: : : :

Utrednings­betänkande med Sören Öman :

Patientdatalag (SOU 2006:82)

 

It-rätt | Offentlighet & sekretess ]

ISBN: 91-38-22633-2

Antal sidor: 646 sid.

Departement: Socialdepartementet

Utredning: Patientdatautredningen

Ordförande / Utredare: Sigurd Heuman

Sören Ömans roll i utredningen: Sakkunnig

Dela :

Kommande publika föredrag av Sören Öman :

Våra förslag innefattar en sammanhängande reglering av personuppgiftsbehandlingen inom hälso- och sjukvården i en helt ny lag, patientdatalagen. Den föreslagna regleringen innebär att patientjournallagen (1985:562) och lagen (1998:544) om vårdregister (vårdregisterlagen) ersätts av den nya lagen. I denna lag, som gäller för alla vårdgivare oavsett huvudmannaskap, regleras bl.a. sådana frågor som skyldigheten att föra patientjournal, inre sekretess och elektronisk åtkomst i en vårdgivares verksamhet, utlämnande av uppgifter och handlingar genom direktåtkomst eller på annat elektroniskt sätt samt nationella och regionala kvalitetsregister. Härutöver föreslår vi ändringar i bl.a. sekretesslagstiftningen på hälso- och sjukvårdens område.

Författningsförslagen har delvis karaktär av ramlagstiftning, som anger vilka grundläggande principer som skall gälla för informationshanteringen avseende uppgifter om patienter inom all hälso- och sjukvård. Den närmare regleringen i vissa generella frågor skall således kunna meddelas i förordning eller, efter regeringens bemyndigande, i myndighetsföreskrifter. Förslagen kan ses som en del av den process som nu pågår för att med bl.a. hjälp av IT få till stånd en bättre samverkan mellan hälso- och sjukvårdens aktörer och en starkare patientorientering i verksamheten. Den centrala utgångspunkten för förslagen är att skapa en reglering som möjliggör både en ökad patientsäkerhet och ett starkt integritetsskydd. Detta förutsätter att man inte överger principen om att hälso- och sjukvård skall bygga på respekt för patientens självbestämmande och integritet. I förlängningen riskerar man annars att medborgarnas förtroende för hälso- och sjukvården minskar.

Förslaget till patientdatalag

Lagens tillämpningsområde, m.m.

Patientdatalagen gäller i vårdgivares kärnverksamhet

Patientdatalagen skall tillämpas vid behandling av personuppgifter i vårdgivares kärnverksamhet som avser tillhandahållande av hälso- och sjukvård inklusive tandvård åt patienter. Med vårdgivare avses statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvård som myndigheten, landstinget eller kommunen har ansvar för samt annan juridisk eller fysisk person som yrkesmässigt bedriver hälso- och sjukvård.

All automatiserad behandling och viss manuell behandling av personuppgifter omfattas

Tillämpningsområdet för patiendatalagen omfattar all helt eller delvis automatiserad behandling av personuppgifter samt manuell behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Regleringen är således inte begränsad till särskilda datoriserade register, databaser eller andra elektroniska uppgiftssamlingar inom hälso- och sjukvården. Vissa särbestämmelser finns dock beträffande nationella och regionala kvalitetsregister, se nedan. Patientdatalagen kompletterar personuppgiftslagen (1998:204), vilket innebär att när reglering saknas i patientdatalagen kommer personuppgiftslagens bestämmelser att vara tillämpliga. Vissa bestämmelser i lagen, bl.a. sådana som rör dokumentation m.m. i patientjournaler, gäller även om behandlingen sker helt manuellt utan att personuppgifterna ingår i eller avses ingå i någon strukturerad uppgiftssamling. I tillämpliga delar gäller lagen också vid behandling av uppgifter om avlidna.

Personuppgiftslagens regler gäller när verksamhet inte omfattas av patientdatalagen

Personuppgiftsbehandling i verksamhet som faller utanför patientdatalagens tillämpningsområde regleras precis som i dag av personuppgiftslagen. Till sådan verksamhet hör t.ex. verksamhet vid patientnämnder eller läkemedelskommittéer. Även hos en vårdgivare som omfattas av lagens tillämpningsområde förekommer personuppgiftsbehandling som faller utanför lagens tillämpningsområde. Så är exempelvis fallet i den rent administrativa verksamheten som saknar direkt koppling till patientverksamheten. Sådan särskild personuppgiftsbehandling som sker uteslutande för forskningsändamål eller utbildningsändamål faller också utanför patientdatalagens tillämpningsområde.

Ändamål för personuppgiftsbehandlingen, m.m.

