SOU 2023:83
Samordnat juridiskt stöd och vägledning för hälso- och sjukvårdens digitalisering
Till statsrådet och chefen för Socialdepartementet
Regeringen beslutade den 30 juni 2022 att tillsätta en särskild utredare för att analysera och lämna förslag på ändamålsenliga och samhällsekonomiskt effektiva åtgärder som bedöms vara motiverade för att åstadkomma en bättre och säkrare informationsförsörjning av hälsodata mellan system och aktörer (dir. 2022:98). Till särskild utredare förordnades 30 juni 2022 Annemieke Ålenius. Den 15 december 2022 förordnades följande personer som experter i utredningen: Magnus Adolfsson (Försäkringskassan), Rosita Ahlstedt (Region Halland), Erik Borälv (Vinnova), Kristina Bränd Persson (Socialstyrelsen), Mathea Franzén (Myndigheten för digital förvaltning), Max Herulf (E-hälsomyndigheten), Suzanne Isberg (Integritetskyddsmyndigheten), Anna Lefevre Skjöldebrand (Swedish Medtech), Josefin Leijon (Region Västerbotten) och Nasser Nuru Mahmud (Folkhälsomyndigheten). Samma dag förordnades som sakkunniga: Johanna Edner (Finansdepartementet), Pontus Holm (Klimat- och näringslivsdepartementet), Omid Mavadati (Socialdepartementet) samt Richard Vesterberg (Finansdepartementet). Pontus Holm entledigades från sitt uppdrag den 30 september 2023. Som huvudsekreterare i utredningen anställdes Bessam Saleh den 1 september 2022 och som sekreterare Kristina Hedberg den 3 oktober 2022 och Petter Wolff den 5 december 2022.
Arbetet har bedrivits i samråd med experter och sakkunniga, som har bidragit med värdefulla och konstruktiva synpunkter. Vi-formen har därför använts i betänkandet även om det kan finnas vissa avvikande uppfattningar.
Utredningen, som antagit namnet Utredningen om infrastruktur för hälsodata som nationellt intresse, överlämnar härmed sitt delbetänkande Samordnat juridiskt stöd och vägledning för hälso- och sjuk-
vårdens digitalisering (SOU 2023:83). Utredningen ska avsluta sitt
arbete senast den 30 april 2024.
Stockholm november 2023
Annemieke Ålenius
/Bessam Saleh Kristina Hedberg Petter Wolff
Sammanfattning
Hälso- och sjukvården är en informations- och kommunikationsintensiv verksamhet som behöver understödjas av effektiv digitalisering för att fungera ändamålsenligt. En grundläggande förutsättning för hälso- och sjukvårdens digitalisering är möjligheterna att behandla stora mängder uppgifter av känslig karaktär. Både uppgiftssamlingarnas storlek och antalet aktörer som delar information inom hälso- och sjukvårdens område har ökat väsentligt de senaste åren. För att bibehålla allmänhetens förtroende behöver denna information hanteras korrekt. Hur informationen ska hanteras och eventuellt kunna delas regleras i ett stort antal överlappande författningar och juridiken upplevs vara komplex, omfattande och svårnavigerad. Utredningen har i dialog med hälso- och sjukvårdens aktörer fått erfara att det råder rättslig osäkerhet vid hantering av information samt att regelverken tolkas olika bland aktörerna. Många gånger upplever hälso- och sjukvårdens aktörer också att det föreligger rättsliga hinder för en säker och effektiv digitalisering. Enligt utredningen är dock många upplevda rättsliga hinder i själva verket rättslig osäkerhet och rädsla att göra fel.
Den rättsliga osäkerheten leder till att hälso- och sjukvårdens aktörer avstår olika satsningar på digitalisering, eller att satsningarna inte blir ändamålsenliga, trots att digitalisering ofta beskrivs som en nödvändig omställning för att hantera många av utmaningarna som hälso- och sjukvården står inför. Digitalisering har stora möjligheter att förbättra för patienter och effektivisera vårdens processer genom att frigöra tid så att personal kan ägna större del av sin arbetsdag åt patientmötet och andra kvalificerade uppgifter som i sin tur kan höja verksamhetens kvalitet. Samtidigt pågår det en rad förberedelser och satsningar både i Sverige och på EU-nivå för ökad delning av hälsodata, bland annat genom kommissionens förslag till Europaparlamentets och rådets förordning om det europeiska hälsodataområdet
(COM (2022) 197 final av den 3 maj 2022), förkortat EHDS, vilket gör det ännu mer angeläget att åstadkomma en mer enhetlig tolkning av hur regelverken tillämpas.
Den rättsliga osäkerheten, de varierande bedömningarna och kommande förändringar på området aktualiserar behovet av att aktörerna på hälso- och sjukvårdens område erbjuds stöd för att tolka och tillämpa lagreglerna. De som tillämpar regelverken behöver erbjudas stöd och vägledning som ger förutsättningar att använda hela det juridiska utrymme som finns och som minskar risken att gå utanför lagens ramar. Det behövs ett mer systematiskt arbete med att identifiera de områden där det råder rättslig osäkerhet och någon som kan vara pådrivande för att möjligheterna som befintlig lagstiftning ger tydliggörs. På så sätt kan digitaliseringen på området utvecklas säkert, i en snabbare takt och åstadkomma en mer effektiv hälso- och sjukvård.
Utredningen har enligt direktiven haft i uppdrag att analysera och föreslå en myndighet, inom den befintliga myndighetsstrukturen, som ska bemyndigas att ta fram så kallade uppförandekoder för behandling av personuppgifter inom hälso- och sjukvårdens område. Uppförandekodernas syfte ska vara att specificera hur EU:s dataskyddsförordning ska tillämpas. Under utredningens gång har det visat sig att en statlig myndighet inte kan besluta om uppförandekoder i dataskyddsförordningens mening åt hälso- och sjukvårdens aktörer. Utredningen har därför analyserat hur en statlig myndighet skulle kunna stimulera och facilitera för hälso- och sjukvårdens aktörer att själva utarbeta sådana koder. Utredningen bedömer att de omfattande formaliakrav och krav på övervakningsorgan som följer med uppförandekoder riskerar att utgöra hinder för att uppförandekoder ska vara ett effektivt handlingsalternativ för staten. En uppförandekod är begränsad till att endast omfatta dataskydd vilket även bidrar till att det enligt utredningen är en mindre lämplig lösning. Utredningen menar att hälso- och sjukvårdens aktörer behöver ges stöd för rättstillämpningen för hela det regelverk som reglerar vårdens informationshantering, inte bara dataskyddsfrågor. Utredningen har därför övervägt om en statlig myndighet skulle kunna stimulera branschen att ta fram en så kallad branschstandard som skulle innehålla stöd och vägledning för hur olika rättsregler kan tillämpas. En branschstandard har inte samma formaliakrav eller begränsning gällande omfattning som en uppförandekod. I båda fallen skulle dock
en statlig myndighet i huvudsak bara kunna samordna, koordinera och främja utarbetandet av en uppförandekod respektive branschstandard. En sådan ordning följer dock inte gängse myndighetsstruktur och skulle enligt utredningen därför riskera att bli otydlig och svårhanterlig för den myndighet som ges i uppdrag att hålla samman arbetet. Dessutom skulle en sådan ordning förutsätta ett frivilligt och ofinansierat engagemang av aktörerna som stödet vänder sig till, något som utredningen också bedömer kan utgöra ett hinder för framdriften av stödet.
Utredningen anser dessutom att staten kan och bör göra mer än att i huvudsak samordna, koordinera och främja hälso- och sjukvårdens aktörer att självmant och på frivillig basis utarbeta uppförandekoder eller branschstandarder. En statlig myndighet bör i stället få i uppdrag att prioritera och samordna de statliga myndigheternas stöd och vägledning till hälso- och sjukvårdens aktörer i juridiska frågor rörande hanteringen av information inom ramen för hälso- och sjukvårdens digitalisering. Myndighetens uppdrag bör riktas mot områden där störst nytta för systemet som helhet kan uppnås. Utredningen föreslår därför att E-hälsomyndigheten ska få i uppgift att samordna de statliga myndigheternas stöd och vägledning i juridiska frågor rörande hanteringen av information för hälso- och sjukvårdens digitalisering. Myndigheten för digital förvaltning (Digg) har i uppgift att stötta och driva på digitaliseringen av hela den offentliga sektorn genom att tillhandahålla juridisk vägledning. Genom den uppgift som E-hälsomyndigheten föreslås att få införs ett områdesspecifikt samordningsansvar för juridisk vägledning för informationshantering inom ramen för hälso- och sjukvårdens digitalisering under den sektorsöverskridande uppgiften som Digg redan har.
I E-hälsomyndighetens samordningsansvar ska bland annat ingå att identifiera rättslig osäkerhet samt upplevda och faktiska juridiska hinder för en säker och effektiv informationshantering. Syftet är att belysa utmaningar som vårdens aktörer står inför och bidra till att frågorna kan hanteras av rätt statlig myndighet. Stödet och vägledningen som utredningen menar att de statliga myndigheterna ska tillhandhålla ska riktas till såväl offentliga som privata aktörer inom hälso- och sjukvårdens område. E-hälsomyndigheten ska samordna de statliga myndigheternas arbete med att ta fram stöd och ska själv kunna ge stöd och vägledning till hälso- och sjukvårdens aktörer. Genom E-hälsomyndighetens samordningsansvar förtydligas också
regeringens förväntningar på samtliga statliga myndigheter med verksamhetsområden som påverkar hälso- och sjukvårdens digitalisering att ge stöd och vägledning. Vidare föreslår utredningen att E-hälsomyndigheten, inom ramen för sitt befintliga samordningsansvar för e-hälsa och digital infrastruktur, årligen till Regeringskansliet ska lämna fördjupade analyser av osäkerhet och rättsliga hinder i författning som hindrar effektiv och ändamålsenlig digitalisering av hälso- och sjukvården. Syftet är att de fördjupade analyserna ska kunna ligga till grund för regeringen att styra myndigheterna, initiera och utarbeta utredningsdirektiv för att ändra nationell lagstiftning eller att kunna driva svenska intressen i internationella processer. Utredningen föreslår att E-hälsomyndigheten samordningsansvar ska framgå av myndighetens instruktion och förordningsändringen ska träda i kraft den 1 januari 2025.
För de utökade uppgifterna behöver E-hälsomyndighetens och Socialstyrelsens förvaltningsanslag tillföras ytterligare medel.
1. Författningsförslag
1.1. Förslag till förordning om ändring i förordningen (2013:1031) med instruktion för E-hälsomyndigheten
Härigenom föreskrivs att det i förordningen (2013:1031) med instruktion för E-hälsomyndigheten införs en ny paragraf 3 c §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
3 c §
E-hälsomyndigheten ska samordna de statliga myndigheternas stöd och vägledning i juridiska frågor rörande hantering av information inom ramen för hälso- och sjukvårdens digitalisering. Myndigheten ska vara samlande, stödjande och pådrivande i förhållande till berörda parter. Inom samordningsansvaret får E-hälsomyndigheten enskilt eller gemensamt med andra statliga myndigheter ge stöd och vägledning till hälso- och sjukvårdens aktörer.
Denna förordning träder i kraft den 1 januari 2025.
2. Utredningens uppdrag och arbete
2.1. Uppdraget och dess avgränsning
Regeringen beslutade den 30 juni 2022 att ge en särskild utredare i uppdrag att analysera och lämna förslag på ändamålsenliga och samhällsekonomiskt effektiva åtgärder som bedöms vara motiverade för att åstadkomma en bättre och säkrare informationsförsörjning av hälsodata mellan system och aktörer.1
Uppdraget kan sägas utgöras av två delar. Den första delen består av förslag på stöd för en mer enhetlig tolkning av juridiken för hälsodata bland aktörerna inom hälso- och sjukvårdens område, och den andra delen består av förslag som skapar ökad interoperabilitet genom standarder. I detta betänkande behandlas den första av dessa delar, det vill säga den om en mer enhetlig tolkning av juridiken.
Skillnaderna i tolkningen av lagstiftningen kan bero på flera saker, bland annat kan det finnas oklarheter eller hinder som kan behöva hanteras eller förtydligas. Skillnaderna som uppstår kan också bero på att kunskapsläget i de här frågorna varierar.
Den särskilda utredaren gavs därför i uppdrag att föreslå en myndighet, inom den befintliga myndighetsstrukturen, som ska bemyndigas att ta fram uppförandekoder för behandling av personuppgifter inom hälso- och sjukvårdens område med syfte att specificera hur EU:s dataskyddsförordning2 ska tillämpas. I direktiven har utredningens uppdrag avgränsats till hälso- och sjukvårdens område. Utredningen har uppmärksammats på att den delen av omsorgen som omfattas av den nya lagen (2022:913) om sammanhållen vård-
1 Dir. 2022:98 Hälsodata som nationellt intresse – en lagstiftning för interoperabilitet. 2 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
och omsorgsdokumentation, förkortad SVOD, bör omfattas av utredningens uppdrag eftersom det även där råder stor osäkerhet och brist på enhetlighet i tolkningen av dataskydds- och informationssäkerhetsreglerna. Utredningen har övervägt detta och menar att mycket av det stöd som kan resultera av utredningens förslag också kan komma omsorgens aktörer till del. Ett skäl för utredningen att inte utvidga uppdraget är att såväl hälso- och sjukvårdens som omsorgens område omfattas av ett stort antal lagar som överlappar varandra och bildar komplexa samband och beroenden. Dessutom kännetecknas båda verksamhetsområdena av många olika typer av it-system samt verksamheter och huvudmän, såväl kommuner och regioner som privata sådana. Att omhänderta all denna komplexitet från start riskerar att försena alternativt äventyra införandet av förslaget.
2.2. Tolkning av uppdraget
Enligt direktiven ska vi utreda och lämna förslag på en myndighet, inom den befintliga myndighetsstrukturen, som ska bemyndigas att ta fram uppförandekoder för behandling av personuppgifter inom hälso- och sjukvårdens område med syfte att specificera hur EU:s dataskyddsförordning ska tillämpas.
Det finns anledning att titta närmre på orden bemyndigande och uppförandekoder i strecksatsen i förhållande till syftet med uppdraget. Bemyndigande är en juridisk term och innebär en tilldelning av befogenhet. Normgivningsmakten, det vill säga rätten att besluta om rättsregler, regleras främst i 8 kapitlet i regeringsformen, förkortad RF. Enligt RF meddelas föreskrifter genom lag av riksdagen och av regeringen genom förordning. Föreskrifter kan också, efter bemyndigande av riksdagen eller regeringen, meddelas av statliga myndigheter och av kommuner. Endast dessa offentliga organ kan utöva normgivningsmakt i RF:s mening. Enligt RF kan det organ som anförtrotts normgivningskompetens inte delegera denna utan uttryckligt lagstöd eller stöd i bemyndiganden. Rättsregler karaktäriseras av att de är bindande för statliga myndigheter, kommuner, regioner och enskilda och av att de inte bara avser ett konkret fall utan har generell tillämpbarhet.
En uppförandekod i dataskyddsförordningens mening är enligt artikel 40 en möjlighet för sammanslutningar som företräder kate-
gorier av personuppgiftsansvariga eller personuppgiftsbiträden inom en viss bransch eller sektor, att frivilligt komma överens om hur man i praktiken ska tillämpa förordningen. Det är således inte myndigheter, utan (i det aktuella fallet) de som är personuppgiftsansvariga för behandling av personuppgifter inom hälso- och sjukvårdens område eller företrädare för dessa som enligt dataskyddsförordningen ska utarbeta förslag till uppförandekoder.
Uppförandekoder i strecksatsen i direktiven kan också vara en synonym för branschstandarder och andra frivilliga riktlinjer i syfte att klargöra hur en bransch ska handla, se vidare i kapitel 5.
Oavsett vilken av tolkningarna man utgår från är uppförandekoder frivilliga att upprätta och ansluta sig till, saknar rättsverkan och borde därför inte vara att betrakta som en rättsregel och därför inte heller kräva ett normgivningsbemyndigande i RF:s mening. Mycket talar därför för att ordet bemyndigande i strecksatsen inte ska tolkas som ett normgivningsbemyndigande.
En myndighet får enligt legalitetsprincipen endast vidta åtgärder som har stöd i rättsordningen. Myndigheternas verksamhet ska därför lyda under lag och andra författningar. Det som myndigheterna har stöd i rättsordningen att göra utgör myndighetens kompetensområde. Regleringen av de statliga myndigheternas kompetensområde sker främst genom myndighetens instruktion och av specialförfattningar som reglerar myndighetens verksamhet. Som ovan nämnts så är ett bemyndigande en tilldelning av befogenhet. En tilldelning av ansvar och uppgifter, genom exempelvis en myndighets instruktion, torde således också vara att betrakta som en form av bemyndigande som i sin tur utgör det rättsliga stödet för myndighetens kompetensområde.
Bemyndiga i strecksatsen ska enligt utredningen därför i förhållande till ordet uppförandekoder tolkas som ett sådant bemyndigande som mer generellt reglerar en myndighets kompetensområde. Som tidigare konstaterats initieras och beslutas uppförandekoder av de personuppgiftsansvariga och är frivilliga att ansluta sig till. En statlig myndighet kan därför inte bemyndigas att besluta om uppförandekoder. Däremot kan en myndighet tilldelas ansvaret och uppgiften att samordna, koordinera och utarbeta en uppförandekod åt hälso- och sjukvårdens aktörer.
Direktiven framhåller att det finns behov av stöd för hantering av personuppgiftsbehandling i flera situationer och för olika ändamål.
Utredningen bedömer att syftet med den här delen av utredningsuppdraget är att lämna förslag som ger det mest ändamålsenliga stödet och vägledningen för rättstillämpningen för hälso- och sjukvårdens aktörer. Utredningen har därför valt att inte begränsa analysen av lämplig form för stödet till enbart uppförandekoder i dataskyddsförordningens mening utan tittat brett på de uppgifter och uppdrag som en myndighet kan tilldelas i syfte att stödja hälso- och sjukvårdens aktörer i dess hantering av hälsodata. I och med utredningens ansats att tolka uppdraget bredare skulle ordet bemyndigande i direktivens strecksats kunna tolkas som ett normbemyndigande. Om syftet är att specificera hur EU:s dataskyddsförordning ska tillämpas kan man genom lag välja att ta fram väldigt detaljerade och specificerade regler och på så sätt undanröja tolkningsmöjligheter. Denna möjlighet finns redan genom exempelvis det bemyndigande Socialstyrelsen har att utfärda föreskrifter om journalhandlingars innehåll och utformning. Det ter sig inte heller ändamålsenligt att utforma rättsregler på det sättet. Det borde därför enligt utredningen inte vara den typen av bemyndigande som menas.
2.3. Centrala begrepp utredningen använder
2.3.1. Hälso- och sjukvård
Hälso- och sjukvård syftar enligt hälso- och sjukvårdslagen (2017:30), förkortad HSL, på åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador. Till hälso- och sjukvården hör även sjuktransporter samt att ta hand om avlidna (2 kap. 1 § HSL). Kommuner ansvarar för hälso- och sjukvård som ges i patientens bostad eller motsvarande. Hemsjukvård ges i såväl ordinärt som särskilt boende samt i daglig verksamhet och dagverksamhet. Tandvård omfattas inte av HSL utan regleras i stället av tandvårdslagen (1985:125). Tandvård syftar enligt tandvårdslagen på åtgärder för att förebygga, utreda och behandla sjukdomar och skador i munhålan (1–2 §§tandvårdslagen).
När utredningen i betänkandet skriver hälso- och sjukvård så avses all hälso- och sjukvård, inklusive den hälso- och sjukvård som kommuner ansvarar för, tandvård, elevhälsans medicinska insats samt statlig hälso- och sjukvård som bedrivs av myndigheter som exem-
pelvis Statens institutionsstyrelse och Kriminalvården, oavsett om vården är offentligt eller privat finansierad.
2.3.2. Hälso- och sjukvårdens område
Enligt direktiven ska stödet tas fram för behandling av personuppgifter inom hälso- och sjukvårdens område. Det finns ingen vedertagen avgränsning för begreppet. All den verksamhet som ryms inom utredningens definition av hälso- och sjukvård ligger klart inom hälso- och sjukvårdens område. I det här sammanhanget, stöd för hantering av hälsodata, är det dock lämpligt att även andra närliggande verksamheter som exempelvis läkemedel och medicinteknisk utrustning omfattas. En förutsättning för att räknas som närliggande verksamheter bör dock vara att den informationshantering som sker i verksamheterna görs med det primära ändamålet hälso- och sjukvård samt uppföljning och utveckling av densamma, inte forskning eller andra ändamål.
När utredningen i betänkandet skriver hälso- och sjukvårdens område så avses all den verksamhet som bedrivs inom ramen för HSL och tandvårdslagen samt andra närliggande verksamheter som behandlar uppgifter primärt för ändamålet hälso- och sjukvård.
2.3.3. Hälso- och sjukvårdens aktörer
När utredningen i betänkandet skriver hälso- och sjukvårdens aktörer så avses de aktörer (så som exempelvis regioner och kommuner i egenskap av huvudmän eller vårdgivare, eller andra vårdgivare) som verkar inom de verksamheteter som bedrivs inom ramen för HSL och tandvårdslagen samt andra närliggande verksamheter.
2.4. Utredningens arbete med delbetänkandet
Utredningen påbörjade sitt arbete i september 2022. Utredningen har haft fem sammanträden med utredningens experter och sakkunniga. I föreliggande avsnitt redogör vi för den delen av arbetet som är hänförligt till detta betänkande.
Utredningens sekretariat har bland annat träffat olika representanter från regioner, kommuner och privata vårdgivare som utför offentligt finansierad hälso-och sjukvård. Dessa utgör aktörer som stödet kommer att vända sig till. Däröver har utredningen träffat statliga myndigheter, Swedish Medtech och Vårdföretagarna.
Sekretariatet har även närvarat vid en konferens i Norge för att få inblick i hur kommunikations- och utbildningsinsatser för att sprida kunskap om innehållet i deras branschstandard (kallad Normen) till målgruppen kan göras.
Utredningens sekretariat har även träffat kansliet för Normen, sekretariatet för eSamverkan och andra sammanslutningar av representanter från verksamheter som berörs av hur regelverken tolkas.
Utredningens sekretariat har dessutom anordnat två workshops för att inhämta synpunkter om vilka rättsliga frågor som upplevs mest angeläget att enas kring samt vilka aktörer som bör representera branschen. Den ena workshopen hölls med ett tiotal av Swedish Medtechs medlemmar och den andra med ungefär lika många av Vårdföretagarnas medlemmar.
Det pågår flera utredningar som på olika sätt är av betydelse för utredningens uppdrag. Sekretariatet har under arbetets gång haft återkommande avstämningar med Utredningen om sekundäranvändning av hälsodata (S 2022:04) samt Utredningen om interoperabilitet vid datadelning (I 2022:03).
2.5. Delbetänkandets disposition
Betänkandet består av totalt elva kapitel. Utöver de två första kapitlen (författningsförslag och detta kapitel om utredningens uppdrag och arbete) följer ett kapitel som innehåller en beskrivning av informationshanteringen inom hälso- och sjukvården (kapitel 3). Kapitel 4 behandlar behovet av stöd för rättstillämpningen. I kapitel 5 redogör vi för olika typer av stöd som finns i syfte att underlätta rättstillämpningen. I kapitel 6 beskriver vi hur Norge valt att arbeta med stöd för rättstillämpningen eftersom det stödet har ansetts kunna utgöra en lämplig väg även för Sverige. I kapitel 7 redogör vi för våra utgångspunkter för de förslag vi lägger i kapitel 8. I kapitel 9 redovisar vi konsekvenserna av våra förslag.
Vi väljer också att presentera en alternativ lösning (kapitel 10) som utredningen bedömer ligger närmre lydelsen i strecksatsen i direktiven men som utredningen bedömer vara ett mindre lämpligt alternativ.
BAKGRUND
3. Informationshantering inom hälso- och sjukvården
3.1. Kort om reglering av informationshantering inom hälso- och sjukvården
Hälso- och sjukvården behandlar stor mängd information. Många av uppgifterna rör hälsa och personliga förhållanden och det är därför av stor vikt att skyddet för den personliga integriteten respekteras. Frågan om myndigheters behandling av personuppgifter på automatiserad väg innefattar avvägningar mellan skyddet för den personliga integriteten och andra viktiga samhällsintressen. I regeringsformen anges bland annat att det allmänna ska värna den enskildes privatliv och familjeliv (1 kap. 2 § fjärde stycket RF). Var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 § andra stycket RF). Denna fri- och rättighet kan under vissa förutsättningar begränsas genom lag (2 kap. 20 och 21 §§ RF).
Hälso- och sjukvårdens informationshantering regleras i ett stort antal olika regelverk. På en övergripande nivå har lagstiftning som offentlighets- och sekretesslagen (2009:400), förkortad OSL, arkivlagen (1990:782), tryckfrihetsförordningen (1949:105), förkortad TF, och patientsäkerhetslagen (2010:659), förkortad PSL, betydelse. EU:s dataskyddsförordning är det grundläggande regelverket för behandling av personuppgifter. Utöver dataskyddsförordningen finns kompletterande bestämmelser i nationell lagstiftning genom dataskyddslagen. Sektorsspecifikt för hälso- och sjukvården finns det ytterligare bestämmelser om personuppgiftsbehandling och journalföring i PDL, och lagen om sammanhållen vård- och omsorgsdokumentation. Kompletterande bestämmelser finns bland annat i patientdataförordningen (2008:360) och i Socialstyrelsens föreskrifter och all-
männa råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården.1 Det finns vidare annan lagstiftning där personuppgiftsbehandling för hälsouppgifter regleras, bland annat lagen (2018:1212) om nationell läkemedelslista, förkortad NLL, samt lagen (2017:612) om samverkan vid utskrivning från sluten hälso- och sjukvård.
3.2. Tidigare utredningar samt pågående arbete av betydelse för uppdraget
3.2.1. E-hälsokommittén
Regeringen beslutade den 19 december 2013 att tillkalla en särskild utredare för att se över ändamålsenlighet och ansvarsfördelning när det gäller tillhandahållande och utformning av it-stöd för personal, vård- och omsorgsgivare och andra aktörer inom hälso- och sjukvård och socialtjänsten.2 Utredningen, som antog namnet E-hälsokommittén, föreslog att E-hälsomyndigheten skulle få ett instruktionsenligt uppdrag att verka för god informationssäkerhet vid behandling av personuppgifter i hälso- och sjukvården, öppenvårdsapoteken och i socialtjänsten.3 Myndigheten skulle på så sätt kunna ge råd och stöd till vårdgivare, tillståndshavare och den som bedriver socialtjänst i arbetet med informationssäkerhet. E-hälsokommittén hade inspirerats av det norska arbetet med Normen. Enligt kommittén behövdes det även i Sverige fördjupad samverkan i frågor om informationssäkerhet för att öka kunskapen om regelverk och för att öka följsamheten till gällande regelverk för informationssäkerhet. Utredningen menade att Normen skulle kunna utgöra inspiration för en sådan fördjupad samverkan. De bedömde att det även sannolikt skulle komma att krävas ett arbete att samla reglering och vägledning inom området informationssäkerhet för att tillgängliggöra det för användarna på ett sådant sätt att det skulle kunna underlätta tillämpningen och gör den mer enhetlig.
1 Enligt 2 och 3 §§patientdataförordningen (2008:360) får Socialstyrelsen meddela föreskrifter om bland annat säkerhetsåtgärder efter att Socialstyrelsen har gett Integritetsskyddsmyndigheten tillfälle att yttra sig. 2 Dir. 2013:125 Tillgänglig och säker information i hälso- och sjukvård och socialtjänst. 3SOU 2015:32Nästa fas i e-hälsoarbetet.
3.2.2. Integritetskommittén
Regeringen beslutade den 8 maj 2014 att tillkalla en parlamentarisk kommitté med uppdrag att, utifrån ett individperspektiv, kartlägga och analysera sådana faktiska och potentiella risker för intrång i den personliga integriteten som kan uppkomma i samband med användning av informationsteknik i såväl privat som offentlig verksamhet.4Kommittén, som antog namnet Integritetskommittén, föreslog att regeringen skulle uppdra åt vissa utpekade myndigheter att i samråd med Datainspektionen (nuvarande Integritetskyddsmyndigheten, förkortad IMY) stå för merparten av det arbete som en myndighet behöver utföra när det gäller uppförandekoder.5 Integritetskommittén konstaterade att skyldigheten att uppmuntra framtagandet av koder enligt dataskyddsförordningen ligger både på medlemsstaten och på tillsynsmyndigheten (artikel 40.1 i dataskyddsförordningen).
