Till statsrådet och chefen för Socialdepartementet Jakob Forssmed

Regeringen tillsatte den 12 maj 2022 en särskild utredare med uppdrag att analysera och lämna förslag på utökade möjligheter för sekundäranvändning av hälsodata. I uppdraget har också ingått att redogöra för de konkreta tillämpningssvårigheter när det gäller den befintliga regleringen av hälsodata som eventuellt framkommer under utredningens gång.

Som särskild utredare förordnades från och med den 12 maj 2022 juristen Katarina Nyström. Utredningen har antagit namnet Utred-

ningen om sekundäranvändning av hälsodata.

Som sakkunniga till utredningen förordnades den 19 september 2022 departementssekreterare Evelina Björkegren, Socialdepartementet, Pontus Holm, Näringsdepartementet, och Katarina Nordqvist, Utbildningsdepartementet samt ämnesrådet Magnus Enzell.

Som experter till utredningen förordnades den 19 september 2022 vetenskaplig sekreterare Lena Almqvist, Etikprövningsmyndigheten, forskningssekreteraren Sara Belfrage, Stockholms universitet, dataskyddsexperten Per Bergstrand, Vetenskapsrådet, hälsoinformatikern Daniel Karlsson, Socialstyrelsen, enhetschefen Laurent Saunier, Vinnova och enhetschefen Michel Silvestri, E-hälsomyndigheten. Den 20 december 2022 entledigades hälsoinformatikern Daniel Karlsson, Socialstyrelsen som expert. Samma datum förordnades e-hälsostrategen Lotti Barlow, Socialstyrelsen som expert. Den 22 februari 2022 förordnades områdeschefen Jon Dutrieux, Försäkringskassan och handläggaren Petra Hasselqvist, Sveriges kommuner och regioner som experter. Den 26 maj 2023 entledigades områdeschefen Jon Dutrieux, Försäkringskassan som expert. Den 26 maj 2023 förordnades områdeschefen Ulrika Eriksson, Försäkringskassan som expert.

Utredningens expertgrupp har under utredningsarbetet bidragit med värdefulla och konstruktiva synpunkter och underlag. När begreppet utredningen används i betänkandet avses den särskilda utredaren samt sekretariatet. Den särskilda utredaren svarar ensam för innehållet i betänkandet.

Som huvudsekreterare i utredningen anställdes från och med den 13 juni 2022 departementssekreteraren Carl Nilsson. Som sekreterare anställdes från och med den 15 augusti 2022 sjukhusjuristen Anna Hofling Johansson och juristen Laura Eriksson. Den rättsliga experten Ida Frithiof arbetade som sekreterare i utredningen från och med 13 juni 2022 till och med den 30 juni 2023. Regionjuristen Amanda Carlström arbetade som sekreterare i utredningen från och med den 1 mars 2023 till och med den 22 oktober 2023.

Tack till alla aktörer som lagt ner tid och engagemang i utredningen. Tack till Sara Belfrage, Manólis Nymark och Andrea Hemming för era bidrag. Särskilt tack till Linda Larsson för din värdefulla insats. Särskilt tack också till Genomic Medicine Sweden, Karolinska Institutet, Region Stockholm, Västra Götalandsregionen och Göteborgs universitet för den kunskap ni delat med er av till utredningen.

I och med detta betänkande är uppdraget avslutat. Utredningen överlämnar härmed Betänkandet om vidareanvändning av hälsodata för vård och klinisk forskning.

Stockholm i november 2023

Katarina Nyström

/Carl Nilsson Amanda Carlström Anna Hofling Johansson Ida Frithiof Laura Eriksson

Förkortningar

ArkivlagenArkivlagen (1990:782) Barnkonventionen FN:s konvention om barnets rättigheter Biobankslagen Biobankslagen (2023:38) Biomedicinkonventionen Europarådets konvention om mänskliga rättigheter och biomedicin CTR Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG Datalagen Lag (2022:218) om den offentliga sektorns tillgängliggörande av data Dataskyddslagen Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning DIGITAL Programmet för ett digitalt Europa EDPB European Data Protection Board eller Europeiska Dataskyddsstyrelsen EPL Lagen (2003:460) om etikprövning av forskning som avser människor Europakonventionen Europeiska konventionen om skydd för de mänskliga

rättigheterna och de grundläggande friheterna

EU:s dataförvaltningsförordning eller dataförvaltningsförordningen

Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten)

EU:s dataskyddsförordning eller dataskyddsförordningen

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)

Findata Tillståndsmyndigheten enligt lagen om sekundäranvändning av personuppgifter inom social- och hälsovården (552/2019) Finska sekundäranvändningslagen

Lagen om sekundäranvändning av personuppgifter inom social- och hälsovården (552/2019)

Förslaget till EHDS Europeiska kommissionens förslag till Europaparlamentets och Rådets förordning om ett europeiskt hälsodataområde, COM(2022) 197 final av den 3 maj 2022 Förslaget till EU:s dataförordning

Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och användning av data (dataakten) COM(2022) 68 final av den 23 februari 2022

GCP Good Clinical Practice

GMS Genomic Medicine Sweden Helsingforsdeklarationen Helsingforsdeklarationen om etiska principer för medicinsk humanforskning, fastställd av World Medical Association HSF Hälso- och sjukvårdsförordningen (2017:80) HSL Hälso- och sjukvårdslagen (2017:30) HSLF-FS 2016:40 Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården IVDR Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitrodiagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU Kastreringslagen Den upphävda lagen (1944:133) om kastrering KL Kommunallagen (2017:725) KOMET Kommittén för teknologisk innovation och etik LPT lag (1991:1128) om psykiatrisk tvångsvård LRV lag (1991:1129) om rättspsykiatrisk vård MDR Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och

om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG

NGP Nationella Genomikplattformen OECD Organisation for Economic Co-operation and Development OSF Offentlighets- och sekretessförordningen (2009:641) OSL Offentlighets- och sekretesslagen (2009:400) PDL Patientdatalagen (2008:355) PL Patientlagen (2014:821) PSL Patientsäkerhetslagen (2010:659) RF Regeringsformen JO Riksdagens ombudsmän Rättighetsstadgan Europeiska unionens stadga om de grundläggande rättigheterna SmittskyddslagenSmittskyddslagen (2004:168) SolPul Lagen (2001:454) om behandling av personuppgifter inom socialtjänsten SCB Statistiska centralbyrån SVOD Lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation TandvårdslagenTandvårdslagen (1985:125) Utredningen om en långsiktig reglering av forskningsdatabaser

En långsiktig reglering av forskningsdatabaser, Dnr U2022/04089

TF Tryckfrihetsförordningen (1949:105) Vårdanalys Myndigheten för vård- och omsorgsanalys

Sammanfattning

Behovet och viljan att dela eller ta del av hälsodata är stort. Regelverket som styr hur hälsodata får delas upplevs dock av många som svårnavigerat och komplext, vilket skapar utmaningar och ibland oönskade begränsningar avseende vilka data som får och kan delas. Regelverket ställer också i viss utsträckning upp hinder för datadelning till förmån för angelägna ändamål.

I utredningens direktiv framgår det att utredningen ska analysera, bedöma om det behövs författningsändringar och i så fall lämna nödvändiga författningsförslag för att möjliggöra sekundäranvändning av hälsodata från hälso- och sjukvården för – att personuppgifter eller andra data från flera individer ska kunna

användas för vård och behandling av andra enskilda individer, – forskning, – utvecklings- och innovationsverksamhet, – undervisning på akademisk nivå samt, – statliga, regionala och kommunala myndigheters beslutsfattande.

I uppdraget ingår också att redogöra för konkreta tillämpningssvårigheter när det gäller den befintliga regleringen av hälsodata som eventuellt framkommer under utredningens gång.

Utredningen redogör i kapitel 2 för utredningens tolkning av direktiven samt vilka avgränsningar utredningen gjort.

Utredningens författningsförslag

Utredningen har haft ett omfattande uppdrag med begränsade tidsramar. Eftersom det krävs genomgripande utredning för att lämna författningsförslag som ska gå att genomföra, har utredningen varit tvungen att göra betydande avgränsningar. Utredningen lämnar därför författningsförslag avseende två av direktivens uppräknade ändamål. Utredningen har dock utrett samtliga ändamål och försökt att så detaljerat som möjligt redogöra för en väg framåt, utan att göra en mer djupgående juridisk analys som författningsförslag kräver.

Vidareanvändning för vårdändamål

Av direktiven följer att det finns ett behov att se över regleringen för att personuppgifter eller andra data från flera individer ska kunna användas för vård och behandling av andra enskilda individer. Utredningen benämner detta vidareanvändningen av personuppgifter för vård-

ändamål.

Utredningen bedömer att det behövs författningsändring för att möjliggöra den typ av vidareanvändning av personuppgifter för vårdändamål som behövs för att precisionsmedicin ska kunna användas på ett ändamålsenligt sätt i svensk hälso- och sjukvård. Utredningen föreslår därför ändringar i patientdatalagen (2008:355), förkortad PDL, och offentlighets- och sekretesslag (2009:400), förkortad OSL, samt en ny förordning som kompletterar föreslagna bestämmelser i PDL. Utredningen föreslår att kapitel 6 i PDL används för reglering av vidareanvändning av personuppgifter för vårdändamål. Utredningens förslag innebär att det på regional nivå inom hälso- och sjukvården skapas förutsättningar för vidareanvändning av personuppgifter för vårdändamål. Utredningen föreslår att det, i beaktande av det kommunala självstyret, ska vara frivilligt att tillämpa reglerna.

Ett nytt ändamål som avser behandling av personuppgifter för vård av en annan patient än den som uppgifterna avser

Utredningen föreslår att det införs ett nytt ändamål i PDL som avser behandling av personuppgifter för vård av en annan patient än den som personuppgifterna avser. Personuppgifter som behandlas för vården

av en annan patient än den som uppgifterna avser får inte behandlas för något annat ändamål.

Datadelning för det nya ändamålet ska, med vissa avgränsningar, kunna ske över vårdgivar- och myndighetsgränser. Utredningen förslår därför en ny sekretessbrytande grund med koppling till föreslagna regler i 6 kap. PDL. Utredningens förslag i övrigt har utformats med utgångspunkt i att behandling av personuppgifter för ändamålet ska kunna ske under så likartade villkor som möjligt, oavsett om det sker inom en myndighet eller över myndighetsgränser.

Precisering av ändamålet och integritetsskyddande åtgärder

Det integritetsintrång som utredningen förslag om vidareanvändning för vårdändamål innebär, behöver vägas upp av preciseringar av ändamålet, avgränsningar och skyddsåtgärder. Utredningens förslag innebär att behandling av personuppgifter för ändamålet preciseras i fyra steg:

1. Urval och tillgängliggörande av personuppgifter till precisionsmedicinsk databas

2. Inrättande och förande av precisionsmedicinsk databas

3. Tillgång till uppgifter i precisionsmedicinsk databas genom direktåtkomst eller annat elektroniskt utlämnande

4. Begäran om kompletterande personuppgifter från patientjournal

Utredningen föreslår att navet för behandling av personuppgifter för vård av en annan patient än den som uppgifterna avser utgörs av en ny, begränsad, uppgiftssamling kallad precisionsmedicinsk databas. En precisionsmedicinsk databas syftar till att skapa underlag för behandling av personuppgifter för det nya ändamålet. Det är ett urval av de personuppgifter som behövs för ändamålet som ska tillgängliggöras till en precisionsmedicinsk databas. Utredningens förslag lämnar möjlighet för samtliga vårdgivare att tillgängliggöra personuppgifter till en precisionsmedicinsk databas (steg 1).

Utredningen föreslår att patienten ska kunna motsätta sig tillgängliggörande av personuppgifter till en precisionsmedicinsk databas. Innan uppgifter tillgängliggörs till en precisionsmedicinsk databas ska patienten få information om bland annat vad personuppgiftsbehandling i precisionsmedicinsk databas innebär samt möjligheten att mot-

sätta sig att uppgifter görs tillgängliga. Särskilda regler om information och samtycke föreslås för personer som inte endast tillfälligt saknar förmåga att ta ställning. Vårdnadshavare kan motsätta sig tillgängliggörande av uppgifter rörande barn. Barn som utifrån ålder och mognad kan ta ställning kan själva motsätta sig tillgängliggörande.

Som en ytterligare skyddsåtgärd föreslår utredningen att personuppgifter i samtliga fyra steg ska vara pseudonymiserade eller skyddade på likvärdigt sätt. Det är endast regionala myndigheter inom hälso- och

sjukvården som får inrätta och föra precisionsmedicinska databaser

samt vara personuppgiftsansvarig för central behandling av personuppgifter i en precisionsmedicinsk databas (steg 2). Det är också endast regionala myndigheter inom hälso- och sjukvården som får ha tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till uppgifter i en sådan databas (steg 3). Hos regionala myndigheter inom hälso- och sjukvården är det endast den som arbetar inom den specialiserade hälso- och sjukvården och som behöver tillgång till en precisionsmedicinsk databas för sitt arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter som ska kunna tilldelas behörighet till en sådan databas.

Kopplat till förslaget om direktåtkomst eller annat elektroniskt utlämnande (steg 3) föreslår utredningen en regel om absolut sekretess.

Precisionsmedicinsk databas

Det hade enligt utredningens mening funnits fördelar med att ha en nationell precisionsmedicinsk databas eller en federerad lösning som möjliggör jämförelser över hela landet. Utredningen bedömer dock att det inte finns någon sådan infrastruktur på plats i dag och att det för närvarande saknas organisatoriska förutsättningar för att skapa en sådan infrastruktur som samtidigt är försvarbar ur ett rimligt tidsperspektiv för att skapa nytta inom en närtid. Utredningen har därför valt att lämna författningsförslag som skapar förutsättningar för dels, en precisionsmedicinsk databas per samverkansregion, dels att en precisionsmedicinsk databas får föras inom den Nationella Genomikplattformen, förkortad NGP. Den precisionsmedicinska databasen inom NGP möjliggör datadelning mellan landets sju regionsjukhus (universitetssjukhus), vilket innebär nödvändig täckning för till exempel diagnostisering och behandling av sällsynta diagnoser som fångas

upp av regionsjukhusen (universitetssjukhusen) i dagsläget. NGP som it-infrastruktur finns redan i dag, men används endast för forskning. De samverkansregionala precisionsmedicinska databaserna täcker sammantaget alla landets regioner och där finns möjlighet till ett bredare angreppsätt vad avser datamängder.

Den främsta anledningen till utredningens val av lösning är att det är det alternativ som skulle kunna komma på plats fortast och som utredningen bedömt vara proportionerlig ur ett integritetsperspektiv. På längre sikt ser utredningen dock att det bör övervägas och utredas om en nationell precisionsmedicinsk databas genom en federerad lösning som möjliggör jämförelser över hela landet kan införas. Utredningen bedömer att aktuella förslag går i linje med en sådan mer långsiktig lösning och att förslagen därmed inte bör innebära stora extra kostnader eller för den delen senarelägga den långsiktiga lösningen. Det här är en insats som, enligt utredningens bedömning, behöver anpassas efter förslaget till EHDS, när det är klart hur en slutlig version ser ut för det regelverket. Utredningen bedömer också att det är bättre att bygga infrastrukturen stegvis och att den skapar nytta succesivt, hellre än att bygga hela infrastrukturen i ett svep och sedan se om den fungerar och levererar enligt de behov som finns. Utredningen resonerar kring hur en mer långsiktig lösning skulle kunna se ut (se kapitel 19–23). Den delen av betänkandet består dock endast av bedömningar och inte färdiga förslag som går att ta vidare utan fortsatt utredning.

Kompletterande personuppgifter från patientjournal

Utredningen lämnar även förslag om att regionala myndigheter inom hälso- och sjukvården som har tillgång till en precisionsmedicinsk databas ska kunna begära och få ta del av kompletterande personuppgifter från patientjournal (steg 4). Kompletterande uppgifter ska även kunna tillgängliggöras internt inom en myndighet.

Syftet är att göra det möjligt att hämta in mer information om specifika patienter när uppgifterna i den precisionsmedicinska databasen inte är tillräckliga. Detta kan bli aktuellt i situationer där det endast finns enstaka andra patienter med samma eller liknande hälsotillstånd.

Vidareanvändning för ändamålet klinisk forskning

Av direktiven framgår att utredningen ska bedöma om det behövs författningsändringar för att möjliggöra vidareanvändning av hälsodata från hälso- och sjukvården för ändamålet forskning. Avseende ändamålet forskning har utredningen gjort en avgränsning till vidare-

användning av personuppgifter för klinisk forskning där samtycke till att delta i forskningen inhämtas.

Utredningen konstaterar att det kan vara en betungande uppgift att få tillgång till de uppgifter som behövs för att bedriva klinisk forskning. En specifik situation som utredningen sett över är när forskarna själva rent praktiskt kan logga in i patientjournaler, i egenskap av behandlande vårdpersonal, och då se uppgifter som behövs för forskningen. Enligt dagens lagstiftning krävs då, som huvudregel, att uppgifterna måste begäras ut. Det innebär att ett utlämnande av uppgifterna kan ske först efter föregående menprövning. Det här innebär en administrativ börda för både utlämnande myndighet och forskare som kan vara tidskrävande och kan upplevas omständlig. Utredningen gör bedömningen att möjlighet till en förenklad åtkomst skulle kunna underlätta för såväl forskare som utlämnande myndigheter och undanröja en del av problematiken.

En ny lag om vidareanvändning av personuppgifter för klinisk forskning

Utredningen har bedömt att det behövs författningsändring för att möjliggöra en förenklad åtkomst till personuppgifter från hälso- och sjukvården. I dag finns ingen lag som reglerar personuppgiftsbehandling inom forskning på samma sätt som motsvarar PDL inom hälso- och sjukvården. Det är enligt utredningens bedömning inte lämpligt att inför regler om förenklad åtkomst för ändamålet klinisk forskning i PDL. Utredningen föreslår därför en ny lag, lagen (0000:00)

om viss vidareanvändning av personuppgifter för klinisk forskning och

ändringar i OSL. Den nya lagen tar sin systematiska utgångspunkt i vidareanvändning för ändamålet klinisk forskning. Utredningen ser möjligheter att utreda vidare en eventuell utvidgning av lagen, dels avseende datamängder på datahållarsidan, dels om förenklade regler i någon form kan införas för klinisk forskning som inte bygger på samtycke till att delta i forskningen.

Den nya lagens tillämpningsområde avser, på datahållarsidan, regionala myndigheter som bedriver hälso- och sjukvård och, på dataanvändarsidan, regionala myndigheter och lärosäten som bedriver klinisk forskning. De personuppgifter som får tillgängliggöras enligt lagen är uppgifter som regionala myndigheter som bedriver hälso- och sjukvård behandlar enligt 2 kap. 4 § första stycket 1–6 PDL.

Begränsad direktåtkomst och villkor för tillgängliggörande och behandling av personuppgifter

Tillgängliggörande enligt lagen föreslås få ske genom en så kallad begränsad direktåtkomst eller annat elektronisk utlämnande. Begränsningen i direktåtkomsten innebär att de uppgifter som tillgängliggörs ska avse de personer som omfattas av ett aktuellt forskningsprojekt.

I praktiken innebär möjligheten till begränsad direktåtkomst att det finns rättsligt stöd för en region att skapa en modul eller liknande i sina it-system som kan visa vissa fält med sådana uppgifter som behövs för forskningen. Dessa fält kommer forskarna åt med en forskarbehörighet, utan att behöva begära utlämnande med föregående menprövning enligt allmänna regler. Den begränsade direktåtkomsten ska vara tidsbestämd.

Som villkor för tillgängliggörande föreslås att uppgifterna ska användas endast vid sådan klinisk forskning som är godkänd enligt tillämpligt etiskt regelverk samt där samtycke inhämtas för att delta i forskningen. Utöver samtycke till att delta i forskningen, ska enligt villkor i den nya lagen, även samtycke som en integritetshöjande åtgärd för den förenklade åtkomsten inhämtas från den registrerade. Den registrerade ska få information om vad den förenklade åtkomsten innebär. Särskilda regler om information och samtycke föreslås för barn och försökspersoner som inte är beslutskompetenta.

Utredningen föreslår att regionala myndigheter eller lärosäten som bedriver klinisk forskning endast ska få tillföra forskningen de personuppgifter som behövs för den kliniska forskningen.

Kopplat till den nya lagen föreslår utredningen en sekretessbrytande grund och en regel om absolut sekretess i forskningen för uppgifter som inte får tillföras forskningen.

Övriga ändamål

Utvecklings och innovationsverksamhet

Utredningen har resonerar kring utveckling och innovation och lämnar bedömningar avseende olika behov som identifierats. Utredningen för också resonemang kring hur utredningen uppfattar innebörden av begreppen.

Utredningen har konstaterar att frågorna är komplexa och behöver utredas vidare. Utredningen gör bedömningen att tillräcklig utredning för att kunna lämna författningsförslag för dessa ändamål inte kunnat rymmas inom de tidsramar som utredningen haft att förhålla sig till. Utredningen lämnar därför inte några författningsförslag avseende utveckling- och innovation, vilket förklaras mer utförligt i avsnitt 2.7.

Eftersom utredningen lämnar författningsförslag på en helt ny reglering av ändamålet vård är det en brist att sådan ny verksamhet inte ges rättsliga möjligheter att bedriva utveckling som inte ryms under dagens regler i PDL. Utredningens bedömning är därför att det är angeläget att dessa behov ses över.

Utredningen bedömer även att vissa av de behov som finns av utvecklings- och innovationsverksamhet ställer krav på organisatoriska och infrastrukturella lösningar som i dag inte finns för att det ska gå att använda känsliga personuppgifter för dessa ändamål, utan att intrånget i den personliga integriteten blir för stort i förhållande till nyttan. Se vidare resonemang i avsnitt 20.4 och kapitel 23.

Undervisning på akademisk nivå

Utredningen bedömer att de behov som framkommit, som avser undervisning på akademiska nivå, har en nära koppling till primäranvändningen av hälsodata. Undervisning som inte kan genomföras utan att behandling av personuppgifter uppstår inom hälso- och sjukvården innebär ofta en nära koppling till patienterna och vården som behöver utföras. Utredningen bedömer att dessa frågor behöver utredas gemensamt och inte avgränsat till sekundäranvändning. Utredningen lämnar därför inga författningsförslag för undervisning på akademisk nivå. Utredningens bedömning är att det behöver utredas varför olika regioner löser behoven på olika sätt och vad som krävs

för att lösa de behov som finns som är nära kopplade till primäranvändningen.

Statliga, regionala och kommunala myndigheters beslutsfattande

Utredningens har valt att inte lämna några författningsförslag avseende statliga, regionala och kommunala myndigheters beslutsfattande. Utredningens uppfattning är att dessa ändamål kan omfatta en ansenlig mängd olika behov. Utredningen har därför avgränsat den utredning som gjorts till vissa av de behov som omfattas.

Utredningens bedömning är att en del behov kopplat till regionala myndigheters beslutsfattande som uppstår i samband med vård bör kunna omhändertas av det författningsförslag avseende vårdändamålet som utredningen lämnar. Det är även möjligt att vissa behov kan omhändertas inom ändamålet utveckling som utredningen skriver om i avsnitt 2.7.6. Utredningen bedömer vidare att det saknas organisatoriska och infrastrukturella lösningar som skulle göra att nyttan stod i proportion till det intrång i den personliga integriteten som ett sådant förslag skulle innebära. Utredningen resonerar kring detta och lämnar bedömningar i avsnitt 20.5.

Konkreta tillämpningssvårigheter

Utredningen har haft i uppdrag att redogöra för olika tillämpningssvårigheter som identifierats under arbetets gång. Utredningen redogör därför för vilka utmaningar och behov som behöver ses över och vad det är för tillämpningssvårigheter som behöver utredas vidare för att kunna komma till rätta med problemen. Tre kapitel rör behov som utredningen bedömer helt eller delvis kan lösas med hjälp av en nationell datahubb (kapitel 19–21). Ytterligare två kapitel rör frågor för fortsatt utredning som utredningen bedömer behöver ses över och utredas vidare, utan att det behövs en nationell datahubb (kapitel 22–23).

Konsekvenser av förslagen

De främsta positiva konsekvenserna av utredningens författningsförslag avseende vårdändamålet är ökad patientnytta till följd av bättre möjlighet till införande av ett precisionsmedicinskt arbetssätt i hälso- och sjukvården och ett mer jämlikt införande. Den främsta positiva nyttan som följer av utredningens författningsförslag avseende klinisk forskning avser minskad administration och därmed kostnadsbesparingar kopplat till utlämnande för klinisk forskning.

De främsta negativa effekterna består av ett ökat intrång i den personliga integriteten för vissa patienter, vilket utredningen lämnat förlag för att balansera i form av integritetshöjande åtgärder. Förslagen innebär också viss kostnadsökning för regionerna avseende precisionsmedicinska databaser. Utredningens bedömning är dock att regionerna redan i dag spenderar mycket pengar på precisionsmedicin och att mycket medel läggs ner på lösningar som ska fungera med nuvarande regelverk. Enligt utredningens bedömning är dessa lösningar inte lika kostnadseffektiva som de lösningar som utredningens förslag möjliggör. Förslagen innebär i sig inga negativa konsekvenser för privata företag, men bidrar inte till några nya möjligheter att använda hälsodata. Utifrån att regeringen har en ambition om att Sverige ska vara en ledande life science-nation, gör utredningen bedömningen att uteblivna förslag för denna målgrupp är en negativ konsekvens. Utredningen har försökt att så långt det varit möjligt utreda hur dessa och andra behov som utredningen har fått till sig, skulle kunna omhändertas framgent, vilket redovisas i kapitel 19–23.

1. Författningsförslag

1.1. Förslag till lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning

Härigenom föreskrivs följande.

1 kap. Inledande bestämmelser

Uttryck i lagen

1 § I denna lag används följande uttryck med nedan angiven betydelse.

Uttryck Betydelse

EU:s dataskyddsförordning Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Förordning (EU) nr 536/2014 Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG.

Förordning (EU) 2017/745 Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG. Förordning (EU) 2017/746 Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitrodiagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU. Hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering. Lärosäte Ett statligt universitet eller en statlig högskola som har rätt att utfärda examen på forskarnivå, eller en enskild utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som

enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400) är ett organ som jämställs med myndighet i sin forskningsverksamhet.

Regional myndighet Myndighet i en region. Aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där en region utövar ett rättsligt bestämmande inflytande enligt 2 kap. 3 § offentlighets- och sekretesslagen (2009:400) ska vid tillämpningen av denna lag jämställas med en myndighet.

Tillämpningsområde

2 § Bestämmelserna i denna lag får tillämpas när personuppgifter som behandlas enligt 2 kap. 4 § första stycket 1–6 patientdatalagen (2008:355) av en regional myndighet som bedriver hälso- och sjukvård vidareanvänds av en regional myndighet eller ett lärosäte som bedriver klinisk forskning.

Ändamål

3 § Personuppgifter som anges i 2 § får, under de förutsättningar som anges i denna lag, vidareanvändas om det behövs för ändamålet klinisk forskning.

Förhållandet till annan dataskyddsreglering

4 § Denna lag kompletterar EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag.

Personuppgiftsansvar

5 § En regional myndighet som bedriver hälso- och sjukvård och som tillgängliggör personuppgifter enligt denna lag är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen.

6 § En regional myndighet eller ett lärosäte som bedriver klinisk forskning och som ges tillgång till personuppgifter enligt denna lag är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten eller lärosätet utför enligt lagen.

Behandling av känsliga personuppgifter

7 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 j i förordningen.

2 kap. Tillgängliggörande av personuppgifter

Tillgång genom begränsad direktåtkomst eller annat elektroniskt utlämnande

1 § En regional myndighet eller ett lärosäte som bedriver klinisk forskning får, under de förutsättningar som anges i detta kapitel, ges tillgång, genom begränsad direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas av en regional myndighet som bedriver hälso- och sjukvård.

2 § När personuppgifter görs tillgängliga genom begränsad direktåtkomst, ska åtkomsten vara tidsbestämd. När den bestämda tidsperioden har löpt ut, ska den begränsade direktåtkomsten upphöra.

Den regionala myndigheten inom hälso- och sjukvården som tillgängliggör personuppgifterna kan, efter begäran, förlänga den tidsperiod som har bestämts enligt första stycket.

Den totala tidsperioden enligt första och andra styckena får inte överskrida sex månader.

3 § Tillgång enligt 1 § får endast avse uppgiftsmängder som kan antas ha betydelse för forskningen.

Villkor för tillgängliggörande

4 § Tillgängliggörande av personuppgifter enligt 1 § får endast ske om

1. uppgifterna ska användas i

a) forskning som har godkänts av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning enligt lagen (2003:460) om etikprövning av forskning som avser människor,

b) en klinisk läkemedelsprövning som har beviljats eller anses ha beviljats tillstånd i enlighet med förordning (EU) nr 536/2014,

c) en klinisk prövning som får påbörjas eller genomföras i enlighet med bestämmelser i förordning (EU) 2017/745 eller enligt lagen (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter eller föreskrifter meddelade i anslutning till den lagen, eller

d) en prestandastudie som får påbörjas eller genomföras i enlighet med bestämmelser i förordning (EU) 2017/746, och

2. den registrerade har samtyckt till att delta i forskningen. Villkoret enligt första stycket 2 om samtycke till att delta i forskningen är också uppfyllt om vårdnadshavare samtycker till forskning på barn enligt 18 § andra stycket lagen (2003:460) om etikprövning av forskning som avser människor. Detsamma gäller om lagligen utsedd ställföreträdare samtyckt till forskning på barn eller försökspersoner som inte är beslutskompetenta enligt artiklarna 32 och 31 i Förordning (EU) nr 536/2014, artiklarna 65 och 64 i Förordning (EU) 2017/745 eller artiklarna 61 och 60 i Förordning (EU) 2017/746.

5 § Tillgängliggörande av personuppgifter enligt 1 § får endast ske om den registrerade, utöver samtycke enligt 4 § första stycket 2, har samtyckt till tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande.

Innan samtycke lämnas ska den registrerade, utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning, informeras om

1. vad begränsad direktåtkomst eller annat elektroniskt utlämnade enligt lagen innebär, och

2. rätten att återkalla ett samtycke till att uppgifter görs tillgängliga.

6 § Om vårdnadshavare eller lagligen utsedd ställföreträdare har lämnat samtycke till forskning enligt vad som anges i 4 § andra stycket, får tillgängliggörande enligt 1 § endast ske om vårdnadshavare eller lagligen utsedd ställföreträdare samtyckt till tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande.

Innan samtycke lämnas ska vårdnadshavare eller lagligen utsedd ställföreträdare få information enligt 5 § andra stycket.

7 § Om den registrerade återkallar samtycke som har lämnats enligt 5 § ska tillgängliggörandet upphöra så snart som möjligt.

Om vårdnadshavare eller lagligen utsedd ställföreträdare återkallar samtycke som har lämnats enligt 6 § ska tillgängliggörandet upphöra så snart som möjligt.

3 kap. Behandling av personuppgifter som gjorts tillgängliga

Tilldelning av behörighet för elektronisk åtkomst

1 § En regional myndighet eller ett lärosäte som bedriver klinisk forskning ska bestämma villkor för tilldelning av behörighet inom den egna organisationen för åtkomst till de personuppgifter som gjorts tillgängliga enligt 2 kap. 1 §. Sådan behörighet ska begränsas till vad som behövs för att den behörige ska kunna fullgöra sina arbetsuppgifter inom forskningen.

Villkor för att uppgifternas ska få tillföras forskningen

2 § En regional myndighet eller ett lärosäte som getts tillgång till personuppgifter enligt 2 kap. 1 § får endast tillföra forskningen de uppgifter som behövs för sådan forskning som anges i 2 kap. 4 § första stycket 1.

4 kap. Bevarande och gallring

1 § När en handling är tillgänglig enligt denna lag för en regional myndighet som bedriver hälso- och sjukvård och en regional myndighet eller ett lärosäte som bedriver klinisk forskning gäller skyl-

digheten att bevara handlingen endast för den regionala myndighet inom hälso- och sjukvården som har tillgängliggjort handlingen.

Denna lag träder i kraft den 1 januari 2025.

1.2. Förslag till lag om ändring i patientdatalagen (2008:355)

Härigenom föreskrivs i fråga om patientdatalagen (2008:355)

dels att 1 kap. 4 §, 2 kap. 2, 4 och 6 §§, 4 kap. 1 och 2 §§, 5 kap. 4 §

och 8 kap. 5, 6 och 7 §§ ska ha följande lydelse,

dels att det ska införas ett nytt kapitel, 6 kap., av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

1 kap.

4 §1

Denna lag innehåller bestämmelser som kompletterar EU:s dataskyddsförordning, vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Vid behandling av personuppgifter som avses i första stycket gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

I lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation finns ytterligare bestämmelser om vårdgivares behandling av personuppgifter inom hälso- och sjukvården.

I lag ( 0000:000 ) om viss vidareanvändning av personuppgifter för klinisk forskning finns bestämmelser om tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande av personuppgifter från hälso- och sjukvården.

1 Senaste lydelse 2022:915.

2 kap.

2 §2

Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den. Det gäller dock inte i de fall som anges i 4 kap. 4 § och 7 kap. 2 § eller om något annat framgår av annan lag eller förordning.

Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den. Det gäller dock inte i de fall som anges i 4 kap. 4 §, 6 kap. 2 § och 7 kap. 2 § eller om något annat framgår av annan lag eller förordning.

4 §3

Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för

1. att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,

2. administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall,

3. att upprätta annan dokumentation som följer av lag, förordning eller annan författning,

4. att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten,

5. administration, planering, uppföljning, utvärdering och tillsyn av verksamheten,

6. att framställa statistik om hälso- och sjukvården, eller

7. antalsberäkning inför klinisk forskning.

I 6 kap. 5 § finns särskilda bestämmelser om behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser.

I 7 kap. 4 och 5 §§ finns särskilda bestämmelser om ändamålen med behandling av personuppgifter i nationella och regionala kvalitetsregister.

2 Senaste lydelse 2022:915. 3 Senaste lydelse 2023:167.

6 §4

En vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I en region och en kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Personuppgiftsansvaret enligt första stycket omfattar även sådan behandling av personuppgifter som vårdgivaren, eller den myndighet i en region eller en kommun som är personuppgiftsansvarig, utför när vårdgivaren eller myndigheten genom direktåtkomst i ett enskilt fall bereder sig tillgång till personuppgifter om en patient hos en annan vårdgivare eller annan myndighet i samma region eller kommun.

I 7 kap. och i 4 kap. 1 § lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation finns särskilda bestämmelser om personuppgiftsansvar.

I 6 och 7 kap. samt i 4 kap. 1 § lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation finns särskilda bestämmelser om personuppgiftsansvar.

4 kap.

1 §

Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.

I 6 kap. finns särskilda bestämmelser om inre sekretess vid behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser.

2 §5

En vårdgivare ska bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat. Sådan behörighet ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården.

4 Senaste lydelse 2022:915. 5 Senaste lydelse 2022:915.

I 6 kap. 17 § finns ytterligare bestämmelser som gäller vid tilldelning av behörighet till en precisionsmedicinsk databas.

Personuppgifter som behandlas i en utredning enligt lagen (2018:744) om försäkringsmedicinska utredningar för ändamål som anges i 2 kap. 4 § första stycket 1 och 2 får inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare. I den lagen finns särskilda bestämmelser om elektronisk åtkomst vid sådana utredningar.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tilldelning av behörighet enligt första stycket.

5 kap.

4 §6

Utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning.

Om en region eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma region eller kommun.

Ytterligare bestämmelser om direktåtkomst och annat elektroniskt utlämnande finns i 5 §, 7 kap. 9 § och i lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.

Ytterligare bestämmelser om direktåtkomst och annat elektroniskt utlämnande finns i 5 §, 6 kap.

16 § och 7 kap. 9 § och i lagen

(2022:913) om sammanhållen vård- och omsorgsdokumentation.

Bestämmelser om begränsad direktåtkomst och annat elektroniskt utlämnande av personuppgifter som behandlas inom hälso- och sjukvården finns i lag ( 0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning.

6 Senaste lydelse 2023:167.

6 kap. Vidareanvändning av patientdata för vårdändamål

Inledande bestämmelse

1 § Med precisionsmedicinsk databas avses en samling av personuppgifter som inrättas särskilt för ändamålet vården av en annan patient än den som uppgifterna avser.

En precisionsmedicinsk databas syftar till att skapa underlag för vården av en annan patient än den som uppgifterna avser.

Den enskildes inställning till personuppgiftsbehandling i precisionsmedicinsk databas

2 § Personuppgifter får inte göras tillgängliga till en precisionsmedicinsk databas, om den enskilde motsätter sig det.

Om den enskilde motsätter sig tillgängliggörandet sedan det påbörjats, ska uppgifterna utplånas ur den precisionsmedicinska databasen så snart som möjligt.

3 § En vårdgivare får tillgängliggöra uppgifter om en enskild som inte endast tillfälligt saknar förmåga att ta ställning till behandling i en precisionsmedicinsk databas, om

1. den enskildes inställning till sådan behandling av personuppgifter så långt som möjligt har klarlagts, och

2. det inte finns anledning att anta att den enskilde skulle ha motsatt sig behandlingen av personuppgifterna.

Information

4 § Innan personuppgifter görs tillgängliga till en precisionsmedicinsk databas ska den som är personuppgiftsansvarig informera den enskilde om

1. vad personuppgiftsbehandling i precisionsmedicinsk databas innebär,

2. vad behandling av kompletterande personuppgifter från patientjournal innebär och

3. möjligheten att motsätta sig att uppgifter görs tillgängliga till en precisionsmedicinsk databas.

Ändamål och inre sekretess

5 § I stället för vad som anges i 2 kap. 4 och 5 §§ gäller att personuppgifter, under de förutsättningar som anges i detta kapitel, får behandlas inom hälso- och sjukvården om det behövs för vården av en annan patient än den som uppgifterna avser.

Första stycket gäller inte för sådan hälso- och sjukvård som regleras i

1. tandvårdslagen (1985:125), eller

2. lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar.

I stället för vad som anges i 4 kap. 1 § gäller bestämmelser om inre sekretess i detta kapitel vid behandling av personuppgifter för det ändamål som anges i första stycket.

6 § Personuppgifter som behandlas för ändamålet vården av en annan patient än den som uppgifterna avser får inte behandlas för några andra ändamål.

Personuppgifter som behandlas för ändamål som anges i första stycket får dock behandlas för fullgörande av någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen (2009:400).

Personuppgiftsansvar

7 § Endast en regional myndighet inom hälso- och sjukvården får vara personuppgiftsansvarig för central behandling av personuppgifter i en precisionsmedicinsk databas.

I 2 kap. 6 § finns allmänna bestämmelser om personuppgiftsansvar.

Personuppgifter som får behandlas

8 § Endast sådana personuppgifter som behandlas enligt 2 kap. 4 § första stycket 1 och 2 och behövs för ändamål som anges i 5 § första stycket får behandlas med stöd av detta kapitel. 9 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av arti-

kel 9.2 h i förordningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.

Inrättande och förande av en precisionsmedicinsk databas

10 § Endast en regional myndighet inom hälso- och sjukvården får inrätta och föra en precisionsmedicinsk databas.

11 § Regional myndighet inom hälso- och sjukvården som för precisionsmedicinsk databas får endast behandla de personuppgifter som behövs för syftet med databasen.

12 § Den som arbetar hos en regional myndighet inom hälso- och sjukvården som för en precisionsmedicinsk databas får ta del av personuppgifter i databasen endast om han eller hon behöver uppgifterna för sitt arbete med databasen.

I 4 kap. 2 och 3 §§ finns allmänna bestämmelser om tilldelning av behörighet för elektronisk åtkomst och kontroll av elektronisk åtkomst.

Urval och tillgängliggörande av personuppgifter till en precisionsmedicinsk databas

13 § En vårdgivare får behandla personuppgifter för urval och tillgängliggörande till en regional myndighet inom hälso- och sjukvården som för en precisionsmedicinsk databas.

Urval och tillgängliggörande får endast ske av personuppgifter som behövs för att skapa underlag för det ändamål som anges i 5 § första stycket.

14 § Tillgängliggörande enligt 13 § får endast avse personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt.

15 § Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient om han eller hon behöver det för sitt arbete med urval och tillgängliggörande av uppgifter till en precisionsmedicinsk databas.

I 4 kap. 2 och 3 §§ finns allmänna bestämmelser om tilldelning av behörighet för elektronisk åtkomst och kontroll av elektronisk åtkomst.

Tillgång tillpersonuppgifter i precisionsmedicinsk databas

Tillgång genom direktåtkomst eller annat elektroniskt utlämnade

16 § En regional myndighet inom hälso- och sjukvården får ges tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas i en precisionsmedicinsk databas.

Tilldelning av behörighet för elektronisk åtkomst

17 § När en regional myndighet inom hälso- och sjukvården ska bestämma villkor för tilldelning av behörighet för elektronisk åtkomst enligt 4 kap. 2 § får behörighet till en precisionsmedicinsk databas endast tilldelas den som arbetar i den specialiserade vården och behöver åtkomsten för sitt arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tilldelning av behörighet enligt första stycket för åtkomst till uppgifter som förs helt eller delvis automatiserat.

Villkor för behandling av personuppgifter

18 § En regional myndighet inom hälso- och sjukvården får behandla personuppgifter som en annan myndighet som för precisionsmedicinsk databas har gjort tillgängliga om

1. någon som arbetar hos myndigheten och enligt 17 § har behörighet till precisionsmedicinsk databas deltar i vården av en patient, och

2. uppgifterna kan ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten.

Inre sekretess

19 § Den som arbetar hos en regional myndighet inom hälso- och sjukvården som för en precisionsmedicinsk databas och har behörighet till sådan databas, får ta del av personuppgifter i databasen om han eller hon

1. deltar i vården av en patient, och

2. uppgifterna kan ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten.

Kompletterande personuppgifter från patientjournal

Begäran om kompletterande personuppgifter

20 § En regional myndighet inom hälso- och sjukvården som har tillgång till en precisionsmedicinsk databas får, hos en vårdgivare som enligt 13 § har tillgängliggjort personuppgifter till den databasen, begära de kompletterande personuppgifter från den patientjournal som kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser.

En begäran om kompletterande personuppgifter från patientjournal får också göras inom den myndighet som tillgängliggjort uppgifter till en precisionsmedicinsk databas om uppgifterna kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser.

Tillgängliggörande av kompletterande personuppgifter

21 § En vårdgivare får tillgängliggöra de personuppgifter som omfattas av en begäran om kompletterande personuppgifter enligt 20 §.

Tillgängliggörande av kompletterande personuppgifter får endast ske till en regional myndighet inom hälso- och sjukvården som har tillgång till den precisionsmedicinska databasen som vårdgivaren tillgängliggjort uppgifter till.

22 § En regional myndighet inom hälso- och sjukvården får, utöver den behandling av personuppgifter som sker genom tillgång till en precisionsmedicinsk databas, endast behandla de kompletterande personuppgifter om en patient som behövs för vården av en annan patient än de som uppgifterna avser.

23 § Tillgängliggörande enligt 21 § får endast avse personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt.

Inre sekretess

24 § Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient om han eller hon behöver det för sitt arbete med begäran enligt 20 § om kompletterande personuppgifter från patientjournal.

I 4 kap. 2 och 3 §§ finns allmänna bestämmelser om tilldelning av behörighet för elektronisk åtkomst och kontroll av elektronisk åtkomst.

25 § Den som enligt 17 § har behörighet till en precisionsmedicinsk databas får ta del av kompletterande personuppgifter om patienter om han eller hon

1. deltar i vården av en patient, och

2. uppgifterna kan antas ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten.

Bevarande och gallring

26 § När en handling i en precisionsmedicinsk databas är tillgänglig för flera regionala myndigheter gäller skyldigheten att bevara den endast för den myndighet som för databasen.

27 § Personuppgifter i en precisionsmedicinsk databas får inte behandlas under längre tid än vad som behövs för ändamålen med databasen.

28 § Personuppgifter i en precisionsmedicinsk databas som enligt 2 § andra stycket ska utplånas till följd av att patienten motsatt sig tillgängliggörande sedan uppgifterna tillgängliggjorts får också gallras.

Ytterligare föreskrifter om precisionsmedicinska databaser

29 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om precisionsmedicinska databaser.

8 kap.

5 §

En vårdgivare ska på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst till uppgifter om patienten som förekommit.

Första stycket gäller inte den direktåtkomst eller elektroniska åtkomst som förekommit hos en regional myndighet inom hälso- och sjukvården i anledning av att myndigheten för en precisionsmedicinsk databas, har tillgång till en sådan databas eller behandlar kompletterande personuppgifter från patientjournal enligt 6 kap. denna lag.

Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om information enligt första stycket.

6 §7

Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska den som är personuppgiftsansvarig enligt denna lag lämna information till den registrerade om

1. den uppgiftsskyldighet som kan följa av lag eller förordning,

2. de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen,

3. rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras,

4. rätten enligt 5 § att få information om den åtkomst som förekommit,

5. rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personuppgifter i strid med denna lag, och

6. vad som gäller i fråga om sökbegrepp, direktåtkomst, utlämnande av uppgifter på medium för automatiserad behandling och annat elektroniskt utlämnande.

I 7 kap. 3 § och i 2 kap. 2 § lagen (2022:913) om sammanhållen vård- och omsorgsdoku-

I 6 kap. 4 §, 7 kap. 3 § och i 2 kap. 2 § lagen (2022:913) om sammanhållen vård- och omsorgs-

7 Senaste lydelse 2022:915.

mentation finns ytterligare bestämmelser om vilken information som ska lämnas i vissa fall.

dokumentation finns ytterligare bestämmelser om vilken information som ska lämnas i vissa fall.

7 §8

I denna lag finns föreskrifter om andra rättigheter för den enskilde i 3 kap. 8 § och 4 kap. 4 § samt 7 kap. 2 och 3 §§. Sådana föreskrifter finns även i 2 kap. 3 § första stycket lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.

I denna lag finns föreskrifter om andra rättigheter för den enskilde i 3 kap. 8 §, 4 kap. 4 § och

6 kap. 2 och 4 §§ samt 7 kap. 2

och 3 §§. Sådana föreskrifter finns även i 2 kap. 3 § första stycket lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.

Denna lag träder i kraft den 1 januari 2025.

8 Senaste lydelse 2022:915.

1.3. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)

dels att 10 kap. 19, 21, 23 och 24 §§, 24 kap. 9 § och 25 kap. 7, 10

och 11 §§ ska ha följande lydelse,

dels att det ska införas två nya paragrafer, 24 kap. 7 b § och 25 kap.

2 a §, och närmast före 24 kap. 7 b § och 25 kap. 2 a § nya rubriker av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

10 kap.

19 §1

Sekretessen enligt 25 kap. 1 §, 2 § andra stycket och 3–5 §§ och 26 kap. 1 §, 1 a § andra stycket, 3, 4 och 6 §§ hindrar inte att en uppgift lämnas till Polismyndigheten eller någon annan myndighet som ska ingripa mot brott, om uppgiften behövs för att förhindra ett förestående eller avbryta ett pågående brott som avses i

Sekretessen enligt 25 kap. 1 §, 2 § andra stycket, 2 a § andra

stycket och 3–5 §§ och 26 kap.

1 §, 1 a § andra stycket, 3, 4 och 6 §§ hindrar inte att en uppgift lämnas till Polismyndigheten eller någon annan myndighet som ska ingripa mot brott, om uppgiften behövs för att förhindra ett förestående eller avbryta ett pågående brott som avses i

1. 4 eller 4 a § lagen (1951:649) om straff för vissa trafikbrott,

2. 13 kap. 2 eller 3 § luftfartslagen (2010:500),

3. 30 § lagen (1990:1157) om säkerhet vid tunnelbana och spårväg,

4. 20 kap. 4 eller 5 § sjölagen (1994:1009),

5. 7 kap. 2, 3 eller 4 § järnvägssäkerhetslagen (2022:367), eller

6. 8 kap. 2, 3 eller 4 § lagen (2022:368) om nationella järnvägssystem.

21 §2

Sekretessen enligt 25 kap. 1 §, 2 § andra stycket och 3–5 §§, 26 kap. 1 §, 1 a § andra stycket,

Sekretessen enligt 25 kap. 1 §, 2 § andra stycket, 2 a § andra

stycket och 3–5 §§, 26 kap. 1 §,

1 Senaste lydelse 2022:916. 2 Senaste lydelse 2022:216.

3, 4 och 6 §§ samt 33 kap. 2 och 4 a §§ hindrar inte att en uppgift lämnas till en åklagarmyndighet eller Polismyndigheten, om uppgiften angår misstanke om brott som riktats mot någon som inte har fyllt arton år och det är fråga om brott som avses i

1 a § andra stycket, 3, 4 och 6 §§ samt 33 kap. 2 och 4 a §§ hindrar inte att en uppgift lämnas till en åklagarmyndighet eller Polismyndigheten, om uppgiften angår misstanke om brott som riktats mot någon som inte har fyllt arton år och det är fråga om brott som avses i

1. 3, 4 eller 6 kap. brottsbalken, eller

2. lagen (1982:316) med förbud mot könsstympning av kvinnor.

23 §3

Om inte annat följer av 19– 22 §§ får en uppgift som angår misstanke om ett begånget brott och som är sekretessbelagd enligt 24 kap. 2 a eller 8 §, 25 kap. 1 §, 2 § andra stycket eller 3–8 §§, 26 kap. 1 §, 1 a § andra stycket eller 2–6 §§, 29 kap. 1 §, 31 kap. 1 § första stycket, 2 eller 12 §, 33 kap. 2 eller 4 a §, 36 kap. 3 § eller 40 kap. 2 eller 5 § lämnas till en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller någon annan myndighet som har till uppgift att ingripa mot brottet endast om misstanken angår

Om inte annat följer av 19– 22 §§ får en uppgift som angår misstanke om ett begånget brott och som är sekretessbelagd enligt 24 kap. 2 a eller 8 §, 25 kap. 1 §, 2 § andra stycket, 2 a § andra

stycket eller 3–8 §§, 26 kap. 1 §,

1 a § andra stycket eller 2–6 §§, 29 kap. 1 §, 31 kap. 1 § första stycket, 2 eller 12 §, 33 kap. 2 eller 4 a §, 36 kap. 3 § eller 40 kap. 2 eller 5 § lämnas till en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller någon annan myndighet som har till uppgift att ingripa mot brottet endast om misstanken angår

1. brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år,

2. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller

3. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168).

3 Senaste lydelse 2022:216.

24 §4

Sekretess som följer av andra sekretessbestämmelser än dem som anges i 19–23 §§, 25 kap. 2 § första stycket och 26 kap. 1 a § första stycket hindrar inte att en uppgift som angår misstanke om ett begånget brott lämnas till en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller någon annan myndighet som har till uppgift att ingripa mot brottet, om fängelse är föreskrivet för brottet och detta kan antas föranleda någon annan påföljd än böter.

Sekretess som följer av andra sekretessbestämmelser än dem som anges i 19–23 §§, 24 kap.

7 b §, 25 kap. 2 § första stycket, 2 a § första stycket och 26 kap.

1 a § första stycket hindrar inte att en uppgift som angår misstanke om ett begånget brott lämnas till en åklagarmyndighet, Polismyndigheten, Säkerhetspolisen eller någon annan myndighet som har till uppgift att ingripa mot brottet, om fängelse är föreskrivet för brottet och detta kan antas föranleda någon annan påföljd än böter.

24 kap.

Vidareanvändning enligt lag ( 0000:00 ) om viss vidareanvändning av personuppgifter för klinisk forskning

7 b §

Sekretess gäller hos en myndighet för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig av en myndighet i en region som bedriver verksamhet som avses i 25 kap. 1 § enligt lag ( 0000:00 ) om viss vidareanvändning av personuppgifter för klinisk forskning, om inte förutsättningarna enligt 3 kap. 2 § samma lag för att myndigheten ska få till-

4 Senaste lydelse 2022:216.

föra forskningen uppgiften är uppfyllda.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

9 §5

Den tystnadsplikt som följer av 2 a och 8 §§ och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 7 § andra meningen inskränker rätten enligt 1 kap.1 och 7 §§tryckfrihetsförordningen och 1 kap.1 och 10 §§yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.

Den tystnadsplikt som följer av 2 § inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställighet av beslut om vård utan samtycke.

Den tystnadsplikt som följer av 2 och 7 b §§ inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställighet av beslut om vård utan samtycke.

25 kap.

Precisionsmedicinsk databas

2 a §

Sekretess gäller hos en myndighet som bedriver verksamhet som avses i 1 § i en region för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig av en annan sådan myndighet som för precisionsmedicinsk databas enligt 6 kap. patientdatalagen (2008:355) , om inte förutsättningarna enligt 6 kap. 18 § samma lag för att myndigheten ska få behandla uppgiften är uppfyllda.

Om de förutsättningar som anges i första stycket är uppfyllda eller myndigheten har behandlat

5 Senaste lydelse 2018:1919.

uppgiften enligt 6 kap. 18 § tidigare, gäller sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Sekretessen gäller inte om annat följer av 7, 8, 10 § eller 26 kap. 6 §.

För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.

7 §

Sekretess gäller i verksamhet som anges i 1 §, 2 § andra stycket och 3–5 §§ för uppgift i anmälan eller utsaga av en enskild om någons hälsotillstånd eller andra personliga förhållanden, i förhållande till den som anmälan eller utsagan avser, endast om det kan antas att fara uppkommer för att den som har lämnat uppgiften eller någon närstående till denne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.

Sekretess gäller i verksamhet som anges i 1 §, 2 § andra stycket,

2 a § andra stycket och 3–5 §§ för

uppgift i anmälan eller utsaga av en enskild om någons hälsotillstånd eller andra personliga förhållanden, i förhållande till den som anmälan eller utsagan avser, endast om det kan antas att fara uppkommer för att den som har lämnat uppgiften eller någon närstående till denne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.

För uppgift i en allmän handling gäller sekretessen i högst femtio år.

10 §6

Sekretessen enligt 1 §, 2 § andra stycket, 3–5 §§ och 8 a och 8 b §§ gäller inte

Sekretessen enligt 1 §, 2 § andra stycket, 2 a § andra stycket, 3–5 §§ och 8 a och 8 b §§ gäller inte

1. beslut i ärende enligt lagstiftningen om psykiatrisk tvångsvård eller rättspsykiatrisk vård, om beslutet avser frihetsberövande åtgärd,

2. beslut enligt smittskyddslagen (2004:168), om beslutet avser frihetsberövande åtgärd,

3. beslut i ärende om klagomål mot hälso- och sjukvården eller dess personal,

6 Senaste lydelse 2010:679.

4. beslut i fråga om omhändertagande eller återlämnande av patientjournal, eller

5. beslut i ärende enligt 4 kap. 10 § eller 8 kap.patientsäkerhetslagen.

11 §7

Sekretessen enligt 1 § hindrar inte att uppgift lämnas

1. från en myndighet som bedriver verksamhet som avses i 1 § i en kommun till en annan sådan myndighet i samma kommun,

2. från en myndighet som bedriver verksamhet som avses i 1 § i en region till en annan sådan myndighet i samma region,

3. till en myndighet som bedriver verksamhet som avses i 1 §, 26 kap. 1 §, en enskild vårdgivare eller omsorgsgivare enligt det som föreskrivs i lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation,

4. från en myndighet som bedriver verksamhet som avses i 1 § i en region till en myndighet enligt det som föreskrivs i lag ( 0000:00 ) om viss vidareanvändning av personuppgifter för klinisk forskning,

5. från en myndighet som bedriver verksamhet som avses i 1 § i en region till en annan sådan myndighet i en annan region enligt det som föreskrivs i 6 kap. patientdatalagen (2008:355) ,

4. till ett nationellt eller regio-

nalt kvalitetsregister enligt patientdatalagen(2008:355),

5. från en myndighet som

bedriver verksamhet som avses i 1 § inom en kommun eller en region till annan sådan myndighet för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den

6. till ett nationellt eller regio-

nalt kvalitetsregister enligt patientdatalagen,

7. från en myndighet som

bedriver verksamhet som avses i 1 § inom en kommun eller en region till annan sådan myndighet för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den

7 Senaste lydelse 2022:916.

enskilde eller någon närstående till den enskilde lider men om uppgiften röjs, eller

6. till en enskild enligt vad

som föreskrivs i

enskilde eller någon närstående till den enskilde lider men om uppgiften röjs, eller

8. till en enskild enligt vad

som föreskrivs i

– lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål,

– lagen (1991:1129) om rättspsykiatrisk vård, – lagen (1995:831) om transplantation m.m., – smittskyddslagen (2004:168), – 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m., – lagen (2006:496) om blodsäkerhet, – lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler,

– lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ eller förordning som har meddelats med stöd av den lagen, eller

2 kap. lagen (2017:612) om samverkan vid utskrivning från sluten hälso- och sjukvård.

Denna lag träder i kraft den 1 januari 2025.

1.4. Förslag till förordning om vidareanvändning av patientdata i precisionsmedicinsk databas (0000:00)

Härigenom föreskrivs följande.

Inledande bestämmelser

1 § I denna förordning finns föreskrifter som ansluter till 6 kap. patientdatalagen (2008:355).

De ord och benämningar som används i förordningen har samma betydelse som i den nämnda lagen.

2 § Denna förordning är meddelad med stöd av 8 kap. 7 § regeringsformen.

Precisionsmedicinsk databas

3 § En precisionsmedicinsk databas ska tillgängliggöra personuppgifter för vården av en annan patient än den som uppgifterna avser.

Personuppgifterna i en precisionsmedicinsk databas får behandlas för de ändamål som anges i 6 kap. 5 § patientdatalagen (2008:355).

Samverkansregionala precisionsmedicinska databaser

4 § Endast en sådan regional myndighet inom hälso- och sjukvården som omfattas av en av de sex samverkansregioner för hälso- och sjukvård som anges i 3 kap. 1 § hälso- och sjukvårdsförordningen (2017:80) får inrätta och föra en precisionsmedicinsk databas enligt 6 kap. 10 § patientdatalagen (2008:355).

En samverkansregional precisionsmedicinsk databas får finnas i var och en av

1. samverkansregion Stockholm,

2. samverkansregion Linköping,

3. samverkansregion Lund/Malmö,

4. samverkansregion Göteborg,

5. samverkansregion Uppsala/Örebro eller

6. samverkansregion Umeå.

Precisionsmedicinsk databas inom den Nationella Genomikplattformen

5 § Hos en regional myndighet inom hälso- och sjukvården som ingår i Genomic Medicine Sweden får en precisionsmedicinsk databas inrättas och föras enligt 6 kap. 10 § patientdatalagen (2008:355) inom den Nationella Genomikplattformen.

Personuppgiftsansvar

6 § Endast den regionala myndighet som enligt 4 § inrättar och för precisionsmedicinsk databas får vara personuppgiftsansvarig för central behandling av personuppgifter i en precisionsmedicinsk databas enligt 6 kap. 7 § patientdatalagen.

7 § Den regionala myndighet som inrättar och för precisionsmedicinsk databas inom den Nationella Genomikplattformen enligt 5 § är personuppgiftsansvarig för central behandling av personuppgifter i databasen enligt 6 kap. 7 § patientdatalagen.

Urval och tillgängliggörande av personuppgifter till en precisionsmedicinsk databas

Samverkansregionala precisionsmedicinska databaser

8 § Vårdgivare som omfattas av en samverkansregion får endast tillgängliggöra personuppgifter till den precisionsmedicinska databas som finns i vårdgivarens samverkansregion.

9 § Vårdgivare som inte omfattas av en samverkansregion, men som bedriver hälso- och sjukvård med en region som huvudman, får tillgängliggöra personuppgifter till den samverkansregionala databas som huvudmannen omfattas av.

Precisionsmedicinsk databas inom den Nationella Genomikplattform

10 § Vårdgivare som ingår i Genomic Medicine Sweden får tillgängliggöra personuppgifter till den precisionsmedicinska databasen inom den Nationella Genomikplattformen.

Tillgång till personuppgifter precisionsmedicinsk databas

11 § Endast regionala myndigheter inom den samverkansregion där en samverkansregional precisionsmedicinsk databas förs får ges tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas i en samverkansregional precisionsmedicinsk databas.

12 § Endast de regionala myndigheter som ingår i Genomic Medicine

Sweden får ges tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas i den precisionsmedicinska databasen inom den Nationella Genomikplattformen.

Uppgiftslämnande

13 § Bestämmelser om sekretess inom allmän hälso- och sjukvårdsverksamhet finns i 25 kap. offentlighets- och sekretesslagen (2009:400).

Bestämmelser om tystnadsplikt inom enskild hälso- och sjukvårdsverksamhet finns i 6 kap.12, 13 och 16 §§patientsäkerhetslagen (2010:659).

Denna förordning träder i kraft den 1 januari 2025.

1.5. Förslag till förordning om ändring i patientdataförordningen (2008:360)

Härigenom föreskrivs i fråga om patientdataförordningen (2008:360)

att 2 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §1

Socialstyrelsen får, efter att ha gett Integritetsskyddsmyndigheten tillfälle att yttra sig, meddela föreskrifter om verkställigheten av

1. tilldelning av behörighet för åtkomst till uppgifter som förs helt eller delvis automatiserat enligt 4 kap. 2 § patientdatalagen (2008:355) samt sådan tilldelning av behörighet vid sammanhållen vård- och omsorgsdokumentation enligt 4 kap. 3 § lagen (2022:913) om sammanhållen vård och omsorgsdokumentation,

1. tilldelning av behörighet för åtkomst till uppgifter som förs helt eller delvis automatiserat enligt 4 kap. 2 § och 6 kap. 17 § patientdatalagen (2008:355) samt sådan tilldelning av behörighet vid sammanhållen vård- och omsorgsdokumentation enligt 4 kap. 3 § lagen (2022:913) om sammanhållen vård och omsorgsdokumentation,

2. dokumentation och kontroll av elektronisk åtkomst enligt 4 kap. 3 § patientdatalagen samt dokumentation och kontroll av åtkomst vid sammanhållen vård- och omsorgsdokumentation enligt 4 kap. 4 § lagen om sammanhållen vård- och omsorgsdokumentation,

3. de krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst eller annat elektroniskt utlämnande som avses i 5 kap. 5 § patientdatalagen och i 4 kap. 2 § lagen om sammanhållen vård- och omsorgsdokumentation, och

4. den information som ska ges till patienten enligt 8 kap. 5 § patientdatalagen.

Denna förordning träder i kraft 1 januari 2025.

1 Senaste lydelse 2022:924.

2. Utredningens uppdrag och arbete

2.1. Inledning

I detta kapitel beskrivs utredningens uppdrag och bakgrund till uppdraget, utredningens tolkning och avgränsningar av uppdraget, vissa begrepp som används i betänkandet samt hur utredningen har bedrivit sitt arbete.

2.2. Övergripande om uppdraget

I direktiven anges att utredaren ska: – Analysera vilka möjligheter som, utifrån befintlig lagstiftning kring

offentlighet och sekretess, tystnadsplikt samt dataskydd, finns för att personuppgifter eller andra data från flera individer ska kunna användas för vård och behandling av andra enskilda individer samt för att sådana uppgifter ska kunna delas mellan olika aktörer som bedriver vård eller forskning och innovation eller bådadera. Analysen ska även innefatta en analys av den enskildes behov av skydd för den personliga integriteten. – Bedöma om det behövs författningsändringar för att möjliggöra

att personuppgifter eller andra data från flera individer ska kunna användas för vård och behandling av andra enskilda individer samt för att sådana uppgifter ska kunna delas mellan olika aktörer som bedriver vård eller forskning och innovation eller bådadera, samt i så fall lämna nödvändiga författningsförslag.

– Om det är nödvändigt med författningsändringar, särskilt redo-

göra för hur författningsförslagen förhåller sig till regleringar om offentlighet och sekretess, tystnadsplikt, dataskydd och till den enskildes behov av skydd för den personliga integriteten. – Analysera vilka möjligheter som, utifrån befintlig lagstiftning kring

offentlighet och sekretess, tystnadsplikt samt dataskydd, finns för att möjliggöra sekundäranvändning av hälsodata från hälso- och sjukvården för ändamålen forskning, utvecklings- och innovationsverksamhet, undervisning på akademisk nivå samt statliga och regionala och kommunala myndigheters beslutsfattande. Analysen ska även innefatta en analys av den enskildes behov av skydd för den personliga integriteten. – Bedöma om det behövs författningsändringar för att möjliggöra

sekundäranvändning av hälsodata från hälso- och sjukvården för ändamålen forskning, utvecklings- och innovationsverksamhet, undervisning på akademisk nivå samt statliga och regionala och kommunala myndigheters beslutsfattande, samt i så fall lämna nödvändiga författningsförslag. – Om det är nödvändigt med författningsändringar, särskilt redogöra

för hur författningsförslagen förhåller sig till regleringar om offentlighet och sekretess, tystnadsplikt och dataskydd, och till den enskildes behov av skydd för den personliga integriteten. – Redogöra för de konkreta tillämpningssvårigheter när det gäller

den befintliga regleringen av hälsodata som eventuellt framkommer under utredningens gång.

I uppdraget ingår inte att lämna förslag till bestämmelser som bryter statistiksekretessen eller förslag som riskerar att leda till att individdata lagras i egna databaser hos privata aktörer där vidareutnyttjandet inte kan kontrolleras. Det framgår även av direktiven att regeringen gör bedömningen att det inte är inom ramen för regleringen om nationella och regionala kvalitetsregister i 7 kap. patientdatalagen (2008:355), förkortad PDL, eller inom ramen för regler om registerbaserad forskning, som de behov som beskrivs i direktiven kan tillgodoses.

Bakgrunden till uppdraget framgår av direktivet. Direktivet hänvisar bland annat till regeringens nationella life science-strategi (N2019/03157) och regeringens datastrategi, Data – en underutnyttjad

resurs för Sverige (I2021/02739) där det framgår att dataområdet är under stor förändring samt vilka möjligheter nya data kan ge upphov till.

Direktivet hänvisar också till behovet av ändrad lagstiftning rörande sekundäranvändning av hälsodata för vård av annan än den enskilde, vilket är en förutsättning för nationell implementering av viss precisionsmedicin i Sverige.

Därtill lyfts att regeringen fått en rad synpunkter från olika samhällsaktörer om att regleringen av hälsodata är utdaterad och svårtillämpad. Riksdagen har i ett tillkännagivande till regeringen anfört att en översyn av patientdatalagen och annan relevant lagstiftning bör göras.1 Det är enligt riksdagen angeläget att lagstiftningen på området är anpassad till de krav som dagens teknik ställer, samtidigt som skyddet för den personliga integriteten värnas. Utredningens direktiv är indelade i tre delar, utredningen redogör för tolkningen av var och ett av dem under avsnitt 2.3, 2.4 och 2.5.

2.3. Tolkning av uppdraget om att skapa förutsättningar för sekundäranvändning av hälsodata för patientändamål

Den första delen av utredningens direktiv avser enligt rubriken sekundäranvändning av hälsodata för patientändamål. I denna del av utredningens direktiv är förutsättningarna för implementeringen av precisionsmedicin inom hälso- och sjukvården en central del. Kopplat till precisionsmedicin lyfts i direktiven frågan om utbyte av personuppgifter mellan olika aktörer för vård och behandling av andra enskilda individer. I denna del lyfts även delning av personuppgifter mellan olika aktörer som bedriver vård eller forskning och innovation eller bådadera.

Utredningen uppfattar att uppdraget i denna del först och främst avser vidareanvändning av personuppgifter för vårdändamål. Patienten i sig kan inte vara ett ändamål för personuppgiftsbehandlingen, utan det är enligt utredningens tolkning av uppdraget vården av patienten som är ändamålet för personuppgiftsbehandlingen. Däremot uppfattar utredningen att begreppet ”patientändamål” ger uttryck för att de nyttor av vidareanvändning som avses i denna del är av patientnära karaktär. Exakt var gränsen för detta går är inte möjligt att fastställa

1 Bet. hälso- och sjukvårdsfrågor 2018/19:SoU8 punkt 58, rskr. 2018/19:233.

och utredningen ser inte heller att det är av avgörande betydelse för utredningens uppdrag.

Utredningen tolkar vidare uppdraget i denna del som att rättsläget behöver analyseras med avseende på förutsättningarna att för vårdändamål behandla personuppgifter som avser en patient för vården av en annan patient. Det ingår även att utreda förutsättningarna för sådan behandling av personuppgifter mellan aktörer som bedriver hälso- och sjukvård. Utifrån att ändamålet är vård, uppfattar utredningen att de aktörer som kan avses är sjukvårdshuvudmän och vårdgivare. Utredningen uppfattar att det övergripande syftet med analysen och eventuella författningsförslag avseende vidareanvändning av personuppgifter för vårdändamål är att kartlägga de juridiska förutsättningarna för, samt vid behov lämna de författningsförslag som krävs, för att precisionsmedicin ska kunna implementeras inom svensk hälso- och sjukvård. För en beskrivning av precisionsmedicin, se avsnitt 11.4.1.

I utredningens författningsförslag formuleras ändamålet som be-

handling av personuppgifter för vården av en annan patient än den som personuppgifterna avser, se vidare avsnitt 14.4.1.

Utöver vårdändamålet, avser uppdraget i första delen av direktiven även ändamålen innovation och forskning. Utredningen har i denna del uppfattat att uppdraget avser situationer där vård, innovation och forskning sker parallellt med varandra. Personuppgifter samlas in och används primärt för vårdändamålet. Det finns även stora behov att kunna använda uppgifterna för utveckling, innovation och forskning. I dessa situationer kan det vara svårt att bedöma vilket det primära- respektive sekundära ändamålet är. Många gånger har det inte heller en praktisk betydelse för den registrerade.

