestämmelsen utifrån detta bör utformas på mottagarsidan.
Ett alternativ är att dela upp bestämmelsen i olika delar som avser respektive tillgängliggörande och mottagare. Detta framstår dock enligt utredningens mening som onödigt krångligt och svårt att tillämpa. Ett annat mer tilltalande alternativ är att endast ange ”en annan sådan myndighet i en annan region”, det vill säga en annan myndighet som bedriver hälso- och sjukvård. Termen ”regional myndighet” som utredningen använder i förslagen till regler i 6 kap. PDL, bör i bestämmelsen i OSL ersättas med ”myndighet i en region” för att passa bättre med övriga bestämmelser i OSL. Innebörden är dock enligt utredningens mening densamma. Vidare görs en hänvisning till de föreslagna reglerna i 6 kap. PDL. Genom hänvisningen gäller de begränsningar som följer av dessa regler. Bestämmelsen bör placeras i 25 kap. 11 § 5 OSL.
17.1.5. Utlämnande från privata vårdgivare
För hälso- och sjukvård som bedrivs av privata vårdgivare gäller regler om tystnadsplikt enligt 6 kap. 12–14 §§ PSL. Där anges bland annat att den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda (privata) hälso- och sjukvården inte obehörigen får röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning.
Tystnadsplikt innebär alltså att uppgifter inte obehörigen får lämnas ut utanför tystnadspliktsgränsen. När det gäller tolkningen av obehörighetsrekvisitet anges i förarbetena till bestämmelserna om tystnadsplikt på hälso- och sjukvårdsområdet att det ter sig naturligt att söka viss ledning i de skaderekvisit som finns i motsvarande bestämmelse i den dåvarande sekretesslagen. Enligt förarbetena ska det därmed vara en nära överensstämmelse mellan tystnadsplikten för offentliga funktionärer och tystnadsplikten för hälso- och sjukvårdspersonal i privat tjänst (prop. 1980/81:28 s. 23). I förarbetena till PDL konstateras att ståndpunkten är att den enskilde ska åtnjuta samma skydd för sin personliga integritet oavsett om han eller hon får vård av en offentlig eller privat vårdgivare (prop. 2007/08:126 s. 46.).
Vid bedömningen av om tystnadsplikten får brytas kan därför vägledning hämtas i den offentliga sekretessregleringen. I avsnitt 17.1 före-
slår utredningen en bestämmelse som bryter sekretessen vid utlämnande av uppgifter från en myndighet som bedriver verksamhet inom hälso- och sjukvård i en region till en annan sådan myndighet i en annan region enligt det som föreskrivs i 6 kap. PDL. Utredningen gör även bedömningen att befintlig sekretessbrytande bestämmelse i 25 kap. 11 § 2 OSL är tillämplig vid utlämnande från en myndighet i en region som bedriver verksamhet inom hälso- och sjukvård till en annan sådan myndighet i samma region. Utredningen förslag och bedömning i dessa delar bör enligt utredningens mening kunna tjäna till ledning för tolkningen av obehörighetsrekvisitet i 6 kap. 12–14 §§ PSL
Utredningen konstaterar att en liknande bedömning gjordes vid införandet av SVOD (jämför prop. 2021/22:177 s. 156–157). Utredningens uppfattning är således att en privat vårdgivare kan tillgängliggöra personuppgifter till en precisionsmedicinsk databas samt tillgängliggöra kompletterande personuppgifter från patientjournal utan att detta anses vara ett obehörigt röjande enligt PSL.
Någon ändring i PSL behöver således inte göras för att den som omfattas av de nämnda tystnadspliktsreglerna ska kunna lämna uppgifter i samma utsträckning som motsvarande personalkategorier inom den offentliga sektorn.
17.2. Sekretess för uppgift om personliga förhållanden i precisionsmedicinsk databas
Förslag: Absolut sekretess ska gälla hos en myndighet i en region
som bedriver verksamhet inom hälso- och sjukvård för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig av en annan myndighet i en region som för precisionsmedicinsk databas enligt 6 kap. PDL om inte förutsättningarna enligt 6 kap. 18 § samma lag för att myndigheten ska få behandla uppgiften är uppfyllda.
Om de förutsättningar som anges i första stycket är uppfyllda eller myndigheten har behandlat uppgiften enligt 6 kap. 18 § tidigare, gäller sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Sekretessen gäller inte om annat följer av vissa bestämmelser som avser anmälningar eller av bestämmelsen med undantag från sekretess.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Bedömning: Enligt 25 kap. 18 § andra stycket OSL inskränker
den tystnadsplikt som följer av den absoluta sekretessen rätten att meddela och offentliggöra uppgifter.
17.2.1. Behovet av sekretessbestämmelser
En precisionsmedicinsk databas ska finnas i en regions hälso- och sjukvårdsverksamhet. Utredningen gör bedömningen att uppgifter i databasen omfattas av sekretess enligt 25 kap. 1 § OSL.
Personuppgifter i databasen får tillgängliggöras genom direktåtkomst eller annat elektroniskt utlämnande (se vidare avsnitt 14.8.2). En myndighets tillgång till uppgifterna kommer kunna medföra att uppgifterna är att anse som inkomna handlingar och förvarade hos den myndigheten enligt 2 kap. 6 och 9 §§ TF. De kommer därmed kunna utgöra allmänna handlingar hos den myndighet som har tillgång till en precisionsmedicinsk databas (jämför prop. 2021/22:177 s. 97), se även avsnitt 14.7.6.
För att en myndighet ska få behandla personuppgifter i precisionsmedicinsk databas gäller vissa villkor. Villkoren är att någon som arbetar hos myndigheten och har behörighet till precisionsmedicinsk databas deltar i vården av en patient, samt att uppgifterna kan ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten (se avsnitt 14.8.5).
Behovet av en bestämmelse om absolut sekretess
Utredningen har övervägt om sekretesskyddet för uppgifter som inte får behandlas enligt villkoren bör omfattas av ett starkare sekretesskydd än det som följer av 25 kap. 1 § OSL. Utredningen har jämfört med vad som gäller för uppgifter som tillgängliggörs enligt SVOD. För uppgifter som inte får behandlas av vård- eller omsorgsgivare, eller som tidigare inte har behandlats av vård- eller omsorgsgivaren, gäller absolut sekretess enligt 25 kap. 2 § första stycket OSL. Motsvarande sekretess gällde enligt tidigare regler om sammanhållen journalföring. I förarbetena till de bestämmelserna uttalades att syftet med den absoluta sekretessen är att en vårdgivare, som enligt PDL saknar befogenhet att ta del av ospärrade uppgifter som en annan vårdgivare gjort tillgängliga för vårdgivaren, inte ska behöva ta del av dessa uppgifter för att kunna avgöra sekretessfrågan om uppgifterna begärs ut (se prop. 2007/08:126 s. 270).
Utredningen gör bedömningen att samma principiella situation kan uppkomma inom ramen för tillgängliggörande genom direktåtkomst eller annat elektroniskt utlämnande avseende uppgifter i en precisionsmedicinsk databas. Om behandling av personuppgifter enbart i anledning av en begäran om utfående av allmänna handlingar i databasen ska förhindras, bör en motsvarande bestämmelse om absolut sekretess införas även avseende precisionsmedicinsk databas. En sådan bestämmelse har även en integritetshöjande effekt.
Vissa praktiska skillnader finns dock mellan det uppgifter som tillgängliggörs enligt SVOD och i en precisionsmedicinsk databas. Utifrån kravet på pseudonymisering eller likvärdigt skydd av uppgifter går det inte utifrån en begäran om utfående av uppgifter att söka på namn eller personnummer. Den som har rätt att söka kommer i många fall inte kunna söka fram uppgifter om en person som är identifierbar. Det kommer därför att vara svårare att precisera en be-
gäran om utfående av uppgifter. Däremot kan en begäran om att få ut uppgifter från en precisionsmedicinsk databas utgå ifrån de uppgifter som finns i databasen, till exempel en viss diagnos eller kombination av uppgifter. Det går enligt utredningens mening inte att utesluta att en tillräcklig grad av precisering klan åstadkommas på så sätt att en begäran kan medföra skyldighet att behandla personuppgifter i databasen. Behandling av personuppgifter enbart i syfte att hantera en sådan begäran, när förutsättningarna för att söka i databasen inte är uppfyllda, bör inte vara tillåtet.
Sekretess när förutsättningarna för behandling är uppfyllda
Kopplat till villkoren för att behandla personuppgifter som tillgängliggjorts enligt SVOD finns en bestämmelse om sekretess i 25 kap. 2 § andra stycket OSL. Den föreskriver att om de förutsättningar som anges i första stycket är uppfyllda eller myndigheten har behandlat uppgiften enligt 3 kap. 1, 3, 5 eller 6 § SVOD tidigare, gäller sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Sekretessen gäller inte om annat följer av 7, 8 eller 10 § eller 26 kap. 6 §. Någon närmre förklaring till bestämmelsen finns inte i förarbetena till SVOD. Utredningen kontstarera att en motsvarande bestämmelse fanns även kopplat till tidigare regler om sammanhållen journalföring. I förarbetena till den bestämmelsen uttalas, med referens till förutsättningarna för vårdgivare att ta del av de uppgifter som tillgängliggjorts, att ”om sådana förutsättningar föreligger eller myndigheten tidigare har behandlat uppgiften med stöd av nämnda bestämmelser gäller enligt tredje stycket andra meningen sekretess – i likhet med vad som gäller enligt första stycket – med ett omvänt skaderekvisit” (prop. 2007/08:126 s. 269). Hänvisningarna till stycken i citatet avser gamla sekretesslagen. I praktiken innebär detta att för uppgifter som vårdgivare får ta del av, eller som vårdgivaren tidigare fått ta del av i systemet för sammanhållen journalföring, gäller samma sekretess som enligt nuvarande 25 kap. 1 § OSL.
Utredning har övervägt om en liknade bestämmelse behövs kopplat till precisionsmedicinsk databas. I förarbetena till bestämmelserna om sammanhållen journalföring och SVOD saknas resonemang om behovet av bestämmelsen i förhållande till den sekretess som gene-
rellt sett gäller enligt 25 kap. 1 § OSL. Det framstår enligt utredningens mening som oklart om 25 kap. 2 § andra stycket OSL finns utifrån att någon sekretess för uppgifterna annars inte skulle finnas alls, eller som bestämmelsen snarare har tillkommit av tydlighetsskäl.
Utredningen konstaterar dock att en sådan bestämmelse under alla förhållanden innebär ett förtydligande av vilken sekretess som gäller vid tillåten behandling av personuppgifter och att det finns en fördel med en samlad bestämmelse som avser sekretesskyddet kopplat till tillgång genom direktåtkomst eller annat elektroniskt utlämnande till personuppgifter i precisionsmedicinsk databas. Av dessa skäl och då samma systematik i lagstiftningen bör upprätthållas även med avseende på sekretessregleringen av uppgifter i en precisionsmedicinsk databas, anser utredning att det är lämpligt med en sådan förtydligande bestämmelse även avseende behandling av personuppgifter som sker när förutsättningarna enligt 6 kap. PDL är uppfyllda.
För uppgifter ur en precisionsmedicinsk databas som dokumenteras i patientens journal, se vidare avsnitt 14.8.7, gäller sekretess enligt 25 kap. 1 § OSL.
17.2.2. Finns det en tillämplig sekretessgrund?
Sekretess gäller inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (25 kap. 1 OSL). Behandling av personuppgifter för ändamålet vården av en annan patient än den som uppgifterna avser omfattar uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden inom hälso- och sjukvården. Sekretess enligt 25 kap. 1 § OSL gäller således vid urval och tillgängliggörande av personuppgifter till precisionsmedicinsk databas, för uppgifter i precisionsmedicinsk databas samt för de ytterligare personuppgifter som tillgängliggörs efter begäran.
Det finns inte någon befintlig bestämmelse om starkare sekretess när förutsättningarna att ta del av uppgifter i precisionsmedicinsk databas inte är uppfyllda. Det finns inte heller någon befintlig förtydligande bestämmelse om vilken sekretess som gäller när sådana förutsättningar är uppfyllda, eller myndigheten tidigare har behandlat uppgiften.
17.2.3. Behövs en ny sekretessbestämmelse?
I avsnitt 17.2.1 har utredningen gjort bedömningen att det finns ett behov av absolut sekretess för uppgifter som inte får behandlas på grund av att villkoren i 6 kap. inte är uppfyllda. Utredningen har också konstaterat att hälso- och sjukvårdssekretess gäller generellt sett vid behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. Det finns ingen befintlig sekretessbestämmelse som föreskriver absolut sekretess för uppgifter som tillgängliggörs i en precisionsmedicinsk databas, men för vilka förutsättningarna för behandling inte är uppfyllda. Utredningen behöver därför föreslå en sådan bestämmelse.
17.2.4. Intresseavvägning
Utredningen redogör i avsnitt 8.2 för rätten att ta del av allmänna handlingar och offentlighetsprincipen samt dess bakomliggande syften. Utredningen har också i samma avsnitt redogjort för varför en intresseavvägning mellan behovet av sekretess, och intresset av att insynen i en offentlig verksamhet inte begränsas, behöver göras när en ny sekretessbestämmelse införs. Frågan i detta fall är hur stort allmänintresset av insyn är när det gäller uppgift om personliga förhållanden i precisionsmedicinsk databas, för vilka villkoren för behandling av den myndighet som ges tillgång till uppgifterna inte är uppfyllda.
Det kan konstateras att det rör sig om uppgifter om enskilds personliga förhållanden inom hälso- och sjukvården, det vill säga uppgifter som ofta är av mycket känslig karaktär. För sådana uppgifter gäller enligt nuvarande regler sekretess med ett omvänt skaderekvisit. Detta innebär att utgångspunkten vid en begäran om utlämnande, är att uppgifterna inte ska lämnas ut. Det är tydligt att det finns ett behov av ett starkt skydd för uppgifterna, både i förhållande till allmänheten och mellan de myndigheter inom den regionalt bedrivna hälso- och sjukvården som har tillgång till samma precisionsmedicinska databas.
Det kan konstateras att allmänheten kan ha ett intresse och behov av insyn i hälso- och sjukvårdsverksamhet. Medierna och enskilda bör ha möjlighet att granska den verksamhet som omfattas av den föreslagna lagstiftningen. Det är av vikt att verksamheten kan granskas, både med hänsyn till att patienter får god vård samt för att kontrollera att allmänna medel används på det mest ändamålsenliga sättet.
Den föreslagna regleringen innebär en begränsning i förhållande till vad som annars skulle gälla på så sätt att den myndighet som ska pröva en begäran om utlämnande av allmänna handlingar, inte ska behöva ta del av personuppgifter om en patient som myndigheten inte har behov av för vården av en annan patient. Den föreslagna regleringen innebär dock att uppgifter om en patient, på samma sätt som i dag, kommer att omfattas av ett omvänt skaderekvisit hos den eller de vårdgivare som har tillfört uppgifterna till den precisionsmedicinska databasen. Allmänhetens möjlighet till insyn, som alltså redan i dag är liten, kommer i praktiken inte att bli mindre än enligt nuvarande reglering. För mediernas rapportering och allmänhetens insyn i verksamheten har det därför ingen betydelse att rätten att ta del av allmänna handlingar inskränks på det föreslagna sättet.
Vid en avvägning bedömer utredningen att behovet av skydd för uppgifter i den precisionsmedicinska databasen väger tyngre än behovet av insyn i verksamheten, och att en sekretessbestämmelse med den föreslagna lydelsen bör införas.
17.2.5. Utformning av sekretessbestämmelserna
Med hänsyn till att sekretess är ett undantag från huvudregeln om offentlighet ska en sekretessbestämmelse utformas så att handlingsoffentligheten inte begränsas mer än vad som är nödvändigt för att uppfylla syftet med bestämmelsen. Bestämmelsens tillämpningsområde bestäms av föremålet för sekretessen, sekretessens räckvidd och styrka.
Sekretessregleringens föremål och räckvidd
Med sekretessens föremål avses vilka uppgifter som ska kunna hemlighållas med stöd av den föreslagna sekretessbestämmelsen. Som framgår av ovan finns det ett behov av att skydda uppgift om enskildas personliga förhållande vid tillgängliggörande av personuppgifter i precisionsmedicinsk databas. Med uppgift om enskilds personliga förhållanden avses till exempel uppgift om psykisk och fysisk hälsa och ekonomi, men också mindre integritetskänsliga uppgifter, såsom någons adress (prop. 1979/08:2 del A s. 84). Det kan vara svårt att i förväg närmare ange vilka uppgifter om enskildas personliga förhållanden som är skyddsvärda. En till synes harmlös uppgift kan i
kombination med andra uppgifter sammantaget innebära att den enskilde lider men om uppgiften röjs. Sekretessen i den föreslagna bestämmelsen bör därför omfatta samtliga uppgifter om en enskilds personliga förhållanden som gjorts tillgängliga för en myndighet som har tillgång till uppgifter i en precisionsmedicinsk databas.
När det gäller frågan om sekretessregleringens räckvidd behöver bestämmelsen i vart fall formuleras så att den gäller hos den typ av myndighet som kan ges tillgång till precisionsmedicinsk databas. Detta är regionala myndigheter inom hälso- och sjukvården. I OSL används i stället formuleringen ”myndighet i en region som bedriver verksamhet enligt 1 §”, det vill sägs hälso- och sjukvård. Utredningen anser att en liknande formulering av enhetlighetsskäl bör användas även avseende föreslagen sekretessbestämmelsen. Utredningens uppfattning är att ”regional myndighet” och ”myndighet […] i en region” har samma innebörd.
För att syftet med bestämmelsen ska uppnås behöver den absoluta sekretessen gälla mellan myndigheter i olika regioner. Detta motsvarar det som gäller enligt SVOD. Utredningens förslag avser även tillgängliggörande mellan myndigheter i samma region. Frågan är om den absoluta sekretessen ska gälla även i den situationen. Utredningens konstaterar att det i dag inte finns någon bestämmelse om absolut sekretess mellan hälso- och sjukvårdsmyndigheter i samma region. Myndigheter inom en region får ha direktåtkomst och det finns sekretessbrytande grund (5 kap. 4 § andra stycket PDL och 25 kap. 11 § 2 OSL). Det finns ingen bestämmelse om absolut sekretess för information som personal inte får ta del av enligt 4 kap. 1 § PDL. Utifrån detta kan det vara ologiskt att införa det kopplat till precisionsmedicinsk databas. Samma information som finns i databasen kan myndigheten redan ha tillgång till via direktåtkomst till annan myndighets journalsystem. Den omfattas då av sekretess med omvänt skaderekvisit enligt 25 kap. 1 § OSL.
Å andra sidan är syftet med den absoluta sekretessen att en myndighet inte ska behandla personuppgifter i en precisionsmedicinsk databas enbart på grund av att dessa är tillgängliggjorda genom direktåtkomst och att myndigheten fått en begäran om utlämnande av allmän handling. Detta syfte gör sig principiellt sett gällande även mellan myndigheter i samma region. En precisionsmedicinsk databas utgörs också en typ av uppgiftssamling som enligt utredningens mening kan motivera ett högre integritetsskydd. I linje med detta borde även
uppgifter som tillgängliggörs mellan myndigheter in en region omfattas av absolut sekretess. Förslaget avseende direktåtkomst till precisionsmedicinsk databas är vidare snävare än tillåten direktåtkomst enligt 5 kap. 4 § andra stycket PDL. Utredningen föreslår även striktare behörighetsregler och villkor för behandling av personuppgifter i precisionsmedicinsk databas. Dessa förhållanden skulle kunna motivera en strängare ordning även sekretessmässigt. Vid en sammanväg bedömning anser utredningen att den absoluta sekretessen bör omfatta tillgängliggörande även mellan myndigheter i samma region.
Uppgifter som myndigheter har tagit del av tidigare
Av 25 kap. 2 § andra stycket OSL följer att sekretess med omvänt skaderekvisit gäller bland annat för uppgifter som myndigheten har behandlat tidigare enligt 3 kap. 1, 3, 5 eller 6 §§ SVOD. Den absoluta sekretessen gäller alltså inte för sådana uppgifter. Regleringen innebär att en myndighet som har haft en vårdrelation till en patient och därvid behandlat uppgifter i ett system för sammanhållen vård- och omsorgsdokumentation, kan ta del av dessa även senare, för det fall en begäran om utfående av allmän handling riktas mot myndigheten.
En bestämmelse om absolut sekretess ska inte var mer långtgående än nödvändigt. Syftet med den absoluta sekretessen är att en regional myndighet inom hälso- och sjukvården, som har tillgång till en precisionsmedicinsk databas, inte enbart i anledning av en begäran om utfående av allmän handling ska behandla uppgifter i en precisionsmedicinsk databas. Behandlas uppgifterna enligt föreslagna 6 kap. 18 § PDL gäller sekretess med omvänt skaderekvisit. Det framstår därmed som logiskt att sekretess med samma styrka ska gälla även i senare skede, det vill säga om uppgifterna tidigare har behandlats. Utredningen anser därav samt av lagsystematiska skäl att det är lämpligt att motsvarande gäller för uppgifter som tillgängliggörs från en precisionsmedicinsk databas och som en regional myndighet tidigare har behandlat enligt föreslagna villkor. Det innebär att för uppgifter som en regional myndighet inom hälso- och sjukvården har behandlat tidigare enligt 6 kap. 18 § PDL, gäller sekretess om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
Anmälningar och undantag från sekretess
Sekretess enligt 25 kap. 1 § OSL gäller inte enligt bestämmelsens andra stycke om annat följer av 7, 8 eller 10 § eller 26 kap. 6 §. Enligt 25 kap. 2 § andra stycket OSL gäller sekretessen enligt bestämmelsen om inte annat följer av 7, 8 eller 10 § eller 26 kap. 6 §.
I den utsträckning sekretess gäller med omvänt skaderekvisit för uppgifter som en myndighet har tillgång till i en precisionsmedicinsk databas, bör motsvarande avvikande regler gälla.
Sekretessens styrka
Nästa fråga utredningen har att ta ställning till är vilken styrka sekretessen bör ha. Huvudregeln när en ny sekretessbestämmelse ska utformas är att det inte ska gälla mer sekretess än vad som är nödvändigt för att skydda de intressen som har föranlett bestämmelsen. Ett av syftena med den föreslagna bestämmelsen är att en mottagande myndighet, som inte får ta del av uppgifter i en precisionsmedicinsk databas, inte ska behöva ta del av uppgifter om den enskilde bara för att pröva en begäran om utlämnande av allmänna handlingar. För att uppnå syftet krävs det att sekretessen är absolut, det vill säga att någon sekretessprövning inte ska göras vid begäran om utlämnande av handlingen.
Placeringen av sekretessbestämmelsen
Sekretessen enligt den föreslagna bestämmelsen gäller hos en myndighet som bedriver hälso- och sjukvård. Bestämmelsen bör därför lämpligen placeras i 25 kap. OSL. Utredningen gör bedömningen att bestämmelsen beteckning bör vara 2 a §. Bestämmelsen ska ha rubriken Precisionsmedicinsk databas.
Sekretesstiden
I sekretessbestämmelser anges regelmässigt för hur lång tid sekretessen ska gälla. Det är skyddsintresset som avgör hur lång sekretesstiden bör vara. När det gäller uppgifter om enskildas personliga förhållanden bestäms ofta sekretesstiden till 70 år (se bland annat 25 kap. OSL).
Bakgrunden till det är att sekretessen som utgångspunkt bör gälla under större delen av den enskildes livstid (prop. 1979/80:2 Del A s. 460 och 493 f). Det finns inte skäl för att här frångå denna ordning. Utredningen föreslår därför att en tidsgräns på 70 år ska gälla i den nya sekretessbestämmelsen.
17.2.6. Rätten att meddela och offentliggöra uppgifter
Av 1 kap. 1, 2 och 7 §§ TF och 1 kap.1 och 10 §§yttrandefrihetsgrundlagen, förkortad YGL, framgår att var och en har rätt att meddela och offentliggöra uppgifter i vilket ämne som helst i tryckt eller därmed jämställd skrift eller i radioprogram, film, tekniska upptagningar eller därmed jämställt medium. Denna rätt att meddela och offentliggöra uppgifter kan begränsas genom bestämmelser om sekretess. Med sekretess avses både förbud att röja en uppgift muntligen (tystnadsplikt) och genom utlämnande av en allmän handling (handlingssekretess). Enligt huvudregeln har rätten att meddela och offentliggöra uppgifter företräde framför tystnadsplikten. Vissa undantag från denna huvudregel, det vill säga situationer där tystnadsplikten har företräde, regleras direkt i TF och YGL. Av 7 kap. 20 § första stycket 2 och 22 § första stycket 3 och andra stycket TF samt 5 kap. 1 § och 4 § första stycket 3 och andra stycket YGL framgår vidare att det inte är tillåtet att med stöd av rätten att meddela och offentliggöra uppgifter uppsåtligen åsidosätta en tystnadsplikt i de fall som anges i en särskild lag. Den särskilda lag som avses är OSL.
Särskilda bestämmelser om rätten att meddela och offentliggöra uppgifter och tystnadsplikt finns i 13 kap. OSL, i slutet av varje kapitel i lagens fjärde–sjätte avdelningar och i lagens sjunde avdelning. Rätten att meddela och offentliggöra uppgifter har dock aldrig företräde framför handlingssekretessen (7 kap. 20 § 1 och 22 § första stycket 2 och andra stycket TF samt 5 kap. 1 § och 4 § första stycket 2 och andra stycket YGL).
Utredningen föreslår en sekretessbestämmelse som innebär att absolut sekretess ska gälla hos en myndighet i en region som bedriver verksamhet inom hälso- och sjukvård för uppgift om en enskilds personliga förhållanden som gjorts tillgängliga av en myndighet som för precisionsmedicinsk databas enligt 6 kap. PDL om inte förutsättningarna enligt 6 kap. samma lag för att myndigheten ska få behandla
uppgiften är uppfyllda. Det rör sig om uppgifter som en patient lämnat till hälso- och sjukvården i förtroende (se även resonemang i avsnitt 17.4.5). Av 25 kap. 18 § andra stycket OSL framgår att den tystnadsplikt som i dag följer av 1–5 §§ samma kapitel inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställighet av beslut om omhändertagande eller beslut om vård utan samtycke. Utredningen bedömer att det saknas skäl att avvika från denna ordning i fråga om tystnadsplikt och meddelarfrihet som gäller i övrigt i hälso- och sjukvården. Utredningen anser därför att den tystnadsplikt som följer av den föreslagna sekretessbestämmelsen ska inskränka rätten att meddela och offentliggöra uppgifter.
Utredningen föreslår att den nya sekretessbestämmelsen placeras i en ny 2 a § i 25 kap. Bestämmelsen i 25 kap. 18 § andra stycket OSL omfattar tystnadsplikt en enligt 1–5 §§ i 25 kap. Någon ändring av 25 kap. 18 § OSL krävs därför inte, eftersom den föreslagna bestämmelsen redan omfattas av hänvisningen i bestämmelsens andra stycke.
17.3. Sekretessbrytande bestämmelse för tillgängliggörande enligt förslaget om ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
Förslag: En ny sekretessbrytande bestämmelse ska föras in i OSL
med innebörden att sekretess inte hindrar att uppgifter lämnas från en myndighet som bedriver verksamhet inom hälso- och sjukvård i en region till en myndighet enligt det som föreskrivs i lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning.
Bedömning: Föreslagen sekretessbrytande bestämmelse omfattar
också den situationen att mottagaren är en självständig verksamhetsgren inom samma myndighet som bedriver klinisk forskning.
17.3.1. Behovet av en sekretessbrytande bestämmelse
Uppgifter inom offentligt bedriven hälso- och sjukvård omfattas av OSL. Inom hälso- och sjukvården gäller som huvudregel sekretess för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (25 kap. 1 § OSL). Sekretess gäller alltså med ett omvänt skaderekvisit, det vill säga det finns en presumtion för att uppgifterna inte ska lämnas ut.
Sekretess gäller som huvudregel både i förhållande till enskilda och andra myndigheter (8 kap. 1 § OSL). Nämnder inom en kommun eller region anses som egna myndigheter. Detta innebär att sekretess gäller mellan en nämnd inom en region som bedriver hälso- och sjukvård och en annan nämnd inom en region som bedriver forskning (med eller utan hälso- och sjukvårdsverksamhet utöver forskningen).
Sekretess kan även gälla mellan olika verksamhetsgrenar inom en myndighet, när dessa är att betrakta som självständiga i förhållande till varandra (8 kap. 2 § OSL). Det innebär att sekretess gäller mellan hälso- och sjukvård och klinisk forskning, om dessa bedrivs som självständiga verksamhetsgrenar inom en myndighet inom en region. Forskning som bedrivs av en vårdgivande myndighet som ett led i vården och behandlingen av en patient anses ingå i myndighetens hälso- och sjukvårdsverksamhet. Annan forskning betraktas dock i regel som en självständig verksamhetsgren, vilket innebär att sekretess gäller inom myndigheten mellan sådan forskningsverksamhet och hälso- och sjukvårdsverksamheten. I kapitel 15 har utredningen redogjort för när forskning kan ses som ett led i vården och när så inte är fallet. Sammantaget är det utredningens bedömning att det i många fall, när uppgifter från hälso- och sjukvården ska tillföras forskningen, inte är fråga om en situation där forskningen kan anses vara ett led i vården av en patient. När fråga är om tillgång till personuppgifter från hälso- och sjukvårdsverksamhet inom en myndighet till forskningsverksamhet inom samma myndighet, är avsikten att utredningens föreslagna regler om enklare tillgång ska tillämpas när dessa verksamheter är självständiga i förhållande till varandra. I den situationen finns en sekretessgräns som behöver hanteras i lagstiftningen.
Om en myndighet eller en enskild begär att en allmän handling som innehåller en uppgift som skyddas av sekretess ska lämnas ut,
ska begäran prövas av den myndighet som förvarar handlingen (2 kap. 17 § tryckfrihetsförordningen). Vid ett omvänt skaderekvisit är, som anges ovan, huvudregeln att sekretess föreligger. Enligt förarbetena till den tidigare gällande sekretesslagen (1980:100) har den som ska tillämpa ett omvänt skaderekvisit i praktiken ett begränsat utrymme för sin bedömning.1 För att kunna bedöma om en uppgift omfattas av sekretess vid tillämpningen av ett omvänt skaderekvisit måste hänsyn tas till samtliga omständigheter i det enskilda fallet. Många gånger måste handläggaren ta reda på mottagarens identitet och avsikter för att kunna avgöra om uppgifterna ska lämnas ut.
Utredningen föreslår att en regional myndighet eller ett lärosäte som bedriver forskning ska få ges tillgång till personuppgifter genom begränsad direktåtkomst eller annat elektroniskt utlämnande. De uppgifter som kan bli föremål för tillgängliggörande är personuppgifter som regionala myndigheter inom hälso- och sjukvården behandlar enligt 2 kap. 4 § första stycket 1–6 PDL. Uppgifterna omfattas av sekretess enligt 25 kap. 1 § OSL. Utlämnande myndighet inom hälso- och sjukvården kommer inte att ha kontroll över vilka uppgifter som mottagande myndighet tar del av vid varje enskilt tillfälle. Syftet med föreslagna regler är vidare att förenkla administrationen vid utlämnande till klinisk forskning. Befintliga bestämmelser om överföring av sekretess och, i vissa situationer, svagare skaderekvisit vid utlämnande till forskning, befriar inte utlämnande myndighet från att göra en prövning av utlämnandet i varje enskilt fall.
Sammantaget skulle en prövning av utlämnande i varje enskilt fall vara ett hinder mot direktåtkomsten samt strida mot syftet med utredningens förslag. Det finns därför ett behov av en sekretessbrytande bestämmelse.
17.3.2. Finns det någon tillämplig sekretessbrytande bestämmelse?
Som huvudregel gäller alltså sekretess även mellan myndigheter (8 kap. 1 § OSL). Det har dock ansetts att sekretessregleringen inte bör hindra myndigheterna från att utväxla uppgifter i de fall intresset av att uppgifterna lämnas ut bör ha företräde framför det intresse som sekretessen ska skydda. Därför har ett antal sekretessbrytande
1Prop. 1979/80:2 Del A s. 82 SOU 2003:99 s. 132.
bestämmelser och undantag från sekretessen införts i OSL. När en ny sekretessbrytande bestämmelse är under övervägande bör man alltid undersöka om det redan finns en tillämplig sekretessbrytande bestämmelse.
Samtycke till att bryta sekretessen
Av 10 kap. 1 § och 12 kap. 2 § OSL följer att sekretess till skydd för enskild inte hindrar att en uppgift lämnas till en myndighet, om den enskilde samtycke till det. Ett samtycke från den enskilde har alltså sekretessbrytande verkan.
Utredningens förslag om enklare tillgång till personuppgifter för klinisk forskning är endast tillämpliga vid sådan klinisk forskning som den enskilde samtycker till att delta i. Därutöver ska den enskilde lämna ett integritetshöjande samtycke som avser själva tillgången till uppgifterna genom begränsad direktåtkomst eller annat elektroniskt utlämnande. Utredningen har mot denna bakgrund övervägt om den enskildes samtycke kan användas för att bryta sekretessen som gäller gentemot mottagande myndigheter. Ett sådant samtycket skulle i så fall vara ett samtycke till att bryta sekretessen enligt 10 kap. 1 § och 12 kap. 2 § OSL. Utredningen har dock av skäl som framgår nedan gjort bedömningen att tillgängliggörande för klinisk forskning enligt utredningens förslag inte ska bygga på samtycke till att bryta sekretessen.
För en redogörelse av olika typer av samtycken inom vård och medicinsk forskning, se bilaga 3 till betänkandet.
En viktig aspekt i dessa överväganden är för det första vem som inhämtar aktuella samtycken. Samtycke till att delta i forskningen inhämtas av den som bedriver forskningen, det vill säga den myndighet som tar emot uppgifterna från hälso- och sjukvården. Såsom utredningen ser framför sig den praktiska gången, kommer det i normalfallet också vara så att samma myndighet ofta samtidigt inhämtar det integritetshöjande samtycket till tillgången genom direktåtkomst eller annat elektroniskt utlämnande. Utredningens förslag låser dock inte inhämtandet av det integritetshöjande samtycket till mottagande myndighet, utan detta samtycke skulle också kunna inhämtas av den myndighet inom hälso- och sjukvården som tillgängliggör uppgifterna, se avsnitt 16.8.3. Huvudregeln vid inhämtande av samtycke till att
bryta sekretessen är dock att utlämnande myndighet inhämtar sådant samtycke (jämför 6 kap. 4 § OSL). Det skulle kopplat till utredningens föreslagna regler vara den regionala myndighet som bedriver hälso- och sjukvård. Utredningen har förstått att förvisso i praktiken förekommer att samtycke inhämtas av den myndighet som bedriver forskningen, också i ”sekretessbrytande” syfte. Utredningen konstaterar dock att det vart fall blir en bedömning av om detta samtycke uppfyller kraven på att vara ett sekretessbrytande samtycke och att det finns en osäkerhet i att ett sådant samtycke inte inhämtas av den utlämnande myndigheten. Under alla förhållanden anser utredningen att det till grund för lagen som utredningen föreslår inte är lämpligt med en ordning som innebär att annan än den utlämnande myndigheten inhämtar samtycke till att bryta sekretessen. Ett sådant samtycke skulle i så fall alltså behöva inhämtas av utlämnande myndighet. Ett av syftena med utredningens förslag är emellertid att den administrativ börda som i dag åvilar hälso- och sjukvården anledning av utlämnande av aktuellt slag ska minska. Att bygga de nya reglernas genomslagskraft på en ytterligare administrativ börda för hälso- och sjukvården i form av inhämtande av samtycke från samtliga personer som deltar i forskning skulle vara i direkt strid med detta syfte och därmed inte lämpligt.
En ordning som bygger på samtycke till att byta sekretessen skulle också enligt utredningens mening kunna leda till tillämpningssvårigheter och osäkerhet kring om sekretessen är hävd eller inte. Det framstår inte som en lämplig ordning.
Utredningen har också övervägt om situationen kan vara sådan att ett så kallat tyst, presumerat samtycke, kan anses finnas. I förarbetena anges att det ibland av den enskildes beteende och förväntningar att han eller hon i viss utsträckning accepterar att en hemlig uppgift vidarebefordras. Ett samtycke får dock inte ges ett så generellt innehåll att den enskilde allmänt förklarar sig avstå från sekretessen hos en viss myndighet (prop. 1979/80:2 Del A s. 331).
Ett tyst samtycke skulle, i förhållande till utredningens förslag, kunna anses finnas mot bakgrund av att samtycke lämnas till deltagande i forskningen och för själva tillgängliggörandet genom begränsad direktåtkomst eller annat elektroniskt utlämnande. Utredningens uppfattning är dock att presumerat samtycke inte kan eller bör tillämpas som en generell sekretessbrytande grund med avseende utlämnande av känsliga personuppgifter.
Andra befintliga sekretessbrytande bestämmelser
Utredningen har även tittat på om andra sekretessbrytande bestämmelser i OSL.
Den så kallade generalklausulen i 10 kap. 27 § OSL är inte tillämplig på sekretess enligt 25 kap. 1 § OSL. Utredningen har ovan redogjort för att personuppgifter som ska tillgängliggöras omfattas av sekretess enligt 25 kap. 1 § OSL. Det är därmed inte möjligt att stödja ett tillgängliggörande av personuppgifter på 10 kap. 27 § OSL
Utredningen har också övervägt om bestämmelserna i 25 kap. 11 § 2 eller 5 OSL kan ge stöd för det utlämnande som sker med stöd av den föreslagna lagen. I 25 kap. 11 § 2 utgörs mottagarsidan av hälso- och sjukvårdsverksamhet. Bestämmelsen omfattar inte myndighet inom en region i dess forskningsverksamhet eller universitet, högskolor eller enskilda utbildningsanordnare. Inte heller omfattas forskningsverksamhet i en annan myndighet inom regionen, oavsett om den också bedriver hälso- och sjukvårdsverksamhet eller inte.
I 25 kap. 11 § 5 OSL finns en bestämmelse som bland annat avser utlämnande till forskning, Av bestämmelsen framgår att sekretessen enligt 1 §, samma kapitel, inte hindrar att uppgift lämnas från en myndighet som bedriver verksamhet som avses i den paragrafen inom en kommun eller en region till annan sådan myndighet för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs. Bestämmelsen är utformad med ett rakt skaderekvisit, vilket innebär en presumtion för att uppgifter får lämnas ut. Detta innebär förvisso en förenkling av utlämnandeprocessen till de myndigheter som omfattas. Den undanröjer dock inte behovet av att en menprövning görs vid varje enskilt utlämnandetillfälle och motsvarar därför inte det behov och syfte som finns med reglerna om enklare tillgång till personuppgifter från hälso- och sjukvården. Som framgår av ordalydelsen är bestämmelsen vidare endast tillämplig när uppgift lämnas till en myndighet som bedriver hälso- och sjukvård eller annan medicinsk verksamhet. När uppgift lämnas till exempelvis ett lärosäte i egenskap av forskningshuvudman är det i stället 25 kap. 1 § OSL som ska tillämpas.
Sammantaget konstaterar utredningen att det inte finns någon befintlig sekretessbrytande bestämmelse som är tillämplig för utred-
ningens förslag till ny lag om viss vidareanvändning av personuppgifter för ändamålet klinisk forskning.
17.3.3. Är det lämpligt med en sekretessbrytande grund?
I kapitel 16 föreslår utredningen regler om förenklad tillgång till personuppgifter som finns hos regionala myndigheter som bedriver hälso- och sjukvård. Förslagen syftar till att förenkla administrationen vid utlämnande av personuppgifter till klinisk forskning och göra tillgången till personuppgifter enklare för forskare. Den omfattande administrativa börda som i dag tynger utlämnande myndigheter hänger till en del samman med att en menprövning behöver göras vid varje enskilt utlämnande. En sekretessbrytande bestämmelse vid utlämnande till klinisk forskning skulle förenkla för de regionala myndigheterna som bedriver hälso- och sjukvård och är en del av förutsättningarna för att utredningens förslag ska kunna få genomslag.
Den administrativa bördan hänger också samman med att en avgränsning av uppgifter behöver göras. Utredningen lämnar förslag om att tillgång till personuppgifter ska kunna ske genom en begränsad form av direktåtkomst eller annat elektroniskt utlämnande. Den begränsade direktåtkomsten gör det möjligt att viss överskottsinformation, som svårligen kan avgränsas, kan få lämnas ut i syftet att minska den manuella hanteringen hos utlämnande myndighet. En aspekt av den begränsade direktåtkomsten är att det inte möjligt att göra en menprövning vid varje enskilt tillfälle som mottagande myndighet tar del av uppgifter.
Utredningen konstaterar vidare att det redan i dag finns regler i OSL som innebär större möjligheter att lämna ut sekretessreglerade uppgifter till forskning, till exempel 25 kap. 11 § 5 OSL som anger ett rakt skaderekvisit vid utlämnande mellan myndigheter inom en region eller kommun för bland annat forskning. Denna bestämmelse har också tillkommit i syfte att förenkla utlämnandet till forskning i dessa situationer genom att tillåta ett mer rutinmässigt utlämnande med generell skadeprövning (se prop. 1990/91:111 s. 28–29). Av förarbetena framgår även att behoven av ändrade sekretessregler har koppling till att uppgifterna behandlas elektroniskt i databaser och register. Även om denna bestämmelse inte är direkt jämförbar med de regler som utredningen föreslår, kan det konstateras att det vid ut-
lämnande till forskning inte främmande med sänkta trösklar i lagstiftningen för utlämnande som hänger samman med praktiska behov.
Att det är möjligt med lägre trösklar för att lämna ut uppgifter till forskning hänger också samman med att sekretessen överförs enligt 11 kap. 3 § OSL, se vidare nedan under rubriken Sekretesskyddet hos mottagande myndighet.
Utredningens förslag om villkor och integritetsstärkande åtgärder
För att en sekretessbrytande regel ska kunna motiveras behövs integritetsstärkande åtgärder som kompenserar för det uteblivna sekretesskyddet. Det är viktigt att säkerställa integritetsskyddet för den enskilde. Det är också viktigt att förtroendet för hälso- och sjukvårdens hantering av känsliga uppgifter upprätthålls. En sekretessbrytande bestämmelse kan i sig tänkas leda till ett sämre integritetsskydd för enskilda och att allmänhetens förtroende för hälso- och sjukvårdens hantering av personuppgifter skadas. En sammantagen bedömning behöver dock göras utifrån de integritetsstärkande åtgärder som utredningen föreslår.
Utredningen föreslår att ett antal villkor behöver vara uppfyllda för att tillgängliggörande av personuppgifter ska få ske genom begränsad direktåtkomst eller annat elektroniskt utlämnande, se avsnitt 16.8. Tillgängliggörande får endast avse personuppgifter som ska ingå i
- forskning som har godkänts av Etikprövningsmyndigheten eller
Överklagandenämnden för etikprövning enligt lagen (2003:460) om etikprövning av forskning som avser människor,
- en klinisk läkemedelsprövning som har beviljats eller anses ha beviljats tillstånd i enlighet med förordning (EU) nr 536/20142,
- en klinisk prövning som får påbörjas eller genomföras i enlighet med bestämmelser i förordning (EU) 2017/7453 eller enligt lagen (2021: 600) med kompletterande bestämmelser till EU:s förordningar
2 Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG. 3 Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG.
om medicintekniska produkter eller föreskrifter meddelade i anslutning till den lagen, eller
- en prestandastudie som får påbörjas eller genomföras i enlighet med bestämmelser i förordning (EU) 2017/7464.
Vidare krävs att den registrerade har samtyckt till att delta i forskningen. Därutöver ska den begränsade direktåtkomsten vara tidsbegränsad. Tillgängliggörandet kräver slutligen att den enskilde har informerats om vad den begränsade direktåtkomst eller annat elektroniskt utlämnade för ändamålet klinisk forskning enligt den företagna lagen innebär och lämnat ett integritetshöjande samtycke till sådan åtkomst. Ett urval av uppgiftsmängder ska också göras.
Utredningen anser att dessa åtgärder, tillsammans med förslaget om absolut sekretess för överskottsinformation (se nedan avsnitt 17.4) utgör ett tillräckligt skydd för de enskildas integritet och för att allmänhetens förtroende för hälso- och sjukvårdens hantering av personuppgifter inte ska ta skada. En ytterligare viktig faktor för bedömningen av lämpligheten av en sekretessbrytande bestämmelse är hur sekretesskyddet ser ut hos mottagande myndigheter, vilket redogörs för i det följande.
Sekretesskyddet hos mottagande myndigheter
Utredningen har beskrivit vilken sekretess som kan bli tillämplig på uppgifter som finns hos de aktörer om bedriver forskning efter att uppgifterna har tillgängliggjorts för ändamålet klinisk forskning enligt utredningens förslag om vidareanvändning, se avsnitt 8.3.4. En viktig faktor som har relevans för integritetsskyddet och om en sekretessbrytande bestämmelse kan motiveras, är hur sekretesskyddet ser ut hos dessa aktörer.
Utredningens förslag möjliggör att en regional myndighet eller ett lärosäte kan ges tillgång till personuppgifter för ändamålet klinisk forskning.
Utredningen konstaterar att det inte finns någon generell ”forskningssekretess”. Det finns i stället flera sekretessbestämmelser som
4 Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitrodiagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU.
kan aktualiseras med avseende på uppgifter som förekommer inom forskning. Vidare blir indelningen mellan primära och sekundära sekretessbestämmelser central när det gäller forskningsverksamhet. Vilken sekretess som kommer att gälla för uppgifterna beror på förutsättningarna i varje specifikt fall. Utredningens slutsats är dock att sekretesskyddet hos en regional myndighet eller hos ett lärosäte som bedriver klinisk forskning föreskriver ett likvärdigt eller starkare sekretesskydd jämfört med det sekretesskydd som gällde i hälso- och sjukvården innan tillgängliggörandet enligt den föreslagna lagen.
I många fall kommer de uppgifter som tillgängliggörs att omfattas av sekretess enligt 25 kap. 1 § OSL som sekundär sekretess efter överföring enligt 11 kap. 3 § OSL. Överföring av sekretess kan också ske enligt 11 kap. 4 § OSL (se vidare avsnitt 17.3.3).
Fråga är vidare vilken eller vilka eventuella bestämmelser om primär sekretess som kan konkurrera ut den överförda sekretessen enligt 11 kap. 3 § OSL. För en regional myndighet eller ett lärosäte som bedriver klinisk forskning bedömer utredningen sammanfattningsvis att följande gäller i fråga om sekretesskydd för uppgifter som ingår i forskningen. För en utförligare beskrivning se avsnitt 8.3.4.
Sekretess enligt 24 kap. 8 § OSL
Enligt 24 kap. 8 § andra stycket OSL gäller sekretess i vissa undersökningar om regeringen meddelar föreskrifter om det. I 7 § offentlighets- och sekretessförordningen (2009:641), förkortad OSF, framgår att sekretess gäller uppgifter om enskildas personliga förhållanden hos sjukvårdsinrättningar, utbildningsanstalter och forskningsinrättningar i miljömedicinska, socialmedicinska, psykiatriska eller andra medicinska studier och hos utbildningsanstalter och forskningsinrättningar för undersökningar i sociologiska, psykologiska, pedagogiska eller andra beteendevetenskapliga eller samhällsvetenskapliga studier.
Såvitt utredningen har kunnat utröna, verkar det inte vara helt klart vad som kan anses omfattas av uppräkningen i 7 § OSF. En grundförutsättning är att det är fråga om en med statistik jämförbar undersökning. Det skulle kunna ses som rimligt att medicinsk forskning där uppgifter om en population används för att dra generaliserbara slutsatser (kvantitativa studier) anses jämförliga med statistik.
Mer tveksamt är nog undersökningar med ett mer begränsat antal individer med syfte att få fram en helhetsbeskrivning (kvalitativa studier).
En ytterligare fråga är vad som avses med sjukvårdsinrättningar och forskningsinrättningar. Termen sjukvårdsinrättning används i PSL. Enligt 6 kap. 15 § 1 PSL är hälso- och sjukvårdspersonal skyldig att lämna ut uppgift om att någon vistas på en sjukvårdsinrättning i särskilda fall om det begärs av vissa myndigheter. Sjukvårdsinrättning används också i lagen (1991:1128) om psykiatrisk tvångsvård och i lagen (1991:1129) om rättspsykiatrisk vård. Termen är dock inte definierad. Enligt Socialstyrelsens termbank är sjukvårdsinrättning en organisatorisk enhet som tillhandahåller hälso- och sjukvård. Termen forskningsinrättning bedömer utredningen bör i många fall omfatta de lärosäten som träffas av utredningens förslag. Mer tveksamt är om regionala myndigheter bedriver forskning omfattas, men det kan enligt utredningens uppfattning inte helt uteslutas.
Utredningen gör den sammantagna bedömningen att sekretess enligt 24 kap. 8 § andra stycket OSL bestämmelse principiellt sett skulle kunna bli tillämplig i vissa situationer där en regional myndighet eller ett lärosäte bedriver klinisk forskning. Om bestämmelsen är tillämplig gäller så kallad absolut sekretess för uppgifterna.
Om uppgifter omfattas av sekretess enligt 24 kap. 8 § andra stycket behövs för forsknings- eller statistikändamål kan utjämnande ske vad som anges i 24 kap. 8 § tredje stycket OSL. Då gäller i så fall omvänt skaderekvisit, motsvarande vad som skulle ha gällt fr uppgifterna enligt 25 kap. 1 § OSL.
Om forskningen hos en regional myndigheten bedrivs som ett led i vården och behandlingen av en patient, anses den ingå i en myndighets hälso- och sjukvårdsverksamhet (se vidare avsnitt 15.6). I den situationen gäller sekretess enligt 25 kap. 1 § OSL som primär sekretessbestämmelse. Enligt bestämmelsen gäller sekretess inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Det är alltså fråga om ett omvänt skaderekvisit.
I OSL finns också en bestämmelse om överföring av sekretess i 11 kap. 3 och 4 §§ OSL, se avsnitt nedan. Överföring av sekretess gäller även mellan självständiga verksamhetsgrenar (8 kap. 2 § OSL). Sekretessen överförs under förutsättning att uppgifterna inte redan omfattas av en primär sekretessbestämmelse till skydd för samma intresse
hos den mottagande myndigheten (11 kap. 8 § OSL). Utredningen bedömer att bestämmelsen innebär att det sekretesskydd som gäller för uppgifterna innan tillgängliggörandet, det vill säga när uppgifterna befinner sig i hälso- och sjukvården, överförs vid tillgängliggörandet till den regionala myndighet eller det lärosäte som bedriver klinisk forskning, såvida en primär sekretessbestämmelse såsom 24 kap. 8 § OSL till skydd för samma intresse inte finns hos mottagande myndighet. Sekretess enligt 25 kap. 1 § OSL kan då alltså bli tillämplig som en sekundär sekretessbestämmelse hos myndigheten som ges tillgång till uppgifterna.
Överföring av sekretess enligt 11 kap. 3 § OSL
Om en myndighet i sin forskningsverksamhet får en sekretessreglerad uppgift från en annan myndighet blir sekretessbestämmelsen tillämplig på uppgiften även hos den mottagande myndigheten (11 kap. 3 § första stycket OSL). Detta gäller dock inte uppgift som ingår i ett beslut hos den mottagande myndigheten (11 kap. 3 § andra stycket OSL). Enligt 8 kap. 2 § OSL gäller bestämmelser om överföring av sekretess även i förhållande till självständiga verksamhetsgrenar.
Bestämmelsen i 11 kap. 3 § OSL innebär att när uppgifter om enskildas personliga förhållanden lämnas ut från en myndighet som bedriver hälso- och sjukvård, överförs sekretessen enligt 25 kap. 1 § OSL till myndigheten som tar emot uppgifterna. Uppgifterna omfattas då av sekretess med omvänt skaderekvisit även hos den mottagande myndigheten som bedriver forskningen. Inom forskningen blir 25 kap 1 § OSL en sekundär sekretessbestämmelse (se betydelse av begreppet i 3 kap. 1 § OSL).
I förarbetena till bestämmelsen konstateras att OSL i vissa fall tillåter att sekretessbelagda uppgifter lämnas ut för forskningsändamål i större utsträckning än för andra syften (se prop. 1979/80:2 Del A s. 318). Vidare anförs att om uppgiften därvid lämnas ut till myndighet bör sekretessen överföras dit, om uppgiften inte där redan omfattas av annan sekretessbestämmelse till skydd för samma intresse. Motsvarande bör gälla i fråga om uppgift som lämnas till myndighet för forskningsändamål med stöd av bestämmelse i lag eller förordning (prop. 1979/80:2 Del A s. 319). Uppgifter kan också lämnas ut till forskning till exempel efter en prövning av skaderekvisitet i en sek-
retessbestämmelse, med tillämpning av generalklausulen eller på grund av dispens enligt exempelvis 10 kap. 6 § andra meningen OSL (Offentlighets- och sekretesslagen, En kommentar, JUNO version 26, kommentar till 11 kap. 3 § OSL). Utredningen har inte kunnat hitta några uttalanden i förarbeten eller kommentarer till 11 kap. 3 § OSL om hur den bestämmelsen skulle förhålla sig till en sekretessbrytande bestämmelse som avser utlämnande till forskning i vissa fall, det vill säga en sådan bestämmelse som utredningen föreslår. Utredningen har dock inte funnit något som talar emot att tillämpningen av 11 kap. 3 § OSL skulle bli annorlunda för det fall en sekretessbrytande bestämmelse införs kopplat till tillgängliggörande för klinisk forskning enligt utredningens förslag. Redan i dag gäller till exempel svagare sekretess i vissa fall (se 25 kap. 11 § 5 OSL). Syftet med överföringen av sekretess vid utlämnande till forskning torde också kunna vara att bestämmelser som medger utlämnande i större omfattning ska vara möjliga.
Överföring av sekretess enligt 11 kap. 4 § OSL
Generellt sett kan direktåtkomst innebära att uppgifter som den mottagande myndigheten inte har behov av i sin verksamhet, men ändå har potentiell tillgång till, inte skyddas av samma starka sekretess som hos den utlämnande myndigheten eller inte omfattas av någon sekretess alls. Det har därför ansetts finnas ett behov av en bestämmelse om överföring av sekretess vid direktåtkomst (se prop. 2007/08:160 s. 76). Av 11 kap. 4 § OSL följer att om en myndighet har elektronisk tillgång till en upptagning för automatiserad behandling hos en annan myndighet och en uppgift i denna upptagning är sekretessreglerad, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Detta gäller dock inte för uppgift som ingår i ett beslut hos den mottagande myndigheten. Denna bestämmelse om överföring av sekretess är tillämplig på uppgifter som den mottagande myndigheten har rätt att ha direktåtkomst till och sådan information som den mottagande myndigheten därutöver rent tekniskt kan få tillgång till vid direktåtkomst (se prop. 2007/08:160 s. 76). Bestämmelsen ska dock enligt 11 kap. 8 § OSL inte tillämpas på en uppgift där det finns en primär sekretessbestämmelse till skydd för samma intresse som är tillämplig på uppgiften hos den mottagande myndigheten. Sekretess som är direkt tillämplig hos den mottagande myndigheten
har därför företräde framför överförd sekretess, oavsett om den primära sekretessen är starkare eller svagare än den överförda sekretessen.
Utredningen bedömer att 11 kap. 4 § OSL skulle kunna bli tillämplig på uppgifter som tillgängliggörs genom utredningens förslag om begränsad direktåtkomst. Utredningen tolkning innebär att det sekretesskydd som gäller för uppgifterna innan tillgängliggörandet, det vill säga när uppgifterna befinner sig i hälso- och sjukvården, överförs vid tillgängliggörandet till den regionala myndighet eller lärosäte som bedriver klinisk forskning, såvida en primär sekretessbestämmelse till skydd för samma intresse inte finns hos mottagande myndighet. Detta motsvarar den överföring av sekretess som även sker när 11 kap. 3 § OSL är tillämplig. Bestämmelsen i 11 kap. 4 § liknar alltså 11 kap. 3 § i sin utformning. Enligt utredningens bedömning kan både 11 kap. 3 och 4 §§ OSL alltså bli tillämpliga vid tillgängliggörande enligt utredningens förslag om enklare tillgång till personuppgifter för klinisk forskning. 11 kap. 4 § OSL blir däremot enligt utredningens bedömning inte tillämplig vid annat elektroniskt utlämnande enligt utredningens förslag. Följden av de båda bestämmelserna blir dock densamma, det vill säga att sekretesskyddet som gällde för uppgifterna innan tillgängliggörandet överförs, såvida inte en primär sekretessbestämmelse gäller i stället.
Uppgifterna ingår typiskt sett inte i beslut hos mottagande myndighet
Av 11 kap. 3 § andra stycket OSL följer att överföring av sekretess enligt bestämmelsens första stycke inte tillämpas på en uppgift som ingår i ett beslut hos den mottagande myndigheten. Motsvarande gäller enligt 11 kap. 4 § andra stycket OSL vid elektronisk tillgång till en upptagning för automatiserad behandling.
Uppgifterna tillgängliggörs för klinisk forskning. De ingår enligt utredningens bedömning typisk sett inte i ärenden som leder till beslut hos mottagande myndigheter, utan används i så kallat faktiskt handlande i form av klinisk forskning. Den typ av beslut som utredning ser kan komma i fråga hos mottagande myndighet som rör tillgängliggjorda uppgifter, är beslut om avslag på begäran av utfående av allmän handling. I sådana beslut tas inte aktuella personuppgifter in i beslutet eftersom de inte får röjas.
Utredningens bedömning är således att andra styckena i 11 kap. 3–4 §§ OSL inte kan antas bli tillämpliga på utlämnade uppgifter. Utredningens överväganden beträffade om så ändå skulle vara fallet finns i avsnitt 17.4.2.
Finns bestämmelser med svagare sekretesskydd än vad som följer av 25 kap. 1 § OSL
Utredningen har vidare tittat på om det kan finnas en sekretessbestämmelse som föreskriver ett svagare sekretesskydd än vad som gäller för uppgifterna inom hälso- och sjukvården. Detta får särskild relevans eftersom bestämmelserna om överföring av sekretess (11 kap. 3 och 4 §§ OSL) inte blir tillämpliga om det finns en primär sekretessbestämmelse till skydd för samma intresse hos den mottagande myndigheten (11 kap. 8 § OSL). Detta gäller även om den primära sekretessbestämmelsen föreskriver ett svagare skydd. Det skulle alltså potentiellt kunna bli så att uppgifterna efter tillgängliggörandet omfattas av ett svagare sekretesskydd än vad de omfattades av inom hälso- och sjukvården. Utredningen har dock inte kunnat identifiera någon bestämmelse med lägre sekretesskydd än omvänt skaderekvisit som skulle kunna bli tillämplig som primär sekretessbestämmelse på uppgifter som lämnas ut från hälso- och sjukvården till klinisk forskning som bedrivs av en regional myndighet eller av ett lärosäte. Den bestämmelsen som utredningen har identifierat som potentiellt tillämplig som primär sekretess föreskriver absolut sekretess, vilket alltså är en stakare sekretess än den som överförs (se ovan avseende 24 kap. 8 § OSL). Utredningen noterar också att det i förarbetena till bestämmelsen om konkurrens mellan primär och sekundär sekretess uttalas att i åtskilliga fall, bland annat enligt 11 kap. 3 och 4 §§, torde någon primär sekretessregel inte gälla för den mottagande myndigheten (prop. 1979/80:2 Del A s. 320).
Utredningens slutsats är därför att sekretesskyddet hos en regional myndighet eller hos ett lärosäte som bedriver klinisk forskning föreskriver ett likvärdigt eller starkare sekretesskydd jämfört med det sekretesskydd som gäller för uppgifterna inom hälso- och sjukvården innan tillgängliggörandet enligt den föreslagna lagen.
Utifrån att det finns ett likvärdigt eller starkare sekretesskydd hos mottagande myndigheter, tillsammans med vad som ovan har an-
förts, anser utredningen att en sekretessbrytande bestämmelse är lämplig.
17.3.4. Utformningen av en sekretessbrytande bestämmelse
Utlämnande enligt utredningens förlag om vidareanvändning av personuppgifter för ändamålet klinisk forskning sker från en regional myndighet som bedriver hälso- och sjukvård. Mottagare är regionala myndigheter eller lärosäten enligt en definition som utredningen föreslår ska finnas i den nya lagen, se avsnitt 16.3. Enligt den nya lagen omfattar uttrycket lärosäte ett statligt universitet eller en statlig högskola som har rätt att utfärda examen på forskarnivå, eller en enskild utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § OSL är ett organ som jämställs med myndighet. Utlämnande får ske genom en begränsad form av direktåtkomst eller annat elektroniskt utlämnande. Frågan är hur en sekretessbrytande bestämmelse som omfattar detta bör utformas.
Utredningen anser att utlämnade myndighet av tydlighetsskäl bör anges i bestämmelsen. Så görs också i de flesta av bestämmelserna i 25 kap. 11 § OSL (jämför dock 25 kap. 11 § 3 och 4 OSL). Det avgränsar också bestämmelsen i enlighet med utredningens förslag om vilka aktörer som får tillgängliggöra personuppgifter för klinisk forskning. Det är enligt utredningens bedömning lämpligt att den sekretessbrytande bestämmelsen är så tydligt avgränsad som möjligt.
Vid formuleringen av den avgränsning av aktörer som får tillgängliggöra personuppgifter för klinisk forskning på ett enklare sätt, har utredningen hämtat inspiration från formuleringen i 25 kap. 11 § 2 OSL. I linje med det föreslår utredningen att den sekretessbrytande bestämmelsen också utgår från den formuleringen. Utredningen föreslår utifrån detta att utlämnande myndighet anges som ”från en myndighet som bedriver verksamhet inom hälso- och sjukvård i en region”. I lagtexten bör ”inom hälso- och sjukvården” anges med formuleringen ”som avses i 1 §”.
Hur bör mottagarsidan anges?
Utredningen har tittat på olika typer av formuleringar av mottagarsidan i sekretessbrytande bestämmelser och utlämnande kopplat till hälso- och sjukvårdssekretess och forskning.
Den sekretessbrytande bestämmelse kopplad till SVOD (25 kap. 11 § 3 OSL) anger mottagarsidan med formuleringen ”till en myndighet som bedriver verksamhet som avses i 1 §, 26 kap. 1 §, en enskild vårdgivare eller omsorgsgivare”. Utifrån detta skulle en uppräkning av mottagande aktörer göras. Det skulle fungera med ”myndighet inom en region”, men svårligen avseende lärosätena. Uttrycket ”lärosäte” finns inte i OSL och det är inte lämpligt att införa det i lagen. En uppräkning av hela den föreslagna definitionen skulle förvisso kunna göras. Detta skulle dock innebära att bestämmelsen blir omfattande och svårläst. Den sekretessbrytande bestämmelsen som avser uppgiftslämnande till nationella och regionala kvalitetsregister anger ingen mottagande aktör. I stället anges mottagarsidan med formuleringen ”till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen”. Utifrån detta skulle bestämmelsen kunna formuleras utifrån ändamålet klinisk forskning. Ändamålet är dock ingen uppgiftssamling i sig såsom ett kvalitetsregister är. Kopplat till kvalitetsregister finns också regler om personuppgiftsansvar som tydliggör aktörerna kopplade till uppgiftssamlingen (se 7 kap. 8 § och 2 kap. 6 § PDL). Utredningen gör i ljuset av detta bedömningen att en angivelse av ändamålet inte är jämförbar med den reglering som finns för kvalitetsregister samt att det skulle vara för otydligt att utforma bestämmelsen på ett sådant sätt.
Utredningen har även tittat på promemorian En långsiktig reglering
av forskningsdatabaser (U2022/04089). I förslaget till bestämmelse
om överföring av sekretess i 24 kap. 2 b § OSL anges mottagarsidan endast med begreppet ”myndighet”. Bestämmelsen avser utlämnande framför allt till forskning. Begreppet myndighet skulle omfatta de aktörer som avses med utredningens uttryck ”lärosäte”.
Om mottagarsidan anges efter ändamålet klinisk forskning eller endast de aktörer som finns på mottagarsidan för det ändamålet, behöver den sekretessbrytande bestämmelsen ändras eller en ny bestämmelse införas om den föreslagna nya lagen om viss vidareanvändning av personuppgifter för klinisk forskning ändras. Utredningen anser att det finns en fördel med att använda en formulering som kan vara
något mer generell än så. Om alla aktörer anges blir bestämmelsen enligt utredningens mening onödigt omfattande och svårläst. Omfånget av den sekretessbrytande bestämmelsen blir inte heller större i anledning av en vidare formulering, eftersom en hänvisning görs till vad som följer av den nya lagen. I den lagen finns de aktörer uppräknade som utgör gränserna för den sekretessbrytande bestämmelsens tillämpningsområde. Nackdelen är att bestämmelsen blir mindre tydlig.
Utredningen anser att övervägande skäl talar för att formulera mottagarsidan på ett mer generellt sätt. Utredning föreslår därför en sekretessbrytande bestämmelse som innebär att sekretess enligt 25 kap. 1 § OSL inte hindrar att uppgifter lämnas från en myndighet som bedriver verksamhet inom hälso- och sjukvård till en myndighet enligt det som föreskrivs i lagen (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning. Bestämmelsen bör placeras i 25 kap. 11 § 4 OSL.
Sekretessgenombrott i förhållande till självständiga verksamhetsgrenar
Utredningens förslag om enklare tillgång till personuppgifter från en myndighet inom en region som bedriver hälso- och sjukvård omfattar bland annat regionala myndigheter som mottagare av uppgifter. Det kan förekomma att den kliniska forskningen inom en region bedrivs av en annan myndighet än den hälso- och sjukvårdsmyndighet som lämnar ut uppgifterna. Det kan också förekomma att forskningen bedrivs av samma myndighet, men som en självständig verksamhetsgren. Den sekretessbrytande bestämmelse som utredningen föreslår behöver därför också vara utformad så att den omfattar situationen att tillgång genom direktåtkomst eller annat elektroniskt utlämnade ges till samma myndighet, men till en annan självständig verksamhetsgren inom den myndigheten.
Ovan har konstaterats att en uppgift för vilken sekretess gäller enligt OSL inte får röjas för enskilda eller för andra myndigheter, om inte annat anges i OSL eller i lag eller förordning som OSL hänvisar till (8 kap. 1 § OSL). Vad som föreskrivs om sekretess mot andra myndigheter enligt 8 kap. 1 § OSL, gäller enligt 8 kap. 2 § OSL också mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra. Formuleringen ”om inte annat anges” syftar bland annat på sekretessbrytande
bestämmelser som finns i OSL (se prop. 1979/80: Del A s. 121 och prop. 2008/09:150 s. 322). Sekretessbrytande bestämmelser som är tillämpliga på alla eller ett stort antal sekretessbestämmelser finns i 10 kap OSL. Sekretessbestämmelser som endast bryter sekretessen enligt en viss sekretessbestämmelse eller några få sekretessbestämmelser finns i anslutning till respektive sekretessbestämmelse i det aktuella sekretesskapitlet i lagens fjärde och femte avdelningar (se prop. 2008/09:150 s. 322). Utredningen föreslår en sekretessbrytande bestämmelse som bryter sekretessen enligt 25 kap. 1 § OSL. Utredningen föreslår att den placeras i 25 kap. 11 § 4 OSL. Om bestämmelsen utformas så att den bryter sekretessen i förhållande till en ”myndighet”, följer det av 8 kap. 1 och 2 §§ OSL att den också bryter sekretessen mellan självständiga verksamhetsgrenar. Utredningen gör därför bedömningen att en sekretessbrytande bestämmelse som avser ”myndighet” på mottagarsidan, också omfattar den situationen att mottagaren är en självständig verksamhetsgren inom samma myndighet som bedriver klinisk forskning.
17.4. Sekretess för uppgift om personliga förhållanden inom klinisk forskning vid vidareanvändning av personuppgifter från hälso- och sjukvården
Förslag: Absolut sekretess ska gälla hos en myndighet för uppgift
om enskilds personliga förhållanden som gjorts tillgänglig av en myndighet i en region som bedriver hälso- och sjukvård enligt lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning. Detta gäller om förutsättningarna för att myndigheten ska få tillföra forskningen uppgiften inte är uppfyllda. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Den tystnadsplikt som följer av den absoluta sekretessen inskränker rätten att meddela och offentliggöra uppgifter.
Bedömning: Uppgifter som får tillföras forskningen omfattas
antingen av överförd hälso- och sjukvårdssekretess eller av en primär sekretessbestämmelse som gäller i forskningen. Det bör inte införas en särskild sekretessbestämmelse avseende uppgifter som får tillföras forskningen.
De personuppgifter som ska tillgängliggöras enligt utredningens förlag om vidareanvändning av personuppgifter för klinisk forskning omfattas av sekretess enligt 25 kap. 1 § OSL. För att garantera ett tillräckligt integritetsskydd är sekretesskyddet efter tillgängliggörandet av avgörande betydelse.
Utlämnande till forskning som sker enligt allmänna regler i dag görs efter menprövning. En viktig omständighet inom ramen för den menprövning som sker är vilket sekretesskydd som gäller efter utlämnandet. För att ett utlämnade ska kunna ske behöver utlämnande myndighet normalt sett kunna konstatera att minst ett likvärdigt sekretesskydd gäller för uppgifterna efter utlämnandet. Så är typiskt sett fallet när utlämnande sker till annan myndighet och det kan konstateras att hälso- och sjukvårdssekretessen enligt 25 kap. 1 § OSL följer med enligt 11 kap. 3 § OSL, alternativt att en primär sekretessbestämmelse gäller vilken föreskriver ett likvärdigt eller starkare sekretesskydd.
För de personuppgifter som mottagande myndighet eller lärosäte får tillföra forskningen bör enligt utredningens mening ett sekretesskydd gälla som är minst likvärdigt med det skydd som gäller inom hälso- och sjukvården. Detta innebär att det för uppgifterna bör gälla sekretess med minst ett omvänt skaderekvisit.
För uppgifter som inte får tillföras forskningen, men som ändå tillgängliggörs genom den begränsade direktåtkomsten bör det, enligt utredningens mening, övervägas om en absolut sekretess alltid ska gälla. Grundmotivet för en sådan bestämmelse skulle vara att sådan överskottsinformation inte hade fått lämnas ut, för det fall en sekretessbrytande bestämmelse i kombination med möjligheten till en begränsad direktåtkomst inte hade funnits. En absolut sekretess för sådana uppgifter kan då vara en lämplig integritetshöjande kompensation på mottagarsidan som skulle balansera upp det lägre skyddet för uppgifterna hos utlämnande myndighet. En bestämmelse om absolut sekretess skulle gälla som primär sekretessbestämmelse för de uppgifter som den omfattar.
En absolut sekretess skulle enligt utredningens mening fylla huvudsakligen två viktiga funktioner. Den ena avser skydd mot vidare spridning inom forskningsprojektet. Den andra funktionen handlar om överskottsinformation och avser att personuppgifter som inte får till-
föras forskningen, inte skulle behöva behandlas enbart i anledning av en begäran om att få ut en allmän handling.
Skydd mot vidare spridning inom forskningsprojektet
Tillgång till personuppgifter enligt utredningens förslag om begränsad direktåtkomst eller annat elektroniskt utlämnande får endast ske till en regional myndighet eller till ett lärosäte. Med lärosäte menas ett statligt universitet eller en statlig högskola som har rätt att utfärda examen på forskarnivå, eller en enskild utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § OSL är ett organ som jämställs med myndighet. Av detta följer att själva tillgängliggörande endast får ske till en aktör som omfattas av reglerna i OSL. Reglerna utgör dock inget hinder mot att det i forskningsprojektet deltar andra aktörer som inte omfattas av OSL. I förhållande till dessa gäller sekretess för uppgifterna som tillgängliggörs med antingen ett omvänt skaderekvisit eller i form av absolut sekretess om det finns en bestämmelse om det som är tillämplig inom forskningen.
För uppgifter som får tillföras forskningen och som omfattas av ett omvänt skaderekvisit hindrar sekretessen i allmänhet inte att en vidare spridning inom projektet sker om uppgifterna är avidentifierade, eftersom risk för men eller skada för den enskilde som huvudregel då inte anses föreligga (se prop. 1979/80:2 Del A s. 84). Detta sker typiskt sett genom att uppgifterna pseudonymiseras.
Om absolut sekretess gäller för de uppgifter som inte får tillföras forskningen, utgör det ett hinder mot vidare spridning av sådana uppgifter. Om uppgifterna omfattas av absolut sekretess uppstår därmed inget behov av någon menprövning. Absolut sekretess för överskottsinformation, skulle således utgöra ett förstärkt skydd mot vidare spridning av uppgifterna. Utredningen anser att det finns skäl för ett sådant skydd.
Behandling av uppgifter enbart för prövning av en begäran om att få ta del av allmänna handling
Vid tillgängliggörande av personuppgifter för klinisk forskning genom utredningens förslag om begränsad direktåtkomst eller annat elektroniskt utlämnande, kommer tillgängliggjorda uppgifter normalt sett vara inkomna och förvarande hos mottagande myndighet enligt 2 kap. 6 § tryckfrihetsförordningen, förkortad TF, (se vidare avsnitt 16.7.2). Vid en begäran om att få ut allmänna handlingar kan mottagande myndighet därmed behöva ta del av uppgifterna för att göra en sekretessprövning. En sådan sekretessprövning ska även göras för överskottsinformation som myndigheten enligt de villkor som gäller för tillgången enligt den nya lagen inte får tillföra forskningen uppgifterna.
Utredningen har jämfört med vad som gäller för uppgifter som tillgängliggörs enligt SVOD. För uppgifter som inte får behandlas av vård- eller omsorgsgivare, eller som tidigare inte har behandlats av vård- eller omsorgsgivaren, gäller absolut sekretess enligt 25 kap. 2 § första stycket OSL. Motsvarande sekretess gällde enligt tidigare regler om sammanhållen journalföring. I förarbetena till de bestämmelserna uttalandes att syftet med den absoluta sekretessen är att en vårdgivare, som enligt PDL saknar befogenhet att ta del av ospärrade uppgifter som en annan vårdgivare gjort tillgängliga för vårdgivaren, inte ska behöva ta del av dessa uppgifter för att kunna avgöra sekretessfrågan om uppgifterna begärs ut (se prop. 2007/08:126 s. 270).
Utredningen gör bedömningen att samma principiella situation kan uppkomma inom ramen för tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande av uppgifter med stöd av den nya lagen. Om behandling av personuppgifter, som enbart sker i anledning av en begäran om att få ut allmänna handlingar i forskningen, ska förhindras behöver en motsvarande bestämmelse om absolut sekretess gälla även avseende tillgängliggörande enligt utredningens förslag om begränsad direktåtkomst eller annat elektroniskt utlämnande av personuppgifter för klinisk forskning. Utredning anser att detta utgör ytterligare ett skäl för att en sådan bestämmelse bör gälla.
17.4.1. Finns det en tillämplig sekretessgrund?
Utredningen gör bedömningen att personuppgifter som tillgängliggörs genom begränsad direktåtkomst eller annat elektroniskt utlämnade för ändamålet klinisk forskning efter utlämnandet omfattas av överförd sekretess enligt 11 kap. 3 § OSL eller en primär sekretessbestämmelse som gäller i forskningen. I vissa fall kan även överförd sekretess enligt 11 kap. 4 § OSL gälla.
Enligt utredningens bedömning går det inte principiellt sett att utesluta att en primär sekretessbestämmelse som gäller i forskningen kan bli tillämplig på uppgifter som tillgängliggörs för ändamålet klinisk forskning enligt utredningens förslag om vidareanvändning av personuppgifter. Den bestämmelse utredningen har kunnat identifiera är 24 kap. 8 § OSL som föreskriver ett starkare sekretesskydd än den överförda sekretessen enligt ovan. Till följd av konkurrensregeln i 11 kap. 8 § skulle sekretess enligt 24 kap. 8 § OSL gälla med företräde framför överförd sekretess enligt 11 kap. 3 § eller 4 § OSL. Det är denna ordning som lagstiftaren har valt. Principiellt kan överförd sekretess bli utkonkurrerad. Utredningen gör bedömningen att det såsom lagstiftningen ser ut för närvarande inte innebär ett sämre sekretesskydd på mottagarsidan.
Däremot finns ingen bestämmelse om absolut sekretess för uppgifter som inte får tillföras forskningen. Därutöver saknas en uttrycklig bestämmelse om vilken sekretess som gäller för uppgifter som inte får tillföras forskningen samt uppgifter som tidigare har behandlats enligt villkoren för behandling enligt de föreslagna reglerna om enklare tillgång till personuppgifter för klinisk forskning. Utredningens överväganden kopplade till dessa frågor följer nedan. Om absolut sekretess bör gälla för överskottsinformation vid direktåtkomst eller annat elektroniskt utlämnande, behövs en ny sekretessbestämmelse som föreskriver det.
17.4.2. Behövs nya sekretessbestämmelser?
Skyddet som följer av 11 kap. 3 § OSL eller 11 kap. 4 § OSL, alternativt en primär sekretessbestämmelse i forskningen, är tillräckligt för uppgifter som tillförs forskningen.
I avsnitt 16.2.2 har utredningen redogjort för den sekretess som blir tillämplig på uppgifterna som tillgängliggörs för ändamålet klinisk
forskning enligt utredningens förslag om enklare tillgång till personuppgifter för klinisk forskning. Den sekretess som blir tillämplig är antingen sekretess med omvänt skaderekvisit eller absolut sekretess. Detta är samma nivå eller starkare än vad som gäller för uppgifterna inom hälso- och sjukvården. Ur integritetsperspektivet gör utredningen därmed bedömningen att detta är ett tillräckligt starkt sekretesskydd.
Undantagen i 11 kap. 3 § andra stycket och 11 kap. 4 § andra stycket OSL ändrar inte bedömningen
Av 11 kap. 3 § andra stycket OSL följer att överföring av sekretess enligt bestämmelsens första stycke inte tillämpas på en uppgift som ingår i ett beslut hos den mottagande myndigheten. Motsvarande gäller enligt 11 kap. 4 § andra stycket OSL vid elektronisk tillgång till en upptagning för automatiserad behandling.
Utredningen gör bedömningen att undantagen sällan bör bli tillämpliga på uppgifter som tillgängliggörs till den kliniska forskningen. Om så ändå skulle vara fallet, får den offentlighet som följer av detta anses vara motiverad. Ett sådant övervägande har redan gjorts till grund för lagstiftningen och gäller i dag vid utlämnade till forskning från hälso- och sjukvården enligt allmänna regler. Det saknas anledning att ha en annan ordning för uppgifter som får tillföras forskningen enligt de nya reglerna om enklare tillgång.
Behov av en ny bestämmelse som föreskriver absolut sekretess för uppgifter som inte får tillföras forskningen
I avsnitt 17.4.1 har utredningen gjort bedömningen att det finns ett behov av absolut sekretess för uppgifter som inte får tillföras forskningen. Utredningen har också konstaterat att absolut sekretess kan bli tillämplig på uppgifterna inom forskningen, om det är så att en primär sekretessbestämmelse inom forskningen gäller för uppgifterna. Utgångspunkten är dock att överföring av hälso- och sjukvårdssekretessen sker och då gäller endast ett omvänt skaderekvisit. Det finns ingen befintlig sekretessbestämmelse som generellt sett föreskriver absolut sekretess för uppgifter som tillgängliggörs, men
som inte får tillföras forskningen. Utredningen behöver därför föreslå en sådan bestämmelse.
Bör det införas en bestämmelse om sekretess för uppgifter som får tillföras forskningen, eller som mottagande myndighet tidigare har behandlat?
Utredningen har övervägt om det bör införas en sekretessbestämmelse som avser uppgifter som får tillföras forskningen
En sådan bestämmelse skulle likna den som finns i 25 kap. 2 § andra stycket OSL och som avser behandling av personuppgifter enligt SVOD. För ändamålet vården av en annan patient än den som uppgifterna avser föreslår utredningen en motsvarande bestämmelse, se avsnitt 16.4.
Utredningen konstaterar att en sådan bestämmelse skulle bli en ny primär sekretessbestämmelse hos den mottagande myndigheten. Utredningen redogör i avsnitt 8.3.4 för den sekretess som i dag gäller inom forskning. Utredningen konstaterar att det inte behövs någon ytterligare bestämmelse om sekretess, eftersom det redan finns. Det framstår inte heller som lämpligt med flera konkurrerande sekretessbestämmelser. Dessutom kan en föreslagen ny sekretessbestämmelse för uppgifter som får tillföras forskning medföra ett lägre sekretesskydd än vad som annars skulle gälla i den situationer där uppgifterna enligt befintliga bestämmelser omfattas av absolut sekretess. Utredningen anser därför inte att det är lämpligt med en sekretessbestämmelse för uppgifter som får tillföras forskningen.
Upplysning om sekretesskyddet i forskningen
En bestämmelse som anger sekretess för uppgifter som får tillföras forskningen eller har behandlats tidigare, innebär enligt utredningens bedömning, inte att något ytterligare sekretesskydd i materiellt hänseende tillförs. Utredningens bedömning är i stället att det finns tillämpliga befintliga sekretessregler för dessa uppgifter, se ovan avsnitt 17.3.2. En bestämmelse om vilken sekretess som gäller för uppgifter som får tillföras forskningen skulle därmed endast tjäna ett förtydligande syfte.
För att det ska gå att ange en sekretess i en förtydligande bestämmelse behöver det stå klart vilken sekretess det är som gäller.
Utredningen har ovan gjort bedömningen att det i många fall kommer att vara frågan om överförd hälso- och sjukvårdssekretess. Om så är fallet ska den förtydligande bestämmelsen ange ett omvänt skaderekvisit. Utredningen har dock konstaterat att den överförda sekretessen kan konkurreras ut av en primär sekretessbestämmelse som är tillämplig inom forskningen. Om det är fallet kan det bli fråga om absolut sekretess för uppgifterna i forskningen. I sådana fall bör den förtydligande bestämmelse föreskriva absolut sekretess. En förtydligande bestämmelse behöver mot denna bakgrund ta höjd för att det både kan gälla sekretess med omvänt skaderekvisit och absolut sekretess. En sådan upplysning kan förvisso i sig bidra med en form av tydlighet. Däremot bidrar den inte med en tydlighet som går ut på att slå fast vilken sekretess som gäller. Den kan därmed inte vara utformad eller ha samma funktion som 25 kap. 2 § andra stycket OSL har i förhållande till behandling av personuppgifter enligt SVOD. Detta hänger samman med att det inte finns någon generell ”forskningssekretess”, såsom det finns en hälso- och sjukvårdssekretess enligt 25 kap. 1 § OSL. Vilken sekretess som gäller för uppgifterna som tillförs forskningen måste fortfarande bedömas inom ramen för forskningen. Utredningen har mot denna bakgrund landat i att det inte fyller någon egentlig förtydligande funktion att i en bestämmelse ange en upplysning om den sekretess som kan gälla i forskningen
17.4.3. Intresseavvägning
Rätten att ta del av allmänna handlingar är ett uttryck för offentlighetsprincipen. Syftet med denna rätt är enligt 2 kap. 1 § TF att främja ett fritt meningsutbyte, en fri och allsidig upplysning och ett fritt konstnärligt skapande. Offentlighetsprincipen är en grundläggande princip i den svenska rättsordningen, och innebär att allmänheten har rätt till insyn i och tillgång till information om samhällsorganens verksamhet. Syftet med principen är bland annat att genom allmänhetens insyn i offentlig verksamhet garantera rättssäkerheten, effektiviteten i förvaltningen, effektiviteten i folkstyret och att främja allmänhetens förtroende för myndigheterna.
En sekretessbestämmelse innebär en begränsning av den grundlagsfästa rätten att ta del av allmänna handlingar. När fråga uppkommer om att införa en ny sekretessbestämmelse måste det därför
alltid göras en avvägning mellan behovet av sekretess och intresset av att insynen i en offentlig verksamhet inte begränsas. Frågan i detta fall är hur stort allmänintresset av insyn är när det gäller uppgift om personliga förhållanden inom klinisk forskning vid vidareanvändning av personuppgifter för klinisk forskning.
Det kan konstateras att det rör sig om uppgifter om enskilds personliga förhållanden som kommer från hälso- och sjukvården, det vill säga uppgifter som ofta är av mycket känslig karaktär. För sådana uppgifter gäller enligt nuvarande regler sekretess med ett omvänt skaderekvisit, det vill säga utgångspunkten, vid en begäran om utlämnande från hälso- och sjukvården, är att uppgifterna inte ska lämnas ut. Det är tydligt att det finns ett behov av ett starkt skydd för uppgifterna, både i förhållande till allmänheten och till andra myndigheter.
Det kan konstateras att allmänheten kan ha ett intresse och behov av insyn i forskningsverksamhet. Medierna och enskilda bör ha möjlighet att granska den verksamhet som omfattas av den föreslagna lagstiftningen.
Den föreslagna regleringen innebär en begränsning i förhållande till vad som annars skulle gälla på så sätt att den myndighet inom en region eller det lärosäte som ges tillgång till personuppgifter för ändamålet klinisk forskning enligt utredningens lagförslag, som ska pröva en begäran om utlämnande av allmänna handlingar, inte ska behöva ta del av uppgifter om enskild bara för att hantera begäran. Med andra ord ska det inte krävas att den regionala myndigheten eller lärosätet tar del av fler uppgifter än vad som får tillföras forskningen för att hantera begäran. Den innebär även ett förstärkt skydd mot vidare spridning av överskottsinformation till andra aktörer inom forskningsprojektet.
Den föreslagna regleringen innebär dock att uppgifter om en enskild i forskningen, på samma sätt som i dag, kommer att omfattas av sekretess hos den regionala myndigheten eller lärosätet som forskar (se mer om detta i avsnitt 17.3.3 och 17.4.2). Vidare avser den absoluta sekretessen uppgifter som mottagande myndighet, utan utredningens förslag om förenklad tillgång, inte hade haft rätt att få tillgång till och därmed inte skulle ha varit förvarade hos myndigheten. Utredningens förslag om förenklad tillgång innebär därmed att det förvaras uppgifter som allmänheten kan ha ett intresse av att ha insyn i. För mediernas rapportering och allmänhetens insyn i verksamheten kan
det ha viss betydelse att rätten att ta del av allmänna handlingar inskränks på det föreslagna sättet.
Vid en avvägning bedömer dock utredningen att behovet av skydd för uppgifterna väger tyngre än behovet av insyn i verksamheten, och att en sekretessbestämmelse med den föreslagna lydelsen bör införas.
17.4.4. Utformning av sekretessbestämmelserna
Med hänsyn till att sekretess är ett undantag från huvudregeln om offentlighet ska en sekretessbestämmelse utformas så att handlingsoffentligheten inte begränsas mer än vad som är nödvändigt för att uppfylla syftet med bestämmelsen. Bestämmelsens tillämpningsområde bestäms av föremålet för sekretessen, sekretessens räckvidd och styrka.
Sekretessregleringens föremål och räckvidd
Med sekretessens föremål avses vilka uppgifter som ska kunna hemlighållas med stöd av den föreslagna sekretessbestämmelsen. Som framgår av ovan finns det ett behov av att skydda uppgift om enskildas personliga förhållande vid tillgängliggörande av personuppgifter för klinisk forskning. Med uppgift om enskilds personliga förhållanden avses till exempel uppgift om psykisk och fysisk hälsa och ekonomi, men också mindre integritetskänsliga uppgifter, såsom någons adress (prop. 1979/08:2 del A s. 84). Det kan vara svårt att i förväg närmare ange vilka uppgifter om enskildas personliga förhållanden som är skyddsvärda. En till synes harmlös uppgift kan i kombination med andra uppgifter sammantaget innebära att den enskilde lider men om uppgiften röjs. Sekretessen i den föreslagna bestämmelsen bör därför omfatta samtliga uppgifter om en enskilds personliga förhållanden som gjorts tillgängliga för en myndighet enligt lagen (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning.
När det gäller frågan om sekretessregleringens räckvidd bör sekretessbestämmelsen gälla hos samtliga myndigheter som kan vara mottagare av uppgifterna enligt den föreslagna lagen (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning. Av tydlighetsskäl föreslår utredningen att räckvidden också preciseras genom att bestämmelsen anger att den avser uppgifter som gjorts tillgängliga av en myndighet i en region som bedriver verksamhet inom hälso-
och sjukvård. I stället för formuleringen ”regional myndighet” som används i utredningens föreslagna lag, bör i OSL anges ”myndighet i en region” eftersom det stämmer överens med andra liknande bestämmelser i OSL. Innebörden är dock enligt utredningens bedömning densamma.
Sekretessens styrka
Nästa fråga utredningen har att ta ställning till är vilken styrka sekretessen bör ha. Huvudregeln när en ny sekretessbestämmelse ska utformas är att det inte ska gälla mer sekretess än vad som är nödvändigt för att skydda de intressen som har föranlett bestämmelsen. Ett av syftena med den föreslagna bestämmelsen är att en mottagande myndighet, som inte behöver tillgängliggjorda uppgifter för sin forskning, inte ska behöva ta del av uppgifter om den enskilde bara för att pröva en begäran om utlämnande av allmänna handlingar. Vidare är syftet att stärka integritetsskyddet genom att sekretess hindrar vidare spridning av uppgifterna. För att uppnå dessa syften krävs det att sekretessen är absolut, det vill säga att någon sekretessprövning inte ska göras vid begäran om utlämnande av handlingen.
Placeringen av sekretessbestämmelsen
Sekretessen enligt den föreslagna bestämmelsen gäller hos en myndighet som bedriver forskning. Bestämmelsen bör därför lämpligen placeras i 24 kap. OSL, som innehåller bestämmelser om sekretess till skydd för enskild inom forskning och statistik. Var bestämmelsen systematiskt passar in är enligt utredningens mening inte helt uppenbart. Dock förefaller det vara logiskt att den placeras före 8 §, som bland annat avser statistik. Utredningen föreslår mot denna bakgrund att det införs en ny bestämmelse 7 b §. Bestämmelsen ska ha rubriken Vidareanvändning enligt lag (0000:00) om viss vidareanvänd-
ning av personuppgifter för klinisk forskning.
Sekretesstiden
I sekretessbestämmelser anges regelmässigt för hur lång tid sekretessen ska gälla. Det är skyddsintresset som avgör hur lång sekretesstiden bör vara. När det gäller uppgifter om enskildas personliga förhållanden bestäms ofta sekretesstiden till 70 år (se bland annat 25 kap. och 24 kap. 1 och 2 §§ OSL). Bakgrunden till det är att sekretessen som utgångspunkt bör gälla under större delen av den enskildes livstid (prop. 1979/80:2 Del A s. 460 och 493 f). Det finns inte skäl för att här frångå denna ordning. Utredningen föreslår därför att en tidsgräns på 70 år ska gälla i den nya sekretessbestämmelsen.
17.4.5. Rätten att meddela och offentliggöra uppgifter
Utredningen redogör i avsnitt 17.2.6 för de rättsliga utgångspunkterna med avseende på rätten att meddela och offentliggöra uppgifter.
Utredningen föreslår att en ny sekretessbestämmelse ska införas i 24 kap. OSL som gäller sekretess hos en myndighet för uppgift om enskilds personliga förhållanden som gjorts tillgängliga av en myndighet i en region som bedriver hälso- och sjukvård enligt den föreslagna lagen (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning. Bestämmelsen avser uppgifter som, enligt de föreslagna reglerna i den nya lagen, inte får tillföras forskningen. Enligt förslaget ska bestämmelsen utformas utan skaderekvisit, det vill säga absolut sekretess ska gälla. Denna omständighet, liksom det förhållandet att uppgifterna ursprungligen har lämnats till hälso- och sjukvården i förtroende, talar för att tystnadsplikten bör ha företräde framför rätten att meddela och offentliggöra uppgifter (jämför prop. 1979/80:2 Del A s. 111–112).
När uppgifterna finns i hälso- och sjukvården och omfattas av sekretess inskränks rätten att meddela och offentliggöra uppgifter (25 kap. 18 § andra stycket OSL). Uppgifterna som omfattas av sekretess får inte tillföras forskningen, utan är så kallad överskottsinformation vid tillgängliggörande. Utredningen anser därför att samma ordning bör gälla för uppgifterna som inom hälso- och sjukvården. Inskränkning i rätten att meddela och offentliggöra uppgifter förekommer också inom forskning (24 kap. 9 § OSL). Mot denna bakgrund bör 24 kap. 9 § OSL ändras så att den tystnadsplikt som följer av den föreslagna sekretessbestämmelsen i 24 kap. 7 b § OSL in-
skränker rätten att meddela och offentliggöra uppgifter. Utredningen anser att det är lämpligt att ett tillägg görs i andra stycket i 24 kap. 9 §.
17.5. Följdändringar
Förslag: I 25 kap. 7 och 10 §§ OSL ska verksamhet som anges i
utredningens förslag till bestämmelse i 25 kap. 2 a § andra stycket OSL läggas till.
Vissa ändringar ska göras i 10 kap. OSL för att undvika att den absoluta sekretessen hos myndigheter för uppgifter i en precisionsmedicinsk databas bryts. Detsamma gäller för uppgifter som görs tillgängliga för en myndighet enligt lag (0000:00) om vidareanvändning av personuppgifter för klinisk forskning.
I anledning av utredningens förslag om bestämmelser om absolut sekretess, behöver vissa följdändringar göras i OSL.
17.5.1. Ändringar i 25 kap. 7 och 10 §§ OSL
Enligt 25 kap. 7 § OSL gäller sekretess i verksamhet som anges i 1 §, 2 § andra stycket och 3–5 §§ för uppgift i anmälan eller utsaga av en enskild om någons hälsotillstånd eller andra personliga förhållanden, i förhållande till den som anmälan eller utsagan avser, endast om det kan antas att fara uppkommer för att den som har lämnat uppgiften eller någon närstående till denne utsätts för våld eller lider annat allvarligt men om uppgiften röjs. Enligt 25 kap. 10 § gäller inte sekretess enligt 1 §, 2 § andra stycket, 3–5 §§ och 8 a och 8 b §§ för viss i bestämmelsen uppräknade typer av beslut.
Utredningen föreslår en ny bestämmelse om sekretess för uppgifter som en myndighet har tillgång till i en precisionsmedicinsk databas. Regleringen motsvara den som gäller vid sammanhållen journalföring enligt 25 kap. 2 § andra stycket OSL. Liksom vid tillgängliggörande och behandling av personuppgifter ett system för sammanhållen vård- och omsorgsdokumentation, avser utredningens förslag om behandling av personuppgifter för ändamålet vården av en annan patient än den som uppgifterna avser, personuppgifter som vårdgivare behandlar enligt 2 kap. 4 § första stycket 1–2 PDL. Samma lagtekniska ordning
som gäller för uppgifter inom sammanhållen vård- och omsorgsdokumentation bör därför enligt utredningens bedömning gälla för uppgifter i en precisionsmedicinsk databas. I fråga om sådana anmälningar som omfattas 25 kap. 7 § bör sekretess enligt den bestämmelsen därmed gälla i stället för sekretess enligt utredningen förslag till bestämmelse. Detsamma gäller undantag från sekretess enligt 25 kap. 10 § OSL.
17.5.2. Ändringar i 10 kap. OSL
I 10 kap. OSL finns vissa bestämmelser som föreskriver att sekretess enligt vissa i bestämmelserna uppräknade paragrafer inte hindrar att uppgifter lämnas till exempelvis Polismyndigheten.
Utredningen konstaterar att ändringar gjordes i 10 kap. 19, 21, 23 och 24 §§ OSL i anledning av införandet av SVOD (se prop. 2021/ 22:177 s. 161 ff.). Syftet med ändringarna var att den absoluta sekretess som infördes inom socialtjänsten kopplat till ett system för vård- och omsorgsdokumentation inte skulle brytas. Sedan tidigare har motsvarande bestämmelser funnits med avseende på den absoluta sekretess inom hälso- och sjukvården som finns för uppgifter i tidigare sammanhållen journalföring. Dessa gäller numera för sammanhållen vård- och omsorgsdokumentation (se prop. 2021/22:177 s. 160).
Utredningen gör bedömningen att motsvarande följdändringar i 10 kap. behöver göras med avseende på utredningens förslag om absolut sekretess, dels för uppgifter i en precisionsmedicinsk databas, dels för uppgifter som tillgängliggörs enligt förslaget till lag (0000:00) om vidareanvändning av personuppgifter för klinisk forskning.
Utredningen föreslår inte någon primär sekretessbestämmelse i forskning som gäller för uppgifter som får tillföras forskningen. Det finns därmed inte behov av några följdändringar i 10 kap. motsvarande de som gjorts avseende sekretess enligt 26 kap. 1 a § andra stycket OSL kopplat till utredningens förslag om sekretess i forskning.
18. Konsekvensutredning
18.1. Inledning
Utredningen kommer i detta kapitel enbart redogöra för de konsekvenser som följer av utredningens författningsförslag. I detta kapitel redogörs primärt för mer övergripande konsekvenser. Mer direkta konsekvenser kopplat till specifika bedömningar och val som ligger till grund för utredningens förslag redogörs för i kapitel 13–17, vilket också inkluderar konsekvenserna för den personliga integriteten (se kapitel 14 för behandling av personuppgifter för vården av en annan än den personuppgifterna avser, respektive 16 avseende ny lag om viss vidarebehandling av personuppgifter för klinisk forskning).
18.2. Konsekvenser av förslaget som rör ändamålet vården av annan patient än den som personuppgifterna avser
I korthet innebär förslaget som rör vidareanvändning av hälsodata för ändamålet vården av en annan patient än den som personuppgifterna avser, att regionerna får inrätta en precisionsmedicinsk databas per samverkansregion samt en inom Nationella genomikplattformen, förkortad, NGP. I detta avsnitt kommer utredningen redogöra för exempelvis ekonomiska konsekvenser, påverkan på det kommunala självstyret med mera.
18.2.1. Ekonomiska konsekvenser av förslagen
Utredningens bedömning är att förslagen kommer ha en svagt positiv effekt på den ekonomiska effektiviteten. I dag läggs förhållandevis stora resurser på att hitta lösningar som är juridiskt gångbara. Om data-
delningen kan göras på ett mer förutsägbart sätt skapar det också bättre förutsättningar för att skapa mer långsiktiga och skalbara lösningar då osäkerheter kring lagstiftningen gör att det finns en viss tveksamhet inför att investera stora mängder resurser i att bygga ett mer hållbart och på sikt mer konstadseffektivt system.