När det gällde hantering av personuppgifter i hälso- och sjukvården angav kommittén att allvarliga risker uppstår i samband med informationshantering, detta till följd av bristande ledning och bristande ansvarstagande över informationssystemen och de personuppgifter som hanteras i dessa. Andra problemområden som lyftes var komplexa miljöer med många olika system för hantering av information, gamla system, brist på gemensamma lösningar (till exempel gemensam infrastruktur), bristande regelefterlevnad, bristande kunskaper hos både personal och ledning samt bristande informationssäkerhet. För att komma till rätta med de utmaningar gällande hantering av personuppgifter i hälso- och sjukvården och socialtjänsten som hade identifierats föreslog kommittén att någon myndighet, förslagsvis E-hälsomyndigheten, skulle få i uppdrag att initiera och stödja utarbetandet av en uppförandekod. För att ytterligare stödja de personuppgiftsansvariga i den svåra personuppgiftshanteringen föreslog de att E-hälsomyndigheten även skulle upprätta ett sekretariat som skulle stödja de personuppgiftsansvariga i det praktiska arbetet med koden. Med beaktande av de tillämpningsproblem som vårdgivarna haft avseende patientdatalagen ansåg kommittén att det var lämpligt att staten skulle ta ett särskilt ansvar för uppförandekoder inom detta område. Genom att knyta ett arbetande sekretariat till utvecklingen och förvaltningen av en sådan uppförandekod skulle
4 Dir. 2014:65 Den personliga integriteten. 5SOU 2017:52Så stärker vi den personliga integriteten.
arbetet med koden enligt kommittén bli mer strukturerat och utåtriktat.
Även Integritetskommittén ansåg att de uppförandekoder som tagits fram för hälso- och sjukvården i Norge (Normen) skulle kunna tjäna som förebild där en form av representativ styrelse skulle bildas för att fatta de formella besluten om koden och dess innehåll.6Vidare ansåg de att uppförandekoderna borde kompletteras med stödjande insatser och dokument för att de verkligen skulle få genomslag och utgöra stöd i tillämpningen.
3.2.3. E-hälsomyndighetens regeringsuppdrag om sammanhållen journalföring
E-hälsomyndigheten fick i april 2021 uppdraget att analysera och föreslå hur de legala möjligheterna till sammanhållen journalföring kan nyttjas i så stor utsträckning som möjligt i vården och i omsorgen – i hela landet och av alla vårdgivare.7 E-hälsomyndigheten angav i slutrapporten att myndigheten i dialogen med en rad aktörer inom sektorn erfarit att det fanns stor osäkerhet kopplad till tillämpningen av rättsreglerna på området.8 Osäkerheten fanns hos såväl beslutsfattare som enskilda medarbetare i vård och omsorg. Inte minst mindre aktörer hade uttryckt att det rådde brist på juridiska resurser och kompetens. I rapporten framhöll myndigheten därför att det vore lämpligt att staten tog ett särskilt ansvar för så kallade uppförandekoder för behandling av personuppgifter inom detta område. Som förslag gavs därför att ett sekretariat för uppförandekoder skulle upprättas på E-hälsomyndigheten. Som skäl för placeringen av sekretariatet angavs att E-hälsomyndigheten enligt sin instruktion har i uppgift att samordna regeringens satsningar på e-hälsa och övergripande ska följa utvecklingen på e-hälsoområdet, och att ett sekretariat för förvaltningen av de gemensamma uppförandekoderna därför skulle stämma väl överens med myndighetens uppdrag.
6 Normen inte en uppförandekod enligt dataskyddsförordningen, se vidare avsnitt 6.5. 7 Regeringen (2021) Uppdrag att föreslå hur sammanhållen journalföring kan nyttjas i större ut-
sträckning – S2021/03119.
8 E-hälsomyndigheten (2022) Sammanhållen journalföring, möjligheter till digital informations-
försörjning på hälsodataområdet.
3.2.4. Diggs instruktionsenliga uppgift att ge rättsligt stöd till offentlig förvaltning avseende digitalisering
I Digitaliseringsrättsutredningens slutbetänkande bedömde utredningen att regeringen borde överväga att etablera en funktion med juridisk expertis inom Myndigheten för digital förvaltning, förkortad Digg.9 Även i Kommunutredningens slutbetänkande och i Öppna data-utredningens delbetänkande uttrycktes behov av stöd inom rättsligt stöd avseende digitalisering.10 Vidare identifierade Välfärdskommissionen ett behov av tillgång till ett förstärkt stöd till kommuner och regioner vad gäller juridisk kompetens inom digitaliseringsområdet.11 Det identifierade behovet har bland annat handlat om att analysera hur rättsliga utmaningar kan hanteras samtidigt som förvaltningens digitalisering främjas.
För att svara mot behovet av rättsligt stöd gav regeringen i budgetpropositionen för 2021 Digg medel för att fortlöpande ge rättsligt stöd till offentlig förvaltning avseende digitalisering. I januari 2021 gavs Digg även ett särskilt regeringsuppdrag att påbörja arbetet.
Enligt uppdraget ska Digg tillhandahålla rättsligt stöd till den offentliga förvaltningen avseende förvaltningsgemensamma digitaliseringsfrågor. Det rättsliga stöd som ges ska utformas så att en hög grad av spridning och återanvändning kan åstadkommas och ska således inte riktas till enskild aktör, dvs. kommun, region eller statlig myndighet. I uppdraget ingår att etablera former för att på ett lättillgängligt sätt kommunicera och sprida kunskap till den offentliga förvaltningen om de råd, vägledningar, eller liknande som ges. Digg ska vidare identifiera och analysera behov av eventuella författningsändringar för att främja den fortsatta digitaliseringen. Arbetet ska bedrivas så att varaktig samverkan med myndigheter och andra aktörer som bistår offentlig förvaltning med rättsligt stöd inom digitaliseringsområdet etableras. Detta med avseende på hur synergier och tydlighet beträffande ansvarsfördelning kan skapas. Digg ska därför inhämta synpunkter och behov från relevanta myndigheter och andra aktörer, däribland Sveriges Kommuner och Regioner och Rådet för digitalisering av rättsväsendet. Under uppdragets genomförande ska
9SOU 2018:25Juridik som stöd för förvaltningens digitalisering . 10SOU 2020:8Starkare kommuner – med kapacitet att klara välfärdsuppdraget samt SOU 2020:55
Innovation genom information.
11 Välfärdskommissionen (2021) Välfärdskommissionens slutredovisning till regeringen (Finans-
departementet).
särskilt beaktas den struktur som etableras inom ramen för Ena – Sveriges digitala infrastruktur.12
Uppdraget bestod av två delar som redovisades i en delrapport och en slutrapport.13 I delredovisningen för regeringsuppdraget beskriver Digg offentliga aktörers behov av rättsligt stöd och i slutredovisningen av uppdraget redogör myndigheten för etableringen av rättsligt stöd samt utgångspunkter för Diggs arbete med att ge rättsligt stöd. Uppgiften framgår numera genom 6 § 6 i förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning där det framgår att myndigheten ska ge vägledning till den offentliga förvaltningen i juridiska frågor inom ramen för den förvaltningsgemensamma digitaliseringen.
12 Regeringen (2021) Uppdrag att tillhandahålla rättsligt stöd till offentlig förvaltning avseende
digitalisering
13 Digg (2021) Rättsligt stöd till offentlig förvaltning avseende digitalisering. Delrapport:
Beskrivning av behovet samt Digg (2021) Rättsligt stöd till offentlig förvaltning avseende digitalisering. Slutrapport: Etablering av rättsligt stöd
4. Behov av stöd för rättstillämpningen
4.1. Behovet av stöd vid informationshantering inom hälso- och sjukvården
Hälso- och sjukvården är en kommunikations- och informationsintensiv verksamhet som ställer höga krav på skyddet för den personliga integriteten. Att värna den personliga integriteten handlar inte bara om att skydda personuppgifter från otillåten behandling eller obehörig åtkomst, det handlar även om att säkerställa att relevant information kan användas när och där den behövs. I dagens system där vårdens information inte alltid samordnas över patientens hela resa genom vården tenderar informationen att bli centrerad kring olika enheters intressen.1 Inte sällan blir patienten informationsbärare vid organisatoriska övergångar.2 När viktig information inte följer patienten riskerar viktig information att tappas bort eller förvanskas och utgör därmed en patientsäkerhetsrisk.
Osäkerheten bland hälso- och sjukvårdens aktörer om tillämpningen av rättsreglerna på området har sannolikt bidragit till brister i dagens datadelning. Denna osäkerhet finns på olika organisatoriska nivåer, både hos beslutsfattare inom kommuner, regioner och privata vårdgivare samt hos enskilda medarbetare i vård och omsorg. Inte minst mindre aktörer uttrycker att det råder brist på juridisk kompetens inom området.3
1 SWElife (2016) Från öar av data till kunskap för samhällsnytta – ett vägskäl för hälso-och sjuk-
vårdens informationsförsörjning.
2 Se till exempel Barncancerfonden (2022) Vems ansvar är jag nu? Informationskontinuiteten i Sverige är generellt sämre än jämförbara länder, se Myndigheten för vård- och omsorgsanalys (2022) Vården ur befolkningens perspektiv, 65 år och äldre. Rapport 2022:2, s. 75. 3 E-hälsomyndigheten (2022) Sammanhållen journalföring, möjligheter till digital informations-
försörjning på hälsodataområdet.
Rättsreglerna som hälso- och sjukvårdens aktörer har att följa är många, och de finns på flera nivåer i form av EU-lagstiftning, nationella lagar, förordningar och myndighetsföreskrifter. I kombination med den rättsliga osäkerheten bidrar det till att vårdens aktör upplever att de behöver lägga mycket energi, tid och resurser på att leta och försöka förstå regelverken i stället för att vidta rätt åtgärder när man bygger it-system och hanterar information. Flera aktörer har framfört att man vill ha ett mer sammanhållet och för hälso- och sjukvården anpassat stöd för att bringa klarhet i olika juridiska frågor och för att minimera bördan att behöva leta på olika ställen. Förordningsförslag från EU och förändringar i nationell lagstiftning pågår parallellt som gör aktörerna extra osäkra.
Det omfattande, komplexa och rörliga regelverk som reglerar hantering av information inom hälso- och sjukvården kännetecknas också av den relativt begränsade omfattningen på rättspraxis. Detta eftersom det är ett område som i hög grad består av så kallat faktiskt handlande och inte av myndighetsutövning som mynnar ut i överklagbara beslut. Enskilda som exempelvis är missnöjda med att deras journaluppgifter inte kan delas inom den egna regionen medan det är möjligt i en annan region har därför begränsade möjligheter att driva på regeltolkningen. Rättspraxis på området kommer främst via överklaganden efter tillsynsbeslut av IMY efter beslut som fattats av IMY efter dataskyddstillsyn enligt artikel 58 i dataskyddsförordningen. Sammantaget är området svårt att navigera och överblicka, och det är därför inte förvånande att aktörerna upplever svårigheter att tillämpa reglerna.
4.2. Varierande bedömningar och rättslig osäkerhet
Utredningens sekretariat har genomfört två workshoppar med syftet att identifiera vilka rättsliga frågor som aktörerna upplever det råder mest osäkerhet kring och som är mest angeläget att prioritera. Utredningen har dessutom haft åtskilliga dialoger med representanter för aktörerna inom hälso- och sjukvården i samma syfte. Flera aktörer som utredningen varit i kontakt med framhåller att rädslan att göra fel ibland skapar ett restriktivt förhållningssätt hos dem som ska tolka reglerna, vilket i sin tur skapar ett mindre juridiskt utrymme än befintlig lagstiftning faktiskt ger. Samtidigt menar aktörerna att de som är
verksamma inom hälso- och sjukvården, på grund av både tids- och resursbrist, ibland tittar på lösningar eller tolkningar som gjorts av andra aktörer. Detta görs utan någon egen analys av frågan eller vetskap om det funnits unika förutsättningar för den organisation som tolkat frågan i första ledet. Aktörerna menar att det restriktiva förhållningssättet i kombination med förfarandet att osjälvständigt kopiera bedömningar riskerar att cementera uppfattningar om juridiska hinder som faktiskt inte finns. Aktörerna avstår ibland digitaliseringsinitiativ som skulle öka förutsättningarna för ett fungerande informationsflöde på grund av osäkerheten och rädslan att göra fel.
Osäkerhet kring tolkningar kan också innebära att verksamheterna går utanför det av lagstiftaren avsedda juridiska utrymmet.
Utredningen kan även konstatera att det förekommer skillnader i hur regioner tolkar de olika rättsreglerna, något som leder till svårigheter för aktörer inom hälso- och sjukvården med verksamhet i flera regioner. Till exempel kan en sådan aktör få behandla personuppgifter på ett sätt i en region, samtidigt som den inte får det i en annan. Detta skapar ofta både dyrare och mer otympliga lösningar för aktören med verksamhet i flera delar av landet.
Osäkerheten kring de juridiska bedömningarna handlar inte enbart om hur personuppgifter får behandlas utan även om informationssäkerhet i stort. Ett exempel som lyfts är hantering av uppgifter om vårdens kapacitet, brister och sårbarheter under pandemin, där aktörer på olika nivåer har gjort olika bedömningar kring lämpliga säkerhetsåtgärder för samma typ av uppgift.
Samtidigt pågår det en rad förberedelser och satsningar både i Sverige och på EU-nivå för ökad delning av hälsodata, bland annat genom kommissionens förslag till Europaparlamentets och rådets förordning om det europeiska hälsodataområdet (COM (2022) 197 final av den 3 maj 2022), förkortat EHDS. Aktörerna menar att de förändringarna gör det ännu mer angeläget att få till stånd en gemensam och enhetlig tolkning av EU:s dataskyddsförordning och andra regelverk som reglerar informationshanteringen vid hälso- och sjukvårdens digitalisering.
Ett annat område som många aktörer anser tolkas på olika sätt är reglerna för samtycke när det gäller tillgång till journaler eller nationella läkemedelslistan. Vissa verksamheter kräver ett nytt samtycke vid varje vårdtillfälle medan andra har tolkat det som att samtycket kan ges för en viss period, exempelvis ett år. Samtidigt upplever flera
aktörer att just samtyckesinhämtningen kan kännas onödigt betungande vid exempelvis täta och regelbundna läkarkontakter som sker med en och samma patient. Om det finns ett legalt utrymme för en tolkning där samtycket kan ges för en viss tidsperiod skulle ett tydliggörande av detta kunna minska arbetsbördan för personalen.
Egenmonitorering, där patienter med hjälp av digital teknik kan mäta sina värden där de befinner sig, är en viktig del i omställningen mot nära vård. Frågan om vilka typer av egeninsamlade data som samlas in, samt hur dessa ska få behandlas är komplicerade juridiska frågeställningar. Gråzoner kan exempelvis uppstå mellan vad som utgör privat bruk eller hälso- och sjukvård och omfattningen av tjänsteleverantörens respektive hälso- och sjukvårdens personuppgiftsansvar. Verksamheterna ser ett stort behov av att råda bot på osäkerheten kring de juridiska frågeställningarna som är förknippade med egenmonitorering.
När det gäller den vård som kommuner ansvarar för kommer användningen av välfärdsteknik att öka. Välfärdstekniska produkter genererar en stor mängd data som ofta utgörs av känsliga personuppgifter. Även på detta område finns många tolkningssvårigheter i förhållande till personuppgiftsbehandling och informationssäkerhet.4I andra sammanhang har det framkommit att kommunerna efterfrågar nationellt stöd bland annat avseende juridik, informationssäkerhet, standarder, termer och begrepp.5
En annan av aktörerna prioriterad fråga är behovet att förnya vårdens it-system så att de vilar på modern it-arkitektur som använder moderna lösningar såsom molntjänster och artificiell intelligens (AI). Denna omställning aktualiserar såväl nya juridiska frågor, exempelvis datatillgänglighet och det juridiska ansvaret för ställda diagnoser i AIlösningar, som behovet av att ensa tolkningarna kring frågor om lagring av hälsodata i moln och pseudonymisering av personuppgifter.6
Dagens regelverk upplevs också bestå av ett lapptäcke av olika regler som mer eller mindre går in i varandra och som ständigt genomgår förändringar, vilket gör dem svåra att överblicka och tolka. Verksamheterna upplever även att de ofta behöver värdera de olika regelverken mot varandra, inte minst patientsäkerhet i förhållande till
4 Se mer utförligt om problematiken i SOU 2020:14Framtidens teknik i omsorgens tjänst och Socialstyrelsen (2019) Säker personuppgiftsbehandling i socialtjänsten, s. 17. 5SOU 2020:14Framtidens teknik i omsorgens tjänst, s. 506. 6 Problematiken kring AI beskrivs mer i Statens medicin-etiska råd (2020), Kort om artificiell
intelligens i hälso- och sjukvården.
dataskydd. I takt med att nya regelverk tagits fram har även vissa grundläggande begrepp fått olika betydelse i olika regelverk – samtidigt som de ska tillämpas av samma aktörer. Exempelvis har begrepp som vårdgivare och hälso- och sjukvård olika betydelse i olika centrala lagar för de verksamma inom hälso- och sjukvården.7
Mycket har hänt med hälso-och sjukvårdens it-system sedan PDL infördes 2008. Att alla aktörer självständigt ska tolka det omfattande regelverket i takt med att de inför nya moderna it-system leder naturligt till skillnader i tillämpningen.
Sammantaget skapar de varierande bedömningarna och den rättsliga osäkerheten frustration, onödiga kostnader och i vissa fall bristande följsamhet till lagstiftningen på området och patientsäkerhetsrisker. Det finns därför behov av stöd som möjliggör att regler tolkas och tillämpas på ett korrekt, ändamålsenligt, och effektivt sätt. För vidare redovisning av områden där tillämpningen av rättsreglerna upplevs svår som framhållits av hälso- och sjukvårdens aktörer, se bilaga 2.
7 Båda begreppen har exempelvis olika omfattning i HSL, SVOD och PDL.
5. Olika former av stöd för att underlätta rättstillämpningen
5.1. Olika typer av stöd för juridisk tolkning
Det finns olika typer av stöd som kan bidra till att åstadkomma en mer ensad tolkning av juridiken, såsom allmänna råd, handböcker och andra vägledningar framtagna av statliga myndigheter samt branschstandarder, uppförandekoder och andra riktlinjer. Mer eller mindre formella nätverk och forum existerar också för att behandla frågor av detta slag. I kommande avsnitt redogörs kort för dessa olika former av stöd.
Det råder viss begreppsförvirring och/eller överlappande betydelse när det gäller användningen av begreppen uppförandekod, branschstandard, standard och branschstandard. De används ibland synonymt och ibland med olika betydelse. Exempelvis används begreppet uppförandekoder ibland synonymt med begreppet branschstandard och ibland menas sådana uppförandekoder som regleras av dataskyddsförordningen.
På samma sätt används begreppen som rör de statliga myndigheternas olika stödjande produkter, så som riktlinjer, vägledningar, rekommendationer och handböcker ibland synonymt och ibland med olika betydelse.
När utredningen framöver i delbetänkandet talar om uppförandekoder eller koder så avses sådana uppförandekoder som regleras genom EU:s dataskyddsförordning. När vi talar om standarder menas sådana standarder som antagits av något nationellt eller internationellt standardiseringsorgan. När vi i betänkandet talar om en branschstandard menas en sådan som tagits fram av bransch-, intresse- och konsumentorganisationer utan att involvera ett nationellt eller internationellt standardiseringsorgan. Slutligen, när vi talar om vägledningar avses alla frivilliga stöd som tas fram av en statlig myndighet.
5.2. Allmänna råd och andra frivilliga stöd utgivna av statliga myndigheter
Statliga myndigheter kan ge ut allmänna råd eller andra vägledningar som beskriver eller tolkar innehåll i lagar och förordningar. Allmänna råd skiljer sig från föreskrifter genom att de inte är bindande vare sig för statliga myndigheter, kommuner, regioner eller enskilda. I 1 § författningssamlingsförordningen (1976:725) definieras allmänna råd som sådana generella rekommendationer om tillämpningen av en författning som anger hur någon kan eller bör handla i ett visst hänseende. Det behövs inget särskilt bemyndigande för att en myndighet ska få besluta om allmänna råd på sitt område (prop. 1983/84:119 s. 24). Allmänna råd har en särställning från annat typ av stöd eftersom det ställs vissa krav på sådana i författningssamlingsförordningen. Allmänna råd ska tryckas eller på annat sätt mångfaldigas och tillhandahållas allmänheten. Enligt författningssamlingsförordningen kan de allmänna råden publiceras i en särskild serie eller tas in i en författningssamling, antingen fristående eller sammanförda med en författning (27–28 §§).
Det finns även andra vägledningar som har som syfte att underlätta för aktörerna vid rättstillämpningen.
Handböcker syftar ofta till att underlätta tillämpningen av det regelverk som gäller inom ett visst område. Innehållet bygger som regel på lagstiftning, förordning, myndighetsföreskrifter allmänna råd, förarbeten, rättsfall och beslut från Justitieombudsmannen. Flera statliga myndigheter har valt att ge ut handböcker inom sitt kompetensområde. Exempel på sådana handböcker är Myndigheten för samhällsskydd och beredskaps, förkortad MSB, Handbok i kom-
munal krisberedskap och Socialstyrelsens handbok, Journalföring och behandling av personuppgifter i hälso- och sjukvården.1 Socialstyrelsen
ger också ut vägledningar med rubriken meddelandeblad som innehåller nyheter från myndigheten, ofta om juridiska frågor. De kan också innehålla information om ändringar i lagstiftningen. I meddelandebladen beskriver de ofta vad som gäller på ett mer lättillgängligt sätt än ren lagtext, meddelandebladen innehåller dock inga rekommendationer om handlingssätt.
1 Journalföring och behandling av personuppgifter i hälso- och sjukvården, Handbok vid tillämpningen av Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården.
Det finns statliga myndigheter som har, eller har fått i uppdrag att ge stöd i förhållande till ett visst område eller i viss fråga och som har resulterat i olika vägledningar och annat stöd. Vägledningarna har ibland endast haft en avsändare men i vissa fall har det varit ett samarbete med andra statliga myndigheter och har då resulterat i myndighetsgemensamma vägledningar. Ett exempel på en sådan är
Myndighetsgemensam vägledning vid hedersrelaterad brottslighet. Natio-
nella kompetensteamet mot hedersrelaterat våld och förtryck (Nationella kompetensteamet) vid Länsstyrelsen Östergötland fick i uppdrag att samordna ett myndighetsgemensamt uppdrag om information och vägledning i arbetet mot hedersrelaterad brottslighet. Vägledning är framtagen av Nationella kompetensteamet i samverkan med Brottsoffermyndigheten, Nationellt kunskapscentrum Barnafrid vid Linköpings universitet, Skolverket, Socialstyrelsen, Polismyndigheten och Åklagarmyndigheten. Den ska både ge visst stöd i nämnda aktörers eget arbete och belysa samverkanskedjan mellan berörda aktörer avseende såväl den förebyggande som den transnationella dimensionen.
Digg har en instruktionsenlig uppgift att ge vägledning till den offentliga förvaltningen i juridiska frågor inom ramen för den förvaltningsgemensamma digitaliseringen (se avsnitt 3.2.4).
Digg har fått ett uppdrag att stödja regeringens arbete med fortsatt digitalisering i verksamheter inom skolan, hälso- och sjukvården och socialtjänsten genom att identifiera rättsliga hinder.2 I uppdraget, även kallat Välfärdsuppdraget, fokuserar Digg på två delar. Det handlar dels om att identifiera, utreda och regelbundet lämna förslag på anpassningar av regler och regelverk för att möjliggöra behovsbaserad och ändamålsenlig digitalisering, dels att utforska och pröva nya arbetssätt för att uppnå en mer dynamisk regelutveckling för att möta den snabba teknikutvecklingen.3
Digg har också i uppdrag att vara en stödjande myndighet i förhållande till lagen om tillgänglighet till digital offentlig service, förkortad DOS-lagen. För att uppfylla detta uppdrag har Digg tagit fram en rättslig vägledning som vänder sig till samtliga kompetenser som arbetar med lagen med syftet att öka förståelsen för lagen och dess tillämpningsområde.
2 Regeringen (2022) Uppdrag att stödja regeringens arbete med fortsatt digitalisering av välfärden
genom att identifiera rättsliga hinder.
3 Digg (2022) Uppdrag att stödja regeringens arbete med fortsatt digitalisering av välfärden genom
att identifiera rättsliga hinder. Delredovisning 1 december 2022 (dnr 2022-0704).
Vidare har Statskontoret regeringens uppdrag att främja arbetet mot korruption vid de statliga förvaltningsmyndigheterna. Detta innebär bland annat att de tar fram olika typer av stödmaterial, genomför utbildningar och seminarier och medverkar i olika sammanhang där de kan sprida kunskap. Statskontoret har tagit fram ett stöd de kallar Rapporteringskanaler enligt visselblåsarlagen – övervä-
ganden och praktiska råd i syfte att stödja de aktörer som träffas av
reglerna i visselblåsarlagen.
Integritetsmyndigheten ger i Vägledning vid kamerabevakning övergripande information om vad som gäller vid kamerabevakning, vägledning med förslag på arbetsgång för verksamheter som planerar att kamerabevaka, samt 18 områdesbeskrivningar där ansökningar och beslut beskrivs mer i detalj för att ge vägledning till olika aktörer. På hälso- och sjukvårdens område har IMY tagit fram en vägledning för behovs- och riskanalys inom hälso- och sjukvården.4 IMY har i sitt innovationsarbete med att testa regulatorisk testverksamhet tagit fram en rapport om federerad maskininlärning mellan två vårdgivare.5 En del av IMY:s målbild är att underlätta för privata och offentliga verksamheter genom att ta tydlig ställning i rättsliga frågor och bidra till att utveckla praxis. Myndigheten tar därför fram vägledning för att ge stöd till verksamheter i ett systematiskt arbete med dataskydd och integritetsvänlig digitalisering. Rättsliga ställningstaganden är en ny form av vägledning från IMY där de redovisar sin uppfattning i rättsliga frågor när det saknas vägledande domstolspraxis eller vägledning från europeiska dataskyddsstyrelsen (European Data Protection Board), förkortad EDPB. Under 2022 publicerade de tre nya rättsliga ställningstaganden, ett om rätten till borttagande av sökträffar vid publiceringar i nyhetsmedier, ett klargör IMY:s tolkning av ett undantag för journalistiska ändamål som finns i dataskyddslagen. Det tredje rör möjligheten att behandla uppgift om förvaltarskap i kreditupplysningsverksamhet. Myndigheten har också startat en regulatorisk testverksamhet för innovationsaktörer, där IMY ger fördjupad vägledning i dialog. Pilotprojektet handlar om decentraliserad AI och hälsodata.6
Ett exempel på hur ett juridiskt stöd för just hanteringen av hälsodata kan vara utformat är den redovisning som Utredningen om rätt
4 Datainspektionen (2020) Behovs- och riskanalys inom hälso- och sjukvården – en vägledning. 5 IMY (2023) Federerad maskininlärning mellan två vårdgivare. 6 Integritetsskyddsmyndigheten (2023) Årsredovisning 2022.
information i vård och omsorg (S 2011:13) lämnade. Utredningen fick i uppdrag att i en delredovisning beskriva de möjligheter som befintlig lagstiftning ger för att kunna utbyta uppgifter där så anses nödvändigt.7 I stället för en traditionell och mer teoretisk genomgång av gällande lagstiftning valde utredningen att utforma delredovisningen som ett verktyg anpassat för en verksamhetsnära nivå. Delredovisningen består framför allt av 80 frågor och svar om informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. För varje frågeställning finns ett mer utförligt resonemang i dokumentets anteckningssidor. Läsaren rekommenderas att ta del av dessa anteckningssidor för ett korrekt och mer nyanserat svar på respektive fråga. Därutöver lämnade utredningen i bilaga 4 till sitt slutbetänkande frågorna och svaren i skriftlig form tillsammans med tre promemorior som förklarar lite mer utförligt vad som gäller inom de tre områdena som respektive promemoria omfattade.8Materialet togs fram av utredningen inklusive utredningens expertgrupp där bland annat myndigheter och organisationer som Datainspektionen (nuvarande IMY), Socialstyrelsen, Inspektionen för vård och omsorg, Sveriges Kommuner och Landsting (nuvarande Sveriges Kommuner och Regioner), Statens medicinsk-etiska råd, Famna och Vårdföretagarna fanns representerade. Arbetet med stödet togs vidare genom ett regeringsuppdrag till E-hälsomyndigheten och Socialstyrelsen och informationen ligger nu som Juridiskt stöd för
dokumentation på Socialstyrelsens webbplats.9 Ett sista exempel är
det uppdrag som regeringen gav till Vetenskapsrådet i mars 2021. Uppdraget innebär att Vetenskapsrådet ska inrätta en rådgivande funktion dit olika aktörer som önskar nyttja hälsodata för forskning och innovation kan vända sig för att få hjälp med sina frågor. En löpande kartläggning av oklarheter och hinder för nyttjande av hälsodata för forskning och innovation ska ingå i funktionens uppdrag. Vetenskapsrådet ska inom ramen för uppdraget samverka med relevanta myndigheter och andra aktörer.10
7 Dir. 2013:43 Tilläggsdirektiv till Utredningen om rätt information i vård och omsorg (S 2011:13). 8SOU 2014:23Rätt information på rätt plats i rätt tid. 9 https://www.socialstyrelsen.se/kunskapsstod-och-regler/regler-och-riktlinjer/juridisktstod-for-dokumentation/ [2023-10-01]. 10 Vetenskapsrådet (2022) Uppdrag om rådgivande funktion för bättre nyttjande av hälsodata.
