Post 331 av 739 träffar
Behandling av personuppgifter vid antalsberäkning inför klinisk forskning Prop. 2022/23:31
Ansvarig myndighet: Utbildningsdepartementet
Dokument: Prop. 31
Regeringens proposition
2022/23:31
Behandling av personuppgifter vid antalsberäkning inför klinisk forskning
Prop.
2022/23:31
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 8 december 2022
Ulf Kristersson
Mats Persson
(Utbildningsdepartementet)
Propositionens huvudsakliga innehåll
I propositionen föreslås ändringar i patientdatalagen (2008:355), som innebär ett tydligt rättsligt stöd för den personuppgiftsbehandling som är nödvändig vid s.k. antalsberäkning inför klinisk forskning. Sådan beräkning innebär att på förfrågan inför planerad klinisk forskning beräkna hur många personer som uppfyller vissa i förväg uppställda kriterier och som därmed kan komma att ingå i forskningen. Regleringen kommer att gälla vid alla vårdgivares behandling av personuppgifter vid antalsberäkning inom hälso- och sjukvården och i nationella och regionala kvalitetsregister.
Lagändringarna föreslås träda i kraft den 1 maj 2023.
Innehållsförteckning
1 Förslag till riksdagsbeslut 3
2 Förslag till lag om ändring i patientdatalagen (2008:355) 4
3 Ärendet och dess beredning 8
4 Det rättsliga stödet för personuppgiftsbehandling vid antalsberäkning inför klinisk forskning behöver förtydligas 9
5 Gällande rätt 13
5.1 Vårdgivares medverkan vid planering av forskning 13
5.2 Det finns EU-rättsliga och nationella bestämmelser om personuppgiftsbehandling 13
5.3 Det finns bestämmelser om sekretess och tystnadsplikt för personuppgifter som behandlas vid antalsberäkning 22
6 Personuppgiftsbehandling vid antalsberäkning inför klinisk forskning ska regleras 25
6.1 Personuppgiftsbehandling vid antalsberäkning ska regleras i patientdatalagen 25
6.2 Det behövs ytterligare skyddsåtgärder vid antalsberäkning inför klinisk forskning 40
6.3 De enskildas integritet skyddas 50
7 Ikraftträdande- och övergångsbestämmelser 52
8 Konsekvenser av förslaget 53
9 Författningskommentar 55
Bilaga 1 Sammanfattning av betänkandet Personuppgiftsbehandling vid antalsberäkning inför klinisk forskning (SOU 2020:53) 59
Bilaga 2 Betänkandets lagförslag 63
Bilaga 3 Förteckning över remissinstanserna 66
Bilaga 4 Lagrådsremissens lagförslag 67
Bilaga 5 Lagrådets yttrande 71
Utdrag ur protokoll vid regeringssammanträde den 8 december 2022 72
1
Förslag till riksdagsbeslut
Regeringens förslag:
Riksdagen antar regeringens förslag till lag om ändring i patientdatalagen (2008:355).
2 Förslag till lag om ändring i patientdatalagen (2008:355)
Härigenom föreskrivs i fråga om patientdatalagen (2008:355)
dels att 1 kap. 3 §, 2 kap. 4 § och 7 kap. 5 § ska ha följande lydelse,
dels att det ska införas en ny paragraf, 5 kap. 7 §, och närmast före 5 kap. 7 § en ny rubrik av följande lydelse.
Lydelse enligt SFS 2022:915
1 kap.
3 §
I denna lag används följande uttryck med nedan angiven betydelse
Uttryck
Betydelse
Hälso- och sjukvård
Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter, lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar samt den upphävda lagen (1944:133) om kastrering.
Journalhandling
Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder.
Patientjournal
En eller flera journalhandlingar som rör samma patient.
Vårdgivare
Statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).
Föreslagen lydelse
3 §
I denna lag används följande uttryck med nedan angiven betydelse.
Uttryck
Betydelse
Antalsberäkning inför klinisk forskning
Beräkning som på förfrågan av forskare inför planerad klinisk forskning görs av hur många personer som uppfyller vissa i förväg uppställda kriterier och som därmed kan komma att ingå i forskningen.
Hälso- och sjukvård
Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter, lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar samt den upphävda lagen (1944:133) om kastrering.
Journalhandling
Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller in-kommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder.
Patientjournal
En eller flera journalhandlingar som rör samma patient.
Vårdgivare
Statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).
Uttryck
Betydelse
Antalsberäkning inför klinisk forskning
Beräkning som på förfrågan av forskare inför planerad klinisk forskning görs av hur många personer som uppfyller vissa i förväg uppställda kriterier och som därmed kan komma att omfattas av forskningen.
Hälso- och sjukvård
Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter, lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar samt den upphävda lagen (1944:133) om kastrering.
Journalhandling
Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder.
Patientjournal
En eller flera journalhandlingar som rör samma patient.
Vårdgivare
Statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).
Nuvarande lydelse
Föreslagen lydelse
2 kap.
4 §
Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för
1. att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,
2. administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall,
3. att upprätta annan dokumentation som följer av lag, förordning eller annan författning,
4. att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten,
5. administration, planering, uppföljning, utvärdering och tillsyn av verksamheten, eller
5. administration, planering, uppföljning, utvärdering och tillsyn av verksamheten,
6. att framställa statistik om hälso- och sjukvården.
6. att framställa statistik om hälso- och sjukvården, eller
7. antalsberäkning inför klinisk forskning.
I 7 kap. 4 och 5 §§ finns särskilda bestämmelser om ändamålen med behandling av personuppgifter i nationella och regionala kvalitetsregister.
5 kap.
Utlämnande av resultatet efter antalsberäkning inför klinisk forskning
7 §
Resultatet av antalsberäkning inför klinisk forskning får lämnas ut till den som gjort förfrågan endast i form av uppgift om det antal personer som uppfyller de i förväg uppställda kriterierna. Resultatet får anges med ett exakt antal eller som ett intervall.
7 kap.
5 §
Personuppgifter som behandlas för de ändamål som anges i 4 § får också behandlas för ändamålen
1. framställning av statistik,
2. antalsberäkning inför klinisk forskning,
2. forskning inom hälso- och sjukvården,
3. forskning inom hälso- och sjukvården,
3. utlämnande till den som ska använda uppgifterna för ändamål som anges i 1 och 2 eller i 4 §, och
4. utlämnande till den som ska använda uppgifterna för ändamål som anges i 1 och 3 eller i 4 §, och
4. fullgörande av någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen (2009:400).
5. fullgörande av någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen (2009:400).
Denna lag träder i kraft den 1 maj 2023.
3 Ärendet och dess beredning
En rad olika aktörer inom life science-sektorn har framhållit att det råder osäkerhet kring det rättsliga stödet för personuppgiftsbehandling som sker vid antalsberäkning inför klinisk forskning. Frågan om rättsligt stöd för antalsberäkning har belysts av Utredningen om rätt information i vård och omsorg i dess slutbetänkande Rätt information på rätt plats i rätt tid (SOU 2014:23). Denna utredning föreslog bland annat att behandling av personuppgifter för antalsberäkning och identifiering av möjliga deltagare för forskning inom hälso- och sjukvården skulle tas in i en ändamålsbestämmelse i en av utredningen föreslagen hälso- och sjukvårdsdatalag. Förslaget har inte lett till lagstiftning.
Vetenskapsrådet inkom i december 2017 med en begäran om lagstöd för personuppgiftsbehandling vid antalsberäkning och pre-screening till Utbildningsdepartementet.
I augusti 2018 beslutade regeringen att inrätta en kommitté inriktad på tvärsektoriell policyutveckling. Kommittén har i uppdrag att bistå regeringen i arbetet med att identifiera policyutmaningar, bidra till att minska osäkerheten kring gällande regler och påskynda policyutveckling kopplad till den fjärde industriella revolutionens teknologier inom inledningsvis tillämpningsområdena precisionsmedicin, uppkopplad industri samt uppkopplade och automatiserade fordon, farkoster och system (dir. 2018:85). Kommittén, som har tagit sig namnet Kommittén för teknologisk innovation och etik, i det följande kallad KOMET, och som genom tilläggsdirektiv ska slutredovisa ett ändrat uppdrag senast den 31 december 2022 (dir. 2021:1), lämnande i september 2020 sitt delbetänkande Personuppgiftsbehandling vid antalsberäkning inför klinisk forskning (SOU 2020:53). En sammanfattning av betänkandet finns i bilaga 1 och betänkandets lagförslag finns i bilaga 2.
Betänkandet har remissbehandlats och en förteckning över remissinstanserna redovisas i bilaga 3. Remissvaren finns tillgängliga på regeringen.se. En sammanställning av remissyttrandena finns tillgänglig i Utbildningsdepartementet (U2022/02692).
Betänkandets förslag har behandlats i en lagrådsremiss. Under beredningen av lagrådsremissen bereddes Integritetsskyddsmyndigheten (IMY) tillfälle att yttra sig över ett utkast till lagrådsremiss, vars förslag i allt väsentligt överensstämmer med förslagen i propositionen. IMY inkom med synpunkter som behandlas i avsnitt 6.2. Synpunkterna finns tillgängliga i Utbildningsdepartementet (U2022/02692).
Lagrådet
Regeringen beslutade den 18 augusti 2022 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 4. Lagrådets yttrande finns i bilaga 5. Lagrådets synpunkter behandlas i författningskommentaren (avsnitt 9).
I förhållande till lagrådsremissen har några språkliga och redaktionella ändringar gjorts.
4 Det rättsliga stödet för personuppgiftsbehandling vid antalsberäkning inför klinisk forskning behöver förtydligas
Klinisk forskning förutsätter antalsberäkningar
Klinisk forskning är en förutsättning för en modern och god vård. Den kunskapsutveckling som sker genom klinisk forskning möjliggör att ny diagnostik och bättre och mer effektiva behandlingsmetoder utvecklas. Detta i sin tur bidrar till att svenska vårdtagare kan erbjudas en modern hälso- och sjukvård av hög kvalitet. Klinisk forskning är också viktig för Sveriges ekonomiska välstånd. En av regeringens målsättningar inom life-science-området, vilket omfattar klinisk forskning, är att mer klinisk forskning som bedrivs i samarbete med näringslivet ska förläggas till Sverige (En nationell strategi för life science, N2019/03157).
Den kliniska forskningen förutsätter vårdens strukturer och resurser, utgår från de behov som finns i hälso- och sjukvården och förväntas leda till patient- och samhällsnytta. Inom klinisk forskning studeras bland annat vilka besvär som människor med en viss sjukdom har, hur träffsäkert ett diagnostiskt test är och vilken behandling som är mest effektiv. Klinisk forskning kan utföras av forskare med anställning vid bl.a. universitet, inom hälso- och sjukvården eller vid företag.
Innan klinisk forskning kan påbörjas behöver forskaren veta hur många potentiella deltagare som finns. Det kan till exempel vara hur många patienter som har en viss sjukdom och som under sjukdomens förlopp har genomgått en viss behandling. Detta gäller oavsett om den forskning som planeras ska genomföras inom ett lärosäte, inom en region eller vid ett företag. Att ta reda på hur många möjliga deltagare som finns benämns antalsberäkning.