2.4. Tolkning av uppdraget att lämna förslag som möjliggör utökad sekundäranvändning av hälsodata

Direktiven i den andra delen tar avstamp i att det generellt finns stor potential i de mängder hälsodata som finns lagrade inom hälso- och sjukvården och som kontinuerligt samlas in. I direktiven lyfts att det finns ett växande behov av användning av hälsodata för att kunna möta alltmer komplexa samhällsutmaningar och att en mer dynamisk datadelning skulle kunna möjliggöra mer effektiv och medborgar-

centrerad service och vård. Dessutom skulle det kunna öka förmågan att möta samhällsutmaningar och kriser med hjälp av datadrivna analyser och fördjupade kunskapsunderlag som kan ge bättre helhetsbilder i realtid. Det anges vidare att det i dag inte bedöms finnas tillräckliga rättsliga, organisatoriska eller tekniska förutsättningar när det gäller sekundäranvändning av hälsodata för att dessa data ska kunna komma till nytta för ändamål som forskning, utvecklings- och innovationsverksamhet, undervisning samt statliga och regionala myndigheters beslutsfattande. Utifrån detta ska utredningen analysera möjligheterna till sekundäranvändning av hälsodata från hälso- och sjukvården för de angivna ändamålen och bedöma om det behövs författningsändringar för att möjliggöra sådan sekundäranvändning.

Utredningen uppfattar att uppdraget redan i nu nämnda delar är mycket omfattande. Det kan tänkas omfatta förbättringar för hälso- och sjukvården, men också andra samhällsfunktioner. Det kan tänkas omfatta både aktörer inom hälso- och sjukvården (offentliga såväl som privata), som statliga, regionala och kommunala myndigheter och privata företag som kan ha nytta av att använda hälsodata från hälso- och sjukvården. Det rör sig om aktörer med olika uppdrag och verksamheter, som omfattas av olika regelverk.

För det fall utredningen lämnar författningsförslag, ska utredningen enligt direktiven särskilt redogöra för hur författningsförslagen förhåller sig till regleringar om offentlighet och sekretess, tystnadsplikt och dataskydd, och till den enskildes behov av skydd för den personliga integriteten. Utredningen konstaterar att detta i sig innebär omfattande analyser. Ju fler typer av aktörer som omfattas av förslagen, desto fler perspektiv och juridiska aspekter aktualiseras kopplat till dessa analyser.

Utredning noterar att ändamålen forskning och innovation återfinns såväl i denna del av utredningens direktiv som i första delen, avseende uppdraget beträffande sekundäranvändning av hälsodata för patientändamål, se ovan avsnitt 2.3. I direktiven kommenteras inte hur dessa eventuellt överlappar varandra. Utredningen uppfattar att det delvis kan finnas en överlappning avseende uppdragen rörande ändamålen forskning och innovation. Forskning och innovation inom eller med nära koppling till hälso- och sjukvården, där nyttorna realiseras nära patienten, skulle kunna tänkas omfattas av båda delarna i uppdragen. I direktiven framgår en bedömning att det i dag inte finns tillräckliga rättsliga, organisatoriska eller tekniska förutsättningar när det

gäller sekundäranvändning av hälsodata för att dessa data ska kunna komma till nytta för ändamål som forskning, utvecklings- och innovationsverksamhet, undervisning samt statliga och regionala myndigheters beslutsfattande. Utredningens tolkning av de utpekade ändamålen i direktivens andra del redogörs för, var för sig, nedan.

2.4.1. Forskning

Av direktiven framgår ingen begränsning av vilken typ av forskning som omfattas. Det framgår dock att det är forskning som kräver tillgång till hälsodata. Utredningens bedömning är att det finns olika typer av forskning när det kommer till hälsodata. Det innebär att en mängd olika juridiska aspekter kan aktualiseras. I kapitel 6 beskriver utredningen viktiga begrepp och regelverk inom sådan forskning som utredningen tolkar är av vikt för utredningens arbete. En av utgångspunkterna för utredningens uppdrag beskrivs i direktiven vara life science-strategin. Det framgår även i direktiven att svensk medicinsk forskning och life science ska ligga i framkant för att Sverige ska vara internationellt konkurrenskraftigt inom området. Enligt Vetenskapsrådets definition syftar medicinsk forskning till att öka grundläggande kunskaper om hur celler och vävnader fungerar och interagerar, samt till att bidra till att förbättra och utveckla läkemedel, vård- och behandlingsmetoder och medicintekniska produkter.2 Det här tolkar utredningen som att forskningen som avses i direktiven sannolikt avser sådan hälsodata som utgörs av personuppgifter. När hälsodata utgörs av personuppgifter aktualiseras särskilda bestämmelser i dataskyddsförordningen. En möjlig tolkning av direktiven är att det först och främst avser forskning som stärker hälso- och sjukvården och att forskningen då utgår från hälsodata som utgörs av personuppgifter. Utredningen anser dock att det inte går att utesluta en bredare tolkning. Annan forskning kan vara forskning kring exempelvis trafiksäkerhet som indirekt kan påverka hälso- och sjukvården. Det här innebär att det är svårt att sätta en yttre gräns för vilken forskning som skulle kunna omfattas av utredningens direktiv.

Även om tolkningen av vilken forskning som ska omfattas begränsas till att primärt avse forskning som stärker hälso- och sjuk-

2 https://www.vr.se/uppdrag/klinisk-forskning/definitioner-av-begrepp-inom-medicinskoch-klinisk-forskning.html (Hämtat 2023-10-05).

vården, innebär sådan forskning att det finns behov som kräver flera olika juridiska perspektiv att ta hänsyn till.

2.4.2. Utveckling och innovation

I utredningens direktiv definieras utvecklings- och innovationsverksamhet som utvecklingen och implementeringen av nya eller förbättrade produkter, processer eller tjänster genom användning av tekniska uppgifter, affärsinformation och annan befintlig kunskap tillsammans med sekundäranvändning av person-uppgifter från hälso- och sjukvården.

Utredningens bedömning är att det finns olika typer av utveckling när det kommer till hälsodata. Det finns utveckling inom vården som är direkt kopplad till vården av patienterna och omfattas av sådan utveckling som anges i 2 kap. 4 § 4 PDL. Sedan finns utveckling som indirekt påverkar vården. Detta kan röra exempelvis utveckling av fastighetsskötsel eller annat, så som underhåll av ramper. Ett utvecklingsarbete på detta område skulle exempelvis kunna vara att ersätta en ramp med en hiss. Utredningen bedömer att denna typ av utveckling inte är den typ av utveckling som avses i utredningens direktiv. Däremot är det en övergående skala från denna typ av utveckling till den utveckling som är nära kopplad till patienten. Slutligen finns utveckling som indirekt kan påverka vården men som kan ha en annan typ av koppling till vården. Exempelvis har ett läkemedels- eller medicinteknikföretag närmre koppling till hälso- och sjukvården än en biltillverkare som tillverkar krockkuddar. Det går att argumentera för att båda utvecklar produkter som kopplar till hälsa, men utredningen bedömer att utveckling av produkter som ska användas i sjukvården för vård av patienter har en närmare koppling till vården än exempelvis krockkuddar och säkerhetsbälten. Utredningens arbete har i första hand utgått ifrån behovet i vårdens kärnverksamhet och i andra hand utgått ifrån behovet för life science sektorn och vårdens kringverksamhet. Utveckling för övriga sektorer har utredningen tagit hänsyn till i sista hand eftersom deras behov bedömts vara minst i förhållande till de andra.

Vad gäller begreppet innovation så är det inget begrepp som finns definierat i den svenska lagstiftningen. I den finska lagen för sekundäranvändning finns innovation som ett eget ändamål. Utredningen

har varit i kontakt med Findata3 angående hur innovation används i praktiken och hur det skiljer sig mellan forskning och utveckling. Deras bedömning var att innovationsbegreppet är svårt att använda och att datauttag många gånger görs som forskning i stället eftersom det ofta ger tillgång till mer hälsodata och därför också möjliggör för fler typer av analyser.4 Utredningen har därför tolkat att själva begreppet innovation kan ses som utveckling eller utveckling med mer verkshöjd.

2.4.3. Utbildning på akademisk nivå

Av direktiven framgår ingen tydlig avgränsning av vilken typ av utbildning på akademisk nivå som omfattas. Det framgår dock att det är sådan utbildning på akademisk nivå som i förlängningen förväntas stärka hälso- och sjukvården. Det finns olika typer av akademisk undervisning som i förlängningen kan förväntas stärka hälso- och sjukvården. Utredningens tolkning av behoven är att det främst rör blivande vårdpersonal som läkarstudenters tillgång till hälsodata när de gör praktik eller när de skriver sin examensuppsats. Utredningen tolkar även direktiven som att andra yrkeskategorier kan ha liknande behov under förutsättning att de behöver så kallad vårdförlagd utbildning under sin akademiska utbildning. Utredningen konstaterar att begreppen primär- och sekundäranvändning skapar vissa utmaningar i sammanhanget.

Avseende till exempel läkarstudenters examensuppsatser skrivs dessa, som utredningen förstått det, många gånger under primärändamålet utveckling, ur vårdgivarens perspektiv. Samtidigt är det primära ändamålet utbildning för studenten och lärosätet. Utredningens uppfattning att det oftast handlar om två parallella primära ändamål snarare än ett primärt och ett sekundärt.

När det kommer till läkarstudenters praktik eller så kallad vårdförlagd utbildning så skapar uppdelningen mellan primär- och sekundäranvändning också problem. Den primära anledningen till att studenten gör praktik är utbildning sett ur studentens och lärosätets perspektiv. Ur vårdgivarens eller patientens perspektiv är det primära syftet vård.

3 Findata är en finsk tillståndsmyndigheten som utfärdar tillstånd för sekundäranvädning av hälsodata. 4 Möte med THL 2022-10-21.

Utredningen har konstaterat att utbildning på akademisk nivå är ett ändamål som återfinns i den finska lagstiftningen om sekundäranvändning. Utredningens tolkning är att den finska lagstiftningen fungerat som förebild vid framtagandet av direktiven och att det är en av anledningarna till att utredningen haft i uppdrag att utröna vilka behoven av hälsodata som finns inom utbildning på akademisk nivå. Utredningen konstaterar sammanfattningsvis att det är komplext att tolka behoven ur enbart ett sekundäranvändningsperspektiv.

2.4.4. Myndigheters beslutsfattande

Av direktiven framgår ingen begränsning av vilken typ av myndigheters beslutsfattande som omfattas, mer än att kommunala, regionala och statliga myndigheter listas. Det framgår däremot att det är sådant beslutsfattande som kräver tillgång till hälsodata. Det här innebär att uppdraget kan omfatta oerhört många typer av beslut och sannolikt lika många juridiska aspekter och perspektiv. Utredningens bedömning av ändamålet statliga, regionala och kommunala myndigheters beslutsfattande är att regeringen önskat driva på utvecklingen där hälsodata används i större utsträckning för att fatta välgrundade beslut. Utredningens tolkning vad gäller kommunala och regionala myndigheter är att de sannolikt bör begränsas till att omfattas av sådana myndigheter som bedriver vård. Utredningens bedömning är att det finns en tydlig skillnad mellan behoven av hälsodata för kommunala eller regionala myndigheter i form av vårdgivare jämfört med till exempel statliga myndigheter. Gemensamt är dock att alla kan behöva hälsodata för att fatta vissa av sina beslut. Kommunala och kanske framför allt regionala vårdgivare har behov av hälsodata för att fatta beslut på macro- meso- och micronivå. Med macronivå avser utredningen exempelvis vårdbehov som en regionledning kan behöva fatta beslut kring.

Med mesonivå avser utredningen exempelvis vårdplanering för enskilda sjukhus. Med micronivå avser utredningen enskilda kliniker eller enskilda personers användning av hälsodata i enskilda patientmöten.

I korthet har utredningen bedömt att statliga myndigheter framför allt har registerförfattning att använda som grund för beslutsfattande när det rör hälsodata som utgörs av personuppgifter som behövs för beslutsfattandet. För kommunala och regionala vårdgivare

som kräver tillgång till hälsodata som utgörs av personuppgifter för sina beslutsfattande tillämpas PDL. Utredningens egen uppfattning om hur behoven bör tillgodoses omhändertas i avsnitt 2.7.8.

Utredningens bedömning är att vissa aspekter omhändertas inom utredningens författningsförslag som avser vårdändamålet. Vid personuppgiftsbehandling som avser vård av annan än den personuppgifterna avser, utgör de nya möjligheterna som följer av utredningens författningsförslag, en form av beslutsstöd. Beslutsfattande som behöver fattas som direkt rör vård av patienter bör, till viss del, enligt utredningens uppfattning omhändertas inom utvecklingsändamålet. Den bedömningen gör utredningen utifrån att slutsatser som kan dras vid utveckling av vården bör kunna ligga till grund för nya beslut i framtiden.

Övriga behov handlar, enligt utredningens bedömning, sannolikt ofta om tillgång till hälsodata på aggregerad nivå som efterfrågas när det gäller olika myndigheters beslutsfattande. Utredningen tolkar därför direktiven som att det ges uttryck för att det främst saknas organisatoriska och tekniska möjligheter för att kunna använda hälsodata för dessa myndigheters beslutsfattande.

2.4.5. Frågan om inrättande av en nationell datahubb

Bedömning: Enligt direktiven ska utredningen säkerställa att de

förslag som lämnas är förenliga med målsättningen att inom ramen för en befintlig myndighet inrätta en teknisk och organisatorisk funktion för säker och effektiv delning av hälsodata. Utredningen har tolkat uppdraget som att det inte omfattar att lämna förslag på inrättande av en nationell datahubb vid en myndighet eftersom det skulle kräva omfattande och genomgripande författningsförslag som inte skulle ge utrymme åt utredning av de ändamål som uttryckligen anges i direktiven. Utredningen resonerar däremot så långt det är möjligt utan att lämna författningsförslag i kapitel 19–21 om införande av en sådan nationell datahubb. Resonemangen i dessa kapitel utgörs av bedömningar som efter ytterligare utredning kan leda till författningsförslag.

I utredningen direktiv anges att uppdraget omfattar att säkerställa att de förslag som lämnas är förenliga med målsättningen att inom ramen för en befintlig myndighet inrätta en teknisk och organisatorisk

funktion för säker och effektiv delning av hälsodata, i likhet med Findata i Finland eller andra liknande strukturer i andra länder. Utredningen noterar också att det finns stora likheter mellan de ändamål som omfattas av utredningens uppdrag avseende utökade möjligheter till sekundäranvändning av hälsodata och de ändamål som omfattas av den finska sekundäranvändningslagen. Vidare anges i direktiven att för att förbättrade rättsliga möjligheter till sekundäranvändning av hälsodata ska kunna få verkligt genomslag behöver dessa förbättringar framöver kunna kompletteras med bättre tekniska, kompetensmässiga och organisatoriska funktioner för den faktiska datadelningen. Dessa faktorer är också förutsättningar för att Sverige ska kunna vara en del av det europeiska hälsodataområdet. En möjlighet är att en befintlig myndighet görs ansvarig för att möjliggöra datadelning i likhet med Findata i Finland. Utredningen har utifrån detta haft anledning att ta ställning till hur långt utredningens förslag ska gå.

Utredningen uppfattar att uppdraget omfattar att kartlägga och analysera strukturer för datadelning i andra länder. Utredningen har tolkat detta som strukturer som följer av delen av förslagen till Europeiska kommissionens förslag till Europaparlamentets och Rådets förordning om ett europeiskt hälsodataområde, COM(2022) 197 final av den 3 maj 2022, förkortat förslaget till EHDS, som avser sekundäranvändning. Utredningen redogör för detta i kapitel 10. Utredningen uppfattar även uppdraget att se över just juridiska utmaningar med dagens lagstiftning. Utredningen har dock inte tolkat uppdraget som att det omfattar att lämnar förslag på inrättande av en nationell datahubb vid en statlig myndighet. Denna bedömning gör utredningen bland annat för att det inte uttryckligen står i direktivet. Att inrätta en nationell datahubb är ett mycket omfattande arbete och om regeringen hade velat att utredningen gjorde det så utgår utredningen från att det tydligt framgått av direktiven och att tydliga tekniska specifikationer skulle angetts. Utredningens uppfattning är även att utredningstiden skulle varit anpassad efter ett sådant uppdrag om det skulle ingått i uppdraget. Det hade inte varit möjligt för utredningen att både utreda rättsliga förutsättningar för de uttryckliga ändamålen som anges i direktiven parallellt med en så stor fråga som etableringen av en nationell datahubb med de angivna tidsramarna. Utredningen tolkar skrivelsen om att förslagen ska vara förenliga med målsättningen som att regeringen har en sådan målsättning men att regeringen har för ambition att först uttryckligen peka ut lämplig statlig myndighet

och att regeringen kommer återkomma i denna fråga. Utredningen bedömer vidare att det är rimligt att regeringen medvetet avvaktat med att uttryckligen skriva ut ett uppdrag om att reglera upp en nationell datahubb eftersom stora delar av en sådan datahubb sannolikt kommer påverkas av förslaget till EHDS. Av den anledningen bedömer utredningen att det är lämpligt att etableringen av en nationell datahubb utreds när regeringen vet mer om hur den slutliga förordningen kommer att se ut. Frågor som tekniska möjligheter, infrastruktur, it och informationssäkerhet behöver ses över med ett samlat grepp för att se vad som är möjligt att genomföra. Detta är frågor som utredningen inte haft möjlighet eller kompetens att se över. För att arbetet med att etablera en nationell datahubb ska bli så effektivt som möjligt behöver regeringen först peka ut lämplig statlig myndighet för att sedan utreda vilka rättsliga förutsättningar just den myndigheten skulle ha för uppdraget.

Utredningen har därför valt att fokusera på att skapa ett så bra underlag som möjligt för regeringen i dess arbete att ta fram en nationell datahubb, se kapitel 19–21 och bilaga 4.

2.5. Tolkning av uppdraget att redogöra för tillämpningssvårigheter gällande befintlig reglering

Enligt utredningens direktiv har utredningen i uppdrag att redogöra för eventuella tillämpningssvårigheter när det gäller befintlig reglering av hälsodata. Syftet med detta anges i direktivet vara att konkretisera vilka problem som finns och på så sätt underlätta regeringens fortsatta arbete på hälsodataområdet. Utredningen tolkar denna del av uppdraget som att regeringen konstaterar att behoven är många på hälsodataområdet och att utredningen inte kan förväntas lämna förslag på alla behov och problem som identifieras under utredningens gång. Utredningen avser därför redogöra för vilka utmaningar och behov som behöver ses över och vad det är för tillämpningssvårigheter som behöver utredas vidare för att kunna komma till rätta med problemen. Utredningen har valt att dela upp denna del i två delar för att på ett pedagogiskt sätt kunna hjälpa regeringen på bästa sätt med de resurser och den kompetens som utredningen haft tillgänglig. Den första delen rör behov som utredningen bedömer helt eller delvis kan lösas med

hjälp av en nationell datahubb (kapitel 19–21). Den andra delen rör frågor för fortsatt utredning som utredningen bedömer inte helt eller delvis går att lösa med hjälp av en nationell datahubb (kapitel 22–23).

2.6. Begrepp som påverkar tolkningar och avgränsningar av uppdraget

2.6.1. Definition av hälso- och sjukvården

Hälso- och sjukvården i utredningens direktiv

Hälso- och sjukvården är central i utredningens direktiv. Uppdraget att skapa förutsättningar för sekundäranvändning av hälsodata för patientändamål/vårdändamål har huvudfokus på hälso- och sjukvården, se vidare avsnitt 2.3. Uppdraget avseende utökade möjligheter till sekundäranvändning av hälsodata för forskning, utvecklings- och innovationsverksamhet, undervisning på akademisk nivå samt statliga och regionala och kommunala myndigheters beslutsfattande avser hälsodata ”från hälso- och sjukvården”.

Direktiven ger också uttryck för att det först och främst är i hälso- och sjukvården som nyttan av sekundäranvändningen ska realiseras. I direktiven talas om hälsodata som nationell resurs för framtidens hälso- och sjukvård och att sekundäranvändning för angivna ändamål förväntas stärka hälso- och sjukvården. I den inledande sammanfattningens av uppdraget anges att syftet med uppdraget är att utveckla möjligheterna till sekundäranvändning av hälsodata för att direkt eller indirekt stärka hälso- och sjukvården.

Utredningen noterar att det i direktiven saknas en definition av hälso- och sjukvården. Det anges inte heller vad som närmare avses med hälsodata ”från” hälso- och sjukvården. I det följande redogörs för hur utredningen definierar hälso- och sjukvården samt hur utredningen tolkar formuleringen ”från hälso- och sjukvården”.

Hälso- och sjukvård i lagstiftningen

Hälso- och sjukvård definieras i olika lagar. Definitionerna skiljer sig något åt.

Enligt hälso- och sjukvårdslagen (2017:30), förkortad HSL, avses med begreppet hälso- och sjukvård åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador, sjuktransporter, och omhändertagande av avlidna (2 kap. 1 § HSL).

Tillämpningsområdet för patientdatalagen (2008:355), förkortad, PDL är vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal. Förutom verksamhet enligt hälso- och sjukvårdslagen omfattar PDL även verksamheter i ett antal andra uppräknande lagar. Dessa är tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter, lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar samt den upphävda lagen (1944:133) om kastrering (1 kap. 3 § PDL).

I lag (2022:913) om sammanhållen vård- och omsorgsdokumentation, förkortad SVOD, definieras hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering (1 kap. 1 § SVOD).

Enligt biobankslag (2023:38) avses med hälso- och sjukvård verksamhet som omfattas av hälso- och sjukvårdslagen (2017:30) eller tandvårdslagen (1985:125).

Utredningens definition av hälso- och sjukvård

Utredningen konstaterar att det finns legaldefinitioner av hälso- och sjukvård. Utredningen anser att det är lämpligast att ansluta sig till en sådan befintlig definition av hälso- och sjukvård. Mot bakgrund

av att utredningens författningsförslag avser vidareanvändning av personuppgifter från hälso- och sjukvården utgår utredningen från tillämpningsområdet för PDL och därmed från definitionen av hälso- och sjukvård i den lagen. Vilka verksamheter som omfattas av utredningens förslag framgår av avsnitt 2.8. Det är vårdgivares behandling av personuppgifter enligt PDL som är utredningens utgångspunkt.

När det i utredningens direktiv anges ”vården”, tolkar utredningen det som att det är svensk hälso- och sjukvård som avses.

Socialtjänsten omfattas inte av hälso- och sjukvården, se vidare nedan avsnitt 2.7, Utredningens avgränsning av uppdraget.

Hälsodata ”från” hälso- och sjukvården omfattar enligt utredningens tolkning hälsodata som finns lagrad inom hälso- och sjukvården. Formulerat utifrån PDL:s tillämpningsområde får förstås personuppgifter som behandlas av vårdgivare inom hälso- och sjukvården (se 1 kap. 1 PDL). Utifrån tryckfrihetsförordningens (1949:105), förkortad TF, terminologi avser det hälsodata i handlingar som förvaras hos en myndighet som bedriver hälso- och sjukvård (se 2 kap. 3, 4 och 6–8 §§ TF).

Hälsodata från hälso- och sjukvården skulle också kunna tänkas avse hälsodata som producerats inom hälso- och sjukvården men som även finns hos andra aktörer. Till exempel rapporterar vårdgivare in data till statliga myndigheter, såsom Socialstyrelsen och Läkemedelsverket.

2.6.2. Begreppet hälsodata

Utredningens uppdrag avser enligt direktiven uteslutande sekundäranvändning av hälsodata. I direktiven definieras hälsodata med anknytning till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad EU:s dataskyddsförordning. Med hälsodata avses enligt direktiven en dokumenterad personuppgift som rör en persons

fysiska eller psykiska hälsotillstånd i bred bemärkelse och som utgör känsliga personuppgifter enligt EU:s dataskyddsförordning.

Utredningen noterar att begreppet hälsodata används allt oftare i olika sammanhang, vilket bland annat framgår av utredningsdirek-

tiven. Begreppet används av olika aktörer och dess innebörd varierar. Utredning konstaterar att begreppet inte har någon rättslig definition och att det inte heller i andra sammanhang har en entydig definition. I avsnitt 19.2 berörs också hälsodataområdets komplexitet.

Utredningen använder begreppet ”data” i meningen dokumenterad information (se avsnitt 3.2). Data är typiskt sett information i digitalt format, men kan också avse information som dokumenterats på annat sätt.

Infallsvinklar på begreppet hälsodata

En möjlig infallsvinkel på begreppet hälsodata är att knyta an till vad som utgör känsliga personuppgifter enligt EU:s dataskyddsförordning. Begreppet skulle då i vart fall omfatta uppgifter om hälsa enligt artikel 9.1. Om begreppet ska omfatta ”fysiska eller psykiska hälsotillstånd i bred bemärkelse”, såsom anges i direktiven, skulle det sannolikt också behöva omfatta genetiska uppgifter enligt samma bestämmelse i dataskyddsförordningen. En liknande typ av definition som anknyter till uppgifterna som sådana kopplat till en individ, är den som Kommittén för teknologisk innovation och etik, KOMET, har valt i sin rapport om samtycke inom vård och inom medicinsk forskning. I rapporten definieras hälsodata som ”en dokumenterad uppgift som rör en persons fysiska eller psykiska hälsotillstånd”.5

En sådan definition skulle dock utesluta data som inte är personuppgifter enligt EU:s dataskyddsförordning. Den synliggör inte heller andra juridiska perspektiv som kan finnas, till exempel sekretess.

Ett annat sätt att närma sig begreppet hälsodata är att försöka beskriva vad det är för typ av information. Hälsodata kan då kort och gott beskrivas som data kopplade till människors hälsa (se prop. 2022/21:60, s. 81). Ett liknande, men mer konkret sätt att förhålla sig till hälsodata, är att ange vilken typ av uppgifter som menas med tillhörande exempel. Detta sätt används också huvudsakligen i Socialstyrelsens rapport Kartläggning av datamängder av nationellt

intresse på hälsodataområdet – delrapport6 I rapporten beskrivs typer

av hälsodata enligt följande:

5 Komet beskriver 2019:07. Samtycke inom vård och medicinsk forskning, s. 3. 6 Kartläggning av datamängder av nationellt intresse på hälsodataområdet – delrapport, Nationellt tillgängliga hälsodata för en datadriven hälso- och sjukvård, forskning och innovation (2022-3-7781).

  • Vårddata; exempelvis diagnoser, vårdåtgärder, läkemedelsanvändning, laboratoriesvar, bildanalys, enkäter, skattningsskalor, med mera inom vård och omsorg, tandvård eller socialtjänstens områden.
  • Livsstilsdata; kost, fysisk aktivitet, alkohol, narkotika, dopning, tobak och spel, livskvalitet, med mera.
  • Biologiska data; ålder, fenotyp, mikrobiomarkörer, vävnader, biometrisk information, genomik med mera.
  • Socioekonomiska data; socialförsäkringsdata, yrke, utbildning, inkomst, demografiska data (bostadsområde, folkbokföringsadress, födelseland) med mera.
  • Organisatoriska; sjukvårdssystem (organisatoriska, geografiska, ekonomiska data om verksamheter och personal till exempel yrke och utbildningsnivå, arbetsställe, med mera), produktregister.
  • Miljödata; luft, vatten, boendemiljö, utemiljöer för barn med mera.
  • Aggregerad information; beteenderelaterade mönster som resmönster, sökmönster (till exempel rådgivning, 1177, 112) med mera.

Ovan nämnda data kan många fall utgöra personuppgifter och även känsliga personuppgifter enligt EU:s dataskyddsförordning, men de måste inte alltid måste vara det. Hälsodata enligt detta synsätt är alltså bredare än den möjliga definitionen enligt utredningens direktiv som har anknytning till EU:s dataskyddsförordning.

Ett principiellt annat sätt att förhålla sig till begreppet hälsodata är att koppla begreppet till data i en viss verksamhet eller aktör, det vill säga var informationen finns. Hälsodata skulle då kunna definieras utifrån aktörer som bedriver verksamhet där det samlas in och registreras typer av hälsodata, till exempel vårddata och biologiska data. Sådana aktörer kan vara vård- och omsorgsgivare. Hälsodata kan utifrån detta beskrivas som data inom hälso- och sjukvården eller socialtjänsten.

Det går också att kombinera en beskrivning av informationen med var den finns, till exempel biologiska data, vårddata och livsstilsdata som genereras inom hälso- och sjukvården och omsorgen.7I Socialstyrelsens rapport ovan beskrivs vårddata i sig som information inom vård och omsorg, tandvård eller socialtjänstens områden.

7 Se för ett sådant angreppssätt, E-hälsomyndighetens förstudie om ett statligt, nationellt datautrymme för bilddiagnostik (S2021/03122), s. 147.

En definition med koppling till hälsodata som innehåller både typ av information som avses samt var den finns, i kombination med en koppling till EU:s dataskyddsförordning, finns förslaget till EHDS. I förslaget till EHDS definieras personliga e-hälsodata som uppgifter om hälsa och genetiska uppgifter enligt definitionen i EU:s dataskyddsförordning, samt uppgifter som avser bestämningsfaktorer för hälsa, eller uppgifter som behandlas i samband med tillhandahållande av hälso- och sjukvårdstjänster, och som behandlas i elektroniskt format (se artikel 2.2 a) i förslaget till EHDS).

Utredningens beskrivning av hälsodata

Utredningen använder begreppet hälsodata med innebörden dokumen-

terad information som avser vårddata, biologiska data, eller livsstilsdata.

Motivering till utredningens beskrivning är att utredningen anser att en beskrivning av hälsodata inte bör grundas i något regelverk. Det regelverk som i och för sig skulle ligga närmast till hands, utifrån att det har störst generell tillämplighet, är EU:s dataskyddsförordning. Om en definition av hälsodata ska göras utifrån ett regelverk, bör det enligt utredningens mening knyta an till EU:s dataskyddsförordning och utformas i linje med den definition som finns i utredningens direktiv. Hälsodata behöver dock inte alltid vara personuppgifter enligt dataskyddsregelverket. Det kan också vara så att ett så kallat dataset innehåller både information som är personuppgifter och som inte är det, eller inte längre är det. I ett dataset finns ofta en mängd variabler, där vissa utgörs av personuppgifter, andra inte. Några variabler kan utgöra personuppgifter först när de kombineras. Samtidigt finns andra regelverk som också kan vara tillämpligt på hälsodata, såsom sekretessregler. Utredningen ser därför ett behov av att frikoppla beskrivningen av hälsodata från olika potentiellt tillämpliga regelverk. Dessa kan i stället appliceras på den beskrivning som utredningen föreslår.

Förklaring till beskrivningen

Utredningen ser ett behov av en generell beskrivning av hälsodata som är praktiskt användbar för att belysa vilken typ av information som omfattas av begreppet. Utgångspunkten bör därför vara en be-

skrivning som anger vissa typer av information. Beskrivningen bör vara användbar och begriplig för både praktiker och jurister.

En omfattande eller allmänt hållen beskrivning av informationstyper har fördelen att den inte skapar gränsdragningsproblem. En sådan beskrivning tenderar dock att bli intetsägande och inte tillföra något av värde. Begreppet bör därför enligt utrednings uppfattning avgränsas på något sätt. Utredningens ambition har varit att ringa in det centrala och hitta kärnan i den information som bör anses vara hälsodata. Utredningen har därför övervägt olika sätt att avgränsa innebörden av begreppet hälsodata. Utredningen noterar en principiell skillnad mellan data om hälsa som härrör från individen och data som avser utifrån kommande faktorer som kan påverka människors hälsa. Exempel på data som härrör från individen är diagnos, biologisk ålder och personens arvsmassa, medan luftföroreningar eller socioekonomi inte härrör direkt från individen. Data som avser faktorer som kommer utifrån bör enligt utrednings mening inte ingå i en beskrivning av hälsodata, eftersom dessa snarare är faktorer som samvarierar med en persons hälsa eller på annat sätt indirekt säger något om en persons hälsa. Exempelvis går det att göra antaganden om att personer som utsatts för en viss typ av luftföroreningar på gruppnivå kommer ha sämre hälsa, men den hälsodata som direkt kopplar till individen är information om ett hälsotillstånd, som kan eller inte kan uppstått till följd av luftföroreningarna.

Utredningen konstaterar även att det finns en skiljelinje mellan information som i sig avser en individs hälsa och information om faktorer som är bestämmande för en individs hälsa, så kallade bestämningsfaktorer för hälsa (se artikel 2.2 a) i förslaget till EHDS). Bestämningsfaktorer för hälsa är exempelvis yrke, utbildning och sjukvårdssystem. Dessa faktorer kan påverka individens hälsa och ha betydelse för folkhälsan i stort. En beskrivning som omfattar även bestämningsfaktorer för hälsa riskerar dock att bli så vid att i princip vilka faktorer som helst ingår. Utredningen anser att en sådan beskrivning inte skulle bli särskilt praktiskt användbar. Avseende betydelsen av vårddata, biologiska data och livsstilsdata ansluter sig utredningen till den betydelse som anges i Socialstyrelsens rapport

Kartläggning av datamängder av nationellt intresse på hälsodataområdet

– delrapport8 Vårddata avser enligt utredningens tolkning av del-

rapporten all data om en individ inom områdena hälso- och sjukvård, omsorg, tandvård och socialtjänst. Det här innebär att utredningens uppfattning är att vissa uppgifter, som enligt Socialstyrelsens delrapport, kategoriseras som biologiska data eller livsstilsdata även utgör vårddata. Därutöver anser utredningen att även andra uppgifter, som yrke, bör omfattas av begreppet hälsodata när de finns inom områdena hälso- och vård och omsorg, tandvård eller socialtjänst. När vissa uppgifter som exemplet yrke inte finns inom dessa områden utgör de därför inte hälsodata, enligt utredningens uppfattning.

Utredningen ser ett behov av att definitionen ska belysa vilken typ av information som omfattas av begreppet. Utredningen anser att information om hälsa som härrör från individen är en rimlig avgränsning för att begreppet ska bli praktiskt användbart. På utredningens beskrivning av hälsodata kan olika aspekter läggas, exempelvis tillägg eller precisering av aktörer eller typ av verksamhet. Även olika rättsliga aspekter kan adderas till beskrivningen. Exempelvis kan man tala om hälsodata hos vårdgivare eller hälsodata som sekretessbelagda uppgifter eller uppgifter som omfattas av tystnadsplikt. På samma principiella sätt kan även utredningens författningsförslag beskrivas. Utrednings författningsförslag avser, på datahållarsidan, hälsodata i form av personuppgifter som finns inom hälso- och sjukvården, se avsnitt 2.7.

2.6.3. Begreppet patientdata

Enligt 1 kap. 1 § PDL ska PDL tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Begreppet patientdata definieras inte och förekommer inte alls i själva lagen. Utredningen konstaterar att det saknas en rättslig definition av patientdata. Däremot kan det konstateras att PDL reglerar vårdgivares personuppgifter inom hälso- och sjukvården och att lagen i tillämpliga delar även uppgifter om avlidna personer. Det vore därför rimligt att anta att begreppet patientdata avser personuppgifter, men att begreppet omfattar mer än personuppgifter enligt dataskyddsförordningen som inte är tillämplig på avlidna. Vad som avses med inom hälso- och sjuk-

8 Kartläggning av datamängder av nationellt intresse på hälsodataområdet – delrapport, Nationellt tillgängliga hälsodata för en datadriven hälso- och sjukvård, forskning och innovation (2022-3-7781), s. 13.

vården kan sannolikt kopplas till de bestämmelser lagen anger om

vårdgivares skyldighet att föra patientjournal. I PDL finns regler om journalföring som i stora delar fördes över oförändrade från 1985 års patientjournallag.9

En grundläggande bestämmelse föreskriver att det vid vård av patienter finns en skyldighet att föra patientjournal (se 3 kap. 1 § första stycket PDL). Syftet med att föra patientjournal är i första hand att bidra till en god och säker vård av patienten (3 kap. 2 § första stycket PDL). Av 3 kap. 2 § andra stycket PDL framgår att patientjournalen även är en informationskälla för patienten, uppföljning och utveckling av verksamheten, tillsyn och rättsliga krav, uppgiftsskyldighet enligt lag samt forskning.

I förarbetena till PDL anförs att patientjournalen i första hand är ett arbetsinstrument för hälso- och sjukvårdspersonalen. Vidare anförs att journalens grundläggande syfte är att tillgodose patientens intresse av en god och säker vård. Journalen kommer emellertid även fortsatt att ha betydelse inte bara för patienten själv utan även som till exempel underlag vid verksamhetsuppföljning, kontroll och tillsyn eller i rättsliga sammanhang samt som källmaterial vid forskning och kvalitetssäkring. För att detta ska tydliggöras i den föreslagna ramlagstiftningen ansåg regeringen att en bestämmelse om syftet med journalföringen skulle införas (prop. 2007/08:126, s. 8990).

Skyldigheten att föra patientjournal är kopplat till hälso- och sjukvårdspersonalens medicinska yrkesansvar (se prop. 2007/08:126, s. 81). Utgångspunkten är att den som enligt 4 kap. patientsäkerhetslagen (2010:659) har legitimation eller särskilt förordnande för att utöva ett visst yrke har skyldighet att föra patientjournal (3 kap. 3 § 1 PDL). Därutöver finns skyldighet att föra patientjournal för vissa andra yrkeskategorier, utan att dessa innehar legitimation för yrket (se 3 kap. 3 § 2–4 PDL). I äldre förarbeten pekas den medicinska ledning ut som ytterst ansvarig för att personalen fullgör sina skyldigheter, däribland journalföringen (se prop. 1984/85:189, s. 26). Numera anges dock oftare vårdgivaren som ytterst ansvarig för att tillse att hälso- och sjukvårdspersonalen kan fullgöra sina skyldigheter.10

Det finns även regler om vad en patientjournal ska innehålla. Övergripande gäller att en patientjournal endast får innehålla de uppgifter som behövs för ändamålet vårddokumentation, det vill säga

9Prop. 2007/08:126, s. 46 och 90. 10 Se till exempel SOSFS 2011:9 och HLSF-FS 2016:40.

uppgifter som behövs i och för vården av patienten eller som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall (3 kap. 5 § PDL och 2 kap. 4 § första stycket 1 och 2 PDL). Patientjournalen ska vidare innehålla de uppgifter som behövs för en god och säker vård av patienten (3 kap 6 § första stycket PDL).

Uppgifter som tillförs en patientjournal bör därför vara att anse som patientdata. Enligt utredningens bedömning är det dock olyckligt att en författning har ett namn som inte definieras. Trots detta kommer utredningen att använda begreppet i delar av författningsförslagen. Det beror på att utredningen av lagtekniska skäl behöver ta hänsyn till befintliga namn på författningar. Om en författning sakligt hör samman med en annan författning, kommer sambandet mellan de båda författningarna nämligen att framgå av SFS-registret endast om författningarnas rubriker innehåller samma ord eller ord som börjar på samma sätt och som är lämpliga som sökord i registret.11 Av den anledningen har utredningen gjort bedömningen att det är lämpligt att använda begreppet patientdata för att författningsförslagen ska kopplas till PDL i SFS-registret vid till exempel en sökning på författningar.

2.6.4. Primär- och sekundäranvändning i rättsliga sammanhang

Med sekundäranvändning av personuppgifter avses enligt utredningens direktiv behandling av personuppgifter för något annat ändamål än det primära ändamålet med personuppgiftsbehandlingen. Direktiven definierar alltså sekundäranvändning i förhållande till primäranvändning. Direktivens definition av sekundäranvändning bygger på att det kan klarläggas vad som menas primär användning eller det primära ändamålet med behandling av personuppgifter. Primär- respektive sekundär användning definieras inte i EU:s dataskyddsförordning. Begreppet har dock nära koppling till bestämmelsen om ändamålsbegränsning i artikel 5.1 b i EU:s dataskyddsförordning.

Europeiska dataskyddsstyrelsen, förkortad EDPB, har utfärdat Riktlinjer 03/2020 om behandling av uppgifter om hälsa för vetenskapliga forskningsändamål i samband med covid-19-utbrottet. I dessa

11 Se Ds 2014:1, s. 17.

riktlinjer används begreppen primär och sekundär användning i samband med behandling om av personuppgifter för vetenskapliga forskningsändamål (se punkten 11). Med primär användning avses enligt riktlinjerna ”forskning utifrån personuppgifter (om hälsa) som består i användning av uppgifter som samlats in direkt för vetenskapliga studier”. Med sekundär användning avses "forskning utifrån personuppgifter (om hälsa) som består i ytterligare behandling av uppgifter som ursprungligen samlades in för ett annat ändamål”. EDPB kopplar alltså primär användning till det ursprungliga insamlingsändamålet, annan sekundär användning är ytterligare behandling av personuppgifter för ett annat ändamål.

Ett liknande sätt att göra skillnad på primär och sekundär användning av hälsodata är den som finns i den finska lagen om sekundäranvändning av personuppgifter inom social- och hälsovården (552/2019, ursprungligen i kraft 2019-05-01), förkortad finska sekundäranvändningslagen. I den finska sekundäranvändningslagen definieras begreppet ”primärt användningsområde för personuppgifter” som det användningsändamål för vilket personuppgifterna ursprungligen har registrerats (1 kap. 3 § 2). I samma lag definieras ”sekundärt användningsändamål för personuppgifter” som användning av personuppgifter för något annat användningsändamål än det primära användningsändamål som avses i definitionen av primärt användningsområde för personuppgifter (1 kap. 3 § 3).

I 2 kap. 4 PDL görs inte skillnad på ändamål som avser ”primäranvändning” eller ”sekundäranvändning” eftersom återanvändningen är så nära kopplad till kärnverksamheten. I propositionen till PDL uttalas att eftersom patientdatalagen får ett väsentligen mera vidsträckt tillämpningsområde i förhållande till vårdregisterlagen är det olämpligt att som i dag dela in ändamålen i primära och sekundära ändamål. Både primära och sekundära ändamål handlar om personuppgiftsbehandlingar som, mer eller mindre integrerat, normalt äger rum i varje vårdgivares egen verksamhet (prop. 2007/08:126, s. 56). Behandling av personuppgifter för exempelvis utveckling och uppföljning av vårdgivarens verksamhet avser i stor utsträckning återanvändning av uppgifter som samlats in i för vården av patienter och skulle därför kunna ses som sekundäranvändning. När det gäller registerförfattningar för statliga myndigheter görs skillnad på primära ändamål som myndigheten får samla in personuppgifter för inom myndighetens egen verksamhet, och sekundära som myndigheten får lämna

ut uppgifter för till externa mottagare, se SOU Dataskydd inom Socialdepartementet, s. 151).

I förslaget till EHDS finns definitioner kopplade till primär och sekundär användning av hälsodata. Med primär användning av e-hälso-

data avses behandling av personliga e-hälsodata för tillhandahållande

av hälso- och sjukvård i syfte att bedöma, bibehålla eller återställa hälsotillståndet hos den fysiska person som dessa data avser, inklusive förskrivning, expediering och tillhandahållande av läkemedel och medicintekniska produkter, samt för relevanta socialförsäkringsinstitutioner, förvaltningsenheter eller enheter med ansvar för utbetalning av ersättning.

Definitionerna i förslaget till EHDS tar, till skillnad från ovan nämnda definitioner, inte utgångspunkt i vad som är ändamålet för insamlingen, utan bestämmer vad som är primär och sekundär användning frikopplat från ursprunglig insamling och vidareanvändning. Ursprunglig insamling och registrering för forskning klassas då alltid som sekundär användning. Utredning uppfattar att detta är ett nytt sätt att förhålla sig till primär och sekundär användning som inte ligger i linje med den innebörd som begreppen för närvarande typiskt sett brukar ha.

Praktiska aspekter på primär- och sekundäranvändning

Utredningens erfarenhet är att det är svårt att i praktiken göra skillnad på primär och sekundär användning av hälsodata. En sekundäranvändning kan uppfattas ske för ett primärt ändamål i en verksamhet. Till exempel kan en uppgift samlas in till forskning, men sedan användas för vården av samma individ. Hos vårdgivaren är vård ett primärt ändamål, men om utgångspunkten för kategoriseringen är ursprungligt ett annat insamlingsändamål, kan vård ses som ett sekundärt ändamål.

Frågan är hur långt tillbaka i kedjan av användande av en personuppgift man behöver gå för att avgöra om det är primär eller sekundär användning. Om sekundäranvändning ska definieras utifrån ursprungligt insamlingsändamål behöver personuppgiftens hela ”livscykel” kunna följas, också mellan olika personuppgiftsansvariga, vilket kan vara en praktisk omöjlighet.

Hälsodata kan också samlas in för flera ändamål samtidigt. Under ett forskningsprojekt kan hälsodata samlas in som kan vara av vikt

för vården av patienten. Det innebär att uppgifter dom samlats in för det primära ändamålet forskning och återanvänds för det primära ändamålet vård.

Ett annat exempel är när en patient vårdas och hälsodata som samlats in inte varit tillräcklig. I den stunden kan verksamheten dra lärdom om vilka uppgifter som bör samlas in vid liknande situationer i framtiden. Det är då oklart om denna oundvikliga verksamhetshetutveckling som skedde av själva insamlandet bör ses som primäranvändning eller vidareanvändning.

Termen ”sekundär” leder ordalydelsemässigt in på den andra gången som en personuppgift används, medan personuppgifter i dag kan används för flera ändamål i samma verksamhet innan de senare lämnas ut för ytterligare användningar. Begreppet är därmed inte heller representativt rent språkligt för det som sker i praktiken. Utöver dessa perspektiv har utredningen även fått till sig att vissa aktörer tolkat begreppet sekundäranvändning som att det utgörs av något sekundärt, som något mindre viktigt än det primära ändamålet. Av flera anledningar anser därför utredningen att sekundäranvändning inte är ett optimalt begrepp att använda i sammanhanget.

2.6.5. Vidareanvändning i stället för sekundäranvändning

Utredningen har valt begreppet vidareanvändning i stället för sekundäranvändning. Utredningen är medveten om att detta inte löser alla de svårigheter som är förknippade med uppdelningen primär- och sekundär användning. Utredningen anser dock att det är ett begrepp som bättre belyser vad som rent praktiskt sker. Utredningen föregriper på detta sätt inte heller den eventuella definitionen av sekundäranvändning som kan komma i och med förslaget till EHDS. I utformningen av begreppet har utredningen hämtat inspiration från begreppet vidareutnyttjande som finns i Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om dataförvaltning (dataförvaltningsakten) COM(2020) 767 final av den 25 november 2020, förkortad dataförvaltningsförordningen, och lag (2022:818) om den offentliga sektorns tillgängliggörande av data. Utredningens begrepp vidareanvändning har inte samma juridiska innebörd som vidareutnyttjande enligt dessa regelverk. Däremot anser utredningen

att ledet ”vidare” är ett bra ord för att belysa nytt händer i förhållande till något tidigare eller annat.

I den engelska versionen av DFF används termen ”re-use”. Utredning anser att det mer neutrala användning är ett lämpligare ord än nyttjande.

Utredningen har även övervägt begreppet vidarebehandling. Ledet ”behandling” skulle knyta mer direkt an mot EU:s dataskyddsförordning och behandling av personuppgifter. Liksom avseende beskrivningen av begreppet hälsodata, anser utredningen att det är lämpligt att de begrepp som används tar höjd för att datadelning som sker kan omfatta dataset som även innehåller hälsodata som inte är personuppgifter. Användning ger då uttryck för detta bredare perspektiv som inte är direkt kopplat till åtgärder som avser personuppgifter. Utredningen bedömer också att ordet användning är mer begripligt från praktisk synvinkel, än vad behandling är. Användning omfattar dock även ”behandling” enligt dataskyddsförordningen. Det är enligt utredningens bedömning svårt att ge ett begrepp en definition som ger uttryck för dels vad som praktiskt sker, dels för de rättsliga konsekvenser som är relevanta i det aktuella fallet. De försök som gjorts att definiera sekundäranvändning illustrerar detta. Liksom med beskrivningen av begreppet hälsodata, ser utredningen ett behov av ett begrepp som är begripligt från praktiskt perspektiv, samtidigt som det är användbart juridiskt. Utredningen uppfattar att begreppet vidareanvändning överlag har mottagits positivt när utredningen har använt det i olika sammanhang under utredningstiden.

I stället för att försöka legaldefiniera begreppet vidareanvändning, beskriver utredningen vad det närmare avser i olika situationer.

Vidareanvändning hos en och samma aktör omfattar att insamlade hälsodata används för ett annat ändamål än vad de ursprungligen samlades in för. Vidareanvändning kan ske i flera led, till exempel först vård och sedan utveckling och uppföljning hos en vårdgivare. Vad som är samma eller ett nytt ändamål är inte alltid givet. Avser vidareanvändningen personuppgifter behöver frågan om en vidareanvändning ryms inom det ursprungliga insamlingsändamålet, analyseras utifrån dataskyddslagstiftningen. Inom ramen för uppdraget att analysera förutsättningarna för sekundäranvändning för patientändamål/vårdändamål, se avsnitt 2.3, har utredningen haft att bedöma vad som inom ett övergripande vårdändamål är att anse som en vidareanvändning av personuppgifter som kräver ny rättslig grund, se avsnitt 14.3.

Vidareanvändning omfattar också att hälsodata som samlats in av en aktör delas med en annan aktör som sedan använder informationen. Detta kan till exempel avse en vårdgivare som lämnar ut hälsodata till en myndighet eller privat aktör som bedriver forskning. Utredningens bedömning är däremot att det är primäranvändning när samma vårdgivare använder hälsodata för samma ändamål flera gånger, som exempelvis när en läkare läser på om en patients provsvar inför ett nytt besök.

Utredningens uppfattning är att hälsodata kan primäranvändas hos en vårdgivare och samtidigt kan samma hälsodata vidareanvändas hos en annan. Om vårdgivare A tar en röntgenbild av en patient och sedan skickar röntgenbilden till vårdgivare B så är röntgenbilden parallell primäranvändning hos båda vårdgivarna. Däremot är det rimligt att anse att vårdgivare B:s behandling av röntgenbilden utgör en vidareanvändning ur vårdgivare A:s perspektiv.

Sammanfattningsvis gör utredningen bedömningen att det finns inget optimalt begrepp för när hälsodata används flera gånger, parallellt eller i olika led. Vidareanvändning är dock det begrepp som bäst motsvarar utredningens uppfattning om vad det är som sker när hälsodata används flera gånger.

2.6.6. Den enskildes inställning

Utredningen konstaterar att det finns flera sätt som används i praktiken som avser ge uttryck för den enskildes inställning. Att samtycka till något kan enkelt förklaras med att en person godkänner något. Ett annat sätt att uttrycka den enskildes inställning kan vara en möjlighet att kunna motsätta sig något. Eftersom det finns olika typer av samtycken har utredningen valt att redogöra mer djupgående för olika typer av samtycken i en egen bilaga (se Bilaga 3 Samtycken inom vård och klinisk forskning). Utredningen listar därför endast kort i detta avsnitt vilka olika begrepp som används i utredningen och som ger uttryck för den enskildes inställning.

Utredningen använder formuleringen ”samtycke till vård” när samtycke enligt 4 kap. 2 § PL avses. En patient kan, om inte annat följer av lag, lämna sitt samtycke skriftligen, muntligen eller genom att på annat sätt visa att hen samtycker till en viss åtgärd.

Utredningen använder formuleringen ”samtycke avseende prover” när utredningen syftar på samtycke enligt biobankslagen (2023:38).

Utredningen använder formuleringen ”samtycke som rättslig grund

för behandling av personuppgifter” när samtycke enligt artikel 6.1 a i

dataskyddsförordningen avses.

Utredningen använder formuleringen ”samtycke som rättslig grund

för behandling av personuppgifter enligt bestämmelse i PDL”, när sam-

tycke enligt 2 kap. 3 § PDL. Bestämmelsen anger att behandling av personuppgifter som inte är tillåten enligt PDL ändå får ske, om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Det gäller dock inte i de fall som anges i 6 kap. 5 § eller om något annat framgår av annan lag eller förordning.

Utredningen använder formuleringen ”samtycke som integritets-

höjande åtgärd vid behandling av personuppgifter” när samtycke används

som en åtgärds som avser höja integriteten. Samtycke som integritetshöjande åtgärd är ett annat sorts samtycke än de samtycken som förekommer som rättslig grund för behandling av personuppgifter och som undantag för att den personuppgiftsansvarige ska få behandla känsliga personuppgifter. Ett integritetshöjande samtycke kan betraktas som ett slags extra skyddsåtgärd för den enskildes personliga integritet och för att säkerställa individens frivillighet inför en viss personuppgiftsbehandling.

Utredningen använder formuleringen ”samtycke till att bryta sekre-

tessen” när samtycke enligt 10 kap. 1 § OSL avses och innebär att den

person som sekretessen avser att skydda kan, med vissa undantag, helt eller delvis häva sekretessen.

Utredningen använder formuleringen ”samtycke till deltagande i

klinisk forskning” när vi syftar på samtycke enligt etikprövningslagen,

Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel upphävande av direktiv 2001/20/EG, förkortad CTR, Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG, förkortad MDR eller Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitrodiagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU, förkortad IVDR.

”Opt-in” är inte ett begrepp som är vanligt förekommande i ut-

redningen. Utredningen använder begreppet för att uttrycka att en person aktivt måste ge sitt samtycke. Begreppet ”opt-out”, eller ”rätten att motsätta sig” använder utredningen däremot för att beskriva när en enskild aktivt valt att avstå en viss personuppgiftsbehandling genom att motsätta sig behandlingen.

2.6.7. Datahållare och dataanvändare

Utredningen använder begreppet datahållare för den aktör som innehar den data som ska vidareanvändas. Utredning använder begreppet

dataanvändare för den aktör som ska använda data. Datahållare och

dataanvändare används i allmänspråklig mening i betänkandet och har inte i sig någon juridisk betydelse. Kopplat till begreppet datadelning representerar datahållaren ”från-sidan” och dataanvändaren ”till-sidan”.

I utrednings författningsförslag anges datahållaren och dataanvändaren med andra begrepp, se avsnitt 2.6.7. Datahållare är exempelvis vårdgivare och regional myndighet som bedriver hälso- och sjukvård, medan dataanvändare exempelvis utgörs av regionala myndigheter inom hälso- och sjukvården och lärosäten.

Ett begrepp som förekommer i praktiken kopplat till datahantering är ”ägarskap”. Utredningen uppfattar att ägarskap till data ofta synes vara ett uttryck för placering av ansvar för data inom en organisation. Rättigheter och skyldigheter kopplat till data uttrycks enligt utredningens mening inte lämpligen genom ett ägarbegrepp. I stället finns olika typer av rättigheter och skyldigheter kopplade till data beroende på regelverk.

I dataförvaltningsförordningen, förekommer begreppen datainnehavare och dataanvändare (se artikel 2 (8) och (9)). Utredningen använder medvetet inte begreppen datahållare och datainnehavare i den juridiska innebörd som begreppen datainnehavare och dataanvändare har enligt dataförvaltningsförordningen. Utredningen konstaterar dock att definitionerna av datainnehavare och dataanvändare i dataförvaltningsförordningen är breda och att det därför skulle kunna vara så att en datahållare eller dataanvändare enligt utredningens användning av dessa uttryck också skulle kunna vara en datainnehavare eller dataanvändare enligt dataförvaltningsförordningen.

2.7. Utredningens avgränsning av uppdraget

Bedömning: Utredningen lämnar författningsförslag avseende

vidareanvändning för ändamålen vård och forskning. Utredningens förslag för vård avser vidareanvändning för vården av en annan patient än den som personuppgifterna. Utredningens förslag för forskning avser begränsad direktåtkomst till personuppgifter för ändamålet klinisk forskning och har som syfte att förenkla tillgången till personuppgifter.

Utredningen lämnar inte författningsförslag avseende ändamålet undervisning på akademisk nivå, ändamålet utveckling och innovation eller ändamålet statliga, regionala och kommunala myndigheters beslutsfattande. För dessa ändamål lämnar utredningen bedömningar som behöver utredas vidare.

Av beskrivningarna i avsnitten ovan avseende utredningens uppdrag enligt direktiven framgår att det är mycket omfattande. Givet de tidsramar som utredningen har fått, finns behov av att göra avgränsningar. Nedan redogörs först för de avgränsningar som följer direkt av direktiven, sedan för de som utredningen själv har gjort.

2.7.1. Avgränsningar som följer av direktiven

Uttryckliga avgränsningar

Det står uttryckligen i direktiven att det inte ingår i uppdraget att lämna förslag till bestämmelser som bryter statistiksekretessen eller förslag som riskerar att leda till att individdata lagras i egna databaser hos privata aktörer där vidareutnyttjandet inte kan kontrolleras. Utredningens förslag avser inget av detta.

Det framgår även av direktiven att regeringen gör bedömningen att det inte är inom ramen för regleringen om nationella och regionala kvalitetsregister i 7 kap. patientdatalagen (2008:355), förkortad PDL, som de behov som beskrivs i direktiven kan tillgodoses. Utredningen lämnar inte förslag som går ut på att behoven av vidareanvändning av hälsodata tillgodoses genom användning av nationella eller regionala kvalitetsregister. Däremot är denna reglering en faktisk realitet som utredningen behöver förhålla sig till, bland annat i integritets-

analysen. Den kan även tjäna till lagteknisk ledning för delar av utredningens författningsförslag.

Utredningen bedömer inte heller att statliga myndigheters registersamlingar omfattas av uppdraget. Denna bedömning grundar sig på att de personuppgifter som krävs för vård också återfinns i vården och sällan i statliga register så som hälsodataregistren. Vad gäller delen om vidareanvändning så står det uttryckligen i direktiven att det avser hälsodata från hälso- och sjukvården.

Utredningen bedömer också att socialtjänsten inte omfattas av uppdraget eftersom direktiven avgränsas till att gälla hälsodata från hälso- och sjukvården.

2.7.2. Avgränsningar som utredningen har gjort

Inledning

Som framgår av avsnitt 2.1–2.5 är utredningens uppdrag omfattande. Det avser förutsättningarna för vidareanvändning av hälsodata för hälso- och sjukvård, men även för andra samhällsnyttor. Det avser ett flertal ändamål som är olika till sin karaktär och omfattar i princip alla aktörer som skulle kunna ha ett intresse av att använda sig av hälsodata. Utredningen är medveten om att det finns stora behov och identifierade problem med delning av data inom hälsodataområdet. Rent juridiskt innebär uppdraget oerhört många olika aspekter att förhålla sig till. I direktiven anges att utredningen inte förväntas kunna lösa alla problem som identifieras, utan en del av uppdraget är att redogöra för dem.

Utredningen tolkar direktiven som att regeringen har varit tydlig med vikten av en väl genomarbetad och utförlig integritetsanalys (dir 2022:41 s. 6 och 10). Utredningens har noterat att flera tidigare utredningar på hälsodataområdet inte lett till proposition (exempelvis SOU 2010:81, SOU 2014:23 och SOU 2015:32). Utredningens bedömning är att en av orsakerna till att dessa utredningar inte kunnat tas vidare kan vara att de har haft en bristande integritetsanalys. Dessa utredningar har på samma sätt som utredningen haft omfattande och svåra uppdrag.

Utredningen har därför begränsat författningsförslagen till att endast omfatta två av de uttryckliga ändamålen som anges i direktiven. Författningsförslagen som utredningen lämnar avser ändamålen

vård och forskning. Dessa utökade möjligheter har dock krävt en djupgående analys av juridiskt komplexa regleringar. Anledningen till det, utifrån direktiven sett, smala angreppssättet har varit att försöka få till en väl genomarbetad utredning med tillhörande fördjupad integritetsanalys utan att försöka greppa efter för mycket. Utifrån ett integritetsperspektiv, eller utifrån patienters och vårdgivares perspektiv, är vårdändamålet inte något smalt område utan ett avancerat ändamål som innebär genomgripande förändringar av befintlig lagstiftning. För att möjliggöra vidareanvändning för vården av annan patient än den personuppgifterna avser, krävs ingripande och långtgående bestämmelser. Författningsförslagen som avser vårdändamålet av därför vittgående och av omfattande karaktär. Det är dessutom helt nytt i svensk lagstiftning att föreslå regler som möjliggör det utredningen nu föreslår för vårdändamålet, det har inte funnits någon liknande förlaga att ta efter eller hämta inspiration ifrån. Att föreslå nya bestämmelser för detta ändamål som avser känsliga personuppgifter har därför varit både en komplicerad och tidskrävande övning. Anledningen till att utredningen valt att fokusera på just dessa två ändamål beror på att utredningen uppfattat direktiven som att det finns en stark önskan om att så snart som möjligt kunna få till rättsliga möjligheter för att implementera precisionsmedicin i Sverige. Utredningen har därför valt att huvudsakligen fokusera på att förslagen ska gå att genomföra. Utredningens förhoppning är att författningsförslagen som läggs fram kan vara ett litet men genomtänkt steg i rätt riktning och att kommande utredningar kan bygga vidare på utredningens analyser och förslag. Flera olika möjligheter för de olika ändamålen har övervägts under utredningens gång och många har avgränsats bort för att de varit för omfattande i sin komplexitet att försöka lösa under de angivna tidsramarna. Utredningens bedömning är att ytterligare utredningar behövs för att se över i vilken mån och på vilka sätt utredningens förslag går att utöka.

Som utredningen ser det hade alternativet varit att lämna fler författningsförslag utan lika genomarbetade analyser. Risken hade då varit att frågorna skulle behöva utredas om.

För att kompensera det faktum att utredningen inte lämnar författningsförslag för samtliga ändamål har utredningen försökt att se detaljerat som möjligt försöka beskriva vad utmaningarna på hälsodataområdet är och hur de ska kunna lösas praktiskt och vilka frågor som behöver utredas vidare. Utredningens ambition har varit att för-

söka maximera den nyttan som utredningen har kunnat bidra med, sett till kompetens och resurser i sekretariatet. De sistnämnda bedömningarna kräver inte samma fördjupade juridiska insatser som det gör att lämna författningsförslag.

Slutligen har utredningen bedömt att flera av de ändamål som anges i direktiven kräver en nationell datahubb för att utredningen skulle kunna lämna genomförbara författningsförslag.

2.7.3. Utredningens förslag avser vidareanvändning av personuppgifter som finns inom hälso- och sjukvården

Bedömning: Utredningens författningsförslag ska avse reglering

av vidareanvändning av personuppgifter som finns inom hälso- och

sjukvården.

I utredningens direktiv framgår det att utredningen ska se över utökade möjligheter till sekundäranvändning av hälsodata. Det anges också i direktiven att utredningen ska analysera, bedöma om det behövs författningsändringar och i så fall lämna nödvändiga författningsförslag för att personuppgifter eller andra data från flera individer ska kunna användas för vård och behandling av andra enskilda individer. Utifrån hur utredningens uppdrag anges finner utredningen det, av juridiska skäl, mest ändamålsenligt att och frångå begreppet hälsodata eller ”andra data” och avgränsa författningsförslagen till att endast omfatta personuppgifter.

Utredningen beskriver i avsnitt 2.6.2 dess förhållningssätt till begreppet hälsodata. Det är när hälsodata utgörs av personuppgifter som behovet av författningsreglering uppstår. De behoven som utredningen avser lösa, handlar om att reglera hälsodata som utgörs av personuppgifter. Så fort hälsodata utgörs av personuppgifter blir EU:s dataskyddsförordning tillämplig. När den rättsliga grunden i artikel 6.1 utgörs av uppgift av allmänt intresse (6.1 e) behövs uppgiften av allmänt intresse fastställas i nationell reglering (prop. 2017/18:105 s. 49). Dataskyddsförordningen fungerar som en yttre ram för personuppgiftsbehandling. Syftet med kompletterande lag till dataskyddsförordningen är att precisera tillåtna ändamål och reglera förutsättningarna för aktuell personuppgiftsbehandling (jämför artikel 6.3 andra stycket dataskyddsförordningen. Utredningens målsättning är därför att skapa

sådan kompletterande lagstiftning som krävs, genom de förslag som utredningen lämnar.

När det gäller behandling som avser särskilda kategorier av personuppgifter (känsliga personuppgifter) anges ytterligare villkor i artikel 9 i dataskyddsförordningen. Personuppgifterna som omfattas av utredningens förslag regleras som känsliga personuppgifter eftersom de utgörs av uppgifter om hälsa. De har dessutom samlats in inom hälso- och sjukvården. Personuppgifterna som omfattas av utredningens författningsförslag omfattas därför också typiskt sett av sekretess enligt offentlighets och sekretesslagen (2009:400), förkortad OSL, exempelvis enligt 25 kap. 1 § OSL, vilket också medför behov av författningsändringsförslag.

Utredningen är medveten om att begreppet personuppgifter även omfattar uppgifter på papper. Den aspekten har utredningen beaktat men bedömt att det inte har någon påverkan på utredningens förslag.

Vid tillämpningen av en reglering som avser personuppgifter uppkommer frågan om en viss datamängd, databas eller annan uppgiftssamling innehåller personuppgifter eller inte.

Uppgifter som inte utgörs av personuppgifter, omfattas inte av EU:s dataskyddsförordning och inte heller av utredningens förslag. Utredningen konstaterar dock att den juridiska uppdelningen mellan hälsodata som är personuppgifter och hälsodata som inte är det, i praktiken kan vara mycket svår att göra. Frågor uppkommer såsom om en aggregering av en viss datamängd har gjorts på ett sådant sätt att alla uppgifter i den verkligen är att anse som anonym data. Det kan också vara så att en datamängd innehåller både personuppgifter och uppgifter som inte utgörs av personuppgifter. I praktiken uppkommer då fråga hur man ska hantera sådana datamängder.

Utredningen har ingen ambition eller möjlighet att lösa dessa frågeställningar på ett generellt plan. Däremot konstaterar utredningen att förslagen som utredningen lämnar tillåter datadelning av personuppgifter på fler sätt och i fler situationer. Det i sin tur leder till att aktörerna i något färre situationer behöver framställa dataset som inte innehåller personuppgifter.

Reglerna som utredningen föreslår behöver kunna tillämpas på dataset som innehåller både personuppgifter och data som inte är personuppgifter. Den juridiska utgångspunkten som utredningen har att förhålla sig till måste dock vara personuppgifter för att skapa de

rättsliga förutsättningar som krävs för ändamålen utredningen lämnar förslag på.

Ovan har konstaterats att hälso- och sjukvården är central i utredningens direktiv. Kopplat till uppdraget om utökade möjligheter till sekundäranvändning av hälsodata anges det uttryckligen att det är hälsodata ”från” hälso- och sjukvården som avses. Utredningen har ovan presenterat sin tolkning av formuleringarna i dessa avseenden. Utifrån att formuleringarna också skulle kunna tolkas på andra sätt, redogör utredning nedan för verksamheter och hälsodatamängder som inte omfattas av utredningens uppdrag.

2.7.4. Avgränsningar avseende vidareanvändning för vårdändamål

Bedömning: Utredningen lämnar författningsförslag som avser

behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. Författningsförslagen avgränsas till att endast ge regionala myndigheter inom hälso- och sjukvården rätt att använda de utökade möjligheterna som författningsförslagen leder till.

Enligt utredningens direktiv har utredningen i uppdrag att skapa förutsättningar för sekundäranvändning av hälsodata för patientändamål. I avsnitt 2.7.3 redogör utredningen för att uppdraget avgränsas till vidareanvändning av personuppgifter för detta ändamål. Vidare redogör utredningen i avsnitt 2.3 att det i utredningen benämns vårdändamål. Utredningen anser att ett tydligt sätt att ge uttryck för ändamålet är att beskriva det som behandling av personuppgifter för vården av

en annan patient än den som uppgifterna avser.

De behov som utredningen fått till sig avseende vidareanvändning för vårdändamål (behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser) har nästan uteslutande kommit från regional hälso- och sjukvård. Det är en av anledningarna till att utredningen valt att avgränsa författningsförslagen till att endast regionala myndigheter inom hälso- och sjukvården ges rätt att använda de utökade möjligheterna som författningsförslagen leder till, i vården av patienter. Sannolikt skulle även till exempel privata vårdgivare kunna ha nytta av samma utökade möjligheter för ända-

målet vård av annan. Utredningen bedömer dock att det inte varit möjligt att utöka möjligheterna till att även omfatta privata vårdgivare i förhållande till utredningens tidsramar eftersom en sådan ansats skulle kräva ytterligare juridiska analyser av andra regelverk och även leda till ett behov av en ännu mer komplex integritetsanalys. I utredningens direktiv anges att det är av stor vikt att skyddet för den personliga integriteten respekteras och att informationssäkerheten säkras. Avvägningar måste därför göras mellan den nytta som datadriven hälso- och sjukvård kan skapa och de risker som det kan medföra för enskildas personliga integritet och vilka möjligheter som finns att hantera sådana risker. Utredningen konstaterar att en rimlig ansats är att begränsa vilka aktörer som får använda sig av de nya möjligheterna författningsförslaget avseende vårdändamålet medför till regionala myndigheter inom hälso- och sjukvården. En sådan avgränsning är nödvändig för att utredningen fullt ut kunna se över effekterna och riskerna för den personliga integriteten.

2.7.5. Avgränsningar avseende vidareanvändning för forskning

Bedömning: Utredningen lämnar författningsförslag avseende

vidareanvändning för ändamålet forskning och avser enklare tillgång till personuppgifter som finns hos regionala myndigheter som bedriver hälso- och sjukvård. Författningsförslagen avgränsas till klinisk forskning där samtycke till att delta i forskningen inhämtas.

Enligt utredningens direktiv har utredningen i uppdrag att skapa förutsättningar för sekundäranvändning av hälsodata för ändamålet forskning. I avsnitt 2.7.3 redogör utredningen för att uppdraget avgränsas till vidareanvändning av personuppgifter. Den vanligaste problematiken, som utredningen fått till sig, och som genererar en stor administrativ börda, handlar om otympliga tillvägagångssätt för att få tillgång till data som behövs för forskningen. Det handlar både om olika utfall av menprövningar som resulterar i varierade möjligheter till tillgång till data och om åtkomst av uppgifter som forskare redan rent praktiskt kan ha åtkomst till för ett annat ändamål. I kapitel 15 finns ett förklarande stycke om forskare som är anställda inom hälso- och sjukvården och som måste begära ut uppgifter som forskarna rent

praktiskt kan ha åtkomst till i egenskap av till exempel behandlande läkare för ändamålet vård.

Utredningens författningsförslag innebär en förenkling av åtkomsten till data som behövs för att forskningen ska kunna genomföras. Utredningens förslag är endast tillämplig på personuppgifter från regional hälso- och sjukvård. Denna avgränsning har gjorts utifrån samma resonemang som för ändamålet vård av annan patient än den personuppgifterna avser. Ett utökande av fler eller andra källor än regional hälso- och sjukvård skulle kräva en ytterligare, fördjupad integritetsanalys som inte är genomförbar med anledning av utredningens angivna tidsramar.