5.3. Standarder som stöd för regelefterlevnad
En standard är en gemensam lösning på ett återkommande problem. Syftet med standarder är att skapa enhetliga och transparenta rutiner som aktörerna kan enas kring. Det finns olika typer av standarder. En svensk standard är en standard som antagits av något av Sveriges tre nationella standardiseringsorgan, det vill säga Svenska institutet för standarder, SIS, Svensk Elstandard, SEK, eller Svenska Informations- och Telekommunikations-Standardiseringen, ITS.
En europisk standard är på motsvarande sätt en standard som antagits av någon av de europeiska standardiseringsorganisationerna, European Committee for Standardization, CEN, European Committee for Electrotechnical Standardization, CENELEC, eller European Telecommunications Standards Institute, ETSI.
Det finns exempelvis en omfattande svensk standard för kvalitet i omsorg, service, omvårdnad och rehabilitering för äldre med omfattande behov i ordinärt och särskilt boende. Standarden strukturerar och konkretiserar innehållet i nu gällande lagar, förordningar och föreskrifter samt riktlinjer, vägledningar, kunskapsstöd och liknande dokument av normerande karaktär. Ett primärt användningsområde för standarden är att den som ansvarar för verksamheten utifrån denna standard kan planera, leda och genomföra samt systematiskt utvärdera och förbättra verksamheten. Inför upphandling av utförare kan kommuner använda standarden som upphandlingsunderlag och därmed även som ett stöd vid uppföljning. Standarden är också tänkt att kunna användas som underlag vid utbildning och kompetensutveckling av personal inom omsorg, service, omvårdnad och rehabilitering av äldre.11
Enligt Socialstyrelsens allmänna råd bör vårdgivare använda svenska standarder för informationssäkerhet då ledningssystem byggs upp. Användningen av den svenska standardserien för informationssäkerhet (SS-ISO/IEC 27000) nämns som ett förslag på en sådan standard.12
11 Svenska institutet för standarder (2015). Kvalitet i omsorg, service, omvårdnad och rehabili-
tering för äldre med omfattande behov i ordinärt och särskilt boende SS 872500:2015.
12 HSLF-FS 2016:40 Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården. Stockholm: Socialstyrelsen.
5.4. Branschstandarder, branschnormer och andra vägledningar
Ibland väljer olika bransch-, intresse- och konsumentorganisationer att ge ut egna standarder utan att involvera ett nationellt eller internationellt standardiseringsorgan. Dessa standarder tas fram i begränsade forum och behöver inte följa samma krav på öppenhet, opartiskhet och konsensus i processen som gäller för de nationella, europeiska och globala standardiseringsorganen.
Branschstandarder hjälper till att skapa rutiner för hur man arbetar inom en viss bransch. Ett exempel är Rex – Svensk standard för redovisningsuppdrag som är normgivande för god sed vid utförandet av redovisningsuppdrag. Standarden har utvecklats av branschorganisationen Srf konsulterna och bygger på fastställda principer för 15 000 auktoriserade redovisningskonsulter i Norden. Ett annat exempel är branschstandarden för taksäkerhet som har utvecklats av Taksäkerhetskommittén, TSK, vilket är en gemensam satsning mellan branschpartners och organisationer som arbetar med att förebygga och minska risken för olycksfall vid takarbeten. Branschstandarden för taksäkerhet bygger på Boverkets regler, arbetsmiljölagen, Arbetsmiljöverkets föreskrifter AFS samt aktuella SIS- standarder och europeiska standarder.
En annan typ av stöd är de vägledningar och ställningstaganden som tas fram av eSamverkansprogrammet, eSam. eSam är ett medlemsdrivet program för samverkan mellan 36 statliga myndigheter. En stor del av verksamheten handlar om att samla kompetenser inom komplexa och gemensamma områden (till exempel juridiska frågor) för att ta fram vägledningar och rekommendationer eller checklistor som skapar nytta för medlemmarna. Exempel på sådant som publicerats är Vägledande principer för digital samverkan och checklista
Juridik vid användning av AI.
I Norge finns den så kallade Normen som är en branschnorm för informationssäkerhet och dataskydd för vård- och omsorgssektorn. Normen är en sammanställning av lagstiftningens krav på informationssäkerhet, men ställer ibland också ytterligare krav. Det innebär att Normen ställer krav som specificerar och kompletterar gällande regelverk. Normen behandlas mer utförligt i kapitel 6.
5.5. Uppförandekoder enligt dataskyddsförordningen
En uppförandekod är enligt artikel 40.1 0ch 40.2 i EU:s dataskyddsförordning en frivillig möjlighet för sammanslutningar som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden inom en viss bransch eller sektor, att specificera hur man i praktiken ska tillämpa dataskyddsförordningens bestämmelser.
Uppförandekoder är möjliga även om det finns nationella bestämmelser som med stöd i dataskyddsförordningen närmare reglerar hur uppgifter får behandlas inom en sektor. Uppförandekoder kan även omfatta verksamhet som bedrivs av myndigheter.
Europeiska dataskyddsstyrelsen som är ett oberoende europeiskt organ som bidrar till en enhetlig tillämpning av dataskyddsregler i hela EU, och bland annat består av företrädare för nationella dataskyddsmyndigheter, har tagit fram riktlinjer om uppförandekoder (Riktlinjer 1/2019 om uppförandekoder och övervakningsorgan enligt förordning (EU) 2016/679). Syftet med riktlinjerna är att ge praktisk rådgivning och tolkningsstöd vid tillämpningen av artiklarna 40 och 41 i dataskyddsförordningen.
5.5.1. Företrädare för en uppförandekod
En uppförandekod kan enligt artikel 40.2 dataskyddsförordningen utarbetas av sammanslutningar av personuppgiftsansvariga eller andra organ som företräder kategorier av personuppgiftsansvariga eller personuppgiftsbiträden, (kodutfärdare). I EDPB:s riktlinjer nämns fackförenings- och intresseorganisationer, sektorsorganisationer, akademiska organisationer och intressegrupper som sådana organ som skulle kunna vara företrädare för en uppförandekod. Enligt samma riktlinjer måste kodutfärdare kunna bevisa för aktuell tillsynsmyndighet att de är ett representativt organ och att de kan sätta sig in i sina medlemmars behov. Vidare måste de tydligt ange vilken behandling eller sektor som uppförandekoden avser. Beroende på hur den berörda sektorn definieras och avgränsas kan representativiteten bedömas från bland annat följande faktorer:
- Antalet eller procentandelen potentiella kodmedlemmar från relevanta personuppgiftsansvariga eller personuppgiftsbiträden inom den sektorn.
- Det representativa organets erfarenhet av den sektor och behandling som uppförandekoden avser.
5.5.2. Statliga myndigheters roll
Enligt artikel 40.1 EU:s dataskyddsförordning ska medlemsstaterna, de nationella tillsynsmyndigheterna (i vårt fall IMY), EDPB och EU-kommissionen uppmuntra utarbetandet av uppförandekoder som är avsedda att bidra till dataskyddsreglerna genomförs korrekt. Integritetskommittén anförde i sitt slutbetänkande att ”uppmuntra” bör förstås som att de nämnda organen ska initiera och stödja företrädare för personuppgiftsansvariga eller personuppgiftsbiträden i arbetet med att ta fram uppförandekoder. IMY ska även i egenskap av tillsynsmyndighet yttra sig om utkast till, ändring eller utökning av uppförandekod överensstämmer med EU:s dataskyddsförordning och ska godkänna förslaget om myndigheten bedömer att det lever upp till kriterierna för en uppförandekod. De ska då också registrera och offentliggöra uppförandekoden. Utöver det skulle IMY ha i uppdrag att ackreditera de övervakningsorgan som har att övervaka kodens efterlevnad.
5.5.3. Något om uppförandekodernas innehåll
Det står kodutfärdarna fritt att själva besluta vilka områden som de vill att koderna ska reglera, vilket gör att endast sådana områden som de personuppgiftsansvariga själva anser problematiska behöver utgöra innehållet i koden. Uppförandekoden måste emellertid innehålla bestämmelser om befogenheter för ett övervakningsorgan att övervaka om uppförandekoden följs av de personuppgiftsansvariga eller personuppgiftsbiträden som har åtagit sig att följa den.
I artikel 40.2 i dataskyddsförordningen räknas en icke uttömmande lista upp som exempel på områden där uppförandekoder kan specificera tillämpningen av dataskyddsförordningen.
Några av dessa är:
- Insamling av personuppgifter och pseudonymisering av personuppgifter.
- Information till allmänheten samt information till de registrerade och hur de kan utöva sina rättigheter.
- Information till och skydd av barn samt metoder för att erhålla föräldrarnas samtycke.
- Tekniska och organisatoriska åtgärder, såsom inbyggt dataskydd och dataskydd som standard samt säkerhetsåtgärder.
- Anmälan om överträdelser.
- Överföring av personuppgifter till tredjeländer.
Koden ska inte bara vara en omskrivning av dataskyddsförordningen, utan reglerna ska vara entydiga, konkreta och genomförbara. Den ska fastställa realistiska och genomförbara standarder för de som ska tillämpa den.13
5.5.4. Syfte med uppförandekoder
En godkänd uppförandekod kan enligt dataskyddsförordningen användas av personuppgiftsansvariga och dess biträden för att visa att de fullgör sina skyldigheter och uppfyller kraven i förordningen. Att en personuppgiftsansvarig eller ett personuppgiftsbiträde har tillämpat en godkänd uppförandekod ska även beaktas vid beslut om en eventuell sanktionsavgift och storleken på sanktionsavgiften. Om tillsynsmyndigheten exempelvis anser att de åtgärder som kodens övervakningsorgan vidtar mot den som brustit i efterlevnaden är tillräckligt effektiva, proportionerliga eller avskräckande kan myndigheten avstå från sanktioner.
I EDPB:s riktlinjer framförs att uppförandekoder kan vara en praktisk, insynsvänlig och potentiellt kostnadseffektiv metod som underlättar den praktiska tillämpningen av dataskyddsprinciperna. De anför också att uppförandekoder kan skapa tillit och rättssäkerhet genom att praktiska lösningar ges på vissa sektorers problem med gemensam personuppgiftsbehandling Då en uppförandekod ut-
13 https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/uppforandekoderoch-certifieringar/vagledning-for-er-som-ska-ta-fram-en-uppforandekod/ [2023-08-15].
arbetas har personuppgiftsansvariga och personuppgiftsbiträden viss möjlighet att komma överens om och själva formulera bästa praxis för behandling av personuppgifter inom sin bransch. EDPB anser därför att de personuppgiftsansvariga, som har stor kunskap om vilka utmaningar och frågor kring den behandling av personuppgifter som är särskilt viktiga för branschen, har goda förutsättningar att hitta praktiska lösningar på även mer komplexa delar av personuppgiftsbehandlingen. Genom att gemensamt ta fram riktlinjer för alla aktörer i branschen skulle därför koderna bidra till ett kostnadseffektivt sätt att tolka och följa dataskyddsreglerna, framför allt för små och medelstora aktörer.
En annan nytta som nämns är att uppförandekod även skulle kunna bidra till enhetlighet i dataskyddet inom en bransch. Dessutom skulle det ge de registrerade bättre inblick i, och förståelse för, den behandling av personuppgifter som utförs. Personuppgiftsansvariga och personuppgiftsbiträden skulle i mindre utsträckning behöva förlita sig på tillsynsmyndigheter vid behov av mer utförliga anvisningar vid enstaka specifika behandlingar. Slutligen menar dataskyddsstyrelsen att en uppförandekod kan medföra nytta vid tredjelandsöverföring. Detta eftersom en tredje part i vissa fall kan använda en godkänd uppförandekod för att uppfylla de rättsliga kraven om att vidta lämpliga skyddsåtgärder vid internationella överföringar av personuppgifter till tredjeländer.
5.5.5. Något om övervakningsorgan och uppföljning
Uppförandekoden ska innehålla bestämmelser som gör det möjligt för ett övervakningsorgan att övervaka om uppförandekoden följs. Övervakningsorganet ska ackrediteras av IMY, som även har tagit fram kriterier för ackrediteringen.14 Oavsett om en verksamhet omfattas av en uppförandekod har IMY fortsatt möjlighet att utöva tillsyn över verksamhetens behandling av personuppgifter enligt artikel 41.1 i dataskyddsförordningen.
Övervakningsorganet är enligt artikel 41.4 dataskyddsförordningen skyldiga att vidta lämpliga åtgärder om en personuppgiftsansvarig eller ett personuppgiftsbiträde överträder uppförandekoden.
14 Integritetsskyddsmyndigheten (2023) Fastställande av krav för ackreditering av övervak-
ningsorgan.
Det omfattar avstängning eller uteslutande av den personuppgiftsansvarige eller personuppgiftsbiträdet från uppförandekoden. Övervakningsorganet ska dessutom informera den behöriga tillsynsmyndigheten om åtgärderna och skälen för att åtgärderna vidtagits.
Ett övervakningsorgan kan enligt artikel 83.4 i dataskyddsförordningen bli föremål för administrativa sanktionsavgifter om det inte fullgör sina uppgifter i enlighet med förordningen.
För att ett övervakningsorgan ska kunna ackrediteras måste kodutförarna enligt artikel 41.2 i dataskyddsförordningen visa att organet har
- visat sitt oberoende och sin expertis i förhållande till uppförandekodens syfte,
- upprättat förfaranden som gör det möjligt att bedöma de berörda personuppgiftsansvarigas och personuppgiftsbiträdenas lämplighet att tillämpa uppförandekoden, övervaka att de efterlever dess bestämmelser och regelbundet se över hur den fungerar,
- upprättat förfaranden och strukturer för att hantera klagomål om överträdelser av uppförandekoden eller det sätt på vilket uppförandekoden har tillämpats, eller tillämpas, av en personuppgiftsansvarig eller ett personuppgiftsbiträde, och för att göra dessa förfaranden och strukturer synliga för registrerade och för allmänheten, och
- visat att dess uppgifter och uppdrag inte leder till en intressekonflikt.
Enligt riktlinjerna från EDPB kan oberoendet påvisas på flera olika sätt, till exempel genom hur övervakningsorganet finansieras, hur medlemmarna/personalen utses, hur beslutsfattandet går till och generellt hur organisationsstrukturen ser ut. För att uppfylla kravet på expertis bör dokumentationen som lämnas in som underlag för ackrediteringen innehålla uppgifter om organets kunskap och erfarenhet i fråga om dataskyddslagstiftningen samt den sektor eller behandling som avses. Detta krav kan enligt riktlinjerna till exempel uppfyllas om det kan visas att övervakningsorganet tidigare har haft en övervakande funktion för en viss sektor.
Vidare anges att organet även måste ha lämpliga strukturer och förfaranden för sin egen styrning så att det på ändamålsenligt sätt
kan bedöma personuppgiftsansvarigas och personuppgiftsbiträdens tillämpning av uppförandekoden, övervaka att bestämmelserna följs och att kontrollera att uppförandekoden fungerar. Som exempel på översynsmekanismer nämns bland annat omfattande prövningsförfaranden för lämplighet att ansluta sig till och följa uppförandekoden, slumpvisa eller oanmälda revisioner, årliga inspektioner och regelbunden rapportering.
Som exempel på ett befintligt förfarande för klagomålshantering ges i riktlinjerna en beskrivning av en process för att ta emot, bedöma, spåra, registrera och hantera klagomål. Detta förfarande kan beskrivas i en offentlig vägledning kopplad till uppförandekoden, genom vilken en klagande kan förstå och följa klagomålsprocessen. Dessutom menar dataskyddsstyrelsen att oberoendet i sådana processer skulle kunna främjas av att det finns separat operativ personal och separata ledningsfunktioner vid övervakningsorganet. I riktlinjerna anges även att organet ska kunna delge behörig tillsynsmyndighet alla de åtgärder som vidtas av övervakningsorganet med avseende på uppförandekoden.
Enligt artikel 41.2 i dataskyddsförordningen behöver offentliga myndigheter och organ som är anslutna till en uppförandekod inte övervakas av ett övervakningsorgan.
5.5.6. Befintliga godkända uppförandekoder
Om de behöriga tillsynsmyndigheterna godkänner ett utkast till uppförandekod måste de enligt artikel 40.6 i dataskyddsförordningen registrera och offentliggöra uppförandekoden. Detta kan exempelvis göras genom publicering på tillsynsmyndighetens webbplats. Enligt artikel 40.11 måste dessutom EDPB offentliggöra alla inom EU godkända uppförandekoder. I dag finns det ännu inga i Sverige godkända uppförandekoder. På EDPB:s hemsida finns för närvarande sex uppförandekoder publicerade.15
15 https://edpb.europa.eu/our-work-tools/accountability-tools/register-codes-conductamendments-and-extensions-art-4011_sv?f%5B0%5D=coc_topic%3A125 [2023-08-15].
5.6. Råd, nätverk och forum
Det finns råd, nätverk och andra forum som stödjer aktörerna inom hälso- och sjukvården på olika sätt i förhållande till lagtillämpning, exempelvis med informationssäkerhetsarbete. Här nedan redovisar vi för några av dem.
Den nationella strategin för e-hälsa, Vision e-hälsa 2025, är en överenskommelse mellan regeringen och Sveriges Kommuner och Regioner (SKR) om att Sverige ska vara bäst i världen på att ta tillvara på e-hälsans och digitaliseringens möjligheter till år 2025.16 I strategin för genomförandet av visionen framgår att en del av de grundläggande förutsättningarna för att kunna genomföra visionen är att säkerställa olika rättigheter såsom skydd för personlig integritet, jämlikhet, patientsäkerhet och tillgänglighet.17 Inom ramen för denna del av strategin har arbetsgruppen för regelverk skapats. Arbetsgruppen har kartlagt och lämnat förslag i en inventeringslista till ordförandegruppen i vision e-hälsa beträffande regelverk som kan behöva ändras för att åstadkomma mer ändamålsenlig hantering av personuppgifter i hälso- och sjukvården samt socialtjänsten.
Hos SKR finns Informationssäkerhetsnätverket Sveriges Kommuner (KIS)18 samt Hälso- och sjukvårdens informationssäkerhetsnätverk (HoSIS)19 som är nätverk för dem som har ett ansvar för arbetet med informationssäkerhet i kommuner respektive regioner och hos privata vårdgivare. Nätverkens syfte är att stärka informationssäkerhetsarbetet genom omvärldsbevakning, informationsdelning och erfarenhets- och kunskapsutbyte. Nätverken möts några gånger per år och har en digital samverkansyta för löpande erfarenhetsutbyte.
För att förenkla kommuners och regioners genomförande av informationsklassning har SKR tagit fram verktyget KLASSA20 som ska hjälpa verksamheten att välja rätt åtgärder för att skydda information.
16 Regeringen och SKR (u.å.) En strategi för genomförande av Vision e-hälsa 2025. Nästa steg på
vägen 2020–2022.
17 Regeringen och SKR (u.å.) En strategi för genomförande av Vision e-hälsa 2025. Nästa steg på
vägen 2020–2022.
18 https://skr.se/naringslivarbetedigitalisering/digitalisering/arkitektursakerhet/informations sakerhet/natverketkis.26768.html [2023-09-24]. 19 https://skr.se/skr/naringslivarbetedigitalisering/digitalisering/arkitektursakerhet/informat ionssakerhet/natverkethosis.26834.html [2 023-09-25]. 20 https://klassa.skr.se/ [2023-09-25].
Vid Inera, kommunernas och regionernas digitaliseringsbolag med uppdrag att utveckla välfärden, finns Juridik- och informationssäkerhetsrådet, även kallat S-rådet, som är ett rådgivande forum utan formellt beslutsmandat. 21 Rådet adresserar frågor där det finns osäkerhet och tolkningsbehov beträffande frågor personuppgiftshantering i hälso- och sjukvården. S-rådet fungerar också till viss del som en referensgrupp där juridik och informationssäkerhet inom Inera får en omvärldsbevakning av vad som är aktuella frågor hos Ineras kunder.
21https://www.inera.se/om-inera/expertgrupper/juridik-och-informationssakerhetsrad/ [2023-09-25].
6. Normen
6.1. Bakgrund
I Norge har man i över 20 år arbetat med en branschnorm för informationssäkerhet för vård- och omsorgssektorn. Integritetskommittén, E-hälsokommittén och E-hälsomyndigheten har alla pekat på det arbete för stöd kring informationssäkerhet och dataskydd som gjorts i Norge och förordat det som förebild för en liknande form i Sverige.1 Som ett led i att försöka möta de utmaningar som följde av att alltmer hälsodata behandlades digitalt bjöd det norska Social- och hälsovårdsdirektoratet 2002 in berörda organisationer och myndigheter för att inrätta en projektgrupp vars mål var att sammanställa en uppsättning informationssäkerhetsregler för sektorn. En förutsättning var att gruppens rekommendationer skulle överensstämma med de dataskydds- och informationssäkerhetsprinciper som fastställts i dataskyddsdirektivet2. År 2006 lanserades som ett resultat branschnormen för informationssäkerhet inom hälsosektorn, Normen. Under 2009 utvidgades Normen till att omfatta inte bara hälso- och sjukvård utan även omsorg och socialtjänst.
Norsk Helsenett SF (statligt ägt bolag) är leverantör av en nationell infrastruktur för elektronisk kommunikation inom hälsosektorn, ”Helsenettet”. För att vara kopplad till och nyttja detta nätverk måste vårdgivaren ingå ett anslutningsavtal med företaget. Genom detta avtal är den enhet som anslutits till infrastrukturen skyldig att följa de fastställda principerna i Normen. Genom denna ordning säkerställs att hälso- och sjukvårdsleverantörerna kan vara förvissade om att även mottagarna av hälsorelaterade data inom nätverket, uppfyller kraven i Normen. Att inte uppfylla Normens informations-
1 Se avsnitt 3.2 för mer utförlig beskrivning. 2 EU-direktivet 95/46/EG.
säkerhetsstandarder kan leda till uteslutning av den avtalsbrytande enheten från Helsenettet.3
Normen riktar sig till alla företag som genom avtal åtagit sig att följa Normen – i praktiken de flesta av branschens drygt tiotusen företag och deras leverantörer.
Normen syftar till att bidra till tillfredsställande informationssäkerhet och integritet i det enskilda företaget, i gemensamma system och infrastruktur samt inom sektorn i allmänhet. Normen ska bidra till att säkerställa att ett företag som följer Normen har lämpliga tekniska och organisatoriska åtgärder för informationssäkerhet och integritet vid sin behandling av hälsodata.
6.2. Förvaltning och styrning
Normen godkänns och förvaltas av en brett sammansatt styrgrupp av representanter från sektorn där berörda myndigheter, professionsorganisationer, Norsk Helsenett och representanter för regionala huvudmän ingår. Vid beslut kring principiellt viktiga frågor som behandlas av styrgruppen eftersträvas enhällighet. Vid sidan av styrgruppens medlemmar finns en sammansättning av observatörer bestående av bland annat representanter från patientorganisationer och Digtaliseringsdirektoratet. Observatörerna har samma möjlighet att vara med på möten, ta del av underlag och lägga fram förslag som medlemmarna i styrgruppen men har inte någon röst vid beslutfattandet.
Normens dagliga arbete koordineras genom ett kansli som är placerat på Direktoratet for e-helse (motsvarigheten till E-hälsomyndigheten). Kansliet tar fram underlag till exempelvis ändringar av befintliga regler eller utveckling av nytt material på uppmaning av styrgruppen samt anordnar utbildningar och konferenser.
6.3. Normens innehåll och uppbyggnad
Normen består av ett huvuddokument där de väsentliga bestämmelserna kommer till uttryck. Som bilagor till huvuddokumentet finns stödmaterial i form av bland annat riktlinjer och ett 50-tal tematiskt ordnade faktablad Tillsammans strävar huvuddokumentet
3 https://www.ehelse.no/normen/documents-in-english#History
[2023-08-15].
och stödmaterialet efter att täcka både de allmänna delarna av informationssäkerheten och dataskyddet samt de mer specifika sådana.
Normen är en sammanställning av lagstiftningens krav på informationssäkerhet och dataskydd men specificerar och kompletterar även gällande regelverk. Normen är dock inte heltäckande utan det finns exempelvis krav i olika lagstiftningar som gäller utöver de krav som finns i Normen.
Hittills har det kommit ut sex versioner av Normen, varav den senaste började gälla den 5 februari 2020. På Normens webbplats finns förutom själva Normen de olika stöddokument som riktar sig till olika verksamheter och ansvarsnivåer.4
Exempel på vägledningar som tagits fram är guide till digital patientkommunikation, guide till sekretess och informationssäkerhet för medicintekniska produkter, faktablad för test och testdata, och faktablad för åtgärder för konvertering och ersättning av elektroniska journaler.
6.4. Framgångsfaktorer och svårigheter
Kansliet för Normen har vid samtal med utredningens sekretariat framfört framgångsfaktorer och svårigheter med Normens form och organisation som deras medlemmar lyft.
Framgångsfaktorer som lyfts är bland annat;
- Att beslut fattas genom konsensus. I Normen fastställs att enhällighet eftersträvas i de principfrågor som behandlas av styrkommittén.
- Att alla viktiga intressenter är representerade.
- Att det är en branschspecifik vägledning.
- Att den ger praktiska råd om bästa praxis.
- Att det utgör en arena för informationssäkerhet och integritetsfrågor.
- Att det är en samordningslänk med andra sektorer.
- Att den är bindande efter överenskommelse.
4 https://www.ehelse.no/normen/normen-dokumenter [2023-09-25].
- Att den tas fram i samarbete med lagstiftande myndigheter.
- Att den finansieras av regeringen.
- Att den har ”Låg budget – högt värde”.
- Att den förenklar och gör komplicerad lagstiftning tillgänglig.
Svårigheter som lyfts är bland annat;
- Att formen inte är lämplig för ensidig och "stark" kontroll.
- Att det är en fragmenterad och heterogen sektor som har olika behov.
- Att det är svårt att följa upp om kraven följs.
- Att det är många dokument som behöver uppdateras och revideras löpande.
6.5. Normen är inte en uppförandekod
Normen är för närvarande inte en godkänd uppförandekod enligt reglerna om uppförandekoder i artiklarna 40 och 41 i dataskyddsförordningen. Styrgruppen för Normen har dock tidigare beslutat att Normens kansli ska verka för att Normen ska bli en godkänd uppförandekod. 2020 skickades därför Normversion 5.3 till den norska dataskyddsmyndigheten för godkännande. Ansökan avslogs då på grund av brist på ett identifierat och föreslaget övervakningsorgan. Frågan är för närvarande lagd på is.
