Socialdataskyddsutredningen föreslår en registerlag för Myndigheten för vård- och omsorgsanalys. Den föreslås träda i kraft den 1 juli 2019. Särskilt riskfylld behandling av personuppgifter utan samtycke ska ha godkänts vid en extern etisk prövning för att få utföras.
Det behövs en registerlag för Myndigheten för vård- och omsorgsanalys
Det finns en överenskommelse mellan regering och riksdag om att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag, dvs. inte bara av den generella dataskyddsregleringen. Utredningen bedömer att den behandling av personuppgifter myndigheten behöver göra är sådan att den i vissa situationer faller under den överenskommelsen. Behandlingen bör, på grund av sin karaktär, vidare kringgärdas av mer specifika restriktioner och skyddsåtgärder än som följer av den allmänna dataskyddsregleringen. Utredningen föreslår därför en lag om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys.
Lagens tillämpningsområde
Lagen ska vara tillämplig vid behandling av personuppgifter i verksamhet vid Myndigheten för vård- och omsorgsanalys som avser uppföljning och analys av verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg ur ett patient-, brukar- och medborgarperspektiv. Endast sådan behandling av personuppgifter som är helt eller delvis automatiserad samt behandling av personuppgifter som ingår eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier ska omfattas.
Lagens bestämmelser om skyddsåtgärder ska tillämpas på uppgifter om både levande och avlidna personer.
Förhållandet till annan lagstiftning
Den föreslagna lagen kompletterar de direkt tillämpliga bestämmelserna i dataskyddsförordningen. Dessutom gäller dataskyddslagen, med generella kompletterande bestämmelser, om inte annat följer av den föreslagna lagen eller föreskrifter som har meddelats med stöd av den.
Vid forskning som innefattar behandling av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen (känsliga personuppgifter) eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, ska inte den föreslagna lagen gälla. Då ska myndigheten i stället tillämpa lagen (2003:460) om etikprövning av forskning som avser människor, etikprövningslagen.
Krav på extern etisk prövning vid riskfyllda behandlingar utan samtycke
Myndigheten för vård- och omsorgsanalys har i uppdrag att göra analyser och uppföljningar inom flera sektorer och uppdraget kräver att flera sorters personuppgifter behandlas för olika konkreta ändamål som i praktiken svårligen låter sig sammanfattas på ett sådant sätt att behandlingen kan begränsas på förhand genom lagstiftning. En ändamålsbestämmelse i lag med förutsättningar för att behandling ska få ske skulle därför behöva vara så allmänt hållen att man, enligt utredningens bedömning, inte kan överlåta åt myndigheten att själv tillämpa den i de fall det gäller mer integritetskänslig behandling av personuppgifter. Utredningen har därför kommit fram till att det bästa sättet att tillfredsställande reglera när myndigheten ska få utföra särskilt riskfyllda behandlingar är att föreskriva att det i varje enskilt fall ska göras en bedömning av en extern oberoende och kompetent instans. Med särskilt riskfyllda behandlingar avses här behandling av känsliga personuppgifter och uppgifter om lagöverträdelser samt behandling av personuppgifter i sådan omfattning att det, med hänsyn till den stora mängden personuppgifter, uppgifternas integritetskänsliga karaktär och behovet av att koppla samman uppgifterna, innebär en kartläggning av enskildas personliga förhållanden och ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen. Behandling av personuppgifter som sker med stöd av den registrerades samtycke bör dock inte omfattas av ett krav på extern prövning, eftersom sådan behandling inte bedöms förknippad med samma risker för den personliga integriteten och då den registrerade själv genom sitt samtycke då förfogar över bedömningen.
Känsliga personuppgifter
Utredningen föreslår att känsliga personuppgifter får behandlas bara med stöd av uttryckligt samtycke eller, i fråga om uppgifter om hälsa eller personuppgifter som avslöjar etniskt ursprung, om projektet har prövats och godkänts vid en etisk prövning. Behandling av uppgifter om hälsa eller personuppgifter som avslöjar etniskt ursprung om färre än 100 personer i ett projekt behöver dock inte genomgå etisk prövning.