Utredningen har valt att begränsa forskningen som ska omfattas till klinisk forskning. Författningsförslaget gäller endast sådan klinisk forskning som baseras på samtycke till att delta i forskningen. Ett sådant samtycke som inhämtas för att delta i den kliniska forskningen ska då kompletteras med ytterligare ett samtycke som inhämtas samtidigt. Det ytterligare samtycket utgör en integritetshöjande åtgärd och avser samtycke till den begränsade åtkomsten. Utredningens bedömning är att det är svårt att leva upp till dataskyddsförordningens regler om integritetshöjande åtgärder för att förenkla åtkomsten av personuppgifter för annan forskning. Observationsstudier där samtycke inte inhämtas avgränsas därför bort från utredningens förslag om enklare åtkomst. Utredningen konstaterar att regeringens uttalande i direktiven pekar på att det bör vara en rimlig avgränsning eftersom det ”finns regleringar som avser registerbaserad forskning. Regeringen bedömer dock att det inte är inom ramen för sådana regleringar som de behov som beskrivs i dessa direktiv kan tillgodoses”12. Av den anledningen kommer utredningen inte lägga fram några författningsförslag som avser registerbaserad forskning. Däremot har utredningen fått till sig ett uttalat problem avseende registerbaserad forskning, som bland annat handlar om att vid vissa fall kunna ta kontakt med de registrerade vars uppgifter behandlas vid registerforskning, se vidare kapitel 22. Utredningens bedömning är därför att det uppenbarligen finns ett behov hos forskare om att till exempel kunna få tillgång till mer uppgifter än ett register tillhandahåller. Det kan handla om forskning som inleds som registerforskning men vid intressanta fynd skulle kunna utvecklas till klinisk forskning där forskaren behöver kontakta forskningspersoner och inhämta samtycke. Utredningen resonerar där-

12 Dir. 2022:41 s. 4.

för kring behovet av detta och möjligheter att tillmötesgå behovet genom en statlig, nationell datahubb med en funktion där invånarna kan samtycka till att bli kontaktade för olika syften, se vidare kapitel 19–21.

Utredningens uppfattning är även att det finns en problematik kring menprövningar som resulterar i olika bedömningar. Utredningens bedömning är att det är angeläget att ta vidare frågan om gemensam menprövning så forskare ska kunna få en förutsägbarhet genom enhetliga och konsekventa bedömningar. Utredningens anser dock att det inte är möjligt att lämna förslag på en sådan hantering utan att ha tillgång till en statlig, nationell datahubb (se vidare kapitel 19–21).

2.7.6. Avgränsningar avseende vidareanvändning för utveckling och innovation

Bedömning: Utredningen lämnar inte författningsförslag avseende

ändamålen utveckling och innovation. Ändamålen utveckling och innovation bör omhändertas av nya utredningar.

Utredningen hade inledningsvis en ambition att lämna författningsförslag även avseende utveckling och innovation. Dock var arbetet för tidskrävande för att hinna med en sådan grundlig analys som utredningen anser behövs för författningsförslag. Utredningen har därför vikt ett eget kapitel åt utveckling för att ge så bra möjligheter som möjligt för en ny utredningen att ta vid och fortsätta arbeta med analysen. De analyser som utredningen hann genomföra återfinns i kapitel 23. Utredningen anser att det är angeläget att en ny utredning tillsätts snarast för att omhänderta ändamålen utveckling och innovation. Det är en stor brist att det ena författningsförslaget ger nya möjligheter för vårdändamålet samtidigt som sådan regionöverskridande verksamhet inte har något rättsligt stöd för utveckling av verksamheten. För aktörerna som får använda de nya möjligheterna som författningsförslagen ger, i vården av patienter, kan utvecklingsändamålet i PDL sannolikt utökas till att även omfatta regionalöverskridande utveckling.

Det finns dock behov av utveckling som inte endast omfattar regionala myndigheter inom hälso- och sjukvården. Utredningen har fått till sig behov av utveckling för regionala myndigheter inom hälso-

sjukvården som bedriver nära samarbete med kommunal verksamhet. Kommuner bedriver verksamhet enligt både PDL (vård) och lag (2001:454) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPuL (socialtjänst). Mot bakgrund av detta bör ett samlat grepp tas för sådan utveckling i en egen utredning. Som angetts i avgränsningar som framgår av direktiven är utredningens uppfattning att direktiven är avgränsade till att inte omfatta socialtjänstens område.

Utöver offentliga aktörer finns även behov av utveckling och innovation som olika privata aktörer har. Utredningens bedömning är att många situationer där ändamålet för personuppgiftsbehandlingen är utveckling eller innovation kräver en nationell datahubb och en säker behandlingsmiljö för att nyttan ska stå i proportion till integritetsintrånget. Utredningen har därför avgränsat bort dessa behov för att de i stället ses över vid etablering av en nationell datahubb, se vidare kapitel 19–21.

2.7.7. Avgränsningar avseende undervisning på akademisk nivå

Bedömning: Utredningen lämnar inte författningsförslag avseende

ändamålet undervisning på akademisk nivå. Ändamålen undervisning på akademisk nivå bör omhändertas av nya utredningar.

Enligt utredningens direktiv har utredningen i uppdrag att skapa förutsättningar för utökade möjligheter till sekundäranvändning av hälsodata för ändamålet undervisning på akademisk nivå. Utredningen har fått till sig att de olika universiteten löser tillgång till hälsodata på olika sätt och att det finns en avsaknad av enhetlighet inom landet. Utredningens bedömning är att dessa behov behöver ses över och utredas. Däremot konstaterar utredningen att begreppen primär- och sekundäranvändning skapar utmaningar i sammanhanget. Den primära anledningen till att en student gör verksamhetsförlagd utbildning (VFU) är utbildning. Samtidigt konstaterar utredningen att det finns fler perspektiv att ta hänsyn till i sammanhanget. Ur studentens och lärosätets perspektiv är undervisning på akademisk nivå det primära syftet. Ur vårdgivarens eller patientens perspektiv är det primära syftet däremot vård. Utredningen anser att det inte är lämpligt att utredningen ser över dessa behov utan att hänsyn samtidigt tas till primäran-

vändningen. Utredningens bedömning är att det finns anledning till ytterligare utredning för att se över behoven, men att en sådan utredning behöver ta ett samlat grepp för att lösa dessa frågor på bästa sätt.

2.7.8. Avgränsningar avseende statliga, regionala och kommunala myndigheters beslutsfattande

Bedömning: Utredningen lämnar inte författningsförslag avseende

ändamålet statliga, regionala och kommunala myndigheters beslutsfattande. Ändamålen statliga, regionala och kommunala myndigheters beslutsfattande bör omhändertas av nya utredningar.

Som utredningen anger i 2.4.4 finns ett behov av tillgång till hälsodata för statliga, regionala och kommunala myndigheters beslutsfattande. Utredningens uppfattning av behoven som uppstår i samband med vård bör kunna omhändertas antingen av det författningsförslag avseende vårdändamålet som utredningen lämnar eller, efter fortsatt utredning, inom ändamålet utveckling som utredningen skriver om i 2.7.6.

Utredningen bedömer vidare att det saknas organisatoriska och infrastrukturella lösningar som skulle göra att nyttan stod i proportion till det intrång i den personliga integriteten som ett sådant förslag skulle innebära. Utredningen resonerar kring detta och lämnar bedömningar i avsnitt 20.5.

2.8. Aktörer som omfattas av utredningens förslag

Bedömning: De aktörer som omfattas av utredningens författ-

ningsförslag bör begränsas.

Utredningens förslag är avgränsade så att endast vissa aktörer kommer omfattas av dem. För att ge en bild av hur förslagen är tänkt att fungera i praktiken behöver en kort beskrivning förklara vilka aktörer som omfattas av förslagen. Förtydliganden och djupare resonemang om varför dessa avgränsningar gjorts kommer finnas i andra delar i betänkandet.

Generellt kan anges att förslagen avser vidareanvändning av personuppgifter från hälso- och sjukvården, se avsnitt 2.7.3. Verksamheten

på datahållarsidan är alltså hälso- och sjukvård. Utredningen tar utgångspunkt i definitionen av hälso- och sjukvård som finns i patientdatalagen (2008:355), förkortad PDL, se avsnitt 2.6.1. På dataanvändarsidan finns verksamhet i form av hälso- och sjukvård och klinisk

forskning, se avsnitt 2.7.4 och 2.7.5.

En fråga som utredningen har haft att överväga kopplat till författningsförslagen har varit vilka aktörer inom hälso- och sjukvård och klinisk forskning som ska omfattas på datahållar- respektive dataanvändarsidan. Som redogörs för i avsnitt 2.7.2 är behoven stora, samtidigt som utredningen har begränsade tidsramar att förhålla sig till. Utredningen har därför sett det nödvändigt att begränsa antalet aktörer, framför allt på dataanvändarsidan. Utredningen har fokuserat på de aktörer där utredningen uppfattar att de största och mest akuta behoven finns.

En ytterligare aspekt på avgränsningarna av aktörer på dataanvändarsidan som utredningen haft att ta hänsyn till är att ju fler aktörer som omfattas, desto mer omfattande och komplexa blir frågorna om integritets- och sekretesskydd. För att kunna lämna väl genomarbetade förslag, har utredningen därför behövt göra avgränsningar av antalet och typen av aktörer som omfattas. Exempelvis omfattas endast aktörer på dataanvändarsidan som omfattas av befintliga regler om sekretess eller lagstadgad tystnadsplikt.

Aktörer vars behov har identifierats av utredningen, men som inte omhändertas i utredningens författningsförslag omfattas av andra delar av betänkandet, se kapitel 19–23.

2.8.1. Vidareanvändning för vårdändamål

Med avseende på vidareanvändning för vårdändamål, föreslår utredningen ett nytt ändamål för behandling av personuppgifter. Ändamålet avser behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser, se avsnitt 14.4. Kopplat till det nya ändamålet föreslår utredningen en modell för vidareanvändningen som bygger på behandling av personuppgifter i fyra huvudsakliga steg, se avsnitt 13.4. De aktörer som, i olika delar, omfattas av utredningens förslag om vidareanvändning av personuppgifter för vårdändamål är vårdgivare och regional myndighet inom hälso- och sjuk-

vården. Vårdgivare har samma definition som i PDL (1 kap. 3 §). Med

regional myndighet inom hälso- och sjukvården menas en myndighet i en region som tillhandahåller hälso- och sjukvård, se vidare avsnitt 14.7.2.

Enligt utredningens förslag är det vårdgivare som är datahållare vid vidareanvändning för vårdändamål. Det är personuppgifter som har samlats in och som lagras hos vårdgivare som ska kunna bli föremål för vidareanvändning för det nya ändamålet. Vårdgivare ska i steg 1 och 4 i modellen kunna tillgängliggöra personuppgifter för vidareanvändning för vårdändamål.

Dataanvändare är regionala myndigheter inom hälso- och sjukvården. Regionala myndigheter inom hälso- och sjukvården ska kunna inrätta och föra en databas med personuppgifter för vidareanvändning. Utredningen kallar en sådan databas för precisionsmedicinsk databas (steg 2, se avsnitt 14.2.). Det är även regionala myndigheter inom hälso- och sjukvården som ska kunna ha tillgång till personuppgifter i en precisionsmedicinsk databas och personal hos sådana myndigheter som arbetar inom den specialiserade vården som ska kunna söka i den (steg 3, se avsnitt 14.8).

Närmare motivering till avgränsningarna avseende aktörer kopplat till vidareanvändning för vårdändamål finns i avsnitt 14.6.1, 17.7.2 och 14.8.1.

2.8.2. Vidareanvändning för klinisk forskning

För ändamålet klinisk forskning föreslår utredningen regler som innebär enklare tillgång till personuppgifter, se kapitel 16. Utredningen föreslår att vidareanvändning av personuppgifter som finns inom hälso- och sjukvården ska kunna ske genom en så kallad begränsad direktåtkomst eller annat elektroniskt utlämnande.

Datahållare vid vidareanvändning av personuppgifter för klinisk forskning enligt utredningens förslag är regionala myndigheter som

bedriver hälso- och sjukvård. Dataanvändare vid vidareanvändning av

personuppgifter för klinisk forskning är regionala myndigheter och

lärosäten som bedriver klinisk forskning. Definitioner av aktörerna finns

i avsnitt 16.3.

Närmare motivering till avgränsningar finns i avsnitt 16.4.2 och 16.7.4.

2.9. Utredningens uppdrag i förhållande till andra utredningar

Det finns flertalet pågående utredningar som utredningen samverkat med eftersom deras uppdrag har en anknytning till utredningens uppdrag.

Utredningen har haft löpande kontakt med Utredningen om e-recept och patientöversikter inom EES (S 2020:10) fram till dess att den överlämnade sitt slutbetänkande. Samverkan har framför allt bestått i kunskapsöverföring och att se till att utredningarnas förslag går i linje med varandra och att inga förslag krockar. Därutöver har utredningen haft avstämning med arbetsgruppen som skrev Förslag på åtgärder för att skapa bättre förutsättningar för kliniska prövningar (Ds 2023:8). Även denna samverkan har bestått i kunskapsöverföring men också säkerställande att förslagen ska vara förenliga med varandra. Slutligen har utredningen haft avstämningar varannan vecka med utredningen om infrastruktur för hälsodata som nationellt intresse (S 2022:10). Även här har samverkan bestått av kunskapsöverföring och att se till att förslagen ska vara förenliga med varandra. Utöver det har det varit viktigt att säkerställa så vi inte utreder samma frågor eller lämnar konkurrerande förslag.

Andra utredningar som utredningen haft mer sporadisk kontakt med men som bidragit med värdefull kunskap och vars arbete utredningen förhållit sig till är:

  • Genomförande av EU:s dataförvaltningsförordning (Ds 2023:24),
  • Utredningen om en effektiv organisation för statlig forskningsfinansiering (U 2022:06),
  • Utredningen om hälsodataregister (S 2023:02),
  • Utredningen om interoperabilitet vid datadelning (I 2022:03).

2.10. Utredningens arbete

Utredningsarbetet inleddes i augusti 2022 och har utgått ifrån utredningsdirektiven (dir. 2022:41). Utredningen skickade in en promemoria till Regeringskansliet den 8 februari 2023 med förslag om ändring av E-hälsomyndighetens instruktion (se bilaga 4 Promemoria med förslag om ändring av E hälsomyndighetens uppdrag inom hälsodata-

området). Regeringen beslutade 29 juni 2023 om tilläggsdirektiv till utredningen (dir. 2023:97). Tilläggsdirektivet innebär en förlängning av utredningens uppdrag med två månader.

Utredningarbetet har bedrivits på sedvanligt sätt med regelbundna sammanträden och andra kontakter med experter och sakkunniga. Under arbetet med slutbetänkandet har utredningen haft fem expertgruppsmöten varav ett slutjusteringsmöte.

Utredningen har i enlighet med vad som föreskrivs i direktiven haft samråd med andra utredningar med närliggande uppdrag. Samråden har i huvudsak genomförts via digitala möten.

Utöver detta har utredningen genomfört vanliga och digitala möten med företrädare för professions-, patient- och andra intresseföreningar, myndigheter, universitet och regioner. Syftet med mötena har varit att samla in information, kunskap och synpunkter utifrån respektive organisations perspektiv.

2.11. Betänkandets disposition

Slutbetänkandet är indelat i tre avdelningar. Den första avdelningen innehåller allmän bakgrund om vad data och datadelning är, pågående initiativ inom EU på hälsodataområdet samt gällande rätt (kapitel 3–10).

Den andra avdelningen innehåller utredningens internationella utblick, problemanalys, utgångspunkter samt utredningen överväganden och förslag (kapitel 10–18).

Den tredje avdelningen innehåller bedömningar avseende frågor för fortsatt utredning (kapitel 19–23).

Därefter avslutas utredningen med författningskommentar följt av utredningens bilagor. Bilaga 1 är utredningens direktiv. Bilaga 2 är utredningens tilläggsdirektiv. Bilaga 3 beskriver samtycken inom vård och klinisk forskning. Bilaga 4 innehåller en promemoria som utredningen skickade till regeringen med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet.

BAKGRUND

3. Vad är data och datadelning?

3.1. Inledning

Utredningen har bland annat i uppdrag att lämna förslag för att möjliggöra en utökad vidareanvändning av hälsodata. För att reglera användning av data i olika sammanhang krävs dock en djupare förståelse för vad data är och vad som avses med vidareanvändning, och framför allt hur dessa frågor påverkas av de juridiska ramar som finns på hälsodataområdet.

Utredningen har i sitt arbete uppfattat det som att det finns en diskrepans i förståelse mellan de som arbetar med teknik respektive juridik. Diskrepansen kan bland annat medföra att de olika professioner som arbetar med frågorna missförstår varandra eller att regler och andra rättsliga förutsättningar blir svåra att tillämpa i praktiken. Det kan även resultera i att juridiska problem kan få otillfredsställande tekniska lösningar då de juridiska frågorna saknar förankring hos de praktiker som ska lösa dem.

I ett försök att överbrygga denna diskrepans har utredningen därför valt att beskriva begreppet data ur olika perspektiv, samt försökt tydliggöra kopplingen mellan olika juridiska och tekniska begrepp.

Data har flera egenskaper. Data kan delas utan att förbrukas och många personer kan använda samma resurs samtidigt. Värdet av resursen kan dessutom öka ju mer av den du har. Data kan även dupliceras. Detta är bara några av de egenskaper som gör att data är en resurs som är olik många andra. Så även om data ibland beskrivs som den nya oljan finns flera tydliga skillnader mellan data och olja, vilket också ställer andra krav på lagstiftningen kring data som gemensam resurs.1

Av de datamängder som finns är hälsodata en av de mer integritetskänsliga datamängderna. Det har debatterats om hälsodata bör ses

1 https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-isno-longer-oil-but-data (Hämtat 2023-01-26).

som det nya blodet eller den nya oljan. Hälsodata är en värdefull resurs, inte minst för vården, men också en resurs som behöver regleras annorlunda då det inte är en resurs som alla andra.2

Datadelning av den omfattande skala som EU-kommissionen föreslår3 lyfter ett antal etiska frågeställningar. Förhoppningsvis bidrar utredningens betänkande till att komma längre i arbetet med att hitta en bra balans och lösningar för att möjliggöra en säker och ändamålsenlig datadelning som invånarna känner tillit till och som värnar deras integritet.

När det i utredningens direktiv talas om en datadriven hälso- och sjukvård, eller ett datadrivet samhälle, avses enligt utredningen när data används för att underlätta och skapa mervärde för olika användare baserat på kunskap. Data som används kan vara av låg kvalitet eller felaktig, vilket skulle kunna skapa situationer där data inte skapar mervärde. Utredningen menar dock att det är själva ansatsen som sådan att använda data för att skapa mervärde som är kärnan i de datadrivna processerna och gör inget anspråk på att datadrivet i samtliga fall leder till ett bättre utfall eller genererar utfall som kan ses som objektiva sanningar. Utredningen menar i stället att en datadriven process är ytterligare ett verktyg bland flera och som likt andra verktyg har sina styrkor och svagheter.

3.2. Vad är data?

Begreppet data kan många gånger användas synonymt med information, då data är just information. I allmänspråklig mening avser data ”uppgifter, fakta särskilt när de är digitalt behandlade”.4

Försök till att definiera begreppet data görs ofta i olika rättsliga källor. Det saknas dock en generellt giltig juridisk definition av begreppet data.

Integritetsskyddsmyndigheten definierar data som uppgifter eller information om något, oftast i samband med mätningar eller rapportering, exempelvis personuppgifter.5

2 Perakslis, E., & Coravos, A. 2019. Is health-care data the new blood?. The Lancet Digital Health, 1(1), e8–e9. 3 Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, ”Mot en blomstrande datadriven ekonomi”, COM (2014) 442. 4 https://svenska.se/tre/?sok=data&pz=1 (Hämtat 2022-10-05). 5 https://www.imy.se/ordlista/ (Hämtat 2022-10-07).

I artikel 2.1. i Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten), förkortad EU:s dataförvaltningsförordning, definieras begreppet data som

Varje digital återgivning av handlingar, fakta eller information och varje sammanställning av sådana handlingar, sådana fakta eller sådan information, däribland i form av ljudinspelningar, bildinspelningar eller audiovisuella inspelningar.

I lagen (2022:818) om offentliga sektorns tillgängliggörande av data definieras data som ”information i digitalt format oberoende av medium” (1 kap. 4 §).

Som framgår ovan är begreppet data förhållandevis brett och allmänt hållet, men i korthet kan sägas att det är information som är eller kan användas för att generera kunskap. Denna information kan utgöras av personuppgifter, men behöver inte utgöras av det. Utredningen använder begreppet ”data” i meningen att informationen som avses på något sätt är dokumenterad. Utredningens bedömning är att data typiskt sett är information i digitalt format, men att data även kan avse information som dokumenterats på annat sätt.

3.2.1. Olika typer av data

Insamlade data kan klassificeras, sorteras och struktureras på olika sätt. Det kan till exempel göras utifrån vad data handlar om, vad data har för form eller hur data är reglerad. Samma begrepp kan även ha olika innebörd inom olika fält.

Ett sätt att klassificera data är att skilja mellan kvalitativa data och

kvantitativa data. Ett exempel på kvalitativa data är fritext i en patient-

journal, medan ett blodtryck är ett exempel på kvantitativa data.

Data kan också sorteras in i skalor så som nominal-, ordinal-, intervall- och kvotskala.6 Data kan även vara strukturerad eller ostrukturerad. Det finns ingen entydig definition av vad strukturerade data är, men generellt avses ofta data som är organiserad på något sätt, till exempel i ett register.7 Inte heller för ostrukturerade data finns någon entydig definition, men vanligen avses att data är oorganiserad. Van-

6 Stanley S. S., 1946, On the Theory of Scales of Measurement. 7 Strukturerade data | IDG:s ordlista (Hämtat 2022-10-26). En till synes näraliggande men ändå separat fråga är det arbete som bedrivits av Socialstyrelsen med att ta fram ett ramverk för Strukturerad dokumentation inom vård och omsorg, NI 2023:5.

liga exempel på ostrukturerade data är fritext i en journal. Anledningen till att text sägs vara ostrukturerad data är för att en dator inte med lätthet kan tolka eller behandla innehållet. Det behöver inte alltid vara uppenbart för någon om datan är strukturerad eller ostrukturerad. Data kan se ostrukturerad ut, men med hjälp av rätt programvara kan det visa sig att datan är strukturerad och att det därmed kan röra sig om till exempel direkt identifierbara personuppgifter.

Vad för typ av data det rör sig om kan påverka bedömningen av om det rör sig om en direkt eller indirekt identifierbar personuppgift, eller om det i en viss situation rör sig om en personuppgift över huvud taget. Ett annat sätt att beskriva det är att om data utgörs av en eller flera personuppgift/-er eller när det rör sig om data som omfattas av sekretess får det rättsliga konsekvenser knutna till sig som måste hanteras.

3.2.2. Ostrukturerade data

Exemplifieringen i denna del är inte avsedd att vara uttömmande, syftet är snarare att skapa en förståelse för vilka de stora typerna av ostrukturerade datamängder som är vanligt förekommande inom vården.

Text

Ett av de vanligaste exemplen på textdata inom hälso- och sjukvården är journalanteckningar som är skrivna som fritext. Ur ett dataanvändarperspektiv är textdata svårt att använda eftersom innehållet och strukturen på texten inte är standardiserade och det finns därmed en stor variation av information i texten. Ytterligare en svår aspekt med textdata är att det kan vara väldigt svårt och tidskrävande att pseudonymisera eller anonymisera textdata. Textdata kan i vissa fall även innehålla information om andra personer än den registrerade, vilket gör det än svårare att hantera.

Text kan även bifogas andra datatyper exempelvis som metadata, det vill säga data om data. Ett sådant exempel kan vara data som beskriver vilken upplösning en bild har, men det kan också vara information om vilken person en viss röntgenbild tillhör. Det kan också röra sig om anteckningar som gjorts på eller till en bild. Men det kan

även röra sig om text som bara är sparat i ett bildformat, så som en skärmdump av en hemsida.

Bild

Bilder är en vanligt förekommande datamängd inom vården exempelvis finns röntgenbilder, bilder inom patologin, men även visuella representationer av data så som enklare diagram till mer avancerade visualiseringar av genomikdata.

Eftersom bilder är ostrukturerad data kan det vara svårt att identifiera enskilda personer från bilder utan att få ytterligare information rörande bilden om inte till exempel ett ansikte gör att en person enkelt kan identifieras.

Ljud

Hälsodata i form av ljud kan vara biomarkörer så som en ljudupptagning av en persons hosta, men det kan också vara dikterad patientinformation, inspelade telefonsamtal eller andra ljudfiler eller ljudspår till video. Ljuddata är därmed inte helt olikt bilddata och det kan vara svårt att direkt identifiera en person enbart utifrån bara ett ljud. Däremot kan en persons röst göra det lätt att identifiera personen i fråga.

Video

Exempel på video kan vara video som genererats vid en koloskopi eller en ultraljudsundersökning, det kan även röra sig om videosamtal, videoövervakning eller en simulering av en biologisk process. Video kan exempelvis användas i undervisningssyfte eller som del i ett videosamtal mellan en patient och en vårdgivare.

Avslutande kommentar

Text kan ibland framstå som strukturerad utan att för den sakens skull vara det. De flesta som läser är medvetna om att ett understruket ord kan betyda att ordet är extra viktigt. Beroende på avsändare och rubrik på ett dokument kan läsare generellt också ofta förstå vad det är för

information som finns i dokumentet. För en dator är det dock svårt att med lätthet utläsa dessa nyanser och skillnader, denna typ av data är ofta ostrukturerad. 8

Ostrukturerade data har dessutom av sin natur en inneboende osäkerhet kopplat till sig gällande om det utgörs av en personuppgift eller inte. Det är ofta en bedömningsfråga som dessutom beror på vilken ytterligare information som betraktaren har med sig eller kan tillskansa sig. Det visar tydligt på hur svårt det är att på ett ändamålsenligt sätt ta fram en övergripande datareglering som tillåter en integritetssäker datadelning. Det är även förklarligt att det finns ett behov av ökad precision i regleringen.

3.2.3. Strukturerade och standardiserade data

Strukturerade data är data som är ordnade på ett systematiskt sätt. Det har som tidigare nämnts inte att göra med om den av människor upplevs som strukturerad, utan om den är strukturerad på ett sätt som underlättar sökningar av data.9 Strukturerad data underlättar ofta för datadelning dels genom att det är enklare rent tekniskt, men det kan också underlätta vid utlämnande eftersom det många gånger är lättare att bedöma om strukturerade data är en personuppgift eller inte. Exempelvis är det svårt att ur ett textdokument få reda på exakt hur många namn som återfinns i texten, medan det i en strukturerad datamängd är enkelt att få fram den informationen.

Ett annat, liknande begrepp är standardiserade data. En standard kan ses som överenskomna gemensamma regler för beskrivning, utformning och framställning av en produkt eller tjänst.10 Standardiserade data är alltså data som följer en viss överenskommen standard och används oftast för att minska onödiga variationer och oklarheter som kommer av att exempelvis olika begrepp kan tolkas på olika sätt. Vid delning av data kan standardiserad data hjälpa aktörerna som delar data att få en bättre förståelse för vad det är för data de delar och vad datan betyder. Standardiserade data har många gånger inte någon direkt påverkan på huruvida data utgörs av personuppgifter

8 Feldman, R., & Sanger, J. 200). The text mining handbook: advanced approaches in analyzing

unstructured data. Cambridge University Press.

9 https://it-ord.idg.se/ord/strukturerade-data/ (Hämtat 2023-03-16). 10 https://it-ord.idg.se/ord/standard/ (Hämtat 2023-03-16).

eller inte utan nyttan uppstår ofta snarare i att datan blir mer jämförbar och lättare kan delas mellan olika system.

3.2.4. Aggregerade data

När enskilda rader i ett dataset samlas ihop brukar de benämnas som aggregerad data. Det finns flera olika fördelar med att aggregera data. En viktig aspekt kan vara att uppgifter som slås samman kan gå från att innehålla personuppgifter till att bli aggregerad data, som då inte längre utgörs av personuppgifter.

I vissa fall hjälper det inte att aggregera data för att det inte ska anses utgöra personuppgifter. När det finns många variabler som kan användas för att identifiera en person eller när antalet personer i en viss grupp är så pass få kan det innebära att det går att bakvägsidentifiera enskilda personer, trots att data är aggregerad. Aggregerade data har därmed utmaningar i att det kan vara svårt att bedöma huruvida en mängd data innehåller personuppgifter eller inte. För väldigt stora dataset kan det vara praktiskt omöjligt att veta eller ta reda på om datamängden innehåller personuppgifter eller inte.

3.2.5. Övriga datatyper

Utöver de datatyper som tagits upp ovan finns även andra datatyper som är svåra att kategorisera då de ofta är en sammanblandning av flera olika datatyper samtidigt eller att de på annat sätt har en annorlunda karaktär. Ett sådant exempel kan vara att datatyperna inte lagras utan bara existerar under vissa förhållanden eller korta perioder. Även här kommer utredningen bara kortfattat beskriva ett antal sådana typer som utredningen bedömt särskilt viktiga för hälsodataområdet.

Förstärkt- och virtuell verklighet

Förstärkt verklighet är en teknik som kombinerar människans sinnesintryck med datorgenererade intryck i realtid. Den vanliga yttervärlden som vi uppfattar med ögon, öron och andra sinnesorgan kompletteras med virtuella inslag. Det förutsätter speciella interaktiva glasögon eller liknande utrustning. En metod kan vara att man tittar på en historisk

turistattraktion genom bildskärmen på en smart mobil med kamera. På bildskärmen visas då motivet med datorgenererade tillägg, till exempel en rekonstruktion av hur arkeologer tror att en ruin såg ut innan den blev ruin. Det liknar virtuell verklighet, fast blandat med vanliga sinnesintryck.11

Virtuell verklighet är en teknik som visar en illusion av en verklig och interaktiv omgivning, skapad med datorteknik. Rörliga bilder, ljud gör att användaren tycker sig vara i en tredimensionell värld som går att röra sig i och också påverka.12

Det finns redan i dag en mängd olika medicintekniska produkter som använder sig av förstärkt eller virtuell verklighet.13 Allt eftersom denna teknik utvecklas och blir en mer integrerad del av vården så är utredningens bedömning att behovet av relevant och uppdaterad reglering kommer att öka. Exempelvis finns behov av att samla in data från användningen av dessa produkter för att utvärdera såväl säkerhet som effektivitet. För att dessa produkter ska fungera krävs ofta tränade algoritmer som i sin tur kräver stora datamängder för att tränas. På så sätt är denna teknik dataintensiv eftersom den både har ett behov av historiska data och samtidigt kan använda, sammanföra och generera stora mängder data i realtid.

Beräkningsdata

När en beräkning görs genereras många gånger olika värden. Utredningen har inte kunnat hitta ett bra begrepp för att beskriva denna typ av data och har därför valt att kalla det beräkningsdata. Ett exempel är parametrar, så som vikter i maskin- och djupinlärning. Utanför en ekvation, modell eller beräkning saknar dessa värden många gånger praktisk betydelse utan blir då bara värden. Ur ett integritetsperspektiv är problemet med denna typ av data snarlik problemen som finns med anonymisering av data. Det är svårt att veta om det går eller inte att identifiera en individ ur datan eller vilka andra data eller hjälpmedel som hade krävts för att kunna identifiera en person. För exemplet djupinlärning kan det röra sig om fler värden än vad en människa rimligen någonsin skulle kunna ta del av. Exempelvis använder Googles

11 https://it-ord.idg.se/ord/forstarkt-verklighet/ (Hämtat 2023-03-16). 12 https://it-ord.idg.se/ord/virtuell-verklighet/ (Hämtat 2023-03-16). 13 https://www.fda.gov/medical-devices/digital-health-center-excellence/augmented-realityand-virtual-reality-medical-devices (Hämtat 2023-03-16).

djupinlärningsmodell AlphaStar 139 miljoner parametrar14, OpenAI:s GPT-3 använder 175 miljarder parametrar.15

Maskin- såväl som djupinlärning blir ett allt vanligare verktyg, så även inom hälsodataområdet. Det är också ett fält där utvecklingen går väldigt snabbt framåt, vilket kan göra det svårt att bedöma hur dessa modeller får kombineras med hälsodata.

3.2.6. Kvalitativ metod och data

Inom samhällsvetenskaperna används både kvalitativ och kvantitativ metod. Med kvalitativ metod avses ett samlingsbegrepp för olika arbetssätt som förenas av att forskaren själv befinner sig i den sociala verklighet som analyseras, att datainsamling och analys sker samtidigt och i växelverkan, samt att forskaren söker fånga såväl människors handlingar som dessa handlingars innebörd.16 Kvalitativ metod fokuseras mer på textanalyser och fallstudier och kvalitativa data är därmed oftast formaterat som text.17 Inom hälso- och sjukvården är fritext i journal en typ av kvalitativ data.

På senare år har det blivit vanligare att maskininlärningsmodeller används för att omvandla kvalitativa data till kvantitativa data.18 Var gränsen går för kvantitativa respektive kvalitativa data är inte helt tydlig och förändras i takt med teknikens utveckling, även om metoderna fortsatt skiljer sig åt.

3.2.7. Kvantitativ metod och data

Kvantitativ metod är ett samlingsbegrepp inom samhällsvetenskaperna för de arbetssätt där forskaren systematiskt samlar in empiriska och kvantifierbara data, sammanfattar dessa i statistisk form samt från

14 Wang, Xiangjun, et al. (2021, July). SCC: An efficient deep reinforcement learning agent mastering the game of StarCraft II. In International conference on machine learning (pp. 10905–10915). PMLR. 15 Floridi, L., & Chiriatti, M. 2020. GPT-3: Its nature, scope, limits, and consequences. Minds and Machines, 30, 681–694. 16 https://www.ne.se/uppslagsverk/encyklopedi/l%C3%A5ng/kvalitativ-metod (Hämtat 2023-03-28). 17 Esiasson, P., Gilljam, M., Oscarsson, H., Towns, A., & Wängnerud, L. 2017. Metodpraktikan: Konsten att studera samhälle, individ och marknad. 5. uppl. Stockholm: Norstedts Juridik, (s. 211). 18 Khurana, D., Koli, A., Khatter, K., & Singh, S. 2023. Natural language processing: State of the art, current trends and challenges. Multimedia tools and applications, 82(3), 3713–3744.

dessa bearbetade data analyserar utfallet med utgångspunkt i testbara hypoteser.19 Denna metod är också väldigt vanlig utanför forskningen och används ofta i det som kallas datadriven hälso- och sjukvård, eller det som oftast avses med begreppet dataanalys. Vanligt är då också att analytiker använder så kallad real world data, vilket är all data som inte är data från en randomiserad kontrollerad studie.20

3.2.8. Real world data

Det finns ingen vedertagen definition eller svensk översättning av real world data (RWD). Statens beredning för medicinsk och social utvärdering (SBU) har förklarat begreppet som:

Ofta syftar det [real world data] på uppgifter om individers behandling och hälsa som finns i register och journaler, men också på hälso- och livsstilsinformation i smarttelefoner och bärbara sensorer. Det gemensamma är att uppgifterna inte primärt har samlats in i vetenskapligt syfte men ändå används av forskare.21

I praktiken innebär det i stort sett samtliga data som samlats in utanför vetenskapliga studier.

Utredningen har noterat att begreppet ibland förväxlas med begreppet realtidsdata, vilket beskrivs i avsnitt 3.2.9.

3.2.9. Realtidsdata

Det finns ingen definition av realtidsdata, det som däremot ofta avses är data som uppdateras och visas upp i realtid. I praktiken brukar begreppet användas i relation till beslutsstöd eller uppföljning även om realtidsdata förekommer även inom andra områden. Exempel på realtidsdata är om ett sjukhus kan monitorera antalet väntande på akuten i realtid. Ett annat exempel är medicintekniska produkter som visar värden i realtid så som EKG. Begreppet har blivit vanligare inom beslutsstöd på senare år för att verksamheter snabbare ska kunna agera på insamlade data. Utredningens bedömning är att vissa aktörer även

19 https://www.ne.se/uppslagsverk/encyklopedi/l%C3%A5ng/kvantitativ-metod (Hämtat 2023-03-28). 20 https://www.sbu.se/sv/publikationer/vetenskap-och-praxis/forskningen-flyttar-in-i-vardagen/ (Hämtat 2023-04-05). 21 https://www.sbu.se/sv/publikationer/vetenskap-och-praxis/forskningen-flyttar-in-i-vardagen/ (Hämtat 2023-09-18).

använder begreppet för att beskriva data som uppdateras ofta om än inte i realtid. Här verkar det vara upp till det specifika fallet om data kan anses uppdateras i realtid eller inte. I vissa fall kan en timmes eftersläpning anses vara nära nog realtid, medan det inte kan anses vara det i andra. Utredningen har noterat att begreppet i vissa fall felaktigt används för att beskriva real world data, se avsnitt 3.2.7.

3.2.10. Metadata

Metadata är data om data eller information om data. Det kan exempelvis vara en lista över vilka variabler som finns i en databas och information om de olika variablerna i databasen.

Metadata är ofta centralt för att aktörer ska kunna hitta och använda sig av relevant data. Ett exempel på användning av metadata är Vetenskapsrådets metadataverktyg Register Utiliser Tool (RUT). Verktyget underlättar registerbaserad forskning genom att tillåta sökning i och analys av metadata. På så sätt kan forskare utvärdera vilka register och variabler som de kan behöva i sin forskning.

Ett vanligt exempel på metadata är information om hur kategorivariabler är kodade. Exempelvis kan värdet 0 innebära kvinnligt kön och värdet 1 manligt kön. Det kan även finnas metadata som talar om att en viss insamlingsmetod ändrades ett specifikt år.

Eftersom metadata beskriver annan data så kan det underlätta för exempelvis dataanvändaren att bedöma vilka variabler som skulle gå att få ta del av och vilka data som kan behöva aggregeras. Ett sådant exempel är att metadata kan beskriva huruvida en variabel för ålder är kodat som exakt ålder eller om ålder är kodat i ålderskategorier. Metadata kan även användas som ett verktyg för uppgiftsminimering, utan rätt kunskap om datan som dataanvändaren vill få tillgång till kan det hända att användaren vill ta del av fler variabler än nödvändigt eftersom det kan vara svårt att på förhand veta om variablerna innehåller den information som dataanvändaren behöver för att göra den aktuella analysen. Dataanvändaren kanske på förhand bedömer att en variabel är av intresse, men av metadatan framgår att variabeln inte innehöll den data som användaren först trodde eller att kvaliteten gör att datan inte kan användas för det ändamål som användaren först tänkt. Därmed skulle ett utlämnande av den variabeln utgöra ett onödigt integritetsintrång.

Socialstyrelsen skriver i sin rapport Kartläggning av datamängder

av nationellt intresse på hälsodataområdet – slutrapport22att ett av syftena

med att tillgängliggöra metadata är att skapa bättre förståelse för vilka data som finns tillgängliga, var de är lokaliserade, vilken kvalitet de har och för att få en förståelse för på vilket sätt data går att använda och till vad.

3.3. Behandling, lagring, och strukturering av data

Behandling av data kan ske på en mängd olika sätt. Den tekniska utvecklingen innebär att data kan behandlas på alltmer komplicerade sätt och denna utveckling går framåt i snabb takt. I förslaget till Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och användning av data COM(2022) 68 final av den 23 februari 2022, förkortad förslaget till Förordning om harmoniserade regler för skälig åtkomst till och användning av data (även kallad dataakten) definieras behandling i artikel 2.11 som:

… åtgärd eller kombination av åtgärder som utförs på data eller dataset i elektroniskt format, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Behandling av data är alltså ett mer omfattande begrepp än dataskyddsförordningen behandling av personuppgifter, som endast avser behandling av sådan data som utgörs av personuppgifter.

Att behandla data kan även innebära att data samlas in, lagras och struktureras på olika sätt. Nedan följer en kort beskrivning av några olika sätt att lagra och strukturera data. En datainsamling kan beskrivas som en datamängd vilket kan ses som en informationsmängd. Begreppet datamängd kan betyda olika saker beroende på sammanhang. Begreppet brukar generellt avse en ordnad samling data (datapunkter) om en bestämd företeelse.23 En datamängd kan därför vara både data inom exempelvis ett område men kan också en specifik mängd av

22 Kartläggning av datamängder av nationellt intresse på hälsodataområdet – slutrapport (2022-10-8136). 23 https://it-ord.idg.se/ord/datamangd/ (Hämtat 2022-10-07).

data, på samma sätt som det går att ha en mängd med information. Samma data kan också tillhöra flera olika datamängdsbegrepp samtidigt, precis som en informationsmängd kan röra information om exempelvis krisberedskap och samtidigt vara en informationsmängd från en statlig myndighet. Mängden är alltså en förklaring av vad datan beskriver eller används för.

I figur 3.1 nedan visas en bild av ett dataset och utredningen kommer utifrån den bilden beskriva data från ett enskilt värde till en större samling av mer komplexa datamängder.

Figur 3.1 En bild över ett typiskt dataset

Källa: Utredningens illustration.

3.3.1. Datapunkt

En datapunkt är den minsta odelbara delen i en datamängd. Vad som är odelbart beror på sammanhanget.24 I figur 3.1 är exempelvis könet på en person en datapunkt. Det finns exempelvis ingen anledning att dela datapunkten kvinna till två separata datapunkter. För diagnoskod kan det däremot finnas anledning att dela datapunkten, exempelvis står bokstaven i början av diagnoskoden för en viss grupp av diagnoser. Så vad som räknas som odelbar beror därför på sammanhanget.

24 https://it-ord.idg.se/ord/datapunkt/ (Hämtat 2023-03-15).

Personnr. Förnamn Efternamn Diagnoskod Kön

123456-7890 Anna Andersson A15 Kvinna 234567-8901 Bertil Bengtsson C18 Man 345678-9012 Carl Carlsson E10 Man 345678-9012 Carl Carlsson D44 Man

Nyckel/Identifierare

Rad

Datapunkt

Variabel

Dataset

3.3.2. Variabel

En variabel är inom matematiken en storhet som tänks variera.25 En variabel skrivs ofta ut som bokstaven x och kan beskrivas som en bokstav som kan stå i ett uttryck och som vi kan byta ut mot olika värden. I en tabell med data brukar varje kolumn representera en variabel. I figur 3.1. ovan är exempelvis kön en variabel. Det är alltså ett värde som varierar beroende på vem observationen avser.26

3.3.3. Nyckel

Vissa variabler kan fungera som nycklar, även kallat identifierare. I databaser är nyckeln ett värde (namn, tal, nummer) som kan användas för att entydigt identifiera en rad (post) i en relationsdatabas eller i en annan fil. En vanlig förekommande nyckel är personnummer27, vilket också är den nyckel som använts som exempel i figur 3.1. I figuren ser vi dock att två rader har samma nyckel, många gånger är det inte lämpligt att välja en nyckel som inte är unik för den enskilda raden,28 det finns dock situationer där det viktiga är att nyckeln kan användas för att identifiera enskilda individer snarare än enskilda rader.

3.3.4. Rad, post eller observation

I en tabell med data finns även rader, dessa kallas också poster eller observationer.29,30 En rad är i många fall unik, men det förekommer situationer där det kan finnas identiska rader, exempelvis om vissa variabler har tagits bort av integritetsskäl. Det kan innebära att en eller flera rader blir identiska, men det kan även finnas andra situationer där identiska rader kan förekomma.

25 https://www.ne.se/uppslagsverk/encyklopedi/l%C3%A5ng/variabel (Hämtat 2023-03-15). 26 Organisation for Economic Co-operation and Development, 2008, OECD glossary of statistical

terms. Organisation for Economic Co-operation and Development. s. 577.

27 https://it-ord.idg.se/ord/nyckel/ (Hämtat 2023-03-15). 28 https://it-ord.idg.se/ord/nyckel/ (Hämtat 2023-03-15). 29 https://www.statology.org/observation-in-statistics/ (Hämtat 2023-03-15). 30 https://it-ord.idg.se/ord/post/ (Hämtat 2023-03-15).

3.3.5. Dataset

Ett dataset är en samling av datapunkter ordnade i rader och kolumner och som tillsammans utgör ett dataset. Ett dataset är alltså en samling data som behandlas tillsammans för ett bestämt ändamål av ett datorprogram.31

3.3.6. Databas

En databas är data som är samlade, ordnade, sökbara och skilda från specifika program (applikationer). En fördel med en databas jämfört med exempelvis ett dataset som är sparat som en fil är att en databas är enklare att underhålla och det gör också att flera program kan använda samma data.32 En databas kan vara ett register i dataskyddsförordningens mening, men behöver inte vara det. (Se ytterligare om databaser avsnitt 13.3.4)

3.3.7. Register

Ett register är typiskt sett en lista med uppgifter, inte sällan personuppgifter. Några exempel på register är nationella kvalitetsregister och Socialstyrelsens hälsodataregister. Ursprungligen fördes register på papper och bestod då rader och kolumner med uppgifter. I och med att datorn uppfanns så blev alltmer register digitaliserade, men register hade oftast samma form som de hade när de var på papper. På senare tid har det dock utvecklats en rad olika lösningar som gjort att det finns andra sätt att lagra data, men också andra sätt att sammanställa data än att samla allt i register.

Även om det finns vissa fördelar med register så som att det är ett enkelt sett att lagra och visualisera data så finns det också en rad utmaningar med register. Exempelvis kan det vara kostsamt att uppdatera och hålla register och uppgifter samlas oftast in för att senare kunna delas. Det har tidigare, framför allt när register var i pappersformat, funnits behov av att föra olika register med samma uppgifter i dem, vilket skapar mycket administration både gällande registrering av uppgifterna, och för att säkerställa att uppgifterna är korrekta i samtliga

31 https://it-ord.idg.se/ord/datamangd/ (Hämtat 2023-03-15). 32 https://it-ord.idg.se/ord/databas/ (Hämtat 2023-03-15).

register. På senare år har det blivit alltmer vanligt med lösningar där data lagras mer lokalt och att relevanta data tillgängliggörs efter behov. Ett sådant exempel är om en patient skulle byta adress, då kan detta göras i en databas där andra system hämtar informationen, i stället för att informationen behöver ändras i samtliga system.

Register kan alltså vara flera olika saker, från en processor i en dator till en innehållsförteckning i en bok. Ett register kan vara en förteckning över data som hålls strukturerat och därmed sökbart. Vanligen är därmed även ett register en databas. I EU:s dataskyddsförordning definieras register i artikel 4.6 som en ”strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden”. Enligt den svenska modellen för författningsreglering av register är viss registerföring särskilt reglerad i så kallade registerförfattningar, se nästföljande avsnitt.

Varje myndighet ska enligt 4 kap. 2 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, tillhandahålla information om de register och databaser som myndigheten har. Syftet är att underlätta för allmänheten att ta del av allmänna handlingar från de databaser och register som myndigheten ansvarar för. Innehåller databasen eller registret personuppgifter ansvarar den som är personuppgiftsansvarig för personuppgiftsbehandlingen i dessa, det vill säga vanligen aktuell myndighet. Varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare ska enligt artikel 30 i EU:s dataskyddsförordning föra ett register över behandling som utförts under dess ansvar. Personuppgiftsansvarig myndighet ansvarar därmed för att ha en särskild registerförteckning över de personuppgiftsbehandlingar som utförts under dess ansvar.

Ytterst är det EU:s dataskyddsförordning och dataskyddslagen som reglerar personuppgiftsbehandling i svensk rätt, men denna reglering kompletteras ofta med myndighetsspecifika registerförfattningar. Dessa, ofta sektorsspecifika registerförfattningar, kompletterar därmed EU:s dataskyddsförordning och kan innehålla avvikelser som ansetts nödvändiga eller lämpliga på det aktuella området i förhållande till det generella dataskyddet.

I svensk lagstiftning finns inom den offentliga sektorn en lång tradition av registerförfattningar. Vanligen innehåller ett sådant register personuppgifter och registerförfattningen reglerar hur behandlingen av dessa ska vara. Registerförfattningarna kompletterar dataskyddsför-

ordningen men reglerar mer specifikt viss typ av behandling av personuppgifter, både sådana som gäller för flera organisationer inom en sektor och sådana som enbart gäller för en viss myndighet. I vissa sammanhang skiljs på så kallade renodlade registerförfattningar, informationshanteringsförfattningar och annan reglering med inslag av dataskyddsbestämmelser.

I en registerförfattning anges ofta de ändamål för vilka personuppgifterna i fråga får behandlas. Detta är tillåtet förutsatt att registerförfattningen uppfyller vissa grundläggande krav i dataskyddsförordningen. Registerförfattningarna har företräde framför lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen, men måste fortfarande överensstämma med dataskyddsförordningen. Detta eftersom dataskyddslagen enligt 1 kap. 6 § är subsidiär till annan lag eller en förordning som innehåller någon bestämmelse som avviker från dataskyddslagen.

Registerförfattningar kan vara tillämpliga övergripande för en viss typ av personuppgifter inom ett visst område. Hälso- och sjukvårdens område är föremål för ett stort antal registerförfattningar. Dessa registerförfattningar utgörs av lagar som reglerar vissa specifika verksamheters personuppgiftsbehandling, såsom till exempel hälso- och sjukvård i form av PDL, och som gäller som komplement till dataskyddsförordningen.

3.3.8. Datalager

Datalager, även kallat informationslager är en databas som är anpassad

för snabb läsning, men som inte behöver klara ändringar och strykningar, eftersom den bara används för analys av sådant som redan har hänt. Datalager bygger på att färska data regelbundet överförs från det vanliga it-systemet, som då inte behöver belastas av tunga sökningar. I ett informationslager formateras datamängderna också om, så att de blir anpassade till analytikernas sökningar.33 Ett vanligt förekommande exempel inom vården är att data för analys inte hämtas direkt från en applikation så som ett journalsystem utan att det oftast hämtas från ett datalager. En anledning till det är att om all begäran om data skulle skickas direkt till journalsystemet så finns det en risk att journalsystemet blir överbelastat.

33 https://it-ord.idg.se/ord/informationslager/ (Hämtat 2023-03-15).

3.3.9. Stordata

Storadata, även kallat big data är ett begrepp som blev vanligt runt

2010 och är en benämning på mycket stora datamängder som kräver speciella metoder för analys. Det syftar oftast på ostrukturerade data, alltså sådana data som inte kan ordnas i tabeller eller kalkylark. Ett kriterium är att datamängderna är så stora att de i praktiken inte kan behandlas med traditionella program för analys och datautvinning. Områden där stordata är vanliga är analys av stora textmängder exempelvis från stora sociala medier, hälsodata, analys och kategorisering av fotografier och andra bilder, meteorologi, klimatanalys och data från handel.34

3.3.10. Datasjö

Datasjö är ett begrepp som brukar användas för att beskriva en lag-

ring av stor mängd data som sparas i oförändrad form i ett gemensamt förråd, det vill säga utan någon form av normalisering eller annan anpassning.35 Det kan exempelvis innebära lagring av både strukturerade data så som register och ostrukturerade data så som bilder. På det sättet skiljer sig datasjöar från de mer traditionella och mer strukturerade datalagren. Ett datalager kan ses som ett välstrukturerat förråd där allt står uppmärkt och ordnat i lådor och i rader. En datasjö kan ses som ett förråd där föremålen är inkastade, vissa saker i lådor, andra inte, vissa i rader, andra inte.36

En datasjö är alltså ett sätt att lagra och använda data, vilket innebär att en datasjö kan ägas och innehålla data om endast en enda person. Så även om namnet sjö antyder att det skulle kunna röra sig om gemensamt tillgängliga data är ordet snarare en beskrivning av att flera olika typer av kärl med data har slagits samman, även kallat

poolats, för att tillsammans bilda en sjö där data från de olika kärlen

blandas och tillgängliggörs för de som ägaren av datasjön har gett behörighet till. Det kan finnas situationer där olika aktörer vill sammanföra sina data i en gemensam sjö, det har dock inget med begreppet att göra, snarare att aktörerna väljer det formatet för att dela och använda data. På samma sätt som ett förråd kan vara ens

34 https://it-ord.idg.se/ord/big-data/ (Hämtat 2023-03-16). 35 https://it-ord.idg.se/?s=datasj%C3%B6 (Hämtat 2022-10-07). 36 https://it-ord.idg.se/ord/informationslager/ (Hämtad 2022-10-26).

privata förråd eller ens gemensamma förråd så är förråd i allmänhet inte gemensamma, utan snarare ett praktiskt sätt att lagra saker och förrådet kan användas på olika sätt beroende på behov.

3.3.11. Poolade data

Det finns ingen svensk definition av vad en datapool är utan begreppet är en anglicism. Begreppet kommer från engelskans data pool och ordet pool används då i bemärkelsen:

A number of people or a quantity of a particular thing, such as money, collected together for shared use by several people or organizations.37

Det betyder alltså att en eller flera personer eller aktörer valt att samla data tillsammans för att datan ska kunna användas av en eller flera aktörer. Verbet för detta är att poola och när data poolats så är den poolade datan en datapool.

Utredningen har noterat att begreppet datasjö ofta används felaktigt för att beskriva poolade data. Begreppen är både praktiskt och juridiskt väldigt olika. Att jämföra en datasjö med poolade data är ungefär som att jämföra en pool med en sjö. Det kan finnas likheter, men i praktiken är de väldigt olika. Utredningen tror att en av anledningarna till att begreppen blandas ihop är för att det rent intuitivt låter som att en datasjö är något större och offentligt, medan en pool är mer begränsad och privat. I praktiken är det däremot ofta tvärt om. En datasjö är ett sätt att lagra olika datatyper på ett visst sätt (se avsnitt 3.3.10) medan poolade data bara är data som lagts samman. En annan sak som gör begreppet mer svårhanterligt är att det går att poola datasjöar, vilket då blir poolade data.

Poolade data innebär juridiska utmaningar. Som konstaterats ovan i avsnitt 3.4 innebär datadelning oftast att olika juridiska regelverk aktualiseras beroende på omständigheterna och förutsättningarna i det aktuella fallet. Att samla data för olika ändamål innebär ofta att olika lagrum görs gällande. Dessutom kan det finnas olika rättsliga grunder och olika rättsliga aktörer har olika regelverk att förhålla sig till. Det här innebär att för att kunna poola data behöver en juridisk analys göras för att se så samtliga inblandade aktörer har förståelse för hur regelverket behöver efterlevas.

37 https://dictionary.cambridge.org/dictionary/english/pool (Hämtat 2023-09-13).

3.3.12. FAIR

FAIR är en akronym som står för Findable, Accessible, Interoperable och Reusable, det vill säga sökbar, tillgänglig, interoperabel och återanvändningsbar. FAIR-principerna innebär att forskningsdata ska gå att hitta, det ska finnas information om hur man får tillgång till dem, de ska vara kompatibla med andra data, och de ska vara möjliga att återanvända.38 Dessa principer kan även användas utanför forskningen, även om det primärt är inom forskning som de i dag används.

För att data ska vara sökbar används ofta metadata, se avsnitt 3.2.10. För att data ska vara tillgänglig krävs dels att datan kan tillgängliggöras, alternativt att dataägaren har en vilja att tillgängliggöra datan, dels att datan får tillgängliggöras. Exempelvis får inte vissa data tillgängliggöras av sekretesskäl.

För att data ska vara interoperabel krävs teknisk och semantisk interoperabilitet, exempelvis att datum registreras i samma format.

En förutsättning för att data ska vara återanvändningsbar är att data beskrivs med tillräckliga metadata, att metadata kan läsas av både människor och datorer och att det finns tydliga upplysningar om exempelvis vetenskapligt syfte, i vilket sammanhang data samlades in och vilken utrustning och programvara som användes. Även villkor för hur data får användas måste anges tydligt.39

3.4. Vad är datadelning?

Flera av de listade sätten ovan om hur data kan behandlas genom att samlas in, lagras och struktureras kan innebära att data delas. Vad datadelning faktiskt innebär och omfattar kan betyda flera olika saker både i praktiken och rent juridiskt. I detta avsnitt kommer utredningen översiktligt beskriva några centrala begrepp för att tydliggöra vad utredningen avser när utredningen skriver om datadelning.

38 https://snd.gu.se/sv/hantera-data/fardigstalla-tillgangliggora/FAIR-principerna (Hämtat 2023-09-18). 39 https://snd.gu.se/sv/hantera-data/fardigstalla-tillgangliggora/FAIR-principerna (Hämtat 2023-09-18).

3.4.1. Tillgängliggörande av data

Datadelning kan övergripande beskrivas som att en person eller en organisation gör sina data tillgängliga för andra.40 Inom denna övergripande beskrivning kan datadelning betyda olika saker. En allmän betydelse är att en datamängd görs tillgänglig för andra användare, antingen i en begränsad grupp eller mer generellt till allmänheten eller många mottagare. Dataledning kan också bestå i utbyte av data, genom att två eller flera organisationer kommer överens om att ha gemensam tillgång till varandras data. Av dessa beskrivningar följer att datadelning både kan vara envägs eller tvåvägs tillgängliggörande av data. Datadelning är även ett begrepp som finns definierat i artikel 2.10 i dataförvaltningsförordningen och beskrivs som

… en registrerads eller datainnehavares tillhandahållande av data till en dataanvändare för gemensam eller individuell användning av dessa delade data, baserat på frivilliga avtal, unionsrätt eller nationell rätt, direkt eller via en förmedlare, till exempel inom ramen för öppna eller kommersiella licenser mot en avgift eller kostnadsfritt.

Det innebär att det finns många olika förutsättningar att ta hänsyn till och datadelning blir snarare som en form av paraplybegrepp som i sin tur kan delas upp enligt olika juridiska förutsättningar.

I hälso- och sjukvården behandlas dagligen enorma mängder data som består av personuppgifter. En stor andel av uppgifterna utgörs av känsliga personuppgifter. Det finns flera bestämmelser inom hälso- och sjukvården som innebär att uppgifter delas.

Förutom dataförvaltningsförordningen som nämns ovan, förekommer begreppet datadelning inte i lagstiftning som rör informationshantering, såsom dataskyddsförordningen, tryckfrihetsförordningen (1949:105), förkortad TF, offentlighets- och sekretesslagen (2009:400), förkortad OSL, eller svenska registerförfattningar. I dessa författningar används andra begrepp för åtgärder som omfattas av begreppet datadelning. För att förstå vilka rättsliga aspekter en specifik datadelning aktualiserar, måste man därför analysera vad datadelningen innebär i förhållande till de rättsliga begrepp som finns i relevant lagstiftning.

40 https://it-ord.idg.se/ord/datadelning/ hämtat 2022-11-23.

3.4.2. Juridiska begrepp som kopplar till datadelning

Utlämnande

Den organisation som gör sin data tillgänglig, kan i lagens mening göra ett utlämnande av information. Begreppet utlämnande förekommer i TF och syftar på när en myndighet lämnar ut så kallade allmänna handlingar eller uppgifter ur allmänna handlingar (se 2 kap. 15–20 §§ TF). Utlämnande kan ske genom att den som begärt ut handlingen får ta del av en på stället på ett sådant sätt att den kan läsas eller avlyssnas eller uppfattas på annat sätt (2 kap. 15 § TF). Kan handlingen inte läsas eller uppfattas på något annat sätt utan något tekniskt hjälpmedel, ska myndigheten ställa ett sådant till förfogande. Det kan till exempel vara en uppkopplad skärm om det gäller en elektronisk handling. En handling får också skrivas av, fotograferas eller spelas in.

Utlämnande kan också ske genom att den som begär ut handlingen får del av en avskrift eller kopia av handlingen. Detta kan gå till så att handlingen kopieras och skickas per brev. Detta förekommer fortfarande hos myndigheter vad gäller sekretessbelagd information.

Utlämnande på medium för automatiserad behandling

Utlämnande på medium för automatiserad behandling är ett begrepp som förekommer i PDL och innebär utlämnande på medium för automatiserad behandling (ADB-utlämnande). Förarbetena till PDL anger att utlämnande också kan göras i elektronisk form, det vill säga på medium för automatiserad behandling eller via elektronisk kommunikation på annat sätt. Den elektroniska formen omfattar i sig ett stort antal variationer, till exempel användning av e-post, lagring på cd-rom, direktöverföring från ett datorsystem till ett annat via telenätet eller att en mottagare ges elektronisk tillgång till det utlämnande organets datorsystem (prop. 2007/08:126, s. 73).

Direktåtkomst

Utlämnande kan också ske genom så kallad direktåtkomst. Det finns ingen rättslig definition av direktåtkomst. Begreppet har använts i många utredningar och finns i lagstiftning utan att vara definierat i någon lag. Direktåtkomst innebär en form av elektroniskt utlämnande.

Utlämnandet sker då till en extern mottagare där den som är ansvarig för informationen inte längre har någon kontroll över vilka uppgifter som mottagaren tar del av. Den som tar emot uppgifterna kan inte heller påverka innehållet i det system eller register som uppgifterna lämnas ut från. Direktåtkomst till personuppgifter som behandlas enligt PDL får endast ske i den utsträckning som lag eller förordning anger det. Ett exempel på en lagstadgad form av direktåtkomst finns i 5 kap. 4 § 2 PDL. Ifall en region eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma region eller kommun. I 5 kap. 5 § patientdatalagen anges att en vårdgivare får medge en patient tillgång, genom direktåtkomst, till sådana uppgifter om sig själv som behandlas för vårddokumentation. Exempel på sådan direktåtkomst är vårdens e-tjänst Journalen via 1177 Vårdguiden.

Data som omfattas av direktåtkomsten blir allmänna handlingar hos mottagande myndighet. Direktåtkomsten begränsas av den behörighet som har givits användaren.

Annat elektroniskt utlämnande

I senare lagstiftningsarbete används formuleringen direktåtkomst eller annat elektroniskt utlämnande.

Med begreppet annat elektroniskt utlämnande avses sådan elektronisk överföring av uppgifter som inte sker genom direktåtkomst, till exempel e-post, USB-minne eller genom en så kallad fråga-svarfunktion där användaren kan ställa en fråga med begäran om utlämnande av uppgifter i ett sammanhållet system, och därefter få ett samlat svar från flera vårdgivare eller omsorgsgivare. Utredningen uppfattar det som att detta omfattas av begreppet ADB-utlämnande. Motiveringen till användande av detta begrepp, i tillägg till direktåtkomst, är att inte låsa fast vårdgivare till att de måste använda direktåtkomst, som anses vara förknippat med särskilda integritetsrisker. Utredningen konstaterar vidare att det noteras att det i praktiken inte är något stor skillnad mellan direktåtkomst och en elektronisk frågasvar-funktion. Se exempelvis prop. 2021/22:177, s. 7879:

Regeringen delar utredningens bedömning att det inte är lämpligt att utforma regleringen på ett sådant sätt att den låser fast det elektroniska utlämnandet i system med sammanhållen vård- och omsorgsdokumentation till just direktåtkomst. Det kan finnas system som uppfyller behovet av informationsöverföring men med högre integritetsskydd än vid direkt-åtkomst, och dessa måste vara tillåtna. Regeringen avser inte att begränsa hur sådana system är uppbyggda mer än vad som motiveras utifrån ett sekretess- och dataskyddsperspektiv.”

Elektronisk åtkomst

Elektronisk åtkomst innebär, enligt utredningens mening, inte en form av datadelning men tas ändå upp här för att förtydliga begreppen i sammanhanget. Begreppet avser inte en form för utlämnande. Med elektronisk åtkomst avses åtkomst eller tillgång till uppgifter som behandlas elektroniskt inom den egna organisationen. Elektronisk åtkomst är alltså formen för hälso- och sjukvårdspersonalens interna åtkomst till personuppgifter inom vårdgivaren vilket sker på elektronisk väg, såsom inloggning i ett journalsystem. Vårdgivaren har ansvar för att göra en individuell prövning av sin personals behov. Denna behovsprövning avser även hälso- och sjukvårdspersonalens tillgång till uppgifter genom sammanhållen journalföring.

3.5. Data som utgör personuppgifter

Det finns flera juridiska begrepp som beskriver typer av data eller hälsodata. I detta avsnitt beskrivs några av de som utredningen bedömer är mest centrala.

3.5.1. Personuppgifter

Ett centralt begrepp i sammanhanget är som nämnts ovan personuppgifter. I artikel 4.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad dataskyddsförordningen, definieras personuppgifter som varje upplysning som avser en identifierad eller identifierbar fysisk person. I 2 kap. 7 § tryckfrihetsförordningen defi-

nieras personuppgift som all slags information som direkt eller indirekt kan hänföras till en fysisk person. Exempel på personuppgifter är namn, personnummer, bostadsadress och IP-adress.

3.5.2. Känsliga personuppgifter

I dataskyddsförordningen finns bestämmelser om särskilda kategorier av personuppgifter. Med detta begrepp avses bland annat genetiska uppgifter, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (se artikel 9.1 i dataskyddsförordningen). I svensk lagstiftning kallas dessa personuppgifter för känsliga personuppgifter (se 3 kap. 1 § lagen [2018:218] med kompletterande bestämmelser till EU:s dataskyddsförordning och 2 kap. 7 a § patientdatalagen [2008:355]).

3.5.3. Uppgifter om hälsa

Med begreppet uppgifter om hälsa avses personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus (artikel 4.15 dataskyddsförordningen). Ett exempel på en uppgift om hälsa är en uppgift om blodtryck. I skäl 35 i dataskyddsförordningen anges att personuppgifter om hälsa bör innefatta alla de uppgifter som hänför sig till en registrerad persons hälsotillstånd som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd.

3.5.4. Genetiska uppgifter

Med genetiska uppgifter avses alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga (artikel 4.13). Ett exempel på en genetisk uppgift är en uppgift om arvsanlag.

3.5.5. Uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden

I 25 kap. 1 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, används begreppet uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden för att definiera sekretessbestämmelsens föremål, se vidare om hälso- och sjukvårdssekretess i avsnitt 8.3.3. Begreppet hälsotillstånd är en typ av personligt förhållande som regeringen ansåg borde framhållas särskilt (prop. 1979/80:2, Del A s. 168). Begreppet hälsotillstånd definieras dock inte i förarbetena till bestämmelsen. Däremot finns skrivningar om begreppet andra personliga förhållanden, vilket också inkluderar begreppet hälsotillstånd. Där anges att vad som menas med personliga förhållanden måste bestämmas utifrån vanligt språkbruk. Vidare anförs att det är vitt skilda förhållanden som omfattas, såsom adress, ekonomiska förhållanden men även yttringar av ett psykiskt sjukdomstillstånd. (prop. 1979/80:2 Del A, s. 84 och 168).

3.5.6. När övergår personuppgifter till att inte längre vara personuppgifter?

Enligt dataskyddsförordningen är personuppgifter all slags information som direkt eller indirekt kan knytas till en person som är i livet. Ibland kan det vara svårt att avgöra var gränsen går för när data utgörs av personuppgifter eller när det inte längre anses utgöra personuppgifter. Ibland kan olika uppgifter tillsammans leda till att en viss person kan identifieras. Uppgifter som inte direkt kan identifiera en person klassas som personuppgifter om de är pseudonymiserade. Pseudonymisering är en säkerhetsåtgärd som innebär att personuppgifterna ersätts med något annat, som en kod eller ett löpnummer och då krävs kompletterande uppgifter för att det ska vara möjligt att hänföra uppgiften till en specifik person. Pseudonymiserade uppgifter är alltså fortfarande personuppgifter, även om risken för att identifiera en person minskar. Av skäl 26 i dataskyddsförordningen framgår att förordningen är tillämplig på personuppgifter som har pseudonymiserats och som skulle kunna tillskrivas en fysisk person genom att kompletterande uppgifter används. Dataskyddsförordningen är därför tillämplig även på pseudonymiserade personuppgifter.

Anonymisering innebär däremot att personuppgifter anonymiserats på ett sådant sätt att den registrerade inte längre är identifierbar (skäl 26 i dataskyddsförordningen). Dataskyddsförordningen är inte tillämplig på sådan anonym information, men själva anonymiseringen utgör en behandling av personuppgifter som omfattas av dataskyddsförordningen.41

I en relativt ny dom från EU-domstolen42 prövades huruvida uppgifter kunde anses vara anonyma hos mottagaren, trots att den organisation som lämnat uppgifterna hade tillgång till kompletterande uppgifter som möjliggjorde identifiering. Utredningen konstaterar att domen är intressant men att ytterligare rättspraxis skulle behövas för att få bättre förståelse för när pseudonymiserade personuppgifter kan klassas som anonyma. Det finns en mängd gråzoner gällande var gränsen går för när personuppgifter inte längre kan anses utgöra personuppgifter. Olika bedömningar görs på olika håll och utredningens bedömning är att det inte finns ett enkelt svar på frågan när dataskyddsförordningen blir tillämplig. För att bedöma om en person kan identifieras i ett dataset görs ofta en så kallad statistisk röjandekontroll. Begreppet statistisk röjandekontroll skiljer sig från röjandekontroll i sambandet röjande av sekretess. Det är metoder för att se till att inte uppgifter om enskilda personer eller företag ska gå att utläsa ur redovisad statistik eller statistiska material.

Med röjande menas att en utomstående får ny kunskap om en egenskap hos en enskild (en person eller ett företag). Ett röjande kan till exempel ske genom att en uppgift om någon enskild framgår från en tabell eller genom att uppgiften tas fram av någon som ”lägger pussel” med statistiska material och information från annat håll.

41 Se skäl 26 i Dataskyddsförordningen och jämför s. 7 i yttrande 05/2014 om avidentifieringsmetoder antaget den 10 april 2014 av Artikel 29-arbetsgruppen för skydd av personuppgifter. 42 Mål T-557/20.

Figur 3.2 Schematisk översikt över hur en röjandekontroll kan se ut

Källa: https://www.scb.se/hitta-statistik/artiklar/2017/Rojandekontroll--viktig-for-statistikens-kvalitet/ (Hämtat 2023-03-06).

I offentlighets- och sekretessammanhang förekommer begreppet avidentifierade uppgifter. För att hinder ska finnas mot att lämna ut uppgifter som är sekretessreglerade till skydd för enskilds personliga eller ekonomiska förhållanden, krävs det en enskild person riskerar att lida skada eller men. Av förarbetena till den tidigare sekretesslagen framgår att det krävs att uppgifterna är hänförliga till en viss individ för att en enskild person ska lida skada eller men. Vidare anges att det innebär att man i allmänhet bör kunna lämna ut så kallade avidentifierade uppgifter utan att risk för skada eller men uppkommer (prop. 1979/80:2 Del A s. 84).

Bedömning av

röjanderisk

Bedömning av

skaderisk

Skyddande av data

Bedömning av

kvalitet

Godtagbar

kvalitet?