UTGÅNGSPUNKTER
7. Utgångspunkter för utredningens förslag
Digitalisering har stora möjligheter att förbättra för patienter och effektivisera vårdens processer. Införandet av digitala lösningar och automatisering kan frigöra tid så att personal kan ägna större del av sin arbetsdag åt patientmötet och andra kvalificerade uppgifter som i sin tur kan höja verksamhetens kvalitet. En grundläggande förutsättning för hälso- och sjukvårdens digitalisering är möjligheterna att behandla stora mängder uppgifter av känslig karaktär. Både uppgiftssamlingarnas storlek och antalet aktörer som delar information inom hälso- och sjukvårdens område har ökat väsentligt de senaste åren. För att bibehålla allmänhetens förtroende behöver denna information hanteras korrekt och inte hamna i orätta händer.
Flera aktörer som utredningen varit i kontakt med framhåller att det råder osäkerhet om de rättsliga förutsättningarna för hur man får hantera och dela information samt hur digitala tjänster får utformas. Osäkerheten finns på olika organisatoriska nivåer, både hos beslutsfattare inom kommuner, regioner och privata vårdgivare samt hos enskilda medarbetare Detta framkommer även i tidigare utredningar och myndighetsrapporter. Osäkerheten tycks leda till att regelverkens faktiska utrymme till effektiv informationshantering, inte alltid nyttjas till fullo. Att det råder osäkerhet kopplad till tillämpningen av rättsreglerna på området utgör hinder för en effektiv digitalisering av hälso- och sjukvården.
En annan utmaning som hindrar en effektiv utveckling av vårdens digitalisering är att patientuppgifter inte hanteras på ett enhetligt sätt i alla delar av landet. Regionerna, som är ansvariga för en stor del av hälso- och sjukvården, har stort inflytande när reglerna tolkas. Nätverket för Sveriges regioners IT-direktörer (SLIT) har till utredningen framfört att de ser ett behov av att det erbjuds ett stöd för
regeltolkning och en harmonisering. Privata vårdaktörer som verkar i flera regioner har till utredningen framfört att harmonisering skulle skapa bättre förutsättningar för dem att bedriva sin verksamhet. Aktörerna framhåller att de i dag måste hantera information och data på olika sätt i olika regioner på grund av regionernas varierande tillämpning av reglerna.
Det står i dag regionerna fritt att hantera hälsodata utifrån respektive regions egen tolkning och det ingår inte i regionernas uppdrag att agera samlat i syfte att adressera variationen. För de statliga myndigheterna, med nuvarande uppdrag och instruktioner, har harmonisering inte varit ett uttryckligt uppdrag. Harmoniserad tillämpning har därmed inte varit en uttalad prioriterad fråga vare sig för regionerna eller de statliga myndigheterna.
Ovan beskrivna utmaningar motiverar utredningen att överväga förändringar i hur staten styr i dessa frågor. Förslag om så kallad hård styrning i form av lag, förordning eller myndighetsföreskrift är dock inte förenligt med utredningens direktiv gällande den här delen av uppdraget (se avsnitt 2.2). Utredningen har därför analyserat och övervägt andra handlingsalternativ för staten.
Utredningen har övervägt om staten skulle kunna stimulera hälso- och sjukvårdens aktörer att utarbeta uppförandekoder i dataskyddsförordningens mening. Staten kan dock inte själv besluta sådana koder åt hälso- och sjukvårdens aktörer (se avsnitt 2.2). Utredningen bedömer att de omfattande formaliakrav och krav på övervakningsorgan som följer med uppförandekoder riskerar att utgöra hinder för att uppförandekoder ska vara ett effektivt handlingsalternativ för staten. En uppförandekod är dessutom begränsad till att omfatta dataskydd och är även därför enligt utredningen en mindre lämplig lösning eftersom hälso- och sjukvårdens aktörer har behov av stöd för rättstillämpningen för hela det regelverk som reglerar vårdens informationshantering. Utredningen har också övervägt om staten skulle kunna stimulera framtagandet av en branschstandard som ger stöd och vägledning för hur olika rättsregler kan tillämpas. En branschstandard har inte samma formaliakrav eller begränsning gällande omfattning som uppförandekoder. I båda fallen skulle dock en statlig myndighet i huvudsak bara kunna samordna, koordinera och främja utarbetandet av en uppförandekod respektive branschstandard.
En sådan ordning följer inte gängse myndighetsstruktur och skulle enligt utredningen riskera att bli otydlig och svårhanterlig för
den myndighet som ges i uppdrag att hålla samman arbetet (se avsnitt 10.5). Dessutom skulle en sådan ordning förutsätta frivilligt och ofinansierat engagemang av aktörerna som stödet vänder sig till, något som också kan utgöra ett hinder för framdriften av stödet.
Utredningen anser att staten kan och bör göra mer än att samordna, koordinera och främja hälso- och sjukvårdens aktörer att självmant och på frivillig basis utarbeta stöd. Enligt utredningen finns det ett outnyttjat utrymme för de statliga myndigheterna att inom sina verksamhetsområden ge stöd och vägledning i juridiska frågor om hantering av information för hälso- och sjukvårdens digitalisering. Orsakerna till det outnyttjade handlingsutrymmet kan bero på bristande finansiering, otydligt ansvar för uppgiften, osäkert rättsligt läge eller otydligheten kring allmänna rådens rättsliga status. En statlig myndighet bör därför få i uppdrag att prioritera frågorna och samordna de statliga myndigheternas stöd och vägledning till hälso- och sjukvårdens aktörer i juridiska frågor rörande hanteringen av information för hälso- och sjukvårdens digitalisering. Myndighetens uppdrag bör riktas mot områden där störst nytta för systemet som helhet kan uppnås.
Utredningen menar att de juridiska områdena kan överlappa vilket gör det angeläget att inte på förhand avgränsa arbetet till vissa områden. Arbetet bör därför kunna omfatta all reglering kring informationshantering inom hälso- och sjukvårdens digitalisering, inte bara dataskydd. Ett ändamålsenligt stöd till hälso- och sjukvårdens aktörer förutsätter att myndigheten samverkar med statliga myndigheter samt för dialog och samarbetar med hälso- och sjukvårdens aktörer.
8. Åtgärder för att underlätta hälso- och sjukvårdens digitalisering
8.1. Rättslig osäkerhet och upplevda rättsliga hinder behöver prioriteras
Interoperabilitet handlar om förmågan och möjligheten hos system, organisationer eller verksamhetsprocesser att fungera tillsammans och kunna kommunicera med varandra genom att följa överenskomna regler. Det europeiska ramverket för interoperabilitet (European Interoperability Framework, EIF), som ligger till grund för Svenskt ramverk för digital samverkan, utgår från interoperabilitetens fyra lager; juridisk, organisatorisk, semantisk och teknisk. Ramverket tydliggör att alla fyra lager behöver hanteras för att uppnå önskad nivå av interoperabilitet.
Det juridiska lagret, juridisk interoperabilitet, tar ofta sikte på det som styr samarbetet och informationsutbytet i form av lagar, förordningar, myndighetsföreskrifter.1 En vanlig utgångspunkt är att juridisk interoperabilitet handlar om de rättsliga möjligheter och begränsningar som finns för att samarbeta och utbyta information mellan parter.2
En mer funktionell, och för utredningens uppdrag relevant, utgångspunkt är att säga att juridisk interoperabilitet uppnås genom att aktörer som samarbetar och som får utbyta information har en gemensam och entydig syn på vad som är tillåtet. Aktörerna har därmed samma förutsättningar att hantera information i en given situation eller kontext. På motsvarande sätt kan sägas att juridisk interoperabilitet inte föreligger när en part i ett samarbete tolkar regelverket annorlunda eller upplever rättslig osäkerhet och därför antar en försiktig inställning. En sådan si-
1 https://kunskapsguiden.se/omraden-och-teman/verksamhetsutveckling/e-halsa/vad-ar-e-halsa/ [2 023-09-17]. 2 Se till exempel eSam (2016) Vägledning för digital samverkan s. 12.
tuation hämmar samarbete, informationsutbyte och digitalisering och därmed utvecklingen av hälso- och sjukvården. Enligt Nätverket för Sveriges regioners IT-direktörer (SLIT) utgjorde rättslig osäkerhet och oklar rättspraxis det största hindret för digitalisering i regionerna 2022 och det näst största hindret 2023.3
Effektivt gränsöverskridande samarbete och digitalisering förutsätter även att begrepp i regelverken tolkas på ett likartat sätt. Om aktörerna har olika uppfattning av innebörden av begreppen kan det medföra att regelverken tillämpas olika i samma situation.4
Utredningen menar alltså att juridisk interoperabilitet inte bara handlar om vilka lagar, förordningar, myndighetsföreskrifter som (inte) reglerar hanteringen av information vid digitalisering, utan även om hur aktörerna tolkar och tillämpar dem.
Många gånger upplever hälso- och sjukvårdens aktörer att det föreligger rättsliga hinder när information ska hanteras eller utbytas i olika situationer. Utredningens uppfattning är att många, för aktörerna upplevda, rättsliga hinder i själva verket är rättslig osäkerhet och rädsla att göra fel. Enligt utredningen är befintliga lagar och regelverk mer tillåtande än vad de upplevs vara. En orsak till dessa utmaningar kan vara den begränsade omfattningen av rättspraxis. Det skulle även kunna vara att vissa föreskrifter är dåligt kända eller svåra att förstå utan mer kännedom om bakomliggande lagar eller annat material.
Utredningen menar därför att statliga myndigheternas stöd och vägledning till hälso- och sjukvårdens aktörer i juridiska frågor kopplade till hantering av information vid digitalisering behöver stärkas i syfte att undanröja rättslig osäkerhet och upplevda rättsliga hinder. De statliga myndigheterna kan sprida större klarhet om vad som gäller genom att i större utsträckning ge ut rättsliga ställningstaganden, uppmärksamma vägledande uttalanden i propositioner eller annat stöd i syfte att säkerställa juridisk interoperabilitet när information hanteras eller delas.
Utredningen noterar samtidigt att det råder osäkerhet hos de statliga myndigheterna huruvida det är lämpligt att ge rekommendationer om rättstillämpning. Detta beror, som utredningen förstår det, mycket på den osäkerhet som råder om de allmänna rådens rättsliga
3 SLIT (2023) IT och digitalisering i hälso- och sjukvården 2023, s. 7. 4 Ett exempel är begreppet patientrelation som är en förutsättning för att få ta del av en patients journaler. Om de olika aktörernas tolkning skiljer sig åt för när en patientrelation uppstår kommer tillgången till data i journalen som ett led av de olika tolkningarna bli olika för samma situation.
status. Det behövs inget bemyndigande för en myndighet att ge ut allmänna råd inom sitt verksamhetsområde och allmänna råd är inte heller rättsligt bindande för den som ska tillämpa rättsregeln. Samtidigt har allmänna råd i realiteten fått viss normerande effekt och uppfattas många gånger som tvingande trots att de inte är rättsligt bindande.5 Detta har enligt utredning bidragit till en försiktighet hos de statliga myndigheterna att ge rekommendationer om rättstillämpningen. Den främsta orsaken tycks vara risken att underminera riksdagens lagstiftningskompetens och regeringens förordningskompetens.
En alternativ väg för att hantera osäkerhet kring hur olika regelverk ska tillämpas är att göra befintliga lagar, förordningar och myndighetsföreskrifter mer detaljerade, eller att ge behöriga myndigheter utökad föreskriftsrätt. En sådan väg behöver dock ställas i relation till hur funktionella och framtidssäkrade författningarna då blir. Att ta fram en ny lag kan ta upp till tio år, en förordning kan ta två till tre år att besluta och en myndighetsföreskrift kan tas fram på mellan sex månader och ett år.6 Mot bakgrund av den tid och de samhällsresurser som krävs för att ta fram eller ändra en författning, och med hänsyn till de negativa effekter som alltför detaljerade författningar kan ge upphov till, menar utredningen att det är av stor vikt att aktörerna ges stöd och vägledning att använda hela det rättsliga utrymme som finns i befintlig lagstiftning innan ny eller ändrad författning övervägs.
Utredningen anser därför att rättslig osäkerhet behöver belysas och prioriteras i större utsträckning och hanteras genom ett utpekat statligt åtagande.
8.2. Det statliga ansvaret för stöd och vägledning för hantering av information behöver tydliggöras
Den svenska förvaltningsmodellen innebär att landets 20 regioner och 290 kommuner har en långtgående självstyrelse samt att regeringen i stor utsträckning delegerar mandat och befogenheter till en rad olika statliga myndigheter, som var och en självständigt ansvarar
5 Se vidare SOU 2007:10Hållbar samhällsorganisation med utvecklingskraft s. 95 ff. 6 Digg (2022) Uppdrag att stödja regeringens arbete med fortsatt digitalisering av välfärden genom
att identifiera rättsliga hinder (dnr I2022-00620). Delredovisning 1 december 2022 (dnr 2022–
0704).
för, verkar och agerar inom sina sakområden. Förvaltningsmodellen innebär att varje myndighet, inklusive kommunala myndigheter och andra offentliga aktörer, själva ska tolka lagstiftningen (12 kap. 2 § RF). Det kan därför vara en utmaning att försöka harmonisera aktörernas tillämpning där det råder osäkerhet genom att statliga myndigheter tillhandahåller stöd och vägledning. För att åstadkomma en substantiell förflyttning i önskad riktning genom frivilligt stöd från de statliga myndigheterna behöver aktörerna som stödet riktar sig till, inte minst regionerna, också förstå syftet och nyttan med en mer harmoniserad tillämpning av regelverken. Aktörerna behöver förstå hur de genom sina val kan vara en del av en gemensam, säker och effektiv lösning.
De statliga myndigheterna i sin tur behöver i större utsträckning bistå med stödjande och vägledande åtgärder för att underlätta för hälso- och sjukvårdens aktörer att tillämpa reglerna. Detta kan göras på olika sätt, exempelvis genom att tillhandahålla olika stöd och vägledningar eller genom att tillhandahålla arenor där aktörer kan mötas över organisatoriska gränser för att utbyta erfarenheter och diskutera gemensamma problem och lösningar. Ett sådant gemensamt arbete främjar den juridiska interoperabiliteten.
Utredningen bedömer därför att arbetet med att undanröja osäkerheter och hinder för hanteringen av information inom ramen för hälso- och sjukvårdens digitalisering behöver tydliggöras och prioriteras, och styras mot följande mål:
- Underlätta tillämpningen av regelverk
- Harmonisera tillämpning av regelverk
- Identifiera förändringsbehov av regelverk.
De statliga myndigheternas arbete ska syfta till ökad regelefterlevnad och en säker och effektiv digitalisering inom hälso- och sjukvårdens område. Det är viktigt att organiseringen av det statliga arbetet ges goda förutsättningar att kunna realisera målen. Utredningen menar att det behövs en långsiktig struktur för åtagandet och att en statlig myndighet ska ges ett tydligt mandat och ansvar att hålla ihop arbetet. Utredningen bedömer att det är ett bättre alternativ att lägga samordningsansvaret för hälso- och sjukvårdens område på en utpekad myndighet än att fördela det på flera myndigheter. Den statliga myndighet som får samordningsansvaret för stöd
och vägledning i de aktuella frågorna behöver ha legitimitet inom sitt verksamhetsområde och ha kunskap om hälso- och sjukvårdens informationsflöden. Myndigheten kan då dra nytta av och bygga vidare på befintlig kompetens och erfarenhet.
8.3. Ett särskilt samordningsansvar för stöd och vägledning på hälso- och sjukvårdens område behöver införas
Bedömning: Det behövs ett samordningsansvar för stöd och väg-
ledning på hälso- och sjukvårdens område. Detta stöd bör omfatta juridiska frågor rörande hantering av information inom ramen för hälso- och sjukvårdens digitalisering. Stödet och vägledningen ska riktas till såväl offentliga som privata aktörer.
Myndigheten för digital förvaltning har i uppgift att stötta och driva på digitaliseringen av hela den offentliga sektorn genom juridisk vägledning. Myndighetens rättsliga stöd riktas mot förvaltningsgemensamma digitaliseringsfrågor och ska vara ett stöd för de offentliga aktörernas eget arbete. Enligt Digg är en av de viktigaste effekterna av stödet att minska den rättsliga osäkerheten som är ett av de största hindren för digitalisering. Det rättsliga stödet är en möjlighet att motverka och minska detta genom att höja kompetensen i offentlig förvaltning.
Det finns två yttre ramar för Diggs uppgift att tillhandahålla rättsligt stöd. Rättsligt stöd ska endast tillhandahållas i frågor som är förvaltningsgemensamma, dessutom ska rättsligt stöd endast tillhandahållas i digitaliseringsfrågor.
Utredningen bedömer att det behövs ett områdesspecifikt samordningsansvar för juridisk vägledning inom hälso- och sjukvårdens område hos en statlig myndighet. Hälso- och sjukvårdens område kännetecknas av att en stor mängd känsliga personuppgifter behandlas och att det är en stor skara aktörer som behöver utbyta uppgifter med varandra, inte minst i syfte att åstadkomma en effektiv hälso- och sjukvård och ge en säker vård.
Utredningen bedömer att ansvaret för juridisk vägledning bör begränsas till juridiska frågor rörande hantering av information inom ramen för hälso- och sjukvårdens digitalisering. Detta för att inte uppdraget ska bli alltför omfattande. Stödet bör dock riktas till både offentliga och privata aktörer, detta på grund av den flora av både
privata och offentliga aktörer sektorn omfattar samt den höga graden av samverkan dessa aktörer har med varandra.
Den samordningsansvariga myndigheten behöver särskilt samverka med Digg och beakta den juridiska vägledning som Digg tillhandahåller. Samverkan med Digg ska ske för att säkerställa att stöden inte är i konflikt med varandra och att det inte uppstår dubbelarbete.
En del av det arbete som utredningen menar ska ingå i den samordningsansvariga myndighetens uppgift har regeringen och SKR försökt att hantera inom ramen för arbetet med Vision e-hälsa 2025. Där enades parterna om att fortsätta arbetet med att gemensamt identifiera och uppmärksamma verksamheternas behov av information om gällande regelverk eller om kommande förändringar av dessa regelverk. Parterna skulle även löpande sammanställa frågeställningar utifrån till exempel teknikutveckling, tillsynsinsatser och domstolsavgöranden, som kopplas till befintliga regelverk och som kan uppfattas försvåra digitaliseringsutvecklingen i berörda verksamheter.7 Trots att vägledning i juridiska frågor är en central förutsättning för digitaliseringen inom området har inte tillräcklig uppmärksamhet eller prioritet ägnats åt frågorna.8
Genom att ge en statlig myndighet ett uttryckligt samordningsansvar för stöd och vägledning för hantering av information förtydligas frågans relevans för en effektiv digitalisering av hälso- och sjukvården. Ett samordningsansvar hos en statlig myndighet förtydligar även regeringens förväntningar på samtliga statliga myndigheter med verksamhetsområden som påverkar hälso- och sjukvårdens digitalisering att aktivt stödja hälso- och sjukvårdens aktörer i sådana juridiska frågor.
8.4. E-hälsomyndigheten är bäst lämpad att samordna juridiskt stöd och vägledning på hälso- och sjukvårdens område
Bedömning: E-hälsomyndigheten är den myndighet som är bäst
lämpad att ha uppgiften att samordna de statliga myndigheternas stöd och vägledning till hälso- och sjukvårdens aktörer i juridiska frågor rörande hantering av information inom ramen för hälso- och sjukvårdens digitalisering.
7 Regeringen och SKR (u.å.) En strategi för genomförande av Vision e-hälsa 2025. Nästa steg på
vägen 2020–2022. s. 18.
8 Statskontoret (2021) Vision e-hälsa 2025 – ett försök att styra genom samverkan.
De statliga myndigheter som har uppdrag och verksamheter kopplade till information om personers hälsa och annan data som genereras inom hälso- och sjukvården är främst Socialstyrelsen och E-hälsomyndigheten. Båda myndigheterna har ansvar, kunskap och erfarenheter inom hälsodataområdet. Nedan redogör utredningen för sina överväganden för vilken myndighet utredningen anser ska få ansvaret att samordna de statliga myndigheternas stöd och vägledning till hälso- och sjukvårdens aktörer i juridiska frågor som rör hanteringen av information inom ramen för hälso- och sjukvårdens digitalisering.
Socialstyrelsen är den kunskapsstyrande myndigheten för vård och omsorg. Socialstyrelsen ansvarar för föreskrifter och allmänna råd inom sitt verksamhetsområde och har bland annat bemyndigats att meddela föreskrifter om journalhandlingars innehåll och utformning. En stor del av Socialstyrelsens uppdrag handlar om att samla, skapa och sprida kunskap. Socialstyrelsen har enligt sin instruktion bland annat ansvar för att verka för att hälso- och sjukvården och socialtjänsten bedrivs enligt vetenskap och beprövad erfarenhet, ansvar för kunskapsutveckling och kunskapsförmedling inom sitt verksamhetsområde, för att skapa och tillhandahålla enhetliga begrepp, termer och klassifikationer inom sitt verksam-hetsområde, samt att skapa, beskriva och tillhandahålla en ändamålsenlig informationsstruktur inom sitt verksamhetsområde. Socialstyrelsen är vidare en statistikansvarig myndighet och ansvarar för den officiella statistiken inom området hälso- och sjukvård, samt hälsodataregister. Socialstyrelsen leder även ett antal rådgivande och beslutande råd och nämnder, till exempel Socialstyrelsens rättsliga råd samt Rådet för styrning med kunskap – det senare ett samarbete mellan nio myndigheter som ska driva på utvecklingen inom vård och omsorg. Myndigheten har kunskap om lagstiftningen och lång erfarenhet av att ge olika former av stöd och annan vägledning till hälso- och sjukvårdens, tandvårdens och socialtjänstens aktörer. Socialstyrelsen är dessutom en etablerad och välkänd myndighet för sektorns olika aktörer. Det finns därmed skäl som talar för att Socialstyrelsen är en lämplig myndighet att ansvara för att samordna de statliga myndigheternas stöd och vägledning till hälso- och sjukvårdens aktörer i juridiska frågor rörande hantering av hälsodata.
E-hälsomyndigheten ska enligt sin instruktion ansvara för register och it-funktioner som öppenvårdsapotek och vårdgivare behöver ha tillgång till för en patientsäker och kostnadseffektiv läkemedelshantering. Genom en instruktionsändring som trädde i kraft 1 augusti
2023 förtydligades E-hälsomyndighetens ansvar att samordna regeringens satsningar på nationell digital infrastruktur för hälso- och sjukvård, tandvård och socialtjänst. Myndigheten ska numera också bistå regeringen med underlag för utvecklingen av digitaliseringen inom dessa områden. I detta ingår att årligen följa upp, analysera och beskriva utvecklingen samt att ge förslag på strategiska utvecklingsområden. Ändringen av instruktionen pekar tydligt ut E-hälsomyndigheten som den samordnande myndigheten för regeringens satsningar på e-hälsa och digital infrastruktur för hälso- och sjukvård, tandvård och socialtjänst. Regeringen har dessutom nyligen gett E-hälsomyndigheten en rad olika uppdrag med syfte att reformera den digitala infrastrukturen för hälso- och sjukvård, tandvård och socialtjänst.9 Vidare har Utredningen om e-recept och patientöversikter inom EES föreslagit att E-hälsomyndigheten ska ansvara för att tillhandahålla tjänster och infrastruktur för e-recept samt en tjänst för hälso- och sjukvårdspersonal att ta del av patientöversikter från utlandet. Genom den sistnämna tjänsten föreslår utredningen att hälso- och sjukvårdspersonal även ska kunna få tillgång till patientöversikter från andra vårdgivare i Sverige.10 Utredningens betänkande remitteras i skrivande stund.
Socialstyrelsen har särskild expertis inom hälso- och sjukvårdsjuridik och har en lång erfarenhet av både samordning och att ta fram stöd och vägledning inom sitt område. Som ovan nämnt är osäkerheten kring juridiken vid hantering av information ett av de största hindren för en effektiv digitalisering. Ett samordningsansvar för att undanröja dessa hinder bör därför enligt utredningen, med hänsyn tagen till Socialstyrelsens särskilda kompetens, ändå lämpligast hanteras i nära anknytning till övriga satsningar på digitalisering och nationell digital infrastruktur. En ändamålsenlig hantering av information finns enligt utredningen redan som en implicit förutsättning i samordningen av regeringens satsningar på e-hälsa och nationell digital infrastruktur. Ett samordnande ansvar för att underlätta tillämpningen i juridiska frågor rörande hanteringen av information ligger även i linje med det samordningsansvar som E-hälsomyndigheten länge haft och det utvidgade ansvaret myndigheten nyligen fått.
9 https://www.ehalsomyndigheten.se/nyheter/2023/nya-uppdrag-ska-driva-padigitaliseringen-och-minska-vardkoer/ [2023-08-09]. 10SOU 2023:13Patientöversikter inom EES och Sverige.
E-hälsomyndigheten är redan i dag, genom Nationella läkemedelslistan, en aktiv aktör i dataflöden av hälsodata inom hälso- och sjukvården. Med de förslag som ligger från Utredningen om e-recept och patientöversikter inom EES samt de regeringsuppdrag som E-hälsomyndigheten fått kan myndighetens roll komma att bli än mer viktig för flödet av information inom hälso- och sjukvårdens område. Det infrastruktursansvar som E-hälsomyndigheten i allt större utsträckning har, och ser ut att få, för hälso- och sjukvårdens område har också medfört att myndigheten upparbetat en bred kompetens om dataskydds- och informationssäkerhetsreglerna på området.
Utredningens sammantagna bedömning är att E-hälsomyndigheten är den sektorspecifika myndighet som är bäst lämpad att bemyndigas att ansvara för att samordna de statliga myndigheternas stöd och vägledning i juridiska frågor rörande hantering av information inom ramen för hälso- och sjukvårdens digitalisering.
8.5. Ett samordningsansvar för juridiskt stöd och vägledning för hantering av information införs i E-hälsomyndighetens instruktion
Förslag: E-hälsomyndigheten ska samordna de statliga myndig-
heternas stöd och vägledning i juridiska frågor rörande hanteringen av information inom ramen för hälso- och sjukvårdens digitalisering. E-hälsomyndigheten ska inom detta uppdrag vara samlande, stödjande och pådrivande i förhållande till berörda parter. E-hälsomyndigheten får enskilt eller gemensamt med andra statliga myndigheter ge stöd och vägledning till hälso- och sjukvårdens aktörer i juridiska frågor rörande hantering av information inom ramen för hälso- och sjukvårdens digitalisering. Ett tillägg med anledning av detta görs i instruktionen för E-hälsomyndigheten.
Författningsändringen i förordningen (2013:1031) med instruktion för E-hälsomyndigheten träder i kraft den 1 januari 2025.
Bedömning: Inom ramen för samordningsansvaret bör E-hälso-
myndigheten årligen till Regeringskansliet lämna fördjupade analyser över eventuella hinder eller annan rättslig osäkerhet i lag och förordning. Utredningen bedömer att rapporteringen redan framgår av 1 § i E-hälsomyndighetens instruktion. Utredningen bedömer att samverkan för att säkerställa samordning mellan det förvaltningsgemensamma juridiska stöd i digitaliseringsfrågor som Digg tillhandahåller och det stöd som ska tas fram för hälso- och sjukvårdens område kan ske inom ramen för den särskilt reglerade samverkan som redan framgår av 7 b § i E-hälsomyndighetens instruktion.
E-hälsomyndigheten har redan i dag en instruktionsenlig uppgift att samordna regeringens satsning på e-hälsa och nationell digital infrastruktur för hälso- och sjukvård, tandvård och socialtjänst. Det samordningsansvar för juridisk interoperabilitet som utredningen föreslår att E-hälsomyndigheten ska få kan möjligtvis anses ingå i den redan befintliga uppgiften. Utredningen anser dock att det är av vikt att uppgiften får en egen plats i instruktionen och blir tydligt för även andra statliga myndigheter som inom ramen för samordningsansvaret ska samverka med E-hälsomyndigheten. Ett förtydligande av uppgiften i instruktionen innebär en tydlig avsiktsförklaring från regeringen att uppgiften är viktig och långsiktig för såväl E-hälsomyndigheten som övriga.
Genom att tilldela E-hälsomyndigheten en samordningsuppgift för stöd och vägledning till hälso- och sjukvårdens aktörer i juridiska frågor rörande hanteringen av information tydliggörs även för övriga statliga myndigheterna på området att det finns ett gemensamt uppdrag att stödja hälso- och sjukvårdens aktörer i rättstillämpningen.