Med antalsberäkning inför klinisk forskning avses i denna proposition sådan beräkning som på förfrågan inför planerad klinisk forskning görs för att beräkna hur många personer som uppfyller vissa i förväg uppställda kriterier och därmed kan komma att omfattas av forskningen.
Antalsberäkning innefattar behandling av personuppgifter
Vid antalsberäkning inför klinisk forskning behandlas personuppgifter. Den generella regleringen av personuppgiftsbehandling inom EU finns i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning eller dataskyddsförordningen. Den är i alla delar bindande och direkt tillämplig i samtliga EU:s medlemsländer. Förordningen kompletteras i Sverige av bl.a. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen. Dataskyddslagen är subsidiär till annan lag eller förordning. Det innebär att bestämmelser om behandling av personuppgifter som finns i sektorsspecifika lagar och förordningar och som avviker från dataskyddslagen har företräde (1 kap. 6 § dataskyddslagen).
Anpassningen av svensk rätt till dataskyddsförordningen på forskningsområdet behandlades i propositionen Behandling av personuppgifter för forskningsändamål (prop. 2017/18:298). I den föreslogs bl.a. nödvändiga ändringar i lagen (2003:460) om etikprövning av forskning som avser människor, här benämnd etikprövningslagen. Etikprövningslagen tillämpas bl.a. på forskning som innefattar behandling av personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning, dvs. särskilda kategorier av personuppgifter, bl.a. uppgifter om hälsa, eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (3 §). Med särskilda kategorier av uppgifter, som i dataskyddslagen benämns känsliga personuppgifter (3 kap. 1 §), avses personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (artikel 9 EU:s dataskyddsförordning). Användningen av termen ras i EU:s dataskyddsförordning innebär inte att unionen godtar teorier som söker fastställa förekomsten av skilda människoraser (skäl 51 i EU:s dataskyddsförordning). Vid antalsberäkning inför klinisk forskning behöver man behandla känsliga personuppgifter om framför allt hälsa.
Det finns ett principiellt förbud mot att behandla särskilda kategorier av uppgifter i artikel 9.1 dataskyddsförordningen. I artikel 9.2 finns dock ett antal undantag från det förbudet, bl.a. för behandling av personuppgifter som är nödvändig för vetenskapliga forskningsändamål. Enligt 6 § etikprövningslagen får forskning som innefattar behandling av känsliga personuppgifter utföras bara om den har godkänts vid en etikprövning. Ett godkännande får förenas med villkor. Ett godkännande ska avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. Som närmare utvecklas nedan görs dock antalsberäkning inför klinisk forskning i steget innan en forskare ansöker om etikprövningstillstånd. Sådan beräkning görs inom hälso- och sjukvården, vars personuppgiftsbehandling regleras av patientdatalagen (2008:355). I den lagen anges bland annat för vilka ändamål en vårdgivare kan behandla personuppgifter inom sin verksamhet.
Antalsberäkning görs innan forskning påbörjas
Antalsberäkning gör det möjligt för forskaren att initialt bilda sig en uppfattning om hur många personer som potentiellt uppfyller vissa uppställda kriterier och därmed skulle kunna delta i en forskningsstudie där man önskar besvara en specifik frågeställning. Det sker genom att en förfrågan ställs till en vårdgivare, som gör en beräkning av hur många bland vårdgivarens patienter som uppfyller kriterierna och lämnar en uppgift om antalet till forskaren För att möjliggöra ett realistiskt studieupplägg görs antalsberäkning innan prövning om etiskt godkännande och annan prövning av forskningsstudien utförts och godkänts. Det innebär att antalsberäkningen oftast görs under idésteget eller vid planeringen, men innan den kliniska forskningen har påbörjats. I detta tidiga skede behöver forskaren en uppfattning om antal möjliga forskningspersoner, men inte några närmare uppgifter om vilka personerna är eller närmare information om respektive individ.
För att kunna planera forskningsstudien krävs en uppskattning av antalet personer som motsvarar en viss uppsättning inklusions- och exklusionskriterier. Exempel på inklusionskriterier kan vara en viss sjukdom, att personen behandlas med ett visst läkemedel eller har genomgått en viss åtgärd inom hälso- och sjukvården. Exklusionskriterier är kriterier som en person inte får uppfylla för att delta i en klinisk studie. Oftast behöver uppgifterna om antal inte vara helt exakta. I många fall räcker det att veta ett intervall, till exempel om det finns färre än fem personer, mellan fem och tio personer, mellan tio och tjugo personer eller fler än femtio möjliga deltagare. För att kunna göra antalsberäkning är det nödvändigt att behandla personuppgifter som ofta rör en persons hälsa, dvs. känsliga personuppgifter. I en vårdgivares verksamhet kan dessa uppgifter till exempel finnas i patientjournaler eller i kvalitetsregister. Vårdgivaren är personuppgiftsansvarig för behandling av sådana personuppgifter och ska säkerställa att all behandling är förenlig med gällande rätt. I patientdatalagen anges bland annat för vilka ändamål en vårdgivare kan behandla personuppgifter inom sin verksamhet.
Tekniken inom så kallad maskininlärning och artificiell intelligens utvecklas snabbt. Flera frågeställningar kopplade till personuppgiftsbehandling vid antalsberäkning kan komma att aktualiseras med anledning av en ökande användning av artificiell intelligens inom hälso- och sjukvården. Oavsett om antalsberäkningarna görs av en människa eller via en automatiserad aktivitet, ligger dock ansvaret för att personuppgiftsbehandlingen görs på ett korrekt sätt på den personuppgiftsansvariga.
Många olika intressenter berörs av antalsberäkning
Flera olika intressenter berörs av personuppgiftsbehandling vid antalsberäkning. Förutom forskaren är en av de centrala intressenterna de personer som träffas av antalsberäkningen då en beräkning sker för att se hur många personer som uppfyller uppställda kriterier. Även den som inom ramen för sin anställning inom hälso- och sjukvården har i uppgift att genomföra antalsberäkningen berörs. Ytterligare intressenter är vårdgivaren, regionen och forskningshuvudmannen, som kan utgöras av universitet och högskolor, företag, särskilt de som är inriktade på läkemedel och medicinsk teknik, samt andra offentliga eller privata organisationer. Därtill berörs medborgare i Sverige och människor globalt, särskilt de som har ett visst medicinskt tillstånd, som riskerar att drabbas av det i framtiden eller är anhörig, samt Sverige som forsknings- och innovationsnation.
Antalsberäkningar hanteras på olika sätt i olika delar av landet
Regioner och vårdgivare hanterar för närvarande antalsberäkning på olika sätt. För att göra en beräkning av hur många personer som har ett visst sjukdomstillstånd behövs ofta tillgång till uppgifter från patientjournaler. Vid vård av patienter ska det föras patientjournal. Syftet med att föra en patientjournal är i första hand att bidra till en god och säker vård av patienten. En patientjournal är även en informationskälla för bl.a. forskning (3 kap. 1 och 2 §§ patientdatalagen). Skyldigheten att föra patientjournal gäller till exempel för dem som har legitimation för ett yrke i hälso- och sjukvården. Vissa av regionerna har publicerat riktlinjer för hur förfrågningar gällande antalsberäkningar från forskningshuvudmän ska hanteras. Hur momentet att behandla personuppgifter specifikt för antalsberäkning går till beskrivs sällan tydligt i riktlinjerna. I de fall det är möjligt att utläsa framträder dock två olika förhållningssätt. I det ena fallet kan så kallad utsökning av patienter ske på uppdrag av verksamhetschefen. Det andra förhållningssättet är att utsökning är en administrativ åtgärd som kan ske genom elektronisk åtkomst till uppgifterna i journalsystemet, vilket utförs av behörig person inom hälso- och sjukvården.
Uppgifter som behövs för antalsberäkningen kan även hämtas från andra källor än patientjournalen, till exempel från kvalitetsregister. Eftersom dessa har olika utformning är även arbetet med registren organiserat på olika sätt i regionerna. Gemensamt för registren är att de är individbaserade och innehåller uppgift om diagnos, insatta åtgärder och resultat. Registren används bland annat för att följa upp patienterna och se effekterna av åtgärder inom hälso- och sjukvården.
Det görs olika bedömningar i frågan om det rättsliga stödet för personuppgiftsbehandling vid antalsberäkning
Att vårdgivare behandlar personuppgifter för antalsberäkning har av Datainspektionen (numera Integritetsskyddsmyndigheten) ansetts falla in under regleringen i patientdatalagen (Datainspektionens beslut 2017-04-10 i ärendet 974-2016). Samtidigt gör regioner och kommuner olika bedömningar i frågan om antalsberäkning omfattas av något av de i lagen uppräknade tillåtna ändamålen för personuppgiftsbehandling. Osäkerhet råder också om en sådan behandling omfattas av något av de undantag från förbudet för behandling av känsliga personuppgifter som räknas upp i artikel 9 i EU:s dataskyddsförordning. Det görs därför olika bedömningar när det gäller frågan om det rättsliga stödet för behandling av personuppgifter vid antalsberäkning. Detta har lett till olika tillämpningar i olika delar av landet.
Som nämnts i avsnitt 3 har frågan om rättsligt stöd för antalsberäkning belysts av Utredningen om rätt information i vård och omsorg i dess slutbetänkande Rätt information på rätt plats i rätt tid (SOU 2014:23). Vid en bedömning av den legala grunden för personuppgiftsbehandlingen framträder enligt utredningen flera alternativa synsätt. Utredningen föreslog att behandling av personuppgifter för antalsberäkning och identifiering av möjliga deltagare för forskning inom hälso- och sjukvården skulle tas in i en ändamålsbestämmelse i en av utredningen föreslagen hälso- och sjukvårdsdatalag. Något motsvarande behov ansågs däremot inte föreligga beträffande sådan personuppgiftsbehandling i nationella eller regionala kvalitetsregister. Utredningsförslagen har inte resulterat i lagstiftning.
Mot denna bakgrund finns det ett behov av att tydliggöra rättsläget. Detta har bland annat framhållits av Datainspektionen (numera Integritetsskyddsmyndigheten), Biobank Sverige och Genomics Medicine Sverige, Institutet för framtidsstudier och Vetenskapsrådet.
I avsnitt 6 lämnas förslag till ändringar i patientdatalagen i syfte att ge ett tydligt rättsligt stöd för antalsberäkningar. Dessförinnan lämnas i avsnitt 5 en kort redogörelse för de i nu aktuellt sammanhang relevanta bestämmelserna i hälso- och sjukvårdslagen (2017:30), dataskyddsförordningen, patientdatalagen, offentlighets- och sekretesslagen (2009:400) och patientsäkerhetslagen (2010:659).
5 Gällande rätt
5.1 Vårdgivares medverkan vid planering av forskning
Hälso- och sjukvårdslagen är den centrala lagen inom hälso- och sjukvården och reglerar hur hälso- och sjukvårdsverksamhet ska organiseras och bedrivas. Lagen gäller för både offentliga och privata vårdgivare och huvudmän (1 kap. 1 §). Med vårdgivare avses statlig myndighet, region, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet (2 kap. 3 §). Med hälso- och sjukvård avses i den lagen åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador, sjuktransporter, och omhändertagande av avlidna. Lagen omfattar dock inte tandvård enligt tandvårdslagen (1985:125).