Utöver de direkta kostnaderna så kommer även de indirekta kostnaderna för regionerna att påverkas i båda riktningar. På ena sidan kommer förslagen förhoppningsvis medföra dels att patienter snabbare kan få en diagnos, dels att patienter som i dag inte kunnat få en diagnos kan få en. Hur stor denna effekt är kommer variera över tid eftersom mer kunskap genereras kontinuerligt och förändringen kommer sannolikt inte heller vara jämn över tid. GMS bedömning att 2030 kommer provvolymen inom cancer öka från 10 000 till 75 000. För sällsynta hälsotillstånd bedömer de att antalet prover kommer öka från 4 000 till 15 000.1 Myndigheten för vård- och omsorgsanalys bedömde i sin rapport att upp emot 200 000 personer med cancer kan bli aktuella för provtagning 2030 upp från dagens 10 000. För personer med sällsynta hälsotillstånd bedömde myndigheten att maximalt 115 000 genomsekvenseringar kommer göras 2030, upp från 6 500.2 Detta innebär att många fler patienter kommer kunna få hjälp både med att få en diagnos och att få en bättre behandling. Dessa bedömningar tar inte höjd för exempelvis flytande biopsier eller sekvenseringen som sker inom infektionssjukdomar. Med utredningens förslag så kommer vården kunna ta del information i stort sett i realtid, vilket utredningen bedömer inte verkar vara fallet i förslaget till EHDS. Det finns vissa områden inom precisionsmedicinen, exempelvis inom infektionssjukdomar där vårdutfallet försämras kraftigt på loppet av timmar. Att som i dag söka etikgodkännande eller som det verkar i förslaget till EHDS ansöka eller få tillgång via en annan aktör skulle sannolikt innebära betydande patientrisker. Så även om det är svårt för utredningen att svara exakt på vilka konsekvenser det kommer få att inte genomföra utredningens förslag så är utredningens bedömning att det kommer röra sig om tusentals patienter som inte får den vård de hade kunnat få. Om en patient kan få en diagnos fastställd snabbare innebär det också lägre kostnader för samhället när det krävs färre vårdbesök för att ställa en diagnos, men också lägre kostnader som kan uppstå i samband med suboptimal behandling.
1 https://genomicmedicine.se/var-verksamhet/gms-strategiplan-2021-2030/ (hämtat 2023-10-11). 2 Myndigheten för vård- och omsorgsanalys, 2021, Genvägen till ökad precision.
På andra sidan kan det innebära ökade kostnader för regionerna i och med att andelen patienter som kan få en diagnos ökar, vilket sannolikt kommer öka antalet diagnostiska tester och med de kostnader som följer utav det. När allt fler patienter får möjlighet att få en diagnos kommer det också innebära att fler patienter kan få behandling, vilket sannolikt leder till ökad hälsa och välmående, men också ökade kostnader.
Utvecklingen inom precisionsmedicin går snabbt framåt, vissa behandlingar är potentiellt botande. Det är i dagsläget svårt att säga vilka konsekvenser det kommer få på hälso- och sjukvårdens kostnader. I dag finns stora osäkerheter kopplat till om behandlingarna är faktiskt botande behandlingar, vad långtidseffekterna är samt för hur många sjukdomar denna diagnostik och behandling kommer bli aktuell för. Av den anledningen så är det i dag osäkert om vilka samhällsekonomiska vinster som kommer komma av dessa behandlingar.
Flera av vinsterna i former av skatteintäkter som kommer av att dessa personer blir friska och kan arbeta kommer dock tillfalla staten och ofta storstadsregionerna och dess kommuner. Även om detta kan sägas om vårdkostnader generellt så är det som är speciellt med till exempel avancerade terapiläkemedel att kostnaderna för att behandla en enskild individ ofta är väldigt höga och sker vid ett och samma tillfälle. Därutöver finns det exempel, så som ärftlig transtyretinamyloidos, även kallad Skelleftesjukan, där en ärftlig sjukdom är koncentrerad till en geografisk plats. När det kommer en avancerade terapi för en sådan sjukdom kan det plötsligt uppstå ohanterligt stora kostnader för enskilda regioner och det kan då vara lämpligt att kostnaderna för detta hanteras nationellt på något vis. Finansieringen behöver inte vara statlig, men det kan vara lämpligt att dela på risken. Här vill utredningen också understryka att en särskild pott för att finansiera denna typ av behandlingar sannolikt kommer vara ineffektivt. Anledningen till denna bedömning beror på att kostnaderna för vissa läkemedel då sannolikt kommer öka när läkemedelsbranschen ser att det finns utrymme för högre betalningsvilja för vissa läkemedel. En sådan lösning skulle snedvrida den konkurrensen på marknaden. Utredningen är inte principiellt emot särbehandling då det i vissa fall kan finnas goda skäl för det. Exempelvis hanteras inte prissättningen för läkemedel med patent på samma sätt som prissättning av generika. Utredningens bedömning är däremot att det finns andra sätt som är mer lämpliga och som bör övervägas för att lösa problemet. Ett sådant
exempel är att se över om exempelvis den solidariska finansieringen mellan regionerna kan utvecklas.
Slutligen anser utredningen att dessa konsekvenser redan finns i dag men kommer öka vid ett införande av precisionsmedicinska databaser och de nya möjligheter dessa skapar. Det finns därför anledning att se över finansieringsfrågan eftersom det annars enligt utredningen finns en uppenbar risk för underanvändning av dessa behandlingar.
Investeringskostnader
Det är svårt att bedöma investeringskostnaderna för regionerna eftersom vissa delar av de precisionsmedicinska databaserna redan i dag finns på plats och förutsättningarna ser olika ut mellan regionerna. Därutöver så är kostnaderna direkt kopplade till ambitionsnivån för själva databasen. Att inrätta en enkel SQL-databas med grundläggande data går att göra på några timmar. Kostnaderna för att säkerställa att alla system som behöver vara kompatibla med databasen för att möjliggöra informationsutbyte, skapa ett gränssnitt för att underlätta sökning och urval samt visa upp utfall kan däremot variera kraftigt.
Rent teoretiskt skulle utredningen kunnat göra en hälsoekonomisk bedömning av ungefär hur mycket pengar det hade varit rimligt att investera i en precisionsmedicinsk databas. I praktiken saknas dock mycket av den data som behövs för att göra en sådan beräkning och utredningen bedömer att ett sådant investeringsbeslut bäst lämnas åt regionerna eftersom de behöver väga de mot andra investeringar inom regionen.
Utredningens utgångspunkt, i valet av vilken lösning som utredningen bedömt bäst svarar upp mot behoven inom precisionsmedicin, har varit att den direkta investeringskostnaden för en precisionsmedicinsk databas är låg i förhållande till dels nyttan av precisionsmedicinsk behandling, dels att kostnaden är låg i förhållande till den sammantagna kostnaden för precisionsmedicin. Exempelvis kan bara läkemedelskostnaden för en behandling av en enskild individ kosta flera miljoner kronor.3
Utöver det så bedömer utredningen också att det är sannolikt att de precisionsmedicinska databaserna möjliggör för besparingar om det är så att hälso- och sjukvården i stället för att testa sig fram bland
3 Tandvårds- och läkemedelsförmånsverket, 2021, Hälsoekonomisk bedömning av Luxturna (voretigen neparvovek).
olika läkemedelsbehandlingar inom exempelvis cancer i stället kan välja den bästa behandlingen för den enskilda patienten direkt, så sparar hälso- och sjukvården in såväl på läkemedelskostnader som på behandlingskostnader. En precisionsmedicinsk databas som sannolikt skulle kosta några miljoner kronor bedömer utredningen är en liten kostnad i sammanhanget. Sedan kan kostnaderna öka till att bli mer omfattande, men detta beror som sagt på om regionerna ambitionsnivå.
Där till kommer att utredningen anser att Europeiska kommissionens förslag till Europaparlamentets och Rådets förordning om ett europeiskt hälsodataområde, COM(2022) 197 final av den 3 maj 2022, förkortad förslaget till EHDS, kan komma att påverka investeringskostnaderna. Eftersom förordningen fortfarande är under förhandling är det svårt att säga hur förslaget kommer påverka regionernas kostnader. Det är även värt att nämna att utredningen på sikt ser att de precisionsmedicinska databaserna kommer bli en integrerad del av det ekosystem som hälsodataområdet kommer att utgöra. Då kan det hända att det kommer behöva ske integreringar exempelvis mellan den nationella datahubben som utredningen ser framför sig och de precisionsmedicinska databaserna. Utredningen tar inte ställning till frågor som denna eftersom det behöver utredas inom ramen för anpassningen till förslaget till EHDS.
Vad gäller indirekta investeringskostnader regionerna kommer stå inför är i praktiken svårt, om ens möjligt att bedöma på förhand då det beror på regionernas prioriteringar. Sammantaget bedömer dock utredningen att kostnaderna för förslagen bör kunna omhändertas inom befintligt budgetutrymme.
Fasta kostnader
De fasta kostnaderna för regionen består framför allt av driften av de precisionsmedicinska databaserna. Även här är kostnaderna starkt beroende av hur regionerna väljer att utforma databaserna. Utredningens bedömning är att regionerna redan bär flera av de fasta kostnaderna, exempelvis genom NGP. De ytterligare fasta kostnader som tillkommer bedömer utredningen att regionerna bör kunna ta inom befintliga budgetramar.
Variabla kostnader
En fördel med utredningens förslag är att lösningen är skalbar och att den extra kostnaden för att lägga till ytterligare användare är låg. Den stora kostnaden kommer av att fler personer nu kommer kunna arbeta med precisionsmedicin inom hälso- och sjukvården, vilket sannolikt kommer leda till en kostnadsförskjutning inom hälso- och sjukvården när arbetssätten förändras. Utredningen ser dock ingen anledning till att de variabla kostnaderna bör öka nämnvärt, utan snarare minska till följd av att utredningen förslag gör det enklare för regionerna att arbeta med precisionsmedicin. Därmed bör snarare kostnaderna på lång sikt minska, om än marginellt.
18.2.2. Utredningens förslag i förhållande till Nationella genomikplattformen
I dagsläget finns infrastrukturen NGP som etablerats av Genomic Medicine Sweden (GMS), se avsnitt 14.7.3 för en mer utförlig beskrivning av NGP. Syftet med etableringen av plattformen har varit att på ett smidigt sätt möjliggöra datadelning för ändamål relaterat till precisionsmedicin.
Eftersom det i dag inte är möjligt att dela data för vården av en annan patient än den som personuppgifterna avser, används plattformen i dag endast för ändamålet forskning. Utredningen föreslår att det får inrättas en precisionsmedicinsk databas per samverkansregion och utöver dessa får det även inom NGP inrättas en precisionsmedicinsk databas. Utredningen ser att det finns ett behov av att arbetet med NGP och de samverkansregionala precisionsmedicinska databaserna är synkroniserat. Utredningen ser dock inte att infrastrukturerna kommer vara konkurrerande utan snarare att de kan komplettera varandra. Utredningen bedömer också att det går i linje med ambitionen om att skapa en nationell digital infrastruktur som också innehåller regionala datahubbar.
18.2.3. Konsekvenser av att inrättandet av precisionsmedicinska databaser är frivilligt
Det finns en risk att frivilligheten leder till ett ojämlikt införande mellan regionerna, vilket i sin tur skulle kunna leda till att hälso- och sjukvården inte blir jämlik. Det skulle också kunna leda till att regionerna inte kommer överens eller att de inte tycker att det är värt att investera i. Här är sammanhållen journalföring ett tydligt exempel på en frivillig lagstiftning som ännu inte är fullt ut implementerad trots att de legala förutsättningarna funnits i många år, se exempelvis E-hälsomyndighetens rapport ”Sammanhållen journalföring – Möjligheter till digital informationsförsörjning på hälsodataområdet”.4
Utredningens bedömning är att sammanhållen journalföring är mycket mer omfattande än arbetet med en precisionsmedicinsk databas är. Utredningens bedömning är också att antalet aktörer som har relevanta data att rapportera in till databasen är betydligt färre. Utredningen bedömer också att det är rimligt att anta att en precisionsmedicinsk databas kommer fylla sin funktion även om inte alla som får väljer att rapportera in sina data till databasen. Detta baserar utredningen på att en stor del av alla data som ska finnas i de precisionsmedicinska databaserna både rapporteras in och används av samma del av vården. Detta gör att relevanta vårdgivare sannolikt har ett starkt incitament att rapportera in uppgifterna till de precisionsmedicinska databaserna.
En annan risk är att en eventuell framtida tillämpning av finansieringsprincipen till följd av förslaget till EHDS skapar ett tydligt incitament för regionerna att avvakta utvecklandet av precisionsmedicinska databaser i väntan på att kostnaderna eventuellt helt eller delvis skulle kunna omfattas av finansieringsprincipen. Detta skulle dock i praktiken innebära att regionerna väljer att prioritera bort att hjälpa vissa patienter, senarelägga införande av precisionsmedicin i Sverige, vilket också skulle skada svensk forskning inom precisionsmedicin.
Utredningens bedömning är att kostnaderna för en precisionsmedicinsk databas kan variera beroende på ambitionsnivå, men att kostnaderna inte bör vara så pass höga att det bör finnas någon risk att regionerna väljer att inte investera i precisionsmedicinska databaser i hopp om och att eventuellt få finansiering från staten för att
4 E-hälsomyndigheten, 2022, rapport Sammanhållen journalföring – Möjligheter till digital informationsförsörjning på hälsodataområdet.
etablera dem. Utredningen bedömer därutöver att regionernas arbete inom GMS med NGP visar på att regionerna prioriterar införandet av precisionsmedicin i vården och redan i dag har delar av infrastrukturen på plats. Utredningen ser det därför inte som sannolikt att regionerna skulle avvakta med att införa precisionsmedicin till förmån för eventuell statlig finansiering.
18.2.4. Konsekvenser av att enskilda kan motsätta sig personuppgiftsbehandlingen
Utredningen föreslår att enskilda ska kunna motsätta sig personuppgiftsbehandlingen genom att motsätta sig att deras personuppgifter får tillgängliggöras till en precisionsmedicinsk databas, även kallat opt-out. Utredningen har varit i kontakt med Findata som uppgav att 500 personer i hela Finland har motsatt sig personuppgiftsbehandling för samtliga ändamål i deras sekundäranvändningslagstiftning.5 Utredningen ser ingen anledning till att det skulle finnas en stor skillnad mellan Sverige och Finland, även om det inte är exakt samma personuppgiftsbehandling som jämförs.
Om en stor andel av en patientpopulation skulle välja att motsätta sig personuppgiftsbehandlingen som följer av förslagen så skulle det kunna få långtgående negativa effekter på precisionsmedicin i allmänhet och behandlingen av samtliga patienter som kan behandlas med stöd av data från de precisionsmedicinska databaserna.
Skulle det visa sig att enskilda väljer att motsätta sig personuppgiftsbehandlingen på grund av att de inte litar på den offentliga vården att hantera deras data, anser utredningen att problemet är mycket större än det som följer av implementeringen av precisionsmedicinska databaser. Om en sådan situation skulle uppstå behöver frågan om varför enskilda väljer att motsätta sig personuppgiftsbehandlingen, adresseras enligt utredningen på annat vis än att genom att begränsa möjligheterna till att motsätta sig personuppgiftsbehandlingen.
5 Diarienummer: Komm2022/00460/S 2022:04-25.
18.2.5. Konsekvenser av att vissa referenser inte kan ingå i de precisionsmedicinska databaserna
Inom precisionsmedicin finns det ett behov av att exempelvis jämföra genuppsättning mellan patienten som undersöks och friska referenser. Patientdatalagen (2008:355), hädanefter PDL, reglerar dock personuppgiftsbehandling av enbart patienter och inte personuppgiftsbehandling av friska personer, som inte är eller har varit patienter. Utredningen har därmed bedömt att det inte är vare sig lämpligt eller möjligt att lämna författningsförslag som möjliggör för att personuppgifter från friska personer, som inte är eller har varit patienter, skulle ingå i de precisionsmedicinska databaserna.
Ett sådant förslag skulle innebära ett nytt omfattande regelverk och sannolikt också innebära en stor förändring av hur svensk hälso- och sjukvård fungerar. Utredningens bedömning är att det inte går att utläsa ur utredningens direktiv att regeringen önskade en sådan översyn. Utredningen har övervägt andra lagtekniska lösningar, men bedömt att dessa skulle bli svåra att tillämpa i praktiken och sannolikt leda till än fler tillämpningssvårigheter på hälsodataområdet. Utredningen bedömer att detta är en svaghet i de föreslagna precisionsmedicinska databaserna och personuppgifter från friska referenser, som inte är eller har varit patienter, kommer tills vidare behöva hanteras på annat sätt än i de precisionsmedicinska databaserna. Utredningens bedömning är att även om det inte är en tillfredsställande lösning, så är utredningens uppfattning att utredningens förslag kommer skapa tillräcklig nytta ändå och att ytterligare datamängder eller behov kommer behöva byggas på allt eftersom.
18.2.6. Konsekvenser för patienterna
För patienterna innebär förslaget att vården kan göras mer jämlik och att regionerna kan erbjuda en bättre vård till patienterna. Det innebär också att allt fler patienter kan få en diagnos och därmed också bättre behandling.
Utredningen bedömer också att förslagen skapar bättre förutsättningar för en mer sammanhållen vård för patienter med exempelvis sällsynta hälsotillstånd till följd av att regleringen för datadelning blir mer centrerad kring patientens behov snarare än att ha ett mer strikt organisationsperspektiv.
Förslagen kommer dock innebära att fler personer kan ta del av patienternas känsliga personuppgifter. För utredningens bedömning av enskilda val som utredningen gjort i förhållande till den personliga integriteten se kapitel 13 och 14.
Konsekvenser för barn
När det kommer till att dela hälsodata om barn finns det ett flertal faktorer som behöver tas i beaktande i större utsträckning än när hälsodata om vuxna delas.
Barn har lång förväntad livslängd och insamlade data kommer sparas under lång tid. Det gör att det är än svårare att bedöma den tekniska utvecklingen som kommer ske under barnens livstid och vad det kan innebära för exempelvis den personliga integriteten. Det kan också röra sig om bifynd som i dag inte går att hantera eller som hälso- och sjukvården inte kan bedöma konsekvenserna av. Det skapar också utmaningar kopplat till rätten att inte veta om att man bär på vissa anlag för exempelvis ärftliga sjukdomar.
Därutöver är det svårare för barn att fatta beslut kopplade till sina hälsodata. Enligt barnkonventionen ska barnens inflytande påverkas av ålder och mognad. Beslut kopplade till att dela sina hälsodata kan vara svåra även för vuxna.
Att dela hälsodata om barn till hälso- och sjukvården kan innebära tillgång till information för hälso- och sjukvården som kan ligga till grund för att ta fram nya behandlingar för att ge ännu bättre hälso- och sjukvård till barn i framtiden. Barn som i dag får en behandling inom hälso- och sjukvården kan tillgodogöra sig sådan kunskap som hälso- och sjukvården byggt upp genom att bland annat ta del av hälsodata från tidigare patienter som utgjorts av barn. Detta gäller även vuxna, men när det kommer till barn rör det sig oftare om små populationer, vilket gör att varje individ står för en större del av alla tillgängliga data.
Utöver det är det svårt att använda begreppet samtycke när det kommer till barn. När datainsamling avseende barn direkt eller indirekt är villkorad av vårdnadshavarnas inställning uppstår en situation där särskild hänsyn behöver tas. Det blir då viktigt att ett barn får information om vilka data som samlats in med föräldrarnas medgivande
och att barnen, när de uppnått sådan ålder och mognad som krävs, ges möjlighet att få sina data raderade i de fall det är möjligt.
Det är inte heller alltid så att det är samma typer av data som behöver samlas in för vuxna som för barn. Barn kan exempelvis få andra biverkningar av en behandling än vad vuxna får, vilket återigen visar på vikten av möjligheten att samla in relevanta data om barn. Trots dessa konsekvenser har utredningen landat i att vårdnadshavare bör ha rätt att motsätta sig sådan personuppgiftsbehandling för sina barns data.
Eftersom barnpopulationen är så liten så finns det stora vinster att göra ifall data kan delas internationellt, inte helt olikt vinsterna av att dela hälsodata kopplat till personer med sällsynta hälsotillstånd. Att dela hälsodata om barn över landsgränser är juridiskt komplext och ställer även stora krav på kontroll över vilka data delas med samt hur kontrollen över datan säkerställs och den generella skyddsnivån i mottagarlandet behöver fastställas och bemötas på olika sätt. Eftersom utredningen inte lämnar författningsförslag för internationell datadelning kommer dessa behov kvarstå och förhoppningsvis omhändertas inom ramen för EHDS.
För en redogörelse över mer specifika konsekvenser och utredningens avväganden kring detta se avsnitt 14.10.6.
Konsekvenser för personer som inte endast tillfälligt saknar förmåga att ta ställning
Utredningens bedömning är att det finns personer som inte endast tillfälligt saknar förmåga att ta ställning, som kommer att påverkas av förslagen. Utredningens bedömning rent generellt är att anpassningar görs för denna grupp i dag och att det inte är samma anpassningar som behövs för alla situationer. Så utredningen har valt att beskriva specifika konsekvenser för denna grupp i avsnitt 14.10.7.
18.2.7. Risken för ändamålsglidning
Utredningens bedömning är att förslagen avseende en precisionsmedicinsk databas skapar en risk för ändamålsglidning och att det finns en risk för att personal skulle kunna utnyttja de precisionsmedicinska databaserna för att bedriva forskning utan att ha fått ett etikgodkännande.
Utredningen har gjort bedömningen att denna risk redan finns i dag och bedömer att risken för att forskning ska bedrivas under ändamålet vård är låg, om än högre inom precisionsmedicinen än inom andra delar av hälso- och sjukvården. Utredningen bedömer dock att det inte är själva konstruktionen som utredningen föreslår som ger upphov till risken för ändamålsglidning utan det precisionsmedicinska arbetssättet i sig självt som innebär en förhöjd risk. Utredningens bedömning är därför att det som konstruktionen kan göra är att minska riskerna för ändamålsglidning och att inte skapa en konstruktion som ökar riskerna. I denna del har exempelvis utredningen valt att avgränsa bort olika ändamål som personuppgifterna får användas för, däribland forskning. Utredningen skulle kunna gå längre i denna del och föreslå att det ska utföras regelbundna kontroller utöver de som redan görs.
Utredningen har dock bedömt att det redan i dag finns en rad skyddsmekanismer för att skydda patienter mot att personal som bedriver forskning utan etikgodkännande och att det inte funnits anledning att föreslå parallella strukturer. Om det är så att regionerna och de statliga myndigheterna skulle bedöma att ytterligare skydd krävs kopplat till det precisionsmedicinska arbetssättet så är utredningens bedömning att det då bör utredas separat. Anledningen till det är att utredningens uppdrag är inriktad på hur precisionsmedicinen ser ut i dag och vilka behov som finns just nu, samt att möjliggöra vidareanvändning. Ett arbete med ytterligare skyddsmekanismer hade behövt ta ett större och annorlunda angreppssätt som omfattade fler aktörer, en större del av vården och med fokus på patientsäkerhet och etik.
Utredningen är också medveten om att det finns en debatt kring begreppet beprövad erfarenhet och vad det innebär i praktiken.6 Utredningen bedömer dock att det inte är utredningens roll att se över begreppet beprövad erfarenhet och att det inte heller är nödvändigt för att utredningens förslag ska kunna genomföras.
Slutligen gör utredningen bedömningen att de nyttor som det precisionsmedicinska arbetssättet innebär är betydande och har stor potential. Hur stor effekten av precisionsmedicinen kommer bli är svår att förutse, men potentialen är betydande och de potentiella nyttorna och kostnadsbesparingarna bedömer utredningen vida över-
6 Se exempelvis https://lakartidningen.se/aktuellt/kultur-2/2015/12/var-erfarenhet-av-beprovaderfarenhet/ (hämtat 2023-09-21).
stiger de eventuella riskerna. Utredningen bedömer också att riskerna bör gå att kunna hantera och att det bara är en fråga om att anpassa sig till den nya verkligheten som precisionsmedicinen för mig sig. Detta är inte den första systemtransformationen som vården står inför och det finns ingen anledning att tro att hälso- och sjukvården inte skulle kunna hantera den systemtransformation som precisionsmedicinen innebär.
18.2.8. Konsekvenser för forskning
Även om de precisionsmedicinska databaserna inte får användas för forskning så får de uppgifter som finns i databaserna användas för forskning när de finns hos de vårdgivare som tillgängliggörs uppgifter till databaserna. Forskare skulle därmed kunna vända sig till respektive vårdgivare för att begära ut den data som tillgängliggjorts till de precisionsmedicinska databaserna. Därmed bedömer utredningen att de negativa konsekvenserna av att forskare inte får använda data som ligger i de precisionsmedicinska databaserna inte är betydande.
Utredningen är dock medveten om att det skulle kunna få konsekvenser som att användningen av den precisionsmedicinska databasen blir mer begränsad samt att det finns en risk att användningen av de precisionsmedicinska databaserna inte håller samma kvalitet som de gjort om det var tvunget att följa den vetenskapliga metoden. Urvalet och sammanställningen som sker av uppgifter i en precisionsmedicinsk databas skulle också i sig kunna vara av vetenskapligt värde.
Att tillåta forskning som ett ändamål för de precisionsmedicinska databaserna, som inrättas för vårdändamål, skulle i praktiken innebära att regioner skulle få föra databaser som i stora delar påminner om en sorts forskningsdatabas. Utredningen har inte haft tid att göra den juridiska utredning som hade krävts för att forskning skulle vara ett tillåtet ändamål. Utredningen bedömer att den frågan är så pass stor att den kräver en egen utredning.
18.2.9. Konsekvenser av användningen av de precisionsmedicinska databaserna
Här finns en risk med att det i förlängningen blir att beslut bygger på utfall från de precisionsmedicinska databaserna, vilket gör att databaserna skulle börja bygga på sig själva. Denna process är inte helt olik det fenomen inom bland annat AI-träning av vissa kallas modellkollaps. Om alla börjar använda AI:n så kommer data som AI:n tränas på vara genererad av den själv, vilket kan leda till att modellen börjar prestera sämre.7 Även Statens medicinsk-etiska råd har haft liknande resonemang kopplat till AI.
Om AI-stöd används för allt fler av vårdens beslut finns risk för så kallad ”automation bias”, där personalen litar alltför mycket på automatiserade bedömningssystem och slutar leta efter evidens som bekräftar eller motsäger resultaten. Risken är särskilt stor om det är system som visat sig överlag tillförlitliga.8
Utredningen ser dock inte att detta i praktiken borde vara något större problem för precisionsmedicinen eftersom det är osannolikt att personal tar in ny kunskap enbart från den precisionsmedicinska databasen. Tvärtom ser utredningen att enklare tillgång till mer uppdaterad kunskap för personal snarare bör minska risken för att personalen använder gamla eller ineffektiva metoder och att precisionsmedicinska databaser skulle möjliggöra att ny forskning och behandlingsriktlinjer snabbare kan spridas på ett jämlikt sätt i hela landet.
Utredningens bedömning är dock att det finns en uppenbar risk för ändamålsglidning framför allt i gråzonen mellan de första två typerna av sökning och den sökning som skulle falla in under klinisk forskning. Utredningen bedömer att det inte är lämpligt att databasen används för att testa nya obeprövade behandlingsmetoder.
7 Shumailov, I., Shumaylov, Z., Zhao, Y., Gal, Y., Papernot, N., & Anderson, R. (2023). The Curse of Recursion: Training on Generated Data Makes Models Forget. arXiv preprint arxiv:2305.17493. 8 Statens medicinsk-etiska råd, 2020, Kort om Artificiell intelligens i hälso- och sjukvården Smer 2020:2, s. 5.
18.2.10. Konsekvenser av ändamålsbegränsningarna för precisionsmedicinska databaserna
Utredningen har begränsat ändamålet för de precisionsmedicinska databaserna till att endast omfatta vård. Utredningens bedömning är att det kan få negativa effekter framför allt på utveckling och innovation kopplat till precisionsmedicin, eftersom dessa ändamål ligger så nära kopplade till precisionsmedicinen. Även om forskningen också ligger nära så har forskningen goda möjligheter att få ut samma data fast från den ursprungliga datahållaren som är de vårdgivare som tillgängliggjort uppgifter till en precisionsmedicinsk databas. För forskningen innebär ändamålsbegränsningen i praktiken möjligen att det tar längre tid att få tillgång till datan. Eftersom utredningen också lämnar förslag på förenklad åtkomst för den typen av forskning så bedömer utredningen också att utredningen gjort det den kunnat för att underlätta för forskare.
För utveckling och innovation finns inte samma möjligheter att använda sig av informationen, framför allt inte mellan regioner inom en samverkansregion eller mellan parterna som ingår i GMS. Utredningen ser att detta är en begränsning som kan komma att innebära ett hinder för implementeringen av precisionsmedicin i Sverige. Tyvärr har utredningen inte haft möjlighet att lämna författningsförslag avseende utveckling och innovation på grund av tidsbrist.
Konsekvenser av att privata aktörer inte kan använda de precisionsmedicinska databaserna
Privata aktörer får enligt utredningens förslag enbart tillföra personuppgifter till databasen men inte själva använda sig av den. Utredningen bedömer att det är få privata aktörer som bedriver precisionsmedicin i Sverige i dag och att det sannolikt inte kommer hinna ändras till dess att en nationell datahubb är på plats.
Utredningen kan konstatera att det därmed finns låga incitament för de privata vårdgivarna att bidra med data till den precisionsmedicinska databasen vilket skulle kunna få negativa effekter till följd av minskad täckningsgrad. Utredningens bedömning är dock att andelen privata vårdgivare som bedriver sådan specialiserad vård som genererar den data som är relevant för en precisionsmedicinsk databas är liten.
För det fall regionerna ser ett behov av det står det regionen fritt att ersätta de privata vårdgivarna för att rapportera in data.
18.2.11. Samkörning av personuppgifter kommer inte att vara möjligt
En begränsning som följer av att uppgifterna är pseudonymiserade eller skyddade på likvärdigt sätt, och att det bara är vårdgivaren som tillgängliggör uppgifterna som har tillgång till kodnyckeln som möjliggör identifiering av enskilda individer, är att det inte går att samköra data i de precisionsmedicinska databaserna. En annan begränsning är att en person skulle kunna återfinnas i datasetet flera gånger om de registrerats in till den från två olika regioner. Rent teoretiskt skulle det kunna innebära att personer som återkommer flera gånger gör att databasen inte speglar den faktiska patientpopulationen.
Utredningen är även av uppfattningen att samkörning av data ändå inte bör vara aktuellt för denna typ av databas. Anledningen är att alla relevanta data ska finnas i databasen och om det hade vart möjligt att samköra datan från en precisionsmedicinsk databas med andra data skulle det innebära ett integritetsintrång som går utöver det som utredningen bedömer är proportionerligt till nyttan. Att det däremot kan finnas ett behov av att samköra denna typ av data, är en annan separat fråga. Utredningen har i det fallet bedömt att ett sådant behov kommer behöva fyllas av en nationell datahubb (se kapitel 19) i sådana fall och inte av den föreslagna typen av databas.
Vad gäller att en persons data kan återfinnas flera gånger i en eller flera precisionsmedicinska databaser, bedömer utredningen det som ett problem. Sannolikheten att sådan dubbelregistrering kommer att förekomma är dock liten eftersom det skulle innebära att en person vårdas med hjälp av precisionsmedicin av två olika regioner inom samma samverkansregion parallellt. Även under antagandena att ett fåtal individer skulle förekomma två gånger och att det inte skulle gå att flagga upp, är utredningens bedömning att konsekvenserna det skulle kunna få är små. Dessa konsekvenser kan därför inte anses väga så pass tungt att det skulle motivera att uppgifter i precisionsmedicinska databaser skulle behöva vara direkt identifierbara.
18.2.12. Konsekvenser för det kommunala självstyret
Utredningen bedömer att förslaget inte kommer ha några negativa konsekvenser på det kommunala självstyret eftersom förslaget enbart skapar en möjlighet för regionerna och inte ställer några krav på dem. För mer specifika konsekvenser se bland annat avsnitt 13.6.
18.2.13. Konsekvenser för brottsligheten
Utredningen ser inte att det finns några direkta konsekvenser för brottsligheten. Däremot bedömer utredningen att det indirekt finns en risk att kartläggningen som de precisionsmedicinska databaserna ändock innebär, skulle kunna användas för brottsbekämpning. Utredningen bedömer dock att det i nuläget bedöms som osannolikt att det skulle uppkomma önskemål om att använda de precisionsmedicinska databaserna för brottsbekämpande ändamål. Det är mer sannolikt att sådan data som efterfrågas får tillgängliggöras direkt från vårdgivarna där dessa uppgifter redan finns i dag.
18.2.14. Konsekvenser för sysselsättning och offentlig service i olika delar av landet
Inrättandet av de precisionsmedicinska databaserna kommer sannolikt leda till ett ökat behov av personal med såväl it-kompetens som kompetens inom dataanalys vid de myndigheter där databaserna inrättas. Detta kommer sannolikt innebära en ökning i regionerna med universitetssjukvård. Utredningens bedömning är dock att det rör sig om ett marginellt antal nya arbetstillfällen.
18.2.15. Konsekvenser för cybersäkerhet och informationssäkerhet
Regional hälso- och sjukvård hanterar redan i dag stora mängder känsliga data. Centralisering av vissa uppgifter kan leda till en ökad risk ur både cybersäkerhets- och informationssäkerhetssynpunkt eftersom det dels innebär en ytterligare personuppgiftsbehandling som innebär att data tillgängliggörs och för att det samlar en stor mängd information, som består av känsliga personuppgifter, på samma plats. Utredningens bedömning är dock att de myndigheter som kan komma
att bli aktuella för att hantera precisionsmedicinska databaser redan i dag hanterar liknande databaser och att det därför inte bör innebära någon större risk än den som redan finns i dag. Utredningen har inte tagit ställning till om den cyber- och informationssäkerhet som finns inom regionerna i dag är på en lämplig nivå, då utredningen bedömt att detta ligger utanför utredningens uppdrag.
18.2.16. Konsekvenser för företag
Utredningen bedömer att förslagen kan få negativa effekter för företag, mer specifikt privata vårdgivare. Bedömningen baseras på att privata vårdgivare inte kommer ges möjlighet att vare sig inrätta eller söka i de precisionsmedicinska databaserna, bara dela med sig av uppgifter till den. Utredningens bedömning är att ingen eller väldigt liten vård som faller inom ramen för det ändamål som utredningen ser att de precisionsmedicinska databaserna ska användas för i dag bedrivs av privata vårdgivare. Lagstiftningen gör däremot att privata vårdgivare missgynnas i förhållande till offentliga vårdgivare i de fall som de bedriver precisionsmedicinsk diagnostik. Utredningen har dock bedömt att privata företag kan komma att omfattas i framtiden när en nationell datahubb är på plats. Utredningen har i sina val för utformningen av de aktuella förslagen inte bara vägt behov och integritetsaspekter, utan även vägt mellan förslag som kan komma på plats relativt snabbt eller förslag som omfattar fler aktörer och på så vis kan anses vara mer heltäckande, men då implementering troligtvis skulle kunna ske först avsevärt längre fram i tiden. Utredningen har gjort bedömningen att det inte varit möjligt att få fram förslag som håller dataskyddsrättsligt, sekretessmässigt, samt informationssäkerhetsmässigt kombinerat med en snabb implementering och inkluderingen av privata företag. Utredningen anseräven att nyttan hade varit låg jämfört med den nytta som kommer av att regionerna ges möjlighet att arbeta med precisionsmedicinska databaser.
18.2.17. Konsekvenser för jämställdheten mellan kvinnor och män
Utredningens bedömning är att förslagen inte kommer ha någon påverkan för jämställdheten mellan kvinnor och män.
18.2.18. Konsekvenser för administrationen och dataförsörjningen
Utredningens bedömning är att administrationen kommer att påverkas på flera olika sätt och att det är svårt att på förhand bedöma hur stora effekterna kommer bli. Utredningens bedömning är att viss administration kan komma att försvinna till följd av minskat behov av dubbelregistrering till följd av att data nu kan delas i större utsträckning. Däremot kommer sannolikt administrationen öka framför allt till följd av administreringen av när patienter motsätter sig ett tillgängliggörande och administrering av utlämnande av journalhandlingar. Detta kommer dock bero mycket på hur den tekniska lösningen utformas.
Utredningen bedömer att dataförsörjningen för regionerna kommer bli bättre i och med utredningens förslag. Även om en stor del av datainsamlingen i dag redan görs så möjliggör utredningen att färre uppgifter behöver registreras flera gånger och av flera olika vårdgivare. Hur administrationen kommer påverkas på varje enskild klinik och region kommer dock bero på hur regionerna väljer att implementera de precisionsmedicinska databaserna och är därför svåra att förutse.
18.3. Konsekvenser som följer av förslagen om en ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
I korthet innebär utredningens förslag att regionala myndigheter kommer kunna tillämpa ett förenklat utlämnande i samband med klinisk forskning som kräver samtycke. Syftet är att minska administrationen kopplade till utlämnande för klinisk forskning som kräver samtycke, vilket i stor utsträckning kommer bestå av kliniska interventionsstudier.
18.3.1. Kostnadsberäkningar samt ekonomiska effektiviteten
Utredningens förslag gällande forskning kommer inte innebära några tvingande kostnader för aktörerna eftersom det är frivilligt att tillämpa de nya reglerna. Däremot kommer det uppstå kostnader för berörda aktörer om de vill nyttja de nya reglerna. Exempelvis genom att hantera de integritetshöjande samtyckena, anpassa befintliga system, skapa eller köpa in system för behörighetsstyrning, skapa nya rutiner med mera.
För att lärosätena ska kunna få tillgång till uppgifter från regionala myndigheter krävs att de regionala myndigheterna har inrättat ett system för själva utlämnandet, men också för behörighetsstyrningen (se bland annat avsnitt 16.7, 16.8.5),
Detta innebär att kostnaderna framför allt kommer uppstå för de regionala myndigheterna inom hälso- och sjukvården som är datahållare enligt lagen, men nyttan kommer att uppstå för både de regionala myndigheter och lärosäten som bedriver klinisk forskning.
Nyttan för lärosätena består främst i att forskare får enklare och potentiellt snabbare tillgång till de personuppgifter som de behöver för sin forskning. I dagsläget kan en person vara en patients läkare på förmiddagen och på eftermiddagen vara forskare och forska på samma patients data. Personen har då information om patienten som forskaren teoretiskt egentligen inte får ha tillgång till inom ramen för sin forskning. Forskaren behöver i stället begära ut uppgifterna och vänta på att få dem utlämnande. Med utredningens förslag så minskar denna gråzon och i vissa fall kommer då lagstiftningen också spegla den personuppgiftsbehandling som faktiskt sker i praktiken, det vill säga att läkaren har tillgång till personuppgifterna i sitt minne innan de lämnats ut. Fördelen med att detta nu regleras i lag är att det då går att koppla integritetsskyddande åtgärder till den aktuella personuppgiftsbehandlingen. Det skapar också en större tydlighet och förutsägbarhet för såväl den registrerade som för forskaren.
Fördelen för de regionala myndigheterna kommer framför allt från minskad administration i samband med utlämnande. Utredningen har varit i kontakt med Region Stockholm och Västra Götalandsregionen (VGR) för att försöka bedöma hur mycket resurser respektive region lägger ner på utlämnande av journaluppgifter till klinisk forskning som kräver samtycke.
Att bedöma kostnaden alternativt resursbehovet för denna typ av verksamhet är svår och kostnaderna för varje enskild vårdenhet kan skilja sig mycket åt beroende på vilken verksamhet som bedrivs. Regionerna har dock försökt göra en uppskattning. I korthet kan sägas att utlämnande är resurskrävande och kan delas upp i två delar. Den ena delen är själva utlämnandet som i sig tar tid. Den andra delen är all kringverksamhet till själva utlämnandet, så som att ta fram rutiner för att få till ett enhetligt utlämnande inom regionen.
Västra Götalandsregionens bedömning av kostnaderna för utlämnande av journalhandlingar för ändamålet forskning.
Södra Älvsborgs sjukhus uppger att de lägger cirka 2,5 dagar i veckan bara åt utlämnande vilket motsvarar en halv årsarbetskraft, det vill säga cirka 750 000 kronor per år (se avsnitt 1.7.1 i bilaga 2 för mer detaljer om kostnad per årsarbetskraft). De upplever också att antalet utlämnande ökar och därmed också kostnaderna.9
Regionhälsan i VGR uppger att utlämnande upptar en liten del av verksamhetens tid och inte bedöms vara betungande för verksamheten.10
Sahlgrenska Universitetssjukhuset uppgav att de har fyra heltidsanställda som arbetar med utlämnande för forskning, vilket motsvarar cirka 5,2 miljoner kronor per år.11
NU-sjukvården, som är en del av Västra Götalandsregionen bedömer att även om forskningsutlämnande är få, knappt 10 procent av samtliga utlämnanden så innebär utlämnandena ofta mycket arbete och att det inte är ovanligt att den grupp som hanterar utlämnandet får göra stora ansträngningar för att kunna lämna ut uppgifterna.12NU-sjukvården har inte kunnat göra någon bedömning av exakt hur mycket tid, utlämnandena tar i anspråk. Det beror bland annat på att antalet utlämnanden varierar mycket vecka till vecka och att det snarare är utlämnandets komplexitet än antal som gör utlämnandena tidskrävande. Utredningen bedömer att deras svar bekräftar det som Södra Älvsborgs sjukhus och Sahlgrenska Universitetssjukhuset uppgav om att det tar en del resurser i anspråk.
9 Diarienummer Komm2022/00460/S 2022:04. 10 Diarienummer Komm2022/00460/S 2022:04. 11 Diarienummer Komm2022/00460/S 2022:04. 12 Diarienummer Komm2022/00460/S 2022:04.
Svaren som utredningen fått in täcker inte all hälso- och sjukvård i VGR. Utredningen bedömer dock att det kan användas som ett golv för att beräkna ungefär hur stora kostnaderna är. Under antagandet att NU-sjukvården lägger ner ungefär lika mycket resurser som Södra Älvsborgs sjukhus så skulle de svarande regionala myndigheterna inom VGR lägga ner minst 6,5 miljoner kronor per år på utlämnande. Under antagandet att kostnaden för utlämnande är proportionerlig till antalet invånare i regionen så skulle det innebära att kostnaden totalt i Sverige uppgår till knappt 40 miljoner kronor årligen. Beräkningen är baserad på att det bor 10,52 miljoner personer i Sverige13 och att det bor 1,71 miljoner personer i VGR.14 Detta är sannolikt en underskattning av kostnaderna eftersom kostnaden sannolikt inte är proportionell till antalet medborgare utan snarare till antalet regioner och antalet regionala myndigheter. Utöver det tillkommer skillnader mellan regioner som bedriver universitetssjukvård, demografisk sammansättning med mera. Om kostnaderna skulle vara proportionerliga mot antalet regioner skulle kostnaden snarare uppgå till 136,5 miljoner kronor (VGR:s 6,5 miljoner kronor gånger 21 regioner).
Region Stockholms bedömning av kostnaderna för utlämnande av journalhandlingar för ändamålet forskning.
Utredningen har varit i kontakt med Region Stockholm för att få en uppfattning om ungefär hur mycket resurser de lägger på utlämnande av data för klinisk forskning.
Region Stockholm har angett tidsåtgången för utlämnande som involverar två eller fler verksamheter. Detta innebär att alla utlämnanden som görs enbart av en verksamhet inte omfattas av deras beräkningar. Detta får till följd att kostnadsestimeringen kommer vara lägre än vad den faktiska kostnaden är. Anledningen till att dessa inte finns med är att inga sådana uppgifter har funnits att tillgå.
Totalt uppgår antalet förfrågningar till cirka 200, där antalet förfrågningar är beräknad per vårdgivare eftersom varje vårdgivare själv ansvarar för exempelvis menprövning.
13 https://www.scb.se/hitta-statistik/sverige-i-siffror/manniskorna-i-sverige/sveriges-befolkning/ (hämtat 2023-09-19). 14 https://analys.vgregion.se/verksamhetsanalys-2020/befolkning-i-vastra-gotaland/ (hämtat 2023-09-19).
Antalet årsarbetare som arbetar med handläggning och sekretessprövning, exklusive tidigare nämnda utlämnanden uppgår till cirka 8. Antalet årsarbetskrafter som arbetar med datauttagen är cirka 6.15 Detta skulle innebära en kostnad motsvarande 18,2 miljoner kronor. Om samma beräkningar görs för Region Stockholm som för VGR och under antagandet att Region Stockholm har 2,44 miljoner invånare16 så skulle kostnaden nationellt uppgå till knappt 78 miljoner kronor. Skulle samma beräkningar göras fast där kostnaderna multiplicerades med antal regioner skulle kostnaden uppgå till drygt 382 miljoner kronor.
Utredningens bedömning är att Stockholm inte är en representativ region och att dessa siffror därmed blir något högre än vad den faktiska kostnaden är. Det är dock svårt att svara på exakt hur mycket högre. Det är också svårt att bedöma hur mycket Region Stockholms kostnader faktiskt är till följd av att förfrågningar som går till enbart en verksamhet har exkluderats. Det är därmed svårt att bedöma om dessa båda faktorer tar ut varandra eller om en av dem dominerar den andra.
Mot bakgrund av ovan så har utredningen valt att göra känslighetsanalysen på VGR:s data. Men noterar att spannet för Region Stockholm på 78–382 miljoner kronor ändå antyder att kostnaderna för VGR skulle kunna vara något underskattade. Men osäkerheterna kring estimaten är så pass höga att det är svårt att dra några långtgående slutsatser utöver att regionerna verkar lägga ner förhållandevis mycket resurser på utlämnanden.
Känslighetsanalys
Det är svårt att säga exakt hur mycket enklare utlämnande kommer bli med utredningens förslag och hur mycket tid det kommer spara. Utredningen har därmed gjort en känslighetsanalys i figur 18.1 som visar på besparingspotentialen. På y-axeln visas årliga besparingar nationellt till följd av minskade kostnader för utlämnande av journaluppgifter till forskare för ändamålet klinisk forskning som kräver samtycke. På x-axeln anges hur många procent av administrationen som försvinner med hjälp av utredningens förslag.
15 Komm2022/00460/S 2022:04-40. 16 https://www.regionstockholm.se/verksamhet/Regional-utveckling/statistik-och-analys /befolkning/befolkningsstatistik_per_ar/ (hämtat 2023-09-27).
Figur 18.1 Utredningens bedömning av den potentiella besparingen av utredningens förslag
Källa: Utredningens beräkningar. Not: Figuren ska tolkas med försiktighet mot bakgrund av det bristande dataunderlaget.
Det har varit svårt för utredningen att göra en bedömning av hur stor effekt utredningens förslag kommer att få. Även berörda aktörer har haft svårt att bedöma hur stor effekten kan komma att bli eftersom forskningsutlämnande ofta är komplexa och det kan vara svårt att dra generella slutsatser om hur stor hjälp utredningens förslag kommer att vara för utlämnanden som rör klinisk forskning och uppfyller kraven i lagen. Utredningen kan därför inte svara på exakt hur stor besparingen kommer att bli, men kan konstatera att den sannolikt ligger något över mitten av de två estimaten. Det vill säga över drygt 88 miljoner kronor per år.
Hur stor effekten blir, är svårt att säga, men utredningen bedömer att spannet 75–100 procent inte är rimligt eftersom det skulle kräva att i stort sett all administration försvann och forskare i princip gavs
0 20 40 60 80 100 120 140 160
0% 5%
10% 15% 20% 25% 30% 35% 40% 45% 50% 55% 60% 65% 70% 75% 80% 85% 90% 95%
100%
Mi ljon er kro n or
Minska arbetsbörda kopplat till utlämnande i procent till
följd av utredningens förslag
Besparingspotential
Besparingsintervall
Låg
Hög Utredningens bedömning
obehindrad tillgång, vilket inte är vad utredningen föreslår. På samma sätt bedömer utredningen att det inte är sannolikt att administrationen minskar med mindre än 10 procent. Detta innebär att utredningens bedömning är att den reella besparingen för de regionala myndigheterna ligger någonstans mellan drygt 9 miljoner kronor och 66 miljoner kronor. Estimatet är dock behäftat med betydande osäkerhet. Utredningen bedömer att estimatet är konservativt, det vill säga lågt räknat och att besparingarna sannolikt är större än så.
Utöver dessa besparingar så tillkommer besparingar för de regionala myndigheter och lärosäten som bedriver klinisk forskning och som i dag lägger ner tid på att göra forskarbeställningar och begära ut underlag. Att estimera kostnaden för detta har utredningen bedömt vara så pass komplext att det sannolikt inte går att göra någon meningsfull estimering. Detta eftersom tiden som forskare lägger ner på att begära ut forskningsdata varierar kraftigt beroende på forskningsområde, hur van forskaren är av att beställa data, hur väl forskaren känner till datakällorna, omfattningen på forskningsprojektet och så vidare.
Generaliserbarheten av utredningens estimering till följd av att utredningen enbart analyserat två regioners kostnader för utlämnande
Det är en svaghet i analysen att utredningen enbart inkluderar två regioner som dessutom är storstadsregioner vilket påverkar hur generaliserbara utredningens estimeringar är. Utredningen har gjort bedömningen att det inte finns någon anledning att tro att dessa regioner skiljer sig åt jämfört med andra regioner. Det finns tyvärr i dagsläget begränsat med statistik för att bedöma om detta antagande stämmer. Men det finns viss statistik och Vetenskapsrådet har hjälpt utredningen med att ta fram ett underlag som visar att region Stockholm och västra Sverige ligger nära Sverigesnittet avseende ansökningstyp hos Etikprövningsmyndigheten (se tabell nedan).
Tabell 18.1 Ansökningar till Etikprövningsmyndigheten
uppdelat på typ och region
Ansökningstyp Mellansverige
Norra Stockholm Sydöstra Södra Västra Sverige-
snitt
A: En forskningshuvudman 40 % 51 % 43 % 43 % 47% 42 % 43 % B: Flera forskningshuvudmän 7 % 7 % 6 % 11 % 6 % 6 % 7 % C: Flera forskningshuvudmän (men med patienter hos en huvudman) 7 % 4 % 8 % 7 % 6 % 7 % 7 % D: Befintliga personuppgifter 36 % 30 % 30 % 34 % 32 % 34 % 32 % E: Läkemedelsprövning 11 % 8 % 13 % 4 % 10 % 10 % 10 %
Källa: Vetenskapsrådets sammanställning (2023-09-13).
Denna statistik visar dock ingen uppdelning på studietyp. I dagsläget så är den enda statistik över kliniska studier uppdelat på studietyp som utredningen kunnat hitta från samverkansregionen Mellansverige. Av deras statistik framgår att 1 045 studier under 2022 var interventionsstudier, att jämföra med 853 observationsstudier.17
Utredningen har gjort bedömningen att det inte finns anledning att tro att regionerna inom samverkansregion Mellansverige avsevärt skulle skilja sig från övriga regioner. Även om så skulle vara fallet och att inga regionala myndigheter utöver de som finns i Region Stockholm och VGR skulle ha någon administration kopplat till utlämnande av journaluppgifter för kliniska studier som kräver samtycke så gör utredningen bedömningen att besparingen som det skulle innebära för dessa två regioner är tillräckligt stor för att motivera förslagen.
Att inga andra regioner utöver de två ovan nämnda regionerna skulle ha några kostnader för utlämnande av journalhandlingar för detta ändamål bedömer dock utredningen som högst osannolikt. Även VGR gjorde bedömningen att det är högst osannolikt att inga andra regioner utöver nämnda två skulle ha några kostnader för utlämnande av journalhandlingar för detta ändamål.18
17 https://kliniskastudier.se/forum-mellansverige/statistik-kliniska-studier/interaktiv-statistik- kliniska-studier (Hämtat 2023-09-19). 18 Möte med Västra Götalandsregionen 2023-09-15.
Kostnader till följd av utredningens förslag
Om regionerna väljer att använda utredningens förslag så kommer det tillkomma kostnader för att ta fram nya rutiner, dels för själva utlämnandet. Det kommer också uppstå kostnader i samband med att regionerna tar fram system för att tillgängliggöra datan för forskning. Utredningens bedömning är att kostnaderna är svåra att bedöma eftersom de kommer bero på regionernas specifika förutsättningar vid tiden för implementering. Exempelvis har utredningen fått till sig att vissa av de nya journalsystemen har eller kommer att ha en forskningsmodul som underlättar för denna typ av utlämnande. I det fall så kommer det inte uppstå några större ytterligare kostnader för regionerna. Kostnaderna kommer då primärt bestå av att det behövs en behörighetskontroll för lärosätena.
Utredningen har inte tagit ställning till huruvida lärosätena bör vara med och bekosta utvecklingen av de system som krävs utan har bedömt att det är en fråga som bäst hanteras mellan den regionala myndigheten och lärosätet. Detta beslut har utredningen tagit baserat på att regionerna är olika och har olika förutsättningar och sannolikt kommer de vilja kunna tillämpa olika lösningar beroende på hur omfattande utlämnandeprocessen är för den enskilda myndigheten. Utredningen ser heller inga hinder för att regionerna antingen bekostar det själva eller att de fakturerar lärosätena för användning av systemet eller liknande.
18.3.2. Konsekvenser av att nationella kvalitetsregister inte omfattas av utredningens förslag
Eftersom data i nationella kvalitetsregister inhämtas med så kallad opt-out och inte samtycke så omfattas de inte av utredningens förslag. Utredningens förslag ställer krav på att den forskning som ska få dra nytta av den förenklade åtkomsten är sådan forskning som förutsätter samtycke till deltagande i forskningen (se vidare kapitel 16).
Det skulle kunna lämnas förslag på förenklad vidareanvändning av data i nationella och regionala kvalitetsregister men det omfattas inte av utredningens uppdrag. Konsekvenserna blir därmed att all forskning inte kan dra nytta av förslaget.
18.3.3. Konsekvenser för det kommunala självstyret
Eftersom förslagen endast skapar nya möjligheter för regionerna att tillgängliggöra data så bedömer utredningen att förslagen inte kommer ha någon direkt effekt på det kommunala självstyret.
Det skulle möjligen kunna uppstå en situation där fler privata aktörer som bedriver klinisk forskning vill ha med en regional myndighet som en forskningshuvudman för att kunna nyttja den förenklade tillgången till hälsodata. Detta skulle kunna innebära en marginell kostnadsökning för kommunsektorn till följd av utredningens förslag. Utredningen bedömer att det snarare bör ses som positivt att fler aktörer vill bedriva forskning tillsammans med regionerna och att regionerna därmed får ett bredare utbud av aktörer att välja mellan för olika forskningssamarbeten.
Utredningen bedömer att det inte är sannolikt att regionerna kommer börja att acceptera forskningssamarbeten där de inte är en aktiv del enbart i syftet att den andra aktören ska få enklare tillgång till hälsodata. Detta bör rimligen också kunna identifieras av Etikprövningsmyndigheten i samband med att etikprövning av aktuell forskning görs.
18.3.4. Konsekvenser cybersäkerhet och informationssäkerhet
Utredningens bedömning är att cybersäkerheten kan påverkas, men att det till stor del beror på hur regionerna väljer att utveckla systemen. Utredningen gör antagandet att regionerna har ett fungerande cybersäkerhetsskydd och tillhörande rutiner för att skydda patientdata och att de säkerställer att det finns ett adekvat säkerhetsskydd när de köper in eller utvecklar nya system.
Utredningens bedömning är att förslaget gällande forskning kommer ha både positiva och negativa effekter på informationssäkerheter. Eftersom utredningens förslag enbart avser utlämnande i digital form så kommer denna typ av utlämnande inte ske på papper, vilket är fallet i vissa situationer i dag. Denna information brukar då oftast behöva göras digital igen när forskaren tar emot den. Detta gör att utredningens förslag, allt annat lika, uppnår samma utfall utan att det också finns papperskopior som ska hämtas och lämnas och som oftast behöver förvaras fysiskt. Att de i dag många gånger behöver lagras fysiskt och digitalt gör att det finns på ett ställe mer än de hade behövts, vilket ökar risken för att informationen kommer obehöriga till del.
Det finns dock en risk för att ett intrång skulle kunna ske i samband med det digitala utlämnandet för de dokument som normalt sett inte lämnas ut digitalt. Utredningen bedömer dock att det redan i dag finns system för digital datadelning av exakt samma uppgifter, exempelvis för sammanhållen journalföring. Därav bedömer utredningen att det är osannolikt att digitala utlämnande för forskning skulle innebära en större informationssäkerhetsrisk än den för exempelvis sammanhållen journalföring.
Åtkomsten, särskilt med hänsyn till överskottsinformationen, en risk för obehörigt röjande och en otillbörlig spridning. I det hänseendet utgör förslaget inte bara en integritetsrisk utan även ett potentiellt brott mot sekretessen (se vidare i kapitel 16 och proportionalitetsbedömningen där).
Utredningen har gjort bedömningen att den föreslagna bestämmelsen om behörighetsstyrning och absolut sekretess utgör sådana åtgärder som medför att riskerna blir avsevärt mindre, eftersom det kan utgöra ett brott mot tystnadsplikt att röja sådan information. I övrigt gäller att otillåten behandling kommer att utgöra ett brott om dataintrång, se 4 kap. 9 c § brottsbalken.
I sammanhanget kan det även vara relevant att de personer som kommer komma i kontakt med uppgifterna både på datahållarsidan respektive dataanvändarsidan enligt utredningens uppfattning bör vara utbildade i sekretessfrågor.
18.3.5. Konsekvenser för aktörer som bedriver forskning
Förslagen gällande förenklat utlämnande för klinisk forskning från regionala myndigheter kommer göra att regionala myndigheter och lärosäten får en fördel gentemot andra forskningshuvudmän så som privata företag. Denna fördel kan upplevas som orättvis, utredningen bedömer dock att integritetsintrånget och riskerna det skulle innebära att låta fler aktörer använda sig av de mer generösa reglerna inte står i proportion till nyttan. Utredningen bedömer i stället att om andra aktörer skulle argumentera för att få tillgång till förenklat utlämnande så bör den frågan ses över i samband eller efter inrättandet av en nationell datahubb.
Utredningen har försökt hitta data över hur stor andel av alla kliniska studier som kommer omfattas av utredningens förslag. Etik-
prövningsmyndigheten har ett pågående arbete med att ta fram mer detaljerad nationell statistik för kliniska studier. Tyvärr finns deras system ännu inte på plats och därmed finns inte heller några data. Utredningen har därför i stället vänt sig till Kliniska studier Sverige som hänvisade till kliniska studier i sjukvårdsregion Mellansverige som har viss statistik över kliniska studier.19
Antalet studier som redogörs för i rapporten kan vara dubbelräknade eftersom studier som pågår i två regioner rapporteras in som två studier. I rapporten framgår att av de 2 175 studier som pågick så var 1 902 unika studier. Det bör dock noteras att dataunderlaget enbart avser 7 av 21 regioner20 och fördelningen kan se annorlunda ut i övriga 14 regioner. Därmed bör siffrorna tolkas med viss försiktighet. Utredningen bedömer dock att dataunderlaget trots sina begränsningar ändå kan ge en tillräckligt bra bild av fördelningen av kliniska studier uppdelat per typ av studie.
Antalet interventionsstudier, som alltså är den typen av studier där utredningens förslag är aktuella, stod 2022 som redogörs för ovan för cirka 48 procent av alla kliniska studier.
18.3.6. Konsekvenser för företag
Utredningens förslag gällande forskning kommer inte få några direkta effekter på företagen utöver att handläggningstiderna för datauttag eventuellt kan komma att minska något. Däremot kommer det indirekt innebära att de aktörer som omfattas av förslaget får en fördel och därmed får företagen det sämre relativt än de forskningshuvudmän eller motsvarande enligt EU-förordningarna som kan nyttja de nya reglerna. Detta gäller även privata vårdgivare som inte heller omfattas av förslaget. Utredningen bedömer dock att avgränsningen är proportionerlig och att nyttan totalt sett väger tyngre än den eventuella nackdel som företagen drabbas av. Utredningen bedömer också att merparten av den forskning som kommer vara aktuell bedrivs vid regionsjukhusen (universitetssjukhusen). Utredningens förslag avseende klinisk forskning avser snarare att tillmötesgå regionernas och lärosätenas behov och regeringens målsättning om att minska admi-
19 Kliniska Studier Sverige Forum Mellansverige, 2022, Kliniska studier i sjukvårdsregion Mellansverige 2022. 20 Region Dalarna, Region Gävleborg, Region Sörmland, Region Uppsala, Region Värmland, Region Västmanland, Region Örebro län.
nistrationen i hälso- och sjukvården snarare än regeringens ambition om att öka antalet företagsinitierade kliniska studier i Sverige. Utredningen bedömer att åtgärder för att öka antalet företagsinitierade kliniska prövningar snarare finns inom arbetet med en nationell datahubb (se kapitel 19–21).
18.3.7. Konsekvenser för jämställdheten mellan kvinnor och män
Utredningens bedömning är att förslagen inte kommer ha någon påverkan för jämställdheten mellan kvinnor och män.
18.3.8. Konsekvenser för dataförsörjningen
Utredningens bedömning är att förslaget avseende forskning kommer ha positiva effekter på forskares tillgång till data. Utredningen bedömer att de data som kan komma att bli aktuella med anledning av förslagen är data som redan samlas in och därmed kommer förslagen i sig själva inte kräva att nya datamängder samlas in. Däremot kan förslagen ha indirekta effekter på datainsamlingen då det blir lättare att forska och ta del av data, vilket kan skapa tryck på att mer data samlas in, exempelvis genom att forskningen effektiviseras och att antalet kliniska studier skulle kunna öka alternativt att fler bedömer att det är lönt att begära ut data från de regionala myndigheterna.
18.3.9. Konsekvenser av att integritetshöjande samtycke krävs för tillgängliggörande enligt lagen
Det kommer finnas situationer där forskare inte får samtycke av samtliga forskningspersoner för att få begränsad direktåtkomst med stöd av utredningens förslag. I dessa fall kommer forskarna kunna ta del av data för vissa personer via begränsad direktåtkomst och för de som inte samtyckt kommer de behöva begära data ut enligt allmänna regler. I praktiken skulle det kunna innebära att det blir lättare att då begära ut samtliga uppgifter enligt allmänna regler, alternativt välja att inte inkludera de som inte vill tillgängliggöra sina data enligt de nya reglerna.
Utredningen har inte kunnat göra en mer grundlig bedömning om hur vanligt förekommande detta kan anas komma att vara. Av de regioner och patientföreningar som utredningen lyft frågan med så verkar det som att detta skulle höra till ovanligheterna. Utredningen bedömer därför att detta sannolikt kommer bli aktuellt i ett fåtal fall och bedömer att risken för att det integritetshöjande samtycket skulle få långtgående negativa konsekvenser för individer eller forskare är små.
18.3.10. Observationsstudier omfattas inte
Utredningens förslag omfattar inte observationsstudier. Att inkludera dessa hade krävt ytterligare utredning som det inte funnits tid för. Detta är en konsekvens som kommer göra att de som bedriver observationsstudier allt annat lika kommer ha strängare regler än de som bedriver kliniska studier som kräver samtycke. Att utöka lagen till att inkludera observationsstudier skulle enligt utredningens bedömning kräva en egen utredning.
18.4. Övriga konsekvenser som rör utredningens båda förslag
Eftersom utredningen har arbetat utifrån en målbild om ett mer sammanhållet hälsodataområde gällande organisation, styrning och lagstiftning både inom och mellan sektorer så finns det vissa konsekvenser som är gemensamma för båda utredningens förslag. Detta är konsekvenser som kommer av den förflyttning på hälsodataområdet som Sverige är inne i och där gränserna mellan exempelvis vård och forskning kan upplevas bli otydligare.
18.4.1. Konsekvenser för verksamhet som bedriver vård, forskning, utveckling och innovation
Av direktiven framgår att det regleringen kring personuppgiftsbehandlingen i situationer där vård, forskning, utveckling och innovation bedrivs samtidigt är svår och inte i alla delar enhetlig (Dir. 2022:41 s. 4). De förslag som utredningen lämnar går i linje med det som regeringen
angav i datastrategin om att personuppgiftsbehandlingen ska fokusera mer på individen och behoven snarare än organisationen.21
Utredningens förslag berör dock enbart vård och forskning och utredningens förslag omfattar inte utveckling och innovation. Utredningens bedömning är därför att mer arbete kommer att krävas dels för vård och forskning, men framför allt för utveckling och innovation för att nå målbilden som regeringen ger uttryck för i datastrategin se redogörelsen i kapitel 19–23.
18.4.2. Konsekvenser avseende regeltätheten när det gäller samtycken
Det finns i dag en rad olika samtycken inom vård och klinisk forskning, dessa beskrivs mer utförligt i bilaga 3. Samtycken inom vård och klinisk forskning. Utredningens förslag bidrar till att öka komplexiteten i lagstiftningen genom att lägga till ytterligare samtycken. Detta kan få negativa konsekvenser i form av att lagstiftningen blir mer komplex och därmed svårare att tillämpa. Utredningen har dock gjort bedömningen att möjligheten till att kunna samtycka vägt tyngre än eventuella vinster till följd av en mindre komplex lagstiftning. Utredningen har vidare bedömt att det inte legat inom ramen för utredningens uppdrag att se över och ensa bland samtycken i berörd lagstiftning utan att det då möjligen kan anses falla in under konkreta tillämpningssvårigheter.
21 Regeringskansliet, 2021, Data – en underutnyttjad resurs för Sverige (s. 10).
19. En nationell datahubb
19.1. Inledning
Kapitel 19–23 innehåller endast bedömningar och inte författningsförslag. Dessa bedömningar är slutsatser utredningen dragit efter att ha utrett frågorna till viss del, men skiljer sig från förslagen i kapitel 14, 16 och 17 som är färdiga att tas vidare i lagberedningsprocessen för att kunna genomföras. Gemensamt för samtliga delar som tas upp i kapitel 19–23 är att frågorna behövs tas vidare genom fortsatt utredning. Som framgår av utredningens direktiv har utredningen i uppdrag att redogöra för eventuella tillämpningssvårigheter när det gäller befintlig reglering av hälsodata. Utredningen tolkar denna del av uppdraget som att regeringen konstaterar att behoven är många på hälsodataområdet och att utredningen inte kan förväntas lämna åtgärdsförslag på alla behov och problem som identifieras under utredningens gång.
Utredningen avser därför redogöra för vilka utmaningar och behov som behöver ses över och vad det är för tillämpningssvårigheter som behöver utredas vidare för att kunna komma till rätta med problemen. Syftet med att redogöra för tillämpningssvårigheter anges i direktivet vara att konkretisera vilka problem som finns och på så sätt underlätta regeringens fortsatta arbete på hälsodataområdet.
Utredningen har ansett det lämpligt att dela upp tillämpningssvårigheterna i två olika delar. Den ena delen handlar om utmaningar, som enligt utredningens bedömning, kräver en nationell datahubb för att lösas och beskrivs i detta kapitel 19, samt i kapitel 20–21. Andra utmaningar beskrivs i den andra delen som innefattar de erfarenheter som förvärvats under utredningens gång i fråga om uppmärksammade tillämpningssvårigheter och återfinns i kapitel 22–23.
Utredningen lämnar bedömningar där utredningen föreslår att det bör att det finns potentiella vinster med att flytta vissa uppgifter och ansvar till en annan organisation och att detta behöver utredas vidare.
Dessa bedömningar ska inte ses som ett underkännande av den aktuella verksamheten. Bedömningarna har utredningen kommit fram till utifrån vad som bedömts vara mest effektivt.
Utredningen har heller inte haft tid och möjlighet att hålla sig uppdaterad om samtliga myndighetsrapporter som kommit under utredningens gång. Det innebär att det kan finnas bedömningar som utredningen redogör för i kapitel 19–23 där myndigheter publicerat rapporter som helt eller delvis överlappar utredningens bedömningar. Avsaknad av referens till dessa rapporter ska inte ses som att utredningen underkänt eller på annat sätt inte velat bekräfta myndighetens arbete.
Strukturen för kapitel 19–21
Utredningens målsättning är att delen om den nationella datahubben kan vara en grund för vidare utredning som utredningen också bedömer går i linje med det som regeringen skriver i budgetpropositionen om nationell infrastruktur (prop. 2023/24:1 Utgiftsområde 9 s.45).
En nationell gemensam digital infrastruktur för hälso- och sjukvården där staten tar ett större ansvar ska införas. Infrastruktur med gemensamma standarder ska möjliggöra att hälsodata blir tillgängliga i hela vårdkedjan för all vård, såväl kommunal och regional vård som tandvård, oavsett huvudman. Syftet är att förbättra patientsäkerheten genom att säkerställa att rätt information om patienten finns tillgänglig i varje vårdsituation liksom att bidra till att minska den administrativa bördan för hälso- och sjukvårdens medarbetare.
Texterna om den nationella datahubben är uppdelat i tre kapitel för att ge regeringen en strukturerad överblick av utredningens slutsatser i frågan.
Det är, enligt utredningens uppfattning, inte lämpligt att dela en omfattande mängd känsliga personuppgifter med många olika aktörer, för flera olika ändamål på något annat sätt än genom en datahubb. För detta krävs hög säkerhet, tydligt ansvarsutkrävande och en fungerande infrastruktur. En nationell datahubb bör enligt utredningens uppfattning etableras hos en statlig myndighet. Utredningen har därför valt att skriva ett kapitel om vad en nationell datahubb innebär, vilket görs i detta kapitel se avsnitt 19.5.
I kapitel 20 redogörs sedan för de olika ändamål för vidareanvändning som anges i utredningens direktiv och som utredningen bedömer lämpligast bör hanteras genom en nationell datahubb.
Slutligen har utredningen skrivit ett tredje kapitel (kapitel 21) kring en nationell datahubb med förslag på olika så kallade byggstenar som utgörs av funktioner som utredningen bedömer är lämpligt att en nationell datahubb bör tillhandahålla.
Det framgår i utredningens direktiv att det är en målsättning för regeringen att inrätta en datahubb och att utredningens förslag ska vara förenliga med den målsättningen. Det framgår inte att utredningen ska lämna förslag på hur en sådan ska regleras (Dir 2022:41 s. 10). Utredningen bedömer att en sådan typ av utredning hade krävt ett längre utredningsuppdrag och mer detaljerade direktiv i den specifika frågan (se vidare avsnitt 2.4). Utredningen konstaterar att det kommer krävas omfattande utredningsresurser för att utreda och reglera upp en sådan infrastruktur. Flera aspekter behöver även harmoniseras med den kommande EU-lagstiftningen vid etablering av en nationell datahubb. Vad som mer exakt avses med en datahubb beskrivs i avsnitt 19.5 nedan. Kortfattat kan sägas att en nationell datahubb avser en funktion som agerar som ett nav för datadelning med flera olika funktioner. En nationell datahubb ska inte fungera som ett stort lager med uppgifter där all hälsodata i Sverige ska samlas och lagras. De relevanta datamängderna är snarare tänkta att enbart finnas vid den nationella datahubben så länge det behövs för ett aktuellt ändamål, exempelvis under tiden som ett forskningsprojekt pågår.
Utredningen kommer i detta kapitel försöka sammanfatta och beskriva de behov som utredningen fått till sig och själv landat i och som på sikt bör kunna lösas genom en nationell datahubb. Förhoppningen är att detta kapitel kan agera som en vägledning i det framtida arbetet och stimulera till en konstruktiv dialog mellan parterna inom hälsodataområdet.
19.2. Utmaningarna på hälsodataområdet
Av utredningens direktiv framgår att lagstiftningen på hälsodataområdet inte alltid är eller upplevs vara uppdaterad för att ändamålsenligt reglera det den nu behöver reglera. Det framgår också att regeringen de senaste åren fått en rad synpunkter från olika samhällsaktörer om att regleringen av hälsodata är utdaterad och svårtillämpad (Dir. 2022:41 s. 10).
Även om det i direktiven framgår att utredningen ska redogöra för de konkreta tillämpningssvårigheter när det gäller den befintliga
regleringen av hälsodata som eventuellt framkommer under utredningens gång så bedömer utredningen att perspektivet behöver breddas till att omfatta även andra dimensioner än bara reglering och tillämpningssvårigheter.
Anledningen till det är just på grund av det som regeringen pekar på, att utvecklingen går fort framåt inom hälsodataområdet. Det är därför svårt att beskriva regleringen för sig utan att också beskriva tekniken, infrastrukturen, organiseringen och utvecklingen i omvärlden eftersom regleringen inte verkar i ett vakuum utan snarare i ett komplext system med ömsesidiga beroenden.
19.2.1. Hälsodataområdet är ett komplext ekosystem
Utredningens bedömning är att det hälsodataområdet behöver för att fungera bättre, är att det behöver utvecklas i flera dimensioner och tillsammans med flera aktörer som gemensamt kommer utgöra ett ekosystem. Ett sådant ekosystem finns till viss del redan i dag där data samlas in, delas och används inom en rad olika verksamheter för en rad olika ändamål. I dag finns dock flera hinder som försvårar arbetet och som gör att området av många inte upplevs fungera optimalt. Bristande interoperabilitet, ökande administration och otydlig reglering är några vanligt återkommande exempel på utmaningar inom hälsodataområdet som utredningen fått till sig.
I utredningens internationella jämförelse (kapitel 10) har utredningen gjort en ansats till att försöka förstå vilka delar av ekosystemet som fungerar bättre i andra länder, vad dessa länder gjort för att lösa olika problem kring datadelning och slutligen uppskatta ungefär hur lång tid det skulle ta för Sverige att få till ett ekosystem för datadelning med liknande funktionalitet. Alla länder är olika och därav kan det vara svårt att rakt av kopiera enskilda lösningar. Utredningen kommer därför i detta kapitel försöka lägga fram förslag på en rad olika åtgärder, kallade byggstenar, som regeringen skulle kunna genomföra i syfte att få till stånd ett ekosystem på hälsodataområdet som har samma funktionalitet och som kan uppnå och lösa liknande problem och utmaningar som finns i jämförelseländerna (se vidare kapitel 21). Det betyder inte att Sverige ska eller bör lösa problemen på samma sätt som jämförelseländerna gjort, men deras lösningar kan ge vägledning för hur Sverige skulle kunna lösa sina utmaningar.
19.2.2. Allmänna utgångspunkter
Den första och den mest centrala utgångspunkten för ekosystemet är patienterna, vars data det är som används och vilka ska vara centrala mottagare för värdet som uppstår av användandet av datan. Hälsodataområdet ska därför syfta till att skapa förutsättningar för bättre hälsa och ett enklare liv för medborgarna genom att direkt och indirekt skapa värde med hjälp av hälsodata. E-hälsomyndigheten har tagit fram en illustration (figur 19.1) över hur hälsodataområdet kan se ut ur ett individperspektiv.
Figur 19.1 En visuell representation av hälsodataområdet med individen i centrum
Källa: E hälsomyndighetens illustration.
Individ
Omsorgspersonal
Anhöriga
Vårdpersonal
Andra yrkesroller
Professionsorganisationer
Patient- och brukarföreningar
Apoteks-
aktörer
Life science-
industri
System och teknik-
leverantörer
Vård- och omsorgsgivare
Näringsliv
Akademi
Idéburna
aktörer
Nationella och internationella
organ
Statliga myndigheter
Regioner och
kommuner
Den andra utgångspunkten är att administration för dataregistrering och datadelning av hälsodata ska minimeras i syfte att värna hälso- och sjukvården och omsorgens medarbetares arbetsmiljö, men också verksamheternas ekonomi. Det finns dock situationer där hälso- och sjukvården behöver samla in uppgifter som inte primärt är för hälso- och sjukvården. Ett sådant exempel kan vara när Folkhälsomyndigheten behöver uppgifter från hälso- och sjukvården för att utföra en av sina huvuduppgifter som är att fortlöpande följa det epidemiologiska läget vad gäller infektionssjukdomar, speciellt de som omfattas av smittskyddslagen. För denna typ av insamling krävs en tydlig struktur för hur proportionalitetsbedömningen ska göras och att den görs för varje ny datamängd, så att nyttan kan vägas mot kostnaderna. Utredningen förstår också att det finns situationer där politiska partier föreslår och driver igenom reformer som kan leda till ökad datainsamling utan att det föregåtts av en mer grundlig proportionalitetsbedömning avseende ökad administration till följd av förslaget. Utredningen menar dock på att utgångspunkten bör vara att en proportionalitetsbedömning görs där samhällsnyttan vägs mot de kostnader som ur olika aspekter kan uppstå för samhället.
Den tredje utgångspunkten är att det finns andra aktörer med stort behov av hälsodata som skapar direkt eller indirekt nytta för medborgarna och att deras behov är legitima och bör beaktas. Här återfinns exempelvis universitet, företag och olika myndigheter som fyller viktiga funktioner för att ekosystemet ska fungera och skapa värde.
Den fjärde utgångspunkten är att infrastrukturen som ska utgöra det centrala navet för hälsodataområdet måste kunna användas av alla relevanta aktörer, för olika ändamål, givet att det uppfyller de krav som finns enligt dataskyddsregelverket för personuppgifter samt hur eventuell sekretess ska hanteras.
Den femte utgångspunkten är, i likhet med Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724, förkortad EU:s dataförvaltningsförordning och Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och användning av data COM(2022) 68 final av den 23 februari 2022, förkortad förslaget till EU:s dataförordning, att data inte ska låsas in hos enskilda aktörer eller applikationer.
Om datainsamling bekostats av offentliga medel bör utgångspunkten vara att datan också ska tillgängliggöras för alla tänkbara relevanta aktörer som har ett behov för olika ändamål, där det är lämpligt. Datadelningen ska inte begränsas av tekniska skäl eller på grund av särintressen. Det kan däremot finnas situationer där data inte ska delas, exempelvis av integritetsskäl.
Den sjätte utgångspunkt är att datadelning bör fokusera på behov och ändamål för behandlingen snarare än organisatorisk tillhörighet om det ska gå att minimera integritetsintrånget och maximera nyttan. Detta betyder inte att organisatorisk tillhörighet eller ansvaret som kommer av att vara personuppgiftsansvarig påverkas. Utredningen menar snarare att lagstiftaren bör sträva efter att lagstiftningen, i den mån det är möjligt, fokuserar på ändamål snarare än organisatorisk tillhörighet, vilket utredningen bedömer varit fallet i äldre lagstiftning.
Utredningen har valt att fokusera på scenario 3 i den internationella jämförelsen (avsnitt 10.5), att utvecklingstakten ökar till en nivå där Sverige kommer i kapp eller går om föregångsländerna. Inte för att det är det mest troliga utfallet, utan för att det är det mest ambitiösa scenariot och utredningen anser att det är det mest lämpliga eftersom utredningen bör ge regeringen så bra förutsättningar som möjligt att genomföra en ambitiös reformagenda på hälsodataområdet. Även om regeringen skulle nå halvvägs, så hamnar Sverige sannolikt i det utfall som beskrivs i scenario 2, där utvecklingstakten ökar till att matcha föregångsländerna. Utredningen bedömer därför att det inte finns någon anledning till att välja något annat scenario än scenario 3. Det vill säga att utvecklingstakten ökar till en nivå där Sverige kommer i kapp eller går om föregångsländerna.
19.3. Avgränsningar och begränsningar
I kapitel 19–21 har utredningen valt att avgränsa bort vissa perspektiv och utmaningar. Dels beror avgränsningarna på tidsskäl, dels på utredningens bedömning att analysen bör göras inom ramen för den utredning som utreder frågorna i detalj. Detta gör dock att analyserna i detta kapitel har vissa begränsningar.
Utredningen har försökt lista de faktorer som utredningen bedömer är viktiga faktorer som utredningen inte haft möjlighet att ta hänsyn till. Syftet är att läsaren lättare ska kunna förstå vilka osäker-
heter och begränsningar som följer av utredningens avgränsningar i detta kapitel.
19.3.1. Interoperabilitet
Utredningen har valt att avgränsa bort samtliga resonemang som kopplar till interoperabilitet. Flera aktörer har inkommit med inspel rörande interoperabilitet. Dessa inspel har skickats vidare till Utredningen om infrastruktur för hälsodata som nationellt intresse (S 2022:10) som tittar specifikt på frågor som rör interoperabilitet.
19.3.2. Kompetensbrist och kompetensväxling
Som utredningen skrev i kapitel 10, uppger flera länder, inklusive Sverige att kompetensbristen är och sannolikt också kommer vara ett problem framöver. Fler professioner kommer sannolikt behöva fördjupade kunskaper i statistik, databearbetning och programmering för att få till stånd en mer datadriven hälso- och sjukvård. Därtill kommer sannolikt behovet av specialister med kunskap om datahantering och analys också öka. Eftersom detta gäller samhället i stort så kommer konkurrensen om denna kompetens sannolikt fortsätta att vara hård. Att lösa kompetensfrågan i förhållande till de bedömningar som görs i detta kapitel hade sannolikt krävt fler än en utredning.
Utredningen har därför valt att inte ta in kompetensbristen som ett perspektiv i genomförbarheten av de bedömningar som gjorts utan antar att rätt kompetens finns och att det också finns kompetent personal att rekrytera. Utredningen förstår att detta är en betydande avgränsning och att kompetensbristen är en stor utmaning i praktiken. Utredningen bedömer dock att den frågan behöver utredas dels inom ramen för varje byggsten separat, dels för samhällets försörjning i stort.
Utredningen kommer inte heller ta hänsyn till eventuell teknisk innovation som leder till större strukturförändringar på arbetsmarknaden.
19.3.3. Förändrad demografi
Sverige står, likt många andra europeiska länder, inför en stor demografisk förändring med allt fler personer i behov av vård till följd av att andelen av befolkningen som är över 80 år ökar.
1
Inte heller detta per-
spektiv kommer utredningen kunna beakta i detta kapitel, då det är en omfattande utmaning som behöver utredas ur ett bredare perspektiv.
19.3.4. Kriser och oväntade händelser
Alla utredningens antaganden bygger på förutsättningen att det inte sker några omfattande kriser eller andra större oväntade händelser som påverkar utvecklingen på hälsodataområdet starkt positivt eller negativt, varken i Sverige eller i referensländerna.
Utredningen bedömer att osäkerheten kopplat till vilka kriser och oväntade händelser som kommer uppstå under de kommande åren och hur de i kombination kommer påverka hälsodataområdet svåra om ens möjliga att förutse. Utredningens bedömningar i detta kapitel ska därför läsas i ljuset av att det alltid finns en osäkerhet när framtiden studeras.
19.3.5. Förändrad ansvarsfördelning
Utredningen kommer inte redogöra för olika scenarion som tar höjd för eventuellt förändrat huvudmannaskap för hälso- och sjukvården. Detta eftersom utredningens bedömning är att en sådan stor strukturförändring sannolikt skulle ta många år och därmed inte är relevant för utredningens bedömningar i detta kapitel.
Utredningen kommer inte heller redogöra för olika scenarion som tar höjd för eventuellt ökad integration mellan hälso- och sjukvårdens digitala infrastruktur och exempelvis infrastrukturer som finns och som i dag primärt används för forskning.
1
https://www.scb.se/hitta-statistik/statistik-efter-amne/befolkning/befolkningsframskrivningar/
befolkningsframskrivningar/pong/statistiknyhet/sveriges-framtida-befolking-20182070/ (Hämtat 2023-05-15).
19.4. Alternativ till en datahubb som utredningen övervägt
Utredningens bedömning är att alternativet till en säker behandlingsmiljö vid en datahubb är att olika aktörer skulle skicka eller på annat sätt tillgängliggöra data för varandra. Det sker redan i dag och kan fungera i praktiken. När det däremot gäller direktidentifierbara, känsliga personuppgifter finns situationer där delning av hälsodata kan vara svårt att motivera på annat sätt än genom en datahubb. Ett sådant exempel kan vara privata aktörers behov av personuppgifter från vården, se avsnitt 20.6. Alternativet för att tillåta detta, är annars att på ett långtgående sätt ändra sekretesskyddet.
I EU gäller Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad dataskyddsförordningen. Varje medlemsland i EU kan ta fram egen lagstiftning som kompletterar dataskyddsförordningen. Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen, innehåller vissa undantag och anpassningar till svensk rätt. Förutom dataskyddslagen finns registerförfattningar som reglerar hur personuppgifter får hanteras i vissa offentliga verksamheter. Registerförfattningarna har företräde framför dataskyddslagen, men måste fortfarande överensstämma med dataskyddsförordningen.
Ett alternativ skulle kunna vara att bygga vidare på denna regulatoriska lösning, det vill säga att ta fram en registerförfattning för att möjliggöra datadelningen. Eftersom en sådan reglering ska vara förutsägbar för den registrerade och leva upp till de krav som finns i dataskyddsförordningen och i regeringsformen så tenderar denna lagstiftning att bli förhållandevis detaljerad.
2
Regleringen blir därmed ofta
snävare i tillämpningsområde och vilka som omfattas, registerförfattningarna blir därför också många till antalet och därmed svåra att överblicka, vilket inte är ändamålsenligt om regeringen vill öka datadelning och minska bundenheten till organisatoriska lösningar (Dir. 2011:86).
Ett annat alternativ är mer generösa regler där fler får tillgång till mer uppgifter. Detta har föreslagits av ett par utredningar genom åren, exempelvis av utredningen om rätt information i vård och omsorg
2
Esam, 2022, En modern registerförfattning.
(2014:23). Dessa förslag har aldrig antagits, vilket utredningen antar beror på att integritetsintrånget inte bedömts vara proportionerligt till den nytta tillgången hade fört med sig.
Utredningen har gjort bedömningen att en rimlig mellanväg mellan ännu fler registerförfattningar och en mer generell och generös datadelningsreglering är just en nationell datahubb. I utredningens internationella jämförelse kunde utredningen också konstatera att flera länder numera använder sig av datahubbar för att exempelvis lösa problemet med att samköra känsliga personuppgifter (se kapitel 10).
19.5. Vad är en datahubb?
För förståelsen av vad en datahubb är behöver följande begrepp förklaras: Hälsodataområdet, EU:s hälsodataområde, Sveriges hälsodata-
område, nationell datahubb och slutligen regionala och lokala datahubbar. I figur 19.2 nedan visas hur dessa storleksmässigt förhåller
sig till varandra.
Figur 19.2 En översiktlig bild över hälsodataområdet och dess delar
Källa: Utredningens illustration.
Hälsodataområdet
EU:s
hälsodataområde
Sveriges dataområde
(nationella datahubben)
Regionala och lokala
datahubbar
19.5.1. Hälsodataområdet
Med hälsodataområdet avser utredningen området hälsodata där ordet område ska tolkas bildligt. Ordet hälsodataområdet ska tolkas brett och innefattar verksamhet eller annat som på ett eller annat sätt kopplar till hälsodata. Det kan exempelvis innebära i stort sett hela life science industrin, appar som behandlar hälsodata, hela eller delar av olika myndigheters verksamhet, klinisk forskning, sjukvård och socialtjänst.
19.5.2. EU:s och Sveriges hälsodataområde
Den svenska översättningen av ”health data space” som återfinns i exempelvis förslaget till EHDS är just hälsodataområde, vilket olyckligt nog sammanfaller med begreppet hälsodataområde i den mening som avses i avsnitt 19.2.1. Detta gör att det lätt uppstår missförstånd om vad det är som avses med ordet hälsodataområde. I ett regeringsuppdrag till E-hälsomyndigheten har även namnet hälsodatautrymme använts för att beskriva förslaget till EHDS begrepp hälsodataområde.
3
Utredningens tolkning är att begreppet utrymme bättre speglar vad som avses med begreppet space som används i de engelska versionerna av EU:s rättsakterna. Exempelvis så lagras data ofta på hårddiskar och då används exempelvis ofta begreppet lagringsutrymme, att jämföra med engelskan storage space. Även begrepp som säker behandlingsmiljö som i den engelska versionen heter secure processing environment som är en central del av dataområdena indikerar att det snarare är en avgränsad miljö eller del som utgör dataområdena snarare än att det är områden i sig. Det enda som utredningen ser som talar för område är att EU med dessa rättsakter försöker få till stånd en inre marknad för data, vilket då har en koppling till geografi och därmed område. Utredningens bedömning är dock att utrymme hade varit ett bättre ord som skapat mindre risk för missförstånd om vad det är förslaget till EHDS avser att uppnå.
3
Regeringskansliet, 2021, regeringsbeslut S2021/05259 (delvis).
19.5.3. Nationell datahubb
I direktiven pekas det ut att en sådan funktion att ansvara för en nationell datahubb bör placeras hos en befintlig myndighet. Utredningen har därför haft att förhålla sig till att regeringen pekat att ut att ansvarig för en nationell datahubb bör vara en myndighet.
Utredningens egen bedömning är att en sådan myndighet lämpligen bör vara en statlig sådan. För en nationell datahubb och den typ av datadelning en sådan medför krävs hög säkerhet, tydligt ansvarsutkrävande och en fungerande infrastruktur. Utredningens bedömning är att Sverige skulle få mest ut av en sådan infrastruktur om den kan tillhandahålla två centrala funktioner för datadelning; samkörning och tillgängliggörande av data inom en säker behandlingsmiljö. Datahubben kan sedan kompletteras med ytterligare funktioner, utredningen bedömer dock att dessa två är de centrala funktioner som bör etableras initialt.
Utöver dessa centrala funktioner bör en nationell datahubb förses med olika tjänster som utredningen kallar byggstenar och beskrivs i kapitel 21.
Samkörning
Ett behov som lyfts till utredningen är behovet att samköra hälsodata från olika aktörer, exempelvis samkörning av hälsodata över regiongränser på fler sätt än som är möjligt i dag. I dag kan till exempel två regioner som samarbetar inte samköra personuppgifter för att utveckla och förbättra vården de samarbetar kring. Det innebär att det finns ett behov av att kunna jämföra och sammanställa hälsodata från olika källor.
I dag kan vissa myndigheter samköra vissa hälsodata som finns hos andra myndigheter. Socialstyrelsen har exempelvis möjlighet att samköra data från regionerna. Den begränsande faktorn för samkörning hos Socialstyrelsen är framför allt att data inte finns i strukturerad form.
4
Därmed saknas möjligheterna för att exempelvis skapa en datasjö och samköra och analysera vanliga registerdata med exempelvis bilder.
En säker behandlingsmiljö skulle kunna möjliggöra för fler typer av samkörningar och analyser genom att använda sig av en säker behandlingsmiljö. Ett sådant exempel är att det skulle skapa bättre möjligheter för privata företag att kunna ta del av samkörda data och analysera dessa på ett sätt som i dag inte är möjligt.
4
Kommunikation med Socialstyrelsen 2023-09-18, Komm2023/00564/S 2022:04-8.
Tillgängliggörande av data inom en säker behandlingsmiljö
Med säker behandlingsmiljö avser utredningen en miljö där hälsodata kan behandlas och där risken för obehörig läsning, kopiering, ändring eller borttagning av data minimerats. Datatillgången har också begränsats till de data som dataanvändaren fått tillstånd att få tillgång till. I Sverige finns inga statliga säkra behandlingsmiljöer som liknar den säkra behandlingsmiljö som Findata erbjuder och dit aktörer kan vända sig för att behandla hälsodata. SCB har en mer generell plattform för tillgängliggörande av mikrodata, MONA (Microdata Online Access). I MONA kan användare göra bearbetningar via internet utan att mikrodata lämnar SCB. Med mikrodata menas uppgifter som avser enskilda objekt, till exempel personer eller företag, för hälsodata avser det i stort sett alltid känsliga personuppgifter (se kapitel 3).
Upplägget med säkra behandlingsmiljöer innebär att den nationella datahubben under en kort period kommer ha tillgång till vissa data i syfte att samköra dem, antingen för att tillgängliggöra dem i en säker behandlingsmiljö eller för att lämna ut data för exempelvis forskning. Detta liknar i delar det arbete som görs vid statistikansvariga myndigheter så som Socialstyrelsen.
Socialstyrelsen saknar dock en säker behandlingsmiljö som möjliggör analyser som olika aktörer har behov av, så som möjligheten att analysera personuppgifter som inte är strukturerade på ett visst sätt eller av aktörer som av sekretesskäl inte kan få ut personuppgifter på en så detaljerade nivå som de behöver för sina behov. Huruvida det är direkt identifierbara uppgifter, pseudonymiserade uppgifter eller anonymiserade uppgifter som analyseras i den säkra behandlingsmiljön eller som lämnas ut kommer bero på olika faktorer så som vilken sekretess mottagaren har och för vilket ändamål aktuella hälsodata lämnas ut.
I figur 19.3 illustreras en schematisk översikt av en typ av säkerbehandlingsmiljö.
Figur 19.3 Schematisk översikt över en säker behandlingsmiljö
Källa: Utredningens illustration.
Utredningen ser framför sig att en aktör vänder sig till datahubben för att få ut data från en mängd olika datahållare. Även detta skiljer sig från Socialstyrelsens nuvarande arbetssätt där exempelvis forskaren själv behöver ta kontakt med respektive datahållare.
5
Hur datahubben kom-
mer hantera denna fråga kommer som det verkar regleras i förslaget till EHDS och utredningen har därför utgått från förslaget till EHDS och hur Findata i Finland fungerar (se kapitel 10). Den myndighet som är ansvarig för datahubben vänder sig sedan till datahållarna som skickar relevant data till datahubben för samkörning och/eller tillgängliggörande. Detta görs då inom ramen för den säkra behandlingsmiljön. Det går att se den säkra behandlingsmiljön antingen som en säker behandlingsmiljö som är indelad i en intern del som endast myndigheten kommer åt och en del som externa aktörer kommer åt. För en sådan lösning ska kunna fungera i praktiken behöver rättsligt stöd för alla de behandlingar som föranleds i olika steg finnas. Utredningen har identifierat att det är en sådan fråga som behövs utredas vidare.
Det kan också ses som två separata säkra behandlingsmiljöer. I praktiken kommer det sannolikt bli båda delarna, exempelvis skulle det fysiska skalskyddet för den säkra behandlingsmiljön vara densamma för båda delarna. Men rent tekniskt kan de av exempelvis cybersäkerhetsskäl hållas åtskilda. Utredningen har valt att beskriva det som två separata miljöer, en intern och en extern, då utredningen bedömer att detta blir enklast att förstå för de flesta läsare.
5
Kommunikation med Socialstyrelsen 2023-09-18, Komm2023/00564/S 2022:04-8.
Data som användaren har tillgång till i den säkra behandlingsmiljön
Direkt identifierbara data
Datahållarnas data
Datahubben
Säker behandlingsmiljö för interna användare
Säker behandlingsmiljö för externa användare
Vad en nationell datahubb inte är
Syftet med en nationell datahubb är inte att bli en stor reservoar där alla möjliga hälsodata i hela Sverige ska samlas och lagras. Den nationella datahubben ska inte heller ersätta datahållarens roll som datahållare utan snarare komplettera deras roll. Den nationella datahubben bör heller inte byggas på ett sådant sätt att den blir en flaskhals för all hälsodatadelning i Sverige. Datahubben ska bidra till ökad datadelning, inte tvärtom.
Vilken organisation bör få ansvar för en nationell datahubb
I utredningens direktiv framgår att utredningen ska säkerställa att de förslag som lämnas är förenliga med målsättningen att inom ramen för en befintlig myndighet inrätta en teknisk och organisatorisk funktion för säker och effektiv delning av hälsodata, i likhet med Findata i Finland eller andra liknande strukturer i andra länder. Utredningen har inte haft i uppdrag att lämna några författningsförslag avseende en sådan funktion. Däremot har utredningen i sin promemoria (bilaga 4 Promemoria med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet), föreslagit att E-hälsomyndigheten bör vara den befintliga myndighet där en sådan funktion inrättas.
Utan att veta vilken myndighet regeringen slår fast ska ansvara för en sådan funktion, går det inte att till exempel reglera upp vilken sekretess som ska gälla för uppgifterna hos myndigheten. I dag finns mycket av infrastrukturen på hälsodataområdet hos Inera AB. Eftersom Inera AB inte utgörs av en statlig myndighet går det inte i linje med regeringens målsättning att etablera en nationell datahubb genom Inera AB. Vidare är regeringen förhindrad att bestämma vilka tjänster Inera AB bör ta fram och kan till exempel inte heller tillskjuta medel för att Inera AB ska etablera en nationell datahubb. Därtill har Inera AB inte möjlighet att förmedla föreskrifter och kan inte heller pekas ut som ansvarig i lag eller förordning, vilket kommer krävas för att den nationella datahubben ska kunna fungera.
Utöver det kommer förslaget till EHDS, som fortfarande förhandlas, sannolikt leda till att Sverige behöver anpassa både lagstiftning och organisatoriska funktioner för att kunna tillämpa EU-förordningen i praktiken. Förslaget till EHDS bygger som utredningen förstått det i stora drag på hur Findata byggts upp i Finland.
Utredningen anser därför att ett samlat grepp, med utgångspunkt i regleringen i förslaget till EHDS behöver tas för att se över hur en teknisk och organisatorisk funktion i likhet med Findata ska etableras i Sverige. Utredningen lämnar inte några förslag som kommer att omfattas av förslaget till EHDS för att inte riskera någon dubbelreglering eller att utredningens förslag skulle krocka med förslaget till EHDS.
19.5.4. Regionala och lokala datahubbar
Bedömning: Utredningen anser att det finns ett behov av regio-
nala och lokala datahubbar. I det fortsatta utredningsarbetet av frågan om svenska datahubbar på hälsodataområdet, bör relevanta myndigheter och andra berörda aktörer arbeta direkt med regionerna i utvecklandet av regionala datahubbar.
Utifrån de erfarenheter utredningen sett bedömer utredningen att ett lämpligt upptagningsområde för en regional datahubb sannolikt är en per samverkansregion, detta behöver dock utredas vidare.
I Finland har inrättandet av Findata, som är Finlands motsvarighet till en nationell datahubb, lett till långa handläggningstider.
6
Utredningens
bedömning är därför att det är lämpligt att det finns möjlighet att inrätta regionala och lokala datahubbar som kan avlasta den nationella datahubben. Detta skulle också vara positivt utifrån det kommunala självstyret eftersom det gör att regionerna i mindre utsträckning blir beroende av en statlig myndighet för att dela sina egna hälsodata. Dessutom skulle en brist kunna vara avsaknaden av lokalkännedom. En nationell datahubb skulle, i en del fall, stå långt ifrån vissa av datamängderna och därmed riskera en onödigt långsam utlämnandeprocess. En nationell datahubb kan inte heller alltid svara på relevanta frågor rörande exempelvis datakvaliteten på lokala datamängder.
Att det finns ett regionalt behov kan exempelvis ses i att regionerna själva valt att inrätta olika funktioner och databaser liknande datahubben så som Nationella genomikplattformen (NGP), Centrum för hälsodata, registercentrum (RC) och Svenska biobanksregistret (SBR).
Utredningens bedömning är att den myndighet som den nationella datahubben etableras hos, bör bemyndigas att meddela föreskrifter som
6
Möte med THL 21 oktober 2022.
sätter ramarna för hur de regionala och lokala datahubbarna får konstrueras samt vilka krav som ska ställas på de olika datahubbarna. Om det inte blir fallet så ser utredningen uppenbara effektivitetsrisker till följd av allt för stora och eventuellt onödiga lokala särlösningar. Hur många datahubbar eller vilka som bör få ansvar för regionala och lokala datahubbar är en fråga som behöver utredas vidare. utredningen har gjort bedömningen att en per samverkansregion skulle kunna vara en lämplig storlek. Detta behöver dock utredas tillsammans med regionerna.
Exempelvis skiljer sig regionerna åt gällande exempelvis andelen privata utförare, storlek och så vidare, så finns det anledning att anta att behoven och förutsättningarna för att driva en regional datahubb ser olika ut. I storstadsregionerna kanske det går att driva en regional datahubb inom regionen. Trotts detta kan det ändå finnas anledning att se över om det snarare är önskvärt med en regional datahubb per samverkansregion.