Krävs

skydd?

Nej

Nej

Ja

Ja

”Överlämna”

”Åtgärd krävs”

3.6. Skyddsåtgärder

Om data består av personuppgifter och dataskyddsförordningen är tillämplig, finns en rad olika tekniker och metoder för att skydda de registrerades personliga integritet i samband med databearbetning och analys. Utredningen har valt att begränsa sig till att enbart skriva om ett par skyddsåtgärder som utredningen bedömer är relevanta för betänkandet. För en mer utförlig beskrivning av olika skyddsåtgärder så finns en bra sammanställning i forskningsdatautredningens delbetänkande (SOU 2017:50, kapitel 12).

Utredningen kommer i denna del beskriva tre generaliseringsmetoder i mer detalj eftersom utredningen bedömer att det är främst dessa som kan komma att vara aktuella för de som ska tillämpa utredningens förslag. Utöver detta kommer andra skyddsåtgärder beskrivas mer översiktligt eftersom de i olika sammanhang kommer att tas upp i betänkandet. Syftet med detta är dels att visa på komplexiteten när det kommer till att skydda data och anonymisera data, dels visa på andra metoder som inte enbart handlar om pseudonymisering. Vissa skyddsåtgärder är också lämpliga när det inte bedöms finnas någon större risk för att de som har tillgång till data aktivt kommer försöka avidentifiera den, vilket i vissa situationer kan vara fallet. En friare datadelning ställer därmed också större krav på olika typer av skyddsåtgärder och balansen mellan detaljeringsgrad och skyddsåtgärd kan vara svår. Det är inte heller så enkelt att avgöra vilken metod som är bäst lämpad i olika sammanhang. Vid datadelning som innefattar behandling av personuppgifter, behöver det alltid göras en avvägning mellan nyttan och intrånget i den personliga integriteten. Dessutom behöver det göras en bedömning om vilken typ av skyddsåtgärd som är mest lämplig för den enskilda situationen.

3.6.1. Generalisering av data

Generalisering av data är ett samlingsbegrepp som avser flera typer av skyddsåtgärder.

Med generalisering menas i allmänhet att undvika identifiering genom kvasiidentifierare43 genom att integritetskänsliga eller särskil-

43 Uppgift som indirekt eller i kombination med andra uppgifter kan identifiera en person, exempelvis postnummer, ålder och kön.

jande uppgifter aggregeras. I stället för att datasetet talar om exakt ålder på en registrerad så anges åldersspann (exempelvis ”20–29 år”).

För diagnos och behandling av personer med hjälp av precisionsmedicin kan det exempelvis vara viktigt att veta exakt vilken mutation en person har och om personen är ett barn eller inte. Barnets exakta ålder är därmed sällan, om någonsin, avgörande och därför inte nödvändig i datasetet. För biomarkörer kan det röra sig om att informationen som är viktig att känna till är om ett värde var kraftigt förhöjt, något förhöjt eller normalt. Skillnaden mellan variabler som beskriver en biomarkör jämfört med variabeln ålder är att behovet av detaljeringsgrad kan skilja sig åt beroende på situation och biomarkör. Det kan därför till skillnad från ålder vara svårt att säga att biomarkörsvariabler alltid ska vara generaliserade på ett visst sätt.

K-anonymitet

K-anonymitet innebär att en eller flera kvasiidentifierare aggregeras. Bokstaven k står för antalet gånger en kombination av så kallade kvasiidentifierare, återfinns i ett dataset.

Ett exempel är om värdena för ålder och vikt skulle aggregeras till grupper, exempelvis i steg om tio. Så i stället för 47 år så skulle det stå 40–50 år och i stället för 77 kg så skulle det stå 70–80 kg. Om det fortfarande finns individer som är unika trots detta, exempelvis om det bara finns en observation som har värdet 40–50 år och 70–80 kg så går det fortfarande att identifiera enskilda personer utifrån det nya datasetet trots generaliseringen. Då behöver datasetet generaliseras ytterligare för att kunna säga att k-anonymitet har uppnåtts.

Rent praktiskt är K-anonymitet inte svårt att använda, det svåra ligger snarare i att bedöma vilka variabler som ska aggregeras, på vilket sätt och på vilken nivå.

Det kan vara värt att notera att k-anonymitet inte innebär att det är omöjligt att identifiera personer, med vissa metoder och för vissa typer av data så kan det trots k-anonymitet gå att identifiera enskilda personer. K-anonymitet räcker många gånger om data ska anonymiseras för betrodda personer som det inte finns anledning att tro ska försöka identifiera enskilda personer. I vissa situationer kan det finnas risk för att enskilda aktörer aktivt vill identifiera personer i ett dataset. För att göra det kan exempelvis annan kompletterande data

användas av den som aktivt vill identifiera någon. Om det på förhand finns kännedom om att en specifik person ingår i ett dataset och det även finns kännedom om exakt ålder och adress som personen bor på kan det gå att identifiera enskilda personer. Det kan i sin tur leda till en ”snöbollseffekt” där det går att identifiera fler personer genom uteslutningsmetoden. I praktiken påminner det lite om att lösa ett sudoku, efter en viss punkt så blir det bara lättare och lättare tills du kan identifiera alla, trots att du från början inte hade tillräckligt med information för att identifiera mer än en eller ett fåtal individer. För att ytterligare skydda data kan då L-diversitet och T-närhet användas.

L-diversitet och t-närhet

L-diversitet är en metod som kan användas utöver k-anonymitet för att ytterligare stärka skyddet för personuppgifterna. L:et i L-diversitet står för antalet värden i varje ekvivalensklass. Ett konkret exempel på hur en grupp av observationer kan ingå i samma ekvivalensklass visas i figur 3.4.

L-diversitet kan användas som en ytterligare skyddsåtgärd och skyddar mot två typer av attacker som kan göras på data som anonymiserats med hjälp av k-anonymitet. Utredningen har försökt illustrera detta i figur 3.3 där uppgifterna i figuren är ursprungsdata.

Figur 3.3 Exempel på ett dataset med pseudonymiserade data

Källa: Machanavajjhala, A., Kifer, D., Gehrke, J., & Venkitasubramaniam, M. (2007). l-diversity: Privacy beyond k-anonymity. ACM Transactions on Knowledge Discovery from Data (TKDD), 1(1), 3-es.

Därefter har k-anonymitet använts för att generalisera datan för att göra att personerna inte längre är direkt identifierbara, se figur 3.4.

Figur 3.4 Exempel på ett dataset med pseudonymiserade data som anonymiserats med hjälp av k-anonymitet

Källa: Utredningens illustration.

Ickekänsliga uppgifter Känsliga uppgifter

Id Postnummer Ålder Födelseland Diagnos

1 13053 28 Ryssland Hjärtsjukdom 2 13068 29 USA Hjärtsjukdom 3 13068 21 Japan Infektionssjukdom 4 13053 23 USA Infektionssjukdom 5 14853 50 Indien Cancer 6 14853 55 Ryssland Hjärtsjukdom 7 14850 47 USA Infektionssjukdom 8 14850 49 USA Infektionssjukdom 9 13053 31 USA Cancer

10 13053 37 Indien Cancer 11 13068 36 Japan Cancer 12 13068 35 USA Cancer

Ickekänsliga uppgifter Känsliga uppgifter

Id

Postnummer Ålder Födelseland Diagnos

1 130** < 30 * Hjärtsjukdom 2

130** < 30 * Hjärtsjukdom

3 130** < 30 * Infektionssjukdom 4 130** < 30 * Infektionssjukdom 5

1485* ≥40 *

Cancer

6 1485* ≥40 * Hjärtsjukdom 7 1485* ≥40 * Infektionssjukdom 8

1485* ≥40 * Infektionssjukdom

9 130** 3* *

Cancer

10 130** 3* *

Cancer

11

130** 3* *

Cancer

12

130** 3* *

Cancer

Dessa observationer ingår i samma ekvivalensklass

Vi kan nu se att i kolumnen ”Id” har 9–12 bildat en homogen grupp där alla observationer är samma, vilket innebär att alla id i denna grupp ingår i samma ekvivalensklass.

Det finns två typer av attacker som kan utföras för att identifiera enskilda personer utifrån datasetet ovan. Det ena sättet ärattacker som följer av att data blivit för homogen, vilket är fallet i 3.4. Det andra sättet är att med hjälp av bakgrundsinformation och kunskap inom ett visst område, exempelvis medicinsk kunskap.

För attacker som avser data där generaliseringen skapat för homogena grupper finns följande exempel. Antag att det finns två grannar, Lotta och August som bor i ett område med ett postnummer som börjar på 130. Lotta ser att August blir körd till sjukhus. Vi antar vidare att Lotta har tillgång till det generaliserade datasetet (figur 3.4). Lotta vet alltså att August, som blev körd till sjukhus är 30 år gammal och vet också vilket postnummer hon ska leta efter för att kunna identifiera August. Lotta kan då identifiera att August åkte till sjukhuset på grund av att han hade fått cancer eftersom samtliga i den tredje gruppen har fått vård för cancer. Därmed har den uppgiften som är känslig, i detta fall diagnosen, kunnat identifieras på grund av att k-anonymiseringen lett till att en grupp är för homogen och att det därmed gått att knyta den känsliga uppgiften till en enskild person.

För attacker som avser bakgrundsinformation kan det vara så att någon känner till en person som ingår i den första gruppen i figur 3.4. och vet att den personen på grund av etniskt ursprung har mycket låg risk för hjärtsjukdomar. Då kan det gå att lista ut att personen med största sannolikhet har en infektionssjukdom.

T-närhet är en metod som kan användas när k-anonymitet använts men där l-diversitet bedömts behövas för att förhindra att personer identifieras. Det gäller till exempel en grupp, trots att de inte ingår i samma ekvivalensklass delar känsliga uppgifter som är semantiskt lika, vilket kan leda till att den känsliga uppgiften helt eller delvis röjs.44 Exempelvis ingår inte två observationer i samma ekvivalensklass om den ena personen har bröstcancer och den andra prostatacancer, men om den känsliga uppgiften är att personen har cancer, då ingår de i samma ekvivalensklass och därmed är den känsliga uppgiften röjd.

44 Li, N., Li, T., & Venkatasubramanian, S. (2006, April). t-closeness: Privacy beyond k-anonymity and l-diversity. In 2007 IEEE 23rd international conference on data engineering (pp. 106–115). IEEE.

Detta är bara några få exempel som visar på hur svårt det är att anonymisera data och att det ofta kan röra sig om känsliga personuppgifter när det kommer till delning av hälsodata. Det här leder till att det blir fråga om att väga nyttan mot riskerna och att det alltid måste finnas situationsanpassade skyddsåtgärder. Detta gör att området är svårt att reglera eftersom typ av skyddsåtgärd kan variera kraftigt från fall till fall trots att det kan samma data som delas i olika situationer. Vilken typ av åtgärd som är lämplig kommer bero på vilka data som ska delas, hur den ser ut, vem som ska ta del av den och för vilka ändamål.

3.6.2. Säkra behandlingsmiljöer

Det saknas en entydig definition av vad en säker behandlingsmiljö är. I förslaget till EHDS finns det beskrivet i artikel 50 och avser då en miljö där data kan behandlas och där risken för obehörig läsning, kopiering, ändring eller borttagning av data minimerats. Datatillgången har också begränsats till de data som dataanvändaren fått tillstånd att få tillgång till. Ett av de primära användningsområdena för säkra behandlingsmiljöer är att skapa en miljö där personuppgifter kan behandlas på ett mer integritetssäkert sätt och även att minimera risken för okontrollerat vidareutnyttjande.

I Sverige finns inga statliga säkra behandlingsmiljöer som liknar den säkra behandlingsmiljö som Findata erbjuder och dit aktörer kan vända sig för att behandla hälsodata. SCB har en mer generell plattform för tillgängliggörande av mikrodata, MONA (Microdata Online Access). I MONA kan användare göra bearbetningar via internet utan att mikrodata lämnar SCB. Med mikrodata menas uppgifter som avser enskilda objekt, till exempel personer eller företag. Hälsodata på micronivå är i stort sett alltid känsliga personuppgifter.

MONA-användare arbetar i Windowsmiljö via fjärruppkoppling. Mikrodata blir då synliga på dataskärmen och bearbetningar görs med de programvaror som finns i MONA. Resultat laddas ner till den egna datorn, men mikrodata sparas i MONA. Användaren kan inte utan särskild överenskommelse med SCB ta ut mikrodata från MONA. Användare har själva möjlighet att föra över eget material till sin lagringsyta i MONA, till exempel statistik eller skript som behövs för det syfte som SCB lämnat ut data för. Förutom åtkomst till utlämnade

mikrodata, programvaror och egen lagringsyta har användare i MONA tillgång till metadata om de flesta av SCB:s mikrodataregister.

Säkra behandlingsmiljöer och så kallade datahubbar, även kallat datadelningstjänster är centrala i förslaget till EHDS och utredningen skriver i kapitel 10 mer om det pågående arbete som de olika medlemsländer gör för att förbereda sig inför EHDS.

3.6.3. Syntetiska data

Syntetiska data är artificiella data som genereras från originaldata genom att använda en modell som är tränad för att reproducera egenskaperna och strukturen hos originaldatan. Det innebär att syntetiska data och originaldata bör ge mycket liknande resultat när de genomgår samma statistiska analys. Den grad i vilken syntetiska data är en korrekt proxy45 för originaldata är ett mått på användbarheten av metoden och modellen.46 Det gör att syntetiska data möjliggör användning av detaljerade data över stora populationer utan att de utgör personuppgifter, eftersom populationen som representeras i datan är en population som till sin struktur liknar den faktiska populationen, men innehåller inga individer som finns på riktigt. Exempelvis så har Storbritanniens National health service (NHS) Digital tagit fram ett syntetiskt dataset baserat på deras cancerregister.47

Det finns flera olika sätt att ta fram syntetiska data och precis som för anonymisering kan det vara svårt att bedöma om syntetiska data innehåller personuppgifter. Exempelvis kan slumpen göra att det genereras en person som inte finns på riktigt, men som teoretiskt sätt kan ha samma karakteristika som en person i verkligheten. Utredningens bedömning är att detta inte är en personuppgift på samma sätt som att någon skulle kunna gissa utifrån givna sannolikheter att en person har ett visst namn, ålder, diagnos och jobbar på en viss arbetsplats. Med givna sannolikheter går det att göra ganska träffsäkra gissningar. Sådana gissningar gör dock inte att det blir en personuppgift eftersom personen är en teoretisk person. Om antagandet görs

45 Proxy (av engelska proxy som betyder ”ombud”, ”fullmakt”, ”ställföreträdande” eller ”indirekt”) betyder i vetenskapliga sammanhang att man vill mäta eller uppskatta något som inte kan mätas direkt, där man då i stället mäter något annat som har en känd relation till det man egentligen ville undersöka. (Proxy – Wikipedia 2022-10-06). 46 https://edps.europa.eu/press-publications/publications/techsonar/synthetic-data_en (2022-10-06). 47 https://www.cancerdata.nhs.uk/simulacrum (2022-10-06).

att det skulle kunna ses som en personuppgift skulle också exempelvis fiktiva exempel i utbildningsmaterial som baseras på helt påhittade människor kunna vara personuppgifter om det senare visar sig att det finns eller har funnits en person som stämmer in på den karakteristikan. Att så är fallet går att härleda genom matematisk logik.

Ett exempel på detta är att ett syntetiskt dataset många gånger tas fram ifrån ett register. I det syntetiska datasetet som tagits fram ska det inte finnas några observationer som är samma som de i det ursprungliga datasetet. Det kan därmed antas att det inte finns några personuppgifter i det syntetiska datasetet. Om ett antal personer tillkommer till registret varje dag kommer registret till slut innehålla oändligt många observationer. Om det finns oändligt med observationer så innebär det att alla kombinationer kommer att finnas med i det ursprungliga registret. Det syntetiska datasetet kommer, allt eftersom tiden går mot oändligheten, att innehålla data som överensstämmer med oändligt många personer i det ursprungliga registret. Om det syntetiska datasetet inte kontrolleras mot det register som det skapades utifrån varje gång en ny observation läggs till registret, kommer det inte heller gå att observera när datasetet skulle antas innehålla personuppgifter.

Utredningen anser att antagandena ovan är rimliga eftersom det annars skulle betyda att det syntetiska datasetet innehåller personuppgifter på personer som ännu inte fötts. Därav kan antas att innehållet i det syntetiska datasetet inte är att betrakta som personuppgifter.

Ett pragmatiskt, förhållandevis snabbt och billigt exempel på ett sätt att se om det går att identifiera en person ur ett populationsregister är att be personen eller personerna som ingår i underlaget och gjort det syntetiska datasetet att hitta sig själva. De har oftast det tekniska kunnandet, tillgänglig teknik och dessutom oftast mer kunskap om sig själv än vad andra har. Kan de inte hitta sig själva är det sannolikt så att det syntetiska datasetet inte innehåller personuppgifter.

3.6.4. Federerade analyser

Federering avser att samordna eller sammanföra, exempelvis är federerade databaser flera databaser som hanteras som en enhet.48 Federerade analyser är metoder som gör det möjligt att åstadkomma ana-

48 https://it-ord.idg.se/ord/federate/.

lyser baserat på flera olika datakällor utan att behöva flytta känsliga personuppgifter utanför källsystemen och de skyddsmekanismer som omger dessa. Exponeringen av data kan därför reduceras.49,50

49 Läkemedelsverket 4.3.1-2020-017988. 50 Federerade analyser – IT-arkitektur, Rapport från Läkemedelsverket, Datum: 2021-12-03, Dnr: 4.3.1-2020-017988.

4. Initiativ inom EU på hälsodataområdet

4.1. Inledning

Utredningen bedömer att det är relevant att beskriva den EU-rättsliga kontexten som utredningens förslag behöver förhålla sig till. Det framgår också av direktiven till utredningen att flera delar av utredningens uppdrag sammanfaller med delar av Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om ett europeiskt hälsodataområde COM(2022) 197 final av den 3 maj 2022, förkortad förslaget till EHDS. Utredningens arbete kommer också påverkas av Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724, förkortad EU:s dataförvaltningsförordning (även kallad dataförvaltningsakten). Vidare kommer utredningens arbete påverkas av Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och användning av data COM(2022) 68 final av den 23 februari 2022, förkortad förslaget till Förordning om harmoniserade regler för skälig åtkomst till och användning av data (även kallad dataakten).

Eftersom EHDS och relaterade akter, så som dataakten fortfarande är under förhandling och kan komma att ändras under förhandlingsprocessen har utredningen valt att begränsa sig till att inte analysera kommissionens olika förslag mer djupgående. Utredningen förhåller sig i stället till akternas inriktning och vad de syftar till att åstadkomma för att utredningens förslag ändå ska gå i linje med vad Europeiska kommissionen vill uppnå med rättsakterna (se även kapitel 9 där EU:s dataförvaltningsförordning redogörs för ytterligare). Utredningens bedömning är också att utredningens förslag varken överlappar eller krockar med förslaget till EHDS.

4.2. En europeisk dataekonomi

4.2.1. Kommissionens meddelande om att skapa en europeisk dataekonomi

Arbetet inom Europeiska unionen med att skapa en europeisk dataekonomi har pågått under många år. Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad EU:s dataskyddsförordning, trädde i kraft 2018. Det var runt denna tidpunkt som arbetet med omställningen till en dataekonomi började ta form inom EU. Tidigare reglering hade endast berört enskilda sektorer så som direktiv 2015/2366 om betaltjänster eller data som inte är personuppgifter.1 Så även om dataekonomin diskuterats inom EU tidigare än 20182,3 var EU:s dataskyddsförordning den första mer övergripande regleringen som rörde personuppgiftsbehandling i syfte att skapa en stabil ram för digitalt förtroende (COM(2020) 66 final s. 4)4, vilket angetts som en förutsättning för att skapa en datadriven ekonomi (COM(2017) 9 final s. 3). Därefter har även förordningar såsom EU:s dataförvaltningsförordning och förslagen till dataförordningen och EHDS kommit, vilka alla kommer ha en stor inverkan på medlemsstaternas reglering av data.

Utredningen har valt att beskriva EU-kontexten från och med året 2017 som var året innan EU:s dataskyddsförordning trädde i kraft och året som meddelandet från Europiska kommissionen om att skapa en europeisk dataekonomi publicerades.5 Kommissionen konstaterar i sitt meddelande att data har blivit en viktig resurs för ekonomisk tillväxt, sysselsättning och samhällsutveckling. Vidare konstateras att genom dataanalys underlättas optimeringen av processer och beslut,

1 Europaparlamentets och rådets förordning (EU) 2018/1807 av den 14 november 2018 om en ram för det fria flödet av andra data än personuppgifter i Europeiska unionen (Text av betydelse för EES.). 2 Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, ”Skydd av den personliga integriteten i en uppkopplad värld En europeisk ram för personuppgiftsskydd för tjugohundratalet”, COM(2012) 9. 3 Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, ”Mot en blomstrande datadriven ekonomi”, COM(2014) 442. 4 Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, ”EU-strategi för data”, COM(2020) 66 final). 5 Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, ”Att skapa en europeisk dataekonomi”, COM(2017) 9 final av den 10 januari 2017.

innovation och möjligheten att förutse framtida händelser. Kommissionen framhäver att det inom olika områden finns stor potential i denna globala trend, så som inom hälsa, miljö, livsmedelssäkerhet, klimat- och resurseffektivitet, energi, intelligenta transportsystem och smarta städer (COM(2017) 9 final, s. 2).

Kommissionen beskriver dataekonomin6 som en ekonomi som kännetecknas av ett ekosystem bestående av olika typer av marknadsaktörer, såsom tillverkare, forskare och leverantörer av infrastruktur, som samarbetar för att säkerställa att data är tillgängliga och användbara. Dataekonomin gör det möjligt för marknadsaktörerna att dra nytta av data genom att skapa en mängd olika tillämpningar som har potential att förbättra produkter, tjänster och processer (COM(2017) 9 final, s. 2).

Vidare konstaterar kommissionen att den datadrivna omvandlingen och ny teknik leder till att det ständigt genereras ökande mängder data av maskiner och nya processer. Även uppkopplingen till internet i sig själv förändrar uppgifternas tillgänglighet, eftersom det i allt högre utsträckning delas data digitalt och datan blir därmed inte lika bunden av fysiska och geografiska barriärer.

4.2.2. EU:s dataskyddsförordning

Även då EU:s dataskyddsförordning har ett annat syfte än att skapa en mer datadriven ekonomi, kan förordningen enligt Kommissionen ses som ett av de första stegen mot en mer datadriven ekonomi när den trädde i kraft i maj 2018. I meddelandet från Europiska kommissionen om att skapa en europeisk dataekonomi angavs att en enda heltäckande uppsättning regler för hela Europa skulle garantera en konsekvent tolkning av de nya reglerna (COM(2017) 9 final, s. 2). I de inledande beaktandesatserna till förordningen finns liknande resonemang och vikten av att reglerna inte ska utgöra ett hinder för flöden av personuppgifter inom EU återfinns. Det framhålls även att ett tydligt och likvärdigt skydd för de enskildas personuppgifter utgör en förutsättning för att den inre marknaden ska fungera väl.7

6 Dataekonomin mäter de totala effekterna av datamarknaden, det vill säga marknaden för datatjänster där data utbyts som produkter eller tjänster som härrör från rådata, på ekonomin i sin helhet. Den omfattar den generering, insamling, lagring, bearbetning, distribution, analys, utveckling, leverans och det utnyttjande av data som möjliggjorts genom digital teknik (European Data Market study, SMART 2013/0063, IDC, 2016). 7 Se EU:s dataskyddsförordning skäl 10 och 13.

4.2.3. EU:s datastrategi och dataområde

I EU:s datastrategi8 skriver kommissionen att deras vision bygger på europeiska värden om grundläggande rättigheter och på övertygelsen om att människan är och bör förbli i centrum (COM(2020) 66 final s. 4). Kommissionen anger att målet är att skapa ett gemensamt europeiskt dataområde – en genuin inre marknad för data. För att åstadkomma det föreslår kommissionen att EU bör kombinera ändamålsenlig lagstiftning med styrning för att säkerställa tillgången till data, med investeringar i standarder, verktyg och infrastrukturer samt kompetens att hantera data (COM(2020) 66 final s. 5).

Vidare beskrivs att det europeiska dataområdets funktion kommer att vara beroende av EU:s förmåga att investera i nästa generations teknik och infrastruktur samt i digitala färdigheter som datakompetens. Infrastrukturen är tänkt att stödja skapandet av europeiska datapooler som möjliggör stordataanalys och maskininlärning på ett sätt som stämmer överens med dataskydds- och konkurrenslagstiftningen och gör det möjligt för datadrivna ekosystem att växa fram (COM(2020) 66 final s. 5).

4.2.4. Den digitala kompassen

I mars 2021 presenterade kommissionen sitt meddelande Digital kompass 2030: den europeiska vägen in i det digitala decenniet.9 I meddelandet föreslår kommissionen att en digital kompass ska införas för att omsätta EU:s digitala ambitioner för 2030 i konkreta mål och säkerställa att dessa mål uppnås. Kompassen består av fyra huvudpunkter (COM(2021) 118 final s. 4): – Kompetens. – Säker och hållbar digital infrastruktur. – Digital omställning av näringslivet. – Digitalisering av offentlig service.

8 Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, En EU-strategi för data, COM(2020) 66 final av den 19 februari 2020. 9 Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, Digital kompassen 2030: den europeiska vägen in i det digitala decenniet, COM(2021) 118 final av den 9 mars 2021.

Därutöver förtydligas att omställningen bygger på att säkerställa full respekt för EU:s grundläggande rättigheter (COM(2021) 118 final s. 14): – Yttrandefriheten, inklusive tillgången till mångsidig, tillförlitlig och

öppen information. – Friheten att starta och bedriva affärsverksamhet på nätet. – Skyddet av personuppgifter och integritet samt rätten att bli bort-

glömd. – Skyddet av enskildas intellektuella verk i det digitala rummet.

Till dessa tillkommer en uppsättning digitala principer som är tänka att möjliggöra att informera användare och vägleda beslutsfattare och digitala operatörer (COM(2021) 118 final s. 14): – Allmän tillgång till internettjänster. – En säker och tillförlitlig miljö på nätet. – Allmän digital utbildning och allmänna digitala färdigheter så att

människor kan delta aktivt i samhället och i demokratiska processer. – Tillgång till digitala system och apparater som tar hänsyn till miljön. – Digital offentlig service och information för alla med människan

i centrum. – Etiska principer för algoritmer där människan står i centrum. – Skydd och egenmakt för barn på internet. – Tillgång till digital hälso- och sjukvård.

Utöver huvudpunkterna, de grundläggande rättigheterna och de digitala principerna finns en rad mål. Tre exempel på mål är: – 75 procent av de europeiska företagen har anammat molntjänster,

stordata och artificiell intelligens (COM(2021) 118 final s. 11). – 100 procent av EU-medborgarna har tillgång till sina patientjour-

naler (e-journaler) (COM(2021) 118 final s. 13). – 80 procent av medborgarna använder en digital id-lösning (COM

(2021) 118 final s. 13).

Målen ska uppfyllas genom en kombination av investeringar och ny lagstiftning (COM(2020) 66 final, s. 5). Det finns en rad olika fonder som medlemsländerna kan ansöka om medel från. Det är framför allt Programmet för ett digitalt Europa (DIGITAL) som används för att bygga upp infrastrukturen för de olika dataområdena.10

Även om medlemsstaterna kan ansöka om medel från EU så kommer omställningen till en datadriven ekonomi sannolikt innebära omfattande investeringskostnader för samtliga medlemsländer.

4.2.5. Förslaget till AI-förordningen

I Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om harmoniserade regler för artificiell intelligens (rättsakt om artificiell intelligens) och om ändring av vissa unionslagstiftningsakter COM(2021) 206 final av den 21 april 2021, förkortad förslaget till AI-förordningen,11 föreslås harmoniserade regler för utveckling och användning av AI-system i unionen. De föreslagna regelverken har fyra specifika mål (COM(2021) 206 final s. 3): – Säkerställa att AI-system som släpps ut och används på unions-

marknaden är säkra och är förenliga med befintlig lagstiftning om de grundläggande rättigheterna och unionens värden. – Säkerställa rättssäkerhet för att underlätta investeringar och inno-

vation för AI. – Förbättra styrningen och säkra en effektiv kontroll av uppfyllandet

av befintlig lagstiftning om de grundläggande rättigheterna och säkerhetskrav som är tillämpliga på AI-system. – Främja utvecklingen av en inre marknad för lagliga, säkra och till-

förlitliga AI-tillämpningar och förhindra marknadsfragmentering.

I artikel 5.1 i förordningen föreslås att vissa typer av AI-tillämpningar ska vara förbjudna. En sådan AI-tillämpning är offentliga myndigheters användande av AI-system för att utvärdera eller klassificera fysiska personers pålitlighet under en viss tidsperiod på grundval av deras sociala beteende eller kända eller förutsedda personliga eller personlig-

10 Europaparlamentets och rådets förordning (EU) 2021/694 av den 29 april 2021 om inrättande av programmet för ett digitalt Europa och om upphävande av beslut (EU) 2015/2240. 11 Även kallad AI-akten.

hetsrelaterade egenskaper, med en social poängsättning som leder till skadlig eller ogynnsam behandling av vissa fysiska personer eller hela grupper av fysiska personer i sociala sammanhang som saknar koppling till de sammanhang i vilka berörda data ursprungligen genererades eller samlades in (se artikel 5.1 c).

Därtill föreslås klassificeringsregler för AI-system med hög risk (se artikel 6). Ett sådant exempel är AI-system som är avsedda att användas av myndigheter eller för offentliga myndigheters räkning för att utvärdera fysiska personers rätt till förmåner och tjänster i form av offentligt stöd samt för att bevilja, dra ner på, återkalla eller återkräva sådana förmåner och tjänster (se artikel 6.2). För den typen av AI föreslås en rad krav, såsom ökad dokumentation (se artikel 9.1).

4.2.6. EU:s dataförvaltningsförordning

I EU:s dataförvaltningsförordning finns reglering för att främja att data från offentliga myndigheter och vissa andra organ eller sammanslutningar görs tillgänglig för vidareutnyttjande (se vidare kapitel 9 för närmare redogörelse av vilka som träffas av reglerna). Det framgår också att främja tillgången till dessa data för vetenskaplig forskning enligt principen så öppen som möjligt, så begränsad som nödvändigt. (se skäl 16). Andra centrala skäl för förordningen är att det behövs åtgärder för att öka förtroendet för datadelning (se skäl 5).

I artikel 1 framgår att förordningen fastställer följande: – Villkoren för vidareutnyttjande inom unionen av vissa kategorier

av data som innehas av offentliga myndigheter, – En ram för anmälan av och tillsyn över tillhandahållandet av data-

förmedlingstjänster, – En ram för frivillig registrering av enheter som samlar in och be-

handlar data som tillhandahålls för altruistiska ändamål, – En ram för inrättandet av en europeisk datainnovationsstyrelse.

Förordningen innehåller i artikel 2 en rad definitioner som har relevans när det talas om datadelning, så som data (se vidare avsnitt 3.2), vidareutnyttjande (se vidare avsnitt 9.2), datadelning (se vidare avsnitt 3.4) med mera vilka utredningen har att förhålla sig till.

Som framgår av kapitel 9 skapar inte dataförvaltningsförordningen några nya möjligheter till datadelning eller vidareutnyttjande utan reglerar snarare hur ett sådant tillgängliggörande får se ut i de fall sådana data kan tillgängliggöras för vidareutnyttjande enligt befintliga regler och att dataförvaltningsförordningen är tillämplig på den aktuella situationen. Likaså påverkar inte dataförvaltningsförordningen nationella bestämmelser om sekretess. Det innebär att bestämmelser i offentlighets- och sekretesslagen (2009:400), förkortad OSL, ska tillämpas som vanligt även om datahållaren är en sådan aktör som kan omfattas av reglerna i dataförvaltningsförordningen.

På grund av det ovanstående gör utredningens den preliminära bedömningen att ingen av de situationer där utredningen lämnar författningsförslag är oförenliga med dataförvaltningsförordningen eller de kompletterande bestämmelser som föreslagits i Ds 2023:24 Genomförande av EU:s dataförvaltningsförordning. Enligt utredningen reglerar dataförvaltningsförordningen respektive utredningens förslag olika saker.

4.2.7. Förslaget till dataförordningen

I förslaget till dataförordningen föreslås harmoniserade regler för rättvis åtkomst till och användning av data (COM(2022) 68 final s. 1) Syftet är att säkerställa en rättvis fördelning av datauppgifternas värde bland aktörerna i dataekonomin och att främja åtkomsten till och användningen av data (COM(2022) 68 final s. 16), vilket regleras i artikel 13. Förslagets specifika mål är att (COM(2022) 68 final s. 13): – Underlätta konsumenternas och företagens åtkomst till och an-

vändning av data, och samtidigt bevara incitamenten att investera i skapandet av värde genom data. – Se till att de offentliga myndigheterna och unionens institutioner,

byråer och organ kan använda data som innehas av företag i särskilda situationer där behovet av data är stort. – Underlätta byten mellan olika tjänster för molnteknik och edge

computing. – Införa skyddsåtgärder mot olaglig överföring av data utan före-

gående meddelande av molntjänstleverantören.

– Utarbeta interoperabilitetsstandarder för data som ska återanvändas

mellan olika sektorer i ett försök att undanröja hinder för datautbytet mellan gemensamma domänspecifika europeiska dataområden, i enlighet med kraven på interoperabilitet inom sektorn, och mellan andra data som inte omfattas av ett särskilt gemensamt europeiskt dataområde.

Även denna förordning innehåller förslag på definitioner som har bäring på datadelning, såsom data, datainnehavare och datamottagare (se artikel 2).

4.2.8. Förslaget till EHDS

Reglering för inrättandet av det första domänspecifika gemensamma europeiska dataområdet, hälsodataområdet, återfinns i förslaget till EHDS. Förordningen håller fortfarande på att förhandlas, men i korthet kan sägas att EHDS bland annat syftar till att öka interoperabiliteten på hälsodataområdet, öka möjligheterna för sekundäranvändning av hälsodata samt öka fysiska personers kontroll över sina egna hälsodata.

Utredningen har bedömt att förslaget till EHDS syftar till att skapa ett juridiskt ramverk för att underlätta datadelning på hälsodataområdet inom EU. Förslaget syftar även till att i delar inrätta och i andra delar stimulera till utvecklingen av en EU-gemensam digital infrastruktur. Med detta avser utredningen en digital infrastruktur på den nationella nivån som är interoperabel mellan EU-länderna och med den digitala infrastruktur som finns på EU-nivå. Det innebär också en större integrering mellan infrastrukturer på olika områdena så som mellan hälso- och sjukvården och forskningen.

5. Hälso- och sjukvård

5.1. Inledning

Utredningen har på datahållarsidan avgränsat uppdraget till vidareanvändning av hälsodata som finns inom hälso- och sjukvården, se avsnitt 2.7.3. Hälso- och sjukvården finns också på dataanvändarsidan, bland annat vid vidareanvändning av hälsodata för vårdändamål, se avsnitt 2.7.4 och kopplat till utvecklingsändamålet, se kapitel 23. I ljuset av detta är regelverk som gäller för hälso- och sjukvård samt för dess organisation av betydelse för förståelsen av utredningens förslag och betänkandet i övrigt.

Regeringsformen, förkortad RF, tar i en av sina portalparagrafer upp det allmännas ansvar att verka för goda förutsättningar för hälsa (1 kap. 2 § andra stycket RF). Den rättsliga regleringen av hälso- och sjukvården finns i ett stort antal lagar och andra författningar. Även internationell och EU-rättslig reglering finns på hälso- och sjukvårdens område. I detta kapitel kommer regler kring hälso- och sjukvård med generell tillämplighet att beröras. Detta innefattar grundläggande internationella regler samt nationella mål, principer och regler för hälso- och sjukvården. Därutöver kommer vissa centrala skyldigheter för vårdgivare och hälso- och sjukvårdspersonal kopplade till vården att beskrivas. Viss speciallagstiftning på hälso- och sjukvårdsområdet kommer också att redogöras för. Slutligen kommer ansvaret för hälso- och sjukvården och dess övergripande organisatoriska förhållanden att beskrivas. Utredningens avgränsningar gör att det är den regionala hälso- och sjukvården som är fokus i betänkandet och i utredningens författningsförslag. För att redogörelsen av ansvar och organisation ska bli rättvisande beskrivs dock även kort kommunernas ansvar och privata aktörer som vårdgivare i detta kapitel.

Utredningen använder definitionen av hälso- och sjukvård som finns i patientdatalagen (2008:355), förkortad PDL, se avsnitt 2.6.1.

Definitionen i PDL omfattar även tandvården. Utifrån att utredningens författningsförslag inte omfattar tandvården, berörs inte tandvårdslagen (1985:125) i detta kapitel.

5.2. Hälsa och tillgång till sjukvård som mänsklig rättighet

Att ha tillgång till hälso- och sjukvård är en grundläggande förutsättning för att människor ska kunna tillförsäkras en godtagbar levnadsstandard. I FN:s allmänna förklaring om de mänskliga rättigheterna från 1948 illustreras detta genom bestämmelsen att var och en har rätt till en levnadsstandard tillräcklig för den egna och familjens hälsa och välbefinnande, inklusive mat, kläder, bostad, hälsovård och nödvändiga sociala tjänster (artikel 25.1). Förklaringen är inte formellt bindande, men ses som ett uttryck för sedvanerättsliga regler.

I artikel 12.1 i 1966 års FN-konvention om ekonomiska, sociala och kulturella rättigheter, förkortad ICESCR-konventionen erkänns rätten för var och en att åtnjuta bästa möjliga fysiska och psykiska hälsa. Där anges de åtgärder som konventionsstaterna ska vidta för att tillgodose denna rätt. Vidare anges bland annat att medlemsstaterna ska förbättra alla aspekter av samhällets hälsovård. Artikel 12.1 i ICESCRkonventionen anger också att medlemsstaterna ska förebygga, behandla och bekämpa alla epidemiska och endemiska sjukdomar, yrkessjukdomar och andra sjukdomar. Vidare anges att medlemsstaterna ska skapa förutsättningar som tillförsäkrar alla läkarvård och sjukhusvård i händelse av sjukdom. ICESCR ratificerades av Sverige år 1971 och trädde i kraft år 1976.1

I artikel 24 i FN:s konvention om barnets rättigheter, förkortad Barnkonventionen, erkänns barnets rätt till bästa möjliga hälsa och tillgång till hälso- och sjukvård och rehabilitering. Vidare anges att konventionsstaterna ska sträva efter att säkerställa att inget barn berövas sin rätt att ha tillgång till sådan hälso- och sjukvård. Sverige har ratificerat Barnkonventionen och den är dessutom svensk lag sedan den 1 januari 2020, se lag (2018:1197) om Förenta nationernas konvention om barnets rättigheter.

Även Europeiska unionens stadga om de grundläggande rättigheterna, förkortad rättighetsstadgan, erkänner rätten till hälsoskydd.

1 SÖ 1971:41. Sverige gjorde vid ratificeringen förbehåll mot artikel 7 d.

I artikel 35 anges att var och en har rätt till tillgång till förebyggande hälsovård och till medicinsk vård på de villkor som fastställs i nationell lagstiftning och praxis. Av samma bestämmelser framgår att en hög nivå av skydd för människors hälsa ska säkerställas vid utformning och genomförande av all unionspolitik och alla unionsåtgärder.

Rätten till skydd för den enskildes hälsa återfinns också i 1961 års europeiska sociala stadga. I artikel 11 anges att parterna åtar sig att vidta de åtgärder som är nödvändiga, bland annat för att så långt som möjligt undanröja orsakerna till ohälsa samt att så långt som möjligt förebygga uppkomsten av exempelvis sjukdomar och olycksfall.

5.3. Mål och principer för hälso- och sjukvården

Hälso- och sjukvårdslagen (2017:30), förkortad HSL, är en målinriktad ramlagstiftning för hälso- och sjukvården i Sverige (prop. 2016/17:43 s. 78 och 80). Den innehåller bland annat bestämmelser om hur hälso- och sjukvårdsverksamhet ska bedrivas, oavsett vem det är som bedriver vården (se 1 kap. 1 § HSL).

I 3 kap. 1 § HSL anges att målet med hälso- och sjukvården är en god hälsa och en vård på lika villkor för hela befolkningen. Hälso- och sjukvårdens hälsouppdrag lyfts även särskilt i 3 kap. 2 § HSL, där det framgår att hälso- och sjukvården ska arbeta för att förebygga ohälsa.

Av 3 kap 1 § andra stycket HSL framgår två grundläggande principer för hur hälso- och sjukvård ska ges. Vården ska ges med respekt för alla människors lika värde och för den enskilda människans värdighet (människovärdesprincipen). Den som har det största behovet av hälso- och sjukvård ska ges företräde till vården (behovs-solidaritetsprincipen). Vidare anges i 4 kap. 1 § HSL att all offentligt finansierad hälso- och sjukvårdsverksamhet ska vara organiserad så att den främjar kostnadseffektivitet (kostnadseffektivitetsprincipen). Kostnadseffektivitetsprincipen är underordnad de två andra principerna (prop. 1996/ 97:60 s. 21).

Människovärdesprincipen, behovs-solidaritetsprincipen och kostnadseffektivitetsprincipen är de etiska principer som återfinns i regeringens riktlinjer för prioriteringar inom hälso- och sjukvården, den

så kallade etiska plattformen för prioriteringar (prop. 1996/97:60 s. 1822). Riksdagen har ställt sig bakom dessa riktlinjer.2

5.3.1. God vård

I 5 kap. 1 § HSL anges att hälso- och sjukvårdsverksamhet ska bedrivas så att kraven på en god vård uppfylls. Det innebär enligt bestämmelsen att vården särskilt ska

1. vara av god kvalitet och en god hygienisk standard,

2. tillgodose patientens behov av trygghet, kontinuitet och säkerhet,

3. bygga på respekt för patientens självbestämmande och integritet,

4. främja goda kontakter mellan patienten och hälso- och sjukvårds-

personalen, och

5. vara lätt tillgänglig.

Bestämmelsen om god vård infördes i lagstiftningen i och med 1982 års hälso- och sjukvårdslag och flyttades över till 2017 års HSL i en något omstrukturerad form (se prop. 2016/17:43 s. 95). Den innehåller centrala aspekter på vad en god vård avser, men är inte uttömmande. Enligt regeringen bör det stå klart för berörda aktörer att kraven på god vård är komplexa och att de även beskrivs bland annat på andra ställen i HSL samt i andra författningar och kunskapsstöd (prop. 2016/17:43 s. 95).

Det framkommer ingen ytterligare ledning i förarbetena till 2017års HSL kring vad en god vård konkret avser. För att hitta sådan ledning måste vägledning sökas i förarbetena till 1982 års hälso- och sjukvårdslag, där det bland annat uttalas att ett grundläggande krav som måste ställas på hälso- och sjukvården är att den är av god kvalitet. Kravet innebär bland annat att hälso- och sjukvården ska ha den medicinskt tekniska kvalitet som behövs och även tillgodose kraven på en god omvårdnad samt vara anpassad till den enskilde patientens särskilda förhållanden. Det måste förutsättas att vården tillgodoser människornas behov av trygghet och säkerhet i medicinskt hänseende (prop. 1981/82:97 s. 56). Vidare tas aspekter på god materiell kvalitet upp, såsom kvaliteten på såväl teknisk utrustning – från tänger, för-

2 Se Riksdagens protokoll 1996/97:90 och Socialutskottets betänkande 1996/97:SoU14.

bandsmateriel och läkemedel till den mest komplicerade tekniska utrustningen (se prop. 1981/82:96 s. 116). Innan en ny diagnos- eller behandlingsmetod som kan ha betydelse för människovärde och integritet börjar tillämpas, ska vårdgivaren se till att metoden har bedömts från individ- och samhällsetiska aspekter (5 kap. 3 § HSL). Den generella bestämmelsen om god vård kompletteras av 5 kap. 2 § HSL, av vilken det följer att där det bedrivs hälso- och sjukvårdsverksamhet ska det finnas den personal, de lokaler och den utrustning som krävs för att en god vård ska kunna ges. Vid bestämmelsens införande anförde regeringen att kraven på vårdgivarens personal, lokaler och utrustning är av avgörande betydelse för vårdens kvalitet och patientsäkerhet (prop. 1995/96:176 s. 53). Kvaliteten i verksamheten ska systematiskt och fortlöpande utvecklas och säkras (5 kap. 4 § HSL).

Begreppet god vård är även inarbetat i sjukvårdens ledningssystem för kvalitet. Det regleras i dag i Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete och ligger till grund för Socialstyrelsens arbete med bland annat nationella indikatorer för god vård (se prop. 2019/20:164 s. 37, samt nedan avseende systematiskt kvalitetsarbete inom hälso- och sjukvården avsnitt 5.5). Bland bestämmelserna i HSL om hur verksamheten ska bedrivas, återfinns också principen om barnets bästa. Det anges att när vård ges till barn ska barnets bästa särskilt beaktas (5 kap. 6 § HSL). Hälso- och sjukvården ska också särskilt beakta barns behov av information, råd och stöd om barnets förälder eller någon annan vuxen som barnet varaktigt bor tillsammans med har en psykisk störning eller en psykisk funktionsnedsättning, har en allvarlig fysisk sjukdom eller skada, har ett missbruk av alkohol, annat beroendeframkallande medel eller spel om pengar, eller utsätter eller har utsatt barnet eller en närstående till barnet för våld eller andra övergrepp (5 kap. 7 § första stycket HSL). Detsamma gäller enligt bestämmelsens andra stycke om barnets förälder eller någon annan vuxen som barnet varaktigt bor tillsammans med oväntat avlider.

När hälso- och sjukvård ges till personer som har stora och varaktiga funktionsnedsättningar ska det särskilt övervägas om vården kan ges på ett sätt som bidrar till att den enskilde får möjlighet att delta i samhällslivet och kan leva som andra (5 kap. 9 § HSL).

5.3.2. Säker vård och hälso- och sjukvårdspersonalens allmänna skyldigheter

Att eftersträva en hög patientsäkerhet är ytterligare en central del inom hälso- och sjukvården. I patientsäkerhetslagen (2010:659), förkortad PSL, finns ett antal skyldigheter för vårdgivare och vårdpersonal i syfte att främja en hög patientsäkerhet inom hälso- och sjukvården (se 1 kap. 1 § första stycket PSL). I lagen finns bland annat bestämmelser om vårdgivarens skyldighet att bedriva ett systematiskt patientsäkerhetsarbete (se 3 kap. PSL), skyldigheter för hälso- och sjukvårdspersonal3 med flera (se 6 kap. PSL) samt Inspektionen för vård och omsorgs tillsyn över hälso- och sjukvården och dess personal (se 7 kap. PSL). Vidare finns Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2017:40) om vårdgivares systematiska patientsäkerhetsarbete.

I 6 kap. 1 § PSL anges att hälso- och sjukvårdspersonal ska utföra sitt arbete i överensstämmelse med vetenskap och beprövad erfarenhet. En patient ska ges sakkunnig och omsorgsfull hälso- och sjukvård som uppfyller dessa krav. Vården ska så långt som möjligt utformas och genomföras i samråd med patienten. Patienten ska även visas omtanke och respekt (6 kap. 1 § PSL).

5.4. Hälso- och sjukvårdens skyldigheter från ett patientperspektiv

Hälso- och sjukvårdens skyldigheter, utifrån ett patientperspektiv, har ytterligare utvecklas och samlats i patientlagen (2014:821), förkortad PL. Lagen har till övergripande syfte att stärka och tydliggöra patientens ställning samt att främja patientens integritet, självbestämmande och delaktighet inom hälso- och sjukvården (1 kap. 1 § första stycket PL).

I PL framhålls att patientens självbestämmande och integritet ska respekteras (4 kap. 1 § PL). Vidare framgår av 4 kap. 2 § första stycket PL att hälso- och sjukvård inte får ges utan patientens samtycke, om inte annat följer av PL eller någon annan lag. I exempelvis akuta situationer får vård ges utan samtycke (se 4 kap. 4 § PL). Patienten kan, om inte annat följer av lag, lämna sitt samtycke skriftligen, muntligen eller genom att på annat sätt visa att han eller hon samtycker till den

3 Se definition av hälso- och sjukvårdspersonal i 1 kap. 4 § PSL.

aktuella åtgärden (4 kap. 2 § andra stycket PL). Enligt 4 kap. 2 § tredje stycket PL kan patienten när som helst ta tillbaka sitt samtycke. Om patienten avstår från viss vård eller behandling, ska patienten få information om vilka konsekvenser detta kan medföra.

Innan samtycke inhämtas ska patienten få information enligt 3 kap. PL (4 kap. 2 § första stycket PL). Patienten ska till exempel få information om sitt hälsotillstånd, de metoder som finns för undersökning, vård och behandling, det förväntade vård- och behandlingsförloppet och väsentliga risker för komplikationer och biverkningar (3 kap. 1 § PL). Enligt 3 kap. 2 § PL ska patienten även få information om bland annat möjligheten att välja behandlingsalternativ samt vårdgivare och utförare av offentligt finansierad hälso- och sjukvård. Patienten ska också får information om möjligheten att få en ny medicinsk bedömning.

Hälso- och sjukvården ska så långt som möjligt utformas och genomföras i samråd med patienten (5 kap. 1 § PL). Detta är ett uttryck för att patienten ska göras delaktig i sin vård.

När det finns flera behandlingsalternativ som står i överensstämmelse med vetenskap och beprövad erfarenhet ska patienten få möjlighet att välja det alternativ som hen föredrar. Patienten ska få den valda behandlingen, om det med hänsyn till den aktuella sjukdomen eller skadan och till kostnaderna för behandlingen framstår som befogat (7 kap. 1 § första stycket PL).

Patienter som omfattas av regionens ansvar för hälso- och sjukvård har rätt att välja utförare av offentligt finansierad öppen vård inom eller utom denna region (9 kap. 1 § första stycket PL). Nedan redogörs för ansvaret för hälso- och sjukvård samt olika utförare, se avsnitt 5.6.

5.5. Utveckling och säkring av verksamhetens kvalitet

För att kunna uppnå målen för hälso- och sjukvården och kunna ge en god och säker vård behöver vårdgivarna bland annat bedriva utveckling och säkring av verksamhetens kvalitet (jämför prop. 2016/17:43 s. 93).4 Detta kommer till uttryck i 5 kap. 4 § HSL där det anges att kvaliteten i verksamheten systematiskt och fortlöpande ska utvecklas och säkras. Utveckling och säkring av kvaliteten inom hälso- och sjuk-

4 Andra förutsättningar för att uppnå målen med hälso- och sjukvården är bland annat en god ledning, planering och samverkan (se prop. 2016/17:43 s. 93).

vården bedrivs på olika nivåer och på olika sätt. Grundläggande för att uppfylla kraven i 5 kap. 4 § HSL är att vårdgivaren har ett ledningssystem för systematiskt kvalitetsarbete.

Det lagstadgade kravet på systematisk och fortlöpande utveckling och säkring av verksamhetens kvalitet infördes i mitten av 1990-talet, när egenkontrollen5 fortfarande var under utveckling hos vårdgivare (se prop. 1995/96:176 s. 47). Numera är systematisk och fortlöpande utveckling och säkring av verksamhetens kvalitet ett väl utvecklat arbetssätt hos vårdgivare. Det som reglerna syftar till att eftersträva är ett konstruktivt samspel mellan egenkontrollen och den statliga tillsynen där de olika insatserna bör stödja och förstärka varandra (prop. 1995/96:176 s. 48).

Som komplement till av den generella regeln i 5 kap. 4 § HSL finns Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete.6 Av 1 kap. 1 § SOSFS 2011:9 framgår att de ska tillämpas i arbetet med att systematiskt och fortlöpande utveckla och säkra kvaliteten i sådan verksamhet som omfattas av bland annat 5 kap. 4 § HSL. Den gäller också för vårdgivares systematiska patientsäkerhetsarbete enligt 3 kap. PSL (1 kap. 2 § SOSFS 2011:9).

Med kvalitet förstås enligt föreskrifterna att en verksamhet uppfyller de krav och mål som gäller för verksamheten enligt lagar och andra föreskrifter om till exempel hälso- och sjukvård och beslut som har meddelats med stöd av sådana föreskrifter (2 kap. 1 § SOSFS 2011:9). Begreppet kvalitet i aktuellt sammanhang kopplar alltså till de grundläggande regler och krav som, såvitt avser vårdgivare, finns på hälso- och sjukvården, till exempel kravet på god vård, att arbeta utifrån vetenskap och beprövad erfarenhet samt att bedriva ett systematiskt patientsäkerhetsarbete.

För att kunna bedriva utveckling och säkring av verksamhetens kvalitet behöver vårdgivaren ha tillgång till hälsodata som typiskt sett utgörs av personuppgifter. Användningsområdet kan exempelvis handla om att följa upp omhändertagandet av patienter med en viss diagnos eller en viss vårdprocess, vilket kräver tillgång till hälsodata om patien-

5 Egenkontroll här i meningen att vårdgivaren kontrollerar sig själv, till skillnad från kontroll av vårdgivaren som utförs av en fristående aktör. Jämför egenkontroll i SOSFS 2011:9 som har en snävare betydelse. 6 Jämför prop. 1995/96:176 s. 53, som tar upp att bestämmelsen avser att vårdgivare ska ha system som synliggör förekomsten av risktillbud eller s.k. avvikande händelser. Detta är i dag väl utvecklat hos vårdgivare genom s.k. avvikelsehanteringssystem, vilka vid tiden för reglernas införande fortfarande var under uppbyggnad.

ter med diagnosen eller i vårdprocessen. Vårdgivares personuppgiftsbehandling i detta syfte regleras som uttryckligt ändamål i 2 kap. 4 § första stycket 4 PDL. Regionala och nationella kvalitetsregister är ett exempel på informationsmängder som omfattar stora volymer patientuppgifter och som har till syfte att utveckla kvaliteten inom hälso- och sjukvården (jämför 7 kap. 4 § PDL). Se vidare om dataskyddsreglerna i PDL i avsnitt 7.5.

5.6. Ansvaret för hälso- och sjukvården och övergripande om dess organisation

Ansvaret för hälso- och sjukvården i Sverige är delat mellan staten, regionerna och kommunerna. Nedan följer en övergripande beskrivning av denna ansvarsfördelning och centrala förhållanden kring hälso- och sjukvårdens organisation.7

5.6.1. Staten

Staten ansvarar för den övergripande hälso- och sjukvårdspolitiken. Statens styrning kan delas in i tre delar, lagstiftningen, budgeten i form av statsbidrag och myndighetsstyrningen. Dessa kan sedan delas in i ytterligare delar, exempelvis kan myndigheternas styrning vara både tvingande, genom föreskrifter, eller frivillig genom bland annat tillhandahållande av metodstöd.8 Staten har även det primära ansvaret för att bedriva och finansiera forskning och utbildning inom hälso- och sjukvårdsområdet (se vidare kapitel 6). Staten beslutar också om den nationella högspecialiserade vården (se 2 kap. 1 § hälso- och sjukvårdsförordningen [2017:80]).

Det finns flera statliga myndigheter med särskild inriktning mot hälso- och sjukvårdsområdet, såsom E-hälsomyndigheten, Folkhälsomyndigheten, Inspektionen för vård och omsorg, Läkemedelsverket, Myndigheten för vård- och omsorgsanalys, Socialstyrelsen, Statens beredning för medicinsk och social utvärdering och Tand- och läkemedelsförmånsverket.

7 För en mer utförlig redogörelse, se bland annat SOU 2020:36 och SOU 2021:80, kapitel 6. 8 Riksrevisionen, 2017, Staten och SKL (RIR 2017:3).

5.6.2. Regionerna och kommunerna

Ansvaret för att erbjuda hälso- och sjukvård i Sverige ligger på landets 20 regioner och 290 kommuner. I Gotlands län ansvarar Gotlands kommun för de uppgifter som regioner ansvarar för i övriga län. Den grundläggande regleringen av ansvaret för att erbjuda hälso- och sjukvård finns i HSL.

Regionerna ansvarar för att erbjuda en god hälso- och sjukvård åt den som är bosatt inom regionen och åt den som har skyddad folkbokföring och stadigvarande vistas inom regionen (8 kap. 1 § HSL). Regionen har ansvar för vård även i vissa andra situationer, exempelvis för de patienter som enligt 9 kap. 1 § PL väljer utförare av offentligfinansierad öppenvård utanför sin hemregion (8 kap. 3 § HSL).

Kommunen ansvarar för att erbjuda hälso- och sjukvård i:

  • Permanent särskilt boende, korttidsboende och dagverksamhet som är reglerade i socialtjänstlagen (2001:453) (se 12 kap. 1 § HSL).
  • Bostad med särskild service (LSS-boenden) samt daglig verksamhet som är reglerade i lagen (1993:387) om stöd och service till vissa funktionshindrade (se 12 kap. 1 § HSL9).
  • Det egna hemmet, kallat ordinärt boende, i form av hemsjukvård om regionen och den aktuella kommunen kommit överens om att kommunen ska ta över ansvaret för sådan hälso- och sjukvård (se 14 kap. 1 § HSL). Sådan överenskommelse har nåtts med samtliga regioner utom Region Stockholm.

Mottagare av kommunal hälso- och sjukvård finns i praktiken i stor utsträckning bland äldre personer och bland personer med funktionsnedsättning.

9 I prop. 1992/93:159 s. 182, anges att insatserna bostad med särskild service för barn och ungdomar, bostad med särskild service för vuxna samt daglig verksamhet också är sådana bostäder respektive sådan verksamhet som avses i 21 och 10 §§socialtjänstlagen (numera 5 kap. 7 § och 3 kap. 6 §socialtjänstlagen 2001:453). Kommunerna har därför ett hälso- och sjukvårdsansvar (exklusive läkarinsatser) enligt hälso- och sjukvårdslagen för personer som bor i bostad med särskild service respektive vistas i dagverksamhet.

Begreppen huvudman och vårdgivare

I HSL definieras huvudman och vårdgivare. Vid införandet av HSL uttalade regeringen att det mot bakgrund av den alltmer differentierade strukturen på hälso- och sjukvårdsområdet, även inom regioners och kommuners hälso- och sjukvårdsorganisationer, är viktigt att tydliggöra huvudmannens och vårdgivarens åtskilda roller (prop. 2016/ 2017:43 s. 88).

Den region eller kommun som enligt lagen ansvarar för att hälso- och sjukvård erbjuds kallas huvudman (2 kap. 2 § HSL). Ansvaret som huvudman omfattar att finansiera, organisera och planera vården. I och med att huvudmannaskapet för hälso- och sjukvård i Sverige ligger hos regionerna och kommunerna karakteriseras hälso- och sjukvårdssystemet av en stark decentralisering. Den decentraliserade karaktären av hälso- och sjukvården har ytterligare förstärkts av framväxten av ett stort antal privata vårdgivare på regional och lokal nivå, se vidare avsnitt 5.6.3.

Regioner och kommuner har enligt 14 kap. 2 § RF kommunal självstyrelse, vilket bland annat innebär att de får ta ut skatt för att sköta sina uppgifter och att beslutanderätten utövas av valda församlingar (se 14 kap 1 och 4 §§ RF). Inom en region eller kommun råder därmed stor frihet att organisera hälso- och sjukvården utifrån de egna förutsättningarna och behoven. Detta innebär bland annat att hälso- och sjukvården kan bedrivas genom en eller flera nämnder som regionen och kommunen bestämmer (se 3 kap. 4 § kommunallagen [2017:725], förkortad KL, jämför med 7 kap. 1 § och 11 kap. 1 § HSL). Inom en kommun eller region kan det vidare finnas flera nämnder eller styrelser som ansvarar för hälso- och sjukvård, vilka är egna myndigheter.

Huvudmannen kan välja att bedriva vården i egen regi, vilket också är det vanligaste i Sverige totalt sett (SOU 2021:80 s. 200). Driften kan också utföras av någon annan, se avsnitt 5.6.3.

För att ange den som bedriver hälso- och sjukvårdsverksamhet används i HSL begreppet vårdgivare. En vårdgivare kan vara en statlig myndighet, region, kommun, annan juridisk person eller enskild näringsidkare (2 kap. 3 § HSL). Sjukvårdshuvudmännen kan alltså själva vara vårdgivare. De kan dock även överlåta driften av hälso- och sjukvård till privata aktörer, som då i lagens mening är vårdgivare

för den vård som har överlåtits. Inom en regions eller kommuns geografiska område kan det finnas flera vårdgivare (2 kap. 2 § HSL).

5.6.3. Privata aktörer som vårdgivare

Regioner och kommuner kan sluta avtal med någon annan om att utföra de uppgifter som regionen eller kommunen ansvarar för (10 kap. 1 § KL). Sådan överlåtelse sker med bibehållet huvudmannaskap, vilket på hälso- och sjukvårdens område uttryckligen framgår av 15 kap. 1 § HSL.

De flesta privata vårdgivare som finns har avtal med regioner eller kommuner och får offentlig finansiering. Uppdragen från regionerna kan lämnas över med stöd av lagen (2008:962) om valfrihetssystem, lagen (2016:1145) om offentlig upphandling, eller så kan det vara fråga om verksamhet som privatpraktiserande läkare eller fysioterapeuter utför enligt lagen (1993:1651) om läkarvårdsersättning respektive lagen (1993:1652) om ersättning för fysioterapi. Utöver privata aktörer med offentlig finansiering finns också den helt privata hälso- och sjukvården, det vill säga privata vårdgivare som bedriver vård utan en region eller kommun som huvudman. Finansiering av sådan vård kan ske genom privat sjukvårdsförsäkring eller enskilds egen betalning. Privata aktörer som bedriver hälso- och sjukvård är egna juridiska personer eller enskilda näringsidkare, organisatoriskt skilda från regionenen eller kommunen som huvudman eller vårdgivare. Privata aktörer som bedriver hälso- och sjukvård är alltså egna vårdgivare enligt definitionen i HSL (se 2 kap. 3 § HSL).

5.7. Speciallagstiftning på hälso- och sjukvårdsområdet

Viss verksamhet inom hälso- och sjukvården omfattas av speciallagstiftning. Nedan berörs kortfattat vissa av dessa lagar i den utsträckning dessa är relevanta för utredningens uppdrag och författningsförslag.

5.7.1. Biobankslagen

Biobankslagen (2023:38) trädde i kraft den 1 juli 2023. Dessförinnan gällde lag (2002:297) om biobanker inom hälso- och sjukvården med mera.

I biobankslagen finns bestämmelser om hur humanbiologiskt material, med respekt för den enskilda människans integritet, för vissa ändamål, får samlas in till och bevaras i en biobank och användas (1 kap. 1 § biobankslagen). Humanbiologiskt material från en levande eller avliden människa eller foster kallas i lagen för prov (se 1 kap. 2 § biobankslagen).

Biobankslagen ska tillämpas på identifierbara prover som samlas in och bevaras i en biobank eller används för 1. vård, behandling eller andra medicinska ändamål i en vårdgivares verksamhet, 2. forskning,

3. produktframställning, eller 4. utbildning, kvalitetssäkring eller utvecklingsarbete inom ramen för något av de ändamål som anges i 1–3 (1 kap. 3 § biobankslagen). Biobankslagen har därmed ett utökat tillämpningsområde i jämförelse med den tidigare gällande lagen (2002:297) om biobanker inom hälso- och sjukvården med mera (se prop. 2021/22:257 s. 3338).

Biobankslagen är alltså tillämplig på prover, inte på hälsodata eller personuppgifter. Samtidigt som insamling med mera av prover enligt biobankslagen föranleder behandling av personuppgifter, finns det alltså inga särskilda regler om vilka personuppgifter som får eller ska samlas in och bevaras tillsammans med ett prov (se prop. 2021/22:257 s. 220). Biobankslagen kompletterar EU:s dataskyddsförordning och vid behandling av personuppgifter enligt biobankslagen gäller i stället, som utgångspunkt, bestämmelser i andra lagar om behandling av personuppgifter samt lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen (1 kap. 7 § biobankslagen).

I biobankslagen finns dock vissa bestämmelser som direkt rör behandling av personuppgifter. Sådana bestämmelser finns om det så kallade PKU-registret (se 7 kap. 4–7 §§). Utöver detta finns ytterligare ett fåtal bestämmelser om personuppgiftsbehandling. Av dessa är 5 kap. 4 § av relevans.10 Där framgår att om ett kodat prov från provgivaren tillgängliggörs samtidigt som andra personuppgifter från

10 Övriga bestämmelser som specifikt avser personuppgifter är 5 kap. 11 § och 8 kap. 3 §biobankslagen.

provgivaren, ska personuppgifterna tillgängliggöras på ett sådant sätt att de inte av någon obehörig kan kopplas samman med provet. Av 1 kap. 7 § andra stycket biobankslagen följer att de bestämmelser om personuppgiftsbehandling som finns i biobankslagen har företräde framför bestämmelser om behandling av personuppgifter i andra lagar, samt lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen (se även prop. 2021/22:257 s. 257).

I biobankslagen finns regler om samtycke och information (4 kap.). Huvudregeln är att provgivaren ska samtycka till att ett prov samlas in och bevaras i biobank (4 kap. 1 § biobankslagen). Innan ett samtycke lämnas ska provgivaren ha fått viss, i lagen angiven, information (se 4 kap. 2 § biobankslagen). Det finns vissa undantag från kravet på samtycke när det gäller prover för provgivarens vård eller behandling (4 kap. 7 § biobankslagen). Bland annat krävs inte samtycke om provgivaren har informerats och samtyckt till vård eller behandling enligt PL och fått viss angiven information i enlighet med 4 kap. 7 § biobankslagen.

I 4 kap. 3 § första stycket biobankslagen påminns det om att det i lagen (2003:460) om etikprövning av forskning som avser människor (nedan EPL), finns bestämmelser om information och samtycke som ska tillämpas. Om det i annan lag finns särskilda bestämmelser om information och samtycke ska de bestämmelserna tillämpas. Detta gäller dock inte i fråga om prover som enligt 4 kap. 5 eller 9 § samlas in, bevaras eller används (4 kap. 3 § andra stycket biobankslagen).

I lagen finns även regler om tillgängliggörande av prover och uppgifter (kap. 5). Bland detta kan noteras att ett prov som tillgängliggörs ska vara kodat, om inte detta hindrar att ändamålet med tillgängliggörandet uppfylls (5 kap. 3 §). Ett prov får skickas för forskning endast om provet ska ingå i 1) forskning som har godkänts av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning enligt EPL, 2) en klinisk läkemedelsprövning som har beviljats eller anses ha beviljats tillstånd i enlighet med förordning (EU) nr 536/2014, 3) en klinisk prövning som får påbörjas eller genomföras i enlighet med bestämmelser i förordning (EU) 2017/745 eller enligt lagen (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter eller föreskrifter meddelade i anslutning till den lagen, eller 4) en prestandastudie som får påbörjas eller genomföras

i enlighet med bestämmelser i förordning (EU) 2017/746 (5 kap. 10 § biobankslagen).

5.7.2. Lagen om psykiatrisk tvångsvård och lagen om rättspsykiatrisk vård

I 1 § lag (1991:1128) om psykiatrisk tvångsvård, förkortad LPT, stadgas att föreskrifterna i HSL och PL gäller all psykiatrisk vård och att kompletterande föreskrifter om psykiatrisk vård som är förenad med frihetsberövande och annat tvång (tvångsvård) ges i LPT. Föreskrifter om psykiatrisk tvångsvård finns också i lag (1991:1129) om rättspsykiatrisk vård, förkortad LRV (1 § andra stycket LPT).

Av 3 § LPT följer att tvångsvård får ges endast om patienten lider av en allvarlig psykisk störning och på grund av sitt psykiska tillstånd och sina personliga förhållanden i övrigt

1. har ett oundgängligt behov av psykiatrisk vård, som inte kan till-

godoses på annat sätt än genom att patienten är intagen på en sjukvårdsinrättning för kvalificerad psykiatrisk dygnetruntvård (sluten psykiatrisk tvångsvård) eller

2. behöver iaktta särskilda villkor för att kunna ges nödvändig psy-

kiatrisk vård (öppen psykiatrisk tvångsvård).

En förutsättning för vård enligt LPT är att patienten motsätter sig sådan vård som sägs i första stycket, eller det till följd av patientens psykiska tillstånd finns grundad anledning att anta att vården inte kan ges med hans eller hennes samtycke.

I 18–24 §§ LPT finns regler om tvångsåtgärder mot patienter. Dessa avser bland annat låsning, fastspänning, avskiljande och omhändertagande av viss egendom.

LRV gäller enligt 1 § den som

1. efter beslut av domstol ska ges rättspsykiatrisk vård,

2. är anhållen, häktad eller intagen på en enhet för rättspsykiatrisk

undersökning,

3. är intagen i eller ska förpassas till kriminalvårdsanstalt,

4. eller är intagen i eller ska förpassas till ett särskilt ungdomshem

till följd av en dom på sluten ungdomsvård enligt 32 kap. 5 § brottsbalken.

I 2 § LRV erinras om att bestämmelserna i HSL om skyldighet för en region att erbjuda hälso- och sjukvård även gäller rättspsykiatrisk vård. Rättspsykiatrisk vård ges efter beslut av domstol om överlämnande till sådan vård enligt vad som framgår av 31 kap. 3 § brottsbalken. Sådan vård ges enligt 3 § LRV som sluten rättspsykiatrisk vård eller, efter sådan vård, som öppen rättspsykiatrisk vård. Vård som ges när patienten är intagen på en sjukvårdsinrättning benämns sluten rättspsykiatrisk vård. Annan vård enligt lagen benämns öppen rättspsykiatrisk vård.

Enligt 6 § LRV ges rättspsykiatrisk vård på en sjukvårdsinrättning som drivs av en region. Den som ges öppen rättspsykiatrisk vård får vistas utanför en sådan sjukvårdsinrättning. Vidare framgår av 6 § LRV att vid rättspsykiatrisk vård gäller 15 a–17 LPT angående god säkerhet, upprättande av vårdplan och samråd med patienten i fråga om behandlingen och behandling utan samtycke, samt 31 b § LPT om dagliga aktiviteter och utomhusvistelse för patient som är under 18 år.