Genom att samla, stödja och agera pådrivande gentemot berörda parter, såväl de aktiva inom hälso- och sjukvårdens område som de statliga myndigheterna, kan problemområden identifieras och hanteras på ett ändamålsenligt sätt.
8.5.1. Identifiera problemområden och tillhanda forum för aktörerna
I samordningsansvaret ingår att identifiera rättslig osäkerhet samt upplevda och faktiska juridiska hinder för en säker och effektiv informationshantering. Dessutom ingår att samordna de olika myndigheternas arbete med att ta fram stöd. Som en del av samordningen behöver myndigheten tillhandhålla ett sammanhållet forum där aktörer inom hälso- och sjukvården, såväl privata som offentliga, kan samlas och utbyta erfarenheter av tolkningen av regelverken som rör hantering av information och identifiera prioriterade områden där osäkerheten kring rättstillämpningen ställer till störst problem. På detta sätt skapas en naturlig samlingsplats för dessa frågor. Att kunna identifiera de juridiska frågor som upplevs utgöra hinder för effektiva informationsflöden är det första steget för att kunna ta itu med problemen. Om aktörerna saknar forum för utbyte av erfarenheter finns risk att problemet aldrig identifieras och kan därför inte heller lösas.
Det kommer även finnas behov för E-hälsomyndigheten att samarbeta med hälso- och sjukvårdens aktörer i förhållande till den statliga digitala infrastrukturen. För närvarande sker en del av samarbetet med myndigheten genom införandet av Nationella läkemedelslistan. Regeringens ambition att bygga ut och komplettera den nationella digitala infrastrukturen för hälso- och sjukvården kommer att förstärka behovet av samarbete och samordning i frågor som rör juridisk interoperabilitet. I förhållande till den statliga digitala infrastrukturen behöver det finnas arenor och forum för dialog och samarbete om juridisk interoperabilitet som även inkluderar kommunerna, privata aktörer och branschen i stort. Genom en bred dialog kan aktörernas behov och förutsättningar få betydelse för hur de statliga myndigheternas stöd utformas och därmed bli mer träffsäkert.
Forumet kan även utgöra en samlingspunkt för alla parter när frågor snabbt behöver diskuteras gällande reglerna för hantering av information, exempelvis vid en kris. Under coronapandemin blev det tydligt att det saknades ett etablerat samlat forum för sektorns alla aktörer på regional, kommunal och statlig nivå, att dela erfarenheter och lyfta nya problem kring hantering av data genererat av vården som behövde hanteras skyndsamt och nationellt enhetligt. Så som utredningen förstår det skedde samarbetet i stället genom fler olika grupper, både nya och gamla. Genom att E-hälsomyndigheten
får i uppdrag att vara en sådan kontaktpunkt kan det inför nästa kris redan finnas ett etablerat gemensamt forum för denna typ av frågor.
8.5.2. Tydliggöra möjligheterna som befintlig lagstiftning ger
Många gånger upplever aktörerna att rättsreglerna på området utgör ett hinder för en säker och effektiv digitalisering inom hälso- och sjukvården. Som tidigare nämnts är utredningens uppfattning att många rättsliga hinder som aktörerna upplever i själva verket är rättslig osäkerhet och en rädsla att göra fel. Befintliga regelverk är många gånger mer tillåtande än vad de upplevs vara och aktörerna behöver därför ges stöd och vägledning att kunna använda hela det rättsliga utrymme som finns i befintlig lagstiftning. När det gäller att tydliggöra möjligheterna som befintlig lagstiftning ger anser vi att det är och ska vara ett delat ansvar mellan de statliga myndigheterna. Det stöd och de vägledningar som åsyftas är sådant som riktas en–till– många och inte stöd och vägledning i juridiska frågor i enskilda fall. E-hälsomyndigheten ska genom sin samordnande roll aktivt identifiera områden där tillämpningen upplevs svår och påtala behovet av att utveckla generellt stöd i aktuell fråga till ansvarig statlig myndighet. E-hälsomyndigheten kan på och så sätt vara pådrivande i processen att stöd tas fram för identifierade behov.
Det är inte alltid tydligt vad som utgör ramen för den verksamhet en statlig myndighet ska ägna sig åt och det finns ibland överlapp mot andra statliga myndigheters område. Det kan därför uppstå oklarheter kring vilken myndighet som ska ge stöd för vilka frågor. Vi anser att denna fråga måste hanteras från fall till fall och i dialog mellan myndigheterna. Syftet med E-hälsomyndighetens föreslagna samordningsansvar är inte att ta bort ansvaret eller mandatet för att ge stöd som exempelvis Socialstyrelsen redan har. Avsikten är att tydliggöra det gemensamma ansvaret för alla de statliga myndigheterna inom sina respektive områden att möta hälso- och sjukvårdens behov av stöd och tillsammans verka för en säker och effektiv digitalisering på hälso- och sjukvårdens område.
Det kommer inte heller vara så att alla stöd kan tas fram av en myndighet enskilt. Vissa typer av stöd kan komma att behöva tas fram av E-hälsomyndigheten i samverkan med andra statliga myndigheter, inte minst Socialstyrelsen och Integritetsskyddsmyndigheten. Om
det skulle uppstå ett område där det inte enkelt går att utröna vilken myndighet som ska ha huvudansvaret att ta fram ett stöd så har E-hälsomyndigheten ett mandat genom den föreslagna skrivningen i instruktionen att gemensamt med de andra myndigheterna ge ut vägledningar för rättstillämpningen i de aktuella frågorna. Exempel på sådana gemensamt framtagna stöd finns redovisade i avsnitt 5.2. Om frågan skulle röra E-hälsomyndighetens verksamhetsområde och det inte anses nödvändigt att ta fram stödet gemensamt har E-hälsomyndigheten enligt utredningen kompetens att enskilt ta fram sådana stöd och vägledningar under samma förutsättningar som övriga statliga myndigheter. Den föreslagna ändringen av förordningen har till syfte att tydliggöra E-hälsomyndighetens rättsliga stöd att ta fram både enskilda och myndighetsgemensamma stöd och vägledningar.
Vilka statliga myndigheter och övriga aktörer det blir aktuellt för E-hälsomyndigheten att samverka respektive samarbeta med beror på vilken fråga som är aktuell och vilka aktörer som har behov av stöd. Dataskydd är det juridiska område som är utpekat i direktivet och i vårt arbete med att förstå vilka behov av stöd som efterfrågas lyftes dataskydd som ett område som behöver prioriteras (se kapitel 4 och bilaga 2). E-hälsomyndigheten bör därför primärt särskilt samverka med IMY och Socialstyrelsen. IMY är Sveriges nationella tillsynsmyndighet för behandling av personuppgifter och Socialstyrelsen är den myndighet som i stor utsträckning ansvarar för föreskrifter och allmänna råd gällande personuppgiftsbehandling enligt patientdatalagen och lagen om sammanhållen vård- och omsorgsdokumentation.
Utredningen bedömer att den samverkan som kommer att ske inom ramen för arbetet att stödja hälso- och sjukvårdens aktörer i stor utsträckning ryms inom den skyldighet för statliga myndigheter att samarbeta och samverka som slås fast i förvaltningslagen (2017:900) och i myndighetsförordningen (2007:515). I förvaltningslagen slås, under rubriken samverkan, att en myndighet, inom sitt verksamhetsområde, ska samverka med andra myndigheter (8 §). Enligt förordningen ska myndigheterna hushålla väl med statens medel (3 §) och fortlöpande verka för att genom samarbete med myndigheter och andra ta till vara de fördelar som kan vinnas för enskilda samt för staten som helhet (6 §). Utredningen bedömer därför att det inte behövs någon särskild reglering i respektive myndighets instruktion för denna typ av samverkan.
8.5.3. Påtala behov av normering
Ibland kan slutsatsen bli att stödjande insatser inte är tillräckligt då befintlig lagstiftning hindrar effektiv datadelning eller digital utveckling. E-hälsomyndigheten ska därför även främja dialog och samarbete kring regel- och policyutveckling. Syftet är att belysa utmaningar som vårdens aktörer står inför och bidra till att frågorna hanteras hos rätt aktör så att frågan hanteras på lämplig nivå i regelhierarkin och på så sätt vara pådrivande i rättsutvecklingen.
E-hälsomyndigheten bör årligen till Regeringskansliet lämna fördjupade analyser av eventuella hinder eller annan rättslig osäkerhet i lag och förordning. Syftet är att de fördjupade analyserna exempelvis kan ligga till grund för regeringen att styra myndigheterna, initiera och utarbeta utredningsdirektiv för att ändra nationell lagstiftning eller att kunna ta tillvara svenska intressen i internationella processer. Många av de utmaningar som kommer att identifieras är sannolikt sådana som under en längre tid varit kända. Vissa utmaningar har kanske till och med utretts av en statlig utredning eller behandlats i propositioner utan att ändras. Huvudregeln bör vara att det ska vara nya frågor som redovisas men om det finns nya omständigheter som gör frågan aktuell kan detta kan vara ett sätt att få upp frågorna på bordet för nya övervägningar.
E-hälsomyndigheten har redan en instruktionsenlig uppgift att bistå regeringen med underlag för utvecklingen av digitaliseringen för hälso- och sjukvård, tandvård och socialtjänst. I uppdraget ingår att årligen följa upp, analysera och beskriva utvecklingen samt att ge förslag på strategiska utvecklingsområden. Utredningen menar att de fördjupade analyserna av eventuella hinder eller annan rättslig osäkerhet i författning bör inlemmas i myndighetens befintliga återrapporteringskrav.
8.5.4. Samverkan med Digg
E-hälsomyndigheten behöver samverka med Digg i förhållande till den juridiska vägledning som Digg ger inom ramen för den förvaltningsgemensamma digitaliseringen. Samverkan med Digg behöver ske för att säkerställa att stöden inte är i konflikt med varandra och att det inte uppstår dubbelarbete. E-hälsomyndigheten ska redan enligt sin instruktion (7 b § förordning med instruktion för E-hälso-
myndigheten) särskilt samverka med Digg i arbetet med att samordna regeringens satsningar på e-hälsa och nationell digital infrastruktur för hälso- och sjukvård, tandvård och socialtjänst. Samverkan för att säkerställa samordning mellan det förvaltningsgemensamma juridiska stöd i digitaliseringsfrågor som Digg tillhandahåller och det stöd som ska tas fram för hälso- och sjukvårdens område kan enligt utredningens bedömning ske inom ramen för den särskilt reglerade samverkan som redan finns i myndighetens instruktion.
8.6. Förvaltningsmyndigheternas fristående ställning utgör inte ett hinder att lämna stöd och vägledning
Bedömning: Förvaltningsmyndigheternas fristående ställning ut-
gör inte något hinder för att tillhandahålla stöd för rättstillämpningen så länge stöden inte utformas så att de styr hur förvaltningsmyndigheterna ska agera i sin myndighetsutövning mot enskilda eller mot en kommun eller i tillämpningen av rättsregler.
De statliga myndigheterna kan tillhandahålla stöd och vägledning till hälso- och sjukvårdens aktörer i juridiska frågor gällande hantering av information så länge det ligger inom myndighetens kompetens och myndigheten genom den stödjande åtgärden inte överträder förvaltningsmyndigheternas fristående ställning.
Genom den svenska förvaltningsmodellen råder det en organisatorisk och ansvarsmässig uppdelning mellan regering och förvaltning. Principen om förvaltningsmyndigheternas fristående ställning kommer till uttryck i 12 kap. 2 § regeringsformen. Där slås fast att ingen myndighet, inte heller riksdagen eller en kommuns beslutande organ, får bestämma hur en förvaltningsmyndighet i ett särskilt fall ska besluta i ett ärende som rör myndighetsutövning mot enskild eller mot en kommun eller som rör tillämpningen av lag.
Det är inte helt enkelt att bestämma de yttersta ramarna för när en statlig myndighet genom att ge vägledning skulle anses ha inskränkt på förvaltningsmyndigheternas fristående ställning. Myndigheter får utan ett särskilt bemyndigande inom sitt verksamhetsområde ge ut stöd i form av allmänna råd, det vill säga sådana generella
rekommendationer om tillämpningen av en författning som anger hur någon kan eller bör handla i ett visst hänseende. Att samla den information som finns på området inklusive förarbetsuttalanden som förklarar hur en rättsregel är tänkt att tillämpas, i en handbok eller i en vägledning, har inte ansetts vara problematiskt.
Ett stöd kan utformas på många olika sätt, bland annat genom praktiska exempel på olika lösningar, lathundar och checklistor. Handböcker och andra exempel ovan kan inte anses inskränka myndigheternas rätt att fatta självständiga beslut i ärenden som rör myndighetsutövning mot enskild eller som rör tillämpningen av lag.
Detaljerade vägledningar från en statlig myndighet för hur förvaltningsmyndigheter kan agera i förhållande till en rättsregel skulle kunna komma att påverka förvaltningsmyndigheternas agerande. Att vägledningar och annat stöd skulle kunna påverka förvaltningsmyndigheternas agerande är dock enligt utredningen inte detsamma som att en statlig myndighet genom en vägledning ska anses ha bestämt hur en förvaltningsmyndighet ska besluta i enskilda ärenden eller i sin rättstillämpning. Det är i slutändan förvaltningsmyndigheterna som ska bedöma om, och i så fall, på vilket sätt de vill använda sig av vägledningen vid sin rättstillämpning.
Det kommer att vara upp till de statliga myndigheter som ska ta fram stöden att hitta lämpliga gränser genom att göra en avvägning mellan att nyttja det handlingsutrymme som finns att ge stöd utan att överträda gränserna för myndigheternas fristående ställning. Utredningen ser inte någon överhängande risk att gränserna till myndigheternas fristående ställning i förhållande till myndighetsutövning skulle överskridas när de statliga myndigheterna utarbetar stöd. Detta eftersom den juridik som myndigheterna kan komma att ge stöd och vägledning kring inte i särskilt stor utsträckning utgör sådan juridik som består i myndighetsutövning. Osäkerheten kring juridiken gäller främst hantering av information i de delar som rör förvaltningsmyndigheternas faktiska handlande, det vill säga sådant som inte är ämnat att få verkningar för någon enskild. I den mån det skulle efterfrågas sådant stöd som skulle tangera myndighetsutövning mot enskild bör en försiktighetsprincip användas. Stöden får inte ha ett sådant innehåll att det vid en prövning mot enskilda får ett förutbestämt utfall.
Så länge myndigheternas fristående ställning beaktas vid utformningen av stöden utgör den inte ett hinder för de statliga myndigheternas möjlighet att tillhandahålla stöd för rättstillämpningen.
8.7. Övriga statliga myndigheters instruktioner behöver inte ändras
Bedömning: Utredningen bedömer att det inte är motiverat att
ändra andra statliga myndigheters instruktioner avseende uppdrag att ta fram stöd och vägledning till hälso- och sjukvårdens aktörer i juridiska frågor rörande hantering av information.
En myndighet ska bedriva sin verksamhet inom det område som utgörs av myndighetens ansvar och uppdrag, myndighetens kompetens. Den svenska förvaltningsmodellen innebär att myndigheter inte får verka eller agera inom en annan myndighets uppdrag (och ansvarsområde). För att en myndighet ska kunna ta fram vägledningar i syfte att ge praktiska råd gällande hantering av information inom hälso- och sjukvården krävs därför att det ligger inom myndighetens kompetensområde.
Allt det stöd som efterfrågas, och i framtiden kommer efterfrågas, ligger inte och kommer inte att ligga under E-hälsomyndighetens direkta verksamhetsområde. En stor del av det stödjande och vägledande arbetet kommer behöva göras av andra myndigheter med närliggande uppdrag, enskilt eller gemensamt med E-hälsomyndigheten eller andra myndigheter och aktörer. Exempel på myndigheter som kan komma att ge stöd i de aktuella frågorna är Folkhälsomyndigheten, Inspektionen för vård och omsorg, Integritetsskyddsmyndigheten, Läkemedelsverket, Myndigheten för digital förvaltning, Myndigheten för samhällsskydd och beredskap, Tandvårds- och läkemedelsförmånsverket och Socialstyrelsen.
Det är svårt att redan nu veta exakt vilket stöd som ska tas fram, och inom vilken myndighets verksamhetsområde frågan ligger. Ibland kommer det vara tydligt att det bör vara en viss myndighet, exempelvis om myndigheten i fråga har föreskriftsrätt på ett område eller om de har ett utpekat ansvar för en viss typ av fråga, andra gånger kommer det krävas samverkan. Frågan om vilken myndighet som
bör ta fram stöd efter att ett behov har identifierats måste därför utredas från fall till fall i dialog med de olika myndigheterna.
Det är heller inte alltid tydligt vad som utgör ramen för den verksamhet en myndighet ska ägna sig åt, och det uppstår inte heller sällan överlapp mot andra statliga myndigheters område. Det finns då enligt utredningen rättsligt stöd för att gemensamt ta fram vägledning genom det generella kravet på att samverka i myndighetsförordningen som redovisats under avsnitt 8.5.2. Varje myndighet kan i ett sådant arbete bidra utifrån sin kompetens.
Socialstyrelsen och IMY är de myndigheter som utredningen bedömer i första skedet kan komma att bli aktuella att ta fram stöd. Detta i förhållande till dataskyddsförordningen och patientdatalagen, vilket är de juridiska områden som preciseras i direktivet och som hälso- och sjukvårdens aktörerna upplever skapar störst rättslig osäkerhet. Socialstyrelsen har redan en bred kompetens enligt myndighetens instruktion i dessa frågor. Socialstyrelsen är förvaltningsmyndighet för verksamhet som rör hälso- och sjukvård och annan medicinsk verksamhet, tandvård, socialtjänst, stöd och service till vissa personer med funktionsnedsättning samt frågor om alkohol och missbruksmedel. Socialstyrelsens ansvar gäller i den utsträckning sådana frågor inte ska handläggas av någon annan myndighet (1 § förordningen (2015:284) med instruktion för Socialstyrelsen). Socialstyrelsen ska ansvara för kunskapsutveckling och kunskapsförmedling inom sitt verksamhetsområde (4 § 2 förordningen med instruktion för Socialstyrelsen). Vidare finns i 2 och 3 §§patientdataförordningen (2008:360) bemyndiganden för Socialstyrelsen att meddela föreskrifter om verkställigheten av patientdatalagen (2008:355) och lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.
I sin tur har Integritetsskyddsmyndighetens en bred instruktionsenlig uppgift att arbeta för att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter, att underlätta det fria flödet av sådana uppgifter inom Europeiska unionen och att verka för att god sed iakttas i kreditupplysnings- och inkassoverksamhet (1 § förordning (2007:975) med instruktion för Integritetsskyddsmyndigheten). Vidare är myndigheten Sveriges nationella tillsynsmyndighet för behandling av personuppgifter (2 a § förordning med instruktion för Integritetsskyddsmyndigheten). Det följer av artikel 57 i dataskyddsförordningen att tillsynsmyndigheten ska övervaka och verkställa tillämpningen av förord-
ningen. Av artikeln följer även uppgifter som att öka allmänhetens medvetenhet om och förståelse för risker, regler, skyddsåtgärder och rättigheter i fråga om behandling samt öka personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om sina skyldigheter enligt dataskyddsförordningen. Dessutom följer av artikeln att tillsynsmyndigheten ska ge råd åt det nationella parlamentet, regeringen och andra institutioner och organ om lagstiftningsåtgärder och administrativa åtgärder rörande skyddet av fysiska personers rättigheter och friheter när det gäller behandling av personuppgifter.
De myndigheter som utredningen bedömer initialt kan komma att bli aktuella att ta fram stöd har redan en sådan kompetens genom sina respektive instruktioner. Utredningen föreslår därför ingen ytterligare reglering som stöd för uppgiften.
8.8. Några andra aspekter kring stöd och vägledningar från statliga myndigheter
Som redan konstaterats är det utredningens uppfattning att det finns utrymme för de statliga myndigheterna att ge mer, och tydligare stöd gällande hantering av information inom hälso- och sjukvårdens område.
En typ av stöd som efterfrågas särskilt är rättsliga ställningstaganden. Kännetecknande för rättsliga ställningstaganden från statliga myndigheter är att de ofta är bindande för den myndighet som tar fram ställningstagandet och vägledande för övriga. Den myndighet som tar fram ett rättsligt ställningstagande tar i dessa fall ställning till hur de tolkar en rättsregel i rollen som tillämpare av reglerna. Rättsliga ställningstaganden är därför en form av stöd som främst kommer att tas fram av de statliga myndigheter som ska utöva tillsyn av tillämpningen av lagreglerna. Som exempel kan nämnas IMY och IVO som bedömer tillämpningen av regler i sin tillsyn eller andra myndigheter inom ramen för sin ärendehandläggning. Det är också en lämplig ordning att det är myndigheter som ska utöva tillsyn och besluta om eventuella sanktioner som i första hand uttalar sig om hur de ser på de regler de ska utföra tillsyn över. IMYs framåtlutade förhållningsätt med rättsliga ställningstaganden är enligt utredningen ett bra exempel och ett stort steg i rätt riktning.
I de fall rättsliga ställningstaganden skulle komma att beslutas av andra myndigheter än tillsynsmyndigheterna bör risken att det uppstår skillnad i tolkningar gå att undvika genom ett samråd med tillsynsmyndigheten (i de delar de rör tillsynsmyndighetens område) innan beslut om det rättsliga ställningstagandet tas. Detta så det inte uppstår situationer där en myndighet beslutar rättsliga ställningstaganden som tillsynsmyndigheten vid tillsynen inte delar.
Det finns vissa vägledande uttalanden om att myndigheter som har normgivningsbemyndiganden ska iaktta försiktighet när de vägleder om handlingssätt som rör lagstiftning eftersom reglerna har en extra stor risk att missuppfattas som bindande. Det betyder inte, enligt utredningen, att det saknas utrymme för sådana myndigheter att ge ut vägledningar, utan det betyder att sådana myndigheter bör vara särskilt noggranna med vilken form av stöd som ges, hur de formulerar sig och hur stödet presenteras. Som nämnts i avsnitt 8.1 finns också en försiktighet hos de statliga myndigheterna att ge rekommendationer på grund av risken att underminera riksdagens lagstiftningskompetens och regeringens förordningskompetens. Utredningen menar dock att de statliga myndigheterna bör kunna använda befintliga verktyg i större utsträckning för att ge stöd och vägledning. I en handbok i författningsskrivning som utarbetats av Statsrådsberedningen uttalas att det ofta är det bäst att kungöra allmänna råd i en författningssamling. Detta för att minska risken att de allmänna råden förlorar sin karaktär av råd om tillämpningen av en författning och i stället blir svåröverskådliga redogörelser för rättsläget på området.11
Sedan handboken skrevs har, som utredningen förstår det, den gemensamma publiceringen av föreskrifter och allmänna råd dock medfört att allmänna råd i högre grad uppfattas som bindande.12 En möjlig lösning för att i större utsträckning kunna använda sig av allmänna råd och samtidigt minska risken att dessa ska tolkas som bindande kan vara att rekommendationer i den här sektorn publiceras i en separat serie i enlighet med 27–28 §§ i författningssamlingsförordningen. Rekommendationerna bör dessutom alltid åtföljs av tydlig information om att rekommendationerna inte är bindande.
11Ds 1998:43Myndigheternas föreskrifter. Handbok i författningsskrivning. s. 27. 12 Se utförligare resonemang om osäkerheten kring allmänna råds rättsliga ställning i SOU 2007:10Hållbar samhällsorganisation med utvecklingskraft s. 96 ff.
I fråga om vad som händer om ett stöd från en myndighet visar strida mot vad tillsynsmyndigheten eller i slutändan en domstol beslutar bör åter igen förvaltningsmyndigheternas självständiga rätt och skyldighet att tolka lagen nämnas. I förhållande till dataskydd är det även av vikt att komma ihåg att det är de personuppgiftsansvariga som enligt dataskyddsförordningen ansvarar för vilka ändamål personuppgifterna ska behandlas och hur behandlingen ska gå till. Ett stöd kan därför inte ersätta de enskilda aktörernas eget arbete eller ansvar.
I sammanhanget kan 3 kap. 3 § skadeståndslagen (1972:207) nämnas. I paragrafen fastställs att staten eller en kommun ska ersätta ren förmögenhetsskada som vållas av att en myndighet genom fel eller försummelse lämnar felaktiga upplysningar eller råd, om det med hänsyn till omständigheterna finns särskilda skäl. Upplysningarnas eller rådens art, deras samband med myndighetens verksamhetsområde och omständigheterna när de lämnades ska då särskilt beaktas. Enligt utredningens bedömning är det dock sällan generella vägledningar och stöd skulle kunna utgöra sådana fel som skulle kunna omfattas av bestämmelsen i skadeståndslagen.
8.9. Rättslig grund för E-hälsomyndighetens personuppgiftsbehandling
Utredningens bedömning: Den rättsliga grunden i dataskydds-
förordningen för behandlingen av personuppgifter enligt den föreslagna bestämmelsen i förordningen (2013:1031) med instruktion för E-hälsomyndigheten är arbetsuppgift av allmänt intresse enligt artikel 6.1 e.
E-hälsomyndigheten ska enligt utredningens förslag få ett utökat uppdrag. E-hälsomyndigheten kommer att behöva behandla vissa personuppgifter inom ramen för den föreslagna uppgiften. Denna del av E-hälsomyndighetens arbete bedöms inte innefatta någon omfattande personuppgiftsbehandling utöver den som med nödvändighet måste ske inom all offentlig förvaltning. Det kommer troligtvis innebära behandling av personuppgifter i den interna administrationen, såsom hanteringen av exempelvis personalfrågor. Vidare kommer det att förekomma personuppgifter om till exempel kontaktpersoner vid andra myndigheter, regioner, kommuner och privata
vårdgivare och andra som myndigheten behöver samverka och samarbeta med.
Vid anordnande av eventuella konferenser eller vid informationsinsatser kan även deltagarlistor eller utskickslistor komma att förekomma. EU:s dataskyddsförordning utgör sedan den 25 maj 2018 den generella regleringen av personuppgiftsbehandling inom EU. Enligt artikel 1 punkten 2 dataskyddsförordningen skyddar förordningen fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Vid all behandling av personuppgifter ska de särskilda principer för behandling av personuppgifter som framgår av artikel 5 dataskyddsförordningen följas. Principerna omfattar bland annat regler om laglighet, korrekthet och öppenhet, ändamålsbegränsning och ansvarsskyldighet. Personuppgifter får, med stöd av artikel 6.1 e i EU:s dataskyddsförordning, behandlas om behandlingen är nödvändig bland annat för att utföra en uppgift av allmänt intresse. Enligt artikel 6.3 ska den rättsliga grunden för den behandling som avses i punkt e fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.
Utredningen bedömer att hanteringen av personuppgifterna är nödvändig som ett led i myndighetens uppgift av allmänt intresse. Utredningen bedömer vidare att den rättsliga grunden för behandlingen fastställs genom att uppgiften framgår av myndighetens instruktion. Den personuppgiftsbehandling som kommer att ske motiverar inte införande av specifika dataskyddsbestämmelser.
9. Konsekvenser
9.1. Inledning
I utredningens uppdrag ingår att analysera konsekvenserna av utredningens förslag i enlighet med 14–15 a §§kommittéförordningen (1998:1474). Det innebär att om förslagen i betänkandet påverkar kostnaderna eller intäkterna för staten, kommuner, regioner, företag eller andra enskilda, ska en beräkning av dessa konsekvenser redovisas. Även samhällsekonomiska konsekvenser i övrigt ska redovisas. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska utredningen föreslå hur dessa ska finansieras. Vidare ska eventuella konsekvenser för den kommunala självstyrelsen, för brottsligheten och det brottsförebyggande arbetet, samt för sysselsättning och offentlig service i olika delar av landet redovisas. Detsamma gäller små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företag, för jämställdheten mellan kvinnor och män eller för möjligheten att nå de integrationspolitiska målen. Eftersom betänkandet innehåller författningsförslag, ska förslagens kostnadsmässiga och andra konsekvenser också redovisas i enlighet med 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgivning.
Enligt kommittéförordningen (1998:1474), 14–16 §§, och förordningen (2007:1244) om konsekvensanalys vid regelgivning ska konsekvenser av de förslag som presenteras av en utredning belysas utifrån en rad olika aspekter där det är relevant. I detta kapitel redovisar vi konsekvenserna av utredningens förslag.