Vad gäller lokala datahubbar så ser utredningen att det kan finnas ett behov inom väldigt specialiserad verksamhet alternativt att det kan finnas lokala behov av en säker behandlingsmiljö. Ett sådant exempel kan vara för analys av data inom vissa typer av högspecialiserad vård där forskning och utveckling också bedrivs. Där kan det finnas stora lokala behov som gör att det är ekonomiskt att bygga en lokal säker behandlingsmiljö som har den programvara och kapacitet som krävs för de lokala behoven.
Utredningen bedömer slutligen att det är viktigt att samtliga datahubbar är interoperabla och att den nationella bör få i ansvar för vilka datahubbar som etableras. Utredningen bedömer att det inte är lämpligt med fri etablering, argumenten för detta är densamma som utredningen haft för den precisionsmedicinska databasen, se kapitel 13 och 14.
19.5.5. Integrera den nationella datahubben med befintlig digital infrastruktur
Som tidigare redogjorts för bör den nationella datahubben fungera som ett nav inom hälsodataområdet. Den nationella datahubben bör erbjuda tjänster som andra aktörer kan ansluta till. För att det ska fungera behöver olika system inom hälsodataområdet vara interoperabla och fungera med varandra. För att detta ska vara praktiskt genomförbar behöver datahubben kunna kopplas samman med befintlig infra-
struktur som redan byggts upp för att kunna ta tillvara på de stora investeringar som redan gjorts. Ett exempel på en viktig digital infrastruktur som etablerats är NGP som utredningen skrivit om i avsnitt 14.7. Eftersom den plattformen har flera olika funktioner behöver ett nära samarbete ske med Genomic Medicine Sweden för att säkerställa att funktionerna i NGP blir kompatibla med den nationella datahubbens datadelningstjänst. För att till exempel ändamålet vård av annan patient än den personuppgifterna avser, ska kunna optimeras och tillhandahållas jämlikt över landet, behöver samtliga precisionsmedicinska databasers uppgifter bli sökbara genom den nationella datahubben.
Ett annat exempel på viktig befintlig, nationell infrastruktur är SciLifeLab (Science for Life Laboratory) som har etablerat infrastruktur för storskalig forskning inom biovetenskap, medicin och miljö. För att säkerställa att den nationella datahubben ska fungera sömlöst med SciLifeLabs infrastruktur behövs nära samarbete med de fyra universiteten som startat och ansvarar för det akademiska samarbetet, Karolinska Institutet, Kungliga Tekniska högskolan, Stockholms universitet och Uppsala universitet.
NGP och SciLifeLab är endast två exempel på befintlig digital infrastruktur som behöver bli kompatibelt med en nationell datahubb. En inventering av vilka andra infrastrukturer och befintliga datakällor som behöver kopplas samman med den nationella datahubben behöver genomföras och utredas vidare.
19.5.6. Medborgares data
Av figur 19.5 framgår en översiktsbild över hur medborgares data skulle kunna användas av olika aktörer och slutligen den nationella datahubben. Bilden har den nationella datahubben och medborgaren i centrum och detta är bara ett av många sätt och perspektiv som visualiserar datahubbens roll. Under varje typ av aktör finns även en ikon som representerar olika egenskaper, tjänster eller förmågor som aktören enligt utredningen har eller bör ha.
Ur detta perspektiv så utgår all information ifrån individen. Det kan finnas andra uppgifter som är av intresse för hälsodataområdet, men som inte utgörs av personuppgifter och kan därmed redan i dag delas.
Data som genereras av individen själv är i dag en underutnyttjad resurs för hälso- och sjukvården, det är också en resurs som kan vara
svår för exempelvis forskningen att ta del av även om det inom vissa områden finns ett stort sådant intresse. Möjligheten att dela och använda denna typ av data begränsas av flera faktorer så som legala, institutionella, ekonomiska kvalitets- och kunskapsmässiga begränsningar.
Hur medborgarnas inflytande kommer att se ut bedömer utredningen vara något som kommer att regleras i EHDS och utredningen har därför valt att resonera kring det i detta avsnitt.
Figur 19.4 Översiktsbild över hur medborgares data används av olika aktörer och slutligen nationella datahubben
Källa: Utredningens illustration.
Av figur 19.6 framgår en översikt av datahubbens tänkta centrala funktioner ur perspektivet dataförmedlare mellan datahållare och dataanvändare. Datahubben består här av fem delar, certifiering, samtycke, säker behandlingsmiljö, rådgivning samt lagrings- och beräkningskapacitet. Dessa kommer beskrivas i mer detalj under respektive rubrik.
Lagrar data
Erbjuder samkörning av data Erbjuder federering Erbjuder säker behandlingsmiljö Erbjuder molntjänster
Individ
Sjukvård
Egengenererade data
Datahubb
Myndigheter
Industri
Akademi
Figur 19.5 Översikt av datahubbens centrala funktioner
Källa: Utredningens illustration.
19.6. Ansvar för styrning och samordning på hälsodataområdet
Bedömning: Det finns behov av en nationell datahubb i statlig
regi. En sådan nationell datahubb bör samtidigt vara ansvarig myndighet för primär- och sekundäranvändning av hälsodata enligt artikel 10 och 36 i förslaget till EHDS.
Myndigheten som blir ansvarig enligt dessa artiklar bör också få i uppdrag att årligen rapportera till regeringen vilka regelhinder, behov av ny reglering eller förtydliganden som kan behöva göras i befintlig hälsodatareglering. Utredningen konstaterar också att Utredningen om en effektiv organisation för statlig forskningsfinansiering (SOU 2023:59) förslag om en forskningsinfrastrukturmyndighet i delar går i linje med utredningens bild av vad som behöver komma till stånd i Sverige för att Sverige likt EU ska kunna ställa om till en datadriven ekonomi.
Vidare bedömer utredningen att regionerna inte bör bli ansvariga myndigheter enligt dessa artiklar.
Samtyck, opt in
och opt ut
Säker
behandlingsmiljö
Rådgivning
Certifiering
Datahubben
Lagrings- och beräkningskapacitet
Datahållare
Dataanvändare
Flera av de generella behov och byggstenarna som utredningen identifierat har beskrivits i utredningens promemoria och finns att läsa i bilaga 4. I figur 19.6 har utredningen gjort en förenklad bild av hur utredningen tolkat att dataområdena avses att regleras.
Figur 19.6 En illustration som visar utredningens tolkning av hur dataområdena avses att regleras
Källa: Utredningens illustration.
Det finns rättsakter som reglerar områdena på ett övergripande plan, där den mest omfattande är dataskyddsförordningen. Därutöver finns Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724, förkortad EU:s dataförvaltningsförordning och Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och användning av data COM(2022) 68 final av den 23 februari 2022, förkortad förslaget till EU:s dataförordning med flera.
Så som utredningen ser det kommer det finnas en statlig myndighet som kommer tillhandahålla den nationella datahubben. Det är sannolikt att denna myndighet kommer att identifiera många regelhinder i sitt arbete med att begära in data från en stor mängd aktörer. Därmed bör den myndigheten också få i ansvar att årligen rapportera till regeringen vilka utmaningarna är på hälsodataområdet, hur varje
Dataskyddsförordningen Dataförvaltningsförordningen
Dataakten
AI -f ör or d n in gen
H älsoda taomr ådet
Jor db ruk sd at aomr ådet
…
…
…
Finans da taomr ådet
And ra f ör or dn ing ar
kommun och region ligger till i förhållande till utsatta mål, i syfte att säkerställa en mer långsiktig, transparent och enhetlig styrning. Sådana mål skulle kunna inbegripa hur långt olika kommuner kommit med att implementera olika krav som följer av lagar och förordningar. Det skulle också underlätta för regeringen i styrningen av hälso- och sjukvården genom att reformer blir mer träffsäkra. Det skulle också underlätta för att identifiera eventuella regelhinder, förenklingar eller förtydligande av regler som det finns behov av och skulle därmed också skapa möjligheter för en mer löpande översyn av hälsodataområdet.
Utredningen konstaterar också att Utredningen om en effektiv organisation för statlig forskningsfinansiering (U 2022:06) förslag går i linje med utredningens bild av vad som behöver komma till stånd i Sverige för att Sverige likt EU ska kunna ställa om till en datadriven ekonomi. Förutom detta avsnitt gäller det framför allt byggstenarna:
- Lagrings- och beräkningskapacitet (se avsnitt 21.1.5),
- One million genomes (se avsnitt 21.1.7),
- En plattform för innovation (se avsnitt 21.1.13).
19.6.1. Förändrad ansvarsfördelning styrning och samordning inom hälsodataområdet
Bedömning: Det behöver utredas om E-hälsomyndigheten bör få
ansvar för samordning och styrning för både primär- och vidareanvändning (även kallat sekundäranvändning) av hälsodata. Vissa uppgifter som i dag är en del av Socialstyrelsens verksamhet behöver ses över och utredas om den bör flyttas till E-hälsomyndigheten.
Utredningens bedömning är att Socialstyrelsen även fortsatt bör ha ansvar för de hälsodataregister som myndigheten i dag har ansvar för.
Utredningen vill inleda med att konstatera att primäranvändning går utanför utredningens direktiv och är därför endast med i detta stycke eftersom utredningen ser synergieffekter av att samla visst ansvar.
Utredningens bedömning är att det kan finnas skäl för att en ensam myndighet bör få det övergripande ansvaret för samordningen och
styrningen för frågor rörande primär- och vidareanvändning (även kallat sekundäranvändning). Det innebär exempelvis ansvar för interoperabilitetsfrågor och den nationella digitala infrastrukturen.
Det innebär däremot inte ansvar för uppgifter såsom att besluta om föreskrifter kopplade till hälsodataregister. Utredningen bedömer att regeringen har pekat ut E-hälsomyndigheten som den myndigheten med övergripande ansvar för samordningen, genom tilldelningen av uppdrag om att samordna regeringens satsningar på e-hälsa och nationell digital infrastruktur för hälso- och sjukvård, tandvård och socialtjänst (1 § Förordning [2013:1031] med instruktion för E-hälsomyndigheten).
I praktiken uppfattar utredningen att det skulle innebära att sådana uppgifter som Socialstyrelsen i dag har inom e-hälsa regleras i 4 § punkterna 9 och 10 i Socialstyrelsens instruktion (Förordning [2015:284] med instruktion för Socialstyrelsen) behöver ses över för att avgöra om de bör flyttas över till E-hälsomyndigheten. De åtaganden som utredningen bedömer behöver ses över är Socialstyrelsen uppgifter att skapa och tillhandahålla enhetliga begrepp, termer och klassifikationer inom sitt verksamhetsområde, samt uppgiften att skapa, beskriva och tillhandahålla en ändamålsenlig informationsstruktur inom sitt verksamhetsområde.
Utredningens bedömning är dock att skrivningarna i punkterna inte bör flyttas i sin befintliga form, vid en eventuell förändrad ansvarsfördelning, utan bör ses över i samband med att de skrivs in i E-hälsomyndighetens instruktion för att bättre anpassa myndighetens instruktion för de behov som finns i dag och kommer finnas framöver. Exempelvis bedömer utredningen att instruktionsändringen bör harmonisera med förslaget till EHDS för att undvika dubbelreglering eller otydligheter.
Även medel för verksamheten bör, vid en eventuell flytt, då följaktligen flyttas över, men ses över för att harmonisera med eventuellt nya uppgifter som följer av förslaget till EHDS. I Socialstyrelsens årsredovisning för 2022 anger myndigheten att deras arbete med e-hälsa uppgår till 67 miljoner kronor.
7
Utredningen bedömer det behöver utredas vidare om E-hälsomyndigheten bör få i ansvar att utföra de uppgifter som följer av att vara ansvarig myndighet enligt artikel 10.1 och 36.1 i förslaget till EHDS som rör både primär- och sekundäranvändning.
7
Socialstyrelsen, 2023, Årsredovisning 2022 Socialstyrelsen, s. 16.
Det bör också utredas huruvida den myndighet som blir ansvarig för den nationella datahubben bör ha det sektorsspecifika ansvaret för de ansvarsområden som följer för behöriga organ enligt artikel 7.1. i EU:s dataförvaltningsförordning och behörig myndighet enligt artikel 31.1 i dataförordningen. Den främsta anledningen till detta är att samla styrningen till en myndighet i en förhoppning om att myndighetsstyrningen blir tydligare och mer enhetlig.
Skälen till utredningens bedömning avseende förändrad ansvarsfördelning
Hälsodataområdet är det första av alla dataområden och det är därför viktigt att den struktur som byggs upp inom hälsodataområdet blir förenlig med den struktur som kommer byggas upp inom andra dataområden.
Utredningens bedömning är att det i flera fall kan vara svårt att skilja på primär- respektive vidareanvändning av hälsodata och att båda är tätt kopplade till varandra. Vidareanvändningen är helt beroende av en fungerande primäranvändning. I dagsläget har Socialstyrelsen ansvar för en del av styrning och samordning inom primäranvändning av hälsodata. Därutöver arbetar Sveriges kommuner och regioner (SKR) med att bistå sina medlemmar med frågor rörande primäranvändning, som sker på frivillig basis. Utredningen bedömer att SKR och kommunsektorns arbete utgör en betydande del av arbetet med primäranvändning inom hälsodataområdet i Sverige i dag.
Utredningens bedömning är att om Sverige skulle välja att inte centralisera samordningen och styrningen för primär- och vidareanvändningen av hälsodata till en aktör på hälsodataområdet finns en uppenbar risk för en svår myndighetsstyrning där inblandade myndigheterna kommer dras med betydande gränsdragningsproblematik gällande ansvarsområden. Utöver att det är kostnadsdrivande och ineffektivt så bedömer utredningen att det leder till en risk för att myndigheternas styrsignaler blir fler än de hade behövt vara och att styrningen kan upplevas som splittrad eller motsägelsefull (Se exempelvis SOU 2017:48 s. 377). Detta gör i sin tur att det kan vara svårt för exempelvis kommunsektorn att veta vad det är som gäller och hur de ska förhålla sig till de olika styrsignalerna.
Utöver detta gör utredningen bedömningen att om andra dataområden skulle välja att ha en uppdelning mellan primär- respektive
vidareanvändning så skulle även myndighetssamverkan bli svår. Den bedömningen gör utredningen dels på grund av att antalet aktörer skulle dubbleras, dels för att det skulle innebära en väldigt komplex myndighetssamverkan, vilket illustreras i figur 19.8 nedan. Utredningen har valt att använda miljödata som ett exempel som kan vara ett område som kan påverka risker för hälsan, även om det i nuläget inte finns något förslag till förordning som reglerar ett miljödataområde på samma sätt som förslaget till EHDS reglerar hälsodataområdet. Hälsodataområdet ska i denna kontext inte förväxlas med själva sakområdet utan här avses EU:s dataområden.
I figuren utgörs husen av myndigheter. Pilarna visar hur myndigheter samverkar. Utredningen anser att om det övergripande ansvaret för styrningen på primäranvändningen och vidareanvändningen låg på samma myndighet (och fyra hus skulle bli till två) skulle de små pilarna kunna elimineras och effektivisering uppstå.
Figur 19.7 Översikt över myndighetssamverkan om ansvaret för primär- och vidareanvändning av data finns på två myndigheter i stället för en
Källa: Utredningens illustration.
Förutom att det kan uppstå en gråzon mellan primär- och vidareanvändningsmyndigheterna, finns det också en risk att det uppstår en gråzon mellan myndigheterna med ansvar för primär- eller vidareanvändning inom respektive dataområde.
Det problemet som enligt utredningen sannolikt blir störst är om myndigheterna med ansvar för vidareanvändning ska samverka och
Primäranvändning hälsodata Primäranvändning miljödata
Vidareanvändning miljödata Vidareanvändning hälsodata
komma överens om något så kommer de i flera fall vara beroende av att deras respektive primäranvändningsansvariga myndighet gör samma bedömning och att de också samverkar med varandra. I praktiken skulle det alltså kunna innebära att två myndigheter blev beroende av två andra myndigheter för att kunna utföra sina instruktionsenliga uppgifter. Ytterligare ett problem skulle vara när både myndigheten med ansvar för vidareanvändning inom hälsodataområdet och motsvarande myndighet på miljöområdet vill olika saker på primäranvändningsområdet. I detta fall så blir det upp till primäranvändningsmyndigheten att fatta ett beslut som kommer få konsekvenser för vidareanvändningsmyndigheten. Ovanpå denna samverkan så ska myndigheterna också samverka med andra myndigheter och även kommuner och regioner.
Utredningens bedömning mot bakgrund av ovan är att det är olämpligt att dela upp ansvaret för samordningen och styrningen av primär- och vidareanvändning av hälsodata på två olika myndigheter.
Utredningen vill också poängtera att utredningen inte haft i uppdrag att utreda huruvida det arbete som bedrivs inom ramen för primäranvändning lever upp till krav och förväntningar och utredningens bedömning ska alltså inte ses som ett underkännande av befintlig verksamhet. Utredningen kan dock konstatera att den ordning som är i dag kan skapa problem framöver och att det är lämpligt att samla ansvaret innan förslaget till EHDS antas. Utredningen bedömer att denna förändring skulle kunna genomföras genom att ansvarigt departement har en dialog med de berörda myndigheterna. Det skulle dock behöva utredas hur eventuella instruktionsändringar bör formuleras för att dels vara uppdaterad för dagens behov, dels för att harmoniera med förslaget till EHDS.
Konsekvenser för Socialstyrelsen
Utredningen har varit i dialog med Socialstyrelsen för att bedöma vilka konsekvenser det skulle få för myndigheten i övrigt om ansvaret för frågor som rör primäranvändning av hälsodata skulle flyttas över till E-hälsomyndigheten.
Utredningens bedömning är att det arbete med nationellt fackspråk (NF) och nationell informationsstruktur (NI) som bedrivs tillsammans med kommuner och regioner likväl skulle kunna utföras av E-hälso-
myndigheten. I denna del bedömer utredningen att fördelarna som beskrivet i föregående avsnitt överstiger nackdelarna som en flytt kan komma att medföra, så som avstannande av pågående utvecklingsarbete eller temporärt kompetenstapp.
Socialstyrelsen har anfört att arbetet med NF och NI har en stark koppling till myndighetens arbete med styrning med kunskap.
8
Utred-
ningen är av samma uppfattning.
Utredningen gör dock bedömningen att det finns en rad myndigheter som har verksamhet som är nära kopplad till styrningen med kunskap och där många myndigheters arbete överlappar ett och samma område. Ett sådant exempel är diabetesområdet. Socialstyrelsen har nationella riktlinjer inom diabetes, men även Folkhälsomyndighetens, Tandvårds- och läkemedelsförmånsverket och Läkemedelsverket har uppgifter som kopplar till diabetes. Utredningen bedömer därmed att det inte är unikt eller ett problem att flera myndigheter arbetar med styrning med kunskap inom samma områden. Utredningen bedömer vidare att flytten av ansvaret för vissa uppgifter snarare har möjligheten att ena styrsignalerna till kommuner och regioner. Det bör, enligt utredningens uppfattning, inte heller ha någon större negativ inverkan på Socialstyrelsens möjlighet att arbeta med styrning av kunskap.
Socialstyrelsen beskriver i sitt underlag att myndighetens arbete med NF och NI har en nära koppling till registerverksamheten och att det skulle tala emot att denna del av myndighetens verksamhet flyttades till E-hälsomyndigheten. Utredningen bedömer i denna del att E-hälsomyndigheten har ett större oberoende eftersom de kommer ha ansvar för att systemet ska fungera för fler aktörer.
Utredningens sammantagna bedömning är att en ändrad ansvarsfördelning för styrning och samordning för primäranvändningen av hälsodata hade haft marginellt negativa effekter för Socialstyrelsen. Utredningen bedömer också att dessa framför allt uppstår på kort sikt och sedan bedöms försvinna helt på lång sikt.
Konsekvenser för E-hälsomyndigheten
En förändrad ansvarsfördelning för styrning och samordning av hälsodataområdet skulle innebära att E-hälsomyndigheten skulle kunna bedriva sin styrning på hälsodataområdet enklare och mer enhetligt.
8
Diarienummer Komm2022/00460/S 2022:04-34.
Det finns enligt utredningen ett tydligt behov av en aktör som stöttar regeringen i att få en överblick av hela hälsodataområdet för att regeringen ska kunna styra på ett effektivt sätt och se till att centrala aktörer rör sig mot samma mål. Detta är något som regeringen enligt utredningens bedömning gett uttryck för i 1 § i den senaste instruktionsändringen för E-hälsomyndigheten (Förordning [2013:1031] med instruktion för E-hälsomyndigheten).
Myndigheten ska bistå regeringen med underlag för utvecklingen av digitaliseringen inom dessa områden. I detta ingår att årligen följa upp, analysera och beskriva utvecklingen samt att ge förslag på strategiska utvecklingsområden.
En negativ effekt är att myndigheten skulle behöva delvis integrera en ny verksamhet inom sin befintliga verksamhet vilket kan ta tid och kräva resurser. Men sammantaget bedömer utredningen att de negativa konsekvenserna kommer försvinna på lång sikt och att de positiva effekterna kommer uppstå redan på kort sikt och fortsätta vara positiva även på lång sikt.
Konsekvenser för övriga aktörer
På kort sikt innebär de flesta förändringar att exempelvis samverkan kan bli svårare under själva förändringsfasen. Utredningens bedömning är att ändrad ansvarsfördelning skulle kunna ha en negativ påverkan på pågående samverkan med kommuner, regioner och SKR. Utredningen bedömer dock att det kommer vara övergående. Utredningens uppfattning är även att vid införandet av reglerna i förslaget till EHDS kommer att få effekter som Sverige behöver anpassa sig till, både rörande ansvar för primär- och vidareanvändning. Oaktat så gör utredningen bedömningen att nyttorna på lång sikt överstiger de negativa effekterna som framför allt uppstår på kort sikt.
Skälen till utredningens bedömning avseende Socialstyrelsens registerverksamhet
I dagsläget finns vissa delar som rör primär- respektive vidareanvändning av hälsodata vid Socialstyrelsen. Flera aktörer har lyft att registerservice vid Socialstyrelsens registerverksamhet har kompetens och en
viktig roll. Kompetensen har angetts av flera aktörer som central för att en nationell datahubb ska kunna fungera optimalt. Utredningen har därför övervägt om registerverksamheten vid Socialstyrelsen bör flyttas över till E-hälsomyndigheten för att E-hälsomyndigheten skulle få den kompetens de behöver för att utgöra en nationell datahubb. Utredningen har i det arbetet försökt konkretisera vilken kompetens det är som aktörerna bedömer att E-hälsomyndigheten skulle behöva ha och som Socialstyrelsen i dag bedöms ha. Som utredningen tolkat aktörerna så avses olika kompetenser. Utredningen har delat in kompetenserna i tre områden.
1. Kompetens avseende de data som finns i de egna registren.
2. Kompetens avseende statistik och datautlämnande rent generellt.
3. Kompetens avseende regionernas organisation, system och data.
Utredningen delar aktörernas uppfattning om att Socialstyrelsen har kompetens inom samtliga kompetensområden som anges i punkterna 1–3. Utredningens bedömning är dock att denna kompetens varken är unik, omöjlig att duplicera eller i vissa fall nödvändig för en nationell datahubb.
Vad gäller kompetensområde 1 så är utredningens bedömning att E-hälsomyndigheten som nationell datahubb inte kommer kunna skaffa sig djup sakkunskap om samtliga register som innehåller hälsodata i hela Sverige och utredningen bedömer inte heller att det nödvändigtvis behövs.
Avseende område 2 är det en kompetens som E-hälsomyndigheten kommer behöva arbeta upp oavsett till följd av de arbete som de i dag bedriver och de regeringsuppdrag de fått under året. Det finns inget som tyder på att E-hälsomyndigheten inte skulle ha möjlighet att bygga upp denna kompetens om de hade uppgifter i sin instruktion som krävde det.
För kompetensområde 3 så bedömer utredningen att E-hälsomyndigheten har kompetens inom detta område, men att den sannolikt kommer behöva förstärkas i och med deras nya instruktion.
Utredningens bedömning är att det E-hälsomyndigheten kan tillskansa sig den kompetens som behövs för att agera som nationell datahubb och att det inte skulle kräva att ansvaret för Socialstyrelsens registerverksamhet flyttades över till E-hälsomyndigheten.
Utredningens bedömning är att ett förändrat ansvarsförhållande skulle innebära små fördelar för hälsodataområdet i stort och små fördelar för E-hälsomyndigheten. Vidare anser utredningen att ett förändrat ansvarsförhållande skulle få potentiellt stora negativa konsekvenser för Socialstyrelsens övriga verksamhet både på kort och lång sikt. Därutöver skulle det på kort sikt med största sannolikhet innebära stora negativa konsekvenser för de som begär registeruttag från Socialstyrelsen. Enligt Socialstyrelsens lämnas cirka 800 skräddarsydda forskar- och statistikbeställningar ut årligen och från statistikdatabasen görs årligen cirka 14 000 nedladdningar av resultatsammanställningar. Så även om de negativa effekterna av flytten sannolikt skulle försvinna på lång sikt så bedömer utredningen att skadan av en flytt skulle vara betydande.
För en full redogörelse för alla de negativa effekter som skulle uppstå för Socialstyrelsens vid en flytt av registerverksamheten hänvisar utredningen till det underlag som Socialstyrelsen skickat in till utredningen.
9
Utredningens bedömning är att argumentationen för att
registerverksamheten ska ligga kvar vid Socialstyrelsen är stark och välgrundad. Utredningen delar i stort Socialstyrelsens bedömning avseende samberoendet mellan deras registerverksamhet och övrig verksamhet. Därav bedömer utredningen att det inte finns anledning att flytta ansvaret för Socialstyrelsens registerverksamhet till E-hälsomyndigheten.
9
Diarienummer Komm2022/00460/S 2022:04-34.
20. En nationell datahubb för ändamålen i utredningens direktiv
20.1. Inledning
I detta kapitel redogör utredningen för utpekade ändamål som framgår av utredningens direktiv, som, enligt utredningens bedömning, endast kan lösas på ett integritetssäkert sätt genom en nationell datahubb. Två av de ändamål som listas i utredningens direktiv lämnar utredningen författningsförslag på och även dessa redogörs för nedan eftersom lösningarna kan optimeras och vidareutvecklas vid en nationell datahubb. Utredningen resonerar därför separat för varje ändamål i detta kapitel.
20.2. Vården av en annan patient än den som personuppgifterna avser
Bedömning: Genom utredningens författningsförslag öppnas nya
möjligheter för vården av en annan patient än den personuppgifterna avser. I dag saknas dock en samlad, heltäckande digital infrastruktur för Sverige som skulle kunna optimera förslagen genom att samla data på ett ställe. Med en nationell datahubb skulle förutsättningarna för att tillhandahålla precisionsmedicin jämlikt över landet tillgodoses på ett integritets- och informationssäkert sätt.
Utredningen lämnar författningsförslag som ger nya möjligheter för behandling av personuppgifter för vård av annan än den som uppgifterna avser, se kapitel 13 och 14. Förslaget innebär i korthet att etableringar av så kallade precisionsmedicinska databaser ska ge möjlig-
heter för specialistvården att söka fram och använda uppgifter från patient A för att vårda patient B. I dag finns den Nationella genomikplattformen, förkortad NGP, som enligt utredningens författningsförslag ska få innehålla en precisionsmedicinsk databas för de sju regioner med universitetssjukvård som finns i Sverige. Dels har NGP endast fokus på genomik, dels kan NGP inte axla hela Sveriges behov av en stor, nationell precisionsmedicinsk databas.
1
Utöver NGP lämnar ut-
redningen förslag på att en precisionsmedicinsk databas ska få etableras i varje samverkansregion. På så sätt täcks hela Sverige upp, samtidigt hamnar uppgifter på olika ställen som hade kunnat samlas på ett ställe om en nationell precisionsmedicinsk databas funnits eller om det funnits en federerad lösning som sammankopplade de olika datakällorna. Lämpligtvis bör en sådan nationellt täckande precisionsmedicinsk databas etableras genom att den nationella datahubben i framtiden erbjuder en federationslösning. Även om utredningen lämnar författningsförslag i syfte att möjliggöra delning av hälsodata för precisionsmedicin så skulle en nationell datahubb kunna underlätta datadelningen samt skapa förutsättningar för en annan typ av datadelning.
Med en nationell datahubb skulle samtliga uppgifter som kan vara av intresse för ändamålet vård av annan kunna samlas på ett ställe. Då skulle de regionala vårdgivarna, enligt utredningens författningsförslag lättare kunna utföra effektiva sökningar på ett ställe.
20.3. Forskningsändamålet
Bedömning: Utredningens författningsförslag om enklare åtkomst
vid klinisk forskning bör utredas vidare för att se om annan klinisk forskning än sådan som kräver samtycke kan regleras på ett sätt som gör att även den typen av forskning kan få enklare tillgång till hälsodata. Utredningen bedömer vidare att en nationell datahubb kan skapa en mer enhetlig struktur för datadelning som kan göra utlämnanden mer enhetliga och förutsägbara för forskningsaktörerna som begär ut data. En nationell datahubb hade underlättat för denna typ av utlämnande och ökat såväl förutsägbarheten som transparensen i utlämnandena.
1
Möte med GMS, 2023-09-06.
Flera av de utmaningar som forskare angett att de upplever är generella utmaningar som även flera andra aktörer lyft och dessa redovisas för i avsnitt 19.2. Utredningen tar sikte på att lösa en liten andel av utmaningarna genom utredningens författningsförslag om enklare åtkomst vid klinisk forskning. Detta bör dock utredas vidare för att se om annan klinisk forskning än sådan som kräver samtycke kan regleras på ett sätt som gör att även den typen av forskning kan få enklare tillgång till hälsodata. Utredningen bedömer att den föreslagna lagen är uppbyggd så den ska gå att lägga till kompletterande regler som möjliggör detta. Sannolikt kan en nationell datahubb förenkla sådana möjligheter. En möjlig lösning skulle kunna vara att ett förslag till en sekretessbrytande reglering som införs i offentlighets- och sekretesslagen (2009:400) för just utlämnande till forskning.
Förutsättningen för detta skulle vara att forskningen har ett etikgodkännande (eller motsvarande enligt EU-förordningarna) och att de uppgifter som begärs uttryckligen omfattas av detta godkännande. Personer som uttryckligen motsatt sig denna hantering ska inte omfattas av den sekretessbrytande regeln. För att samla vilka som motsatt sig sådan behandling skulle tjänsten som utredningen beskriver under 21.1.2 öppna för den möjligheten. En sådan process skulle förenkla utlämningar avsevärt, men kräver enligt utredningen en nationell datahubb för att kunna genomföras.
Utredningen bedömer vidare att flera av de svårigheter med att få tillgång till data som utredningen har fått till sig snarare är av organisatorisk- eller institutionell karaktär än av juridisk karaktär.
De organisatoriska hindren kommer ofta av att det är svårt att få tillgång till data av olika skäl. Det kan vara att det saknas processer eller system för utlämnande av vissa typer av data eller att olika verksamheter helt enkelt inte redovisar vilka data de har. Utredningens bedömning är att Europeiska kommissionens förslag till Europaparlamentets och Rådets förordning om ett europeiskt hälsodataområde, COM(2022) 197 final av den 3 maj 2022, förkortad förslaget till EHDS, i stora delar tar sikte på att lösa flera av dessa problem.
Ett annat problem som utredningen fått till sig är när forskare fått ett etikgodkännande, men data inte lämnas ut med hänvisning till att en eller flera personer kan lida men om datan tillgängliggörs. Utredningens bedömning är att sekretesslagstiftningen i sig inte är ett juridiskt hinder som behöver undanröjas utan att hindret snarare kommer av att bedömningen av vad som utgör men kan skilja sig åt mellan orga-
nisationer. Utrymme för bedömningar vid menprövningar innebär även att utfall kan variera inom en och samma organisation över tid. Detta gör att menprövningen i vissa fall kan upplevas som oförutsägbar och godtycklig.
Utredningen har även fått till sig att forskare eller företag ogärna går till domstol för att få ett avslagsbeslut omprövat. Ett sådant exempel kan vara när en forskningsaktör begär ut data från en vårdgivare där en forskare själv är anställd. Utredningen har fått till sig att det i dessa situationer kan upplevas som aggressivt att inleda en rättslig process gentemot vårdgivaren, då det i vissa fall kan röra sig om kollegor som forskaren arbetar med dagligen. Det kan också handla om att en rättslig process tar tid och att forskaren inte har finansiering för vare sig rättsprocessen eller att projektet fördröjs under den tid som rättsprocessen pågår.
Flertalet aktörer har lyft att problemet inte uppstår i samma utsträckning när de begär ut data från exempelvis Socialstyrelsen. Det utredningen fått till sig är att det verkar bero på ett par olika orsaker, men framför allt att Socialstyrelsens medarbetare varken har en personlig koppling eller intresse av att inte dela datan samt att de inte heller är en del av hälso- och sjukvården. Socialstyrelsen ses därmed av vissa som en mer neutral part där ett överklagande varken ses som något ovanligt eller särskilt kontroversiellt.
Oaktat om de inspel som utredningen fått till sig är representativa för alla forskare och företag så kvarstår det faktum att det finns osäkerheter kring hur hälsodata får delas och att det i vissa fall finns begränsningar som hade gått att ändra på. Utredningens bedömning är att förslaget till EHDS verkar skapa en mer enhetlig struktur för datadelning som utredningen hoppas kommer att göra utlämnanden mer enhetliga och förutsägbara för aktörerna som begär ut data. Denna bedömning bygger framför allt på att en aktör som har en verksamhet vars enda uppgift är att tillgängliggöra data och som också kommer att hantera långt mycket fler ärenden än vissa enskilda vårdaktörer rimligen också bör bli bättre på att tillgängliggöra data på ett mer enhetligt sätt. Därutöver så kommer datahubben ha fler verktyg tillgängliga, så som en säker behandlingsmiljö, vilket har som syfte att underlätta tillgängliggörandet av data på ett mer integritetssäkert sätt.
Det är dock värt att nämna att kännedom om den data som ska lämnas ut många gånger är centralt för att kunna göra en korrekt menprövning, vilket kommer vara en utmaning för datahubben. Flera aktö-
rer så som registercentrum och Socialstyrelsen har lyft att detta kan komma att bli en utmaning för datahubben. Även Findata, den finska myndigheten som enligt lagen om sekundäranvändning av personuppgifter inom social- och hälsovården (552/2019, ursprungligen i kraft 2019-05-01), har ansvaret för den finska datahuben, själva har lyft till utredningen att det är en utmaning för dem.
2
Utredningen ser dock
att detta är två olika problem, även om de är nära kopplade till varandra. Utredningens bedömning är dock att tolkningen av lagen rimligen bör bli mer enhetlig, även om en mer enhetlig tolkning inte löser problemet med att en central aktör inte kommer ha samma lokalkännedom som datahållarna.
20.3.1. Behov av att kunna dela data inom EU
Bedömning: Utredningen bedömer i likhet med flera aktörer att
det finns ett behov av att dela data inom EU för ändamålet klinisk forskning. Utredningen anser att ett samlat grepp, med utgångspunkt i EHDS, behöver tas för att se över hur behovet kan tillgodoses.
Som utredningen redogör för i kapitel 4, avser EU-kommissionen att ställa om EU till en datadriven ekonomi. Det innebär bland annat att vissa data ska kunna delas över landsgränser. Det finns olika anledningar till att det finns behov av att dela data. Större patientunderlag underlättar för forskare, ökad datadelning underlättar patientrörligheten och ökar patientsäkerheten i det fall en medborgare behöver vård i ett annat EU-land än sitt eget. Mängden patienter som söker vård i ett annat EU-land är dock fortsatt begränsat.
3
För en mer
djupgående analys av delar av denna infrastruktur hänvisar utredningen till betänkandena från Utredningen om e-recept och patientöversikter inom EES (SOU 2021:102 och SOU 2023:13). Det verkar dock finnas ett större behov bland patienter med sällsynta hälsotillstånd för vård som ligger i gränslandet mellan klinisk forskning och vård. Utredningens bedömning är att detta beror på att klinisk forskning oftast blir hjälpt av större patientunderlag.
2
Kommunikation med Findata 2022-10-22.
3
EU-kommissionen, 2021, Data on patient mobility under Directive 2011/24/EU, Trend report
reference years 2018–2020.
Utredningens bedömning är att det finns begränsningar i hur data får delas inom EU. I ett forskningsprojekt där en svensk myndighet är med som forskningshuvudman och där etikgodkännande eller motsvarande finns, finns det såvitt utredningen förstår, inga juridiska hinder för att dela data inom EU. Under förutsättningen att dataskyddsförordningens regler efterlevs.
Ett problem kan däremot vara att olika länder tolkar EU:s dataskyddsförordning olika. Det är dock inget juridiskt problem som Sverige ensamt kan lösa. Däremot delar utredningen aktörernas
4
be-
dömning att den svenska lagstiftningen behöver vara harmoniserad med resten av EU:s länders lagstiftning och inte minst harmoniseringen mellan de nordiska länderna vad gäller exempelvis interoperabilitet för att underlätta datadelning mellan länderna. Andra situationer, där Sverige inte har med någon forskningshuvudman eller motsvarande, men ombeds eller vill dela hälsodata med andra aktörer inom EU behöver utredas och ses över i och med arbetet med förslaget till EHDS.
Ett antal aktörer har också lyft att Nordic commons, skulle kunna användas i större utsträckning för att genomföra pilotprojekt över landsgränser.
5
Detta är dock inget utredningen haft möjlighet att ut-
reda vidare.
20.4. Ändamålet utveckling- och innovation
Bedömning: Utredningens bedömning är att flera utvecklings- och
innovationsändamål kräver en säker behandlingsmiljö och någon form av datahubb.
Utredningens ser att det finns en rad olika situationer där olika aktörer vill dela data där en region är datahållare. Utredningens bedömning är att många situationer där ändamålet för personuppgiftsbehandlingen är utveckling eller innovation kräver en nationell datahubb och en säker behandlingsmiljö för att nyttan ska stå i proportion till integritetsintrånget. Utredningen bedömer därför att det kan vara rimligt att utvecklings- och innovationsändamålet ses över inom ramen för arbete med utvecklandet av såväl den nationella som de regionala
4
Möte med Lif 17 januari 2023, Institutet för hälsa och välfärd (THL) 21 oktober 2022, Utred-
ningens expertgruppsmöte 27 januari 2023.
5
Utredningens expertgruppsmöte 27 januari 2023.
datahubbarna. Det finns olika anledningar för det. Exempelvis är det enklare att ha kontroll över hur data används och att den inte sprids vidare om den endast tillgängliggörs inom ramen för en säker behandlingsmiljö vid en hubb. Ett annat exempel är att datahubben har andra möjligheter att samköra data mellan olika datahållare. Vid en mindre, eller enklare datadelning, till exempel mellan två sjukhus i två olika regioner, skulle det sannolikt gå att hantera utvecklings- och innovationsändamålet utan en nationell datahubb och i stället använda en regional datahubb. Utredningen skriver mer om regionala datahubbar i avsnitt 19.5.4.
20.4.1. Utveckling som kräver datadelning mellan kommuner och regioner
Bedömning: Nationella och regionala datahubbar bör användas
för att hantera datadelning av personuppgifter för utveckling mellan kommuner och regioner.
Enligt de regioner som utredningen varit i kontakt med är det ett vanligt behov att dela hälsodata, som består av personuppgifter, för ändamålet utveckling mellan regionen och de kommuner som finns inom regionen. I utredningen Informationsöverföring inom vård och omsorg (SOU 2021:4) återfinns ett förslag som syftade till att lösa detta problem. Det förslaget bereds fortsatt i Regeringskansliet. Utredningens bedömning är att det vore logiskt om regleringen för datadelning mellan kommuner och regioner följer strukturen i förslaget till EHDS. Att arbeta med lokala, regionala och nationella datahubbar gör att systemet blir enhetligt från lokal nivå upp till EU-nivå, vilket utredningen bedömer bör skapa en större tydlighet i tillämpningen.
20.4.2. Utveckling som kräver datadelning mellan regioner och andra aktörer
Bedömning: För utvecklingsprojekt som kräver datadelning av
personuppgifter, mellan regioner och andra aktörer, som universitet och företag, bör lokala, regionala eller nationella datahubbar användas.
Flera aktörer, bland annat företag eller universitet, har i dag svårt att få tillgång till relevanta hälsodata, som består av personuppgifter, för utvecklingsändamål. Utredningens bedömning är att enda sättet att få till en integritetssäker lösning är att denna typ av personuppgiftsbehandling görs inom ramen för en datahubb.
Detsamma gäller datadelning där hälsodata används enbart av privata aktörer som inte är vårdgivare. Denna bedömning utgår ifrån att utredningen inte anser det vara lämpligt att personuppgifter från hälso- och sjukvården lämnas ut till enskilda företag på det sättet, i synnerhet inte när företagen kan uppnå liknande resultat genom att ta del av personuppgifterna i den säkra behandlingsmiljö där myndigheten har större kontroll över hur och vad personuppgifterna används till och att de inte senare sprids vidare. Regeringen har också gett uttryck för att de ser liknade risker i utredningens direktiv.
6
När det kommer till datadelning för detta ändamål bör det också utredas i vilken utsträckning invånarna aktivt behöver välja att dela med sig av sina personuppgifter för detta ändamål, se resonemang om samtyckesfunktionen i den nationella datahubben, avsnitt 21.1.2.
6
Dir 2022:41 s. 8.
20.5. Ändamålet myndighetsbeslut
Bedömning: Utredningens bedömning är att många av de behov
som myndigheter har av hälsodata för sitt beslutsfattande kräver en nationell datahubb. Med detta avser utredningen myndigheternas behov som finns även innan själva beslutet, exempelvis inkluderas exempelvis analys och uppföljning.
Utredningens bedömning är att de datadelningsbehov som finns kopplade till avancerade terapiläkemedel, ökad datadelning mellan Försäkringskassan och hälso- och sjukvården samt omsorgen är de behov som, om de tillgodoses, kommer ha störst ekonomisk påverkan och därmed är bland de viktigaste behoven att tillgodose.
Myndigheternas behov av hälsodata är stort, vilket rapporterats i en rad myndighetsrapporter och utredningar (Ds 2023:10, Ds 2023:13).
7
Även regeringen ger uttryck för detta i utredningens direktiv där det framgår att det i dag inte finnas tillräckliga rättsliga, organisatoriska eller tekniska förutsättningar när det gäller sekundäranvändning av hälsodata för ändamålet statliga och regionala myndigheters beslutsfattande.
8
Tillgång till hälsodata för statliga och regionala myndigheter är en förutsättning för att Tillgång till hälsodata för statliga och regionala myndigheter är en förutsättning för att ska kunna bli mer datadrivna och därigenom bli mer effektiva, förbättra kvaliteten på beslut och utveckla kunskap om lämpliga insatser. Det är också en förutsättning för att regeringen ska kunna fatta mer informerade beslut och bättre kunna ta fram förslag för att stärka invånarnas hälsa. Utöver tillgången av data finns också behov av att samköra data mellan den statliga och regionala nivån. Några exempel på hälsodata där det finns behov av att dela mellan den regionala och statliga nivån är socialförsäkringsdata och socioekonomiska data. Dessa datamängder är helt centrala för framför allt arbete med prevention. En nationell datahubb kommer inte kunna tillgodose alla behov som olika myndigheter har och utredningens bedömning är att det även i framtiden finnas behov
7
TLV, 2021, Utvecklad uppföljning med hjälp av data från exempelvis nationella tjänsteplatt-
formen.
8
Dir. 2022:41 s. 9.
av en moderniserad registerförfattning samt att det ibland finns behov av direktåtkomst för vissa datamängder.
Det finns fler myndigheter som har behov av att kunna få tillgång till och behandla personuppgifter, men eftersom behoven är snarlika och anledningen till att de inte kan behandla personuppgifter också är lika har utredningen valt att begränsa sig till att endast exemplifiera med två myndigheter, Tandvårds- och läkemedelförmånsverket (TLV) och Försäkringskassan.
Utöver deras behov så vill utredningen också framhäva att behovet av hälsodata för implementering och användning av avancerade terapiläkemedel (ATMP) är stort. Här kan det noteras att utredningen fått till sig att patienter som kan bli hjälpta av ATMP generellt vill dela sina hälsodata, men att lagstiftningen inte möjliggör det. En mer djupgående analys av detta behöver göras i samband med att frågan utreds och en grundlig integritetsanalys göras i samband med att förslagen tas fram. Ska Sverige kunna tillhandahålla vård i framkant, som ATMP, i större utsträckning så behövs en lagstiftning som möjliggör delning av denna hälsodata.
20.5.1. Tandvårds- och läkemedelsförmånsverket
TLV är en statlig myndighet som bland annat beslutar om vilka läkemedel och förbrukningsartiklar som ska ingå i läkemedelsförmånerna, som också kallas högkostnadsskyddet.
De totala kostnaderna för förmåns- och smittskyddsläkemedel uppgick år 2021 till 35,9 miljarder kronor, vilket är en ökning med 11,2 miljarder kronor (cirka 45 procent) på tio år.
9
För att få ner läke-
medelskostnaderna så har TLV en rad olika verktyg, ett av dessa är riskdelningsavtal. Under 2021 uppgick besparingarna till cirka 2,7 miljarder kronor.
För att kunna använda sig av riskdelningsavtal behöver TLV tillgång till hälsodata från Socialstyrelsens hälsodataregister. TLV har inte möjlighet att ta in direkt identifierbara uppgifter då de inte har någon statistiksekretess. TLV gör därför beräkningarna baserat på pseudonymiserade data. Det gör att TLV är begränsade av vilken typ av avtal och återbäring som kan konstrueras. För att kunna göra exempelvis prestationsbaserade återbäringsavtal, där kostnaden kopplas till effekt
9
TLV (2022), Uppföljning av läkemedelskostnader, s. 6.
så skulle TLV behöva få tillgång till utfallen för enskilda individer. Sådan data skulle sannolikt vara svår att pseudonymisera eftersom utfallet för enskilda patienter tillsammans med övriga relevanta karakteristika gör att flera individer sannolikt skulle kunna identifieras.
Vikten av TLV:s tillgång till relevanta data beskrivs utförligt i flera av myndighetens rapporter. I korthet kan sägas att TLV skulle kunna göra liknande saker som i dag, fast bättre, effektivare och mer precist om de fick bättre tillgång till relevanta data.
10,11,12,13,14,15,16
Den positiva
effekten av att få större datatillgång blir således potentiellt snabbare tillgång till läkemedel för patienter, lägre läkemedelskostnader samt att fler grupper potentiellt skulle kunna få tillgång till läkemedelsbehandling. Detta gäller inte minst avancerade terapiläkemedel (ATMP).
20.5.2. Försäkringskassan
Försäkringskassan är en av de myndigheter som hanterar mest skattemedel av alla myndigheter i Sverige. I stort sett samtliga personer som bor eller arbetar i Sverige kommer i kontakt med Försäkringskassans förmåner vid ett eller flera tillfällen i livet. Försäkringskassan är beroende av uppgifter från hälso- och sjukvården och andra aktörer för att fatta beslut om rätten till sjukpenning, sjukersättning, graviditetspenning, assistansersättning, omvårdnadsbidrag med flera.
Försäkringskassans samordningsuppdrag inom sjukpenningen innebär att myndigheten ansvarar för att vid behov samordna rehabiliteringsinsatser mellan hälso- och sjukvården (medicinsk behandling och rehabilitering), kommunen (sociala rehabiliteringsinsatser som till exempel behandling av missbruksproblem), arbetsgivaren (till exempel företagshälsovård) och Arbetsförmedlingen (arbetsmarknadsinriktad rehabilitering som till exempel arbetsträning). Som exemplet ovan visar arbetar Försäkringskassan inte bara med de data som myndigheten själv skapar utan även med data som genereras på lokal, regio-
10
TLV (2019), Prognos av besparingar från sidoöverenskommelser helåret 2019, s. 13.
11
TLV (2022), Beräkning och betalning. Fortsatt utredning om utvärderingsmetoder och betalningsmodeller för nya läkemedel som ATMP och precisionsmedicin.
12
TLV (2021), Utvecklad uppföljning med hjälp av data från exempelvis nationella tjänsteplattformen.
13
TLV (2021), Hur ska vi utvärdera och hur ska vi betala? Hälsoekonomiska bedömningar och betalningsmodeller för precisionsmedicin och ATMP.
14
TLV (2020), Rapport om utvecklingsarbete för kombinationsbehandlingar, s. 17.
15
TLV (2018), Uppföljning av läkemedelsanvändning och behandlingseffekter i klinisk vardag.
16
TLV (2016) Uppdrag att redovisa arbetet med att utveckla den värdebaserade prissättningen för läkemedel inom förmånerna, s. 11.
nal och nationell nivå och av både offentliga och privata aktörer. Trots detta så är möjligheterna till datadelning mellan Försäkringskassan, hälso- och sjukvården och övriga aktörer begränsade.
Om Försäkringskassan gavs möjligheter att på ett enklare sätt dela och få tillgång till vissa data med hälso- och sjukvården och andra relevanta aktörer skulle det kunna ha betydande effekter på såväl kostnaderna för administrationen hos Försäkringskassan och hälso- och sjukvården samt hälsovinster för individen och samhället. Exempelvis skulle ett utökat datautbyte på sikt skapa betydligt bättre processer för sjukskrivning och rehabilitering och därmed snabbare återgång i arbete. Det skulle även generera kunskap om vilka insatser av förebyggande och preventiv karaktär som fungerar bäst. Förutom vinsterna för den enskilde med enklare administration och individanpassade insatser kan en datahubb även underlätta för individens familj och andra närstående. Anhöriga får i vissa situationer ta ett stort ansvar när det gäller att föra över information mellan olika aktörer.
Utredningens bedömning är att såväl Försäkringskassan som hälso- och sjukvården och andra välfärdsaktörer har behov av ökad datadelning och att det finns stora såväl ekonomiska som hälsovinster att göra om dessa parter fick bättre förutsättningar att dela data med varandra genom att samköra och behandla personuppgifter på ett integritetssäkert sätt.
20.5.3. Sammanfattande kommentar
Det finns olika sätt att reglera myndigheternas tillgång till data. I denna sammanfattande kommentar kommer utredningen beskriva olika lösningar som testats, resonera kring varför utredningen tror att de inte fungerat, samt lämna förslag på en möjlig väg framåt. Sammanfattningsvis kan sägas att utredningen bedömer att en modernisering av registerförfattningarna inte kommer lösa de behov som finns av att kunna dela och sambearbeta data och att även om en modernisering behövs så är det bara en av flera åtgärder som behöver genomföras om Sverige ska kunna få till stånd en datadriven förvaltning.
Statistiksekretess
Ett sätt att lösa datatillgången är att i stort sett samtliga myndigheter skulle få sin egen registerförfattning. Utredningens bedömning är att detta inte är en framkomlig väg. I stället för att föreslå att statistiksekretess ska gälla för de flesta myndigheter skulle myndigheterna sannolikt i många fall klarat sig med en nationell datahubb och mindre detaljerade data, bara det fanns tekniska, organisatoriska och juridiska möjligheter för det. En nationell datahubb är därmed ur flera perspektiv en smidigare, flexiblare, billigare lösning. Samtidigt skapar det inte ett oöverskådligt komplext regelverk och bevarar dessutom i större utsträckning invånarnas integritet.
Registerförfattningar
För de myndigheter som har statistiksekretess och har möjlighet att ta in känsliga personuppgifter finns en svårighet i att de som sitter på behoven önskar ha breda ändamål i registerförfattningen. Detta har Esam konstaterat i en promemoria.
17
Breda ändamål kan lätt bli
otydliga eller ospecifika vilket av bland annat Integritetskyddsmyndigheten (IMY) ansetts vara oförenligt med dataskyddsförordningen som anger att ändamålen behöver vara mer preciserade.
18
Här uppstår en
uppenbar intressekonflikt samt en gråzon gällande hur registerförfattningarna ska regleras. Utredningen bedömer att både Esam, i sin promemoria, och IMY, i sitt remissvar på promemorian, på ett pedagogiskt sätt förklarar vad behoven och problemen är. Esam beskriver problemet som:
Senare års samhällsutveckling har lett till att många registerförfattningar i dag är föråldrade. Ofta är regleringen begränsande utan att medföra större skydd för enskildas integritet. Dagens registerförfattningar skapar en problematik för myndigheters verksamhet, främst inom digitaliseringsområdet. Specificerade ändamålsbestämmelser samt detaljerade uppräkningar av vilka personuppgifter som får behandlas hindrar myndigheten från att fullgöra sitt författningsenliga uppdrag.19
17 Esam, 2022, En modern registerförfattning. 18
IMY, 2022, eSam:s promemoria En modern registerförfattning (ES 2022:6).
19
Esam, 2022,En modern registerförfattning.
IMY instämmer med Esam:s problembeskrivning och bedömer att en precisering av vilka uppgifter som får behandlas normalt bör ta sikte på kategorier eller typer av uppgifter (jämför artiklarna 6.3 och 23.2 b i dataskyddsförordningen).
IMY skriver i sitt remissvar att de inser svårigheterna med att i förväg avgöra exakt vilka personuppgifter som bör kunna behandlas inom ramen för en myndighets verksamhet. De lyfter också att en sådan reglering med tiden kan innebära omotiverade begränsningar om den inte löpande hålls uppdaterad, vilket är svårt vid författningsreglering. Den bedömningen delar utredningen. IMY instämmer med Esam gällande att uppgifterna som får behandlas bör ta sikte på kategorier eller typer av uppgifter. För särskilt integritetskänsliga behandlingar av personuppgifter så anser IMY att det kan finnas behov av att mer precist reglera vilka personuppgifter som ska få behandlas.
Enligt utredningens bedömning saknas däremot i remissvaret, hur en sådan precisering skulle kunna se ut och en konsekvensanalys om en sådan reglering är praktiskt genomförbar. Utredningen anser att det sannolikt inte är genomförbart i praktiken.
Att det kan vara svårt eller ibland till och med omöjligt att identifiera exakt vilka variabler som kommer bli aktuella framgår bland annat av regeringens proposition 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och urval i folkbokföringsverksamheten.
Det är enligt regeringens uppfattning inte möjligt att i nuläget förutse den exakta omfattningen av samtliga slags uppgifter som kommer att behandlas i analys- och urvalsdatabasen. Vilka slags uppgifter som kan behövas kan också variera, bl.a. beroende på vilka riskanalyser som tas fram. I alla lägen kommer det dock enbart röra sig om sådana uppgifter som behövs för analys och urval.
Detta exempel visar tydligt på att det många gånger är svårt, om ens möjligt att alltid tydligt reglera i lag exakt vilka uppgifter som kan komma att behandlas.
Avslutande reflektioner gällande registerförfattningar
Utredningens bedömning är att det i praktiken ofta är svårt att precisera ändamål, variabler, grupper av variabler, grupper av individer i lagtext när det kommer till hälsodataområdet, vilket gör att det är
svårt att ta fram registerförfattningar som svarar upp mot de behov som finns.
Utredningens bedömning är att stora registersamlingar kan fylla en roll även i framtiden, men att de huvudsakligen behöver kompletteras med nya verktyg. En anledning till detta är att det i vissa fall skulle kunna möjliggöra analyser för ändamål eller för frågeställningar som inte var kända på förhand och som behöver göras på kort varsel. Då behövs dock integritetshöjande åtgärder som exempelvis generalisering och liknande för att datan ska kunna användas utan att det innebär större intrång i den personliga integriteten. Utredningen bedömer dock att sådana verktyg, inte kommer göra att register inte längre behövs och därmed bedömer utredningen att det finns ett fortsatt behov av en modernisering av registerförfattningarna.
20.6. Privata aktörers behov
Bedömning: Life science-sektorn har behov av hälsodata som rör
flera ändamål som är listade i utredningens direktiv. Utredningen bedömer att behoven behöver ses över i samband med att regeringen utreder de juridiska förutsättningarna för en nationell datahubb.
Aktörer inom bland annat läkemedels- och medicinteknikindustrin har lyft behovet av datatillgång och pekat på brister i lagstiftningen för att kunna tillfredsställa behovet. Utredningen delar aktörernas bedömning om att de behöver få större tillgång till hälsodata. Utredningen konstaterar samtidigt att befintlig lagstiftning härrör från en tid då privata företags behov av att kunna använda hälsodata var mindre tydligt och omfattande.
Anledningarna till behoven är flera. I dag behöver dessa aktörer tillgång till hälsodata för att kunna fullfölja skyldigheter som följer av EU-regelverk kopplade till bland annat produktsäkerhet. I nuläget kan det vara svårt för företag att få tillgång till den hälsodata som behövs för att följa upp säkerheten kopplat till sina produkter när produkterna väl börjat användas i rutinsjukvården. Exempelvis kan läkemedels- och medicinteknikföretag sällan få detaljerade hälsodata över användning av deras produkter eller hur de använts i kombination med andra behandlingar eller medicintekniska produkter. Detta
gör att det kan vara svårt för företagen att upptäcka risker kopplade till sina produkter. Utöver behoven som finns kopplat till uppföljning, saknas förutsättningar i dag att ta del av hälsodata från vården för att bedriva utveckling som i förebyggande syfte kan göra produkterna bättre och säkrare. Att företagen inte kan utveckla sina produkter med hjälp av data från vårdgivare kan ibland innebära att de internationellt sett blir mindre konkurrenskraftiga vilket också påverkar den svenska ekonomin.
20
Utredningen konstaterar att det är flera lager
av juridik som behöver ses över för att kunna tillgängliggöra hälsodata som utgörs av personuppgifter till privata aktörer inom läkemedels- och medicinteknikindustrin och att detta sannolikt kräver en egen utredning. Utredningens bedömning är att denna fråga sannolikt enklast hanteras inom ramen för det lagstiftningsärende som kommer göras i samband med genomförandet av EHDS. För övriga behov som privata aktörer kan ha och som kan rymmas inom en översyn av PDL, se avsnitt 22.10.2.
20.6.1. Riskdelningsavtal
Under senare år har behovet av att kunna administrera avtal mellan regioner och läkemedelsföretag ökat och det finns en uttalad politisk ambition både från staten och regionerna om att utveckla betalningsmodeller som baseras på vidareanvändning av hälsodata. Både TLV och regionernas samverkansmodell för läkemedel arbetar med uppdrag från respektive uppdragsgivare för att öka användning av betalningsmodeller. Med riskdelningsavtal avses avtal där två parter, oftast en myndighet inom en region som bedriver hälso- och sjukvård och ett läkemedelsföretag ingår ett avtal där kostnaderna för läkemedlet på ett eller annat sätt är kopplade till exempelvis effekt, behandlingstid eller liknande. Syftet är många gånger att hantera den ekonomiska risken. Det kan handla om att företaget hävdar att en person sannolikt blir frisk efter fem behandlingar, men myndigheten som utvärderar effekten bedömer att underlaget är för osäkert och gör bedömningen att det snarare kommer röra sig om till exempel sju behandlingar. Då skulle ett riskdelningsavtal kunna användas där det offentliga endast betalar för sex behandlingar och om det krävs fler än så, bekostar läkemedelsföretaget de behandlingarna. På så sätt delar aktörerna på den
20
Jämför Regeringskansliet, 2019, En nationell strategi för life science.
ekonomiska risken. Utredningens bedömning är att det är av största vikt för samtliga inblandade parter att en utredning ser över privata aktörers behov av hälsodata som består av personuppgifter.
21. Byggstenar för den nationella datahubben
21.1. Byggstenar
Som en del i utredningsarbetet skickade utredningen ut en fråga till flertalet aktörer
1
om hur de skulle önska att ”ekosystemet” som hälso-
dataområdet utgör skulle se ut på 2–10 års sikt och vilka funktioner de skulle önska att det hade. Utredningen kommer i denna del redogöra för funktionerna i form av ett antal byggstenar som utredningen bedömer är relevanta för att åstadkomma ett fungerande hälsodataområde. Byggstenarna är framtagna av utredningen och baseras på egna analyser och utredningsarbete. Utredningen har i arbetet tagit inspiration från inspelen från aktörerna som utredningen varit i kontakt med men utredningen står själva för valet av byggstenar och dess innehåll. Vissa av dem förekom även i utredningens promemoria (se bilaga 4 Promemoria med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet), medan andra har tillkommit sedan dess.
Utredningen har försökt att i så stor utsträckning som möjligt redogöra för så många byggstenar som möjligt, men behoven är många och utredningen har inte kunnat identifiera alla. Byggstenarna i detta avsnitt ska därmed inte ses som en uttömmande lista över alla byggstenar som kan komma att behöva tas fram. Samtliga byggstenar redogörs endast kort och samtliga behöver utredas vidare. Syftet med detta avsnitt är endast att försöka hjälpa regeringen att få en bild av vilka behov som finns och som regeringen kan börja lösa för att Sverige ska få till ett bättre fungerande hälsodataområde.
1
Bland annat Lif, RCC, Biobank Sverige, Forska!Sverige, Barncancerfonden, Centrum för hälso-
data, SciLifeLab, Myndigheten för vård- och omsorgsanalys med flera. Se diarienummer Komm 2022/00419/S 2022:04 för samtliga aktörer samt deras inspel.
21.1.1. En inloggningstjänst för att hjälpa medborgare att få en ökad kontroll över sina hälsodata
Bedömning: Det bör utredas hur en nationell datahubb kan ut-
veckla en tjänst som medborgare kan använda för att lättare få överblick av vilka hälsodata offentliga aktörer samlat in om en.
Flera aktörer har påpekat att det är svårt för medborgarna att veta vilka hälsodata som samlats in om dem, samt hur och till vad deras hälsodata används till. Utredningen föreslår därmed att den nationella datahubben bör ges i uppdrag att utveckla en tjänst som möjliggör för medborgarna att ta del av information gällande vilka hälsodata som samlas in om dem av offentliga aktörer. Det är sannolikt svårt att göra detta på variabelnivå i vissa fall, exempelvis när det är fritext i en journal. Därav är det enligt utredningen lämpligt att informationen som medborgarna kan ta del av exempelvis beskriver vad det är för data, så som journalföring, patientregistret eller specifika kvalitetsregister. Därtill bedömer utredningen att det bör utredas om denna tjänst bör utvecklas till att medborgaren ska kunna se vad deras data använts till. Exempelvis bör det då utredas om det ska vara på nivån att de ska få reda på om deras data tillgängliggjorts för forskning, eller om det ska vara så detaljerat att det står vilken studie det är som datan tillgängliggjorts till. Även utredningen Patientöversikter inom EES och Sverige (SOU 2023:13) har föreslagit en liknande tjänst och deras förslag bör beaktas i de fall som deras eller utredningens förslag tas vidare.
21.1.2. En tjänst för att hantera samtycken
Bedömning: Det bör utredas hur en nationell datahubb kan ut-
veckla inloggningstjänsten som beskrivs i avsnitt 21.1.1 med en möjlighet för medborgarna att samlat kunna hantera samtycken och motsättanden de lämnat för olika personuppgiftsbehandlingar av deras hälsodata.
Flera aktörer menar att det i dag är svårt för medborgarna att dela hälsodata ens om de vill. Det har även framgått att det är svårt för individer att veta vilka hälsodata som samlats in om dem, samt hur och till vad deras hälsodata används till. Många har uppgett att det
kan saknas insikt om när det är möjligt att motsätta sig en viss personuppgiftsbehandling.
Utredningen föreslår därmed att den nationella datahubben ges i uppdrag att utreda frågan om utvecklandet av en tjänst som möjliggör för medborgarna att på ett samlat ställe aktivt samtycka eller motsätta sig olika personuppgiftsbehandlingar genom tjänsten.
Utredningen föreställer sig att medborgaren ska kunna se till exempel vilka kvalitetsregister hen är del av. Det är möjligt att det är endast är praktiskt genomförbart för nya kvalitetsregister. Det skulle även gå att se vilken potentiell datadelning medborgaren skulle kunna välja att samtycka till, som att bli kontaktad för att ingå i kliniska studier. Detta skulle underlätta för individen att samtycka eller motsätta sig vissa personuppgiftsbehandlingar baserat på personliga preferenser. I figur 21.1 nedan visas ett förslag på hur en sådan tjänst skulle kunna se ut. Bilden är endast för att illustrera för läsaren ungefär hur tjänsten är tänkt att se ut och syftar till att vara en hjälp för att förstå konceptet snarare än ett exempel på exakt hur tjänsten bör utformas.
Figur 21.1 Exempelbild över tjänsten för samtycken
Källa: Utredningens illustration.
Utredningen bedömer också att det bör utredas om det ska finnas möjlighet för medborgare att aktivt välja om de vill dela sina data för olika ändamål eller till vissa aktörer. Ett sådant exempel skulle kunna vara att medborgare som vill, aktivt kan välja om företag ska få tillgång till hela eller delar av deras journal, men då inom en säker behandlingsmiljö. Tanken är att olika personer ser olika på företags användande av hälsodata och på vad de tycker är ett känsligt integritetsintrång och inte. Det kommer därav aldrig finnas en lösning som passar alla utan det är så bättre att medborgarna får välja själva när det kommer till viss typ av datadelning. Vid en eventuell utredning om hur en sådan tjänst skulle kunna utformas bör kapitel IV om dataaltruism i dataförvaltningsförordningen beaktas.
Utredningen bedömer vidare att denna tjänst skulle kunna kompletteras för att skapa möjligheter för företag att få tillgång till vissa informationsmängder för att exempelvis underlätta i samband med antalsberäkningar. Syftet med detta är att minska administrationen dels för vårdgivarna och den nationella datahubben, dels för företagen.
Tjänsten skulle också kunna användas för att exempelvis regionala datahubbar eller vårdgivare med hjälp av exempelvis nollkunskapsbevis kontrollera vilka personuppgifter individen samtyckt till att dela. (se kapitel 3 för mer detaljer kring nollkunskapsbevis). En översikt över hur ett sådan tjänst skulle kunna se ut visas upp i figur 19.6.
En sådan tjänst skulle enligt utredningens bedömning också gå väl i linje med att individen får mer insyn och kontroll över sina hälsodata, men också för att kunna bibehålla och stärka tilliten till datadelning.
Figur 21.2 Översiktsbild av hur central behandling av patienters åsiktsyttring kan användas för att underlätta patientens insyn och kontroll i delning av hälsodata
Källa: Utredningens illustration.
21.1.3. Säker behandlingsmiljö
Bedömning: Det bör utredas hur en nationell datahubb kan ges
förutsättningar för att bygga en säker behandlingsmiljö i linje med förslaget till EHDS.
Det bör samtidigt utredas hur regionala och lokala datahubbar skulle kunna konstrueras, regleras och användas som ett komplement till den nationella datahubben.
Det finns ett stort behov av säkra behandlingsmiljöer för olika ändamål. Säkra behandlingsmiljöer beskrivs i kapitel 3.6.2. I korthet skapar det bättre förutsättningar för att analysera stora mängder hälsodata på ett sätt som är mer integritetssäkert än många av de möjligheter som finns i dag. Ett av de starkare skälen som talar för denna typ av lösning är att det går att säkerställa vem som får tillgång, när, hur, och för vad samtidigt som risken för vidareanvändning minimeras, vilket kan vara svårt att göra med befintliga lösningar.
I skapandet av en nationell datahubb bör förslaget till EHDS beaktas. I arbetet med att skapa en nationell datahubb bör det också
utredas hur regionala och lokala datahubbar kan utformas, vilket beskrivs i mer detalj i kapitel 19.5.4.
21.1.4. Rådgivning om tillgång och delning av hälsodata
Bedömning: Det bör utredas hur en nationell datahubb kan eta-
blera en rådgivningstjänst för hälsodata där aktörerna inom hälsodataområdet kan få hjälp med rådgivning avseende datatillgång, datakvalitet och liknande. Därutöver kan det övervägas om viss juridisk rådgivning bör erbjudas.
Behovet av olika typer av rådgivning har lyfts till utredningen av flertalet aktörer. Det efterfrågas rådgivning avseende data och ansvar och roller. Utöver dessa behov har utredningen fått till sig att juridisk rådgivning hade varit önskvärt.
För rådgivningen avseende data är de behov som utredningen fått till sig ofta kopplade till frågor om vilken data som finns, var den finns eller vilken kvalitet den har. Det finns i dag ingen central aktör med ansvar för att svara på dessa frågor utan oftast är det upp till varje aktör att kontakta datahållare runtom i landet. Vetenskapsrådet har en tjänst för registerdata för forskare, detta täcker dock inte all data som samlas in i hälso- och sjukvården. Utredningen förstår att en central rådgivningsfunktion inte kan lösa alla problem, men i de dialoger som utredningen haft med Findata så framkom att deras rådgivning enligt dem varit mycket uppskattad.
2
Därav bedömer utredningen att det kan finnas
anledning att utreda om datahubben bör ha en liknande tjänst.
Utredningen noterar samtidigt att Vetenskapsrådet den 4 mars 2021 fick i uppdrag av regeringen att inrätta en rådgivande funktion för bättre nyttjande av hälsodata.
3
Detta behöver tas i beaktande när an-
passningar görs inför EHDS ikraftträdande för att säkerställa att det blir en enhetlig styrning och att det inte blir två myndigheter som ger rådgivning inom samma område.
Slutligen har flertalet aktörer påpekat att de upplever att det finns en betydande osäkerhet kopplat till ansvar och roller på hälsodataområdet och att det behöver förtydligas. Detta har även Riksrevisionen
2
Möte med Findata 2023-10-21.
3
Regeringskansliet, 2021, Regleringsbrev för budgetåret 2021 avseende Vetenskapsrådet
(dnr U2021/01515).
påpekat vid flertalet tillfällen. Tre exempel som Riksrevisionen lyft som bidrar till de oklara ansvarsförhållandena är regeringens användning av SKR i styrningen av hälso- och sjukvården, regeringens användning av nationella samordnare samt delat myndighetsansvar.
4
Utredningens bedömning är att det varit bättre att regeringen förtydligade ansvar och roller snarare än att datahubben skulle erbjuda rådgivning om vilken aktör som har vilken roll. En anledning till detta är att det kan vara svårt för en myndighet att tolka en annan myndighets instruktion, så det är oklart om en rådgivande funktion hade fyllt någon funktion i praktiken, i synnerhet om rollen av aktörerna upplevs som otydliga.
21.1.5. Gemensam menprövning
Bedömning: Det bör utredas hur en nationell datahubb skulle kunna
centralisera utlämnanden. Ett sådant förfarande skulle bidra till en mer enhetlig utlämningsprocess. Det skulle dessutom minska administrationen i vården.
När data ska lämnas ut från en offentlig vårdgivare behövs det som utgångspunkt göras en bedömning om begärda uppgifter kan lämnas ut utan att någon lider men till följd av utlämnandet. Varje vårdgivare gör sin egen bedömning om huruvida de kan lämna ut begärda data eller inte. Bedömningen är inte en exakt vetenskap utan är en bedömning i det enskilda fallet. Detta gör att vårdgivare kan göra olika bedömningar angående utlämnande av samma datamängd. Detta orsakar huvudsakligen två problem.
Det första problemet innebär att om en aktör begär ut data från flera vårdgivare kan det bli så att mängden data som aktören får ut varierar mellan vårdgivarna. Det kan få till effekt att aktören som begärt ut datan inte kan använda den i de syften som det var tänkt. Exempelvis kan det bli för få observationer eller så blir datan för aggregerad för att kunna användas. Det kan också göra att urvalet blir skevt om det endast går att använda data från vissa vårdgivare, vilket kan få till effekt att resultaten av de analyser som görs på datan inte blir generaliserbara eller rentutav missvisande.
4
https://www.riksdagen.se/sv/webb-tv/video/oppen-utfragning/oppen-utfragning-om-
riksrevisorns-arliga-rapport_H9C220210916ou1 (Hämtat 2023-05-09).
Det andra problemet är när hälsodata begärs ut från flera håll samtidigt. Då är menprövningen oftast arbetsam och mycket tid och resurser hade kunnat sparas om en central aktör kunnat göra menprövningen i stället för att alla ska göra sin egen. Ett centraliserat förfarande skulle också minska godtyckligheten i bedömningarna och öka förutsägbarheten för den registrerade och den som begär ut data.
Det skulle också skapa en enklare process för ansvarsutkrävande. Dels kan det vara lättare att inte ha en relation med den aktör som nekat ett utlämnande, dels kan det vara svårt eller inte ens ekonomiskt möjligt för en aktör att överklaga utlämnandena från flera aktörer.
I Finland finns möjligheten att begära ut data från tillståndsmyndigheten Findata som i sin tur har en kompatibel infrastruktur med olika system hos vårdgivarna. På samma sätt vore det önskvärt att det i Sverige gavs samma möjlighet till gemensam menprövning och ett centraliserat utlämnande. Utredningens bedömning är att den slutliga versionen av EHDS bör inväntas för att se vilka anpassningar Sverige kan komma att behöva göra. Exempelvis är det rimligt att anta att förslaget till EHDS, om det antas, inte kommer skapa möjligheter för regionala datahubbar att menpröva åt någon annan, den frågan skulle därför behöva utredas inom ramen för ett sådant lagstiftningsarbete, se vidare kapitel 22.
Om möjligheten till gemensam menprövning inte genomförs bedömer utredningen att kostnaden för datadelning kommer förbli hög och fortsätta öka allt eftersom behovet av data ökar. Detta kommer sannolikt påverka såväl vårdens kvalitet, arbetsmiljön och den personliga integriteten negativt. Utredningen har inte utrett hur hög kostnaden är, men i avsnitt 18.3.1 framgår att det sannolikt rör som om kostnader i storleksordningen 10–100 miljoner kronor årligen.
21.1.6. Metadatakatalog
Bedömning: Det bör utredas hur en nationell datahubb bör ges i
uppdrag att föreslå hur en metadatakatalog över det offentligas hälsodata skulle kunna tas fram i enlighet med artikel 55 i förslaget till EHDS.
Flertalet aktörer har lyft att det är svårt att hitta vilka datamängder som finns samt information om datamängderna. I dag finns vissa metadatatjänster så som Socialstyrelsens variabelförteckningar som visar vilka variabler som finns i deras hälsodataregister.
5
Därutöver finns
även Vetenskapsrådets tjänst RUT
6
, vilken dock inte täcker alla data-
källor i hälso- och sjukvården.
Det bör också undersökas hur temporära datasamlingar eller exempelvis enkätsvar som myndigheter samlar in kan listas. Det finns i dagsläget situationer då till och med olika myndigheter kan be regionerna om samma uppgifter. Även här bör principen en uppgift en gång vara huvudregeln, även om avsteg kan behöva göras av olika skäl, men då bör detta motiveras.
E-hälsomyndigheten har tillsammans med Socialstyrelsen, Folkhälsomyndigheten, Statistiska centralbyrån och Vetenskapsrådet ansökt om medel från EU för ett treårigt projekt (ref EU4H-2022-DGA-MS-IBA-04) som syftar till att bidra till etablering av vissa funktioner som enligt förslaget till EHDS föreslås ska ligga hos en health data access
body (HDAB). Projektet fokuserar på en nationell metadatakatalog
och infrastruktur (tjänster/verktyg) för databeställningar.
7
Detta arbete
bör beaktas i arbetet med denna byggsten.
21.1.7. Certifiering av datahållare och dataanvändare
Bedömning: Det bör utredas hur en nationell datahubb kan ta
fram en form av certifiering eller liknande för datainnehavare och dataanvändare i syfte att underlätta datadelning mellan dem.
Det finns i dag flera aktörer som rutinmässigt delar hälsodata mellan sig för olika ändamål. Processen innebär många gånger omfattande administration i form av menprövning, uppgiftsminimering med mera.
Utredningen har identifierat behov och önskemål från såväl datahållare som dataanvändare att kunna lagra information om datahållare och dataanvändare centralt för att minska den administrativa bördan vid utlämnande, framför allt när det gäller utlämnande från flera person-
5
https://www.socialstyrelsen.se/statistik-och-data/register/patientregistret/
(Hämtad 2023-02-03).
6
https://rut.registerforskning.se/ (Hämtad 2023-02-03).
7
Kontakt med Socialstyrelsen 2023-10-02.
uppgiftsansvariga. Utredningen har valt att använda begreppet certifiering i brist på bättre begreppsbildning, men tanken är att organisationer ska kunna erhålla en certifiering eller liknande bevis för att visa upp exempelvis om organisationen som datahållare har en viss uppdateringsfrekvens, data som är interoperabel, en uppdaterad metadatakatalog eller kanske är en registrerad regional datahubb och så vidare.
Utredningen ser därmed att det finns ett behov av en central aktör som kan certifiera såväl datahållare som datamottagare.
Ett exempel på certifiering för datahållare skulle kunna vara att myndigheten med datahubben certifierar en regional myndighet att agera regional datahubb, en annan kan vara att en lokal datahubb uppfyller vissa krav och därmed får behandla vissa data.
Ett annat exempel är certifiering i relation till samtyckestjänsten som beskrivs i avsnitt 21.1.2. Om en individ väljer att samtycka till att exempelvis privata företag får analysera deras personuppgifter inom en säker behandlingsmiljö så anser utredningen att det är rimligt att företagen preciseras så att det är tydligt för den registrerade vilka företag det är som de delar sina personuppgifter med. En risk skulle annars kunna vara att oseriösa aktörer eller antagonister väljer att använda tjänsten för att komma åt känsliga personuppgifter. Ett sådant exempel skulle kunna vara ett en privatperson registrerar ett bolag bara för att få möjlighet att få tillgång till en eller flera andra personers känsliga personuppgifter genom att ange att de ska användas för utveckling och innovation. Utredningen bedömer att de flesta bolag som kommer ha behov av tjänsten är företag som är verksamma inom exempelvis life science-området. Se även kapitel 3 för en vidare diskussion om risker med pseudonymiserade data.
Tanken är inte att belasta aktörerna med mer administration utan att den nationella datahubben utöver att facilitera datadelning också aktivt ska arbeta för att sänka kostnaderna för datadelning och främja datadelning och att data som samlas in också används. Utredningens tolkning av förslaget till EHDS är också att denna typ av uppgift har visst överlapp med de ansvar som myndigheten med ansvar för hälsodata kommer att få och därför ligger i linje med det uppdrag som den nationella datahubben kommer att ha.
21.1.8. Årlig rapport om status på hälsodataområdet
Bedömning: Det bör utredas hur en nationell datahubb kan få i
uppdrag att årligen göra en sammanfattning av de regelhinder som de identifierat på hälsodataområdet under det gånga året samt om det är lämpligt, föreslå regelförenkling eller regeländringar.
Flera aktörer har påtalat behovet av att ha en aktör de kan vända sig till som kan fånga upp behovet av regelförenklingar eller regeländringar. Det kan röra allt från mindre ändringar där en föreskrift upplevs otydlig eller utdaterad eller större ändringar som att en del av en lag är svår att tillämpa i praktiken.
Även utredningen har i sitt arbete identifierat att det finns ett behov av en myndighet som ansvarar för att fånga upp de utmaningar som framför allt hälso- och sjukvården har med att tolka och tillämpa lagstiftningen i sitt löpande arbete. Även om regionerna kan vända sig direkt till Regeringskansliet med exempelvis en hemställan så är det tungrott och det saknas en möjlighet till dialog. Dessutom är det sannolikt inget som kommer göras för mindre ändringar. Utredningens bedömning är att fokus bör ligga på att beskriva problemen så att de blir kända för regeringen. För mindre eller enklare behov bör myndigheten ha möjlighet att lämna förslag på regeländringar och regelförenklingar.
21.1.9. Tjänst för att underlätta antalsberäkningar
Bedömning: Det bör utredas hur en nationell datahubb kan kom-
pletteras med funktionalitet som underlättar antalsberäkningar. Antalsberäkningar är numera är ett tillåtet ändamål i patientdatalagen (2008:355) men är i praktiken fortsatt tidskrävande att genomföra på ett effektivt sätt om det gäller hälsodata som finns hos flera datahållare.
Antalsberäkning innebär att på förfrågan inför planerad klinisk forskning beräkna hur många personer som uppfyller vissa i förväg uppställda kriterier och därmed kan vara aktuella att ingå i forskningen.
Kommittén för teknologisk innovation och etik (KOMET) lämnade i sitt delbetänkande SOU 2020:53 ett förslag för personuppgifts-
behandling vid antalsberäkning inför klinisk forskning. I proposition 2022/23:31 föreslogs ändringar i patientdatalagen (2008:355), hädanefter förkortad PDL, som innebär ett tydligt rättsligt stöd för den personuppgiftsbehandling som är nödvändig vid så kallad antalsberäkning inför klinisk forskning. Lagförslaget trädde i kraft den 1 maj 2023.
Det betyder att vårdgivare med stöd i PDL kan behandla personuppgifter för ändamålet antalsberäkning, att eftersöka vilka patienter som uppfyller de så kallade inklusionskriterierna inför klinisk forskning. Om flera vårdgivare ska delta i forskningen innebär det att samtliga vårdgivare/kliniker behöver kontaktas för att genomföra denna antalsberäkning i sina respektive system. Den föreslagna ändringen i PDL hanterar dock inte vårdgivarens rättigheter och möjligheter att kontakta de identifierade patienter som kan vara aktuella för att ingå i en klinisk studie. Det betyder att lagändringen avseende det nya ändamålet kommer att möjliggöra en antalsberäkning under förutsättning att vårdgivare har avsatta resurser för att genomföra en antalsberäkning, men därefter kan patienterna inte bli informerade eller tillfrågade om de är intresserade av att delta. Detta behöver utredas vidare för att öppna för den möjligheten.
En byggsten som hade kunnat läggas till datahubben är att vårdgivare skulle kunna göra en antalsberäkning via datahubben och att medborgare i sin tur skulle kunna välja för vilka diagnoser eller annan relevant patientkaraktäristika de skulle vilja bli kontaktade för att kunna ingå i klinisk forskning. Det bör vara förbehållet en vårdgivare att behandla personuppgifter för detta ändamål i enlighet med PDL. Det skulle underlätta och effektivisera processen för att planera och genomföra kliniska studier i Sverige för samtliga aktörer inom life science sektorn (företag, akademi och vårdgivare). De skulle också underlätta för de patienter som vill kunna bli informerade om planerade och pågående kliniska studier som kan vara aktuella för dem att medverka i. När en sponsor
8
planerar en klinisk läkemedelsprövning behövs
information om hur många individer som uppfyller inklusionskriterierna i studieprotokollet. Om det visar sig att det finns tillräckligt många patienter som uppfyller inklusionskriterierna och sponsorn
8
Sponsor är en person, företag, institution eller organisation som ansvarar för att inleda, leda och
ordna med finansiering av en klinisk prövning. Det betyder att sponsor kan vara ett företag, ett universitet eller en vårdgivare till exempel. Vanligast i Sverige är att sponsor är ett företag.
väljer att gå vidare med sin studie så behöver dessa patienter kontaktas för att tillfrågas om de vill ingå i den kliniska studien.
I Sverige är det endast huvudmännen för hälso- och sjukvården som har tillgång till denna nödvändiga information i patientjournalen. Det betyder att en sponsor behöver komma i kontakt med alla vårdgivare i Sverige som behandlar den kategorin av patienter som eftersöks för att be vårdgivaren att göra en antalsberäkning i journalen. Sverige har flera olika typer av journalsystem och huvudmännen behöver därför kontaktas tills rätt antal potentiella forskningspersoner är identifierade. Det betyder även att vårdgivaren behöver avsätta resurser (personal) för att göra antalsberäkningen åt till exempel ett företag.
Utredningen har varit i kontakt med utredningen ”Kliniska prövningar och en starkare life science sektor” (N 2022:A).
Sammanfattningsvis uppfattar utredningen N 2022:A som att den bedömer att det utifrån förslagen i denna utredning det ändå hade varit önskvärt med en byggsten för antalsberäkningar. Byggstenarna bör enligt utredningen om kliniska prövningar utformas med en möjlighet att motsätta sig personuppgiftsbehandlingen, på samma sätt som lagstiftning om kvalitetsregister. Utredningen konstaterar, liksom utredningen kliniska prövningar, att det saknas kompletterande lagstiftning i PDL som ger vårdgivaren rätt att kontakta potentiella forskningspersoner efter genomförd antalsberäkning. Behovet av sådan kompletterande lagstiftning är något som behöver ses över innan en eventuell byggsten om antalsberäkningar etableras.
21.1.10. Möjlighet att kontakta individer i registerstudier
Bedömning: Utredningen bedömer att datahubben bör komplet-
teras med en tjänst som möjliggör att invånare själva kan välja om de vill bli kontaktade för att ingå i interventionsstudier.
I utredningens direktiv (Dir. 2022:41 s. 4) framgår att det inte är inom ramen för regleringar som rör registerbaserad forskning som de behov som beskrivs i utredningens direktiv kan tillgodoses. Av den anledningen lägger utredningen inte fram några författningsförslag som avser registerbaserad forskning. Däremot har utredningen fått till sig ett uttalat problem avseende registerbaserad forskning.
Eftersom utgångspunkten är att registerbaserad forskning sker genom observation inhämtas inte samtycke från forskningspersonerna. Forskningspersonerna vars personuppgifter finns i olika register är inte medvetna om när en behandling av deras personuppgifter sker för olika forskningsprojekt. Ett vanligt scenario vid den här typen av observationsstudier är att forskare identifierar intressanta fynd och skulle vilja gå vidare i sin forskning genom att ta del av kompletterande uppgifter. Det kan handla om att forskaren behöver fler uppgifter som finns i patienternas journaler för att få förklarat de intressanta fynden. Det kan även handla om situationer där forskaren vill gå vidare från ren observations- till en interventionsstudie, det vill säga att patienterna vars uppgifter beforskas kontaktas för en förfrågan om deltagande i ett forskningsprojekt. I en sådan situation begär forskaren i dagsläget ut identifierbara uppgifter för att kunna kontakta de berörda potentiella forskningspersonerna. En vanlig följd är då att forskaren inte får del av sådana uppgifter.
Sverige går miste om viktig och intressant forskning när potentiella forskningspersoner inte kan kontaktas. Utredningen ser därför en möjlighet med en nationell datahubb genom att erbjuda en funktion där invånarna själva ska kunna välja om de vill kunna bli kontaktade om att delta i interventionsstudier utifrån olika registerbaserade forskningsprojekt.
21.1.11. En plattform för innovation
Bedömning: Det bör utredas om den myndighet där datahubben
förläggs skulle kunna kompletteras med ett policylabb eller fungera som en plattform eller kontaktpunkt inom hälsodataområdet för innovation som rör hälsodata.
Flera aktörer har lyft behovet av så kallade regulatoriska sandlådor. Som utredningen tolkat det krävs inte alltid regellättnader inom ramen för sandlådan. Det kan exempelvis i stället röra sig om att det finns en miljö som tillåter viss typ av personuppgiftsbehandling som olika verksamheter själva inte får göra.
Utredningen delar aktörernas bedömning om att det finns ett behov att tillvarata universitetens och företagens innovationskraft om Sverige ska kunna leverera en vård i världsklass. Myndigheter är sällan en plats
där innovation sker, utan innovation sker oftast vid universitet eller i privata företag. Allt eftersom vårdbehovet i befolkningen ökar kommer Sverige behöva hitta nya vägar för att vårda fler till samma mängd resurser. Även Covid-19 pandemin visade på att landets förmåga att möta kommande globala hälsoutmaningar och framtida pandemier är helt beroende av etablerade strukturer för att snabbt implementera ny forskning och nya innovationer. Utredningen bedömer att det är rimligt att den myndighet som får ansvar för datahubben också får i uppdrag att inrätta en plattform för innovation eller ett policylabb för att skapa bättre förutsättningar för implementering av exempelvis ny forskning.
Vad som avses med denna typ av funktion varierar som utredningen förstått det och benämns på flera olika sätt. Begreppet regulatorisk sandlåda finns definierat i artikel 113 i Europaparlamentets och rådets förordning om inrättande av unionsförfaranden för godkännande av och tillsyn över humanläkemedel och om fastställande av regler för Europeiska läkemedelsmyndigheten samt om ändring av förordning (EG) nr 1394/2007 och förordning (EU) nr 536/2014 och om upphävande av förordning (EG) nr 726/2004, förordning (EG) nr 141/2000 och förordning (EG) nr 1901/2006 vilket kan vara vägledande i eventuellt framtagande av en liknande struktur vid datahubben.
Det som utredningen ser ett behov av är att myndigheten ges resurser att kunna samverka tillsammans med universitet och företag för att tillsammans utveckla nya tjänster som med hjälp av hälsodata ökar värdet för medborgarna. Några exempel på sådan utveckling är att kunna testa ut ny teknik, träna algoritmer eller hitta mönster i stora datamängder.
Utredningens bedömning är att denna typ av plattform och datahubbens roll skulle vara kompatibel med de förslag som utredningen om en effektiv organisation för statlig forskningsfinansiering (U 2022:06) lämnar. Utredningen bedömer vidare att för denna typ av verksamhet så finns det en rad olika aktörer som bör ingå. Några exempel är lärosäten, forskningsinstitut, patienter och patientföreningar, privata företag med flera.
22. Frågeställningar för fortsatt utredning
22.1. Inledning
Som angetts i kapitel 2 Utredningens uppdrag och arbete är utredningen medveten om att det finns stora behov och identifierade problem med regleringen avseende delning av data inom hälsodataområdet. Utredningen har i kapitel 19 Datahubben beskrivit det identifierade behovet av en nationell datahubb för reglering och hantering av hälsodata. Detta kapitel är avsett att ge en översikt av identifierade problem som behöver utredas vidare och som utredningen bedömer inte löses genom en nationell datahubb.
I utredningens direktiv (Dir. 2022:41 s. 10) framgår att regeringen under de senaste åren fått en rad synpunkter från olika samhällsaktörer om att regleringen av hälsodata upplevs utdaterad och svårtillämpad. Utredningen har noterat att olika aktörer tolkar lagstiftningen på olika sätt och att det därmed inte alltid föreligger samsyn med utredningen avseende tolkning eller problemformulering. Utredningens har försökt att väga samman olika aktörers behov och tolkningar för att skapa sig en övergripande bild av problem och tolkningar. Utredningen är medveten om att aktörer, framför allt aktörer som verkar inom en begränsad del av hälsodataområdet kan ha andra åsikter om vilka frågeställningar det är som behöver prioriteras och utredas. Utredningen bedömer, att det faktum att det finns så spridda tolkningar beroende på i vilken del av hälsodataområdet en aktör befinner sig, stärker bilden av att lagstiftningen behöver ses över.
Enligt utredningens direktiv har utredningen i uppdrag att redogöra för eventuella tillämpningssvårigheter när det gäller befintlig reglering av hälsodata. Syftet med detta anges i direktivet vara att konkretisera vilka problem som finns och på så sätt underlätta regeringens fortsatta arbete på hälsodataområdet.
Eftersom författningsförslag kräver en fördjupad analys har utredningen varit tvungen att begränsa de författningsförslag som läggs fram. Däremot har utredningen resonerat kring flera identifierade behov och problem avseende regleringen av delning av data inom hälsodataområdet och landat i olika bedömningar som inte kräver samma fördjupade juridiska analyser som att lämna konkreta författningsförslag fordrar.
Utredningens målsättning med bedömningarna av olika tillämpningssvårigheter i kapitel 22–23 är att ge regeringen en samlad behovsanalys för att kunna tillsätta nya utredningar. Förhoppningsvis kan behovsbeskrivningarna vara till hjälp för att förstå varför vissa tillämpningssvårigheter uppstår och vad som behöver utredas för att kunna komma till rätta med de av utredningen identifierade problemen. Nedanstående bedömningar görs utan inbördes prioriteringsordning.
22.2. Utmaningar kopplade till registerbaserad forskning
22.2.1. Menprövningar och möjligheten att kontakta potentiella forskningspersoner
Bedömning: Utredningen bedömer att det bör utredas hur rätten
till integritet ska vägas gentemot andra nyttor i forskningssammanhang. Det bör även utredas vad ”gängse värderingar i samhället” som framgår i förarbetena, innebär i dagens kontext.
Utredningen har blivit uppmärksammad på problematik och osäkerhet vid menprövningar som lett till spretande praxis när det gäller möjligheten att begära ut uppgifter för att kunna kontakta forskningspersoner från ett register.
Etikgodkännande och menprövning
Registerbaserad forskning är forskning där forskare använder sig av data som finns i register som förs av myndigheter eller andra organisationer och där uppgifterna kan härledas till en individ. Registren kan innehålla uppgifter om hela befolkningen eller om delar av be-
folkningen som till exempel har en viss diagnos eller genomgått en viss operation. Registerbaserad forskning innebär att personuppgifterna som huvudregel är pseudonymiserade och att forskarna endast har behov av innehållet i registerna per se, att kunna identifiera personerna är som utgångspunkt inte av intresse för forskaren eller för forskningen. Ett vanligt förekommande fall, som utredningen fått till sig, är när forskning först bedrivs på kvalitetsregister men där forskarna senare vill gå vidare med en fördjupad forskning utifrån fynden från den registerbaserade forskningen. När forskarna vill gå vidare med vissa specifika fynd för ett nytt forskningsprojekt, ansöker forskarna om ett nytt etikprövningstillstånd hos Etikprövnings-myndigheten och enligt lag (2003:460) om etikprövning av forskning som avser människor, förkortad etikprövningslagen. Förutsatt att ansökan godkänns uppstår ett behov av att söka kontakt med individer vars personuppgifter behandlats inom den registerbaserade forskningen, för att kunna lämna information om den nya forskningen och tillfråga dem om de är intresserade av att delta i den nya forskningen, då sådan forskning kräver samtycke. Här uppstår en situation där en menprövning ska avgöra om det står klart att uppgifterna kan röjas utan att den enskilde eller någon närstående till den enskilde lider skada eller men. Utredningen ifrågasätter inte att en fråga om att delta i en forskningsstudie kan aktualisera integritetskänsliga frågor. Däremot anser utredningen att det behöver utredas om det intrång som personuppgiftsbehandlingen skulle kunna medföra är proportionellt gentemot den förväntade nyttan av forskningen sett med dagens förutsättningar. Ett etikgodkännande enligt etikprövningslagen ersätter eller omfattar inte den menprövning eller den bedömning som behövs göras enligt 21 kap. 7 § OSL av den myndighet som förvarar efterfrågade data. Med andra ord behöver utlämnande myndighet fortfarande göra en bedömning av om uppgifterna som begärs ut av en forskningshuvudman, eller motsvarande, som har ett etikgodkännande, faktiskt kan lämnas ut utan att efter utlämnande vara i strid med EU:s dataskyddsförordning, lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, eller 6 § lagen (2003:460) om etikprövning av forskning som avser människor. Följaktligen har etikgodkännandet typiskt sett betydelse i menprövningen, eftersom uppgifterna sannolikt inte skulle lämnas ut alls utan ett etikgodkännande.
Utredningen har i ljuset av denna bedömning jämfört två domar som båda gällde forskningsprojekt, och båda var godkända av Etik-
prövningsmyndigheten. I båda fallen begärde forskningsprojekten att få del av kontaktuppgifter för att kontakta patienter med förfrågan om att delta i forskningsprojekt. I det ena målet (KamR i Göteborg, mål nr 3927-18) ansåg domstolen att uppgifter skulle lämnas ut, trots sekretess med omvänt skaderekvisit. I det andra målet (KamR i Göteborg, mål nr 2627-22) ansåg domstolen med hänsyn till det omvända skaderekvisitet att uppgifterna inte skulle lämnas ut. Domstolen ansåg i det senare målet att ”studien är utformad på ett sätt som innebär att den enskilde inte kan avstå från att bli kontaktad. Det är svårt att förutse hur den enskilde mottagaren kommer att uppleva att kontaktas för deltagande i studien, särskilt eftersom den aktualiserar frågor som ur den enskildes perspektiv kan vara integritetskänsliga” och att det därför inte stod klart att uppgifterna kunde röjas utan men för patienten. I båda fallen gällde sekretess med omvänt skaderekvisit. I båda fallen var den begärande parten ett universitet. Avgörandena kommer alltså fram till helt olika slutsatser när det gäller i princip samma frågeställning. Båda domarna har vunnit laga kraft.
I ytterligare en dom (KamR i Stockholm, mål nr 1796-23) där ett universitet begärde ut uppgifter från en region ansåg domstolen att uppgifterna skulle lämnas ut. Utredningen tolkar domen som att en av de avgörande faktorerna var att det var just hälso- och sjukvårdspersonal och inte forskningspersonal som skulle ta kontakten med patienterna om förfrågan om att delta i ett forskningsprojekt. Utredningen konstaterar att det i praktiken många gånger handlar om samma personer som utgör både forskningspersonal och hälso- och sjukvårdspersonal och att komplexiteten är stor för att bedöma om men föreligger eller inte.
I dag talar de flesta personer öppet om sina cancerdiagnoser, medicinska behandlingar och sin livskvalitet i samband med sjukdom, vård och behandling. Utredningen har fått till sig att det även kan anses uppstå men om individer inte får kontaktas och att viktig forskning då inte kan genomföras. När en menprövning resulterar i att uppgifter inte kan lämnas ut berövas samtidigt individerna som hade kunnat vara aktuella för forskningen en möjlighet att bidra till forskning som kan göra framtida vård bättre. De ges inte ens möjlighet att välja om de vill delta i forskningen. Utredningen anser att det är en komplex frågeställning som behöver ses över. Nuvarande offentlighets- och sekretesslag från 2009 bygger på den tidigare sekretesslagen från 1980 och dess förarbeten. Någon egentlig modernisering av lagen har inte
gjorts och de utgångspunkter som gällde för införandet av 1980 år sekretesslag är i vissa delar utdaterade, men används alltjämt i avsaknad av nyare förarbetsuttalande. En menbedömning ska göras utifrån den berörda personens egen upplevelse (prop. 1979/80: 2 Del A s. 83). I propositionen anförs också att ”bedömningen måste självfallet i viss utsträckning kunna korrigeras på grundval av gängse värderingar i samhället”. Här anser utredningen att ett bättre stöd i förarbetena hade kunnat ge tydligare vägledning för vad som faktiskt, inte minst sett ur integritetshänseende, är att anse som gängse värderingar i samhället i dag. Utredningen konstaterar att menprövningar och möjligheten att kontakta potentiella forskningspersoner är ett svårnavigerat område med utmanande frågor. Myndigheterna som gör menprövningar har ett behov av bättre vägledning. I avsnitt 21.1.2 resonerar utredningen även om att enskilda bör ha en möjlighet att kunna lämna samtycken för att bli kontaktade för deltagande i forskningsprojekt.
22.2.2. Handläggningstider
Bedömning: Utredningens bedömning är att det bör utredas hur
det går att uppnå rimliga handläggningstider och hur en sådan effekt kan främja registerbaserad forskning.