Ändamål

De ändamål för vilka personuppgifter enligt den föreslagna lagen får samlas in och även i övrigt behandlas inom hälso- och sjukvården är:
1. patientjournalföring och annan dokumentation som behövs i och för vården av patienter eller som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall (Vårddokumentation),
2. utförande av annan dokumentation som följer av lag, förordning eller annan författning,
3. systematisk och fortlöpande utveckling och säkring av hälso- och sjukvårdens kvalitet (Kvalitetssäkring),
4. administration, planering, uppföljning, utvärdering och tillsyn av hälso- och sjukvårdsverksamheten och
5. framställning av statistik rörande hälso- och sjukvård

Dessutom får personuppgifter som behandlas för ändamål enligt punkterna 1–5 behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller den s.k. finalitetsprincipen i 9 § första stycket d personuppgiftslagen. Det innebär att personuppgifter som redan finns i hälso- och sjukvårdsverksamheten får behandlas för andra ändamål än dem för vilka de har samlats in under förutsättning att de nya ändamålen är förenliga med de tidigare ändamålen.

Samkörning

Några särskilda bestämmelser om samkörning föreslås inte. Samkörning är alltså tillåten förutsatt bl.a. att den faller inom ramen för något eller några av de ändamål som anges i patientdatalagen.

Personuppgiftsansvar

I patientdatalagen anges att en vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som den utför. I landsting och kommuner är en myndighet personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. I lagen finns också vissa särskilda bestämmelser om personuppgiftsansvar vid sammanhållen journalföring och vid registerföring i nationella och regionala kvalitetsregister.

Personuppgifter som får behandlas

Endast sådana personuppgifter som behövs för det ändamål för vilket personuppgiftsbehandlingen utförs får behandlas enligt patientdatalagen. I lagen klargörs att uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen får behandlas även i privata vårdgivares verksamhet. I övrigt föreslås inga särbestämmelser om sådana personuppgiftskategorier som särregleras i personuppgiftslagen.

Den enskildes inställning till personuppgiftsbehandlingen

I patientdatalagen föreskrivs att personuppgiftsbehandling enligt lagen får ske även om den enskilde motsätter sig personuppgiftsbehandlingen. Undantag från denna huvudregel kan gälla enligt lag eller förordning. Några sådana undantag följer av patientdatalagen. Dessa undantag avser situationer, förenklat uttryckt, då den enskilde ges möjlighet att förhindra att uppgifter om honom eller henne sprids inom hälso- och sjukvården. Vidare klargörs att även sådan personuppgiftsbehandling som går utöver vad patientdatalagen tillåter får utföras, om den enskilde uttryckligen samtycker till det och inte annat följer av andra bestämmelser i patientdatalagen eller av annan lag eller förordning.

Begränsningar för sökbegrepp

Känsliga personuppgifter som avses i 13 § personuppgiftslagen samt personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får enligt patientdatalagen inte användas som sökbegrepp. Inte heller får uppgifter om att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen (2005:716) användas som sökbegrepp.

Undantag från förbuden gäller dock i fråga om uppgifter som rör hälsa eller uppgifter om att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård. Sådana uppgifter får alltså användas som sökbegrepp, om det behövs för något tillåtet ändamål. Vidare kan, om regeringen föreskriver om det, ett landsting eller en kommun få använda personuppgifter om etnicitet samt att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.

En ny reglering av patientjournalföringen

Vi föreslår att åtskilliga bestämmelser i patientjournallagen förs över i huvudsak oförändrade till patientdatalagen. Detta gäller bestämmelserna om krav på journalföring, om vem som är skyldig att föra patientjournal, om skyldigheten att på begäran av patienten utfärda intyg om vården, om rättelse av journaluppgifter, om journalförstöring, om anteckning i journalen när en journalhandling lämnas ut, om omhändertagande av patientjournaler inom den enskilda hälso- och sjukvården, om återlämnande av omhändertagna journaler, om utlämnande av uppgifter ur omhändertagna journalhandlingar, om bevarande av journalhandling och om signeringskrav. Det föreslås dock en bestämmelse som bemyndigar regeringen, eller den myndighet som regeringen bestämmer, att meddela föreskrifter om undantag från signeringskravet. Även vissa av bestämmelserna i patientjournallagen om vilka uppgifter en patientjournal skall innehålla föreslås föras över till patientdatalagen. Patientjournallagens bestämmelser om att journalhandlingar som upprättas inom hälso- och sjukvården som huvudregel skall vara skrivna på svenska språket förs över till patientdatalagen.