Regioner och kommuner ska enligt hälso- och sjukvårdslagen medverka vid finansiering, planering och genomförande av dels kliniskt forskningsarbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete. Regioner och kommuner ska i dessa frågor, i den omfattning som behövs, samverka med varandra och med berörda universitet och högskolor (18 kap. 2 §). Någon motsvarande bestämmelse för andra vårdgivare eller huvudmän än regioner och kommuner finns inte i hälso- och sjukvårdslagen.
Viss annan hälso- och sjukvård regleras även i bl.a. tandvårdslagen och lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar. Tandvård bedrivs både av regioner, och benämns då folktandvård (5 § tandvårdslagen), och av privata vårdgivare. Varken tandvårdslagen eller lagen om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar innehåller bestämmelser om vårdgivares medverkan vid planering eller genomförande av forskning.
5.2 Det finns EU-rättsliga och nationella bestämmelser om personuppgiftsbehandling
EU:s dataskyddsförordning syftar till att skydda grundläggande rättigheter och friheter vid behandling av personuppgifter och att säkerställa det fria flödet av personuppgifter mellan medlemsstaterna. Som nämnts i avsnitt 4 kompletteras dataskyddsförordningen i Sverige av bl.a. dataskyddslagen, som är subsidiär i förhållande till annan lag eller förordning, t.ex. patientdatalagen. Nedan lämnas en kort redogörelse för de i nu aktuellt sammanhang relevanta bestämmelserna i EU:s dataskyddsförordning och patientdatalagen.
Det krävs en rättslig grund för att kunna behandla personuppgifter
Behandling av personuppgifter som faller under dataskyddsförordningens tillämpningsområde får bara ske om det finns en tillämplig rättslig grund. De rättsliga grunderna regleras i artikel 6.1 i EU:s dataskyddsförordning och är
* samtycke (6.1 a),
* avtal (6.1 b),
* rättslig förpliktelse (6.1 c),
* skydd av vissa intressen (6.1 d),
* uppgift av allmänt intresse och myndighetsutövning (artikel 6.1 e), och
* intresseavvägning (artikel 6.1 f).
Om det inte finns någon rättslig grund är behandlingen inte laglig och får därmed inte utföras. Som framgår nedan kan dock i vissa fall personuppgifter vidarebehandlas för ändamål som är förenliga med de ändamål för vilka personuppgifterna ursprungligen behandlas. I så fall krävs inte någon annan separat rättslig grund.
De olika rättsliga grunderna är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behandling.
Utrymmet för att myndigheter ska kunna basera en behandling av personuppgifter på den rättsliga grunden samtycke är begränsat (skäl 43 till dataskyddsförordningen). Det är vidare inte tillåtet för myndigheter att behandla personuppgifter med stöd av den rättsliga grunden intresseavvägning. De rättsliga grunderna rättslig förpliktelse, uppgift av allmänt intresse och myndighetsutövning ska vidare fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt (artikel 6.3). Den rättsliga grunden ska vara tydlig och precis och dess tillämpning bör vara förutsägbar för de personer som omfattas av den (skäl 41 till EU:s dataskyddsförordning).
Den rättsliga grund som bedöms vara aktuell när det gäller hälso- och sjukvård är uppgift av allmänt intresse, såväl för offentliga som privata vårdgivare. Även när det gäller klinisk forskning bedöms den rättsliga grunden vara uppgift av allmänt intresse, såväl för universitet och högskolor, kommuner och regioner som för privata forskningsutförare (se nedan). Även i fråga om antalsberäkning bedöms den rättsliga grunden vara uppgift av allmänt intresse eller, när det gäller vissa privata vårdgivare, intresseavvägning (se nedan).
Närmare om den rättsliga grunden uppgift av allmänt intresse
I propositionen Ny dataskyddslag (prop. 2017/18:105) framför regeringen att begreppet uppgift av allmänt intresse måste ges en vid betydelse. Att den rättsliga grunden ska vara fastställd innebär att uppgiften av allmänt intresse måste ha stöd i rättsordningen. Alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är enligt uttalanden i förarbetena av allmänt intresse. Om uppgifterna inte vore av allmänt intresse skulle myndigheterna inte ha ålagts att utföra dem. Detta måste även gälla i dataskyddsförordningens mening, eftersom det är upp till varje medlemsstat att fastställa de uppgifter som är av allmänt intresse (prop. 2017/18:105 s. 56 och 57).
Som nämnts ovan krävs enligt dataskyddsförordningen att den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e är fastställd i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Detta innebär inte att det krävs en reglering i den nationella rätten av själva personuppgiftsbehandlingen, utan det som måste ha stöd i rättsordningen är i stället uppgiften av allmänt intresse (prop. 2017/18:105 s. 48 och 49). Myndigheternas uppdrag och åligganden framgår av lagar, förordningar och andra regeringsbeslut. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har därmed i sig en legal grund, som har offentliggjorts genom tydliga, precisa och förutsebara regler (prop. 2017/18:105 s. 57).
Vidare ska unionsrätten eller medlemsstaternas nationella rätt uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas (dataskyddsförordningen artikel 6.3). I propositionen konsta-teras att bestämmelsen motsvarar det krav som Europakonventionen ställer på lagstiftaren i en rättsstat. Utgångspunkten bör därför vara att det kravet är uppfyllt i fråga om bl.a. de uppgifter av allmänt intresse som fastställs i enlighet med svensk rätt (prop. 2017/18:105 s. 50).
För att behandling av personuppgifter ska vara tillåten enligt artikel 6.1 e i EU:s dataskyddsförordning krävs också att behandlingen är nödvändig för att utföra uppgiften av allmänt intresse (artikel 6.3). Detta ska enligt uttalanden i propositionen Ny dataskyddslag inte tolkas som att uppgiften av allmänt intresse måste vara avgränsad så att den bara kan utföras på ett sätt. Den metod som den personuppgiftsansvarige väljer för att utföra sin uppgift måste dock - som all offentlig förvaltning - vara ändamålsenlig, effektiv och proportionerlig och får därmed inte medföra ett onödigt intrång i enskildas privatliv. Kravet på att ändamålet ska vara nödvändigt för att utföra en uppgift av allmänt intresse innebär i sig en spärr mot helt onödig behandling av personuppgifter eller sådan behandling som utgör ett oproportionerligt intrång i privatlivet som inte kunnat förutses (prop. 2017/18:105 s. 60).
Ovanstående ligger till grund för 2 kap. 2 § 1 dataskyddslagen, där det anges att personuppgifter får behandlas med stöd av artikel 6.1 e i EU:s dataskyddsförordning om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.
I propositionen Behandling av personuppgifter för forskningsändamål (prop. 2017/18:298 s. 33, 43-56) konstaterar regeringen att presumtionen bör vara att uppgiften att forska är en uppgift av allmänt intresse i dataskyddsförordningens mening. Regeringen gör också i fråga om den rättsliga grunden uppgift av allmänt intresse bedömningen att för universitet och högskolor med staten som huvudman är uppgiften att forska fastställd i svensk rätt genom bestämmelser i högskolelagen (1992:1434). För andra statliga myndigheter som har en tydligt författningsreglerad uppgift att bedriva forskning, är också forskningsuppgiften fastställd i svensk rätt. Dessa forskningsutförare kan därmed tillämpa den rättsliga grunden uppgift av allmänt intresse i EU:s dataskyddsförordning vid behandling av personuppgifter som är nödvändig för att utföra forskningen. När det gäller kommuner och regioner kan forskningsuppgiften vara fastställd i nationell rätt genom beslut om verksamheten i kommunen som har fattats i enlighet med bestämmelserna i kommunallagen. Om så är fallet kan de tillämpa den rättsliga grunden uppgift av allmänt intresse vid behandling av personuppgifter som är nödvändig för att utföra forskningen. En privaträttslig forskningsutförares forskningsuppgift är fastställd i enlighet med nationell rätt bl.a. om det krävs tillstånd för forskningsprojektet enligt t.ex. etikprövningslagen och forskningsutföraren har fått de tillstånd som krävs (se 2 kap. 2 § 1 dataskyddslagen). I förarbetena till etikprövningslagen har regeringen som utgångspunkt för den prövning som ska ske vid en etikprövning av forskning bl.a. angivit att som ett allmänt krav på forskning där människor ska ingå, bör gälla att forskningen ska kunna innebära teoretisk och/eller praktisk nytta för samhället och mänskligheten i stort (propositionen Etikprövning av forskning, prop. 2002/03:50 s. 98). I etikprövningslagen anges bl.a. att mänskliga rättigheter alltid ska beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning samt att människors välfärd ska ges företräde framför samhällets och vetenskapens behov (8 §). I 9 § anges att forskning får godkännas bara om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde. Ett beslut om godkännande av ett forskningsprojekt enligt etikprövningslagen innebär således att forskningen bedömts vara till nytta för samhället. Ett forskningsprojekt som godkänts enligt etikprövningslagen får därmed anses vara en uppgift av allmänt intresse. När det gäller klinisk forskning krävs det alltid - oavsett om forskningen utförs av universitet, högskolor, kommuner, regioner eller privata forskningsutförare - ett tillstånd enligt etikprövningslagen för att få utföra forskningen, varför klinisk forskning alltid är att anses som en uppgift av allmänt intresse.
Som framgår av avsnitt 5.1 har kommuner och regioner till uppgift att medverka vid finansiering, planering och genomförande av bl.a. kliniskt forskningsarbete på hälso- och sjukvårdens område (18 kap. 2 § hälso- och sjukvårdslagen). Detta innefattar uppgiften att utföra antalsberäkningar inför klinisk forskning.
En privaträttslig aktör som fullgör ett uppdrag från en myndighet som avser en sådan uppgift som är fastställd i bl.a. författning, kan vidta nödvändiga behandlingsåtgärder på samma rättsliga grund som om myndigheten själv utfört uppgiften, dvs. med stöd av artikel 6.1 e i EU:s dataskyddsförordning. Uppgift av allmänt intresse kan därför vara en tillämplig rättslig grund för den antalsberäkning som sker hos såväl regioner och kommuner som hos sådana privata vårdgivare som bedriver hälso- och sjukvårdsverksamhet på uppdrag av regioner och kommuner.
Privaträttsliga aktörer som inte bedriver hälso- och sjukvårdsverksamhet på uppdrag av regioner och kommuner, dvs. i de fall grunden för behandlingen inte har fastställts i unionsrätten eller nationell rätt, kan inte åberopa grunden uppgift av allmänt intresse. En uppgift som bedöms vara av allmänt intresse men som inte har fastställts i unionsrätten eller nationell rätt, bör dock i många fall kunna anses vara ett berättigat intresse enligt artikel 6.1 f (prop. 2017/18:298 s. 39).
Vissa grundläggande principer för behandling av personuppgifter måste följas
Det finns ett antal principer som ska tillämpas vid all behandling av personuppgifter. Principerna framgår av artikel 5 i EU:s dataskyddsförordning. Det är principerna om laglighet, korrekthet och öppenhet (5.1 a), ändamålsbegränsning (5.1 b), uppgiftsminimering (5.1 c), riktighet (5.1 d) lagringsminimering (5.1 e) och integritet och konfidentialitet (5.1 f).
Principen om ändamålsbegränsning i artikel 5.1 b innebär att uppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen. Principen att personuppgifter inte får behandlas för ändamål som är oförenliga med det ursprungliga ändamål som uppgifterna samlats in för benämns finalitetsprincipen.