Av 8 § LRV framgår att vid sluten rättspsykiatrisk vård enligt LRV gäller, om inte annat anges i 8 a §, i tillämpliga delar bestämmelserna i 18–24 §§ LPT som reglerar olika tvångsåtgärder vid sluten psykiatrisk vård. Särskilda bestämmelser bland annat i fråga om den som är anhållen, häktad eller intagen i eller ska förpassas till kriminalvården regleras i 8 § andra stycket. I 8 a § finns särskilda bestämmelser om elektroniska kommunikationstjänster och i 8 b § om allmän inpasseringskontroll.

5.7.3. Smittskyddslagen

Smittskyddslagens (2004:168) syfte är att skydda befolkningen mot smittsamma sjukdomar. Lagen innehåller bestämmelser om smittskyddsåtgärder som riktar sig till människor. Smittskyddslagen ger uttryck för synen att enskilda måste vara beredda att acceptera vissa integritetsintrång när det krävs för att skydda andra människor från smitta. Smittskyddslagen innehåller bland annat skyldigheter för en-

skilda och förutsättningar för ingripande med tvång i vissa undantagsfall.

Smittskyddslagen kan sägas ha mer av ett samhällsperspektiv, till skillnad från det patientperspektiv som annars är utgångspunkten inom hälso- och sjukvårdsverksamhet och som kommer till uttryck i HSL och PL, se avsnitt 5.3 och 5.4. Smittskydd är inte hälso- och sjukvård enligt HSL (jämför 2 kap. 1 § HSL).

Smittskyddslagen omfattar smittsamma sjukdomar som kan överföras till eller mellan människor och som kan innebära ett inte ringa hot mot människors hälsa (1 kap. 2–3 §§). Särskilda bestämmelser gäller för allmänfarliga sjukdomar. Allmänfarliga sjukdomar är smittsamma sjukdomar som kan vara livshotande, innebära långvarig sjukdom eller svårt lidande eller medföra andra allvarliga konsekvenser och där det finns möjlighet att förebygga smittspridning genom åtgärder som riktas till den smittade (1 kap. 3 § andra stycket). För allmänfarliga sjukdomar gäller informationsplikt för enskilda (2 kap. 2 § andra stycket). De är även anmälningspliktiga och smittspårningspliktiga (2 kap. 5 § och 3 kap. 4 § ). Anmälningsplikten innebär att misstänkta och bekräftade fall av en allmänfarlig sjukdom ska anmälas till smittskyddsläkare och till Folkhälsomyndigheten (2 kap. 5 §). Smittspårningsplikten innebär en skyldighet för behandlande läkare att med den enskildes hjälp identifiera vem som kan ha överfört smittan och vilka andra personer som kan ha smittats (3 kap. 4 §).

Under vissa förutsättningar kan även tvångsåtgärder vidtas mot människor som är smittade eller misstänkt smittade av en allmänfarlig sjukdom, såsom tvångsundersökning (3 kap. 2 §) och isolering (5 kap. 1 och 3 §§). Förvaltningsrätten beslutar om tvångsundersökning och isolering enligt 5 kap. 1 § efter ansökan av smittskyddsläkaren. Smittskyddsläkaren beslutar om tillfällig isolering enligt 5 kap. 3 § men beslutet förfaller om det inte senast inom fyra dagar underställs förvaltningsrätten. Den som bär på eller misstänks bära på en allmänfarlig sjukdom ska också av behandlande läkare ges individuellt utformade förhållningsregler i syfte att hindra smittspridning. Förhållningsreglerna får bland annat avse inskränkningar som gäller arbete, förbud mot att donera blod och organ och skyldighet att informera till exempel vårdgivare eller sexualpartners om smittbärarskap (4 kap. 2 §).

Utöver reglerna om allmänfarliga sjukdomar finns regler om samhällsfarliga sjukdomar då extraordinära smittskyddsåtgärder får tillämpas. Med samhällsfarliga sjukdomar avses allmänfarliga sjukdomar som

kan få en spridning i samhället som innebär en allvarlig störning eller överhängande risk för en allvarlig störning i viktiga samhällsfunktioner och som kräver extraordinära smittskyddsåtgärder (1 kap. 3 § tredje stycket). De extraordinära smittskyddsåtgärderna avser hälsokontroll vid platsen för inresa (3 kap. 8 §), karantän (3 kap. 9 §), avspärrning (3 kap. 10 §) och förbud mot att resa ut ur landet (3 kap. 12 §).

5.7.4. Lagen om genetisk integritet

Lagen (2006:351) om genetisk integritet har till syfte att värna den enskilda människans integritet.

I förarbetena lyfts den genetiska informationens speciella karaktär fram. Särarten motiverar att genetisk information i vissa avseenden behandlas på ett annat sätt än medicinsk information i allmänhet. En grundläggande princip måste vara att informationen är den enskildes privatsak, och det måste finnas tungt vägande skäl för att någon ska få använda eller bereda sig tillgång till en genetisk information som rör någon annan. För människors tillit till hälso- och sjukvården och medicinsk forskning är det enligt regeringens mening viktigt att genetiska undersökningar och genetisk information inom dessa områden ges ett tillfredsställande lagligt skydd (prop. 2005/06:64 s. 49). Genetisk information omfattas dock av samma hälso- och sjukvårdssekretess enligt 25 kap. 1 § OSL och samma regler om behandling av personuppgifter som annan information inom hälso- och sjukvården (se prop. 2005/06:64 s. 6264).

Lagen om genetisk integritet innehåller bestämmelser om användning av viss bioteknik som har utvecklats för medicinska ändamål samt om vissa rättsliga verkningar av sådan användning (1 kap. 1 §). Lagen skapades i syfte att utgöra en samlad lag för genetisk undersökning och information inom hälso- och sjukvården och medicinsk forskning samt genterapi, fosterdiagnostik och preimplantatorisk genetisk diagnostik och användning av genetisk information på försäkringsområdet. Den samlar också regler från ett antal andra lagar (prop. 2005/06:64 s. 65).

Med genetisk undersökning avses en undersökning inom hälso- och sjukvården eller medicinsk forskning som syftar till att ge upplysning om en människas arvsmassa genom molekylärgenetisk, mikrobiologisk, immunologisk, biokemisk, cytogenetisk eller därmed jämförlig analysmetod eller genom inhämtande av upplysningar om hans eller

hennes biologiska släktingar (1 kap. 5 §). Med genetisk information menas information om resultatet av en genetisk undersökning, dock inte till den del informationen endast innefattar upplysning om den undersöktes aktuella hälsotillstånd (1 kap. 5 §).

Lagen om genetisk integritet innehåller ett antal förbud och villkor avseende utförandet av genetiska undersökningar och användandet av genetisk information samt genterapi (2 kap.). Ingen får utan stöd i lag ställa som villkor för ett avtal att den andra parten genomgår en genetisk undersökning eller lämnar genetisk information om sig själv (2 kap. 1 § första stycket). Vidare gäller att ingen utan stöd i lag, i samband med avtal, får efterforska eller använda genetisk information om den andre (2 kap. 1 § andra stycket). Lagen reglerar också ett förbud mot att olovligen bereda sig tillgång till genetisk information om någon annan (2 kap. 1 § andra stycket). Förbuden motiveras av att det är viktigt att genetiska undersökningar kan göras i hälso- och sjukvårdssammanhang utan att de berörda behöver hysa oro för att resultaten missbrukas (prop. 2005/06:64 s. 50).

För försäkringsbolag gäller undantag från förbudet att efterforska och använda genetisk information vid riskbedömda personförsäkringar på mycket höga belopp (2 kap. 2 §).

Forskning med syfte att utveckla metoder för att åstadkomma genetiska effekter som kan gå i arv är tillåten (prop. 2005/06:64 s. 1). Däremot är försök i forsknings- eller behandlingssyfte samt behandlingsmetoder som medför genetiska förändringar som kan gå i arv hos en människa förbjudna (2 kap. 3–4 §§).

Vidare finns regler om tillstånd för genetisk undersökning vid allmänna hälsoundersökningar (3 kap.). Genom Socialstyrelsens föreskrifter (HSLF-FS 2019:12) om undantag från kravet på tillstånd till genetisk undersökning vid allmän hälsoundersökning har Socialstyrelsen meddelat undantag från kravet på tillstånd för undersökningar som avser vissa diagnoser.

En allmän hälsoundersökning beskrivs i förarbetena som en samlad undersökning av en större eller mindre grupp av människor eller en viss kategori av människor. Den berör samtidigt en grupp människor som inte behöver ha något annat gemensamt än att de till exempel är av samma ålder, bor i samma område eller dylikt. Syftet med en allmän hälsoundersökning behöver inte heller vara att ge enskilda besked om en diagnos, utan kan vara till exempel att skapa ett underlag för hälso- och sjukvårdens planering. Vid en allmän hälsoundersökning kom-

mer initiativet från den allmänna eller privata hälso- och sjukvården (prop. 2005/06:64 s. 67). När det gäller genetiska undersökningar i övrigt, till exempel sådana som utförs i diagnostiserande syfte efter att en enskild har sökt hälso- och sjukvård, gäller endast HSL:s allmänna bestämmelser (jämför prop. 2005/06:64 s. 68).

I lagen om genetisk integritet finns även grundläggande bestämmelser med villkor med mera för fosterdiagnostik, genetisk fosterdiagnostik och preimplantatorisk genetisk diagnostik (kapitel 4). Vidare finns regler om bland annat samtycke och tidsgränser vid åtgärder i forsknings- eller behandlingssyfte med ägg från människa (kapitel 5). Lagen innehåller också regler om villkor med mera för insemination (kapitel 6) och befruktning utanför kroppen (kapitel 7).

6. Forskning

6.1. Inledning

I detta kapitel beskrivs ansvar för forskning och regelverk rörande forskning. Kapitlet inleds med en redogörselse för begrepp inom medicinsk forskning.

Urvalet av de regelverk och förhållanden som beskrivs i kapitlet har gjorts utifrån vad utredningen har bedömt är relevant för utredningens uppdrag i förhållande till de avgränsningar som redogörs för i avsnitt 2.7. I ljuset av detta är de centrala regelverken som beskrivs nedan de som aktualiseras när klinisk forskning utförs av en myndighet i en region (regional myndighet) eller ett lärosäte, se definitioner kopplade till utredningens författningsförslag i avsnitt 16.3.

Den rättsliga regleringen av klinisk forskning finns i flera lagar och andra författningar. Även internationell och EU-rättslig reglering finns på området. Regler som rör hantering av data inom forskningen finns bland annat i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad EU:s dataskyddsförordning, patientdatalagen (2008:355), förkortad PDL, tryckfrihetsförordningen, offentlighets- och sekretesslagen (2009:400), förkortad OSL, och arkivlagen (1990:782). Utredningen har valt att redogöra samlat för regler som har det gemensamt att de syftar till att skydda information om individer, så kallade dataskyddsregler, se kapitel 7. Där berörs både generellt tillämpliga dataskyddsregler och dataskyddsregler som är specifikt tillämpliga inom forskning. Utredningen redogör för regler om offentlighet, sekretess och tystnadsplikt i kapitel 8. Där berörs bland annat centrala bestämmelser som sekretess inom forskning.

6.2. Begrepp inom medicinsk forskning

Den medicinska forskningen ger kunskap om hur kroppen fungerar samt hur sjukdomar förebyggs, uppkommer och behandlas. Enligt Vetenskapsrådets definition syftar medicinsk forskning till att öka grundläggande kunskaper om hur celler och vävnader fungerar och interagerar, samt till att bidra till att förbättra och utveckla läkemedel, vård- och behandlingsmetoder och medicintekniska produkter.1 Inom medicinsk forskning görs ofta skillnad mellan preklinisk och klinisk forskning.

Preklinisk forskning förutsätter inte vårdens strukturer. Vetenskapsrådet beskriver att preklinisk forskning är grundläggande experimentell forskning på molekylär, cellulär och integrativ nivå rörande de livsprocesser som bestämmer kroppens funktion – normalt och vid sjukdom. Vid preklinisk forskning vill forskaren till exempel se hur celler, vävnader, och organ fungerar och interagerar.2 Ett exempel på preklinisk forskning är djurstudier.

Begreppet klinisk forskning har ingen författningsreglerad definition, men i flera förarbeten konstateras att den kliniska forskningen förutsätter vårdens strukturer och resurser och utgår från de behov som finns i hälso- och sjukvården och förväntas leda till patient- och samhällsnytta (se SOU 2017:104 s. 188 och 339 samt SOU 2008:7 s. 57 och SOU 2009:43 s. 4142). Inom klinisk forskning studeras bland annat vilka besvär som människor med en viss sjukdom har, hur träffsäkert ett diagnostiskt test är och vilken behandling som är mest effektiv. Den kliniska forskningen har som mål att lösa ett hälsoproblem eller att identifiera faktorer som leder till ökad hälsa. Den kunskapsutveckling som sker genom klinisk forskning möjliggör att ny diagnostik och bättre och mer effektiva behandlingsmetoder kan utvecklas. Detta i sin tur bidrar till att patienter kan erbjudas en förbättrad och mer modern hälso- och sjukvård. Klinisk forskning kan utföras av forskare med anställning vid bland annat universitet, inom hälso- och sjukvården eller vid företag.

Den kliniska forskningen kan delas in i ytterligare flera olika kategorier beroende på vilket syfte som forskningen har. Den kliniska forskningen inkluderar kliniska studier som är studier som genom-

1 Vetenskapsrådet, https://www.vr.se/uppdrag/klinisk-forskning/definitioner-av-begrepp-inom- medicinsk-och-klinisk-forskning.html. 2 Vetenskapsrådet, https://www.vr.se/uppdrag/klinisk-forskning/definitioner-av-begrepp-inom- medicinsk-och-klinisk-forskning.html.

förs på människor. Exempel på kliniska studier är interventionsstudier och observationsstudier. En interventionsstudie är en studie där deltagaren utsätts för någon form av intervention. Interventionen kan exempelvis vara ett läkemedel, en medicinteknisk produkt eller en viss behandlingsmetod. När interventionen är ett läkemedel eller en medicinteknisk produkt kallas sådan klinisk studie även klinisk prövning som alltså är ett snävare begrepp än klinisk studie. En observationsstudie är en studie där deltagaren observeras, men utan att forskaren påverkar förloppet. Det kan exempelvis handla om epidemiologiska undersökningar. Ytterligare en kategori av kliniska studier är så kallade registerbaserade kliniska studier. I sådana studier kan enligt Vetenskapsrådets definition mikrodata från exempelvis nationella och regionala kvalitetsregister eller statliga myndigheters register användas för att genomföra epidemiologiska studier eller för att planera, stödja eller följa upp interventionsstudier. Även registerbaserade randomiserade kliniska studier (R-RCT) och biobanksstudier omfattas.3

I figur 6.2 visas hur de centrala begreppen förhåller sig till varandra. Beroende på vilken typ av klinisk forskning som genomförs gäller olika regler, vilket utvecklas i avsnitt 6.4.

Figur 6.1 Begreppstruktur

Källa: Vetenskapsrådet, https://www.vr.se/uppdrag/klinisk-forskning/definitioner-av-begrepp-inommedicinsk-och-klinisk-forskning.html (hämtat 2023-10-11).

3 Vetenskapsrådet, https://www.vr.se/uppdrag/klinisk-forskning/definitioner-av-begrepp-inom- medicinsk-och-klinisk-forskning.html (hämtat 2023-10-11).

6.2.1. Forskningsbegrepp i lagstiftningen

Forskning återkommer som begrepp i olika former i lagstiftning. Det är för utredningen relevant att titta på hur forskning används i olika lagar och särskilt de lagar som har relevans inom den kliniska forskningen.

I 2 § lagen (2003:460) om etikprövning av forskning som avser människor, förkortad etikprövningslagen, finns en definition av begreppet forskning i förhållande till den lagen. Där anges att med forskning avses vetenskapligt experimentellt eller teoretiskt arbete eller vetenskapliga studier genom observation, om arbetet eller studierna görs för att hämta in ny kunskap, och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete eller sådana studier som utförs endast inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå.

I 7 kap. 5 § 2 PDL anges ändamålet forskning inom hälso- och sjukvården som ett av ändamålen för vilken personuppgifter i kvalitetsregister får behandlas. Av förarbetena framgår att det med detta begrepp avses forskning inom hälso- och sjukvårdsområdet. Begreppet omfattar både klinisk forskning och preklinisk forskning, men begreppet är bredare än så. Att det talas om hälso- och sjukvårdsområdet innebär att forskningen kan avse även sådana frågor som inte uteslutande tar sikte på medicinsk forskning. Till hälso- och sjukvårdsområdet hör också exempelvis hälsoekonomiska frågor (se prop. 2007/08:126 s. 259). Begreppet ska inte förstås så att forskningen måste bedrivas fysiskt inom hälso- och sjukvården. Forskningen kan således utföras inte bara av sjukvårdshuvudmännen utan också av till exempel universitet och företag.

Antalsberäkning är ett vanligt begrepp inför klinisk forskning. Sådan beräkning innebär att på förfrågan, inför planerad klinisk forskning, beräkna hur många personer som uppfyller vissa i förväg uppställda kriterier och som därmed kan komma att ingå i forskningen. Antalsberäkning har länge utförts inom hälso- och sjukvården men det har varit ifrågasatt huruvida det funnits rättsligt stöd för sådan personuppgiftsbehandling. Genom en nyligen gjord lagändring i PDL, har ett rättsligt stöd för den personuppgiftsbehandling som är nödvändig vid antalsberäkning införts (se 2 kap. 4 § första stycket 7 PDL4). Vidare har en definition införts i PDL av begreppet ”antalsberäkning

4 SFS 2023:167.

inför klinisk forskning” (1 kap. 3 § PDL). I förarbetena anges i förhållande till att det ska vara fråga om antalsberäkning inför klinisk forskning, att detta innebär att det ska vara fråga om forskning som förutsätter vårdens strukturer och resurser. Sådan forskning kan ha som mål att lösa ett hälsoproblem eller identifiera faktorer som leder till förbättrad hälsa. Den utgår från de behov som finns i hälso- och sjukvården och förväntas leda till patient- och samhällsnytta. Klinisk forskning kan utföras av forskare, anställda inom hälso- och sjukvården, universitet och högskola, eller företag (prop. 2022/23:31 s. 56).

I 18 kap. 2 § hälso- och sjukvårdslagen (2017:30), förkortad HSL, anges att regioner och kommuner ska medverka vid finansiering, planering och genomförande av dels kliniskt forskningsarbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete (se vidare prop. 1996/97:5 s. 181 och 185).

I 24 kap. 8 § OSL stadgas att sekretess gäller i sådan särskild verksamhet hos myndighet som avser framställning av statistik för uppgift som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. I tredje stycket anges att uppgift som behövs för forsknings- eller statistikändamål och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Vad som avses med forskning i detta sammanhang har inte preciserats i lagtexten. I förarbetena till motsvarande bestämmelse i den tidigare gällande sekretesslagen (1980:100) sägs om detta undantag endast att det kan finnas behov av att genombryta sekretessen i vissa särskilda fall, såsom för forskning om yrkessjukdomar (prop. 1979/80:2, Del A s. 264).

Begreppet forskning förekommer även i lag (2016:1145) om offentlig upphandling men begreppet är inte närmare definierat. Det är upp till rättstillämpningen att i varje enskilt fall pröva vad som utgör forskning i lagens bemärkelse.

I EU:s dataskyddsförordning definieras inte begreppet forskning. I förordningen används beteckningen ”vetenskapliga och historiska forskningsändamål”. Till ledning för tolkningen av detta begrepp anges det i skäl 159 i förordningen att begreppet vetenskapliga forskningsändamål bör ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Även studier som utförs av ett allmänt

intresse inom folkhälsoområdet bör omfattas av begreppet. Enligt förordningens skäl 160 omfattar historiska forskningsändamål historiska och genealogiska ändamål. Regeringen har gjort bedömningen att forskning enligt etikprövningslagen omfattas av dataskyddsförordningens begrepp forskningsändamål (se prop. 2018/19:165 s. 19).

I 4 kap. 3 § lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning anges att personuppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. För begreppet forskningsändamål hänvisas i förarbetena till dataskyddsförordningen (se prop. 2017/18:298 s. 29).

I artikel 2.2 i Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG, förkortad CTR5, definieras klinisk prövning i förhållande till den EU-förordningen. I Sverige används ofta den inarbetade benämningen klinisk läkemedelsprövning för att beskriva det som i förordningen kallas kliniska prövningar av humanläkemedel (se prop. 2017/18:193 s. 12). I läkemedelslagen (2015:315) hänvisas för definitionen klinisk läkemedelsprövning på människor till definitionen i CTR, se 2 kap. 1 § läkemedelslagen.

I artikel 2.44 Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG, förkortad MDR6, definieras klinisk prövning i förhållande till den EU-förordningen som en systematisk undersökning som involverar en eller flera försökspersoner för att bedöma en produkts säkerhet eller prestanda. I artikel 2.42 i Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitro-diagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU, förkortad IVDR7, definieras prestandastudie som en studie som genomförs för att fastställa eller bekräfta en produkts analytiska eller

5 Efter engelskans Clinical Trial Regulation. 6 Efter engelskans Medical Devices Regulation. 7 Efter engelskans In Vitro Diagnostic Regulation.

kliniska prestanda. På IVD-området används alltså uttrycket prestandastudier i stället för uttrycket klinisk prövning.

6.3. Ansvaret för forskning

Inom det offentliga sker forskning av staten, regioner och kommuner. Forskning sker också i stor utsträckning hos privata aktörer. Nedan följer en övergripande beskrivning av ansvarsfördelning och centrala förhållanden kring forskningens organisation.

6.3.1. Statens ansvar

Staten ansvarar för att bedriva och finansiera forskning. Uppgiften att bedriva forskning för staten sker genom statliga universitet och högskolor men också genom andra statliga myndigheter. Staten har även det primära ansvaret för forskning och utbildning på vårdområdet genom de statliga universiteten.8

För universitet och högskolor med staten som huvudman finns det bestämmelser i högskolelagen (1992:1434) som reglerar sådan verksamhet. I 1 kap. 2 § högskolelagen anges forskning som en av högskolornas uppgifter. I 1 kap. 3 a § samma lag ställs det krav på att vetenskapens trovärdighet och god forskningssed värnas i verksamheten. Andra statliga myndigheter, utöver universitet och högskolor, kan ägna sig åt forskning beroende på vilket uppdrag och vilka uppgifter som har ålagts respektive myndighet i gällande rätt. Flera myndigheter har en förordningsreglerad uppgift som omfattar forskning. Uppgiften att forska kan även regleras på annat sätt, till exempel direkt i lag eller genom särskilda regeringsbeslut.9

Utöver att bedriva forskning ansvarar staten också för att finansiera forskning. Exempel på myndigheter som har till uppdrag att bidra med finansiering av forskning är Forskningsrådet för arbetsliv, hälsa och välfärd (Forte), Vetenskapsrådet och Verket för innovationssystem (Vinnova).

8 Se även SOU 2021:80, s. 193. 9 Se även SOU 2018:36 s. 244.

6.3.2. Regionernas och kommunernas ansvar

Regioner och kommuner ska enligt 18 kap. 2 § HSL medverka vid finansiering, planering och genomförande av dels kliniskt forskningsarbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete. Regioner och kommuner ska i dessa frågor, i den omfattning som behövs, samverka med varandra och med berörda universitet och högskolor. Bestämmelsen infördes för att klargöra att landstingen (i dag regionerna) har en rätt och ett ansvar att bedriva denna typ av forskning. Samtidigt poängterades att huvudansvaret för forskningen fortsatt åvilar staten, främst genom universitet och högskolor (prop. 1996/97:5 s. 184).

När det gäller kommuner och regioner kan forskningsuppgiften också vara fastställd genom beslut om verksamheten i kommunen eller regionen som fattats av fullmäktige i enlighet med bestämmelserna i kommunallagen.10

Regionerna finansierar den kliniska forskningen dels via ALF-ersättning11 från staten, dels med egna medel. Samarbetet mellan staten och vissa regioner om utbildning av läkare, klinisk forskning och utveckling av hälso- och sjukvården regleras genom det så kallade ALFavtalet. Avtalet reglerar också statens ersättning för regionernas åtagande, det vill säga hur mycket statliga medel regionerna ska få för att medverka i utbildning av läkare, bedriva klinisk forskning och utveckla hälso- och sjukvården, Ersättningen benämns ALF-medel. För att skapa goda förutsättningar för forskning och utbildning är parterna enligt avtalet överens om att berörda universitet ska delta i organisering och ledning av verksamheten i den del av hälso- och sjukvården som utformas med särskild hänsyn tagen till forskningens och utbildningens behov. Denna verksamhet betecknas som universitetssjukvård och är en gemensam angelägenhet för berörda regioner och universitet. Enligt avtalet ska universitetssjukvårdens kärnverksamhet, jämte hälso- och sjukvård, vara klinisk forskning och utbildning liksom kunskapstillämpning och kunskapsspridning för hälso- och sjukvårdens utveckling. Med klinisk forskning avses sådan forskning som förutsätter vårdens strukturer och resurser och har som mål att lösa ett ohälsoproblem eller att identifiera faktorer som leder till ökad hälsa. Staten lämnar ersättning till regionerna för medverkan i den kliniska forsk-

10 Se även SOU 2018:36, s. 245. 11 Avtal om Läkarutbildning och Forskning, som reglerar statens ersättning till regionerna för vissa kostnader i samband med utbildning och medicinsk forskning.

ningen enligt vad som föreskrivs i avtalet. Närmare reglering sker genom regionala avtal mellan respektive region och universitet.12 Regeringskansliet har för närvarande tillsatt en särskild utredare att ta fram ett underlag inför en omförhandling av ALF-avtalet (U 2023:A).

6.3.3. Övriga aktörer

Forskning bedrivs även av andra aktörer än staten, regioner och kommuner såsom av privaträttsliga organisationer i form av exempelvis bolag, stiftelser och föreningar. Privata aktörer bedriver till exempel många läkemedelsprövningar och kliniska prövningar av medicintekniska produkter.

När det gäller universitet och högskolor finns utöver de statliga universiteten och högskolorna även ett antal enskilda utbildningsanordnare, det vill säga högskolor som drivs av andra aktörer än staten, till exempel av stiftelser eller föreningar. Regeringen har gett dessa utbildningsanordnare rätt att utfärda högskoleexamina enligt den svenska examensordningen. Exempel på enskilda utbildningsanordnare är Stiftelsen Chalmers tekniska högskola, Handelshögskolan i Stockholm och Högskolan i Jönköping. Verksamheten för enskilda utbildningsanordnare regleras i lagen (1993:792) om tillstånd att utfärda vissa examina. Utbildningen ska vila på vetenskaplig eller konstnärlig grund och på beprövad erfarenhet samt bedrivas så att den i övrigt uppfyller krav som ställs på utbildning i första kapitlet högskolelagen. För varje examen som tillståndet avser ska utbildningen uppfylla de särskilda krav som gäller för denna examen enligt examensordningen i bilaga 2 till högskoleförordningen. Övriga delar av högskolelagen och högskoleförordningen gäller inte för enskilda utbildningsanordnare. (SOU 2017:104 s. 136). Sådana enskilda utbildningsanordnare bedriver även forskning i stor utsträckning, både i egen regi och i samverkan med andra aktörer.

12 Se även SOU 2017:104 s. 244.

6.4. Regler vid klinisk forskning

6.4.1. Inledning

Flera olika regler kan bli tillämpliga beroende på vad den kliniska forskningen innefattar. Nedan görs en övergripande beskrivning av de för utredningen mest centrala reglerna.

6.4.2. Internationellt

Helsingforsdeklarationen

Internationella forskningsetiska riktlinjer för medicinsk forskning på människor finns i Helsingforsdeklarationen om etiska principer för medicinsk humanforskning, fastställd av World Medical Association, förkortad Helsingforsdeklarationen. Helsingforsdeklarationen innehåller grundläggande etiska principer som ska gälla vid medicinsk forskning som omfattar människor. Reglerna gäller också forskning som innefattar mänskligt material som är kopplat till viss person eller personuppgifter. Helsingforsdeklarationen är inte juridiskt bindande men har haft stor inverkan på lagstiftningen.

Europarådets konvention om mänskliga rättigheter och biomedicin

Europarådets konvention om de mänskliga rättigheterna och biomedicin, här kallad biomedicinkonventionen, har betydelse på forskningsområdet. Sverige har inte ratificerat konventionen, vilket innebär att den inte är bindande för Sverige, men den har ändå påverkat utformningen av den svenska lagstiftningen. Biomedicinkonventionens syfte är att skydda människor, integritet och andra fri- och rättigheter vid tillämpningen av biologi och medicin. Konventionen omfattar dels åtgärder inom hälso- och sjukvårdsområdet, dels forskning på människor.

Biomedicinkonventionen kompletteras av Europarådets rekommendation (CM/Rec[2016]6) om forskning på biologiskt material av mänskligt ursprung som beslutades i maj 2016. Rekommendationen innehåller principer för hur vävnadsprover får samlas in och bevaras för forskningsändamål och hur humanbiologiskt material som samlats in eller bevarats för något annat ändamål får användas i forskning. Här

finns bland annat rekommendationer om sekretess, informerat samtycke, strukturerad förvaring av vävnadsprover och forskningspersoners rätt att informeras om forskningsresultat som kan vara relevanta för deras hälsa.

Good Clinical Practice (GCP)

Good Clinical Practice (GCP), på svenska god klinisk sed, är en internationell etisk och vetenskaplig kvalitetsstandard för utformning, genomförande, registrering och rapportering av prövningar som involverar deltagande av försökspersoner. Efterlevnad av denna standard ger allmänheten garantier för att försökspersonernas rättigheter, säkerhet och välbefinnande skyddas, i enlighet med de principer som har sitt ursprung i Helsingforsdeklarationen, och att data från kliniska prövningar är trovärdiga. Syftet med GCP-riktlinjen från International Conference on Harmonisation (ICH) är att tillhandahålla en enhetlig standard för Europeiska unionen (EU), Japan och USA för att underlätta ömsesidigt godkännande av kliniska data av tillsynsmyndigheterna i dessa jurisdiktioner. Riktlinjen utvecklades med hänsyn till nuvarande god klinisk praxis i Europeiska unionen, Japan och USA, liksom i Australien, Kanada, de nordiska länderna och Världshälsoorganisationen (WHO). Denna riktlinje bör följas när data från kliniska prövningar som är avsedda att lämnas in till tillsynsmyndigheterna tas fram.13

6.4.3. Lag om ansvar för god forskningssed och prövning av oredlighet i forskning

Lag (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning innehåller bestämmelser om forskares och forskningshuvudmäns ansvar för att forskning utförs i enlighet med god forskningssed och bestämmelser om förfarandet vid prövning av frågor om oredlighet i forskning.

Forskningshuvudman är enligt lagens definition en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskning utförs, se 2 §. I samma paragraf definieras oredlighet i forskning som en allvarlig avvikelse från god forskningssed i form av fabricering,

13 https://ichgcp.net/.

förfalskning eller plagiering som begås med uppsåt eller av grov oaktsamhet vid planering, genomförande eller rapportering av forskning.

Det finns inte någon definition av begreppet god forskningssed i författning. I förarbetena till lagen sägs att vad som utgör god forskningssed ofta är fastställt i kodexar och policydokument och kan variera mellan olika forskningsområden samt att det kan finnas lagkrav som måste följas. Begreppet kan sägas innefatta de samlade etiska kraven på hur forskning bör bedrivas (se prop. 2018/19:58 s. 99).

I 3 § framgår vilka utförares forskning som lagen tillämpas på. Uppräkningen i paragrafen omfattar bland annat universitet och högskolor som har staten som huvudman och omfattas av högskolelagen, andra statliga myndigheter samt kommuner och regioner.

I 4 § framgår forskarens ansvar att följa god forskningssed. I 5 § finns bestämmelse om forskningshuvudmannens ansvar för att forskningen utförs enligt god forskningssed.

I 7 § anges att en särskild nämnd ska pröva frågor om oredlighet i forskning och hur sådana ärenden inleds. Nämndens beslut i ärenden om oredlighet i forskning ska redovisas i ett beslut enligt 9 §. Sådana beslut kan överklagas enligt 21 §. Om nämnden har fattat ett beslut om att det har förekommit oredlighet i forskning, eller det framgår av ett beslut av nämnden att det har förekommit en allvarlig avvikelse från god forskningssed i form av fabricering, förfalskning eller plagiering utan att uppsåt eller grov oaktsamhet har kunnat konstateras, ska forskningshuvudmannen inom sex månader efter att beslutet har vunnit laga kraft rapportera till nämnden vilka åtgärder huvudmannen har vidtagit eller avser att vidta med anledning av beslutet enligt 13 §. Forskningshuvudmannen ska också snarast efter att beslutet har fattats underrätta intressenter, se 14 §.

Bestämmelser om behandling av personuppgifter enligt lagen finns i 15–20 §§.

6.4.4. Lag om etikprövning av forskning som avser människor

Tillämpningsområde och centrala begrepp

Vid forskning inom hälso- och sjukvårdsområdet blir lagen (2003:460) om etikprövning av forskning som avser människor, förkortad EPL, ofta tillämplig. Lagen innehåller bestämmelser om etikprövning av forskning som avser människor och biologiskt material från män-

niskor. Den innehåller också bestämmelser om samtycke till sådan forskning. Syftet med lagen är att skydda den enskilda människan och respekten för människovärdet vid forskning (1 § EPL). Lagen tillämpas på forskning som ska utföras i Sverige (5 § EPL).

I 2 § EPL finns definitioner av ett antal centrala begrepp. Med forskning avses vetenskapligt experimentellt eller teoretiskt arbete eller vetenskapliga studier genom observation, om arbetet eller studierna görs för att hämta in ny kunskap, och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete eller sådana studier som utförs endast inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå. Forskningshuvudman är en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs. Med forskningsperson menas en levande människa som forskningen avser.

Enligt 4 § ska EPL tillämpas på forskning som: – innebär ett fysiskt ingrepp på en forskningsperson, – utförs enligt en metod som syftar till att påverka forsknings-

personen fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen fysiskt eller psykiskt, – avser studier på biologiskt material som har tagits från en levande

människa och kan härledas till denna människa, – innebär ett fysiskt ingrepp på en avliden människa, eller – avser studier på biologiskt material som har tagits för medicinskt

ändamål från en avliden människa och kan härledas till denna människa.

EPL ska också tillämpas på forskning som innefattar behandling av personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter), eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (3 § EPL).

EPL tillämpas inte på kliniska prövningar eller prestandastudier som omfattas av CTR, MDR eller IVDR. Detta framgår av 4 a och 4 b §§ EPL. Bestämmelser om etisk granskning finns i stället i lagen (2018:1091) med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel och i lagen (2021:603) med kompletterande bestämmelser om etisk granskning till EU:s förordningar om medicintekniska produkter.

Etikprövning och godkännande

Enligt 6 § EPL får forskning som omfattas av EPL utföras bara om den har godkänts vid en etikprövning. Ett godkännande får förenas med villkor. Ett godkännande ska avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. Forskningen får innefatta behandling av sådana personuppgifter som avses i 3 § bara om behandlingen har godkänts vid etikprövningen.

I 7–11 §§ EPL finns vissa utgångspunkter för själva etikprövningen. Grundläggande är att forskning bara får godkännas om den kan utföras med respekt för människovärdet (7 § EPL). Vidare ska mänskliga rättigheter och grundläggande friheter alltid beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov (8 § EPL). Forskning får godkännas bara om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde (9 § EPL). Behandling av personuppgifter som avses i 3 § får godkännas bara om den är nödvändig för att forskningen ska kunna utföras (10 § andra stycket EPL).

Information och samtycke

Vid forskning på levande människor eller biologiskt material från levande människor (jämför 4 § 1–3 EPL) gäller, med vissa i bestämmelsen angivna undantag, regler om information och samtycke (13 § EPL).

Forskningspersonen ska informeras om den övergripande planen för forskningen, syftet med forskningen, metoder som kommer att användas, de följder och risker som forskningen kan medföra, vem som är forskningshuvudman, att deltagande i forskningen är frivilligt, och forskningspersonens rätt att när som helst avbryta sin medverkan (16 § EPL).

Som huvudregel får forskning bara utföras om forskningspersonen har samtyckt till den forskning som avser henne eller honom, enligt 17 § EPL. Ett samtycke gäller bara om forskningspersonen dessförinnan har fått information om forskningen enligt 16 §. Samtycket ska vara frivilligt, uttryckligt och preciserat till viss forskning. Samtycket ska dokumenteras. Enligt 19 § EPL kan ett samtycke när som helst tas tillbaka med omedelbar verkan. De data som har hämtats in

dessförinnan får dock användas i forskningen. Det ska framhållas att samtycke till att delta i forskning inte är samma sak som samtycke som rättslig grund för behandling av personuppgifter (se vidare bilaga 3 till betänkandet, Samtycken inom vård och forskning).

Det finns särskilda regler avseende information och samtycke för forskningspersoner under 18 år (se 18 § EPL) samt för forskning där samtycke på grund av sjukdom, psykisk störning, försvagat hälsotillstånd eller något annat liknande förhållande hos forskningspersonen hindrar att hans eller hennes mening inhämtas (se 20–22 §§ EPL).

Forskning utan samtycke

Det bör noteras att bestämmelserna i 16–22 §§ EPL om information och samtycke gäller för forskning som avses i 4 § 1–3 EPL (se 13 § EPL). Med andra ord träffas inte forskning som visserligen innefattar behandling av känsliga personuppgifter (jämför 3 § 1 EPL) men som inte är sådan forskning som räknas upp i 4 § 1–314 av bestämmelserna om information och samtycke i 16–22 §§ EPL. Exempel på sådan forskning är registerbaserade studier. Det finns dock inget som hindrar att ett beslut om etikgodkännande i enskilda fall förenas med särskilda villkor om information och samtycke.

Ansökan och beslut

Enligt 23 § EPL ska ansökan om etikprövning av forskning göras av forskningshuvudmannen. När flera forskningshuvudmän medverkar i ett och samma forskningsprojekt ska de gemensamt uppdra åt en av dem att ansöka om etikprövning av projektet för allas räkning och att informera de övriga om Etikprövningsmyndighetens beslut.

Det är Etikprövningsmyndigheten som prövar ansökningar om etikprövning av forskning (24 § EPL).

Beslut från Etikprövningsmyndigheten i ärendet om etikprövning kan, om det gått huvudmannen emot, överklagas till Överklagandenämnden för etikprövning (36 § EPL).

14 Forskning som (1) innebär ett fysiskt ingrepp på en forskningsperson, (2) utförs enligt en metod som syftar till att påverka forskningspersonen fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen fysiskt eller psykiskt, eller (3) avser studier på biologiskt material som har tagits från en levande människa och kan härledas till denna människa.

6.4.5. EU-förordningen om kliniska prövningar av humanläkemedel

Tillämpningsområde

CTR trädde i kraft 16 juni 2014, och började tillämpas den 31 januari 2022. Svensk lag har anpassats till förordningen genom förslag i propositionen Anpassningar av svensk rätt till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:196) och propositionen Kompletterande bestämmelser om etisk granskning till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:193). Genom sistnämnda proposition infördes lagen (2018:1091) med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel. Lagen trädde i kraft den 31 januari 2022 när EU-förordningen började tillämpas. Kompletterande bestämmelser finns också i 7 kap. läkemedelslagen (2015:315).

Syftet med CTR är att förenkla förfarandet för beviljande av tillstånd för kliniska läkemedelsprövningar inom EU, speciellt i fråga om prövningar som ska ske i flera medlemsstater.

Enligt artikel 1 i CTR tillämpas den på alla kliniska prövningar som genomförs inom unionen. I artikel 2.2.2 i CTR finns en definition av begreppet klinisk prövning. CTR tillämpas inte på icke-interventionsstudier, som enligt definition i artikel 2.2.4 är annan klinisk studie än klinisk prövning.

Etisk granskning och tillstånd

Av CTR framgår att kliniska prövningar ska genomgå vetenskaplig och etisk granskning samt godkännas i enlighet med förordningen (artikel 4).

Ansökan om tillstånd att utföra en klinisk prövning ska lämnas in av en sponsor till avsedda berörda medlemsstater via en webbportal (EU-portalen) som Europeiska läkemedelsmyndigheten ska upprätthålla (artikel 5.1 och 80). Med sponsor avses person, företag, institution eller organisation som ansvarar för att inleda, leda och ordna med finansieringen av en klinisk läkemedelsprövning (artikel 2.2.14). Begreppet forskningshuvudman används inte i CTR.

Enligt 2 och 3 §§ i lagen (2018:1091) med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska pröv-

ningar av humanläkemedel ska Etikprövningsmyndigheten genomföra etisk granskning i enlighet med vad som stadgas i EU-förordningen, och redovisa denna i ett yttrande till Läkemedelsverket, vilken är den myndighet regeringen har utsett för att pröva frågor om tillstånd för att genomföra en klinisk läkemedelsprövning. Yttrandet ska innehålla en bedömning av om en ansökan om tillstånd att utföra klinisk läkemedelsprövning ska beviljas, beviljas på vissa villkor eller avslås. Vad som anges i 7–11 §§ i EPL ska ligga till grund för bedömningen. Etikprövningsmyndighetens beslut om yttrande får inte överklagas, se 5 § i lagen (2018:1091) med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel.

Att Läkemedelsverket prövar frågor om tillstånd att genomföra en klinisk läkemedelsprövning framgår av 7 kap. 7 § läkemedelslagen (2015:315). Tillstånd får inte meddelas om Etikprövningsmyndigheten vid den etiska granskningen har avgett ett negativt yttrande. Om Etikprövningsmyndigheten efter sin granskning har avgett ett yttrande med villkor för prövningens genomförande ska villkoren beaktas vid tillståndsgivningen.

Beslut som Läkemedelsverket meddelat om tillstånd till klinisk läkemedelsprövning får överklagas till allmän förvaltningsdomstol.

Skydd för försökspersoner och informerat samtycke

I kapitel V i CTR finns bestämmelser om skydd för försökspersoner och informerat samtycke. I artikel 28 finns allmänna bestämmelser om villkor för när en klinisk läkemedelsprövning får genomföras. Ett krav är att försökspersonen, eller dennes lagligen utsedda ställföreträdare, ska ha informerats och lämnat informerat samtycke till deltagandet i den kliniska läkemedelsprövningen i enlighet med artikel 29.

Enligt artikel 29 ska försökspersonen, eller dennes lagligen utsedda ställföreträdare, få information som gör det möjligt att förstå den kliniska prövningens karaktär, mål, nytta, konsekvenser, risker och olägenheter, samt information om rätten att vägra delta i prövningen och rätten att när som helst avbryta deltagandet i prövningen. Information ska också ges om omständigheterna kring genomförandet av den kliniska prövningen, inbegripet hur länge försökspersonen förväntas delta i den, och information om möjliga behandlingsalternativ

och eventuell uppföljning om försökspersonens deltagande i den kliniska prövningen avbryts. Den information som ges ska vara uttömmande, kortfattad, tydlig, relevant och begriplig för en lekman. Informationen ska tillhandahållas under en intervju med en medlem av prövningsgruppen men informationen ska även ges skriftligt. Det informerade samtycket ska vara skriftligt och undertecknas av försökspersonen. Om försökspersonen är oförmögen att skriva får samtycke ges och registreras på annat lämpligt sätt i närvaro av minst ett oberoende vittne.

Försökspersonen, eller dennes lagligen utsedda ställföreträdare, får när som helst avsluta sitt deltagande i prövningen genom att återkalla sitt informerade samtycke enligt artikel 28.3. De data som erhållits innan samtycket återkallades får användas i prövningen.

För svenska förhållanden framgår vem den lagligen utsedda ställföreträdaren är i 7 kap. 3 § läkemedelslagen (2015:315). Förutom de allmänna förutsättningarna i artikel 28 för att utföra kliniska läkemedelsprövningar, uppställer CTR ytterligare villkor som måste vara uppfyllda för att kliniska läkemedelsprövningar ska få utföras på icke beslutskompetenta vuxna och underåriga (se artikel 31 och 32).

I artikel 35 i CTR anges när klinisk läkemedelsprövning kan utföras på person i nödsituation. Enligt artikeln får informerat samtycke till att delta i en klinisk läkemedelsprövning inhämtas och information om den kliniska prövningen ges efter beslutet att inkludera försökspersonen i den kliniska prövningen, förutsatt att en rad omständigheter föreligger.

Övrigt

Från 31 januari 2023 ska inga nya ansökningar om klinisk läkemedelsprövning enligt EU-direktiv 2001/20/EG och relaterade nationella regelverk skickas in till Läkemedelsverket eftersom alla ansökningar då måste göras enligt bestämmelserna i CTR. Kliniska läkemedelsprövningar som sedan tidigare är godkända enligt direktivlagstiftningen får fortsätta att genomföras i enlighet med bestämmelserna i den äldre lagstiftningen, dock längst fram till 30 januari 2025.

6.4.6. EU-förordningarna om medicintekniska produkter

Tillämpningsområde

Kliniska prövningar av medicintekniska produkter och prestandastudier av medicintekniska produkter för in vitro-diagnostik regleras i MDR och IVDR. MDR började tillämpas den 26 maj 2021 och IVDR började tillämpas den 26 maj 2022. De huvudsakliga anpassningarna av svensk rätt till dessa EU-förordningar presenteras i propositionen Anpassningar till EU:s förordningar om medicinteknik – del 2 (prop. 2020/21:172). EU-förordningarna kompletteras av lagen (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter. Till EU-förordningarna finns det också en lag om etisk granskning, lagen (2021:603) med kompletterande bestämmelser om etisk granskning till EU:s förordningar om medicintekniska produkter.

Medicinteknisk produkt definieras i artikel 2.1 i MDR och medicinteknisk produkt för in vitro-diagnostik definieras i artikel 2.2 i IVDR.

Bestämmelserna om klinisk prövning regleras i huvudsak i kapitel VI i MDR. I IVDR finns bestämmelser om prestandastudier i huvudsak i kapitel VI.

Etisk granskning och tillstånd

Enligt artikel 62.3 i MDR och artikel 58.3 i IVDR ska vissa kliniska prövningar och vissa prestandastudier vara föremål för vetenskaplig och etisk granskning.

En sponsor för en klinisk prövning eller en prestandastudie ska lämna en ansökan samt den dokumentation som krävs till den eller de medlemsstater där prövningen eller prestandastudien ska genomföras (den s.k. berörda medlemsstaten). Ansökan ska lämnas in via ett elektroniskt system (som avses i artikel 73 i MDR och artikel 69 i IVDR).

I lagen (2021:603) med kompletterande bestämmelser om etisk granskning till EU:s förordningar om medicintekniska produkter framgår att Läkemedelsverket ska fatta beslut om tillstånd medan Etikprövningsmyndigheten ska utföra den etiska granskningen. Resultatet av denna granskning ska redovisas till Läkemedelsverket inför myndighetens beslut i tillståndsfrågan. Den relevanta regleringen återfinns i

4 § denna lag, 24 a § EPL samt i 2 kap. 4 § lag (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter. Därutöver ska Etikprövningsmyndigheten i vissa fall meddela ett eget beslut gällande en ansökan om att få genomföra en klinisk prövning av medicintekniska produkter eller en prestandastudie av medicintekniska produkter för in vitro-diagnostik. Det framgår av 5 § lagen med kompletterande bestämmelser om etisk granskning till EU:s förordning om medicintekniska produkter. Vad som anges i 7–11 §§ EPL ska ligga till grund för bedömningen vid granskningen (se 6 §).

Etikprövningsmyndighetens beslut enligt 4 § lag (2021:603) med kompletterande bestämmelser om etisk granskning till EU:s förordningar om medicintekniska produkter kan inte överklagas (se 7 §). Etikprövningsmyndighetens beslut enligt 5 § får däremot överklagas till Överklagandenämnden för etikprövning. Beslut av Överklagandenämnden för etikprövning får inte överklagas.

Skydd för försökspersoner och informerat samtycke

De allmänna kraven på kliniska prövningar regleras i artikel 62 i MDR och de allmänna kraven på prestandastudier i artikel 57 i IVDR.

Ett samtycke till en klinisk prövning eller en prestandastudie ska vara informerat och skriftligt (artikel 63 i MDR och artikel 59 i IVDR).

EU-förordningarna påverkar inte tillämpningen av nationell rätt enligt vilken det för en underårig som har förmåga att inta en ståndpunkt och bedöma den information han eller hon får, krävs att personen själv ger sitt samtycke för att kunna delta i en klinisk prövning eller prestandastudie. Kliniska prövningar eller prestandastudier på försökspersoner som inte är beslutskompetenta får endast genomföras om vissa villkor är uppfyllda (artikel 64 i MDR och artikel 60 i IVDR). Som exempel på sådana villkor kan nämnas att deras lagligen utsedda ställföreträdare har gett sitt informerade samtycke. I fråga om underåriga måste också vissa villkor vara uppfyllda (se vidare artikel 65 i MDR och artikel 61 i IVDR)

Av artikel 62.5 i MDR och artikel 58.6 i IVDR framgår att försökspersonen, eller om försökspersonen inte kan ge ett informerat samtycke, hans eller hennes lagligen utsedda ställföreträdare, när som helst får avsluta deltagandet i en klinisk prövning eller prestandastudie genom att återkalla sitt informerade samtycke.

EU-förordningarna ger också utrymme för att utföra kliniska prövningar och prestandastudier i nödsituationer på vissa villkor (artikel 68 i MDR och artikel 64 i IVDR).

I 2 kap. lagen (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter finns kompletterande bestämmelser till MDR som bland annat berör informerat samtycke för försökspersoner vars mening inte kan inhämtas och informerat samtycke för försökspersoner som är underåriga.

7. Dataskydd

7.1. Generella regler om behandling av personuppgifter

7.1.1. Inledning

Utredningens författningsförslag och stora delar av betänkandet i övrigt avser hälsodata i form av personuppgifter, se avsnitt 2.7.3. Enligt utredningens direktiv ingår det i utredningens uppdrag att analysera bland annat lagstiftning rörande dataskydd. I detta kapitel görs en genomgång av dataskyddsregleringen med särskilt fokus på sådana bestämmelser som kan ha relevans för utredningens förslag.

I kapitel 3, redogör utredningen för att data är information, och att informationen kan se ut på olika sätt. Som också anges där, kan data bestå av personuppgifter men behöver inte göra det. Personuppgifter utgör sådan information som skyddas av bestämmelser om personlig integritet och regler till skydd för enskildas privatliv. Enskild har inte endast en fysisk integritet utan även en digital integritet.

Digital integritet är bland annat rätten till skydd för personuppgifter och i andra digitala sammanhang. Ett särdrag när det gäller den digitala integriteten är att den inte lyder under geografiska gränser på samma sätt som andra delar av en persons integritet. Det regelverk som finns till skydd för personuppgifterna är således del av ett internationellt system och de verktyg som används för uttolkandet av reglerna är därför inte enbart vad som följer av inhemska förarbeten och praxis.

Till de källor som är vanligast förekommande på dataskyddsområdet som inte är del av de nationella rättskällorna, kan avgöranden från EU-domstolen och Europeiska domstolen för de mänskliga rättigheterna samt Europeiska dataskyddsstyrelsens vägledningar och yttranden, räknas.

Europeiska dataskyddsstyrelsen, förkortad EDPB, är inte en domstol och deras uttalanden och vägledningar är formellt sett inte en rätts-

källa. Då EDPB utgör ett oberoende organ som bland annat består av alla EU:s medlemsstaters dataskyddsmyndigheter (se bland annat skäl 139 och artiklarna 68–69 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), har dock deras uttalanden ansetts ha stor betydelse för hur specifika bestämmelser i dataskyddsförordningen ska tolkas.

7.1.2. Integritetsskydd som en grundläggande mänsklig rättighet

Förenta nationerna (FN)

I FN:s allmänna förklaring om de mänskliga rättigheterna från år 1948 finns bestämmelser om skydd för privatlivet och den personliga integriteten. Enligt artikel 12 får ingen utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp. Enligt artikel 29.2 får en person som utövar sina rättigheter och friheter endast underkastas sådana inskränkningar som har fastställts i lag. Inskränkningarna får ske i syfte att trygga tillbörlig hänsyn till och respekt för andras rättigheter och friheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd. Den allmänna förklaringen inte formellt bindande, men ett uttryck för sedvanerätt.

Inom FN har det också utarbetats en internationell konvention om medborgerliga och politiska rättigheter. Sverige anslöt sig till konventionen 1971. I artikel 17 upprepas vad som anges i artikel 12 i den allmänna förklaringen.

FN:s generalförsamling antog 1990 riktlinjer om datoriserade register med personuppgifter. I riktlinjerna finns tio grundläggande principer som medlemsstaterna ska ta hänsyn till vid lagstiftning avseende datoriserade register med personuppgifter.

Dataskyddskonventionen

Europarådets ministerkommitté antog 1980 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Konventionen trädde i kraft år 1985. Dataskyddskonventionen är den enda rättsligt bindande multilaterala avtalet som specifikt avser personuppgiftsskydd. Samtliga EU-länder har ratificerat konventionen.

Enligt dataskyddskonventionen krävs att parterna vidtar nödvändiga åtgärder i sin nationella lagstiftning för att säkerställa respekt för alla enskildas mänskliga rättigheter när det gäller behandling av personuppgifter (artikel 4). Av artikel 5 framgår att personuppgiftsbehandling ska vila på laglig grund och att ett antal grundläggande principer ska följas, bland annat att personuppgifter ska inhämtas och behandlas på ett korrekt och lagligt sätt och för särskilt angivna ändamål. Personuppgifter får, enligt samma bestämmelse, som huvudregel sedan inte användas på ett sätt som är oförenligt med dessa ändamål. Det finns även regler om till exempel särskilda kategorier av personuppgifter1, säkerhetsåtgärder och överföring av uppgifter över landsgränser (artiklarna 6, 7 och 14).

Konventionen har varit en viktig inspirationskälla vid utformningen av dataskyddslagstiftning inom EU. Dataskyddskonventionen uppdaterades år 20182, bland annat i syfte att anpassas till den tekniska utvecklingen och dataskyddsförordningens ikraftträdande.

Europarätt

Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, förkortad Europakonventionen, innehåller också bestämmelser om skydd för privatlivet och den personliga integriteten. Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens (artikel 8.1). Offentlig myndighet får inte ingripa i denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till den nationella säkerheten, den allmänna säkerheten eller landets ekonomiska välstånd,

1 Såsom genetiska data, biometriska data, uppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös tro eller annan övertygelse, hälsa och sexualliv. 2 Protokollet om ändring av konvention 108, antagen av Europarådets ministerkommitté den 18 maj 2018.

till förebyggande av oordning eller brott, till skydd för hälsa eller moral eller till skydd för andra personers fri- och rättigheter (artikel 8.2). Europakonventionen är svensk lag.3 Ingen lag eller föreskrift får meddelas i strid med Sveriges åtaganden enligt Europakonventionen (2 kap. 19 § regeringsformen).

I anslutning till Europakonventionen har Europarådets ministerkommitté antagit rekommendationer för behandling av personuppgifter på vissa områden. Av relevans för denna utredning är Recommendation No. R (97) 5 of the Committee of Ministers to Member States on the Protection of Medical Data4, som antogs i syfte att förtydliga vad som gäller för den särskilda kategorin av personuppgifter som rör hälsa (hälsouppgifter), se artikel 6 i Konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter Rekommendationen No. R (97) 5 är tillämplig på insamling och automatiserad behandling av hälsouppgifter.

Även Europeiska unionens stadga om de grundläggande rättigheterna, förkortad rättighetsstadgan, innehåller bestämmelser om skydd för den personliga integriteten. Rättighetsstadgan är bindande för EU:s medlemsstater.

Av artikel 3 framgår att var och en har rätt till fysisk och mental integritet. Inom medicin och biologi ska i synnerhet följande respekteras:

a) Den berörda personens fria och informerade samtycke, på de villkor

som föreskrivs i lag.

b) Förbud mot rashygieniska metoder, i synnerhet sådana som syftar

till urval av människor.

c) Förbud mot att låta människokroppen och dess delar i sig utgöra

en källa till ekonomisk vinning.

d) Förbud mot reproduktiv kloning av människor.

Var och en har också rätt till respekt för sitt privat- och familjeliv (artikel 7).

Vidare anges i artikel 8 rättighetsstadgan att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dessa upp-

3 Lag (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna. 4 Council of Europe, Recommendation No. R (97) 5 of the Committee of Ministers to Member States on the Protection of Medical Data, antaget 13 februari 1997 av Europarådets ministerkommitté.

gifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Det anges också att var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem.

I artikel 52.1 rättighetsstadgan anges att varje begränsning i utövandet av de rättigheter och friheter som erkänns i denna stadga ska vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.

Svensk rätt

Enligt 2 kap. 6 § andra stycket regeringsformen (förkortad RF), är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Bestämmelsen infördes år 2010 och innebar ett utvidgat grundlagsskydd för enskildas personliga förhållanden.

I förarbetena till bestämmelsen anförs att respekten för individens självbestämmande är grundläggande i en demokrati. Samt att det genom att stärka skyddet för den personliga integriteten på grundlagsnivå, utan att skyddsintresset i första hand ska värderas utifrån intresset av att skydda den fria åsiktsbildningen, betonas vikten av respekt för individens rätt att själv förfoga över och ta ställning till det allmännas tillgång till information som rör hans eller hennes privata förhållanden på ett tydligare sätt än vad som tidigare har skett (prop. 2009/10:80 s. 176).

Grundlagsskyddet omfattar endast betydande integritetsintrång och i förarbetena betonas att grundlagsbestämmelsen bara omfattar vissa kvalificerade intrång i den personliga integriteten. Vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden är det naturligt att stor vikt läggs vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Även hantering av ett litet fåtal uppgifter kan med

andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär (prop. 2009/10:80 s. 183).

I förarbetena anges vidare att mängden uppgifter givetvis också kan vara en viktig faktor i sammanhanget. Det anges också att konstitutionsutskottet i flera lagstiftningsärenden som rört myndigheters behandling av personuppgifter framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag och att regeringen vid åtskilliga tillfällen har instämt i denna bedömning (prop. 2009/10 s. 183).

Av förarbetena framgår också att uppgifternas karaktär och omfattning endast utgör två faktorer som ska beaktas vid bedömningen av vad som kan anses utgöra ett betydande intrång. Exempel på andra omständigheter som bör vägas in är ändamålet med behandlingen av uppgifterna och omfattningen av utlämnandet av uppgifter till andra som sker utan omedelbart stöd av offentlighetsprincipen. Vidare anges att frågan om vad som utgör ett betydande integritetsintrång måste bedömas utifrån de samhällsvärderingar som råder vid varje givet tillfälle. Dessa kan påverkas av en rad omständigheter, inte minst av den fortsatta tekniska utvecklingen men även av andra förhållanden i vår omvärld. (prop. 2009/10 s. 184 och s. 185).

När det gäller frågan om samtycke anförs i förarbetena att det utvidgade integritetsskyddet bör ta sikte på sådana åtgärder som den enskilde själv inte kan få kännedom om eller påverka genom ett krav på frivilligt godkännande. Om åtgärden däremot förutsätter den enskildes godkännande, kan det intrång som åtgärden innebär normalt inte anses vara av så allvarlig beskaffenhet att den bör omfattas av ett stärkt grundlagsskydd. Detta gäller oberoende av vilka slags uppgifter åtgärden eller behandlingen avser (prop. 2009/10 s. 178–179).

Vid bedömningen av om en åtgärd ska anses innebära övervakning

eller kartläggning är det, enligt förarbetena, inte åtgärdens huvudsakliga

syfte utan vilken effekt åtgärden har, som är avgörande. Exempelvis kan en åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda ärenden i många fall anses innebära kartläggning av enskildas förhållanden, även om kartläggning inte är avsikten. Ett annat exempel är de myndighetsspecifika verksamhetsregister och databaser med information som är knuten till en myndighets ärendehantering som förekommer inom i stort sett all statlig och kommunal förvaltning. Uppgifterna är i flertalet fall tillgängliga för myndigheterna på sådant sätt att lagringen

och behandlingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett något helt annat. Med hänsyn till dagens snabba tekniska utveckling ligger det i sakens natur att nya metoder kommer att utvecklas som möjliggör övervakning och kartläggning i andra former än vad som för närvarande är möjligt (prop. 2009/10 s. 180–181).

Med enskildas personliga förhållanden avses, enligt förarbetena, vitt skilda slag av information som är knuten till den enskildes person, till exempel uppgifter om namn och andra personliga identifikationsuppgifter, adress, familjeförhållanden, hälsa och vandel. Uttrycket avses ha samma innebörd som i tryckfrihetsförordningen, förkortad TF, och offentlighets- och sekretesslagen (2009:400), förkortad OSL. Även fotografisk bild samt uppgifter som inte är direkt knutna till den enskildes privata sfär, till exempel uppgift om anställning och uppgift om en persons ekonomi, omfattas av uttrycket personliga förhållanden (prop. 2009/10:80 s. 177).

Det skydd för den personliga integriteten som grundlagsbestämmelsen 2 kap. 6 § andra stycket RF innebär är inte absolut, utan kan under vissa förutsättningar begränsas med hänsyn till andra motstående intressen. En sådan begränsning får endast ske genom lag (2 kap. 20 § första stycket 2 RF). Det ställs också krav på att begränsningarna ska vara nödvändiga för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. En begränsning får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Vidare får begränsningen inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning (2 kap. 21 § RF).

Av förarbetena framgår att en önskad följd av regleringen bland annat är att lagstiftaren tydligt ska redovisa vilka avvägningar som gjorts vid proportionalitetsbedömningen. Detta kan förväntas öka förutsättningarna för att avvägningarna i fråga om integritetsintrånget blir mer ingående belysta och att de presenteras på ett sådant sätt att kvaliteten i lagstiftningen höjs ytterligare (prop. 2009/10:80 s. 177).

7.1.3. Allmänt om EU:s dataskyddsförordning

Syfte och tillämpningsområde

Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad dataskyddsförordningen eller EU:s dataskyddsförordning. Från och med den 25 maj 2018 trädde dataskyddsförordningens bestämmelser i kraft.

Dataskyddsförordningen utgör den generella regleringen av personuppgiftsbehandling inom EU. Att dataskyddsförordningen är en EUförordning innebär att den är direkt tillämplig i varje medlemsstat. Även om dataskyddsförordningen är direkt tillämplig innehåller den många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Förordningen har därmed i vissa delar en direktivliknande karaktär.

För att säkerställa en enhetlig skyddsnivå över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs, enligt skälen till förordningen, en förordning som skapar rättslig säkerhet och öppenhet för ekonomiska aktörer och som ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt ålägger personuppgiftsansvariga och personuppgiftsbiträden samma ansvar (skäl 13). Enligt artikel 1 i dataskyddsförordningen är syftet med förordningen att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Vidare anges att det fria flödet av personuppgifter inom unionen varken får begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter.

Dataskyddsförordningen syftar således till att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter samtidigt som den syftar till att få till stånd ett fritt flöde av personuppgifter inom EU som inte begränsas av dataskyddsskäl. Rätten till skydd av personuppgifter är som nämnts ovan, inte en absolut rättighet. Rättigheten måste förstås utifrån sin kontext i samhället och vägas mot andra grundläggande rättigheter utifrån en proportionalitetsbedömning (skäl 4).

Dataskyddsförordningen ska tillämpas på all helt eller delvis automatiserad (automatisk) behandling av personuppgifter. Detta gäller oavsett om personuppgifterna finns i ett register eller inte.

Dataskyddsförordningen ska dessutom tillämpas på manuell (ickeautomatisk) behandling av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1). Detta innebär till exempel att dataskyddsförordningen gäller behandling av personuppgifter i löpande text i en dator eller bilder på individer i skannade dokument. Dataskyddsförordningen har alltså ett brett tillämpningsområde.

Grundläggande begrepp

Nedan följer en kort beskrivning av några av de mest grundläggande begreppen i dataskyddsförordningen.

Personuppgifter

Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person (det är detta som avses med begreppet registrerad) (artikel 4.1). Redan ordalydelsen tyder på att en vid tolkning ska göras (”varje upplysning”). Exempel på personuppgifter är namn, adress och personnummer. Andra upplysningar som identifierar en fysisk person kan vara identifikationsnummer, lokaliseringsuppgift eller onlineidentifikatorer (till exempel IP-adress).

Information som är specifik för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet kan utgöra personuppgifter. Bilder på och ljudupptagningar av individer kan vara personuppgifter, även om inga namn nämns. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person.

Värt att notera är att uppgifter om avlidna fysiska personer inte utgör personuppgifter enligt dataskyddsförordningen (skäl 27). Definitionen av personuppgifter omfattar därför enbart levande fysiska personer.

Pseudonymisering och anonymisering

Dataskyddsförordningen är även tillämplig på pseudonymiserade uppgifter. Med pseudonymisering avses åtgärder som innebär att personuppgifterna inte längre direkt kan hänföras till en specifik registrerad utan att kompletterande information används (artikel 4.5). Även om man har kodat, krypterat eller på annat sätt pseudonymiserat uppgifterna är de personuppgifter i dataskyddsförordningens mening så länge de kan hänföras till en identifierbar fysisk person med hjälp av kompletterande uppgifter.

För att avgöra om en fysisk person är identifierbar bör alla hjälpmedel som rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen, beaktas.

För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör samtliga objektiva faktorer beaktas, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen (skäl 26). Det krävs inte att den personuppgiftsansvarige själv förfogar över de uppgifter som gör identifieringen möjlig. Till stöd för bedömningen kan den praxis som finns från EU-domstolen som tar sikte på när uppgifter ska anses pseudonymiserade respektive anonymiserade, se bland annat Breyer-domen (C 582–14 Patrick Breyer mot Bundesrepublik Deutschland från den 19 oktober 2016) och Single Resolution Board v. European Data Protection Supervisor (Mål T-557-20 från den 26 april 2023). Den senare domen avsåg den definition av personuppgifter som finns i förordning 2018/1725 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter, som utgör den dataskyddsförordning som är tillämpbar på personuppgiftsbehandling som utförs av Europeiska unionens institutioner. Domen avser överklagandet av ett beslut som fattats av den Europeiska datatillsynsmannen (EDPS).

När det gäller anonymiserade uppgifter är dataskyddsförordningen inte tillämplig. Med anonymiserade uppgifter avses uppgifter som inte ens med kompletterande information kan hänföras till en viss individ. Någon koppling till individen ska inte rimligen kunna skapas. Det innebär att dataskyddsförordningen inte gäller vid behandling av ano-

nymiserad information inom till exempel forskning eller för statistiska ändamål (skäl 26).

Behandling

I dataskyddsförordningen är ordet behandling central. En behandling är enligt dataskyddsförordningens definition en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring (artikel 4.2). Behandling är därmed ett vidsträckt begrepp och innefattar allt som kan göras med personuppgifter. Så snart personuppgifter på något sätt hanteras – automatiserat eller manuellt, oberoende av teknik – är det fråga om behandling i dataskyddsförordningens mening.

Personuppgiftsansvarig och personuppgiftsbiträde

I dataskyddsförordningen finns det flera utpekade roller. Bland de som ska utföra behandlingar på personuppgifter är personuppgiftsansvarig och personuppgiftsbiträde de två mest centrala. Något förenklat kan sägas att personuppgiftsansvarig är den som bestämmer varför personuppgifter ska behandlas och hur behandlingen ska gå till.

I dataskyddsförordningens definition uttrycks personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter (artikel 4.7). En medlemsstat har rätt att i sin nationella rätt precisera vem som är personuppgiftsansvarig. Ett exempel där personuppgiftsansvaret pekas ut i lag är i patientdatalagen (2008:335), förkortad PDL.

I artikel 4.8 i dataskyddsförordningen beskrivs personuppgiftsbiträde som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Till skillnad från den personuppgiftsansvariga bestämmer personuppgiftsbiträdet inte för vilka ändamål eller

hur behandlingen av personuppgifter ska gå till, utan gör detta på uppdrag av den personuppgiftsansvarige.

Känsliga personuppgifter

Med känsliga personuppgifter avses sådana personuppgifter som utpekas som särskilda kategorier av personuppgifter enligt artikel 9.1 i dataskyddsförordningen, det vill säga. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, liksom genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Sagda bestämmelse innehåller ett principiellt förbud mot behandling av sådana uppgifter, men också flera undantag från detta förbud, vilka följer av artikel 9.2 a–j i förordningen. Vissa av undantagen innehåller hänvisningar till nationell rätt, innebärande att lagstiftningsåtgärder bör vidtas för att dessa undantag ska vara tillämpliga (artikel 9.2).

För utredningens del är det främst vissa av kategorierna av personuppgifter som är relevanta, som uppgifter om hälsa och genetiska uppgifter. Dessa undantag återges i korthet nedan.

Bland undantagen finns ett som avser behandling som är nödvändig av skäl som hör samman med tillhandahållande av hälso- och sjukvård (artikel 9.2 h). Av artikel 9.3 framgår vidare att personuppgifter som avses i artikel 9.1 får behandlas för de ändamål som avses i artikel 9.2 h, när uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt. Ett annat relevant undantag är det som följer av artikel 9.2 j, som medger behandling som är nödvändig för vetenskapliga forskningsändamål.

Vidare anges i dataskyddsförordningens skäl att personuppgifter om hälsa bör innefatta alla de uppgifter som hänför sig till en registrerad persons hälsotillstånd som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd. Detta inbegriper uppgifter om den fysiska personen som insamlats i samband med registrering för eller tillhandahållande av hälso- och sjukvårdstjänster, ett nummer, en symbol eller ett kännetecken som den fysiska personen tilldelats för att identifiera denne för hälso- och sjukvårdsändamål. Det kan också vara uppgifter som

härrör från tester eller undersökning av en kroppsdel eller kroppssubstans, däribland genetiska uppgifter och biologiska prov, och andra uppgifter om exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling med mera (skäl 35).

Enligt EDPB:s riktlinjer ska uppgifter om hälsa tolkas brett och innefattar bland annat information som samlats in av en vårdgivare i en patientjournal till exempel sjukdomshistoria och resultat av undersökningar och behandlingar.5

När det gäller genetiska uppgifter anges i dataskyddsförordningens skäl 34 att genetiska uppgifter bör definieras som personuppgifter som rör en fysisk persons nedärvda eller förvärvade genetiska kännetecken, vilka framgår av en analys av ett biologiskt prov från den fysiska personen i fråga, framför allt kromosom-, DNA- eller RNAanalys eller av en annan form av analys som gör det möjligt att inhämta motsvarande information.