Vi föreslår vidare att det i patientdatalagen införs en bestämmelse om hur mycket information som en patientjournal får innehålla. Bestämmelsen motsvarar nuvarande reglering i vårdregisterlagen om vad ett vårdregister får innehålla. Vi föreslår också att det skall antecknas i patientjournalen, om en patient anser att en uppgift i journalen är oriktig eller missvisande.

En bestämmelse som delvis motsvarar patientjournallagens bestämmelse om att uppgifter i journalhandlingar som upprättas inom hälso- och sjukvården skall utformas så att patientens integritet respekteras finns också i patientdatalagen. I patientdatalagen har bestämmelsen dock fått ett vidare tillämpningsområde och gäller all utformning av personuppgifter, således inte bara vid journalföring.

En sammanhållen journal?

Vi har bl.a. haft i uppdrag att analysera förutsättningarna för och nyttan av en för samtliga vårdgivare – inom hela Sverige eller inom ett landstingsområde – sammanhållen patientjournal för varje patient. Enligt vår bedömning saknas i dag, trots den snabba utveckling som äger rum på IT-området, grundläggande förutsättningar att införa en för samtliga vårdgivare sammanhållen journal för varje patient. Någon lagstiftning om en skyldighet att journalföra i ett sammanhållet system är därför inte genomförbar och kan inte föreslås. Vi bedömer inte heller att det nu skulle vara lämpligt att införa ett sådant obligatoriskt totalsystem. Enligt vår bedömning är det även osäkert om och i så fall när en sammanhållen patientjournal av mera begränsat slag skulle kunna genomföras. I linje med detta föreslås inte att det skall införas någon skyldighet att på något område föra journal över vårdgivargränser.

Vi avvisar också en nyordning som skulle innebära att patienten äger sin journal eller att journalen inte längre skall vara knuten till den vårdgivare inom vars verksamhet journalföringen sker.

Sammanhållen journalföring

Direktåtkomst för vårdgivare – sammanhållen journalföring

Vi föreslår att det i patientdatalagen införs en reglering som innebär att vårdgivare – under vissa förutsättningar – kan få direktåtkomst till varandras elektroniska journalhandlingar och andra personuppgifter som behandlas för ändamål som rör vårddokumentation. Direktåtkomst innebär att uppgifter lämnas ut till en extern mottagare, i detta fall en annan vårdgivare, genom att behörig personal hos den senare vårdgivaren får en möjlighet att på eget initiativ elektroniskt bereda sig tillgång till och ta del av utlämnarens uppgifter. Denna reglering gör det möjligt för sjukvårdshuvudmännen och privata vårdgivare att på frivillig väg bygga upp olika slags system för sammanhållen journalföring. Genom den sammanhållna journalföringen ges en tillgänglighet till patientuppgifter som i praktiken låter informationen följa patienterna i olika vårdkedjor och vårdprocesser. Syftet med denna ordning är i första hand att genom utnyttjande av IT öka patientnyttan i form av ökad patientsäkerhet. Patientdatalagen styr däremot inte över vilka slags tekniska lösningar eller vilken organisatorisk uppbyggnad som väljs för sammanhållen journalföring. Enligt vår bedömning hindrar inte tryckfrihetsförordningen att hälso- och sjukvårdens myndigheter deltar i sammanhållen journalföring.

Patientens inflytande vid sammanhållen journalföring

Vi utgår från att patienten måste ges ett inflytande när det gäller andra vårdgivares möjlighet att få tillgång till uppgifter om patienten via sammanhållen journalföring. Två utgångspunkter har därvid gällt. Den ena är att inflytandet skall utformas med hänsyn till respekten för patientens självbestämmande och integritet och att vården och behandlingen så långt möjligt skall utformas och genomföras i samråd med patienten. Den andra utgångspunkten har varit att hitta lösningar som är praktiskt smidiga och enkla att tillämpa. De får inte föranleda en administrativ börda eller annat betydande merarbete i hälso- och sjukvårdspersonalens dagliga arbete.