Uppgifter om lagöverträdelser
Utredningen föreslår att uppgifter om lagöverträdelser får behandlas bara med stöd av samtycke eller om projektet har prövats och godkänts vid en etisk prövning. Behandling av uppgifter om lagöverträdelser om färre än 100 personer i ett projekt behöver dock inte genomgå etisk prövning.
Behandling av andra personuppgifter i etikgodkända projekt
Utredningen föreslår att andra personuppgifter än sådana som är känsliga personuppgifter eller uppgifter om lagöverträdelser får behandlas utan de registrerades samtycke i ett projekt, om projektet har prövats och godkänts vid en etisk prövning.
Möjlighet till etisk prövning för att ett projekt ska kunna genomföras
Vissa projekt kan omfatta enbart behandling av personuppgifter som inte är känsliga personuppgifter eller uppgifter om lagöverträdelser. Om behandlingen av dessa personuppgifter är så omfattande att den får anses innebära en kartläggning av enskildas personliga förhållanden och ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket regeringsformen, är den inte tillåten utan lagstöd. Utredningen föreslår därför att sådana projekt som myndigheten bedömer inte kan genomföras på grund av den nämnda bestämmelsen ska kunna genomgå en extern etisk prövning och att behandlingen av personuppgifterna ska vara tillåten om projektet godkänns vid en sådan prövning.
Prövningen av etiska frågor
Utredningens föreslår i första hand att prövningen av myndighetens projekt ska göras av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning. Om den etablerade etikprövningsorganisationen inte anses lämplig, bör prövningen utföras av ett annat särskilt organ som är en statlig myndighet eller ett organ som är knutet till en annan statlig myndighet än Myndigheten för vård- och omsorgsanalys. Det särskilda organet för prövning av etiska frågor bör ha företrädare för såväl det allmänna som forskningen och kompetens att pröva etiska frågeställningar.
Etikprövningsmyndighetens prövning av myndighetens projekt ska göras med tillämpning av etikprövningslagen på motsvarande sätt och utifrån motsvarande kriterier som vid bedömningen av projekt som avser forskning. I stället för att, som när det gäller forskning, väga riskerna mot det vetenskapliga värdet, ska myndigheten väga riskerna med behandlingen av personuppgifter mot det samhälleliga intresset av den kunskap som projektet kan förväntas resultera i. Om ett annat särskilt organ gör prövningen, ska ett projekt få godkännas bara om behandlingen av personuppgifter i projektet är nödvändig och om samhällsintresset av projektet klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Ett godkännande ska få förenas med villkor. Efter prövningen måste myndigheten följa de eventuella villkor som godkännandet förenats med samt övrig gällande rätt. Regeringen föreslås få meddela föreskrifter om det särskilda organet.
Skyddsåtgärder
Ändamålsbestämning för varje projekt
Utredningen gör bedömningen att det inte är möjligt att för myndighetens verksamhet i lag fastställa tillräckligt avgränsade och förutsägbara ändamål för den behandling av personuppgifter som ska vara tillåten. I stället för att i lagen ange ändamål föreslår utredningen därför att myndighetschefen ska besluta om särskilda ändamål för behandlingen av personuppgifter i varje enskilt uppföljnings- och analysprojekt. Utan ett sådant beslut ska personuppgifter inte få behandlas i uppföljnings- och analysverksamheten. Beslutet ska offentliggöras på lämpligt sätt.
Utredningen föreslår att för att personuppgifter som har samlats in för ett beslutat ändamål i ett projekt ska få behandlas för ett annat ändamål, krävs att myndighetschefen beslutar om det.
Personuppgifter som får behandlas
I syfte att skapa en tydlig ram för behandlingen av personuppgifter föreslår utredningen att myndighetschefen, utöver att fastställa särskilda ändamål för behandlingen av personuppgifter, för varje projekt även ska besluta om vilka kategorier av personuppgifter som får behandlas om vilka kategorier av personer. Utan ett sådant beslut får personuppgifter inte behandlas i verksamheten med uppföljning och analys. Beslutet ska offentliggöras på lämpligt sätt.
Pseudonymisering
Pseudonymiserade uppgifter är uppgifter som inte direkt kan hänföras till en person men som kan återidentifieras med hjälp av kompletterande uppgifter som förvaras separat.