9.2. Förslaget i korthet
Utredningen föreslår att E-hälsomyndigheten ska samordna de statliga myndigheternas stöd och vägledning till hälso- och sjukvårdens aktörer i juridiska frågor rörande hanteringen av information och digitalisering i syfte att undanröja rättslig osäkerhet och öka harmoniseringen av tillämpningen. Inom ramen för det nya uppdraget ska E-hälsomyndigheten vara samlande, stödjande och pådrivande i förhållande till berörda parter. E-hälsomyndigheten bör särskilt samverka med Socialstyrelsen, Digg och IMY. E-hälsomyndigheten ska samarbeta med aktörerna som stödet vänder sig till.
Stödet som de statliga myndigheterna tar fram för hälso- och sjukvårdens aktörer ska vara frivilligt att använda och att följa, och medför inga krav på varken kommuner, regioner eller någon annan. En viktig uppgift för myndigheterna blir att tydliggöra möjligheterna som befintlig lagstiftning ger. Genom att tydliggöra möjligheterna i befintlig lagstiftning kan aktörernas tillämpning underlättas och harmoniseras. Myndigheternas stöd och vägledning ska riktas mot områden där störst nytta för systemet som helhet kan uppnås. För att det frivilliga stödet ska leda till ökad harmonisering behöver aktörerna som stödet riktar sig till, inte minst regionerna, också förstå syftet och nyttan med en mer harmoniserad tillämpning av regelverken. Aktörerna behöver förstå hur de genom sina val kan vara en del av en gemensam, säker och effektiv lösning.
Som en del av samordningen ska E-hälsomyndigheten främja dialog med och mellan aktörerna som stödet vänder sig till. Enligt förslaget ska myndigheten tillhandhålla ett forum där aktörer inom hälso- och sjukvården, såväl privata som offentliga, kan utbyta erfarenheter av tolkningen av regelverken som rör hantering av hälsodata och identifiera prioriterade områden där osäkerheten kring rättstillämpningen ställer till störst problem. Genom att tillhandahålla en arena där aktörer kan mötas över organisatoriska gränser och gemensamt enas om hur olika rättsliga frågor lämpligen tillämpas kan den juridiska interoperabiliteten inom sektorn främjas. Det förutsätter att aktörerna som tillämpar regelverken är villiga att göra nödvändiga förändringar i syfte att skapa nytta i hela systemet genom att harmonisera sin egen tillämpning med övriga aktörer. Aktörerna behöver alltså förstå hur de genom sina val kan vara en del av en gemensam, säker och effektiv lösning.
E-hälsomyndigheten ska också årligen till Regeringskansliet lämna fördjupade analyser av rättslig osäkerhet och hinder. I de fall det handlar om faktiska rättsliga hinder, inte bara upplevda hinder och rättslig osäkerhet, ska underlaget bidra till att frågorna hanteras hos rätt aktör. På så sätt kan frågan hanteras på lämplig nivå i regelhierarkin.
Utredningens förslag medför ändringar i E-hälsomyndighetens instruktion. För de utökade uppgifterna behöver E-hälsomyndighetens förvaltningsanslag tillföras medel. Utredningens förslag kommer medföra ökade kostnader även för Socialstyrelsen.
9.3. Nyttorna med förslaget
Vårdpersonal registrerar i dag en stor mängd uppgifter som redan finns dokumenterade någon annanstans i vårdsystemet. Dubbel- och trippeldokumentationen av detta slag är en välkänd påfrestning för såväl vårdpersonal som patienter. Ett av de största hindren till digitalisering och att all den data som faktiskt får delas inte delas är rättslig osäkerhet. Samtidigt är digitalisering är en av de viktigaste komponenterna för att hantera de utmaningar som hälso- och sjukvården står inför. Genom att identifiera de områden där det råder osäkerhet och försöka tydliggöra möjligheterna som befintlig lagstiftning ger kan relevant data i större utsträckning delas mellan olika vårdgivare, digitaliseringen på området utvecklas i en snabbare takt och därmed åstadkomma en mer säker och effektiv hälso- och sjukvård.
En grundläggande förutsättning för hälso- och sjukvårdens digitalisering är möjligheterna att behandla stora mängder data av känslig karaktär. För att bibehålla allmänhetens förtroende behöver denna information hanteras korrekt och inte hamna i orätta händer. Genom att stödja och vägleda aktörerna i tillämpningen av dataskyddreglerna ökar förutsättningarna för att allmänhetens förtroende bibehålls samtidigt som det sker en nödvändig digitalisering inom vården.
En del i E-hälsomyndighetens samordning blir också att facilitera erfarenhets- och kunskapsutbyte. Sådana forum i kombination med ett utökat stöd från de statliga myndigheterna till hälso- och sjukvårdens aktörer förväntas höja det generella kunskapsläget i de aktuella frågorna, särskilt bland de mindre vårdaktörerna.
Sammantaget bedömer utredningen att de ökade kostnaderna för de statliga myndigheterna skapar en ekonomisk vinst på samhälls-
nivå genom att mindre resurser, totalt sett, behöver läggas på att hantera rättsliga osäkerheter.
9.4. Konsekvenser för alternativa lösningar
9.4.1. Nollalternativet
Dagens variation i hur rättsreglerna tillämpas hindrar effektiva flöden för datadelning och digitala tjänster. När data, som får delas, inte delas uppstår effektivitetsförluster. För patientens del innebär det att han eller hon kan behöva genomgå samma undersökning igen eller ta om prover när resultaten inte är åtkomliga. Vårdens kostnader för dubbeldokumentation och dubbelarbete, som är ett direkt resultat av bristande datadelning, är svåra att uppskatta i ekonomiska termer men är räknas med största sannolikhet i miljontals kronor per år.
Dagens variation i hur rättsreglerna tillämpas innebär svårigheter att skala upp tjänster över organisatoriska gränser eftersom regelverken sällan tillämpas lika av nästa aktör. Ett dataflöde eller en funktion i en tjänst, som är tillåten hos en aktör, kan hos en annan vara otillåten. Den omotiverade skillnaden i rättstillämpningen och osäkerheten kring vad som är tillåtet bidrar till bristande förutsägbarhet för leverantörer och hämmar såväl investeringar som innovation. Effektivitetsförluster av detta slag som orsakas av juridisk interoperabilitet är svåra att kostnadsberäkna.
9.4.2. Branschstandard – en alternativ lösning
Utredningen väljer att i kapitel 10 presentera en fullständig alternativ lösning i form av en branschstandard som skulle kunna utarbetas av branschens aktörer med samordningsstöd från en statlig myndighet. Utredningen bedömer sammantaget att utarbetandet av en branschstandard, under ledning av en statlig myndighet, inte ger samma nyttor eller följsamhet till stödet och att det skapar utmaningar för den myndigheten som får i uppdrag att facilitera arbetet. Vi redogör ändå för den alternativa lösningen i syfte att ge remissinstanserna möjlighet att yttra sig såväl om utredningens förslag (kapitel 8) som den alternativa lösningen (kapitel 10).
9.5. Konsekvenser för de statliga myndigheterna
Utredningens förslag innebär ett nytt åtagande för E-hälsomyndigheten genom det samordningsansvar för de statliga myndigheternas stöd och vägledning till hälso- och sjukvårdens aktörer. Samordningsansvaret hos E-hälsomyndigheten förtydligar regeringens förväntningar på samtliga statliga myndigheter med verksamhetsområden som rör hanteringen av information att sinsemellan samverka i syfte att stödja hälso- och sjukvårdens aktörer i sådana juridiska frågor på bästa sätt. Det finns redan en generell plikt för statliga myndigheter att samarbeta och samverka enligt myndighetsförordningen (2007:515) och verka för att genom samarbete med myndigheter och andra ta tillvara de fördelar som kan vinnas för enskilda samt för staten som helhet.
Utredningen menar att frågan om juridisk interoperabilitet för hälsodata kommer att få en allt större betydelse för hälso- och sjukvårdens utveckling och att frågan därför behöver ett särskilt statligt åtagande och en långsiktighet. Myndigheternas förutsättningar att lyckas med uppdraget står i proportion till hur mycket medel som tillförs myndigheternas förvaltningsanslag.
9.5.1. E-hälsomyndigheten
Utredningen bedömer att instruktionsändringen som vi föreslår kommer att påverka E-hälsomyndigheten på flera sätt. Utredningens förslag om ett samordningsansvar för och ett systematiskt arbete med juridisk interoperabilitet för hantering av information inom hälso- och sjukvården är en ny uppgift som behöver separata resurser.
Uppdraget att identifiera problemområden och genom samverkan tydliggöra möjligheterna som befintlig lagstiftning ger
Utredningen föreslår att E-hälsomyndigheten ska få ett samordningsansvar för de statliga myndigheternas stöd och vägledning i juridiska frågor rörande hantering av information inom ramen för hälso- och sjukvårdens digitalisering. Detta i syfte att förbättra den juridiska interoperabiliteten. E-hälsomyndigheten har redan i dag ett instruktionsenligt uppdrag att samordna regeringens satsning på
e-hälsa och nationell digital infrastruktur för hälso- och sjukvård, tandvård och socialtjänst. Det samordningsansvar som utredningen föreslår kan möjligtvis anses ingå i det redan befintliga uppdraget. Utredningen anser dock att den föreslagna uppgiften, till såväl karaktär som omfattning, motiverar en egen plats i myndighetens instruktion och därför även ett särskilt finansiellt tillskott till myndighetens förvaltningsanslag. Myndigheten kommer vidare som samordnande myndighet få kostnader för samordning i form av probleminventering och insatser som främjar aktörerna att diskutera och hitta lösningar på gemensamma problemen.
Kostnaden för E-hälsomyndigheten att ta fram stöd och vägledning till aktörerna är avhängigt av om frågan ingår i deras verksamhetsområde (kompetens) eller inte. Ifall myndighetens ansvar för den nationella digitala infrastrukturen växer i enlighet med förslag från statliga utredningar och olika regeringsuppdrag kommer myndighetens verksamhetsområde att växa och då kommer stöd och vägledning från myndigheten också att växa. Kostnader för att ge stöd och vägledning till hälso- och sjukvårdens aktörer kommer vara beroende av frågans karaktär och komplexitet samt hur stödet utformas. Utformningen är något som myndigheten, efter dialog med aktörerna som stödet vänder sig till, själv kommer behöva ta ställning till. Därför blir utredningens kostnadsuppskattningar i denna del osäkra. I takt med att stödmaterialet växer i omfattning tillkommer även kostnader för förvaltning och revidering av stöden, till exempel vid lagändringar. Andra sådana kostnader kan komma i form av utformning och drift av tekniska lösningar för att samla och publicera stöden.
På sikt kan E-hälsomyndighetens stöd till aktörerna bli omfattande. Det handlar dels om stöd för regelverk som kan komma att bli aktuella för den statliga digitala infrastrukturen som myndigheten kan komma att ansvara för, dels om stöd för tillämpningen av det europeiska regelverket för EHDS. Ett ansvar för myndigheten att ge stöd för dessa två områden får beräknas och finansieras i samband med att de införs.
Påtala behov av stöd och identifiera nödvändig utveckling av regelverken
Utredningen föreslår också att E-hälsomyndigheten årligen till Regeringskansliet ska lämna fördjupade analyser av eventuella hinder eller annan osäkerhet i lag och förordning som inte prövats av riksdag eller regering. E-hälsomyndigheten har redan en instruktionsenlig uppgift att bistå regeringen med underlag för utvecklingen av digitaliseringen för hälso- och sjukvård, tandvård och socialtjänst. I uppdraget ingår att årligen följa upp, analysera och beskriva utvecklingen samt att ge förslag på strategiska utvecklingsområden. Utredningen menar att de fördjupade analyserna som följer av utredningens förslag delvis är av annan karaktär och ska anses vara en ny arbetsuppgift. Även denna del av uppdraget behöver ett särskilt finansiellt tillskott.
Kostnader för E-hälsomyndighetens nya uppgift
Utredningen bedömer att myndigheten kommer behöva olika kompetenser för de föreslagna uppgifterna. En viktig del i samordningsansvaret handlar om att i samverkan med berörda statliga myndigheter stödja hälso- och sjukvårdens aktörer att nyttja möjligheterna som befintlig lagstiftning ger. I samordningsansvaret kan också ligga att koordinera och tillsammans med andra statliga myndigheterna anordna utbildningar och konferenser. Utredningen menar att E-hälsomyndigheten bör ansvara och stå för de huvudsakliga kostnaderna för att anordna utbildningar och konferenser som sker tillsammans med andra statliga myndigheter. Myndigheten behöver därför särskilda kompetenser för att anordna konferenser, sändningar och andra interaktiva former som kan användas för stödgivning. Det är svårt att bedöma vilka kompetenser och resurser som då kan komma att behövas. Vi bedömer att behovet för denna typ av verksamhet är begränsad första året men att det kommer att öka i takt med att myndigheterna tar fram mer stödmaterial. Därför föreslår vi att myndighetens anslag successivt ökar för att möta behovet.
E-hälsomyndigheten kan också komma att ta fram stödjande material till hälso- och sjukvårdens aktörer. Vi bedömer dock att antalet frågor som E-hälsomyndigheten kan adressera med denna form av stöd är begränsad inledningsvis. Det är sannolikt att E-hälsomyn-
dighetens verksamhet initialt till stor del kommer att bestå av att föra dialog med aktörerna som har behov av stöd och vägledning samt samverka med de ansvariga myndigheterna.
Vi bedömer att E-hälsomyndigheten genom nuvarande ansvar samt avslutade och pågående regeringsuppdrag har samlat på sig erfarenhet och kompetens om de juridiska utmaningarna i de aktuella juridiska frågorna och är rustad för att från 2025 inleda den föreslagna verksamheten. För vidare redovisning av områden som hälso- och sjukvårdens aktörer upplever svåra att tillämpa se bilaga 2.
Utredningen bedömer att E-hälsomyndighetens verksamhet behöver byggas upp successivt och när den är fullt utbyggd kommer det att behövas fem årsarbetskrafter. Vi uppskattar kostnaden per årsarbetskraft till 1,4 miljoner kronor och i beräkningen ingår lönekostnader och OH-kostnader.
Därutöver tillkommer övriga kostnader för att förvalta stöden, anordna konferenser och utbildningar m.m. (övriga kostnader i tabell 9.1.).
Tabell 9.1 Kostnadsuppskattning för E-hälsomyndigheten
Årsarbetskrafter och miljoner kronor. 2022 års priser och löner.
2025
2026
2027
Årsarbetskrafter, antal
3
5
5
Årsarbetskrafter, mkr
4,2
7,0
7,0
Övriga kostnader, mkr
1
2
3
Total kostnad, mkr
5,2
9,0
10,0
Källa: Egen beräkning.
9.5.2. Socialstyrelsen
En stor del av det stöd som efterfrågas av hälso- och sjukvårdens aktörer kommer sannolikt Socialstyrelsen, enskilt eller tillsammans med andra myndigheter, att ansvara för. På samma sätt som för E-hälsomyndigheten är det svårt att redan nu bedöma vilken omfattning och form stödet från Socialstyrelsen kommer att få. En del av Socialstyrelsens uppdrag inom området handlar redan i dag om att samla, skapa och sprida kunskap. Avsikten med utredningens förslag är dock att genom att ge E-hälsomyndigheten samordningsansvar för stöd och vägledning, med medföljande finansiering, att ytterligare prioritera osäkerheten hos hälso- och sjukvårdens aktörer. Det
kan innebära att behov som hittills inte av de statliga myndigheterna inte uppfattats som utmanande för aktörerna nu identifieras och fler riktade stöd tas fram, exempelvis genom fler allmänna råd.
Socialstyrelsens kostnader för att ge ut stöd till hälso- och sjukvårdens aktörer kommer vara beroende av frågans karaktär och komplexitet samt hur stödet kommer att utformas och om stödet tas fram tillsammans med andra myndigheter eller inte. Kostnader för samarbete och dialog med hälso- och sjukvårdens aktörer innebär också kostnader för myndigheten. Därutöver tillkommer kostnader för förvaltning och revidering av stöden när sådana har tagits fram.
Det är svårt att bedöma antalet frågor som Socialstyrelsen kan stödja aktörerna med, såväl inledningsvis som på sikt. Myndigheten kommer sannolikt inledningsvis att tillsammans med aktörerna behöva prioritera mellan olika frågor som stödet ska avse. Karaktären och komplexiteten på frågorna som ska prioriteras kommer att variera. Utredningen menar dock att antalet frågor som aktörerna kan tänkas behöva stöd med alltid kommer att överstiga den kapacitet som en resursförstärkning till myndigheten klarar av. Utredningen menar därför att Socialstyrelsen inledningsvis ska identifiera och prioritera bland de frågor som myndigheten anser ligger inom deras kompetensområde att ge stöd för. Därefter bör stödet riktas mot områden där störst nytta för systemet som helhet kan uppnås. Efter den initiala inventeringen och prioritering kan myndighetens stödjande arbete intensifieras. Därför bedömer vi att Socialstyrelsens anslag successivt ska utökas.
Arbetet med att ge stöd som tydliggör möjligheterna som befintlig lagstiftning ger kommer att i huvudsak att genomföras av jurister.
I tabell 9.2 utgår vi från att löner och OH-kostnader för en årsarbetskraft uppgår till 1,4 miljoner kronor. Vi bedömer att Socialstyrelsen inte har några, eller begränsade, kostnader utöver personalkostnader det första året. I takt med att stödets omfattning växer kommer också övriga kostnader att öka. I posten övriga kostnader ingår att tillgängliggöra och sprida innehållet på webben och konferenser.
Tabell 9.2 Kostnadsuppskattning för Socialstyrelsen
Årsarbetskrafter och miljoner kronor. 2022 års priser och löner.
2025
2026
2027
Årsarbetskrafter, antal
2
5
6
Årsarbetskrafter, mkr
2,8
7,0
8,4
Övriga kostnader, mkr
0
1
1
Total kostnad, mkr
2,8
8,0
9,4
Källa: Egen beräkning.
9.5.3. Integritetsskyddsmyndigheten
En viktig del av IMY:s befintliga uppdrag är att inom alla samhällssektorer öka personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om sina skyldigheter enligt dataskyddsförordningen. Från och med 2023 har IMY en permanent höjning av ramanslaget. En del av medlen ska enligt IMY användas för att ge stöd och vägledning till verksamheter. Myndigheten har dessutom uttryckt att man har för avsikt att utveckla myndighetens egen förmåga att följa och analysera den tekniska utvecklingen samt tillhandahålla vägledning och stöd. IMY bedriver därmed redan ett utåtriktat och vägledande arbete i syfte att stödja och vägleda alla samhällssektorer. IMY har dock inget särskilt uppdrag att tillhandahålla stöd och vägledning till hälso- och sjukvårdens aktörer men myndigheten har tagit fram en rad stöd och rapporter kopplade till hanteringen av hälsodata. Dessutom bedriver IMY telefonrådgivning som redan i dag kan användas av hälso- och sjukvårdens aktörer, liksom informationen på IMY:s webbplats som är tillgänglig för alla. Utredningen bedömer att myndigheten i nuläget inte behöver tillskjutas mer medel.
9.5.4. Myndigheten för digital förvaltning
Utredningen föreslår att i E-hälsomyndighetens samordningsansvar ska ingå att särskilt samverka med Digg och beakta den juridiska vägledning som Digg tillhandahåller. Genom E-hälsomyndighetens samordningsansvar för juridiskt stöd och vägledning inom hälso- och sjukvårdens område tydliggörs en ordning där förvaltningsgemensamt stöd tillhandhålls av Digg och det områdesspecifika via de statliga myndigheterna inom hälso- och sjukvårdens område. Samverkan
mellan Digg och E-hälsomyndigheten har till syfte att säkerställa att stöden inte är i konflikt med varandra och att det inte uppstår dubbelarbete. Det är inte lätt att dra en exakt gräns mellan det förvaltningsgemensamma och det områdesspecifika. Ibland kan en områdesspecifik fråga och tillhörande stöd vara av förvaltningsgemensam karaktär och att den därför kan användas av flera områden med effekten att den främjar digitaliseringen i offentlig förvaltning i stort. E-hälsomyndigheten kan, genom sitt samordningsansvar, bistå Digg med att bedöma vad inom hälso- och sjukvårdens område som är prioriterat att hantera genom det förvaltningsgemensamma stödet, respektive vad som ska hanteras genom områdesspecifikt stöd och vägledning inom hälso- och sjukvårdens område.
Det är svårt att på förhand avgöra om, och i så fall hur mycket, Diggs arbete kan komma att påverkas av E-hälsomyndighetens samordningsansvar. Vår bedömning är att Diggs sammantagna arbetsbelastning kan ändras något i karaktär men inte i omfattning. Därför bedömer utredningen att Digg i nuläget inte behöver tillskjutas mer medel.
9.5.5. Övriga statliga myndigheter
Vi bedömer att övriga statliga myndigheterna inom hälso- och sjukvårdens område får prioritera den föreslagna verksamheten inom ramen för befintlig budget.
9.6. Konsekvenser för kommunala självstyrelsen
Stödet som de statliga myndigheterna ska ta fram för hälso- och sjukvårdens aktörer ska vara frivilligt att använda och att följa, och medför inga krav på varken kommuner, regioner eller någon annan. Utredningen bedömer därför att förslaget inte får konsekvenser för den kommunala självstyrelsen.
Utredningen bedömer att kommuner och regioner kommer få stor nytta de statliga myndigheterna stöd och vägledning i dessa frågor. Det kommer höja kompetensen inom området och bland annat underlätta upphandling eller anpassning av it-system.
9.7. Konsekvenser för den personliga integriteten
Även om stöd och vägledning som de statliga myndigheternas ska ta fram för hälso- och sjukvårdens aktörer står aktörerna fritt att använda och att följa är det rimligt att tro att aktörer kommer att vilja luta sig mot de vägledningar som myndigheterna ger. Mycket av stödet kan komma att avse personuppgiftsbehandling och vi bedömer därför att dataskyddet och den personliga integriteten på detta sätt kommer att stärkas.
9.8. Konsekvenser för små företag
Vi bedömer att små företag inom hälso- och sjukvårdens område ser ett stort värde i att det ges stöd för tillämningen av rättsreglerna på området. Ökad harmonisering av rättsreglerna bland hälso- och sjukvårdens aktörer innebär förbättrade förutsättningar för mindre it-leverantörer att tillhandahålla produkter till fler vårdaktörer utan att göra ändringar i produkten för att tillmötesgå aktörernas varierande tillämpningarna.
9.9. Övriga konsekvenser
Utredningen bedömer att förslaget inte medför några andra konsekvenser.
ALTERNATIV LÖSNING
10. Alternativ lösning – en branschstandard
10.1. Sammanfattning av den alternativa lösningen
Sammanfattning: E-hälsomyndigheten får i uppdrag att inrätta
ett kansli som samordnar och förvaltar en gemensam branschstandard, med tillhörande stödmaterial, för hälso- och sjukvårdens aktörer. Ett råd, som består av representanter för hälso- och sjukvårdens aktörer, ska fastställa branschstandarden i eget namn. Vid sidan av rådet ska det finnas en observatörsgrupp som tillsammans med rådet utgör styrgruppen för branschstandarden. E-hälsomyndigheten skulle behöva få i uppdrag att initiera bildandet av styrgruppen för en branschstandard.
Styrgruppen och kansliet ska ha rättslig status som ett osjälvständigt organ i förhållande till E-hälsomyndigheten. Ett tillägg med anledning av detta behöver göras i instruktionen för E-hälsomyndigheten.
Branschstandarden ska vara frivillig för kommuner, regioner och privata aktörer att tillämpa.
10.2. Inledning
Utredningen har i föregående kapitel redogjort för de förslag som utredningen bedömer är de mest ändamålsenliga i förhållande till syftet med denna del av utredningsuppdraget, nämligen att underlätta och harmoniseringen rörande hantering av information inom ramen för hälso- och sjukvårdens digitalisering. I detta kapitel beskriver utredningen hur en alternativ lösning, i form av en branschstandard, skulle kunna utformas med stöd av en statlig myndighet.
Om en statlig myndighet ska ges i uppdrag att facilitera hälso- och sjukvårdens aktörer att frivilligt ta fram och följa ett stöd för rättstillämpningen bedömer utredningen att en branschstandard är en lämpligare form än uppförandekoder. Utredningen bedömer dock att förutsättningarna för styrningen av stödet är i övrigt snarlika oavsett om det är en branschstandard eller en uppförandekod.
10.2.1. Stödet bör ges i form av en branschstandard och inte uppförandekod enligt EU:s dataskyddsförordning
Utredningen har haft i uppdrag att utreda och föreslå en statlig myndighet, inom den befintliga myndighetsstrukturen, som ska bemyndigas att ta fram uppförandekoder för behandling av personuppgifter inom hälso- och sjukvårdens område med syfte att specificera hur EU:s dataskyddsförordning ska tillämpas. Enligt utredningen finns det dock många fördelar med att inte begränsa uppdraget till att endast omfatta uppförandekoder enligt EU:s dataskyddsförordning. Vi bedömer att de riktlinjer som ges genom en branschstandard i mångt och mycket ger samma effekter som uppförandekoder är tänkta att åstadkomma, utan samma betungande krav på formalia, administrativa börda eller kostnad. Dessutom finns det fördelar med att inte begränsa sig till koder som endast gäller för personuppgiftsbehandling. En branschstandard är enligt vår bedömning en mer flexibel och ändamålsenlig form eftersom en sådan inte är begränsad till ett visst juridiskt område eller ställer krav på viss representativitet för att bli godkänd. Det finns inte heller något som hindrar att den branschstandard som tas fram, eller delar av denna, i framtiden kan antas som uppförandekoder – om det är det aktörerna inom hälso- och sjukvårdsområdet vill.1
Enligt vår bedömning kan en branschstandard på motsvarande sätt som en uppförandekod vara ett praktiskt och insynsvänligt sätt som underlättar den praktiska tillämpningen av dataskyddsprinciperna. Arbetet med Normen har visat att en branschstandard, på samma sätt som en godkänd uppförandekod är tänkt att ge, kan skapa tillit och rättssäkerhet genom att det ges praktiska lösningar på sektorsspecifika problem kring gemensam personuppgiftsbehandling. Eftersom branschstandarden, vid en styrning som den som finns för
1 I Norge övervägs det för närvarande om Normen ska anta formen av uppförandekoder. Se mer i avsnitt 6.5.
Normen, utarbetas av personuppgiftsansvariga och personuppgiftsbiträden så har en möjlighet skapats för branschens aktörer att komma överens om och själva formulera bästa praxis. En branschstandard borde enligt utredningen även kunna användas som en metod att visa att den personuppgiftsansvariga och dess biträden fullgör sina skyldigheter och uppfyller de krav som finns i dataskyddsförordningen.
De av utredningen identifierade positiva effekter som enbart kan åstadkommas genom en godkänd uppförandekod är
- att ett godkännande av IMY skulle kunna utgöra en viss typ av garanti för de personuppgiftsansvariga att fullt ut våga lita på att koden är rätt och riktig att följa,
- att koden i viss mån kan minska ”risken” för sanktionsavgifter genom att övervakningsorganets åtgärder efter en granskning skulle anses tillräckliga av IMY,
- att uppförandekoder kan vara en viktig och användbar mekanism när det gäller internationella överföringar till tredjeland.
Utredningen bedömer dock att avsaknaden av ett godkännande från IMY, som följer av att man väljer en branschstandard i stället för en godkänd uppförandekod, i viss mån borde kunna kompenseras genom att IMY i stället har en (pro)aktiv roll när branschstandarden och de tillhörande vägledningarna tas fram. Denna uppgift skulle IMY kunna åstadkomma i egenskap av observatör eller samrådspartner (i likhet med förfarandet i Norge). Fördelarna som enbart kan åstadkommas genom en godkänd uppförandekod är därmed begränsade och behöver vägas mot de nackdelar som uppförandekoder medför, samt mot alternativa former av stöd för enhetlig juridisk tolkning.