Med dessa utgångspunkter ges patienten redan vid det aktuella vårdtillfället som journalförs eller då uppgifter annars dokumenteras (skede 1) en rätt att – efter att ha blivit informerad om vad sammanhållen journalföring innebär – motsätta sig att vårddokumentation rörande honom eller henne görs tillgänglig för andra vårdgivare. Om patienten motsätter sig att uppgifterna görs tillgängliga via sammanhållen journalföring, skall uppgifterna spärras för tillgänglighet för hälso- och sjukvårdspersonal m.fl. hos andra vårdgivare. Direktåtkomst får således inte förekomma till spärrade uppgifter. Det sagda utesluter emellertid inte att uppgifter som finns om en patient i undantagsfall kan lämnas till en annan vårdgivare. Då är det emellertid inte fråga om att uppgifter görs tillgängliga genom direktåtkomst i ett sammanhållet journalföringssytem utan att uppgifter lämnas ut på annat sätt, exempelvis muntligen, se förslaget till 7 kap. 1 d § andra stycket sekretesslagen (1980:100). Ett system för sammanhållen journalföring får däremot innehålla information om att det finns spärrade uppgifter. Sådan information kan i enskilda vårdsituationer initiera en önskvärd dialog mellan patienten och läkaren eller annan vårdpersonal. En spärr kan när som helst hävas på begäran av patienten.

Patienten ges vidare en rätt att själv bestämma om en vårdgivares hälso- och sjukvårdspersonal skall få ta del av en annan vårdgivares vårddokumentation som finns tillgänglig i den sammanhållna journalföringen (skede 2). Det handlar här om uppgifter som inte har spärrats av patienten. Normalt kommer patientens inställning i frågan att inhämtas i anslutning till att patienten har en inledande kontakt med en ny vårdgivare.

För att en vårdgivare i skede 2 skall få bereda sig tillgång till ospärrade uppgifter genom sammanhållen journalföring krävs att uppgifterna kan antas ha betydelse för vården av patienten och att patienten samtycker till det. Om patientens samtycke inte kan inhämtas, får uppgifterna tas fram genom direktåtkomst om uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver.

Att patientens samtycke inte kan inhämtas kan bero på att patienten är medvetslös eller alltför medtagen för att kunna ta ställning till frågan om vårdgivaren skall få bereda sig tillgång till uppgifterna. Vidare kan saken brådska så att det inte finns någon tid att inhämta samtycke. En patient som motsätter sig att vårdgivaren använder direktåtkomsten skall alltid respekteras.

Den sammanhållna journalföringen får i princip inte användas för andra syften än den individinriktade patientvården. Det innebär att direktåtkomsten till andra vårdgivares uppgifter inte får användas för exempelvis kvalitetssäkring och annan medicinsk eller ekonomisk uppföljning av hälso- och sjukvården samt forskning. För allmänhetens förtroende för den nya ordningen med sammanhållen journalföring är det av vikt att den gränsöverskridande direktåtkomsten bara används för syften och i situationer som den enskilde kan förutse och ha kontroll över.

Bestämmelserna om sammanhållen journalföring reglerar sammanfattningsvis bara ett visst sätt att göra patientjournaler elektroniskt tillgängliga över organisatoriska och formella gränser utan föregående sekretessprövning (se nedan) i varje enskilt fall då direktåtkomsten används. Uppgifterna kan alltid begäras ut på annat sätt, varvid en sedvanlig sekretessprövning måste göras.

Personuppgiftsansvar vid sammanhållen journalföring

Även vid sammanhållen journalföring skall patientdatalagens allmänna regel om personuppgiftsansvar gälla, dvs. att varje myndighet inom hälso- och sjukvården eller privat vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som den utför. Regeringen får dock meddela föreskrifter om personuppgiftsansvar vid sammanhållen journalföring när det gäller övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder.

Inre sekretess m.m.

Hälso- och sjukvårdspersonalens rätt att ta del av uppgifter om patienter

Den som arbetar hos en vårdgivare får enligt patientdatalagen ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Bestämmelsen omfattar både manuellt och elektroniskt förda patientjournaler och annan dokumentation om patienter. I lagen föreskrivs också att dokumenterade personuppgifter skall hanteras och förvaras så att obehöriga – exempelvis befattningshavare inom hälso- och sjukvården som inte behöver uppgifterna för sitt arbete – inte får tillgång till dem. Med hantering och förvaring avses alla slags åtgärder som vidtas beträffande personuppgifterna.

Krav vid elektronisk patientjournalföring och övrig elektronisk patientdokumentation

När det gäller elektronisk patientjournalföring och övrig elektronisk patientdokumentation finns i patientdatalagen en bestämmelse om elektronisk åtkomst som delvis motsvarar nuvarande reglering i 8 § vårdregisterlagen men som ställer tydligare krav på vårdgivaren i fråga om behörighetssystem m.m. Vårdgivaren skall bestämma villkoren för hur personalen skall tilldelas behörighet för elektronisk åtkomst till uppgifter om patienter i vårdgivarens verksamhet. Reglerna innebär att en vårdgivare skall göra aktiva och individuella behörighetstilldelningar utifrån analyser av vilken närmare information olika personalkategorier och olika slags verksamheter behöver. Särskild uppmärksamhet skall ägnas åt tillgängligheten till skyddade personuppgifter. Närmare bestämmelser får meddelas av regeringen eller den myndighet som regeringen bestämmer. Det är förutsatt att Socialstyrelsen skall meddela dessa föreskrifter efter samråd med Datainspektionen.