Utredningen har fått till sig att forskare anser att tiden för tillgängliggörande av registerdata för forskning måste förkortas och processen för ansökan bli enklare. Vissa forskare har till och med beskrivit detta som en av de mest avgörande utmaningar för svensk registerbaserad forskning. Som utredningen förstår det, är kritiken på långa väntetider inte ny utan har framförts under lång tid. Utredningen anser att en rimlig ansats kan vara att det sätts tydligare mål om rimliga handläggningstider och leveranser av registerdata för forskningsändamål, för samtliga ansvariga aktörer. Även om utlämnande mellan myndigheter regleras av OSL har forskare jämfört med förvaltningslagens (2017:900) krav på handläggning vilket i praktiken innebär sex månader till beslut, som en tidsreferens. Detta kan ställas mot tryckfrihetsförordningens krav på skyndsamhet gällande ett utlämnande där det anges att begäran om allmän handling ska behandlas skyndsamt. Besked i utlämnandefrågan bör då normalt lämnas samma dag som
begäran gjorts. Någon eller några dagars fördröjning kan godtas om det är nödvändigt för att göra sekretessprövningen. Är det är fråga om ett större material kan det vara nödvändigt för myndigheten att ta längre tid på sig. Utredningens bedömning är att målsättningen om rimliga handläggningstider bör följas upp årligen för att mäta utveckling. En sådan statistik kan också var värdefull för att följa upp främjandet av registerbaserad forskning i Sverige som helhet.
En utredning som fördjupat utreder eventuellt behov av lagstadgade handläggningstider för utlämning av forskningsdata bör också förhålla sig till eventuella förslag i förslaget till EHDS, då förslaget innehåller vissa delar som kan ha bäring på handläggningstider för utlämnande till bland annat registerforskning.
22.2.3. Skapande av egna villkor vid utlämnande av hälsodata
Bedömning: Det behöver utredas om och hur eventuella villkor
kan ställas för användande eller utlämnande av hälsodata.
Utredningens bedömning är att det bör utredas om en myndighet bör ta fram en vägledning för att tydliggöra om och/eller i vilken utsträckning upphovsrätt såsom verkshöjd ger offentligt finansierade register och forskningsinfrastrukturer möjligheter att skapa egna villkor för användande eller utlämnande av hälsodata. Det bör även utredas om och/eller i vilken utsträckning medförfattarskap kan krävas av företrädare för forskningsinfrastruktur och registerhållande myndigheter vid utlämnande av data. Även förvaltningslagens bestämmelser om jäv vid ärendehandläggning av ett utlämnande behöver beaktas vid en sådan utredning. Utredningen har fått till sig att det förekommer till exempel att ansvariga forskare eller registeransvariga som varit med och byggt upp ett register ställer krav på medförfattarskap enligt de så kallade Vancouver reglerna
1
. Det finns även forskningsprojekt som nekar vissa ansökningar på grund av att forskargruppen vill reservera vissa forskningsfrågor åt sig själva under en viss tidsperiod. Vilka rättigheter som kan göras gällande eller inte bör därför utredas. Det kan vara viktigt att klargöra om det finns potentiella konflikter mellan
1
Recommendations for the Conduct, Reporting, Editing and Publication of Scholarly Work in
Medical Journals, utgivna av International Committee of Medical Journal Editors (ICMJE).
olika lagar eller regler som ger upphov till otydlighet och begränsningar för utlämnande av hälsodata i vissa fall.
22.3. Utökat behov av precisionsmedicinska databaser
Bedömning: För det fall att det dröjer med etablering av en natio-
nell datahubb och Barncancerfondens projekt har infrastruktur färdig att användas bör det utredas hur även denna skulle kunna utgöra en precisionsmedicinsk databas.
Barncancerfonden har initierat ett innovationsprojekt som heter BrainChild
2
. Målsättningen med projektet är att samla hälsodata från barncancerpatienter på ett ställe för att sedan kunna använda dessa för olika ändamål. I dagsläget är det tillåtet att dela hälsodata som utgörs av personuppgifter för ändamålet forskning mellan olika vårdgivare under förutsättning att forskningsprojektet har sådana tillstånd som krävs enligt befintlig lagstiftning samt att dataskyddsförordningens regelverk efterlevs. För ändamålet vård av annan patient än den personuppgifterna avser föreslår utredningen ett författningsförslag som går ut på att en precisionsmedicinsk databas ska få finnas per samverkansregion. Utöver dessa sex samverkansregionala databaser ska även Nationella Genomikplattformen få utgöra en sådan precisionsmedicinsk databas. Utredningens bedömningar och förslag återfinns i kapitel 14 och 15. Utredningens förslag innebär att inga ytterligare precisionsmedicinska databaser ska få etableras i nuläget. I takt med att barncancerfondens projekt fortskrider och infrastruktur etableras bör Barncancerfondens satsning följas. I avsnitt 20.2 skriver utredningen om att det saknas en samlad, heltäckande digital infrastruktur för Sverige som skulle kunna optimera utredningens författningsförslag för vårdändamålet genom att samla data på ett ställe. Med en nationell datahubb skulle förutsättningarna för att tillhandahålla precisionsmedicin jämlikt över landet tillgodoses på ett integritets- och informationssäkert sätt. För det fall att det dröjer med etablering av en nationell datahubb och Barncancerfondens projekt har infrastruktur färdig att användas bör det utredas hur även denna skulle kunna utgöra en precisionsmedicinsk
2
https://www.barncancerfonden.se/brainchild/, hämtad 2023-10-10.
databas. Det bör i så fall beaktas hur en sådan lösning ska hanteras i samband med att den mer långsiktiga digitala infrastrukturen etableras.
22.3.1 1+ Million Genomes
Bedömning: Sverige har skrivit under en deklaration för ett euro-
peiskt projekt som kallas 1+ Million Genomes som syftar till att möjliggöra säker tillgång till genetiska och motsvarande kliniska data. Inom projektet planeras en EDIC (European Digital Infrastructure Consortium). För de åtaganden Sverige tagit på sig behöver det säkerställas att rättsligt stöd finns för att utlämnande data kan ske inom ramen för den infrastruktur som skapas genom en EDIC.
1+ Million Genomes’ Initiative (1+MG) är ett europiskt projekt som drivs av medlemsstaterna tillsammans med EU-kommissionen och där Sverige är en av flera medlemsstater som skrivit under deklarationen för 1+MG
3
. Eftersom Sverige skrivit under är vi även bundna till vad initiativet kommer landa i och sannolikt behövs anpassad lagstiftning. Syftet med initiativet är att möjliggöra säker tillgång till genetiska och motsvarande kliniska data i hela Europa för bättre forskning, individanpassad hälso- och sjukvård och hälso- och sjukvårdspolitik. Sveriges medverkan sker både genom statliga och kommunala aktörer. Inom delprojektet Genomics Data Infrastrucure (GDI) är målsättningen att skapa en pan-europeisk datakatalog över genomik- och fenotypdata samt en förvaltningsmodell. Datakatalogen ska utgöra källa för framtida forskning, och kan därmed betraktas som en forskningsdatabas som sannolikt faller utanför tillämpningsområdet för EHDS. I ett senare skede planeras datakatalogen att även användas för vård och behandling. Datakatalogen ska vara virtuell i den bemärkelsen att datainnehavare i medlemsländerna tillgängliggör genomik- och fenotypdata till densamma. För att skapa legitimitet och rättslig grund för behandlingen av personuppgifter i datakatalogen för framtida forskning, sökbara via en 1+MG portal, planeras bildandet av ett konsortium av samverkande medlemsländer inom ramen för vad som benämns en EDIC (European Digital Infrastructure Consortium). En EDIC
3
Europeiska initiativet ”1+ miljoner genom” | Shaping Europe’s digital future (europa.eu),
hämtat 2023-10-11.
är en juridisk person som lyder under de lagar där den har sitt säte. 1+MG ska ha en egen digital harmoniserad infrastruktur benämnd GDI (Genomic Data Infrastructure. Inom EDIC:en planeras en kommitté för datatillgång (Data Access Committee, DAC) som forskare ska vända sig till för att få tillstånd att få ut uppgifter varhelst de finns bland 1+MG-länderna. Enligt ett förslag ska varje land överlåta rätten att förfoga över egna landets data hos olika institutioner till DAC:en. Berörda länders institutioner ska dock ha möjlighet att lägga ett veto mot DAC:ens tillståndsbeslut. EDIC:en ska också ha en koordinationsfunktion för forskare. I varje land ska också finnas ett nationellt koordinationskontor som samordnar ansökningar om utfående av hälsodata, uppströms och nedströms. Om tillstånd har givits till en forskare av DAC, och en datainnehavare inte har lagt sitt veto, ska hälsodata lämnas ut direkt till mottagaren genom infrastrukturen GDI. Sverige har, via Regeringskansliet, anmält intresse att bli partner i konsortiet, men har inte gjort några anpassningar av svensk lagstiftning till 1+MG strukturen inklusive EDIC. Förvaltningsmodell, datakatalog och informationsutbytesmodell inom 1+MG är preliminära och inte beslutade i skrivande stund.
Enligt artikel 187 i Fördraget om EU:s funktionssätt kan EU bilda gemensamma företag eller andra organisationer som krävs för att effektivt genomföra EU:s program för forskning, teknisk utveckling och demonstration. En EDIC är en form av internationellt samarbete inom ramen för EU som bygger på art. 187. Det är en rättslig enhet som syftar till att underlätta och främja samarbete mellan medlemsländerna inom digitalisering. EDIC inrättas genom att medlemsländerna antar en gemensam rättslig grund och etablerar en juridisk struktur för att driva och förvalta digitala infrastrukturer på olika områden. EDIC fungerar som en intern organisation inom EU och är underordnad EU:s regelverk och bestämmelser. Det skiljer sig från en traditionell mellanfolklig organisation eftersom det är en del av EU:s övergripande institutionella ramverk och omfattas av EU-lagstiftningen. Det är en internationell organisation i den mening som avses i artikel 15 c i direktivet 2004/18/EG (upphandlingsdirektivet). En EDIC är en erkänd juridisk person i varje medlemsland och får särskilt förvärva, äga och avyttra lös och fast egendom och immateriella rättigheter, ingå avtal samt föra talan inför domstolar och andra myndigheter.
En EDIC kräver ett beslut av EU-kommissionen. Ministerrådet har i nuläget inte beslutat en förordning om en EDIC och det är
oklart vilka de närmare kriterierna är för dess bildande. Sannolikt ska stadgarna för en EDIC inkluderas i EU-kommissionens beslut. Det skulle innebära att EU-kommissionens beslut om en 1+MG-EDIC, som inkluderar konsortiets stadgar, bland annat kräver en reglering med innebörd att 1+MG-EDIC ska göra genomik- och fenotypdata i databaser som har koppling till eller är upprättade för 1+MG-EDIC tillgängliga för 1+MG DAC enligt förfaranden och kriterier för tillgång som godkänts av medlemsförsamlingen. Vidare att tillgången ska ges på de villkor som ställts upp av medlemsförsamlingen för ett 1+MG:s hälsodatautrymme över genomik- och fenotypdata. Av beslutet förväntas också framgå att bestämmelserna i stadgarna syftar till att begränsa rätten för datainnehavare som anslutits till 1+MG-EDIC att besluta om att ge tillgång till samtliga data. Datainnehavare ska enbart ha vetorätt mot ett beslut om utlämnande av data till forskningsändamål enligt beslut av 1+MG DAC.
Genom lagen (1994:1500) med anledning av Sveriges anslutning till Europeiska unionen har Sverige överlåtit viss beslutanderätt till unionen. Genom lagen införlivas med svensk rätt den del av EU:s regelverk som antagits före anslutningen. Lagen innebär bland annat också att beslutsbefogenheter överlåts till EU. I lagen namnges de fördrag, konventioner och protokoll som innefattar en överlåtelse av beslutanderätt. En ändring i lagen måste, om ändringen innebär att ytterligare beslutsbefogenheter överlåts till EU, beslutas i enlighet med vad som föreskrivs i 10 kap. 6 § 1 regeringsformen, förkortad RF. Det innebär kvalificerad majoritet eller i den ordning som gäller för stiftande av grundlag. Av lagrummet följer även att riksdagen kan överlåta beslutanderätt som inte rör principerna för statsskicket, inom ramen för samarbetet i EU. Sådan överlåtelse förutsätter att fri- och rättighetsskyddet, inom det samarbetsområde till vilket överlåtelsen sker, motsvarar det som ges i RF och i den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna.
Eftersom en EDIC är en rättslig struktur inom EU:s ramverk för att underlätta och stödja samarbete inom digitaliseringsinfrastrukturer av olika slag, gäller konsortiets stadgar som tillämplig lag hos anslutna medlemsländer. Om regeringen ställer sig bakom de villkor som nu föreslagits för 1+MG:s förvaltning och blir medlem i en EDIC av det slag som nu beskrivits, får Sverige genom stadgarna och lagen med anledning av Sveriges anslutning till EU anses ha överlämnat be-
slutanderätten att tillgängliggöra och förfoga över genomik- och fenotypdata som finns hos svenska myndigheter, till exempel nämnder i regioner, till 1+MG DAC. Av 10 kap. 28 § OSL följer att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. Genom ett beslut av EU-kommissionen om en 1+MG-EDIC får stadgarna i beslutet samma rättsverkan som lag i Sverige. Uppgiftsskyldigheten gäller tillgängliggörande av uppgifter och handlingar till den pan-europeiska datakatalog för både antalsberäkning genom sökverktyg för forskare och handläggning av en ansökan om uttag av data och ett tillstånd om utlämnande.
Om stadgarna i EU-kommissionens beslut om en 1+MG EDIC däremot inte preciserar vilka organisationer hos anslutna medlemsländer som har en skyldighet att tillgängliggöra genomik- och fenotypdata till datakatalogen eller vad för slags uppgifter som ska lämnas ut, krävs tydliggörande om uppgiftsskyldigheten i svensk rätt. Det följer av legalitetsprincipen som bland annat kommer till uttryck i 5 § förvaltningslagen: En myndighet får endast vidta åtgärder som har stöd i rättsordningen. Legalitetsprincipen innefattar ett krav på förutsebarhet; ett krav som också följer av dataskyddsförordningen vad gäller rättslig grund för behandling av personuppgifter och dataskyddsreglering (se skäl 41 i dataskyddsförordningen). Av hänsyn till legalitetsprincipen krävs sannolikt en kompletterande uppgiftsskyldighet i svensk rätt för att uppfylla kravet på tydlig rättslig grund och korrekthet (artikel 5.1 a i dataskyddsförordningen) motsvarande regleringen i 18 § lagen (2001:99) om den officiella statistiken. Av den bestämmelsen följer att statistikansvarig myndighet, i detta fall Statistiska centralbyrån, förkortad SCB, ska lämna ut uppgifter om inkomstförhållanden, skulder och förmögenhet som den behandlar enligt den lagen till organisationen Luxembourg Income Study (LIS), ett icke vinstdrivande internationellt data- och forskningscenter med säte i Luxemburg. Uppgifter ska dock enligt lagen lämnas ut endast i den utsträckning som krävs för att svenska förhållanden ska återspeglas i de forskningsdatabaser som organisationen tillhandahåller. Uppgifterna ska inte direkt kunna hänföras till någon enskild person. Vidare följer det av bestämmelsen att de enda känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen som får lämnas ut till organisationen, är uppgifter om sådana förmåner vid sjukdom eller arbetsskada som avses i 23 kap. 2 § socialförsäkringsbalken (2010:110). En mot-
svarande lagreglering behövs för de svenska myndigheter som ska fullgöra uppgiftslämnande till EDIC:en enligt EU-kommissionens beslut, lämpligen i hälso- och sjukvårdslagen (2017:30), förkortad HSL, alternativt patientdatalagen (2008:355), förkortad PDL. Eftersom en förväntad 1+MG-EDIC inte är en svensk myndighet är det inte tillräckligt att införa en skyldighet för svenska myndigheter, att lämna ut de nu aktuella uppgifterna till 1+MG DAC för att en sekretessbrytande verkan ska uppnås (prop. 2021/22:92). I fråga om utländska myndigheter och mellanfolkliga organisationer finns det en särskild bestämmelse i offentlighets- och sekretesslagen som i vissa fall medger att uppgifter som omfattas av sekretess ändå kan lämnas ut (8 kap. 3 § OSL). Eftersom 1+MG-EDIC varken är en utländsk myndighet eller en mellanfolklig organisation är dock denna reglering inte tillämplig på det nu aktuella utlämnandet. EDIC:en omfattas inte av svensk sekretessreglering och därför föreligger en skaderisk för röjda personuppgifter om hälsa, även om uppgifterna inte direkt är hänförliga till enskilda individer. En ytterligare risk är att tillgängliggörande av personuppgifter sker för framtida forskning som är ett tämligen generellt ändamål. Ett sådant ändamål är för oprecist enligt dataskyddsförordningens krav på ändamålsbegränsning (artikel 5.1 b). Det finns därmed en risk att en svensk myndighet av hänsyn till hälso- och sjukvårdssekretessen (25 kap. 1 § OSL) inte kan tillgängliggöra sina hälsodata för EDIC av dessa skäl. Uppgifterna behöver därför kunna lämnas till EDIC utan att en menprövning behöver göras i samband med utlämnandet. Om behovet av att tillgängliggöra genomik- och fenotypdata från Sverige i 1+MG-EDIC:ens europeiska virtuella databas och metadatakatalog bedöms väga tyngre än det intrång i de enskildas personliga integritet som utlämnandet innebär, och uppgifterna omfattas av ett starkt skydd hos EDIC, finns det fog för en ny sekretessbrytande bestämmelse som tar sikte på DAC:en och användare av datakatalogen, lämpligen i 25 kap. OSL. En sådan motsvarande sekretessbrytande bestämmelse finns för uppgifter hos SCB för att försörja LIS europeiska befolkningsregister. Bestämmelsen finns i 24 kap. 8 b § OSL och anger att sekretessen enligt 8 § hindrar inte att en uppgift lämnas till organisationen Luxembourg Income Study enligt 18 § lagen om den officiella statistiken.
1+MG-EDIC förväntas inte hantera själva utlämnandet till en mottagare som erhållit tillstånd att få ut genomik- och fenotypdata. Ett sådant utlämnande ska av datainnehavare ske direkt till mottagare av
ett tillstånd. Om tillstånd har getts av DAC till en forskare, och en datainnehavare inte har lagt sitt veto, förväntas hälsodata lämnas ut direkt till mottagaren. Även en sådan reglering kommer Sverige att bli bunden av som medlem i en 1+MG-EDIC. Om DAC:ens beslut inte är tillräckligt precist i fråga om mottagare eller vad för slags personuppgifter som ska lämnas ut, finns det en risk att en svensk myndighet ändå inte kan verkställa tillståndet på grund av sekretess enligt 21 kap. 7 § OSL. Finns det anledning hos svensk myndighet att anta att uppgifter efter utlämnande kommer att behandlas i strid med dataskyddsförordningen, lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning eller etikprövningslagen kan myndigheten neka utlämnande. För att undvika ett sådant scenario, krävs det sannolikt motsvarande bestämmelser om en skyldighet för svenska myndigheter att lämna ut personuppgifter för ändamålet forskning till en utländsk forskare inom unionen och sekretessbrytande bestämmelse av det slag som krävs för röjande av personuppgifter till 1+MG datakatalogen (se ovan). En sådan uppgiftsskyldighet i svensk rätt kan kompletteras med krav på etikgodkännande av den utländska forskningen som villkor för utlämnandet. Sammanfattningsvis gör utredningen bedömningen att integritetshöjande lagstiftning sannolikt behöver ses över innan projektet ska börja dela hälsodata som utgörs av personuppgifter.
22.4. Begränsningar i rätten att ta del av data från hälso- och sjukvården med stöd av offentlighetsprincipen
Bedömning: Det bör utredas om fyra till sex timmars arbetstid för
”rutinbetonade åtgärder” innebär en begränsande faktor för forskningen.
Rätten att ta del av handlingar med stöd av offentlighetsprincipen gäller under förutsättning att uppgifterna som efterfrågas är allmänna handlingar enligt tryckfrihetsförordningen. Ibland krävs en bearbetning av uppgifter för att tillmötesgå en begäran om att få ut uppgifter. Utredningen har fått till sig att olika regioner gör olika bedömningar och att det finns olika processer för hur mycket tid som får
läggas ner vid begäran om utlämnanden. Om bearbetningen kan göras med ”rutinbetonade åtgärder” anses de begärda uppgifterna vara allmänna handlingar. Med ”rutinbetonade åtgärder” avses en begränsad arbetsinsats och utan nämnvärda kostnader för myndigheten. I domstolspraxis har det slagits fast att en myndighet är skyldig att på begäran göra skräddarsydda urval av uppgifter för att sammanställa dessa till en potentiell handling. En myndighet är också skyldig att göra vissa anpassningar av sina standardprogram för att göra det aktuella urvalet. Däremot är myndigheten inte skyldig att ta fram ett helt nytt datorprogram för att göra urvalet. Om en myndighet av praktiska skäl valt att dela upp uppgifterna på olika register, så kan den vara skyldig att sammanställa uppgifter från dessa register till ett enda registerutdrag. Högsta förvaltningsdomstolen har i ett fall kommit fram till att fyra till sex timmars arbete för att göra en sammanställning inte kan ses som en rutinbetonad åtgärd (HFD 2015:25).
Om en sammanställning inte kan göras med rutinbetonade åtgärder kan myndigheten neka den sökande att få ta del av uppgifterna. Detta innebär att vissa datauttag kan nekas en forskare eller ett företag. Det bör utredas om fyra till sex timmars arbetstid för denna typ av sammanställning innebär en begränsande faktor för forskares behov, och huruvida detta i så fall kan eller bör ändras. Det behöver även uppmärksammas i sammanhanget att OSL kan påverka situationen. Om forskningshuvudmannen (eller motsvarande ansvarig för forskningen enligt EU-förordningarna) är en myndighet kan den begära ut uppgifter med stöd av 6 kap. 5 § OSL. I sådana fall gäller inte reglerna om begränsning enligt tryckfrihetsförordningen, såsom ”rutinbetonade åtgärder”. Bestämmelsen i 6 kap. 5 § OSL innebär i stället en skyldighet att utge alla handlingar, inte bara allmänna, såvida inte det ”hindrar arbetets behöriga gång”. Vad detta innebär mer konkret är något oklart. En utredning bör därför också titta på skillnaderna mellan förutsättningarna för privata och offentliga forskningsorganisationer att få ta del av hälsodata och om detta leder till ojämlikhet inom ramen för forskning.
Denna utredning bör också förhålla sig till eventuella förslag i förslaget till EHDS, då förslaget innehåller vissa delar som kan ha bäring på vilka data som datahållare ska tillgängliggöra med tillhörande regler för exempelvis tidsfrister.
22.5. Tydliggörande av organisatoriska och tekniska åtgärder
Bedömning: Utredningen bedömer att lämplig myndighet bör få
i uppdrag att ta fram råd avseende tekniska och organisatoriska krav.
Utredningen har fått till sig att det finns ett behov av tydliggörande av hur myndigheterna, i sekretessprövningen, bedömer mottagarens möjlighet att skydda uppgifterna efter utlämnandet. I praktiken innebär det vilka tekniska och organisatoriska åtgärder som bedöms krävs för känsliga och särskilt skyddsvärda data i enlighet med dataskyddsförordningens krav.
Det finns i nuläget inga generella krav att bifoga exempelvis en datahanteringsplan inför ett utlämnande. Det är svårt att avgöra vilken information de utlämnande myndigheterna baserar sina bedömningar på. Vid ansökningar om utlämnande av data till andra länder beskriver vissa registerhållande myndigheter att de konsekvent nekar sådana utlämnanden med hänvisning till att de inte kan bedöma tekniska och organisatoriska förutsättningarna för hur data kommer skyddas i ett annat land. Utredningens bedömning är att en sammanställning av konkreta krav på tekniska och organisatoriska åtgärder skulle kunna vara vägledande för hur kravställningar på säkerhetslösningar för datahantering som följer gällande rätt skulle kunna se ut.
22.6. Avsaknad av rättsmedicinska ändamål och rättspsykiatriska ändamål
Bedömning: Rättsmedicinalverket har enligt patientsäkerhetslagen
rätt att ta del av uppgifter för att kunna utöva sin verksamhet. Det behöver utredas hur myndigheten ska få reda på var uppgifterna kan begäras ut.
Rättsmedicinalverket (RMV) ansvarar bland annat för rättsmedicinska obduktioner och andra rättsmedicinska undersökningar, verksamhet med utfärdande av rättsintyg, rättspsykiatriska undersökningar i brottmål, läkarintyg som avses i 7 § lagen (1991:2041) om särskild person-
utredning i brottmål, m.m. och utredningar om risk för återfall i brottslighet enligt lagen (2006:45) om omvandling av fängelse på livstid. För sådana ändamål finns bestämmelser om uppgiftsskyldighet och sekretessbrytande bestämmelser i ett antal olika lagstiftningar. Enligt 6 kap. 15 § patientsäkerhetslagen (2010:659), förkortad PSL, har exempelvis hälso- och sjukvårdspersonal en skyldighet att lämna ut vårddokumentation på begäran av RMV för en rättsmedicinsk undersökning. Uppgifterna kan vara av stor vikt för myndighetens bedömningar.
Om RMV vet var vårddokumentationen ska begäras ut får myndigheten tillgång till de uppgifter som behövs. Om det däremot inte finns någon information om vilken vårdgivare RMV ska vända sig till försvåras möjligheten att få tillgång till nödvändig information. Rättigheter att få ta del av sådana uppgifter som behövs för att RMV ska kunna utföra sina uppdrag finns alltså reglerade i lag. Det innebär att bedömningen gjorts att RMV har behov av uppgifterna och att myndigheten ska få tillgång till dem. Däremot saknas i vissa fall möjligheten att ta reda på var uppgifterna finns. Utredningen uppfattar detta som en allvarlig brist i lagstiftningen.
RMV har i dialog med Inera AB diskuterat anslutning till NPÖ (sammanhållen vårddokumentation), men fått besked om att det inte är möjligt mot bakgrund av gällande lagstiftning. RMV uppger att dialog också hållits med olika delar av Regeringskansliet. Utredningen anser att det är orimligt att en myndighet drabbas av att lagstiftning haltar och att möjligheterna att utföra sina uppdrag därmed försvåras. Hur RMV rent praktiskt ska få tillgång till uppgifter som myndigheten har rätt till bör därför utredas. Enligt utredningens bedömning behöver ett stöd i lag införas som kompletterar myndighetens lagreglerade rätt att ta del av uppgifter, så att syftet med dessa bestämmelser omhändertas fullt ut. Ett stöd i lag behöver införas som kompletterar lagregeln i PSL så den bestämmelsen går att tillämpa i praktiken.
22.7. Övriga behov inom hälsodataområdet
22.7.1. Kroppsnära teknik och hälsofrämjande insatser
Bedömning: Socialstyrelsen eller annan relevant myndighet bör
få i uppdrag att tillsammans med berörda myndigheter, kommuner, regioner och universitet utreda vilka etiska och praktiska förutsättningar som behöver komma på plats för att data från kroppsnära teknik ska kunna samlas in och användas av såväl hälso- och sjukvården som forskare och företag.
Alltmer data samlas in av individen själv med hjälp av så kallad kroppsnära teknik. Det kan handla om hur många steg som en person tagit på en dag, puls, andning med mera. Denna data har i vissa fall stort värde för hälsofrämjande insatser, där kontinuerliga glukosmätare för personer med diabetes är ett tydligt exempel. Det finns dock i dag omfattande praktiska och etiska utmaningar och osäkerheter kopplade till hur denna data skulle kunna användas inom hälso- och sjukvården på ett effektivt sätt. Utredningens bedömning är att det kommer krävas ett omfattande utvecklingsarbete om denna typ av data ska kunna användas i vården. Utöver det har datan också ett värde för aktörer som bedriver forskning och utveckling.
Ett bra första steg bedömer utredningen kan vara att Socialstyrelsen utreder vilka behov och vilket värde denna data potentiellt skulle kunna ge vården. Myndigheten bör inom ramen för detta också få i uppdrag att tillsammans med relevanta myndigheter utreda vilka behov och möjligheter som finns inom andra vårdnära områden. Socialstyrelsen eller annan relevant myndighet bör få ett kompletterande uppdrag för att göra en första kartläggning av etiska utmaningar med att använda denna typ av data. I arbetet bör båda myndigheterna inhämta kunskap från kommuner, regioner, universitet, med mera för att få en så uttömmande bild som möjligt av för- och nackdelarna samt eventuella risker. Först därefter kan det bli aktuellt att utreda hur de praktiska lösningarna för denna typ av datadelning ser ut.
Frågor som behöver ses över är hur ett regelverk bör se ut som säkerställer kvaliteten i den data som samlas in. Därutöver behöver data som delas med vården ha ett prediktivt värde och inte bara översålla vårdpersonalen i ännu mera data. Det behöver också utredas vem som ska ha ansvar för sådan data.
22.7.2. Behovet av syntetiska data
Bedömning: Myndigheter under Socialdepartementet som hanterar
mikrodata som utgör personuppgifter bör få i uppdrag att ta fram syntetiska dataset i syfte att bidra till forskning och utveckling.
Behovet av data fortsätter att öka och ändamålen för vilka data ska användas likaså. Att dela stora mängder mikrodata kommer dock alltid innebära en uppenbar risk för exempelvis bakvägsidentifiering, vilket gör att det bara under väldigt kontrollerade former går att dela sådan data. Många aktörer, både som i dag har möjlighet att få tillgång till personuppgifter och aktörer som inte kan få ut personuppgifter från myndigheter, skulle vara behjälpta av att kunna få tillgång till syntetiska data. Syntetiska data är artificiella data som genereras från originaldata genom att använda en modell som är tränad för att reproducera egenskaperna och strukturen hos originaldatan. Det innebär att syntetiska data och originaldata bör ge mycket liknande resultat när de genomgår samma statistiska analys (se vidare avsnitt 3.6.3).
Utredningens bedömning är att om myndigheterna under Socialdepartementet som hanterade mikrodata som utgör personuppgifter skapade syntetiska dataset av sina datasamlingar skulle det kunna bidra till minskad administrativ börda och därmed också kostnader eftersom det skulle kunna minska behovet av utlämnande av mikrodata. Flera aktörer, så som forskare och studenter, skulle kunna välja att direkt ladda ner hela databasen utan kostnad, i stället för att göra ett dyrt och tidskrävande utlämnande. Även om det i slutändan skulle visa sig att exempelvis forskaren behöver få ut den faktiska datan så skulle ändå det syntetiska datasetet kunna hjälpa forskaren att göra exempelvis studieupplägg eller liknande. Datan skulle också kunna användas i väntan på att den riktiga datan lämnas ut.
Syntetiska data skulle också vara en värdefull resurs för de aktörer inom life science sektorn som i dag har begränsade möjligheter att få tillgång till så pass detaljerade data. Att dessa aktörer får tillgång till relevanta data är en förutsättning för en konkurrenskraftig life science industri i Sverige.
22.7.3. Nationella data av regionalt intresse
Bedömning: Det bör utredas hur regioner kan få bättre tillgång
till nationella data för exempelvis beslutsstöd.
Det bör också utredas om nationella data ska kunna behandlas via regionala datahubbar eller om det enbart ska vara möjligt att samköra nationella och regionala data i en nationell datahubb.
Regionerna kan i dag ha svårigheter att ta emot data på individnivå som samlats in till statliga myndigheter. Regionerna kan många gånger inte få tillbaka den data som de själva skickat in eftersom myndigheten som samlat in datan gjort en personuppgiftsbehandling som gör att datamängden ses som en ny uppgiftssamling och då omfattas av exempelvis statistiksekretess. Det skapar dels låga incitament att rapportera in data, dels skapar det ökad administrativ börda och ökade kostnader eftersom data behöver samlas in på fler ställen för att kunna användas.
Datamängder som regionerna samlat in till statliga myndigheter skulle kunna användas i regionernas beslutsstöd och verksamhetsutveckling, men de är i dag otillgängliga för regionerna. Ett sådant exempel är socialförsäkringsdata. Tillgången på socialförsäkringsdata i vården hade kunnat öka möjligheten till att få till datadrivna och mer evidensbaserade beslut rörande exempelvis om en individ ska sjukskrivas, hur länge samt vilka kompletterande åtgärder som kan komma att ha bäst effekt för individen. Statistik baserad på vård- och socialförsäkringsdata skulle kunna brytas ned på vårdgivare och arbetsgivare för att identifiera strukturella problem som till exempel arbetsgivare med många sjukskrivna eller vårdgivare med avvikande sjukskrivningsmönster. Regionernas tillgång till vissa socialförsäkringsdata skulle därmed kunna leda till såväl minskade kostnader för samhället som bättre hälsoutfall för individerna.
22.7.4. Ökade möjligheter att följa upp reformer med hjälp av data
Bedömning: Det bör utredas huruvida det ska vara ett krav för
utredningar vid statliga myndigheter och i statliga utredningar att lämna en konsekvensanalys avseende vilka data som behövs för uppföljning av förslagen, hur datatillgång ser ut samt hur den administrativa bördan för eventuella nya datamängder kan minimeras.
Ett vanligt återkommande problem som diskuteras i samband med datainsamling och reformer är ökningen av den administrativa bördan. Utredningen delar delvis aktörernas skepsis avseende datainsamling för att följa upp reformer. Utredningen delar uppfattningen att datainsamlingen i dagsläget ofta innebär en stor administrativ börda.
Utredningens bedömning är att med planering och bättre konsekvensanalyser så skulle administrationen kunna minskas och dataförsörjningen bli bättre. Utredningen bedömer att ett återkommande problem är att det antingen saknas strukturer för att samla in nya datamängder eller att behoven av vilka data som kommer att behövas utreds i samband med att exempelvis en reform tas fram. Se även avsnitt 20.5 om myndigheternas behov av att kunna analysera data, exempelvis för att följa upp olika reformer.
Varken kommittéhandboken (Ds 2000:1) eller departementsserien Bättre konsekvensutredningar (Ds 2022:22) innehåller några skrivningar om databehovet som följer av ett förslag. En konsekvens av ett förslag är ofta att det krävs att nya datamängder samlas in för att genomföra och/eller följa upp förslagen. I förlängningen innebär det också att både kostnadsberäkningarna och integritetsanalysen blir bristande, då datainsamling många gånger har konsekvenser för kostnaderna och den personliga integriteten.
Om databehoven analyserades från början är det sannolikt att förslagen kunnat utformas på ett lite annat sätt som då också tar höjd för eventuell datainsamling.
Relevanta data är en förutsättning för evidensbaserad policy och för att följa upp effekten av olika reformer. Därmed kan det övervägas om tillgången till data bör ingå i samtliga konsekvensanalyser som görs inom kommittéväsendet, men även inom ramen för de rapporter myndigheterna tar fram.
22.7.5. Ökad aktualitet och förbättrad dataförsörjning
Bedömning: Regeringen bör ge Socialstyrelsen i uppdrag att öka
uppdateringsfrekvensen i sina hälsodataregister för att säkerställa tillgången till aktuella data.
Bristen på tillgång på uppdaterade data är ett problem som flera aktörer lyft. Regeringen lyfte i budgetpropositionen 2021 vikten av tillgång till relevanta data och snabbare uppföljning (prop. 2020/21:1 Utgiftsområde 9, s. 41).
Att data inte uppdateras ofta och inte längre är aktuella minskar värdet av datan. Detta blev tydligt bland annat under pandemin där vissa data behövde uppdateras varje dag och inte en gång i månaden eller en gång om året. Av den anledningen bör det ingå i uppdraget att göra en analys av nyttorna respektive kostnaderna för att öka uppdateringsfrekvensen i de olika registren.
22.7.6. Lagrings- och beräkningskapacitet
Bedömning: Lagrings- och beräkningskapacitet inom hälso- och
sjukvården bör ses över i syfte att öka samordningen och därmed sänka kostnaderna och öka nyttan av ny och befintlig infrastruktur.
Utredningen bedömer att det på sikt även bör utredas hur skalfördelar kan uppnås genom att samordna eller åtminstone öka samordningen av den nationella digitala infrastrukturen.
Mängden data som samlas in ökar för varje år och behovet av storskalig lagrings- och beräkningskapacitet har och kommer sannolikt fortsätta öka inom de kommande åren. Driften av högpresterande datorsystem är generellt kostsam och det är inte ändamålsenligt att varje enskild verksamhet med behov av högpresterande datorsystem utvecklar egna.
Frågan har delvis berörts inom ramen för utredningen Stärkt fokus på framtidens forskningsinfrastruktur (SOU 2021:65). I den utredningen avgränsades dock hälso- och sjukvården bort. Utredningen antar att det var en relevant avgränsning, men menar att det finns ett behov av att se över hälso- och sjukvårdens digitala infrastruktur i första hand och därefter hur skalfördelar kan uppnås genom samord-
ning av hela den nationella digitala infrastrukturen. Ett sådant exempel är forskningsinfrastruktur som rör medicinsk forskning.
Det pågår en rad olika projekt i Sverige från olika håll och av olika aktörer så som SciLifeLabs Clinical Genomics teknologiplattform, Biobank Sverige, SUNET och diverse projekt som drivs med medel från olika EU-fonder, bara för att nämna några. Utredningen menar inte att dessa ska centraliseras utan tror att pluralismen kan vara bra för utvecklingen inom området. Däremot finns det behov av större samordning och överblick för att staten på ett mer strukturerat, informerat och förutsägbart sätt skulle kunna stötta dessa projekt så att Sverige får en mer effektiv digital infrastruktur.
I vissa fall kan det röra sig om att två parter skulle behöva utöka sin samverkan för att bättre nyttja den kapacitet som finns. I andra fall kan det röra sig om medfinansiering där exempelvis universitet, regioner, företag och olika myndigheter går samman i vissa projekt. Detta sker redan i dag, men flertalet aktörer har lyft till utredningen att det saknas en tydlig aktör på hälsodataområdet som styr vart Sverige är på väg och att politiken på området är vag och svårtolkad samt att utvecklingen på området i stor del sker nerifrån och upp. Utredningen tar inte ställning till huruvida det är bra eller dåligt, i vissa fall kan det vara bra, andra inte. Vad utredningen däremot kan konstatera är att det finns vissa frågor som endast regeringen har mandat att bestämma över, så som myndighetsstyrningen. Om myndigheterna inte strävar efter samma mål finns det en risk för dubbelarbete eller att myndigheterna konkurrerar i stället för samarbetar.
Ett konkret exempel är SciLifeLab som sökt och fått medel för en federerad europeisk infrastruktur för cancerbilder. Parallellt med detta har E-hälsomyndigheten haft i uppdrag att utreda ett dataområde för hälsodata som består av bilddiagnostik. Samtidigt är det regionerna som har ansvar för stora mängder av den bilddata som finns. Därutöver är det ett fåtal företag som ansvarar för stora delar av den tekniska infrastrukturen som används för att framställa och visualisera bilderna för exempelvis mammografi.
Det är för utredningen oklart hur bilddiagnostikområdet i Sverige ska fungera tillsammans med det europeiska. Utredningens bedömning är däremot att bedömningarna i kapitel 19–21, tillsammans med förslag om en tydligare forskningsinfrastruktur, skulle skapa bättre förutsättningar för ett mer sammanhållet hälsodataområde.
Utredningens bedömning är att en sådan utredning kan göras inom ramen för kommittéväsendet, inom Regeringskansliet eller som ett uppdrag till en relevant myndighet på hälsodataområdet eller som arbetar med att fördela ut EU-medel.
22.7.7. Datamängder
Bedömning: Datainsamling är många gånger resurskrävande och
innebär ofta administration för vården. Datainsamlingen bör kunna göras mer automatiserad och samordnad så att fler aktörers behov omhändertas.
Även om utredningen inte har haft till uppgift att identifiera specifika datamängder så har ett antal aktörer lyft en rad olika datamängder som utredningen bedömt vara relevanta att skriva om.
Den ena gruppen av datamängder är datamängder som är viktiga för att få till ett fungerande ekosystem, exempelvis metadata. Den andra gruppen är datamängder som är en del av ekosystemet, så som att kunna följa livskvalitén av patienter efter en behandling. För dessa datamängder är det viktigt med ett brett nationellt perspektiv som ser till fler behov än bara hälso- och sjukvården då det finns områden där det finns ett betydande överlapp med hälsodataområdet. Några exempel på sådana områden än elevhälsan, kriminalvården eller skuret på ett annat sätt, näringslivet, forskare och arbetsmarknaden. Därutöver finns det också behov från exempelvis Försäkringskassan där data genereras lokalt i socialtjänsten, regionalt i hälso- och sjukvården och även nationell vid arbetsförmedlingen. Data behöver därför kunna delas såväl mellan den lokala, regionala och statliga nivån.
Några datamängder har redan lyfts av Socialstyrelsen inom ramen för deras uppdrag att identifiera datamängder av nationellt intresse, dessa kommer inte redogöras för här. I stället hänvisar utredningen till Socialstyrelsens arbete.
4,5
4
Socialstyrelsen, 2022, Kartläggning av datamängder av nationellt intresse på hälsodataområdet
(delrapport).
5
Socialstyrelsen, 2022, Kartläggning av datamängder av nationellt intresse på hälsodataområdet
– slutrapport.
Kontextuella data
Bedömning: Socialstyrelsen och E-hälsomyndigheten bör få i upp-
drag att tillsammans med kommuner, regioner, universiteten och relevanta myndigheter lämna förslag på hur kontextuella datamängder kan samlas in och var den sedan ska lagras för att den på ett enkelt sätt ska kunna tillgängliggöras för vidareanvändning.
Data är i sig självt många gånger inte värdefullt utan att det finns en kontext kopplad till den, viss sådan data kallas metadata. Men eftersom metadata också kan vara en mer övergripande beskrivning av data och att kontextuella data ibland också bara är vanliga data så har utredningen valt att använda begreppet kontextuella data för att undvika begreppsförvirring.
Ett exempel är data om att en person har cancer. Utan att veta vem personen är, vilken cancer, vilket stadium patienten befinner sig i så är informationen inte särskilt relevant. En sådan datapunkt säger bara att det finns en person med cancer. Men är detta något som någon säger i ett rum till sin läkare så blir informationen plötsligt relevant, åtminstone för patienten och läkaren. Ett lite mer avancerat exempel på kontextuella data är information om vilken maskin ett laboratorieprov körts i, hur länge de körts, vilken analys som utfördes och så vidare. Ett annat exempel kan vara smarta lås där personer behöver använda ett passerkort för att passera, då samlas det automatiskt in data om vem som passerade genom dörren, eller åtminstone vems kort som användes och när, hur många gånger och om dörren stod öppen ovanligt länge. Denna typ av kontextuella data är vanligt förekommande och samlas många gånger in automatiskt av olika system, men det saknas ofta strukturer för att koppla den till relevant data. Det kan även hända att den kontextuella datan inte tillgängliggörs för vidareanvändning. Det finns i dag en uppsjö av sådana data som i dag används i begränsad utsträckning, många gånger för att den kan vara svår att känna till att den finns, få tag på den eller för att användaren helt enkelt inte tänkt på att denna data skulle kunna gå att använda för ett visst ändamål.
Denna typ av data är ofta värdefull för personer även utanför hälso- och sjukvården. Alla detaljer är inte viktiga för alla aktörer, så som att veta vem som gick igenom en viss dörr ett visst klockslag, men det kan vara intressant att veta hur många olika personer som en patient
genomsnittligen träffar på en vecka. Då kan data användas från låset i stället för att verksamheten själva ska behöva rapportera eller gissa hur många personer de haft som arbetat i verksamheten en viss vecka.
Denna typ av datamängd är dock svår att hantera av olika skäl. En av de stora utmaningarna är att verksamheten där datan genereras ofta har svaga incitament att tillgängliggöra denna data. Om det bara är forskare och företag som är intresserade av dessa data kan det övervägas om det behövs ersättnings- eller incitamentsmodeller för att ta fram system som automatisk samlar in och skickar vidare dessa data för lagring i en verksamhet där nyttan är mer uppenbar.
Data om patienters livskvalitet
Bedömning: Socialstyrelsen, Myndigheten för vård- och omsorgs-
analys eller annan relevant myndighet bör få i uppdrag att tillsammans med kommuner och regioner och berörda myndigheter kartlägga vilka behov hälso- och sjukvården och de statliga myndigheterna har av data rörande livskvalitet och gemensamt ta fram en plan för hur en sådan datainsamling kan ske så att det fyller samtliga aktörers behov.
I dag finns det begränsad tillgång till data över patienters livskvalitet. Avsaknaden av sådan data får långtgående konsekvenser. Exempelvis är det svårt för vården att bedriva uppföljande arbete, svårt för forskare och innovatörer att forska och utveckla processer och produkter för att öka livskvaliteten bland patienter. Det är också en viktig datamängd för exempelvis Försäkringskassan och deras arbete med sjukskrivningsprocessen.
Det är sannolikt att behovet av denna typ av data kommer att fortsätta öka, exempelvis i takt med utvecklingen och användningen av avancerade terapiläkemedel, som är en del av precisionsmedicinen. Flera av dessa behandlingar är nya behandlingstyper med okända långtidseffekter. Enligt Myndigheten för vård- och omsorgsanalys kan uppemot 125 000 individer i Sverige bli aktuella för behandling för avancerade terapiläkemedel redan 2030.
6
Även om denna estimering är behäftad
med betydande osäkerheter så är det sannolikt att livskvaliteten be-
6
Myndigheten för vård- och omsorgsanalys, 2021, Genvägen till ökad precision (s. 69).
höver följas upp hos en stor del patienter för att säkerställa att produkterna fungerar, är säkra och faktiskt påverkar livskvaliteten positivt.
Behovet av långtidsuppföljning är inte bara viktigt för avancerade terapiläkemedel, men också för patienter som behandlats för exempelvis cancer och som är i behov av eftervård och också för att kunna anpassa sjukförsäkringssystemet utifrån patienternas förutsättningar.
Ett exempel på en insamling av denna typ av data är Englands National Health Service (NHS) och Englands Cancer Quality of Life Survey (QoL) som är en enkät som skickas ut till personer med cancer cirka 18 månader efter att de fått sin diagnos. Syftet med enkäten är att ta reda på hur dessa personers livskvalité har påverkats och hur deras eftervård har fungerat.
7
Även om motsvarande uppgifter i delar samlas
in till nationella kvalitetsregister i Sverige i dag finns det anledning att se över behoven ur ett bredare perspektiv. Det finns begräsningar i hur nationella kvalitetsregister kan användas för exempelvis ändamålen uppföljning och vård.
Hälsodataregister
Bedömning: Utredningen bedömer att Utredningen om bättre
förutsättningar för uppföljning av hälso- och sjukvården (S 2023:02) bör få tilläggsdirektiv att se över hur data från barnhälsovården och elevhälsan kan börja föras i ett hälsodataregister vid Folkhälsomyndigheten.
I uppdraget bör det också ingå att även se över hur medicinska födelseregistret kan utökas med ytterligare datamängder.
Det bör även övervägas om det finns behov av att utredningens uppdrag även ska innefatta de register och de behov som finns inom den kommunala hälso- och sjukvården.
Tillgången till hälsodata är central för styrning, uppföljning och utveckling av hälso- och sjukvården. De nationella hälsodataregister som finns i Sverige har god täckning och kvalitet, men det saknas i dag flera centrala informationsmängder om medborgarnas hälsa och vårdkontakter.
7
https://www.cancerqol.england.nhs.uk/about_the_survey/index.html (Hämtat 2023-05-17).
Exempelvis har Socialstyrelsen haft i uppdrag att utreda om de data som i dag samlas in till det nationella kvalitetsregistret Elevhälsans medicinska insats (EMQ) skulle kunna samlas in i ett av Socialstyrelsens hälsodataregister.
8
Socialstyrelsen konstaterade i sin slutrapport
att den typen av uppgifter som registreras i EMQ ligger för långt ifrån Socialstyrelsens instruktionsenliga uppdrag.
9
Utredningens bedömning
är att Folkhälsomyndighetens instruktionsenliga uppdrag ligger närmre i linje med den typ av uppgifter som registreras i EMQ.
Socialstyrelsen har haft fler uppdrag likt uppdraget om EMQ. I direktiven till Utredningen om bättre förutsättningar för uppföljning av hälso- och sjukvården (S 2023:02) framgår att utredningen ska föreslå regler för behandling av personuppgifter från primärvården, väntetider, vårdköer, rekvisitionsläkemedel. I denna uppräkning saknas reglering för utökningen av medicinska födelseregistret
10
, barnhälsovårdsre-
gistret
11
och elevhälsans medicinska insatser. Socialstyrelsen har även
pågående uppdrag inom området som bör beaktas, exempelvis ändring av förordningen (2006:94) om register hos Socialstyrelsen över insatser inom den kommunala hälso- och sjukvården.
12
Utredningen bedömer att Utredningen om bättre förutsättningar för uppföljning av hälso- och sjukvården (S 2023:02) bör få i tilläggsdirektiv att se över även dessa datamängder. Det är sannolikt svårt för utredningen givet nuvarande direktiv att ta ett helhetsperspektiv för alla dataförsörjningsbehov som rör hälsodataregister. Utredningens bedömning är att eventuella tilläggsdirektiv skulle kunna innehålla en skrivning om att utredningen ska redogöra för behov som utredningen inte kan tillgodose, framför allt i relation till inrättandet av en nationell datahubb.
8
Regeringskansliet, 2020, Regleringsbrev för budgetåret 2020 avseende Socialstyrelsen (S2020/
03087/RS).
9
Socialstyrelsen, 2021, Förutsättningar för att ta in uppgifter från Nationellt kvalitetsregister
för elevhälsans medicinska insatser, EMQ, till Socialstyrelsen, s. 22.
10
Socialstyrelsen, 2022, Förslag på författningsändringar för medicinska födelseregistret. Inklusive förslag på nya uppgifter samt juridiska och andra förutsättningar för datainsamling.
11
Socialstyrelsen, 2021, Uppföljning av primärvård och omställningen till en mer nära vård. Deluppdrag I – Nationell insamling av registeruppgifter från primärvården.
12
Regeringskansliet, 2023, Uppdrag att ta fram en fördjupad konsekvensanalys, S2021/06012 (delvis).
Biobanksdata
Bedömning: E-hälsomyndigheten eller annan lämplig myndighet
bör ges i uppdrag att analysera och lämna förslag på en ändamålsenlig informationsförsörjningsmodell med tillhörande infrastruktur för biobanker som är förenligt med en nationell datahubb och regionala datahubbar.
Myndigheten bör inom ramen för uppdraget göra kostnadsberäkningar som belyser kostnadsbesparingarna och den minskade administrationen i hälso- och sjukvården till följd av den minskade transaktionskostnaden för datadelningen.
Det finns i dag minst två stora behov kopplat till biobanksdata. Det ena är att kunna hitta själva provet. I dag finns ett problem med att det ibland är lättare att ta nya prover än att leta upp befintliga prover, trotts att det inte är medicinskt motiverat.
13
Detta kostar inte bara
extra tid och resurser från hälso- och sjukvården, det tar också upp patientens tid, förlänger vårdprocessen och exempelvis kan biopsier innebära en risk för infektion.
Det andra behovet är att kunna matcha biobanksprov med information som kommer av provet. Detta är i dagsläget inte alltid möjligt av samma skäl som hälsodata inte kan delas. Det beror exempelvis på ändamålet för datadelningen samt vem avsändaren och mottagaren är.
Utredningens uppfattning är att det finns besparingar att göra om transaktionskostnaden för datadelning och -insamling för biobanksdata sänks. Antalet biobanksprover kommer med största sannolikhet fortsätta att öka allt eftersom ny forskning möjliggör nya analyser. Det är därför viktigt att se över dessa kostnader så snart som möjligt då problemet och kostnaderna sannolikt kommer öka i omfattning de kommande åren.
Behovet av nationell infrastruktur
Det finns i dag ingen fungerande nationell infrastruktur för att omhänderta dessa två problem. Regionerna håller på att bygga upp ett gemensamt system för att hitta prov, kallat Svenska biobanksregistret (SBR). Utveckling, drift och förvaltning ligger inom Biobank Sveriges
13
Möte med Region Stockholm 10 maj 2023.
uppdrag och det sker inom ramen för ett Samverkansavtal upprättat av alla regioner. Samverkan med akademin kring utvecklingen sker genom Biobank Sveriges nationella styrgrupp. Utredningen har dock förstått att det är ett komplext arbete och varje steg går långsamt och kräver mycket utredning och förankring.
Vad gäller problemet med datadelning så är utredningens bedömning att detta skulle kunna omhändertas inom ramen för en nationell datahubb, se kapitel 19–21.
Det finns alltså ett nationellt behov och behov som går utanför hälso- och sjukvården, så som forskning, innovation och olika myndigheters behov av data. Samverkan går i dag långsamt och kostnadsbesparingarna har varit svåra att realisera. Mot bakgrund av detta kan det övervägas om E-hälsomyndigheten eller annan lämplig myndighet bör ges i uppdrag att tillsammans med regionerna se över hur informationsförsörjningen kan effektiviseras och transaktionskostnaden för datadelningen minskas. I uppdraget bör det i så fall ingå att identifiera hur staten hade kunnat stötta regionerna i arbetet med att effektivisera informationsförsörjningen, exempelvis genom att bidra med infrastrukturella komponenter eller identifiera och lyfta behov av författningsändringar som krävs för att konstandsbesparingarna ska kunna realiseras.
Verksamhetsstatistik
Bedömning: Socialstyrelsen bör bli ansvarig för att samla in, lagra
och tillgängliggöra verksamhetsstatistik för hälso- och sjukvården.
Enligt Socialstyrelsens instruktion ska myndigheten ansvara för att bistå regeringen med underlag för utvecklingen inom sitt verksamhetsområde, vilket bland annat rör hälso- och sjukvården (1 § förordningen [2015:284] med instruktion för Socialstyrelsen). Mycket av den statistik som behövs för detta arbete samlas i dag inte in av Socialstyrelsen. Viss statistik samlas i dag i stället in av SKR. Det finns flertalet nackdelar med det, bland annat att SKR inte är en myndighet och därmed inte har någon skyldighet att lämna ut data till exempelvis statliga myndigheter.
Utredningen bedömer att Socialstyrelsen bör få i uppdrag att utreda och lämna förslag på hur de skulle kunna tillgängliggöra relevant
verksamhetsstatistik från hälso- och sjukvården, omsorgen och tandvården.
22.7.8. Kompetensförsörjning
Bedömning: Regeringen eller den myndighet regeringen bedömer
lämplig bör tillsammans med kommuner och regioner utreda hur hälso- och sjukvårdens medarbetare kan ges förutsättningar för kompetensutveckling inom kvantitativ metod, databearbetning och i relevanta fall programmering.
Utredningen bedömer att omställningen till en mer datadriven hälso- och sjukvård ställer allt högre krav på att fler yrkesgrupper som verkar inom hälsodataområdet har grundläggande kunskaper i databearbetning, matematik, mer specifikt statistik och kvantitativ metod (se kapitel 3.3.6) och i relevanta fall också programmering.
Flera aktörer som utredningen varit i kontakt med har lyft att behovet av kunskap om kvantitativ metod ökar och att detta är kompetens som flera yrkesgrupper i dagsläget behöver tillskansa sig på sin fritid. Utredningens bedömning är att det är ovanligt att exempelvis jurister som arbetar med dataskydd har ens grundläggande kunskaper om kvantitativ metod och hur databearbetning går till. Svårigheterna att rekrytera jurister som förstår hur data används och som också är duktiga på dataskyddsreglering har lyfts av flera aktörer och anges vara ett stort problem. Utredningen bedömer att detta är en bidragande faktor till att jurister och praktiker har svårt att kommunicera och förstå varandra när det kommer till datadelning. Om Sverige ska ställa om till en datadriven ekonomi i likhet med EU-kommissionens mål så är det viktigt att transaktionskostnaderna för datadelning går ner och utredningen bedömer att relevant kompetens är en förutsättning för att få ner dessa kostnader.
Det finns även andra yrkesgrupper som i vissa fall har grundläggande kunskaper om kvantitativ metod, men som saknar grundläggande kunskaper inom programmering. Ett sådant exempel är ekonomer, läkare, sjuksköterskor med flera. Även om de grundläggande kunskaperna inte gör att de själva kan automatisera vissa delar av exempelvis en viss typ av datainsamling, så gör det att de åtminstone kan identifiera vilka arbetsmoment som skulle kunna automatiseras och
ungefär hur det skulle kunna gå till. På samma sätt som digitala färdigheter varit viktigt att lära sig de senaste decennierna så kommer sannolikt kunskaper inom kvantitativ metod, databearbetning och i relevanta fall programmering vara nyckelkompetenser i den datadrivna ekonomin.
Utmaningarna med kompetens för att få till stånd omställningen gäller inte bara i Sverige. I det så kallade TEHDAS projektet (Towards European Health Data Space) där tolv EU-länder besöktes och intervjuades i syfte att få en uppfattning om hur redo medlemsländerna var för EHDS (se kapitel 10.4.4) så angav samtliga länder att det fanns behov av ökad kompetens kopplat till data på olika sätt.
Kompetensförsörjningsproblemet är en stor och svår fråga som är central för att omställningen ska kunna gå att genomföra i praktiken. Eftersom efterfrågan kompetens kopplat till datahantering ökar i hela samhället så krävs både en kortsiktig och en långsiktig plan som fokuserar på kompetensförsörjningen i stort.
22.8. Undervisning på akademisk nivå
Bedömning: Utredningen bedömer att de behov som framkommit
som avser undervisning på akademiska nivå har en nära koppling till primäranvändningen av hälsodata inom hälso- och sjukvården. Utredningen bedömer att dessa frågor behöver utredas gemensamt, inte avgränsat till sekundäranvändning.
Utredningen har som angetts i kapitel 2 avgränsat bort att lämna författningsförslag för ändamålet undervisning på akademisk nivå. Det innebär inte att det inte finns behov kopplade till undervisningen på akademisk nivå utan att det hade varit svårt för utredningen att försöka lösa de behov som utredningen har fått till sig utan att se över primäranvändningen av hälsodata inom hälso- och sjukvården. Krav ställs på olika vårdutbildningar i högskoleförordningen (1993:100) som i praktiken innebär att delar av utbildningen måste ske i hälso- och sjukvården. Sådana krav som listas i högskoleförordningen är till exempel fördjupad förmåga till professionellt bemötande av patienter och deras närstående med respekt för patienternas och deras närståendes integritet, behov, kunskaper och erfarenheter. Det ställs även krav på att kunna visa förmåga att självständigt diagnostisera och inleda
behandling av akuta livshotande tillstånd. Kraven är omöjliga att leva upp till utan att träffa patienter. Utbildning som sker genom så kallad verksamhetsförlagd utbildning (VFU) innebär handledd praktik på en arbetsplats.
Undervisning som går att genomföra i en lektionssal går att bedriva utan att personuppgifter behöver behandlas. Sådan undervisning kan genomföras med anonyma uppgifter som inte går att koppla till en enskild individ.
Undervisning som däremot inte kan genomföras utan att behandling av personuppgifter uppstår, innebär en nära koppling till patienterna och vården som behöver utföras. Samtliga behov som utredningen fått till sig utgörs av sådan del av undervisningen att den bäst lämpar sig att ses över tillsammans med primäranvändningen i ett gemensamt grepp.
Utredningens bedömning är att det behöver utredas varför olika regioner löser behoven på olika sätt och vad som krävs för att lösa de behov som finns som är nära kopplade till primäranvändningen.
22.9. Översyn av begrepp
Bedömning: Utredningen bedömer att det råder brist på enhetlig
tolkning av olika begrepp på hälsodataområdet. En utredning bör därför se över hur dessa begrepp kan tydliggöras för att undvika olika tolkningar.
Utredningen har gjort en ansats med att försöka förklara begrepp som datadelning och samtycke. För dessa begrepp har utredningen identifierat att det finns specifika juridiska regleringar beroende på vad för datadelning eller vilken typ av samtycke som avses. Förhoppningsvis bidrar förklaringarna till att skapa förståelse för den juridiska komplexiteten och varför dessa begrepp måste anpassas beroende på de juridiska omständigheterna. I utredningens sekretariat har blandningen av jurister och icke-jurister varit till god hjälp för att ringa in att olika begrepp betyder olika saker för olika roller. I vissa situationer finns begrepp där det saknas legaldefinitioner eller ens beskrivningar av begrepp såsom federerad datadelning, molntjänster eller edge, vilka är begrepp som används allt oftare i samband med att organisationer och aktörer diskuterar data. Samtidigt är flera av de
begrepp som finns i dagens lagstiftning utdaterade och därmed svåra att tolka i dagens kontext. Kombinationen av dessa två faktorer gör att det uppstår många olika tolkningar av både situationer och lagstiftningen. I nyare författningstexter har till exempel uttrycket medium för automatiserad behandling alltmer ersatts av modernare uttryck, se till exempel 15 § studiestödsdataförordningen (2009:321), där man valt att skriva ”Centrala studiestödsnämnden får lämna ut personuppgifter elektroniskt på annat sätt än genom direktåtkomst […]”. Utredningen efterfrågar en översyn av flera begrepp där några exempel är direktåtkomst, elektronisk åtkomst, journalhandling och patientjournal. Utredningen har även identifierat att det är otydligt mellan olika aktörer vad som avses med tillgängliggörande och tillhandahållande, begrepp som är centrala när samhället ställer om till att bli mer digitalt.
Utredningen har konstaterat att i till exempel 2 kap. 8 § PDL anges att känsliga personuppgifter inte får användas som sökbegrepp. Utredningen förstår det som att det inte är tillåtet att göra vissa sammanställningar, som att filtrera ut personer baserat på sexuell läggning, religion eller annat. Utredningen bedömer att sådan sammanställning kan genomföras på olika sätt, där sökning är ett av sätten. Utredningen anser därför att själva sammanställningen behöver regleras, inte hur den utförs.
Utredningen har även fått beskrivet för sig att det fördes mycket diskussion kring översättningen av ordet research vid Sveriges inträde i EU. Det engelska begreppet research är brett och omfattar olika typer av analyser från forskning (scientific research) till uppföljning och kartläggning (inom läkemedelsområdet kan det innebära till exempel drug utilization research och market research). Den svenska översättningen blev forskning vilket i praktiken har likställts med etikprövad forskning utförd av en forskningshuvudman eller motsvarande enligt EU-förordningarna.
Andra begrepp som utredningen konstaterat skiljer sig mellan vilka begrepp som används i praktiken och vilka motsvarande begrepp som används rent juridiskt. Ett exempel är universitetssjukhus som är allmänt vedertaget, men som i mer formell beteckning benämns heter ”regionsjukhus”. Ett annat sådant begrepp är specialistvård, som i författningssammanhang betecknas rent juridiskt definieras som ”den specialiserade vården”, se exempelvis 9 kap. 1 § 3 HSL.
Det är enligt utredningens bedömning olyckligt att olika begrepp används i regelverk och ett annat i praktiken. Det bidrar till otydligheter och risker för missuppfattningar av vad som avses.
22.10. Föråldrad lagstiftning av vårdgivares behandling av personuppgifter inom hälso- och sjukvården
Utredningen vill i detta sammanhang avslutningsvis ge några sammanfattande och reflekterande kommentarer gällande de behov som identifierats genom de undersökningar och översyner som utredningen har vidtagit i anledning av direktiven. Utredningen har undersökt vilka åtgärder som behöver vidtas för att skapa en långsiktig och hållbar rättslig reglering för hälsodata som nationell resurs för framtidens hälso- och sjukvård. Utredningen konstaterar att undersökningen av befintligt regelverk inom området hälsodata som nationell resurs och hur denna kan användas på ett adekvat sätt i förhållande till såväl patientintegritet som patientsäkerhet visar med all önskvärd tydlighet ett tämligen otidsenligt regelverk.
Utredningens bedömning är att det finns ett behov att se över utformningen av regleringen av hälsodata i allmänhet och PDL i synnerhet, i syfte att förtydliga och öka överskådligheten och en ändamålsenlig reglering i linje med Sveriges life science-strategi. Denna översyn bör göras samlat tillsammans med en generell översyn av regleringen för personuppgiftsbehandling i hälso- och sjukvården.
22.10.1. Utmaningar med en utdaterad lagstiftning
Utvecklingen inom dataområdet går väldigt fort, inte minst inom hälso- och sjukvården. Det innebär att befintlig lagstiftning inte alltid är eller upplevs vara uppdaterad för att ändamålsenligt reglera det den nu behöver reglera. PDL är ålderstigen och är dessutom en produkt av en reaktiv vård, och inte en preventiv vård.
Riksdagen har vidare i ett tillkännagivande anfört att regeringen bör överväga om det finns anledning att göra en översyn av patientdatalagen och annan relevant lagstiftning. Det är enligt riksdagen angeläget att lagstiftningen på området är anpassad till de krav som dagens teknik ställer, samtidigt som den personliga integriteten beaktas (bet. 2018/19:SoU8 punkt 58, rskr. 2018/19:233). Den genomgång som skedde av register-
författningarna inför att EU:s dataskyddsförordning började tillämpas den 25 maj 2018 utfördes med snäva tidsramar. Av den anledningen gjordes därför inte någon samlad översyn för att modernisera dem och skapa större enhetlighet. Översynen bör ge förutsättningar för en hållbar fortsatt digitalisering av hälso- och sjukvården och nya vård- och behandlingsmetoder, där en balans nås mellan integritetsskydd och behoven av att behandla personuppgifter. En av de första frågorna en sådan utredningen behöver se över är själva begreppet patientdatalagen. Enligt utredningens bedömning bör ett namn på en författning var lätt att förstå och enkel att tolka. När patientdata inte definieras som begrepp i lagen och första bestämmelsen handlar om personuppgifter inom vården blir det inte lätt att förstå vad som avses och inte heller enkelt att tolka vad som faktiskt avses med patientdata. Utredningen har resonerat om problematiken genom att utredningen själv har varit tvungen att förhålla sig till och använda begreppet i författningsförslagen för ändamålet vård i avsnitt 2.6.3.
Enligt PDL är det inte tillåtet att behandla patientuppgifter från andra vårdgivare, exempelvis privata utförare, för att bedriva förebyggande hälso- och sjukvård, kvalitetsarbete och uppföljning. Detta försvårar möjligheten att ta ansvar som sjukvårdshuvudmän. Utredningens bedömning är att om Sverige vill kunna tillhandahålla modern vård krävs även en modern lagstiftning. Utredningen har i sitt arbete behövt förhålla sig till ett regelverk som består av gammal lagstiftning som kompletterats av ny lagstiftning. Att lagstiftningen är utdaterad och svår att förhålla sig till är en av anledningarna till att utredningen fick begränsa antalet författningsförslag. Det är komplicerad och komplex juridik som kräver tid att sätta sig in i på det djup som krävs. Det har även varit en utmaning att utgå från utdaterade förarbeten med exempel som inte längre är tillämpliga i dag.
22.10.2. Privata företags behov av ändamål i patientdatalagen
Utredningen redogör för privata aktörers behov som kan lösas genom en nationell datahubb, se avsnitt 20.6. Sådana behov som utredningen bedömer behöver lösas genom en nationell datahubb utgörs av behov som kräver tillgång till personuppgifter. Utredningen har fått till sig att det även finns behov av aggregerade data av olika slag som inte längre utgörs av personuppgifter. För att aggregera data krävs dock
en personuppgiftsbehandling som vårdgivare måste utföra. En jämförelse kan göras med ändamålet antalsberäkning. För antalsberäkning har ett nytt ändamål förts in för att vårdgivaren ska få utföra den behandling som krävs. Nya ändamål i PDL löser inte alla hinder för en utökad tillgång till hälsodata för de privata företagen men det är ett nödvändigt första steg för att möjliggöra sekundäranvändning av hälsodata för privata företag. Utredningens bedömning är därför att privata aktörers behov behöver utredas i samband med att PDL ses över alternativt vid genomförandet av EHDS.
22.10.3. Teknisk utveckling och nya behov
Den tekniska utvecklingen som finns i dag ger stora möjligheter för vårdgivare att skapa en bättre och mer samordnad vård med patienten i centrum. För att det ska vara möjligt behövs en lagstiftning som möjliggör att utveckla den personcentrerade vården med nya medicinska bedömningar och tekniker som inte tidigare varit kända. Patienterna efterfrågar en bättre kommunikation mellan sig själva och vården. De har med rätta svårt att förstå varför de måste upprepa hela sin historik till varje ny vårdgivare. En tydlig tendens är att patienterna är mer pålästa och involverade i sin egen vård och därmed ställer högre krav på information och kommunikation med sjukvården. Som beskrivits tidigare finns i dag flera olika vårdgivare i hälso- och sjukvården. En patient kan under en enskild vårdprocess möta många olika offentliga och privata vårdgivare. Patienter med kroniska eller långvariga sjukdomstillstånd kan också behöva hjälp av flera olika vårdgivare parallellt. Särskilt stort är detta behov för äldre och multisjuka personer. Behovet av att kunna utbyta information mellan vårdgivare eller utförare i syfte att ge en god och säker vård och omsorg, med bibehållen integritet och säkerhet, har således ökat under senare år. Behandling av personuppgifter på automatiserad väg innefattar avvägningar mellan skyddet för den personliga integriteten och andra viktiga samhällsintressen. Utredningen anser att det bör utredas vidare.
22.10.4. Antalsberäkningar och behovet att kontakta de som räknats fram
Ändringar i PDL har trätt i kraft i maj i år, som innebär ett tydligt rättsligt stöd för den personuppgiftsbehandling som är nödvändig vid så kallad antalsberäkning inför klinisk forskning. Sådan beräkning innebär att på förfrågan inför planerad klinisk forskning beräkna hur många personer som uppfyller vissa i förväg uppställda kriterier och därmed kan komma att ingå i forskningen. Regleringen gäller vid alla vårdgivares behandling av personuppgifter inom hälso- och sjukvården och i nationella och regionala kvalitetsregister. Utredningen anser att det är en viktig reglering som tydliggör att sådan personuppgiftsbehandling som pågått under lång tid har ett rättsligt stöd. Däremot saknar utredningen ett tydligt rättsligt stöd för nästa steg i processen. I vissa fall är det tillräckligt att endast få en uppfattning om hur många personer, i till exempel ett kvalitetsregister, som uppfyller kriterierna för ett visst forskningsprojekt. I andra fall behöver potentiella forskningspersoner kunna kontaktas med förfrågan om att delta i forskningen, där samtycke krävs. Utredningens bedömning är att den nya lagändringen behöver kompletteras med ytterligare uttryckligt rättsligt stöd för att ge tydligare möjlighet för hälso- och sjukvården att kunna kontakta de potentiella forskningspersoner som beräknats fram med hjälp av antalsberäkning.
23. Särskilt om frågeställningar för fortsatt utredning avseende utveckling och innovation
23.1. Ändamålet utveckling och innovation
Bedömning: Eftersom utredningen av tidsskäl inte har möjlighet
att lämna författningsförslag avseende ändamålen utveckling och innovation bör ändamålen omhändertas av nya utredningar.
23.2. Utveckling och innovation
23.2.1. Inledning
Utredningen hade inledningsvis en ambition att lämna författningsförslag avseende utveckling och innovation. Arbetet blev dock för tidskrävande för att hinna med en sådan grundlig analys som utredningen anser behövs för att författningsförslag ska kunna tas vidare till proposition. Utredningen har därför samlat analyserna så långt som utredningen hann i sin analys i detta kapitel. Det finns ett tydligt behov av utökade möjligheter för utveckling och innovation. Utredningen ser även ett behov av förtydliganden om vad som avses med uppföljning, utveckling och innovation och i vilken utsträckning dessa ändamål överlappar varandra.
23.2.2. Juridiska förutsättningar
Hälsodata i form av personuppgifter får, enligt patientdatalagen (2008:355), förkortad PDL, användas för ändamålet systematisk och fortlöpande utveckling av verksamhetens kvalitet (se 4 kap. 2 § första
stycket 4 PDL). Systematisk och fortlöpande utveckling och säkring av verksamhetens kvalitet är en skyldighet för vårdgivare som regleras i hälso- och sjukvårdslagen (2017:30), förkortad HSL, (5 kap. 4 § HSL). Det finns även en reglering om nationella och regionala kvalitetsregister i 7 kap. PDL, vars huvudsakliga syfte är att utveckla och säkra vårdens kvalitet. Personuppgifter får även användas för bland annat uppföljning av verksamheten (se 4 kap. 2 § första stycket 5 PDL). Inom en vårdgivare får den som arbetar med utveckling och uppföljning ta del av dokumenterade personuppgifter inom ramen för den inre sekretessen (se 4 kap. 1 § andra ledet PDL) om den behöver det för sina arbetsuppgifter (se 4 kap. 2 § PDL).
Med verksamheten i ovannämnda bestämmelser i PDL avses vårdgivarens egen verksamhet (se prop. 2007/08:126 s. 174 f). Det innebär att det är tillåtet mellan exempelvis två olika sjukhus inom samma region att samarbeta och dela hälsodata för ändamålen utveckling och uppföljning, eftersom en region anses utgöra en verksamhet i lagens mening. Däremot omfattar inte ändamålet till exempel andra vårdgivares verksamhet. I ett tillsynsbeslut från Integritetsskyddsmyndigheten, tidigare Datainspektionen, fann myndigheten att det saknades rättslig grund för att dela personuppgifter mellan en region och en kommun i verksamhetsutvecklande syfte (se Datainspektionens beslut den 3 juli 2015, dnr 518–2015 respektive 643–2015).
Till detta kommer att mellan vårdgivare finns ingen sekretessbrytande regel enligt offentlighets- och sekretesslagen (2009:400), förkortad OSL, när det handlar om utveckling eller uppföljning av verksamheten. Vanligtvis anses det föreligga så kallat men enligt 25 kap. 1 § OSL om en vårdgivare avser att lämna ut identifierbara uppgifter till en annan vårdgivare för till exempel kvalitetsutveckling. För det fall det avser en privat vårdgivare hindrar tystnadspliktsregleringen i 6 kap. 12 § patientsäkerhetslagen (2010:659), förkortad PSL, att uppgifter delas för till exempel kvalitetsutveckling.
Det är alltså normalt sett inte tillåtet att för ändamålen utveckling eller uppföljning dela hälsodata som utgörs av personuppgifter mellan vårdgivare, till exempel mellan två regioner. Detsamma gäller utlämnande av personuppgifter till andra aktörer, såsom kommuner eller privata innovationsbolag. Frågor om behörighet och befogenhet att ta del av patientuppgifter i ett sådant projekt och beslutsordning i övrigt ska följa bestämmelserna i PDL, Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behand-
ling av personuppgifter i hälso- och sjukvården och i övrigt framgå av vårdgivarens interna riktlinjer och rutiner. De yttre sekretessgränserna som finns mellan vårdgivare innebär att i en region där vården drivs med regionen som en enda stor vårdgivare, kan tillgängliggörande av personuppgifter från vården för utvecklingsändamålet i stor utsträckning ske inom ramen för den inre sekretessen enligt 4 kap. PDL. I en region som överlåtit driften av vården på många olika privata vårdgivare uppkommer däremot fler yttre sekretessgränser, som begränsar möjligheterna till tillgängliggörande och användande av personuppgifter från de olika personuppgiftsansvariga vårdgivarna. Antalet vårdgivare påverkar alltså möjligheterna till utbyte av personuppgifter inom exempelvis en regions ansvarsområde.
1
23.2.3. Behov av personuppgifter från andra vårdgivare
Det är naturligt att ändamålsenlig utveckling för en vårdgivare sker genom att vårdgivaren utgår från uppgifter som samlats in i hälso- och sjukvården och som kan utgöras av personuppgifter som direkt eller indirekt kan härledas till enskilda patienter. Utgångspunkten vid utveckling av verksamheten är att uppgifter som kan härledas till en patient endast får användas om det verkligen behövs för att göra utvecklingen ändamålsenlig. Däremot är det inte tillräckligt att endast använda sig av aggregerade data för att kunna utveckla verksamheten så som hälso- och sjukvården har behov av. För att kunna bedriva god och säker vård är det en viktig del att kunna utveckla och förbättra vården. Att få ta del av personuppgifter från andra vårdgivare kan därför vara en viktig del för att kunna utveckla och förbättra vården. Att bedriva utveckling tillsammans över regiongränserna bidrar till gemensamma satsningar för en mer jämlik vård. Utveckling som kan dra fördelar av utökade möjligheter av datadelning kan handla om metoder som testas, behov som behöver ses över eller att olika tester görs för att se om digital information kan göras mer interaktiv. Behovskartläggning för effektivisering av olika slag kan också utgöra utveckling.
Ett exempel som utredningen fått till sig är framtagning av artificiell intelligens (AI), som på olika sätt kan bidra till förenklingar och förbättringar inom hälso- och sjukvården. För att lära upp en AI olika algoritmer behövs inte alltid personuppgifter, men många gånger ut-
1
För utförliga exempel kring detta, se SOU 2014:23, avsnitt 13.3.1.
gör uppgifter om patienter just det underlag som krävs för att få en väl fungerande AI inom hälso- och sjukvården. Vidare kan utveckling mellan regioner handla om att anpassa, testa och utvärdera olika digitala stöd som en del i en behandling.
Det finns även behov av beslutsstöd som kan tas fram med hjälp av utveckling. Relevant patientinformation kopplas då ihop med medicinsk kunskap och resultatet presenteras så att det blir enklare att fatta beslut för hälso- och sjukvårdspersonalen. För att ta fram algoritmer för ett beslutstöd behövs både patientuppgifter och rekommendationer eller riktlinjer och ju fler patientuppgifter som algoritmerna baseras på, desto säkrare och bättre utfall för beslutstödet. Därför kan framtagning och utveckling av beslutstöd över regiongränserna ge bättre precision. Behovsanalyser för att identifiera brister och styrkor i vården för vissa patientgrupper är också något som regioner uttryckt att de vill kunna utveckla tillsammans. Ett sådant förfarande skulle ge bättre underlag och spara på hälso- och sjukvårdens resurser eftersom analyserna skulle kunna göras samlat i stället för på flera olika håll. Det finns även exempel på patienter som flyttar mellan olika vårdgivare, då finns ett tydligt behov av att kunna följa upp dessa patienters vårdförlopp för att utveckla och eventuellt förbättra processen för kommande vårdförlopp. Ett annat exempel är behov av att få samköra och analysera data för att kunna förutse vårdbehov. Det finns tekniska möjligheter som i dag inte kan användas på ett heltäckande eller ändamålsenligt sätt för att se över vårdbehov och processer inom vården eftersom tillgången till personuppgifterna som behövs för dessa analyser är begränsad då regioner inte kan samköra personuppgifter över vårdgivargränserna.
Inom vissa områden samarbetar redan olika regioner i stor utsträckning och det finns ett behov av att kunna bedriva utveckling tillsammans, mellan regioner. Att kunna bedriva utveckling mellan olika regioner bidrar till att göra vården mer jämlik över landet. Utvecklingsprojekt kan även innebära att alla inte måste göra allt, utan vissa delar av utvecklingsprojektet skulle kunna åläggas en region och andra åt en annan region. På så sätt kan gemensam utveckling leda till effektiviseringar och samordningsvinster för regionerna.
Eftersom utredningen lämnar författningsförslag som innebär att regionala myndigheter inom hälso- och sjukvården får behandla personuppgifter för vård av annan patient än den personuppgifterna avser, över vårdgivargränser, skapas ett naturligt behov av att utveckla dessa
möjligheter och sådana precisionsmedicinska databaser som utredningen skriver om i kapitel 13 och 14. Det är en brist att ge utökade möjligheter som sedan inte har rättsligt stöd att utvecklas för att kunna förbättras. Just dessa behov är därför enligt utredningens bedömning de mest prioriterade av olika typer av utveckling som behöver ses över.
23.2.4. Begreppet utveckling
Kvaliteten i hälso- och sjukvårdsverksamhet ska systematiskt och fortlöpande utvecklas och säkras (5 kap. 4 § HSL). Enligt förarbetena till HSL framgår att vårdgivaren inom hälso- och sjukvården ska utveckla metoder för att noga följa och analysera utvecklingen vad gäller kvalitet och säkerhet. Olika exempel som tas upp är system som synliggör förekomsten av risktillbud eller avvikande händelser såsom onormala vårdtider, infektioner, komplikationer, reoperationer eller återintagningar. Det kan även handla om att kunna mäta servicegrad och patienttillfredsställelse (prop. 1995/96:176 s. 53). Det är alltså lagstadgat att utveckling inom vården ska ske och utveckling är följaktligen ett av ändamålen enligt 2 kap. 4 § PDL. Eftersom dagens utmaningar är ännu mer komplexa och snabbföränderliga, än när HSL och PDL eller deras förarbeten skrevs, ställs kraven nu ännu högre på dagens vårdgivare att utvecklas och kunna anpassa sig till nya förutsättningar. Hälso- och sjukvården behöver förhålla sig till bland annat snabb medicinsk utveckling och digitalisering som medför nya utmaningar. En vård som inte förnyas eller utvecklas i takt med övriga samhället innebär risker för både vårdgivare och patienter.
23.2.5. Oklarheter kring vad utvecklingsbegreppet omfattar
Utredningen konstaterar att det i samband med utveckling av hälso- och sjukvård förekommer många begrepp. Exempel på begrepp som förekommer är kvalitetsutveckling, verksamhetsutveckling och verksamhetsuppföljning. En vanligt förekommande term i praktiken är förbättringsarbete, vilket dock inte finns som uttryck i lagstiftningen. Aktörer har lyft till utredningen att de upplever osäkerhet kring vad utvecklingsbegreppet i PDL omfattar. Utredningen gör samma bedömning som Utredningen om sammanhållen information i vård och omsorg, SOU 2021:4, att det inte är avgörande vilket begrepp som används
utan det väsentliga är att syftet med åtgärderna är att på olika sätt förbättra eller förändra vården (se SOU 2021:4 s. 296).
Även om utveckling och uppföljning är olika begrepp i olika punkter i ändamålsbestämmelsen i PDL är det i praktiken inte alltid så enkelt att skilja dessa åt.
Inom hälso- och sjukvården har det dessutom blivit vanligare att bedriva projekt som går under benämningen innovation. Det finns också organisatoriska verksamheter och enheter inom vårdgivare med uppdrag att främja innovation. I relation till detta uppstår osäkerhet kring om det som i praktiken betecknas som innovation kan omfattas av ändamålet utveckling eller ändamålet uppföljning enligt PDL.
Utredningen delar bedömningen att vad som omfattas av utvecklingsbegreppet är oklart. Förarbetena som finns, som förklarar vad som avses med utveckling, är gamla och anpassade efter den tidens samhälle och kan inte alltid enkelt översättas med vad som kan anses utgöra utveckling hos en vårdgivare i dag. Sammantaget konstaterar utredningen att den rättsliga vägledning som finns kring vad utveckling konkret omfattar får betraktas som knapphändig. Samtidigt förekommer i praktiken omfattande arbete med att utveckla och förbättra vården.
23.2.6. Begreppet innovation
Olika aktörer har lyft till utredningen att det finns en osäkerhet kring de juridiska förutsättningarna för användande av personuppgifter inom ramen för innovationsprojekt.
Såvitt utredningen kan förstå, är innovation som begrepp inte definierat i svensk lagstiftning i dag. Begreppet finns inte heller som ett uttryckligt ändamål i PDL. Till skillnad mot vetenskaplig forskning, som enligt EU:s dataskyddsförordning alltid är ett ändamål som är förenligt med finalitetsprincipen (jämför art. 5.1 b EU:s dataskyddsförordning), är innovation inte heller uttryckligen angivet i dataskyddsförordningen som ett ändamål som är förenligt med det ursprungliga insamlingsändamålet.
Begreppet innovation används däremot flitigt av många aktörer inom hälsodataområdet i dag. Innovation är ett brett begrepp som kan ha olika innebörd. En beskrivning av innebörden återfinns i regeringens proposition Forskning, frihet, framtid – kunskap och innovation för Sverige:
Med innovation avser regeringen de betydelsefulla förändringar som transformerar samhället och samhällsekonomin. Innovation ändrar, effektiviserar och påverkar befintliga ekonomiska, miljömässiga och sociala villkor och driver på strukturomvandling och samhällsutveckling. Med begreppet innovationssystem avser regeringen de kombinationer av aktörer och funktioner i samhället som skapar förutsättningar för att nya lösningar implementeras. (prop. 2020/21:60, s. 162)
Innovation skulle därmed, enligt utredningens bedömning, kunna omfatta både sådant som sedan länge gått under benämningen utveckling inom hälso- och sjukvården, och samtidigt avse aktiviteter som är något utöver traditionell utveckling. Vad som däremot kan konstateras är att det är olyckligt att ett projekt som definieras med etiketten utveckling har ett tydligt stöd i PDL, medan ett annat som definieras som innovation till synes inte har något uttryckligt stöd i lag. Samtidigt kan projekten ha samma målsättning och samma tänkta tillvägagångssätt för att uppnå förbättring av vården.
Utredningen har fått till sig argument både för- och emot att begreppet innovation skulle föras in som ett eget ändamål.
Ett exempel som talar emot att innovation ska bli ett eget ändamål är att det införts som ett eget ändamål i Finland, men att det enligt Findata är ett ändamål som sällan används eftersom det svårt att skilja innovation från forskning och utveckling.
2
Sammanfattningsvis anser
utredningen att olika former av insatser eller projekt som har för avsikt att förbättra hälso- och sjukvården behöver utredas vidare. Vid en sådan översyn behöver de olika begreppen ses över för att konstatera om och när det kan behövs olika benämningar.
23.2.7. Utveckling och innovation i kommunal verksamhet
Bedömning: Det behöver tas ett helhetsgrepp gällande utvecklings-
ändamålet för kommunal verksamhet som omfattar både hälso- och sjukvård och socialtjänst.
I det svenska sjukvårdssystemet är ansvaret för hälso- och sjukvården delat mellan region och kommun. HSL föreskriver vad som är regionernas respektive kommunernas ansvar inom hälso- och sjukvården. Enligt HSL ska regionerna ha ansvaret för den grundläggande hälso-
2
Möte med THL 21 oktober 2023.
och sjukvården och kommunen erbjuda god hälso- och sjukvård för personer som bor i vård- och omsorgsboende eller vistas på korttidsplats, bor i bostad med särskild service enligt lagen (1993:387) om stöd och service till vissa funktionshindrade eller vistas i dagverksamhet. Att dessa verksamheter emellanåt går in i varandra är därför naturligt.
Kommunal hälso- och sjukvårdsverksamhet ska liksom regional bedrivas så att den uppfyller kraven på en god vård. Det innebär bland annat att den ska vara av god kvalitet samt tillgodose patientens behov av trygghet, kontinuitet och säkerhet. Kvaliteten i verksamheten ska systematiskt och fortlöpande utvecklas och säkras (5 kap 4 § HSL).
Utredningen har fått till sig att det finns ett behov även för kommunal hälso- och sjukvård av utökade möjligheter till sekundäranvändning av hälsodata för ändamålet utveckling och innovation. Framför allt har det konstaterats att möjlighet till utvecklingsarbete mellan regional hälso- och sjukvårdsverksamhet och kommunal hälso- och sjukvårdsverksamhet hade varit önskvärt. Däremot finns ett uttalat behov av att inte begränsa möjligheterna till att gälla enbart kommunal hälso- och sjukvård utan även omfatta kommunal socialtjänst. Ett exempel som utredningen fått till sig är utveckling av så kallade mobila team
3
som avser underlätta den nära vården och se till att patienter får rätt vård på rätt vårdnivå redan från första vårdkontakten. Eftersom det här kan gälla patienter som bor på kommunala boenden behöver alla verksamheter som är involverade i situationen kunna samarbeta.
Genom den så kallade ädelreformen från 1992 (prop. 1990/91:14) fick kommunen ansvar för viss hälso- och sjukvård. Utgångspunkten för reformen var bland annat att den tidigare uppgiftsfördelningen mellan sociala och medicinska insatser inte längre bedömdes ändamålsenlig. I stället ansågs det att social och medicinsk kompetens borde integreras genom att yrkesroller och arbetsorganisation inom socialtjänsten och delar av hälso- och sjukvården samordnades. Att behov därför finns för att samordna även utvecklingen av sådana verksamheter är därför naturligt.
3
Med mobila team avses ett team av exempelvis läkare och sjuksköterskor som åker hem till
patienter i stället för att patienterna ska ta sig till ett sjukhus.
23.2.8. Privata vårdgivare
Bedömning: Privata vårdgivares behov av delning av hälsodata
för ändamålet utveckling behöver ses över i en utredning som tar höjd för den juridiska komplexiteten det innebär med olika juridiska förutsättningar.
Sedan 1 januari 2010 har regionerna i Sverige egna valfrihetssystem i primärvården, så kallat vårdval. Vårdvalet ger dels medborgarna rätt att välja mellan olika vårdgivare i primärvården, dels vårdgivare rätt att etablera sig i primärvården med offentlig ersättning om förutsatt att de krav respektive region ställer uppfylls. En del regioner har även infört sådana vårdval i andra delar av sjukvården, som för psykoterapi, gynekologi, fysioterapi eller vissa operationer. Region Stockholm har vårdval på flest områden inom specialistsjukvården.
4
Större delen av hälso- och sjukvården i Sverige är finansierad med offentliga medel och bedrivs under regionens ansvar medan en mindre andel är helt privat finansierad. Samtidigt finns det en betydande andel privata vårdgivare som bedriver vård genom avtal med regionerna och vars verksamhet därmed baseras på finansiering med offentliga medel. Denna andel varierar över landet men är till övervägande del öppenvård (prop. 2021/22:260, s. 9).
Även vård som erbjuds genom sjukvårdsförsäkring utförs av privata vårdgivare i planerad specialistvård. En privat sjukvårdsförsäkring är en försäkring som den enskilde eller dennes arbetsgivare tecknar hos ett försäkringsbolag och som täcker kostnaden för olika vårdinsatser. En sjukvårdsförsäkring ger tillgång till privat sjukvård vid sidan av den offentligt finansierade sjukvården. Den vård som ges inom ramen för sjukvårdsförsäkringarna utförs, som utredningen förstått det, av privata vårdgivare. Flera av dessa privata vårdgivare utför även offentligt finansierad hälso- och sjukvård, vilket sker genom avtal med regionen som huvudman för vården.
Enligt SKR:s statistik sker 39 procent av alla patientbesök hos privata vårdgivare.
5
Eftersom utvecklingen i Sverige resulterar i allt fler
vårdbesök hos privata vårdgivare finns ett behov av utveckling mellan de olika aktörerna som tillhandahåller hälso- och sjukvård. Till skillnad från personal i offentligt bedriven hälso- och sjukvård omfattas inte
4
https://www.vardforetagarna.se/vardfakta/sjukvard/ (Hämtat 2023-06-26).
5
Sveriges Kommuner och Regioner, 2022. Verksamhetsstatistik 2011–2021.
personal i enskild bedriven hälso- och sjukvård av OSL:s bestämmelser. För personal verksamma hos privata vårdgivare gäller i stället bestämmelser om tystnadsplikt i PSL. Förhållandet med olika reglering av sekretess respektive tystnadsplikt innebär även att dataskyddsaspekter behöver beaktas för det faktum att det rör sig om olika personuppgiftsansvariga med olika juridiska regelverk att förhålla sig till, men som båda kan vara en del av en patients vård och behandling. Det här innebär helt andra juridiska utmaningar och utredning krävs för att se över de juridiska förutsättningarna för utveckling och innovation i ett bredare perspektiv som omfattar även privata vårdgivare.
23.2.9. Vård, klinisk forskning och utveckling inom hälso- och sjukvården sker samtidigt
Ett återkommande problem som lyfts till utredningen är hantering av hälsodata när vård, klinisk forskning och utveckling sker samtidigt inom hälso- och sjukvården. En typsituation är att det i en vårdgivares verksamhet erbjuds vård till en viss patientgrupp och att de aktuella patienterna också är forskningspersoner i pågående klinisk forskning kopplad till patientgruppen. Samtidigt vill vårdgivaren utveckla den vård som ges. I stor utsträckning är det ofta även samma personal hos vårdgivaren som är inblandad i vården, forskningen och utvecklingen. Data kan i vissa fall samlas in med hjälp av sensorer, analys av labbdata med mera. I praktiken kan data för de olika ändamålen användas parallellt och det upplevs som svårt att hålla isär ändamålen. För hälso- och sjukvårdspersonal och forskare kan regelverket därför upplevas svårnavigerat.
Centralt från juridiskt perspektiv är att hälsodata i form av personuppgifter endast får samlas in för ett specifikt berättigat ändamål, och inte sedan användas för ett ändamål som är oförenligt med insamlingsändamålet, se vidare avsnitt 7.2. För hälso- och sjukvårdsverksamhet finns ett antal ändamål angivna i lagstiftningen (se 2 kap. 4 § PDL), för vilka vårdgivare får samla in och behandla personuppgifter. Mellan varje vårdgivare finns vidare en yttre sekretessgräns, se avsnitt 8.3.3. För offentliga vårdgivare, är det också av grundläggande betydelse att identifiera inom vilken myndighet eller självständig verksamhetsgren inom en myndighet som sekretessreglerad hälsodata finns, eftersom det också har betydelse för vilka regler som är tillämpliga samt om och hur hälsodata som utgörs av personuppgifter i så fall får delas.
23.2.10. Gränserna mellan klinisk forskning, utveckling och innovation
Utredningen konstaterar att behandling av personuppgifter för utveckling inom en vårdgivare kan ske enligt nuvarande regelverk. Om ett projekt är tänkt att omfatta datadelning som består av personuppgifter mellan olika vårdgivare och andra aktörer, ger nuvarande regelverk för ändamålet utveckling däremot inte utrymme för det, se avsnitt 23.2.2. Utredningen konstaterar att det i denna situation kan finnas ett incitament hos aktörerna att i stället vilja betrakta projektet som ett forskningsprojekt, eftersom utrymmet för att dela hälsodata som består av personuppgifter då kan vara större. Ett ytterligare exempel med koppling till gränserna mellan olika ändamål är medicintekniska produkter, som ofta hamnar mellan vad som är forskning, innovation och utveckling. För medicinteknik som är CE-märkta och faller in som exempelvis klass III, som bedöms ha hög riskpotential så är det rimligt att data samlas in inom ramen för forskningsändamålet. För produkter som faller in under klass I, den lägsta riskklassen, så är det många gånger inte rimligt att samla in data inom ramen för forskningsändamålet. Klass I kan exempelvis vara kryckor, glasögon med mera. Dessa produkter utgör den största gruppen av medicintekniska produkter.
6
Nya
regelverk avseende medicintekniska produkter ställer skärpta krav på tillverkares kvalitetssystem och riskhanteringsprocess och dessutom införs krav på uppföljning. Dessa krav förutsätter tydligt informationsutbyte mellan sjukvård, användare och tillverkare. Att ändamålen flyter samman är problematiskt ur flera aspekter. Rent juridiskt handlar det om det ena eller andra ändamålet. Verksamheter som ska bedriva utveckling eller klinisk forskning kan däremot ha svårt att avgöra vilket ändamål ett projekt faktiskt rör sig om och upplever en stor gråzon. Ett annat problem är att ett projekt kan, beroende på hur det vinklas, kunna utgöra såväl utveckling, innovation som forskning. I vissa situationer skulle projektet kunna klassas som samtliga ändamål, vilket gör det hela ännu mer komplicerat ur ett juridiskt perspektiv. Att ett projekt som egentligen handlar om utveckling formas för att kunna utgöra forskning, så rättsliga förutsättningar ska finnas för att dela personuppgifter över till exempel vårdgivargränser är ett exempel på kreativa lösningar för att komma runt lagstiftning
6
https://www.vardhandboken.se/arbetssatt-och-ansvar/medicintekniska-produkter/markning/
(Hämtat 2023-03-01).
som inte är anpassad efter verkligheten. Utredningen ser behov av att se över flera dimensioner av juridiska regelverk när det gäller ändamålet utveckling.
23.2.11. Skillnaden mellan utveckling och uppföljning
Bedömning: Utredningen bedömer att det bör utredas om lag-
stiftningen bör ändras så att tillgången till personuppgifter är densamma för ändamålen utveckling, innovation och uppföljning, eftersom dessa ändamål ofta flyter ihop i praktiken.
Utredningen gör bedömningen att det kan vara svårt att hålla isär utveckling och uppföljning i praktiken, sett till vilken personuppgiftbehandling som faktiskt görs. Exempelvis kan samma verksamhet inom en region arbeta med såväl utveckling som uppföljning och själva analysen som görs kan vara den samma. Ett sådant exempel är att följa upp ett patientflöde, vilket både kan vara uppföljning för att se om en förändring gav önskad effekt, men skulle också kunna ses som en del av verksamhetsutvecklingen.
Utredningen bedömer att lagstiftningen är svårnavigerad och att det kan finnas anledning att se över vilket integritetsskydd det är lagstiftaren vill uppnå, då det i dag många gånger verkar ge utrymme för valfrihet vilket ändamål det är som används. Utredningen bedömer därför att det bör utredas om lagstiftningen bör ändras så att tillgången till personuppgifter är densamma för ändamålen utveckling, innovation och uppföljning eftersom de många gånger i praktiken är samma personuppgiftsbehandling som görs.
23.2.12. Beslutsstöd
Bedömning: Det bör utredas vilka tekniska och juridiska hinder
som finns för att hälso- och sjukvården ska kunna använda beslutsstöd i större utsträckning, såväl i patientmötet som på verksamhetsnivå.
Allt fler aktörer i samhället använder sig av beslutsstöd som drivs av data. Med beslutsstöd avser utredningen exempelvis visualisering av data som läkare kan använda vid behandling av en enskild patient. Ett vanligt sådant exempel är vikt- och längkurvorna som bland annat används inom barnhälsovården.
Det finns även andra typer av beslutsstöd, så som varningar som är inbyggda i journalsystemen. Ett sådant exempel kan vara att ett system larmar om att en viss person är allergisk mot ett läkemedel och att ett annat läkemedel behöver användas i stället.
Detta avsnitt handlar om de första av dessa två typer av beslutsstöd, eftersom den typen av beslutsstöd generellt har ett större behov av personuppgifter för att kunna tas fram och ibland också användas.
Oftast används beslutsstöd för vård, utveckling och uppföljning utan att det alltid är uppenbart vilket ändamål det används för och oftast spelar det ingen större roll eftersom beslutsstöden kan ha många olika funktioner. Ett sådant exempel är det nationella diabetesregistret (NDR), där finns data över bland annat individernas HbA1c, vilket också brukar kallas långtidssocker.
7
En sammanställning av alla indi-
vider i registret och deras HbA1c kan vara relevant i det enskilda patientmötet för att patienten ska förstå hur hen ligger till i förhållande till andra. Det kan användas på verksamhetsnivå för att förstå hur den egna verksamheten ligger till i förhållande till andra eller för att utveckla den egna verksamheten.
Flera aktörer har påpekat att de i vissa fall krävs en kreativ tolkning av befintlig rätt för att de ska kunna använda dessa beslutsstöd.
Utredningen har identifierat två övergripande frågor som kopplar till beslutsstöd som bör ses över. Det första är att kvalitetsregister i dag och historiskt använts som eller för att skapa beslutsstöd.
8,9
Detta trots
att detta inte är ett tillåtet ändamål. För att en behandling av personuppgifter i ett nationellt kvalitetsregister ska vara förenlig med PDL krävs att behandlingen sker för något av de i 7 kap. 4 och 5 §§ angivna ändamålen, det vill säga kvalitetssäkring, statistikframställning eller forskning. Enligt 7 kap. 6 § får personuppgifterna inte behandlas för något annat ändamål.
7
https://www.1177.se/Stockholm/behandling--hjalpmedel/undersokningar-och-provtagning/
provtagning-och-matningar/blodprov/blodprov-hba1c/ (Hämtat 2023-08-18).