Förhållande till offentlighetsprincipen

Dataskyddsförordningen innehåller ingen definition av begreppet utlämnande. Begreppet bör ses som ett EU-rättsligt begrepp.

Utlämnandebegreppet i förordningen är inte synonymt med ett utlämnande av uppgifter i allmänna handlingar enligt svensk rätt, även om viss överlappning finns. När en myndighet lämnar ut allmänna handlingar som innehåller personuppgifter, utgör själva utlämnandet en behandling av personuppgifter enligt dataskyddsförordningen. Samtidigt är det fråga om ett utlämnande som sker med stöd av offentlighetsprincipen och de övriga principerna i tryckfrihetsförordningen.

Enligt förordningen måste något av villkoren i artikel 6.1 vara uppfyllt för att behandlingen av personuppgifter ska vara tillåten. Dataskyddsförordningen innehåller därutöver specialregler för vad som kallas särskilda behandlingssituationer. Som särskilda behandlingssituationer räknas yttrande- och informationsfriheten samt allmänhetens tillgång till allmänna handlingar.

Utrymmet för att ge offentlighetsprincipen företräde framför personuppgiftsregleringen uttrycks i artikel 86. Av bestämmelsen följer att personuppgifter i allmänna handlingar får lämnas ut i enlighet med

5 Riktlinjer 3/2020 om behandling av uppgifter om hälsa för vetenskapliga forskningsändamål i samband med covid-19-utbrottet, antagna 21 april 2020, s. 5 punkterna 7–8.

nationell rätt, för att jämka samman allmänhetens rätt att få tillgång till handlingar med rätten till skydd för personuppgifter i enlighet med förordningen. Artikeln möjliggör alltså en tillämpning av tryckfrihetsförordningens reglering om allmänhetens tillgång till handlingar när det gäller allmänna handlingar som innehåller personuppgifter.

7.2. Dataskyddsförordningens grundläggande principer

7.2.1. Inledning

I artikel 5.1 i dataskyddsförordningen anges de grundläggande principerna för all personuppgiftsbehandling. De grundläggande principerna redogör för vilka allmänna krav som gäller för all personuppgiftsbehandling. Samtliga principer måste vara uppfyllda för att en behandling ska anses vara förenlig med dataskyddsförordningen. Artikel 5 utgör även ett kumulativt krav med artikel 6 för att en behandling ska anses ha rättslig grund (se prop. 2017/18:105 s. 48).

Den första principen som läggs fast i artikel 5.1 (led a) är att personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Principen om laglighet utgör en hänvisning till de rättsliga grunderna i artikel 6.1. I artikel 5.1 anges vidare att personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål (led b). Det anges i samma led att ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, under vissa förutsättningar, ska anses förenligt med de ursprungliga ändamålen. Kravet på ett specificerat ändamål anses utgöra ett uttryck för den så kallade finalitetsprincipen, se mer nedan. Att behandlingar som vidtas för forskningsändamål m.m. ses som förenliga med ursprungsändamålet utgör alltså ett undantag från finalitetsprincipen.

Vidare ska uppgifterna enligt artikel 5.1 bland annat vara adekvata och korrekta och får inte förvaras under en längre tid än vad som är nödvändigt (leden c, d och e). Uppgifterna måste också behandlas på ett sätt som säkerställer lämplig säkerhet (led f).

Nedan följer en lite närmare genomgång av de principer som kan anses särskilt berörda när man talar om vidareanvändning av personuppgifter.

7.2.2. Särskilt om principen om uppgiftsminimering

Av artikel 5.1 c följer ett krav på att personuppgifterna ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen, samt att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Den så kallade principen om uppgiftsminimering återfinns även på andra ställen i förordningen, exempelvis i artikel 25.1 när det talas om inbyggt dataskydd, och i artikel 89.1 om skyddsåtgärder vid behandling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål. Prövning av om en personuppgift behövs för en viss behandling eller inte måste göras kontinuerligt och inte bara då den samlas in och registreras. Även vid en senare hantering ska personuppgiften behövas för ändamålet med just den senare hanteringen (prop. 2007/08:126 s. 63).

7.2.3. Särskilt om principen ändamålsbegränsning

Syftet med principen om ändamålsbegränsning är öppenhet, rättssäkerhet och förutsebarhet för den registrerade. Målet är att skydda dennes integritet genom tydliga ramar för hur dennes personuppgifter får användas. Att ändamålet ska vara särskilt angivet innebär att en alltför allmänt hållen ändamålsangivelse inte godtas. Den registrerade ska kunna förstå och förutse att dennes uppgifter kommer att användas på ett visst sätt.

I skäl 39 anges bland annat att de särskilda ändamål som personuppgifterna behandlas för bör vara tydliga och legitima. De ska också ha bestämts vid den tidpunkt då personuppgifterna samlades in. Att ändamålet är tydligt angivet får särskild betydelse vid bedömning av om en rättslig grund för behandling föreligger.

Av artikel 5.1 b framgår, som angetts ovan, att ytterligare behandling för bland annat vetenskapliga eller historiska forskningsändamål inte ska anses oförenlig med de ursprungliga ändamålen. Skrivningen, det så kallade forskningsundantaget, innebär alltså att ytterligare behandling för forskningsändamål är särskilt gynnad (se vidare under avsnitt 7.2.4).

7.2.4. Särskilt om finalitetsprincipen och dess undantag

Som angetts i avsnittet ovan, får personuppgifter som samlas in för särskilda, uttryckligt angivna och berättigade ändamål inte senare behandlas på ett sätt som är oförenligt med dessa ändamål enligt den så kallade finalitetsprincipen. Om personuppgifterna behandlas ytterligare för bland annat vetenskapliga eller historiska forskningsändamål, anses de ändamålen inte vara oförenligt med de ursprungliga ändamålen (artikel 5.1 b).

Undantaget för historiska eller vetenskapliga forskningsändamål medför däremot inte att det går att bortse från kravet på särskilda, uttryckligt angivna och berättigade ändamål för insamlingen och den senare behandlingen. De på förhand fastställda ändamålen sätter alltså alltjämt ramarna för behandlingen (Ds Långsiktig reglering av forskningsdatabaser, U2022/04089, s. 80).

Av skäl 50 till dataskyddsförordningen framgår att vid sådan vidarebehandling som inte hindras av finalitetsprincipen krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Vidare anges att om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i en myndighetsutövning, kan EU-rätten eller medlemsstaterna i sin nationella rätt närmare fastställa för vilka uppgifter och syften ytterligare behandling ses som förenligt med det ursprungliga ändamålet.

I artikel 6.4 anges omständigheter som den personuppgiftsansvarige behöver beakta för att fastställa huruvida en behandling för andra ändamål än det vilket personuppgifterna ursprungligen samlades in för inte ska ses som oförenliga med de ursprungliga ändamålen. Häribland nämns kopplingen mellan de ändamål som för vilka personuppgifterna samlades in och ändamålen med den avsedda ytterligare behandlingen, sammanhanget inom vilket personuppgifterna samlades in och särskilt de registrerades rimliga förväntningar (jämför artikel 6.4 a och b samt skäl 50).

7.3. Dataskyddsförordningens rättsliga grunder för behandling av personuppgifter

Dataskyddsförordningen utgår från att varje behandling av personuppgifter måste vila på en rättslig grund. Behandling av personuppgifter får därför bara ske under de omständigheter som särskilt anges i lag-

stiftningen. I dataskyddsförordningen räknas dessa rättsliga grunder upp i artikel 6.1. Behandling är enligt denna bestämmelse endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a) Den registrerade har lämnat sitt samtycke till att dennes person-

uppgifter behandlas för ett eller flera specifika ändamål.

b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den regi-

strerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse

som åvilar den personuppgiftsansvarige.

d) Behandlingen är nödvändig för att skydda intressen som är av

grundläggande betydelse för den registrerade eller för en annan fysisk person.

e) Behandlingen är nödvändig för att utföra en uppgift av allmänt

intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

f) Behandlingen är nödvändig för ändamål som rör den personupp-

giftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Uppräkningen i artikel 6.1 är uttömmande. Om inget av dessa villkor är uppfyllda är behandlingen inte laglig och får därmed inte utföras.

Den omständigheten att behandlingen är laglig enligt artikel 6.1 i dataskyddsförordningen, att den är rättsligt grundad, innebär inte att behandling kan ske av vilka uppgifter som helst eller på valfritt sätt. Den personuppgiftsansvarige måste också uppfylla kraven i övriga bestämmelser i förordningen, till exempel de allmänna principerna i artikel 5. Utredningen har valt att nedan gå igenom vissa av de rättsliga grunderna i mer detalj, nämligen de rättsliga grunder som är relevanta att beröra i förhållande till utredningens förslag.

7.3.1. Särskilt om samtycke

Av artikel 6.1 a framgår att behandling av personuppgifter är tillåten om den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

Ett samtycke är varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne (artikel 4.11) (se vidare Bilaga 3 Samtycken inom vård och forskning, däri beskrivs olika relevanta typer av samtycken som finns på området).

Med frivilligt menas att den registrerade har ett genuint fritt val att medverka i behandlingen. Är situationen sådan att den registrerade i praktiken inte kan avstå, kan samtycket inte gärna vara ”frivilligt”. Samtycke bör därför inte utgöra giltig rättslig grund för behandling av personuppgifter om det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Detta gäller särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar (skäl 43).

För att samtycket ska vara informerat, bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda (skäl 42). Det är bara behandling av personuppgifter för det ändamål som den registrerade blivit informerad om som samtycket kan avse.

Har den personuppgiftsansvarige informerat om att behandlingen av personuppgifterna ska gå till på visst sätt, men denne senare önskar göra på något annat sätt, måste ett nytt samtycke hämtas in.6

Om en behandling av personuppgifter stödjer sig på samtycke som rättslig grund, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandlingen. Det krävs inte att samtycket är skriftligt, men vid tvist har den personuppgiftsansvarige bevisbördan för att samtycke lämnats. Den registrerade ska ha rätt att när som helst kunna återkalla ett samtycke (artikel 7 dataskyddsförordningen).

6 Öman, S., Dataskyddsförordningen (GDPR) m.m. – En kommentar, kommentaren till artikel 4, (JUNO) version:1A.

7.3.2. Särskilt om rättslig förpliktelse

Enligt den rättsliga grunden i artikel 6.1 c får personuppgifter behandlas om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

I första hand borde offentligrättsliga förpliktelser omfattas av begreppet rättslig förpliktelse. Det finns dock även i civilrättsliga författningar bestämmelser som i sig utgör eller kan medföra rättsliga skyldigheter, till exempel inom arbetsrätten.

Förpliktelser som följer av avtal där den registrerade själv är part utgör däremot en separat rättslig grund för personuppgiftsbehandling enligt dataskyddsförordningen, nämligen enligt artikel 6.1 b.

Förpliktelser som åligger enskilda eller kommuner kan regleras direkt i lag, i förordningar eller andra föreskrifter. Förpliktelser kan också fastställas i domar eller myndighetsbeslut som meddelats med stöd av lag eller andra föreskrifter. Som en följd av den svenska arbetsmarknadsmodellen kan rättsliga förpliktelser även anges i kollektivavtal. Sådana avtal omfattas inte av artikel 6.1 b, eftersom den registrerade inte själv är part (prop. 2017/18:105 s. 53).

7.3.3. Särskilt om uppgift av allmänt intresse

Vad som är ett allmänt intresse enligt dataskyddsförordningen definieras inte i förordningen. Innebörden av begreppet allmänt intresse i dataskyddsförordningens mening har ännu inte närmare utvecklats av EU-domstolen i mål om behandling av personuppgifter.

Det finns dock inget som tyder på att begreppet allmänt intresse ska uppfattas mer restriktivt enligt dataskyddsförordningen än enligt dataskyddsdirektivet. Dataskyddsutredningen har tvärtom ansett att mycket talar för att begreppet allmänt intresse bör ha en vidare EUrättslig betydelse genom dataskyddsförordningen än det hittills har haft (SOU 2017:39 s. 123).

Regeringen har ansett att sådan verksamhet som en statlig eller kommunal myndighet bedriver, inom ramen för sin befogenhet, är av allmänt intresse. Det är därmed den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av myndigheten (prop. 2017/18:105 s. 57).

Även privata aktörer kan utföra arbetsuppgifter av allmänt intresse på uppdrag av en myndighet eller på eget initiativ. Bedömningen av

om arbetsuppgiften är av allmänt intresse bör göras mot bakgrund av verksamhetens syfte, oavsett om den faktiskt utförs i myndighetens regi eller av någon annan (prop. 2017/28:105 s. 58). Som exempel på verksamheter med arbetsuppgifter av allmänt intresse kan nämnas hälso- och sjukvård, skola, stöd och service till personer med funktionsnedsättningar, kommunikation och energiförsörjning.

För att en behandling av personuppgifter ska vara tillåten enligt artikel 6.1 e i dataskyddsförordningen måste den vara nödvändig i förhållande till den rättsliga grunden. Nödvändighetskriteriet ska ses mot bakgrund av att undantag och begränsningar av skyddet för personuppgifter ska inskränkas till vad som är absolut nödvändigt.

Samtidigt följer av praxis att behandlingen kan anses nödvändig och därmed tillåten enligt artikel 6.1 om den leder till effektivitetsvinster men även att kravet på nödvändighet ska prövas tillsammans med principen om uppgiftsminimering enligt artikel 5.1 c i dataskyddsförordningen. (jämför prop. 2017/18:105 s. 4647 med däri angiven praxis).

I artikel 6.3 i dataskyddsförordningen anges att grunden för behandlingen som avses i den rättsliga förpliktelsen, enligt artikel 6.1 c eller den uppgift av allmänt intresse enligt 6.1 e, ska vara fastställd i unionsrätt eller en medlemsstats nationella rätt. Den rättsliga grunden enligt artikel 6.3 är därför ofta fastställd i till exempel myndigheters instruktioner eller i annan reglering som styr verksamheten, till exempel hälso- och sjukvårdslagen (2017:30), förkortad HSL, och socialtjänstlagen (2001:453). På vissa områden kompletteras verksamhetsregleringen av en särskild författning som reglerar personuppgiftsbehandlingen, en så kallad registerförfattning.

Den rättsliga grunden som fastställs i nationell rätt enligt artikel 6.3 i dataskyddsförordningen omfattar då både verksamhetsregleringen och den aktuella registerförfattningen, exempelvis en eller flera bestämmelser i HSL och PDL.

I dataskyddsförordningen ställs det även krav på tydlighet, precision, förutsebarhet och proportionalitet avseende de rättsliga grunder som ska anses utgöra ett rättsligt stöd för en behandling av personuppgifter i enlighet med artikel 6.1 c och 6.1 e (se artikel 6.3 och skäl 41). Kravet på förutsebarhet ska ses från den registrerades – och inte den personuppgiftsansvariges – perspektiv (skäl 41).

Det måste alltid göras en bedömning av personuppgiftsbehandlingens och verksamhetens karaktär för att avgöra hur stor grad av

tydlighet och precision som krävs. Ett mer kännbart intrång kräver en mer preciserad rättslig grund, medan personuppgiftsbehandling med lägre integritetsrisker kan ske med stöd av en mer allmänt hållen rättslig grund (prop. 2017/18:105 s. 51).

7.4. Dataskyddslagen

Dataskyddsförordningen kompletteras i svensk lagstiftning av lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen. Dataskyddslagen innehåller anpassningar och kompletterande bestämmelser på ett generellt plan. Dataskyddslagen är subsidiär i förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i så kallade registerförfattningar. Dataskyddslagen trädde i kraft den 25 maj 2018, samtidigt som dataskyddsförordningen började tillämpas.

Personnummer och samordningsnummer är inte känsliga personuppgifter enligt artikel 9 dataskyddsförordningen, men har ändå en särställning som extra skyddsvärd. Dataskyddsförordningen ger medlemsstaterna möjlighet att bestämma särskilda villkor för när ett nationellt identifikationsnummer eller annat vedertaget sätt för identifiering får behandlas (artikel 87).

I Sverige finns detta reglerat i dataskyddslagen som anger att personnummer och samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl (3 kap. 10 §). I dataskyddslagen finns även vissa begränsningar av de registrerades rättigheter enligt förordningen, av störst betydelse i sammanhanget är kanske 5 kap. 1 § som anger begränsningar för rätten till information och tillgång till personuppgifter enligt artiklarna 13–15 i dataskyddsförordningen.

7.5. Patientdatalagen

7.5.1. Inledning

Även om dataskyddsförordningen är det grundläggande regelverket för behandling av personuppgifter även inom vården, finns det nationella regelverk som kompletterar dataskyddsförordningen avseende

personuppgiftsbehandling på hälso- och sjukvårdsområdet. De två lagar som främst berör utredningens arbete utgörs av PDL och lag (2022:913) om sammanhållen vård- och omsorgsdokumentation, förkortad SVOD. En närmare redogörelse för SVOD görs i avsnitt 7.6.

PDL är tillämplig vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal. Lagen gäller, till skillnad från dataskyddsförordningen, i tillämpliga delar även uppgifter om avlidna (jämför 1 kap. 1 § PDL och skäl 27 i dataskyddsförordningen). Mer om dess tillämpningsområde följer i avsnitt 7.5.2 om PDL:s syfte och tillämpningsområde.

7.5.2. Patientdatalagens syfte och tillämpningsområde

I förarbetena till PDL angavs att en utgångspunkt med lagen var att hanteringen av personuppgifter inom hälso- och sjukvården skulle underlättas samtidigt som patientsäkerheten och patientens egen möjlighet till medverkan skulle stärkas. Regelverket anpassades för att på ett bättre sätt svara mot de nya möjligheter som fanns att utbyta patientinformation som lagras elektroniskt. Ett uttalat syfte var också att underlätta informationsutbyte mellan vårdgivare och mellan vårdgivare och patient. Det betonades samtidigt att skyddet för patientens integritet skulle vara första prioritet (prop. 2007/08:126 s. 34).

Enligt 1 kap. 2 § PDL ska informationshanteringen inom hälso- och sjukvården vara organiserad så att den tillgodoser patientsäkerhet och god kvalitet samt främjar kostnadseffektivitet. Personuppgifter ska utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras. Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem.

PDL:s tillämpningsområde bestäms av definitionerna i 1 kap. 3 § av begreppen ”vårdgivare” och ”hälso- och sjukvård”.

Med vårdgivare avses statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).

Med hälso- och sjukvård menas verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128)

om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter, lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar samt den upphävda lagen (1944:133) om kastrering. Tillämpningsområdet för PDL är därmed bredare än för HSL. På grund av att PDL även gäller för avlidna personer, får även PDL ett bredare tillämpningsområde än om endast dataskyddsförordningen skulle ha tillämpats (jämför 1 kap. 1 § andra stycket PDL och skäl 27 till dataskyddsförordningen).

PDL har karaktären av en ramlag som innehåller grundläggande principer för vårdgivares behandling av personuppgifter. Lagen kompletteras med mer detaljerade bestämmelser i patientdataförordningen (2008:360) och av Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40).

I det följande redogörs för bestämmelser i PDL som är av särskild relevans för denna utredning. Särskilt fokus kommer att ligga på reglerna kring tillåtna ändamål för behandling av personuppgifter, tillåtna utlämnanden enligt lagen inklusive sådana som görs till nationella kvalitetsregister samt de skyddsbestämmelser som finns för den personliga integriteten.

7.5.3. Personuppgiftsansvar

I PDL pekas vårdgivaren ut som personuppgiftsansvarig (2 kap. 6 § PDL). Det anges vidare att den myndighet inom en region eller kommun som bedriver hälso- och sjukvård är den personuppgiftsansvariga för den behandling som myndigheten utför, 2 kap. 6 § stycke 1 andra meningen.

Inom den allmänna hälso- och sjukvården hos sjukvårdshuvudmännen är det den juridiska personen, det vill säga. regionen eller kommunen, som är vårdgivare. Som framgår av den andra meningen i första stycket 2 kap. 6 § PDL är det däremot inte den juridiska personen i rollen som vårdgivare som behöver vara personuppgiftsansvarig. PDL anger i stället att det är den myndighet, det vill säga

den nämnd eller annan myndighet som leder eller utför den faktiska hälso- och sjukvården, som är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Härmed avses exempelvis så kallad beställar- och utförarnämnder i en region eller en kommun.

Skälen för att personuppgiftsansvaret regleras på det sättet är att det skulle uppnås en samordning mellan personuppgiftsansvaret och ansvaret för allmänna handlingar enligt TF, dåvarande sekretesslagen och arkivlagen (1990:782) (prop. 2007/08:126 s. 61).

Vilka myndigheter i regioner eller kommuner som är personuppgiftsansvariga i regioners eller kommuners hälso- och sjukvård kan därför inte anges generellt utan beror på hur ansvaret för hälso- och sjukvårdens verksamhet organiserats i respektive region eller kommun.

Vem eller vilka som är personuppgiftsansvariga vid samverkan mellan olika vårdgivare regleras inte generellt utom till den del det rör sig om direktåtkomst, 2 kap. 6 § stycke 2 och till viss del avseende de nationella och regionala kvalitetsregisterna, jämför 7 kap. 7 § PDL.

Utformningen av 2 kap. 6 § PDL innebär därmed att den myndighet som gör personuppgifter om en patient tillgängliga för andra vårdgivare eller annan myndighet i samma region eller kommun har personuppgiftsansvaret för tillgängliggörandet med allt vad det innebär exempelvis som ansvaret för rättslig grund, efterlevnad av de grundläggande principerna, lämplig säkerhet och informationsskyldighet enligt både dataskyddsförordningen och PDL.

Vidare är den myndighet som bereder sig tillgång till andra vårdgivares uppgifter, för att söka efter och läsa vårddokumentation, i enlighet med PDL, personuppgiftsansvarig för den personuppgiftsbehandling som det handlandet innebär.

7.5.4. Tillåtna ändamål

Innan PDL trädde i kraft fanns utrymme för vårdgivarna att själva bestämma ändamål, vilket inte ansågs tillräckligt integritetsskyddande. Det ansågs därför viktigt att det i PDL uttryckligen och så uttömmande som möjligt skulle framgå vilka ändamål som skulle tillåtas och därmed regleras i lagen. Ändamålsregleringen är därför uttömmande i den meningen att vårdgivarna inte själva får besluta om ytterligare ändamål för vilket eller vilka personuppgifter kan samlas in i

verksamheten. Genom att också inkludera ändamål som tidigare endast reglerats av personuppgiftslagen ansågs integritetsskyddet öka i förhållande till vad som gällt tidigare (prop. 2007/08:126 s. 5556).

Syftet med ändamålsbestämmelsen i 2 kap. 4 § PDL är att ge en yttersta ram för när personuppgifter får samlas in och fortsättningsvis behandlas. En och samma behandling av personuppgifter kan ske för mer än ett ändamål. Särskilt gäller detta i sådana stora elektroniska informationssystem som integrerar en mängd olika funktioner (prop. 2007/08:126 s. 5557). När det gäller behandling för nationella kvalitetsregister finns en egen ändamålsbestämmelse i 7 kap. 4–5 §§ PDL.

Vid införandet av PDL ansågs det olämpligt att som tidigare dela in ändamålen i primära och sekundära ändamål. Enligt förarbetena handlar både primära och sekundära ändamål om personuppgiftsbehandlingar som, mer eller mindre integrerat, normalt äger rum i varje vårdgivares egen verksamhet (prop. 2007/08:126 s. 56).

Ändamålet vårddokumentation (2 kap. 4 § 1 och 2 PDL)

Personuppgifter får behandlas om det behövs för att fullgöra de skyldigheter som anges i 3 kap. PDL, som skyldigheten att föra patientjournal, och upprätta annan dokumentation som behövs i och för vården av patienter. Personuppgifter får också behandlas om det behövs för administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall (prop. 2007/08:126 s. 228).

Annan dokumentation (2 kap. 4 § 3 PDL)

Punkten 3 avser annan dokumentation än vårddokumentation som hälso- och sjukvården är skyldig att utföra enligt olika författningar. Exempel härpå är dokumentation enligt lagen (1985:12) om kontroll av berusningsmedel på sjukhus och bestämmelsen om rapporteringsskyldighet till vårdgivare i 6 kap. 4 § patientsäkerhetslagen (2010:659).

Det finns vidare en rad författningar som föreskriver att hälso- och sjukvården ska lämna ut uppgifter till olika myndigheter. I allmänhet rör det sig här om utlämnande av uppgifter som primärt har samlats in som vårddokumentation, det vill säga för ändamålet enligt punk-

terna 1 och 2 i 2 kap. 4 § PDL. Uppgifterna kan då normalt tillhandahållas utan någon föregående bearbetning. I dessa fall handlar det endast om en behandling för det ändamål som anges i 2 kap. 5 § PDL, alltså behandling för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning (prop. 2007/08:126 s. 228).

Ibland kan uppgiftsskyldigheten förutsätta en viss särskild personuppgiftsbehandling där dokumentationen utformas utifrån hur uppgiftsskyldigheten ska fullgöras. I sådana fall är det inte fråga om en ren ”återanvändning” av redan insamlade personuppgifter. Exempel på sådan behandling som görs särskilt med anledning av en uppgiftsskyldighet är den behandling som sker för att uppfylla 4 och 6 §§ förordningen (2001:707) om patientregister hos Socialstyrelsen.

Kvalitetsutveckling och kvalitetssäkring (2 kap. 4 § 4 PDL)

Detta ändamål ger lagstöd för behandling av personuppgifter inom vad som brukar kallas systematiskt kvalitetsarbete. Lydelsen har en direkt koppling till vårdgivares skyldighet enligt hälso- och sjukvårdslagen att aktivt arbeta med verksamhets- och kvalitetsutveckling (se även formuleringen att ”kvaliteten inom hälso- och sjukvården systematiskt och fortlöpande ska utvecklas och säkras” i 5 kap. 4 § HSL) (SOU 2021:4 s. 148).

Att kvalitetssäkring tas upp som en särskild punkt beror bland annat på den centrala roll som kvalitetssäkringsarbetet har inom hälso- och sjukvården. Kvalitetssäkringsarbete kan ske i många former och med olika metoder. En speciell form är verksamheten med hälso- och sjukvårdens kvalitetsregister (prop. 2007/08:126 s. 228).

I förarbetena till bestämmelsen anges att användning av modern informationsteknik avsevärt förbättrat möjligheterna att arbeta med kvalitetssäkring. I huvudsak rör det sig om att personuppgifter som samlats in och behandlas för det primära ändamålet vårddokumentation, men det förekommer också behandling av personuppgifter för det primära ändamålet kvalitetssäkring. Ibland är denna uppgiftsinsamling integrerad med det individinriktade arbetet. Det kan därför vara svårt att i praktiken avgöra vad som är det övergripande syftet med en viss behandling av personuppgifter (prop. 2007/08:126 s. 57 f.).

Övergripande planering, uppföljning med mera (2 kap. 4 § 5 PDL)

Med punkten 5 avses administration och planering på ett mer övergripande plan än vad som avses med den patientadministration som omfattas av ändamålet vårddokumentation (punkterna 1 och 2). Punkten 5 gör det möjligt för hälso- och sjukvården att bedriva verksamhetsuppföljning med individuppgifter. Med utvärdering avses analys och värdering av kvalitet, effektivitet och resultat av en verksamhet i förhållande till de mål som bestämts för denna. Personuppgiftsbehandling får också förekomma för att vårdgivaren ska kunna bedriva tillsyn av sin verksamhet (prop. 2007/08:126 s. 228 f.).

Statistik (2 kap. 4 § 6 PDL)

Enligt punkten 6 får personuppgifter behandlas för statistikändamål. Med detta menas inte så kallad verksamhetsstatistik, som ryms inom ändamålet i punkten 5, utan annan statistik. Exempel är sådan statistik som regionerna tar fram för att informera befolkningen om hälso- och sjukvårdsverksamheten.

Det är tillåtet att samköra personuppgifter i olika register eller datasystem inom hälso- och sjukvården, om samkörningen sker för något eller några av de ändamål som anges i paragrafen. Detsamma gäller om samkörningen sker för ändamål som inte är oförenliga med dessa ändamål.

Antalsberäkning inför klinisk forskning (2 kap. 4 § 7 PDL)

Ändamålsbestämningen ger stöd för alla vårdgivare, såväl offentliga som privata, att behandla personuppgifter för antalsberäkning inför klinisk forskning. Oavsett om antalsberäkningarna görs av en person eller via en automatiserad aktivitet, ligger ansvaret för att personuppgiftsbehandlingen görs på ett korrekt sätt på den personuppgiftsansvariga vårdgivaren eller personuppgiftsansvarig myndighet för ett regionalt eller nationellt kvalitetsregister (prop. 2022/23:31 s. 11).

Personuppgiftsbehandlingen utförs av anställd personal hos vårdgivaren eller hos den myndighet som ansvarar för kvalitetsregister. I första hand bör det vara fråga om sökningar i patientjournaler och lokala, regionala eller nationella kvalitetsregister, även om det är möj-

ligt att en vårdgivare har ytterligare databaser där relevant information finns. Även dessa databaser omfattas då av ändamålsbestämningen. Den information som redovisas till forskare som står bakom förfrågan består av ett sökresultat i form av ett exakt antal personer som uppfyller kriterierna eller som ett intervall.7

7.5.5. Inre sekretess och behörighetsregler

I förarbetena till PDL uppgavs att förtroendet för integritetsskyddet i informationshanteringen inom vården inte bara hade relevans när det gäller den yttre sekretessen gentemot utomstående och vid överföring av personuppgifter mellan vårdgivare, utan även inom en verksamhet måste det finnas ett integritetsskydd avseende hanteringen av uppgifter om enskilda, den så kallade inre sekretessen. Vidare uppgavs att i PDL avsågs med inre sekretess ett begrepp som inrymde ett flertal frågeställningar om hur känsliga uppgifter om enskildas hälsa och andra personliga förhållanden bör handhas inom en verksamhet för att motverka risker för obefogade intrång i den personliga integriteten (prop. 2007/08:126 s. 141).

Bestämmelsen i 4 kap. 1 § PDL innebär att den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.

Vidare är den inre sekretessen i 4 kap. 1 § PDL tillämplig på alla dokumenterade personuppgifter om en patient och gäller för såväl manuellt som elektroniskt dokumenterade uppgifter, för uppgifter i till exempel patientjournalen, annan vårddokumentation och kvalitetsregister.

Vilka praktiska åtgärder som avses med att ”delta i vården” eller hur ordet behov ska tolkas (”behöver för sitt arbete”) i enlighet med bestämmelsen utvecklas inte nämnvärt i PDL:s förarbeten. I samband med hänvisning till vissa äldre förarbeten och föreskrifter från Socialstyrelsen anges dock att det endast är en begränsad del av personalen vid en klinik som har behov av tillgång till journaler, och att det är den personal som arbetar på en enhet som är engagerad i vården som har rätt att ta del av journalen (prop. 2007/08:126 s. 142).

7 Nymark, M., Patientdatalagen en kommentar, version 2, (JUNO 2023), under rubriken Antalsberäkning för forskning.

Vidare anförs att för den arbetstagare som bryter mot bestämmelserna om inre sekretess kan få disciplinpåföljd i enlighet med PSL aktualiseras (prop. 2007/08:126 s. 148).

Den som arbetar hos en vårdgivare får även ta del av dokumenterade uppgifter om en patient om hen av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Detta kan exempelvis avse administration, uppföljning eller kvalitetsutveckling (prop. 2007/08:126 s. 142).

Särskilt om behörighetsregler

Genom att en användare endast får tillgång till sådana personuppgifter som hen har behov av i sitt arbete, kan risken för otillåten behandling av personuppgifter förbyggas eller åtminstone minskas. Vidare har regeringen anfört, i samband med dataskyddsförordningens ikraftträdande på Socialdepartementets område, att styrning av tilldelning och begränsning av behörigheter utgör sådana tekniska och organisatoriska åtgärder som en personuppgiftsansvarig ska vidta på eget initiativ enligt dataskyddsförordningen (prop. 2017/18:171, s. 138).

Som anförts ovan ansågs det vid införandet av PDL särskilt viktigt för den inre sekretessen att det fanns en särskild regel som klargjorde att en befattningshavare hos en vårdgivare endast var behörig att ta del av uppgifter om en patient som den deltog i vården av eller annars behövde för sitt arbete inom hälso- och sjukvården (prop. 2007/08:126 s. 148).

Av 4 kap. 2 § PDL framgår att det är den verksamhetsansvariga vårdgivaren som ska tilldela behörighet för elektronisk åtkomst åt sin personal. Av ansvaret anses även bland annat följa att behörigheter ska följas upp och förändras eller inskränkas efter hand som ändringar i en enskild befattningshavarens arbetsuppgifter ger anledning till det (prop. 2007/08:126 s. 148).

Likaså anfördes det i förarbetena att sådana beslut om behörighet skulle fattas efter en analys av både behov och risker med den tilltänkta behörigheten, och avgörande för beslutet borde vara att behörigheten skulle begränsas till vad befattningshavaren behövde för ändamålet en god och säker vård. En vidare eller mer grovmaskig behörighetstilldelning skulle enligt regeringen, även om den medförde effektivitetsvinster, anses som en spridning av journaluppgifter inom

en verksamhet och borde därför inte accepteras (prop. 2007/08:126 s. 148 f.).

Vårdgivare har vidare enligt 4 kap. 3 § PDL en skyldighet att se till att elektronisk åtkomst dokumenteras och kan kontrolleras. Av samma bestämmelse framgår att vårdgivare ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt uppgifter om patienter.

I Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40) finns ytterligare bestämmelser om tilldelning av behörigheter och kontroll av elektronisk åtkomst.

Utifrån att i princip all dokumentation om patienter i dag lagras digitalt hos vårdgivare, är det genom elektronisk åtkomst som personal normalt sett tar del av hälsodata om patienter. Rent praktiskt innebär elektronisk åtkomst att personalen tilldelas behörighet i vårdgivarens informationssystem och genom personlig inloggning kan ta del av patientuppgifter i systemen.

7.5.6. Olika former för elektroniska utlämnanden

Den stora mängd personuppgifter som hanteras inom hälso- och sjukvården kan lämnas ut på flera olika sätt. Till stor del lagras och hanteras dessa uppgifter digitalt. I PDL har man valt att skilja mellan den interna åtkomsten, den elektroniska åtkomsten (se ovan avsnitt 7.5.5) och den åtkomst som följer av att man lämnar ut, eller tillgängliggör, uppgifter utanför den egna organisationen. Utlämnanden sker ofta i elektronisk form, exempelvis via mejl, lagring på USB-minne, direktöverföring från ett datorsystem till ett annat eller att en mottagare får elektronisk tillgång till den utlämnande aktörens it-system. Nedan redogörs närmare för när uppgifter lämnas ut via direktåtkomst eller annat elektroniskt utlämnande.

Direktåtkomst

Enligt förarbetena till PDL är direktåtkomst en viss form av elektroniskt utlämnande till en extern mottagare. Den som är ansvarig för informationen har inte kontroll över vilka uppgifter som en mottagare vid ett visst tillfälle tar del av (automatiserad tillgång) och mot-

tagaren av informationen kan inte påverka innehållet i det informationssystem som informationen lämnas ut från (prop. 2007/08:126 s. 74).

Ett annat sätt att uttrycka det är att den som behöver ta del av informationen kan bereda sig åtkomst på eget initiativ. Personuppgifterna finns potentiellt tillgängliga för den som önskar ta del dem, utan att den som gjort uppgifterna tillgängliga behöver fatta något formellt beslut om utlämnande i det enskilda fallet. Vid direktåtkomst anses nämligen de uppgifter som omfattas av åtkomsten och finns potentiellt tillgängliga för andra, vara utlämnande i TF:s mening, redan genom att åtkomst medges (prop. 2007/08:126 s. 120122). Synsättet avviker från ett traditionellt utlämnande av allmänna handlingar som förutsätter att en sekretessprövning görs i varje enskilt fall, innan uppgifterna kan lämnas ut.

Bestämmelser som medger direktåtkomst har inte i sig sekretessbrytande effekt utan de måste kombineras med särskilda sekretessbrytande regler om direktåtkomsten ska omfatta sådana uppgifter som det kan gälla sekretess för. Det finns också en särskild regel om överföring av sekretess i OSL vid myndigheters direktåtkomst till andra myndigheters upptagningar för automatiserad behandling (se 11 kap. 4 § OSL).

Direktåtkomst inom hälso- och sjukvården anses vara en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter (prop. 2007/08:126 s. 76). Det har därför angetts i PDL att utlämnanden genom direktåtkomst bara får ske i den utsträckning som medges i lag eller förordning (5 kap. 4 § PDL).

Annat elektroniskt utlämnande

Utlämnande på medium för automatiserad behandling innebär enligt förarbetena till PDL ett elektroniskt utlämnande utan möjlighet för mottagaren att själv bereda sig tillgång till uppgifterna. De exempel på utlämnande på medium för automatiserad behandling som tas upp i förarbetena är exempelvis genom användning av mejl, utlämnande på cd-rom eller genom filöverföring från ett datorsystem till ett annat. Vid denna typ av utlämnande fattas ett beslut i varje enskilt fall om uppgifterna kan lämnas ut eller om de omfattas av sekretess (prop. 2007/08:126 s. 77).

Som regel lämnas informationen ut i en form som medför att mottagaren kan bearbeta den. Bearbetningsmöjligheterna är dock inte avgörande för om det är fråga om ett utlämnande på automatiserat medium eller inte (prop. 2007/08:126 s. 77).

Gränsdragningen mellan direktåtkomst och utlämnande på medium för automatiserad behandling har belysts av Högsta förvaltningsdomstolen i den så kallade LEFI Online-domen (HFD 2015 ref. 61).

Försäkringskassan hade gett handläggare hos socialnämnder tillgång till uppgifter ur Försäkringskassans databas LEFI Online. Informationsutbytet skedde genom en fråga-svar-funktion. Frågan i målet var om socialnämndernas åtkomst till uppgifterna var att anse som direktåtkomst i socialförsäkringsbalkens mening – vilket i sådana fall ställde krav på vissa begränsningar när det gällde vilka uppgifter handläggarna fick ta del av – eller om det i stället var fråga om utlämnande på medium för automatiserad behandling.

Högsta förvaltningsdomstolen tog utgångspunkt i TF:s bestämmelser om allmänna handlingar. Av den tidigare lydelsen av 2 kap. 3 § andra stycket TF (nuvarande 2 kap. 6 § första stycket TF) framgår att en upptagning anses förvarad hos myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller uppfattas på annat sätt. De allmänna handlingar hos en myndighet som en annan myndighet får tillgång till, genom direktåtkomst, utgör, som redogjorts för ovan, allmänna handlingar även hos denna myndighet (prop. 2002/03:135 s. 90). Domstolen ansåg att den avgränsning som på detta sätt görs av begreppet direktåtkomst enligt TF även kunde användas för att bestämma innehållet i begreppet direktåtkomst i socialförsäkringsbalkens mening (2010:110). Det avgörande blev alltså om upptagningen kunde anses förvarad hos socialnämnderna i tryckfrihetsförordningens mening. I den delen gjorde Högsta förvaltningsdomstolen följande uttalande.

Socialnämnderna kan inte på egen hand söka information i socialförsäkringsdatabasen, utan ett utlämnande genom LEFI Online förutsätter att Försäkringskassan reagerar på en begäran om att de efterfrågade uppgifterna ska lämnas ut. Försäkringskassan får därigenom anses förfoga över frågan om och i så fall vilka uppgifter som ska lämnas ut. Någon sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket tryckfrihetsförordningen kan socialnämnderna således inte anses ha. Detta innebär att förfarandet inte är att betrakta som direktåtkomst enligt socialförsäkringsbalken.

Uttalandet från HFD skulle därför kunna ge stöd för den slutsats som regeringen gjort i PDL:s förarbeten, att tillgängliggörande av uppgifter som inte sker i form av en direktåtkomst utgör ett annat elektroniskt utlämnande.8

7.5.7. Kort om kvalitetsregister

I 7 kap. PDL finns bestämmelser som bara gäller för nationella och regionala kvalitetsregister. Med kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Kvalitetsregistren ska möjliggöra jämförelse inom hälso- och sjukvården på nationell eller regional nivå (7 kap. 1 § PDL). Registren är främst inriktade på medicinska specialiteter och har oftast byggts upp genom frivilliga initiativ av specialistföreningar för att användas som stöd för kvalitetsutveckling i det kliniska arbetet. All inrapporteringen sker till följd av ett frivilligt åtagande från vårdgivarnas sida (prop. 2007/08:126 s. 176).

Kvalitetsregistren möjliggör jämförelser inom hälso- och sjukvården på både nationell och regional nivå och sjunde kapitlet PDL ger på så sätt stöd för en särskild form av verksamhetsuppföljning över vårdgivargränser (SOU 2014:23 s. 103). Personuppgifter i nationella och regionala kvalitetsregister får primärt behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet (7 kap. 4 § PDL). Som huvudregel får kvalitetsregister därmed endast innehålla sådana personuppgifter som behövs för de ändamål för vilket det enskilda kvalitetsregistret verkar, exempelvis att säkra och utveckla kvaliteten i vården av en viss diagnos, till exempel diabetes, eller för en viss åtgärd, till exempel höftoperationer.

Personuppgiftsansvaret för behandling i nationella kvalitetsregister kan delas in i två nivåer. För den ena, där personuppgiftsbehandling som vårdgivare utför när de samlar in och registrerar uppgifter till ett nationellt kvalitetsregister, ansvarar respektive vårdgivare enligt den allmänna principen i 2 kap. 6 § första stycket PDL. För den andra nivån, som gäller ansvaret för att föra kvalitetsregistret, anges att endast myndigheter inom hälso- och sjukvården får vara personuppgifts-

8 Se även här den analys utredningen för SVOD gjort med anledning av dessa förarbetsuttalanden och HFD 2015 ref. 61, SOU 2021:4 s. 157 f. och s. 240–247.

ansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister (7 kap. 7 § PDL).

För att få registrera uppgifter i ett nationellt kvalitetsregister om en viss patient krävs att patienten inte motsatt sig det (7 kap. 2 § PDL). Det är alltså fråga om en så kallad opt-out (jämför även 2 kap. 2 § och 2 kap. 3 § SVOD). För personer som har permanent nedsatt beslutsförmåga får personuppgifter behandlas i ett kvalitetsregister om hens inställning till sådan personuppgiftsbehandling så långt som möjligt klarlagts, och det inte finns anledning att anta att hen skulle ha motsatt sig personuppgiftsbehandlingen (7 kap. 2 a § PDL).

Innan uppgifterna registreras är den personuppgiftsansvarige skyldig att lämna patienten utförlig information om den hantering av personuppgifter som gäller för det aktuella kvalitetsregistret (7 kap. 3 § och 8 kap. 6 § PDL).

7.5.8. Den enskildes inställning i förhållande till behandling av personuppgifter inom hälso- och sjukvården

Utgångspunkten enligt PDL är att behandling av personuppgifter som är tillåten enligt lagen får utföras även om den enskilde motsätter sig den (2 kap. 3 § PDL). I och med införandet av denna bestämmelse i PDL anfördes att skälen för detta, utifrån den dåvarande personuppgiftslagens bestämmelser var att kraven på uttrycklighet gjorde det olämpligt att ha samtycke som en förutsättning för att få behandla personuppgifter inom vården. Där till kom att flera av de personuppgiftsbehandlingar på området föranleddes av rättsliga förpliktelser, som journalföringsplikten, eller andra uppgifter av allmänt intresse som inte förutsatte ett samtycke för att vara förenligt med personuppgiftslagen (prop. 2007/08:126 s. 64 f.)

Regeringen ansåg det ändå skäligt att det i vissa situationer skulle finnas ett utrymme för att patientens inställning till behandlingen tillmättes betydelse när det gäller de olika formerna för elektronisk åtkomst (prop. 2007/08:126 s. 151). Det rör sig dels om möjligheten för en patient att spärra vissa uppgifter i vårdsyfte enligt 4 kap. 4 § PDL, dels om möjligheten att motsätta sig behandling för att förhindra tillgängliggörande eller åtkomst enligt bestämmelserna i SVOD, se mer nedan.

Att patienten kan spärra vissa uppgifter från att kunna nås via elektronisk åtkomst inom en vårdgivare, styr inte när olika sjukhus eller

kliniker får ta del av uppgifter inom en vårdgivare, utan bara sättet som det får göras på (prop. 2007/08:126 s. 151).

Möjligheten att kunna spärra sina uppgifter för andra vårdenhet eller vårdprocesser ansågs vara en möjlighet för patienten att påverka och för regelverket att ligga i linje med kravet i HSL på att verksamheten ska bygga på respekt för patientens självbestämmande och integritet och så långt det är möjligt utföras och genomföras i samråd med patienten (prop. 2007/08:126:151).

7.5.9. Kort om journalföring

En patientjournal består av en eller flera handlingar om rör samma patient enligt PDL (se 1 kap. 3 § PDL). Det är alltså inte tillåtet att föra en patientjournal för flera patienter. Däremot kan en patientjournal vara splittrad på olika dokumentationsytor så länge vårdgivaren kan hålla den samman enligt krav i HSLF-FS 2016:40.

Kopplat till reglerna om patientjournal, finns även begreppet jour-

nalhandling. Detta definieras i lagen som en framställning i skrift eller

bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder (1 kap. 3 § PDL). Såväl pappersbaserade som digitala handlingar omfattas av begreppet journalhandling. Exempel på journalhandlingar är löpande journalanteckningar, röntgenbilder, provsvar och remisser. Däremot omfattas typiskt sett inte livsstilsenkäter av journalföringsskyldigheten.

En patients klagomål och dokumentation kring hanteringen av det hör inte heller hemma i patientjournalen utan i vårdgivarens avvikelsehanteringssystem.

Patientjournalen i elektronisk form

Redan när PDL trädde i kraft år 2008 konstaterades att en stor del av vårddokumentationen hanterades elektroniskt (prop. 2007/08:126, s. 3334). Patientjournalen och annan patientadministration är i dag digital hos de allra flesta vårdgivare. I den mån journalhandlingar i pappersform skickas in till vårdgivaren, eller produceras av vårdgiva-

ren, skannas dessa normalt sett in i digitala journalarkivsystem och finns därefter tillgängliga i digital form. Journalhandlingar kan också förekomma som exempelvis film eller i form av en chatt med en patient. De olika medium som journalinformation förekommer på har olika förutsättningar för till exempel bevarande.

För lagring och bevarande av journalhandlingar har vårdgivare typiskt sett olika digitala journalsystem och andra it-stöd. Vanligtvis finns ett huvudjournalsystem som används brett inom vårdgivaren. Utöver huvudjournalsystemet finns ofta flera andra dokumentationssystem, exempelvis för läkemedelshantering, operationsplanering, mödrahälsovård och akutsjukvård. Skiljt från journalföringssystem finns system för patientadministration för bland annat kallelser och betalning. Vilka system som används kan, i alla fall delvis, vara samma inom vissa vårdgivare (till exempel inom en region), men skiljer sig också mycket åt både inom och mellan vårdgivare. Antalet IT-system inom svensk hälso- och sjukvård är relativt stort.9

7.6. Lag om sammanhållen vård- och omsorgsdokumentation

7.6.1. Inledning

Den 15 juni 2022 antog riksdagen SVOD. Lagen trädde i kraft den 1 januari 2023. I och med den nya lagen finns nu regler om informationsöverföring mellan vårdgivare samt mellan vårdgivare och omsorgsgivare samlade i en lag.

För personuppgiftsansvariga vårdgivare inom hälso- och sjukvården har direktåtkomst mellan dem varit möjlig sedan tidigare med stöd av reglerna om sammanhållen journalföring (tidigare 6 kap. PDL). I och med den aktuella lagändringen, flyttades bestämmelserna i sjätte kapitlet PDL över till den nya lagen. Detta motiverades bland annat med att det av flera skäl förelåg ett stort behov av informationsutbyte inom den individinriktade omsorgsverksamheten för äldre och personer med funktionsnedsättningar vilket också påpekats av flertal tidigare utredningar (se bland annat prop. 2021/22:177 s. 3941 och s. 55. Se även SOU 2021:4 s. 210).

9SOU 2014:23, s. 108.

Informationsutbytet enligt den nya lagen genomförs genom ett system där de olika vårdgivarna och omsorgsgivarna kan välja att ge åtkomst till sina journalhandlingar genom direktåtkomst eller annat elektroniskt utlämnande, samt välja om de vill ta del av journaler från andra genom direktåtkomst eller annat elektroniskt utlämnande (prop. 2021/22:177 s. 46). Att tillgängliggöra eller bereda sig åtkomst till uppgifterna är endast tillåtet när vissa särskilda förutsättningar i lagen är uppfyllda (2 kap. 2–6 §§ och 3 kap. 1–2 §§ SVOD). Systemet med sammanhållen vård- och omsorgsdokumentation är ett frivilligt åtagande, det föreligger således ingen skyldighet för vårdgivare eller omsorgsgivare att bygga upp ett sådant system (prop. 2021/22:177 s. 44).

De vårdgivare och omsorggivare som ingår i systemet fullgör sin respektive dokumentationsskyldighet i sina egna dokumentationssystem.

Nedanstående utgör inte en komplett redogörelse för den nya lagen utan fokuserar på de förutsättningar som gäller för att ett tillgängliggörande ska vara möjligt, formerna för tillgängliggörande, de skyddsbestämmelser som antagits samt tillhörande överväganden.

7.6.2. Kort om förutsättningarna för tillgängliggörande och åtkomst

Enligt 2 kap. 1–2 §§ SVOD ska följande förutsättningar vara uppfyllda för att en vårdgivare eller omsorgsgivare ska få tillgängliggöra information.

För det första behöver den information som ska tillgängliggöras endast vara uppgifter som behövs för att föra patientjournal och upprätta annan dokumentation som behövs för vården av patienten eller för att sköta administration som rör patienter och som syftar till att bereda vård i enskilda fallet eller som annars föranleds av vård i enskilda fall (2 kap. 1 § stycke 2 SVOD).

För det andra måste vårdgivaren i enlighet med 2 kap. 2 § ha gett patienten information om:

1. Vad sammanhållen vård- och omsorgsdokumentation innebär.

2. Möjligheten att motsätta sig att uppgifter görs tillgängliga för andra vårdgivare eller omsorgsgivare genom sådan dokumentation.

3. Patienten ska också informeras om att uppgiften om att det finns spärrade uppgifter om patienten och vilken vårdgivare som har spärrat uppgifterna ska göras tillgängliga för andra vårdgivare.

4. Därtill att vid fara för patientens liv eller när det annars finns allvarlig risk för dennes hälsa får en annan vårdgivare ta del av uppgift om vilken vårdgivare som har spärrat uppgifterna.

Det behövs inget aktivt samtycke från patienten, utan det är tillräckligt att patienten fått informationen som tillämplig lag kräver och att hen därefter inte motsatt sig att uppgifterna görs tillgängliga. Enligt förarbeten är det upp till vårdgivaren att avgöra på vilket sätt patienten ska informeras. Såväl muntlig information som skriftlig information fullgör kraven. Exempelvis skulle informationen kunna framgå på en affisch i receptionen (prop. 2021/22:177 s. 90). Om patienten motsätter sig får uppgifterna om patienten inte göras tillgängliga för andra vårdgivare eller omsorgsgivare. Uppgifterna ska i dessa fall genast spärras av vårdgivaren eller omsorgsgivaren (2 kap. 3 § SVOD).

När en vårdgivare eller omsorgsgivare som är ansluten till system för sammanhållen vård- och omsorgsdokumentation vill ta del av uppgifter om en patient som en annan vårdgivare tillgängliggjort i systemet och därmed behandla dessa uppställs vissa krav. Uppgifterna ska röra en patient som det finns en aktuell patientrelation med, patienten ska samtycka till personuppgiftsbehandlingen och för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten, utföra insatser enligt lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter eller bedöma behovet av sådana insatser det vill säga informationen ska antas vara av relevans för vården av den aktuella patienten (se 3 kap. 1 § 1–3 punkten SVOD). Uppgifter får också behandlas vid utfärdande av ett sådant intyg som avses i 3 kap. 16 § PDL förutsatt att vårdrelation finns och patienten ger sitt samtycke till behandlingen.

När en vårdgivare eller omsorgsgivare som är ansluten till system för sammanhållen vård- och omsorgsdokumentation vill ta del av uppgifter om en patient som en annan vårdgivare tillgängliggjort i systemet och därmed behandla dessa, uppställs vissa krav. Uppgif-

terna ska röra en patient som det finns en aktuell patientrelation med, patienten ska samtycka till personuppgiftsbehandlingen och för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten, utföra insatser enligt lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter eller bedöma behovet av sådana insatser. Informationen ska således antas vara av relevans för vården av den aktuella patienten (se 3 kap. 1 § 1–3 SVOD). Uppgifter får också behandlas vid utfärdande av ett sådant intyg som avses i 3 kap. 16 § PDL förutsatt att vårdrelation finns och patienten ger sitt samtycke till behandlingen.

7.6.3. Kort om säkerhetsåtgärderna och andra integritetsstärkande åtgärder

Enligt 3 kap. 7 § SVOD är lagens reglering uttömmande och uppgifter om en patient eller omsorgstagare får således inte behandlas under andra förutsättningar än de som finns i lagen, även om den har samtyckt till det. I förarbetena till bestämmelsen uppgavs anledningen för ett sådant förbud vara fördelar för förtroendet för ett system med sammanhållen vård- och omsorgsdokumentation, om uppgifterna enbart behandlas för de syften och ändamål som patienten och omsorgsmottagaren kan förutse och kontrollera (prop. 2021/22:177 s. 129).

I 4 kap. 3 § regleras åtkomsten till de uppgifter som gjorts tillgängliga genom system för sammanhållen vård- och omsorgsdokumentation. För hälso- och sjukvårdens del hänvisas det till 4 kap. 2 § PDL. Detta medför att PDL:s bestämmelser om tilldelning av behörighet även ska gälla för åtkomst hos en personuppgiftsansvarig till de uppgifter som den har åtkomst till inom ramen för ett system med sammanhållen vård- och omsorgsdokumentation (prop. 2021/22:177 s. 141143).

I 4 kap. 4 § SVOD återfinns kraven på loggkontroll, och även här hänvisas det för hälso- och sjukvårdens del till PDL.

7.7. Regler om dataskydd inom forskning

7.7.1. Inledning

Vid behandling av personuppgifter inom forskning gäller dataskyddsförordningen. Det finns således ingen nationell lag som reglerar personuppgiftsbehandling på forskningsområdet i allmänhet. I stället regleras frågor som exempelvis personuppgiftsansvar och lämplig säkerhet i dataskyddsförordningen samt av olika registerförfattningar för vissa specifika behandlingssituationer som anknyter till forskningsverksamhet på olika sätt.

Med anledning av dataskyddsförordningens ikraftträdande gjordes vissa anpassningar i svensk rätt som syftade till att möjliggöra en fortsatt behandling av personuppgifter för forskningsändamål som är ändamålsenlig samtidigt som den enskildes fri- och rättigheter skyddas (se prop. 2017/18:298). Så gjordes exempelvis i lagen (2003:460) om etikprövning av forskning som avser människor, förkortad EPL, samt i dataskyddslagen. Nedan följer ett urval av de regler som enligt utredningen är av särskild vikt för att förstå hur dataskyddet på forskningens område ser ut.

7.7.2. Termen forskningsändamål

I dataskyddsförordningen används termen vetenskapliga eller historiska forskningsändamål. I vissa fall används bara termen forskningsändamål (prop. 2017/18:298 s. 29). I skäl 159 till dataskyddsförordningen anges att behandling av personuppgifter för vetenskapliga forskningsändamål i förordningen bör ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. I samma skäl anges också att all reglering av vetenskaplig forskning ska ta hänsyn till unionens målsättning att uppnå ett europeiskt forskningsområde. Denna målsättning har formulerats i artikel 179.1 i fördraget om Europeiska unionens funktionssätt.

Termen vetenskapliga eller historiska forskningsändamål anses därför ha en EU-rättslig innebörd som alltså inte kan definieras enbart utifrån nationell rätt eller praxis.

7.7.3. Ändamålsbegränsning och forskningsundantaget

Precis som för annan personuppgiftsbehandling måste samtliga av dataskyddsförordningens grundläggande principer i artikel 5 följas även vid behandling av personuppgifter för forskningsändamål. Av artikel 5.1 b framgår att ytterligare behandling för vetenskapliga eller historiska forskningsändamål inte ska anses oförenlig med de ursprungliga ändamålen. Skrivningen, det så kallade forskningsundantaget, innebär alltså att ytterligare behandling för forskningsändamål är särskilt gynnad (se avsnitt 7.2.3–7.2.4.)

7.7.4. Rättslig grund

De rättsliga grunder som kan vara relevanta när det gäller behandling av personuppgifter för forskningsändamål är främst samtycke (artikel 6.1 a), allmänt intresse (artikel 6.1 e) och intresseavvägning (artikel 6.1 f). I vissa fall kan också den rättsliga grunden rättslig förpliktelse (artikel 6.1 c) vara aktuell (prop. 2017/18:298 s. 29). I sammanhanget kan också nämnas att regeringen i förarbeten har uttalat att om ett forskningsprojekt har godkänts enligt EPL har forskningen erkänts i svensk rättsordning på ett sådant sätt att utförande av forskningsuppgiften är en i svensk rätt fastställd uppgift av allmänt intresse (prop. 2017/18:298 s. 8789).

Rättslig grund för offentliga aktörer som bedriver forskning

Möjligheten att använda samtycke som rättslig grund är begränsad och aktualiseras främst inom områden som inte är offentligrättsligt reglerade (prop. 2017/18:298 s. 32). När den personuppgiftsansvarige är en offentligrättslig forskningsutförare måste beaktas om det föreligger en sådan ojämlik situation att det inte kan sägas att inhämtade samtycken lämnas frivilligt (prop. 2017/18:298 s. 39). Det föreligger dock inte alltid ett hinder för offentliga forskningsutförare att använda samtycke som rättslig grund (se prop. 2017/18:298 s. 41). Den rättsliga grunden intresseavvägning gäller inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter (artikel 6.1 andra stycket dataskyddsförordningen). För offentliga aktörer som bedriver

forskning är det därför framför allt allmänt intresse som aktualiseras som rättslig grund.

Enligt artikel 6.1 e får en personuppgift behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Grunden för behandlingen ska enligt artikel 6.3 fastställas i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Regeringen har i förarbeten uttalat att presumtionen bör vara att uppgiften att forska är en uppgift av allmänt intresse i dataskyddsförordningens mening (prop. 2017/18:298 s. 33). För kommunala myndigheter följer obligatoriska uppgifter av åligganden som fastställs i lag eller förordning. Även sådana frivilliga åtaganden som en kommun gör inom ramen för sin allmänna befogenhet ska framgå av gällande rätt, nämligen av det reglemente som fullmäktige utfärdar för den ansvariga nämnden (prop. 2017/18:298 s. 35). I förarbeten har gjorts bedömningen att 18 kap. 2 § HSL, som bland annat anger att regioner ska medverka vid finansiering, planering och genomförande av dels kliniskt forskningsarbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete, uppfyller dataskyddsförordningens krav på att reglering ska vara fastställd i nationell rätt. Vidare har uttalats att forskning i övrigt hör till området där regioner och kommuner kan göra frivilliga åtaganden inom ramen för sin befogenhet (prop. 2017/18:298 s. 49).

För den rättsliga grunden allmänt intresse finns som nämnts ovan under 7.3 ett nödvändighetsrekvisit. Vid forskning innebär nödvändighetsrekvisitet att personuppgiftsbehandlingen måste vara nödvändig för att forskningen ska kunna utföras, men utifrån en rimlighetsbedömning av vilka alternativa sätt att utföra forskningsuppgiften som är möjliga. I forskningssammanhang bör den rimlighetsbedömningen även kunna omfatta bedömningen av huruvida användandet av personuppgifter kan medföra högre kvalitet och tillförlitlighet i forskningsresultatet (prop. 2017/18:298 s. 38).

7.7.5. Behandling av känsliga personuppgifter och särskilda skyddsåtgärder

I dataskyddsförordningen finns ett förbud mot behandling av känsliga personuppgifter (artikel 9.1). Förbudet kompletteras av en rad undantag som möjliggör behandling av känsliga personuppgifter i vissa fall. Förutom undantag på grund av att det finns ett uttryckligt samtycke

finns även i artikel 9.2. j ett undantag för forskningsändamål. I artikeln anges att förbudet inte gäller om behandlingen är nödvändig för bland annat forskningsändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Särskilt om skyddsåtgärder vid behandling av personuppgifter för forskningsändamål

I artikel 89.1 dataskyddsförordningen anges att behandling för bland annat vetenskapliga eller historiska forskningsändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med dataskyddsförordningen för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas (se ovan under avsnitt 7.2.2).

En förutsättning för att få behandla känsliga personuppgifter med stöd av undantaget i artikel 9. 2 j, är att det i enlighet med artikel 89.1, jämte vissa andra villkor, i nationell rätt finns sådana bestämmelser om särskilda och lämpliga skyddsåtgärder. Vidare anges i skäl 156 att medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för forskningsändamål.

I svensk rätt är etikprövning enligt EPL en skyddsåtgärd vid behandling av känsliga personuppgifter. Forskning på känsliga personuppgifter som sker i enlighet med svensk rätt, kan därmed göras utan samtycke från den registrerade om utförandet sker med stöd av undantaget i artikel 9.2 j och att den nationella rätten uppfyller de angivna villkoren däri. Även etisk granskning enligt lagen (2018:1091) med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel anses utgöra en skyddsåtgärd (prop. 2017/18:298 s. 9195).

7.7.6. Undantag från vissa rättigheter

I dataskyddsförordningen och i svensk rätt framgår vissa undantag när det gäller den registrerades rättigheter som har relevans när uppgifter behandlas för forskningsändamål.

Vilken information som ska lämnas till den registrerade när personuppgifter inte har inhämtats direkt från den registrerade regleras i artikel 14 dataskyddsförordningen. Enligt artikel 14.5 b ska bestämmelserna i artikeln inte tillämpas i den mån tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för bland annat forskningsändamål i enlighet med artikel 89.1, eller i den mån skyldigheten att lämna information sannolikt kommer att göra det omöjligt eller avsevärt försvåra uppfyllandet av målen med den aktuella behandlingen. I sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, inbegripet att göra uppgifterna tillgängliga för allmänheten (jämför även 5 kap. 1 § dataskyddslagen och avsnitt 7.4 ovan).

Rätten till radering som framgår av artikel 17 i dataskyddsförordningen ska inte gälla i den utsträckning som behandlingen är nödvändig för bland annat forskningsändamål enligt artikel 89.1, i den utsträckning som rätten sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med behandlingen (artikel 17.3 dataskyddsförordningen).

Rätten att göra invändning mot behandling av personuppgifter gäller enligt artikel 21.1 om behandlingen grundar sig på artikel 6.1 e allmänt intresse eller 6.1 f intresseavvägning. Av artikel 21.6 framgår dock att om personuppgifter behandlas för bland annat forskningsändamål och den rättsliga grunden för forskningen är allmänt intresse saknar den registrerade rätt att invända.

I dataskyddsförordningen finns även en bestämmelse som anger att den personuppgiftsansvarige inte ska behöva bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa förordningen (artikel 11.1). När personuppgifter behandlas för forskningsändamål är det inte ovanligt att det saknas direkt identifierande uppgifter, exempelvis när uppgifter kodats eller pseudonymiserats. Detta medför att den personuppgiftsansvarige i dessa fall saknar sådana uppgifter som gör det möjligt att exempelvis göra registerutdrag eller ens avgöra om uppgifter om en viss

person behandlas (prop. 2017/18:298 s. 104). Om den personuppgiftsansvarige i sådana situationer kan visa att denne inte kan identifiera den registrerade ska artiklarna 15–20 (vissa rättigheter för den registrerade) inte gälla, förutom när den registrerade tillhandahåller ytterligare information som gör identifieringen möjlig (artikel 11.2 dataskyddsförordningen).

Av OSL framgår att en myndighet, dels på begäran av en enskild, ska lämna ut uppgifter ur en allmän handling (6 kap. 4 §), dels på begäran av en annan myndighet ska lämna ut uppgifter som myndigheten förfogar över (6 kap. 5 §), i båda fallen under förutsättning att uppgifterna inte är sekretessbelagda eller att ett utlämnande skulle hindra arbetes behöriga gång. I artikel 14.5 c dataskyddsförordningen anges ett undantag från informationsskyldigheten i den mån att erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga skyddsåtgärder för att skydda den registrerades berättigade intressen. I förarbeten har regeringen uttalat att regleringen i OSL innebär att ett erhållande eller utlämnande av uppgifter uttryckligen är föreskrivet i svensk rätt i enlighet med artikel 14.5 c dataskyddsförordningen och att artikel 14.1–4 (informationsskyldigheten) inte behöver tillämpas i dessa fall (prop. 2017/18:298 s. 105). Detta gäller oavsett för vilket ändamål uppgifterna lämnas ut och alltså även när uppgifter lämnas ut för forskningsändamål (prop. 2017/18:298 s. 112). I dessa fall är regler om sekretess och tystnadsplikt en lämplig skyddsåtgärd som uppfyller kraven i artikel 14.5 c dataskyddsförordningen (prop. 2017/ 18:298 s. 114).

Det är också möjligt att i nationell rätt föreskriva undantag från vissa av den registrerades rättigheter (se artikel 89.2 i dataskyddsförordningen).

8. Offentlighet, sekretess och tystnadsplikt

8.1. Inledning

Enligt utredningens direktiv ingår det i utredningens uppdrag att analysera bland annat lagstiftning kring offentlighet och sekretess samt tystnadsplikt. Utredningen lämnar också författningsförslag avseende ändring av sekretessregler, se kapitel 17. Urvalet av de bestämmelser som beskrivs i detta kapitel har gjorts utifrån vad som bedömts relevant för utredningens uppdrag i förhållande till de avgränsningar som redogörs för i kapitel 2.

I detta kapitel redogörs för rätten att ta del av allmänna handlingar enligt tryckfrihetsförordningen (1949:105), förkortad TF, samt av rätten att ta del av uppgifter enligt offentlighets- och sekretesslagen (2009:400), förkortad OSL. Här beskrivs även bestämmelser om sekretess i OSL. Kapitlet innehåller även en redogörelse för den tystnadsplikt som gäller för den enskilda hälso- och sjukvården, det vill säga privata vårdgivare, enligt patientsäkerhetslagen (2010:659), förkortad PSL.

I kapitel 7 redogör utredningen för aktuella bestämmelser om dataskydd enligt bland annat Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad EU:s dataskyddsförordning eller dataskyddsförordningen, och patientdatalagen (2008:355), förkortad PDL som också ger skydd mot spridning av integritetskänsliga uppgifter.

8.2. Offentlighetsprincipen

Offentlighetsprincipen innebär att allmänheten ska ha insyn i statens och kommunernas1 verksamhet. Principen kommer till uttryck på olika sätt, exempelvis genom yttrande- och meddelarfrihet för tjänstemän.2 I första hand förknippas dock offentlighetsprincipen med grundsatsen om allmänna handlingars offentlighet. Denna grundsats kan ses som en del av informationsfriheten (prop. 1975/76:160 s. 23). Med informationsfrihet avses frihet att inhämta och ta emot upplysningar samt i övrigt ta del av andras yttranden (2 kap. 1 § första stycket 2 regeringsformen, förkortad RF).

8.2.1. Rätten att ta del av allmänna handlingar

Rätten att ta del av allmänna handlingar regleras i 2 kap. TF. Syftet med rätten att ta del av allmänna handlingar är bland annat att främja ett fritt meningsutbyte samt en fri och allsidig upplysning. Rätten att ta del av allmänna handlingar gäller också handlingar hos företag där kommuner eller regioner utövar ett rättsligt bestämmande inflytande (se 2 kap. 3 § första stycket OSL).

Rätten gäller var och en, det vill säga alla (se 2 kap. 1 § TF). Den gäller även juridiska personer (se RÅ 2003 ref. 83). För andra än svenska medborgare och svenska juridiska personer kan rätten att ta del av allmänna handlingar begränsas genom lag (14 kap. 5 § TF). Någon sådan lag finns dock inte för närvarande.

TF ger inte myndigheter någon rätt att ta del av allmänna handlingar från andra myndigheter. Däremot finns en särskild bestämmelse i OSL om skyldigheten för myndigheter att lämna uppgifter till varandra (se 6 kap. 5 § OSL). TF reglerar inte heller enskildas rätt att ta del av uppgifter i allmänna handlingar, utan även detta regleras i OSL. I avsnitt 8.3 (Offentlighets- och sekretesslagen) finns en närmare beskrivning av de aktuella bestämmelserna i OSL.

Vidare framgår av artikel 86 i EU:s dataskyddsförordning att personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift

1 Med kommuner avses i detta sammanhang även regioner, det vill säga kommuner på regional nivå (jämför 1 kap. 7 § regeringsformen). 2 Se Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, avsnitt 1.1. Vad innebär offentlighetsprincipen? (Juno version 26).

av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med medlemsstatens nationella rätt.

8.2.2. Vad som är en allmän handling

Rätten att ta del av handlingar enligt 2 kap. 1 § TF är endast tillämplig på allmänna handlingar. Begreppet allmän handling är därför centralt för att bestämma offentlighetsprincipens omfattning och de rättigheter med mera som är kopplade till begreppet.

Med handling avses en framställning i skrift eller bild samt en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt, nedan benämnd upptagning (2 kap. 3 § TF). Detta kan uttryckas som att en handling är ett föremål som innehåller information av något slag.3

Alla handlingar som finns hos myndigheterna är inte allmänna. En handling är allmän om den förvaras hos myndigheten och enligt vissa angivna regler anses inkommen till eller upprättad hos en myndighet (2 kap. 4 § TF).

En upptagning anses förvarad hos en myndighet, om den är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt (2 kap. 6 § första stycket TF). Det finns dock två undantag till denna huvudregel. Det första undantaget finns i 2 kap. 6 § andra stycket TF. Där anges att en sammanställning av uppgifter ur en upptagning för automatiserad behandling anses förvarad hos myndigheten endast om myndigheten kan göra sammanställningen tillgänglig med rutinbetonade åtgärder och inte annat följer av 7 §. Med rutinbetonade åtgärder avses en begränsad arbetsinsats som inte är förknippad med några nämnvärda kostnader. Bedömningen av om en åtgärd är rutinbetonad får göras med hänsyn till såväl den allmänna tekniska utvecklingen som den tekniska kompetensen och den tekniska utvecklingen på myndigheten i fråga (prop. 2001/02:70 s. 37). I HFD 2015 ref. 25 ansåg domstolen att en sammanställning av uppgifter ur en upptagning för automatiserad databehandling som krävde en arbetsinsats på fyra till sex timmar inte kunde anses tillgänglig med rutinbetonade åtgärder. Det andra undantaget finns i 2 kap. 7 § första

3 Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, avsnitt 2.2.1 Handlingsbegreppet (Juno version 26).

stycket TF. Där anges att en sammanställning enligt 6 § andra stycket inte anses förvarad hos myndigheten om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig.