Skyldighet att dokumentera elektronisk åtkomst, m.m.

En skyldighet införs också för vårdgivaren att dokumentera och kontrollera elektronisk åtkomst. Genom att vårdgivaren är skyldig att dokumentera all elektronisk åtkomst (den s.k. behandlingshistoriken eller loggen) blir det möjligt att göra kontroller i efterhand. Det räcker emellertid inte att göra uppföljningskontroller i särskilda fall då misstanke kan finnas om obehörigt intrång. Uppföljningskontroller skall göras systematiskt och fortlöpande. Närmare bestämmelser får meddelas av regeringen eller den myndighet som regeringen bestämmer. Det är förutsatt att Socialstyrelsen skall meddela dessa föreskrifter efter samråd med Datainspektionen.

En rätt för patienten att få information om åtkomst

Den enskilde patienten ges rätt att på begäran få information om vilken direktåtkomst och elektroniska åtkomst som förekommit till elektroniskt behandlade uppgifter om honom eller henne. Närmare bestämmelser om den information som skall ges till patienten får meddelas av regeringen eller den myndighet som regeringen bestämmer. Det är förutsatt att Socialstyrelsen skall meddela dessa föreskrifter efter samråd med Datainspektionen.

En rätt för patienten att spärra tillgänglighet

Den enskilde patienten ges i patientdatalagen en rätt att begära att vårddokumentation spärras för elektronisk åtkomst från andra vårdenheter alternativt vårdprocesser utanför den till vilken uppgifterna hör. Patienten ges genom denna regel ett inflytande över tillgängligheten till uppgifter om honom eller henne inom en vårdgivares gränser. Denna möjlighet skall ses som ett utflöde av principen om att hälso- och sjukvård skall bygga på respekt för patientens självbestämmande och integritet och så långt det är möjligt utföras och genomföras i samråd med patienten. Spärren skall med patientens samtycke kunna hävas helt eller delvis, t.ex. i en enstaka vårdsituation. Spärren skall också kunna forceras, om patientens samtycke inte kan inhämtas och om informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver. Spärrade uppgifter kan i och för sig göras tillgängliga för annan vårdenhet eller vårdprocess på annat sätt än genom elektronisk åtkomst. Om en patient har klargjort att han eller hon inte vill att uppgifter om honom eller henne lämnas från en vårdenhet till en annan, torde dock något sådant uppgiftslämnande inte kunna förekomma annat än i nödliknande situationer. Uppgift om att det finns spärrade uppgifter får dock vara tillgänglig för andra vårdenheter eller vårdprocesser liksom även uppgift om vilken vårdenhet eller vårdprocess som spärrat uppgifterna. Information om att det finns spärrade uppgifter om barn kan ge anledning till extra vaksamhet samt övervägande om en anmälan enligt 14 kap. 1 § socialtjänstlagen (2001:453) skall göras till socialnämnden för att barnet skall få erforderligt skydd.

Direktåtkomst för patienten

Genom patientdatalagen får en vårdgivare medge en enskild direktåtkomst till sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamålet vårddokumentation. Direktåtkomsten innebär att den enskilde själv elektroniskt kan bereda sig tillgång till informationen. Regleringen innebär inget åliggande för en vårdgivare att tillhandahålla enskilda direktåtkomst utan endast en möjlighet till detta. Det är förutsatt att den som begär och medges åtkomst till sina uppgifter också informeras om vart han eller hon kan vända sig för att få hjälp med att tyda dessa. En direktåtkomst behöver inte innebära en tillgång till samtliga uppgifter om den enskilde. Den enskilde får också medges direktåtkomst till dokumentation avseende elektronisk åtkomst till uppgifter om den enskilde (den s.k. behandlingshistoriken eller loggen).

Regeringen, eller den myndighet som regeringen bestämmer, bemyndigas att meddela föreskrifter om de krav på säkerhetsåtgärder som skall gälla vid direktåtkomst. En direktåtkomst förutsätter att det finns tillräckligt säkra tekniska lösningar för att säkerställa identifieringen av den som efterfrågar uppgifter. Det är tänkt att Socialstyrelsen efter samråd med Datainspektionen skall meddela sådana föreskrifter.