8
Riksrevisionen, 2020, Äldresatsningen – effektiviteten i statens satsning på kvalitetsregister
i äldreomsorgen (s.50).
9
Datainspektionen (numera Integritetsskyddsmyndigheten), 2010, dnr 1605-2009.
Utredningen konstaterar att det ter sig något ologiskt ur ett integritetsperspektiv att data slussas runt och hanteras av flera personer om syftet är att det ska användas som beslutsstöd.
Sammanfattningsvis ser utredningen stora behov av att utveckling och innovation ses över och behöver utredas av flera olika anledningar.
24. Författningskommentar
24.1. Förslaget till lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning
1 kap. Inledande bestämmelser
Uttryck i lagen
1 § I denna lag används följande uttryck med nedan angiven betydelse.
Uttryck
Betydelse
EU:s dataskyddsförordning Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Förordning (EU) nr 536/2014 Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG. Förordning (EU) 2017/745 Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direk-
tiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/ EEG och 93/42/EEG.
Förordning (EU) 2017/746 Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitrodiagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU. Hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering. Lärosäte Ett statligt universitet eller en statlig högskola som har rätt att utfärda examen på forskarnivå, eller en enskild utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400) är ett organ som jämställs med myndighet i sin forskningsverksamhet.
Regional myndighet Myndighet i en region. Aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där en region utövar ett rättsligt bestämmande inflytande enligt 2 kap. 3 § offentlighets- och sekretesslagen (2009:400) ska vid tillämpningen av denna lag jämställas med en myndighet.
Övervägandena finns i avsnitt 16.3. I paragrafen definieras ett antal uttryck.
Genom uttrycken EU:s dataskyddsförordning, Förordning (EU)
nr 536/2014, Förordning (EU) 2017/745 och Förordning (EU) 2017/746 anges vilka förordningar som avses i lagen. Hänvisningen
till EU-förordningarna är dynamiska, det vill säga hänvisningen avser den vid varje tidpunkt gällande lydelsen.
Med uttrycket hälso- och sjukvård avses verksamhet enligt hälso- och sjukvårdslagen (2017:30), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering. I förhållande till patientdatalagen (2008:355), förkortad PDL, skiljer sig definitionen åt på så sätt att tandvårdslagen och lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar, inte omfattas. I förhållande till lag (2022:913) om sammanhållen vård- och omsorgsdokumentation, förkortad SVOD, skiljer sig definitionen åt på så sätt att tandvårdslagen inte omfattas, medan lagen (2018:744) om försäkringsmedicinska utredningar omfattas.
Uttrycket hälso- och sjukvård har betydelse för lagens tillämpningsområde, se kommentar till 2 §. Uttrycket används i lagen tillsammans med uttrycket regional myndighet och avser då de myndigheter som tillgängliggör personuppgifter enligt lagen.
Med uttrycket lärosäte avses ett statligt universitet eller en statlig högskola som har rätt att utfärda examen på forskarnivå, eller en enskild utbildningsanordnare som har tillstånd att utfärda examen på
forskarnivå enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, är ett organ som jämställs med myndighet i sin forskningsverksamhet. Det är endast aktörer som omfattas av sekretess enligt OSL som omfattas av uttrycket lärosäte.
Det är statliga universitet och statliga högskolor som har forskningsverksamhet som avses. Enskilda utbildningsanordnare omfattas endast i den utsträckning de har tillstånd att utfärda examina på forskarnivå enligt lagen (1993:792) om tillstånd att utfärda vissa examina och enligt 2 kap. 4 § OSL är ett organ som jämställs med myndighet i sin forskningsverksamhet. I 2 kap. 4 § OSL anges att vad som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter ska i tillämpliga delar gälla också handlingar hos de organ som anges i bilagan till denna lag, om handlingarna hör till den verksamhet som nämns där. Dessa organ ska vid tillämpningen av denna lag jämställas med myndigheter. Exempel på organ i bilagan är Stiftelsen Chalmers tekniska högskola och Högskolan i Jönköping AB, vilka också har examensrätt på forskarnivå.
Med regional myndighet avses myndighet i en region. Det kan vara en myndighet som utgörs av en region, en nämnd eller styrelse i en region. En verksamhetsgren inom en nämnd eller styrelse är en del av en myndighet. Med regional myndighet jämställs enligt lagen aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där en region utövar ett rättsligt bestämmande inflytande enligt 2 kap. 3 § OSL, så kallade kommunala företag. Av 2 kap. 3 § OSL följer att det som föreskrivs i tryckfrihetsförordningen om rätt att ta del av allmänna handlingar hos myndigheter ska i tillämpliga delar gälla också handlingar hos aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller regioner utövar ett rättsligt bestämmande inflytande. Sådana bolag, föreningar och stiftelser ska vid tillämpningen av denna lag jämställas med myndigheter. Vad som är ett rättsligt bestämmande inflytande följer av 2 kap. 3 § andra stycket OSL. Kommunala företag som bedriver hälso- och sjukvård omfattas alltså av möjligheterna att tillgängliggöra personuppgifter enligt lagen, se vidare kommentaren till 2 kap. 1 §.
En regional myndighet som bedriver hälso- och sjukvård är vårdgivare enligt 1 kap. 3 § PDL. Begreppet vårdgivare i PDL är dock bredare och omfattar även statliga och kommunala myndigheter och privata vårdgivare. I förhållande till PDL utgör kommunala företag
som avses i 2 kap. 3 § OSL självständiga vårdgivare (prop. 2007/08:126, s. 224).
Tillämpningsområde
2 § Bestämmelserna i denna lag får tillämpas när personuppgifter som behandlas enligt 2 kap. 4 § första stycket 1–6 patientdatalagen (2008:355) av en regional myndighet som bedriver hälso- och sjukvård vidareanvänds av en regional myndighet eller ett lärosäte som bedriver klinisk forskning.
Övervägandena finns i avsnitt 16.4. Paragrafen anger lagens tillämpningsområde.
Begreppet vidareanvändning avser principiellt sett både tillgängliggörande av personuppgifter och behandling av tillgängliggjorda personuppgifter som sker på dataanvändarsidan, det vill säga av regionala myndigheter och lärosäten som bedriver klinisk forskning. I begreppet ligger även att det är fråga om en ytterligare behandling av uppgifter som redan har samlats in av en personuppgiftsansvarig. Vidareanvändning av personuppgifter enligt lagen kan ses som ett slags ”återanvändning” av personuppgifter (jfr prop. 2007/08:126, s. 57). Den ytterligare användningen kan ske av samma personuppgiftsansvarig eller en annan personuppgiftsansvarig. Begreppet vidareanvändning behöver inte betyda att användningen på dataanvändarsidan sker för ett annat ändamål än det som uppgifterna behandlas för hos datahållaren. I utredningens förslag är det emellertid fallet, eftersom klinisk forskning inte är ett ändamål för behandling av personuppgifter enligt PDL.
Begreppet vidareanvändning av uppgifter är inte kopplat till vilken som var den ”ursprungliga” behandlingen hos den personuppgiftsansvarige som tillgängliggör uppgifterna. Det avgörande för tillämpningen av lagen är i stället att personuppgifterna, vid tidpunkten för den vidareanvändningen, behandlas enligt 2 kap. 4 § första stycket 1–6 PDL.
Utgångspunkten för vidareanvändningen är personuppgifter som behandlas enligt 2 kap. 4 § första stycket 1–6 PDL. Utanför lagens tilllämpningsområde faller personuppgifter som behandlas enligt 2 kap. 4 § första stycket 7, 2 kap. 5 § och 7 kap. PDL.
Det är personuppgifter som regionala myndigheter som bedriver hälso- och sjukvård behandlar enligt 2 kap. 4 § första stycket 1–6 PDL som kan bli föremål för vidareanvändning enligt lagen. För innebörden av regional myndighet, se kommentaren till 1 kap. 1 §.
Att bedriva hälso- och sjukvård omfattar att erbjuda hälso- och sjukvård, men kan även vara att fullgöra andra uppdrag kopplat till regionens ansvar för hälso- och sjukvård, såsom IT-infrastruktur.
En regional myndighet som bedriver hälso- och sjukvård är vårdgivare enligt 1 kap. 3 § PDL. Begreppet vårdgivare i PDL är dock bredare och omfattar även statliga och kommunala myndigheter och privata vårdgivare. Utredningens förslag omfattar inte vidareanvändning av personuppgifter som finns inom kommunal eller statlig hälso- och sjukvård. Utredningens förslag omfattar inte heller vidareanvändning av personuppgifter som finns hos privata vårdgivare som inte är kommunala företag enligt 2 kap. 3 § OSL. Hälso- och sjukvård i regional regi bedrivs typiskt sett i förvaltningsform. I syfte att ta höjd för regionernas frihet vad avser organisationsformer bör även aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där regioner utövar ett rättsligt bestämmande inflytande över omfattas (jämför 2 kap. 3 OSL). Syftet med detta är att skapa neutralitet i förhållande hur regionen bedriver hälso- och sjukvård i egen regi.
Hälso- och sjukvård definieras i 1 kap. 1 §. Hälso- och sjukvård enligt
lagen omfattar verksamhet enligt hälso- och sjukvårdslagen (2017:30), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering. Lagen omfattar inte verksamhet enligt tandvårdslagen (1985:125) eller lagen (2022:913) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar.
Hälso- och sjukvård enligt PDL omfattar, utöver verksamhet enligt ovan nämnda lagar, också verksamhet enligt tandvårdslagen (1985:125) och lagen om (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar.
Dt aktörer som behandlar tillgängliggjorda personuppgifter är avgränsade till regionala myndigheter och lärosäten som bedriver klinisk forskning. Det är i dessa aktörers verksamhet inom klinisk forskning som vidareanvändning enligt lagen kan ske.
Ändamål
3 § Personuppgifter som anges i 2 § får, under de förutsättningar som anges i denna lag, vidareanvändas om det behövs för ändamålet klinisk forskning.
Övervägandena finns i avsnitt 16.4 och 16.4.6. Paragrafen innehåller en bestämmelse om vilket ändamål personuppgifter får vidareanvändas för enligt lagen.
Personuppgifter får vidareanvändas om det behövs för ändamålet klinisk forskning. Ändamålet för vidareanvändningen är centralt och anges i en särskild bestämmelse. Att ändamålet anges till klinisk forskning innebär att vidareanvändning enligt lagen inte får ske för andra ändamål. Kravet på att uppgifterna ska användas i forskning som är godkänd enligt vad som följer av 2 kap. 4 § innebär att vidareanvändning i ett enskilt fall sker i ett avgränsat forskningsprojekt. Ändamålet klinisk forskning preciseras därmed i varje enskilt fall av vidareanvändning.
Det är när personuppgifter som behandlas enligt 2 kap. 4 § första stycket 1–6 PDL behövs för ändamålet klinisk forskning som lagen kan tillämpas. En begränsning av vidareanvändningen för ändamålet klinisk forskning görs i lagen genom att tillåten vidareanvändning endast får ske från regionala myndigheter som bedriver hälso- och sjukvård till regionala myndigheter eller lärosäten som bedriver klinisk forskning.
Med klinisk forskning avses forskning som förutsätter vårdens strukturer och resurser. Den kliniska forskningen utgår från de behov som finns i hälso- och sjukvården och förväntas leda till patient- och samhällsnytta. Inom klinisk forskning studeras bland annat vilka besvär som människor med en viss sjukdom har, hur träffsäkert ett diagnostiskt test är och vilken behandling som är mest effektiv. Den kliniska forskningen har som mål att lösa ett ohälsoproblem eller att identifiera faktorer som leder till ökad hälsa. Begreppet klinisk forskning är inte definierat i lagen.
Klinisk forskning kan bedrivas enligt olika regelverk. Klinisk forskning kan bedrivas enligt lag (2003:460) om etikprövning av forskning som avser människor, förkortad EPL, Förordning (EU) nr 536/2014, Förordning (EU) nr 536/2014 och Förordning (EU) 2017/746. I lagen finns villkor för tillgängliggörande som är kopplade till dessa regelverk, se 2 kap. 4 §. Utredningens förslag till villkor om samtycke till att delta i forskningen, se avsnitt 16.8.1, medför att det i praktiken
framför allt är interventionsstudier som reglerna blir tillämpliga på. Klinisk forskning är därför ett bredare begrepp än de forskningsprojekt som i praktiken kommer att omfattas av enklare tillgång till personuppgifter enligt författningsförslagen. Begreppet klinisk forskning används i lagen utifrån att det är ett vedertaget begrepp som redan förekommer i lagstiftning, se 2 kap. 4 § första stycket 7 PDL. Ett snävare begrepp skulle riskera att inte omfatta all den forskning som uppfyller villkoren i kapitel 2 i lagen.
Vidareanvändning enligt lagen är frivilligt. Det finns alltså ingen skyldighet för regionala myndigheter inom hälso- och sjukvården att tillgängliggöra personuppgifter enligt lagen. Detta uttrycks genom att personuppgifter ”får” vidareanvändas. Om vidareanvändning av personuppgifter sker enligt lagen, gäller dock de förutsättningar som anges i lagen.
Förhållandet till annan dataskyddsreglering
4 § Denna lag kompletterar EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag.
Övervägandena finns i avsnitt 16.5. I paragrafen anges lagens förhållande till annan dataskyddsreglering.
Första stycket upplyser om att lagen innehåller bestämmelser som
kompletterar EU:s dataskyddsförordning. Dataskyddsförordningen är direkt tillämplig, men förutsätter eller tillåter i vissa avseenden nationella bestämmelser som kompletterar den, i form av preciseringar eller undantag. Nationell reglering krävs bland annat vid behandling av känsliga personuppgifter som är nödvändig av hänsyn till ett viktigt allmänt intresse. Att lagen kompletterar dataskyddsförordningen innebär bland annat att det kan bli fråga om skadestånd enligt 7 kap. 1 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen, vid bristande följsamhet till bestämmelserna i lagen.
Av andra stycket framgår lagens relation till dataskyddslagen. Dataskyddslagen kompletterar dataskyddsförordningen på nationell generell nivå. Lag (0000:00) om vidareanvändning av personuppgifter för
klinisk forskning har företräde framför dataskyddslagen. Om inte annat följer av lagen gäller dock dataskyddslagen.
Personuppgiftsansvar
5 § En regional myndighet som bedriver hälso- och sjukvård och som tillgängliggör personuppgifter enligt denna lag är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.
Övervägandena finns i avsnitt 16.6 och 16.6.1. Paragrafen reglerar personuppgiftsansvar för den behandling av personuppgifter som utförs av en regional myndighet som bedriver hälso- och sjukvård vid tillgängliggörande av personuppgifter enligt lagen.
I regioner är en myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför (se 2 kap. 6 § PDL). När en regional myndighet som bedriver hälso- och sjukvård tillgängliggör uppgifter enligt lagen, faller denna behandling utanför PDL:s tillämpningsområde. Överväganden om detta finns i avsnitt 16.5.3. Lagen har i stället en egen regel om personuppgiftsansvar.
Regeln innebär att den regionala myndighet som tillgängliggör personuppgifter enligt lagen ska se till att samtliga skyldigheter enligt dataskyddsförordningen uppfylls avseende denna behandling.
Med personuppgiftsansvarig avses motsvarande definition som i artikel 4.7 i EU:s dataskyddsförordning.
Uttrycket regional myndighet definieras i 1 kap. 1 §.
6 § En regional myndighet eller ett lärosäte som bedriver klinisk forskning och som ges tillgång till personuppgifter enligt denna lag är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten eller lärosätet utför enligt denna lag.
Övervägandena finns i avsnitt 16.6 och 16.6.2. Paragrafen reglerar personuppgiftsansvar för den regionala myndighet eller lärosäte som bedriver klinisk forskning och som ges tillgång till personuppgifter enligt lagen.
Enligt paragrafen är en regional myndighet eller ett lärosäte som bedriver klinisk forskning och som ges tillgång till personuppgifter enligt lagen personuppgiftsansvarig för den behandling av personuppgifter som myndigheten eller lärosätet utför. Regeln innebär att
den regionala myndighet eller lärosäte som ges tillgång ska se till att samtliga skyldigheter enligt dataskyddsförordningen uppfylls avseende denna behandling. Den regionala myndigheten eller lärosätet är exempelvis ansvarig för forskningen endast tillförs de personuppgifter som behövs enligt bestämmelsen i 3 kap. 2 §.
Övrig personuppgiftsbehandling inom ett forskningsprojekt regleras inte av lagen. Där gäller dataskyddsförordningens allmänna regler om personuppgiftsansvar.
Med personuppgiftsansvarig avses motsvarande definition som i artikel 4.7 i EU:s dataskyddsförordning.
Uttrycken regional myndighet och lärosäte definieras i 1 kap. 1 §.
Behandling av känsliga personuppgifter
7 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 j i förordningen.
Övervägandena finns i avsnitt 16.1.4. Paragrafen reglerar att känsliga personuppgifter får behandlas med stöd av EU:s dataskyddsförordning.
I paragrafen finns hänvisning till artikel 9 i EU:s dataskyddsförordning, som definierar behandling av så kallade särskilda kategorier av personuppgifter (känsliga personuppgifter). Behandling av känsliga personuppgifter är som utgångspunkt förbjuden (artikel 9.1) om inte något undantag kan tillämpas (artikel 9.2). Paragrafen anger att så kallade känsliga personuppgifter får behandlas med stöd av artikel 9.2 j i EU:s dataskyddsförordning. Av artikeln följer bland annat att känsliga personuppgifter får behandlas om behandlingen är nödvändig för vetenskapliga eller historiska forskningsändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Paragrafens utformning liknar den som återfinns i vissa andra lagar, se exempelvis 2 kap. 7 a PDL och 9 a § apoteksdatalagen (2009:367).
2 kap. Tillgängliggörande av personuppgifter
Tillgång genom begränsad direktåtkomst eller annat elektroniskt utlämnande
1 § En regional myndighet eller ett lärosäte som bedriver klinisk forskning får, under de förutsättningar som anges i detta kapitel, ges tillgång, genom begränsad direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas av en regional myndighet som bedriver hälso- och sjukvård.
Övervägandena finns i avsnitt 16.7. Paragrafen reglerar tillgängliggörande av personuppgifter.
I paragrafen finns den grundläggande bestämmelsen om tillgängliggörande enligt lagen. Bestämmelsen innehåller dels formerna för tillgängliggörandet, det vill säga genom begränsad direktåtkomst eller annat elektroniskt utlämnande, dels vilka aktörer som tillgängliggörande omfattar.
För att beskriva det led i vilket personuppgifter görs tillgängliga över en yttre sekretessgräns används begreppet tillgängliggörande. Med ett tillgängliggörande avses när personuppgifter görs åtkomliga för en annan myndighet eller en annan självständig verksamhetsgren inom en myndighet. De begrepp som används i lagen för att uppgifter görs åtkomliga är tillgängliggörande och ges tillgång. Samma begrepp används i 2 kap. SVOD.
Tillgängliggörandet är en behandling av personuppgifter hos den myndighet inom en region som tillgängliggör uppgifterna. Ett tillgängliggörande enligt den föreslagna lagen kan även utgöra ett utlämnande enligt tryckfrihetsförordningen, förkortad TF eller ett uppgiftslämnande enligt 6 kap. 5 § OSL.
Personuppgifter som behandlas av en regional myndighet som bedriver hälso- och sjukvård avgränsas i lagens tillämpningsområde till uppgifter som behandlas enligt 2 kap. 4 § första stycket 1–6 PDL.
Bestämmelsen omfattar endast tillgängliggörande i elektronisk form. Tillgängliggörande får ske genom begränsad direktåtkomst eller annat elektroniskt utlämnande. Med begränsad direktåtkomst avses att de uppgifter som den regionala myndigheter eller lärosätet som bedriver den kliniska forskningen ges åtkomst till är begränsade till att endast innehålla personuppgifter om de registrerade som ingår i ett forskningsprojekt och som har samtyckt, dels till att delta forskningen, dels till att tillgång ges genom direktåtkomst, se vidare kom-
mentarerna till 2 kap. 4 § första stycket och 5 § första stycket. Det är alltså inte fråga om att stora informationsmängder i befintliga databaser ska finnas potentiellt tillgängliga för forskning. Begränsningen innebär en skillnad mot gängse praktisk innebörd av direktåtkomst inom exempelvis SVOD. Den begränsade direktåtkomsten innebär även att det ska vara möjligt att kopiera eller på annat sätt ladda ner de uppgifter som behövs för forskningen.
Åtkomsten ska även vara tidsbestämd, se kommentaren till 2 kap. 2 §, och endast avse de uppgiftsmängder som kan antas ha betydelse för forskningen, se kommentaren till 2 kap. 3 §.
Lagen reglerar inte hur tillgängliggörande rent tekniskt går till. En begränsad direktåtkomst kan dock i många fall tänkas ske genom att relevanta personuppgifter visas för den som tilldelats behörighet inom den regionala myndigheten eller det lärosäte som bedriver den kliniska forskningen. Uppgifterna som kommer att omfattas av tillgängliggörandet åtminstone vid det tillfälle den mottagande regionala myndigheten eller lärosätet ges tillgång till dessa genom exempelvis inloggningsuppgifter eller behörighet, ska anses förvarade enligt 2 kap. 6 § TF hos den regionala myndighet eller det lärosäte som tillgängliggörandet sker till. Den mottagande myndigheten eller lärosätet kommer inom ramen för sin behörighet kunna söka på relevant patient, samt plocka ut de personuppgifter som behövs för forskningen om denna.
Tillgängliggörande får även ske genom annat elektroniskt utlämnande. I anledning av den tekniska utvecklingen är skillnaden mellan direktåtkomst och annat elektroniskt utlämnande många gånger svår att göra. Syftet med formuleringen är att inte låsa in tillgängliggörandet enligt lagen till direktåtkomst om andra mer integritetsvänliga lösningar finns. Formuleringen används även i SVOD.
Det är endast regionala myndigheter inom hälso- och sjukvården som får tillgängliggöra personuppgifter. Vidare är det endast regionala myndigheter och lärosäten som bedriver forskning som får ges tillgång till personuppgifter. De aktörer som anges i bestämmelsen är samma aktörer som anges i tillämpningsområdet för lagen, se kommentaren till 2 §. Definitioner av aktörerna finns i 1 kap. 1 §.
Andra aktörer som bedriver klinisk forskning kan inte ges tillgång till personuppgifter enligt lagen. Dessa aktörer kan dock använda allmänna regler om utlämnande av allmänna handlingar eller uppgifter enligt tryckfrihetsförordningen eller, för det fall de utgör
myndigheter, av informationsskyldigheten enligt regleringen i 6 kap. 5 § OSL.
Tillgängliggörande kan ske till en regional myndighet eller ett lärosäte som bedriver forskning även i situationer där det finns andra aktörer inom det aktuella forskningsprojektet. Exempelvis kan samarbete ske mellan en regional myndighet och ett privat företag inom ramen för ett kliniskt forskningsprojekt. Tillgängliggörande kan då ske till den regionala myndigheter om förutsättningarna enligt lagen är uppfyllda.
2 § När personuppgifter görs tillgängliga genom begränsad direktåtkomst, ska åtkomsten vara tidsbestämd. När den bestämda tidsperioden har löpt ut, ska den begränsade direktåtkomsten upphöra.
Den regionala myndigheten inom hälso- och sjukvården som tillgängliggör personuppgifterna kan, efter begäran, förlänga den tidsperioden som har bestämts enligt första stycket.
Den totala tidsperioden som bestämts enligt första och andra styckena får inte överskrida sex månader.
Övervägandena finns i avsnitt 16.7 och 16.7.3. Paragrafen reglerar att tillgång genom begränsad direktåtkomst ska vara tidsbestämd.
I paragrafens första stycke anges att tillgängliggörande genom begränsad direktåtkomst ska vara tidsbestämd. Det är den regionala myndigheten inom hälso- och sjukvården som tillgängliggör uppgifterna som har att bestämma vilken tidsperiod som ska gälla. Tidsperioden ska bestämmas utifrån vad som behövs för det aktuella forskningsprojektet. Behovet kan variera med hänsyn till omfattningen beroende på antalet forskningspersoner, vilka uppgiftsmängder som har tillgängliggjorts och syftet med forskningen är. Bestämmandet av tidsperioden kan ske efter dialog med företrädare för forskningsprojektet.
När tidsperioden har löpt ut, ska den begränsade direktåtkomsten upphöra. Med upphörande avses att den regionala myndigheten eller lärosätet inte längre ska ha åtkomst till uppgifterna. Tidpunkten för upphörande vara bestämd i förväg.
I paragrafens andra stycke anges den regionala myndigheten som tillgängliggör personuppgifter, efter begäran, kan förlänga den tidsperiod som har bestämts enligt första stycket. Det är den regionala myndigheten eller lärosätet som ges tillgång till personuppgifter som kan framställa en sådan begäran. Inför att en förlängning medges, behöver hänsyn tas till den totala tidsperiod som anges i tredje stycket.
I paragrafens tredje stycke anges att den totala tidsperioden som bestäms för åtkomsten inte får överskrida sex månader. Utgångspunk-
ten är att en kortare tidsperiod ska bestämmas. Det är således endast i undantagsfall det kan anses finnas skäl med en tidsgräns som motsvaras av de maximala sex månader som fastställs i bestämmelsen. Om det sker en förlängning enligt andra stycket, ska samtliga tidsperioder räknas samman.
3 § Tillgång enligt 1 § får endast avse uppgiftsmängder som kan antas ha betydelse för forskningen.
Övervägandena finns i avsnitt 16.7.5. Paragrafen reglerar en begränsning av tillgången enligt 1 §.
Av bestämmelsen framgår att tillgång till personuppgifter endast får avse uppgiftsmängder som kan antas ha betydelse för forskningen. Bestämmelsen är en konkretisering av principen om uppgiftsminimering i artikel 5.1 c i dataskyddsförordningen. Med uppgiftsminimering avses att personuppgifterna som ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål som personuppgifterna behandlas för. Inför tillgängliggörande av personuppgifter ska den regionala myndigheten inom hälso- och sjulvården göra ett urval av de uppgiftsmängder som kan antas ha betydelse för forskningen. Den nya lagen syftar bland annat till att utlämnande av personuppgifter till klinisk forskning ska förenklas. Det ska därför inte krävas att urval sker på uppgiftsnivå.
Vad som avses med uppgiftsmängder som kan antas ha betydelse för
forskningen får tolkas utifrån vilka uppgiftsmängder som finns hos den
aktuella regionala myndigheten som bedriver hälso- och sjukvård och utifrån syftet med forskningen. Ett bedömningsutrymme avseende vilka uppgifter som kan antas ha betydelse ska finnas för den regionala myndighet som tillgängliggör uppgifter. Även praktiska faktorer såsom vad som med rimliga manuella eller tekniska åtgärder går att avskilja ska kunna beaktas.
Absolut sekretess gäller för överskottsinformation, se 24 kap. 7 b § OSL.
Villkor för tillgängliggörande
4 § Tillgängliggörande av personuppgifter enligt 1 § får endast ske om
1. uppgifterna ska användas i
a) forskning som har godkänts av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning enligt lagen (2003:460) om etikprövning av forskning som avser människor,
b) en klinisk läkemedelsprövning som har beviljats eller anses ha beviljats tillstånd i enlighet med förordning (EU) nr 536/2014,
c) en klinisk prövning som får påbörjas eller genomföras i enlighet med bestämmelser i förordning (EU) 2017/745 eller enligt lagen (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter eller föreskrifter meddelade i anslutning till den lagen, eller
d) en prestandastudie som får påbörjas eller genomföras i enlighet med bestämmelser i förordning (EU) 2017/746, och
2. den registrerade har samtyckt till att delta i forskningen. Villkoret enligt första stycket 2 om samtycke till att delta i forskningen är också uppfyllt om vårdnadshavare samtycker till forskning på barn enligt 18 § andra stycket lagen (2003:460) om etikprövning av forskning som avser människor. Detsamma gäller om lagligen utsedd ställföreträdare samtyckt till forskning på barn eller försökspersoner som inte är beslutskompetenta enligt artiklarna 32 och 31 i Förordning (EU) nr 536/2014, artiklarna 65 och 64 i Förordning (EU) 2017/745 eller artiklarna 61 och 60 i Förordning (EU) 2017/746.
Övervägandena finns i avsnitt 16.8.1 och 16.8.2. Paragrafen reglerar villkor för tillgängliggörande.
Paragrafens första stycke andra punkt anger att tillgängliggörande av personuppgifter endast får ske om uppgifterna ska användas i viss forskning.
En förutsättning för ett tillgängliggörande av personuppgifter är att det finns etikgodkännande eller motsvarande enligt EU-förordningarna. Led a–d i första punkten hänvisar därför till lagen (2003:460) om etikprövning av forskning som avser människor, förkortad EPL, Förordning (EU) nr 536/2014, Förordning (EU) 2017/745 eller Förordning (EU) 2017/746. Förordning (EU) nr 536/ 2014, Förordning (EU) 2017/745 och Förordning (EU) 2017/746 definieras i 1 kap. 1 §. Villkoret säkerställer att de registrerades känsliga personuppgifter hanteras säkert även vid en fortsatta behandling i forskningsprojekt.
En konsekvens av villkoret är att en regional myndighet som bedriver hälso- och sjukvård och som enligt 2 kap. 1 § tillgängliggör personuppgifter behöver utföra någon form av administrativ granskning där det kontrolleras att etikgodkännande, eller motsvarande enligt EU-förordningarna, finns för aktuell forskning. I praktiken inne-
bär det att en regional myndighet eller lärosäte som bedriver klinisk forskning som utgångspunkt behöver vara angiven som forskningshuvudman, alternativt sponsor eller prövningsställe om forskningen sker enligt EU-förordningarna.
Bestämmelsens utformning liknar den i 5 kap. 10 § biobankslagen (2023:38) som reglerar krav för att ett prov ska få skickas för forskning.
I paragrafens första stycke andra punkt finns ytterligare villkor för att personuppgifter ska få tillgängliggöras. Bestämmelsen anger att den registrerade ska ha samtyckt till att delta i forskningen. Övervägandena finns i avsnitt 16.8.2.
Kravet ger uttryck för att den registrerade ska ha samtyckt till att delta i forskningen i enlighet med EPL, Förordning (EU) nr 536/2014, Förordning (EU) 2017/745 eller Förordning (EU) 2017/746. Kravet säkerställer att det bara är sådan forskning där den enskilde samtycker till att delta i forskningen som kan bli föremål för tillgänggörande enligt lagen. Följden blir att forskning som sker utan samtycke utesluts.
I vissa fall kan Etikprövningsmyndigheten förena ett beslut om godkännande med särskilda villkor om informerat samtycke, även om EPL:s bestämmelser om information och samtycke (16–22 §§) inte träffar forskningen. Sådana fall uppfyller också villkoret på samtycke till forskningen.
Kravet på samtycke har stark koppling till det integritetshöjande samtycke som den registrerade också ska lämna till att personuppgifter tillgängliggörs genom direktåtkomst eller annat elektroniskt utlämnande (se kommentaren till 2 kap. 5 §).
I paragrafens andra stycke anges vad som gäller för villkoret om samtycke för registrerade som inte själva kan samtycka. Övervägandena finns i avsnitt 16.8.2.
När det gäller forskning på barn hänvisas till 18 § andra stycket EPL, artikel 32 i Förordning (EU) nr 536/2014, artikel 65 i Förordning (EU) 2017/745 och artikel 61 i Förordning (EU) 2017/746. Villkoret om samtycke till att delta i forskningen är också uppfyllt om vårdnadshavare eller lagligen utsedd ställföreträdare samtyckt till forskning på barn. Lagliga utsedd ställföreträdaren är vårdnadshavarna (se 7 kap. 3 § läkemedelslagen [2015:315] och 2 kap. 2 § lag [2021:600] med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter). I vissa fall anses barnet ha nått en sådan ålder
och mognad att denne själv kan samtycka till forskningen. Då är kravet på samtycke enligt första stycket andra punkten också uppfyllt.
När det gäller forskning på försökspersoner som inte är beslutskompetenta hänvisas till artikel 31 i Förordning (EU) nr 536/2014, artikel 64 i Förordning (EU) 2017/745 och artikel 60 i Förordning (EU) 2017/746. Villkoret om samtycke till att delta i forskningen är också uppfyllt om lagligen utsedd ställföreträdare samtyckt till forskning på försökspersoner som inte är beslutskompetenta. Lagligen utsedd ställföreträdare är en god man eller förvaltare enligt 11 kap. 4 § eller 7 §föräldrabalken med behörighet att sörja för den enskildes person (se 7 kap. 3 § läkemedelslagen [2015:315] och 2 kap. 1 § lag [2021:600] med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter). Formuleringen försökspersoner som
inte är beslutskompetenta överensstämmer med formulering som an-
vänds i EU-förordningarna och i 7 kap. 3 § läkemedelslagen och 2 kap. 1 § lag (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter.
I EPL finns ingen ordning där en person samtycker i forskningspersonens ställe. För sådan forskning är villkoret om samtycke till att delta i forskningen inte uppfyllt.
5 § Tillgängliggörande av personuppgifter enligt 1 § får endast ske om den registrerade, utöver samtycke enligt 4 § första stycket 2, har samtyckt till tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande.
Innan samtycke lämnas ska den registrerade, utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning, informeras om
1. vad begränsad direktåtkomst eller annat elektroniskt utlämnade enligt lagen innebär, och
2. rätten att återkalla ett samtycke till att uppgifter görs tillgängliga.
Övervägandena finns i avsnitt 16.8.3. Paragrafen reglerar villkor för tillgängliggörande.
I paragrafens första stycke ställs ytterligare villkor för att personuppgifter ska få tillgängliggöras. Utöver samtycket i 2 kap. 4 § första stycket 2 ska den registrerade också samtycka till tillgängliggörandet genom begränsad direktåtkomst eller annat elektroniskt utlämnande. Samtycket är en integritetshöjande åtgärd. Det är alltså inte fråga om samtycke som rättslig grund enligt artikel 6.1 a i EU:s dataskyddsförordning eller samtycke som undantag för att få behandla känsliga personuppgifter enligt artikel 9.2 a i EU:s dataskyddsförordning (se
1 kap. 7 §). Samtycket ska inte heller ses som ett samtycke för att häva sekretessen. Det finns en sekretessbrytande grund som är tillämplig vid tillgängliggörande enligt lagen, se 25 kap. 11 § 4 OSL.
Samtycket ska uppfylla de krav som följer av EU:s dataskyddsförordning. I artikel 4.11 i dataskyddsförordningen framgår att samtycke av den registrerade är varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.
I paragrafens andra stycke framgår att den registrerade ska få viss information innan samtycket enligt första stycket lämnas. Stycket innehåller också en hänvisning till dataskyddsförordningens bestämmelser om information. Informationen är en förutsättning för att den registrerade ska kunna fatta ett välgrundat beslut i frågan om dennes personuppgifter ska få göras tillgängliga på sättet som lagen föreskriver. Av första punkten framgår att den registrerade ska informeras om vad begränsad direktåtkomst eller annat elektroniskt utlämnande enligt lagen innebär. Av andra punkten framgår att den registrerade ska informeras om rätten att återkalla ett samtycke till att uppgifter görs tillgängliga. Om den registrerade återkallar sitt samtycke ska tillgängliggörandet upphöra så snart som möjligt (se 2 kap. 7 §).
6 § Om vårdnadshavare eller lagligen utsedd ställföreträdare har lämnat samtycke till forskning enligt vad som anges i 4 § andra stycket, får tillgängliggörande enligt 1 § endast ske om vårdnadshavare eller lagligen utsedd ställföreträdare samtyckt till tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande.
Innan samtycke lämnas ska vårdnadshavare eller lagligen utsedd ställföreträdare få information enligt 5 § andra stycket.
Övervägandena finns i avsnitt 16.8.4. Paragrafen reglerar samtycke till tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande och information om den registrerade inte själv kan samtycka.
I paragrafens första stycke anges att om vårdnadshavare eller lagligen utsedd ställföreträdare har lämnat samtycke till forskningen (se kommentaren till 2 kap. 4 § andra stycket), får tillgängliggörande endast ske om vårdnadshavaren eller lagligen utsedd ställföreträdare också samtycker till tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande.
Samtycket är en integritetshöjande åtgärd. Samtycket ska uppfylla de krav som följer av EU:s dataskyddsförordning. (se kommentaren till 2 kap. 5 §).
I paragrafens andra stycke anges att innan samtycke lämnas ska vårdnadshavare eller lagligen utsedd ställföreträdare få viss information (se kommentaren till 2 kap. 5 §).
7 § Om den registrerade återkallar samtycke som har lämnats enligt 5 § ska tillgängliggörandet upphöra så snart som möjligt.
Om vårdnadshavare eller lagligen utsedd ställföreträdare återkallar samtycke som har lämnats enligt 6 § ska tillgängliggörandet upphöra så snart som möjligt.
Överväganden finns i avsnitt 16.8.3 och 16.8.4. Paragrafen reglerar återkallelse av samtycke till tillgängliggörandet.
Paragrafens första stycke reglerar situationen att den registrerade återkallar sitt samtycke enligt 2 kap. 5 §. Tillgängliggörandet ska då upphöra så snart som möjligt. Återkallandet har ingen effekt med avseende personuppgifter som redan har tillförts forskningen. Sådana uppgifter får behandlas i forskningen enligt de regler som gäller för detta inom den aktuella forskningen.
Av paragrafens andra stycke framgår vad som gäller om vårdnadshavare eller lagligen utsedd ställföreträdare har lämnat samtycke enligt 2 kap. 6 §. Även då ska tillgängliggörandet upphöra så snart som möjligt.
3 kap. Behandling av personuppgifter som gjorts tillgängliga
Tilldelning av behörighet för elektronisk åtkomst
1 § En regional myndighet eller ett lärosäte som bedriver klinisk forskning ska bestämma villkor för tilldelning av behörighet inom den egna organisationen för åtkomst till de personuppgifter som gjorts tillgängliga enligt 2 kap. 1 §. Sådan behörighet ska begränsas till vad som behövs för att den behörige ska kunna fullgöra sina arbetsuppgifter inom forskningen.
Övervägandena finns i avsnitt 16.9.2. I paragrafen regleras vad som ska gälla för tilldelning av behörighet för elektronisk åtkomst.
Enligt bestämmelsen ska en regional myndighet eller ett lärosäte som bedriver klinisk forskning bestämma villkor för tilldelning av behörighet inom den egna organisationen för åtkomst till de personupp-
gifter som gjorts tillgängliga enligt 2 kap. 1 §. Villkoren som ska bestämmas innebär ett ansvar att göra en aktiv och individuell behovsprövning inför tilldelning av behörighet. Behörigheten ska begränsas till vad som behövs för att den behörige ska kunna fullgöra sina arbetsuppgifter inom forskningen.
För hanteringen av personuppgifterna i övrigt inom forskningsprojektet gäller dataskyddsförordningens bestämmelser.
Villkor för att uppgifternas ska få tillföras forskningen
2 § En regional myndighet eller ett lärosäte som getts tillgång till personuppgifter enligt 2 kap. 1 § får endast tillföra forskningen de uppgifter som behövs för sådan forskning som anges i 2 kap. 4 § första stycket 1.
Övervägandena finns i avsnitt 16.9.3. I paragrafen regleras villkor för att personuppgifter ska få tillföras forskningen.
Bestämmelsen ger uttryck för vad som får kopieras, laddas ner eller på annat sätt tillföras den kliniska forskningen, nämligen bara de uppgifter som behövs för forskning anges i 2 kap. 4 § första stycket 1. Det är de uppgifter som behövs för det specifika forskningsprojektet som får tillföras projektet. Detta medför att en regional myndighet eller lärosäte som ges tillgång till personuppgifter enligt lagen behöver göra en bedömning i det enskilda fallet vilka uppgifter som ska tillföras forskningen.
Det kan också noteras att EU:s dataskyddsförordning grundläggande krav på uppgiftsminimering gäller, det vill säga att personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (artikel 5.1. c).
Uppgifter som inte får tillföras forskningen omfattas av absolut sekretess, se 24 kap. 7 b § OSL.
4 kap. Bevarande och gallring
1 § När en handling är tillgänglig enligt denna lag för en regional myndighet som bedriver hälso- och sjukvård och en regional myndighet eller ett lärosäte som bedriver klinisk forskning gäller skyldigheten att bevara handlingen endast för den regionala myndighet inom hälso- och sjukvården som har tillgängliggjort handlingen.
Övervägandena finns i avsnitt 16.10. Paragrafen reglerar bevarande och gallring.
I paragrafen finns en bestämmelse om ansvar för arkivbildningen med avseende på personuppgifter som tillgängliggörs genom begränsad direktåtkomst.
Uppgifter som tillgängliggörs genom begränsad direktåtkomst, men som inte tillförs forskningen, kommer under den begränsade tidsperiod som tillgången ges att kunna anses som inkomna och förvarade hos den regionala myndigheter eller lärosätet som bedriver forskningen. När den begränsade direktåtkomsten upphör finns inte uppgifterna längre tillgängliga för den regionala myndigheter eller lärosätet som bedriver den kliniska forskningen. Regionala myndigheter eller lärosäten som bedriver klinisk forskning ska inte ha ansvar för att bevara eller gallra handlingar enbart av den anledning att uppgifter i dessa har gjort tillgängliga för myndigheten enligt lagen. Beträffande uppgifter som inte tillförs forskningen, ansvarar den regionala myndigheten som tillgängliggör uppgifterna för arkivbildningen.
De personuppgifter som den regionala myndigheten eller lärosätet som bedriver klinisk forskning har tillfört forskningen kommer vara fortsatt tillgängliga hos dessa myndigheter inom forskningsprojektet. Med avseende på personuppgifter som tillförs forskningen gäller regler om bevarande och gallring som är tillämpliga i forskningen.
Ikraftträdande och övergångsbestämmelser
Denna lag träder i kraft den 1 januari 2025.
Övervägandena finns i 16.12. Den nya lagen träder i kraft den 1 januari 2025. Det finns inga övergångsbestämmelser.
24.2. Förslaget till lag om ändring i patientdatalagen (2008:355)
1 kap.
4 §
Denna lag innehåller bestämmelser som kompletterar EU:s dataskyddsförordning, vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Vid behandling av personuppgifter som avses i första stycket gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
I lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation finns ytterligare bestämmelser om vårdgivares behandling av personuppgifter inom hälso- och sjukvården.
I lag ( 0000:000 ) om viss vidareanvändning av personuppgifter för klinisk forskning finns bestämmelser om tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande av personuppgifter från hälso- och sjukvården.
Överväganden finns i avsnitt 16.11.1. Paragrafen reglerar förhållandet mellan PDL och annan personuppgiftslagstiftning.
Paragrafen, som är ändrad, innehåller att nytt fjärde stycke med en upplysning om att det i lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning finns bestämmelser om tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande av personuppgifter från hälso- och sjukvården.
Lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning innehåller bestämmelser som reglerar en viss form av utlämnande av personuppgifter från verksamhet som ingår i hälso- och sjukvården i den mening som avses i PDL. Det nya fjärde stycket upplyser om detta.
Lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning avser endast personuppgiftsbehandling som sker för ändamålet klinisk forskning och lagen kompletterar inte PDL. Den innehåller inte ”ytterligare bestämmelser” om vårdgivares behandling av personuppgifter inom hälso- och sjukvården (jämför tredje stycket avseende förhållandet till SVOD).
2 kap.
2 §
Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den. Det gäller dock inte i de fall som anges i 4 kap. 4 §, 6 kap. 2 § och 7 kap. 2 § eller om något annat framgår av annan lag eller förordning.
Övervägandena finns i avsnitt 14.13. Paragrafen innehåller bestämmelser om den enskildes inställning till personuppgiftsbehandling.
Paragrafen, som är ändrad, anger att ett fall då den enskilde kan motsätta sig behandling av personuppgifter enligt PDL följer av 6 kap. 2 §. Ändringen sker till följd av införandet av bestämmelser om vidareanvändning av patientdata för vårdändamål i 6 kap. PDL och möjligheten för patienten att enligt 6 kap. 2 § motsätta sig tillgängliggörande av personuppgifter till en precisionsmedicinsk databas.
4 §
Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för
1. att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,
2. administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall,
3. att upprätta annan dokumentation som följer av lag, förordning eller annan författning,
4. att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten,
5. administration, planering, uppföljning, utvärdering och tillsyn av verksamheten,
6. att framställa statistik om hälso- och sjukvården, eller
7. antalsberäkning inför klinisk forskning.
I 6 kap. 5 § finns särskilda bestämmelser om behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. I 7 kap. 4 och 5 §§
finns särskilda bestämmelser om ändamålen med behandling av personuppgifter i nationella och regionala kvalitetsregister.
Övervägandena finns i avsnitt 14.13. Paragrafen reglerar ändamålen med behandling av personuppgifter.
Andra stycket, som är ändrat, upplyser om att det även i 6 kap.
5 § finns särskilda bestämmelser om ändamål för behandling av personuppgifter inom hälso- och sjukvården i form av bestämmelser avse-
ende handling av personuppgifter för vården av en annan patient än den som uppgifterna avser. Ändringen sker till följd av införandet av bestämmelser om behandling av personuppgifter för vården av en annan patient i 6 kap. PDL.
6 §
En vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I en region och en kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
Personuppgiftsansvaret enligt första stycket omfattar även sådan behandling av personuppgifter som vårdgivaren, eller den myndighet i en region eller en kommun som är personuppgiftsansvarig, utför när vårdgivaren eller myndigheten genom direktåtkomst i ett enskilt fall bereder sig tillgång till personuppgifter om en patient hos en annan vårdgivare eller annan myndighet i samma region eller kommun.
I 6 och 7 kap. samt i 4 kap. 1 § lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation finns särskilda bestämmelser om personuppgiftsansvar.
Övervägandena finns i avsnitt 14.13. Paragrafen reglerar vårdgivares personuppgiftsansvar.
Tredje stycket, som är ändrat, upplyser om att det i 6 kap. finns sär-
skilda bestämmelser om personuppgiftsansvar. Ändringen sker till följd av införandet av bestämmelser i 6 kap. om behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser och den särskilda bestämmelsen i 6 kap. 7 § om personuppgiftsansvar för central behandling av personuppgifter i en precisionsmedicinsk databas.
4 kap.
1 §
Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.
I 6 kap. finns särskilda bestämmelser om inre sekretess vid behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser.
Överväganden finns i avsnitt 14.13. Paragrafen reglerar den inre sekretessen inom hälso- och sjukvården.
Andra stycket, som är nytt, upplyser om att det i 6 kap. finns sär-
skilda bestämmelser om inre sekretess vid behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. Tillägget sker till följd av införandet av bestämmelser om befogenhet att ta del av uppgifter om en patient för ändamålet vården av en annan patient än den som personuppgifterna avser. Bestämmelserna om befogenhet finns i 6 kap. 12, 15, 19, 24 och 25 §§.
2 §
En vårdgivare ska bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat. Sådan behörighet ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården.
I 6 kap. 17 § finns ytterligare bestämmelser som gäller vid tilldelning av behörighet till en precisionsmedicinsk databas.
Personuppgifter som behandlas i en utredning enligt lagen (2018:744) om försäkringsmedicinska utredningar för ändamål som anges i 2 kap. 4 § första stycket 1 och 2 får inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare. I den lagen finns särskilda bestämmelser om elektronisk åtkomst vid sådana utredningar.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tilldelning av behörighet enligt första stycket för åtkomst till uppgifter som förs helt eller delvis automatiserat.
Övervägandena finns i 14.13. Paragrafen reglerar tilldelning av behörighet för elektronisk åtkomst.
Andra stycket, som är nytt, upplyser om att det i 6 kap. 17 § finns
ytterligare bestämmelser som gäller vid tilldelning av behörighet till en precisionsmedicinsk databas. Ändringen sker till följd av införandet av bestämmelser i 6 kap. avseende behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser och bestämmelsen om att en regional myndighet inom hälso- och sjukvården, vid bestämmande av villkor för tilldelning av behörighet enligt 4 kap. 2 § endast får tilldela den som arbetar i den specialiserade vården och behöver åtkomsten för sitt arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter.
5 kap.
4 §
Utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning.
Om en region eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma region eller kommun.
Ytterligare bestämmelser om direktåtkomst och annat elektroniskt utlämnande finns i 5 §, 6 kap. 16 § och 7 kap. 9 § och i lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.
Bestämmelser om begränsad direktåtkomst och annat elektroniskt utlämnande av personuppgifter som behandlas inom hälso- och sjukvården finns i lag ( 0000:00 ) om viss vidareanvändning av personuppgifter för klinisk forskning.
Övervägandena finns i 14.13 och 16.12.2. Paragrafen reglerar när direktåtkomst är tillåtet inom hälso- och sjukvården.
Tredje stycket, som är ändrat, upplyser om att det i 6 kap. 16 § finns
ytterligare bestämmelser om direktåtkomst och annat elektroniskt utlämnande. Ändringen sker till följd av införandet av bestämmelser i 6 kap. avseende behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser och bestämmelsen om att tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, får ges till personuppgifter i en precisionsmedicinsk databas.
Fjärde stycket, som är nytt, upplyser om att det i lag (0000:00) om
viss vidareanvändning av personuppgifter för klinisk forskning finns bestämmelser om begränsad direktåtkomst och annat elektroniskt utlämnande av personuppgifter som behandlas inom hälso- och sjukvården. Ändringen sker till följd av bestämmelsen i 2 kap. 1 § i lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning som reglerar tillgång, genom begränsad direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter hos en regional myndighet som bedriver hälso- och sjukvård.
6 kap. Vidareanvändning av patientdata för vårdändamål
Inledande bestämmelse
1 §
Med precisionsmedicinsk databas avses en samling av personuppgifter som inrättas särskilt för ändamålet vården av en annan patient än den som uppgifterna avser.
En precisionsmedicinsk databas syftar till att skapa underlag för vården av en annan patient än den som uppgifterna avser.
Övervägandena finns i avsnitt 14.2. Paragrafen, som är ny, innehåller en inledande bestämmelse om vad precisionsmedicinsk databas innebär.
Första stycket innebär en legaldefinition av vad en precisionsmedi-
cinsk databas är. Med precisionsmedicinsk databas avses en samling av personuppgifter som inrättas särskilt för ändamålet vården av en annan patient än den som uppgifterna avser. Precisionsmedicin avser sådana diagnostiska metoder och individanpassad utredning, prevention och behandling av sjukdom, som appliceras på individnivå eller på delar av befolkningen. En av grundstenarna för precisionsmedicin är att kunna dela data från många individer för att ge rätt behandling till rätt patient. Med ändamålet vården av en annan patient än den som uppgifterna avser, se under 5 §.
Andra stycket preciserar syftet med en precisionsmedicinsk data-
bas. En precisionsmedicinsk databas syftar till att skapa underlag för vården av en annan patient än den som uppgifterna avser. En precisionsmedicinsk databas får endast användas för vårdändamål. Syftet får inte vara andra ändamål, till exempel forskning. Databasen ska skapa förutsättningar för behörig vårdpersonal i den regionala specialistvården att söka i en relevant uppgiftssamling för att hitta information som kan vara av betydelse för vården av patienter.
Den enskildes inställning till personuppgiftsbehandling i precisionsmedicinsk databas
2 §
Personuppgifter får inte göras tillgängliga till en precisionsmedicinsk databas, om den enskilde motsätter sig det.
Om den enskilde motsätter sig tillgängliggörandet sedan den påbörjats, ska uppgifterna utplånas ur den precisionsmedicinska databasen så snart som möjligt.
Övervägandena finns i avsnitt 14.10.5. Paragrafen, som är ny, innehåller en bestämmelse om patientens rätt att motsätta sig tillgängliggörande av personuppgifter till en precisionsmedicinsk databas.
Första stycket innebär att den enskilde ska ha möjlighet att välja om
denne vill att hens personuppgifter ska tillgängliggörs till en precisionsmedicinsk databas. De personuppgifter som är i fråga att tillgängliggöras är den enskildes uppgifter som behandlas för vårdändamål enligt 2 kap. 4 § första stycket 1–2 PDL. Om den enskilde motsätter sig sådant tillgängliggörande, får inga personuppgifter tillgängliggöras till en precisionsmedicinsk databas. Bestämmelsen kräver därmed inte att den enskilde ska lämna ett uttryckligt och informerat samtycke till att uppgifter om hen får göras tillgängliga till en precisionsmedicinsk databas, utan innebär endast att patienten har en möjlighet att motsätta sig detta. Bestämmelsen ger uttryck för vad kan kallas för en opt-out-modell eller en ordning i vilket ett tyst samtycke gäller för att journaluppgifter görs tillgängliga.
Ingen särskild reglering finns avseende barn. Det innebär att barnets vårdnadshavare som regel kan motsätta sig att barnets personuppgifter görs tillgängliga till en precisionsmedicinsk databas. I likhet med vad som gäller i övrigt inom hälso- och sjukvården ska allt större hänsyn ska tas till barnets inställning utifrån barnets ålder och mognad. Barn som har tillräcklig ålder och mognad kan självt motsätta sig tillgängliggörande.
Andra stycket innebär att om den enskilde motsätter sig tillgäng-
liggörande efter att behandlingen påbörjats, ska uppgifterna utplånas ur databasen så snart som möjligt. Att uppgifterna ska utplånas innebär att de ska raderas så att de inte kan återskapas. Syftet med att uppgifterna ska utplånas är att den enskildes rätt att motsätta sig personuppgiftsbehandlingen annars riskerar att bli endast skenbar.
3 §
En vårdgivare får tillgängliggöra uppgifter om en enskild som inte endast tillfälligt saknar förmåga att ta ställning till behandling i en precisionsmedicinsk databas, om
1. den enskildes inställning till sådan behandling av personuppgifter så långt som möjligt har klarlagts, och
2. det inte finns anledning att anta att den enskilde skulle ha motsatt sig behandlingen av personuppgifterna.
Övervägandena finns i avsnitt 14.10.7. Paragrafen, som är ny, innehåller en bestämmelse om förutsättningar för en vårdgivare att tillgängliggöra personuppgifter om personer som inte endast tillfälligt saknar förmåga att ta ställning till behandling i en precisionsmedicinsk databas.
Även gällande personer som inte endast tillfälligt saknar förmåga att ta ställning till tillgängliggörande av uppgifter i en precisionsmedicinsk databas ska det finnas förutsättningar för vårdgivare att under vissa förutsättningar kunna tillgängliggöra uppgifter till en precisionsmedicinsk databas. Att helt exkludera dessa personer kan leda till att vissa patientgrupper inte får tillgång till vård med stöd av precisionsmedicinska databaser, vilket vore olyckligt.
Förutsättningarna innebär att vårdgivare får tillgängliggöra uppgifter om personer som inte endast tillfälligt saknar förmåga att ta ställning till behandling i en precisionsmedicinsk databas, om personens inställning till sådan behandling av personuppgifter så långt som möjligt har klarlagts, och det inte finns anledning att anta att personen skulle ha motsatt sig behandlingen av personuppgifterna. Båda förutsättningarna ska vara uppfyllda för att tillgängliggörande ska vara tillåtet.
Bestämmelsen överensstämmer med motsvarande bestämmelser för personer som inte endast tillfälligt saknar förmåga att ta ställning som återfinns i 7 kap. PDL och i lag (2022:913) om sammanhållen vård- och omsorgsdokumentation.
Information
4 §
Innan personuppgifter görs tillgängliga till en precisionsmedicinsk databas ska den som är personuppgiftsansvarig informera den enskilde om
1. vad personuppgiftsbehandling i precisionsmedicinsk databas innebär,
2. vad behandling av kompletterande personuppgifter från patientjournal innebär och
3. möjligheten att motsätta sig att uppgifter görs tillgängliga till en precisionsmedicinsk databas.
Övervägandena finns i avsnitt 14.10.8. Paragrafen, som är ny, innehåller en bestämmelse om vilken information som den enskilde ska få innan personuppgifter om hen görs tillgängliga till en precisionsmedicinsk databas.
Bestämmelsen innebär att innan personuppgifter görs tillgängliga till en precisionsmedicinsk databas ska den som är personuppgiftsansvarig informera den enskilde om vissa saker. Informationen ska enligt första punkten omfatta vad personuppgiftsbehandling i precisionsmedicinsk databas innebär. Bestämmelsen utgör ett ytterligare krav på att den enskilde blir informerad för att personuppgifterna ska få behandlas på ett visst sätt. Enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning är det tillåtet med sådana särskilda bestämmelser när det gäller personuppgifter som behandlas med stöd av artikel 6.1 e (för att utföra en uppgift av allmänt intresse) i dataskyddsförordningen, vilket det här är fråga om.
I paragrafens andra punkt anges att informationen ska innehålla vad behandling av kompletterande personuppgifter från patientjournal innebär. Reglerna kring begäran om kompletterande personuppgifter från patientjournal finns i 20–25 §§. Detta förfarande sker utanför den precisionsmedicinska databasen, men information om det behövs ändå för att den enskilde ska kunna fatta ett välgrundat beslut i frågan om personuppgifterna bör få göras tillgängliga till en precisionsmedicinsk databas.
Bestämmelsens tredje punkt innebär att den enskilde ska ha fått klar, tydlig och korrekt information vilket är en förutsättning för att hen ska kunna fatta ett välgrundat beslut i frågan om personuppgifterna bör få göras tillgängliga till en precisionsmedicinsk databas enligt 6 kap. 2 § PDL. Rätten till information och den enskildes möjlighet att, grundat på den givna informationen, ha möjligheten att
tillvarata sin rätt att motsätta sig personuppgiftsbehandlingen, är ett viktigt led i skyddet av den personliga integriteten.
Informationen som ska lämnas ska uppfylla kraven i EU:s dataskyddsförordning på information till den registrerade. Av artikel 12 i dataskyddsförordningen följer bland annat att sådan information ska tillhandahållas i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Av artikel 13 i dataskyddsförordningen följer att om personuppgifter samlas in från den registrerade, ska den personuppgiftsansvarige, när personuppgifterna erhålls, till den registrerade lämna viss information om bland annat ändamål och rättslig grund för behandlingen, lagringstid, uppgift om den registrerades rätt till tillgång, rättelse, radering, begränsning av behandling, invändning mot behandling och rätten att återkalla ett eventuellt samtycke. Artikel 14 i dataskyddsförordningen reglerar den information som ska tillhandahållas om personuppgifterna har erhållits från någon annan än den registrerade. Den personuppgiftsansvarige är således redan enligt EU:s dataskyddsförordning skyldiga att lämna viss information till den registrerade.
På vilket sätt informationen lämnas till den enskilde överlåts åt personuppgiftsansvariga att bestämma. Det är viktigt att personuppgiftsansvariga utarbetar rutiner för hur informationsskyldigheten ska fullgöras. Säkra rutiner ligger i den personuppgiftsansvarigas eget intresse, så att de kan visa att faktisk information har lämnats till den registrerade.
Ändamål och inre sekretess
5 §
I stället för vad som anges i 2 kap. 4 och 5 §§ gäller att personuppgifter, under de förutsättningar som anges i detta kapitel, får behandlas inom hälso- och sjukvården om det behövs för vården av en annan patient än den som uppgifterna avser.
Första stycket gäller inte för sådan hälso- och sjukvård som regleras i
1. tandvårdslagen (1985:125) , eller
2. lagen ( 2021:363 ) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar
.
I stället för vad som anges i 4 kap. 1 § gäller bestämmelser om inre sekretess i detta kapitel vid behandling av personuppgifter för det ändamål som anges i första stycket.
Övervägandena finns i avsnitt 14.4.1, 14.4.8 och 14.4.9 Paragrafen, som är ny, innehåller en bestämmelse om tillåtna ändamål för personuppgiftsbehandlingen i den precisionsmedicinska databasen samt regleringar om avgränsning av bestämmelsens räckvidd samt om inre sekretess.
Första stycket innehåller en bestämmelse som reglerar ett nytt ända-
mål för personuppgiftsbehandling för vilket uppgifter i en precisionsmedicinsk databas ska få behandlas. Ändamålet avser behandling av personuppgifter inom hälso- och sjukvården för vården av en annan patient än den som uppgifterna avser. Ändamålet ska omfatta personuppgifter som vårdgivare behandlar enligt 2 kap. 4 § första stycket 1 och 2 PDL men det nya ändamålet enligt bestämmelsen gäller i stället för regleringarna i 2 kap. 4 och 5 §§ samma lag. Personuppgifter som behandlas för ändamålet vården av en annan patient än den som uppgifterna avser, får inte behandlas för några andra ändamål. Ändamålet kopplat till den precisionsmedicinska databasen tar därmed uteslutande sikte på vidareanvändning av personuppgifter som samlats in och registrerats hos en vårdgivare med stöd av 2 kap. 4 § 1 och 2 PDL. Behandling av personuppgifter för ändamålet vård av annan än den som personuppgifterna avser, ska vara frivillig för vårdgivare.
Med vård avses all individinriktad patientverksamhet hos en vårdgivare. Begreppet överensstämmer i denna del i vad som gäller för vård enligt PDL i dag. Begreppet omfattar således personuppgiftsbehandling i den individinriktade patientvården inom hälso- och sjukvården. Till denna kärnverksamhet hör åtgärder för att förebygga, utreda och behandla sjukdomar och skador hos enskilda. Vidare anges att PDL ska vara tillämplig för personuppgiftsbehandling i all individinriktad patientverksamhet som innefattar vård, undersökning eller behandling. Det betyder att även sådan individinriktad patientvård som inte inryms i begreppet hälso- och sjukvård enligt hälso- och sjukvårdslagen omfattas av PDL (prop. 2007/08:126, s. 49).
Med vården av annan patient än den som uppgifterna avser menas att personuppgifter som samlats in och registrerats inom ramen för vården av en eller flera patienter används i vården av en annan patient. De uppgifter som behövs vid vården av en annan patient än den som uppgifterna avser, är utgörs av vissa typer av uppgifter som finns i
patientjournalen. Följaktligen finns en koppling mellan möjligheten till vidareanvändning enligt ändamålet vård av annan patient och de personuppgifter som vårdgivare behandlar enligt 2 kap. 4 § första stycket 1 PDL. Behovet av personuppgifter för vidareanvändning för vård av annan patient avser primärt rent medicinska uppgifter om patienten, men även uppgifter om ålder och kön kan vara relevanta. Bestämmelsen i 2 kap. 4 § första stycket 2 PDL avser personuppgiftsbehandling för administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall. Denna ändamålsbestämmelse omnämns vanligen tillsammans med första punkten som vårddokumentation. Personuppgiftsbehandling för ändamålet vidareanvändning för vården av en annan patient än den som uppgifterna avser, omfattar således personuppgifter som vårdgivare behandlar enligt ändamålen enligt 2 kap. 4 § första stycket 1–2 PDL.
Andra stycket avgränsar bestämmelsens räckvidd då den inte gäller
för sådan hälso- och sjukvård som regleras i tandvårdslagen (1985:125) eller lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar.
Tredje stycket erinrar om att i stället för bestämmelsen om inre
sekretess i 4 kap. 1 § finns i 6 kap. särskilda bestämmelser om när någon får ta del av personuppgifter i databasen. Sådana bestämmelser finns i 12, 15, 19, 24 och 25 §§.
6 §
Personuppgifter som behandlas för ändamålet vården av en annan patient än den som uppgifterna avser får inte behandlas för några andra ändamål.
Personuppgifter som behandlas för ändamål som anges i första stycket får dock behandlas för fullgörande av någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen (2009:400) .
Övervägandena finns i avsnitt 14.4.3 och 14.4.4. Paragrafen, som är ny, innehåller en bestämmelse om ändamålsbegränsningar för personuppgiftsbehandlingen i den precisionsmedicinska databasen.
Första stycket innebär en bestämmelse om ändamålsbegränsning
kopplat till ändamålet vården av en annan patient. Personuppgifter som behandlas för ändamålet vården av en annan patient än den som uppgifterna avser, får inte behandlas för några andra ändamål. Bestämmelsen reglerar således den så kallade finalitetsprincipen för den per-
sonuppgiftsbehandling som sker i en precisionsmedicinsk databas och i anledning av en begära om kompletterande personuppgifter.
Den så kallade finalitetsprincipen följer av artikel 5.1 b i EU:s dataskyddsförordning och innebär att personuppgifter som har samlats för att behandlas för särskilda, uttryckligt angivna och berättigade ändamål inte får behandlas även för andra, nya ändamål, om dessa är oförenliga med de ursprungliga ändamålen. En motsvarighet till finalitetsprincipen finns i 2 kap. 5 § PDL. Där klargörs att personuppgifter som behandlas enligt 2 kap. 4 § PDL även får behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. När uppgifter behandlas i enlighet med bestämmelsen om ändamålet vården av en annan patient än den som personuppgifterna avser, ska finalitetsprincipen i 2 kap. 5 § PDL inte gälla. Detta innebär att personuppgifter som behandlas för detta ändamål inte får behandlas för andra ändamål, även om uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Att andra ändamål inte är tillåtna för personuppgiftsbehandlingen utgör en skyddsåtgärd för att ge personuppgifterna ett starkt integritetsskydd.
Då ändamålet med en precisionsmedicinsk databas är vården av en annan patient än den som uppgifterna avser får inte uppgifterna även användas för ändamålet forskning. Konsekvensen av att finalitetsprincipen inte gäller blir exempelvis att uppgifter inte får lämnas ut från en precisionsmedicinsk databas för ändamålet forskning.
Personuppgifter som behandlas för ändamålet behandling av personuppgifter för vård av annan patient får således inte behandlas för andra ändamål, även om uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Ändamålet är därmed uttömmande, det vill säga att det inte finns utrymme för några andra ändamål för personuppgiftsbehandlingen.
Andra stycket innebär ett undantag från första stycket i den mening
att personuppgifter som behandlas för ändamålet vården av en annan patient än den som uppgifterna avser, också får behandlas för fullgörande av någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § OSL. Av 6 kap. 5 § OSL framgår att en myndighet på begäran av en annan myndighet ska lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång.
Personuppgiftsansvar
7 §
Endast en regional myndighet inom hälso- och sjukvården får vara personuppgiftsansvarig för central behandling av personuppgifter i en precisionsmedicinsk databas.
I 2 kap. 6 § finns allmänna bestämmelser om personuppgiftsansvar.
Övervägandena finns i avsnitt 14.5. Paragrafen, som är ny, innehåller en bestämmelse om personuppgiftsansvar för en precisionsmedicinsk databas.
Av första stycket framgår att enbart regionala myndigheter inom hälso- och sjukvården får vara personuppgiftsansvariga för central behandling av personuppgifter i en precisionsmedicinsk databas. I en precisionsmedicinsk databas kommer personuppgifter från olika vårdgivare eller regionala myndigheter som bedriver hälso- och sjukvård kunna samlas. Bestämmelsen är inte ett direkt utpekade av vem som ska vara personuppgiftsansvarig. Däremot avgränsas vilken typ av aktör som kan vara ansvarig för central behandling av personuppgifter i en precisionsmedicinsk databas.
Enligt 6 kap. 10 § PDL att endast en regional myndighet inom hälso- och sjukvården får inrätta och föra en precisionsmedicinsk databas. För inrättande och förande av precisionsmedicinsk databas preciseras dock inte vilka regionala myndigheter som kommer att få inrätta och föra databas. Det är inte fastställt i lag vilka regionala myndigheter inom hälso- och sjukvården som inrättar de precisionsmedicinska databaserna.
Den personuppgiftsbehandling som följer av det centrala ansvaret är central organisering, lagring, bearbetning eller annan central behandling av de aktuella personuppgifterna. Hit hör också till exempel ansvaret för säkerhetsfrågor och ansvaret för att felaktiga uppgifter i registret rättas.
I andra stycket erinras om att i 2 kap. 6 § PDL finns en generell bestämmelse om vårdgivares personuppgiftsansvar. Således ska för övrig tillåten behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser följa den generella regleringen om personuppgiftsansvar i 2 kap. 6 § PDL. Av den bestämmelsen följer att en vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I en region är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för
den behandling av personuppgifter som myndigheten utför. Därmed är en vårdgivare personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför i samband med urval och tillgängliggörande av personuppgifter till en precisionsmedicinsk databas samt när de använder uppgifter i databasen i vården. Likaså är den regionala myndighet som behandlar personuppgifter i den precisionsmedicinska databasen i vården av en patient personuppgiftsansvarig för denna behandling. I en region är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Sådan personuppgiftshantering har den som är centralt ansvarig normalt inga möjligheter att kontrollera.
Personuppgifter som får behandlas
8 §
Endast sådana personuppgifter som behandlas enligt 2 kap 4 § första stycket 1 och 2 och behövs för ändamål som anges i 5 § första stycket får behandlas med stöd av detta kapitel.
Övervägandena finns i avsnitt 14.6.3. Paragrafen, som är ny, innehåller en bestämmelse om vilka personuppgifter som en precisionsmedicinsk databas får behandla.
Bestämmelsen reglerar att endast sådana personuppgifter som behandlas enligt 2 kap. 4 § första stycket 1 och 2 PDL och sådana personuppgifter som behövs för ändamål i 5 § första stycket får behandlas enligt 6 kap. samma lag. Utgångspunkten för vilka uppgifter som är tillåtna att tillgängliggöra till en precisionsmedicins databas måste utgå ifrån behovet av uppgifter för ändamålet vården av en annan patient än den som uppgifterna avser.
Urval och tillgängliggörande av personuppgifter är därmed begränsat till vad som behövs för att skapa underlag för vården av en annan patient än den som uppgifterna avser. Det är inte tillåtet att tillgängliggöra hela patientjournaler eller stora delar av en patientjournal. I stället ska ett urval av relevanta typer av uppgifter för sökning i precisionsmedicinsk databas göras. Bestämmelsen ger därmed uttryck för ett behovskriterium som styr vilka uppgifter som får behandlas i databasen.
9 §
Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 h i förordningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.
Övervägandena finns i avsnitt 14.3.3 och 14.6.3. Paragrafen, som är ny, innehåller en bestämmelse om behandlingen av känsliga personuppgifter i en precisionsmedicinsk databas.
Behandling av känsliga personuppgifter är enligt huvudregeln i artikel 9.1 i EU:s dataskyddsförordning förbjuden, men får enligt artikel 9.2 h i dataskyddsförordningen ske om den är nödvändig av skäl som hör samman med bland annat tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och deras system. Den verksamhet som omfattas av regleringen av precisionsmedicinsk databas hör samman med medicinska diagnoser och utgör tillhandahållande av hälso- och sjukvård på det sätt som avses i artikel 9.2. h i dataskyddsförordningen.
Endast uppgifter om hälsa, i vid bemärkelse, får behandlas för ändamålet vård av annan än den personuppgifterna avser och omfattas därmed av bestämmelserna. Med uppgifter om hälsa avses enligt i artikel 4.15 i EU:s dataskyddsförordning personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus. I skäl 35 till EU:s dataskyddsförordning anges att personuppgifter om hälsa bör innefatta alla de uppgifter som hänför sig till en registrerad persons hälsotillstånd som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd. Detta inbegriper uppgifter om den fysiska personen som insamlats i samband med registrering för eller tillhandahållande av hälso- och sjukvårdstjänster till den fysiska personen enligt Europaparlamentets och rådets direktiv 2011/24/EU, ett nummer, en symbol eller ett kännetecken som den fysiska personen tilldelats för att identifiera denne för hälso- och sjukvårdsändamål, uppgifter som härrör från tester eller undersökning av en kroppsdel eller kroppssubstans, däribland genetiska uppgifter och biologiska prov, och andra uppgifter om exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling eller den registrerades fysiologiska eller biomedicinska tillstånd, oberoende av källan, exempelvis från en läkare
eller från annan sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitro-test. I skäl 63 i EU:s dataskyddsförordning anges som exempel på uppgifter om hälsa uppgifter i läkarjournaler så som diagnoser, undersökningsresultat, bedömningar av behandlande läkare och eventuella vårdbehandlingar eller interventioner.
De uppgifter som får tillgängliggöras i en precisionsmedicinsk databas utgör följaktligen sådana särskilda kategorier av personuppgifter enligt artikel 9 i EU:s dataskyddsförordning, så kallade känsliga personuppgifter. Känsliga personuppgifter är bland annat uppgifter om hälsa. Även genetiska uppgifter är känsliga personuppgifter. Syftet med en precisionsmedicinsk databas är att utgöra underlag för vården av en annan patient än den som uppgifterna avser. De uppgifter som tillgängliggörs ska endast behövas för detta syfte. Poängen med de precisionsmedicinska databaserna är att samla relevanta personuppgifter för sökning. Som utgångspunkt ska därför att alla typer av uppgifter vara sökbara. Det är endast uppgifter som är av medicinskt intresse att söka på som är relevanta att ha i en precisionsmedicinsk databas. Det innebär att endast uppgift som behöver sökas fram för ändamålet ska tillgängliggöras. Uppgifter om hälsa får tillgängliggöras och sökas i, men inte andra typer av känsliga personuppgifter.
Inrättande och förande av en precisionsmedicinsk databas
10 §
Endast en regional myndighet inom hälso- och sjukvården får inrätta och föra en precisionsmedicinsk databas.
Övervägandena finns i avsnitt 14.7. Paragrafen, som är ny, innehåller en bestämmelse om inrättande och förande av en precisionsmedicinsk databas.
Bestämmelsen reglerar att endast en regional myndighet inom hälso- och sjukvården får inrätta och föra en precisionsmedicinsk databas. Med begreppet regional myndighet inom hälso- och sjukvår-
den avses sådan offentligt bedriven hälso- och sjukvård som sker i
regionerna. Det är inom den regionala hälso- och sjukvården de största behoven av behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser finns. Med regional myndighet inom hälso- och sjukvården avses sådan myndighet som utgörs av en
region, nämnd eller styrelse inom en region. En verksamhetsgren inom en nämnd eller styrelse i en region är en del av en regional myndighet. Kommunala bolag enligt 2 kap. 3 § OSL omfattas inte.
Begreppet inom hälso- och sjukvården motsvarar begreppet såsom det regleras i 1 kap. 1 § PDL. Hur en region organisatoriskt ska inrätta och föra en precisionsmedicinsk databas är upp till regionen att bestämma, förutsatt att det ska vara ”inom hälso- och sjukvården”. Sådan verksamhet inom en regional myndighet som har som uppdrag att stödja verksamhet inom hälso- och sjukvården, exempelvis genom att inom en regional myndighet tillhandahålla sådan infrastruktur som behövs för att inrätta och föra en precisionsmedicinsk databas, till exempel en it-förvaltning ska anses vara inom hälso- och sjukvården och får således inrätta och föra en precisionsmedicinsk databas. Myndighet som bedriver annan typ av verksamhet än hälso- och sjukvård eller stöd till annan typ av verksamhet inom regioner, exempelvis en fastighetsförvaltande myndighet som tillhandahåller lokaler till hälso- och sjukvården ska inte anses omfattas av förslaget att få inrätta och föra en precisionsmedicinsk databas.
Endast de regionala myndigheterna får inrätta och föra precisionsmedicinska databaser, detta då hälso- och sjukvårdens organisation och struktur med den specialiserade vården är förlagd till regionerna. Regionerna har såväl kopplingen mellan avancerad diagnostik och individanpassad behandling och därmed bättre möjlighet att erbjuda en mer träffsäker behandling med användande av precisionsmedicin.
Behovet att kunna vidareanvända patientuppgifter har uppstått på senare tid. Den moderna hälso- och sjukvården med flera olika parallella aktörer ställer stora krav på nya arbetssätt och samverkan över organisationsgränser. Parallella organisationer i sjukvården med såväl statliga, kommunala, regionala och privata aktörer är faktorer som utgör svårigheter för införandet av precisionsmedicin på en jämlik nivå och som gagnar hälso- och sjukvårdens mål om god hälsa och en vård på lika villkor för hela befolkningen.
11 §
Regional myndighet inom hälso- och sjukvården som för precisionsmedicinsk databas får endast behandla de personuppgifter som behövs för syftet med databasen.
Övervägandena finns i avsnitt 14.7.4. Paragrafen, som är ny, innehåller en bestämmelse om vilka personuppgifter som får behandlas utifrån syftet med den precisionsmedicinska databasen.
Bestämmelsen anger att en regional myndighet inom hälso- och sjukvården som för precisionsmedicinsk databas får i databasen endast behandla de personuppgifter som behövs för syftet med databasen. Regleringen är utformad utifrån ett behovskriterium sett utifrån syftet med databasen. Grundläggande behov finns för de uppgifter som får behandlas för urval och tillgängliggörande till databasen enligt 13 §. Dessa uppgifter ska lagras och kan även behöva behandlas på annat sätt. Exempelvis ska uppgifter utplånas i händelse av att en patient, efter att ett tillgängliggörande har skett, motsätter sig detta enligt 2 §.
Tillgängliggörande av uppgifter till en precisionsmedicinsk databas sker av pseudonymiserade uppgifter, se reglering i 13 §. Behandling av exempelvis namn och personnummer behövs inte för syftet med databasen. Däremot kommer uppgift om vårdgivare och löpnummer eller motsvarande pseudonym för patienterna att finns i databasen. Den regionala myndighet som för den precisionsmedicinska databasen utgör på så sätt en länk mellan de vårdgivare som tillgängliggör uppgifter och den myndighet som önskar begära kompletterande uppgifter från patientjournal enligt 20 §. Sådan behandling anses även den vara exempel på sådan behandling som behövs för syftet med databasen.
12 §
Den som arbetar hos en regional myndighet inom hälso- och sjukvården som för en precisionsmedicinsk databas får ta del av personuppgifter i databasen endast om han eller hon behöver uppgifterna för sitt arbete med databasen.
I 4 kap. 2 och 3 §§ finns allmänna bestämmelser om tilldelning av behörighet för elektronisk åtkomst och kontroll av elektronisk åtkomst.
Övervägandena finns i avsnitt 14.7.5. Paragrafen, som är ny, innehåller en bestämmelse om vem som får ta del av personuppgifter i den precisionsmedicinska databasen samt förutsättningar för åtkomsten i övrigt.
Bestämmelsens första stycke innebär att den som arbetar hos en regional myndighet inom hälso- och sjukvården som för en precisionsmedicinsk databas får ta del av personuppgifter i databasen endast om han eller hon behöver uppgifterna för sitt arbete. Bestämmelsen motsvarar således regleringen i 4 kap. 1 § om inre sekretess. I 5 § tredje stycket erinras om att i stället för vad som anges i 4 kap. 1 § gäller bestämmelser om inre sekretess i detta kapitel vid behandling av personuppgifter för det ändamål som anges i första stycket. Regleringen innebär att den regionala myndighet som utses till centralt personuppgiftsansvarig och därmed får föra en precisionsmedicinsk databas behöver kunna tilldela medarbetare behörighet för åtkomst till personuppgifter i databasen för att exempelvis kunna hantera eventuella säkerhetsfrågor, utplåna uppgifter och hantera utlämnande av uppgifter från databasen enligt uppgiftsskyldighet enligt lag eller förordning.
Behörighetstilldelningen utgår från regleringen i 4 kap. 2 § PDL som fastställer en vårdgivares skyldighet att bestämma villkoren för behörighet för de som ingår i vårdgivarens organisation. I bestämmelsen anges att behörigheten ska begränsas till vad som behövs för att den enskilde medarbetaren ska kunna utföra sina arbetsuppgifter inom hälso- och sjukvården. Bestämmelsen gäller för all vårdgivares verksamhet, det vill säga så även för regleringen av att ta del av uppgifter i en precisionsmedicinsk databas. Förandet av en precisionsmedicinsk databas för ändamålet vård av annan en annan patient än den som uppgifterna avser innebär sådan individinriktad patientvård som regleras av hälso- och sjukvårdslagen (2017:30) och förandet av databasen ska därmed ses som arbetsuppgifter inom hälso- och sjukvården.
Medarbetarnas faktiska åtkomst till databasen i vårdsyfte regleras i 17 §. Endast de medarbetare som utifrån sina arbetsuppgifter med förandet av databasen ska ha åtkomst till databasen och de medarbetare som har behov av tillgång till personuppgifterna i den precisionsmedicinska databasen i syfte att kunna vårda patienter, kommer således göra det med stöd av en annan bestämmelse.
Av 4 kap. 3 § PDL framgår att det finns krav på att en vårdgivare ska dokumentera och kontrollera den åtkomst som sker till de uppgifter om patienter som förs helt eller delvis automatiserat. Regleringen syftar således till att tydliggöra vårdgivarens ansvar att kontrollera och följa upp den behörighetstilldelning och på så vis lättare kunna beivra eventuell obehörig åtkomst som skett. Eftersom 4 kap.
3 § PDL gäller alla personuppgifter som hos en vårdgivare behandlas på automatiserad väg, ska det även gälla för kontroll av elektronisk åtkomst samt direktåtkomst för en precisionsmedicinsk databas.
Av andra stycket erinras om att i 4 kap. 2 och 3 §§ finns allmänna bestämmelser om tilldelning av behörighet för elektronisk åtkomst och kontroll av elektronisk åtkomst.
Urval och tillgängliggörande av personuppgifter till en precisionsmedicinsk databas
13 §
En vårdgivare får behandla personuppgifter för urval och tillgängliggörande till en regional myndighet inom hälso- och sjukvården som för en precisionsmedicinsk databas.
Urval och tillgängliggörande får endast ske av personuppgifter som behövs för att skapa underlag för det ändamål som anges i 5 § första stycket.
Övervägandena finns i avsnitt 14.6 och 14.6.2. Paragrafen, som är ny, innehåller en bestämmelse om urval och tillgängliggörande av personuppgifter till en precisionsmedicinsk databas.
Av första stycket framgår att en vårdgivare får behandla personuppgifter för urval och tillgängliggörande till en regional myndighet inom hälso- och sjukvården som för en precisionsmedicinsk databas. Med begreppet vårdgivare avses definitionen som finns i 1 kap. 3 § PDL. Regleringen innebär att alla vårdgivare omfattas av möjligheten att göra urval och tillgängliggöra personuppgifter till en precisionsmedicinsk databas. Det ska således inte spela någon roll var i sjukvårdssystemet som en relevant uppgift för en precisionsmedicinsk databas uppkommer.
I praktiken finns vissa typer av uppgifter som är relevanta för ändamålet vård av annan patient än den som uppgifterna avser typiskt sett hos framför allt vissa vårdgivare. Ett sådant exempel är uppgift om genvariation, som framför allt genereras inom den regionalt bedrivna specialistvården. Vissa vårdgivare kan därmed ha större volymer relevanta uppgifter för en precisionsmedicinsk databas än andra vårdgivare. Utifrån att reglerna är frivilliga enligt 1 § är det upp till vårdgivarna att bestämma vilka som i praktiken ska tillgängliggöra uppgifter till en precisionsmedicinsk databas.
I andra stycket preciseras att urval och tillgängliggörande får endast ske av personuppgifter som behövs för att skapa underlag för det ändamål som anges i 5 § första stycket. Begreppet urval innebär att relevanta personuppgifterna för ändamålet personuppgiftsbehandling för vård av annan patient än den som uppgifterna avser avgränsas på något sätt. Hur detta sker är upp till vårdgivaren som ska göra urvalet att välja, på ett sätt som passar för vårdgivaren i fråga. Urval kan ske med både manuella åtgärder och automatiskt. Rent praktiskt skulle det kunna innebära att användarna av en precisionsmedicinsk databas själva skriver kodsträngen som gör urvalet, men det kan också vara så att regionen som för den precisionsmedicinska databasen väljer att utforma ett gränssnitt som underlättar för aktuell vårdgivare att göra urval. Vissa urval kan göras automatiskt, exempelvis skulle personuppgifter avseende sällsynta hälsotillstånd på förhand kunna avgränsas genom urval för att göra så att personer som inte har behov av just dessa personuppgifter inte får tillgång till dem.
Kravet på pseudonymisering eller likvärdigt skydd enligt 14 § ska tillämpas på de uppgifter som ingår i urvalet innan tillgängliggörande får ske.
Begreppet tillgängliggörande omfattar såväl urval och tillgängliggörande av personuppgifter till precisionsmedicinsk databas, inrättande och förande av precisionsmedicinsk databas, tillgång till personuppgifter i precisionsmedicinsk databas för sökning samt begäran om kompletterande personuppgifter från patientjournal som kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser. Ett tillgängliggörande omfattar således när det är fråga om ett utlämnande över vårdgivar- eller myndighetsgräns. Ett tillgängliggörande omfattar även när personuppgifter inom den myndighet som för en precisionsmedicinsk databas avskiljs från behandling enligt 2 kap. 4 § första stycket 1–2 PDL för att tillföras databasen. Begreppet tillgängliggörande används som begrepp för när personuppgifter tillförs en precisionsmedicinsk databas, oavsett som detta sker över en myndighetsgräns eller inte.
Tillgängliggörande till precisionsmedicinsk databas ska kunna ske i elektronisk form. När tillgängliggörandet sker inom en myndighet finns inga särskilda regler som rör formen för avskiljande av personuppgifterna. Det står myndigheten principiellt fritt att använda de tekniska lösningar den finner lämpligt. De tekniska lösningarna ska
stödja kraven på urval av personuppgifter som följer av regleringen i 6 kap. PDL.
När tillgängliggörandet är ett utlämnande aktualiseras 5 kap. 6 § PDL. Av denna bestämmelse följer att om en personuppgift får lämnas ut, kan det ske på medium för automatiserad behandling. Sådant utlämnande och den teknik som då används, får inte medföra att utlämnandet ses som en direktåtkomst. Tillgängliggörandet till precisionsmedicinsk databas ska vara avgränsat och inte omfatta mer uppgifter än vad som behövs för syftet med databasen. Uppgifter utöver detta ska inte vara tillåtet att tillgängliggöra. Det är av vikt sett ur ett integritetshänseende att databasen inte ska ha ”stående tillgång” till alla personuppgifter som vårdgivare behandlar enligt 2 kap. 4 § första stycket 1–2 PDL. De tekniska lösningar som används för tillgängliggörandet behöver vara anpassade i förhållande till detta.
Bestämmelsen i 6 kap. 5 § OSL innebär inte att tillgängliggörande enligt utredningens förslag bör medföra skyldigheter för myndigheter att tillgängliggöra uppgifter till en precisionsmedicinsk databas.
14 §
Tillgängliggörande enligt 13 § får endast avse personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt.
Övervägandena finns i avsnitt 14.6.5. Paragrafen, som är ny, innehåller en bestämmelse om att uppgifter som tillgängliggörs i en precisionsmedicinsk databas ska vara pseudonymiserade eller skyddade på likvärdigt sätt.
I bestämmelsen framgår att tillgängliggörande enligt 13 § får endast avse personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt. Med begreppet pseudonymisering avses enligt artikel 4.5 i EU:s dataskyddsförordning att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används. Dessa kompletterande uppgifter ska enligt nyss nämnda bestämmelse, förvaras separat och vara föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.
Som alternativ till pseudonymisering med kodnyckel kan det finnas andra skyddsåtgärder som uppfyller samma syfte, det vill säga att se till att de personuppgifter som tillgängliggörs i den precisionsme-
dicinska databasen inte kan sammankopplas med den registrerades identitet.
I artikel 32.1 i EU:s dataskyddsförordning anges att den personuppgiftsansvarige, med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska vidta lämpliga tekniska och organisatoriska åtgärder.
15 §
Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient om han eller hon behöver det för sitt arbete med urval och tillgängliggörande av uppgifter till en precisionsmedicinsk databas.
I 4 kap. 2 och 3 §§ finns allmänna bestämmelser om tilldelning av behörighet för elektronisk åtkomst och kontroll av elektronisk åtkomst.
Övervägandena finns i avsnitt 14.6.6. Paragrafen, som är ny, innehåller en bestämmelse om vem som får ta del av dokumenterade uppgifter om en patient som finns i en precisionsmedicinsk databas.
I första stycket regleras att en som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient om han eller hon behöver det för sitt arbete med urval och tillgängliggörande av uppgifter till en precisionsmedicinsk databas. Den elektroniska åtkomst som sker till följd av att urval och tillgängliggörande till en precisionsmedicinsk databas omfattas av bestämmelsen i 4 kap. 3 § PDL samt föreskrifter som har meddelats med stöd av 4 kap. 3 § andra stycket PDL. Bestämmelsen motsvarar således regleringen i 4 kap. 1 § om inre sekretess. I 5 § tredje stycket erinras om att i stället för vad som anges i 4 kap. 1 § gäller bestämmelser om inre sekretess i detta kapitel vid behandling av personuppgifter för det ändamål som anges i första stycket.
I 4 kap. 2 § PDL fastställs en vårdgivares skyldighet att bestämma villkoren för behörighet för de som ingår i vårdgivarens organisation. I bestämmelsen anges att behörigheten ska begränsas till vad som behövs för att den enskilde medarbetaren ska kunna utföra sina arbetsuppgifter inom hälso- och sjukvården. Bestämmelsen gäller för all vårdgivares verksamhet. Behovs- och riskanalyser som ska ligga till grund för behörighetstilldelningen och det är av största vikt att
dessa är så träffsäkra som möjligt avseende vilka som lämpligast är att ha en sådan behörighet och vad behörigheten bör innefatta.
I 4 kap. 3 § PDL finns krav på att en vårdgivare ska dokumentera och kontrollera den åtkomst som sker till de uppgifter om patienter som förs helt eller delvis automatiserat. Regleringen i 4 kap. 3 § PDL tydliggör vårdgivarens ansvar att kontrollera och följa upp den behörighetstilldelning som skett och på så vis lättare kunna beivra eventuell obehörig åtkomst. I det skede när det rör sig om urval och tillgängliggörande till en precisionsmedicinsk databas kan den behandlingen till stor del kan jämställas med den hantering som sker i dag för att tillgodose olika uppgiftslämnande, även i de fall då tillgängliggörandet innebär ett utlämnande i TF:s mening.
Eftersom 4 kap. 3 § PDL gäller alla personuppgifter som hos en vårdgivare behandlas på automatiserad väg, ska det även gälla för kontroll av elektronisk åtkomst samt direktåtkomst för en precisionsmedicinsk databas.
Av andra stycket framkommer en erinran om att i 4 kap. 2 och 3 §§ finns allmänna bestämmelser om tilldelning av behörighet för elektronisk åtkomst och kontroll av elektronisk åtkomst.
Tillgång till personuppgifter i precisionsmedicinsk databas
Tillgång genom direktåtkomst eller annat elektroniskt utlämnande
16 §
En regional myndighet inom hälso- och sjukvården får ges tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas i en precisionsmedicinsk databas.
Övervägandena finns i avsnitt 14.8. Paragrafen, som är ny, innehåller en bestämmelse om tillgång genom direktåtkomst eller annat elektroniskt utlämnade till personuppgifter som behandlas i en precisionsmedicinsk databas.
Av bestämmelsen framkommer att en regional myndighet inom hälso- och sjukvården får ges tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas i en precisionsmedicinsk databas. Tillgången till personuppgifter i en precisionsmedicinsk databas ska utgå från var de största behoven av sådan tillgång finns. Tillgång till personuppgifter i en precisionsmedicinsk
databas innebär att ett utlämnande av personuppgifter behöver ske från den regionala myndighet som för den precisionsmedicinska databasen till andra regionala myndigheterna inom hälso- och sjukvården. Det är en fråga om ett utlämnande mellan myndigheter inom olika vårdgivare. Beroende på hur den region som för databasen är organiserad kan det även vara fråga om utlämnande mellan myndigheter inom den regionen.
Utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning se 5 kap. 4 § PDL. Tre exempel på typsituationer där tillgång till precisionsmedicinsk databas kan ges: från en myndighet inom en region som bedriver hälso- och sjukvård till 1) en myndighet inom en annan vårdgivare, 2) en myndighet inom samma vårdgivare eller 3) inom samma myndighet. I 3) är det inte fråga om ett utlämnande, utan här gäller endast reglerna om behörighet och villkor för sökning i databas.
I första exemplet ska tillgång till en precisionsmedicinsk databas kunna ges från en regional myndighet inom en vårdgivare till en regional myndighet inom en annan vårdgivare. I andra exemplet ska tillgång till en precisionsmedicinsk databas också kunna ges från en myndighet inom en region till en myndighet inom samma region. Regionen är en vårdgivare. I en sådan situation ges alltså tillgången mellan myndigheter inom en vårdgivare.
Enligt 5 kap. 4 § andra stycket PDL gäller att om en region eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma region eller kommun. Denna bestämmelse ger således stöd för direktåtkomst i den situationen där en precisionsmedicinsk databas förs inom en regional myndighet och tillgång ska ges till en annan myndighet inom den regionen. Regeln avser dock endast ”direktåtkomst”. Utredningens föreslagna regler omfattar även ”annat elektroniskt utlämnade”. Utredningen konstaterar att utredningens förslag delvis överlappar med bestämmelsen i 5 kap. 4 § andra stycket PDL.
Tilldelning av behörighet för elektronisk åtkomst
17 §
När en regional myndighet inom hälso- och sjukvården ska bestämma villkor för tilldelning av behörighet för elektronisk åtkomst enligt 4 kap. 2 § får behörighet till en precisionsmedicinsk databas endast tilldelas den som arbetar i den specialiserade vården och behöver åtkomsten för sitt arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tilldelning av behörighet enligt första stycket för åtkomst till uppgifter som förs helt eller delvis automatiserat.
Övervägandena finns i avsnitt 14.8.4. Paragrafen, som är ny, innehåller en bestämmelse om tilldelning av behörighet för elektronisk åtkomst till uppgifter i en precisionsmedicinsk databas.
Regleringen i första stycket innebär att när en regional myndighet inom hälso- och sjukvården ska bestämma villkor för tilldelning av behörighet för elektronisk åtkomst enligt 4 kap. 2 § PDL får behörighet till en precisionsmedicinsk databas endast ges till den som arbetar i specialistvården och behöver åtkomsten för sitt arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter. Bestämmelsen innebär en precisering av den redan befintliga regleringen i 4 kap. 2 § PDL för att ytterligare begränsa behörigheten för åtkomsten till personuppgifterna som finns i en precisionsmedicinsk databas.
Behovet av att söka i en precisionsmedicinsk databas är knutet till specialistvården. Utöver de ställningstaganden som följer av 4 kap. 2 § PDL och 4 kap. 2 § i Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården som den aktuella personuppgiftsansvarige gör, får tilldelning av behörighet, endast ges till en person som arbetar i specialistvården och som behöver åtkomsten för sitt arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter. Regleringen i 4 kap. 2 § PDL ska följaktligen alltjämt tillämpas även för elektronisk åtkomst till en precisionsmedicinsk databas, dock med en begränsning i vilka som kan få en sådan snävare behörighet.
Det är regionala myndigheter inom hälso- och sjukvården som kan inrätta och föra precisionsmedicinska databaser. Stundom kan det falla sig så att samma regionala myndighet inom hälso- och sjukvården
som tilldelar behörighet att söka i precisionsmedicinsk databas, också är den myndighet som har inrättat och för den precisionsmedicinska databasen.
Begreppet specialiserad vård är inte uttryckligen definierat i någon lagstiftning och ska i sitt sammanhang vad gäller behörighetsstyrning för åtkomst i en precisionsmedicinsk databas ses motsatsvis till definitionen av primärvård i enligt 2 kap. 6 § hälso- och sjukvårdslagen (2017:30). Kriteriet om arbete i den specialiserade vården ska även ses tillsammans med kriteriet att medarbetaren i fråga behöver åtkomsten för sitt arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter.
Arbetsuppgifter kopplade till precisionsmedicinsk vård utförs av olika yrkeskategorier inom hälso- och sjukvården. Tilldelning av behörighet behöver kunna ske på ett ändamålsenligt sätt utifrån detta. Ändamålet för en precisionsmedicinsk databas omfattar dock endast vården av en patient. Behovet av att söka i en precisionsmedicinsk databas ska därmed endast vara kopplat vårdändamål för vård av patienter i specialistvården.
Av andra stycket framkommer att regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tilldelning av behörighet enligt första stycket för åtkomst till uppgifter som förs helt eller delvis automatiserat.
Villkor för behandling av personuppgifter
18 §
En regional myndighet inom hälso- och sjukvården får behandla personuppgifter som en annan myndighet som för precisionsmedicinsk databas har gjort tillgängliga om
1. någon som arbetar hos myndigheten och enligt 17 § har behörighet till precisionsmedicinsk databas deltar i vården av en patient, och
2. uppgifterna kan ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten.
Övervägandena finns i avsnitt 14.8.5. Paragrafen, som är ny, innehåller en bestämmelse om en regional myndighets förutsättningar för att få behandla personuppgifter i en precisionsmedicinsk databas.
Bestämmelsen innebär att en regional myndighet inom hälso- och sjukvården får behandla personuppgifter som en annan myndighet som för precisionsmedicinsk databas har gjort tillgängliga om någon som arbetar hos myndigheten och har behörighet till precisionsmedicinsk databas deltar i vården av en patient, och uppgifterna kan ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten. En grundläggande förutsättning är att personen som ska ta del av uppgifter i en precisionsmedicinsk databas deltar i vården av en patient. Uppgifterna i databasen ska även kunna ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten. Den som söker i databasen vet inte alltid om det ens finns uppgifter i databasen som har betydelse för vården av patienten. Själva syftet med sökningen kan vara att ta reda på om det över huvud taget finns relevant information. Det kan också vara så att den som behandlar personuppgifter i databasen har en uppfattning om att det kan finnas uppgifter som är relevanta, men inte i vilken omfattning eller hur betydelsefulla de kan vara. För att en precisionsmedicinsk databas ska kunna användas för sitt syfte kan inte kraven för sökning vara för höga, då syftet i så fall går förlorat.
Kravet att uppgifterna i databasen kan ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten, ett lågt ställt beviskrav. Utifrån att den som söker uppgifter i databasen i vilket fall initialt inte alltid vet om det finns uppgifter av relevans, ska en bedömning ska göras av att den typen av uppgifter som finns i databasen kan vara av värde för utredningen eller behandlingen av patienten. Det är en medicinsk bedömning som ska avgöra frågan om när det kan ha betydelse att behandla uppgifter i en precisionsmedicinsk databas. Den medicinska bedömningen ska baseras på vetenskap och beprövad erfarenhet.
Uppgifterna ska ha betydelse för att inom hälso- och sjukvården förebygga, utreda, behandla sjukdomar och skador. Det är för vård och behandling av patienten som uppgifterna ska användas, vilket utöver det generella ändamålet uttrycks som ett krav vid behandlingen av personuppgifter i en precisionsmedicinsk databas. Avseende behandling av personuppgifter i precisionsmedicinsk databas innebär kravet att en regional myndighet inte får använda tillgången till databasen för andra syften än vård och behandling.
Antalet sökningar i en precisionsmedicinsk databas är inte begränsade. En sådan avgränsning skulle i flera fall kunna leda till omotiverade skillnader mellan patienternas möjlighet att få en god vård.
Inre sekretess
19 §
Den som arbetar hos en regional myndighet som för en precisionsmedicinsk databas och har behörighet till sådan databas, får ta del av personuppgifter i databasen om han eller hon
1. deltar i vården av en patient, och
2. uppgifterna kan ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten.