En handling anses inkommen till en myndighet, när den har anlänt till myndigheten eller kommit behörig befattningshavare tillhanda. En upptagning anses i stället inkommen till myndigheten när någon annan har gjort den tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt (2 kap. 6 § första stycket och 2 kap. 9 § första stycket TF). Exempelvis anses en upptagning i form av en journalhandling som tillgängliggjorts i ett system för sammanhållen vård- och omsorgsdokumentation som inkommen hos övriga myndigheter som har tillgång till systemet, såvida upptagningen inte är spärrad.

En handling anses ha upprättats hos en myndighet, när den har expedierats. I HFD 2011 ref. 52 ansågs handlingar som en myndighet fört in i en databas och som befattningshavare hos en annan myndighet kunde ta del av i läsbart skick som expedierade hos den förstnämnda myndigheten. En handling som inte har expedierats anses upprättad när det ärende som den hänför sig till har slutbehandlats hos myndigheten eller, om handlingen inte hänför sig till ett visst ärende, när den har justerats av myndigheten eller färdigställts på annat sätt (2 kap. 10 § första stycket TF).

Har ett organ som ingår i eller är knutet till en myndighet lämnat över en handling till något annat organ inom samma myndighet, anses handlingen som inkommen eller upprättad därigenom endast om organen uppträder som självständiga i förhållande till varandra (2 kap. 11 § första stycket TF). Bestämmelsen har sin motsvarighet i 8 kap. 2 § OSL som gäller frågan om sekretess mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra, se avsnitt 8.3.1 (Allmänt om sekretess).

I 2 kap. 13 § första stycket TF finns ett undantag från huvudregeln om vad som är en allmän handling. Där anges att en handling som förvaras hos en myndighet endast som ett led i en teknisk bearbetning eller teknisk lagring för någon annans räkning inte anses som allmän handling hos den myndigheten.

8.2.3. Begränsningar i rätten att ta del av allmänna handlingar

Rätten att ta del av allmänna handlingar gäller inte utan begränsningar. Av 2 kap. 2 § första stycket TF framgår att rätten får begränsas endast om det krävs med hänsyn till vissa ändamål, bland annat skyddet för enskildas personliga eller ekonomiska förhållanden. En begränsning av rätten att ta del av allmänna handlingar ska anges noga i en bestämmelse i en särskild lag eller, om det anses lämpligare i ett visst fall, i en annan lag som den särskilda lagen hänvisar till (2 kap. 2 § andra stycket TF). Med den särskilda lagen avses i dag OSL. Sekretessbestämmelser till skydd för uppgift om enskilds personliga eller ekonomiska förhållanden finns i lagens femte avdelning (21–40 kap. OSL).

8.2.4. Utlämnande av allmänna handlingar

2 kap. TF innehåller även bestämmelser om själva utlämnandet av allmänna handlingar. Begreppet utlämnande syftar på när mottagaren får ta del av en allmän handling. En begäran att få ta del av en allmän handling görs hos den myndighet som förvarar handlingen (2 kap. 17 § första stycket TF). Begäran prövas, som huvudregel, av den myndighet som anges i första stycket (2 kap. 17 § andra stycket TF).

Den som begär ut en allmän handling som får lämnas ut ska få ta del av handlingen på stället på ett sådant sätt att den kan läsas, avlyssnas eller uppfattas på annat sätt. En handling kan också skrivas av, fotograferas eller spelas in. Kan en handling inte tillhandahållas utan att en sådan del av handlingen som inte får lämnas ut röjs, ska den i övriga delar göras tillgänglig för sökanden i avskrift eller kopia (2 kap. 15 första stycket TF). I 2 kap. 15 § andra stycket finns vissa undantag till bestämmelserna i första stycket. Den som önskar ta del av en allmän handling har även, med vissa undantag, rätt att mot en avgift få en avskrift eller kopia av handlingen till den del handlingen får lämnas ut (2 kap. 16 § första stycket TF).

8.3. Offentlighets- och sekretesslagen

OSL innehåller inte bara bestämmelser om sekretess utan innehåller även bestämmelser om myndigheters handläggning vid registrering, utlämnande och övrig hantering av allmänna handlingar (se 1 kap.

1 § första och andra stycket OSL). Bestämmelser om myndighetens hantering av allmänna handlingar finns bland annat i lagens sjätte kapitel som innehåller bestämmelser om utlämnade av allmänna handlingar och uppgifter (se 1 kap. 3 § OSL).

Utöver skyldigheten att lämna ut allmänna handlingar som följer av TF, ska en myndighet på begäran av en enskild också lämna uppgift

ur en allmän handling som förvaras hos myndigheten, om inte upp-

giften är sekretessbelagd eller det skulle hindra arbetets behöriga gång (6 kap. 4 § OSL). Bestämmelsen innebär inte någon skyldighet att lämna ut uppgifter som inte finns i allmänna handlingar.

Mellan myndigheter gäller att en myndighet på begäran av en annan myndighet ska lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång (6 kap. 5 § OSL). Denna bestämmelse kan ses som en precisering av den allmänna samverkansskyldigheten som gäller enligt 8 § FL. Skyldigheten att lämna information till andra myndigheter är mer vidsträckt än skyldigheten gentemot allmänheten. Enligt denna paragraf omfattar skyldigheten varje uppgift som myndigheten förfogar över, alltså inte bara uppgifter ur allmänna handlingar.4

8.3.1. Allmänt om sekretess

Inledande bestämmelser

OSL:s bestämmelser om sekretess innebär begränsningar i den rätt att ta del av allmänna handlingar som följer av TF (1 kap. 1 § andra stycket OSL). Med sekretess avses ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt (3 kap. 1 § OSL). Sekretess innebär således både handlingssekretess och tystnadsplikt.

Gäller förbud mot att röja en uppgift, får uppgiften inte heller i övrigt utnyttjas utanför den verksamhet för vilken den är sekretessreglerad (7 kap. 1 § OSL).

Det finns inte någon definition av ordet röja i OSL och det kan i vissa situationer vara svårt att avgöra om en uppgift kan anses röjd.

Förbudet att röja eller utnyttja en uppgift gäller för myndigheter (2 kap. 1 § första stycket OSL). Ett sådant förbud gäller också för en

4 Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, kommentaren till 6 kap. 5 § OSL (Juno version 26).

person som fått kännedom om uppgiften genom att för det allmännas räkning delta i en myndighets verksamhet som exempelvis anställd eller uppdragstagare (se 2 kap. 1 § andra stycket OSL). Bestämmelserna gäller också för företag där kommuner eller regioner utövar ett rättsligt bestämmande inflytande (se 2 kap. 3 § första stycket OSL).

Vilka sekretessen gäller mot

Sekretessen gäller såväl mot enskilda, det vill säga fysiska eller juridiska personer, som mot andra myndigheter (se 8 kap. 1 § OSL). Nämnder inom en kommun eller region anses som egna myndigheter. Om en kommun eller en region har valt att dela upp hälso- och sjukvården på flera sektorer som organisatoriskt hör till olika nämnder är OSL:s regler om sekretess därmed tillämpliga vid uppgiftslämnande mellan de olika nämndernas vårdinrättningar. Samma sak gäller i förhållande till kommunala företags vårdinrättningar (se prop. 2007/08:126 s. 164). Som ”enskild” betraktas även privata företag, vilket innebär att sekretess även gäller gentemot till exempel en privat vårdgivare.

Sekretessen gäller också mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra (8 kap. 2 § OSL). Det är inte alltid helt lätt att avgöra när det finns självständiga verksamhetsgrenar inom en myndighet. Av förarbetena till PDL framgår att all hälso- och sjukvård som lyder under samma nämnd inom en region eller en kommun utgör en och samma verksamhetsgren (prop. 2007/08:126 s. 163). Det innebär att någon sekretessprövning enligt OSL inte behöver göras när uppgifter överförs mellan olika vårdinrättningar, till exempel från ett sjukhus till en vårdcentral, så länge som dessa sorterar under samma nämnd.

Forskning som bedrivs av en vårdgivande myndighet som ett led i vården och behandlingen av en patient anses ingå i myndighetens hälso- och sjukvårdsverksamhet. Annan forskning betraktas dock i regel som en självständig verksamhetsgren, vilket innebär att sekretess gäller inom myndigheten mellan sådan forskningsverksamhet och hälso- och sjukvårdsverksamheten. Med annan forskning avses dokumentation som enbart sker i forskningssyfte och som inte heller har någon betydelse för vården (se prop. 2007/08:126 s. 51 och s. 202). Det kan vara svårt att avgöra var gränsen mellan sådan forskning och annan forskning går.

Utbildningsverksamhet är i regel en självständig verksamhetsgren även om den bedrivs inom en och samma myndighet som bedriver hälso- och sjukvård (se prop. 2007/08:126 s. 51 och s. 202).

Bestämmelserna i 8 kap. 1 och 2 §§ OSL reglerar den så kallade yttre sekretessen. OSL innehåller inte något förbud mot att röja uppgifter till någon inom en och samma myndighet eller verksamhetsgren, den så kallade inre sekretessen. Sådana bestämmelser finns i stället vad gäller hälso- och sjukvården i exempelvis PDL.

Utlämnande av avidentifierade och pseudonymiserade uppgifter

För att det ska finnas hinder mot att lämna ut uppgifter som är sekretessreglerade till skydd för enskilds personliga eller ekonomiska förhållanden krävs det att en enskild person riskerar att lida skada eller men (se exempelvis sekretessbestämmelserna i 25 kap. OSL). Vad som avses med begreppet men framgår av avsnitt 8.3.3.

I förarbetena till den tidigare sekretesslagen (1980:100) anges att det krävs att uppgifterna är hänförliga till en viss individ för att en enskild person ska lida skada eller men. Det innebär att det i allmänhet bör vara möjligt att lämna ut så kallade avidentifierade uppgifter utan att risk för skada eller men uppkommer. I enstaka fall kan det emellertid tänkas att en avidentifiering inte är tillräcklig för att hindra att sambandet mellan individen och uppgiften spåras. Frågan om en sådan risk föreligger får bedömas efter omständigheterna i det enskilda fallet (se prop. 1979/80:2 Del A s. 84).

För att uppgifter ska anses vara avidentifierade ska en enskild inte kunna identifieras vare sig utifrån de uppgifter som lämnas ut eller med hjälp av annan tillgänglig information, så kallad pusselläggning, (se bland annat Kammarrätten i Stockholms dom den 20 augusti 2020 i mål nr 4876–20).

I ett beslut av Riksdagens ombudsmän, JO, som rörde utlämnande av personuppgifter till tredje land, uttalar sig JO om pseudonymiserade uppgifter (JO:s beslut den 4 juni 2019, dnr 6794–2017 och dnr 6864– 2017). Där anges att tillämpningen av begreppet avidentifierade uppgifter under senare år har blivit mer restriktiv och att det som avsågs i förarbetena till den tidigare sekretesslagen torde ha varit det som i dag kallas pseudonymiserade uppgifter, det vill säga information utan

direktidentifierande uppgifter (jämför definitionen i artikel 4.5 i EU:s dataskyddsförordning).

Att lämna ut uppgifter i pseudonymiserad form kan, enligt JO, medföra att det saknas risk för att en enskild person ska lida skada eller men, och att uppgifterna då kan lämnas ut. Det är emellertid viktigt att den utlämnande myndigheten gör en noggrann prövning av vilka uppgifter som kan lämnas ut, och hur utlämnandet bör ske, för att inte riskera att röja enskilda individer. Vid bedömningen bör myndigheten beakta bland annat vilken typ av uppgifter som omfattas, vem som är mottagare, vilken spridning uppgifterna kommer att få, hur uppgifterna kommer att hanteras av mottagaren, vilka som har tillgång till referensuppgifterna och vilka risker som finns för ytterligare spridning av uppgifterna.

I kapitel 7. (Dataskydd) finns en närmare beskrivning av begreppet pseudonymisering. I det kapitlet redogörs också för betydelsen av begreppet anonymisering. Begreppet anonymisering används framför allt i dataskyddssammahang och i regel inte i sammanhang då det gäller sekretess. Begreppet anonymisering kopplar till frågan om en uppgift är en personuppgift eller inte medan begreppet avidentifiering kopplar till frågan om det finns en risk för skada eller men om uppgifterna lämnas ut.

Sekretessbrytande bestämmelser

En sekretessbrytande bestämmelse är en bestämmelse som innebär att en sekretessbelagd uppgift får lämnas ut under vissa förutsättningar (3 kap. 1 § OSL). I 10 kap. OSL finns sekretessbrytande bestämmelser som är tillämpliga på sekretess enligt alla eller ett stort antal sekretessbestämmelser i lagen. Sekretessbrytande bestämmelser som endast bryter sekretess som gäller enligt en viss sekretessbestämmelse eller enligt några få sekretessbestämmelser finns utspridda i olika kapitel, bland annat i 25 kap. OSL, se nedan i avsnitt 8.3.3).

Sekretess hindrar inte att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning (10 kap. 28 § första stycket OSL). Bestämmelsen är även tillämplig när uppgifter lämnas mellan olika verksamhetsgrenar inom en myndighet som är att betrakta som självständiga i förhållande till varandra (se 8 kap. 2 § OSL). Ett exempel på en sådan uppgiftsskyldighet är att den som bedriver verk-

samhet inom hälso- och sjukvården ska lämna uppgifter till ett hälsodataregister för vissa angivna ändamål (6 § lag (1998:543) om hälsodataregister).

I 10 kap. 1 § OSL finns en annan sekretessbrytande bestämmelse. I denna bestämmelse anges att det följer av 12 kap. OSL att sekretess till skydd för en enskild inte hindrar att en uppgift lämnas till en annan enskild eller till en myndighet, om den enskilde samtycker till det. I 12 kap. 2 § första stycket OSL anges att en enskild helt eller delvis kan häva sekretess som gäller till skydd för honom eller henne, om inte annat anges i denna lag. Till skillnad från 10 kap. 16 och 28 §§ OSL är denna sekretessbrytande bestämmelse inte bara tillämplig när det gäller att lämna uppgifter till myndigheter utan även till enskilda. Se mer om samtycke till att bryta sekretessen i Bilaga 3 (Samtycken inom vård och klinisk forskning).

Om 10 kap. 1 eller 28 §§ OSL är tillämpliga kan en uppgift lämnas ut utan att det behöver göras en bedömning av om ett sådant utlämnande innebär en risk för skada, men eller annan olägenhet.

Utlämnande av uppgift med förbehåll

I 10 kap. 14 § första stycket OSL finns en bestämmelse som ger en myndighet möjlighet att till en enskild lämna ut en uppgift som är sekretessbelagd, under förutsättning att den risk för skada, men eller annan olägenhet som hindrar att uppgifterna lämnas, kan undanröjas genom ett förbehåll som inskränker den enskildes rätt att lämna uppgiften vidare eller utnyttja den.

Som framgår av bestämmelsens ordalydelse kan ett sådant förbehåll endast riktas till enskilda mottagare. Vidare kan förbehållet endast användas i förhållande till sekretessbestämmelser som innehåller någon form av skaderekvisit (se prop. 1979/80:2 Del A s. 350). Ett förbehåll kan alltså inte möjliggöra ett utlämnande av en uppgift som omfattas av så kallad absolut sekretess.

En tystnadsplikt som följer av ett förbehåll som avses i 10 kap. 14 § första stycket OSL inskränker rätten att meddela och offentliggöra uppgifter (13 kap. 5 § andra stycket OSL).

Primära sekretessbestämmelser och bestämmelser om överföring av sekretess

Sekretessen följer som huvudregel inte med en uppgift när den lämnas till en annan myndighet. I förarbetena till den numera upphävda sekretesslagen motiverades denna ordning bland annat med att behovet av och styrkan i en sekretess inte kan bestämmas endast med hänsyn till sekretessintresset utan också måste vägas mot intresset av insyn i myndigheternas verksamhet. Ett annat skäl uppgavs vara att det är svårt att överblicka konsekvenserna av en regel som innebär att sekretessen sprider sig i flera led från myndighet till myndighet. En sådan regel bedömdes också skapa tillämpningssvårigheter (prop. 1979/80:2 Del A s. 75).

Får en myndighet en sekretessreglerad uppgift från en annan myndighet, gäller sekretess för uppgiften hos den mottagande myndigheten endast om sekretess följer av en primär sekretessbestämmelse som är tillämplig hos den mottagande myndigheten eller av en bestämmelse om överföring av sekretess. Motsvarande gäller om en myndighet har elektronisk tillgång till en sekretessreglerad uppgift hos en annan myndighet (7 kap. 2 § OSL). Med elektronisk tillgång avses exempelvis att en myndighet får så kallad direktåtkomst till journaluppgifter genom sammanhållen vård- och omsorgsdokumentation.

En primär sekretessbestämmelse är en bestämmelse om sekretess som en myndighet ska tillämpa på grund av att bestämmelsen riktar sig direkt till myndigheten eller omfattar en viss verksamhetstyp eller en viss ärendetyp som hanteras hos myndigheten eller omfattar vissa uppgifter som finns hos myndigheten (3 kap. 1 § OSL).

En bestämmelse om överföring av sekretess är en bestämmelse som innebär att en sekretessbestämmelse som är tillämplig på en uppgift hos en myndighet, ska tillämpas på uppgiften även av en myndighet som uppgiften lämnas till eller som har elektronisk tillgång till uppgiften hos den förstnämnda myndigheten (3 kap. 1 § OSL). I samma bestämmelse anges också att en sekundär sekretessbestämmelse är en bestämmelse om sekretess som en myndighet ska tillämpa på grund av en bestämmelse om överföring av sekretess.

Bestämmelser om överföring av sekretess

I 11 kap. OSL finns sekundära sekretessbestämmelser, det vill säga bestämmelser om överföring av sekretess, som innebär att sekretess överförs till vissa angivna typer av organ eller vissa angivna verksamheter.

Det finns en bestämmelse om överföring av sekretess när en myndighet i sin forskningsverksamhet får en sekretessreglerad uppgift från en annan myndighet (11 kap. 3 § OSL). I dessa fall blir alltså sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Detta gäller dock inte avseende en uppgift som ingår i ett beslut hos den mottagande myndigheten.

Vidare finns en bestämmelse om överföring av sekretess när en myndighet får direktåtkomst till andra myndigheters upptagningar för automatiserad behandling och en uppgift i denna upptagning är sekretessreglerad (11 kap. 4 § OSL). Även i dessa fall gäller sekretessbestämmelsen inte avseende en uppgift som ingår i ett beslut hos den mottagande myndigheten.

Konkurrens mellan primära sekretessbestämmelser och bestämmelser om överföring av sekretess

De sekundära sekretessbestämmelserna som finns i 11 kap. 3 och 4 §§ kan i vissa fall bli utkonkurrerade av en primär sekretessbestämmelse.

Huvudregeln om konkurrens mellan sekretessbestämmelser finns i 7 kap. 3 § OSL. I den bestämmelsen anges att om flera sekretessbestämmelser är tillämpliga på en uppgift hos en myndighet och en prövning i ett enskilt fall resulterar i att uppgiften inte är sekretessbelagd enligt en eller flera bestämmelser samtidigt som den är sekretessbelagd enligt en eller flera andra bestämmelser, ska de senare bestämmelserna ha företräde, om inte annat anges i denna lag.

I 11 kap. 8 § OSL finns ett undantag från denna huvudregel. Av den bestämmelsen framgår att de sekundära sekretessbestämmelserna som finns i 11 kap. 1–7 §§ OSL inte ska tillämpas på en uppgift när det finns en primär sekretessbestämmelse till skydd för samma intresse som är tillämplig hos den mottagande myndigheten. Detta gäller oavsett om den primära sekretessbestämmelsen ger ett starkare eller svagare skydd än den sekundära sekretessen. Även uttryckliga undantag från den primära sekretessbestämmelsens tillämpningsområde har företräde framför den överförda sekretessen (se prop. 2007/08:160 s. 165).

En sådan ordning har bland annat motiverats med att en primär sekretessbestämmelse normalt har utformats efter en avvägning av sekretessintresset och intresset av insyn hos just det organet eller i den verksamheten (jämför prop. 2007/08:160 s. 76).5

Om den primära och den sekundära sekretessbestämmelsen inte gäller till skydd för samma intresse är bestämmelsen i 11 kap. 8 § OSL inte tillämplig. Då ska i stället huvudregeln i 7 kap. 3 § OSL tillämpas.

Bestämmelsen i 11 kap. 8 § OSL är inte heller tillämplig vid konkurrens mellan de sekundära sekretessbestämmelserna i 11 kap. 1–7 §§ och de primära sekretessbestämmelser som finns i 21 kap. 1, 3, 3 a, 5 och 7 §§ OSL, det vill säga de bestämmelser som gäller som ett minimiskydd för enskildas personliga integritet inom hela den offentliga sektorn. Även i dessa fall ska i stället huvudregeln i 7 kap. 3 § OSL tillämpas.

8.3.2. Behandling i strid med dataskyddsregleringen

I kapitel 7 redogör utredningen för aktuella bestämmelser om dataskydd enligt EU:s dataskyddsförordning och lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen. Utredningen beskriver vidare bestämmelser i bland annat lagen (2003:460) om etikprövning av forskning som avser människor, förkortad EPL, se vidare kapitel 6

21 kap. OSL innehåller särskilda bestämmelser om sekretess till skydd för uppgift om enskilds personliga förhållanden oavsett i vilket sammanhang uppgiften förekommer. I det kapitlet finns en bestämmelse, 21 kap. 7 § OSL, som har direkt koppling till de ovan nämnda regelverken.

I bestämmelsen anges att sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen i den ursprungliga lydelsen, dataskyddslagen eller 6 § EPL (21 kap. 7 § första stycket OSL, vår kursivering). Bestämmelsen är utformad med ett så kallat rakt skaderekvisit, vilket innebär en presumtion för att uppgifter får lämnas ut.

Av förarbetena till dataskyddslagen framgår att vidare undersökningar av den kommande behandlingen får vidtas endast om det finns

5 Se även Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, kommentaren till 11 kap. 8 § OSL (Juno version 26).

konkreta omständigheter som indikerar att mottagaren kommer att behandla uppgifterna på ett sätt som strider mot dataskyddsregleringen. Finns det inga sådana indikationer behöver inte någon bedömning enligt dataskyddsregleringen göras (prop. 2017/18:105 s. 135).

8.3.3. Sekretess i verksamhet som avser hälso- och sjukvård med mera

I 25 kap. OSL finns särskilda bestämmelser om sekretess till skydd för enskild i verksamhet som avser hälso- och sjukvård med mera. Det kan dock vara värt att notera att även sekretessbestämmelser som finns i andra kapitel i OSL kan bli tillämpliga på uppgifter som finns inom hälso- och sjukvården. Exempelvis kan 35 kap. 1 § OSL, som bland annat innehåller bestämmelser om sekretess till skydd för enskildas intressen i förundersökning och annan brottsbekämpande verksamhet, bli tillämplig på uppgifter som finns inom hälso- och sjukvården. Ett annat exempel på sekretessbestämmelser som kan bli tillämpliga är 21 kap. 7 §, se avsnitt 8.3.2 (Behandling i strid med dataskyddsregleringen).

Verksamhet vid sjukhus och andra liknande inrättningar som drivs av enskilda, det vill säga privata vårdgivare, faller utanför OSL:s tillämplighet. Vad gäller dessa verksamheter finns det i stället bestämmelser om tystnadsplikt i PSL se avsnitt 8.4. (Tystnadsplikt för personal inom den enskilda hälso- och sjukvården).

Sekretess inom hälso- och sjukvården och annan medicinsk verksamhet

Sekretess gäller inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Bestämmelsen i 25 kap. 1 § första stycket OSL om sekretess i hälso- och sjukvården är alltså utformad med ett så kallat omvänt skaderekvisit, vilket innebär att presumtionen är att uppgifterna omfattas av sekretess. Sekretessen gäller också i annan medicinsk verksamhet, exempelvis rättsmedicinsk och rättspsykiatrisk undersökning, insemination, befruktning utanför kroppen, fastställande av könstillhörighet, abort, sterilisering, omskärelse och åtgärder

mot smittsamma sjukdomar (25 kap. 1 § första stycket OSL). Av bestämmelsens andra stycke framgår att det finns vissa undantag från denna huvudregel.

Med uttrycket hälso- och sjukvård förstås först och främst den öppna och slutna sjukvård som regleras i hälso- och sjukvårdslagen (2017:30), förkortad HSL. Hit hör också den förebyggande medicinska hälsovården, till exempel den som bedrivs vid mödra- och barnavårdscentralerna. Även tandvården hör till hälso- och sjukvården. Hälso- och sjukvård kan även utgöra inslag i annan förvaltning, till exempel inom skolväsendet eller socialtjänsten. Företagshälsovården i det allmännas verksamhet faller också under paragrafens tillämpningsområde.6

Med uttrycket annan medicinsk verksamhet avses verksamhet som inte primärt har vård- eller behandlingssyfte.7 I lagtexten ges exempel på sådana verksamheter.

Begreppet personliga förhållanden, som också inkluderar någons hälsotillstånd, ska tolkas utifrån vanligt språkbruk. Vitt skilda förhållanden omfattas, såsom adress, ekonomiska förhållanden och yttringar av ett psykiskt sjukdomstillstånd (se prop. 1979/80:2 Del A s. 84 och 168). Detta innebär att i stort sett alla personuppgifter som förekommer i hälso- och sjukvårdens verksamhet omfattas av sekretess.

Begreppet men har en mycket vid innebörd. I första hand avses att någon blir utsatt för andras missaktning om hans eller hennes personliga förhållanden blir kända. Redan den omständigheten att vissa personer känner till en, för någon enskild, känslig uppgift kan i många fall anses tillräckligt för att medföra men. Utgångspunkten för en bedömning av om men föreligger är den berörda personens egen upplevelse. Bedömningen måste dock i viss utsträckning kunna korrigeras på grundval av gängse värderingar i samhället. Begreppet men kan i vissa sammanhang även inbegripa ekonomiska konsekvenser för en enskild (se prop. 1979/80:2 Del A s. 83).

6 Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, kommentaren till 25 kap. 1 § OSL (Juno version 26). 7 Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, kommentaren till 25 kap. 1 § OSL (Juno version 26).

Sekretess för uppgifter som ingår i system med sammanhållen vård- och omsorgsdokumentation

Den 1 januari 2023 trädde lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation, förkortad SVOD, i kraft. Med sammanhållen vård- och omsorgsdokumentation avses ett elektroniskt system som gör det möjligt för en vårdgivare eller omsorgsgivare att ge eller få tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter hos andra vårdgivare eller omsorgsgivare (1 § SVOD). Regler om så kallad sammanhållen journalföring mellan vårdgivare fanns tidigare reglerat i 6 kap. PDL. Genom lagändringen har bestämmelser om elektroniskt utlämnande mellan vårdgivare samt mellan vårdgivare och omsorgsgivare samlats i en lag. För en närmare beskrivning av den nya lagen se kapitel 7.

När det gäller vårdgivare som får tillgång till uppgifter genom sammanhållen vård- och omsorgsdokumentation finns en särskild sekretessbestämmelse i 25 kap. 2 § OSL. I bestämmelsens första stycke anges att sekretess gäller hos en myndighet som bedriver verksamhet som avses i 1 §8 för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig av en annan vårdgivare eller omsorgsgivare enligt SVOD, om inte förutsättningarna enligt 3 kap. 1, 3, 5 eller 6 §§ samma lag för att myndigheten ska få behandla uppgiften är uppfyllda.

Om de villkor för behandling av uppgifter som uppställs i de angivna paragraferna inte är uppfyllda, gäller således så kallad absolut sekretess för uppgifterna. Absolut sekretess avser att en sekretessbestämmelse saknar skaderekvisit, det vill säga sekretess råder oavsett vilka följder ett röjande skulle få. Absolut sekretess medför således att någon skadeprövning inte ska göras. Myndigheten behöver därmed inte ta del av uppgifterna för att pröva sekretessfrågan. En begäran om att lämna ut uppgifterna kan därmed avslås med hänvisning till att begärda uppgifter inte förvaras hos myndigheten (prop. 2021/ 22:177 s. 228).

Om förutsättningarna i de angivna paragraferna för att den anslutna vårdgivaren ska få behandla uppgifterna är uppfyllda, eller om myndigheten har behandlat uppgifterna enligt nämnda bestämmelser tidigare, gäller däremot sekretess med ett omvänt skaderekvisit. Sekretess gäller då om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (25 kap. 2 §

8 Det vill säga hälso- och sjukvård eller annan medicinsk verksamhet.

andra stycket första meningen OSL). Av samma stycke andra meningen framgår vidare att det finns vissa undantag till det som anges i första meningen.

Sekretessbrytande bestämmelser

I 25 kap. 11 § OSL finns ett antal bestämmelser som bryter sekretessen i 1 §, det vill säga sekretessen inom hälso- och sjukvården och annan medicinsk verksamhet. Därtill kan de sekretessbrytande bestämmelser som finns i 10 kap. OSL bli tillämpliga, se avsnitt 8.3.1 (Allmänt om sekretess).

Av 25 kap. 11 § 1 och 2 OSL framgår att sekretessen enligt 1 § inte hindrar att uppgift lämnas från myndighet som bedriver verksamhet som avses i den paragrafen till en annan sådan myndighet i samma kommun eller region. Företag där kommuner eller regioner utövar ett rättsligt bestämmande inflytande ska jämställas med myndigheter i detta sammanhang (se 2 kap. 3 § första stycket OSL). Bestämmelsen gör det möjligt för kommuner och regioner att fritt välja sin organisation utan hänsyn till att sekretess i princip råder mellan myndigheter. Även om ingen sekretess gäller mellan hälso- och sjukvårdsmyndigheter i samma kommun eller region kan bestämmelsen i 5 kap. 1 § 3 HSL om att vården ska bygga på respekt för patientens självbestämmande innebära att vissa uppgifter inte ska lämnas ut. I den mån uppgifterna behandlas enligt PDL träder även skyddsreglerna i den lagen och EU:s dataskyddsförordning in.9 För en närmare beskrivning av dessa regelverk, se kapitel 5 (Hälso- och sjukvård) och kapitel 7 (Dataskydd).

Av 25 kap. 11 § 3 framgår att sekretessen enligt 1 § inte hindrar att uppgift lämnas till en myndighet som bedriver verksamhet som avses i den paragrafen, 26 kap. 1 §10 OSL eller en enskild vårdgivare eller omsorgsgivare enligt det som föreskrivs i lagen om sammanhållen vård- och omsorgsdokumentation. Även i detta sammanhang ska företag där kommuner eller regioner utövar ett rättsligt bestämmande inflytande jämställas med myndigheter. I 25 kap. 2 § OSL regleras vilken sekretess som gäller hos den myndighet som får tillgång till uppgifterna, se ovan.

9 Se Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, kommentaren till 25 kap. 11 § OSL (Juno version 26). 10 Det vill säga socialtjänst och därmed jämställd verksamhet.

Av bestämmelsens femte punkt framgår att sekretessen enligt 1 § inte hindrar att uppgift lämnas från en myndighet som bedriver verksamhet som avses i den paragrafen inom en kommun eller en region till annan sådan myndighet för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs. Bestämmelsen är utformad med ett rakt skaderekvisit, vilket innebär en presumtion för att uppgifter får lämnas ut. Som framgår av ordalydelsen är bestämmelsen endast tillämplig när uppgift lämnas till en myndighet som bedriver hälso- och sjukvård eller annan medicinsk verksamhet. När uppgift lämnas till exempelvis ett lärosäte i egenskap av forskningshuvudman är det i stället 25 kap. 1 § OSL som ska tillämpas, se ovan. Som framgår av avsnitt 8.3.1 (Allmänt om sekretess) finns det en bestämmelse om överföring av sekretess när en myndighet i sin forskningsverksamhet får en sekretessreglerad uppgift från en annan myndighet (11 kap. 3 § OSL).

Rätten att meddela och offentliggöra uppgifter

Av 25 kap. 18 § andra stycket OSL framgår att den tystnadsplikt som följer av 1 och 2 §§ inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställigheten av beslut om omhändertagande eller beslut om vård utan samtycke. Rätten att meddela och offentliggöra sådana uppgifter som omfattas av sekretess enligt dessa bestämmelser är alltså mycket starkt begränsad.

8.3.4. Sekretess inom forskning

Det finns ingen sekretessbestämmelse som generellt reglerar sekretessen till skydd för enskilds personliga och ekonomiska förhållanden inom forskningsverksamhet. I stället finns det flera sekretessbestämmelser som kan aktualiseras och bli tillämpliga. Vidare blir indelningen mellan primära och sekundära sekretessbestämmelser central när det gäller forskningsverksamhet. När det gäller forskning som bedrivs inom en hälso- och sjukvårdsmyndighet är det även nödvändigt att skilja på sådan forskning som sker som ett led i vården och behandlingen av en patient, och annan forskning som bedrivs som en självständig verksamhetsgren. Nedan följer en beskrivning av ett antal

sekretessbestämmelser som kan bli aktuella på uppgifter som finns där forskningen bedrivs efter att uppgifterna har tillgängliggjorts genom utredningens författningsförslag.

Primära sekretessbestämmelser

Behandling i strid med dataskyddsregleringen

I avsnitt 8.3.2 (Behandling i strid med dataskyddsregleringen) finns en beskrivning av bestämmelsen i 21 kap. 7 § OSL. Bestämmelsen kan få betydelse om uppgifter i forskningsverksamhet begärs ut.

Sekretess till skydd för enskild inom forskning och statistik

I 24 kap. OSL finns vissa bestämmelser som särskilt reglerar sekretess till skydd för enskild inom forskning och statistik.

Enligt 24 kap. 1 § OSL gäller sekretess för uppgift som hänför sig till psykologisk undersökning som utförs för forskningsändamål, om det inte står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon närstående till denne lider men. Ett omvänt skaderekvisit gäller, det vill säga det råder en presumtion för sekretess.

I 24 kap. 8 § OSL regleras den så kallande statistiksekretessen. Enligt bestämmelsens första stycke gäller sekretess i sådan särskild verksamhet hos en myndighet som avser framställande av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Sekretessen är absolut. Detta stycke blir normalt inte tillämpligt på uppgifter som finns hos en region eller ett lärosäte som bedriver forskning. Detta beror bland annat på att denna verksamhet generellt inte har statistikframställning som sitt huvudsakliga syfte (se prop. 2013/14:162 s. 9).

Enligt bestämmelsens andra stycke gäller dock en motsvarande sekretess i annan jämförbar undersökning som utförs av myndigheter som nämns i bestämmelsen eller av någon annan myndighet i den utsträckning regeringen meddelar föreskrifter om det. I 7 § offentlighets- och sekretessförordningen (2009:641), förkortad OSF, finns en uppräkning av de myndigheter och undersökningar som berörs, liksom vilka uppgifter som omfattas av sekretessen. Där framgår bland annat att sekretessen enligt 24 kap. 8 § OSL också gäller uppgifter om enskil-

das personliga förhållanden hos sjukvårdsinrättningar, utbildningsanstalter och forskningsinrättningar i miljömedicinska, socialmedicinska, psykiatriska eller andra medicinska studier och hos utbildningsanstalter och forskningsinrättningar för undersökningar i sociologiska, psykologiska, pedagogiska eller andra beteendevetenskapliga eller samhällsvetenskapliga studier.

Vad avser begreppet annan jämförbar undersökning anförs i förarbetena till bestämmelsen att undersökningar med hjälp av statistiska metoder genomförs inom en rad myndigheters verksamheter. Vissa sådana undersökningar omfattas av statistiksekretess trots att de genomförs utanför en särskild verksamhet för framställning av statistik. En skillnad jämfört med sekretessen i särskild statistikverksamhet är att sekretessens räckvidd inte gäller i hela verksamheten utan är begränsad till sådana uppgifter som kan hänföras till undersökningen (prop. 2013/14:162 s. 10).

Är bestämmelsen i 24 kap. 8 § andra stycket tillämplig gäller således absolut sekretess även för uppgifterna hänförliga till sådan jämförbar verksamhet.

Det finns emellertid vissa undantag från den absoluta sekretessen i 24 kap. 8 § första och andra stycket OSL. Ett av dessa handlar om uppgifter som behövs för forsknings- eller statistikändamål. Ett annat undantag omfattar uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde. I dessa undantagsfall får uppgifter lämnas ut, om det står klart att dessa kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men (se 24 kap. 8 § tredje stycket OSL). Bestämmelsen är utformad med ett så kallat omvänt skaderekvisit, vilket innebär att presumtionen är att uppgifterna omfattas av sekretess.

Rätten att meddela och offentliggöra uppgifter

Av 24 kap. 9 § OSL framgår att den tystnadsplikt som följer av 8 § samma kapitel inskränker rätten att meddela och offentliggöra uppgifter.

Forskning som ett led i vården och behandlingen av en patient

Som framgår av avsnitt 8.3.1 (Allmänt om sekretess) anses forskning som bedrivs som ett led i vården och behandlingen av en patient ingå i en myndighets hälso- och sjukvårdsverksamhet. Detta till skillnad från forskning där dokumentation enbart sker i forskningssyfte och där forskningen inte har någon betydelse för vården. Sådan forskning betraktas i regel som en självständig verksamhetsgren.

När det gäller forskning som bedrivs som ett led i vården och behandlingen av en patient omfattas denna forskning av hälso- och sjukvårdssekretessen (prop. 2007/08:126 s. 202). Bestämmelsen i 25 kap. 1 § OSL blir alltså tillämplig som primär sekretessbestämmelse i sådana fall. En beskrivning av denna bestämmelse finns i avsnitt 8.3.3 (Sekretess i verksamhet som avser hälso- och sjukvård med mera).

Som framgår i avsnitt 8.3.1 (Allmänt om sekretess) är det inte helt enkelt att dra gränsen mellan forskning som bedrivs som ett led i vården och behandlingen av en patient och sådan forskning som sker som en självständig verksamhetsgren.

8.3.5. Överföring av sekretess i forskningsverksamhet

Som framgår av avsnitt 8.3.1 (Allmänt om sekretess) finns en bestämmelse om överföring av sekretess som anger att om en myndighet i sin forskningsverksamhet får en sekretessreglerad uppgift från en annan myndighet, blir sekretessbestämmelsen tillämplig på uppgiften även hos den mottagande myndigheten. Detta gäller dock inte avseende uppgifter som ingår i ett beslut hos den mottagande myndigheten (se 11 kap. 3 § OSL).

Bestämmelsen om överföring av sekretess blir tillämplig i de fall det inte finns någon primär sekretessbestämmelse hos den mottagande myndigheten som är tillämplig på uppgifterna som behandlas i forskningsverksamheten. Sekretessen överförs alltså i det fall uppgifterna lämnas till en myndighets forskningsverksamhet under förutsättning att uppgifterna inte redan omfattas av en primär sekretessbestämmelse till skydd för samma intresse hos den mottagande myndigheten. Detta framgår av 11 kap. 8 § OSL som reglerar konkurrens mellan primära och sekundära sekretessbestämmelser, se avsnitt 8.3.1 (Allmänt om sekretess).

I avsaknad av en primär sekretessbestämmelse innebär 11 kap. 3 § OSL bland annat att den sekretess med omvänt skaderekvisit som gäller enligt 25 kap. 1 § OSL överförs från en utlämnande myndighet till en mottagande myndighet. Detta får betydelse inom forskningen eftersom en viktig källa för forskare, främst på det medicinska området, är personuppgifter som hämtas från hälso- och sjukvården. Sådana uppgifter skyddas av hälso- och sjukvårdssekretess i 25 kap. 1 § OSL.

8.4. Tystnadsplikt för personal inom den enskilda hälso- och sjukvården

Som framgår ovan omfattas inte personal inom den enskilda hälso- och sjukvården, det vill säga privata vårdgivare, av bestämmelserna i OSL. För den enskilda hälso- och sjukvården gäller i stället bestämmelser om tystnadsplikt i 6 kap. 12–14 och 16 §§ PSL. Där anges bland annat att den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen får röja vad han eller hon i sin verksamhet har fått veta om en persons hälsotillstånd eller andra personliga förhållanden (6 kap. 12 § PSL). Inte heller den som, utan att höra till hälso- och sjukvårdspersonalen, till följd av anställning eller uppdrag eller på annan liknande grund deltar eller har deltagit inom den enskilda hälso- och sjukvård får obehörigen röja vad han eller hon därvid fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden (6 kap. 16 § PSL). Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning.

Vid tolkningen av obehörighetsrekvisitet har det ansetts naturligt att söka viss ledning i skaderekvisitet som finns i OSL:s motsvarande bestämmelse. Därigenom nås en i sak nära överensstämmelse mellan tystnadsplikten för personal inom den offentliga hälso- och sjukvården och tystnadsplikten för personal inom den enskilda hälso- och sjukvården (jämför prop. 1981/82:186, s. 26).

8.5. Brott mot tystnadsplikten

Röjande eller olovligen utnyttjande av en uppgift, som någon är pliktig att hemlighålla enligt lag eller annan författning eller enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning, är straffsanktionerat som brott mot tystnadsplikt. För straffansvar krävs att gärningen begåtts med uppsåt eller av oaktsamhet och att det inte rör sig om ringa fall av oaktsamhetsbrott (se 20 kap. 3 § brottsbalken).

Straffbestämmelsen avser både sådan tystnadsplikt som gäller i offentlig verksamhet enligt OSL och sådan tystnadsplikt som gäller i enskild verksamhet enligt andra författningar, exempelvis PSL. Exempel på förbehåll som har meddelats med stöd av lag är sådana förbehåll som görs med stöd av 10 kap. 14 § OSL.

9. Övrig lagstiftning

9.1. Inledning

Utredningen redogör i kapitel 5–8 för gällande rätt avseende områdena Hälso- och sjukvård (kapitel 5), Forskning (kapitel 6), Dataskydd (kapitel 7) och Offentlighet, sekretess och tystnadsplikt (kapitel 8). Utöver de regelverk som faller under dessa teman, har utredningen identifierat två ytterligare regelverk som är relevanta för betänkandet. Dessa regelverk redogörs för nedan.

9.2. Dataförvaltningsförordningen

Bestämmelserna i Europaparlamentet och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltningsförordning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten), förkortad dataförvaltningsförordningen, började tillämpas den 24 september 2023. Dataförvaltningsförordningen omfattar villkor för vidareutnyttjande av vissa typer av skyddade data från offentliga myndigheter, en ram för anmälan av och tillsyn över tillhandahållande av dataförmedlartjänster, ett ramverk för frivillig registrering av och tillsyn över dataaltruismorganisationer samt inrättande av en europeisk datainnovationsstyrelse. Dataförvaltningsförordningen är en del av genomförandet av EU:s datastrategi.

Bakgrund och kopplingen till datalagen

Reglerna om tillgängliggörande av skyddade data för vidareutnyttjande i dataförvaltningsförordningen har en stark koppling till det tidigare genomförda öppna data-direktivet. Öppna data-direktivet hade som

syfte att säkerställa att myndigheter gör en större del av de data de producerar lätt tillgängliga för användning och vidareutnyttjande.

Av olika skäl har vissa kategorier av data, såsom data som rör affärshemligheter, insynsskyddade statistiska data och data som skyddas av tredje parts immateriella rättigheter inbegripet personuppgifter, inte tillgängliggjorts i den utsträckning som är möjligt enligt unionsrätten (Ds 2023:24 Genomförande av EU:s dataförvaltningsförordning s. 74 f.).

Öppna data-direktivet har i Sverige primärt införlivats i svensk rätt genom inrättandet av en ny lag, lagen (2022:818) om den offentliga sektorns tillgängliggörande av data, förkortad datalagen, som trädde i kraft i 1 augusti 2022.

Datalagen syftar till att främja den offentliga sektorns tillgängliggörande av data för vidareutnyttjande, särskilt i form av öppna data, under förutsättning att krav på informationssäkerhet och skydd av personuppgifter kan upprätthållas och att det inte innebär risker för Sveriges säkerhet (1 kap. 1 §). Enligt 1 kap. 2 § ska datalagen inte påverka bestämmelser som styr tillgången till data enligt nationell- eller unionsrätt. Inte heller ska den påverka tillämpningen av bestämmelser i annan lag eller förordning om skyddet för personuppgifter. Av 1 kap. 3 § kan utläsas att för det fall det föreskrivs strängare krav för ett tillgängliggörande i annan författning ska de kraven gälla, i annat fall gäller det som sägs i datalagen. Anledningen är att öppna-data direktivet ansågs vara av minimi-karaktär (jämför prop. 2021/22:225 s. 23).

Sammanfattningsvis kan det konstateras att datalagen varken ger en mer vidsträckt rätt för någon att få tillgång till data än vad som följer av någon annan författning, eller begränsar en sådan rätt till data som regleras i annan lag eller förordning (prop. 2021/22:225 s. 22 f.).

I kapitel II dataförvaltningsförordningen finns villkor och ramar för vidareutnyttjande av skyddade data som innehas av offentliga myndigheter. Kapitlet kan ses som en vidareutveckling gällande det rättsliga ramverket för att kunna tillgängliggöra offentligt producerade data för vidareutnyttjande. Detta eftersom dataförvaltningsförordningen omfattar villkor för vidareutnyttjande från offentliga myndigheter av vissa typer av just sådana typer av skyddade data som öppna datadirektivet, och även datalagen, inte omfattar. I förarbetena till datalagen anges att sådana data som är undantagna lagens tillämpningsområde i allmänhet är av den arten att de är nära knutna till en viss person och som alltså inte skulle tillhandahållas någon annan, främst för att

datan innehåller integritetskänsliga personuppgifter eller omfattas av sekretess. Syftet med undantaget är att minimera risken för att data av känslig karaktär tillgängliggörs för vidareutnyttjande (jämför 1 kap. 9 § och prop. 2021/22:225 s. 32).

Närmare om regleringen i dataförvaltningsförordningens kapitel II

I kapitel II dataförvaltningsförordningen, regleras vidareutnyttjande av vissa kategorier av skyddade data som innehas av offentliga myndigheter. Kapitlet ger inte en ny dataskyddsrättslig grund för att dela skyddade data. Inte heller innebär det skyldigheter att tillgängliggöra sådana data. I stället införs villkor för hur ett sådant tillgängliggörande får se ut i de fall sådana data kan tillgängliggöras för vidareutnyttjande enligt befintliga regler.

Vad som avses med vidareutnyttjande

Med vidareutnyttjande i dataförvaltningsförordningen avses fysiska eller juridiska personers användning av data som innehas av offentliga myndigheter för andra ändamål än de ursprungliga ändamålen inom den offentliga verksamheten (artikel 2.2)1.

Vilka omfattas av regleringen

Bestämmelserna i kapitel II dataförvaltningsförordningen är tillämpliga på offentliga myndigheter (artikel 3.1 dataförvaltningsförordningen). Med offentliga myndigheter avses enligt artikel 2.18 statliga, regionala eller lokala myndigheter och offentligrättsliga organ, eller sammanslutningar av en eller flera sådana myndigheter eller offentligrättsliga organ. Offentligrättsliga organ är juridiska personer som har inrättats för att tillgodose behov av allmänt intresse och som till största del finansieras av statliga, regionala eller kommunala myndigheter, eller står under administrativ tillsyn av myndigheter eller av ett kontrollorgan som till mer än hälften utses av sådana myndigheter, artikel 2.19.

Bestämmelserna ska i enlighet med artikel 3.2 inte tillämpas på offentliga företag, public service-bolag, kulturinstitutioner och utbild-

1 I avsnitt 2.6 redogörs för valet av begreppet vidareanvändning i betänkandet.

ningsinstitutioner. Med offentliga företag avses enligt definitionen i artikel 2.19 dataförvaltningsförordningen företag som offentliga myndigheter har ett direkt eller indirekt bestämmande inflytande över.

Kort om villkoren som kan ställas för vidareutnyttjande

I artikel 5 regleras vilka villkor som får ställas upp när offentliga myndigheter tillgängliggör de särskilda kategorierna av skyddade data för vidareutnyttjande. Villkoren ska vara icke-diskriminerande, transparenta, proportionerliga och objektivt motiverade med hänsyn till kategorierna av data, vidareutnyttjandets syfte och typerna av data. Villkoren får inte begränsa konkurrensen. Villkoren för vidareutnyttjande ska offentliggöras via den gemensamma informationspunkt som ska inrättas enligt artikel 8.

De krav som kan föreskrivas av offentliga myndigheter omfattar olika skyddsåtgärder för att upprätthålla datans aktuella skydd. Det avser bland annat anonymisering av personuppgifter, ändringar av uppgifter innehållande affärshemligheter eller immateriella rättigheter, att tillgång till och vidareutnyttjande ska ske i en säker behandlingsmiljö som tillhandahålls och kontrolleras av myndigheten eller att tillgång till och vidareutnyttjande av data i vissa fall ska ske i bestämda fysiska lokaler där den säkra behandlingsmiljön är belägen.

Dataförvaltningsförordningen påverkar inte nationella bestämmelser om sekretess, inte heller sådan sekretess som avser de kategorier av skyddade data som kapitel II tar sikte på. Det innebär att vissa bestämmelser i offentlighets- och sekretesslagen (2009:400), förkortad OSL, som till exempel statistiksekretess och affärssekretess samt dataskyddssekretess i 21 kap. 7 § OSL inte påverkas, utan ska tillämpas på samma sätt som i dag även efter att dataförvaltningsförordningen börjat tillämpas.

I skäl 7 beskrivs olika tekniker som kan användas för att skydda eller ta bort personuppgifter ur en datamängd såsom exempelvis generalisering, undertryckande och randomisering (för beskrivning av dessa begrepp se även kapitel 3). Om en myndighet skulle bearbeta känsliga uppgifter med någon av dessa metoder så skulle resultatet av bearbetningen sannolikt anses vara en ny handling skild från handlingen med de känsliga uppgifterna i obearbetad form.

De moderna metoder som avses i dataförvaltningsförordningen skiljer sig från traditionell maskning enligt svensk sekretesslagstiftning

där det vanligen är den handling där de känsliga uppgifterna ursprungligen finns i som blir föremål för utlämnande. Bearbetningen, det vill säga användandet av nämnda metoder, torde aldrig kunna ses som sådana rutinbetonade åtgärder som avses i 2 kap. 6 § andra stycket tryckfrihetsförordningen. Någon skyldighet att använda metoderna och i praktiken framställa nya handlingar eller data som kan göras tillgänglig för vidareutnyttjande finns inte, varken i dataförvaltningsförordningen eller i svensk rätt (Ds 2023:24 Genomförande av EU:s dataförvaltningsförordning s. 85).

9.3. Nationell lagstiftning om bevarande och gallring

Svenska myndigheter, kommunala företag och vissa andra organ är enligt arkivlagen (1990:782) skyldiga att bevara sina allmänna handlingar. Myndighetens arkiv bildas av allmänna handlingar från myndighetens verksamhet och sådana handlingar som avses i 2 kap. 12 § tryckfrihetsförordningen och som myndigheten beslutar ska tas om hand för arkivering. Myndigheternas arkiv är en del av det nationella kulturarvet. Arkiven ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov (3 § arkivlagen).

I förarbetena till dataskyddslagen har regeringen uttalat att det står klart att behandling av personuppgifter som utförs för att uppfylla de krav som ställs i arkivlagen och anslutande föreskrifter måste anses ske för arkivändamål av allmänt intresse. Den behandling av personuppgifter som myndigheter och andra utför när de i enlighet med föreskrifter om arkiv arkiverar sina handlingar utgör således en vidarebehandling som sker för arkivändamål av allmänt intresse. Behandlingen i arkiv ska enligt artikel 5.1 b i dataskyddsförordningen inte anses som oförenlig med de ursprungliga ändamålen. Det krävs då inte någon annan rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs (se skäl 50 till dataskyddsförordningen och prop. 2017/18:105 s. 110 f.)

Myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser 1) rätten att ta del av allmänna handlingar, 2) behovet av information för rättskipningen och förvaltningen, och 3) forskningens behov (3 § tredje stycket arkivlagen). Utgångspunkten enligt

arkivlagen är alltså att allmänna handlingar ska bevaras för framtiden (detta kallas ibland evig bevarandetid). Av 10 § arkivlagen följer dock att allmänna handlingar får gallras. Med gallring avses att handlingar sorteras ut och förstörs. Vid gallring från upptagningar för automatisk databehandling raderas information från det fysiska underlaget. Att föreskriven gallring sker är viktigt både av integritetsskäl och av ekonomiska skäl. Gallring på den statliga sidan sker med stöd av föreskrifter eller särskilda beslut av Riksarkivet. Gallringsföreskrifter för kommunala eller regionala myndigheter meddelas i allmänhet av kommunerna eller regionerna själva2.

I förarbetena till arkivlagen anges att gallringen utgör en praktisk nödvändighet. Utan den skulle arkivmaterialet växa i en omfattning som vore ohanterlig, utan att det skulle medföra några fördelar från insyns- eller informationssynpunkt. Tvärtom skulle arkiven bli mer svårhanterliga. Gallringen syftar till att arkiven inte ska tyngas av handlingar som saknar påtagligt informationsvärde, som bara utgör en dubblering av information som bättre kan sökas i ett annat arkiv eller som har ett informationsvärde som är markant begränsat i tiden. Vid gallring ska alltid beaktas att arkiven utgör en del av kulturarvet. Det arkivmaterial som återstår ska kunna tillgodose de ändamål som anges i 3 § tredje stycket arkivlagen. Även efter en genomförd gallring måste arkiven kunna tillgodose rätten att ta del av allmänna handlingar, rättskipningens och förvaltningens behov och forskningens behov (se prop. 1989/90:72 s. 42).

Det är den arkivbildande myndigheten som verkställer föreskriven gallring i arkivet (6 § arkivlagen). Av 8 § andra stycket arkivlagen framgår att kommunstyrelsen är arkivmyndighet i kommunen och regionstyrelsen i regionen, om inte kommunfullmäktige eller regionfullmäktige har utsett någon annan nämnd eller styrelse till arkivmyndighet.

Huvudregeln är alltså att allmänna handlingar ska bevaras i myndigheternas arkiv med en evig bevarandetid. Gallring får dock under vissa förutsättningar ske. Avvikande gallringsbestämmelser i lag eller förordning tar över arkivlagens regler om bevarande och gallring (10 § tredje stycket arkivlagen). Särskilda gallringsregler finns till exempel i de registerlagar som reglerar personregister på integritetskänsliga områden.3

2 Adlercreutz, Arkivlag (1990:782) 10 §, Karnov (JUNO)(besökt 2023-09-14). 3 Adlercreutz, Arkivlag (1990:782) 10 §, Karnov (JUNO)(besökt 2023-09-14).

ANALYS, ÖVERVÄGANDEN

OCH FÖRSLAG

10. Internationell jämförelse

10.1. Inledning

I detta kapitel har utredningen fokuserat på en internationell utblick. Syftet har varit att försöka väga Sveriges situation och nivå mot andra jämförbara länder på hälsodataområdet. Utredningen har även försökt ringa in vad Sverige kan lära sig av andra länder. Utredningen har i jämförelsen tittat närmare på automatiserad databehandling, nationellt tillgängliga medborgartjänster, teknisk och semantisk interopabilitet, samt nationell digital infrastruktur.

Eftersom området är så pass stort och komplext finns det många dimensioner och perspektiv där ett land kan vara bättre eller sämre i relation till ett annat. Samtidigt finns många faktorer som samvarierar och påverkar varandra, vilket gör att det är svårt att jämföra hela eller enskilda delar av hälsodataområdet. Utredningen har dock försökt att i så stor mån det är möjligt att fokusera på insatser som andra länder gjort och sätta det i en kontext för att på så vis försöka kunna estimera hur lång tid det skulle ta för Sverige att uppnå ett liknande resultat, givet den svenska kontexten. För att göra detta har utredningen försökt kvantifiera i år som Sverige ligger efter föregångsländerna, syftet med det är att försöka konkretisera insatserna som behöver göras framgent i ett policycykelperspektiv. Utredningen vill poängtera att bedömningarna i detta kapitel endast är uppskattningar från utredningens håll och vill understryka att det är svårt att göra jämförelser mellan länder på ett så pass stort och vagt definierat område som hälsodataområdet är.

10.2. Allmänna utgångspunkter

Sverige ser sig och har historiskt sett sig som ett land med god tillgång till hälsodata. Utredningens bedömning är att det är svårt att använda ett eller ett fåtal mått för att avgöra om ett land kan klassas som i framkant vad gäller tillgång till och användning av hälsodata. Flera mätningar, så som indexet för digital ekonomi och digitalt samhälle (DESI) är oftast generella och fokuserade på historiskt viktiga indikatorer, eller indikatorer som kanske är viktiga för länder som inte kommit så långt i sin digitala utveckling. Ett exempel på en sådan indikator är andelen kvinnor respektive män som använder internet. I Sverige är andelen som använder internet 95 procent bland både kvinnor och män1och det finns inget som tyder på att det kommer ändras framöver.

Ett mer informativt mått skulle kunna vara hur många personer under 18 år som kan programmera. Ett annat skulle kunna vara vilka länder som har handlingsplaner för att möt de behov av färdigheter som kommer av omställningen till en datadriven ekonomi. Av denna anledning är det svårt att göra en mer kvantifierbar jämförelse mellan olika länder och det är svårt att bedöma hur Sverige står sig gentemot andra länder.

Om två eller flera olika länder ska jämföras så är det också viktigt att fastställa om det som jämförs är hur situationen ser ut just nu eller om det är prognosen över utvecklingen som jämförs. Utredningens bedömning är att det finns ett antal rapporter som belyst nuläget men att nuläget inte är så intressant ur ett policyperspektiv. Enligt utredningen är det viktigare att försöka förstå hur Sverige kommer ligga till i framtiden inom användning av hälsodata, jämfört med andra länder.

Det finns olika sätt att gå till väga för att studera framtiden. En metod är genom att göra prognoser. Det finns en mängd olika sätt att göra prognoser på och utredningen kommer inte gå in i detalj på det. I korthet kan dock sägas att ofta baseras en prognos på historiska data och trender. Prognoser kan även kompletteras med exempelvis kvalificerade gissningar gällande större förändringar i framtiden som prognosmakaren bedömer kommer påverka utfallet. Förslaget till EHDS är ett sådant exempel på en händelse som sannolikt kommer ske i framtiden och som förhoppningsvis kommer ha en positiv effekt

1 Europeiska kommissionen, 2021, Women in Digital Scoreboard 2021.

på trenden för användning av hälsodata, både inom och över landsgränser, oaktat de olika medlemsländernas tidigare situation.

En annan metod är backcasting. Backcasting kan beskrivas som en ansats eller en metod inom framtidsstudiefältet där man vänder på perspektiven, i stället för att utgå från nuet och sedan analysera framtiden, utgår man från hur det skulle kunna vara i framtiden för att öka förståelse för hur beslut i nuet skulle kunna påverka framtiden.2

Utredningen bedömer att det inte finns några sammanställda data av hög kvalitet som på ett tillförlitligt och tillfredsställande sätt kan beskriva vare sig nuläget eller trenden inom hälsodataområdet. Därmed bedömer utredningen att det behövs både en prognos för att beräkna tidshorisonten och en backcasting för att analysera vad som kan komma att behöva göras för att Sverige ska kunna nå målbilden som EU-kommissionen pekat ut.

Utredningen bedömer också att hälsodataområdet är ett så kallat komplext system, vilket gör att det sannolikt inte kommer finnas uppdaterade och relevanta data som kan beskriva komplexiteten på hälsodataområdet, åtminstone inte i vår direkta närtid. Det här talar ytterligare för att det inte är lönt att utredningen själv försöker sammanställa sådan data utan i stället försöka resonera kring vilka de övergripande utmaningarna är och vilka de kritiska besluten kommer vara för att Sverige ska kunna rankas högt inom hälsodataområdet. En hög rankning i sig självt är inget självändamål, däremot finns det en risk kopplat till att medborgare upplever att den offentligt finansierade vården inte kan hantera data på samma sätt som övriga samhället och därmed inte dra nytta av fördelarna med dataanvändning.

10.3. Bedömning av Sveriges position i förhållande till relevanta jämförelseländer

En prognos om hur många år Sverige ligger efter andra länder som ligger i framkant är endast en grov uppskattning från utredningens håll. Det finns inget facit för den här typen av bedömning utan är endast avsett att ge en indikation och ungefärlig uppskattning som ska kunna sättas i förhållande till vad som kan vara rimligt att åstadkomma under en mandatperiod.

2 Alm, S., Palme, J., & Westholm, E. 2012. Att utforska framtiden: valda perspektiv. Dialogos Förlag.

Estimeringen kan göras på olika sätt, men utredningen har valt att göra enligt följande.

Utredningen gjorde bedömningen ett år innan betänkandet publicerades, om inga åtgärder gjorts mellan det att utredningen gjorde sin bedömning och publicering så lägger detta till ett år till estimatet. Intervallet för denna del är 0–1 år.

Från det att problemet blir känt för regeringen så tar det olika lång tid för regeringen att agera på informationen, vilket beror på en rad olika faktorer. Men generellt kan sägas att om ändringen är av sådan typ av den kräver lagändring så görs detta två gånger om året och föregås av beslutsprocess. Därav skulle ett initiativ som kräver lagändring ta, från identifierat problem till det att direktiven är beslutade innebära cirka 0,5–1 år. Det går att göra snabbare, men utredningen har ingen anledning att tro att hälsodatafrågorna skulle vara så akuta så att de togs utanför ordinarie processer. Till detta tillkommer själva utredningstiden på 1–2 år. Därefter påbörjas lagstiftningsprocessen i Regeringskansliet. Hur lång tid denna tar beror på en rad olika faktorer, men utredningen har valt att anta att det tar 1–2 år från att betänkandet levereras till dess att propositionen läggs fram för riksdagen. Beroende på vad det är för förslag så tillkommer olika lång ikraftträdandetid. Eftersom flera av förslagen på hälsodataområdet rör kommunsektorn och exempelvis deras journalsystem så krävs ofta i alla fall ett år. Sammantaget blir då lagstiftningsprocessen 3,5–6 år från initiativ till dess att lagen träder ikraft.

Om initiativet kräver reformmedel, vilket är fallet för hälsodataområdet, behöver det beslutas om i budgetpropositionen. Även här skulle det kunna beslutas i höst- och vårändringsbudgeten, men utredningen har även här ingen anledning att tro att hälsodatafrågorna skulle vara så akuta att de beslutades om medel rörande hälsodata i ändringsbudgetarna. Beroende på när problemet blir känt för regeringen så tar det upp emot ett år till nästa budgetproposition. Intervallet här blir därmed 0,5–1 år.

Ett problem med hälsodataområdet är att det är väldigt komplext, har många ömsesidiga beroenden och kräver infrastruktursatsningar, som inte sällan tar lång tid och är kostsamma (se exempelvis SOU 2021:71).

Ett annat verktyg som regeringen har är myndighetsstyrningen och ett myndighetsuppdrag kan tas fram på några få veckor och uppdragstiden kan variera men är ofta runt ett år.

En utmaning på hälsodataområdet är att det inte sällan krävs utredning antingen i form av ett myndighetsuppdrag eller en statlig utredning. Därefter krävs det reformmedel och att infrastruktur byggs. Utredningen anser att det inte är orimligt att anta att det i samband med det uppdagas nya behov av lagstiftning eller att det i vissa fall inte går att lagstifta om något innan infrastrukturen är byggd. Exempelvis kan utredningen inte lämna författningsförslag för datahubben eftersom en sådan inte finns. Detta gör att det först kommer krävas utredning, vilken kan ta 3,5–6 år, följt av beslut av budgetproposition och myndighetsuppdrag, vilket då tar ytterligare 1–1,5 år. Följt av ytterligare ett lagstiftningsärende på 3,5–6 år. Utredningens bedömning är dock att vissa saker går att göra parallellt åtminstone delar av tiden och bedömer inte att spannet blir 8–13,5 år, samtidigt är det inte så mycket som går att göra parallellt. Utredningen bedömer att det därför krävs cirka 4,5–7 år bara för att ta fram något som liknar exempelvis Findata (se avsnitt 10.4) eller den franska datahubben (se avsnitt 10.3.11). Eftersom det enligt utredningens bedömning kommer krävas åtminstone två på varandra följande lagstiftningsärenden.

Att studera framtiden innebär av naturliga skäl att det finns en stor grad av osäkerhet. Exempelvis är det svårt för utredningen att bedöma på vilket sätt Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om ett europeiskt hälsodataområde COM(2022) 197 final av den 3 maj 2022, förkortad förslaget till EHDS, kommer att påverka estimeringen. Därutöver tillkommer politiska prioriteringar, prioriteras frågorna högt kan det gå snabbare, prioriteras de lågt kan det ta längre tid.

Utredningen har valt att utgå ifrån länder som på ett eller annat sätt sticker ut och har lyckats ta fram system, lösningar eller modeller som skapar nytta med hjälp av hälsodata eller som underlättar vidareanvändande av hälsodata. Fokus kommer ligga på europeiska länder eller andra länder som på annat sätt bedömts vara jämförbara med Sverige. Utredningen har valt ut ett antal rapporter från större internationella aktörer så som OECD och EU-kommissionen, relevanta myndighetsrapporter samt gjort egna bedömningar.

10.3.1. OECD

Under 2021 publicerade OECD en undersökning hur infrastrukturen och styrningen för hälsodata såg ut i de olika länderna.3 Undersökningen fokuserar primärt på två utfallsmått, det ena är tillgång till data, det andra är styrningsmodell. På tillgång till data fick Sverige ett betyg på 6,84 av 8 möjliga, att jämföras med medelvärdet som ligger på 5,41 och där Danmark, som fått högst poäng ligger på 7,77. Utredningen bedömer att resultaten i denna jämförelse ska tolkas med försiktighet, då denna bedömning baseras på ländernas tillgång på data gällande diabetes och hjärt- och kärlsjukdomar och därav inte representerar datatillgången i allmänhet. De två kvalitetsregistren som har data över diabetes och hjärt- och kärlsjukdomar kan anses vara bland de mest utvecklade kvalitetsregistren som Sverige har. Det finns skillnader mellan register och alla är inte lika välutvecklade som dessa två.

På styrmodeller får Sverige en poäng på 10,22 av totalt 15, vilket är samma som medelvärdet för de jämförda länderna. Betyget kan jämföras med Danmark, som är det land som fått högst poäng och fått 14,90 av 15 poäng. Även vad gäller styrningsmodell bedömer utredningen att resultaten är svåra att dra några större generella slutsatser ifrån. Det beror på flera orsaker, bland annat att det är ett litet antal frågor som ställts, inom ett förhållandevis smalt område. Därutöver rör frågorna ett begränsat antal datamängder vilka utredningen inte bedömer är representativa för Sverige och därmed sannolikt inte representativa för de andra jämförbara länderna heller.

Slutligen bedömer utredningen att det är svårt att dra några generella slutsatser utifrån denna jämförelse, men kan konstatera att jämförelsen stödjer bedömningen att Sverige historiskt haft god datatillgång, men lite eller inget om nutidens eller framtidens behov och tillgång till data.

10.3.2. EU

Under det franska ordförandeskapet i EU:s ministerråd första halvåret 2022 lät det franska hälsoministeriet företaget EY göra en nationell jämförelse mellan medlemsländerna.4 Rapporten är en så kallad

3 Oderkirk J. (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/55d24b5den. 4 https://ue.esante.gouv.fr/sites/default/files/202207/Final%20Report%20of%20the%20stu dy%20on%20digital%20health.pdf (Hämtat 2023-03-30).

skrivbordsanalys, som bygger på publika källor och inte på intervjuer. Utredningens bedömning är att rapporten innehåller flertalet felaktigheter gällande Sverige, exempelvis att Sverige har en lagstiftning för vidareanvändning av hälsodata och att Sverige har ett tvingande regelverk för interoperabilitet. Eftersom båda dessa frågor utreds för närvarande så kan utredningen konstatera att denna rapport inte kan användas för att jämföra hur de olika länderna ligger till i förhållande till varandra och utredningen har inte hittat några andra tillförlitliga och relevanta data från EU som går att använda för att göra en relevant jämförelse mellan länderna.

10.3.3. Global digital health partnership

Global digital health partnership (GDHP) är ett samverkansprojekt mellan en mängd stater och projektet syftar till att vara en internationell plattform där länder kan lära av varandra inom hälsodataområdet. (GDHP) gjorde i juli 2020 en jämförelse mellan olika länder och hur långt de kommit med sitt arbete med interoperabilitet på hälsodataområdet.5 I deras jämförelse fick länder svara på frågor rörande hur höga de upplevde att hindren var inom interoperabilitetsområdet. Skalan går från 0 till 3 där 0 betyder att det inte finns några hinder och utmaningar, medan 3 betyder att det finns höga hinder och stora utmaningar. Ett medelvärde räknades sedan fram per land samt ett medelvärde för samtliga länder.

Sverige fick ett medelvärde på 2,2 vilket är högst av alla de 22 jämförda länderna. Medelvärdet för länderna som ingick var 1,32. Av jämförelsen kan det även konstateras att Sverige har ett dåligt resultat på frågor rörande förvaltningsmodell, enhetlighet och reglering.

10.3.4. TEHDAS

Finska Sitra koordinerar ett EU-projekt som heter Towards European health data space (TEHDAS) där 25 länder deltar. En arbetsgrupp inom TEHDAS har besökt tolv medlemsländer och sammanställt ett underlag per land gällande varje lands förberedelser inför förslaget till

5 Rucker, D., Hasan, A., Lewi,s L., Tao, D. Advancing Interoperability Together Globally: GDHP White Paper on Interoperability; July 2020. Sydney, Australia.

EHDS.6 Utredningens bedömning är att de faktablad som TEHDAS låtit ta fram är de mest nyanserade och korrekta sammanställningarna av alla de jämförelser som gjorts mellan några av EU:s medlemsländer. Utredningen har valt att inte redogöra för samtliga 12 länder som TEHDAS intervjuat, utan kommer i stället redogöra för ett urval som utredningen bedömer är av särskilt intresse.