Verksamhetsuppföljning

Verksamhetsuppföljning är av central betydelse för hälso- och sjukvårdens utveckling. Med verksamhetsuppföljning åsyftar vi i princip samma sak som avses med ”uppföljning, utvärdering och kvalitetssäkring” i 4 § 2 vårdregisterlagen. Verksamhetsuppföljning kan ta sikte på en mängd olika faktorer inom hälso- och sjukvården, t.ex. mätning av uppnådda behandlingsresultat och patienttillfredsställelse eller mätning av insatta resurser i form av kostnader för varje insats eller annan uppföljning av kostnadseffektivitet, produktivitet etc. Verksamhetsuppföljning kan vidare ske på olika nivåer i hälso- och sjukvården.

Våra förslag innebär sammantaget ökade möjligheter när det gäller medicinsk, ekonomisk och annan verksamhetsuppföljning inom hälso- och sjukvården jämfört med i dag. Verksamhetsuppföljning är enligt patientdatalagen ett primärt ändamål och olika uppgifter om patienter kan samköras så länge det sker inom de ramar som ges av patientdatalagen och sekretesslagstiftningen. Vidare innebär patientdatalagen att myndigheter som bedriver hälso- och sjukvård i samma landsting får ha direktåtkomst till varandras personuppgifter. Som framgår nedan föreslår vi också att hälso- och sjukvårdssekretessen inte skall hindra att uppgifter lämnas från en myndighet inom hälso- och sjukvården i en kommun eller ett landsting till en annan sådan myndighet i samma kommun eller landsting. Även uppföljning av hälso- och sjukvårdens samverkan med kommunernas omsorgsverksamhet underlättas genom regleringen i patientdatalagen jämfört med den nuvarande regleringen i vårdregisterlagen. Vi föreslår också vissa bestämmelser om verksamhetsuppföljning genom nationella och regionala kvalitetsregister, se nedan.

Nationella och regionala kvalitetsregister

Ändamål för behandling av personuppgifter i ett kvalitetsregister

Det är en central uppgift inom hälso- och sjukvården att systematiskt och fortlöpande utveckla och säkra verksamhetens kvalitet. Inom hälso- och sjukvården förekommer olika metoder att mäta och utveckla kvaliteten i verksamheten. En metod är att samla och analysera patientbundna data om diagnoser, åtgärder och behandlingsresultat m.m. i datoriserade kvalitetsregister. Vi har haft i uppdrag att föreslå en författningsreglering av personuppgiftsbehandlingen i nationella kvalitetsregister inom hälso- och sjukvården.

I patientdatalagen finns vissa särbestämmelser som gäller för kvalitetsregister till vilka personuppgifter har samlats in från flera vårdgivare och som möjliggör jämförelser inom hälso- och sjukvården på nationell respektive regional nivå. I lagen regleras uttömmande för vilka ändamål som personuppgifter i sådana kvalitetsregister får behandlas. Personuppgifter får samlas in och behandlas för det övergripande och primära syftet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Insamlade personuppgifter får därutöver även behandlas för vissa andra ändamål, nämligen bl.a. framställning av statistik eller forskning inom hälso- och sjukvårdsområdet.

Personuppgifter som får behandlas

I patientdatalagen förtydligas att det bara är sådana uppgifter som behövs för det primära ändamålet kvalitetssäkring av vård som får tas in i ett nationellt eller regionalt kvalitetsregister.

Vidare anges i lagen att den registrerades personnummer eller namn får behandlas i ett nationellt eller regionalt kvalitetsregister endast om det för kvalitetssäkringsändamålet inte är tillräckligt att behandla kodade personuppgifter eller personuppgifter som endast indirekt utpekar den registrerade.

Känsliga personuppgifter som avses i 13 § personuppgiftslagen och som inte rör hälsa samt personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får behandlas endast om regeringen, eller den myndighet som regeringen bestämmer, i enskilda fall medger det.

I patientdatalagen införs en bestämmelse som – till skillnad från vad som i dag gäller enligt personuppgiftslagen – ger den enskilde en rätt att slippa bli registrerad i ett nationellt eller regionalt kvalitetsregister. Denna rätt gäller även efter det att personuppgiftsbehandlingen har påbörjats. Om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats, skall uppgifter om den enskilde som registrerats utplånas ur registret.

Allmänna frågor och bestämmelser

Allmänna bestämmelser om information

Den som är personuppgiftsansvarig enligt patientdatalagen skall se till att den registrerade får information om personuppgiftsbehandlingen. Personuppgiftslagens bestämmeler om information gäller även vid behandling av personuppgifter enligt patientdatalagen. I 25 § personuppgiftslagen anges vilken information som den personuppgiftsansvarige självmant skall lämna till den registrerade. Denna informationsskyldighet preciseras i patientdatalagen.