Övervägandena finns i avsnitt 14.8.5. Paragrafen, som är ny, innehåller en bestämmelse om medarbetare hos en regional myndighet möjlighet att få ta del av personuppgifter i en precisionsmedicinsk databas.
Bestämmelsen innebär att den som arbetar hos en myndighet som för precisionsmedicinsk databas och har behörighet till sådan databas, får ta del av personuppgifter i databasen om han eller hon deltar i vården av en patient, och uppgifterna kan ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten. Bestämmelsen motsvarar således regleringen i 4 kap. 1 § om inre sekretess. I 5 § tredje stycket erinras om att i stället för vad som anges i 4 kap. 1 § gäller bestämmelser om inre sekretess i detta kapitel vid behandling av personuppgifter för det ändamål som anges i första stycket.
Regleringen motsvarar 18 § avseende tillgång genom direktåtkomst mellan regionala myndigheter. Aktuell bestämmelse tar sikte på befogenhet att söka i precisionsmedicinsk databas när tillgången endast ges inom den myndighet som för den precisionsmedicinska databasen för den enskilde medarbetaren.
I övrigt avses samma förutsättningar gälla som i 18 §, varvid hänvisas till den bestämmelsens kommentar.
Kompletterande personuppgifter från patientjournal
Begäran om kompletterande personuppgifter
20 §
En regional myndighet inom hälso- och sjukvården som har tillgång till en precisionsmedicinsk databas får, hos en vårdgivare som enligt 13 § har tillgängliggjort personuppgifter till den databasen, begära de kompletterande personuppgifter från den patientjournal som kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser.
En begäran om kompletterande personuppgifter från patientjournal får också göras inom den myndighet som tillgängliggjort uppgifter till en precisionsmedicinsk databas om uppgifterna kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser.
Övervägandena finns i avsnitt 14.9 och 14.9.1. Paragrafen, som är ny, innehåller en bestämmelse om möjligheten att begära kompletterande personuppgifter från patientjournal.
Regleringen i första stycket innebär att en regional myndighet inom hälso- och sjukvården som har tillgång till en precisionsmedicinsk databas får, hos en vårdgivare som enligt 13 § har tillgängliggjort personuppgifter till den databasen, begära de kompletterande personuppgifter från patientjournal som kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser.
Syftet med en precisionsmedicinsk databas är att utgöra underlag för att hitta relevanta personuppgifter för vården av en annan patient än den som personuppgifterna avser. Utifrån det utfall som behörig vårdpersonal fått i en precisionsmedicinsk databas efter sökning och urval, kan det i vissa fall finnas behov av mer information om de patienterna än det som finns i den precisionsmedicinska databasen, utöver utfallen. Mer information handlar då om kompletterande personuppgifter från en eller flera patientjournaler för att använda i vården av en annan patient än den personuppgifterna avser. Det rör sig då om specifik information som den behandlande personalen behöver i det enskilda fallet och kan alltså inte tillgodoses av de kategorier av uppgifter som finns i den precisionsmedicinska databasen som vårdpersonalen har tillgång till. Kompletterande personuppgifter behövs då från patientjournalen.
Ytterligare behandling av personuppgifter ska ske först efter att sökning har gjorts i en precisionsmedicinsk databas. En begäran om kompletterande personuppgifter från journal får göras när en behand-
lande personal gjort bedömningen att det finns ett behov av kompletterande personuppgifter för vården av den patient som personalen har den pågående patientrelationen med. En regional myndighet begär då kompletterande personuppgifter från patientjournal hos den vårdgivare som har tillgängliggjort uppgifterna i den precisionsmedicinska databasen.
En begäran får ske först sedan en bedömning har gjorts att kompletterande uppgifter ”kan antas” ha betydelse för vården av en annan patient än den som uppgifterna avser. Beviskravet är något högre ställt än vid sökning i en precisionsmedicinsk databas, se 18 och 19 §§. I detta skede kan vårdpersonalen, utifrån det utfall som blivit vid sökning i den precisionsmedicinska databasen, förväntas ha en uppfattning om vilka ytterligare uppgifter som behövs för vården av patienten. Det ska alltså utifrån utfallet och kännedomen om patienten som vårdas, gå att precisera en begäran om kompletterande uppgifter. Vidare krävs ett aktivt ställningstagande kring att uppgifterna som begärs kan antas ha betydelse för vården. Det ska på goda grunder kunna antas att uppgifterna har någon betydelse i vården av patienten. Rekvisitet är detsamma som finns i 3 kap. 1 § SVOD.
Den vårdgivare som har tillgängliggjort personuppgifter till en precisionsmedicinsk databas till en regional myndighet inom den specialiserade hälso- och sjukvård lämnar sedan de kompletterande uppgifterna efter begäran till den regionala myndigheten.
Den regionala myndigheten behandlar sedan de kompletterande personuppgifterna. De olika stegen av tillvägagångssättet avseende begäran om kompletterande uppgifter beskrivs närmare i avsnitt 14.9.1 –14.9.3.
De kompletterande uppgifterna ska vara pseudonymiserade enligt 22 §.
Regleringen i andra stycket innebär att tillgängliggörande inom en myndighet också ska föregås av en begäran. Det ska alltså inte vara tillåtet att genom behörighet enligt 4 kap. 2 § PDL bereda sig tillgång till kompletterande personuppgifter. En intern begära ska ske under samma villkor som begäran mellan myndigheter. Begäran får endast göras om kompletterande personuppgifter kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser. Regionala myndigheter inom hälso- och sjukvården behöver ha en intern ordning för begäran och tillgängliggörande av kompletterande personuppgifter.
Tillgängliggörande av kompletterande personuppgifter
21 §
En vårdgivare får tillgängliggöra de personuppgifter som omfattas av en begäran om kompletterande personuppgifter enligt 20 §.
Tillgängliggörande av kompletterande personuppgifter får endast ske till en regional myndighet inom hälso- och sjukvården som har tillgång till den precisionsmedicinska databasen som vårdgivaren tillgängliggjort uppgifter till.
Övervägandena finns i avsnitt 14.9 och 14.9.2. Paragrafen, som är ny, innehåller en bestämmelse om tillgängliggörande av kompletterande personuppgifter.
Bestämmelsen i första stycket innebär att en vårdgivare får tillgängliggöra personuppgifter genom att lämna de personuppgifter som omfattas av en begäran om kompletterande personuppgifter enligt 20 §.
Uppgifterna ska lämnas ut direkt från den vårdgivare som uppgifterna ursprungligen kommer ifrån, och inte från den precisionsmedicinska databasen. Med andra ord får den regionala myndighet som vill ha ut uppgifter vända sig direkt till vårdgivaren, och inte till den som har den precisionsmedicinska databasen. Det är vårdgivaren som har samlat in uppgifterna från början som är mest lämpad att göra sekretessprövningen.
En vårdgivare som mottar en begäran om kompletterande uppgifter kan inte göra någon närmare bedömning av vilka uppgifter som behövs. Endast de personuppgifter som behandlas hos vårdgivaren för ändamålen i 2 kap. 4 § första stycket 1–2 PDL får behandlas för vården av en annan patient än den som uppgifterna avser och så gäller likaså vid ett tillgängliggörande av kompletterande personuppgifter från patientjournal.
De kompletterande uppgifterna ska vara pseudonymiserade eller skyddade på likvärdigt sätt, vilket följer av 23 §.
Av andra stycket framkommer att ett kompletterande tillgängliggörande genom utlämnande endast får ske till en regional myndighet inom hälso- och sjukvården som har tillgång till den precisionsmedicinska databasen som vårdgivaren tillgängliggjort uppgifter till.
I enlighet med 20 § ankommer det på den begärande myndigheten att precisera vilka uppgifter den behöver. Vårdgivaren som mottar en sådan begäran har alltjämt en skyldighet att inte tillgängliggöra uppgifter om omfattningen på uppgifterna i begäran tycks vara helt ogrun-
dad. Likaså har vårdgivaren för det fall den är en offentlig vårdgivare att tillämpa 21 kap. 7 OSL.
Vid elektroniskt utlämnande enligt 5 kap. 6 § PDL fattas ett beslut i varje enskilt fall om uppgifterna kan lämnas ut eller om de omfattas av sekretess. Som regel lämnas informationen ut i en form som medför att mottagaren kan bearbeta den. Det står utlämnande myndigheter principiellt fritt att använda de tekniska lösningar den finner lämpligt, givet beaktande av de säkerhetskrav som uppställs bland annat utifrån EU:s dataskyddsförordning, PDL och Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården.
22 §
En regional myndighet inom hälso- och sjukvården får, utöver den behandling av personuppgifter som sker genom tillgång till en precisionsmedicinsk databas, endast behandla de ytterligare kompletterande personuppgifter om en patient som behövs för vården av en annan patient än de som uppgifterna avser.
Övervägandena finns i avsnitt 14.9.3. Paragrafen, som är ny, innehåller en bestämmelse om att en regional myndighet endast får behandla de ytterligare kompletterade personuppgifter som behövs av vården av en annan patient.
Regleringen innebär att en regional myndighet inom hälso- och sjukvården får, endast behandla de ytterligare kompletterande personuppgifter om en patient som behövs för vården av en annan patient än de som uppgifterna avser. Behandlingen gäller utöver den behandling av personuppgifter som sker genom tillgång till en precisionsmedicinsk databas. Behandling avser exempelvis mottagande, användande i vården och eventuellt journalföring beträffande den patient som vårdas.
Redan begäran av personuppgifter är villkorad av att uppgifterna ska antas ha betydelse för vården av en annan patient än den som uppgifterna avser. Att behandling av personuppgifter aldrig får ske utöver vad som är nödvändigt bör enligt utredningens konsekvensenligt framgå av själva bestämmelsen. Utredningen föreslår därför att behandling av kompletterande uppgifter om en patient som behövs för vården av en annan patient än de som uppgifterna avser.
För att användande av utfallet av en sökning i precisionsmedicinsk databas och behandling av kompletterande uppgifter inte ska flyta ihop, regleras det uttryckligen att behandlingen av kompletterande uppgifter sker utöver tillgång till precisionsmedicinsk databas.
23 §
Tillgängliggörande enligt 21 § får endast avse personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt.
Övervägandena finns i avsnitt 14.9.4. Paragrafen, som är ny, innehåller en bestämmelse om att personuppgifter som lämnas ut som kompletterande personuppgifter ska vara pseudonymiserade eller skyddade på likvärdigt sätt.
Bestämmelsen innebär en integritetshöjande åtgärd genom att personuppgifter som lämnat ut som kompletterande uppgifter från patientjournal som kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser ska vara pseudonymiserade eller skyddade på likvärdigt sätt. Regleringen är samma som för tillgängliggörande av personuppgifter till en precisionsmedicinsk databas, se 14 §.
Med begreppet pseudonymisering avses enligt artikel 4.5 i EU:s dataskyddsförordning att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används. Dessa kompletterande uppgifter ska enligt nyss nämnda bestämmelse, förvaras separat och vara föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.
Som alternativ till pseudonymisering med kodnyckel kan det finnas andra skyddsåtgärder som uppfyller samma syfte, det vill säga att se till att de personuppgifter som tillgängliggörs i den precisionsmedicinska databasen inte kan sammankopplas med den registrerades identitet.
I artikel 32.1 i EU:s dataskyddsförordning anges att den personuppgiftsansvarige, med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska vidta lämpliga tekniska och organisatoriska åtgärder. Kravet hjälper personuppgiftsansvariga att uppfylla sina skyldigheter enligt dataskyddsförordningen att vidta lämpliga åtgärder för att säkerställa en säkerhetsnivå som är
lämplig i förhållande till risken (jämför artikel 32.1 dataskyddsförordningen).
Den som begär kompletterande uppgifter enligt 20 eller 21 §§ behöver inte ta del av direkt identifierbara uppgifter såsom namn och personnummer. Det är inte uppgifter om exempelvis namn eller personnummer som kommer vara intressanta att använda i vården av någon annan. Den vårdgivare som får begäran om att lämna kompletterande uppgifter behöver alltså se till att ta bort direkt identifierbara uppgifter, innan de kompletterande uppgifterna lämnas ut till den regionala myndigheten.
Inre sekretess
24 §
Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient om han eller hon behöver det för sitt arbete med begäran enligt 20 § om kompletterande personuppgifter från patientjournal.
I 4 kap. 2 och 3 §§ finns allmänna bestämmelser om tilldelning av behörighet för elektronisk åtkomst och kontroll av elektronisk åtkomst.
Övervägandena finns i avsnitt 14.9.5. Paragrafen, som är ny, innehåller en bestämmelse om förutsättningar för att ta del av kompletterande personuppgifter om patienter.
Bestämmelsens första stycke innebär en särskild befogenhetsregel för att den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient om han eller hon behöver det för sitt arbete med begäran om kompletterande personuppgifter från patientjournal. Regleringen gäller i stället för regleringen i 4 kap. 1 § PDL när den anställda arbetar med begäran om kompletterande personuppgifter från en patientjournal. I 5 § tredje stycket erinras om att i stället för vad som anges i 4 kap. 1 § gäller bestämmelser om inre sekretess i detta kapitel vid behandling av personuppgifter för det ändamål som anges i första stycket.
Regleringens i andra stycket erinrar om att de allmänna bestämmelserna i 4 kap. 2 och 3 §§ om tilldelning av behörighet för elektronisk åtkomst och kontroll av elektronisk åtkomst. Med behörighet
för åtkomst avser en användares faktiska möjligheter att ta del av upp-
gifter i exempelvis vårdgivarens journalsystem. Behörighetsstyrning är samlingsbegreppet för de organisatoriska, administrativa och tek-
niska åtgärder som vidtas för att anpassa och begränsa behörigheten efter användarens behov för att kunna utföra sitt arbete.
25 §
Den som enligt 17 § har behörighet till en precisionsmedicinsk databas får ta del av kompletterande personuppgifter om patienter om han eller hon
1. deltar i vården av en patient, och
2. uppgifterna kan antas ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten.
Övervägandena finns i avsnitt 14.9.5. Paragrafen, som är ny, innehåller en bestämmelse om förutsättningar för att behandla kompletterande personuppgifter om patienter.
Bestämmelsen innebär att den som har behörighet till en precisionsmedicinsk databas får ta del av kompletterande personuppgifter om patienter om han eller hon deltar i vården av en patient, och uppgifterna kan antas ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten. Bestämmelsen motsvarar således regleringen i 4 kap. 1 § om inre sekretess. I 5 § tredje stycket erinras om att i stället för vad som anges i 4 kap. 1 § gäller bestämmelser om inre sekretess i detta kapitel vid behandling av personuppgifter för det ändamål som anges i första stycket.
Regleringen motsvarar även befogenhetsbestämmelsen i 19 § avseende uppgifter i en precisionsmedicinsk databas, med den skillnaden att uppgifterna ska ”antas” ha betydelse. Detta innebär att det ska finnas ett grundat ställningstagande kring de begärda uppgifternas betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten. Det är samma krav som finns för begäran enligt 20 §.
Bestämmelsen tar sikte på den behandling som sker hos den regionala myndigheten av de mottagna kompletterande uppgifterna. På motsvarande sätt som regleringen i 4 kap. 1 § PDL få den anställda som sedan tidigare ha behörighet till den precisionsmedicinska databasen lov att ta del av mottagna kompletterande personuppgifter förutsatt att han eller hon deltar i vården av en patient eller om uppgifterna kan antas ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten.
Bevarande och gallring
26 §
När en handling i en precisionsmedicinsk databas är tillgänglig för flera regionala myndigheter gäller skyldigheten att bevara den endast för den myndighet som för databasen.
Övervägandena finns i avsnitt 14.11 och 14.11.2. Paragrafen, som är ny, innehåller en bestämmelse om bevarande av personuppgifter i en precisionsmedicinsk databas.
Regleringen innebär att i de fall en handling i en precisionsmedicinsk databas är tillgänglig för flera regionala myndigheter gäller skyldigheten att bevara den endast för den myndighet som för databasen. Vem som får föra en precisionsmedicinsk databas framkommer i 10 §.
Enligt arkivlagen (1990:782) ska allmänna handlingar bevaras. En myndighets arkiv bildas i huvudsak av de allmänna handlingarna från myndighetens verksamhet. För elektronisk information gäller till en början en undantagsregel som är av särskilt intresse i fråga om tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande. Upptagningar för automatisk behandling som är tillgängliga för flera myndigheter så att de utgör allmänna handlingar hos alla dessa myndigheter, ska dock bilda arkiv endast hos en av myndigheterna, i första hand den myndighet som svarar för huvuddelen av upptagningen (3 § första stycket andra meningen arkivlagen). Undantaget är nödvändigt eftersom en upptagning för automatiserad behandling som är tillgänglig för flera myndigheter på så sätt att de till exempel kan läsa innehållet, anses förvarad hos och inkommen till samtliga myndigheter som kan läsa den (se 2 kap.6 och 9 §§tryckfrihetsförordningen). Upptagningen är därmed allmän handling hos samtliga myndigheter som kan ta del av den.
I denna situation ska samma upptagning inte bevaras och bilda arkiv hos alla myndigheterna. De myndigheter som inte ansvarar för upptagningen kan därmed normalt gallra den. Om en myndighet använder uppgifter ur upptagningen i sin verksamhet, så kan dessa omfattas av dokumentationsskyldighet och ingå i myndighetens arkiv.
Personuppgifter i en precisionsmedicinsk databas innebär att handlingar kan anses inkomna och förvarade hos den regionala myndigheter inom hälso- och sjukvården som har tillgång till en databas. Tillgång får ges genom direktåtkomst eller annat elektroniskt utlämnande.
Sådan tillgång till en precisionsmedicinsk databas ska inte medföra en omfattande utökning av arkivbildningen hos de myndigheter som ges tillgång. Samtidigt ska inte heller bevarande av allmänna handlingar försämras. De uppgifter som tillgängliggörs i en precisionsmedicinsk databas ingår i arkivbildningen, dels hos de vårdgivare som tillgängliggör uppgifter till den precisionsmedicinska databasen, dels hos den myndighet som för databasen.
För att intresset av bevarande av allmänna handlingar ska tillgodoses behöver inte uppgifter i en precisionsmedicinsk databas, endast av de skälet att de är tillgängliga, även ingår i arkivbildningen hos de myndigheter som ges tillgång till en sådan databas. I de fall uppgifter laddas ner eller på annat sätt tillförs dokumentationen hos den myndighet som har tillgång till databasen ingår uppgifterna i den myndighetens arkivbildning. Uppgifter i en precisionsmedicinsk databas ska således enbart bevaras hos den myndighet som för databasen.
27 §
Personuppgifter i en precisionsmedicinsk databas får inte behandlas under längre tid än vad som behövs för ändamålen med databasen.
Övervägandena finns i avsnitt 14.11 och 14.11.1. Paragrafen, som är ny, innehåller en bestämmelse om bevarande och gallring av personuppgifter i en precisionsmedicinsk databas.
Bestämmelsen innebär att personuppgifter i en precisionsmedicinsk databas inte får behandlas under längre tid än vad som är nödvändigt för de ändamål som anges i 5 §. Lagring av personuppgifter är en form av behandling av personuppgifter enligt EU:s dataskyddsförordning. Huvudregeln i artikel 5.1 e i EU:s dataskyddsförordningen är att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.
Av 3 § arkivlagen (1990:782) framgår att en myndighets arkiv, som bland annat består av de allmänna handlingarna från myndighetens verksamhet, ska bevaras. Huvudprincipen enligt arkivlagstiftningen är således att allmänna handlingar ska bevaras. Enligt bestämmelsen ska myndigheternas arkiv bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens
behov. Det följer dock av 10 § arkivlagen att allmänna handlingar under vissa förutsättningar får gallras.
Den tid under vilken personuppgifter bevaras ska inte vara längre än vad som behövs för att de ändamål som den aktuella personuppgiftsbehandlingen syftar till ska kunna uppnås. Vid lagringen av uppgifter i de precisionsmedicinska databaserna kommer känsliga personuppgifter att behandlas om patienters hälsa. Behandlingen kan komma att omfatta en stor mängd patienter. Bevarandetidens längd motiveras utifrån de ändamål som lagen avser att tillgodose och med beaktande av integritetsskyddsintresset.
Gallring en oåterkallelig åtgärd som kan ha återverkningar bland annat på uppgifternas användbarhet för forskningsändamål. För att tydligare skilja mellan arkivrättsliga regler och regler om skydd för personuppgifter bör begreppet gallring enbart användas i den betydelse det har i arkivlagstiftningen.
28 §
Personuppgifter i en precisionsmedicinsk databas som enligt 2 § andra stycket ska utplånas till följd av att patienten motsatt sig tillgängliggörande sedan uppgifterna tillgängliggjorts får också gallras.
Övervägandena finns i avsnitt 14.11 och 14.11.1. Paragrafen, som är ny, innehåller en bestämmelse om gallring av personuppgifter i en precisionsmedicinsk databas i de fall där personuppgifter ska utplånas.
Bestämmelsen innebär att i de fall patienten enligt 2 § andra stycket motsatt sig tillgängliggörande av personuppgifter till en precisionsmedicinsk databas så får de också gallras. Det följer av 2 § andra stycket att i den situation patienten motsätter sig tillgängliggörande av personuppgifter till en precisionsmedicinsk databas efter att tillgängliggörande har skett, ska uppgifterna i den precisionsmedicinska databasen utplånas. Uppgifter i en precisionsmedicinsk databas kan vara allmänna handlingar som omfattas av arkivlagens regler om bevarande. För att ett utplånande inte ska hamna i strid med arkivlagens bestämmelser krävs en regel om att gallring av uppgifter är tillåten i den aktuella situationen.
Ytterligare föreskrifter om precisionsmedicinska databaser
29 §
Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om precisionsmedicinska databaser.
Övervägandena finns i avsnitt 14.12.1. Paragrafen, som är ny, innehåller en bestämmelse som upplyser om den så kallade restkompetensen i 8 kap. 7 § regeringsformen.
Bestämmelsen är en upplysning om att regeringen kan besluta om föreskrifter om precisionsmedicinska databaser.
8 kap.
5 §
En vårdgivare ska på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst till uppgifter om patienten som förekommit.
Första stycket gäller inte den direktåtkomst eller elektroniska åtkomst som förekommit hos en regional myndighet inom hälso- och sjukvården i anledning av att myndigheten för en precisionsmedicinsk databas, har tillgång till en sådan databas eller behandlar kompletterande personuppgifter från patientjournal en-
ligt 6 kap. denna lag.
Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om information enligt första stycket.
Övervägandena finns i 14.7.5. Bestämmelsen avser vårdgivares skyldighet att på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst till uppgifter om patienten som förekommit.
Andra stycket, som är nytt, föreskriver ett undantag från skyldig-
heten att lämna information om direktåtkomst och elektroniska åtkomst till uppgifter om patienten som förekommit. Ändringen sker till följd av införandet av bestämmelser avseende ändamålet vården av en annan patient än den som uppgifterna avser i 6 kap. PDL.
Regionala myndigheter inom hälso- och sjukvården som för, eller har tillgång till, en precisionsmedicinsk databas har inte möjlighet att svara på en begäran enligt 8 kap. 5 § PDL med avseende på den direktåtkomst eller elektronisk åtkomst som förekommit inom myndigheten, eftersom uppgifter i en precisionsmedicinsk databas är pseudonymi-
serade eller skyddade på likvärdigt sätt, se 6 kap. 14 §. Detsamma gäller vid behandling av kompletterande personuppgifter från patientjournal, se 6 kap. 22–23 §§. Däremot gäller generella regler om information enligt artiklarna 13 och 14 i EU:s dataskyddsförordning, se även 8 kap. 6 § PDL.
Undantaget gäller inte för elektronisk åtkomst som förekommer i anledning av vårdgivares tillgängliggörande av personuppgifter till en precisionsmedicinsk databas enligt 6 kap. 13 §. Det gäller inte heller elektronisk åtkomst som förekommer i anledning av vårdgivares tillgängliggörande av kompletterande personuppgifter från patientjournal enligt 6 kap. 21 §.
6 §
Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska den som är personuppgiftsansvarig enligt denna lag lämna information till den registrerade om
1. den uppgiftsskyldighet som kan följa av lag eller förordning,
2. de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen,
3. rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras,
4. rätten enligt 5 § att få information om den åtkomst som förekommit,
5. rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personuppgifter i strid med denna lag, och
6. vad som gäller i fråga om sökbegrepp, direktåtkomst, utlämnande av uppgifter på medium för automatiserad behandling och annat elektroniskt utlämnande.
I 6 kap. 4 §, 7 kap. 3 § och i 2 kap. 2 § lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation finns ytterligare bestämmelser om vilken information som ska lämnas i vissa fall.
Övervägandena finns i 14.13. Paragrafen reglerar att personuppgiftsansvarig ska lämna information till den registrerade enligt dataskyddsförordningen och har ändrats genom ett tillägg i andra stycket.
Andra stycket, som är ändrat, upplyser om att det i 6 kap. 4 § PDL
finns ytterligare bestämmelser om vilken information som ska lämnas i vissa fall. Ändringen sker till följd av införandet av bestämmelser i 6 kap. avseende behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser och bestämmelsen om att patienten, innan personuppgifter om en patient tillgänglig-
görs till en precisionsmedicinsk databas, ska informeras om vad personuppgiftsbehandling i precisionsmedicinsk databas innebär, vad behandling av kompletterande personuppgifter från patientjournal innebär och möjligheten att motsätta sig att uppgifter görs tillgängliga till en precisionsmedicinsk databas.
7 §
I denna lag finns föreskrifter om andra rättigheter för den enskilde i 3 kap. 8 §, 4 kap. 4 § och 6 kap. 2 och 4 §§ samt 7 kap. 2 och 3 §§. Sådana föreskrifter finns även i 2 kap. 3 § första stycket lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.
Övervägandena finns i 14.13. Paragrafen anger var det finns bestämmelser om andra rättigheter för den enskilde och har ändrats genom ett tillägg.
Paragrafen, som är ändrad, upplyser om att det i 6 kap. 2 och 4 §§ finns föreskrifter om andra rättigheter för den enskilde. Ändringen sker följd av införandet av bestämmelser i 6 kap. avseende behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser och bestämmelserna om patientens rätt att få information samt möjligheten för patienten att motsätta sig att personuppgifter tillgängliggörs till en precisionsmedicinsk databas.
Ikraftträdande och övergångsbestämmelser
Denna lag träder i kraft den 1 januari 2025.
Övervägandena finns i 14.13 och 16.12. Den nya lagen träder i kraft den 1 januari 2025. Det finns inga övergångsbestämmelser.
24.3. Förslaget till lag om ändring i offentlighets- och sekretesslagen (2009:400)
10 kap.
19 §
Sekretessen enligt 25 kap. 1 §, 2 § andra stycket, 2 a § andra stycket och 3–5 §§ och 26 kap. 1 §, 1 a § andra stycket, 3, 4 och 6 §§ hindrar inte att en uppgift lämnas till Polismyndigheten eller någon annan myndighet som ska ingripa mot brott, om uppgiften behövs för att förhindra ett förestående eller avbryta ett pågående brott som avses i
1. 4 eller 4 a § lagen (1951:649) om straff för vissa trafikbrott,
2. 13 kap. 2 eller 3 § luftfartslagen (2010:500),
3. 30 § lagen (1990:1157) om säkerhet vid tunnelbana och spårväg,
4. 20 kap. 4 eller 5 § sjölagen (1994:1009),
5. 7 kap. 2, 3 eller 4 § järnvägssäkerhetslagen (2022:367), eller
6. 8 kap. 2, 3 eller 4 § lagen (2022:368) om nationella järnvägssystem.
Övervägandena finns i avsnitt 17.5. Paragrafen reglerar att sekretess inte hindrar att en uppgift lämnas ut i vissa fall och har ändrats genom ett tillägg i första stycket.
Paragrafen innebär att sekretess inom hälso- och sjukvården och inom socialtjänsten inte hindrar att uppgift lämnas ut till Polismyndigheten eller andra myndigheter som ska ingripa mot brott, om uppgiften behövs för att förhindra ett förestående trafiknykterhetsbrott eller för att avbryta ett sådant pågående brott. Paragrafen ändras så att den absoluta sekretessen som följer av 25 kap. 2 a § första stycket för uppgifter i en precisionsmedicinsk databas inte ska brytas.
21 §
Sekretessen enligt 25 kap. 1 §, 2 § andra stycket, 2 a § andra stycket och 3–5 §§, 26 kap. 1 §, 1 a § andra stycket, 3, 4 och 6 §§ samt 33 kap. 2 och 4 a §§ hindrar inte att en uppgift lämnas till en åklagarmyndighet eller Polismyndigheten, om uppgiften angår misstanke om brott som riktats mot någon som inte har fyllt arton år och det är fråga om brott som avses i
1. 3, 4 eller 6 kap. brottsbalken, eller
2. lagen (1982:316) med förbud mot könsstympning av kvinnor.
Övervägandena finns i avsnitt 17.5. Paragrafen reglerar att sekretess inte hindrar att en uppgift lämnas ut i vissa fall och har ändrats genom ett tillägg i första stycket.
Paragrafen innebär att sekretess inom hälso- och sjukvården och inom socialtjänsten inte hindrar att uppgift lämnas ut till en åklagarmyndighet eller Polismyndigheten, om uppgiften angår misstanke om brott som riktats mot någon som inte har fyllt arton år och det är fråga om vissa specifika brott. Paragrafen ändras så att den absoluta sekretessen som följer av 25 kap. 2 a § första stycket för uppgifter i en precisionsmedicinsk databas inte ska brytas.
23 §
Om inte annat följer av 19–22 §§ får en uppgift som angår misstanke om ett begånget brott och som är sekretessbelagd enligt 24 kap. 2 a eller 8 §, 25 kap. 1 §, 2 § andra stycket, 2 a § andra stycket eller 3–8 §§, 26 kap. 1 §, 1 a § andra stycket eller 2–6 §§, 29 kap. 1 §, 31 kap. 1 § första stycket, 2 eller 12 §, 33 kap. 2 eller 4 a §, 36 kap. 3 § eller 40 kap. 2 eller 5 § lämnas till en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller någon annan myndighet som har till uppgift att ingripa mot brottet endast om misstanken angår
1. brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år,
2. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller
3. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168).
Övervägandena finns i avsnitt 17.5. Paragrafen reglerar att sekretess inte hindrar att en uppgift lämnas ut i vissa fall och har ändrats genom ett tillägg i första stycket.
Paragrafen innebär att sekretess inom hälso- och sjukvården och inom socialtjänsten inte hindrar att uppgift lämnas ut till en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller någon annan myndighet som har till uppgift att ingripa mot brottet, om uppgiften angår misstanke om ett begånget brott och misstanken angår till exempel brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år. Paragrafen ändras så att den absoluta sekretessen som följer av 25 kap. 2 a § första stycket för uppgifter i en precisionsmedicinsk databas inte ska brytas.
24 §
Sekretess som följer av andra sekretessbestämmelser än dem som anges i 19–23 §§, 24 kap. 7 b §, 25 kap. 2 § första stycket, 2 a § första stycket och 26 kap. 1 a § första stycket hindrar inte att en uppgift som angår misstanke om ett begånget brott lämnas till en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller någon annan myndighet som har till uppgift att ingripa mot brottet, om fängelse är föreskrivet för brottet och detta kan antas föranleda någon annan påföljd än böter.
Övervägandena finns i avsnitt 17.5. Paragrafen reglerar att sekretess inte hindrar att en uppgift lämnas ut i vissa fall och har ändrats genom ett tillägg i första stycket.
Paragrafen innebär att sekretess som följer av andra sekretessbestämmelser än vissa angivna paragrafer inte hindrar att en uppgift som angår misstanke om ett begånget brott lämnas till en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller någon annan myndighet som har till uppgift att ingripa mot brottet, om fängelse är föreskrivet för brottet och detta kan antas föranleda någon annan påföljd än böter. Bestämmelsen undantar 25 kap. 2 § första stycket OSL. bestämmelsen bryter inte denna absoluta sekretess. Paragrafen ändras så att motsvarande gäller för den absoluta sekretess som följer av 24 kap. 7 a § och 25 kap. 2 a § första stycket.
24 kap.
Vidareanvändning enligt lag ( 0000:00 ) om viss vidareanvändning av personuppgifter för klinisk forskning
7 b §
Sekretess gäller hos en myndighet för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig av en myndighet i en region som bedriver verksamhet som avses i 25 kap. 1 § enligt lag ( 0000:00 ) om viss vidareanvändning av personuppgifter för klinisk forskning, om inte förutsättningarna enligt 3 kap. 2 § samma lag för att myndigheten ska få tillföra forskningen uppgiften är uppfyllda.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Övervägandena finns i avsnitt 17.4. Paragrafen, som är ny, avser sekretess för uppgifter som inte får tillföras forskning vid vidareanvändning enligt lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning.
Enligt bestämmelsen ska sekretess gälla hos en myndighet för uppgift om enskilds personliga förhållanden som gjorts tillgänglig av en myndighet i en region som bedriver hälso- och sjukvård enligt lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning, om förutsättningarna enligt 3 kap. 2 § samma lag för att myndigheten ska få tillföra forskningen uppgiften är uppfyllda.
De myndigheter som avses i bestämmelsen är regionala myndigheter och lärosäten som bedriver klinisk forskning. Regional myn-
dighet definieras i lagen som en myndighet i en region (se 1 kap. 1 §).
Med regional myndighet jämställs aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där en region utövar ett rättsligt bestämmande inflytande enligt 2 kap. 3 § offentlighets- och sekretesslagen (2009:400). Lärosäte definieras som ett statligt universitet eller en statlig högskola som har rätt att utfärda examen på forskarnivå, eller en enskild utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400).
Bestämmelsen avser uppgifter som inte får tillföras forskningen enligt 3 kap. 2 § lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning. Enligt bestämmelsen får en regional myndighet eller lärosäte som ges tillgång till personuppgifter enligt 2 kap. 1 § samma lag, endast tillföra forskningen de uppgifter som behövs för den kliniska forskningen. För övriga personuppgifter som tillgängliggörs, gäller sekretess. Sådan så kallad överskottsinformation kan komma i fråga vid tillgängliggörande genom begränsad direktåtkomst enligt lagen.
Bestämmelsen har två huvudsakliga funktioner. Den ena är att utgöra ett förstärkt skydd mot vidare spridning inom ett forskningsprojekt. Det andra är att förhindra behandling av uppgifterna enbart i anledning av en begäran om att få del av allmänna handlingar. Bestämmelsen gäller som primär sekretessbestämmelse i forskningen.
Med uppgift om enskilds personliga förhållanden avses till exempel uppgift om psykisk och fysisk hälsa och ekonomi, men också mindre integritetskänsliga uppgifter, såsom någons adress (prop. 1979/08:2 del A s. 84). Det kan vara svårt att i förväg närmare ange vilka uppgifter om enskildas personliga förhållanden som är skyddsvärda. En till synes harmlös uppgift kan i kombination med andra uppgifter sammantaget innebära att den enskilde lider men om uppgiften röjs.
Sekretessen i den föreslagna bestämmelsen bör därför omfatta samtliga uppgifter om en enskilds personliga förhållanden som gjorts tillgängliga för en myndighet enligt lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning.
Sekretessen är absolut, det vill säga att någon sekretessprövning inte ska göras vid begäran om utlämnande av handlingen.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
9 §
Den tystnadsplikt som följer av 2 a och 8 §§ och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 7 § andra meningen inskränker rätten enligt 1 kap.1 och 7 §§tryckfrihetsförordningen och 1 kap.1 och 10 §§yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.
Den tystnadsplikt som följer av 2 och 7 b §§ inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställighet av beslut om vård utan samtycke.
Övervägandena finns i avsnitt 17.4. Paragrafen reglerar vissa inskränkningar i tystnadsplikten och har ändrats genom ett tillägg i andra stycket
Paragrafens andra stycke, som är ändrad, föreskriver att även den tystnadsplikt som följer av 24 kap. 7 b § ska inskränka rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställighet av beslut om vård utan samtycke.
Enligt 7 b § gäller sekretess hos en myndighet för uppgift om enskilds personliga förhållanden som gjorts tillgängliga av en myndighet i en region som bedriver hälso- och sjukvård enligt lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning. Bestämmelsen avser uppgifter som, enligt de föreslagna reglerna i den nya lagen, inte får tillföras forskningen. När uppgifterna finns i hälso- och sjukvården och omfattas av sekretess inskränks rätten att meddela och offentliggöra uppgifter (25 kap. 18 § andra stycket OSL). Detsamma gäller för uppgifterna i forskningen, om uppgifterna enligt 3 kap. 2 § lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning inte får tillföras forskningen.
25 kap.
Precisionsmedicinsk databas
2 a §
Sekretess gäller hos en myndighet som bedriver verksamhet som avses i 1 § i en region för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig av en annan sådan myndighet som för precisionsmedicinsk databas enligt 6 kap. patientdatalagen (2008:355) , om inte förutsättningarna enligt 6 kap. 18 § samma lag för att myndigheten ska få behandla uppgiften är uppfyllda.
Om de förutsättningar som anges i första stycket är uppfyllda eller myndigheten har behandlat uppgiften enligt 6 kap. 18 § tidigare, gäller sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Sekretessen gäller inte om annat följer av 7, 8, 10 § eller 26 kap. 6 §.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Öververväganden finns i avsnitt 17.2. Paragrafen, som är ny, reglerar sekretess hos myndighet som har tillgång, genom direktåtkomst eller annat elektroniskt utlämnade, till uppgifter i en precisionsmedicinsk databas.
Bestämmelse om tillgång, genom direktåtkomst eller annat elektroniskt utlämnade, finns i 6 kap. 16 § PSL. Den lagtekniska konstruktionen liknar den avseende sekretess vid sammanhållen vård- och omsorgsdokumentation i 25 kap. 2 § OSL.
Enligt första stycket gäller sekretess hos en myndighet i en region som bedriver hälso- och sjukvård för uppgifter om enskilds personliga förhållanden som gjorts tillgänglig av en annan myndighet i en region som för precisionsmedicinsk databas enligt 6 kap. PDL om inte förutsättningarna enligt 6 kap. 18 § samma lag för att myndigheten ska få behandla uppgiften är uppfyllda. En myndighets tillgång till uppgifterna kommer kunna medföra att uppgifterna är att anse som inkomna handlingar och förvarade hos den myndigheten enligt 2 kap. 6 och 9 §§ TF.
För att en myndighet ska få behandla personuppgifter i precisionsmedicinsk databas gäller vissa villkor. Villkoren är att någon som arbetar hos myndigheten och har behörighet till precisionsmedicinsk databas deltar i vården av en patient, samt att uppgifterna kan ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten. Är villkoren inte uppfyllda, gäller absolut sekretess för uppgifterna. Detta betyder att myndigheten som
har tillgång till uppgifterna inte behöver behandla dessa enbart i anledning av en begäran om utfående av allmän handling.
En annan myndighet i en region kan vara både en myndighet i samma region och en myndighet i en annan region. Den absoluta sekretessen gäller därmed både mellan myndigheter i samma region som mellan myndigheter i olika regioner.
Med uppgift om enskilds personliga förhållanden avses till exempel uppgift om psykisk och fysisk hälsa och ekonomi, men också mindre integritetskänsliga uppgifter, såsom någons adress (prop. 1979/08:2 del A s. 84). Det kan vara svårt att i förväg närmare ange vilka uppgifter om enskildas personliga förhållanden som är skyddsvärda. En till synes harmlös uppgift kan i kombination med andra uppgifter sammantaget innebära att den enskilde lider men om uppgiften röjs. Sekretessen i den föreslagna bestämmelsen bör därför omfatta samtliga uppgifter om en enskilds personliga förhållanden som gjorts tillgängliga för en myndighet som har tillgång till uppgifter i en precisionsmedicinsk databas.
I 6 kap. PDL används formuleringen ”regional myndighet” inom hälso- och sjukvården. Regional myndighet har samma betydelse som myndighet i en region i den aktuella bestämmelsen.
Enligt bestämmelsen andra stycke gäller sekretess med omvänt skaderekvisit om de förutsättningar som anges i första stycket är uppfyllda eller myndigheten har behandlat uppgiften enligt 6 kap. 18 § PDL tidigare. Bestämmelsen innebär ett förtydligande av vilken sekretess som gäller vid tillåten behandling av personuppgifter kopplat till tillgång genom direktåtkomst eller annat elektroniskt utlämnande till personuppgifter i precisionsmedicinsk databas. Sekretessen gäller inte om annat följer av 7, 8 eller 10 § eller 26 kap. 6 §.
För uppgift i en allmän handling gäller sekretessen i högst sjuttio år. Bestämmelsen inskränker rätten att meddela och offentliggöra uppgifter, se 25 kap. 18 §.
7 §
Sekretess gäller i verksamhet som anges i 1 §, 2 § andra stycket, 2 a § andra
stycket och 3–5 §§ för uppgift i anmälan eller utsaga av en enskild om någons
hälsotillstånd eller andra personliga förhållanden, i förhållande till den som anmälan eller utsagan avser, endast om det kan antas att fara uppkommer för att den som har lämnat uppgiften eller någon närstående till denne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.
För uppgift i en allmän handling gäller sekretessen i högst femtio år.
Överväganden finns i avsnitt 17.5. Paragrafen avser sekretess för uppgift i anmälan eller utsaga.
Paragrafen, som är ändrad, omfattar även sekretess enligt 2 a § andra stycket. Ändringen sker till följd av införandet av bestämmelser om sekretess för uppgifter som gjorts tillgängliga av en myndighet i en region som för precisionsmedicinsk databas enligt 6 kap. PDL.
10 §
Sekretessen enligt 1 §, 2 § andra stycket, 2 a § andra stycket, 3–5 §§ och 8 a och 8 b §§ gäller inte
1. beslut i ärende enligt lagstiftningen om psykiatrisk tvångsvård eller rättspsykiatrisk vård, om beslutet avser frihetsberövande åtgärd,
2. beslut enligt smittskyddslagen (2004:168), om beslutet avser frihetsberövande åtgärd,
3. beslut i ärende om klagomål mot hälso- och sjukvården eller dess personal,
4. beslut i fråga om omhändertagande eller återlämnande av patientjournal, eller
5. beslut i ärende enligt 4 kap. 10 § eller 8 kap.patientsäkerhetslagen.
Överväganden finns i avsnitt 17.5. Enligt paragrafen gäller inte den sekretess som följer av ett antal uppräknande bestämmelser för vissa beslut.
Paragrafen, som är ändrad, omfattar även sekretess enligt 25 kap. 2 a § andra stycket. Ändringen sker till följd av införandet av bestämmelser om sekretess för uppgifter som gjorts tillgängliga av en myndighet i en region som för precisionsmedicinsk databas enligt 6 kap. PDL.
11 §
Sekretessen enligt 1 § hindrar inte att uppgift lämnas
1. från en myndighet som bedriver verksamhet som avses i 1 § i en kommun till en annan sådan myndighet i samma kommun,
2. från en myndighet som bedriver verksamhet som avses i 1 § i en region till en annan sådan myndighet i samma region,
3. till en myndighet som bedriver verksamhet som avses i 1 §, 26 kap. 1 §, en enskild vårdgivare eller omsorgsgivare enligt det som föreskrivs i lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation,
4. från en myndighet som bedriver verksamhet som avses i 1 § i en region till en myndighet enligt det som föreskrivs i lag ( 0000:00 ) om viss vidareanvändning av personuppgifter för klinisk forskning,
5. från en myndighet som bedriver verksamhet som avses i 1 § i en region till en annan sådan myndighet i en annan region enligt det som föreskrivs i 6 kap. patientdatalagen (2008:355) ,
6. till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen,
7. från en myndighet som bedriver verksamhet som avses i 1 § inom en
kommun eller en region till annan sådan myndighet för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs, eller
8. till en enskild enligt vad som föreskrivs i
– lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål,
– lagen (1991:1129) om rättspsykiatrisk vård, – lagen (1995:831) om transplantation m.m., – smittskyddslagen (2004:168), – 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m., – lagen (2006:496) om blodsäkerhet – lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler,
– lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ eller förordning som har meddelats med stöd av den lagen, eller
– 2 kap. lagen (2017:612) om samverkan vid utskrivning från sluten hälso- och sjukvård.
Övervägandena finns i avsnitt 17.1 och 17.3. I paragrafen finns sekretessbrytande bestämmelser.
I paragrafen görs två tillägg. Nya sekretessbrytande bestämmelser införs i punkterna 4 och 5.
Av punkten 4 följer att sekretess enligt 25 kap. 1 § inte hindrar att uppgift lämnas från en myndighet som bedriver verksamhet som avses i 1 § i en region till en myndighet enligt det som föreskrivs i lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning. Bestämmelsen innebär även att sekretess inte hindrar att uppgift lämnas inom en myndighet till en självständig verksamhetsgren inom samma myndighet som bedriver klinisk forskning.
Enligt 2 kap. 1 § i lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning får en regional myndighet eller ett lärosäte som bedriver klinisk forskning ges tillgång, genom begränsad direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas av en regional myndighet som bedriver hälso- och sjukvård. De uppgifter som kan bli föremål för tillgängliggörande är personuppgifter som regionala myndigheter inom hälso- och sjukvården behandlar enligt 2 kap. 4 § första stycket 1–6 PDL. Uppgifterna om-
fattas av sekretess enligt 25 kap. 1 § OSL. Bestämmelsen i punkten 4 syftar till att utlämnande ska kunna ske utan föregående sekretessprövning.
Utlämnande myndighet enligt lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning är en regional myndighet som bedriver hälso- och sjukvård. Med regional myndighet avses en myndighet i en region (se 1 kap. 1 §). Med regional myndighet jämställs aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där en region utövar ett rättsligt bestämmande inflytande enligt 2 kap. 3 § offentlighets- och sekretesslagen (2009:400). Regional myndighet som bedriver hälso- och sjukvård anges i punkten 4 som ”en myndighet som bedriver verksamhet som avses i 1 §”. Hänvisningen till 1 § avser 25 kap. 1 § OSL.
Mottagarsidan anges endast som ”myndighet” i bestämmelsen. De myndigheter som enligt lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning kan ges tillgång till personuppgifter är regionala myndigheter och lärosäten som bedriver klinisk forskning. Med lärosäte avses ett statligt universitet eller en statlig högskola som har rätt att utfärda examen på forskarnivå, eller en enskild utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lag (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400).
Av punkten 5 följer att sekretess enligt 25 kap. 1 § inte hindrar att uppgift lämnas från en myndighet som bedriver verksamhet som avses i 1 § i en region till en annan sådan myndighet i en annan region enligt det som föreskrivs i 6 kap. PDL.
Enligt 6 kap. PDL får vårdgivare behandla personuppgifter för ändamålet vården av en annan patient än den som personuppgifterna avser. De personuppgifter som får behandlas för ändamålet är uppgifter som vårdgivare behandlar enligt 2 kap. 4 § första stycket 1–2 PDL. Detta är uppgifter som inom den offentligt bedrivna hälso- och sjukvården omfattas av sekretess enligt 25 kap. 1 § OSL. Sådana personuppgifter ska få tillgängliggöras till en regional myndighet inom hälso- och sjukvården som för en precisionsmedicinsk databas (6 kap. 13 §). Regionala myndigheter inom hälso- och sjukvården ska vidare, genom direktåtkomst eller annat elektroniskt utlämnande, kunna ges tillgång till de uppgifter som lagras i en precisionsmedicinsk databas (6 kap. 16 §). Därutöver ska vårdgivare efter begäran av de kompletterande personuppgifter från den patientjournal som kan antas ha be-
tydelse för vården av en annan patient än den som uppgifterna avser, få tillgängliggöra de personuppgifter som omfattas av en sådan begäran (6 kap. 21 §). Bestämmelse i punkten 5 syftar till att tillgängliggörande i nämnda steg ska kunna göras utan föregående sekretessprövning.
I 25 kap. 11 § 2 OSL finns en sekretessbrytande bestämmelse som gäller vid utlämnande från en myndighet som bedriver verksamhet inom hälso- och sjukvård i en region till en annan sådan myndighet i samma region. När uppgifter tillgängliggörs enligt 6 kap. PDL mellan myndigheter i samma region kan det ske utan hinder av sekretess med stöd av 25 kap. 11 § 2 OSL.
Tillgängliggörande enligt 6 kap. PDL kan ske av en ”vårdgivare” och av en ”regional myndighet inom hälso- och sjukvården”. Det är endast vårdgivare som är myndigheter i en region som behöver omfattas av den sekretessbrytande bestämmelsen. Formuleringen ”från en myndighet som bedriver verksamhet som avses i 1 §” omfattar de myndigheter inom hälso- och sjukvården som behöver tillgängliggöra uppgifter enligt 6 kap. PDL.
I 6 kap. PDL används begreppet regional myndighet. Detta har samma innebörd som myndighet i en region. Formuleringarna inom hälso- och sjukvården och bedriver verksamhet har också samma innebörd.
Ikraftträdande och övergångsbestämmelser
Denna lag träder i kraft den 1 januari 2025.
Övervägandena finns i 14.13 och 16.12. Den nya lagen träder i kraft den 1 januari 2025. Det finns inga övergångsbestämmelser.
Kommittédirektiv 2022:41
Hälsodata som nationell resurs för framtidens hälso- och sjukvård
Beslut vid regeringssammanträde den 12 maj 2022
Sammanfattning
En särskild utredare ska analysera befintliga möjligheter till sekundäranvändning av hälsodata och lämna förslag på utökade sådana möjligheter. Syftet med uppdraget är att utveckla möjligheterna till sekundäranvändning av hälsodata för att direkt eller indirekt stärka hälso- och sjukvården. Analyserna ska ske utifrån befintlig lagstiftning om offentlighet och sekretess, tystnadsplikt samt dataskydd, och ska innefatta bl.a. den enskildes behov av skydd för den personliga integriteten.
Utredaren ska bl.a. – analysera vilka möjligheter som finns för sekundäranvändning av
hälsodata från flera individer för vård och behandling av andra enskilda individer, – analysera möjligheterna till sekundäranvändning av hälsodata från
hälso- och sjukvården för vissa andra närliggande ändamål, inklusive forskning, utveckling och innovation, – om det behövs lämna nödvändiga författningsförslag för att ut-
öka möjligheterna till sekundäranvändning av hälsodata, – redogöra för de konkreta tillämpningssvårigheter när det gäller den
befintliga regleringen av hälsodata som eventuellt framkommer under utredningens gång.
Uppdraget ska redovisas senast den 21 september 2023.
Ord och uttryck som används i kommittédirektiven
Sekundäranvändning
Med sekundäranvändning av personuppgifter avses behandling av personuppgifter för något annat ändamål än det primära ändamålet med personuppgiftsbehandlingen.
Hälsodata
Med hälsodata avses en dokumenterad personuppgift som rör en persons fysiska eller psykiska hälsotillstånd i bred bemärkelse och som utgör känsliga personuppgifter enligt Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Datadriven hälso- och sjukvård
En datadriven verksamhet bygger ofta på att insamling och delning av data i hög utsträckning är automatiserad, inte minst för analyser och beslut som kräver realtidsdata. I en datadriven organisation är kunskap och information integrerade delar av verksamheten. Syftet med datadriven hälso- och sjukvård är att beslut, på såväl operativ som strategisk nivå, ska baseras på bästa möjliga kunskap och information.
Precisionsmedicin
Med precisionsmedicin avses diagnostiska metoder och individanpassad utredning, prevention och behandling av sjukdom, applicerade på individnivå eller på delar av befolkningen. En av grundstenarna för precisionsmedicin är att kunna dela data från många individer för att ge rätt behandling till rätt patient.
Utvecklings- och innovationsverksamhet
Med utvecklings- och innovationsverksamhet avses i dessa direktiv utvecklingen och implementeringen av nya eller förbättrade produkter, processer eller tjänster genom användning av tekniska uppgifter, affärsinformation och annan befintlig kunskap tillsammans med sekundäranvändning av personuppgifter från hälso- och sjukvården.
Utgångspunkter för utredningsuppdraget
I december 2019 presenterades regeringens nationella life sciencestrategi (N2019/03157). Strategin innehåller 30 målsättningar inom åtta prioriterade områden som bedöms vara särskilt angelägna för att uppnå målet att Sverige ska vara en ledande life science-nation. Nyttiggörande av hälsodata för forskning och innovation är ett av de prioriterade områdena, inom vilket ökat nyttjande av hälsodata för forskning och innovation lyfts fram som en av målsättningarna. Systemlösningar för detta pekas ut som en förutsättning för att Sverige ska kunna leda utvecklingen inom life science. I oktober 2021 presenterade regeringen sin datastrategi Data – en underutnyttjad resurs för Sverige (I2021/02739). Strategin, som syftar till ökad tillgång till data för bl.a. artificiell intelligens och digital innovation, är indelad i sex insatsområden: 1) Ökad tillgång till data, 2) Öppen och kontrollerad datadelning, 3) Samverkan och kultur, 4) Styrning, reglering och uppföljning, 5) Forskning, utveckling och kompetens samt 6) EU och internationellt samarbete.
I båda dessa nationella strategier adresseras behovet av att bättre utnyttja redan insamlade data för olika ändamål. Analys av insamlade hälsodata och den kunskap som kan utvinnas ur denna kommer att utgöra en viktig del i utvecklingen av framtidens vård, och kommer att främja forskning och innovation inom hälso- och sjukvårdsområdet. Hälso- och sjukvården är en av de mest informationsintensiva sektorerna i samhället, och den svenska hälso- och sjukvården producerar data av hög kvalitet. Samtidigt finns det svårigheter för forskare, offentlig förvaltning och delar av hälso- och sjukvården att få tillgång till dessa data. En förutsättning för att det ska finnas legitimitet för datainsamling är att data används och skapar värde för patienter, vårdpersonal, forskare, innovatörer med flera. Det finns därför ett stort behov av att öka förmågan och möjligheterna att
använda insamlade data och således utnyttja hälsodataresursen för att skapa ny kunskap som kan förändra processer, organisationer och system till det bättre och skapa en bättre och mer jämlik vård.
Samhällsutvecklingen går åt ett mer datadrivet samhälle. Vårdens digitala infrastruktur och delning av hälsodata behöver gå i takt med teknikutvecklingen och samhällets digitala omställning för att tilliten till den offentligt finansierade hälso- och sjukvården ska kunna upprätthållas. Även Europeiska kommissionen arbetar aktivt med att utveckla EU till en välfungerande, dynamisk och säker datadriven ekonomi, bland annat inom ramen för EU:s datastrategi. Ett arbete som pågår inom EU på detta område är att skapa ett hälsodataområde för delning av olika typer av hälsodata inom och mellan EU:s medlemsländer.
Det finns skäl att se över gällande lagstiftning för att anpassa den till teknikutvecklingen och samhällets digitala omställning. Offentliga aktörer som förvaltar data är i dag begränsade till att använda dessa för ändamål som är avgränsade till aktörens respektive ansvarsområde. Datadelning utgår med andra ord från ett strikt organisationsperspektiv. Behov av vård och service, som till exempel information, definieras dock inte av organisationsgränser. Att få till stånd en ändamålsenlig reglering av delning och användning av hälsodata är komplext. En utgångspunkt bör vara att frågan om vem som får tillgång till vilka data inte ska utgå från vem som har producerat uppgiften. Tillgången bör utgå från det behov som finns att ge en patient bästa möjliga vård. Hur data får delas är i dag även många gånger beroende av geografisk hemvist och organisatoriska tillhörighet för den patient som dessa data avser. Med flera huvudmän för hälso- och sjukvården blir datadelning ofta en fråga om vilka data som går och inte går att dela över regions- eller organisationsgränser. Samma problematik gäller för sekundäranvändning av data till forskning och innovation vilket till exempel är ett hinder för att genomföra kliniska prövningar av nya behandlingar i Sverige.
Det finns i dag reglering för kvalitetsregister i 7 kap. patientdatalagen (2008:355) som i viss mån möjliggör delning av hälsodata. Vidare finns regleringar som avser registerbaserad forskning. Regeringen bedömer dock att det inte är inom ramen för sådana regleringar som de behov som beskrivs i dessa direktiv kan tillgodoses.
Uppdraget att skapa förutsättningar för sekundäranvändning av hälsodata för patientändamål
Det är avgörande för befolkningens hälsa och livskvalitet att det finns goda förutsättningar för vården att erbjuda bästa möjliga behandling. Teknikutvecklingen har gjort det möjligt att använda stora datamängder för att förbättra behandlingen av patienter. Ett sådant exempel finns inom precisionsmedicin. En av målsättningarna i regeringens life science-strategi är att Sverige ska vara ett föregångsland för införande av precisionsmedicin. Inom detta område är det vanligt att diagnostik, vård, behandling, kvalitetsutveckling, forskning och innovation bedrivs parallellt. Precisionsmedicin har stor potential att bättre möjliggöra tidigare mer precisa insatser som leder till bättre behandlingsutfall, bättre hälsa samt i vissa delar också mer kostnadseffektiv behandling. Utveckling inom området bedöms vara en förutsättning för att svensk medicinsk forskning och life science ska ligga i framkant samt för att Sverige ska vara internationellt konkurrenskraftigt inom området. Precisionsmedicin förutsätter många gånger att stora mängder data från andra individer än patienten själv och data från olika datakällor kan ligga till grund för behandling och beslutsfattande. För att kunna utveckla och införa nya typer av avancerad diagnostik och behandling i klinisk verksamhet som precisionsmedicin för med sig behöver därför möjligheterna att använda insamlade hälsodata förbättras.
Genomic Medicine Sweden (GMS) är en central aktör för införandet av precisionsmedicin i Sverige. Det är ett samarbetsorgan för regioner med universitetssjukvård och universitet och är en nationell satsning med visionen att i bred samverkan med sjukvård, universitet och näringsliv möjliggöra förbättrad diagnostik, individanpassade behandlingsval och forskning inom området precisionsmedicin.
GMS uppmärksammade i november 2020 (S2020/08250) regeringen på att datadelning mellan regioner är en förutsättning för implementeringen av precisionsmedicin i hälso- och sjukvården, men att det finns en otydlighet dels om vilka regler som gäller, dels att regelverk saknas och dels att regelverken verkar vara motstridiga. För att kunna göra korrekta bedömningar behövs det enligt GMS dels tillgång till genomikdata från andra patienter och då oftast också från andra regioner, dels mer kunskap om respektive patient såsom uppgifter om kön, ålder, bakgrunden till att undersökningen utfördes,
klinisk bedömning, andra bakomliggande hälsotillstånd hos patienten, klinik som utfört undersökning och tolkning av fynd. Tillgången till sådana patientdata är enligt GMS kritisk för att framför allt patienter med sällsynta diagnoser ska få tillgång till jämlik och god vård över hela landet. De större regionerna har ett större patientunderlag och därmed bättre möjlighet att erbjuda en mer träffsäker behandling. GMS lyfter även fram förhållandet att sjukvård och forskning kan tänkas behöva ske parallellt, vilket medför att de rättsliga förutsättningarna för att kunna dela patientdata mellan sjukvården, akademin och näringslivet behöver utredas och eventuellt förbättras.
I sammanhanget ska det framhållas att datadelning naturligtvis måste ske på sätt som inte innebär risker för enskilda. Många av de uppgifter som är aktuella i sammanhanget är känsliga personuppgifter som rör hälsa och personliga förhållanden. Det är därför av stor vikt att skyddet för den personliga integriteten respekteras och att informationssäkerheten säkras. Avvägningar måste därför göras mellan den nytta som datadriven hälso- och sjukvård kan skapa och de risker som det kan medföra för enskildas personliga integritet och vilka möjligheter som finns att hantera sådana risker genom implementering av säkra och integritetsskyddande lösningar.
Regeringen gör bedömningen att det är angeläget att precisionsmedicin implementeras i Sverige och att implementeringen och tillgången blir jämlik och att det därför är angeläget att se över hälsodataregleringen för att möjliggöra detta. Vidare gör regeringen bedömningen att det kan finnas fler områden där denna typ av datadelning skulle kunna bidra till en bättre och mer jämlik vård, exempelvis inom bilddiagnostik.
Lagstiftningen ska därför ses över för att undersöka vilka legala förutsättningar som krävs för att kunna möjliggöra utveckling av mer individanpassad vård och behandling.
Utredaren ska analysera vilka personuppgifter som behöver utbytas mellan de olika aktörerna för vård och behandling av andra enskilda individer. Behovet av nya rättsliga förutsättningar för att dela uppgifter som omfattas av sekretess behöver utredas närmare, t.ex. om det behövs sekretessbrytande bestämmelser eller uppgiftsskyldighet som därmed bryter sekretess. Vidare behöver de berörda dataskyddsregleringarna och behovet av ytterligare dataskyddsreglering eller ändringar av befintliga dataskyddsregleringar bedömas.
Utredaren ska därför göra följande:
– Analysera vilka möjligheter som, utifrån befintlig lagstiftning kring
offentlighet och sekretess, tystnadsplikt samt dataskydd, finns för att personuppgifter eller andra data från flera individer ska kunna användas för vård och behandling av andra enskilda individer samt för att sådana uppgifter ska kunna delas mellan olika aktörer som bedriver vård eller forskning och innovation eller bådadera. Analysen ska även innefatta en analys av den enskildes behov av skydd för den personliga integriteten. – Bedöma om det behövs författningsändringar för att möjliggöra
att personuppgifter eller andra data från flera individer ska kunna användas för vård och behandling av andra enskilda individer samt för att sådana uppgifter ska kunna delas mellan olika aktörer som bedriver vård eller forskning och innovation eller bådadera, samt i så fall lämna nödvändiga författningsförslag. – Om det är nödvändigt med författningsändringar, särskilt redo-
göra för hur författningsförslagen förhåller sig till regleringar om offentlighet och sekretess, tystnadsplikt, dataskydd och till den enskildes behov av skydd för den personliga integriteten. – Redogöra för informationssäkerhetsperspektivet i samtliga analy-
ser och förslag. I uppdraget ingår inte att lämna förslag till bestämmelser som bryter statistiksekretessen.
Uppdraget att lämna förslag som möjliggör utökad sekundäranvändning av hälsodata
Utöver de behov av datadelning som specifikt hänför sig till möjligheterna att utveckla den individanpassade vården i Sverige, finns det generellt stor potential i de stora mängder hälsodata som finns lagrade inom vården och kontinuerligt samlas in. En förutsättning för att det ska finnas legitimitet för datainsamling är att det finns möjligheter att använda dessa data för vård, forskning, utveckling och innovation m.m. på ett sätt som i förlängningen förbättrar vård och andra samhällsfunktioner och således skapar värde för medborgarna.
Det finns vidare ett växande behov av användning av hälsodata för att kunna möta alltmer komplexa samhällsutmaningar. Det kan t.ex. gälla smittspårning, tillsyn eller effektutvärdering av läkemedel. En mer dynamisk datadelning skulle kunna möjliggöra mer effektiv och
medborgarcentrerad service och vård och skulle kunna öka förmågan att möta samhällsutmaningar och kriser med hjälp av datadrivna analyser och fördjupade kunskapsunderlag som kan ge bättre helhetsbilder i realtid.
Sverige har sedan många år ett gott anseende vad gäller insamling av hälsodata, men dessa data finns i dag hos olika aktörer och är inte tillgängliga som en samlad dataresurs. Hur hälsodata får användas för forskningsändamål eller för utveckling och innovation är dessutom reglerat i flera olika författningar, vilket i vissa fall har bidragit till utmaningar i tillämpningen.
I dag bedöms det inte finnas tillräckliga rättsliga, organisatoriska eller tekniska förutsättningar när det gäller sekundäranvändning av hälsodata för att dessa data ska kunna komma till nytta för ändamål som forskning, utvecklings- och innovationsverksamhet, undervisning samt statliga och regionala myndigheters beslutsfattande. Dessa ändamål förväntas i förlängningen stärka hälso- och sjukvården. Det behöver skapas bättre förutsättningar för att kunna lagra, dela och nyttja data för olika ändamål.
En översyn av möjligheterna till utökad sekundäranvändning av hälsodata måste även ta fasta på behoven av informationssäkerhet och skydd för den personliga integriteten för enskilda som dessa data berör.
Ny teknik har skapat utökade möjligheter för delning och användning av data. Tekniker som t.ex. syntetisering, kryptering, federering och anonymisering av data skapar helt nya möjligheter att dela data på ett sätt som ökar integritetsskyddet, s.k. privacy-enhancing technologies. En ny reglering om sekundäranvändning behöver därför i framtiden kunna kompletteras med nya strukturer för att hantera datadelning för att större nytta ska kunna utvinnas ur de data som finns.
Arbete med förbättrade mekanismer för datadelning pågår både inom EU och i flera enskilda EU-länder. Inom EU finns en rad olika initiativ på området, bl.a. inom ramen för Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om dataförvaltning (dataförvaltningsakten) (COM(2020) 767 final av den 25 november 2020), inom ramen för kommissionens förslag till Europaparlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och användning av data (dataakten) (COM(2022) 68 final av den 23 februari 2022), samt genom kommissionens för-
slag till Europaparlamentets och rådets förordning om det europeiska hälsodataområdet (COM(2022) 197 final av den 3 maj 2022). Av stor betydelse för EU:s arbete med hälsodata är samverkan med tredjeland, exempelvis USA och Storbritannien. I Finland trädde under 2019 en ny lag i kraft som möjliggör sekundäranvändning av personuppgifter inom hälso- och sjukvård samt socialtjänst. Därefter inrättades den nya myndigheten Findata, vars verksamhet grundar sig på den nya lagen. Lagen och myndigheten har på många sätt förbättrat och förenklat möjligheterna till användning av hälsodata i Finland. Även i Frankrike bedrivs ett liknande arbete där det har inrättats en hälsodatahubb, Health Data Hub, som syftar till att förenkla användning av hälsodata på ett säkert sätt för vårdens, forskningens och näringslivets behov, bl.a. genom att tillhandahålla en teknisk plattform.
För ändamålet innovation kan det finnas en större risk för okontrollerat vidareutnyttjande av individdata, exempelvis genom att uppgifterna behandlas eller bearbetas och sedan säljs vidare i vinstdrivande syfte. Denna risk behöver adresseras, och kan hanteras på olika sätt. Statistiska centralbyrån har exempelvis tjänsten Microdata Online Access (MONA) och Findata har utvecklat tjänsten Kapseli. Dessa tjänster är säkra användningsmiljöer för behandling av material på individnivå som kan användas utan att data lämnas ut och därmed begränsar risken för vidareutnyttjande. En utgångspunkt för uppdraget ska vara att undvika risken för okontrollerat vidareutnyttjande, så att data inte lagras i egna, nya databaser hos privata aktörer. Det kan exempelvis ske genom att data uteslutande behandlas i ovan nämnda typ av säkra miljöer.
Flera myndigheter i Sverige har pågående eller nyligen avslutade uppdrag inom delning och nyttjande av hälsodata. Exempelvis har E-hälsomyndigheten i uppdrag att genomföra en förstudie om ett statligt, nationellt datautrymme för bilddiagnostik (S2021/05259), samt genomföra en förstudie om digital nationell infrastruktur för nationella kvalitetsregister (S2021/06170). Socialstyrelsen har ett pågående uppdrag att kartlägga datamängder av nationellt intresse på hälsodataområdet (S2021/05369). Vidare slutredovisade Vetenskapsrådet i mars 2022 ett uppdrag om att inrätta en rådgivande funktion för bättre nyttjande av hälsodata (U2022/01602).
För att förbättrade rättsliga möjligheter till sekundäranvändning av hälsodata ska kunna få verkligt genomslag behöver dessa förbätt-
ringar framöver kunna kompletteras med bättre tekniska, kompetensmässiga och organisatoriska funktioner för den faktiska datadelningen. Detta är också en förutsättning för att Sverige ska kunna vara en del av det europeiska hälsodataområdet. En möjlighet är att en befintlig myndighet görs ansvarig för att möjliggöra datadelning i likhet med Findata i Finland.
Utredaren ska därför göra följande: – Analysera vilka möjligheter som, utifrån befintlig lagstiftning kring
offentlighet och sekretess, tystnadsplikt samt dataskydd, finns för att möjliggöra sekundäranvändning av hälsodata från hälso- och sjukvården för ändamålen forskning, utvecklings- och innovationsverksamhet, undervisning på akademisk nivå samt statliga och regionala och kommunala myndigheters beslutsfattande. Analysen ska även innefatta en analys av den enskildes behov av skydd för den personliga integriteten. – Bedöma om det behövs författningsändringar för att möjliggöra
sekundäranvändning av hälsodata från hälso- och sjukvården för ändamålen forskning, utvecklings- och innovationsverksamhet, undervisning på akademisk nivå samt statliga och regionala och kommunala myndigheters beslutsfattande, samt i så fall lämna nödvändiga författningsförslag. – Om det är nödvändigt med författningsändringar, särskilt redo-
göra för hur författningsförslagen förhåller sig till regleringar om offentlighet och sekretess, tystnadsplikt och dataskydd, och till den enskildes behov av skydd för den personliga integriteten. – Redogöra för informationssäkerhetsperspektivet i samtliga analy-
ser och förslag. I uppdraget ingår inte att lämna förslag till bestämmelser som bryter statistiksekretessen eller förslag som riskerar att leda till att individdata lagras i egna databaser hos privata aktörer där vidareutnyttjandet inte kan kontrolleras. – Säkerställa att de förslag som lämnas är förenliga med målsätt-
ningen att inom ramen för en befintlig myndighet inrätta en teknisk och organisatorisk funktion för säker och effektiv delning av hälsodata, i likhet med Findata i Finland eller andra liknande strukturer i andra länder.
Uppdraget att redogöra för eventuella tillämpningssvårigheter när det gäller befintlig reglering av hälsodata
Som tidigare nämnts går utvecklingen inom dataområdet väldigt fort, inte minst inom hälso- och sjukvården. Det innebär att befintlig lagstiftning inte alltid är eller upplevs vara uppdaterad för att ändamålsenligt reglera det den nu behöver reglera.
Under de senaste åren har regeringen fått en rad synpunkter från olika samhällsaktörer om att regleringen av hälsodata är utdaterad och svårtillämpad. Riksdagen har t.ex. i ett tillkännagivande anfört att regeringen bör överväga om det finns anledning att göra en översyn av patientdatalagen och annan relevant lagstiftning (bet. 2018/19:SoU8 punkt 58, rskr. 2018/19:233). Det är enligt riksdagen angeläget att lagstiftningen på området är anpassad till de krav som dagens teknik ställer, samtidigt som att skyddet för den personliga integriteten värnas.
Utöver det som direktiven anger att utredaren ska lämna förslag på, ska utredaren redogöra för eventuella erfarenheter som förvärvas under utredningens gång i fråga om uppmärksammade tillämpningssvårigheter. Syftet med detta är att konkretisera vilka problem som finns och på så sätt underlätta regeringens fortsatta arbete på hälsodataområdet.
Utredaren ska därför: – redogöra för de konkreta tillämpningssvårigheter när det gäller
den befintliga regleringen av hälsodata som eventuellt framkommer under utredningens gång.
Konsekvensbeskrivningar
Enligt 14 kap. 3 § regeringsformen bör en inskränkning av den kommunala självstyrelsen inte gå utöver vad som är nödvändigt med hänsyn till ändamålen. Det innebär att en proportionalitetsprövning ska göras under lagstiftningsprocessen. Om något av förslagen i betänkandet påverkar den kommunala självstyrelsen ska därför, utöver förslagets konsekvenser, de särskilda avvägningar som lett fram till förslaget särskilt redovisas.
Utredaren ska särskilt redogöra för konsekvenserna för berörda aktörer och individer, inklusive administrativa och ekonomiska konsekvenser. Utredaren ska i fråga om förslagen beskriva och om möj-
ligt kvantifiera de samhällsekonomiska konsekvenserna av förslagen och redovisa dessa konsekvenser. De alternativa åtgärder som har övervägts ska beskrivas, och för de åtgärdsalternativ som inte analyseras vidare ska skälen till detta anges.
Kontakter och redovisning av uppdraget
Utredaren ska föra en dialog med kommuner, regioner, Genomic Medicine Sweden, regionala cancercentrum, Sveriges Kommuner och Regioner, Kommittén för teknologisk innovation & etik (N 2018:04) samt Statens medicinsketiska råd. Utredaren ska även samverka med berörda myndigheter, främst E-hälsomyndigheten, Socialstyrelsen, Verket för innovationssystem, Vetenskapsrådet, Forskningsrådet för hälsa, arbetsliv och välfärd, Integritetsskyddsmyndigheten samt Myndigheten för digital förvaltning.
Uppdraget ska redovisas senast den 21 september 2023.
(Socialdepartementet)
Tilläggsdirektiv till Utredningen om sekundäranvändning av hälsodata
Beslut vid regeringssammanträde den 22 juni 2023
Förlängd tid för uppdraget
Regeringen beslutade den 12 maj 2022 kommittédirektiv om hälsodata som nationell resurs för framtidens hälso- och sjukvård (dir. 2022:41). Uppdraget skulle enligt direktiven redovisas senast den 21 september 2023.
Utredningstiden förlängs. Uppdraget ska i stället redovisas senast den 21 november 2023.
(Socialdepartementet)
Samtycken inom vård och klinisk forskning
Inledning
Samtycke kan enkelt förklaras med att en person godkänner något. Godkännandet har normalt sett föregåtts av att personen fått information om vad hen ska ta ställning till och en fråga kopplat till detta för att sedan fatta ett beslut.
Från ett etiskt perspektiv kan samtycke ses som ett uttryck för individens autonomi. Att inhämta ett samtycke innan en viss åtgärd som rör en individ utförs, är ett sätt att visa respekt för individens integritet.
I vissa situationer finns rättsligt reglerade samtycken. Bestämmelser om samtycke har typiskt sett ett integritetsskyddande syfte, vilket kortfattat kan sägas vara att skydda den enskildes personliga sfär från oönskat intrång. Ur juridiskt perspektiv kan samtycke vara ett rättsligt villkor för att en viss åtgärd ska få utföras rörande individen. Olika typer av samtycken förekommer i lagstiftningen på hälsoområdet.
Kommittén för teknologisk innovation och etik har publicerat en rapport (Komet beskriver 2019:07, Samtycke inom vård och medicinsk
forskning). I rapporten konstateras att samma eller liknande samtyckes-
begrepp används i olika lagar och att det kan vara svårt att få en överblick. Kommittén lyfter också risken att olika samtyckeskrav förväxlas eller sammanblandas i diskussioner om hälsodata. Utredningen delar kommitténs bedömning.
När samtycke diskuteras, bland annat relaterat till användning av hälsodata, är det enligt utredningens mening viktigt att det finns en klarhet i vilken typ av samtycke som avses. Som ett försök att skapa tydlighet i detta, redogör utredningen nedanför ett antal typer av samtycken som förekommer inom hälso- och sjukvård, och klinisk
forskning, relaterat till användande av hälsodata. Utredningen kommer också att ange hur dessa samtycken benämns i betänkandet. Utifrån att utredningens författningsförslag avser klinisk forskning, använder utredningen det begreppet i stället för medicinsk forskning.
De samtycken som berörs nedan är uttryckligen reglerade i lagstiftning på hälsoområdet. Däremot berörs inte samtliga lagreglerade samtycken som kan aktualiseras inom hälsoområdet. Redogörelsen ska inte heller ses som en uttömmande beskrivning av situationer inom vård och medicinsk forskning i vilka individens inställning ska eller bör beaktas. Exempelvis ska vård så långt som möjligt utformas och genomföras i samråd med patienten, vilket innebär att patientens inställning till en mängd frågeställningar som uppkommer i samband med vården ska beaktas. Det finns även situationer där individen kan
motsätta sig en åtgärd, till exempel att personuppgifter inte ska tillgäng-
liggöras i ett system för sammanhållen vård- och omsorgsdokumentation. Den typen av viljeyttring omfattas inte heller av redogörelsen nedan.
Samtycke till vård
Samtycke från patienten är som huvudregel en grundläggande förutsättning för att en vårdåtgärd ska kunna utföras i förhållande till patienten (4 kap. 2 § patientlagen [2014:821], förkortad PL). Patienten kan, om inte annat följer av lag, lämna sitt samtycke skriftligen, muntligen eller genom att på annat sätt visa att hen samtycker till den aktuella åtgärden (4 kap. 2 § andra stycket PL). Patienten kan när som helst ta tillbaka sitt samtycke (4 kap. 2 § tredje stycket PL).
Konkreta exempel på samtycke till vård är när en patient tackar ja till en erbjuden behandling eller operation. Samtycke kan också ske genom att patienten sträcker fram sin arm för att ett blodprov ska kunna tas. Innan patienten samtycker till vård ska patienten ha fått relevant information (se 3 kap. 1–2 §§ PL).
Utredningen använder formuleringen ”samtycke till vård” när vi syftar på samtycke enligt 4 kap. 2 § PL.
Samtycke för insamling och bevarande av prover i biobank
I biobankslagen (2023:38) finns regler om samtycke kopplat till humanbiologiskt material, så kallade prover (se 1 kap.1–2 §§ och 4 kap.biobankslagen).
För att ett prov ska få samlas in till och bevaras i en biobank ska provgivaren ha lämnat sitt samtycke till det, om inte annat följer av 4 kap. biobankslagen eller annan lag. Ett samtycke till bevarande ska anses innefatta samtycke till användning om inte annat uttryckligen anges (4 kap. 1 § biobankslagen). Det finns särskilda regler när provgivaren är ett barn (se 4 kap.4–6 §§biobankslagen).
Innan ett samtycke lämnas till att ett prov samlas in och bevaras i en biobank ska provgivaren ha fått information om 1) avsikten med att samla in och bevara provet, 2) provsamlingens ändamål och vad provet får användas till, 3) vilka ändamål som är tillåtna enligt denna lag, och 4) rätten att återkalla eller begränsa ett samtycke till att samla in, bevara eller använda ett prov i en biobank (4 kap. 2 § biobankslagen).
Det finns även undantag från kravet på samtycke när prov samlas in, bevaras och används för provgivarens vård eller behandling, till exempel om provgivaren har informerats och samtyckt till vård eller behandling enligt patientlagen (2014:821) och fått viss angiven information (4 kap. 7 § biobankslagen). Utredningen använder formuleringen ”samtycke avseende prover” när vi syftar på samtycke enligt biobankslagen.
Samtycke till deltagande i klinisk forskning
Vid klinisk forskning kan samtycke aktualiseras enligt ett antal regelverk.
Vid forskning på levande människor eller biologiskt material från levande människor (jämför 4 § 1–3 lagen [2003:460] om etikprövning av forskning som avser människor, förkortad EPL ) gäller, med vissa i bestämmelsen angivna undantag, regler om information och samtycke (13 § EPL). Det är som utgångspunkt frivilligt att delta i forskning och inga former av påtryckningar får förekomma. Inför att samtycke lämnas ska information ges till de tilltänkta forskningspersonerna (se 13 och 16 §§ EPL). Samtycket ska dokumenteras. Sam-
tycke kan återtas med omedelbar verkan. Det bör noteras att bestämmelserna i 16–22 §§ EPL om information och samtycke gäller för forskning som avses i 4 § 1–3 EPL (se 13 § EPL). Med andra ord träffas inte forskning som innefattar behandling av känsliga personuppgifter (jämför 3 § första punkten EPL) men som inte är sådan forskning som räknas upp i 4 § 1–3 av bestämmelserna om information och samtycke i 16–22 §§ EPL. Exempel på sådan forskning är registerbaserade studier. Det finns dock inget som hindrar att ett beslut om etikgodkännande i enskilda fall förenas med särskilda villkor om information och samtycke.
Vid klinisk läkemedelsprövning gäller Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel upphävande av direktiv 2001/20/EG, förkortad CTR. Enligt artiklarna 28–32 i CTR ska informerat samtycke till deltagande i läkemedelsprövningen alltid inhämtas.
Klinisk forskning kan också omfattas av Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG, förkortad MDR, och Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitrodiagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU, förkortad IVDR. De allmänna kraven på kliniska prövningar regleras i artikel 62 i MDR och de allmänna kraven på prestandastudier i artikel 57 i IVDR. Ett samtycke till en klinisk prövning eller en prestandastudie ska vara informerat och skriftligt (artikel 63 i MDR och artikel 59 i IVDR).
Utredningen använder formuleringen ”samtycke till deltagande i
klinisk forskning” när utredningen syftar på samtycke enligt EPL, CTR,
MDR eller IVDR.
Samtycke som rättslig grund för behandling av personuppgifter
Samtycke är en av de rättsliga grunder som finns för behandling av personuppgifter enligt artikel 6.1 a Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska
personer med avseende på behandling av person-uppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Enligt dataskyddsförordningen (se artikel 4.11) ska ett samtycke vara en viljeyttring som är
- frivillig,
- specifik,
- informerad och
- otvetydig.
Genom en sådan viljeyttring ska den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godta behandlingen av personuppgifter som rör honom eller henne. Av detta följer bland annat att samtycke ska lämnas utan påtryckningar och efter det att individen fått all relevant information.
Dataskyddsförordningen ställer vidare upp ett antal ytterligare villkor för att ett samtycke ska vara giltigt som rättslig grund för behandling av personuppgifter. Samtycket ska avse behandling av personuppgifter för ett eller flera specifika ändamål (artikel 6.1 a). Den personuppgiftsansvarige ska kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter (artikel 7.1), vilket innebär att samtycket behöver dokumenteras på något sätt. Om den registrerades samtycke lämnas i en skriftlig förklaring som också rör andra frågor, ska begäran om samtycke läggas fram på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lätt tillgänglig form, med användning av klart och tydligt språk (artikel 7.2). Ett samtycke ska också kunna återkallas och det ska vara lika lätt att återkalla samtycket som att ge sitt samtycke (artikel 7.4). Återkallas samtycket, försvinner också den rättsliga grunden för den aktuella behandlingen av personuppgifter. Om det inte finns någon annan tillämplig rättslig grund för behandling, till exempel en annan rättslig grund som medger fortsatt lagring, måste personuppgifterna raderas.
1
Giltigt samtycke för behandling av personuppgifter kan vara svårt att få och samtycke kan även av andra skäl i många fall vara problematiskt att stödja behandling av personuppgifter på (se artikel 7
1
Se EDPB Guidelines (05/2020) on consent under Regulation 2016/679, punkt 117.
och skäl 43 i dataskyddsförordningen). Det är därför många gånger lämpligt att i första hand överväga om en annan rättslig grund för behandling av personuppgifter går att tillämpa.
2
Enligt European Data
Protection Board, förkortad EDPB, är det inte heller tillåtet att i efterhand byta från samtycke som rättslig grund för behandling av personuppgifter till en annan rättslig grund.
3
Samtycke som rättslig grund för behandling av personuppgifter är inte lämpligt när det råder en betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige (se skäl 43 i dataskyddsförordningen). I en sådan situation är det nämligen svårt att säkerställa att samtycket lämnas frivilligt. Ett exempel på ojämlikt förhållande är när den personuppgiftsansvarige är en offentlig myndighet. Enligt EDPB indikerar skäl 43 tydligt att det är osannolikt att offentliga myndigheter kan förlita sig på samtycke som rättslig grund för behandling av personuppgifter, eftersom det ofta är en tydlig obalans i maktförhållande mellan, å ena sidan, en offentlig myndighet som personuppgiftsansvarig och, å andra sidan, den registrerade.
4
Myndigheters behandling av personuppgifter har mot denna bakgrund typiskt sett andra rättsliga grunder, såsom att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse (artikel 6.1 c) eller att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). Detta gäller också generellt sett för vårdgivare, då det typiskt sett även råder en betydande ojämlikhet mellan patient och vårdgivare.
Utredningen använder formuleringen ”samtycke som rättslig grund
för behandling av personuppgifter” när vi syftar på samtycke enligt arti-
kel 6.1 a i dataskyddsförordningen.
Samtycke till behandling av känsliga personuppgifter
Behandling av så kallade särskilda kategorier av personuppgifter, eller känsliga personuppgifter, är som utgångspunkt förbjuden (artikel 9.1 i dataskyddsförordningen). En typ av känslig personuppgift är uppgifter om hälsa.
2
Jämför https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/rattslig-grund/
samtycke/ (Hämtat 2022-09-29).
3
EDPB Guidelines (05/2020) on consent under Regulation 2016/679, punkterna 122–123.
4
EDPB Guidelines (05/2020) on consent under Regulation 2016/679, punkt 16.
Det finns ett antal undantag från huvudregeln om förbudet mot behandling av känsliga personuppgifter (se artikel 9.2 a i dataskyddsförordningen). Ett av undantagen är att den registrerade uttryckligen har lämnat sitt samtycke till behandlingen. Behandling av känsliga uppgifter får då ske, men bara för det ändamål som den registrerade har godkänt.
Kravet på att samtycket för behandling av känsliga personuppgifter ska vara ”uttryckligt”, innebär att det ställs ännu högre krav på ett sådant samtycke, än vad som gäller för samtycke som rättslig grund för behandling av personuppgifter. Enligt EDPB avser termen uttryck-
ligt sättet på vilket samtycket lämnas.
5
Den registrerade måste ge ett
uttryckligt uttalande om samtycke (eng. express statement of consent). Ett uppenbart sätt att försäkra sig om att det finns ett uttryckligt samtycke är att inhämta ett skriftligt uttalande vari den registrerade ger ett uttryckligen bekräftat samtycke.
6
Hälso- och sjukvården och andra myndigheter som hanterar hälsodata, baserar inte sin behandling av känsliga personuppgifter på uttryckligt samtycke. I stället finns det andra undantag i artikel 9.2 i dataskyddsförordningen som tillåter sådan behandling, till exempel att behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse (artikel 9.2 g). Ett annat exempel på tillämpligt undantag är att behandlingen är nödvändig av skäl som hör samman med medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system (artikel 9.2 h). Som villkor för behandling enligt punkten h, gäller att behandlingen sker av yrkesutövare som omfattas av tystnadsplikt (artikel 9.3).
Inom ramen för forskning finns undantag i artikel 9.2 j i dataskyddsförordningen som, under vissa villkor, tillåter behandling av känsliga personuppgifter som är nödvändig för bland annat vetenskapliga eller historiska forskningsändamål.
7
Utredningen använder formuleringen ”samtycke till behandling av
känsliga personuppgifter” när vi syftar på samtycke enligt artikel 9.2 a
i dataskyddsförordningen.
5
EDPB Guidelines (05/2020) on consent under Regulation 2016/679, punkt 93.
6
EDPB Guidelines (05/2020) on consent under Regulation 2016/679, punkten 93.
7
Villkoren är att behandlingen ska ske på grundval av unionsrätten eller medlemsstaternas natio-
nella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Samtycke som rättslig grund för behandling av personuppgifter enligt bestämmelse i PDL
I patientdatalagen (2008:355), förkortad PDL, finns en bestämmelse som anger att behandling av personuppgifter som inte är tillåten enligt denna lag ändå får ske, om den enskilde lämnat ett uttryckligt samtycke till behandlingen (2 kap. 3 § PDL). Det gäller dock inte i de fall som anges i 6 kap. 5 § eller om något annat framgår av annan lag eller förordning (2 kap. 3 § PDL). Bestämmelsen infördes i lagstiftningen vid tillkomsten av PDL år 2008.
I propositionen (prop. 2007/08:126, s. 277) anfördes att paragrafen kan sägas ge uttryck för principen att en enskilds uttryckliga samtycke till en viss personuppgiftsbehandling normalt ska respekteras. Huvudregeln i förevarande paragraf innebär således exempelvis att personuppgifter kan samlas in och behandlas för ett ändamål som inte anges i patientdatalagens ändamålsbestämning om den enskilde har lämnat ett uttryckligt samtycke till detta.
Inför ikraftträdande av dataskyddsförordningen bedömdes att bestämmelsen kunde behållas (prop. 2017/18:171, s. 159–160).
Socialdataskyddsutredningen anför följande i frågan om att behålla bestämmelser i registerförfattningar som föreskriver möjlighet till samtycke som rättslig grund för behandling av personuppgifter:
Avvägningar angående huruvida det är lämpligt för en myndighet eller någon annan aktör att grunda en behandling av personuppgifter i ett särskilt fall på ett giltigt samtycke bör således redan ha gjorts av lagstiftaren i de fall det finns bestämmelser om samtycke i registerförfattningar. Mot bakgrund av att kravet på frivillighet gäller även enligt dataskyddsdirektivet och de ovan redovisade uttalandena från Artikel 29-gruppen [numera EDPB] är det utredningens bedömning att någon ytterligare analys av lämpligheten av att grunda en behandling på ett giltigt samtycke inte behöver göras i de fall sådana bestämmelser finns i registerförfattningarna.
Socialdataskyddsutredningens uppfattning var att någon ny avvägning i frågan om det är lämpligt att grunda en behandling av personuppgifter på samtycke inte behövde göras (SOU 2017:66, s. 325).
I lagstiftningsärendet framhöll Integritetsskyddsmyndigheten att de registerförfattningar som innehåller bestämmelser om samtycke som rättslig grund för behandling av personuppgifter måste analyseras noggrant, dels utifrån om samtycke överhuvudtaget kan användas med hänsyn till den situation i vilken den registrerade befinner sig i
förhållande till den personuppgiftsansvarige, dels utifrån att dataskyddsförordningen inte ger stöd till medlemsstaterna att införa nationella bestämmelser om samtycke som rättslig grund.
8
Regeringen ansåg dock, med hänvisning till artikel 6.1 och 9.2 a samt skäl 8 i dataskyddsförordningen, att bestämmelsen i 2 kap. 3 § PDL kunde behållas utan någon ytterligare analys (prop. 2017/18:171, s. 160).
Utredningen använder formuleringen ”samtycke som rättslig grund
för behandling av personuppgifter enligt bestämmelse i PDL”, när sam-
tycke enligt 2 kap. 3 § PDL avses.
Samtycke som integritetshöjande åtgärd vid behandling av personuppgifter
Samtycke i sammanhang som rör personuppgiftsbehandling kan också utgöra en så kallad integritetshöjande åtgärd.
Samtycke som integritetshöjande åtgärd är ett annat sorts samtycke än de samtycken som förekommer som rättslig grund för behandling av personuppgifter (se ovan avsnitt 1.5) och som undantag för att den personuppgiftsansvarige ska få behandla känsliga personuppgifter (se ovan avsnitt 1.5.1).
Samtycke som integritetshöjande åtgärd kan till exempel aktualiseras vid myndigheters behandling av personuppgifter. Som framgår ovan grundar sig myndigheters behandling av personuppgifter normalt sett inte på samtycke som rättslig grund, utan oftast på andra grunder i dataskyddsförordningen (se ovan avsnitt 1.5). När en myndighets behandling av personuppgifter grundar sig på att den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e i dataskyddsförordningen) kan samtycke däremot användas av myndigheten som en integritetshöjande åtgärd. Samtycket betraktas då som en slags extra skyddsåtgärd för den enskildes personliga integritet och för att säkerställa individens frivillighet inför den personuppgiftsbehandling som kommer att ske.
Utredningen använder formuleringen ”samtycke som integritets-
höjande åtgärd vid behandling av personuppgifter” när vi syftar på denna
typ av samtycke.
8
Datainspektionens yttrande den 1 november 2017 Remittering av betänkandet SOU 2017:66
Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning (diarienummer 1954-2017).
Samtycke till behandling av personuppgifter enligt lagen om sammanhållen vård- och omsorgsdokumentation
I lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation, förkortad SVOD, finns bestämmelser i 3 kap. 1 och 2 §§ om samtycke, som enligt förarbetena betraktas som en integritetshöjande åtgärd (se prop. 2021/22:177, s. 37 och s. 50–51).
9
Samtycket aktuali-
seras när en vård- eller omsorgsgivare i ett enskilt fall ska behandla personuppgifter om en patient eller omsorgstagare.
För att en vårdgivare ska få behandla personuppgifter som gjorts tillgängliga av en annan vårdgivare eller omsorgsgivare i ett system för sammanhållen vård- och omsorgsdokumentation, krävs samtycke från patienten (3 kap. 1 § SVOD). Motsvarande gäller för att en omsorgsgivare ska få behandla personuppgifter från en annan omsorgsgivare eller vårdgivare (3 kap. 2 § SVOD).
Kravet på samtycke följer alltså av den svenska lagen och är utifrån ett dataskyddsperspektiv att se som en integritetshöjande åtgärd. Samtycket är inte ett samtycke som rättslig grund för behandling av personuppgifter, utan vård- respektive omsorgsgivaren har typiskt sett en annan rättslig grund enligt dataskyddsförordningen för behandling av personuppgifterna (se ovan avsnitt 1.5).
Samtycke till att bryta sekretess
I offentlighets- och sekretesslag (2009:400), förkortad OSL, finns sekretessbestämmelser avseende hälsodata. En sådan bestämmelse är 25 kap. 1 § OSL, som föreskriver sekretess inom hälso- och sjukvård för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden.
Den person som sekretessen avser att skydda, kan dock, med vissa undantag, helt eller delvis häva sekretessen (12 kap. 2 § OSL). Av detta följer att sekretess till skydd för en enskild inte hindrar att en uppgift lämnas till en annan enskild eller till en myndighet, om den enskilde samtycker till det (10 kap. 1 § OSL). Den enskildes samtycke har i detta sammanhang en sekretessbrytande verkan.
9
I det lagstiftningsarbetet används begreppet ”integritetsstärkande åtgärder”, som samlings-
begrepp för åtgärder som införs i syfte att förhindra och försvåra intrång i vård- och omsorgstagarnas personliga integritet (se prop. 2021/22:177, s. 50). Utredningens tolkning är att detta begrepp är synonymt med begreppet ”integritetshöjande åtgärder”.
Ett samtycke till att lämna ut uppgifter kan också ha betydelse för menprövningen, till exempel enligt 25 kap. 1 § OSL, på så sätt att det inte kan anses vara till men för patienten att lämna ut uppgifter om hälsotillstånd eller andra personliga förhållanden.
Ett samtycke till att bryta sekretessen ska som huvudregel vara uttryckligt och kan ges skriftligen eller muntligen. Även, underförstådda, presumerade samtycken kan principiellt sett i vissa fall godtas (se prop. 1979/80:2 Del A, s. 331). När det är fråga om känsliga uppgifter finns dock som regel skäl att inhämta ett skriftligt samtycke eller att dokumentera när och hur samtycke har inhämtats (se JO 2009/10: s. 440). Vårdgivare ska dokumentera utlämnande av journalhandlingar i patientjournalen (se 3 kap. 11 § PDL).
Utredningen använder formuleringen ”samtycke till att bryta sek-
retessen” när vi syftar på samtycke enligt 10 kap. 1 § OSL.
Att hålla i sär olika typer av samtycken
Det är utredningens erfarenhet att det ibland uppstår missförstånd relaterat till vad samtycken avser. I syfte att skapa ökad tydlighet kring vad ett visst samtycke är och inte är, redogör vi i detta avsnitt för några exempel relaterat till de samtycken som berörts ovan.
Samtycke till vård (se ovan avsnitt 1.2) är inte samtycke som rättslig
grund för behandling av personuppgifter inom hälso- och sjukvården. Vårdgivares behandling av personuppgifter för ändamålet vårddokumentation har som rättslig grund att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse (artikel 6.1 e i dataskyddsförordningen jämför med 3 kap. 1 § PDL). Patientdatalagen föreskriver till och med att patientens inställning till personuppgiftsbehandling enligt lagen som utgångspunkt saknar betydelse (2 kap. 2 § PDL). Ett samtycke till vård är inte heller i sig ett samtycke avseende prover. Däremot kan ett samtycke till vård numera få konsekvensen att ett samtycke även avseende prover inte behövs.
Samtycke till deltagande i klinisk forskning (se ovan avsnitt 1.6) är
inte samtycke som rättslig grund för behandling av personuppgifter inom ramen för forskningen och utgör inte heller samtycke till behandling av känsliga personuppgifter. Svenska forskningshuvudmän använder typiskt sett den rättsliga grunden att behandlingen av personuppgifter är nödvändig för att utföra en uppgift av allmänt intresse
enligt artikel 6.1 e i dataskyddsförordningen. Inom ramen för läkemedelsprövningar har EDPB också lyft artikel 6.1 e som förstahandsval.
10
Som undantag från förbudet att behandling känsliga personupp-
gifter finns artikel 9.2 j i dataskyddsförordningen.
Godkänd etikprövning eller samtycke till deltagande i klinisk forskning innebär inte heller i sig att forskningspersonen häver den sekretess enligt OSL som kan gälla hos till exempel en vårdgivare eller annan myndighet, för den hälsodata som forskningshuvudmannen behöver ha del av för att genomföra forskningsprojektet. Samtycke till att häva sekretessen kan dock (också) ske i samband med att den enskilde samtycker till att delta i forskningen.
11
Utlämnande av hälsodata från
vårdgivare eller andra myndigheter till forskningshuvudmannen kan även ske efter menprövning. En relevant omständighet inom ramen för menprövningen kan vara att forskningspersonen lämnar samtycke till deltagande i forskningen.
10
Opinion 3/2019 concerning the Questions and Answers on the interplay between the Clinical Trials Regulation (CTR) and the General Data Protection regulation (GDPR) (art. 70.1.b), punkt 26.
11
Komet beskriver 2019:07, s. 16.
Promemoria med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet
Promemoria med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet..................................1
1.1 Inledning ................................................................................... 4 1.2 Bakgrund................................................................................... 7 1.2.1 E-hälsa, hälsodata och hälsodataområdet ................ 7 1.2.2 E-hälsa........................................................................ 8 1.2.3 Hälsodata................................................................... 9 1.2.4 Hälsodataområdet................................................... 12 1.2.5 Primäranvändning och sekundäranvändning av hälsodata.............................................................. 14 1.2.6 Infrastruktur............................................................ 15 1.2.7 Avsaknaden av övergripande nationell infrastruktur för hälsodata ...................................... 16 1.3 Avgränsningar......................................................................... 17 1.4 Behov av en nationellt samordnad digital infrastruktur för hälsodata ............................................................................ 18 1.5 Utredningens överväganden och förslag............................... 20 1.5.1 Överväganden.......................................................... 29 1.5.2 Aktörer som bör ges möjlighet att yttra sig .......... 33 1.6 Genomförande av förslagen ................................................... 34 1.6.1 Alternativ 1 – Förvärva infrastrukturen ................ 35 1.6.2 Alternativ 2 – Bygga upp en parallell infrastruktur ............................................................ 36 1.6.3 Alternativ 3 – Samägande ....................................... 36 1.6.4 Alternativ 4 – Beslut om att inte göra någon förändring (nollalternativ) ...................................... 38 1.6.5 Sammanvägd bedömning ........................................ 39 1.6.6 Känslighetsanalys .................................................... 40 1.7 Konsekvenser av förslagen ..................................................... 42 1.7.1 Kostnadsberäkningar .............................................. 42 1.7.2 Konsekvenser för den personliga integriteten ...... 47 1.7.3 Konsekvenser för det kommunala självstyret ....... 48 1.7.4 Prövning av offentliga åtaganden ........................... 56 1.7.5 Övriga konsekvenser .............................................. 60
1.8 Finansiering av förslagen........................................................ 68 1.8.1 Skälen för valet av finansiering ............................... 69 1.9 Exempel på byggstenar, tjänster och insatser ....................... 74 1.9.1 E-hälsomyndigheten som datahubb ....................... 74 1.9.2 Förutsättningar för individen och juridiska personer att utöva kontroll och insyn över sina data.................................................................... 74 1.9.3 Antalsberäkningar ................................................... 76 1.9.4 Verksamhetsstatistik ............................................... 78 1.9.5 Väntetidsdata ........................................................... 78 1.9.6 Vård- och omsorgsgivarregister ............................. 79 1.9.7 Ökad aktualitet och förbättrad dataförsörjning ........................................................ 79 1.9.8 Elektroniska intyg ................................................... 80 1.9.9 Byggstenar som följer av förslaget till EHDS ....... 81 1.9.10 Övrigt....................................................................... 83 1.10 Annat som kan övervägas....................................................... 83 1.10.1 E-hälsomyndighetens namn .................................... 83 1.10.2 Kostnader för namnändring .................................... 85
1.1 Inledning
I utredningens direktiv framgår att utredaren ska säkerställa att de förslag som lämnas är förenliga med målsättningen att inom ramen för en befintlig myndighet inrätta en teknisk och organisatorisk funktion för säker och effektiv delning av hälsodata, i likhet med Findata i Finland eller andra liknande strukturer i andra länder (dir. 2022:41, s. 10).