Länderna som utredningen valt att titta närmare på är Danmark, Estland, Finland och Tyskland. Danmark och Finland är av intresse eftersom de nordiska länderna sannolikt är de som liknar varandra mest. Estland har valts eftersom de ofta lyfts fram som ett föregångsland och Tyskland eftersom utredningen bedömer att Tyskland likt Sverige har en hög grad av decentralisering och därmed liknande utmaningar.

I korthet kan sägas att Sverige har liknande utmaningar som de andra länder som TEHDAS varit i kontakt med. Kompetensbrist lyfts av i stort sett samtliga länder, brist på infrastruktur och fungerande styrningsmodell lyfts av flera om än inte alla. 7 Generellt sett kan också sägas att länderna ställer sig positiva till förslaget till EHDS, men de flesta länderna ser också risker med förslaget till EHDS om inte vissa begrepp och skrivningar i förslaget förtydligas. Flera länder ser också risker kopplat till bristande finansiering för att få till stånd den infrastruktur som förslaget till EHDS kommer att kräva.8

10.3.5. Myndighetsrapporter

Utredningen har valt att framför allt utgå ifrån två myndighetsrapporter från Myndigheten för vård- och omsorgsanalys (hädanefter Vårdanalys) eftersom dessa är de två senaste rapporterna som utredningen kunnat identifiera som specifikt tittar på hälsodata och strukturreformer inom hälso- och sjukvården. Det finns andra myndighetsrapporter som gör internationella jämförelser, men dessa fokuserar ofta på en specifik del av hälsodataområdet och inte på hälsodataområdet i stort.

6 https://tehdas.eu/packages/package-4-outreach-engagement-and-sustainability/tehdascountry-visits/ (Hämtat 2023-04-04). 7 Se exempelvis avsnitt Resources (human, technical, financial) i respektive lands faktablad. https://tehdas.eu/packages/package-4-outreach-engagement-and-sustainability/tehdascountry-visits/ (Hämtat 2023-04-04). 8 Se avsnitt European Health Data Space (EHDS) i respektive lands faktablad. https://tehdas.eu/ packages/package-4-outreach-engagement-and-sustainability/tehdas-country-visits/ (Hämtat 2023-04-04).

Ökad precision i Europa

Vårdanalys analyserade i sin rapport sju europeiska länders satsningar på precisionsmedicin och hälsodata och rapporten publicerades 2021.

I korthet anger myndigheten att de tre länderna som ligger i framkant inom hälsodata är Danmark, Finland och Island och att gemensamt för länderna är statliga nationella satsningar på infrastruktur som kompletteras med lagstiftning med tydliga krav på exempelvis anslutning till infrastrukturen.

I rapporten har myndigheten också lyft fyra andra internationella jämförelser. Av dessa två bedömer utredningen att det finns två som är relevanta för utredningens jämförelse, de två som sållats bort är en rapport från E-hälsomyndigheten som fokuserar på invånarens tillgång till hälsodata och den andra är en rapport från The commonwealth fund som fokuserade på primärvårdsläkare, där tre av utfallsmåtten rörde hälsodata. Utredningen bedömer att dessa två jämförelser inte är relevanta för denna jämförelse, eftersom de berör två nischade delar av hälsodataområdet. Nedan följer en kort redogörelse för de två rapporter som utredningen bedömt är relevanta för jämförelsen.

Mirror, mirror 2021: Reflecting poorly – Health care in the U.S. compared to other high-income countries

I denna undersökning från 2021 rankas 11 länder, bland andra Nederländerna, Norge, Storbritannien och Tyskland samt Sverige. Jämförelsen gäller bland annat administrativ effektivitet som mäts i fem indikatorer. Fyra av indikatorerna avser mängden administration för primärvårdsläkare och den femte mäter hur stor andel av patienter som vänt sig till akuten i stället för exempelvis en vårdcentral till följd av att vårdcentralen inte var öppen eller tillgänglig. Sverige hamnar på plats 7 av 11 i jämförelsen när de olika indikatorerna läggs samman. Det är svårt att dra några långtgående slutsatser ifrån jämförelsen eftersom det inte var administration i sjukvården som jämfördes. Däremot ger det en indikation på att primärvårdsläkare i Sverige i förhållande till jämförelseländerna spenderar mycket tid på administration.

Tabell 10.1 Tabell som visar ländernas ranking inom varje mätområde

samt genomsnittlig ranking

Land Tillgång

till vård

Vårdprocess Administrativ

effektivitet

Jämlikhet Medicinska

resultat

Genomsnittlig ranking

AUS

8

6

2

1

1

3

CAN

9

4

7

10 10

10

FRA

7 10

6

7

6

8

GER

3

9

9

2

7

5

NETH

1

3

8

5

4

2

NZ

5

1

3

9

8

6

NOR

2

8

1

8

2

1

SWE

6 11

5

6

5

7

SWIZ

10

7

10

3

3

9

UK

4

5

4

4

9

4

US

11

2

11

11 11

11

Källa: Eric C. Schneider et al., Mirror, Mirror 2021 — Reflecting Poorly: Health Care in the U.S. Compared to Other High-Income Countries (Commonwealth Fund, Aug. 2021). https://doi.org/10.26099/01DV-H208.

A vision of a nordic secure digital infrastructure for health data: the nordic commons

I NordForsks rapport bedöms Danmark, Norge, Finland och Sverige. status för sju olika typer av data uppfyller FAIR-principerna (Findable, Accessible, Interoperable, Reusable, se avsnitt 3.4.12). Typerna av data som jämförs är

1. Hälsodataregister,

2. Kvalitetsregister,

3. Biobanker,

4. OMICS,

5. Laboratoriedata,

6. Forskningsdata inom hälsa,

7. Socioekonomiska register.

I fyra av datatyperna har Danmark kommit längst, i en har Norge kommit längst, i en annan bedöms Danmark, Norge och Finland ha kommit lika långt. För ytterligare en datatyp bedöms samtliga fyra

länder ha kommit lika långt. I två datatyper ligger Sverige ensamt sist. De olika typerna och Sveriges status redogörs för i tabellen nedan. Jämförelsen ska tolkas med försiktighet, det ger dock en indikation på att Sverige inte arbetat eller åtminstone inte lyckats lika bra med att få ner transaktions- och insamlingskostnaderna för sina hälsodatamängder lika mycket som de andra nordiska länderna.

Tabell 10.2 FAIR-status för olika typer av hälsodata i Danmark,

Sverige, Finland och Norge

Ljusgrå = Acceptabelt, grå = Arbete pågår, Mörkgrå = Inte tillfredställande

Domän

Land Finadble Accessible Interoperable Reusable

Hälsodataregister Danmark

Sverige

Finland

Norge

Kvalitetsregister

Danmark

Sverige

Finland

Norge

Biobanker

Danmark

Sverige

Finland

Norge

OMICS

Danmark

Sverige

Finland

Norge

Laboratoriedata

Danmark

Sverige

Finland

Norge

Forskningsdata inom hälsa

Danmark

Sverige

Finland

Norge

Socioekonomiska register

Danmark

Sverige

Finland

Norge

Källa: NordForsk, 2019, A vision of a Nordic secure digital infrastructure for health data: The Nordic Commons.

Strukturreformer i hälso- och sjukvårdssystem

I korthet konstaterar Vårdanalys att de mest genomgripande förändringarna som skett av svensk hälso- och sjukvård skedde under perioden 1960–1992, vilka ökade decentraliseringen.

Strukturreformerna i Danmark och Norge har fokuserat på ökad centralisering och myndigheten konstaterar sammanfattningsvis att den ökade graden av statlig styrning och större regioner tycks ha lett till följande effekter:9– Färre och större sjukhusorganisationer. – Blandade effekter på förmågan att koncentrera specialiserade be-

handlingar. – Ökad produktivitet. – I vissa avseenden kortare väntetider. – Vissa positiva effekter på geografisk likvärdighet. – Utmaningar i att skapa sammanhållen och förebyggande vård. – Vissa positiva effekter på forskning och infrastruktur. – Signaler om minskad lokaldemokrati men ökat patientinflytande.

Gällande den danska strukturreformen konstaterar myndigheten att byråkratiseringen minskat:

Den samlade bedömningen av den danska kommunalreformen från 2007 är att den har lett till mindre byråkrati och att den genom hälsoavtalen har skapat förutsättningar för bättre ansvarsfördelning, kommunikation och samordning av vården mellan olika myndigheter.10

Myndigheten konstaterar också att det haft positiva effekter för ett mer sammanhållet it-system, vilket generellt är positivt för möjligheten att använda hälsodata.11

Det utökade mandatet att styra och koordinera sjukhusvården har också lett till ett mer sammanhållet it-system. I och med etablerandet av regioner utvecklades ett enhetligt it-system för varje region. Det har gett

9 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem, s. 27. 10 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem, s. 66. 11 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem, s. 70.

förutsättningar för ett mer effektivt informationsutbyte och därmed en mer sammanhängande vård. Tidigare hade varje landsting egna system för till exempel elektroniska patientjournaler.

10.3.6. Estland

Ett land som återkommande lyfts när det kommer till att använda hälsodata är Estland. Estland påbörjade sitt arbete med att digitalisera sin offentliga sektor 1994 i samband med beslutet om principerna för informationspolicy för Estland.12 År 2008 infördes ett nationellt system för att integrera data för vårdgivare i Estland. Detta mål liknar den målbild som EU-kommissionen presenterat i förslaget till EHDS, men även i meddelanden från EU-kommissionen (COM(2018) 233 final). Det ligger också i linje med den målbild som utredningen presenterade i sin promemoria till regeringen om att skapa en nationell digital infrastruktur (se bilaga 4 Promemoria med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet).

Under antagandet att målbilden skulle kunna uppnås enbart genom att förslagen som utredningen lämnat i sin promemoria samt att pågående utredningar leder till nödvändiga lagändringar, skulle en sådan process troligtvis vara klar som tidigast 2026. Denna uppskattning baserar utredningen på att Utredningen om infrastruktur för hälsodata som nationellt intresse (S 2022:10) ska lämna sitt slutbetänkande senast 30 april 2024. Därefter tillkommer beredning i Regeringskansliet fram till dess att en proposition kan lämnas över till beslut i riksdagen. Det är vidare rimligt att anta att enbart perioden för ikraftträdandet sannolikt kommer ligga på upp emot ett år. Baserat på dessa antaganden skulle Sverige ligga minst 18 år efter Estland gällande att ha en nationellt fungerande digital infrastruktur för hälsodata med hög grad av teknisk och semantisk interoperabilitet, med tillhörande digitala medborgartjänster. Detta är dock en grov jämförelse som förmodligen överskattar hur långt efter Sverige ligger Estland, men det ger en indikation på ungefär hur Sverige förhåller sig till Estland.

I GDHP:s jämförelse ligger Estland på 0,8 i snitt jämfört med Sveriges 2,2. Detta styrker att Sverige ligger efter Estland, men det är svårt att kvantifiera hur långt efter i tid Sverige ligger endast baserat på dessa data.

12 https://e-estonia.com/story/ (Hämtat 2023-03-30).

I OECD:s jämförelse får Estland 6,09 av 8 poäng gällande datatillgänglighet och 9,44 poäng av 15 gällande styrningsmodell, att jämföra med Sveriges 6,84 respektive 10,22 poäng. Resultaten indikerar att Sverige fortsatt står sig bra gentemot Estland avseende datatillgång och att länderna ligger förhållandevis lika avseende styrmodell.

Även här är det svårt att göra en uppskattning av hur Sverige förhåller sig till Estland kvantifierat i tid, det beror också på vad det är som mäts.

Utredningens slutsats är att Estland ligger före Sverige vad gäller infrastruktur för hälsodata och att Estland utvecklas i en snabbare takt än Sverige, men att Sverige i dagsläget har en bättre datatillgång på vissa områden än vad Estland har. Utredningen bedömer dock att det försprånget kommer vara borta inom några år till följd av att Estland har bättre förutsättningar för en skalbar och effektiv datainsamling.

10.3.7. Danmark

Danmark finns inte med i GDHP:s jämförelse, men är med i både TEHDAS kartläggning och i OECD:s jämförelse.

I OECD:s jämförelse får Danmark 7,77 av 8 poäng på tillgång till data13, att jämföra med Sveriges 6,84. På styrmodeller får Danmark en poäng på 14,90 av 15, att jämföra med Sveriges 10,22.14 Resultaten är väntade eftersom datamängderna som analyseras i delen om tillgång till data är begränsade och avser om än centrala datamängder, datamängder som flera av de nordiska länderna samlat in under många år. Det är inte heller oväntat att Danmark får ett bättre resultat gällande styrmodell eftersom Danmark, likt Finland, Norge och Estland gjort stora strukturreformer i närtid som bland annat syftat till starkare statlig styrning och i de hänseenden som rör styrmodeller för hälsodata saknar Sverige en sådan motsvarande statlig styrmodell. Sveriges nuvarande modell bygger i stor utsträckning på frivillighet.15

13 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 34. 14 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 75. 15 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem. Erfarenheter från Danmark, Norge, England och Nederländerna.

Av TEHDAS kartläggning anger Danmark varken decentralisering, bristande eller svag styrning som ett problem16, vilket sannolikt beror på den strukturreform som genomfördes i Danmark 2007, vars ena syfte bland annat var att stärka statens styrning.17 Därtill så etablerade Danmark den statliga myndigheten Sundhetsdatastyrelsen 2015 i syfte att skapa ett sammanhängande system för hälsodata och digitala lösningar till nytta för patienter och kliniker samt forskning och administration inom hälso- och sjukvården. Myndigheten omsatte år 2020 drygt 400 miljoner danska kronor, varav 300 miljoner var anslagsfinansierat. Danmark har därtill tagit fram en handlingsplan för en nationell forskningsinfrastruktur kopplat till hälsodata.18

Av det ovan beskrivna är det svårt att estimera hur långt före Danmark ligger, men Danmark har dels gjort en strukturreform 2007, vilket regeringen aviserat att även Sverige ska utreda med start 2023 (prop. 2022/23:1 Utgiftsområde 9 s. 46). Det är rimligt att anta att en sådan reform skulle vara utredd och beslutad om som tidigast fyra år, vilket skulle innebära att Sverige gör en liknande reform som Danmark cirka 20 år senare.

Danmark etablerade 2015 den statliga myndigheten Sundhedsdatastyrelsen i syfte att skapa sammanhängande hälsodata och digitala lösningar till nytta för patienter och kliniker samt forskning och administration inom hälso- och sjukvården.19 Utredningens bedömning är Danmarks lösning är liknande de lösningar som utredningen föreslog i sin promemoria (se bilaga 4 Promemoria med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet

Baserat på antagandet att Regeringen skulle välja att bygga upp en nationell digital infrastruktur i år så är Sverige ungefär åtta år efter Danmark.

Sammanfattningsvis kan sägas att Sverige ligger efter Danmark på hälsodataområdet i de flesta hänseendena, både gällande datatillgång, effektiv datainsamling och datadelning. Utredningens väldigt grova uppskattning är att Sverige ligger någonstans emellan 4 och 20 år efter Danmark. Utredningens bedömning är att det gissningsvis rör sig om cirka 10 års utveckling för att komma till den nivå som Danmark är på nu, men att det framför allt beror på strukturreformen och att Sverige

16 TEHDAS, 2022, Country visit – Denmark. 17 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem. Erfarenheter från Danmark, Norge, England och Nederländerna. 18 Myndigheten för vård- och omsorgsanalys, 2021, Ökad precision i Europa. 19 Myndigheten för vård- och omsorgsanalys, 2021, Ökad precision i Europa, s. 30.

teoretiskt skulle kunna komma upp i en liknande nivå på 6–8 år med en aggressiv reformagenda.

Vad gäller Danmarks utvecklingstakt så är den svår att bedöma och utredningen kan bara konstatera att utvecklingstakten i Danmark på detta område är snabbare än i Sverige.

10.3.8. Norge

Norge ingår inte i GDHP:s jämförelse, men ingår däremot i OECD:s jämförelse. I den jämförelsen får Norge 5,91 av 8 poäng gällande tillgång till hälsodata, jämfört med Sveriges 6,84.20 Avseende styrmodell så rankar Norge näst lägst av samtliga jämförda länder och får där 6,90 av 15 poäng, att jämföra med Sveriges 10,22.21

Norge genomförde 2002 en strukturreform som centraliserade sjukhusvården. Ett par av reformens syften var att korta ner väntetiderna och skapa bättre förutsättningar för nationella it-system och stärka förutsättningarna för forskning och utveckling och få till en bättre koordinering av sjukhusinvesteringar. Även om det funnits negativa effekter av reformen så har den inneburit en positiv effekt på just väntetiderna, förutsättningarna för forskning och utveckling för att nämna några av de positiva effekterna.22

Norge beslutade 2013 om en hälso- och omsorgsstrategi med satsningar på hälsodata som en nationell tillgång. Därefter tillsattes en utredning 2016, som slutrapporterade 2017, där bland annat förslag om en datahubb lämnades. En plattform började byggas 2020 med planen att lanseras 2022, men pausades 2021 till följd av Schrems IIdomen och det är i dag oklart när plattformen ska vara klar.23

Norge beslutade också 2002 i samband med strukturreformen om en nationell branschstandard för hälsodata,24 vilket liknar det uppdrag som Utredningen om infrastruktur för hälsodata som nationellt intresse (S 2022:10) har.

20 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 34. 21 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 75. 22 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem. Erfarenheter från Danmark, Norge, England och Nederländerna, s. 92. 23 https://www.ehelse.no/aktuelt/setter-arbeidet-med-helseanalyseplattformen-pa-pause (Hämtat 2023-04-06). 24 https://www.ehelse.no/normen/om-normen (Hämtat 2023-04-06).

Även om Sverige och Norge liknar varandra på många sätt genomförde Norge en större strukturreform redan 2002, men till skillnad från exempelvis Danmark, Frankrike och Storbritannien så centraliserades endast sjukhusvården. Den ökade centraliseringen av specialistvården verkar dock ha lett till ökade förutsättningar för användning av hälsodata, även om den decentraliserade primärvården verkar försvåra dataförsörjningen. Av den anledningen är det svårt att jämföra hur Sverige ligger till i förhållande till Norge.

Norge verkar ha större utmaningar med vissa delar så som datatillgång, men har kommit längre vad gäller interoperabilitet och datadelningstjänster. Utredningens bedömning är därför att Sverige och Norge ligger både före och efter varandra fast inom olika delar av hälsodataområdet. Norge har en starkare utvecklingstrend och deras arbete med datatillgång, uppdateringsfrekvens och kostnaden för datadelning förbättras i en snabbare takt än i Sverige. Det finns inget som tyder på att deras utvecklingstakt håller på att stanna av och det är därför sannolikt att de kommer fortsätta att bli bättre än Sverige samt gå om Sverige i de avseenden där Sverige i dag är bättre än Norge. En sådan prognos bygger på antagandet att Sverige inte börjar fatta beslut som stärker den svenska utvecklingen.

10.3.9. Tyskland

Tyskland ingår inte heller i GDHP:s jämförelse, men ingår däremot i OECD:s jämförelse. I den jämförelsen får Tyskland 3,64 av 8 poäng gällande tillgång till hälsodata, jämfört med Sveriges 6,8425 och 8,33 poäng av 15 avseende styrningsmodell för hälsodata, jämfört med Sveriges 10,22.26 I och med Tysklands historia så finns inte samma kultur och tillit till statlig datainsamling, vilket skulle kunna vara en förklaring till att de får så låg poäng gällande tillgång till data. Tyskland är, likt Sverige, mycket decentraliserat. Exempelvis har Tyskland 16 delstater med viss lagstiftningsmakt. Detta skulle kunna vara en av förklaringarna till den låga poängen avseende styrmodeller då det är svårt att få till en enhetlig nationell styrning.

25 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 34. 26 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 75.

I Vårdanalys rapport framgår att Tyskland antog en ny lag 2019 i syfte att driva på den digitala utvecklingen inom vården och därmed gjorde det obligatoriskt för sjukhus och apotek att ansluta sig till den nationella digitala infrastrukturen, medan det är fortsatt frivilligt att ansluta sig för vissa vård- och rehabiliteringskliniker som tillhandahåller till exempel mödravård eller fysioterapi.27 I Vårdanalys rapport om strukturförändringar konstaterar myndigheten också att Tyskland, tillsammans med Sverige och Norge är ett av de länder där flest patienter angett att vården inte lyckats samordna viktig information om patientens medicinska bakgrund eller behandling.28 Av TEHDAS kartläggning framgår att den höga graden av decentralisering skapat liknande utmaningar som i Sverige och att även Tyskland står inför en omfattande omställning i och med förslaget till EHDS. Tyskland uppger att implementeringstiden för EHDS skulle behöva vara runt tio år.29

Sammanfattningsvis kan noteras att Sverige och Tyskland står inför liknande utmaningar med ett decentraliserat hälso- och sjukvårdssystem, men att Sverige förmodligen ligger före Tyskland till följd av att Sverige historiskt legat bra till på hälsodataområdet. Det är svårt att ange i antal år hur stor skillnaden är, men sannolikt ligger Sverige före Tyskland gällande användning av hälsodata.

10.3.10. Storbritannien

Storbritannien finns inte med i OECD:s jämförelse, men är däremot med i GDHP:s jämförelse. Där får Storbritannien en poäng på 1,16 av 3 avseende hur stora barriärer som finns inom interoperabilitet på hälsodataområdet, att jämföra med Sveriges 2,20. Storbritanniens lägre poäng kommer framför allt från att de har en starkare styrning och mindre frivillighet, vilket lett till lägre barriärer för att dela data.30

I Vårdanalys landsjämförelse konstateras egentligen bara att Storbritannien etablerade en plattform som en gemensam ingång till hälsodata 2020.31 I Vårdanalys rapport om strukturreformer konstaterar myndigheten att Storbritanniens system liknar de skandinaviska,

27 Myndigheten för vård- och omsorgsanalys, 2021, Ökad precision i Europa, s. 68. 28 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem. Erfarenheter från Danmark, Norge, England och Nederländerna, s. 31. 29 TEHDAS, 2022, Country visit – Germany, s. 4. 30 Rucker, D., Hasan, A., Lewis, L., Tao, D. Advancing Interoperability Together Globally: GDHP. White Paper on Interoperability; July 2020, Sydney, Australia. 31 Myndigheten för vård- och omsorgsanalys, 2021, Ökad precision i Europa, s.62.

men att de länge har haft en betydligt mer centraliserad styrning av sjukvården som gjort det lättare att förändra strukturen i en enhetlig inriktning. Detta skulle kunna förklara varför Storbritannien lyckats med flera av sina stora struktursatsningar inom hälsodataområdet.32

Storbritannien började också inrätta datahubbar redan 2019 och har sedan dess startat nio regionala datahubbar.33 Varje hubb har specialiserat sig inom områden där det finns universitet med djup kunskap inom det specifika området. Varje hubb har också ett nära samarbete med hälso- och sjukvården, akademin, industrin och patienterna.34

Figur 10.1 Bild över Storbritanniens datahubbar

Källa: https://www.hdruk.ac.uk/helping-with-health-data/health-data-research-hubs/ (Hämtat 2023-05-25).

Eftersom Storbritannien lämnat EU så tillämpar de inte längre GDPR och skiljer sig därför åt jämfört med flera andra europeiska länder. I stället tillämpar de Data Protection Act 2018, som har inkorporerat GDPR:s bestämmelser till brittisk lagstiftning.35 Storbritanniens utträde ur EU minskar därmed jämförbarheten med Sverige, vilket gör det svårt att säga något om ländernas framtida utvecklingstakt i förhållande till varandra.

32 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem. Erfarenheter från Danmark, Norge, England och Nederländerna, s. 45. 33 https://www.hdruk.ac.uk/helping-with-health-data/health-data-research-hubs/ (Hämtat 2023-04-06). 34 https://www.hdruk.ac.uk/helping-with-health-data/health-data-research-hubs/ (Hämtat 2023-05-25). 35 Overview – Data Protection and the EU | ICO, (Hämtat den 22 augusti 2023).

Även om Storbritannien kommit långt inom hälsodataområdet har det inte varit helt utan kontroverser. Under 2013 informerade NHS att patientdata skulle extraheras till en central databas om patienterna inte aktivt valde att motsätta sig detta. Kritiken rörde framför allt den bristande informationen till patienterna och att genomförandet var dåligt förankrad bland patienter och vårdpersonal och inte kommunicerats på ett bra sätt.36

Under 2021 genomförde Storbritannien en reform inom hälsodataområdet kallad General Practice Data for Planning and Research i syfte att tillgängliggöra patienternas data för planering och för forskning. Även denna reform fick omfattande kritik av patienter och de som arbetar inom hälso- och sjukvården bland annat på grund av att intrånget i den personliga integriteten inte upplevdes stå i proportion till nyttan. Kritiken bestod även av uppfattningen att staten inte på ett adekvat sätt konsulterat exempelvis medborgarna eller hälso- och sjukvårdspersonalen i tillräckligt stor utsträckning. Storbritannien har sedan dess arbetat intensivt med att lyssna in olika grupper för att få till lösningar som aktörerna anser acceptabla sett ur ett integritetsperspektiv.37

Utredningens bedömning är att dessa exempel tydligt visar på riskerna med att dels välja för snabba lösningar, dels hur lätt det är att medborgarna tappar tilltron till datainsamlingen. En sådan effekt kan få till följd att medborgarna väljer att inte dela sina hälsodata. Detta är en viktig lärdom för Sverige, eftersom dåligt genomförda förslag riskerar att hämma snarare än att driva utvecklingen framåt.

Att jämföra Sverige och Storbritannien inom detta område är svårt. Det finns dock en likhet i att Sverige inte alltid involverar och konsulterar medborgarna i samband med att ny insamling eller behandling av hälsodata. Storbritannien har drivit hälsodatafrågorna hårt, men i vissa delar brustit i sin transparens och medborgarinvolvering.

Storbritannien har trots vissa omdiskuterade beslut nu lyckats bygga upp säkra behandlingsmiljöer för hälsodata38 och tillgängliggör mycket hälsodata för bland annat forskning.39

36 https://www.theguardian.com/technology/2016/jul/06/nhs-to-scrap-single-database-ofpatients-medical-details (Hämtat 2023-04-05). 37 https://digital.nhs.uk/data-and-information/data-collections-and-data-sets/data-collections/ general-practice-data-for-planning-and-research/about-the-gpdpr-programme (Hämtat 2023-04-05). 38 https://www.opendemocracy.net/en/ournhs/weve-won-our-lawsuit-over-matt-hancocks-23m-nhs-data-deal-with-palantir/ (Hämtat 2023-04-05). 39 https://www.healthdatagateway.org/ (Hämtat 2023-04-05).

Det är svårt att säga hur många år före Storbritannien ligger än Sverige, men utredningen kan konstatera att Storbritannien kommit längre i sin omställning till en mer datadriven hälso- och sjukvård än vad Sverige har.

Med tillämpandet av samma antagande som användes för jämförelsen med Estland det vill säga att pågående utredningar och utredningens promemoria leder till att Sverige kommer ha ett lika utvecklat ekosystem för hälsodata som Storbritannien har gör utredningen bedömningen att Sverige ligger 6–7 år efter Storbritannien. Denna bedömning är dock behäftad med betydande osäkerhet.

10.3.11. Frankrike

Frankrike är inte med i GDHP:s jämförelse, men är däremot med i OECD:s jämförelse. Frankrike bedöms där, avseende tillgång till data till en poäng om 5,42 av 8, att jämföra med Sveriges 6,84.40 På styrningsmodell får Frankrike 12,67 av 15 poäng, att jämföra med Sveriges 10,22.41

Frankrike är inte med i varken TEHDAS kartläggning eller i Vårdanalys båda rapporter. Frankrike har också ett försäkringsfinansierat hälso- och sjukvårdssystem,42 vilket gör att deras system skiljer sig en del mot det svenska.

Frankrike reformerade delar av sitt sjukvårdssystem i samband med att en ny lag gällande sjukvårdens organisation och transformation trädde i kraft 2019.43 Som en del i denna reform inrättades den franska hälsodatahubben, health data hub (LOI no 2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santè). Hälsodatahubben kan användas för beslutsstöd i hälso- och sjukvården, tillgängliggöra data för forskning och får användas av såväl offentliga och privata aktörer i de fall som syftet är att förbättra något

40 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 34. 41 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 75. 42 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem. Erfarenheter från Danmark, Norge, England och Nederländerna. 43 Reformen har innefattat flera lagändringar och initierades med LOI no 2016-41 du 26 janvier 2016 de modernisation de notre système de santé och själva hubben inrättades i samband med LOI n° 2019-774 du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé.

för det offentliga. Det är uttryckligen förbjudet att använda data från huben i kommersiella syften.44

I juli 2022 meddelade EU-kommissionen att konsortiet som leds av den franska hälsodatahubben vunnit utlysningen om att agera pilotprojekt för det europeiska hälsodataområdet HealthData@EU i syfte att bidra till kunskap i den pågående förhandlingen av förslaget till EHDS.45 Det återstår att se hur utfallet av denna pilot blir.

Även i Frankrike kan vi se att det de senaste åren har skett en strukturreform kopplat till hälsodata som haft fokus på ökad styrning och centralisering. Med tillämpandet av samma antagande som användes för jämförelsen med Estland, det vill säga att pågående utredningar och utredningens promemoria (se bilaga 4 Promemoria med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet) leder till att Sverige kommer ha ett lika utvecklat ekosystem för hälsodata som Frankrike har gör utredningen bedömningen att Sverige ligger 6–7 år efter Frankrike. Denna bedömning är dock behäftad med betydande osäkerhet.

10.4. Särskilt om Finland och Findata

Finland finns med i OECD:s jämförelse, men inte i GDHP:s. Finland finns också med bland de länder TEHDAS besökt. I OECD:s jämförelse får Finland 6,67 av 8 poäng avseende tillgång till data, att jämföra med Sveriges 6,84.46 På styrningsmodell får Finland 12,78 av 15 poäng, att jämföra med Sveriges 10,22.47

Av TEHDAS sammanställning framgår att Finland har i stort sett alla komponenter klara inför implementeringen av EHDS men att Finland kommer behöva utöka och utveckla befintliga komponenter ytterligare till följd av ökade behov av datadelning.48

Det är svårt att bedöma hur Sverige ligger till i förhållande till Finland i synnerhet eftersom Finland precis genomgått en större hälso-

44 https://www.health-data-hub.fr/page/faq-english (2023-04-06). 45 https://www.health-data-hub.fr/sites/default/files/2022-07/Press%20release%20-%20EHDS2 %20pilot%20launch.pdf (Hämtat 2023-04-06). 46 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 34. 47 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 75. 48 TEHDAS, 2022, Country visit –Finland.

och sjukvårdsreform. Men uppskattningsvis ligger Sverige 6–10 år efter Finland.

10.4.1. Den finska sekundäranvändningslagen, Findata och Finlands nationella datahubb

Finland tog under 2018 fram ett förslag på en ny lag för sekundäranvändning av hälsodata, lagen om sekundär användning av personuppgifter inom social- och hälsovården, förkortad finska sekundäranvändningslagen. Lagen trädde i kraft under 2019 och utgör en komplettering till dataskyddsförordningen (1 kap. 2 § finska sekundäranvändningslagen).

Lagen ska ses som en del av en helhet, där den andra delen består av regleringen av de s.k. Kanta-tjänsterna.49 Den till dataskyddsförordningen kompletterande nationella lagstiftning som reglerar personuppgiftsbehandlingen för Kantatjänsterna är lag om elektronisk behandling av kunduppgifter inom social- och hälsovården, och tar sikte på den primära användningen av personuppgifter inom social- och hälsovården (lag om elektronisk behandling av kunduppgifter inom social- och hälsovården 1 kap. 1 och 2 §§).

Sammanfattningsvis kan det sägas att lagen går ut på att förenkla processen när en aktör vill använda data från flera olika personuppgiftsansvariga, genom att utse en ansvarig myndighet, Findata, som blir ansvarig för inhämtandet av personuppgifter från dessa personuppgiftsansvariga för att sedan sköta utlämnandet till den aktör som begärt datan (RP 159/2017 rd s. 1 och s. 93). Findata har även möjlighet att samköra data från olika personuppgiftsansvariga och sammanställa material på olika sätt.

Lagen skiljer på två typer av utlämnande från Findata, utlämnande i enlighet med ett tillstånd som beslutas av myndigheten själv, ett så kallat dataanvändningstillstånd, eller i enlighet med en begäran om

information. Den senare avser endast aggregerade data som begärts

för ändamål som omfattas av lagen (1 kap. 3 § p. 9 finska sekundäranvändningslagen).50 En begäran om information ska handläggas snabbare än utlämnanden i enlighet med ett dataanvändningstillstånd.

49 Lagstiftning – Professionella – Kanta.fi (Hämtat 2023-08-22) och Sekundär användning av kanta uppgifter – Professionella – Kanta.fi (Hämtat 2023-08-22). 50 https://findata.fi/sv/tillstand/#Val-och-ifyllnad-av-ansokningsblankett (Hämtat 2023-08-22.).

10.4.2. När får sekundäranvändning ske?

Den finska sekundäranvändningslagen har snävat in sekundäranvändningen genom att räkna upp sju ändamål och genom att ange vilka personuppgiftsansvarigas personuppgifter som omfattas av lagen. I 1 kap. 2 § finska sekundäranvändningslagen anges följande ändamål för vilka personuppgifter får behandlas för:

  • statistikföring,
  • vetenskaplig forskning,
  • utvecklings- och innovationsverksamhet,
  • undervisning,
  • informationsledning,
  • myndighetsstyrning och myndighetstillsyn inom social- och hälsovården, samt
  • myndigheternas planerings- och utredningsuppgifter.

Användande av data för att genomföra medicinsk och klinisk läkemedelsforskning51 är exkluderat, och regleras i annan ordning, (se 1 § och 2 § p. 1 lag om medicinsk forskning (9.4.1999/488)).

Vidare anges tre olika situationer för att det ska anses finnas grund för att lämna ut personuppgifter för ett sekundärt ändamål; att det finns ett tillstånd från de relevanta personuppgiftsansvariga, det finns ett tillstånd från Findata, eller med stöd i lag (4 kap. 35 §).

10.4.3. Rättslig grund enligt dataskyddsförordningen

Enligt förarbetena till den finska sekundärlagen utgör 4 kap. 35–38 §§ rättslig grund enligt artikel 6 i dataskyddsförordningen för datahållaren, alltså den som är personuppgiftsansvarig för insamlingen av personuppgifter för den primära användningen och för Findata. I de fall då

mottagaren, alltså den som begärt data för ett sekundärt användnings-

ändamål, är en offentlig aktör utgör lagen för särskilt angivna ändamål den rättsliga grunden även för dem, vilket regleras i 4 kap. 39–42 §§. Sistnämnda bestämmelser tar sikte på sekundäranvändning för de sär-

51 Den finska definitionen skiljer sig något från den svenska, se den finska lagen lag om medicinsk forskning (9.4.1999/488) för mer information.

skilda ändamålen undervisning, myndighetsplanerings- och utredningsuppgifter, informationsledning, myndighetsstyrning och myndighetstillsyn inom social- och hälsovården.

Är mottagaren en privat aktör anges det i förarbetena att den mottagaren även kan använda sig av intresseavvägning enligt artikel 6.1 f dataskyddsförordningen som rättslig grund (RP 159/2017 rd s.125).

10.4.4. Hur den finska datahubben fungerar i praktiken

Enligt 2 kap. 5 § sekundäranvändningslagen ska Findata förutom att bevilja tillstånd för sekundäranvändning i enlighet med lagen, ansvara för insamling, samkörning och förbehandling av data för att sedan kunna lämna ut i enlighet med beviljade tillstånd (2 kap. 5 § stycke 1). Av samma bestämmelse framgår att myndigheten har informationssäker drifttjänst för mottagande av personuppgifter och för utlämnande av sådana (se 2 kap. 5 § andra stycket samt 3 kap. 17 §). De har även en informationssäker driftsmiljö där en innehavare av tillstånd för sekundäranvändning kan bearbeta den data den får utlämnat till sig. Denna driftssäkra miljö kallas för Kapseli och fungerar i korthet som en fjärråtkomst, det vill säga att användaren kan nå den från sin egen dator.52

Användandet av Kapseli faktureras sedan separat och kan köpas in i olika nivåer.53 Kapseli är en driftsmiljö som är individualiserat på så sätt att det kopplas till ett specifikt tillstånd. En tillståndsinnehavare kan alltså inte använda den informationssäkra driftsmiljön för att bearbeta data som omfattas av ett annat tillstånd (se 3 kap. 20 § sekundäranvändningslagen).

När en användare beviljats ett tillstånd från Findata, samlas sedan personuppgifter från de relevanta personuppgiftsansvariga in (i enlighet med tillståndet) till Findatas säkra driftsmiljö. Användaren har därefter tre månader på sig att gå igenom materialet för att kunna säkerställa att datan överensstämmer med deras beställning.

Findata raderar samtlig data fyra månader efter att användaren tagit del av den, men sparar kodnyckeln utifall om att data behöver återställas. Alla tillstånd är tidsbegränsade och när denna tid gått ut så stängs användarens tillgång till Kapseli av och all data raderas då permanent.54

52 https://findata.fi/sv/kapseli/ (hämtat 2023-08-23). 53 https://findata.fi/sv/kapseli/ (hämtat 2023-08-23). 54 Mailkonversation med Findata. Komm2022/00460/S 2022:04-33.

Enligt lagen ska de olika personuppgiftsansvariga som omfattas av sekundäranvändningslagen (se 6 §) sammanställa materialbeskrivningar av den data de har i sina respektive datalager. De ska även ansvara för att det finns en rådgivningstjänst av sina egna data, för att de som behöver ska kunna få tillräcklig information om datainnehållet hos de personuppgiftsansvariga och på så sätt kunna bedöma om det täcker informationsbehovet (se 3 kap. 12–13 §§ sekundäranvändningslagen).

10.4.5. För- och nackdelar med den finska sekundäranvändningslagen

Utredningen har varit i kontakt med den finska myndigheten Institutet för hälsa och välfärd (THL) och Findata för att bättre förstå vad som blivit bra, mindre bra och vilka utmaningar som fortfarande finns kvar.

Några av fördelarna med Findata är att det blivit tydligare för aktörer som vill begära ut data till vem de ska vända sig. Även Findatas rådgivning där de ger råd i frågor som gäller ansökan om dataanvändningstillstånd, begäran om uppgifter och ändringstillstånd och allmänna råd angående lagen om sekundär användning har fått mycket positivt bemötande. För råd gällande specifika datamängder hänvisar Findata till de personuppgiftsansvariga, eftersom de oftast är dem som har bäst koll på sina egna data.

Findata är fortsatt i en utvecklingsfas och det är därför svårt att i nuläget säga vilka av de negativa effekter som kommer gå över med tiden och vilka positiva effekter som kommer uppstå på sikt när systemet har anpassat sig efter de nya förutsättningarna och Findata har fått möjlighet att förbättra sin verksamhet.

Findata har fått viss kritik för att regelverket och att deras uppdrag om att dela data i vissa fall inte fått bort mycket av den administration som var tänkt att försvinna för datahållarna. Exempelvis finns det i samband med behandlingen av dataanvändningstillstånd vissa datamängder där datahållarna själva ändå måste avgöra om data kan lämnas ut eller inte, så som när det rör sig om ett litet antal patienter. En anledning till det är att det är datahållaren som har förståelse och kunskap för de variabler som de kan lämna ut och vilken kvalitet just den data som ska lämnas ut har. Det antyder att en dialog ändå kan komma att behövas mellan dataanvändaren och datahållaren för vissa datamängder.

Viss kritik har också framförts gällande att lagstiftningen är svår att tillämpa i praktiken och att lagstiftningen upplevdes som utdaterad

inom vissa områden redan när den antogs, inte minst kopplat till teknikutvecklingen. Ett exempel där lagen ansetts särskilt otydlig och lett till tillämpningssvårigheter är hur innovationsbegreppet definierats och hur gränsen mellan forskning och innovation ska dras.

Annan kritik som lyfts mot den finska lagen om sekundäranvändning är att den ansetts vara för detaljerad. Vidare har kritik getts för att det är långa handläggningstider hos Findata och att datauttag blivit mer kostsamma än tidigare. Vissa aktörer har även lyft att de upplever att den säkra behandlingsmiljön hos Findata är för hårt reglerad, exempelvis genom att den är för detaljerad eller för snäv, vilket gjort att den inte upplevs som ändamålsenlig, vilket är en av orsakerna till att universitetssjukhusen byggt upp egna behandlingsmiljöer.

Vad som däremot kan sägas som positivt med den finska sekundäranvändningslagen är att bara ett hundratal individer har valt att opt:a ut,55 att jämföra med Storbritanniens satsning 2021 där 1,4 miljoner personer opt:ade ut på bara två månader.56,57

10.5. Sammanfattning

I korthet kan sägas att utredningen bedömer att Sverige ligger efter vad gäller nationell digital infrastruktur. Med det avser utredningen att Sverige har en bristande teknisk och semantisk interoperabilitet samt brist på nationellt tillgängliga medborgartjänster. De tjänster som finns, som exempelvis 1177 är tillgängligt för alla medborgare, men är inte tillgänglig för alla vårdgivare. Där till kommer att myndigheter har begränsad möjlighet att använda sig av den plattform som finns. Detsamma gäller nationella tjänsteplattformen som rent geografiskt finns tillgänglig, om än i olika utsträckning i hela landet, men där det också finns begränsningar i vilka som kan nyttja deras tjänster.

55 Kommunikation med Findata 2023-03-23, utredningens diarienummer: Komm2022/00460/S 2022:04-25. 56 https://www.opendemocracy.net/en/ournhs/millions-opt-out-of-englands-health-datasharing-plan/ (Hämtat 2023-04-25). 57 https://www.theguardian.com/society/2021/aug/22/nhs-data-grab-on-hold-as-millions-optout?CMP=fb_gu&utm_medium=Social&utm_source=Facebook&fbclid=IwAR2KbwEu7 BAEjCIelqEGK76r9HJS6xfyDWiVplidYcMTa0cM9UHJR0V-ihw#Echobox=1629617253 (Hämtat 2023-04-25).

Utredningens bedömning är dock att Sverige fortsatt står sig bra när det kommer till detaljerade historiska data, vilket är en fortsatt styrka för Sverige. Utredningens bedömning är dock att bristen på nationell digital infrastruktur riskerar att göra att Sverige hamnar efter även på det området i framtiden.

10.6. Avslutande kommentarer

Sammanvägd bedömning:

1. Samtliga länder har uppgett att rekrytering och kompetens är en av de största utmaningarna för omställningen till en datadriven hälso- och sjukvård. Utredningen delar bedömningen de aktörer som TEHDAS intervjuat om att kompetensförsörjningen och kompetensväxlingen kommer vara en av de största strukturella utmaningarna för hälso- och sjukvården under det kommande decenniet, inte minst i ljuset av den omfattande utveckling som håller på att ske på dataområdet och inom klinisk genetik.

2. En av de enligt utredningen viktigaste lärdomarna från den internationella utblicken är att förtroendet för delning av hälsodata snabbt kan ändras. Brister i kommunikation och förankringen hos medborgarna kan få långtgående negativa effekter och utredningen bedömer därför att det är av yttersta vikt att invånarna informeras och involveras på ett tydligt sätt i reformprocesserna. Skyddet för den personliga integriteten måste värnas och medborgarnas inflytande och möjlighet till ansvarsutkrävande måste vara tydligt.

3. Sverige har halkat efter andra länder inom hälsodataområdet. En av anledningarna är, enligt utredningens bedömning, reformer som inte åstadkommit det som eftersträvats. Utredningens uppskattning är att Sverige befinner sig i en position där föregångsländerna befann sig för 7–15 år sedan. Utredningen bedömer dock att det inte behöver betyda att det tar 7–15 år för Sverige att komma i kapp, eftersom Sverige nu har många förlagor som går att kopiera. Däremot gör utredningen bedömningen att det mest sannolika scenariot för Sverige är att Sverige även framgent kommer ligga efter föregångsländerna. Detta

eftersom det ter sig osannolikt att Sverige skulle gå från att vara en av de länder med lägst utvecklingstakt till att få en utvecklingstakt som är starkare än föregångsländerna. Ett första mål bör snarare vara att komma upp i samma utvecklingstakt som föregångsländerna. Utredningen ser att det finns potential för Sverige att komma i kapp föregångsländerna och på sikt återigen inta positionen som ett föregångsland inom hälsodata. Det skulle dock kräva omfattande politiska prioriteringar som sträcker sig över flera mandatperioder.

En begränsning med utredningens internationella jämförelse är att utredningen endast jämfört Sverige med länder som i stort liknar Sverige avseende exempelvis BNP per capita eller att de har liknande hälso- och sjukvårdssystem och så vidare. Utredningen har valt att inte jämföra Sverige med länder som kanske är mer lika Sverige gällande vissa utmaningar inom hälsodataområdet så som, Polen, Portugal, Tjeckien och Ungern som alla var del av TEHDAS kartläggning. Anledningen till detta var att utöver de utmaningar som Sverige står inför så står vissa av dessa länder inför andra utmaningar som Sverige inte står inför, exempelvis saknar vissa av länderna unika identifierare så som personnummer.

Utvecklandet av Findata är enligt utredningen ett bra exempel som visar på komplexiteten i att ta fram lagstiftning på hälsodataområdet och hur beroende lagstiftningen är av tekniken. Utredningens bedömning är att arbetet kräver involveringen av såväl praktiker som jurister i lagstiftningsarbetet och att problemen behöver lösas i flera små delar, ibland parallellt och vissa seriellt. Det gör att det är svårt att uppskatta hur lång tid det kommer ta för Sverige att bygg upp liknande system.

De länder som ligger före Sverige bröt ny mark och hade inga förlagor som de kunde ta inspiration ifrån. Sverige har såväl flera länder att hämta inspiration ifrån som hela förslaget till EHDS, vilket i stora delar syftar till att medlemsstaterna ska ta fram de system som föregångsländerna har byggt upp. Det är dock svårt att bedöma tidsbesparingen som följer av detta, i synnerhet eftersom många av de svåra frågorna kopplat till infrastrukturen för hälsodata snarare är nationella och starkt kopplade till vilket arv länderna har med sig in i arbetet med hälsodata.

Utredningen bedömer dock att Sverige historiskt haft en god datatillgång och även fortsatt har god datatillgång inom vissa områden

jämfört med andra länder. Föregångsländerna har dock byggt upp en infrastruktur som är mer skalbar, ekonomiskt effektiv och har en starkare och bättre styrning inom hälsodataområdet, och därmed nu också har en starkare utvecklingskurva.

Utredningens noterar att samtliga av föregångsländerna har eller håller på att centralisera infrastrukturen för hälsodata och många gånger även styrningen av hälso- och sjukvården. De flesta länderna har arbetat med en nationell infrastruktur för hälsodata under många år, gjort stora investeringar och haft ett starkare politiskt fokus på hälsodatafrågorna än vad Sverige haft.

Utredningens bedömning är att bristen på relevant statlig nationell styrning är en starkt bidragande faktor till Sveriges förhållandevis dåliga placering. Några exempel på sådan styrning är den prestationsbaserade vårdgarantin (kömiljarden), omställningen till god och nära vård, vision e-hälsa 2025 och utformningen av satsningen på nationella kvalitetsregister, för att nämna några.

Utredningen baserar sin bedömning på de utredningar som gjorts av dessa reformer. Dessa utredningar pekar på att reformerna lett till ökad administration i vården58,59, utebliven effekt60,61,62 samt inte bidragit till en nationellt hållbar lösning (se bilaga 4 Promemoria med förslag om ändring av E hälsomyndighetens uppdrag inom hälsodataområdet). Utredningen anser att samtliga reformer, i varierad grad, haft en hög alternativkostnad och därmed haft en negativ påverkan på utvecklingen inom hälsodataområdet i Sverige och bidragit till Sveriges förhållandevis dåliga resultat.

Sverige är i dag enligt utredningen i samma position som föregångsländerna befann sig för någonstans mellan 7 och 15 år sedan och att Sverige har en av de svagaste utvecklingskurvorna av samtliga av de jämförda länderna. Utredningen bedömer därför att Sverige kommer ligga mer efter föregångsländerna de kommande åren även om Sveriges utvecklingskurva skulle öka eftersom det kommer ta tid att komma upp i samma utvecklingstakt. Bedömningen är behäftad med betydande osäkerhet inte minst eftersom det är svårt att bedöma hur lika EU-

58 Myndigheten för vård- och omsorgsanalys, 2023, Ordnat för omställning? Utvärdering av omställningen till en god och nära vård: delrapport, s. 6 ff. 59 Myndigheten för vård- och omsorgsanalys, 2006, Lapptäcke med otillräcklig täckning, s. 14 ff. 60 Riksrevisionen, 2005, Ökad tillgänglighet i sjukhusvården? s. 24. 61 Riksrevisionen, 2022, På skakig grund – beslutsunderlag inför stora reformer s. 66. 62 Socialstyrelsen, 2014, Vårdgaranti och kömiljard Uppföljning 2013, s. 34.

länderna kommer vara några år efter att EHDS trätt i kraft och hur den föreslagna förordningen kommer påverka ländernas utveckling.

Utredningen ser tre scenarion framför sig för det svenska hälsodataområdet jämfört med föregångsländerna.

10.6.1. Scenario 1 – Utvecklingstakten ligger kvar oförändrat eller försämras

Reformmässigt så har utvecklingstakten på hälsodataområdet enligt utredningen varit låg de senaste tio åren och flera utredningar på området har av olika skäl inte lett till lagstiftning och myndigheternas mandat, roll och relevans på området har också minskat under denna period, till förmån för stärkandet av Inera AB och SKR.

Utredningens bedömning är att det inte är sannolikt att utvecklingstakten förblir oförändrad eller minskar eftersom Regeringen de senaste åren tillsatt en rad utredningar och beslutat om ett stort antal regeringsuppdrag på hälsodataområdet. Men för fullständighetens skull bedömer utredningen att detta scenario ändå kan vara intressant att lyfta, eftersom det på ett bra sätt tydliggör vilka effekter en försämrad utvecklingstakt är och riskerna med att inte investera i hälsodataområdet.

Utredningen ser en risk med att Sverige skulle kunna hamna i en situation där förtroende för offentligt finansierad och offentlig utförd vård skulle kunna börja försvagas om Sverige hamnar ännu mer efter exempelvis våra grannländer. En konsekvens av det skulle kunna vara att allt fler som följd kommer att teckna privata sjukvårdsförsäkring eller välja privata alternativ. Det skulle i sin tur också bidra till att öka de socioekonomiska klyftorna. Utöver att detta skulle kunna skapa en större klyfta mellan individer baserat på deras inkomst så är det sannolikt också så att vårdens medarbetare kommer söka sig till de arbetsplatser som erbjuder en bättre arbetsmiljö där det finns tillgång till datadrivna beslutsstöd, automatiserad datainsamling och behandling. Utvecklingen skulle sannolikt också leda till att offentligt finansierad sjukvård i Sverige skulle vara relativt oproduktiv jämfört med våra grannländer.

Det är enligt utredningen inte en sannolik utveckling på kort och medellång sikt att Sverige går från Beveridge-modell (skattefinansierad sjukvård) till Bismarck-modell (försäkringsfinansierad sjukvård) genom ökat antal privata sjukvårdsförsäkringar, eftersom dagens försäkringar generellt sett endast omfattar en mycket liten del av sjukvården (SOU 2021:80 s. 162).

Ett mer troligt scenario är enligt utredningen snarare att missnöjet med hälso- och sjukvården ökar och leder till högre krav på politiken, samtidigt som problemen blir svårare och dyrare att lösa för varje år som går där problemen inte adresseras i tid. Ett sådant exempel skulle kunna vara genom ett ökat antal privata utförare. Privata utförare i sig behöver inte innebära varken något positivt eller negativt, men om det saknas tydlig nationell styrning så finns det stor risk att de privata utförarna, likt regionerna, skapar egna lösningar vilket fragmentiserar hälsodataområdet ytterligare.

10.6.2. Scenario 2 – Utvecklingstakten ökar till att matcha föregångsländerna

Baserat på ett antagande att Sverige beslutar den lagstiftning kopplat till vidareanvändning av hälsodata och interoperabilitet som behövs och investerar i utvecklingen av en nationell infrastruktur för hälsodata i linje med vad utredningen skrev i sin promemoria (se bilaga 4 Promemoria med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet), finns det möjligheter för Sverige att komma upp i den utvecklingstakt som föregångsländerna har.

Antagandet om att Sverige ska kunna matcha föregångsländernas utvecklingstakt bygger därmed dels på att Sverige ökar sin takt och att föregångsländernas utvecklingstakt inte stannar av och stagnerar.

Under dessa antaganden skulle Sverige om tio år fortsatt ligga tio år efter föregångsländerna. Utredningens bedömning är att Sverige då om tio år kommer ha löst många av de problem som föregångsländerna i dag har löst. Exempelvis gällande ökade förutsättningar för vidareanvändning av hälsodata samt minskad administrativ börda i hälso- och sjukvården.

Det är enligt utredningen inte orimligt att anta att allt fler länder kommer komma i kapp Sverige under denna period, även om Sverige i förhållande till föregångsländerna samtidigt inte halkar efter mer. Effekten av det är att Sverige ur ett internationellt perspektiv då endast kan ses som ytterligare ett land i mängden länder som inte excellerar inom hälsodataområdet.

En trolig effekt av det är att Sverige svårligen kommer kunna konkurrera med föregångsländerna inom områden som är väldigt datatunga, så som precisionsmedicin Därtill skulle konkurrensen om investeringar, men även exporten inom life science-sektorn minska till

följd av att Sverige både minskat sin konkurrenskraft, samtidigt som konkurrensen från andra länder ökat. Det är också rimligt att anta att denna effekt även kommer att synas inom forskningen, inte minst inom hälsodatatunga områden.

10.6.3. Scenario 3 – Utvecklingstakten ökar till en nivå där Sverige kommer i kapp eller går om föregångsländerna

Scenariot att utvecklingstakten skulle öka till en nivå där Sverige kommer i kapp eller går om föregångsländerna skulle innebära omfattande investeringar och starkt politiskt ledarskap. Det skulle kräva en stark samordning av staten, samt mellan staten, kommuner och regioner, forskare, näringsliv och patienter.

Med denna utvecklingstakt bedömer utredningen att Sverige hade kunnat stärka sin konkurrenskraft inom såväl life science som inom flera andra forskningsområden. Det skulle också möjliggöra att Sverige skulle kunna erbjuda en hälso- och sjukvård i världsklass även i framtiden. Det skulle sannolikt också öka effektiviteten i hälso- och sjukvården, men också inom omsorgen till följd av ökad automatisering av datainsamling, effektivare informationsdelning samt smartare beslutsstöd.

I denna typ av prognoser är det mer regel än undantag att nyttorna överskattas och kostnaderna och hindren underskattas.

Utredningen bedömer att om det görs omfattande satsningar på hälsodata så har Sverige en möjlighet att komma i kapp och gå om föregångsländerna på 4–15 års sikt. Utredningen baserar det på att Sverige har fortsatt goda resultat utanför den offentligt finansierade hälso- och sjukvården vad gäller hälsodata, samt framstående forskning, ett starkt näringsliv, bra grundinfrastruktur med exempelvis personnummer. Så om styrningen och utvecklingen av hälsodata inom det offentliga skulle komma i kapp och matcha utvecklingstakten inom exempelvis forskningen eller den privata sektorn så finns goda förutsättningar för Sverige att återta en ledande position inom hälsodata. Anledningen till det stora spannet är att hälsodataområdet är ett heterogent område och Sverige ligger fortsatt bra inom vissa områden, vissa områden går också att förändra mycket snabbare än andra. Mer långtgående strukturproblem tenderar dock att ta långt mycket längre tid.

11. Övergripande beskrivning av utmaningar och behov på hälsodataområdet

11.1. Inledning

I det här kapitlet avser utredningen redogöra för utmaningar och behov av övergripande karaktär. Det finns flera faktorer som gör situationen utmanande. Vi står inför nya förutsättningar som ställer krav på bland annat uppdaterat regelverk, anpassad infrastruktur och modern datahantering. Data har blivit en alltmer central resurs i samhället och allt fler delar av samhället styrs av algoritmer som använder stora mängder data. Det finns flera olika begrepp för att beskriva denna omställning inom hälso- och sjukvården. Utredningen har valt att använda begreppet datadriven hälso- och sjukvård. Med datadriven hälso- och sjukvård avser utredningen processer där data är en central resurs som används för att automatisera eller stötta i beslut eller processer som görs inom eller i angränsning till hälso- och sjukvården. Ett exempel är vid vård av annan patient än den personuppgifterna avser. Det kan också röra sig om automatiserad datainsamling som möjliggör automatiserade beslut. Det kan till exempel handla om användningen av en insulinpump som doserar insulin baserat på de värden från patientens kontinuerliga glukosmätare.

Datadriven hälso- och sjukvård är i sig inget nytt och eftersom data många gånger är information så är det heller inget nytt att vård baseras på kunskap och fakta. Vad som däremot är nytt är den omfattande volymen av data som nu finns tillgänglig. I dag kan vi producera mer data om en individ på några dagar än vad som tidigare var möjligt under en livstid. Detta ställer nya krav på hur vi hanterar de data vi samlar in. Denna omställning är inte helt olik den omställning som skedde i samband med internet, eller när datorerna kom. Det är

inte en sak eller en process som byts ut eller ändras utan det innebär ett helt annat sätt att arbeta och kommer kräva omfattande investeringar. Även om det finns stora vinster med att använda data så finns det också stora utmaningar och direkta och indirekta kostnader. Det finns även gott om exempel på dyra it-projekt där de positiva effekterna aldrig kunnat realiseras. Trots detta kommer Sverige behöva ställa om till en mer datadriven hälso- och sjukvård för att fortsatt kunna erbjuda invånarna en vård i världsklass, men också för att klara framtidens vårdbehov och kostnader. Utmaningarna som Sverige står inför i och med omställningen till en mer datadriven hälso- och sjukvård är många och i detta avsnitt kommer utredningen översiktligt beskriva de utmaningar som Sverige står inför och som faller inom ramen för utredningens arbete.

11.2. Regelverken upplevs som svåra att tillämpa

Utredningen har fått till sig att det finns svårigheter att förstå och tillämpa lagstiftningen på hälsodataområdet. Ett problem som utredningen identifierat är att förarbetena till bland annat patientdatalagen (2008:355), förkortad PDL, i vissa avseenden kan vara svåra att applicera på dagens förutsättningar. Gamla exempel eller utdaterade begrepp medför att tolkningarna av lagen och förarbetena kan gå isär vilket medför att det skapas en osäkerhet om vad som faktiskt gäller. Regelverket verkar därmed vara komplicerat för såväl icke-jurister som jurister. Detta medför att behovet av stöd från jurister ofta är stort. Dessutom finns det en brist på kunniga jurister inom hälsodataområdet och de som har god kompetens har ofta ett pressat schema för att hinna med sina arbetsuppgifter. Dessutom kan tolkningsutrymmen leda till olika lokala tolkningar. Utifrån juristernas perspektiv verkar det upplevas som att efterfrågan på rådgivning överstiger utbudet. Juristerna behöver dessutom ofta ta ställning till en komplex lagstiftning där det saknas konsensus om hur lagen ska tolkas, se kapitel 3 Vad är data och kapitel 19, Frågor för fortsatt utredning för ytterligare resonemang.

En mer enhetlig och tydlig reglering inom hälsodataområdet bedömer utredningen skulle kunna göra att vårdpersonal och forskare på området lättare kan tillskansa sig en mer grundläggande förståelse för regelverket och på så sätt bättre kunna förstå när en jurist behö-

ver rådfrågas. Det finns således ett glapp mellan de jurister som kan området bra och personer ute i verksamheterna som behöver tillämpa regelverken. Det saknas inte bara jurister som kan området utan det saknas även tillräckligt med utbyte mellan professioner i verksamheterna för att få till ett önskvärt scenario.

11.2.1. Utmaningar kopplat till begreppen primär- och sekundäranvändning

I vissa juridiska sammanhang förekommer en uppdelning mellan användning av hälsodata, som utgörs av personuppgifter, för primära respektive sekundära ändamål. I utredningens direktiv ges också uttryck för denna distinktion, genom att det anges att med sekundäranvändning av personuppgifter avses behandling av personuppgifter för något annat ändamål än det primära ändamålet med personuppgiftsbehandlingen. Exempel på uppdelning i primär- och sekundäranvändning är att det i många så kallade registerförfattningar görs en uppdelning i primära ändamål Dessa avser typiskt sett användande av personuppgifter i myndighetens egen verksamhet, och sekundära ändamål som avser utlämnande av personuppgifter till externa mottagare.1

I Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad dataskyddsförordningen eller EU:s dataskyddsförordning finns ingen definition av primär eller sekundär behandling, jämför artikel 4.2, däremot kan det anses finnas en distinktion mellan primära och sekundära ändamål. Skillnaden formuleras genom principen om ändamålsbegränsning i artikel 5.1 b i dataskyddsförordningen. I artikeln framgår det att uppgifter får samlas in för särskilda, uttryckliga och berättigade ändamål och får senare inte behandlas på ett sätt som är oförenligt med dessa ändamål. Bestämmelsen ger uttryck för den så kallade finalitetsprincipen. Utifrån detta kan en åtskillnad göras mellan, å ena sidan, användning för det ändamål som uppgifterna ursprungligen samlades in för (primär användning) och, å andra sidan, vidare användning för

1 Jämför SOU 2017:66 s. 151 och s. 228.

andra ändamål (sekundär användning), för ytterligare beskrivning se kapitel 7 Dataskyddsreglering.2

Alla ändamål som anges i kap. 2 och 7 patientdatalagen (2008:355), förkortad PDL, är berättigade ändamål enligt dataskyddsförordningen. I PDL görs dock ingen skillnad mellan primär- och sekundäranvändning. (se prop. 2007/08:126 s. 56.). Utredningen gör bedömningen att det kan vara svårt att skilja på primäranvändning och sekundäranvändning i praktiken då de många gånger används parallellt (se djupare analys angående innebörden av detta i kapitel 13).

11.2.2. Utlämnande av hälsodata varierar inom och mellan organisationer

Tillgång till hälsodata förutsätter att datat får lämnas ut. Flera aktörer har lyft att menprövningen av utlämnande av hälsodata ibland upplevs komplex, godtycklig och oförutsägbar. Eftersom menprövning är en bedömning ligger det i sakens natur att utfallet kan variera beroende på vem det är som gör prövningen. Mer specifika problem och utmaningar som följer av detta redogörs för i kapitel 15 och 22.

Förutsättningarna för en menprövning inför ett eventuellt utlämnande av hälsodata påverkas av en rad olika faktorer. För att illustrera utmaningarna och dess komplexitet har utredningen gjort en schematisk illustration över två fiktiva regioner i figur 11.1.

I både Region A och B råder det en yttre sekretessgräns mellan verksamheterna hos regionen som vårdgivare och verksamheterna hos de privata vårdgivarna, trots att verksamheterna rent geografiskt kan vara belägen i en och samma region. De privata vårdgivarna illustreras av de grå cirklarna i figuren.

Organiseras verksamheten inom en och samma vårdgivare, såsom Sjukhus 1 i Region A och Primärvård Region A i figur 11.1, uppstår ingen yttre sekretessgräns mellan verksamheterna.

2 Europeiska dataskyddsstyrelsen, 2020, Riktlinjer 03/2020 om behandling av uppgifter om hälsa för vetenskapliga forskningsändamål i samband med covid-19 utbrottet, punkt 11.

Figur 11.1 Schematisk illustration över två fiktiva regioner med olika vårdgivare och vård som bedrivs i både offentlig och privat regi

Källa: Utredningens illustration.

11.3. Utmaningar med omställningen till en mer datadriven hälso- och sjukvård

I detta avsnitt kommer utredningen redogöra översiktligt för icke-juridiska utmaningar och behov som rör omställningen till en mer datadriven hälso- och sjukvård.

11.3.1. Digital infrastruktur för hälsodata

Bristen på en nationell digital infrastruktur har lyfts av en rad aktörer.3 Utredningen har fått till sig att den infrastruktur som finns i dag på hälsodataområdet inte anses vara nationell och att den infrastrukturen som finns i dag har flera brister kopplat till såväl primär- som sekundäranvändning. Utredningen har försökt utröna vilken infrastruktur det handlat om. Utredningens bedömning är att det dels verkar handla om en generell känsla av att det finns många aktörer och ingen tydlig nationell aktör på området. På området finns flera

3 Möte med Barncancerfonden 27 september 2022, SciLifeLab 27 september 2022, Sahlgrenska Universitetssjukhuset 30 september 2022, och Karolinska Institutet 14 november 2022, Research institute of Sweden 10 november 2022.

Specialistsjukvård privat vårdgivare 2 Region B

Sjukhus 1 Region A

Region A

Region A som vårdgivare

Sjukhus 1 Region B

Sjukhus 2 Region B

Primärvård Region A

Region B som vårdgivare

Region B

Specialistsjukvård privat vårdgivare 1 Region B

Specialistsjukvård privat vårdgivare 3 Region B

Specialistsjukvård privat vårdgivare Region A

olika aktörer så som statliga förvaltningsmyndigheter, universitet, regioner, Inera AB med flera. Utöver detta så har även Inera AB:s tjänster lyfts fram specifikt eftersom inte alla aktörer har möjlighet att använda deras tjänster och att Inera AB:s tjänster därmed inte upplevs som nationella. Därutöver har det även lyfts att det kan vara kostsamt eller krångligt att ansluta sig eller att tjänsterna inte täcker alla områden som aktörerna har behov av. Utredningen har inte gjort någon bedömning eller utrett vidare vad som avsetts med krångligt.

Det ingår inte i utredningens uppdrag att ta ett så omfattande grepp om hälsodataområdet, men bristen på samordning och infrastruktur har en stor påverkan på vilka förslag som utredningen kan lämna och vilka nödvändiga avgränsningar utredningen behövt göra. Utredningen egna bedömning är också att debatten och styrningen inom digitalisering och hälsodata präglas av splittring, okunskap, kompetensbrist och glädjekalkyler.4 Utredningen drar denna slutsats dels ifrån egen tolkning av samhällsdebatten, dels från de aktörer som utredningen varit i kontakt med, vilket inkluderar regioner, statliga myndigheter, intresseorganisationer med flera. Utredningen har inte heller träffat någon aktör som gjort bedömningen att infrastruktursatsningar ofta håller de initiala kostnadsberäkningarna och att slutanvändarna som regel är en del av hela beslutsprocessen. Utredningens slutsats är på ingetdera sätt unik för hälso- och sjukvården, utan verkar gälla digitalisering i stort. Det finns gott om dyra it-projekt såväl inom som utanför Sverige som inte levt upp till de förväntningar som fanns vid projektstarten. Utredningen kommer i detta avsnitt bara översiktligt beskriva den nulägesbild som utredningen uppfattat då det är den som utredningen kommer utgå ifrån i resten av betänkandet (se även bilaga 4 Promemoria med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet).

Den svenska digitala infrastrukturen saknar långsiktig styrning och finansiering

Genom den internationella utblicken kan det konstateras att flera länder som anses ha kommit längre än Sverige på hälsodataområdet verkar ha vissa saker gemensamt. Det ena är att de har en tydligare statlig styrning med tvingande regler snarare än frivillighet. Det har

4 Se bland annat Arena Idé, 2022, Digitaliseringslobbyn – på vems villkor digitaliseras vården?

också centraliserat flera av de områden av hälso- och sjukvården där det finns storskalfördelar och flyttat dem från regional nivå till statlig nivå. Detta har sedan kombinerats med statliga långsiktiga investeringar på hälsodataområdet.

Utredningen konstaterar även att EU-regleringar nyligen trätt i kraft eller är på gång vilka alla berör hälsodataområdet (EU:s dataförvaltningsförordning5, förslaget till dataförordning6 och förslaget till förordning om ett europeiskt hälsodataområde [EHDS]7). Samtliga regleringar innefattar olika typer av aktörer eller organ med ansvar för data. För att inte öka på den decentraliserade styrningen bedömer utredningen att det kan övervägas om en och samma statliga myndighet bör få ansvar för att utföra de uppgifter som anges i samtliga av de ovan nämnda EU-förordningarna.

Omställningen till en mer datadriven hälso- och sjukvård kommer att vara kostsam och ta tid. Men ju längre Sverige halkar efter desto mer kommer det att kosta i såväl pengar som livskvalitet och levnadsår för Sveriges medborgare om arbetet inte påskyndas. Det bör i sammanhanget noteras att regionerna håller på att byta ur stora delar av sin digitala infrastruktur och även staten har tagit ett större ansvar för hälsodatafrågorna de senaste åren. Så hur förändringstakten kommer bli till följd av detta är svårt att säga i nuläget. Utredningens bedömning är ändock att utvecklingstakten på hälsodataområdet behöver öka om Sverige ska komma i kapp föregångsländerna (se vidare kapitel 10).

Tillgång till data är nödvändigt för att både göra befintliga behandlingar inom hälso- och sjukvården bättre och mer träffsäkra, men också för att utveckla nya behandlingar. Data behövs också för att hantera de kostnadsrisker som nya behandlingar ofta för med sig. Utredningen

5 Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten). 6 Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och användning av data (dataakten) COM(2022) 68 final av den 23 februari 2022. 7 Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om ett europeiskt hälsodataområde COM(2022) 197 final av den 3 maj 2022.

beskriver ett exempel om användningen av riskdelningsavtal för nya läkemedelsbehandlingar i avsnitt 20.5.1 och 20.6.1. 8,9,10

Omställningen kommer ställa höga krav på den digitala infrastrukturen med tillhörande organisatoriska och juridiska strukturer för att möjliggöra en fungerande datadelning där den hälsodata som delas också är av tillräckligt god kvalitet. Det kommer alltså innebära omfattande investeringar i såväl verksamhets- som it-utveckling för berörda aktörer i kombination med ett omfattande regleringsarbete.

Utredningens bedömning, likt regeringens (prop. 2022/23:1, Utgiftsområde 9 s. 32), är att omställningen till en mer datadriven hälso- och sjukvård präglas av underinvesteringar. Det har bland annat lett till att en stor del av den data som i dag samlas in samlas in manuellt av vårdpersonalen i stället för att göras automatiserat eller genom att redan insamlade data å