Enligt utredningen finns det i stället risk att praktiska frågor och tolkningssvårigheter skulle kunna uppstå på grund av de formella krav som ställs upp för uppförandekoder. Dessa skulle kunna riskera utgöra onödiga hinder för att smidigt och ändamålsenligt åstadkomma det avsedda syftet att stödja aktörerna. Ett troligt hinder är frågan om vilken aktör som skulle kunna utses till oberoende övervakningsorgan. Regeringen har nyligen omprövat sin tidigare bedömning av värdet av uppförandekoder för skolväsendets behandling av personuppgifter. Regeringen ansåg att uppförandekoder inte är en
lämplig form för att vägleda och stödja de personuppgiftsansvariga inom skolväsendet, och anförde följande i propositionen:2
Eftersom en kod för skolväsendet skulle omfatta inte bara offentliga huvudmän utan även enskilda utbildningsanordnare innebär vägledningen från Integritetsskyddsmyndigheten att det skulle behöva utses ett övervakningsorgan för koden och att detta skulle ackrediteras av Integritetsskyddsmyndigheten. Om Integritetsskyddsmyndigheten ska ackreditera organet kan myndigheten inte vara övervakningsorgan. Samtidigt förutsätts att övervakningsorganet har lämplig expertis. Det är inte givet vem som lämpligen skulle kunna ha rollen som övervakningsorgan på skolområdet eller fortsättningsvis administrera koden, uppgifter som även skulle medföra kostnader. Mot bakgrund av den beskrivna utvecklingen bedömer regeringen att en uppförandekod inte längre kan anses utgöra en lämplig form för vägledande och stödjande dokument för behandling av personuppgifter i skolväsendet. Under sådana förhållanden finns det inte längre skäl att ge en lämplig myndighet i uppdrag att vidta åtgärder för att initiera och stödja utarbetandet av en uppförandekod för skolväsendet
På samma sätt som för skolväsendet skulle en uppförandekod för hälso- och sjukvårdssektorn omfatta såväl offentliga som privata aktörer. Detta skulle medföra att det även för denna sektor skulle behöva utses ett övervakningsorgan som skulle behöva ackrediteras av IMY. Det finns enligt utredningen inget självklart organ som kan pekas ut som lämplig kandidat för ett sådant åtagande. Det finns inte heller något mandat för en regering eller någon myndighet att besluta om vem som skulle kunna få uppgiften eftersom det enligt dataskyddsförordningen är personuppgiftsansvariga själva som har att besluta det.
De svårigheter som beskrivits i förhållande till övervakningsorgan och representativitet för en uppförandekod ökar om uppförandekoden i framtiden ska omfatta fler aktörer. Detta är ytterligare ett skäl till att utredningen anser det vara mindre lämpligt med formen uppförandekoder, särskilt om stödet senare ska kunna utökas till att även omfatta socialtjänsten (så som i Norge).
Genom att begränsa formen till uppförandekoder skapas dessutom en avgränsning som enligt utredningen inte är önskvärd. Det är inte bara dataskyddsförordningen som aktörerna har behov av stöd att tolka. Genom att välja en annan form än en uppförandekod går det att öppna upp för att andra relevanta problemområden kan omfattas. Sådana frågor skulle kunna vara informationssäkerhet för
2Prop. 2020/21:152Vissa insatser för ökad lärarkompetens. s. 53.
uppgifter som inte är i form av personuppgifter men som ändå är skyddsvärda, exempelvis sådana om vårdens kapacitet eller andra uppgifter eller sammanställningar som skulle kunna vara känsliga ur ett totalförsvarsperspektiv. Utredningen bedömer att informationssäkerhet och dataskydd är så tätt sammankopplade att det är ändamålsenligt att hålla ihop de båda områdena. Andra områden som branschstandarden i framtiden skulle kunna omfatta är cybersäkerhet och säkerhetsskydd. Utredningen ser också att en branschstandard i förlängningen även skulle kunna utökas till att omfatta andra aktörer eller sådana som behandlar uppgifter för andra ändamål än hälso- och sjukvård. För att inte redan från början sätta upp hinder för en sådan utveckling bör ramarna vara så flexibla som möjligt.
För statens del skulle uppförandekoder medföra något högre kostnader än en branschstandard. Framför allt skulle IMY få ökade kostnader för att yttra sig om utkast till, ändring eller utökning av uppförandekod överensstämmer med EU:s dataskyddsförordning samt godkänna förslaget om myndigheten bedömer att utkastet lever upp till kriterierna för en uppförandekod. Utöver det skulle IMY ha i uppdrag att ackreditera de övervakningsorgan som har att övervaka kodens efterlevnad. För hälso- och sjukvårdens aktörer uppstår förutom kostnaden för utarbetandet av själva uppförandekoden, som också föreligger för en branschstandard, även kostnader för övervakningsorganet (se avsnitt 5.5.5). Aktörerna som vill upprätta en uppförandekod behöver för IMY visa övervakningsorganets oberoende, vilket medför initiala kostnader i form av utredning om vem som kan utgöra ett sådant oberoende organ. Därutöver ska organet upprätta rutiner och processer för att hantera klagomål om överträdelser. Kostnaden för att säkerställa övervakningsorganets oberoende och verksamhet är svår att uppskatta eftersom det inte finns några godkända uppförandekoder i Sverige som kan användas som referens. Vidare kommer övervakningen från det oberoende organet att medföra ekonomiska och administrativa konsekvenser när en verksamhet blir föremål för övervakning.
Utredningen kan konstatera att kostnaderna som skulle följa av att utarbeta en uppförandekod är desamma som för en branschstandard. Däremot tillkommer för uppförandekoder unika merkostnader, bland annat för ackreditering och övervakning, som är svåra att uppskatta men som utredningen bedömer sammantaget blir ansenliga för de aktörer som ansluter sig till koden.
En branschstandard innebär möjligheter, inte skyldigheter, för aktörerna inom hälso- och sjukvården att delta i framtagandet och användningen av den och medför inga konsekvenser för den kommunala självstyrelsen.
10.2.2. Stödet bör rikta sig mot aktörer inom hälso- och sjukvårdens område
Syftet med utredningens uppdrag är enligt direktiven att ge stöd till aktörerna inom hälso- och sjukvårdens område för att klargöra hur EU:s dataskyddsförordning ska tillämpas. Det finns ingen vedertagen avgränsning för vilka aktörer som anses innefattas av begreppet inom
hälso- och sjukvårdens område. Hälso- och sjukvård syftar enligt hälso-
och sjukvårdslagen (2017:30), förkortad HSL, på åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador. Till hälso- och sjukvården hör även sjuktransporter samt att ta hand om avlidna (2 kap. 1 § HSL). Kommunal hälso- och sjukvård ges i patientens bostad eller motsvarande. Hemsjukvård ges i såväl ordinärt som särskilt boende samt i daglig verksamhet och dagverksamhet. Tandvården omfattas inte av HSL utan regleras i stället av tandvårdslagen (1985:125). Tandvård syftar enligt tandvårdslagen på åtgärder för att förebygga, utreda och behandla sjukdomar och skador i munhålan (1–2 §§tandvårdslagen).
Personuppgiftsbehandling inom hälso- och sjukvården regleras av i huvudsak av patientdatalagen (2008:355), förkortad PDL, och där ingår både de aktörer som omfattas av HSL och tandvårdslagen. Det ter sig därför lämpligt att i sammanhanget inledningsvis rikta stödet till hälso- och sjukvårdens område till de aktörer som omfattas av PDL, och i förlängningen även deras personuppgiftsbiträden och leverantörer för sådana system där personuppgifterna ska behandlas.
När utredningen i den alternativa lösningen skriver hälso- och sjukvård så avses all hälso- och sjukvård, inklusive hälso- och sjukvård som kommuner ansvarar för, tandvård, elevhälsans medicinska insats samt hälso- och sjukvård som bedrivs av statliga myndigheter som exempelvis Statens institutionsstyrelse och Kriminalvården, oavsett om vården är offentligt eller privat finansierad.
10.3. Arbetet med en branschstandard bör ledas av en styrgrupp
10.3.1. Behovsdriven styrning
Utredningen bedömer att det styrsätt och den form för stöd som tagits fram i Norge genom Normen kan tjäna som förebild för arbetet i Sverige – men med några modifikationer. Den av utredningen tänkta styrmodellen är behovsdriven och där aktörer som behandlar personuppgifter inom hälso- och sjukvården själva beslutar om vad som ska ingå i branschstandarden och vilken detaljnivå den ska ha. Det möjliggör för verksamheterna att driva frågorna i den takt som bäst fungerar för dem själva. Arbetet med frågor som aktörerna ser stort behov av att enas kring kommer därför också att prioriteras. Styrgruppen ser då till att bemanna arbetsgrupper som får i uppdrag att ta fram ändamålsenliga produkter. Behovet av stöd och engagemang från de aktörer som stödet ska hjälpa är drivkraften i den föreslagna styrmodellen. Utan behov behövs inget stöd och utan engagemang uteblir nyttan. För ett lyckat utfall är det därför av stor vikt att hälso- och sjukvårdens aktörer engagerar sig i processen. Bland annat genom att identifiera förslag på problemområden samt genom att ställa upp med kunskap, tid och andra resurser. Arbetssättet kräver aktivt och frivilligt deltagande i arbetsgrupper, men där engagemanget från de olika aktörerna varierar beroende på vilket sakområde som behandlas. En viktig förutsättning för att den frivilliga samverkan ska lyckas är att det finns en tydlig samsyn om vad samverkan ska avse och vilken nytta den ska ge. En tydligt formulerad och dokumenterad målbild är därför viktigt för framgång. Upprättandet av en roll- och ansvarsfördelning som tydliggör styrgruppens ansvar i förhållande till kansliet kan vara ett viktigt inslag för ett effektivt arbete.3
3 Som förebild kan Digisams roll- och ansvarsfördelning (dnr RA 06-2014/09625) användas. Den togs fram som ett resultat av kritik som framförts av Statskontoret i rapporten Utvärdering
av samordningssekretariatet för digitalisering, digitalt bevarande och digitalt tillgängliggörande (Digisam). Rapport 2014:16.
10.3.2. Styrgruppens sammansättning
För att branschstandarden ska få så hög legitimitet hos aktörerna som möjligt föreslår vi att ett det bildas ett råd med representanter för hälso- och sjukvårdens aktörer. I ett råd med representanter på hög nivå kan gemensamma tolkningar och åtgärder diskuteras samt gemensamt utredas, beslutas och tillämpas. I rådet bör lämpligen åtminstone representanter från regioner, kommuner, privata vårdgivare och statliga vårdgivare finnas med. Jämte rådet bör i likhet med den norska modellen en observatörsgrupp inrättas.
Utredningen har genom dialoger med representanter från bland annat kommuner och regioner, Swedish Medtech, Vårdföretagarna och statliga myndigheter fått ta del av förslag på tänkbara kandidater som skulle kunna ingå i ett råd eller en observatörsgrupp. Kommunsektorns representation är en utmaning eftersom de är så många till antalet och har varierande förutsättningar att delta i arbetet. En redogörelse för tänkbara kandidater som aktörerna framfört redovisas i bilaga 3.
Representation i såväl rådet som observatörsgruppen är en utmaning. Flera av aktörerna utredningen varit i kontakt med har framfört att styrgruppen bör vara liten nog för att möten ska innehålla produktiva diskussioner och säkerställa framdrift, men stor nog för att ha tillräcklig representativitet. En möjlig form är att det för styrgruppen definieras ett antal grupperingar som bör ha representation, och att dessa grupperingar sedan i en intern dialog själva avgör hur de bäst är representerade för det antal platser som finns att tillgå för grupperingen.
Aktörerna som ska ingå i observationsgruppen bör bedömas och bestämmas närmare av rådet. Till utredningen har det bland annat framförts förslag på statliga myndigheter, professionsföreningar och patientorganisationer.
10.3.3. Ett regeringsuppdrag för att bilda rådet samt de statliga myndigheternas rättsliga stöd för att delta
En statlig myndighet får enligt legalitetsprincipen endast vidta åtgärder som har stöd i rättsordningen. Myndigheternas verksamhet ska därför lyda under lag och andra författningar. Det som myndigheterna har stöd i rättsordningen att göra utgör myndighetens kompetensom-
råde. Regleringen av en myndighets kompetensområde sker främst genom myndighetens instruktion och av specialförfattningar som reglerar myndighetens verksamhet. Det finns en generell plikt för myndigheter att samarbeta och samverka som är förordningsstyrd. Myndighetsförordningen (2007:515) slår fast att myndighetsledningen ansvarar inför regeringen för verksamheten och ska se till att den bedrivs effektivt och enligt gällande rätt och förpliktelser, att den redovisas på ett tillförlitligt och rättvisande sätt samt att myndigheten hushållar väl med statens medel (3 §). Myndigheten ska vidare fortlöpande verka för att genom samarbete med myndigheter och andra ta till vara de fördelar som kan vinnas för enskilda samt för staten som helhet (6 §). I förvaltningslagen (2017:900) slås vidare, under rubriken samverkan mellan myndigheter, fast att en myndighet ska inom sitt verksamhetsområde samverka med andra myndigheter (8 §). Utredningen bedömer att det arbete som de myndigheter inom hälso- och sjukvårdens område utför inom ramen för deltagande i styrgruppen (eller i arbetsgrupper) har stöd i rättsordningen genom respektive myndighets instruktion tillsammans, ensamt eller i kombination, med myndighetsförordningen eller förvaltningslagen. Vi bedömer att arbetsuppgiften att samordna och facilitera en branschstandard åt hälso- och sjukvårdens aktörer tydliggörs i den ansvariga myndighetens instruktion.
Vid bildandet av Normen i Norge (se kapitel 6) bjöd e-helsedirektoratet in relevanta aktörer till en projektgrupp vilket slutligen resulterade i den styrform som i dag används för Normen. Den ansvariga myndigheten skulle på liknande sätt behöva ges i uppdrag att initiera bildandet av rådet för styrning av en branschstandard för hälso- och sjukvårdens aktörer. På så sätt skulle kansliet kunna sätta i gång sin verksamhet i god tid innan ikraftträdandedatumet.
Det föreslagna rådet ska fastställa stöden i eget namn men styrgruppen (rådet och observatörsgruppen) tillsammans med kansliet bör ha formen av ett osjälvständigt organ i förhållande till den ansvariga myndigheten (se avsnitt10.3.1).
10.3.4. Arbetet bedrivs genom tillfälliga arbetsgrupper
Utredningen föreslår att arbetet med att ta fram underlag för beslut utförs i tillfälliga arbetsgrupper för de olika frågeställningarna som ska utredas. Dessa arbetsgrupper ska resurssättas av styrgruppen. Utredningen anser att det föreslagna stödkansliet ska ha en neutral, samordnande och stöttande roll i roll i framtagandet av underlagen. För att skapa en bred förankring av arbetet bland de berörda aktörerna bör framtagning av vägledningarna i stället ske genom arbetsgrupper i vilka de berörda aktörerna inom hälso- och sjukvården deltar. På så sätt får kommuner, regioner och privata aktörerna som ingår i styrgruppen ännu en kanal att föra fram både kunskap och synpunkter om hur de uppfattar att problemen ska hanteras. Detta kommer enligt utredningen skapa en känsla av delaktighet och gemensamt ägandeskap av frågorna.
Till varje arbetsgrupp kan också tillföras en referensgrupp. Syftet med referensgruppen är att kontinuerligt inhämta synpunkter från en bredare skara redan i utarbetandet av stödet. Detta för att få ett så förankrat beslutsunderlag som möjligt. Referensgruppen sammansättning bestäms av styrgruppen från fall till fall. Den kan lämpligen besättas bland annat av representanter från observatörs-aktörerna.
10.4. Ett kansli som ska stödja utarbetandet av en branschstandard bör inrättas
Utredningen bedömer att det finns fördelar med att samordna funktioner och samla kompetens genom att skapa ett kansli4. Det behövs en sammankallande nationell aktör med kunskap om hälso- och sjukvårdens informationsflöden och denna aktör bör ha ett tydligt mandat för det stödjande arbetet. För att dra nytta av och bygga vidare på befintlig kompetens och erfarenhet bör kansliet placeras hos en myndighet med närliggande uppdrag och verksamheter.
De statliga myndigheter som har uppdrag och verksamheter kopplade till data om personers hälsa och annan känslig information som genereras inom hälso- och sjukvården är främst Socialstyrelsen och E-hälsomyndigheten.
4 Med kansli avses inte ett sådant kansli som avses i 17 § myndighetsförordningen (2007:515).
Socialstyrelsen
Socialstyrelsen är den kunskapsstyrande myndigheten för vård och omsorg. Socialstyrelsen ansvarar för föreskrifter och allmänna råd inom sitt verksamhetsområde och har bland annat bemyndigats att meddela föreskrifter om journalhandlingars innehåll och utformning. En stor del av Socialstyrelsen uppdrag handlar om att samla, skapa och sprida kunskap. Socialstyrelsen har enligt sin instruktion bland annat ansvar för att verka för att hälso- och sjukvården och socialtjänsten bedrivs enligt vetenskap och beprövad erfarenhet, ansvar för kunskapsutveckling och kunskapsförmedling inom sitt verksamhetsområde samt för att skapa och tillhandahålla enhetliga begrepp, termer och klassifikationer inom sitt verksam-hetsområde. Socialstyrelsen är vidare en statistikansvarig myndighet och ansvarar för den officiella statistiken inom området hälso- och sjukvård. Socialstyrelsen leder även ett antal rådgivande och beslutande råd och nämnder, till exempel Socialstyrelsens rättsliga råd samt Rådet för styrning med kunskap – det senare ett samarbete mellan nio myndigheter som ska driva på utvecklingen inom vård och omsorg. Det finns skäl som talar för att Socialstyrelsen är en lämplig myndighet att stödja och förvalta en branschstandard för hälso- och sjukvårdens aktörer. Myndigheten har kunskap om lagstiftningen och lång erfarenhet av att ge olika former av stöd och annan vägledning till hälso- och sjukvårdens, tandvårdens och socialtjänstens aktörer. Myndigheten har erfarenhet av att inhysa olika typer av rådgivande och beslutande råd. Socialstyrelsen är dessutom en etablerad och välkänd myndighet för sektorns olika aktörer.
E-hälsomyndigheten
E-hälsomyndigheten ska enligt sin instruktion ansvara för register och it-funktioner som öppenvårdsapotek och vårdgivare behöver ha tillgång till för en patientsäker och kostnadseffektiv läkemedelshantering. E-hälsomyndigheten ska också samordna regeringens satsningar på e- hälsa och nationell digital infrastruktur för hälso- och sjukvård, tandvård och socialtjänst. Myndigheten ska bistå regeringen med underlag för utvecklingen av digitaliseringen inom dessa områden. E-hälsomyndigheten är expertmyndighet för frågor som rör e-hälsa.
Mycket tyder på att myndigheten kommer att få en allt större roll kopplat till infrastrukturen för hälsodata. Regeringen har senaste åren gett myndigheten en rad olika uppdrag med syfte att reformera den digitala infrastrukturen för hälso- och sjukvård, tandvård och socialtjänst.5
Placeringen av kansliet
I utredningens direktiv framhåller regeringen att enhetligare tolkning av lagstiftningen bland annat kan minska de hinder som finns för datadelning.6
E-hälsomyndigheten är den sektorspecifika myndigheten som utredningen bedömer har mest anknytning till frågor kring delning av data för vårdens aktörer. De infrastrukturkomponenter som myndigheten redan ansvarar för, och med stor sannolikhet kommer att ansvara för, innebär att myndigheten kommer att ha en bred kompetens om dataskydds- och informationssäkerhetsreglerna på området. Även om myndigheten varken ska göra några bedömningar eller fatta några för aktörerna bindande beslut finns det fördelar i att ha kompetens i rättsreglerna som ska omfattas av branschstandarden.
Utredningen, i likhet med E-hälsokommittén 2013 och Integritetskommittén 2014, bedömer därför att E-hälsomyndigheten är bäst lämpad att få i uppdrag att samordna och förvalta en gemensam branschstandard, med tillhörande stödmaterial, som stöd för informationshantering för hälso- och sjukvårdens aktörer. Ett sådant uppdrag stämmer väl överens med det samordningsuppdrag som myndigheten har sedan länge och det utvidgade uppdraget myndigheten har inom vårdens digitala infrastruktur. Dessutom tar vi stöd i att uppdraget framgångsrikt legat på motsvarigheten till E-hälsomyndigheten i Norge. Socialstyrelsen kan dock med fördel ha en roll i den styrgrupp som beskrivs i avsnitt 10.2.2.
5 https://www.ehalsomyndigheten.se/nyheter/2023/nya-uppdrag-ska-driva-pa-digitaliseringen-och-minska-vardkoer/ [ 2023-08-09]. 6 Dir. 2022:98 Hälsodata som nationellt intresse – en lagstiftning för interoperabilitet.
10.4.1. Kansliets organisation, rättsliga status och finansiering
Uppgiften att upprätta ett stödjande kansli skulle antingen kunna ges genom regeringsuppdrag eller som en arbetsuppgift i myndighetens instruktion.
Utredningen bedömer att det är mest ändamålsenligt att det av E-hälsomyndighetens instruktion, under en ny rubrik, Kansli, framgår att det är en uppgift för myndigheten att stödja arbetet med att ta fram en branschstandard för informationssäkerhet och dataskydd. Att arbetsuppgiften tydliggörs i myndighetens instruktion är en tydlig avsiktsförklaring från regeringen att det ska vara en permanent uppgift för E-hälsomyndigheten och att man är beredd att allokera förvaltningsanslag för uppgiften. Det skapar enligt utredningen en långsiktighet samt förtroende och vilja att investera tid, resurser och pengar i arbetet med branschstandarden för hälso- och sjukvårdens aktörer. Genom att arbetsuppgiften framgår av myndighetens instruktion finns det en tydlig rättslig grund för den personuppgiftsbehandling som myndigheten kommer behöva utföra inom ramen för uppdraget. Det är även av vikt i förhållande till offentlighetsprincipen. Handlingsoffentligheten är central för att möjliggöra insyn och utkräva ansvar i offentlig verksamhet och reglernas tillämpning har vidare stor betydelse för allmänhetens förtroende för myndigheterna. Genom att uppgiften framgår av E-hälsomyndighetens instruktion tydliggörs reglernas tillämplighet.
Enligt uppdraget ska utredningen föreslå en myndighet inom den befintliga myndighetsstrukturen. Vår avsikt är därför inte att skapa ett sådant självständigt organ som organisatoriskt skulle räknas som en egen myndighet med egna rättigheter och skyldigheter. Förslaget är inte heller att likna vid ett särskilt beslutsorgan eftersom besluten endast kommer omfatta frivilliga, stödjande och vägledande produkter. Avsikten är att kansliet (i förlängningen även tillhörande styrgrupp och arbetsgrupper) rent organisatoriskt ska ses som ett osjälvständigt organ i förhållande till E-hälsomyndigheten.
I februari 2011 gav regeringen i uppdrag till Riksarkivet att inrätta ett samordningssekretariat för digitalisering, digitalt bevarande och digitalt tillgängliggörande (Digisam). Den form som utredningen föreslår för det nya kansliet har stora likheter med hur Digisam såg ut. En skillnad är dock att regeringen i regeringsuppdraget till Riksarkivet pekade ut vissa aktörer som skulle sitta i det styrråd som
Riksarkivet fick i uppdrag att inrätta (gruppens övriga storlek och organisation fick bestämmas av de medverkande myndigheterna och institutionerna).78
Konstitutionsutskottet har (i förhållande till Regeringskansliet) uttalat att det är viktigt att det finns en tydlig grund för att betrakta ett organ med utomstående deltagare som en del av myndigheten. Detta inte minst för att möjliggöra en korrekt tillämpning av reglerna om allmänna handlingars offentlighet (bet. 2017/18:KU20 och bet. 2018/19:KU10). Det utskottet ger uttryck för bör enligt utredningen även gälla osjälvständiga organ med utomstående deltagare vid andra myndigheter än Regeringskansliet.
Regeringskansliet har i en promemoria om osjälvständiga organ vid myndigheten uttalat att osjälvständiga organ med utomstående deltagare lämpligen bör tillsättas genom särskilda beslut. På så sätt blir grunden för att betrakta organet som osjälvständigt tydlig. Genom att uppdraget tas in i instruktionen uppfylls enligt utredningen kravet att på en tydlig rättslig grund för organens osjälvständighet. Detta innebär enligt utredningen bland annat att förfrågningar om allmänna handlingar bör prövas utifrån myndighetens skyldigheter att hantera sådan begäran.
Även om kansliet och i förlängningen styrgruppen ska ses som ett osjälvständigt organ i bemärkelsen i 2 kap. 8 § TF så bör det även framgå av instruktionen att de, för aktörerna frivilliga och stödjande, produkter som tas fram fastställs av rådet och inte av E-hälsomyndigheten – även om organet rent organisatoriskt är knuten till myndigheten. Detta så att de beslutade stöden inte kan misstas för allmänna råd utgivna av myndigheten.
Omfattningen av kansliets bemanning kommer att vara beroende av den framdrift och tempo som de av styrgruppen tillsatta arbetsgrupperna har. Det är svårt att bedöma hur intensivt arbetet kommer att bedrivas och om intensiteten, och därmed arbetet för kansliet, över tid kommer att förändras. Kansliets verksamhet och finansiering bör därför särredovisas i E-hälsomyndighetens årsredovisning. Särredovisningen förbättrar transparensen, gör det möjligt att utvärdera verksamheten och ger regeringen möjlighet att reglera hur mycket finansiella medel kansliets verksamhet ska tillföras. Kansliets
7 Regeringen (2011) Uppdrag till Riksarkivet att inrätta ett samordningssekretariat för digi-
talisering, digitalt bevarande och digital förmedling av kulturarvet. (dnr Ku2011/242/KA).
8 Formen har även likheter med den form som finns för statens medicinsk-etiska råd (SMER).
storlek kan komma att skifta i takt med att verksamheten går från en uppbyggnadsfas till en förvaltande fas. I uppbyggnadsfasen kan vissa initiala kostnader för bland annat rekrytering av personal samt upprättande av en grafisk profil och en webbplats föreligga. Det är svårt att bedöma hur omfattande verksamheten, och därmed E-hälsomyndighetens arbetsinsats, i slutändan kan komma att bli.
En grov uppskattning ger vid handen att kansliet initialt kommer att behöva fyra heltidsanställda. Det är aktörernas engagemang att utarbeta branschstandarden som ytterst sätter ramarna för arbetets framdrift. I takt med att alltmer stödmaterial utvecklas kan andra kostnader, till exempel för att göra materialet digitalt lättillgängligt, tillkomma. Om det skulle bli aktuellt med kommunikations- och utbildningsinsatser för att sprida stödet till målgruppen genom konferenser, seminarier eller webbinarier (i likhet med Normen i Norge) behövs ytterligare resurser.
10.4.2. Kansliets arbetsuppgifter
Kansliets huvudsakliga uppgifter ska vara att bistå styrgruppen med underlag med förslag för arbetsområden och förslag till sammansättning av arbetsgrupper för dessa. Kansliet ska vara kontaktpunkt mellan rådet, observatörerna, arbetsgrupper, referensgrupper och andra myndigheter eller aktörer samt samordna det arbete som utförs av arbetsgrupper som tillsätts efter beslut av styrgruppen.
Vidare ska kansliet tillgängliggöra och förvalta de stödjande produkter som beslutats av rådet.
En ytterligare uppgift skulle kunna vara att bistå med utbildningsinsatser och konferenser. Sådana uppgifter har utförts i Norge genom Normens kansli med positiva resultat.
10.4.3. Utvärdering
En extern oberoende part bör få i uppdrag att följa upp och utvärdera arbetet. Utvärderingen syftar huvudsakligen till att bedöma om det arbete som bedrivs och de produkter som utarbetas inom ramen för branschstandarden är en effektiv metod att stödja och underlätta hälso- och sjukvårdens aktörer att tillämpa rättsreglerna på området.
I uppdraget bör ingå att utvärdera arbetets organisering, rollfördelningen mellan kansliet och rådet samt bedöma kostnadseffektiviteten och nyttan med uppnådda resultat.
Utvärderingen bör ske tidigast tre år efter att kansliet inrättas.