Samtidigt har det på EU-nivå nyligen lagts fram ett förslag till förordning och en beslutad förordning vilka tillsammans på olika sätt avser reglera hantering, förvaltning och flöde av data. Dessa regelverk kommer påverka Sveriges infrastruktur inom hälsodataområdet. EU:s dataförvaltningsförordning1, vardagligt benämnd dataförvaltningsakten, är beslutad och ska införlivas i svensk rätt. Förordningen har för avsikt att främja tillgängligheten till och användbarheten av data genom att öka förtroendet mellan aktörer som hanterar data samt att stärka mekanismer för datadelning inom EU. Förslaget till dataförordning2, vardagligt benämnd dataakten, har som syfte att mellan aktörerna i dataekonomin rättvist fördela nyttor från den typen av data som kommer från uppkopplade produkter samt att främja tillgång till och användning av data, bland annat medicinsk och hälsorelaterad utrustning.3 Utöver dessa finns det ett annat förslag till EU-förordning som är aktuell i sammanhanget. Det är ett sektorsspecifikt förslag till förordning om ett europeiskt hälsodataområde (EHDS)4. Förslaget till EHDS syftar dels till att ge enskilda inom EU en ökad kontroll över sina hälsodata, dels till att göra det lättare att dela och få tillgång till olika typer av hälsodata. Förslaget gäller både inom vården (primäranvändning) och för bland annat forskning och innovation (sekundäranvändning).
Utredningen har identifierat att enligt artikel 7.1 i EU:s dataförvaltningsförordning ska varje medlemsland utse ett eller flera behöriga organ, som får vara behöriga för särskilda sektorer, för att bistå de offentliga myndigheter som beviljar eller vägrar tillgång för vidareutnyttjande av vissa angivna kategorier av data. Av artikel 7.4
1 Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten). 2 Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och användning av data (dataakten) COM(2022) 68 final av den 23 februari 2022. 3 Se skäl 14 i förslaget till dataakten. 4 Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om ett europeiskt hälsodataområde COM(2022) 197 final av den 3 maj 2022.
framgår vad det bistånd som föreskrivs i punkt 1 ska innefatta. Vidare framgår det av artikel 7.5 att varje medlemsstat senast den 24 september 2023 ska meddela kommissionen vilka behöriga organ som utsetts. För att uppfylla kraven i förordningen krävs dock endast att ett övergripande organ utsetts till det datumet. Utredningens bedömning är däremot att det på hälsodataområdet är angeläget att utse ett sektorspecifikt organ för att Sverige enklare ska kunna utföra de uppgifter som följer av de tre rättsakterna.
Av artikel 10.1 i förslaget till EHDS framgår det att varje medlemsstat ska utse en e-hälsomyndighet som på nationell nivå ska ansvara för genomförandet och efterlevnaden av förordningens kapitel om primär användning av e-hälsodata. I artikel 10.2 anges vilka uppgifter som ska anförtros varje e-hälsomyndighet. Vidare anges i artikel 36.1 att medlemsstaterna ska utse ett eller flera organ med ansvar för tillgång till hälsodata med ansvar för att bevilja tillgång till e-hälsodata för sekundär användning.5 I artikel 37 anges vilka uppgifter dessa organ ska utföra.
Det framgår också av artikel 31.1 i förslaget till dataförordningen att medlemsstaterna ska utse en eller flera behöriga myndigheter som ska ansvara för tillämpningen och genomförandet av denna förordning. Vidare framgår det av artikel 31.3 vilka uppgifter och befogenheter som medlemsstaterna ska säkerställa att den behöriga myndigheten har. Av skäl 81 i förslaget anges att de myndigheter som ansvarar för tillsynen över uppfyllandet av dataskyddet och de behöriga myndigheter som utses inom ramen för sektorslagstiftning, såsom inom hälsodataområdet, bör ha ansvaret för denna förordnings tillämpning inom sina behörighetsområden.
Utredningens bedömning är att det är lämpligt att en och samma statliga myndighet utses inom hälsodataområdet för att utföra de uppgifter som anges i samtliga av de ovan nämnda förordningarna. Detta eftersom de uppgifter som dessa organ ska utföra enligt förordningarna är snarlika varandra. Samtliga förordningar syftar till att öka datadelningen och en eller flera organ kommer därför bland annat behöva säkerställa att medborgarna kan utöva sin rätt till datadelning. I EU:s dataförvaltningsförordning regleras villkor för vidareutnyttjande inom unionen av vissa kategorier av data som innehas av offentliga myndigheter (se bland annat artikel 1.1), i förslaget till EU:s dataförordning regleras framför allt datadelning mellan privata
5 På engelska kallat Health data access bodies.
aktörer (se bland annat artikel 1.1) och i förslaget till EHDS regleras specifikt datadelningen av hälsodata (se bland annat artikel 1.1). Utredningen bedömer att det är lämpligt att ansvaret inom hälsodataområdet hamnar på en och samma myndighet för att undvika en otydlig ansvarsfördelning.
Utredningen uppfattar att regeringen gjort en liknande bedömning, då det av direktiven framgår att förslagen om inrättande av teknisk och organisatorisk funktion för delning av hälsodata ska inrättas inom ramen för en befintlig myndighet.
Utredningens bedömning är att den svenska E-hälsomyndigheten bör få det sektorsspecifika ansvaret för infrastrukturen för hälsodata och därmed vara behörigt organ enligt artikel 7.1 i EU:s dataförvaltningsförordning samt i förlängningen behörig myndighet enligt artikel 31.1 i EU:s förslag till dataförordning och ansvarig myndighet enligt artiklarna 10.1 och 36.1 i förslaget till EHDS. Utredningen anser därför att bestämmelserna i förordningen (2013:1031) med instruktion för E-hälsomyndigheten behöver ses över och ändras.
Utredningen bedömer också att en nationell digital infrastruktur för hälsodata är avgörande för om Sverige ska kunna få till stånd en mer datadriven hälso- och sjukvård som kan leverera en framstående hälso- och sjukvård som är ekonomiskt effektiv och som lever upp till medborgarnas förväntningar. Om dessa eller liknande förslag inte genomförs bedömer utredningen att administrationen inom vården kommer fortsätta öka och att Sverige kommer falla längre ner i internationella mätningar över exempelvis tillgänglighet. Utredningen bedömer även att om dessa eller liknande förslag inte genomförs finns en risk för att klyftorna mellan den offentligt finansierade vården och den privata vården kommer att fortsätta öka när den privata vården blir alltmer datadriven.
Utredningen föreslår därför i denna promemoria dels att staten, genom E-hälsomyndigheten, tar ansvar för samordningen av den övergripande nationella digitala infrastruktur för hälsodata, dels att det bör utredas vidare om vissa nationella tjänster bör tillhandahållas av E-hälsomyndigheten.
Utredningen vill tacka alla aktörer som kommit med värdefulla synpunkter och inspel.
Utredningens expertgrupp har under utredningsarbetet bidragit med värdefulla och konstruktiva synpunkter. När begreppet utred-
ningen används i promemorian avses den särskilda utredaren samt sekretariatet.
1.2 Bakgrund
Som framgår ovan anges det i utredningens direktiv att utredaren ska säkerställa att de förslag som lämnas är förenliga med målsättningen att inom ramen för en befintlig myndighet inrätta en teknisk och organisatorisk funktion för säker och effektiv delning av hälsodata.
Det saknas i dag en tydlig begreppsbildning kring hälsodata, hälsodataområde och e-hälsa. För förståelsen av utredningens förslag till ändring i E-hälsomyndighetens instruktion, försöker utredningen i följande avsnitt att ge en övergripande beskrivning av innebörden av, och sammanhangen för, begreppen e-hälsa respektive hälsodata och hälsodataområde.
1.2.1 E-hälsa, hälsodata och hälsodataområdet
I den nuvarande lydelsen av E-hälsomyndighetens instruktion används begreppet e-hälsa. Bland annat anges att myndigheten ska samordna regeringens satsningar på e-hälsa samt övergripande följa utvecklingen på e-hälsoområdet (se 1 § förordning [2013:1031] med instruktion för E-hälsomyndigheten).
Utredningens förslag om ändringar i instruktionen avser olika uppgifter kopplade till begreppen hälsodata och hälsodataområdet.
Utredningen anser att e-hälsa och hälsodata i stora delar avser olika saker, men att begreppen också har beröringspunkter. Den del inom e-hälsa som avser digitaliseringen inom hälso- och sjukvård, omsorg och apoteksväsendet rörande informationshantering och digitalt utbyte av information kan sägas ha beröringspunkter med delar av hälsodatabegreppet (till exempel vårddata och personuppgifter inom hälso- och sjukvård och socialtjänst). E-hälsa synes dock även avse digitalisering i vidare mening än data, då det även omfattar verktyg, arbetssätt med mera inom framför allt hälso- och sjukvården samt omsorgen. Hälsodata och hälsodataområdet är däremot betydligt bredare än e-hälsa i den mening att det omfattar många fler aktörer och sektorer, samt ett stort antal andra ändamål för användningen av data.
1.2.2 E-hälsa
Begreppet e-hälsa har ingen rättslig definition. Det definieras inte heller i E-hälsomyndighetens instruktion.
Socialstyrelsen har däremot en definition av e-hälsa, som också E-hälsomyndigheten använder.6 Socialstyrelsen definierar e-hälsa på följande sätt:
Hälsa är fysiskt, psykiskt och socialt välbefinnande. E-hälsa är att använda digitala verktyg och utbyta information digitalt för att uppnå och bibehålla hälsa.7
Utredningen uppfattar begreppet e-hälsa som ett paraplybegrepp, som omfattar satsningar, projekt, infrastruktur, dokumentation, verktyg, arbetssätt med mera kopplat till digitaliseringen inom framför allt hälso- och sjukvården, omsorgen och apoteksverksamhet som är direkt kopplade till behandling av enskilda patienter och därmed inte omfattar exempelvis beslutsstöd kopplat till patientflöden med mera.
Begreppet e-hälsa används för en mängd olika företeelser. Nedan följer några exempel.
E-hälsomyndigheten anger att e-hälsa kan avse e-recept, digital kontakt med hälso- och sjukvården samt webbtjänster och appar som stöd för patienter att sköta sin hälsa på egen hand eller i samarbete med vård och omsorg. E-hälsa kan även enligt myndigheten bidra till bättre kommunikation mellan individen och apotek, vård och omsorg, men också mellan medarbetare och olika verksamheter inom vården och omsorgen. E-hälsa kan också leda till större trygghet genom att välfärdstekniska lösningar används, såsom nattkameror, läkemedelsrobotar och olika typer av trygghetsskapande sensorer, som ger individer i behov av omsorg ökad självständighet och självbestämmande.8
Kopplat till e-hälsa omnämner Socialstyrelsen att myndigheten erbjuder verktyg, så kallad Gemensam informationsstruktur, för en ändamålsenlig och strukturerad dokumentation inom vård och omsorg.9
Exempel på satsningar inom e-hälsa är Vision e-hälsa 2025. Vision e-hälsa är statens och SKR:s gemensamma vision för e-hälsoarbetet
6 https://www.ehalsomyndigheten.se/om-oss/sa-arbetar-vi/om-begreppet-e-halsa/ (Hämtat 2022-12-12). 7 https://www.socialstyrelsen.se/kunskapsstod-och-regler/omraden/e-halsa/ (Hämtat 2022-12-12). 8 https://www.ehalsomyndigheten.se/om-oss/sa-arbetar-vi/om-begreppet-e-halsa/ (Hämtat 2022-02-12). 9 https://www.socialstyrelsen.se/kunskapsstod-och-regler/omraden/e-halsa/ (Hämtat 2022-12-12).
fram till 2025. Aktuell genomförandeplan för Vision e-hälsa 2025 omfattar fyra inriktningsmål; 1) Individen som medskapare, 2) Rätt information och kunskap, 3) Trygg och säker informationshantering och 4) Utveckling och digital transformati on i samverkan.10 Utredningen uppfattar att arbetet inom Vision e-hälsa 2025 framför allt avser aktiviteter relaterade till hälso- och sjukvården och omsorgen, men också i vissa delar även apotek/läkemedelshantering och medicintekniska produkter.
1.2.3 Hälsodata
Utredningen konstaterar att inte heller begreppet hälsodata har någon rättslig definition och inte heller någon entydig definition i andra sammanhang. Begreppet förekommer i många olika sammanhang och relaterat till olika aktörer (se vidare nedan avsnitt 1.2.4 avseende Hälsodataområdet). Ledning för förståelsen av begreppet kan dock hämtas både i rättsliga och andra källor.
I allmänspråklig mening avser data ”uppgifter, fakta särskilt när de är digitalt behandlade”.11 I dagens samhälle, som genomgår en grundläggande omvandling i form av den pågående digitaliseringen och utveckling av bland annat artificiell intelligens, representerar data också ny kunskap och nya användningsområden som tidigare inte varit tillgängliga för oss.
På senare tid har begreppet data också definierats i antagen lagstiftning.12 Gemensamt för dessa definitioner är att data avser digital information13, till skillnad från information på papper. Utredningen har för avsikt att ansluta sig till befintliga rättsligt beslutade definitioner av begreppet ”data”. Utredningens preliminära definition av data är dokumenterad information i digitalt format.
Det är enligt utredningens mening ”hälso-delen” i begreppet hälsodata som är svårare att ge en entydig definition. Utredningen konstaterar att det går att närma sig dess innebörd från olika infalls-
10 Genomförandeplan 2020-2022, Bilaga till Strategidokument Vision e-hälsa 2025, version maj 2022. 11 Se https://svenska.se/tre/?sok=data&pz=1 (Hämtat 2022-10-05). 12 Se till exempel artikel 2.1 i EU:s dataförvaltningsförordning och 1 kap. 4 § lag (2022:818) om offentliga sektorns tillgängliggörande av data. 13 Informationsbäraren är lite olika formulerad och den digitala aspekten uttrycks också med lite olika formuleringar (”digitalt format” eller ”digital återgivning”).
vinklar. Utredningen beskriver nedan några av dessa som belysning av vad begreppet hälsodata kan betyda.
Utredningens direktiv presenterar en definition av hälsodata som anknyter till EU:s dataskyddsförordning14. Med hälsodata avses enligt utredningens direktiv en dokumenterad personuppgift som rör en persons fysiska eller psykiska hälsotillstånd i bred bemärkelse och som utgör känsliga personuppgifter enligt EU:s dataskyddsförordning. Det framgår inte av direktiven om alla typer av känsliga personuppgifter avses, eller endast vissa. Utredningens uppfattning är att de kategorier av känsliga personuppgifter som utgör hälsodata är uppgifter om hälsa och genetiska uppgifter (se artikel 9.1 i EU:s dataskyddsförordning). Hälsodata enligt utredningens tolkning av definitionen som framgår av utredningens direktiv skulle då avse dokumenterad information i digitalt format som avser uppgifter om hälsa och genetiska uppgifter enligt artikel 9.1 i EU:s dataskyddsförordning.
Hälsodata skulle också kunna beskrivas utifrån personuppgiftsbehandling i verksamhet som avser individens hälsa, till exempel hälso- och sjukvård och socialtjänst. Begreppet hälsodata skulle på detta sätt kunna knyta an till vårdgivares behandling av personuppgifter inom hälso- och sjukvård enligt patientdatalagen (2008:355), PDL, eller behandling av personuppgifter inom socialtjänsten enligt lag (2001:454) om behandling av personuppgifter inom socialtjänsten, SoLPuL. För att ta hälso- och sjukvården som exempel, skulle en definition av hälsodata kunna vara dokumenterad information i digitalt format som utgörs av personuppgifter som behandlas av vårdgivare inom hälso- och sjukvården i den mening som avses i patientdatalagen.
Ytterligare ett sätt att närma sig begreppet är att försöka beskriva vilken typ av information som avses. Ett exempel på detta är förhållningssätt finns i Socialstyrelsens rapport Kartläggning av datamängder av nationellt intresse på hälsodataområdet – delrapport15. I rapporten finns en beskrivning av olika typer av hälsodata enligt tabellen nedan.
14 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 15 Kartläggning av datamängder av nationellt intresse på hälsodataområdet – delrapport, Nationellt tillgängliga hälsodata för en datadriven hälso- och sjukvård, forskning och innovation (2022-3-7781).
Beskrivning av olika typer av hälsodata
Typer av hälsodata
Exempel
Vårddata Diagnoser, vårdåtgärder, läkemedelsanvändning, laboratoriesvar, bildanalys, enkäter, skattningsskalor, m.m. inom vård och omsorg, tandvård eller socialtjänstens områden
Livsstilsdata Kost, fysisk aktivitet, alkohol, narkotika, dopning, tobak och spel, livskvalitet, m.m.
Biologiska data Ålder, OMICS (genomics, proteomics, metabolomics, metagenomics och transcriptomics), fenotyp, microbiomarkörer, vävnader, biometrisk information, m.m
Socioekonomiska data Socialförsäkringsdata, yrke, utbildning, inkomst, demografiska data, (bostadsområde, folkbokföringsadress, födelseland) m.m.
Organisatoriska data Sjukvårdssystem (organisatoriska, geografiska, ekonomiska data om verksamheter och personal t.ex. yrke och utbildningsnivå, arbetsställe, m.m.), produktregister.
Övriga hälsodata:
Miljödata Luft, vatten, boendemiljö, utemiljöer för barn m.m.
Aggregerad information Beteenderelaterade mönster som resmönster, sökmönster (ex rådgivning, 1177, 112), m.m.
Övrig hälsodatarelaterad information:
Metadata om hälsodata Data som beskriver en hälsodatamängd
Ontologiska data Klassifikationer, terminologi, kodsystem, begreppssystem m.m.
Kartläggning av datamängder av nationellt intresse på hälsodataområdet – delrapport, Nationellt tillgängliga hälsodata för en
datadriven hälso- och sjukvård, forskning och innovation (2022-3-7781),
s.
13.
En beskrivning av hälsodata utifrån ovan kartläggning skulle kunna avse en eller flera av ovan nämnda typer av data. Ett liknande förhållningssätt framkommer av Delrapport från regeringens arbetsgrupp för hälsodata, som delar in hälsodata i biologiska data, vårddata, livsstilsdata och socioekonomisk a, kulturella och miljödata.16
16 Delrapportering från arbetsgruppen för hälsodata, Regerings samverkansgrupp för Hälsa och Life Science, s 15.
Utredningen har landat i ett preliminärt förhållningssätt till begreppet hälsodata som tar sikte på vilken typ av information som avses. Syftet med detta är att använda ett synsätt som är begripligt och användbart för många aktörer och tillämpligt i många situationer. Utifrån detta förhållningssätt arbetar utredningen för närvarande med att formulera en beskrivning av hälsodata, snarare än en ”definition” av begreppet. Utredningens preliminära beskrivning av hälsodata är dokumenterad information i digitalt format som avser vårddata, biologiska data och livsstilsdata samt socioekonomiska-, kulturella- och miljödata.
Det finns både för- och nackdelar med en tämligen vid beskrivning som ovanstående. Utredningen överväger om beskrivningen bör göras snävare eller på annat sätt förändras i vissa delar.
Det kan också noteras att det finns definitioner i förslaget till EHDS17 som kan vara relevanta att beakta relaterat till ett eventuellt hälsodatabegrepp i E-hälsomyndighetens instruktion. Utredningen konstaterar att så som förslaget ser ut för närvarande, är definitionen av så kallade personliga e-hälsodata mycket vid.18
Vilken innebörd som begreppet hälsodata bör ha i en ny lydelse av instruktionen för E-hälsomyndigheten behöver enligt utredningens uppfattning utredas närmare.
1.2.4 Hälsodataområdet
Hälsodataområde kan avse området hälsodata samt EU:s hälsodataområde. Med hälsodataområde avser utredningen området hälsodata och med EU:s hälsodataområde eller det europeiska hälsodataområdet avses det hälsodataområde som regleras av förslaget till EHDS och som får betraktas som en del av området hälsodata.
Hälsodata i vid mening (jfr tabellen i ovan avsnitt) förekommer i många olika sammanhang och kan ha många användningsområden. Det är enligt utredningens mening inte möjligt att exakt definiera gränserna för detta ”område” för hälsodata. Utifrån att intresset och behoven av hälsodata ökar och regelverk ändras är det inte heller möjligt att
17 Framför allt personliga e-hälsodata som i förslaget avser ”uppgifter om hälsa och genetiska uppgifter enligt definitionen i förordning (EU) 2016/679, samt uppgifter som avser bestämningsfaktorer för hälsa, eller uppgifter som behandlas i samband med tillhandahållande av hälsooch sjukvårdstjänster, och som behandlas i elektroniskt format”, och e-hälsodata som avser ”personliga eller icke-personliga elektroniska hälsodata”. 18 Se förslag till EHDS artikel 2 2.a) och skäl 5.
på ett statiskt sätt ringa in områdets omfattning. Däremot går det att beskriva olika aktörer och ändamål som hälsodataområdet omfattar.
Centrala verksamheter där hälsodata produceras och används i stor omfattning är hälso- och sjukvård, omsorg, apotek och medicinsk forskning. Ändamålen för hälsodata i dessa verksamheter är framför allt vård och forskning.
Utredningens uppdrag innefattar att se över lagstiftningen för sekundäranvändning av hälsodata från hälso- och sjukvården, bland annat för ändamålen forskning, utvecklings- och innovationsverksamhet, undervisning på akademisk nivå samt statliga, regionala och kommunala myndigheters beslutsfattande. Dessa ändamål kan förekomma hos såväl statliga myndigheter som regioner, kommuner och privata aktörer.
I sammanhanget kan det också vara av värde att notera skäl 1 i förslaget till EHDS, som belyser det europeiska hälsodataområdet:
Syftet med denna förordning är att inrätta ett europeiskt hälsodataområde för att förbättra fysiska personers åtkomst till och kontroll över sina personliga e-hälsodata i samband med hälso- och sjukvård (primär användning av e-hälsodata) samt för andra ändamål som gynnar samhället, till exempel forskning, innovation, beslutsfattande, patientsäkerhet, individanpassade läkemedel, officiell statistik eller reglering (sekundär användning av e-hälsodata).
Hälsodataområdet kan också definieras i termer av datainnehavare och dataanvändare. Datainnehavare är till exempel vårdgivare, universitet och statliga myndigheter, medan dataanvändare kan vara forskare eller industrin. En och samma aktör kan vara både datainnehavare och dataanvändare för olika hälsodatamängder. Hälsodataområdet omfattar även aktörer som har infrastruktur, beräkningskapacitet med mera för hälsodata. När hälsodata utgörs av personuppgifter enligt EU:s dataskyddsförordning, kan hälsodataområdet beskrivas utifrån de olika personuppgiftsansvariga som behandlar uppgifter om hälsa och genetiska uppgifter (se artikel 4.1 och artikel 9.1 i EU:s dataskyddsförordning).
Utredningen anser slutligen att det hade varit lämpligt att se över begreppet hälsodataområde i samband med översättningen av EHDS. I den engelska versionen används ordet ”space”, vilket skulle kunna översättas till utrymme. Begreppet hälsodatautrymme skulle, enligt utredningen, skapa mindre begreppsförvirring.
1.2.5 Primäranvändning och sekundäranvändning av hälsodata
I utredningens direktiv framgår att utredningen ska analysera befintliga möjligheter till sekundäranvändning av hälsodata. Utredningens förslag i denna promemoria bygger dock på en övergripande nationell infrastruktur som ska kunna användas för både primär- och sekundäranvändning. Anledningen till denna ansats beror dels på att det många gånger är samma infrastruktur som används för såväl primär- som sekundäranvändningen, dels på att sekundäranvändning ofta bygger på att det finns en fungerande infrastruktur för primäranvändning.
I juridiska sammanhang förekommer en uppdelning mellan användning av hälsodata, som är personuppgifter, för primära respektive sekundära ändamål. I utredningens direktiv ges också uttryck för denna distinktion, genom att det anges att med sekundäranvändning av personuppgifter avses behandling av personuppgifter för något annat ändamål än det primära ändamålet med personuppgiftsbehandlingen. Exempel på uppdelning i primär- och sekundäranvändning är att det i många s.k. registerförfattningar görs en uppdelning i primära ändamål, som typiskt sett avser användande av personuppgifter i myndighetens egen verksamhet, och sekundära ändamål som avser utlämnande av personuppgifter till externa mottagare.19
Utifrån EU:s dataskyddsförordning görs en distinktion mellan primära och sekundära ändamål, som även avser användning av personuppgifter inom till exempel en myndighet eller verksamhet. Skillnaden formuleras genom principen om ändamålsbegränsning i artikel 5.1 b, av vilken det framgår att uppgifter får samlas in för särskilda, uttryckliga och berättigade ändamål och senare inte får behandlas på ett sätt som är oförenligt med dessa ändamål. Bestämmelsen ger uttryck för den s.k. finalitetsprincipen. Utifrån detta kan en åtskillnad göras mellan, å ena sidan, användning för det ändamål som uppgifterna ursprungligen samlades in för (primär användning) och, å andra sidan, vidare användning för andra ändamål (sekundär användning).20
Denna nu beskrivna uppdelningen mellan primär- och sekundäranvändning inom en verksamhet görs dock inte alltid i kompletterande svensk lagstiftning. PDL är ett sådant exempel, där det finns en förteckning över ett antal ändamål för vilka behandling av person-
19 Jfr SOU 2017:66, s. 151 och 228. 20 Se Riktlinjer 03/2020 om behandling av uppgifter om hälsa för vetenskapliga forskningsändamål i samband med covid-19-utbrottet, punkt 11.
uppgifter är tillåtet inom en vårdgivares hälso- och sjukvårdsverksamhet, utan att en uppdelning görs mellan vad som är ursprunglig insamling för ett visst ändamål och vidare behandling för anna t ändamål.21
Utredningen gör även bedömningen att det kan vara svårt att skilja på primäranvändning och sekundäranvändning i praktiken. Ett sådant exempel kan vara när en vårdgivare bedriver en forskningsstudie och samlar in uppgifter om forskningspersoners blodtryck. Om blodtrycket vid en mätning, som görs primärt i forskningssyfte, resulterar i att en vårdinsats krävs kommer uppgiften om blodtrycket att användas för ett annat ändamål än det ursprungligen samlades in. Samtidigt kan behandlingen av uppgiften om blodtrycket ses som en primäranvändning i hälso- och sjukvårdsverksamheten för ändamålet vård.
Utredningen har därför gjort bedömningen att det finns ett behov infrastruktur som ska kunna användas för flera olika ändamål parallellt som kan utgöra både primär- och sekundäranvändning.
1.2.6 Infrastruktur
Utredningen använder ett antal begrepp i promemorian som på olika sätt berör begreppet infrastruktur och utredningens uppfattning om innebörden av dessa begrepp förklaras därför nedan. Begreppet infrastruktur definieras i Nationalencyklopedin som ett system av anläggningar och driften av dessa, som utgör grund för försörjningen och förutsättningen för att produktionen ska fungera.22 Med infrastruktur avser utredningen i denna promemoria strukturer som säkrar essentiella funktioner inom hälso- och sjukvården.
Med utredningens användning av begreppet övergripande nationell infrastruktur avses grundläggande nationella tjänster för att underlätta delning och nyttjande av hälsodata. De nationella tjänsterna som ska tillhandahållas ska samtliga vårdgivare kunna ansluta sig till och kan utgöras av exempelvis system inom vården som ska kunna interagera med varandra. En sådan övergripande nationell infrastruktur ska vara kompatibel med infrastrukturer som återfinns i andra sektorer än hälso- och sjukvården för att kunna optimera välfärden i samhället.
21 Se prop. 2007/08:126, s. 56. 22 https://www.ne.se/uppslagsverk/encyklopedi/l%C3%A5ng/infrastruktur (Hämtad 2023-02-06).
Med begreppet förvaltning av infrastruktur avser utredningen upprätthållande, kontinuerligt vidareutvecklande och förbättrande tjänsten samt tillhandahållande av användarstöd.
Med begreppet tillhandahålla infrastruktur avser utredningen ansvaret för att erbjuda en viss typ av tjänst. Det kan liknas vid att företag säljer digitala tjänster som köparen använder. Ett sådant vardagligt exempel är SharePoint, där ett företag erbjuder en tjänst och kan erbjuda varierande funktionalitet beroende på behov.
Slutligen används begreppet samordning av infrastruktur. Med det begreppet avser utredningen ett ansvar för att ha en övergripande bild av den nationella infrastrukturen. Det innebär bland annat att arbeta mot en mer enhetlig informationshantering inom och över system- och vårdgivargränser samt att skapa förutsättningar för regiongemensamma ställningstaganden kring tillämpning av standarder och framtagande av termer, koder, och informationsmängder som behöver vara gemensamma nationellt. En sådan samordning skulle ha som syfte att stötta regeringen i att få en mer sammanhållen och effektiv styrning av den nationella infrastrukturen.
1.2.7 Avsaknaden av övergripande nationell infrastruktur för hälsodata
I dag saknas en nationell samordning av infrastrukturen för hälsodata. Utöver det saknas en övergripande nationell infrastruktur för vårdens informationsförsörjning. Detta leder bland annat till ojämlik tillgång till information för såväl vårdgivare som patienter. En följd av det blir att olika vårdgivare har olika förutsättningar för att erbjuda en jämlik vård. Utredningens bedömning är att avsaknaden av en övergripande nationell infrastruktur för hälsodata kommer göra att det i praktiken blir svårt att tillämpa flera av de författningsförslag som utredningen avser att lämna. För att uppnå den avsedda effekten med ökad datadelning inom EU, bedömer utredningen att det kommer krävas en övergripande nationell infrastruktur för hälsodata.
Sverige behöver meddela Europeiska kommissionen senast den 24 september 2023 vilken eller vilka myndigheter som blir behöriga organ enligt dataförvaltningsförordningen. Som nämnts under punkten 1.1 är kravet i förordningen endast att ett övergripande organ utsetts till det datumet. Utredningen gör dock bedömningen att det inte är gynnsamt för Sverige att avvakta med att utse behörigt organ
även för hälsodataområdet. Att bygga upp en övergripande nationell infrastruktur för hälsodata kommer ta många år. Eftersom hälsodataområdet, med anledning av förslaget till EHDS, är det första dataområdet som kommissionen har meddelat förslag på reglering kring, så har utredningen gjort bedömningen att skicka in denna promemoria till regeringen med förslag på vilken myndighet som bör bli behörigt organ inom hälsodataområdet. Detta för att arbetet ska kunna påbörjas så snart som möjligt.
Utredningen har haft en löpande dialog med utredningen om genomförandet av EU:s dataförvaltningsförordning (I 2022:D) som bland annat utreder artikel 7 från ett mer sektorsövergripande perspektiv.
Utredningen bedömer att behovet av en övergripande nationell infrastruktur för hälsodata är stort. Avsikten är att vår utredning samt andra utredningar, så som Utredningen om hälsodata som nationellt intresse – en lagstiftning för interoperabilitet (S 2022:10) och departementsserien Kliniska Prövningar (N 2022:A) med flera, kan bygga vidare på strukturen som föreslås i denna promemoria genom att ta fram byggstenar som bygger vidare på denna struktur (se avsnitt 1.9). Byggsten utgör här ett samlingsnamn för ett antal ”delar” som kan vara tekniska förmågor, tjänster, standardiserade modeller, ramverk och mönster. Dessa ska lösa gemensamma infrastrukturella utmaningar inom ett fokusområde.23 Detta arbetssätt används bland annat inom ramen för Ena – Sveriges digitala infrastruktur och utredningens bedömning är att det arbetssättet lämpar sig väl även inom hälsodataområdet och dessa byggstenar kommer bidra till Ena.
1.3 Avgränsningar
Dagens infrastruktur inom hälsodataområdet är decentraliserad och utspridd på en rad aktörer. Utredningen har fokuserat på att beskriva problematiken kring detta. Utredningen har inte utrett hur ansvarsfördelningen mellan olika myndigheter kan komma att behöva fördelas om. Utredningen har i stället fokuserat på att Sverige behöver en övergripande nationell infrastruktur för hälsodata, inte hur bygg-
23 https://www.digg.se/ledning-och-samordning/ena---sveriges-digitala-infrastruktur/ byggblock (Hämtat 2022-11-24).
stenarna sedan ska fördelas mellan myndigheterna. En sådan utredning behöver göras inför och inom ramen för varje enskild byggsten.
Utredningen lämnar inte några förslag till författningsändringar nedan utan redogör endast för vilka bestämmelser i förordningen (2013:1031) med instruktion för E-hälsomyndigheten som kan behöva ses över.
1.4 Behov av en nationellt samordnad digital infrastruktur för hälsodata
Hälsodataområdet och i synnerhet infrastrukturen för hälsodata är i Sverige mycket decentraliserad och traditionellt har mjuk styrning24 använts på området. Några exempel på detta är nationella kvalitetsregister samt vision e-hälsa 2025.25 Flera myndighetsrapporter har konstaterat att den mjuka styrningen på området många gånger haft liten, ingen eller oönskade effekter samt att utvecklingen går långsamt.
26,27,28,29,30,31,32,33
Att behovet av en digital infrastruktur ökat framgår bland annat av den senaste forskningspolitiska propositionen (prop. 2020/21:60, s. 94) där regeringen bland annat anger att Sverige behöver kunna möta det ökande behovet av stora beräkningsresurser, lagring av data och hantering av känsliga data. I direktiven till Utredningen om organisation, styrning och finansiering av forskningsinfrastruktur framgår att den nationella organisationen av e-infrastruktur för forskning behöver utvecklas till följd av att forskningen blir alltmer datadriven (dir. 2020:52, s. 11). I ovan nämnda utrednings slutbetänkande föreslås en gemensam organisation för infrastrukturen där
24 Med mjuk styrning avses exempelvis ekonomiska incitament och överenskommelser, motsatsen till mjuk styrning är exempelvis lagstiftning. 25 E-hälsa 2025, en strategi för genomförande av vision e-hälsa 2025, 2020. 26 Vision e-hälsa 2025 – ett försök att styra genom samverkan, 2021:17, 2021, Statskontoret. 27 Lapptäcke med otillräcklig täckning, rapport 2017:4, 2017, Vård- och omsorgsanalys. 28 Socialstyrelsen och de nationella kvalitetsregistren inom hälso- och sjukvården, 2006, Riksrevisionen. 29 Statens satsningar på nationella kvalitetsregister – Leder de i rätt riktning?, 2013, Riksrevisionen. 30 Äldresatsningen – effektiviteten i statens satsning på kvalitetsregister i äldreomsorgen, 2020, Riksrevisionen. 31 På skakig grund – beslutsunderlag inför stora reformer, 2022, Riksrevisionen. 32 Digitaliseringen av det offentliga Sverige, ESV 2018:31, 2018, Ekonomistyrningsverket. 33 Den offentliga förvaltningens digitalisering – En enklare, öppnare och effektivare förvaltning? (RiR 2016:14), 2016, Riksrevisionen.
myndighetsformen anses vara den mest naturliga och flexibla formen (SOU 2021:65, s. 254).
Ett uttalat mål från Europeiska kommissionen är att människan ska stå i centrum i vad den kallar det digitala decenniet,34 vilket bland annat får uttryck i förslaget till EU:s dataförordning. Vidare har regeringen gett i uppdrag åt ett antal myndigheter att utreda hur invånarna ska ges mer insyn i hur deras data hanteras av offentlig sektor.35 Trots det är det i dag svårt för medborgare att få insyn i vilka hälsodata som samlats in om dem, av vem och för vilka ändamål.
I dag saknar medborgarna till stor del möjlighet till insyn och kontroll över hur vissa av deras hälsodata används och delas. Detta beror delvis på att stora delar av infrastrukturen i dag finns splittrad på flera såväl privata som offentliga aktörer. Bland de offentliga aktörerna finns bland annat E-hälsomyndigheten, som har tjänster såsom vaccinationsbevis,36 och Försäkringskassan, som har e-tjänster för exempelv is sjukpenning.37 Därutöver har regionerna en rad olika system för bland annat tidsbokning för vårdbesök bara för att nämna några delar av den offentligt ägda infrastrukturen.38
Även den ideella föreningen Sveriges kommuner och regioner (SKR) har viss infrastruktur kopplat till hälsodata. Exempelvis ansvarar SKR för en databas om väntetider, den så kallade väntetidsdatabasen.39
Vidare finns Inera AB som kommuner och regioner är minoritetsägare i, tillsammans med majoritetsägaren SKR Företag AB,40 SKR Företag AB ägs i sin tur av SKR. Inera AB tillhandahåller exempelvis tjänster såsom 1177, nationella tjänsteplattformen och nationell patientöversikt.41 Ineras tjänster omfattar inte samtliga vårdgivare och utbudet till invånarna varierar mellan regionerna, vilket gör att tjänsten
34 Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, Digital kompassen 2030: den europeiska vägen in i det digitala decenniet, COM(2021) 118 final av den 9 mars 2021. 35 Uppdrag att möjliggöra lösningar för individen till kontroll och insyn av data om individen (I2020/02024/DF). 36 https://www.ehalsomyndigheten.se/privat/covidbevis/vaccinationsbevis/ (Hämtat 2022-11-02). 37 https://www.forsakringskassan.se/privatpers/tjanster/blanketter (Hämtat 2022-11-02). 38 https://www.slso.regionstockholm.se/vard-hos-oss/alltid-oppet/ (Hämtat 2022-11-02). 39 https://skr.se/vantetiderivarden/omvantetider/omvantetidsdatabasen.58999.html (Hämtat 2022-12-15). 40 https://www.inera.se/om-inera/ineras-uppdrag/ (Hämtat 2022-11-02). 41 https://www.inera.se/tjanster/ (Hämtat 2022-11-02).
inte kan ses som nationell.42 Därutöver är tjänsterna anpassade för att fungera för regionerna, vilket gör det svårt att få till ett sammanhållet system för hela välfärden eftersom hälso- och sjukvården har ömsesidiga beroenden med stora delar av samhället så som sjukförsäkring, försvar, kriminalvård och skola.
1.5 Utredningens överväganden och förslag
Förslag:
Den svenska E-hälsomyndigheten ska tillhandahålla en
övergripande nationell infrastruktur för hälsodata för att skapa förutsättningar för gemensamt nyttjande av infrastrukturen. Detta innebär att myndigheten ska tillgängliggöra nationella tjänster för att underlätta delning och nyttjande av hälsodata. Det innebär vidare att myndigheten ska ansvara för utvecklingen och förvaltningen av sådan övergripande nationell infrastruktur. Utredningen föreslår att regeringen utreder vidare vilka tjänster som ska ingå i sådan övergripande nationell infrastruktur.
Utöver det ska myndigheten få det sektorsspecifika ansvaret för samordningen av den nationella infrastrukturen på hälsodataområdet. Detta innebär att myndigheten ska ansvara för att stötta regeringen med att förmedla den övergripande bilden av hälsodataområdet samt bistå regeringen i utvecklingen av den nationella samordningen av hälsodataområdet. I det arbetet ingår det att följa utvecklingen inom hälsodataområdet och ge regeringen råd i frågor relaterade till hälsodata. Myndigheten ska också förmedla vidare information till Regeringskansliet från regionerna exempelvis gällande finansieringsbehov, behov av författningsändringar eller annan information som kan falla inom regeringens ansvarsområde. Det innebär vidare att myndigheten ska initiera och stödja strategiska satsningar inom hälsodataområdet.
Myndigheten ska även ta fram underlag för fördelning av medel till övrig infrastruktur för hälsodata, som exempelvis tillhandahålls av regioner och inte utgörs av den övergripande nationella infrastrukturen. På samma sätt ska myndigheten, i de fall det finns behov, även ta fram underlag för fördelning medel till inter-
42 E-hälsomyndighetens delrapportering av uppdraget att föreslå hur sammanhållen journalföring kan nyttjas i större utsträckning S2021/03119 (delvis), Ökat nyttjande av sammanhållen journalföring, Möjligheter, utmaningar och behovet av digital informationsförsörjning i dag och i framtiden.
nationella åtaganden inom hälsodataområdet eller bistå den myndighet som regeringen anser bör ansvara för att fördela medel inom ramen för internationella åtaganden.
I det fall som regeringen väljer att gå vidare med förslaget om samverkansacceleratorer i KOMET:s slutbetänkande (SOU 2022:68, s. 111) bör myndigheten även ingå bland de myndigheter som ska agera som samverkansacceleratorer för tvärsektoriella frågor.
Skälen för utredningens förslag: Redan 2012 konstaterade regeringen
att vården och omsorgen bedömdes ha stora framtida behov av en samordning av nationella it-infrastrukturtjänster (prop. 2012/13:128, s. 34).
Att det i dag saknas en utpekad statlig aktör som ansvarar för en fungerande övergripande nationell infrastruktur för hälsodata har lett till att framdriften i digitaliseringsarbetet gått förhållandevis långsamt. Staten har försökt att styra genom samverkan, bland annat genom vision e-hälsa 2025, vilket visat sig ha begränsa d effekt.43 I Tidöavtalet har angetts att de ingående parterna har för avsikt att genomföra en enhetlig och gemensam digital infrastruktur för den svenska sjukvården.44 De har även i budgetpropositionen för 2023 (prop. 2022/23:1 Utgiftsområde 9, s. 32.) påpekat att hälsodata är ett prioriterat område och anfört följande:
Sverige har de senaste åren rangordnats allt sämre i internationella jämförelser vad gäller datadriven hälso- och sjukvård, vilket har pekats ut i rapporter från såväl OECD och EU som svenska myndigheter såsom Vård- och omsorgsanalys, Statskontoret, Riksrevisionen, Coronakommissionen m.fl. Samtliga pekar på återkommande problem med underinvesteringar och brist på tydlig statlig styrning.
För att kunna tillgodose flera av de behov som lyfts till utredningen krävs såväl författningsändringar som en kompletterande infrastruktur till dessa ändringar. Utredningen gör bedömningen att de författningsförslag som utredningen avser att lämna gällande sekundäranvändning av hälsodata bör kompletteras med en tillhörande infrastruktur.
Infrastrukturen kommer delvis att regleras i dataförvaltningsförordningen samt i förslaget till dataförordningen och förslaget till EHDS. Utredningen har inte i uppdrag att utreda hur infrastruk-
43 Vision e-hälsa 2025 – ett försök att styra genom samverkan, 2021, Statskontoret. 44 https://www.xn--tidavtalet-gcb.se/ (Hämtat 2022-11-17).
turen ska se ut. Utredningen beskriver därför enbart behovet av en infrastruktur och vad den infrastrukturen som minst skulle behöva innehålla för att möta dels de behov som de aktörer som utredningen träffat har lyft, dels de krav som ställs på Sverige enligt dataförvaltningsförordningen och enligt förslaget till EHDS samt förslaget till dataförordningen.
Som framgår ovan anges det i utredningens direktiv att utredningen ska säkerställa att de förslag som lämnas är förenliga med målsättningen att inom ramen för en befintlig myndighet inrätta en teknisk och organisatorisk funktion för säker och effektiv delning av hälsodata (dir. 2022:41).
Mycket av den infrastruktur som i dag finns på detta område tillhandahålls av Inera AB. Eftersom Inera AB inte är en statlig myndighet, kan staten inte finansiera Ineras verksamhet och bara i undantagsfall styra verksamheten (se 2 kap. 17 § första stycket regeringsformen, RF, och artiklarna 107–109 i Fördraget om Europeiska unionens funktionssätt). Eftersom Inera AB inte är en myndighet så uppfyller det inte kravet i direktiven på att förslagen ska bygga på den befintliga myndighetsstrukturen. Utredningens förslag bygger därför, i enlighet med utredningens direktiv, på en statlig lösning för att säkerställa en nationell digital infrastruktur inom den befintliga myndighetsstrukturen.
Av utredningens direktiv framgår att utredningens förslag ska vara förenliga med målsättningen att inom ramen för en befintlig myndighet inrätta en teknisk och organisatorisk funktion för säker och effektiv delning av hälsodata, i likhet med Findata i Finland eller andra liknande strukturer i andra länder.
Findata är en del av den finska myndigheten Institutet för hälsa och välfärd (THL). Findata är en så kallad ”one stop shop”, vilket innebär att aktörer ska kunna vända sig till ett organ för sina ärenden i stället för flera. I praktiken kan det innebära att en forskare kan vända sig till Findata för att få ut data från flera olika sjukhus i Finland, i stället för att begära ut data från varje enskilt sjukhus.
Flera av Findatas tjänster bygger på den nationella infrastruktur för hälsodata som finns i Finland45,46, bland annat Kanta-tjänsterna.47
45 https://findata.fi/aineistot/ (Hämtat 2022-12-20). 46 https://www.kanta.fi/sv/systemutvecklare/kanta-arkitekturen (Hämtat 2022-12-20). 47 https://thl.fi/sv/web/informationshantering-inom-social-och-halsovarden/styrning-av-informationshanteringen/utvecklingsutsikter-for-informationshanteringen-inom-social-ochhalsovarden/tyngdpunkter-i-kanta-tjansterna (Hämtat 2022-12-20).
Kanta erbjuder bland annat medborgare möjligheten att logga in och se vissa hälsodata, samt möjligheten att förnya recept med mera. I Sverige saknas en motsvarande övergripande nationell infrastruktur och det närmsta Sverige har är vissa av Ineras AB:s tjänster, exempelvis SITH:s, Sjunet, 1177-tjänsterna, Nationella Patientöversikten (NPÖ), Nationella tjänstekontrakten med flera.48
Utredningen bedömer att det finns stora praktiska hinder för att Sverige ska kunna inrätta en funktion liknande Findata eftersom Sverige i dag saknar en övergripande nationell infrastruktur för hälsodata dit samtliga vårdgivare kan ansluta sig. Därutöver finns det även hinder som utgörs av bristande styrning inom interoperabilitetsområdet som ses över av Utredningen om hälsodata som nationellt intresse – en lagstiftning för interoperabilitet (S 2022:10).
Delar av Findatas tjänsteutbud liknar också registerservice vid Socialstyrelsen, vilket är den delen av Socialstyrelsen som ansvarar för att lämna ut data från Socialstyrelsens hälsodataregister.49 Findata har även en tjänst för metadata som liknar Vetenskapsrådets tjänst Register Utiliser Tool (RUT), som hjälper forskare att hitta data som är relevant för deras forskning.50
Inera AB tillhandahåller viktiga och nödvändiga tjänster och Inera AB:s existens vittnar om att regioner och kommuner själva sett ett behov av samverkan och att vissa delar av infrastrukturen sköts pankommunalt. Av Tidö-avtalet framgår att de ingående parterna har för avsikt att genomföra en enhetlig och gemensam digital infrastruktur för den svenska sjukvården som ersätter och kompletterar de 21 regionernas befintliga infrastruktur. Av avtalet framgår inga detaljer om vilka delar av infrastrukturen som regeringen avser att ersätta eller komplettera. Utredningen bedömer att det finns ett behov av, inte enbart en pankommunal, utan även en övergripande nationell infrastruktur. En relevant avgränsning för hur långt regeringen bör gå är, enligt utredningen, att regeringen undersöker och utreder möjligheten att förvärva hela eller relevanta delar av Inera AB eller dess verksamhet och införliva de delarna i E-hälsomyndighetens verksamhet. Detta för att undvika ett splittrat ansvar för den nationella infrastrukturen inom hälsodataområdet. En sådan avgränsning skulle också svara upp mot ambitionen som uttrycks i Tidö-avtalet.
48 https://www.inera.se/tjanster/alla-tjanster-a-o/ (Hämtat 2022-12-20). 49 https://bestalladata.socialstyrelsen.se/om-registerservice/ (Hämtat 2023-01-09). 50 https://rut.registerforskning.se/ (Hämtat 2023-01-09).
En sådan avgränsning liknar till viss del den som Europeiska kommissionen lagt fram i förslaget till EHDS. Exempelvis framgår det av förslagen att vissa datamängder ska tillgängliggöras, interoperabiliteten ska öka och att varje land behöver ha en myndighet som ansvarar för vissa uppgifter (se artiklarna 5, 10, 23, 33, 36 och 37 i EHDS). Mycket av den infrastruktur som myndigheterna ska ha enligt förslaget till EHDS är infrastruktur som i dag tillhandahålls av Inera AB.
En statlig myndighet med ansvar för samordningen och förvaltningen av vissa delar av den nationella infrastrukturen för hälsodata skapar enligt utredningen bättre förutsättningar för långsiktig och stabil styrning. Det skapar också bättre möjligheter att succesivt bygga ihop den sektorsspecifika infrastrukturen med den sektorsövergripande infrastrukturen för välfärden och den EU-gemensamma infrastrukturen MinHälsa@EU51 och Hälsodata@EU.
Staten har i dag begränsad tillgång till vissa hälsodata till följd av avsaknad av en mer enhetlig infrastruktur för hälsodata, vilket bland annat Tandvårds- och läkemedelsverket (TLV) har beskrivit i en rapport från 2021.52 Flertalet myndigheter har också lyft för utredningen att de ofta har svårt att göra kostnadsberäkningar inom ramen för sina regeringsuppdrag då SKR och Inera AB vid flera tillfälle inte lämnat ut nödvändig information som myndigheterna behöver för att göra en kostnadsberäkning av att skapa olika typer av tjänster.
En statlig myndighet med ansvar för samordningen och förvaltningen av vissa delar av den nationella infrastrukturen för hälsodata skulle skapa bättre förutsättningar för att relevanta aktörer att få tillgång till den information som de behöver för att bedriva sin verksamhet. Det skulle också skapa bättre förutsättningar för regionerna att få bättre tillgång till data som i dag samlas in på nationell nivå, exempelvis genom att möjliggöra datadelning via en säker behandlingsmiljö, på samma sätt som Findata i Finland, vilket också är ett krav på behöriga organ enligt artikel 7.4 a i EU:s dataförvaltningsförordning. Detta skulle bland annat möjliggöra en bättre samverkan mellan Försäkringskassan och regionerna vad gäller sjukförsäkringen. En annan uttalad ambition från regeringen är att infrastrukturen ska minska administrationen för regionerna samt att regionerna ska ha
51 https://op.europa.eu/en/publication-detail/-/publication/03fcf54b-fed5-11ea-b44f-01aa75ed71a1/language-sv (Hämtat 2022-12-06). 52 Utvecklad uppföljning med hjälp av data från exempelvis nationella tjänsteplattformen, 2021, Tandvårds- och läkemedelsförmånsverket.
enkel tillgång till aktuella data som registreras in, egna såväl som andra regioners data för att möjliggöra jämförelser mellan regionerna.
53,54
Det finns enligt utredningen bara ett fåtal myndigheter inom Socialdepartementets områden som skulle lämpa sig för att ansvara för samordningen och förvaltningen av vissa delar av den nationella infrastrukturen för hälsodata; E-hälsomyndigheten, Försäkringskassan och Socialstyrelsen. Övriga myndigheter bedöms antingen vara för små eller för specialiserade för att det skulle vara lämpligt att utöka deras uppdrag till att ansvara för samordningen och förvaltningen av vissa delar av den nationella infrastrukturen för hälsodata.
Försäkringskassan är en av Sveriges största myndigheter och deras storlek talar för att den skulle passa som en infrastrukturmyndighet. Försäkringskassan har också fått i uppdrag av regeringen att erbjuda samordnad och säker statlig it-drift. Utredningens bedömning är att Försäkringskassan även framgent skulle kunna ansvara för it-drift, men att det inte är lämpligt att Försäkringskassan får ansvar för exempelvis vaccinationsbevis och liknande som faller in under hälso- och sjukvårdens område snarare än socialförsäkringsområdet. Utredningens bedömning är därför att det inte skulle vara ändamålsenligt att Försäkringskassan skulle få det nationella ansvaret för infrastrukturen för hälsodata, även om den sannolikt kommer att ansvara för förvaltningen av vissa byggstenar.
Socialstyrelsen är en av Socialdepartementets största myndigheter som dessutom har en nära koppling till hälso- och sjukvården. Utredningens bedömning är dock att Socialstyrelsen redan i dag har ett mycket brett uppdrag och att det finns en risk att det skulle bli för omfattande att dessutom agera infrastrukturmyndighet utan att det skulle ske på bekostnad av dess befintliga uppdrag.
Delar av Socialstyrelsens verksamhet innebär ansvar att skapa och tillhandahålla enhetliga begrepp, termer och klassifikationer inom sitt verksamhetsområde, samt ansvar att skapa, beskriva och tillhandahålla en ändamålsenlig informationsstruktur inom sitt verksamhetsområde (4 § 8–9 p förordning [2015:284] med instruktion för Socialstyrelsen). Utredningen konstaterar att dessa delar har beröringspunkter med de förslag som utredningen anser bör åläggas E-hälsomyndigheten.
Socialstyrelsen ansvarar i dag också för en mängd olika hälsodataregister, vilket medför att de i dagsläget har andra juridiska och
53 Regeringsbeslut S2021/05259 (delvis). 54 Regeringsbeslut S2021/06170 (delvis).
praktiska förutsättningar för att hantera stora datamängder. Utredningen har inte tagit ställning till huruvida det är ändamålsenligt eller inte att dessa verksamheter ligger kvar på Socialstyrelsen eller om även denna på sikt bör flyttas över till E-hälsomyndigheten för att centralisera frågorna till en myndighet i stället för att vara uppdelad mellan två olika myndigheter. Utredningen bedömer däremot att det är viktigt att regeringen och berörda myndigheter har en dialog även avseende Socialstyrelsens uppdrag inom ramen för det förändringsarbete som nu pågår inom hälsodataområdet.
Utredningen anser att E-hälsomyndigheten är den myndighet som är bäst lämpad för att ansvara för samordningen och förvaltningen av vissa delar av den nationella infrastrukturen. Myndigheten har redan i dag viss infrastruktur, så som Nationella läkemedelslistan55 och vaccinationsbevisen.56 Arbetet med Nationella läkemedelslistan har varit långdraget och kantat av konflikter och förseningar, vilket är något som skulle tala emot att E-hälsomyndigheten fick ansvar för samordningen och förvaltningen av vissa delar av den nationella infrastrukturen. Utredningens bedömning är dock att många av utmaningarna med Nationella läkemedelslistan kommit av otydlig styrning och mandat samt att det funnits oklarheter kring kostnaderna. Utmaningarna är därmed snarare ett symptom på bristen på sammanhållen styrning inom hälsodataområdet. Därmed bedömer utredningen att problemen med införandet av Nationella läkemedelslistan snarare talar för att systemet som finns i dag inte har de förutsättningar som krävs, varken för att Sverige ska kunna återfå en framstående position inom hälsodataområdet eller ens behålla den position som Sverige i dag har.
Inera AB har på ett effektivt sätt tagit fram flertalet tjänster sedan bolaget bildades och utredningen har inte kunnat bedöma om samma resultat hade gått att åstadkomma på samma tid på en myndighet. Under antagandet att aktiebolag allt annat lika är mer effektiva än myndigheter finns anledning att anta att Inera AB tagit fram vissa tjänster snabbare än vad en myndighet hade haft möjlighet att göra. Inera AB har däremot inte i uppdrag att ta samma breda samhällsansvar som en statlig myndighet måste ta. Det är dock utanför utredningens uppdrag att mer djupgående analysera, Inera AB:s effektivitet i förhållande till en statlig myndighets bredare samhällsnytta och
55 https://www.ehalsomyndigheten.se/yrkesverksam/nationella-lakemedelslistan/ (Hämtat 2022-12-14). 56 https://www.ehalsomyndigheten.se/privat/covidbevis/vaccinationsbevis/ (Hämtat 2022-12-14).
vilken nytta som skulle varit den dominerande. Utredningen kan däremot konstatera att oaktat det, så finns det ett behov av en större samordning inom hälsodataområdet och behovet och värdet av en fungerande infrastruktur för hälsodata ökar hela tiden.
Att E-hälsomyndigheten får ett större ansvar för infrastrukturen för hälsodata går också i linje med ambitionen som framfördes i propositionen som låg till grund för bildandet av myndigheten. Av propositionen framgår att regeringen gjorde bedömningen att myndigheten i framtiden borde kunna få ansvar för uppgifter utöver de som då utfördes av Apotekens Service Aktiebolag (prop. 2012/13:128, s. 33). Av regeringens bedömning framgår också att vården och omsorgen bedömdes ha stora framtida behov av en samordning av nationella it-infrastrukturtjänster. Vidare angav regeringen att det, för att det på sikt ska vara möjligt att utveckla fler gemensamma och interoperabla it- och infrastrukturlösningar inom vården och omsorgen, krävs mer av samlade lösningar, vilka på sikt skulle kunna utföras av den nya myndigheten. Regeringen angav också att det i dag inte finns någon aktör som har rollen att vara en nationell samlande aktör. Regeringens bedömning var att det fanns många fördelar med att låta den verksamhet som bedrivs i Apotekens Service Aktiebolag utgöra en grund för en ny myndighet med ansvar för infrastrukturfrågor (prop. 2012/13:128, s. 34). Regeringen valde däremot senare att inte gå vidare med dessa förslag utan SKR gick i stället in som majoritetsägare i Inera AB. 57
E-hälsomyndigheten framstår även som det mest naturliga alternativet eftersom myndigheten haft flertalet myndighetsuppdrag som syftat till att bygga upp nationell digital infrastruktur.58,59,60,61,62 E-hälsomyndigheten stöttar regeringen som expert i nätverket för e-hälsa63 och är ansvariga för arbetspaket 5, styrning av sekundäranvändning av hälsodata. Ett arbete som sker inom ramen för det europeiska samarbetet Towards European health data space (TEHDAS), som
57 https://skr.se/skr/naringslivarbetedigitalisering/digitalisering/samarbeteskrineraadda/dela gareiinera.13485.html (Hämtat 2022-11-18). 58 Regeringsbeslut S2021/06170. 59 Regeringsbeslut S2021/05259. 60 Regeringsbeslut S2019/03409. 61 Regeringsbeslut S2022/02314. 62 Regeringsbeslut S2022/03177. 63 https://www.ehalsomyndigheten.se/om-oss/internationellt-arbete/ (Hämtat 2022-11-18).
samordnas av den finska innovationsfonden Sitra.64 65 Myndigheten har, enligt utredningens mening, bäst förutsättningar för att ta på sig ansvaret att samordna infrastrukturen för hälsodata.
Utredningens bedömning ligger även i linje med E-hälsomyndighetens rapport om statligt, nationellt datautrymme för bilddiagnostik som föreslår att en central lagringsyta under statligt huvudmannaskap ska etableras med dedikerade ytor för medverkande vårdgivare och forskningshuvudmän med vederbörligt tillstånd.66
Enligt artikel 36.1 i förslaget till EHDS ska medlemsländerna etablera en så kallad ”Health Data Access Body” (HDAB)67 som ska ansvara för tillgången till hälsodata. E-hälsomyndigheten har ansökt om EU-finansiering för att kunna förbereda för en HDAB, vilket vittnar om att myndigheten själv anser sig vara kompetent att utgöra den myndighet som ska etableras i enlighet med artikel 36.1 i förslaget till EHDS. Utredningen gör bedömningen att förslaget om att samla en sådan övergripande nationell infrastruktur hos E-hälsomyndigheten är ett bättre alternativ än att ansvaret för sådan övergripande nationell infrastruktur ska ligga på olika aktörer.68
Utredningen har inte tagit ställning till om E-hälsomyndigheten i detta skede bör ta över uppgifter från andra myndigheter utan utredningens bedömning är att det bör utredas vidare. Det är inte osannolikt att regeringen bedömer att infrastrukturen även fortsatt ska fördelas mellan olika myndigheter. Det finns sällan ett självändamål i att centralisera och en centralisering behöver föregås av en grundlig konsekvensanalys. Utredningen föreslår enbart att E-hälsomyndigheten i detta skede blir den myndighet som har det övergripande ansvaret för infrastrukturen för hälsodata, på samma sätt som Vetenskapsrådet har det övergripande ansvaret för forskningsinfrastrukturen. Trots Vetenskapsrådets ansvar, har exempelvis universiteten omfattande forskningsinfrastruktur. I arbetet med att strukturera om infrastrukturen för hälsodata bör erfarenheter tas från arbetet med den svenska forskningsinfrastrukturen. På sikt bör även
64 https://www.ehalsomyndigheten.se/globalassets/ehm/3_om-oss/sa-jobbar-vi-med-e-halsa/ tehdas-wp5--sharing-data-for-health.pdf (Hämtat 2022-11-18). 65 https://tehdas.eu/ (Hämtat 2022-11-18). 66 Förstudie om ett statligt, nationellt datautrymme för bilddiagnostik (S2021/05259) Slutrapport, 2022, E-hälsomyndigheten. 67 I den första översättningen av förordningen är det översatt till ”Organ med ansvar för tillgång till hälsodata”. 68 Nationella tjänster för att få tillgång till hälsodata för sekundäranvändning – Ett svenskt samarbete (E-hälsomyndighetens dnr 2023/00264), 2023, E-hälsomyndigheten.
samordningen av båda dessa infrastrukturer ses över då gränsdragningen många gånger är svår att göra. Utredningens bedömning är att det är ekonomiskt ineffektivt om det ska finnas parallella strukturer för vård- respektive forskningsinfrastruktur.
Hur ansvarsfördelningen ska se ut för olika byggstenar behöver analyseras ur ett större perspektiv där samtliga sektorer ses ur ett helhetsperspektiv.
Utredningens bedömning är att ett förtydligande av roller och ansvar skulle underlätta samverkan mellan aktörerna som verkar inom hälsodataområdet. Det skulle också skapa bättre förutsättningar för medborgarna att utkräva ansvar för vilka tjänster som tillhandahålls samt underlätta för regeringen att säkerställa en mer jämlik hälso- och sjukvård.
Utredningens bedömning är att en fortsatt utredning kring en instruktionsändring är en förutsättning för att börja ställa om de statliga myndigheterna under Socialdepartementet till att bli datadrivna myndigheter. Det är också en förutsättning för en mer sammanhållen styrning och infrastruktur på hälsodataområdet. Detta skulle innebära ett steg i rätt riktning för att Sverige ska kunna ställa om till att bli en dataekonomi,69 vilket är en målsättning för både EU och Sverige.
70,71,72
1.5.1 Överväganden
Utredningen lämnar inte några förslag till författningsändringar utan redogör endast nedan för vilka bestämmelser i förordningen (2013:1031) med instruktion för E-hälsomyndigheten som kan behöva ses över. Utredningen gör bedömning att dessa ändringar kan göras i förordning då de faller under regeringens restkompetens (se 8 kap. 7 § första stycket 2 RF). Inför och inom ramen för varje byggsten
69 Dataekonomin mäter de totala effekterna av datamarknaden – dvs. marknaden för datatjänster där data utbyts som produkter eller tjänster som härrör från rådata – på ekonomin i sin helhet. Den omfattar den generering, insamling, lagring, bearbetning, distribution, analys, utveckling, leverans och det utnyttjande av data som möjliggjorts genom digital teknik (European Data Market study, SMART 2013/0063, IDC, 2016). 70 Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, "Att skapa en europeisk dataekonomi", COM(2017) 9 final av den 10 januari 2017. 71 Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, En EU-strategi för data, COM(2020) 66 final av den 19 februari 2020. 72 Data – en underutnyttjad resurs för Sverige: En strategi för ökad tillgång av data för bl.a. artificiell intelligens och digital innovation, 2021, Regeringskansliet.
behöver det dock utredas om det krävs ändring i lag (se bland annat 8 kap. 2 § första stycket 3 RF). Utredningen har identifierat att 1 § kan behöva ses över för att inkludera att E-hälsomyndigheten ska få det sektorsspecifika ansvaret för samordningen av infrastrukturen på hälsodataområdet. Utredningen konstaterar att begreppen e-hälsa och hälsodata i stora delar avser olika saker och att en ändring av instruktionen i enlighet med utredningens förslag skulle bredda myndighetens uppdrag på ett sätt som går utöver vad som omfattas av begreppet e-hälsa, se avsnitt 1.2.1–1.2.4.
I 2 § finns 14 punkter som anger vad E-hälsomyndigheten särskilt ansvarar för och som förklarar mer detaljerat vad ansvaret avseende e-hälsa består av. Eftersom begreppet e-hälsa, som E-hälsomyndigheten i dag har att förhålla sig till, och begreppet hälsodata, som utredningen har att förhålla sig till i sina direktiv, inte på ett enkelt sätt kan ersättas med ett övergripande begrepp som innefattar båda definitionerna, anser utredningen att det kan övervägas om det bör införas en 2 a § där de nya uppgifterna som avser just hälsodata anges.
Utredningen vill lyfta ett antal punkter som i vissa delar påminner om förordning (2009:975) med instruktion för Vetenskapsrådet. Punkterna skulle kunna användas som utgångspunkt vid en grundligare utredning inför en justering av E-hälsomyndighetens instruktion för vad myndighetens ansvar inom hälsodataområdet avser. – Myndigheten ska tillhandahålla en övergripande nationell infra-
struktur för hälsodata för att skapa förutsättningar för gemensamt nyttjande av infrastrukturen Detta innebär att myndigheten ska tillgängliggöra nationella tjänster för att underlätta delning och nyttjande av hälsodata. Det innebär vidare att myndigheten ska ansvara för utvecklingen och förvaltningen av sådan övergripande nationell infrastruktur. Utredningen föreslår att regeringen utreder vidare vilka tjänster som ska ingå i sådan övergripande nationell infrastruktur. – Myndigheten ska följa utvecklingen inom hälsodataområdet och
ge regeringen råd i frågor relaterade till hälsodata. I dagsläget saknas en utpekad myndighet som tar helhetsansvar för att överblicka och följa utvecklingen inom hälsodataområde och som har en direkt dialog med Socialdepartementet. När till exempel regionerna eller myndigheterna i sitt löpande arbete identifierat behov av författningsändringar saknas i dag en ansvarig myndighet som
på ett samlat sätt kan förmedla dessa iakttagelser till Regeringskansliet i ett format som Regeringskansliet kan omhänderta på ett bra sätt. Ett exempel som talar för att det finns behov av en sådan myndighet är utredningens uppdrag om att redogöra för eventuella tillämpningssvårigheter när det gäller befintlig reglering av hälsodata. Förslaget skulle innebära att E-hälsomyndigheten kan utgöra en stödfunktion till Regeringskansliet och ansvara för att leverera underlag som hjälper Regeringskansliet att få en helhetsbild och kunna agera i viktiga frågor inom hälsodataområdet. – Myndigheten ska planera den långsiktiga tillgången till, initiera och
stödja infrastruktur för hälsodata. (Se bland annat Riksintressen i hälso- och sjukvården – stärkt statlig styrning för hållbar vårdinfrastruktur [SOU 2021:71], Stärkt fokus på framtidens forskningsinfrastruktur [SOU 2021:65 samt EU-initiativet Euro HPC).73 – Myndigheten ska ta fram underlag för fördelning av medel till
infrastruktur för hälsodata. Det skulle exempelvis kunna användas för att ersätta den styrning som i dag sker via överenskommelser mellan regeringen och SKR.74 – Myndigheten ska ta fram underlag för fördelning av medel till
internationella åtaganden inom hälsodataområdet eller stötta den myndighet som regeringen anser bör ansvara för att fördela medel inom ramen för internationella åtaganden. På samma sätt som punkten ovan avser denna punkt reglera framtagande av underlag för fördelning av medel, men denna punkt förtydligar att ansvaret även ska gälla i internationella sammanhang. När aktörer behöver hjälp med ansökningar till EU-program och EU-fonder ska dessa kunna vända sig till myndigheten för rådgivning. Förfarandet skulle underlätta för aktörer genom att de endast behöver vända sig till en utsedd myndighet. Ansökningar till EU-program kan komma från olika sektorer och syftet är att minimera risken att aktörerna hänvisas runt till olika myndigheter. Myndigheten ska därmed ansvara för att samverka med andra myndigheter för att underlätta ansökningar från aktörerna. Om ingen ansvarig myndighet är utsedd finns det en risk att aktörerna hänvisas runt under en lång period och inte får den hjälp de behöver i tid för att skicka in sina ansökningar.
73 https://eurohpc-ju.europa.eu/index_en (Hämtat 2022-12-15). 74 Coronakommissionen och RIR.
I sådana fall som ansökningar till exempelvis olika EU-program kräver statlig medfinansiering, åsiktsförklaringar eller annat som faller inom ramen för regeringens ansvarsområden ska E-hälsomyndigheten vid behov bistå regeringen med beslutsunderlag i syfte att underlätta för regeringen att bedöma vilka ansökningar som regeringen bör stötta och med hur mycket resurser. Detta berör inte internationella projekt som andra statliga myndigheter ingår i och E-hälsomyndigheten ska inte ges mandat att överpröva andra myndigheters beslut om deltagande i olika internationella samarbeten. Det bör analyseras om en sådan punkt behövs i förordningen eller om denna uppgift redan följer av 7 § myndighetsförordningen (2007:515).
Vidare anser utredningen att 7 a § i E-hälsomyndighetens instruktion som reglerar samverkan behöver ses över och utökas med att E-hälsomyndigheten ska ansvara för att samverka med relevanta aktörer inom hälsodataområdet.
Utredningen bedömer även att E-hälsomyndigheten bör ingå bland de myndigheter som blir samverkansacceleratorer i enlighet med det förslag som KOMET lämnade i sitt slutbetänkande (2022:68, s. 111). Utredningen delar KOMET:s bedömning om att svenska myndigheter behöver stärka sin förmåga att gemensamt, proaktivt och med ett helhetsperspektiv hantera tvärsektoriella frågor kopplade till utveckling eller användning av ny teknik och andra nya lösningar. Utredningen anser att dataområdet är ett sådant område där utvecklingen går snabbt samt att det finns en tydlig tvärsektoriell koppling. Utredningen bedömer dock att det kan övervägas om ett fristående kansli på en myndighet snarare än en stående kommitté kan vara ett lämpligare alternativ.
Funktionen kommer sannolikt behövas över de kommande decennierna vilket lett till att utredningen funderar över skillnaden mellan en stående kommitté, som är en fristående myndighet, och att etablera funktionen hos en befintlig förvaltningsmyndighet. Det kan vara svårare att skala upp en fristående kommitté i de fall frågorna skulle växa till en sådan proportion att det uppstår en kärnverksamhet med tillhörande stödverksamhet. Då blir gränserna mellan kommittén och en vanlig myndighet allt suddigare och det riskerar att skapa en otydlig ansvarsfördelning gentemot befintliga myndigheter.
En nackdel med att förlägga arbetet till en statlig myndighet är däremot att verksamheten kan komma att prioriteras ner eller att frågorna behöver konkurrera med annan verksamhet inom myn-
digheten. Det finns även en risk att sådan verksamhet kan bli föremål för de intressekonflikter som kan uppstå mellan avdelningar inom en myndighet. En nackdel som även behöver beaktas är att det finns en risk att statliga förvaltningsmyndigheter, kan ha bristande kompetens för att ta fram policyförslag och förstå vilka behov Regeringskansliet har. Sådana förutsättningar kan leda till att myndigheter ibland har svårt att leverera underlag som svarar mot Regeringskansliets behov (SOU 2020:36, s. 261). Detta skulle tala för en kommitté i stället för ett kansli.
Ett fristående kansli skulle däremot ge en högre grad av autonomi och skapa bättre förutsättningar för en mindre och mer effektiv organisering. En fördel med ett kansli gentemot en stående kommitté är också att kansliet kan dra nytta av övriga myndighetens stödfunktioner så som registratur, it, lokaler med mera.
En fördel med en kommitté är däremot att de oftast är mer snabbfotade än statliga myndigheter.
Ett eventuellt bildande av ett kansli skulle dock inte ersätta behovet av kommittéer överlag, då ett kansli i detta fall snarare har i uppgift att identifiera och sammanställa behov av lagändringar, se exempelvis KOMET:s förslag om att inkludera uppdrag om att se över och uppdatera författningar med avseende på ny teknik (2022:68, s. 132). Ett kansli bör kunna lämna förslag för enklare författningsändringar, medan mer omfattande ändringar sannolikt även fortsättningsvis lämpar sig bättre för en kommitté.
1.5.2 Aktörer som bör ges möjlighet att yttra sig
Inför ett beslut om förordningsändring bör åtminstone E-hälsomyndigheten, Försäkringskassan, Etikprövningsmyndigheten Socialstyrelsen, Integritetsskyddsmyndigheten, Vinnova, Vetenskapsrådets och Myndigheten för digital förvaltning (DIGG), regioner och kommuner ges möjlighet att yttra sig. Myndigheterna kan då bidra med specifik kunskap och där det behövs säkerställas att respektive myndighets instruktioner inte överlappar eller att vissa uppgifter faller mellan myndigheternas ansvarsområden.
1.6 Genomförande av förslagen
Utredningen föreslår dels att E-hälsomyndigheten ska få det sektorsspecifika ansvaret för samordningen av den nationella infrastrukturen på hälsodataområdet, dels att E-hälsomyndigheten ska tillhandahålla an övergripande nationell infrastruktur.
För att kunna ansvara för samordningen genom att stötta regeringen med att förmedla den övergripande bilden av hälsodataområdet samt bistå regeringen i utvecklingen av den nationella samordningen av hälsodataområdet krävs bland annat en närmare samverkan mellan E-hälsomyndigheten och kommunsektorn. Det innebär även att de myndighetsliknande uppgifter som SKR och Inera AB i dag ansvarar för flyttas över till E-hälsomyndigheten. E-hälsomyndigheten behöver därtill en funktion som tar ansvar för att förmedla vidare information till Regeringskansliet från regionerna, exempelvis gällande finansieringsbehov, behov av författningsändringar eller annan information som kan falla inom regeringens ansvarsområde. Det innebär även att myndigheten ska initiera och stödja strategiska satsningar inom hälsodataområdet. Rent praktiskt skulle den typen av informationsinhämtning till Regeringskansliet kunna ske via myndighetsdialogerna eller att det skrivs in i E-hälsomyndighetens instruktion att de årligen ska lämna en lägesrapport om den nationella infrastrukturen för hälsodata där de redogör för utvecklingen, investeringsbehoven samt eventuella behov av nya, kompletterande eller översyn av befintliga författningar.
E-hälsomyndigheten behöver även ta ansvar för att bistå den myndighet som regeringen beslutar om ska betala ut medel, med underlag för utbetalning av medel för övrig infrastruktur för hälsodata, som exempelvis tillhandahålls av regioner och inte utgörs av den övergripande nationella infrastrukturen. På samma sätt ska myndigheten, i de fall det finns behov, bistå med underlag för fördelning av medel till internationella åtaganden inom hälsodataområdet eller bistå den myndighet som regeringen anser bör ansvara för att fördela medel inom ramen för internationella åtaganden.
Utredningen bedömer vidare att regeringen, som ett första steg i att uppnå den eftersträvade samordning och i att genomföra en enhetlig och gemensam infrastruktur för hälsodata, bör inleda en dialog med berörda myndigheter, kommuner, regioner, Inera AB, SKR och andra
relevanta aktörer. Regeringen bör också beakta det arbete som sker inom ramen för pågående utredningar, såsom:
- Utredningen om hälsodata som nationellt intresse – en lagstiftning för interoperabilitet (S 2022:10),
- Utredningen om e-recept och patientöversikter inom EES
(S 2020:10),
- Utredningen om interoperabilitet vid datadelning (I 2022:03),
- Genomförandet av EU:s dataförvaltningsförordning (I 2022:D), och
- Kliniska prövningar och en starkare life science-sektor (N 2022:A).
Därtill bör arbetet inom ramen för Esam75 och Ena76 beaktas för att säkerställa att arbetet på hälsodataområdet blir kompatibelt med det arbete som pågår inom andra sektorer samt på den sektorsövergripande nivån.
Utredningen har identifierat fyra alternativa tillvägagångssätt avseende etableringen av den övergripande nationella infrastrukturen. Dessa kommer beskrivas övergripande nedan.
1.6.1 Alternativ 1 – Förvärva infrastrukturen
Det första alternativet är att staten undersöker och utreder vidare om ett förvärv av delar av eller hela Inera AB:s verksamhet är möjligt, alternativt undersöker hur den infrastruktur som Inera AB har byggt skulle kunna överlåtas till det offentliga. Delar av Inera AB skulle kunna avse sådana tjänster som utredningen bedömer riskerar att etableras även hos E-hälsomyndigheten eller andra myndigheter så som DIGG eller Försäkringskassan och därmed utgöra parallell infrastruktur.
Utredningen bedömer att det första alternativet är det som går bäst i linje med uppdraget i utredningens direktiv om målsättningen att inom ramen för en befintlig myndighet inrätta en teknisk och organisatorisk funktion för säker och effektiv delning av hälsodata,
75 https://www.esamverka.se/ (Hämtat 2022-12-13). 76 https://www.digg.se/ledning-och-samordning/ena---sveriges-digitala-infrastruktur (Hämtat 2022-12-13).
i likhet med Findata i Finland eller andra liknande strukturer i andra länder (dir. 2022:41).
En nackdel med större statlig styrning är dock att det finns en risk för minskad lokal förankring. Utredningens bedömning för hälsodataområdet är att stordriftsfördelarna väger tyngre än eventuella risker med sämre lokal förankring. Dessutom skulle det bidra till mer jämlik vård. Lokal förankring och geografisk närhet till medborgarna spelar generellt mindre roll när det handlar om data än för frågor som rör exempelvis fysiska byggnader så som sjukhus.
1.6.2 Alternativ 2 – Bygga upp en parallell infrastruktur
Det andra alternativet är att staten själv bygger upp en parallell infrastruktur på E-hälsomyndigheten och eventuellt också på andra myndigheter som regeringen bedömer är relevanta. Med detta alternativ finns en risk att samhällsviktig verksamhet skulle kunna påverkas negativt under de år som det kommer ta att bygga upp infrastrukturen på E-hälsomyndigheten, exempelvis om Inera AB inte längre har förutsättningar att tillhandahålla vissa tjänster på grund av konkurrensen från E-hälsomyndigheten. Har E-hälsomyndigheten då inte en färdig tjänst i drift finns det en risk att Sverige står utan den tjänsten fram till dess att myndigheten kan börja erbjuda tjänsten. Om regeringen väljer alternativ två bör förslaget särskilt kompletteras med en konsekvensutredning för att säkerställa att Sverige har en adekvat beredskap under övergångsperioden.
Om regeringen väljer detta alternativ innebär det att parallella infrastrukturer byggs upp och förvaltas av olika ansvariga aktörer under en lång tidsperiod, vilket i sin tur leder till en splittrad infrastruktur snarare än en enhetlig nationell lösning. Det finns även en risk för att en sådan lösning skulle skapa dubbelarbete i vården.
1.6.3 Alternativ 3 – Samägande
Det tredje alternativet är ett samägande mellan staten och exempelvis SKR, Inera AB och kommunsektorn av den verksamhet som ansvarar för infrastrukturen som finns i dag och infrastruktur som avses etableras framöver. Ett samägande skulle enligt utredningen inte lösa problemet med att infrastrukturen i dag är splittrad. Det
skulle heller inte lösa den otydliga ansvarsfördelningen och styrningen, utan snarare förvärra den. Det skulle sannolikt skapa fler otydliga styrsignaler till kommunsektorn och också innebära en bristande kostnadskontroll för staten, vilket bland annat kan ses för arbetet med nationella kvalitetsregister och även för kostnaderna för öppenvårdsläkemedel. Vidare skulle ett samägande, enligt utredningens bedömning, inte heller ligga i linje med utredningens uppfattning om att det krävs en statlig myndighet för att omhänderta vissa av uppgifterna som kommer åläggas medlemsländerna inom ramen för EU:s dataförvaltningsförordning och förslagen till EU:s dataförordning och EHDS. Även om exempelvis SOS Alarm Sverige AB samägs, så är den verksamheten mycket mer statisk och avgränsad än vad en så kallad HDAB är. En HDAB är expanderande och har behov som ständigt förändras.
Vid ett samägande blandas statens och huvudmännens finansiering, vilket ofta gör det svårt att veta vilka medel som använts till vad. Detta får ofta får till följd att kostnadskontrollen blir låg. Detta har bland annat kunnat noteras i överenskommelserna med SKR. Ett exempel där sammanblandning av finansieringen lett till låg kostnadskontroll är läkemedelsförmånerna (SOU 2018:89, s. 144). Staten ersätter regionernas kostnader för öppenvårdsläkemedel som omfattas av läkemedelsförmånerna. Det uppstår då en situation där sjukvårdshuvudmännen ansvarar för förskrivningen och därmed kostnaderna för dessa läkemedel, medan staten har små möjligheter att påverka kostnadsutvecklingen.
Ett annat exempel där sammanblandning av finansiering har lett till låg kostnadskontroll är överenskommelsen om nationella kvalitetsregister. Det har varit oklart vad staten fått för de medel som betalats ut samt om det är statens eller regionernas medel som bekostat olika kostnadsposter. Flera myndigheter har konstaterat att satsningen inte varit kostnadseffektiv och att det är oklart vilken effekt som satsningen har haft.
77,78,79,80
77 Lapptäcke med otillräcklig täckning, 2017, Vård- och omsorgsanalys. 78 Socialstyrelsen och de nationella kvalitetsregistren inom hälso- och sjukvården, 2006, Riksrevisionen. 79 Statens satsningar på nationella kvalitetsregister – Leder de i rätt riktning?, 2013, Riksrevisionen. 80 Äldresatsningen – effektiviteten i statens satsning på kvalitetsregister i äldreomsorgen, 2020, Riktrevisionen.
1.6.4 Alternativ 4 – Beslut om att inte göra någon förändring (nollalternativ)
Ytterligare ett alternativ är att inte genomföra förslagen, låta den befintliga strukturen finnas kvar samt göra varje enskild kommun och region till en ansvarig myndighet för hälsodata som själva ansvarar för de uppgifter som åläggs medlemsstaterna enligt beslutad och föreslagen EU-lagstiftning.
Utredningen förordar av förklarliga skäl inte detta förslag. Att ha över 300 myndigheter med delat ansvar skulle inte tillvarata stordriftsfördelarna och går rakt emot själva intentionen med ett gemensamt europeiskt hälsodatautrymme. Det skulle inte lösa problemet med att det offentliga inte har en övergripande kontroll och översikt av den nationella infrastrukturen på hälsodataområdet. Det skulle inte heller lösa problemen med medborgarnas begränsade möjlighet till insyn om vilka data som samlats in om dem och hur denna data används. Därtill kommer den begränsade möjligheten för medborgarna att utkräva ansvar för en fungerande övergripande nationell infrastruktur för hälsodata förbli begränsad. Detta beror bland annat på att ansvaret många gånger är uppdelat mellan en rad olika aktörer och att det inte finns något enskilt organ dit medborgare kan vända sig för att få hjälp att få insyn i vilka data som samlats in om dem eller få hjälp att på ett enkelt sätt ta del de data som hälso- och sjukvården samlat in om dem. Vidare innebär det en risk för de mellanstatliga relationerna att Sverige inte kan säkerställa säkerheten för andra medlemsstaters personuppgifter, på samma sätt som om ansvaret för personuppgifterna skulle ligga på en statlig myndighet. Det skulle inte heller lösa de problem som uppstått med anledning av att staten gradvis och på ett otydligt sätt tagit över större delar av den befintliga infrastrukturen. Det går inte heller i linje med vad som framgår av Tidö-avtalet eller budgetpropositionen för 2023. Vidare löser det inte heller de problem som gjort att Sverige enligt OECD i dag ligger på plats 31 av 31 när det kommer till det offentligas digitalisering.81
Utredningens bedömning är att alternativkostnaden för att inte genomföra en ändring av E-hälsomyndighetens instruktion är hög. Som tidigare nämnts går utvecklingen på hälsodataområdet långsamt och Sverige har de senaste åren rangordnats allt sämre i inter-
81 Digital Government Index – 2019 results, 2020, OECD.
nationella jämförelser vad gäller datadriven hälso- och sjukvård. Att så är fallet har pekats ut i rapporter från Organisationen för ekonomiskt samarbete och utveckling (OECD) och EU. Det har också pekats ut i rapporter från svenska myndigheter, såsom Vård- och omsorgsanalys, Statskontoret, Riksrevisionen, Coronakommissionen med flera. Samtliga pekar på återkommande problem med underinvesteringar och brist på tydlig statlig styrning (prop. 2022/23:1 Utgiftsområde 9, s. 32).
Utredningens bedömning är dessutom att det finns en överhängande risk att Sverige inte kommer kunna leva upp till de krav som ställs i EU:s dataförvaltningsförordning samt förslagen till dataförordning och EHDS. Utredningens bedömning är att EHDS skulle kunna träda i kraft 2025–2026. När EHDS träder i kraft behöver Sverige svara upp mot de krav som ställs i förordningen, bland annat kraven på att ha en infrastruktur på plats för primär- och sekundäranvändning av hälsodata.
1.6.5 Sammanvägd bedömning
Avseende samordningen bedömer utredningen att E-hälsomyndigheten kan fylla en viktig funktion som i dag delvis saknas. Den nationella infrastrukturen för hälsodata är i dag fragmenterad, vilket bland annat lett till att flera aktörer upplever att det är svårt att dela hälsodata. Därutöver har bland annat Statskontoret konstaterat att statens styrningen på området kan utvecklas och att den i dag har brister.82
Den samordning som utredningen föreslår skulle också skapa bättre förutsättningar för regeringen och myndigheter att beslut grundat på bättre underlag, eftersom informationsförsörjningen inom detta område i dag är bristande och det saknas en statlig aktör med överblick över systemet och dess utveckling och dess behov.
En ökad samordning är också en förutsättning för att regeringen tillsammans med regionerna ska kunna fatta mer långsiktiga investeringsbeslut som omhändertar behoven för hela välfärden, inte bara hälso- och sjukvården.
Avseende infrastrukturen bedömer utredningen att det första alternativet är det som går mest i linje med uppdraget i utredningens direktiv om målsättningen att inom ramen för en befintlig myn-
82 Vision e-hälsa 2025 – ett försök att styra genom samverkan, 2021:17, 2021, Statskontoret.
dighet inrätta en teknisk och organisatorisk funktion för säker och effektiv delning av hälsodata, i likhet med Findata i Finland eller andra liknande strukturer i andra länder (dir. 2022:41). Utredningen bedömer också att det är det alternativ som sannolikt skulle innebära lägst kostnader, minst risker, störst stordriftsfördelar och flest positiva konsekvenser över lag. Dessa redogörs för i mer detalj i avsnitt 1.8.
Det bör också i detta sammanhang lyftas att skapandet av Findata och Finlands lagstiftning på området har medfört ett antal oförutsedda negativa effekter, så som långa handläggningstider och ökade kostnader för att få ut data. Utredningens ambition är därför att i betänkandet föreslå en funktion i Sverige som påminner om Findata men som inte är en identisk struktur med den som finns i Finland. Utredningens bedömning är att de förslag som utredningen lämnar i denna promemoria är ett första steg för att skapa bättre förutsättningar för sekundäranvändning av hälsodata.
Efter att ha lyssnat in olika aktörer har utredningen identifierat att det sannolikt kommer att finnas behov av att kunna bygga upp regionala datahubbar som är kompatibla med den nationella. Regionala datahubbar kan fylla en viktig funktion för att omhänderta lokala behov eller mindre datauttag. Det finns också stora risker med att en nationell datahubb skulle leda till långa ledtider. Vissa datauttag lämpar sig också bättre att få ut på lokal nivå eftersom det oftast är på lokal nivå som det finns kunskap om datans kvalitet och begränsningar.
Oavsett hur regeringen väljer att bygga upp den infrastruktur som krävs, genom förvärv eller genom att bygga en ny infrastruktur, så kommer uppbyggnaden att ta många år. Det är därför av yttersta vikt att arbetet påbörjas så snart som möjligt. Sverige kommer sannolikt falla efter vissa andra länder i ett par år framöver, till dess att infrastrukturen finns på plats.
1.6.6 Känslighetsanalys
Utredningens förslag om själva instruktionsändringen är i sig binärt, antingen är E-hälsomyndigheten utpekad eller inte. Eftersom förslaget till EHDS kräver att en myndighet blir utpekad som ansvarig enligt artikel 10.1, är de enda alternativen till att E-hälsomyndigheten pekas ut att en annan myndighet pekas ut. Själva utpekandet i sig har en viss påverkan på framför allt SKR, eftersom SKR i dag
ansvarar för en stor del av samverkan med kommunsektorn och många gånger agerar kontaktpunkt för statliga myndigheter när de ska samverka med kommunsektorn. Förslaget skulle innebära att E-hälsomyndigheten, utöver SKR, kommer ha kontakt med kommunsektorn mer direkt än vad som är fallet i dag.
Det som skulle kunna justeras ner är att utredningens förslag om förordningsändring begränsas till att E-hälsomyndigheten enbart får ett delat ansvar med andra myndigheter alternativt inte ett lika långtgående ansvar. Utredningens bedömning är att det skulle få fler negativa än positiva konsekvenser då det inte skulle uppnå målet med en mer enhetlig styrning på hälsodataområdet, se bland annat avsnitt 1.7.1 och 1.7.3.
För alternativet att bygga upp en parallell infrastruktur behöver en känslighetsanalys göras inom ramen för beslutet om vilka tjänster det är som E-hälsomyndigheten behöver tillhandahålla. Detsamma gäller för varje byggsten. Utredningen har inte utrett varje enskild byggsten som potentiellt skulle kunna tas fram. Det är framför allt vissa byggstenar som kommer ha en stor påverkan på såväl Inera AB som SKR, eftersom mycket av infrastrukturen i dag ligger hos dem. Därav behöver en konsekvensutredning göras för varje byggsten.
Ett alternativ till att staten förvärvar Inera AB är att staten undersöker om det är möjligt att ersätta SKR som majoritetsägare för bolaget. Det finns även andra associationsformer som kan övervägas, utredningen har dock gjort bedömningen att en myndighet är den bäst lämpade formen för att tillhandahålla denna infrastruktur. En offentlig struktur skapar också enligt utredningens bedömning ökad transparens, tydligare styrning och tydligare möjligheter till ansvarsutkrävande från såväl medborgare som regering och riksdag.
Ett alternativ till myndighetsformen är ett statligt bolag. Ett statligt bolag skulle då kunna vara ett monopol eller ha en monopolliknande struktur, vilket skulle medföra en mindre flexibel styrning än om infrastrukturen läggs på en myndighet. Ett statligt bolag med monopol skulle inte tillvarata fördelarna av effektiviteten som marknaden ofta erbjuder till följd av högre konkurrens. Ett statligt bolag utan monopol skulle inte heller lösa problemet med bristande helhet och styrning. Utredningen bedömer också att det går i linje med de ovan nämnda EU-förordningarna att välja myndighetsformen, samt med vad Utredningen om organisation, styrning och finansiering av forskningsinfrastruktur kom fram till i sitt slut-
betänkande (SOU 2021:65, s. 254) gällande vilken organisationsform som bör användas för liknande infrastruktur.
1.7 Konsekvenser av förslagen
I följande avsnitt redogörs konsekvenserna primärt för det första alternativet, att förvärva infrastrukturen (se avsnitt 1.6.1). Detta eftersom utredningens bedömning är att det är det alternativ som bör genomföras och att det inte är lämpligt att välja något av de andra alternativen, vilket motiveras under respektive kapitel samt i den sammanvägda bedömningen (se avsnitt 1.6.2, 1.6.3, 1.6.4 och 1.6.5).
1.7.1 Kostnadsberäkningar
Antaganden för kostnadsberäkningarna
Enligt Ekonomistyrningsverket (ESV) kostar en årsarbetskraft drygt 1 miljon kronor.83 Utredningens bedömning är att det är något konservativt att räkna på 1 miljon kronor eftersom det tillkommer kostnader för styrning, samordning och administration, så kallade OH-kostnader samt att E-hälsomyndigheten har ett något högre löneläge än den genomsnittliga myndigheten. Enligt ESV uppgår OH-kostnaderna generellt till 50 procent av myndigheternas totala kostnader.84 Utredningen bedömer dock att förslagen inte skulle leda till en linjär kostnadsökning av E-hälsomyndighetens kostnader, då det sannolikt är de variabla OH-kostnaderna som kommer öka och bara ett fåtal av de fasta OH-kostnaderna. Exempelvis kommer myndigheten sannolikt inte behöva utöka olika stödfunktioner till följd av ett fåtal ytterligare anställda, vilket borde innebära att dessa OH-kostnaderna inte ökar. Med det antagandet gör utredningen bedömningen att en årsarbetskraft inklusive OH-kostnader skulle innebära en kostnad på 1,3 miljoner kronor per år. Men till följd av att det något högre löneläget samt att den kompetens och senioritet som kommer krävas för de tjänster som föreslås är det enligt utredningen mer rimligt att räkna med 1,6 miljoner kronor per år och heltidstjänst.
83 Nyckeltal i statlig verksamhet (ESV 2006:31), 2006, Ekonomistyrningsverket. 84 Nyckeltal för OH-kostnader (ESV 2005:3), 2005, Ekonomistyrningsverket.
Kostnader för förslaget om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet
Utredningens bedömning är att genomförande av förslaget initialt skulle innebära ett fåtal ytterligare heltidstjänster för E-hälsomyndigheten för projektledning och inledande utredningsarbete. Utredningens bedömning grundar sig i att det enbart rör sig om en ändring i E-hälsomyndighetens instruktion där myndigheten pekas ut som den ansvariga myndigheten för den nationella infrastrukturen på hälsodataområdet. Det i sig bör inte leda till några större kostnader, utan snarare enbart innebära kostnader för att stötta regeringen och ta ett större ansvar för samordningen kring dessa frågor. Det är först när fler byggstenar tas fram som samordningen bedöms öka. Samordningen kommer därför att behöva byggas ut succesivt allt eftersom E-hälsomyndighetens uppdrag expanderar. En analys av dessa kostnader behöver då göras inom ramen för de enskilda byggstenarna.
Utredningen bedömer att en rimlig uppskattning är att kostnaden kommer att bli 1,6 miljoner kronor per år och per anställd. Utredningen bedömning är att det i ett första skede kan behövas tre årsarbetskrafter för projektledning och samordning av de uppgifter som tillkommer med anledning av förordningsändringen.
Detta baseras bland annat på att motsvarande och liknande arbete i dag sker av en sakhandläggare på Socialdepartementet. Eftersom arbetet är tänkt att expandera och eftersom det finns behov av djupare analyser och mer omfattande samverkan så föreslås tre årsarbetskrafter i ett inledande skede. Hur många årsarbetskrafter som behövs i ett senare skede kommer behöva korrelera med antalet byggstenar som ska tas fram. På längre sikt antar utredningen att kostnaden kommer att öka till följd av att allt fler byggstenar tillkommer. Ytterligare en indikation för kostnaden för samordningen kan fås genom att jämföra med hur mycket medel SKR i dagsläget får inom ramen för överenskommelsen om god och nära vård för att arbeta med samordning kopplat till vision e-hälsa. Det framgår dock inte av överenskommelserna hur många miljoner som avsätts för arbetet med vision e-hälsa mer än att det är upp till 51,5 milj oner kronor.85
Kostnaden för att genomföra utredningens förslag om ändring av E-hälsomyndighetens uppdrag går att estimera genom att titta på
85 God och nära vård 2023, En omställning av hälso- och sjukvården med primärvården som nav. Överenskommelse mellan staten och Sveriges Kommuner och Regioner, 2023, Regeringskansliet.
Vetenskapsrådets verksamhet, som har en i delar liknande uppgift. Dessa kostnader uppgår enligt underlag från Vetenskapsrådet till ungefär 46 miljoner kronor per år.86 Detta är en beräkning som är behäftad med vissa osäkerheter då det är svårt att avgränsa kostnaderna som är hänförliga till ett visst uppdrag inom en myndighet. Utredningens bedömning är dock att Vetenskapsrådets kostnader ger en bra indikation för en bortre gräns för vad kostnaderna kan tänkas bli. Utredningen bedömer dock även att forskningsområdet är mer omfattande än hälsodataområdet och att det inte är sannolikt att kostnaden för denna verksamhet i närtid kommer uppgå till 46 miljoner kronor.
Kostnaderna går också att estimera genom att titta på andra länders kostnader för liknande strukturer. Utredningen har kunnat identifiera att Finland har en struktur som är snarlik om än inte helt jämförbar, samt att de i sin faktapromemoria angående förslaget till EHDS tagit fram kostnadsberäkningar för liknande uppdrag. Findata har exempelvis 28 årsarbetskrafter, varav 21 av dem arbetar med datahantering och övriga sju med samordning eller andra stödjande funktioner.87 Sju årsarbetskrafter, motsvarande cirka 11,2 miljoner kronor. Av Finlands faktapromemoria framgår att kostnaderna för finska myndigheter till följd av förslaget till EHDS, bedöms uppgå till en kostnad på 5–6 miljoner kronor årligen. De uppgifter som dessa medel ska bekosta är snarlika uppgifter som de uppgifter som föreslås i denn a promemoria.88 I Finland finns dock redan en stor del av denna struktur uppbyggd, vilket skulle tala för att kostnaderna skulle bli högre i Sverige. Däremot så är utredningens förslag i denna promemoria mindre omfattande än det som föreslås i förslaget till EHDS, vilket skulle tala för att kostnaderna blir lägre. Oaktat så ligger samtliga beräkningar i spannet 5–46 miljoner kronor, varav de flesta ligger runt 5–8 miljoner kronor. Utredningens bedömning är att det är rimligt att börja konservativt och inte avsätta för mycket pengar första året eftersom utvecklingen kommer behöva ske succesivt och att medel för kommande år bör beslutas efter dialog med E-hälsomyndigheten allt eftersom de bildar sig en bättre uppfattning om behoven. Samtidigt skulle det ge regeringen tid att uppskatta hur omfattande stöd regeringen behöver.
86 Utredningens diarienummer Komm2022/00721/S 2022:04-1. 87 https://findata.fi/sv/kontaktuppgifter/ (Hämtat 2023-01-10). 88 https://www.eduskunta.fi/SV/vaski/Kirjelma/Sidor/U_61+2022.aspx (Hämtat 2023-01-10).
Utredningens bedömning är att en ny kostnadsberäkning behöver göras för varje enskild byggsten och i samband med ett eventuellt förvärv av hela eller delar av Inera AB, då det skulle innebära att E-hälsomyndighetens uppdrag kraftigt skulle växa i omfattning. Sannolikt skulle det innebära högre kostnader än 46 miljoner kronor per år under de första åren, för att sedan stabilisera sig på en lägre nivå, beroende på antalet byggstenar, regeringens ambitionsnivå på hälsodataområdet samt ambitionsnivån för de enskilda byggstenarna.