I skäl 50 i EU:s dataskyddsförordning anges att behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in endast bör vara tillåten när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I skälen klargörs att i dessa fall krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig.
Det är den personuppgiftsansvarige som ansvarar för och ska kunna visa att principerna i artikel 5 efterlevs. Med personuppgiftsansvarig avses en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter (artikel 4.7). En vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I en region och en kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför (2 kap. 6 § patientdatalagen).
Säkerhet
Det finns särskilda bestämmelser om säkerhet i samband med behandling av personuppgifter i artikel 32 i EU:s dataskyddsförordning. Enligt den artikeln ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt, vissa i artikeln angivna åtgärder. I det arbetet ska den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter beaktas.
I artikel 89.1 anges vidare att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När dessa ändamål kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska dessa ändamål uppfyllas på det sättet.
I skäl 156 anges också att medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.
Behandling av vissa kategorier av uppgifter (känsliga personuppgifter)
Som nämnts i avsnitt 4 ställs det, när det gäller särskilda kategorier av uppgifter, i dataskyddslagen benämnda känsliga personuppgifter (3 kap. 1 §), särskilt höga krav i EU:s dataskyddsförordning för att de ska få behandlas. Enligt artikel 9.1 är det som huvudregel förbjudet att behandla sådana uppgifter. Det finns dock undantag från förbudet i artikel 9.2 a-j. Då det huvudsakligen är känsliga uppgifter om hälsa som behandlas när det är fråga om klinisk forskning återges nedan de undantag i 9.2 som i nu aktuellt sammanhang kan vara relevanta när det gäller sådana uppgifter.
Av artikel 9.2 g följer att behandling av känsliga uppgifter får utföras om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. När det gäller känsliga personuppgifter räcker det således inte att det är fråga om ett allmänt intresse utan för att undantaget i 9.2 g ska vara tillämpligt krävs bl.a. att det är fråga om ett viktigt allmänt intresse.
I dataskyddslagen anges att en myndighet får behandla känsliga uppgifter med stöd av artikel 9.2 g i EU:s dataskyddsförordning
1. om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag,
2. om behandlingen är nödvändig för handläggningen av ett ärende, eller
3. i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § första stycket).
Vid sådan behandling är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter (3 kap. 3 § andra stycket dataskyddslagen).
Enligt ett annat undantag i EU:s dataskyddsförordning, artikel 9.2 h, får känsliga personuppgifter behandlas om behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet och under förutsättning att de villkor och skyddsåtgärder som avses i artikel 9.3 är uppfyllda. Av sistnämnda punkt framgår att känsliga personuppgifter får behandlas för de ändamål som avses i punkt 2 h, när de behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ.
En hänvisning till detta undantag har förts in i 3 kap. 5 § dataskyddslagen. Enligt den bestämmelsen får känsliga personuppgifter behandlas med stöd av artikel 9.2 h i EU:s dataskyddsförordning, om behandlingen är nödvändig för
1. förebyggande hälso- och sjukvård och yrkesmedicin,
2. bedömningen av en arbetstagares arbetskapacitet,
3. medicinska diagnoser,
4. tillhandahållande av hälso- och sjukvård eller behandling,
5. social omsorg, eller
6. förvaltning av hälso- och sjukvårdstjänster, social omsorg samt deras system.
Av andra stycket i paragrafen framgår att behandlingen får ske under förutsättning att kravet på tystnadsplikt i artikel 9.3 i EU:s dataskyddsförordning är uppfyllt.
I artikel 9.2 i finns vidare ett undantag för behandling av känsliga personuppgifter som är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter, på grundval av unionsrätten eller medlemsstaternas nationella rätt, där lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt tystnadsplikt. Enligt skäl 54 bör folkhälsa i detta sammanhang tolkas så att det innefattar alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker.
Slutligen får känsliga personuppgifter enligt artikel 9.2 j behandlas om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Kompletterande bestämmelser om behandling av personuppgifter finns i patientdatalagen
Patientdatalagen tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Hälso- och sjukvård definieras i 1 kap. 3 § patientdatalagen som verksamhet som avses i hälso- och sjukvårdslagen, tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter, lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar samt den upphävda lagen (1944:133) om kastrering. Lagen gäller i tillämpliga delar även uppgifter om avlidna personer (1 kap. 1 § första och andra styckena).
Patientdatalagen innehåller bestämmelser som kompletterar EU:s dataskyddsförordning vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Vid behandling av personuppgifter gäller dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av patientdatalagen (1 kap. 4 § patientdatalagen).
Det finns även bestämmelser i lagen om skyldigheten att föra patientjournal (3 kap.). Vid sidan av det primära syftet - att bidra till en god och säker vård av patienten - är patientjournalen en informationskälla för patienten, för uppföljning och utveckling av verksamheten, för tillsyn och rättsliga krav, för uppgiftsskyldighet enligt lag samt för forskning (3 kap. 2 §). Personuppgifter får, enligt 2 kap. 4 § första stycket, behandlas inom hälso- och sjukvården om det behövs för
1. att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,
2. administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall,
3. att utföra viss personuppgiftsbehandling för att fullgöra författningsreglerad uppgiftsskyldighet till andra myndigheter,
4. att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten,
5. administration, planering, uppföljning, utvärdering och tillsyn av verksamheten, eller
6. att framställa statistik om hälso- och sjukvården.
Den enskilde kan inte motsätta sig att hans eller hennes uppgifter används för de ändamål som nu angetts (2 kap. 2 §). Av första punkten framgår att personuppgifter får behandlas för att fullgöra de skyldigheter som anges i 3 kap., dvs. skyldigheten att föra patientjournal. Vid denna personuppgiftsbehandling ska vårdgivaren även beakta omständigheten att patientjournalen är en informationskälla för forskning. Grunden för att sedan behandla insamlade personuppgifter för forskningsändamål återfinns i 2 kap. 5 § patientdatalagen, där det framgår att personuppgifterna även får behandlas för andra ändamål än de som anges i 2 kap. 4 § under förutsättning att de inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (den s.k. finalitetsprincipen). Genom hänvisningen till finalitetsprincipen klargörs att insamlade personuppgifter också får behandlas för bl.a. vetenskapliga och historiska forskningsändamål samt statistiska ändamål. Som nämnts följer det av skäl 50 till EU:s dataskyddsförordning att om en behandling av personuppgifter för ett annat ändamål än de för vilka de ursprungligen samlades in är förenlig med de ursprungliga insamlingsändamålen, krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter ursprungligen medgavs. Behandling för forskningsändamål eller statistiska ändamål av tidigare insamlade personuppgifter får alltså ske utan att det behöver anges som ett ursprungligt särskilt ändamål. Även om sådan personuppgiftsbehandling för forskningsändamål eller statistiska ändamål är tillåten krävs det också enligt artikel 9.2 j att nationell rätt innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen för att nödvändig behandling av känsliga personuppgifter ska vara tillåten. Etikprövning är en sådan särskild åtgärd (se propositionen Behandling av personuppgifter för forskningsändamål [prop. 2017/18:298] s. 88). Den personuppgiftsbehandling som sedan sker inom ett forskningsprojekt efter att projektet har fått etikgodkännande omfattas inte av patientdatalagen utan av EU:s dataskyddsförordning och dataskyddslagen (tidigare av personuppgiftslagen, se propositionen Patientdatalag m.m. [prop. 2007/08:126] s. 229 och 230).
Enligt 2 kap. 7 a § patientdatalagen får känsliga personuppgifter behandlas med stöd av artikel 9.2 h i EU:s dataskyddsförordning under förutsättning att kravet på tystnadsplikt i artikel 9.3 är uppfyllt. Enligt 2 kap. 8 § får sådana personuppgifter inte användas som sökbegrepp, med undantag för uppgifter om bl.a. hälsa.
Den som arbetar hos en vårdgivare får ta del av uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården (4 kap. 1 §). I samma kapitel finns även bestämmelser om tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat, om att sådan behörighet ska dokumenteras och att kontroller av eventuell obehörig åtkomst ska göras regelbundet (4 kap. 2 och 3 §§). Patienten har även en rätt att på begäran få information om bl.a. sådan elektronisk åtkomst till dennes uppgifter som förekommit (8 kap. 5 §). I 8 kap. 6 § finns bestämmelser om vilka uppgifter som den personuppgiftsansvarige i övrigt och utan begäran är skyldig att lämna till den registrerade.
För nationella och regionala kvalitetsregister gäller, i stället för de ändamålsbestämmelser som räknas upp i 2 kap. patientdatalagen, att personuppgifter i sådana register får behandlas primärt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet (7 kap. 4 §). Dessutom får personuppgifterna användas för vissa s.k. sekundära ändamål, bl.a. såvitt nu är av intresse, framställning av statistik, forskning inom hälso- och sjukvården samt utlämnande till den som ska använda uppgifterna för något av dessa eller för det primära ändamålet i 7 kap. 4 § (7 kap. 5 §). Med statistik avses här sådan statistik som ska användas för andra ändamål än att förbättra vårdens kvalitet. Det kan till exempel röra sig om statistik som framställs för att ge underlag åt politiker och administratörer för planering av verksamheten inom hälso- och sjukvården.
Enligt 7 kap. 6 § är uppräkningen av tillåtna ändamål för personuppgiftsbehandling som anges i 7 kap. 4 och 5 §§ uttömmande. Det innebär i fråga om nationella kvalitetsregister att den svenska lagstiftaren har valt att lagstifta bort tillämpningen av finalitetsprincipen med stöd av artikel 6.3 och 9.4 i EU:s dataskyddsförordning. Enligt den sistnämnda artikeln får medlemsstaterna behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa.
Personuppgifter får inte behandlas i kvalitetsregister om den enskilde motsätter sig det. Om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats, ska uppgifterna utplånas ur registret så snart som möjligt (7 kap. 2 §).
Känsliga personuppgifter om hälsa får behandlas i nu aktuella kvalitetsregister, men endast sådana personuppgifter som behövs för de ändamål som anges i 7 kap. 4 § får behandlas. En enskilds personnummer eller namn får behandlas endast om det inte är tillräckligt att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde (7 kap. 8 §).
Från och med den 1 januari 2023 kommer ytterligare bestämmelser om vårdgivares behandling av personuppgifter inom hälso- och sjukvården att finnas i lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.
5.3 Det finns bestämmelser om sekretess och tystnadsplikt för personuppgifter som behandlas vid antalsberäkning
Som nämnts i avsnitt 5.2 krävs för att känsliga uppgifter om hälsa ska få behandlas med stöd av undantaget i enligt artikel 9.2 j att behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. En lämplig och särskild åtgärd kan, förutom sådana säkerhetsåtgärder som regleras i patientdatalagen, bestå av bestämmelser om sekretess eller tystnadsplikt. Sekretess regleras i offentlighets- och sekretesslagen, förkortad OSL. Med sekretess avses ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt (3 kap. 1 § OSL). Sekretess innefattar alltså både tystnadsplikt och handlingssekretess. För privaträttsliga aktörer finns bestämmelser om tystnadsplikt i patientsäkerhetslagen (2010:659).