Utredningen föreslår ett krav på pseudonymisering av de personuppgifter som myndigheten behandlar inom ramen för den föreslagna lagen. Om ändamålet med behandlingen av personuppgifter i något fall inte kan uppnås med pseudonymiserade uppgifter, får myndighetschefen dock möjlighet att i ett enskilt fall besluta om att personuppgifter inte behöver pseudonymiseras. Efter pseudonymisering ska personuppgifter göras identifierbara igen endast om det finns starka skäl för detta. För att tydliggöra hanteringen ska myndighetschefen besluta om riktlinjer och villkor för när och hur pseudonymiserade personuppgifter får göras identifierbara. Myndighetschefen ska dessutom införa ett förbud mot att, i andra fall än de som uttryckligen framgår av de av myndighetschefen beslutade riktlinjerna och villkoren, sammanföra pseudonymiserade personuppgifter med personuppgifter som är direkt hänförliga till individer.
Behörighetsstyrning
Myndigheten ska begränsa behörigheten att ta del av personuppgifter till vad som behövs för att den enskilde tjänstemannen ska kunna fullgöra sina arbetsuppgifter. För att det ska bli tydligt vad som gäller i fråga om behörighetstilldelning ska myndighetschefen bestämma villkoren för tilldelning av behörighet för åtkomst till personuppgifter.
För att kunna upptäcka och åtgärda obehörig åtkomst som inte förhindrats av tekniska begränsningar ska åtkomsten till personuppgifter registreras, lämpligen i en logg. Det ska med hjälp av loggen också finnas en funktion vid myndigheten som regelbundet kontrollerar om någon obehörig åtkomst till personuppgifterna har förekommit.
Gallring och bevarande
Utredningen föreslår att myndigheten som huvudregel ska gallra personuppgifter senast sex månader efter att ett projekt är slutfört. För eventuella behov av undantag från huvudregeln föreslår utredningen att regeringen eller den myndighet som regeringen bestämmer (Riksarkivet) ska kunna meddela föreskrifter eller i ett enskilt fall besluta om att gallring ska ske senast vid en viss tidpunkt.
Regeringen eller den myndighet regeringen bestämmer ska dessutom ha möjlighet att besluta att personuppgifter som ingår i ett projekt som är slutfört – och som myndigheten därför är skyldig att gallra – ska få bevaras för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Utlämnande av personuppgifter från Socialstyrelsen och Statistiska Centralbyrån till Myndigheten för vård- och omsorgsanalys
Utredningen har haft i uppdrag att bedöma om myndigheten kan få nödvändiga personuppgifter från Socialstyrelsen och Statistiska centralbyrån. Utredningen bedömer att så är fallet redan med befintliga sekretessbestämmelser. De berörda myndigheterna delar utredningens bedömningar. Eventuella hinder mot utlämnande kan vanligtvis lösas genom en dialog mellan utlämnande och mottagande myndighet. Utredningen lämnar således inte något författningsförslag i denna del.
Ikraftträdande
Utredningen föreslår att den nya lagstiftningen ska träda i kraft den 1 juli 2019. Några särskilda övergångsbestämmelser bedöms inte behövas.
Konsekvenser
Myndigheten för vård- och omsorgsanalys kan behöva vidta åtgärder för att anpassa verksamheten utifrån de föreslagna kraven på skyddsåtgärder och utbilda medarbetare. Eventuella kostnader för detta bedöms dock rymmas inom befintliga anslag. Inte heller kravet på etikprövning bedöms medföra någon ökad kostnad för myndigheten.
Kravet på etikprövning medför att Etikprövningsmyndigheten kommer att pröva ett något ökat antal ansökningar om etikprövning och att Överklagandenämnden för etikprövning kan komma att få en marginell ökning av antalet ärenden. Förslagen bedöms dock inte medföra annat än en sådan marginell ökning av Etikprövningsmyndighetens och Överklagandenämnden för etikprövnings kostnader att den ryms inom befintliga anslag, jämte de avgifter som får tas ut.
I övrigt förväntas förslagen inte få några negativa konsekvenser.