Kostnader för infrastrukturen
Utredningen har inte kunnat bedöma kostnaderna för att E-hälsomyndigheten ska ta ett ansvar för samordningen av den nationella infrastrukturen för hälsodata eftersom regeringen kommer behöva bestämma en väg och en avgränsning. En indikation kan dock fås genom att titta på Inera AB:s årsredovisning. Inera AB omsätter i dag knappt 1 miljard kronor per år.89
Till detta tillkommer kostnader beroende på vilket alternativregeringen väljer. Inera AB har byggts upp till stora delar av offentliga medel, men eftersom företagskonstruktionen är unik är det svårt att hitta några förlagor att få vägledning ifrån. Dessutom tillkommer kostnader för ett eventuellt förvärv och arbetstid för involverade aktörer att förbereda ett sådant förvärv.
Om regeringen väljer att själv bygga upp en parallell infrastruktur så kommer det innebära omfattande investeringskostnader och kostnader för att förvalta dubbla system som båda finansieras av skattemedel. Här kan kostnaderna för nationella läkemedelslistan sannolikt vara vägledande, även om det rör en mindre del än vad detta alternativ skulle innebära. Detta alternativ bedöms därför sammantaget vara dyrare än alternativet om ett eventuellt förvärv. Det är dock svårt att bedöma kostnaden och kostnadsskillnaden mellan alternativen eftersom det finns så många olika variabler att ta hänsyn till och omfattande osäkerhet kopplat till båda alternativen.
89 https://www.inera.se/globalassets/inera/media/dokument/om-inera/ineras-uppdrag/arsrapport-inera-2021.pdf (Hämtat 2022-11-23).
Kostnader för kommunsektorn
Om utredningens förslag genomförs kan det få olika effekter på antalet styrsignaler.90 Antalet riktade statsbidrag skulle kunna minskas något om förslaget genomförs då det innebär en förflyttning av ansvaret för vissa frågor från kommunsektorn till staten, vilket skulle innebära minskade kostnader för kommunsektorn.
Att regeringen har en bättre helhetsbild och möjlighet att ha kontinuerliga dialoger direkt med de som ansvarar för den nationella infrastrukturen för hälsodata skulle skapa bättre förutsättningar för en mer långsiktig och stabil styrning. Det skulle också skapa bättre förutsättningar för ett mer sammanhållet system för hälsodata.
På sikt kommer dock byggstenarna innebära ökade kostnader för kommunsektorn, men också effektivitetsvinster och ökad nytta i form av exempelvis möjligheten att ge bättre vård, bättre arbetsmiljö med mera. Detta behöver dock analyseras inom ramen för de enskilda byggstenarna.
Övriga kostnadseffekter
En myndighet ska inom sitt verksamhetsområde samverka med andra myndigheter (8 § första stycket förvaltningslagen [2017:900]). En myndighet har alltså en skyldighet att samverka med andra myndigheter och redan i dag samverkar berörda myndigheter i dessa frågor. Förordningsändringen borde därför inte ha några större ekonomiska konsekvenser för övriga myndigheter inom hälsodataområdet eftersom utredningens förslag enbart pekar ut E-hälsomyndigheten som ansvarig för samordningen i dessa sammanhang. Om möjligt bör kostnaden sjunka marginellt för övriga myndigheter till följd av att E-hälsomyndigheten får ett större mandat och att ansvarsfördelningen tydliggörs. Denna kostnadsminskning bedömer dock utredningen är försumbar.
De stora kostnaderna bedöms snarare vara kopplade till varje enskild byggsten som möjliggörs till följd av instruktionsändringen. De finansiella konsekvenserna behöver därför utredas och beskrivas för varje enskild byggsten.
90 Med styrsignaler avses exempelvis författningar, regeringsbeslut, eller andra handlingar som en aktör gör som en mottagande aktör i olika grad behöver förhålla sig till.
Utredningen kommer också att följa förhandlingarna av EHDS och regeringens arbete med punkten i Tidö-avtalet gällande sjukvårdens infrastruktur då dessa kommer ha påverkan på de kostnadsberäkningar som utredningen kommer behöva göra inom ramen för sitt slutbetänkande.
1.7.2 Konsekvenser för den personliga integriteten
Utredningens bedömning är att ett genomförande av förslaget skulle ha en påverkan på den personliga integriteten. Själva utpekandet att E-hälsomyndighet ska ansvara för samordningen av infrastrukturen för hälsodata innebär i sig inte en förändring av vilka data som samlas in. I dagsläget görs insamlingen av flera aktörer, däribland E-hälsomyndigheten. Ett genomförande av förslaget kommer däremot i praktiken att ha långtgående konsekvenser för hur arbetet inom hälsodataområdet bedrivs framöver, vilket i sig kan få konsekvenser för den personliga integriteten. Om exempelvis E-hälsomyndigheten så får ett större samordnande ansvar skulle det kunna innebära att personuppgifter som i dag behandlas av SKR och Inera AB framgent kommer behandlas av E-hälsomyndigheten. Det är i dagsläget svårt att på förhand veta vilka data det skulle röra sig om och om det rör sig om personuppgifter. Detta eftersom det är upp till regeringen att bedöma vilka uppgifter E-hälsomyndigheten ska utföra i och med sitt ansvar för den nationella infrastrukturen för hälsodata. Insamlingen av personuppgifter skulle kräva ny rättslig grund för E-hälsomyndigheten.
Utredningen kommer inom ramen för sitt uppdrag att göra en integritetsanalys för de förslag som lämnas kopplat till E-hälsomyndighetens roll som ansvarig för infrastrukturen för hälsodata. I det arbetet ingår bland annat att analysera vilka rättsliga grunder enligt artikel 6 och vilka undantag enligt artikel 9.2 i EU:s dataskyddsförordning som kan göras gällande. Hur tystnadspliktfrågor enligt artikel 9.3 ska hanteras och frågor om enskildas rättigheter enligt förordningen kan omhändertas behöver också analyseras. Det kommer även behöva göras integritetsanalyser för varje enskild byggsten som tas fram.
1.7.3 Konsekvenser för det kommunala självstyret
Att ge E-hälsomyndigheten ansvar för den övergripande nationella infrastrukturen innebär en inskränkning av det kommunala självstyret. Om förslaget genomförs innebär det en ändrad uppgiftsfördelning mellan staten och kommunsektorn. Inskränkningen i det kommunala självstyret kan bli olika omfattande, beroende på hur långtgående ansvar som ges åt E-hälsomyndigheten. Utredningens förslag skulle innebära att samordning kommer ske genom E-hälsomyndigheten i stället för exempelvis SKR. Enligt utredningens förslag ska E-hälsomyndighetens arbete också syfta till att skapa bättre underlag för att genomföra nationella investeringar i digital infrastruktur inom hälsodataområdet. Även om det i sig inte direkt påverkar det kommunala självstyret så är det sannolikt att det indirekt kommer få förhållandevis stor påverkan på kommunsektorns möjligheter till lokala anpassningar inom vissa områden. Även om möjligheten till lokala anpassningar inte tas bort så kommer det sannolikt i praktiken bli såväl dyrt som omotiverat att välja en annan lösning än den nationella. I praktiken skulle ett sådant upplägg kunna ses som ett obligatorium och därmed en inskränkning i det kommunala självstyret. Ett genomförande av förslaget syftar till att uppnå en större statlig styrning inom hälsodataområdet. Utredningens bedömning är att ändringen är motiverad och att fördelarna överväger nackdelarna.
En av de stora positiva effekterna som utredningen ser är de stordriftsfördelar som oftast förekommer för den typen av infrastruktur som utredningen föreslår att E-hälsomyndigheten ska ansvara för. Därtill har flertalet aktörer och myndighetsrapporter lyft behovet av ökad statlig styrning.91,92,93,94,95,96,97,98,99,100,101 I SOM-undersökningen från 2021 svarade endast 10 procent av invånarna att det var ett ganska
91 https://www.xn--tidavtalet-gcb.se/ (Hämtat 2022-11-22). 92 Motion till riksdagen 2022/23:501. 93Prop. 2022/23:1 Utgiftsområde 9. 94 Precisionshälsa – vägen framåt!, Ett kunskapsunderlag från ”Agenda för hälsa och välstånd” år 2022, 2022, Forksa!Sverige. 95 Nationell styrning med internationellt fokus – för hälsa och konkurrenskraft, 2022, Swedish Medtech. 96 Vården är värd en bättre styrning, Anders Anell, 2020, SNS förlag. 97 Åtgärder för att förbättra tillgången till och analys av hälsodata, 2019, LIF. 98 https://slf.se/pressrum/lakarforbundet-valkomnar-diskussion-om-okad-statlig-styrningav-varden/ (Hämtat 2022-11-22). 99 Riksintressen i hälso- och sjukvården – stärkt statlig styrning för hållbar vårdinfrastruktur (SOU 2021:71). 100 Sverige under pandemin Volym 2 Förutsättningar, vägval och utvärdering (SOU 2022:10). 101 Ökad precision i Europa, 2021, Myndigheten för vård- och omsorgsanalys.
eller mycket dåligt förslag att staten skulle överta ansvaret för sjukvården, medan 71 procent svarade att det var en ganska eller mycket bra idé att staten skulle överta ansvaret för sjukvården.102 Utöver det kommer nu flera rättsakter med EU-lagstiftning som kommer ställa krav på att en statlig myndighet har det övergripande ansvaret för infrastrukturen för hälsodata.
Det finns dock även nackdelar som kommer behöva hanteras, inte minst kopplat till delat ansvar. I vissa fall inskränker det mindre i det kommunala självstyret och en större statlig styrning är mer självklar. Ett sådant exempel är att alla medarbetare i vården ska ha tillgång till en elektronisk identitetshandling. Identitetshandling är ett avgränsat område utan större överlapp till andra områden. Identitetshandlingen bör vara samma inom hela Sverige och invånarna har sannolikt ett lågt intresse av hur den utformas och är troligen framför allt intresserade av att funktionen finns.
Ett exempel som skulle innebära en mer omfattande inskränkning i det kommunala självstyret är att införa ett gemensamt huvudsakligt journalsystem för hela Sverige. Detta hade sannolikt varit möjligt, men då inte genom statligt övertagande av själva systemet, utan genom att staten lagstiftade om att regionerna skulle vara tvungna att upphandla system som var kompatibla med den nationella infrastrukturen för hälsodata. Det skulle sannolikt innebära stora initiala kostnader för flera regioner, men över tid är det sannolikt att kostnaderna skulle stabiliseras. Detta är något som flera patientorganisationer lyft vid ett flertal tillfällen som en önskvärd utveckling.103 Utredningen delar patientorganisationernas bild gällande behovet av att information ska kunna delas mellan vårdgivare på ett sömlöst sätt. Utredningen bedömer dock att ett gemensamt journalsystem är en något förenklad lösning av ett komplext problem. Däremot kan sägas att det i slutbetänkandet Effektiv vård (SOU 2016:2, s. 296) konstaterades att antal system beräknades uppgå till 2 000 bara i Region Västra Götaland. Att skapa integrationer mellan samtliga system mellan samtliga kommuner och regioner skulle sannolikt innebära flera miljoner integrationer. Hur denna fråga ska lösa är dock inte upp till denna utredning att analysera och flera av dessa frågor har andra utredningar fått i uppdrag av regeringen att titta på,
102 Allmänhetens åsikter om politiska förslag 2021, Elisabeth Falk [SOM-rapport nr 2022:36], 2022, SOM-institutet. 103 https://www.dagensmedicin.se/opinion/debatt/infor-ett-gemensamt-nationelltjournalsystem/ (Hämtat 2023-02-06).
exempelvis Utredningen om hälsodata som nationellt intresse – en lagstiftning för interoperabilitet (S 2022:10) och Utredningen om interoperabilitet vid datadelning (I 2022:03).
Att staten skulle gå längre och ta över system på en lägre nivå skulle i praktiken innebära att staten skulle ta ansvar för enskilda makron, labbdatasystem eller dataanalysverktyg. Utredningens bedömning är att det skulle innebära en så pass stor inskränkning i det kommunala självstyret att det sannolikt inte skulle vara möjligt för kommunsektorn att fortsätta att bedriva sin verksamhet. Detta skulle i praktiken kräva ett totalt förstatligande av hälso- och sjukvården.
Utredningens slutsats är att det kommer krävas en kombination av flera olika verktyg för att uppnå en bra balans mellan den statliga styrningen och det kommunala självstyret när den gemensamma digitala infrastrukturen för hälso- och sjukvården tas fram.
Det finns historiska exempel som visar på att det är möjligt. Ett sådant exempel är Statens sjukvårdskommittés betänkande från 1934 som senare kom att ligga som grund för en ”allmän riksplan” för ett ”rationellt ordnande” av sjukvården (SOU 1934:22). Syftet med riksplanen var att ge huvudmännen överblick över utbyggnadsbehoven och se till att de satsningar som gjordes bidrog till en effektivt fungerande helhet. Den allmänna riksplanen skulle bland annat motverka ett alltför snävt perspektiv på regional och lokal nivå, eftersom planen skulle utgöra ”ett värdefullt korrektiv emot tillfälliga omkastningar i olika trakters sjukvårdspolitik och ett skydd emot inflytelser, härrörande mera av lokala eller andra tillfälliga hänsyn än av sakligt välgrundade skäl” (SOU 1934:22).
En sådan riksplan kan vara svår att tillämpa när det finns starka skäl för lokal förankring. Utredningen bedömer att det finns ett stort behov av exempelvis nationella invånartjänster medan behovet av lokal förankring däremot sannolikt är litet för sådana tjänster. Utredningens bedömning är därför att förslagen i denna promemoria är proportionerliga, trots att de kommer innebära en inskränkning i det kommunala självstyret.
Konsekvenser för ansvarsförskjutningen avseende infrastrukturen
Det är svårt att på förhand säga var gränsen för den statliga styrningen och ägandet bör gå. Utredningens bedömning är dock att en rimlig nivå att börja på är att det övergripande planeringsansvaret för infrastrukturen för hälsodata flyttas över till staten. Stora delar av detta arbete sker i dag via Inera AB och SKR.
Utredningens bedömning är att E-hälsomyndigheten skulle kunna fylla den roll som Inera AB och SKR i dag fyller, men att det kommer krävas ett omfattande arbete från E-hälsomyndighetens sida för att arbeta upp ett nära samarbete med kommuner och regioner. Om kommuner och regioner skulle hamna för långt ifrån beslutsfattandet finns det enligt utredningen en uppenbar risk att arbetet blir ineffektivt. Ett nära samarbete skulle dock kunna göra att staten fick en ökad förståelse för kommunsektorns arbete, vilket skulle öka möjligheterna för en mer långsiktig och hållbar styrning.
Ett exempel som utredningen har sett som belyser behovet av en ökad förståelse är att det har varit otydligt för staten vilka problem som funnits med regleringen av hälsodata, medan medarbetare i vården ofta har haft en god kännedom om vilka problemen är. Detta har delvis berott på att det inte funnits en tydlig kanal för att kommunicera denna information. Vanligen tar regeringen in denna typ av information från sina myndigheter. Utredningen bedömer att ett närmre samarbete mellan E-hälsomyndigheten och kommunsektorn skulle öka Regeringskansliets möjligheter att omsätta informationen från regionerna till policy. Utredningens bedömning är att detta skulle underlätta eller lösa många av de problem som lyfts av bland annat Kommittén för teknologisk och innovation & etik (KOMET) och samverkansgruppen för hälsodata kopplat till hur Sverige kan bli bättre på att reglera områden som är komplexa system (dir. 2019:78).
104,105
Gränsdragningsproblematiken och sammanblandningen av ansvaret för olika delar av infrastrukturen mellan E-hälsomyndigheten och huvudmännen för hälso- och sjukvård riskerar att skapa otydliga ansvarsförhållanden, vilket bland annat var ett problem under covid-19-pandemin. Det är därför viktigt att arbetet med att bygga upp en övergripande nationell infrastruktur för hälsodata hos E-hälso-
104 Komet beskriver 2020:23, Försök!, 2020, Kommittén för teknologisk och innovation & etik. 105 Delrapportering från arbetsgruppen för hälsodata, 2022, Regeringens Samverkansprogram för Hälsa och Life Science.
myndigheten görs på ett transparent sätt tillsammans med samtliga berörda aktörer. Exempelvis bör en risk- och konsekvensutredning göras som bland annat tittar på effekter för patienter och Sveriges säkerhet. Eftersom Inera AB i dag tillhandahåller samhällskritiska tjänster så som 1177, Sjunet med flera så finns det risker som behöver beaktas om E-hälsomyndigheten blir ansvarig för samordningen av den nationella infrastrukturen för hälsodata. Liknande risker har påtalats vid införandet av nationella läkemedelslistan.106 Exempelvis finns det risker kopplat till att Inera AB slutar eller inte har möjlighet att leverera dessa tjänster eller säkra driften av dem.
Utmaningar med delat ansvar
Ett exempel som visar på svårigheterna med ett delat ansvar är de myndigheter som är kontaktpunkt till följd av ett EU-direktiv och där ansvaret för hälso- och sjukvården är fördelat på regional nivå, medan ansvaret för att vara kontaktpunkt enligt direktiven är fördelat på statlig nivå.
Ett sådant exempel är uppgiften att vara nationell kontaktpunkt enligt artikel 6 i Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpning av patienträttigheter vid gränsöverskridande hälso- och sjukvård.
I Sverige är ansvaret uppdelat mellan Försäkringskassan och Socialstyrelsen. Försäkringskassan ansvarar för svenskar som befinner sig i ett annat EU-land (2 a § 5 förordningen [2009:1174] med instruktion för Försäkringskassan) och Socialstyrelsen ansvarar för EU-medborgare som behöver vård i Sverige. (10 § 1 förordning [2015:284] med instruktion för Socialstyrelsen)
Ansvaret för att bistå EU-medborgare med information och kontaktuppgifter för vård i Sverige ligger alltså på Socialstyrelsen och därmed staten. Ansvaret för sjukvården och tillhörande tjänster ligger antingen på kommuner och regioner, eller privata aktörer. Problemet som uppstår är att Socialstyrelsen många gånger inte har den information eller det mandat som krävs för att tillhandahålla denna information eller säkerställa att dessa patienter får sina rättigheter uppfyllda i samband med gränsöverskridande hälso- och sjukvård.
106 https://lakartidningen.se/opinion/debatt/2021/04/inforandet-av-den-nationellalakemedelslistan-bor-pausas/ (Hämtat 2022-11-23).
I praktiken sker en stor del av samordningen via SKR. Exempelvis är det SKR som tagit fram information om ersättningsnivåer och vårdutbud för behandling av hyperhidros med botulinumtoxin.107
Detta gör det också svårt för regionerna att hantera kostnaderna och effekterna som uppstår till följd av den gränsöverskridande vården. Kostnaderna för den gränsöverskridande vården belastar regionerna olika och det är framför allt de regioner som gränsar till ett annat EU-land som fått kostnader till följd av Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpning av patienträttigheter vid gränsöverskridande hälso- och sjukvård.108
Ytterligare en aspekt av detta kunde ses under covid-19-pandemin när medlemsländerna försökte hjälpa varandra med ledig vårdkapacitet. Sverige kunde då ta emot hjälp, men regeringen hade begränsade möjligheter att erbjuda hjälp, eftersom det är regionerna som är ansvariga för hälso- och sjukvården. Det saknades också nationella data över vilken ledig vårdkapacitet som fanns. 109,110
Det finns därmed en risk att ansvarsförhållandena blir otydliga och kostnadskontrollen för svag eller för hämmande om staten enbart ska vara ansvarig för att vara kontaktpunkt för vidareutnyttjande av hälsodata och uppfylla de krav som följer av EU:s dataförvaltningsförordning, förslaget till dataförordningen och förslaget till EHDS.
Delat ansvar leder ofta till att ansvarsfördelningen blir otydlig mellan aktörerna, vilket bland annat konstaterades av riksrevisorn i den öppna utfrågningen i konstitutionsutskottet 2021.111 Att samordningen mellan den statliga och regionala nivån brister konstaterar Riksrevisionen även i en rapport från 2008.112 Riksrevisorn lyfter också problemet med ansvarsfördelningen och minskad insyn till följd av regeringens ökade användning av SKR.113 Detta är något som beskrivs ytterligare i en rapport från Riksrevisionen 2017.114 Samma sak har också konstaterades av Coronakommissionen.115
107 https://skr.se/download/18.4829a209177db4e31aa35b19/1615469306275/Ersattningsniva er_behandling_hyperhidros_.botilinumtoxin.pdf (Hämtat 2022-11-24). 108 Skrivelse från region Skåne 2019-05-24, Socialdepartementets dnr: S2019/0522. 109 Regeringsbeslut S2022/01372 (delvis). 110 Regeringsbeslut S2022/01373 (delvis). 111 https://www.riksdagen.se/sv/webb-tv/video/oppen-utfragning/oppen-utfragning-om-riksrevisorns-arliga-rapport_H9C220210916ou1 (Hämtat 2022-11-03). 112 Pandemier – hantering av hot mot människors hälsa (RiR 2008:1), Riksrevisionen. 113 https://www.riksdagen.se/sv/webb-tv/video/oppen-utfragning/oppen-utfragning-om-riksrevisorns-arliga-rapport_H9C220210916ou1 (Hämtat 2022-11-03). 114 Staten och SKL – en slutrapport om statens styrning på vårdområdet (RiR 2017:3). 115 Sverige under pandemin, Volym 2 Förutsättningar, vägval och utvärdering, s. 653 (SOU 2022:10).
Effekten på antalet styrsignaler
Vad gäller antalet styrsignaler så bedömer utredningen att ett genomförande av förslaget har positiva, neutrala och negativa effekter på antalet styrsignaler. Sett ur ett historiskt perspektiv har det funnits en debatt om styrningen av hälso- och sjukvården sedan mitten av 1862 då kommunallagarna beslutades (se SOU 2021:71, s. 69). Frågan om detaljstyrning har diskuterats sedan dess och antalet utredningar på området är omfattande och utredningen kommer inte gå igenom alla i denna promemoria.
En ambition med decentraliseringsreformerna på 1980- och 1990talen var att minska detaljstyrningen, men trots det så ökade den över tid. Ett av skälen till att Socialdepartementets hälso- och sjukvårdsberedning samt Sjukvårdens och socialvårdens planerings- och rationaliseringsinstitut (Spri) avvecklades var delvis att behovet av central styrning inte längre bedömdes vara lika stort och att systemet uppfattades som alltför byråkratiskt (se SOU 2020:15, s. 140).
Att Socialdepartementets hälso- och sjukvårdsberedning och Spri ersattes av överenskommelser har, enligt utredningens bedömning, lett till vissa oförutsedda effekter. Överenskommelserna har lett till liknande detaljstyrning, men också en större ryckighet i styrningen samt en oförutsägbarhet för regionernas långsiktiga planering.
116,117
Avvecklandet har också lett till att Socialstyrelsens roll och mandat urholkats när en större del av Socialstyrelsens uppgifter flyttades över till SKR. Ansvaret för verksamhetsstatistik för hälso- och sjukvården, informatikarbetet och väntetidsdatabasen är några sådana exempel.
Staten har sedan avvecklandet av Socialdepartementets hälso- och sjukvårdsberedning och Spri tagit ett större ansvar för olika frågor inom hälso- och sjukvården. Detta har skett genom lagar och myndighetsuppdrag, men också genom överenskommelser mellan staten och SKR.118
Välfärdskommissionen är ett exempel där kommissionen pekat på behovet av minskad statlig detaljstyrning. Regeringen har aviserat att de avser tillsätta en utredning med uppdrag att analysera och belysa föroch nackdelar samt lämna förslag beträffande möjligheten att långsiktigt införa ett delvis eller helt huvudmannaskap för hälso- och sjukvården (prop. 2022/23:1 Utgiftsområde 9, s. 46), något som riksdagen tidigare
116 Överenskommelser som styrmedel, 2014, Statskontoret. 117 Utveckling av den statliga styrningen av kommuner och regioner 2021, 2021, Statskontoret. 118 Statlig förvaltningspolitik för 2020-talet – En forskningsantologi, 2020, Statskontoret.
har tillkännagett för regeringen (Regeringens skrivelse 2021/22:75, s. 160). Utgångspunkten för Välfärdskommissionen var att generella statsbidrag ska vara utgångspunkten i den ekonomiska styrningen av kommunsektorn. En genomgående linje i Välfärdskommissionens arbete, som också uttrycks i deras uppdragsbeskrivning, är att de riktade statsbidragen ska minska.119 De riktade statsbidragen är dock heterogena till sin natur, till skillnad från de generella statsbidragen. Ibland kan ett riktat statsbidrag vara som ett generellt statsbidrag i nästan alla avseenden förutom att det har en annan fördelningsnyckel än de generella statsbidragen. Bidrag för läkemedelsförmånerna är ett sådant statsbidrag. I andra fall kan det röra sig om mycket mer detaljerade statsbidrag.
Utredningens bedömning är att mer uppmärksamhet i stället bör riktas åt hur staten kan ta ett större ansvar för vissa frågor genom att exempelvis tillhandahålla övergripande nationell infrastruktur. Detta skulle minska antalet statsbidrag och minska kostnadstrycket på kommunsektorn utan att för den delen innebära fler styrsignaler. Hälsodataområdet är ett så kallat komplext system och präglas av många enheter som interagerar med varandra och är i ständig rörelse. För att hantera och utveckla den typen av system är statens offentliga utredningar och ettåriga överenskommelser förhållandevis långsamma och oflexibla styrmedel. Myndighetsstyrningen är ofta mer sömlös, iterativ och långsiktig och passar bättre för att hantera dessa frågor.
Det finns en risk att antalet styrsignaler kommer att öka till följd av utredningens förslag. Exempelvis har Inera AB inte normgivningsmakt och mycket av interoperabilitetsarbetet bedrivs i dag på frivilligbasis, vilket många gånger lett till långsam utveckling och ibland utebliven måluppfyllelse.120 Om E-hälsomyndigheten bemyndigades att förmedla föreskrifter på detta område skulle arbetet sannolikt kunna skyndas på och en större enhetlighet och effektivitet kunna uppnås. Det skulle dock innebära en inskränkning i det kommunala självstyret. Beroende på hur dessa föreskrifter skulle vara utformade skulle de ha allt från en begränsad till en måttlig påverkan jämfört med vad som redan i dag görs frivilligt. Utredningens bedömning är dock att eftersom Sverige sannolikt kommer behöva bli interoperabelt
119 Välfärdskommissionens slutredovisning till regeringen (Finansdepartementet), s. 19 och 57, 2021, Regeringskansliet. 120 Vision e-hälsa 2025 – ett försök att styra genom samverkan, 2021:17, 2021, Statskontoret.
med de andra medlemsländerna inom EU så är det en oundviklig, men också önskvärd riktning. Inskränkningen får därmed anses motiverad.
E-hälsomyndigheten har i dag ingen lokal förankring i de olika regionerna, men det har å andra sidan inte heller SKR eller Inera AB. Att en myndighet inte har en fysisk närvaro i en region bedömer utredningen ha ringa betydelse i dagens digitaliserade värld.
Utredningen gör bedömningen att förslaget har en positiv effekt på den lokala demokratin. Även om det skulle ske en förskjutning från regionerna till staten är det alltså utredningens bedömning att transparensen, insynen och möjligheten för invånarna att påverka skulle öka i stor utsträckning. Detta är något som också beskrivits av Coronakommissionen, forskare med flera.
121,122,123,124
1.7.4 Prövning av offentliga åtaganden
Sjukvård på lika villkor är en grundläggande mänsklig rättighet, liksom rätten att slippa diskrimineras i vården. Målet för hälso- och sjukvården enligt hälso- och sjukvårdslagen (2017:30), HSL, är god hälsa och en vård på lika villkor för hela befolkningen. Det innebär att staten, som ansvarig för lagstiftningen, har anledning att agera för att skapa förutsättningar för huvudmännen att uppfylla det målet. Det finns risker att vården blir ojämlik när staten inte har en övergripande kontroll över infrastrukturen för hälsodata, vilket talar för att ansvaret för en övergripande nationell infrastruktur bör vara ett offentligt åtagande. Exempelvis är det i dag så att det skiljer sig åt vilka tjänster invånare kan använda sig av beroende på var i landet de bor, exempelvis Nationella Patientöversikten (NPÖ).125
EU:s dataförvaltningsförordning, förslaget till EU:s dataförordningen ställer också ökade krav på att det finns en eller flera nationella organ med nationellt ansvar för datadelning. Av förslaget till EHDS framgår att det ska finnas ett organ specifikt för hälsodata.
121 Sverige under pandemin, Volym 1, Smittspridning och smittskydd (SOU 2021:89). 122 Staten och SKL – en slutrapport om statens styrning på vårdområdet (RiR 2017:3). 123 Bringselius, L., & Rothstein, B. (2021). Sveriges kommuner och regioner (SKR) – en maktfaktor utan demokratisklegitimitet. I Vad händer nu? Välfärden efter corona (s. 153). Premiss förlag. 124 Digitaliseringslobbyn, 2022, Arena idé. 125 Ökat nyttjande av sammanhållen journalföring, Möjligheter, utmaningar och behovet av digital informationsförsörjning i dag och i framtiden, 2021, E-hälsomyndigheten.
Utredningens bedömning är därför att en övergripande nationell infrastruktur av flera skäl är av samhälleligt intresse. I dagsläget är det framför allt Inera AB och SKR som i praktiken ansvarar för och äger stora delar av den pankommunala infrastrukturen för hälsodata. Utredningens bedömning är att privata aktörer fyller en viktig funktion och har en central roll i att utveckla och tillhandahålla infrastruktur. Utredningens bedömning är dock att en myndighet bör ha det övergripande ansvaret för att säkerställa att infrastrukturen är säker, ändamålsenlig och effektiv och att medborgarna kan utkräva ansvar för att dessa samhällstjänster fungerar, är icke-diskriminerande och tillgängliga för hela befolkningen.
Konsekvenser för samhällets krisberedskap
Utredningen bedömer att ett genomförande av förslaget om att E-hälsomyndigheten får det sektorsspecifika ansvaret för samordningen av infrastrukturen för hälsodata har en positiv påverkan på samhällets krisberedskap och mer specifikt samhällsviktig verksamhet.126 Det är främst de enskilda byggstenarna som antas ha en positiv effekt på samhällets krisberedskap.
Utredningens uppfattning är att det kan bli komplicerat att samhällets krisberedskap i form av samhällsviktiga tjänster såsom 1177 telefonrådgivning tillhandahålls av Inera AB. Under covid-19-pandemin ökade antalet samtal till 1177, men då hade staten begränsade möjligheter att påverka kapaciteten till följd av statsstödsreglerna. Det är dock oklart om staten bör ta ett ansvar för just 1177 telefonrådgivningen det är endast ett exempel på ett problem som kan uppstå när en samhällsviktig tjänst tillhandahålls av en aktör som staten inte kan styra på samma sätt som om det hade varit en statlig myndighet. En annan tjänst som utredningen bedömer är samhällsviktig är Sjunet som är framtaget för att underlätta informationsutbytet inom regioner kommuner och privata vårdgivare. Sjunet är
126 MSB definierar samhällsviktig verksamhet som: Med samhällsviktig verksamhet avses verksamhet, tjänst eller infrastruktur som upprätthåller eller säkerställer samhällsfunktioner som är nödvändiga för samhällets grundläggande behov, värden eller säkerhet. I detta sammanhang ska verksamhet förstås som ett vidare begrepp. Verksamhet, tjänst eller infrastruktur inkluderar exempelvis även anläggningar, processer, system och noder. https://www.msb.se/sv/amnesomraden/ krisberedskap--civilt-forsvar/samhallsviktig-verksamhet/vad-ar-samhallsviktig-verksamhet/ (Hämtat 2022-12-06).
enligt Inera AB ofta ett krav för att sprida verksamhetskritisk information mellan dessa aktörer.127
Utredningen bedömer att allt annat lika hade det fått positiva effekter för samhällets krisberedskap om denna typ av samhällsviktig infrastruktur låg på en statlig myndighet.
Därmed bedömer utredningen att kommunsektorns möjligheter att hantera exempelvis en krissituation inte bör påverkas negativt av att infrastrukturen flyttas till en statlig myndighet. Utredningens bedömning är att det snarare bör vara lättare att hantera en eventuell kris om det finns en gemensam och sammanhållen infrastruktur. Det skulle också skapa bättre förutsättningar för staten att få en helhetsbild av Sveriges beredskap, kapacitet och status under pågående kris. Utredningens bedömning är att digital infrastruktur och tillgång till relevant data redan i dag är en grundförutsättning för krishantering. Utredningen anser också att det är sannolikt att data kommer bli en alltmer integrerad del av krishanteringen framöver och att behoven av en sammanhållen infrastruktur därmed kommer öka över tid. Det bör dock beaktas att det ur ett säkerhetsperspektiv också skulle kunna bli mer sårbart att enbart ha en övergripande nationell infrastruktur som består av ett system. I de fall som ett system övervägs bör adekvata skyddsåtgärder utredas och byggas för att säkerställa att systemet är driftsäkert.
Konsekvenser för utrikespolitiken
Utredningen bedömer att det även av utrikespolitiska skäl är lämpligt att det sektorsspecifika ansvaret för samordningen av infrastrukturen för hälsodata ligger på en myndighet när data framgent i allt större utsträckning ska delas inom EU. Historiskt sett har hälsodata i stor utsträckning varit en nationell angelägenhet och området har varit förhållandevis opolitiskt. I och med den ökade globaliseringen och den tekniska utvecklingen har data kommit att ses som alltmer en strategisk resurs. Denna utveckling har lett till att datafrågorna och datadelning är mycket mer politiska inom EU exempelvis har
127 https://www.inera.se/tjanster/alla-tjanster-a-o/sjunet/ (Hämtat 2022-12-06).
Europeiska kommissionen tagit fram en datastrategi och försöker nu ställa om den inre marknaden till en datadriven ekonomi.128
En positiv konsekvens av att staten skulle ta ett större ansvar för infrastrukturen för hälsodata är att staten skulle kunna agera mer sammanhållet i sin utrikespolitik gentemot exempelvis EU. Sverige har en lång historia av att regeringen fattar beslut kollektivt och den svenska ståndpunkten inför EU-förhandlingar förankras i riksdagen innan dess att förhandlingarna inleds.129
Att staten får ett större ansvar för infrastrukturen för hälsodata skulle öka kompetensen för dessa frågor på statlig nivå, vilket skulle skapa bättre förutsättningar för Sverige att påverka EU-politiken på hälsodataområdet. Därutöver skulle ett tätare samarbete direkt mellan de statliga myndigheterna och regionerna skapa bättre förutsättningar för regionerna att påverka EU-politiken och förmedla sina behov inför förhandlingarna. Systemet Sverige har i dag riskerar i stället att skapa en splittrad svensk ståndpunkt gentemot EU, vilket utredningen bedömer leder till försämrade förutsättningar för Sverige att påverka EU:s hälsodatapolitik.
Ytterligare en aspekt som utredningen bedömer är viktig att lyfta är om Sveriges så kallade HDAB av någon anledning felaktigt skulle röja, lämna ut eller tappa kontrollen över uppgifter om andra medlemsstaters invånare, såsom av försummelse eller till följd av exempelvis ett intrång. Om det skulle hända kommer Sverige behöva stå till svars gentemot invånarna och länderna vars invånare fått sina uppgifter röjda. Ett sådant ansvarsutkrävande blir i praktiken svårt om staten inte har kontroll och ansvar för infrastrukturen.
Slutligen skulle ett statligt ansvar för samordningen av infrastrukturen för hälsodata underlätta för Sverige att samverka med andra EU-länder inom ramen för exempelvis olika utlysningar som görs inom ramen för EU:s hälsodataområde, såsom de som nu utlysts inom ramen för DIGITAL-fonden.130
128 Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, ”Att skapa en europeisk dataekonomi”, COM(2017) 9 final av den 10 januari 2017. 129 https://www.riksdagen.se/sv/utskotten-eu-namnden/eu-namnden/ (Hämtat 2022-12-06). 130 https://digital-strategy.ec.europa.eu/en/activities/digital-programme (Hämtat 2022-12-06).
1.7.5 Övriga konsekvenser
Konsekvenser för små- och medelstora företag
Utredningen bedömer att de flesta små- och medelstora företag kan påverkas både positivt och negativt om utredningens förslag genomförs. Detta då inköp av eventuell infrastruktur kommer att behöva upphandlas enligt lagen (2016:1145) om offentlig upphandling (LOU).
Utredningen bedömer att de små- och medelstora företag kommer påverkas av förändringen på så sätt att inköp av eventuella varor och tjänster kommer att behöva upphandlas enligt LOU. Upphandlingslagstiftningen reglerar och skyddar nyttjandet av offentliga medel samtidigt som den ser till att de konkurrensmöjligheter som finns utnyttjas och att affärsmöjligheter med det offentliga offentliggörs. En sådan tvingande mekanism saknas om inte LOU behöver tillämpas. Att affärsmöjligheter i större utsträckning offentliggörs bedömer utredningen som positivt för små- och medelstora företag.
Upphandling genom LOU är dock i regel relativt långsamt och mer formaliserat i jämförelse med inköp i helt privata relationer. Ett upphandlingsförfarande kan bidra till att det blir en ökad administrativ kostnad i samband med inköpsprocessen. Förfarande skulle även kunna uppfattas som komplicerat och därmed försvåra möjligheter för små företag att erbjuda sina tjänster.
Konsekvenser för stora företag
Om förslaget genomförs kommer det sannolikt ha stor negativ påverkan på bolaget Inera AB. Under 2021 omsatte Inera AB 965 miljoner kronor.131 Utredningen har inte utrett hur stor del av Inera AB:s omsättning som är hänförlig till de byggstenar som utredningen föreslår att staten bör skapa eller ta över. Beroende på hur regeringen väljer att gå vidare kommer det få olika konsekvenser för Inera AB.
Att peka ut E-hälsomyndigheten som ansvarig för samordningen av infrastrukturen för hälsodata kommer sannolikt ha en negativ inverkan på Inera AB:s konkurrenskraft och därmed också Inera AB:s intäkter. Eftersom Inera AB tillhandahåller samhällskritisk infrastruktur kommer det vara viktigt att säkerställa att hälso- och sjukvårdens system fort-
131 Inera årsrapport 2021, 2021, Inera AB.
sätter att fungera till dess att E-hälsomyndigheten kan säkerställa driften av dessa samhällskritiska tjänster.
I övrigt bedömer utredningen att vissa andra stora företag kan komma att påverkas, framför allt inom vårddokumentationssektorn. Flera av dessa bolag har i dag avtal med regionerna och Inera AB. Beroende på hur staten väljer att konstruera de byggstenar som i dag drivs av Inera AB så skulle en förändring på kort sikt kunna innebära negativa konsekvenser för dessa bolag. En sådan negativ effekt skulle kunna bli att Inera AB inte längre kan fullgöra sina åtaganden inom ramen för befintliga avtal för att de exempelvis inte längre ansvarar för att leverera vissa tjänster, vilket kan påverka såväl avtal till leverantörer som till kunder, beroende på hur dessa är utformade.
En annan negativ effekt är att det åtminstone till en början kan leda till en otydlig ansvarsfördelning för infrastrukturen för hälsodata, vilket under en period skulle kunna innebära en ökad finansiell risk att sluta avtal inom detta område. I väntan på att ansvarsfördelningen tydliggörs skulle företagens benägenhet att investera sannolikt minska till följd av den ökade finansiella risken som osäkerheten för med sig. Detta skulle i sin tur kunna leda till lägre intäkter för stora företag inom vårddokumentationssektorn. Utredningens bedömning är att denna risk skulle kunna minimeras genom att regeringen, E-hälsomyndigheten, kommunsektorn, SKR och Inera AB genom hela genomförandeprocessen är tydliga och transparenta och att en eventuell övergång sker på ett kontrollerat sätt. På sikt skulle det dock sannolikt innebära en tydligare förutsägbarhet på marknaden eftersom ansvarsfördelningen för infrastrukturen blir tydligare.
Utredningen bedömer att stora företag, i likhet med små och medelstora företag, kommer påverkas av att inköp kommer ske enligt LOU (se föregående avsnitt).
Konsekvenser för myndigheter
Utredningens bedömning är att andra myndigheter inte kommer påverkas i någon större utsträckning om förslaget om en instruktionsändring genomförs. Enligt utredningens uppfattning är det i stället de byggstenar som regeringen väljer att ta fram som kommer att ha konsekvenser för andra myndigheter.
Indirekt kommer det innebära att E-hälsomyndigheten får ett större mandat att vara styrande i olika frågor i samverkan med andra myndigheter. Det finns en risk att det skapar en otydlighet i myndighetsstyrningen gällande roller och ansvar till en början. Det är därför viktigt att arbetet genomförs i dialog med berörda myndigheter och att framtagande av nya byggstenar sker i bred samverkan mellan departementen, men också med berörda myndigheter.
När ändringar görs i en samverkansstruktur brukar det leda till en ökad ineffektivitet i början av omstruktureringen, vilket är en naturlig följd av alla ändringar i interrelationella förhållanden mellan människor. På längre sikt antar utredningen att det inte finns skäl att anta att samverkan skulle bli mer ineffektiv bara för att en myndighet pekas ut som ansvarig för samordningen. Tvärtom leder otydligheterna kring vem som ansvarar för dessa frågor i dag ofta till en ineffektivitet då det är svårt att veta vem som ska samverka med vem och vem som har mandat att leda ett arbete med att genomföra regeringens politik.
Utredningens bedömning är att kostnaden för andra berörda myndigheter är liten och framför allt består av att myndigheten kan behöva prioritera om arbetsuppgifter för enskilda medarbetare som i dag har ansvarat för samverkan kring frågor om hälsodata. Utredningen bedömer att de kostnaderna är av sådan karaktär att den kan antas ingå i myndigheternas reguljära verksamhet då nya typer av samverkan inleds regelbundet och oftast enbart innebär en justering av prioriteringar av hur och med vilka de anställda ska samverka. Sådana justeringar av prioriteringar leder sällan till att verksamheten behöver förstärkas med ytterligare medel. Det är återigen först när nya byggstenar tas fram som det uppstår kostnader för såväl E-hälsomyndigheten som andra myndigheter.
Omställningen till en mer datadriven hälso- och sjukvård kommer också ställa nya krav på kompetensförsörjningen. I längden kommer därför omställningen även ställa krav på universitet och högskolor, som sannolikt kommer att behöva utbilda fler personer med för området relevant kompetens. Dessutom kommer universitet och högskolor i större utsträckning behöva utveckla befintliga utbildningar för att säkerställa att deras studenter efter avslutad utbildning har goda kunskaper om datahantering.
Konsekvenser till följd av nya byggstenar
Framtagandet av nya byggstenar kan komma att få omfattande påverkan på vissa myndigheter, framför allt för Socialstyrelsen. I det fall regeringen bedömer det som lämpligt att flytta över vissa delar av Socialstyrelsens verksamhet för att få till en mer enhetlig styrning inom hälsodataområdet så kommer det innebära stora konsekvenser för Socialstyrelsens verksamhet beroende på hur långtgående förändringar som görs. Dessa behöver dock utredas separat och en närmare redogörelse för dessa konsekvenser ingår inte i denna promemoria. Om E-hälsomyndigheten ges i uppdrag att fördela medel till exempelvis till kommuner och regioner skulle det kunna övervägas att Socialstyrelsen även i fortsättningen sköter statsbidraget, men att E-hälsomyndigheten ansvarar för att ta fram underlag för beslut om utbetalning av medel.
Även Försäkringskassan kan komma att påverkas av byggstenarna, bland annat genom ökat gemensamt beroende mellan Försäkringskassan och E-hälsomyndigheten. Försäkringskassan kan även komma att påverkas om Försäkringskassan skulle ansvara för exempelvis it-drift av vissa av de tjänster som E-hälsomyndigheten kan komma att erbjuda i framtiden.
Vetenskapsrådet är en annan myndighet som kan komma att påverkas i och med deras koppling till forskningsinfrastrukturen och deras registertjänst RUT. Eftersom flera olika dataområden håller på att tas fram inom EU så är det sannolikt så att hälsodataområdet bara är ett av de områden där Vetenskapsrådet kommer att påverkas. Konsekvenserna för Vetenskapsrådet behöver därför göras inom ramen för en mycket bredare kontext än enbart inom hälsodataområdet.
DIGG kan komma att påverkas genom att allt fler dataområden tas fram och likt konsekvenserna för Vetenskapsrådet så behöver en sådan konsekvensutredning göras i en bredare mer sektorsövergripande kontext.
Vinnova skulle kunna påverkas om E-hälsomyndighetens instruktion ändrades på så sätt att de ska besluta om hur medel för digital infrastruktur ska betalas ut till exempelvis regioner. Utredningen menar i denna del att befintliga strukturer bör användas i så stor utsträckning som möjligt och att E-hälsomyndigheten och Vinnova kan komma att behöva få ett närmare samarbete. Utredningens förslag avser inte att E-hälsomyndigheten ska ersätta Vinnova eller ta över några av Vinnovas befintliga instruktionsenliga uppgifter.
Konsekvenser för brottsligheten
Av RF framgår vilka grundläggande principer som gäller för Sveriges statsskick. Dessa principer är också av betydelse för arbetet mot korruption eftersom de innebär krav på den offentliga verksamheten. I 1 kap. 1 § tredje stycket RF fastläggs legalitetsprincipen, som innebär att den offentliga makten utövas under lagarna. Det är en grundläggande rättsstatlig princip och betyder bland annat att de åtgärder som vidtas måste ha stöd i rättsordningen.
Enligt 1 kap. 9 § RF ska domstolar samt förvaltningsmyndigheter och andra som fullgör offentliga förvaltningsuppgifter i sin verksamhet beakta allas likhet inför lagen samt iaktta saklighet och opartiskhet. Kraven kallas ibland för objektivitetsprincipen och likhetsprincipen.
Kraven på legalitet, saklighet och opartiskhet med mera är en central utgångspunkt även i förvaltningslagen (2017:900), FL. I 5 § FL anges grunderna för en god förvaltning. Av paragrafen framgår bland annat att en förvaltningsmyndighet endast får vidta åtgärder som har stöd i rättsordningen. Det framgår också att den i sin verksamhet ska vara saklig och opartisk.
Även andra regler som ska motverka olika former av korruption kan ses som en förlängning av RF:s krav på legalitet, saklighet, opartiskhet och likabehandling. Det gäller exempelvis reglerna om jäv, som ska minska risken för att offentligt anställda hamnar i situationer som kan skada allmänhetens förtroende för förvaltningen och den enskilde tjänstemannen. Bestämmelser om jäv finns såväl i FL som i kommunallagen (2017:725).
Utredningen bedömer att risken för korruptionsbrott eller andra brott åtminstone inte bör öka om E-hälsomyndigheten skulle bli ansvarig för samordningen av den nationella infrastrukturen för hälsodata.
Konsekvenser för cybersäkerhet och informationssäkerhet
Utredningens bedömning är att det i dag saknas dels gemensamma standarder för exempelvis informationssäkerhetsklassningar inom hälso- och sjukvården, dels en aktör som har överblick över den infrastruktur och de data som finns.
Att peka ut en myndighet att ansvara för samordningen av infrastrukturen för hälsodata bedömer utredningen skulle öka förutsättningarna för staten att bedriva ett mer systematiskt arbete med cyber-
och informationssäkerhet. Det skulle också skapa bättre möjligheter för staten att stötta kommunsektorn i deras arbete med cyber- och informationssäkerhet.
En av konsekvenserna med dagens system där det saknas en tydlig utpekad aktör och en tydlig nationell styrning är att samverkan mellan aktörerna blir svår, vilket skapar en otydlighet avseende ansvar och roller. Det leder också till att aktörerna i vissa fall agerar med ett informationsunderskott. En konsekvens av detta har kunnat ses bland annat i arbetet med Nationella läkemedelslistan där Nätverket Sveriges chefläkare i april 2022 gick ut med en riskanalys av Nationella läkemedelslistan där de konstaterade att det saknades en adekvat riskanalys ut ett patientsäkerhetsperspektiv inför införande av NLL.132
Konsekvenser för sysselsättning och offentlig service i olika delar av landet
Utredningen bedömer att ett genomförande av förslaget i sig inte kommer påverka sysselsättningen på kort sikt, utan att det återigen är varje enskild byggsten som kommer påverka sysselsättningen.
På lång sikt bedömer utredningen att ett genomförande av förslaget kommer medföra en förflyttning av arbetskraftstillfällen från SKR och Inera AB till E-hälsomyndigheten. Det skulle kunna ha en marginell påverkan på den lokala sysselsättningen beroende på vilka byggstenar regeringen och sjukvårdshuvudmännen väljer att implementera och hur de väljer att göra det. För arbetsmarknaden i stort kommer förslaget om att E-hälsomyndigheten får ett uttalat ansvar för samordningen av infrastrukturen för hälsodata ha en minimal påverkan. Vissa byggstenar skulle i framtiden kunna ha större påverkan, vilket behöver analyseras inom ramen för varje byggsten.
På lång sikt kan också understrykas att behovet av personal kommer att öka inom den datadrivna delen av förvaltningen och hälso- och sjukvården. Själva syftet med den datadrivna verksamheten är dock att öka effektiviteten, men också automatiseringen och därmed minska vårdpersonalens administrativa arbete. Det kommer alltså dels innebära en kompetensväxling, dels att tid frigörs för vårdpersonal. Detta är en förutsättning för att vården ska kunna klara av sitt uppdrag även i framtiden, givet den demografiska utvecklingen.
132 Riskanalys av Nationella läkemedelslistan (NLL), 2022, Nätverket Sveriges chefläkare.
Konsekvenser för tillgängligheten till hälso- och sjukvård
Regeringen har identifierat att dagens system gör det svårt att följa upp och förbättra tillgängligheten till hälso- och sjukvård. Regeringen har till följd av detta bland annat lämnat ett flertal regeringsuppdrag till Socialstyrelsen och E-hälsomyndigheten för att stärka uppföljningen på tillgänglighetsområdet.133 134 135 136 137 Utredningen delar regeringens bedömning om att det finns ett stort behov av att vissa grunddata tas fram för att underlätta uppföljningen av tillgängligheten till hälso- och sjukvården. Om utredningens förslag genomförs underlättar det arbetet med att ta fram relevanta data. Samordningen på hälsodataområdet skulle öka och det skulle bli lättare att identifiera vilka data som finns, vilka som saknas och vilka som behöver samlas in. Dessutom skulle det bli lättare för berörda parter att föra en dialog för att komma överens om hur dessa data ska samlas in på bästa sätt.
Konsekvenser för transparensen
Utredningens bedömning är att transparensen för hur infrastrukturen ser ut, hur den finansieras samt vem som har ansvar och mandat över vilka frågor skulle öka om förslaget genomfördes. Sammantaget bedömer utredningen att transparensen skulle öka och därmed skapa bättre förutsättningar för medborgare, regering och riksdag att utkräva ansvar inom detta område.
Konsekvenser för administrationen
Utredningens bedömning är att ett genomförande av förslaget är en förutsättning för att Sverige ska kunna göra omställningen till en mer datadriven hälso- och sjukvård och därigenom få till en ökad automatisering av olika administrativa uppgifter. Utredningens bedömning är att ett genomförande av förslaget, i kombination med det
133 Uppdrag att utveckla förutsättningar för insamling av väntetidsdata, 2021, Regeringskansliet. 134 Uppdrag att genomföra en förstudie om hur ett nationellt vårdsöksystem kan utvecklas, organiseras och förvaltas, 2022, Regeringskansliet. 135 Uppdrag att kartlägga, analysera och ge förslag på hur en nationell listningstjänst ska kunna inrättas i statlig regi, 2022, Regeringskansliet. 136 Uppdrag att kartlägga datamängder av nationellt intresse på hälsodataområdet, 2021, Regeringskansliet. 137 Uppdrag till Socialstyrelsen att ta fram nyckeltalsberäkningar och dimensionerande målbilder för hälso- och sjukvården, 2022, Regeringskansliet.
uppdrag som Utredningen om hälsodata som nationellt intresse – en lagstiftning för interoperabilitet (S 2022:10) och Utredningen om interoperabilitet vid datadelning (I 2022:03) utför, utgör en bra grund för att Sverige ska kunna skynda på arbetet och minska administrationen i vården.
Konsekvenser för den ekonomiska effektiviteten
Utredningens bedömning är att även om offentlig sektor allt annat lika brukar vara mer ineffektiv än privat sektor så bedömer utredningen att dagens system inte tillvaratar effektiviteten av marknadsekonomin, eftersom Inera AB tillhandahåller tjänster utan konkurrens på vissa områden, såsom 1177 Vårdguiden, de nationella tjänstekontrakten och den nationella patientöversikten. Dagens lösning använder sig inte heller av styrkan som statens stordriftsfördelar för med sig. Den hanterar inte heller det marknadsmisslyckande138 som utredningen anser finns inom infrastrukturen för hälsodata, vilket här innebär att marknaden inte lyckats leverera en sammanhållen informationsförsörjning för hälso- och sjukvården, vilket i sin tur innebär att bästa möjliga hälsoutfall för invånarna givet den data som samlats in inte kunnat uppnås. Därmed lyckas den nuvarande modellen inte tillvarata allmännytta i samma utsträckning som en myndighet skulle kunna göra. Ett exempel på en sådan negativ effekt är att Inera AB tog beslut om att avveckla vaccinationsregistret Svevac under covid-19-pandemin.139 Utredningens bedömning är att detta visar på att det finns marknadsmisslyckande inom området och att vissa tjänster är av samhällsintresse och därmed bör tillhandahållas av staten.
Utredningens bedömning är att allt annat lika bör ett genomförande av förslaget leda till att effektiviteten ökar till följd av ökade stordriftsfördelar, som sannolikt kommer att öka på sikt när infrastrukturen på hälsodataområdet i större omfattning kan integreras med infrastrukturen inom andra områden, som inom forskningsområdet. Då skulle exempelvis lagrings- och beräkningskapacitet kunna användas gemensamt mellan sektorerna. På kort sikt kommer
138 Marknadsmisslyckande syftar på den ineffektiva allokeringen av resurser som uppstår när individer som agerar i rationellt egenintresse producerar ett mindre än optimalt resultat. Market Failure: What It Is in Economics, Common Types, and Causes ( investopedia.com) (H ämtat 2022-12-13). 139 https://www.inera.se/tjanster/alla-tjanster-a-o/svevac/ (Hämtat 2022-11-24).
stordriftsfördelarna snarare komma från att resurserna kan användas gemensamt mellan myndigheterna under Socialdepartementet, inte minst mellan E-hälsomyndigheten och Försäkringskassan.
Att förlägga ansvar på en myndighet i stället för på Inera AB kommer sannolikt leda till en viss ökad ineffektivitet då aktiebolag i vissa situationer kan vara mer effektiva. Myndigheter brukar generellt sett inte heller präglas av en innovativ miljö, vilket också skulle kunna minska den ekonomiska effektiviteten. Att ersätta en monopolliknande struktur med en myndighet som upphandlar tjänster enligt lagen (2016:1145) om offentlig upphandling skulle dock kunna öka konkurrensen mellan företag och därmed leda till ökad ekonomisk effektivitet. Slutligen kan nämnas att de medel som i dag går till Inera AB via SKR saknar en tydlig uppföljning och att det är svårt för regeringen att förstå hur statens medel har använts, vilket bland annat lyfts av riksrevisionen.140 Att förlägga ansvaret på en myndighet skapar bättre förutsättningar för att löpande utvärdera den ekonomiska effektiviteten, vilket utredningen bedömer allt annat lika bör öka den ekonomiska effektiviteten.
Utredningens bedömning är sammanfattningsvis att vinsten av stordriftsfördelarna, men framför allt vinsten som kommer av den ökade allmännyttan gör att den ekonomiska effektiviteten för staten kommer att öka.
1.8 Finansiering av förslagen
Om utredningens förslag påverkar kostnaderna eller intäkterna för staten, kommuner, regioner, företag eller andra enskilda ska en beräkning av dessa konsekvenser redovisas. I första hand bör utredningen föreslå medel för att finansiera förslaget om ändring av E-hälsomyndighetens uppdrag ifrån Socialdepartementets budget.
Utredningens bedömning är att medel skulle kunna tas från exempelvis överenskommelserna mellan staten och SKR. Exempelvis skulle medel kunna tas från Utgiftsområde 9 Hälsovård, sjukvård och social omsorg, anslaget 1:6 Bidrag till folkhälsa och sjukvård, anslagspost 5 Kvalitetsregister.141 Bedömningen bygger på att medel i dag avsätts
140 Staten och SKL – en slutrapport om statens styrning på vårdområdet (RiR 2017:3), 2017, Riksrevisionen. 141 Regleringsbrev för budgetåret 2022 avseende anslag 1:6 Bidrag till folkhälsa och sjukvård S2021/08111 (delvis), 2021, Regeringskansliet.
till SKR för bland annat ”övergripande nationella aktiviteter”,142 vilket utredningen bedömer att E-hälsomyndighetens uppdrag faller in under. Alternativt kan medel tas från de cirka 100 miljoner kronor som brukar avsättas från anslag 1:6 för insatser inom ramen för vision e-hälsa.143
Vad gäller utvecklandet av de olika byggstenarna föreslår utredningen att medel tas från överenskommelserna mellan regeringen och SKR som redan i dag finansierar stora delar av infrastrukturen och samordningen inom hälsodataområdet. Enligt utredningens beräkningar med hjälp av data från Kammarkollegiet betalade staten ut bidrag motsvarande 2 494 miljoner kronor till SKR under 2019, 2 179 miljoner kronor 2020 och 2 175 miljoner kronor 2021.144 Enligt SKR:s årsredovisning erhöll SKR bidrag från staten om 489 miljoner kronor 2019, 429 miljoner kronor 2020 och 562 miljoner kronor 2021. 145,146
1.8.1 Skälen för valet av finansiering
Sverige har haft problem med långa väntetider och köer inom hälsooch sjukvården sedan 1960-talet trots stora ekonomiska satsningar (SOU 2022:22, s. 46).147 Exempelvis omfattar den så kallade kömiljarden148 2022 cirka 3 000 miljoner kronor.149
Riksrevisionen har vid flertalet tillfällen påpekat brister med tillgänglighetssatsningarna. Redan 2005 konstaterade Riksrevisionen att de data som fanns var otillräckliga för att beskriva väntetidernas utveckling. Riksrevisionens slutsats var att de viktigaste målen inom ramen för tillgänglighetssatsningarna inte gick att mäta eller följa
142 God och nära vård 2022: En omställning av hälso- och sjukvården med primärvården som nav. Diarienummer S2022/00607, 2022, Regeringskansliet. 143 God och nära vård 2022: En omställning av hälso- och sjukvården med primärvården som nav. Diarienummer S2022/00607, 2022, Regeringskansliet. 144 Utredningens beräkningar, data från Kammarkollegiet 2022-11-17. 145 Sverige Kommuner och Regioner Verksamhetsrapport 2020, 2020, Sveriges Kommuner och Regioner. 146 Sverige Kommuner och Regioner Verksamhetsrapport 2021, 2021, Sveriges Kommuner och Regioner. 147 Se även rapport 2021:4 Vården ur befolkningens perspektiv 2020, En jämförelse mellan Sverige och tio andra länder, Myndigheten för vård- och omsorgsanalys. 148 Även kallad prestationsbunden vårdgaranti, Överenskommelsen om ökad tillgänglighet i hälso- och sjukvården och även tillgänglighetssatsning(en). Utredningen använder begreppen synonymt. 149 Ökad tillgänglighet i hälso- och sjukvården 2022, Överenskommelse mellan staten och Sveriges. Kommuner och Regioner, 2022, Regeringskansliet.
upp på nationell nivå.150 Detta är något som även flera andra myndigheter har pekat ut som ett problem för flera av de överenskommelser mellan regeringen och SKR som gjorts.151,152,153 Efter Riksrevisionens granskning av 25 reformer som införts från 2000 till 2017 konstaterade myndigheten att det fanns betydande förbättringar att göra. Kömiljarden var den reform som fick lägst betyg av samtliga reformer där de graderades på en skala från 1–4 på tolv delfrågor. Betygsnivån för känslighetsanalysen fick utökas och sänkas från 1 till 0 för tre reformer, bland annat för Prestationsbunden vårdgaranti – s.k. kömiljard, då dessa inte nådde upp till den lägsta betygsnivån.154 Riksrevisionen har även en pågående granskning av statens satsningar på tillgänglighet inom hälso- och sjukvård som kommer publiceras i april 2023.
I en uppföljning från 2013 påpekade även Socialstyrelsen att det fanns en brist på data, vilket gjort det svårt att bedöma effekten av satsningen på ökad tillgänglighet till vård och att satsningen riskerade att skapa incitament som inte var förenliga med behovsprincipen.155 Mellan åren 2009–2022 har regeringen avsatt drygt 24,3 miljarder kronor för att stärka tillgängligheten i vården.156 Av dessa medel har cirka 0,04 procent gått till statliga myndigheter för att stärka arbetet med en bättre dataförsörjning och en infrastruktur för datahantering, trots att i stort sett varje uppföljning som gjorts mellan åren 2009– 2022 pekat på behovet av förbättrad dataförsörjning. Bristen på investeringar och därmed bristen på data har lett till att effekten av satsningar många gånger inte gått att utvärdera. De gånger som det gått att utvärdera har effekten visat sig vara marginell. I vissa fall har tillgängliga data haft sådana kvalitetsbrister att det inte gått att lita på det analyser som kunnat göras.
Delar av medlen från överenskommelserna mellan regeringen och SKR skulle kunna gå till statliga myndigheterna för att tillhandahålla tjänster inom hälsodataområdet. Utredningen bedömer att det skulle skapa bättre förutsättningar för regionerna om de i stället för att få
150 Ökad tillgänglighet i sjukhusvården?, 2005, Riksrevisionen. 151 I väntans tider, en delrapport om satsningen på kvinnors hälsa, 2018, Myndigheten för vårdoch omsorgsanalys. 152 Förlossningsvården och kvinnors hälsa, sammanställning av regionala och statliga insatser 2015–2021, 2022, Myndigheten för vård och omsorgsanalys. 153 Lapptäcke med otillräcklig täckning, slututvärdering av satsningen på nationella kvalitetsregister. 154 På skakig grund – beslutsunderlag inför stora reformer (RiR 2022:15), 2022, Riksrevisionen. 155 Vårdgaranti och kömiljard Uppföljning 2013,2014 Socialstyrelsen. 156 Utredningens egna beräkningar baserat på överenskommelserna mellan regeringen och SKR.
ettåriga medel för att själva ta fram olika lösningar fick en tjänst tillhandahållen av statliga myndigheter. Det skulle också skapa bättre förutsättningar för staten att följa upp hur medlen används, avkräva ansvar från myndigheterna och bidra till en ökad transparens av processen att ta fram dessa tjänster. Vidare skulle det skapa bättre förutsättningar för ett sammanhållet system som skulle bidra till en mer jämlik vård. Det skulle också minska antalet styrsignaler till kommunsektorn och underlätta hanteringen av vissa frågor där finansieringsprincipen i dag tillämpas.
Finansieringsprincipen fördelar medel till de olika regionerna och är därmed ofta ett förhållandevis trubbigt verktyg. Utredningens förslag skulle också underlätta för staten att få ett helhetsperspektiv över den långsiktiga utvecklingen av infrastrukturen på hälsodataområdet. Allt detta går i linje med vad som bland annat pekats ut som problem av Statskontoret och Välfärdskommissionen. Detta då Statskontoret och Välfärdskommissionen bland annat lyft att överenskommelserna mellan regeringen och SKR ofta leder till ökad risk för otydlighet när det gäller formellt ansvar som åligger kommuner och regioner, vilket leder till att det uppstår en otydlighet i styrningen.
157,158
Utredningen anser att det inte verkar vara en brist på medel som är orsaken till underinvesteringarna, utan att det är otydlig eller bristande styrning, uppföljning och otydligt ansvarsförhållande som lett till underinvesteringarna. Som ytterligare stöd för det har det visat sig att en tydlig statlig styrning med tydligare ansvar är en gemensam nämnare för de länder som ligger i framkant inom hälsodataområdet.159 Tydlig nationell styrning är också något som de flesta aktörer efterfrågat.160
Mot bakgrund av ovan bedömer utredningen att medel kan tas från tillgänglighetssatsningen, Utgiftsområde 9, anslag 1:11, prestationsbundna insatser för att korta vårdköerna. Alternativt bör medel tas från medlen som avsätts inom ramen för primärvårdsreformen som avser en nära och tillgänglig vård (2019/20:164), exempelvis Utgiftsområde 9, anslag 1:6 Bidrag till folkhälsa och sjukvård. Utred-
157 Utveckling av den statliga styrningen av kommuner och landsting, 2019:2, 2019, Statskontoret. 158 Välfärdskommissionens slutredovisning till regeringen (Finansdepartementet), 2021, Regeringskansliet. 159 Ökad precision i Europa, Sju europeiska länders satsningar på precisionsmedicin och hälsodata, 2021, Myndigheten för vård och omsorgsanalys. 160 Ökat nyttjande av sammanhållen journalföring. Möjligheter, utmaningar och behovet av digital informationsförsörjning i dag och i framtiden, s. 52, 2021, E-hälsomyndigheten.
ningens bedömning är att det skulle bidra till såväl tillgängligheten som omställningen i och med de effektivitetsvinster som utredningen bedömer att förslaget har. Därtill bedömer utredningen att det arbete som inte kommer bli av till följd av att mindre medel avsätts till tillgänglighetssatsningen och omställningen till en god och nära vård kommer vara marginell. Utredningens antagande bygger på de uppföljningar som gjorts av de olika tillgänglighetssatsningarna. På grund av bristfälliga data har det inte kunnat visas vilka effekter satsningen haft och om den effekten som gått att visa beror på en faktisk förändring. Den visade effekten skulle i stället kunna bero på en så kallad undanträngningseffekt eftersom prestationsbaserad vårdgaranti kan skapa incitament att nedprioritera de patienter som redan passerat gränsen för vårdgarantin. Det finns även en risk att den visade effekten i stället beror på strategisk kodning av data.
161 162
I tredje hand skulle medel kunna tas från Utgiftsområde 9, anslag 1:6, ap.18 God vård och folkhälsa.
Om medel tas från Utgiftsområde 9 Hälsovård, sjukvård och social omsorg, anslag 1:6 Bidrag till folkhälsa och sjukvård, anslagspost 5 Kvalitetsregister kommer det få en större effekt på de nationella kvalitetsregistren. Utredningen bedömer dock givet ovan att det är motiverat eftersom satsningen inte lyckats uppnå sina mål med nuvarande finansieringsmodell. Redan i dag kan man se att staten börjat dra ner på medlen i överenskommelsen mellan regeringen och SKR om nationella kvalitetsregister och samtidigt ökat medelstilldelningen till E-hälsomyndigheten för att bygga upp en övergripande nationell infrastruktur för hälsodata, bland annat genom en digital nationell infrastruktur för nationella kvalitetsregister.163 Utredningen bedömer att det inte är ändamålsenligt att anslagsposten är begränsad till att omfatta enbart nationella kvalitetsregister utan anslagsposten bör breddas till att omfatta all typ av infrastruktur för hälsodata. Därmed bedömer utredningen att även om de nationella kvalitetsregistren på kort sikt kan behöva dra ner på utvecklingstakten för sin verksamhet till följd av minskat anslag, så bedömer utredningen att det är en nödvändighet för att systemet ska kunna bli långsiktigt hållbart.
161 Låt den rätte komma in, Hur har tillgängligheten påverkats av apoteksomregleringen, vårdvalet samt vårdgarantin och Kömiljarden?, 2014:3, 2014, Myndigheten för vård- och omsorgsanalys. 162 Vårdgaranti och kömiljard, Uppföljning 2013, 2014, Socialstyrelsen. 163 Regleringsbrev för budgetåret 2022 avseende anslag 1:6 Bidrag till folkhälsa och sjukvård, 2022 ap.5 Kvalitetsregister, Regeringskansliet.
Slutligen kan nämnas att det av överenskommelsen om nationella kvalitetsregister framgår att statens medel ska användas för att utveckla registren och inte till att bekosta löpande förvaltning. Utredningen bedömer att det inte borde finnas en risk för att olika register behöver läggas ner dels eftersom det enbart rör sig om ett fåtal miljoner kronor av totalt knappt 200 miljoner kronor, dels eftersom medlen redan avsätts för att bygga och upprätthålla infrastruktur. Under 2022 avsattes 15 miljoner kronor till E-hälsomyndigheten och Socialstyrelsen för olika regeringsuppdrag. Socialstyrelsen har slutrapporterat sitt uppdrag och därmed skulle de 8,5 miljoner kronor som Socialstyrelsen disponerade under 2022 kunna gå till E-hälsomyndigheten under 2023 och framåt. Eftersom inga register behövde läggas ner under 2022 till följd av detta så gör utredningen bedömningen att det inte bör finnas en sådan risk framgent heller då kostnaderna för registren inte bör öka i takt med att statliga myndigheter tar på sig en större del av kostnaderna. I de fall som det skulle finnas en risk för att neddragningen av medel skulle riskera att enskilda register kan tvingas att läggas ner så föreslår utredningen att medel i första hand tas från de 28,3 miljoner kronor som går till SKR:s stödfunktion för nationella kvalitetsregister. Eftersom ett större ansvar flyttas från SKR till E-hälsomyndigheten så är det rimligt att medel fördelas om från SKR till E-hälsomyndigheten. Detta för att täcka kostnaderna för E-hälsomyndighetens utökade ansvar. Det har även varit känt för aktörerna som berörs av den förändrade medelstilldelningen att denna förflyttning håller på att ske och aktörerna har därmed fått information om att medelstilldelningen kommer vara lägre framöver.164 Utredningens bedömning är att det är upp till regionerna att prioritera vilka register som ska utvecklas och vilka register som ska finnas. Därmed bör det också vara upp till regionerna att besluta om hur medlen ska fördelas och därmed i förlängningen också ta ansvar för att säkerställa förvaltningen för de register som de anser sig behöva för att säkerställa att de kan bedriva sin verksamhet.
164 Sammanhållen, jämlik och säker vård 2022, Överenskommelse mellan staten och Sveriges Kommuner och Regioner, s. 17.
1.9 Exempel på byggstenar, tjänster och insatser
En digital infrastruktur kräver vissa data för att kunna fungera effektivt. I detta avsnitt kommer utredningen kort beskriva vilka tjänster och vilka datamängder som utredningen bedömer bör ligga på nationell nivå. Dessa kan sedan tas fram som byggstenar. Detta är inte en uttömmande lista och exempelvis skulle E-hälsomyndigheten kunna ges i uppdrag att inventera och föreslå digital infrastruktur av nationellt intresse på hälsodataområdet, på ett liknande sätt som Socialstyrelsen beskrev datamängder av nationellt intresse på samma område.
1.9.1 E-hälsomyndigheten som datahubb
Utredningens bedömning är att E-hälsomyndigheten bör bli en så kallad datahubb. Med datahubb avses en funktion med förmåga att facilitera datadelning, bland annat genom att tillhandahålla invånartjänster och en säker behandlingsmiljö (se artikel 7.4 a i EU:s dataförvaltningsförordning), men även att ansvara för att samordna det svenska hälsodataområdet. Utredningen kommer återkomma med fler detaljer i sitt slutbetänkande.
1.9.2 Förutsättningar för individen och juridiska personer att utöva kontroll och insyn över sina data
EU och flera medlemsländer försöker hitta nya möjligheter att ge invånarna inflytande över sina personliga data. Offentlig förvaltning har redan i dag mycket information om invånarna. Både invånarna och företag ställer allt högre krav på digitala kommunikationsvägar för att låta individen i större utsträckning bestämma hur data från en aktör kan återanvändas på fler områden.165
Det är i dag svårt för invånare att få en överblick över vilka samtycken de har lämnat och för vad, eller hur och var de vänder sig för
165 https://www.digg.se/om-oss/nyheter/nyheter/2021-06-02-vardefullt-for-individen-att-faokad-insyn-och-kontroll-over-sin-data (Hämtat 2022-11-02).
att opt:a in eller ut166,167 för olika behandlingar av deras hälsodata. Det är i dag praktiskt svårt för huvudmännen för hälso- och sjukvården och för individen att veta exakt vad, till vem, när och hur data delats. Att ta fram dessa uppgifter är också ofta administrativt tungt. Med de krav som föreslås i artikel 4.1 i EU:s förslag till dataförordning om användarens rätt att få åtkomst till och använda data, kommer denna process behöva bli enhetlig i hela landet och i mycket högre grad struktureras upp och automatiseras.
Utredningen menar inte att all data eller infrastruktur inom hälsodataområdet bör centraliseras till en myndighet, men att vissa grundläggande data bör samordnas på ett och samma ställe. Ett sådant exempel är data över om en invånare vill delta i kliniska studier eller inte, eller vilka kvalitetsregister som en person är registrerad i. För andra datamängder finns det behov av ökad samordning för att möjliggöra federering, exempelvis för att åstadkomma statistiska analyser från olika datakällor, utan att känsliga personuppgifter skickas mellan databaser och länder. Flera olika lösningar kommer behöva användas för att ställa om Sverige till en mer datadriven ekonomi och därigenom också en mer datadriven hälso- och sjukvård.
Enligt utredningen bör utbudet och utformandet av vissa tjänster regleras, bland annat vilken myndighet som ska ansvara för olika data och infrastruktur. En datahubb skulle underlätta för såväl medborgare som juridiska personer att få en insyn i vilka data som finns, vilka data som delas, vilka som skulle kunna delas med mera.
Exempelvis bör invånare kunna se vilka nationella kvalitetsregister de ingår i och vilka data som registren har om dem och att de ges möjligheten till opt-out ifrån de register där de inte längre vill ingå.
Invånarna bör också ha möjlighet att opt:a in för ändamål där det är möjligt. Några sådana ändamål finns inte i dag, men skulle kunna vara exempelvis innovationsverksamhet eller att kunna bli kontaktad av vårdgivaren med förfrågan om att för att ingå i en klinisk studie. (se ytterligare information under avsnitt 1.9.3 Antalsberäkningar). Syftet med opt-out är att kunna tillgängliggöra möjligheten för en majo-
166 (opt-in) – även: samtyckeskrav, positiv avtalsbindning – principen att en person måste ha svarat ja för att anses ha gått med på något; att man måste lämna sitt uttryckliga samtycke för att bli bunden av ett avtal. – Jämför med nej ‑krav (opt‑out) . https://it-ord.idg.se/ord/ja-krav / (Hämtat 2023-01-10). 167 (opt-out) negativ avtalsbindning, avböjandekrav – principen att man måste svara nej för att inte bli bunden av ett avtal som någon annan föreslår. – Med andra ord att en person måste svara nej för att inte anses ha gått med på något. Det räcker inte att ignorera förslaget. https://it-ord.idg.se/ord/nej-krav / (Hämtat 2023-01-10).
ritet av patientgrupper. Erfarenhet visa att det finns en mycket liten andel patientgrupper som väljer opt-out i ovan nämnda exempel.
Konsekvensen av opt-in visar tydligt exempelvis donationsregistret. I dag finns 1,8 miljoner registrerade individer i Sverige i donationsregistret168, vilket utgör 17 procent av den svenska befolkningen,169 trots att 80 procent av svenskarna är positiva till att donera sina organ.170
En datahubb skulle också underlätta genomförandet av EU:s dataförvaltningsförordning och förslag till EHDS, bland annat kopplat till dataaltruism (se kapitel IV i EU:s dataförvaltningsförordning) och metadatakataloger (se artikel 55 i förslaget till EHDS).
1.9.3 Antalsberäkningar
Antalsberäkning innebär att på förfrågan inför planerad klinisk forskning beräkna hur många personer som uppfyller vissa i förväg uppställda kriterier och därmed kan komma att ingå i forskningen.
Kommittén för teknologisk innovation och etik (KOMET) lämnade i sitt delbetänkande SOU 2020:53 ett förslag för personuppgiftsbehandling vid antalsberäkning inför klinisk forskning. I proposition 2022/23:31 föreslås ändringar i patientdatalagen (2008:355), som innebär ett tydligt rättsligt stöd för den personuppgiftsbehandling som är nödvändig vid s.k. antalsberäkning inför klinisk forskning.
Det betyder att vårdgivare med stöd i PDL kan behandla personuppgifter för ändamålet att eftersöka vilka patienter som uppfyller de så kallade inklusionskriterierna i en klinisk studie. Om flera vårdgivare ska delta i forskningen innebär det att samtliga vårdgivare/kliniker behöver kontaktas för att genomföra denna antalsberäkning i respektive journal. Den föreslagna ändringen i PDL hanterar dock inte vårdgivarens rättigheter och möjligheter att kontakta de identifierade patienter som kan vara aktuella för att ingå i en klinisk studie. Det betyder att den föreslagna lagändringen kommer att möjliggöra en antalsberäkning under förutsättning att vårdgivare har avsatta resurser för att genomföra en antalsberäkning, men därefter kan patienterna inte bli informerade eller tillfrågade om de är intresserade av att delta.
168 https://www.socialstyrelsen.se/ansok-och-anmal/anmal/donationsregistret/ (Hämtat 2023-01-20). 169 SCB befolkningsprognos den 13 april 2022. 170 Enligt Socialstyrelsen är cirka 80 procent positiva till att donera sina organ. (Hämtad 2023-02-06).
En byggsten som hade kunnat läggas till datahubben är att vårdgivare skulle kunna göra en antalsberäkning via datahubben och att medborgare i sin tur skulle kunna opt:a ut och välja för vilka diagnoser eller annan patientkarakteristika de skulle vilja bli kontaktade för att kunna ingå i en klinisk studie. Det bör vara förbehållet en vårdgivare att behandla personuppgifter för detta ändamål i enlighet med PDL. Det skulle underlätta och effektivisera processen för att planera och genomföra kliniska studier i Sverige för samtliga aktörer inom life science sektorn (företag, akademi och vårdgivare). De skulle också underlätta för de patienter som vill kunna bli informerade om planerade och pågående kliniska studier som kan vara aktuella att medverka i. När en sponsor171 planerar en klinisk läkemedelsprövning behövs information om hur många individer som uppfyller inklusionskriterierna i studieprotokollet. Om det visar sig att det finns tillräckligt många patienter som uppfyller inklusionskriterierna och sponsorn väljer att gå vidare med sin studie så behöver dessa patienter kontaktas för att tillfrågas om de vill ingå i den kliniska studien.
I Sverige är det endast huvudmännen för hälso- och sjukvården som har tillgång till denna nödvändiga information i patientjournalen. Det betyder att en sponsor behöver komma i kontakt med alla vårdgivare i Sverige som behandlar den kategorin av patienter som eftersöks för att be vårdgivaren att göra en antalsberäkning i journalen. Sverige har flera olika typer av journalsystem och huvudmännen behöver därför kontaktas tills rätt antal potentiella forskningspersoner är identifierade. Det betyder även att vårdgivaren behöver avsätta resurser (personal) för att göra antalsberäkningen åt till exempel ett företag.
Utredningen har varit i kontakt med utredningen kliniska prövningar och en starkare life science-sektor (N 2022:A).
Sammanfattningsvis tolkar utredningen att utredningen kliniska prövningar bedömer att det utifrån förslagen i denna promemoria hade varit önskvärt med en byggsten för antalsberäkningar. Byggstenarna bör enligt utredningen om kliniska prövningar utformas med en opt-out lösning, på samma sätt som lagstiftning om kvalitetsregister. Utredningen konstaterar, liksom utredningen kliniska prövningar, att det saknas kompletterande lagstiftning i PDL som ger vårdgivaren rätt att kontakta potentiella forskningspersoner efter
171 Sponsor är en person, företag, institution eller organisation som ansvarar för att inleda, leda och ordna med finansiering av en klinisk prövning. Det betyder att sponsor kan vara ett företag, ett universitet eller en vårdgivare till exempel. Vanligast i Sverige är att sponsor är ett företag.
genomförd antalsberäkning. Behovet av sådan kompletterande lagstiftning är något som behöver ses över innan en eventuell byggsten om antalsberäkningar etableras.
1.9.4 Verksamhetsstatistik
Enligt Socialstyrelsens instruktion ska myndigheten ansvara för att bistå regeringen med underlag för utvecklingen inom sitt verksamhetsområde, vilket bland annat rör hälso- och sjukvården (1 § förordningen [2015:284] med instruktion för Socialstyrelsen). Mycket av den statistik som behövs för detta arbete samlas i dag inte in av Socialstyrelsen. Viss statistik samlas i dag i stället in av SKR. Det finns flertalet nackdelar med det, bland annat att SKR inte är en myndighet och därmed inte har någon skyldighet att lämna ut data till staten. Det är ifrågasatt om SKR har någon rättslig grund för att behandla hälsodata på individnivå,172 vilket gör att de data som SKR samlar in sällan är av tillräckligt god kvalité för att kunna användas för statens beslutsfattande (SOU 2021:59, s. 374). Detta är något som bland annat Myndigheten för vård- och omsorgsanalys173 och delegationen för ökad tillgänglighet i hälso- och sjukvården lyft (SOU 2021:59, s. 374). Att en statlig myndighet har ansvar för att samla in verksamhetsstatistik skulle underlätta statens arbete exempelvis i tider av kris, vilket bland annat erfarenheterna från covid-19pandemin visat på. Det kan därför övervägas om verksamhetsstatistik är en byggsten som behöver utredas.
1.9.5 Väntetidsdata
Korrekta väntetidsdata är en av förutsättningarna för att kunna mäta tillgängligheten i vården. I dag saknas en nationell bild av hur väntetiderna ser ut, då det saknas adekvata data. De väntetidsdata som samlas in till SKR har en rad brister, vilket bland annat Myndigheten för vård- och omsorgsanalys174 och delegationen för ökad tillgänglighet i hälso- och sjukvården lyft (SOU 2021:59, s. 374). Därutöver
172 Tillsyn enligt dataskyddsförordningen, DI-2021-9333, 2022, Integritetskyddsmyndigheten. 173 Privata sjukvårdsförsäkringar, Ett kunskapsunderlag om möjliga konsekvenser för patienter och medborgare, 2020, Myndigheten för vård- och omsorgsanalys. 174 Privata sjukvårdsförsäkringar, Ett kunskapsunderlag om möjliga konsekvenser för patienter och medborgare, 2020, Myndigheten för vård- och omsorgsanalys.
har Integritetsskyddsmyndigheten (IMY) inlett en tillsyn mot SKR och deras behandling av väntetidsdata.175 Socialstyrelsen har fått i uppdrag att utveckla förutsättningarna för insamling av väntetidsdata.176 Denna byggsten skulle underlätta bland annat arbetet med att stärka tillgängligheten till vård.
1.9.6 Vård- och omsorgsgivarregister
I dag saknas ett välfungerande nationellt digitalt vård- och omsorgsgivarregister och behovet av denna typ av grunddata är stort. Bland annat krävs det för att kunna bygga upp en fungerande digital infrastruktur, vilket bland annat E-hälsomyndigheten lyft inom ramen för sitt arbete med en gemensam informationsmodell för verksamhet och organisation (GIMVO).177 Även Socialstyrelsen har lyft behovet av dessa grunddata.178 Ett vård- och omsorgsgivareregister är en grundförutsättning för de flesta byggstenarna på detta område.
1.9.7 Ökad aktualitet och förbättrad dataförsörjning
Socialstyrelsen lyfte i sin slutrapport om datamängder av nationellt intresse på hälsodataområdet en rad olika datamängder som utredningen bedömer bör tas fram.179 Exempelvis bör staten se till att de data som krävs för att omhänderta olika kriser samt tillhörande infrastruktur finns på plats innan en kris inträffar. Staten bör också se till att det finns en plan för att hantera oväntade databehov i tider av kris, inte minst gällande aktualiteten i inrapporterade data. Dessa behov är något som regeringen också lyft flertalet gånger (prop. 2021/22:1 Utgiftsområde 9, s. 34 och42 samt prop. 2020/21:1 Utgiftsområde 9, s. 41).
175 https://www.imy.se/nyheter/imy-granskar-skrs-vantetidsdatabas/ (Hämtat 2023-01-05). 176 Regeringsbeslut 2021-09-09 Uppdrag att utveckla förutsättningar för insamling av väntetidsdata, dnr: S2021/06332 (delvis), 2020, Regeringskansliet. 177 Förstudierapport GIMVO, Gemensam informationsmodell för verksamhet och organisation, Version 1.0, 2019, E-hälsomyndigheten. 178 Kartläggning av datamängder av nationellt intresse på hälsodataområdet – slutrapport, 2022, Socialstyrelsen. 179 Kartläggning av datamängder av nationellt intresse på hälsodataområdet – slutrapport, 2022, Socialstyrelsen.
1.9.8 Elektroniska intyg
Det finns i dag en rad processer och ärenden som förutsätter att det skapas intyg som behöver skickas till olika mottagare. Vanligt förekommande är till exempel sjukintyg som läkare utfärdar i en sjukskrivningsprocess. Det finns även behov hos andra myndigheter och övriga delar av samhället att utfärda intyg relaterade till personers hälsa.
Stora tids- och kvalitetsvinster kan skapas för alla involverade om denna informationsförsörjningsprocess i högre grad standardiseras, digitaliseras, automatiseras och samordnas genom en eller flera nationella lösningar.
Tidigare uppskattningar har visat att enbart läkare utfärdar cirka 200 olika intyg.180 Därtill kommer intyg som utfärdas av andra yrkesgrupper inom vården. Vissa av dessa intyg begärs in från statliga myndigheter för en rad olika ändamål. Andra efterfrågas av kommuner inför beslut om olika förmåner som exempelvis bostadsanpassning eller färdtjänst. Därtill kommer en mängd privata aktörer som efterfrågar intyg, exempelvis arbetsgivare. Detta har även tidigare beskrivits av E-hälsomyndigheten och förslag till olika lösningar har presenterats.181
I många fall används intyg som det huvudsakliga sättet att överföra information från hälso- och sjukvården till andra aktörer, trots att delar av denna information, som redan är dokumenterad, skulle kunna tillgängliggöras på annat sätt. Det kan till exempel handla om vissa mätvärden, eller om förekomst eller frånvaro av en viss diagnos vid en viss tidpunkt. Sådana lösningar, om överförande av information på andra sätt än genom att skicka intyg, skulle dock ställa höga krav på en fungerande digital informationsförsörjning med tillhörande digital infrastruktur.
Inera AB tillhandahåller i dag en lösning för hantering av intyg, men i den lösning hanteras bara några av alla de intyg som hälso- och sjukvården behöver utfärda och har fokus enbart på regionernas behov. En relevant byggsten hade därför kunnat vara att utveckla en intygstjänst som tillgodosåg en större del av samhällets behov, vilket sannolikt skulle öka effektiviteten för såväl hälso- och sjukvården som övriga aktörer, inte minst invånarna själva.
180 Intygstjänster 2019, Slutrapport, 2019, Inera. 181 Elektroniska läkarintyg, Förstudie, 2020, E-hälsomyndigheten.
1.9.9 Byggstenar som följer av förslaget till EHDS
Av förslaget till EHDS framgår att varje land ska ha en HDAB och en e-hälsomyndighet. Utredningen kommer enbart lyfta de förmågor och tjänster som utredningen bedömer som särskilt viktiga att börja med. Anledningen är att tjänsten eller infrastrukturen bedöms vara kostsam, ta lång tid att ta fram och är central för andra byggstenar. Förslaget till EHDS använder olyckligt nog begreppet e-hälsodata och blandar även detta begrepp med begreppet hälsodata.182 Utredningen anser att förordningstexten bör ändras så att endast begreppet hälsodata används, vilket även bland annat SKR lyft i sitt remissvar till regeringen avseende förslaget till EHDS.183 I sammanhanget kan också lyftas att begreppet ”data” i både dataförvaltningsförordningen och förslag till dataförordning avser ”digital återgivning” av handlingar med mera.184 En enhetlig innebörd av begreppet data i de rättsakter som nu kommer från EU vore önskvärd.
Av artikel 10.1 i förslaget till EHDS framgår det att varje medlemsstat ska utse en e-hälsomyndighet som på nationell nivå ska ansvara för genomförandet och efterlevnaden av förordningens kapitel om primär användning av e-hälsodata. I artikel 10.2 anges vilka uppgifter som ska anförtros varje e-hälsomyndighet. Vidare framgår det av artikel 36.1 att medlemsstaterna ska utse ett eller flera organ med ansvar för tillgång till hälsodata med ansvar för att bevilja tillgång till e-hälsodata för sekundär användning. I artikel 37 anges vilka uppgifter dessa organ ska utföra.
Av artikel 52.1 framgår att varje medlemsstat ska utse en nationell kontaktpunkt för sekundär användning av e-hälsodata med ansvar för att göra e-hälsodata tillgängliga för sekundär användning i ett gränsöverskridande sammanhang. Utöver detta följer det av artikel 2.2 s och 52.9 att en central plattform för sekundär användning av e-hälsodata ska fungera som en interoperabilitetsplattform som inrättats av kommissionen och som tillhandahåller tjänster för att stödja och underlätta utbytet av information mellan nationella kontaktpunkter för sekundär användning av e-hälsodata. Det följer också av artikel 2.2 och 52.8 att en infrastruktur som kopplar samman nationella kon-
182 Se bland annat artiklarna 36 och 37 i EHDS. 183 https://www.regeringen.se/4a491c/contentassets/3ed75b5c5f824d029a9d7f0c2ab814c7/s veriges-kommuner-och-regioner.pdf (Hämtat 2022-12-15). 184 Se artikel 2 1. i dataförvaltningsförordningen och artikel 2 (1) i förslag till dataförordning.
taktpunkter för sekundär användning av e-hälsodata och den centrala plattformen ska återfinnas genom Hälsodata@EU (HealthData@EU).
I dag saknas sådana strukturer för sekundäranvändning i Sverige. Det finns en rad olika aktörer som har infrastruktur för att lämna ut sina egna data, men det finns ingen samordnad struktur för gemensamt utlämnande. Eftersom det också saknas en övergripande nationell infrastruktur för primäranvändning så kommer den struktur som beskrivs i förslaget till EHDS vara svår att bygga upp utan att först bygga upp en övergripande nationell infrastruktur för primäranvändning.
Av artikel 2.2 aa, 37.1 och 46 i förslaget framgår också att medlemsstaterna ska arbeta med datatillstånd, vilket definieras som ett administrativt beslut som ett organ med ansvar för tillgång till hälsodata eller en datainnehavare utfärdar för en dataanvändare för behandling av de e-hälsodata som anges i datatillståndet för de sekundära användningsändamål som anges i datatillståndet enligt villkoren i denna förordning.
Datatillstånd är inget som i dag används i Sverige. Det som ligger närmst till hand är etikgodkännande. Denna fråga kommer behöva utredas vidare och kommer sannolikt kräva omfattande utredningsarbete, men bör inte innebära stora kostnader.
Slutligen har utredningen noterat att det av artikel 2.2. ac, 37.1 q, 55, och 57 i förslaget följer att datasetkataloger behöver etableras, vilket innebär en uppsättning systematiskt ordnade beskrivningar av dataset som består av en användaranpassad offentlig del, där information om enskilda datasetparametrar finns elektroniskt tillgänglig via en webbportal.
Det saknas i dag en myndighet med ansvar för metadata eller en datasetskatalog. Flera myndigheter tillhandahåller det däremot för sina egna data. Det finns även andra myndigheter som tillhandahåller metadataverktyg, såsom Vetenskapsrådet som tillhandahåller metadataverktyget Register Utiliser Tool (RUT). Det primära syftet för RUT är att forskare enklare ska kunna hitta rätt data för sin forskning. Att samla in denna typ av metadata från alla relevanta datainnehavare kommer sannolikt ta lång tid. Det skulle kunna innebära en förhållandevis låg kostnad för varje enskild aktör, men aktörerna är många, vilket gör att den totala kostnaden inte kommer vara obetydlig. Det närmsta Sverige kommer en sådan infrastruktur är Inera AB:s tjänst nationella tjänsteplattformen med tillhörande tjänstekontrakt. Denna struktur är dock enbart pankommunal och inte nationell. Dessutom omfattar den inte alla vårdgivare. Att ta över eller bygga en motsvarande struktur kommer ta lång tid och vara potentiellt kostsamt.
1.9.10 Övrigt
Andra byggstenar som kan övervägas är vårdsöksystem, listningstjänster, vaccinationsregister, digital infrastruktur för nationella kvalitetsregister, elektronisk identitetshandling samt, kommunikationsnät för att säkerställa att hälso- och sjukvården kan utbyta samhällskritisk information i tider av kris eller krig.
Därtill kan övervägas om även arbete med cyber- och informationssäkerhet bör stärkas och särskilda byggstenar tas fram med särskilt fokus på dessa två delar.
1.10 Annat som kan övervägas
1.10.1 E-hälsomyndighetens namn
Det kan övervägas om E-hälsomyndighetens namn bör bytas tillbaka till Myndigheten för hälso- och vårdinfrastruktur. Detta var det namn som föreslogs i förarbetena som låg till grund för bildandet av E-hälsomyndigheten (prop. 2012/13:128 s. 32) och det namn som myndigheten hade under en inledande period. En sådan namnändring skulle innebära att namnet behöver justeras i relevanta författningar som nämner E-hälsomyndigheten.
Namnet skulle enligt utredningen bättre spegla myndighetens sannolika framtida verksamhet med ökad inriktning mot hälsodata, men också bättre spegla myndighetens nuvarande verksamhet.
Som ovan har redogjorts för (se avsnitt 1.2.2), saknar begreppet e-hälsa en rättslig definition och är inte heller definierat i E-hälsomyndighetens nuvarande instruktion. I förarbetena som låg till grund för namnändringen, det vill säga namnändringen från Myndigheten för hälso- och vårdinfrastruktur till E-hälsomyndigheten (prop. 2013/14:24), förs inte heller något resonemang kring den närmare innebörden av begreppet e-hälsa. Utredningen har försökt uttolka vad begreppet omfattar på ett mer generellt plan och har då landat i att betrakta det som ett paraplybegrepp för en mängd olika företeelser rörande digitalisering inom framför allt hälso- och sjukvårdssektorn, omsorgssektorn och apoteksväsendet. Enligt utredningens mening är dock begreppet e-hälsa otydligt och inte ändamålsenligt för att namnge en myndighet. Dess innebörd är inte heller i alla delar relevant för E-hälsomyndighetens verksamhet.
Utredningen bedömer att ord som under en viss period i tiden använts för att beskriva en föränderlig teknik lätt kan bli utdaterade och därmed inte lämpar sig för att namnge en myndighet. Utredningen har noterat att flera länder gått ifrån att använda begreppet E-hälsa. Ordet E-hälsa användes framför allt från slutet av 1990-talet och under cirka 20 år. Elektronisk journal är ytterligare ett exempel på ett sådant begrepp som numera inte används.185 De flesta brukar inte heller specificera att dokument som ligger på en dator skulle vara elektroniska dokument.
Den nya tekniken handlar snarare om att kunna nyttja data, det vill säga information i digitalt format (se utredningens preliminära definition i avsnitt 1.2.3), för att göra informerade beslut. Detta är också till stor del vad teknik möjliggjort historiskt, men utan att tekniken som sådan bör eller behöver vara det som namnger företeelser. Exempelvis existerar inte telefonhälsa som ett begrepp. I dag finns olika verktyg för att behandla, lagra och presentera data. Begreppet e-hälsa är i detta perspektiv ett snävare begrepp som inte kan anses ändamålsenligt när Sverige och EU ska ställa om till en datadriven ekonomi och en datadriven hälso- och sjukvård.
Utredningen bedömer att begreppet datadriven vård för närvarande på ett bättre sätt förklarar omställningen till en hälso- och sjukvård som i större utsträckning bedrivs med stöd av automatiserad insamling och delning av information, men att också det begreppet på sikt bör fasas ut. Detta då beslut i vården framöver förhoppningsvis kommer bygga på mer data än vad som är fallet i dag. På samma sätt som att vården i dag många gånger är personcentrerad blir det överflödigt att beskriva vården som sådan när antagandet är att den alltid är det. Sannolikt kommer vi om några år i större utsträckning prata om AI-driven vård när den omställningen är mogen. Oavsett vad det blir, bedömer utredningen att namnet Myndigheten för hälso- och vårdinfrastruktur skulle fungera bättre över tid. Detta då infrastruktur är något vi kommer behöva även i framtiden, oavsett vilken teknik eller vilka behov som kommer att uppstå.
Utredningen bedömer att myndigheten inte bör heta exempelvis Myndigheten för hälso-, vård- och omsorgsinfrastruktur eller ha andra tillägg. Detta av framför allt två skäl. Det ena skälet är att myndighetens infrastruktur skulle kunna omfatta även andra typer av hälsodata än vad som hanteras i dessa verksamheter. Myndig-
185 Underlag från E-hälsomyndigheten 2022-12-08, diarienummer Komm2022/00419/S 2022:04-13.
hetens infrastruktur bör också kunna omfatta hantering av hälsodata för ändamål hos andra aktörer än de som ingår i dessa sektorer. Det då blir missvisande att namnet ger sken av att vara uttömmande. Det andra skälet att namnet skulle bli långt, utan att det i praktiken skulle bidra till en större tydlighet. Ett exempel på ett långt namn som ändå inte är uttömmande är Tandvårds- och läkemedelsförmånsverket, som också arbetar med medicinteknik.
1.10.2 Kostnader för namnändring
En myndighet som i närtid bytt namn är Integritetskyddsmyndigheten (IMY). De uppskattade att namnbytet kostade 3 miljoner kronor.186 IMY är en mindre myndighet än E-hälsomyndigheten. Utredningens bedömning är att flera kostnader för ett namnbyte är gemensamma oavsett vilket storlek myndigheten har. Exempelvis ändring av namn på hemsidan, framtagning av ny logotyp med mera. Däremot finns det andra kostnader som korrelerar mer med storleken på myndigheten, exempelvis trycksaker. Även myndighetens typ av verksamhet kan påverka kostnaderna.
Utredningens bedömning är att konservativt räknat skulle kostnaden vara densamma som för IMY, det vill säga 3 miljoner kronor. En mer rimlig bedömning är dock att kostnaden skulle vara något högre. Utredningen bedömer därför att 5 miljoner kronor kan behöva avsättas för namnbytet. Bedömningen bygger på att E-hälsomyndigheten levererar tjänster direkt till invånare och därmed kan få större kostnader för att nå ut med information till medborgarna om att leverantören för dessa tjänster har bytt namn. Utredningen bedömer att i och med E-hälsomyndighetens ändrade uppdrag kommer medborgarna bli mer medvetna om E-hälsomyndighetens roll och därmed deras nya namn. Mot bakgrund av det bedömer utredningen att regeringen kan vara konservativ med kostnader som hänför sig till marknadsföring eller information till invånarna om namnbytet och att informationen i stället kan tas inom ramen för de informationssatsningar som kommer behövas för de enskilda byggstenarna.
186 https://www.imy.se/globalassets/dokument/arsredovisningar/imy-arsredovisning-2020.pdf (Hämtat 2022-11-23).