Sekretess och tystnadsplikt kan vara inte bara en lämplig och särskild åtgärd utan i vissa fall också ett krav. Som nämnts tidigare framgår det av artikel 9.3 i EU:s dataskyddsförordning att känsliga personuppgifter får behandlas för de ändamål som avses i artikel 9.2 h endast om de behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ.
Nedan lämnas en kortfattad redogörelse för de i detta sammanhang mest centrala sekretessbestämmelserna och för bestämmelserna om tystnadsplikt i patientsäkerhetsagen.
Bestämmelser om sekretess i offentlighets- och sekretesslagen
Sekretess till skydd för enskildas personliga eller ekonomiska förhållanden regleras i OSL dels i form av ett minimiskydd som gäller inom hela den offentliga sektorn (21 kap.), dels i ett stort antal sekretessbestämmelser med begränsad räckvidd, dvs. bestämmelser som bara gäller i en viss typ av ärenden eller hos vissa angivna myndigheter (22-40 kap.).
I 21 kap. OSL finns bl.a. en bestämmelse om sekretess för uppgift som rör en enskilds hälsa eller sexualliv, såsom uppgifter om sjukdomar, missbruk, sexuell läggning, könsbyte, sexualbrott eller annan liknande uppgift, om det måste antas att den enskilde eller någon närstående till denne kommer att lida betydande men om uppgiften röjs. Bestämmelsen gäller med vissa undantag. För uppgift i en allmän handling gäller sekretessen i högst 70 år.
Bestämmelser om sekretess till skydd för enskild i verksamhet som avser hälso- och sjukvård, m.m. finns i 25 kap. OSL. Dessa bestämmelser ger som huvudregel ett mycket starkare skydd än bestämmelserna i 21 kap. OSL. Här nämns endast de i detta sammanhang relevanta bestämmelserna.
Enligt 25 kap. 1 § första stycket OSL gäller sekretess inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Detsamma gäller i annan medicinsk verksamhet, exempelvis rättsmedicinsk och rättspsykiatrisk undersökning, insemination, befruktning utanför kroppen, fastställande av könstillhörighet, abort, sterilisering, omskärelse och åtgärder mot smittsamma sjukdomar.
I paragrafens andra stycke klargörs att sekretessen enligt första stycket inte gäller om annat följer av bestämmelserna om särskild anmälningssekretess i 7 och 8 §§. Inte heller gäller sekretessen i sådan anmälan i ärende om ansvar eller behörighet för personal inom kommunal hälso- och sjukvård som avses i 26 kap. 6 § OSL. Dessa bestämmelser, som alla innebär en svagare sekretess, ska tillämpas i stället för bestämmelsen i första stycket i förevarande paragraf. Det framgår också att för beslut i vissa ärenden som räknas upp i 25 kap. 10 § gäller inte någon sekretess enligt 25 kap. 1 §. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Med uttrycket hälso- och sjukvård förstås först och främst den öppna och slutna sjukvård för vilken grundläggande bestämmelser finns i hälso- och sjukvårdslagen. Hit hör också den förebyggande medicinska hälsovården, t.ex. den som bedrivs vid mödra- och barnavårdscentralerna och inom den psykiatriska barn- och ungdomsvården. Även tandvården hör till hälso- och sjukvården. Hälso- och sjukvård behöver inte bedrivas i organisatoriskt självständiga former utan kan utgöra inslag i annan förvaltning, t.ex. inom skolväsendet (elevhälsans medicinska insatser), socialtjänsten, kriminalvården eller försvarsmakten (prop. 1979/80:2 del A, s. 165). Sekretessbestämmelserna i 25 kap. är även tillämpliga på personuppgifter som finns i de nationella och regionala kvalitetsregistren (prop. 2007/08:126 s. 195).
Utanför bestämmelsens tillämpningsområde faller däremot verksamhet vid sjukhus och andra liknande inrättningar som drivs av enskilda. Där gäller i stället föreskrifterna om tystnadsplikt m.m. i patientsäkerhetslagen.
Sekretessen ska iakttas av all personal som är verksam inom det allmännas hälso- och sjukvård, vare sig verksamheten avser det egentliga vårdarbetet eller administrativt, ekonomiskt eller tekniskt arbete.
I 25 kap. 2 § OSL finns en sekretessbestämmelse som har tillkommit med anledning av reglerna om sammanhållen journalföring i patientdatalagen. Sammanhållen journalföring enligt patientdatalagen innebär att myndigheter som bedriver hälso- och sjukvård i den mening begreppet används i den lagen och privata vårdgivare kan få direktåtkomst till varandras elektroniska journalhandlingar och andra personuppgifter som behandlas för ändamål som rör vårddokumentation. I patientdatalagen uppställs olika villkor för att sådan direktåtkomst ska få förekomma. Om villkoren är uppfyllda, får journalhandlingarna och andra personuppgifter hos en vårdgivare göras tillgängliga för andra vårdgivare som deltar i systemet med sammanhållen journalföring.
I 25 kap. 11 § OSL finns ett antal sekretessbrytande bestämmelser. Enligt tredje punkten i paragrafen hindrar sekretess inte att uppgift lämnas till en myndighet som bedriver verksamhet som avses i 25 kap. 1 § eller till en enskild vårdgivare enligt det som föreskrivs om sammanhållen journalföring i 6 kap. patientdatalagen. Från och med den 1 januari 2023 regleras sammanhållen journalföring i stället i lagen (2022:913) om sammanhållen vård- och omsorgdokumentation, varför hänvisningarna till patientdatalagen i 25 kap. 2 och 11 §§ OSL från och med detta datum ändras till lagen om sammanhållen vård- och omsorgdokumentation.
Enligt 25 kap. 11 § 4 OSL hindrar inte sekretessen att en uppgift lämnas till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen. Kvalitetsarbetet bedrivs normalt på det sättet att någon, oftast en hälso- och sjukvårdsmyndighet inom en region eller en kommun, samlar in och analyserar patientbundna data som diagnoser, åtgärder och behandlingsresultat m.m. i datoriserade kvalitetsregister. Inrapporteringen från de medverkande till den som ansvarar för registret innebär oftast att personuppgifter korsar sekretessgränser. För att sekretessen inte ska förhindra inrapporteringen föreskrivs i punkten ett undantag från sekretessen.
Bestämmelser om tystnadsplikt i patientsäkerhetslagen
I patientsäkerhetslagen finns bestämmelser om tystnadsplikt inom enskilt bedriven hälso- och sjukvård. Den som tillhör eller har tillhört hälso- och sjukvårdspersonalen får inte obehörigen röja vad han eller hon i sin verksamhet fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden (6 kap. 12 §). Detsamma gäller den som, utan att höra till hälso- och sjukvårdspersonalen, till följd av anställning eller uppdrag eller på annan liknande grund, deltar eller har deltagit i enskilt bedriven hälso- och sjukvård (6 kap. 16 §). Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning.
6 Personuppgiftsbehandling vid antalsberäkning inför klinisk forskning ska regleras
6.1 Personuppgiftsbehandling vid antalsberäkning ska regleras i patientdatalagen
Regeringens förslag: I patientdatalagen ska nya ändamålsbestämmelser införas som innebär att personuppgifter får behandlas för antalsberäkning inför klinisk forskning.
Antalsberäkning inför klinisk forskning ska i patientdatalagen ha betydelsen beräkning som på förfrågan av forskare inför planerad klinisk forskning görs av hur många personer som uppfyller vissa i förväg uppställda kriterier och som därmed kan komma att omfattas av forskningen.
Regeringens bedömning: Den behandling av personuppgifter som sker vid antalsberäkning inför klinisk forskning innebär en ytterligare behandling av uppgifter som redan har samlats in inom hälso- och sjukvården med stöd av en rättslig grund. Ändamålet med behandlingen bör anses vara förenligt med de ursprungliga ändamålen, för vilka uppgifterna samlades in. Någon ny rättslig grund för behandlingen utöver de ursprungliga ändamålen behövs inte. Nya ändamålsbestämmelser bör dock införas i förtydligande syfte. Såväl offentliga vårdgivare som privata vårdgivare kommer därmed att kunna behandla personuppgifter vid antalsberäkning inför klinisk forskning med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i EU:s dataskyddsförordning och patientdatalagens nya ändamålsbestämmel-ser.
Både offentliga och privata vårdgivare kommer att kunna utföra behandling av känsliga personuppgifter som är nödvändig vid antalsberäkning med direkt tillämpning av artikel 9.2 i och j i EU:s dataskyddsförordning.
Utredningens förslag och bedömning: Utredningens förslag och bedömning överensstämmer delvis med regeringens. Utredningen föreslår ett tillägg om antalsberäkning i 1 kap. 1 § patientdatalagen där lagens tillämpningsområde anges. Utredningen föreslår vidare att de nya ändamålsbestämmelserna ska införas i två nya paragrafer, i stället för i två befintliga, och att det ska göras en följdändring i lagen med anledning av detta. Utredningen begränsar definitionen av antalsberäkning inför klinisk forskning så att det ska vara fråga om forskning inom hälso- och sjukvården och har även i övrigt utformat definitionen något annorlunda.
Utredningen gör inte någon bedömning i frågan om den behandling av personuppgifter som sker vid antalsberäkning innebär en tillåten ytterligare behandling av uppgifter som redan har samlats in inom hälso- och sjukvården, vilken inte kräver någon ny rättslig grund.
Utredningen anser att privata vårdgivare utan koppling till offentligrättslig hälso- och sjukvårdsverksamhet är förhindrade att utföra antalsberäkning då utredningen anser att det inte finns något undantag från förbudet mot behandling av känsliga personuppgifter i artikel 9.2 som kan tillämpas av dem.
Remissinstanserna: Remissinstanserna ställer sig över lag positiva till förslaget att personuppgiftsbehandling för ändamålet antalsberäkning regleras i patientdatalagen eller har inga synpunkter på förslaget. Detta gäller bl.a. E-hälsomyndigheten, Forskningsrådet för hälsa, arbetsliv och välfärd (Forte), Karolinska institutet, Karolinska universitetssjukhuset, Region Skåne, Region Stockholm, Socialstyrelsen, Vetenskapsrådet och Verket för innovationssystem (Vinnova). Flera remissinstanser, bl.a. Göteborgs universitet, Läkemedelsindustriföreningen (LIF), Region Östergötland och Sahlgrenska universitetssjukhuset framhåller att det innebär att rättsläget klargörs, vilket är positivt för möjligheterna att utföra kliniska studier. Vissa synpunkter framkommer dock, bl.a. på den lagtekniska utformningen.
Socialstyrelsen avstyrker förslaget om att lägga till antalsberäkning i bestämmelsen om lagens tillämpningsområde och anser, i likhet med E-hälsomyndigheten, att tillägget är onödigt och snarare skulle försvåra tillämpningen, om andra ändamål som hör samman med vidarebehandling också behöver räknas upp i tillämpningsområdet. Vinnova anser att det är oklart hur det föreslagna tillägget i tillämpningsområdet 1 kap. 1 § patientdatalagen skulle bidra till ökad tydlighet för vårdgivare, när andra aspekter av patientdataanvändning enbart tas upp under respektive 2 kap. 4 § och 5 §, 3 kap. 2 §, och 7 kap. 5 §. Även LIF avstyrker förslaget för att undvika att senare behöva lägga in fler och fler specifika ändamål som i förlängningen riskerar att urvattna statistikändamålet.