Informationen skall innehålla upplysningar om vem som är personuppgiftsansvarig, ändamålet med behandlingen och vilka kategorier av uppgifter som behandlas. Informationen skall även innehålla upplysningar om den uppgiftsskyldighet som kan följa av lag eller förordning, de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen, rätten att i vissa fall begära att uppgifter spärras, rätten att få information om den direktåtkomst och elektroniska åtkomst som förekommit till uppgifter, rätten att ta del av uppgifter enligt 26 § personuppgiftslagen, rätten enligt 28 § samma lag till rättelse av oriktiga eller missvisande uppgifter och rätten enligt 48 § samma lag till skadestånd. Vidare skall informationen innehålla upplysningar om vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling samt vad som gäller i fråga om bevarande och gallring. Slutligen skall informationen innehålla upplysningar om huruvida behandlingen är frivillig eller inte.

Information vid sammanhållen journalföring

I det fall en vårdgivare deltar i ett sammanhållet journalföringssystem skall den registrerade även informeras om vad den sammanhållna journalföringen innebär och om att han eller hon kan motsätta sig att hans eller hennes patientuppgifter görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.

Information om personuppgiftsbehandling i nationella och regionala kvalitetsregister

Den enskilde skall informeras om personuppgiftsbehandlingen i ett nationellt eller regionalt kvalitetsregister. Denna informationsskyldighet följer av patientdatalagens allmänna bestämmelse om information som skall lämnas den enskilde och av personuppgiftslagen. Därutöver föreslås att den registrerade särskilt skall upplysas om sin rätt att när som helst få uppgifter om sig själv utplånade från registret. Vidare skall den enskilde informeras om i vilken utsträckning personuppgiftsbehandlingen avser uppgifter inhämtade från annan källa än patientjournalen eller patienten själv, t.ex. om uppgifter inhämtas genom samkörning med andra register. Dessutom föreslås att den registrerade särskilt skall informeras om till vilka kategorier av mottagare personuppgifter kan komma att lämnas ut, t.ex. att det kan bli aktuellt att uppgifterna lämnas ut för forskningsändamål. Informationen skall lämnas innan personuppgiftsbehandlingen påbörjas eller, om det inte är möjligt, så snart det kan ske.

Rättelse

Personuppgiftslagens bestämmelser om rättelse gäller vid sådan behandling av personuppgifter som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som sker enligt patientdatalagen. I sistnämnda lag görs en hänvisning till personuppgiftslagens regler om rättelse.

När det gäller rättelse av uppgifter i journalhandlingar har patientdatalagens bestämmelser om rättelse av journaluppgifter företräde.

Skadestånd

Personuppgiftslagens bestämmelser om skadestånd gäller vid sådan behandling av personuppgifter som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som utförts i strid mot patientdatalagens bestämmelser om personuppgiftsbehandling. I sistnämnda lag görs en hänvisning till personuppgiftslagens regler om skadestånd.

Säkerhet

Personuppgiftslagens bestämmelser om säkerheten vid behandling och tillsynsmyndighetens befogenheter gäller också när personuppgifter behandlas enligt patientdatalagen. Därutöver anges i patientdatalagen vilka säkerhetsåtgärder som i vissa fall skall vidtas. Bestämmelser av sistnämnt slag rör bl.a. tilldelningen av behörighet för elektronisk åtkomst och kontrollen av denna.

Tillsynsmyndigheter

Datainspektionen är tillsynsmyndighet även då personuppgifter behandlas enligt patientdatalagen. Tillsynen över att journalföring sker på föreskrivet sätt skall dock alltjämt utövas av Socialstyrelsen.

Ikraftträdande- och övergångsbestämmelser

Patientdatalagen och de ändringar i andra författningar som föreslås skall träda i kraft den 1 januari 2008.

När patientdatalagen träder i kraft skall patientjournallagen och vårdregisterlagen upphöra att gälla.

Patientdatalagens bestämmelser om nationella och regionala kvalitetsregister skall inte börja tillämpas förrän den 1 januari 2009 i fråga om sådana kvalitetsregister som börjat föras före patientdatalagens ikraftträdande. Vidare skall bestämmelserna om den enskildes rätt att motsätta sig personuppgiftsbehandling i sådana kvalitetsregister och om information om sådan personuppgiftsbehandling inte gälla beträffande sådana personuppgifter som behandlats före den 1 januari 2009.