10.5. Konsekvenser för den alternativa lösningen
Som utredningen redogör för i kapitel 4 och i bilaga 2 finns ett behov av stöd för att tillämpa rättsreglerna relaterade informationshantering och digitalisering. Utarbetandet av en branschstandard för dataskydd och informationssäkerhet förväntas underlätta rättstillämpningen, göra den mer enhetlig och kostnadseffektiv samt riva vissa hinder för datadelning och digitalisering som föreligger i dag. Utredningen bedömer att det finns ett värde av att utveckla en branschstandard för dataskydd och informationssäkerhet. En branschstandard som tillämpas av två eller flera parter skapar tillit mellan parterna med avseende på de frågor som branschstandarden täcker. Tillit sänker transaktionskostnader som annars uppstår för att säkerställa att den andra parten i informationsutbytet lever upp till olika krav. Utredningen menar att små företag och vårdaktörer som frivilligt tillämpar branschstandarden har goda förutsättningar att minska administrationen och osäkerheten gällande regelverket som standarden täcker. En branschstandard som underlättar rättstillämpningen och gör den mer enhetlig bör därmed särskilt sänka kostnaderna för små företag att fullgöra olika krav. En branschstandard förväntas även underlätta för yrkesverksamma inom hälso- och sjukvården som gör rättsliga bedömningar och har möjlighet att påverka utformningen av olika digitala system, hjälpmedel och tjänster, att tillämpa rättsreglerna. Ytterst handlar det om att värna den personliga integriteten och samtidigt stärka patientsäkerheten och patienters delaktighet i vården. Regionerna, som är ansvariga för en stor del av hälso- och sjukvården, har stort inflytande när reglerna tolkas. En mer enhetlig tolkning av reglerna bland regionerna kan skapa bättre förutsättningar för de aktörer som har verksamhet i flera regioner och möter den varierade tillämpningen. Den varierande tillämpningen har stor påverkan på de mindre systemleverantörerna och privata vårdaktörer som agerar i flera regioner. Genom en mer enhetlig tillämpning av reglerna blir det sannolikt lättare för mindre leverantörer att skala upp befintliga lösningar och sälja produkterna till nya kunder.
Som vi redogjort för i kapitel 7 står det regionerna fritt att hantera hälsodata utifrån respektive regions egen tolkning. Det ingår inte i regionernas uppdrag att agera samlat i syfte att adressera variationen. För att åstadkomma en substantiell förflyttning i önskad riktning genom ett frivilligt stöd, i form av en branschstandard, blir regionernas deltagande, engagemang och vilja till förändring central. Trots att behoven länge varit kända och möjligheten till branschsammanslutningar av detta slag varit möjliga har aktörerna själva inte tagit initiativ till att utarbeta en branschstandard eller annat liknande stöd för att harmonisera tillämpningen. Det samlade ekonomiska värdet som följer av en branschstandard är i stor utsträckning beroende av standardens omfattning och anslutningsgrad och därför svåra att beräkna. Stödet kan täcka teoretiskt täcka många rättsfrågor och komma många aktörer till del. En sådan bedömning förutsätter dock att aktörerna på frivillig och ofinansierad basis engagerar sig, något som aktörerna hitintills inte åstadkommit självmant. Den potentiella nyttan med en branschstandard står också i proportion till hur många, inte minst regioner, som väljer att använda stödet i sin tillämpning.
En branschstandard medför vissa kostnader för E-hälsomyndigheten som ska koordinera arbetet. Det operativa arbetet bedrivs i olika arbetsgrupper när branschstandarden ska utarbetas, revideras eller utökas. Det är upp till aktörerna själva att finansiera bemanningen i arbetsgrupperna. Det är svårt att avgöra hur omfattande kostnaderna blir för det operativa arbetet. Kostnaden beror bland annat på hur angeläget aktörerna anser en fråga vara och hur mycket resurser aktörerna väljer att avsätta.
Om E-hälsomyndigheten skulle ges i uppdrag att koordinera och främja aktörerna att utarbeta en branschstandard skulle styrningen medföra utmaningar för myndigheten. Enligt utredningen behöver branschen själv, inte E-hälsomyndigheten, ha rådighet över standardens innehåll och utformning och branschen (genom ett representativt råd) genom att besluta om branschstandarden och tillhörande stöd i eget namn. Tempot i arbetet och därmed kansliets arbetsinsats skulle därmed styras av branschen, något som försvårar myndighetens möjlighet att planera och resursallokera. En ordning där någon annan, än myndigheten själv, kan påverka myndighetens arbete följer inte gängse myndighetsstruktur och riskerar att bli svårhanterlig för E-hälsomyndigheten om den skulle ges i uppdrag att hålla samman arbetet.
Kommittédirektiv 2022:98
Hälsodata som nationellt intresse – en lagstiftning för interoperabilitet
Beslut vid regeringssammanträde den 30 juni 2022.
Sammanfattning
En särskild utredare ska analysera och lämna förslag på ändamålsenliga och samhällsekonomiskt effektiva åtgärder som bedöms vara motiverade för att åstadkomma en bättre och säkrare informationsförsörjning av hälsodata mellan system och aktörer. Syftet är att öka patientsäkerheten, bedriva mer patientcentrerad vård och minska administrativt dubbelarbete för hälso- och sjukvårdspersonalen samt ge bättre förutsättningar för att utveckla och förbättra medicinska behandlingar, arbetssätt och hälsofrämjande preventiva insatser. Förbättrad informationsförsörjning av hälsodata kan också bidra till att öka samhällets förmåga att möta olika utmaningar och kriser.
Utredaren ska bl.a.
- analysera de rättsliga, organisatoriska, ekonomiska och tekniska förutsättningarna för att förbättra interoperabiliteten när uppgifter om hälsa överförs mellan olika system, aktörer och huvudmän, såväl kommuner och regioner som privata sådana, och lämna ändamålsenliga och samhällsekonomiskt effektiva förslag som bedöms vara nödvändiga med syfte att bl.a. bidra till en effektivare och säkrare tillgång till patienters hälsodata för såväl primär- som sekundäranvändning,
- redovisa hur lämnade förslag förhåller sig till relevant dataskydds- och sekretessreglering inom hälso- och sjukvårdsområdet samt relevant reglering inom informations- och cybersäkerhetsområdet,
- utreda och lämna förslag på vilken eller vilka myndigheter som ska ansvara för att utfärda föreskrifter, utöva tillsyn och ta fram andra stödjande eller styrande dokument om val och tillämpning av tekniska och semantiska standarder, och
- på samtliga områden lämna de författningsförslag som utredningen bedömer är motiverade.
Uppdraget ska redovisas senast den 30 april 2024.
Uppdraget att förbättra interoperabiliteten på hälsodataområdet
Data blir en allt viktigare resurs i samhället, och den digitala omställningen i hälso- och sjukvården är avgörande för att utveckla och förbättra medicinska behandlingar, arbetssätt och hälsofrämjande preventiva insatser. En mer heltäckande tillgång till patienters sjukdomshistorik skulle ge hälso- och sjukvården bättre underlag för diagnos och beslut om behandling samt bidra till en mer effektiv verksamhet. Hälso- och sjukvårdspersonalen skulle inte behöva samla in uppgifter från flera källor och skulle kunna undvika dubbeldokumentation och att behöva ta om samma prover. Patienterna å sin sida skulle inte behöva upprepa sin sjukdomshistoria för flera vårdgivare och inte behöva genomgå samma undersökningar flera gånger. Sammantaget skulle effektivare tillgång till patienters hälsodata minska den administrativa bördan för hälso- och sjukvården och bidra till en mer patientsäker och mer patientcentrerad vård.
Möjligheter att behandla stora mängder hälsodata är i många fall avgörande för forskning och utveckling, vilket är en förutsättning för nya och säkrare behandlingar och mer effektiva preventiva åtgärder. Förbättrade möjligheter till informationsdelning av data på hälso- och sjukvårdens område bedöms också ha stor potential att bidra till en bättre och säkrare vård, ökad och mer jämlik tillgänglighet och en stärkt patientcentrerad vård.
Det finns också ett växande behov av hälsodata för att mer effektivt kunna möta komplexa samhällsutmaningar såsom pandemier,
för att kunna bedriva tillsyn och uppföljning mer effektivt eller för effektutvärdering av läkemedel. Samlade och uppdaterade hälsodata skulle öka vår förmåga att möta samhällsutmaningar och kriser, bl.a. med hjälp av datadrivna analyser och lägesbilder i realtid.
Bristande digital infrastruktur för hälsodata
Utredningen om ökade förutsättningar för hållbara investeringsprojekt i framtidens hälso- och sjukvård anger i betänkandet Riksintressen i hälso- och sjukvården (SOU 2021:71) att investeringar som genomförs i regionerna måste vara ändamålsenliga och bidra till samhällsekonomisk effektivitet, vilket förutsätter att de svarar mot nationella målsättningar och reformer. Enligt hälso- och sjukvårdslagen (2017:30) är en sådan målsättning en god hälsa och vård på lika villkor för hela befolkningen. Utredningen pekar också på andra behov som behöver uppfyllas för att säkerställa en långsiktigt hållbar utveckling av hälso- och sjukvården i hela landet, till exempel hälso- och sjukvårdens beredskap, kompetensförsörjning, forskning och utbildning samt digital kommunikation.
Vidare understryker utredningen att den fragmenterade digitala infrastruktur som finns i dag skapar hinder för vårdens utveckling. Inte minst skapar bristen på gemensamma standarder för de digitala strukturer och system som byggts upp i regionerna hinder för en effektiv digital kommunikation. Förbättrade möjligheter till informationsdelning av data på hälso- och sjukvårdens område bedöms ha stor potential att bidra till vårdens utveckling. Gemensamma standarder för hälsodata kan därmed anses vara ett nationellt intresse för att uppnå målet om en god och jämlik vård, ge förutsättningar för realtidsuppdateringar av skeenden under hälsokriser, bidra till uppdaterade underlag i beredskapsarbetet och ge förutsättningar för forskning och innovation.
Myndigheten för vård- och omsorgsanalys har i rapporten Ökad precision i Europa (PM 2021:3) slagit fast att de länder som kommit längst med infrastruktur för primär- och sekundäranvändning har gemensamt att de har fokuserade satsningar från staten på teknisk och organisatorisk infrastruktur som kompletteras med lagstiftning. Rapporten går igenom sju europeiska länders satsningar på precisionsmedicin och hälsodata och gör bedömningen att Danmark,
Finland och Island har kommit längst i utvecklingen av en nationell infrastruktur för hälsodata och att Finland har kommit längst med satsningar på infrastruktur för sekundär användning. Sverige bedöms ligga efter i utvecklingen eftersom det finns svårigheter att dela data mellan olika vårdgivare och över regiongränser. Sverige saknar också en sammanhållen infrastruktur för sekundäranvändning av hälsodata.
För att kunna dela hälsodata för en effektivare, säkrare och mer individanpassad vård krävs gemensamma standarder. Nationella standarder öppnar också för möjligheter till koordinering och samordning med motsvarande standarder i våra nordiska grannländer och internationellt, vilket är en viktig förutsättning för många gränsöverskridande initiativ som till exempel Nordic Commons, samförståndsavtal med Storbritannien om life science (N2022/01372) och förslag till Europaparlamentets och rådets förordning om ett europeiskt hälsodataområde (COM(2022) 197 final), förkortad EHDS.
I dag saknas det reglering som säkerställer att samtliga aktörer som berörs av hälso- och sjukvårdslagen ska kunna omfattas av en nationell digital infrastruktur. Exempelvis ingår inte privata vårdgivare i den nationella digitala infrastrukturen, vilket kan skapa skillnader i förutsättningarna för att bedriva vård mellan privata och offentliga aktörer, försvåra vård och behandling av patienter som möter flera olika vårdgivare och försvåra möjligheterna till uppföljning och forskning.
Även den hälso- och sjukvård som bedrivs av kommunerna saknas i den nationella digitala infrastrukturen, vilket bidrar till en fragmenterad helhetsbild och andra svårigheter. Coronakommissionen lyfter i sitt första delbetänkande Äldreomsorgen under pandemin (SOU 2020:80) bl.a. fram att svårigheter att utbyta patientinformation mellan regional och kommunal hälso- och sjukvård utgör ett allvarligt patientsäkerhetsproblem. Den nya lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation har förbättrat de legala förutsättningarna för sådant informationsutbyte. Men för att ytterligare förbättra förutsättningarna för nödvändigt informationsutbyte behöver även de tekniska hindren undanröjas. Coronakommissionen lyfter även fram att det finns svårigheter att få en nationell överblick över situationen inom äldreomsorgen under pandemin.
Den nationella life sciencestrategin (N2019/03157) har uppmärksammat att den reglering som rör hur hälsodata får användas i forsk-
ningssammanhang eller för innovation finns i flera olika författningar, vilket i vissa fall bidragit till att det uppstår olika tolkningar hos olika aktörer. Skillnaderna i tolkningen av lagstiftningen kan bero på flera saker, bl.a. kan det finnas oklarheter eller hinder som kan behöva hanteras eller förtydligas. Skillnaderna som uppstår kan också bero på att kunskapsläget i de här frågorna varierar. Enhetligare tolkning av lagstiftningen kan bidra till minskad ojämlikhet men också minska de hinder som finns för datadelning. Gemensamma uppförandekoder för behandling av personuppgifter inom hälso- och sjukvårdens område med syfte att specificera hur EU:s dataskyddsförordning ska tillämpas, skulle också bidra till att underlätta för dem som ska tillämpa reglerna.
Pågående arbete för att stärka hälsodataområdet
Regeringen har tagit flera steg för att Sverige återigen ska kunna vara en av de ledande länderna inom hälsodata. Ett av dessa steg är det pågående arbetet med Vision e-hälsa 2025 där statliga aktörer och hälso- och sjukvårdens huvudmän samverkar i digitaliseringsfrågor av nationellt intresse som regelverk, enhetligare begreppsanvändning och standardisering. Ett annat är datastrategin ”Data – en underutnyttjad resurs för Sverige” (I2021/02739) som presenterades i oktober 2021. Nyttiggörande av hälso- och vårddata för forskning och innovation är ett av huvudmålen i den nationella strategin för life science (N2019/03157) och i maj 2022 beslutade regeringen också att en särskild utredare ska analysera befintliga möjligheter till sekundäranvändning av hälsodata (dir. 2022:41).
Flera myndigheter har pågående uppdrag inom delning och nyttjande av hälsodata. Exempelvis har E-hälsomyndigheten i uppdrag att utreda ett statligt nationellt datautrymme för bilddiagnostik (S2021/05259), en digital nationell infrastruktur för nationella kvalitetsregister (S2021/06170), en nationell listningstjänst för vårdval i primärvården (S2022/01375) och ett nationellt vårdsöksystem (S2022/01372). Socialstyrelsen har ett pågående uppdrag att kartlägga datamängder av nationellt intresse på hälsodataområdet (S2021/05369) och vid Vetenskapsrådet är en rådgivande funktion för nyttjande av hälsodata under uppbyggnad (U2021/01515). Det finns också ett pågående arbete med genomförandet av nationella
läkemedelslistan som syftar till att ge hälso- och sjukvården, öppenvårdsapoteken och patienten samma bild av patientens förskrivna och uthämtade läkemedel (lagen [2018:1212] om nationell läkemedelslista).
Vidare har flera myndigheter uppdrag som har beröringspunkter med det nu aktuella uppdraget. Socialstyrelsen har uppdraget att skapa och tillhandahålla enhetliga begrepp, termer och klassifikationer inom sitt verksamhetsområde samt skapa, beskriva och tillhandahålla en ändamålsenlig informationsstruktur inom sitt verksamhetsområde (förordningen [2015:284] med instruktion för Socialstyrelsen). E-hälsomyndigheten ska ansvara för att fastställa vilka e-hälsospecifikationer som ska vara nationella och gemensamma och tillgängliggöra information om dessa samt samordna och stödja berörda aktörers arbete med att ta fram och använda sådana specifikationer (förordningen [2013:1031] med instruktion för E-hälsomyndigheten). Myndigheten för digital förvaltning ska samordna frågor om gemensamma standarder, format, specifikationer och liknande krav för den offentliga förvaltningens elektroniska informationsutbyte (förordningen [2018:1486] med instruktion för Myndigheten för digital förvaltning). Läkemedelverket ska verka för att medicintekniska produkter är säkra och lämpliga för sin användning samt ansvara för tillsyn av medicintekniska produkter (förordningen [2020:57] med instruktion för Läkemedelsverket). Vidare utfärdar Läkemedelsverket föreskrifter om tillämpning av lagen om medicintekniska produkter på nationella medicinska informationssystem (LVFS 2014:7).
Det pågår även ett omfattande arbete inom EU för att underlätta delning av hälsodata. Europeiska kommissionen har lämnat ett förslag till förordning om EHDS. För att stödja delning av data mellan vårdgivare planerar man inom ramen för EHDS att införa obligatoriska krav för interoperabilitet, säkerhet, trygghet och integritet samt obligatorisk egencertifiering av elektroniska patientjournaler, vilket omfattar interoperabilitet och säkerhet. Oavsett hur EHDS slutligt kommer att utformas, finns det behov av att Sveriges utvecklar en effektivare och säkrare tillgång till patienters hälsodata för såväl primär- som sekundäranvändning. I enlighet med den europeiska datastrategin ska EHDS och övriga framväxande dataområden vara sinsemellan interoperabla.
Utgångspunkter för uppdraget
Sammanfattningsvis kan god informationsförsörjning av hälsodata ses som en nationell resurs, och de rättsliga, organisatoriska, ekonomiska och tekniska förutsättningarna behöver närmare analyseras för att möjliggöra att hälsodata på ett effektivare sätt ska kunna komma till nytta för att stärka hälso- och sjukvården. Det behövs bättre förutsättningar för att kunna lagra, dela och nyttja hälsodata för olika ändamål på ett säkert och kostnadseffektivt sätt. Många av de uppgifter som är aktuella i sammanhanget är känsliga personuppgifter som rör hälsa och personliga förhållanden. Det är därför samtidigt av stor vikt att skyddet för den personliga integriteten värnas och att informationssäkerheten säkras.
Ett viktigt steg för att hälsodata ska komma till nytta för att stärka hälso- och sjukvården är att hälsodata blir interoperabla, det vill säga att olika system kan samarbeta genom att få tillgång till och använda varandras information. Interoperabla data kan läsas av maskiner utan att speciallösningar behöver nyttjas. Med gemensamma nationella standarder finns förutsättningar för att mer effektivt ställa krav vid upphandlingar av exempelvis journalsystem, underlätta för människor att ta del av sina hälsodatauppgifter över hela landet, bidra till en mer effektiv och patientsäker vård samt för att samla hälsodata för forskning och innovation. Samtliga av dessa förutsättningar kan ses som nödvändiga för att utveckla framtidens hälso- och sjukvård. Lärdomar från arbetet med interoperabla system från hälso- och sjukvårdsområdet kan senare komma att användas på andra områden.
Utredaren ska därför
- analysera de rättsliga, organisatoriska, ekonomiska och tekniska förutsättningarna för att förbättra interoperabiliteten när uppgifter om hälsa överförs mellan olika system, aktörer och huvudmän, såväl kommuner och regioner som privata sådana, och lämna ändamålsenliga och samhällsekonomiskt effektiva förslag som bedöms vara nödvändiga med syfte att bl.a. bidra till en effektivare och säkrare tillgång till patienters hälsodata för såväl primär- som sekundär användning,
- redovisa hur lämnade förslag förhåller sig till relevant dataskydds- och sekretessreglering inom hälso- och sjukvårdsområdet samt relevant reglering inom informations- och cybersäkerhetsområdet,
- beakta behovet av skydd för den personliga integriteten och under arbetets gång göra en integritetsanalys,
- utreda och lämna förslag på vilken eller vilka myndigheter som ska ansvara för att utfärda föreskrifter, utöva tillsyn och ta fram andra stödjande eller styrande dokument om val och tillämpning av tekniska och semantiska standarder,
- utreda och lämna förslag på en myndighet, inom den befintliga myndighetsstrukturen, som ska bemyndigas att ta fram uppförandekoder för behandling av personuppgifter inom hälso- och sjukvårdens område med syfte att specificera hur EU:s dataskyddsförordning ska tillämpas,
- på samtliga områden lämna de författningsförslag som utredningen bedömer är motiverade,
- redovisa hur förslagen kan användas för att minska arbetet med dubbeldokumentation och öka förutsättningarna för automatisering av datahantering, samt lämna förslag på ytterligare åtgärder i syfte att minska dubbeldokumentationen och öka automatiseringsgraden,
- redovisa hur förslagen kan underlätta samarbeten på nordisk, europeisk och internationell nivå, och
- i övrigt föreslå ändringar som utredaren anser ha direkt beröring med uppdraget.
Utredarens samlade förslag ska vara så kostnadseffektiva som möjligt och inte medföra påtagligt ökade kostnader för staten jämfört med dagens system.
Konsekvensbeskrivningar
Konsekvenser ska analyseras och redovisas enligt 14–15 a §§kommittéförordningen (1998:1474). I 14 kap. 3 § regeringsformen anges att en inskränkning av den kommunala självstyrelsen inte bör gå
utöver vad som är nödvändigt med hänsyn till ändamålen. Det innebär att en proportionalitetsprövning ska göras. Om något av förslagen påverkar den kommunala självstyrelsen, ska därför, utöver förslagets konsekvenser, de särskilda avvägningar som lett fram till förslaget särskilt redovisas.
Konsekvensbeskrivningen ska särskilt beskriva de effekter eventuella förslag har på statens, regioners, kommuners och privata vårdgivares kostnader.
Kontakter och redovisning av uppdraget
Utredaren ska föra en dialog med kommuner, regioner, Sveriges Kommuner och Regioner, företrädare för professionen, branschföreträdare, Sveriges Standardiseringsförbund, Kommittén för teknologisk innovation & etik (N 2018:04) och Utredningen om hälsodata som nationell resurs för framtidens hälso- och sjukvård (S 2022:04). Utredaren ska även föra dialog med berörda myndigheter, t.ex. E-hälsomyndigheten, Socialstyrelsen, Verket för innovationssystem, Vetenskapsrådet, Forskningsrådet för hälsa, arbetsliv och välfärd, Integritetsskyddsmyndigheten, Myndigheten för samhällsskydd och beredskap, Inspektionen för vård och omsorg och Myndigheten för digital förvaltning. Utredaren bör även föra dialog med de nordiska grannländerna.
Utredaren ska också beakta det pågående arbetet med EHDS, Nordic Commons samt dataförvaltningsakten, COM(2020) 767 final, och dataakten, COM(2022) 68 final.
Uppdraget ska redovisas senast den 30 april 2024.
(Socialdepartementet)
Juridiska områden som behöver tydliggöras och ensas
Under arbetet med uppdraget har utredningen fått ta del av en mängd juridiska problemområden där hälso- och sjukvårdens aktörer upplever att det föreligger hinder i form av osäkerhet kring tolkningen av reglerna eller att lagstiftning tolkas olika. I avsnitt 4.2 i betänkandet redogör vi för de områden som aktörerna menar skulle ge störst nytta och där det finns goda förutsättningar att enas. Nedan redovisar utredningen kortfattat andra frågor som aktörerna lyft som problematiska och där det finns önskemål om förtydliganden eller att tolkningarna ensas.
Frågan om hur och var känsliga personuppgifter får lagras har lyfts av flera aktörer. Osäkerheten omfattar även tredjelandsöverföringar – inte minst i förhållande till USA som anses särskilt problematisk. Den varierande tolkningen snedvrider enligt aktörerna konkurrensen och gynnar de som har en extensiv tolkning av dataskyddsförordningen.
Från it-leverantörernas sida framhåller man att det finns en skepsis mot molntjänster och en stark uppfattning om att servern för molntjänsten måste vara placerad i Sverige.
Det finns även flera begrepp, såsom egenmonitorering, egenvård och självhjälp som aktörerna ser ett behov av att sektorn gemensamt enades om. Begreppet patientrelation är något som flera aktörer upplever tolkas olika. Variationen i tolkningen leder till att, allt annat lika, olika aktörer får tillgång till olika mycket information i patientmötet vilket ytterst påverkar vårdkvalitén. Även begreppet journal, som används i PDL, upplevs vara svårtolkat. Det råder även osäkerhet om vilka uppgifter i kringliggande system utanför det huvudsakliga journalsystemet som ska anses ingå i patientens journal. Så kallad dubbellagring av data i olika stödsystem för ändamål som inte
bara är vårdändamål men som kan vara det, ses också som en gråzon i förhållande till journalbegreppet.
Flera privata vårdgivare har till utredningen angett att de, för att bedriva vård i uppdrag av en region, behöver använda vissa av regionen anvisade it-system. En juridisk utmaning uppstår därmed för vårdgivarna eftersom de är personuppgiftsansvariga för personuppgiftsbehandlingen i it-systemet samtidigt som de saknar möjlighet att bestämma medlen för behandlingen av personuppgifter enligt dataskyddsförordningen på grund av kravet. De önskar därför en ökad dialog med regionerna i syfte att tydliggöra och ensa hur reglerna ska tillämpas.
Till utredningen har det också framförts att det finns ett behov av en samlad branschgemensam lägstanivå för tekniska säkerhetsåtgärder gällande delning av data i olika sammanhang. Ett konkret exempel som nämnts är leveransmetoder där man i dag tillämpar väldigt olika säkerhetsnivåer (okrypterade mejl och USB-stickor förekommer exempelvis). Ett sådant arbete innebär också att vissa begrepp gemensamt behöver definieras.
Ett område som lyfts som ett möjligt framtida problemområde är vad som gäller vid fjärråtkomst av medicintekniska produkter. Osäkerhet råder även kring informationsdelning till närstående om vilka uppgifter får delas och under vilka premisser.
Utöver EHDS, som redovisas i avsnitt 4.2, råder osäkerhet kring ny lagstiftning på flera områden, såsom förordningen om medicintekniska produkter, förkortad MDR, och förordningen om medicintekniska produkter för in vitro-diagnostik, förkortad IVDR, samt direktiven om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, förkortat NIS 2.
Föreslagna kandidater till styrgrupp för en branschstandard inom hälso- och sjukvårdens område
Att åstadkomma en god representativitet i styrgruppen (med råd- och observatörsgrupp) och samtidigt hålla gruppens medlemmar till ett antal som möjliggör en effektiv arbetsgång är en utmaning. Principerna och de formella mekanismerna för deltagande i styrgruppen (exempelvis eventuella valberedningar och om rullande/roterande representation ska användas) behöver tas fram av kansliet och hälso- och sjukvårdens aktörer.
Utredningen har haft dialoger och arbetsmöten med aktörer där olika förslag på representation har kommit upp och följande redovisning bör betraktas som ett medskick till det fortsatta arbetet.
Aktörerna menar att representanter åtminstone från regioner, kommuner, privata vårdgivare och statliga vårdgivare bör finnas i rådet. Med förslagsvis fyra representanter från regioner och kommuner, och tre från de privata vårdgivarna, uppstår en balans mellan storlek på aktörer och behovet av stöd i tolkning av regelverk. Representanterna från region- och kommunsidan kan nomineras från SKR, från SLIT-gruppen och/eller från Hälso- och sjukvårdsdirektörsnätverket. Även Socialchefsnätverket skulle kunna vara en bra representant, i synnerhet om/när omsorgen inkluderas i arbetet med branschstandarden. Riksföreningen för medicinskt ansvariga sjuksköterskor har också nämnts som en aktör som kan representera den kommunala hälso- och sjukvården.
Från den privata hälso- och sjukvården och näringslivet har organisationerna Vårdföretagarna, Swedish Medtech, Lif och Tech Sverige ingått ett samarbete, vilket enligt aktörerna kan skapa en bra grund för representation från detta håll. Här representeras också leverantörerna för it-lösningar, vilka kan vara viktiga att ha med för att underlätta möjligheten att realisera de framtagna riktlinjerna i it-systemen.
Tabell 1 Föreslagna aktörer att ingå i styrgruppen för en branschstandard
Från regioner och kommuner
Kunskapsstyrningen inom SKR
Nätverket för hälso- och sjukvårdens direktörer
Socialchefsnätverket
Inera SLIT-gruppen
Riksföreningen för medicinskt ansvariga sjuksköterskor
Från privata aktörer
Swedish Medtech Vårdföretagarna
Lif – de forskande läkemedelsföretagen
Cambio
Swedish Labtech Tech Sverige OracleCerner
Från intresseföreningar
Patientföreningar (många olika)
Professionsföreningar (många olika)
FAMNA Forska Sverige
Från statliga myndigheter
Socialstyrelsen
Integritetsskyddsmyndigheten
Myndigheten för samhällsskydd och beredskap
Myndigheten för digital förvaltning
E-hälsomyndigheten
Statens institutionsstyrelse
Tandvårds- och läkemedelsförmånsverket
Konkurrensverket
Inspektionen för vård- och omsorg
Upphandlingsmyndigheten
Kriminalvården Läkemedelsverket
Övriga aktörer
Kundgrupp Cosmic
Sussa Samverkan
Källa: Utredningens egna material.