Region Skåne anser att förslaget till definition av begreppet antalsberäkning riskerar att skapa tillämpningssvårigheter om definitionen innebär att det ska röra sig om forskning inom hälso- och sjukvården.
Socialstyrelsen saknar en analys och bedömning av hur person-uppgiftsbehandling som sker vid antalsberäkning inför klinisk forskning förhåller sig till den grundläggande principen om ändamålsbegränsning (även benämnd finalitetsprincipen) och vidarebehandling enligt vad som följer av artikel 5.1 b och artikel 6.4 samt skäl 50 i EU:s dataskyddsförordning.
Biobank Sverige och LIF påpekar att det också finns behov av mer komplexa antalsberäkningar som inte täcks av förslaget. Komplexa antalsberäkningar kräver samkörning av datakällor hos flera olika huvudmän. Vinnova kan se ett värde i en motsvarande översyn av lagstiftning gällande antalsberäkning för forskning som baseras på källor utanför hälso- och sjukvården, för att på förhand undvika nya tolkningssvårigheter orsakade av olika grad av precisering i respektive lagstiftningar.
Flera remissinstanser, Förvaltningsrätten i Stockholm, LIF, Region Skåne, Region Stockholm och Vinnova, framhåller att det är en brist att utredningens förslag inte omfattar vårdgivare som helt saknar koppling till offentlig hälso- och sjukvårdsverksamhet. Att privat vård ligger utanför ser däremot Örebro universitet inte som ett problem då privat vård i dag omfattar endast en liten del av sjukvården i landet. Eftersom antalsberäkning inte kräver en absolut exakthet ser Örebro universitet inte att den bedömning som görs avseende helt privat vård påverkar central klinisk forskning på ett betydande sätt.
Integritetsskyddsmyndigheten (IMY) anser att det finns behov av personuppgiftsbehandling för antalsberäkning inför klinisk forskning men anser inte att betänkandet innehåller de analyser som krävs för att kunna ta ställning till om lagförslaget uppfyller kraven i EU:s dataskyddsförordning och kan därför inte tillstyrka förslaget utifrån det nuvarande underlaget.
De flesta remissinstanserna yttrar sig inte särskilt om utredningens bedömning i frågan om rättslig grund för behandlingen av personuppgifter vid antalsberäkning. IMY och Sveriges Kommuner och Regioner (SKR) delar utredningens bedömning. Läkemedelsverket framhåller att frågan om behandling av personuppgifter vid antalsberäkning är en tillåten behandling inte har prövats rättsligt vare sig när det gäller de unionsrättsliga begreppen statistikändamål eller forskningsändamål eller motsvarande begrepp i de kompletterande bestämmelserna i patientdatalagen. Verket anser att det inte kan uteslutas att behandlingen kan anses ingå i en kombination av behandlingar för statistikändamål eller forskningsändamål, vilket skulle kunna få konsekvenser för den praktiska rättstillämpningen. Socialstyrelsen och LIF framhåller att antalsberäkning också görs i andra datakällor hos statistikansvariga myndigheter, t.ex. de register som regleras av lagen om hälsodataregister, och att behandlingen av personuppgifter då sker med stöd av statistiska ändamål. De påpekar att det kan finnas en risk för att ett förtydligande som syftar till att underlätta antalsberäkning i register som regleras av patientdatalagen leder till osäkerhet om det finns rättsligt stöd för antalsberäkning i register och datakällor som regleras av annan lagstiftning.
När det gäller bedömningen av frågan om rättsligt stöd för den behandling av känsliga personuppgifter som är nödvändig vid antalsberäkning delar IMY utredningens bedömning att artikel 9.2 j dataskyddsförordningen kan vara tillämplig för offentliga vårdgivares behandling av känsliga personuppgifter för antalsberäkning. SKR delar utredningens bedömning att antalsberäkning kan utföras med stöd av folkhälsoundantaget i EU:s dataskyddsförordning (artikel 9.2 i) samt att den också kan antas omfattas av förordningens undantag för forskningsändamål (artikel 9.2 j).
Skälen för regeringens förslag och bedömning
Antalsberäkning innebär en ytterligare behandling av redan insamlade personuppgifter
Till hälso- och sjukvårdens kärnområden hör åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador, sjuktransporter och omhändertagande av avlidna (2 kap. 1 § hälso- och sjukvårdslagen [2017:30]). Som framgår av avsnitt 4 är även medverkan vid bl.a. planering av forskning och utvecklingsarbete en viktig uppgift för hälso- och sjukvården. Ett sätt för hälso- och sjukvården att medverka till planering av forskning på hälso- och sjukvårdsområdet är att kunna svara på vilket potentiellt forskningsunderlag som finns hos olika vårdgivare. Vid antalsberäkning görs en sökning av uppgifter som redan finns inom hälso- och sjukvården. Uppgifter som behövs vid antalsberäkning är registrerade i patientjournaler eller kvalitetsregister, men den som gör beräkningen kan också behöva uppgifter som vårdgivaren har använt vid exempelvis administration, kvalitetssäkring, planering, uppföljning eller utvärdering av hälso- och sjukvårdsverksamheten. Som konstaterats i avsnitt 4 innebär åtgärderna en behandling av personuppgifter. Resultatet av en antals-beräkning lämnas endast ut till frågeställaren i form av en uppgift om ett exakt antal personer eller ett intervall. Frågeställaren får inte del av några personuppgifter.
För att det ska vara tillåtet att behandla personuppgifter inom hälso- och sjukvården i syfte att göra en antalsberäkning inför ställningstagande om att inleda klinisk forskning måste, som nämnts i avsnitt 5, behandlingen vara förenlig med de allmänna principerna för behandling av personuppgifter i artikel 5 i EU:s dataskyddsförordning, bl.a. principen om ändamålsbegränsning, och ha stöd i minst en av de rättsliga grunderna i artikel 6.1. Om ingen av de rättsliga grunderna i artikel 6.1 är tillämplig är personuppgiftsbehandlingen inte laglig och får då inte utföras. De rättsliga grunderna är i viss mån överlappande och flera rättsliga grunder kan vara tillämpliga avseende en och samma behandling. Som regeringen återkommer till nedan behövs dock inte en ny rättslig grund om uppgifter som behandlas med stöd av en rättslig grund vidarebehandlas för nya ändamål som är förenliga med det ursprungliga ändamålet för vilka uppgifterna ursprungligen samlades in.
Enligt artikel 6.1 e i EU:s dataskyddsförordning är en behandling av personuppgifter laglig bl.a. om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Som konstaterats i avsnitt 5.2 krävs det alltid vid klinisk forskning - oavsett om forskningen utförs av universitet, högskolor, kommuner, regioner eller privata forskningsutförare - ett tillstånd enligt etikprövningslagen för att få utföra forskningen, varför klinisk forskning alltid är att anse som en uppgift av allmänt intresse. I 18 kap. 2 § hälso- och sjukvårdslagen anges att regioner och kommuner ska medverka vid finansiering, planering och genomförande av dels kliniskt forskningsarbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete. Regioner och kommuner har alltså en lagfäst uppgift att medverka vid planering av kliniskt forskningsarbete på hälso- och sjukvårdens område och folkhälsovetenskapligt forskningsarbete. Antalsberäkning görs vid planering av klinisk forskning. Vid förberedelserna undersöks för- och nackdelar med att i framtiden genomföra en studie inom klinisk forskning. En rad förutsättningar behöver undersökas för att kunna bedöma om det är lämpligt, eller ens möjligt, att starta forskningen. Syftet med antalsberäkning är att tillhandahålla ett beslutsunderlag. Genom antalsberäkningen kan bättre beslut som avser klinisk forskning fattas. Antalsberäkning får därmed enligt regeringens bedömning anses vara en uppgift av allmänt intresse.
Som redogjorts för i avsnitt 5.2 ska den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e också vara fastställd i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Den rättsliga grunden bör vara tydlig och precis och dess tillämpning bör vara förutsägbar för personer som omfattas av den (skäl 41). På hälso- och sjukvårdsområdet och folkhälsoområdet har regeringen i tidigare lagstiftningsärende bedömt att bestämmelser i hälso- och sjukvårdslagen uppfyller dataskyddsförordningens krav på att en reglering ska vara tydlig, precis och förutsägbar för att en uppgift av allmänt intresse ska vara fastställd i nationell rätt och då särskilt nämnt 18 kap. 2 § hälso- och sjukvårdslagen, där skyldigheten att medverka vid bl.a. planeringen av kliniskt forskningsarbete är reglerad (prop. 2017/18:298 s. 49). Antalsberäkning ingår som anförts ovan i planeringen av klinisk forskning och uppgiften får därmed anses vara en uppgift av allmänt intresse som är fastställd i nationell rätt genom 18 kap. 2 § hälso- och sjukvårdslagen.
En privaträttslig aktör som fullgör ett uppdrag från en myndighet som avser en sådan uppgift som är fastställd i bl.a. författning, kan vidta nödvändiga behandlingsåtgärder på samma rättsliga grund som om myndigheten själv utfört uppgiften, dvs. med stöd av artikel 6.1 e i EU:s dataskyddsförordning. Uppgift av allmänt intresse kan därför vara en tillämplig rättslig grund för den antalsberäkning som sker hos sådana privata vårdgivare som bedriver hälso- och sjukvårdsverksamhet på uppdrag av regioner och kommuner.
Regeringen delar utredningens bedömning att den behandling av personuppgifter som sker vid antalsberäkning i ovan nämnda fall kan ske med stöd av artikel 6.1 och 6.3 i EU:s dataskyddsförordning.
I de fall grunden för behandlingen inte har fastställts i unionsrätten eller nationell rätt kan grunden uppgift av allmänt intresse inte åberopas. En uppgift som bedöms vara av allmänt intresse men som inte har fastställts i unionsrätten eller nationell rätt, bör dock som angivits i avsnitt 5.2 i många fall kunna anses vara ett berättigat intresse enligt artikel 6.1 f (prop. 2017/18:298 s. 39). Detta gäller t.ex. privaträttsliga aktörer som inte bedriver hälso- och sjukvårdsverksamhet på uppdrag av regioner och kommuner.
Vid personuppgiftsbehandling för antalsberäkning görs emellertid varken någon insamling eller registrering av nya uppgifter. I stället innebär behandlingen en efterkommande användning av befintliga uppgifter som härrör från den individinriktade verksamheten i hälso- och sjukvården. I denna verksamhet samlas personuppgifter normalt in och behandlas med stöd av den rättsliga grunden uppgift av allmänt intresse. En behandling av personuppgifter för att göra en antalsberäkning inför klinisk forskning innebär en ytterligare behandling av uppgifter som redan har samlats in med stöd av en rättslig grund inom hälso- och sjukvården och då aktualiseras frågan om en ny rättslig grund behövs för den ytterligare behandlingen.
En tillåten ytterligare behandling av personuppgifter kräver inte någon ny rättslig grund
Som nämnts i avsnitt 5.2 innebär principen om ändamålsbegränsning i artikel 5.1 b att uppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Den angivna principen att personuppgifter inte får återanvändas för ändamål som är oförenliga med det ursprungliga ändamål uppgifterna samlades in för benämns finalitetsprincipen. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen. Av skäl 50 i EU:s dataskyddsförordning framgår att behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in endast bör vara tillåten när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I skälen klargörs att i dessa fall krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig (artikel 6.3).