Förslaget till lag om ändring av sekretesslagen

Vi föreslår, som sagts ovan, att det införs en sekretessbrytande bestämmelse som i praktiken undanröjer hälso- och sjukvårdssekretessen mellan olika myndigheter inom hälso- och sjukvården i samma landsting eller kommun. Syftet med undantaget är att sekretesslagstiftningen inte skall hindra organisationsförändringar inom hälso- och sjukvården. Undantaget gör det möjligt för exempelvis ett landsting att fritt välja sin organisation utan hänsyn till att sekretess i princip råder mellan myndigheter och kommer också att öka möjligheterna till verksamhetsuppföljning baserad på patientdata. Undantaget har tagits in i en ny paragraf, 7 kap. 1 d §, i sekretesslagen (1980:100).

Sammanhållen journalföring innebär, som sagts ovan, att myndigheter inom hälso- och sjukvården och privata vårdgivare under vissa förutsättningar kan få direktåtkomst till varandras elektroniska journalhandlingar och andra personuppgifter som behandlas för ändamål som rör vårddokumentation. För att den vårdgivare som gör uppgifter tillgängliga för andra vårdgivare vid sammanhållen journalföring inte skall behöva göra någon sekretessprövning i varje enskilt fall, föreslås ett undantag i den nya paragrafen 7 kap. 1 d § sekretesslagen från hälso- och sjukvårdssekretessen. Undantaget innebär att sekretessen inte hindrar att en uppgift lämnas till en myndighet inom hälso- och sjukvården eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen. Skyddet för den enskildes personliga integritet vid sammanhållen journalföring är tillgodosett genom patientdatalagens regler om bl.a. patientens inflytande vid sådan journalföring. Något motsvarande undantag som det i sekretesslagen behövs inte för den enskilda hälso- och sjukvården.

Ett undantag från hälso- och sjukvårdssekretessen föreslås också i 7 kap. 1 d § sekretesslagen som gör det möjligt att lämna uppgifter till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen

Vi har gjort den bedömningen att det av patientsäkerhetsskäl behövs en bestämmelse om sekretessgenombrott inom vård- och omsorgsområdet för att en enskild skall kunna få nödvändig vård, omsorg etc. Vi föreslår därför att det införs ett undantag från hälso- och sjukvårdssekretessen som innebär att sekretess inte hindrar att en uppgift om en enskild som behövs för att han eller hon skall få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område. En förutsättning för sådant uppgiftslämnande är att den enskilde på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att uppgiften lämnas ut. Undantaget får inte tillämpas rutinmässigt. Då det i enskilda fall används, skall det ske med urskillning och varsamhet. Den enskildes samtycke skall i första hand utverkas. Undantagsbestämmelsen har tagits in i 7 kap. 1 d § sekretesslagen.

För att möjliggöra kvalitetsregisterförares långtidsuppföjning av vårdkvalitet, föreslås en utvidgning av undantagen från den absoluta statistiksekretessen i 9 kap. 4 § sekretesslagen att omfatta också uppgift om avlidna och som rör dödsorsak eller dödsdatum. Sådana uppgifter föreslås få lämnas ut för ändamålet kvalitetssäkring av hälso- och sjukvård som bedrivs genom nationella eller regionala kvalitetsregister, om det står klart att ett utlämnande kan ske utan att den enskilde eller någon närstående till den enskilde lider skada eller men.

En del ytterligare ändringar av i huvudsak redaktionell art föreslås i sekretesslagen.

Andra ändringsförslag

Våra förslag föranleder en del följdändringar i lagen (2001:499) om omskärelse av pojkar, lagen (2002:297) om biobanker i hälso- och sjukvården m.m. och lagen (2005:225) om rättsintyg i anledning av brott.

» Se alla betänkanden med Sören Öman

Sören Öman
» CV
» Föredrag
» Skrifter

Sören Öman har synner­ligen om­fattande och bred erfaren­het av offent­liga utred­ningar. Sedan början av 1990-talet har han i princip kontinuer­ligt an­litats för sådana utred­ningar av regeringar och ministrar med varierande politisk färg. Han har med­verkat i flera parla­men­tariska kommittéer, där politiker är leda­möter, och dess­utom många gånger själv utsetts till sär­skild utredare. Sören Öman har hittills gjort eller med­verkat i 24 offent­liga utred­ningar som av­givit 29 betänkanden om totalt 10 050 sidor och därvid sam­arbetat med 324 andra med­verkande.

Sören Öman är ord­förande i Arbets­domstolen. Han är också skilje­man, före­läsare och för­fattare. Han har lång er­faren­het från ar­bete i Regerings­kansliet och om­fattande erfaren­het av ut­red­ningar inom olika juridiska om­råden, såsom arbets­rätt och data­skydd.