När det gäller vad som bör beaktas när man bedömer om en behandling av personuppgifter för andra ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in finns ledning i artikel 6.4 och skäl 50. Den personuppgiftsansvarige bör, efter att ha uppfyllt alla krav vad beträffar den ursprungliga behandlingens lagenlighet, bland annat beakta alla kopplingar mellan de ändamål för vilka personuppgifterna samlats in och ändamålen med den avsedda ytterligare behandlingen, det sammanhang inom vilket personuppgifterna insamlats, särskilt de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige när det gäller den fortsatta behandlingen, personuppgifternas art, konsekvenserna för de registrerade av den planerade fortsatta behandlingen samt förekomsten av lämpliga skyddsåtgärder för både den ursprungliga och den planerade ytterligare behandlingen. Ytterligare behandling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 anses dock som angivits aldrig vara oförenlig med de ursprungliga ändamålen.
En ytterligare behandling av personuppgifter inom hälso- och sjukvården för antalsberäkning bör anses vara tillåten
Personuppgifterna som behöver behandlas i samband med antalsberäkning inför klinisk forskning har samlats in inom hälso- och sjukvården. De ändamål som personuppgifter inom hälso- och sjukvården får behandlas för har i patientdatalagen preciserats i enlighet med artikel 6.3 i EU:s dataskyddsförordning. Av 2 kap. 4 § patientdatalagen framgår att personuppgifter inom hälso- och sjukvården får behandlas bl.a. för att fullgöra skyldigheten att föra patientjournal (första stycket 1) och för att framställa statistik om hälso- och sjukvården (första stycket 6). Av 2 kap. 5 § framgår att personuppgifter som behandlas för ändamål som anges i 4 § också får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Personuppgifterna får även behandlas för andra ändamål under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Till skillnad från vissa andra sektorsspecifika författningar görs ingen uppdelning av primära och sekundära ändamål i patientdatalagens andra kapitel. I förarbetena till lagen bedömdes det inte innebära någon risk för ett försämrat integritetsskydd att även sådana ändamål som föll vid sidan av den individinriktade, operativa, verksamheten får vara primära, eftersom det i allt väsentligt rör sig om en efterkommande användning av uppgifter som härrör från den individinriktade verksamheten (prop. 2007/08:126 s. 56).
När det gäller uppgifter inom hälso- och sjukvården som behandlas för något av de ändamål som anges i 2 kap. 4 § patientdatalagen gäller finalitetsprincipen och en ytterligare behandling av uppgifterna för att utföra antalsberäkning inför klinisk forskning är tillåten under förutsättning att behandlingen inte anses oförenlig med det ändamål för vilket uppgifterna samlades in. Det framgår av 3 kap. 2 § patientdatalagen att en patientjournal förutom att den ska bidra till god och säker vård av patienten också är en informationskälla för bl.a. forskning. Enligt 18 kap. 2 § hälso- och sjukvårdslagen ska regioner och kommuner medverka vid finansiering, planering och genomförande av dels kliniskt forskningsarbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete. Vid sidan av kärnområdet är således medverkan vid bl.a. planering av forskning och utveckling en viktig uppgift för hälso- och sjukvården. Antalsberäkning ingår i sådan planering. Det finns därmed en koppling mellan ändamålet för vilket uppgifterna samlades in i vårdsituationen och ändamålet med den ytterligare behandlingen av uppgifterna. En ytterligare behandling av uppgifterna för antalsberäkning bör anses vara något som patienten rimligen kan förvänta sig. Dessa omständigheter talar enligt regeringens bedömning för att en behandling av redan insamlade uppgifter för att utföra en antalsberäkning bör kunna anses vara en tillåten vidare behandling av uppgifterna.
Om behandling av personuppgifter för att utföra antalsberäkning inför klinisk forskning anses vara en behandling för statistiska ändamål eller för vetenskapliga eller historiska forskningsändamål står det också klart att den vidare behandlingen inte ska anses oförenlig med de ursprungliga ändamålen och är en tillåten vidarebehandling av uppgifterna.
Begreppet vetenskapliga eller historiska forskningsändamål är ett EU-rättsligt begrepp. Det saknas vägledande avgöranden när det gäller tolkningen av begreppet. Antalsberäkning sker i förberedelsefasen inför forskning och görs i syfte att ta reda på om ett tillräckligt antal personer som uppfyller vissa kriterier som behövs för ändamålet med forskningen finns. Det får enligt regeringens bedömning anses vara en del av forskningsprocessen. Enligt skäl 159 i EU:s dataskyddsförordning bör begreppet vetenskapliga forskningsändamål i förordningen ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Regeringen gör därför bedömningen att den personuppgiftsbehandling som aktualiseras vid antalsberäkning får anses ske för forskningsändamål i dataskyddsförordningens mening.
Med statistiska ändamål avses enligt skäl 162 i EU:s dataskydds-förordning varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat. Dessa statistiska resultat kan vidare användas för olika ändamål, inbegripet vetenskapliga forskningsändamål. Ett statistiskt ändamål innebär att resultatet av behandlingen för statistiska ändamål inte består av personuppgifter, utan av aggregerade personuppgifter, och att resultatet eller uppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild fysisk person. Den faktiska behandlingen av personuppgifterna vid antalsberäkning, att söka igenom databaser för att få fram hur många personer som uppfyller sökkriterierna, överensstämmer på flera sätt med definitionen av statistikändamål i skäl 162 i dataskyddsförordningen. Resultatet av behandlingen av personuppgifter vid antalsberäkning består inte av personuppgifter utan av aggregerade personuppgifter, eftersom resultatet av sökningen inte innehåller några personuppgifter utan en uppgift om att ett visst antal personer uppfyller de kriterier som ställts upp för att ingå i en planerad forskningsstudie. Resultatet eller de uppgifter som kommer fram kommer inte heller att användas till stöd för åtgärder eller beslut avseende en särskild fysisk person. Enligt regeringens bedömning kan därför den personuppgiftsbehandling som aktualiseras vid antalsberäkning också omfattas av statistiska ändamål enligt dataskyddsförordningen.
Det finns inte något tydligt stöd i patientdatalagen för att uppgifter i kvalitetsregister får behandlas för ändamålet antalsberäkning
I 7 kap. patientdatalagen finns bestämmelser om de nationella och regionala kvalitetsregistren. Personuppgifter i kvalitetsregister får behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet (7 kap. 4 §). Personuppgifter som behandlas för dessa ändamål får också bl.a. behandlas för ändamålen forskning inom hälso- och sjukvården respektive framställning av statistik (7 kap. 5 § 1 och 2). Enligt 7 kap. 5 § 3 får personuppgifter som behandlas för de ändamål som anges i 4 § också behandlas för utlämnande till den som ska använda uppgifterna för ändamål som anges i bl.a. 7 kap. 5 § 1 och 2. Finalitetsprincipen gäller inte för uppgifter i kvalitetsregistren. Uppgifterna får inte behandlas för några andra ändamål än de som anges i 7 kap. 4 och 5 §§ (7 kap. 6 §). En behandling av personuppgifter i kvalitetsregister för att utföra antalsberäkning anges inte uttryckligen som ett ändamål i 7 kap. 4 §. Som framgår ovan anser regeringen att behandling av personuppgifter för antalsberäkning kan utgöra en behandling för statistikändamål i dataskyddsförordningens mening. Frågan är då hur begreppet framställning av statistik i 7 kap. 5 § 1, ska förstås i patientdatalagen och om det kan anses omfatta personuppgiftsbehandling för antalsberäkning. Så är sannolikt fallet, men förarbetena ger inte någon tydlig ledning i detta avseende.
När det gäller forskning anges ändamålet i 7 kap. 5 § 2 som forskning inom hälso- och sjukvården. Av förarbetena framgår att det med detta begrepp avses forskning inom hälso- och sjukvårdsområdet (se prop. 2007/08:126 s. 259). Begreppet ska alltså inte förstås så att forskningen måste bedrivas fysiskt inom hälso- och sjukvården. Begreppet forskning inom hälso- och sjukvården inrymmer klinisk forskning, som förutsätter vårdens strukturer och resurser. Klinisk forskning kan således utföras inte bara av sjukvårdshuvudmännen utan också av t.ex. universitet och företag. Begreppet forskning inom hälso- och sjukvården kan innefatta även annan typ av forskning än klinisk forskning. Begreppet forskning inom hälso- och sjukvården omfattar exempelvis även preklinisk forskning såsom forskning på cell- och molekylär nivå för att förstå grundläggande sjukdomsmekanismer. I förarbetena har regeringen påpekat att ändamålet forskning i bestämmelsen inte utgör något undantag från kravet på att forskningen ska prövas enligt etikprövningslagen (prop. 2007/08:126 s. 259). Antalsberäkning sker emellertid i regel i steget innan ett forskningsprojekt fått tillstånd enligt etikprövningslagen. Det är otydligt om begreppet forskning i patientdatalagen kan anses innefatta även antalsberäkning. Regeringen anser sammantaget att det finns skäl att införa ett tydligt och ändamålsenligt stöd i patientdatalagen för en behandling av uppgifter i kvalitetsregister för ändamålet antalsberäkning inför klinisk forskning.
Socialstyrelsen och LIF framhåller att antalsberäkning också görs i andra datakällor hos statistikansvariga myndigheter, t.ex. de register som regleras av lagen om hälsodataregister och att behandlingen av personuppgifter då sker med stöd av statistiska ändamål. De påpekar att det kan finnas en risk för att ett förtydligande som syftar till att underlätta antalsberäkning i register som regleras av patientdatalagen leder till osäkerhet om det finns rättsligt stöd för antalsberäkning i register och datakällor som regleras av annan lagstiftning. Som regeringen återkommer till nedan framgår det av förarbetena till patientdatalagen att regeringen har ansett att det är viktigt att de ändamål för vilka behandling av personuppgifter ska få ske anges uttryckligen och så uttömmande som möjligt i lagen (prop. 2007/08:126 s. 56). Den osäkerhet som råder om rättsläget när det gäller antalsberäkning med stöd av just patientdatalagen utgör enligt regeringen tillräckligt skäl för att denna lag ska förtydligas. Som framgår ovan anser regeringen att behandling av personuppgifter för antalsberäkning kan utgöra en behandling för statistikändamål i dataskyddsförordningens mening. Regeringen vill framhålla att de begrepp som används vid en precisering av för vilka ändamål personuppgiftsbehandling får ske enligt patientdatalagen inte hindrar att annan lagstiftning tolkas i enlighet med etablerad praxis hänförlig till den lagstiftningen.
Behandling av känsliga personuppgifter som är nödvändig vid antalsberäkning kan bland annat ske med stöd av artikel 9.2 i och j
Vid behandling av personuppgifter inom hälso- och sjukvården för att utföra antalsberäkning blir det nödvändigt att behandla uppgifter om hälsa. Uppgift om hälsa är en känslig personuppgift. Som nämnts i avsnitt 5.2 är det enligt artikel 9.1 i EU:s dataskyddsförordning som huvudregel förbjudet att behandla känsliga personuppgifter. Behandling av känsliga personuppgifter för både ursprungliga och nya ändamål måste kunna hänföras under något av undantagen i artikel 9.2 i förordningen för att vara tillåten.
Vårdgivare får enligt 2 kap. 7 a § patientdatalagen behandla känsliga personuppgifter inom hälso- och sjukvården med stöd av artikel 9.2 h i EU:s dataskyddsförordning under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.
I nationella och regionala kvalitetsregister får uppgifter om hälsa behandlas. Andra känsliga personuppgifter än uppgifter om hälsa får behandlas i sådana register endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det. Känsliga personuppgifter får behandlas i kvalitetsregister med stöd av artikel 9.2 h i EU:s dataskyddsförordning under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt (7 kap. 8 § patientdatalagen).
Behandling av känsliga personuppgifter är enligt artikel 9.2 h tillåten om behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömning av en arbetstagarens arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och deras system, på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet och under förutsättning att de villkor och skyddsåtgärder som anges i punkt 3 i artikeln är uppfyllda.
Bestämmelserna i 2 kap. 7 a § och 7 kap. 8 § patientdatalagen infördes som en påminnelse om att kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen gäller i de situationer där känsliga personuppgifter får behandlas för de ändamål som avses i artikel 9.2 h i dataskyddsförordningen. Regeringen anförde i förarbetena då bestämmelserna infördes att stöd för att behandla känsliga personuppgifter även kan finnas i andra grunder i artikel 9.2 och i så fall gäller inte kravet på tystnadsplikt enligt artikel 9.3 (prop. 2017/18:171 s. 107).
Behandling av känsliga personuppgifter är också tillåten enligt artikel 9.2 i i EU:s dataskyddsförordning om behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter, på grundval av unionsrätten eller medlemsstaternas nationella rätt, där lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt tystnadsplikt.
Enligt artikel 9.2 j i EU:s dataskyddsförordning får känsliga personuppgifter vidare behandlas om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
När det gäller termen folkhälsa i artikel 9.2 i anges i skäl 54 till dataskyddsförordningen att termen bör tolkas i enlighet med förordningen (EG) nr 1338/2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbete. Den definition som anges där är mycket vid och omfattar alla aspekter som rör hälsosituationen, det vill säga allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker. För att undantaget ska kunna tillämpas måste den personuppgiftsansvarige ha stöd i unionsrätten eller i nationell rätt för att utföra en uppgift på folkhälsoområdet. Dessutom måste nationell rätt innehålla bestämmelser om särskilda skyddsåtgärder.
Regeringen gör som nämnts bedömningen att uppgiften att utföra antalsberäkning är fastställd i svensk rätt genom bestämmelsen i 18 kap. 2 § hälso- och sjukvårdslagen för offentliga vårdgivare och för sådana privata vårdgivare som bedriver hälso- och sjukvårdsverksamhet på uppdrag av regioner och kommuner. I svensk rätt finns bestämmelser om sekretess och tystnadsplikt (se avsnitt 5.3) och bestämmelser i patientdatalagen om inre sekretess och elektronisk åtkomst (se avsnitt 5.2), vilka är tillämpliga då uppgifter behandlas vid antalsberäkning. Som närmare utvecklas i avsnitt 6.2 föreslås dessutom ytterligare en skyddsåtgärd i form av en bestämmelse i patientdatalagen som innebär dels att resultatet av antalsberäkning inför klinisk forskning ska få lämnas ut till den som gjort förfrågan endast i form av uppgift om det antal personer som uppfyller de i förväg uppställda kriterierna, dels att resultatet ska få anges med ett exakt antal eller som ett intervall. Svensk rätt kommer därmed att innehålla bestämmelser om sådana lämpliga skyddsåtgärder som krävs enligt artikel 9.2 i. I likhet med utredningen och SKR bedömer därför regeringen att behandling av känsliga personuppgifter vid antalsberäkning i ovan nämnda fall kan ske med stöd av undantaget i artikel 9.2 i i EU:s dataskyddsförordning.
Regeringen gör vidare, som redovisats ovan, bedömningen att den personuppgiftsbehandling som aktualiseras vid antalsberäkning får anses ske för forskningsändamål i dataskyddsförordningens mening och att sådan behandling också kan omfattas av statistiska ändamål enligt dataskyddsförordningen. Undantaget i artikel 9.2 j är direkt tillämpligt. En vidare behandling av känsliga personuppgifter för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål får ske med direkt tillämpning av artikel 9.2 j under förutsättning att nationell rätt innehåller bestämmelser om lämpliga skyddsåtgärder (jfr prop. 2017/18:105 s. 125). Svensk rätt kommer som angivits att innehålla bestämmelser om lämpliga skyddsåtgärder som är tillämpliga vid behandling av personuppgifter för antalsberäkning och som krävs enligt artikel 9.2 j. Regeringen bedömer därför i likhet med utredningen och IMY och SKR att även undantaget i artikel 9.2 j i EU:s dataskyddsförordning kan vara tillämpligt vid behandling av känsliga personuppgifter för antalsberäkning.
När det gäller hälso- och sjukvårdsundantaget i artikel 9.2 h delar regeringen utredningens uppfattning att det är tveksamt om detta undantag skulle kunna tillämpas vid personuppgiftsbehandling för antalsberäkning.
Eftersom behandling av känsliga personuppgifter för antalsberäkning enligt regeringens bedömning kan ske med direkt tillämpning av bland annat artikel 9.2 i och j anser regeringen att det inte finns ett behov av att dessutom föra in en hänvisning till artikel 9.2 i och j i patientdatalagen.
En reglering av antalsberäkning som tillåtet ändamål för behandling av personuppgifter förbättrar möjligheterna för klinisk forskning
Som framgått av avsnitt 5.2 regleras de ändamål som en vårdgivare får behandla personuppgifter för inom hälso- och sjukvården i patientdatalagen. Regleringen är en sådan anpassning av nationell rätt som är tillåten enligt artikel 6.3 i EU:s dataskyddsförordning. Antalsberäkning inför klinisk forskning anges inte uttryckligen som ett ändamål i 2 kap. patientdatalagen. Detsamma gäller i fråga om nationella eller regionala kvalitetsregister i 7 kap. patientdatalagen. Detta har lett till att det råder olika uppfattningar om huruvida det är tillåtet att utföra antalsberäkning och att förfrågningar om antalsberäkningar behandlas på olika sätt (se avsnitt 4). Som anförts ovan finns det visserligen enligt regeringens bedömning omständigheter som talar för att en behandling av redan insamlade uppgifter inom hälso- och sjukvården för att utföra en antalsberäkning bör kunna anses vara en tillåten vidarebehandling av uppgifterna. Om behandling av personuppgifter för att utföra antalsberäkning inför klinisk forskning anses vara en behandling för vetenskapliga eller historiska forskningsändamål eller för ett statistiskt ändamål står det klart att den vidare behandlingen inte ska anses oförenlig med de ursprungliga ändamålen och är en tillåten vidarebehandling av uppgifterna. Även om en behandling skulle kunna ske med stöd av finalitetsprincipen som gäller enligt 2 kap. 5 § patientdatalagen är det dock enligt regeringens uppfattning inte en tillfredsställande lösning att en sådan omfattande personuppgiftsbehandling som det torde vara frågan om, inte minst för universitetssjukhusens del, ska baseras på olika vårdgivares bedömningar av finalitetsprincipens tillämpning eller tillämpning av bestämmelsen om utlämnande som tillåtet ändamål. Inom hälso- och sjukvården behandlas integritetskänslig information om enskilda patienter. Det har därför i patientdatalagens förarbeten av principiella skäl ansetts viktigt att det i patientdatalagen uttryckligen och så uttömmande som möjligt framgår vilka ändamålen är för all personuppgiftsbehandling som regleras i lagen (prop. 2007/08:126 s. 56).
När det gäller behandling av personuppgifter i kvalitetsregister gäller som angivits inte finalitetsprincipen för behandling av uppgifter i dessa register (7 kap. 6 § patientdatalagen). De ändamål som personuppgifterna i dessa register får behandlas för regleras uttömmande i 7 kap. 4 och 5 §§. Som nämnts ovan gör regeringen bedömningen att behandling av personuppgifter för antalsberäkning kan omfattas av statistikändamål enligt EU:s dataskyddsförordning. Behandlingen kan sannolikt omfattas av ändamålet framställning av statistik i 7 kap. 5 § 1, men förarbetena ger inte någon tydlig ledning i detta avseende. I 7 kap. 5 § 2 anges forskning inom hälso- och sjukvården vara ett ändamål. Som regeringen ovan har redogjort för är det otydligt om begreppet forskning i detta sammanhang kan anses innefatta även antalsberäkning, som alltså i regel sker i steget innan ett forskningsprojekt prövats enligt etikprövningslagen.
Som framgår av avsnitt 3 och 4 har det uppstått osäkerhet om det rättliga stödet för antalsberäkning inom hälso- och sjukvård och i nationella och regionala kvalitetsregister. En rättslig osäkerhet och varierande praxis kan ha negativ inverkan på hur många forskningsstudier inom hälso- och sjukvården som förläggs i Sverige. Patienter som har nytta och intresse av att delta i forskning kan drabbas om själva forskningen aldrig kommer till stånd. Enligt regeringens bedömning kan det antas att förutsättningarna för klinisk forskning förbättras om antalsberäkning uttryckligen anges som ett tillåtet ändamål för behandling av personuppgifter inom hälso- och sjukvården och i nationella och regionala kvalitetsregister. Som nämnts ovan framhåller Socialstyrelsen och LIF att antalsberäkning också görs i andra datakällor hos statistikansvariga myndigheter, t.ex. de register som regleras av lagen om hälsodataregister och att behandlingen av personuppgifter då sker med stöd av statistiska ändamål. De uttrycker en oro för att en reglering i patientdatalagen kan väcka frågor kring det rättsliga stödet för antalsberäkning som sker i register och datakällor som regleras av annan lagstiftning. Regeringen konstaterar att det råder osäkerhet om rättsläget när det gäller antalsberäkning inför klinisk forskning med stöd av just patientdatalagen och att den uttalade ambitionen i förarbetena till denna lag att det uttryckligen och så uttömmande som möjligt ska framgå vilka ändamålen är för all personuppgiftsbehandling som regleras i lagen. Mot denna bakgrund föreslår regeringen att antalsberäkning inför klinisk forskning ska anges som ett uttryckligt ändamål i patientdatalagen. Som framgår ovan anser regeringen att behandling av personuppgifter för antalsberäkning kan utgöra en behandling för statistikändamål i dataskyddsförordningens mening. Regeringen vill framhålla att en precisering i patientdatalagen i fråga om tillåtna ändamål bara avser den verksamhet som regleras av patientdatalagen och inte hindrar att annan lagstiftning tolkas i enlighet med etablerad praxis som är hänförlig till den lagstiftningen. Att antalsberäkning inför klinisk forskning föreslås föras in som ett uttryckligt ändamål i patientdatalagen innebär inte heller något ställningstagande för att det för närvarande skulle vara otillåtet enligt lagen att utföra antalsberäkning. Regeringen har därmed inte heller tagit ställning för att antalsberäkning skulle vara otillåten under tiden fram till dess att ändringen i lagen träder i kraft (jfr avsnitt 7).
Den lagtekniska utformningen av regleringen
Utredningen föreslår att antalsberäkning ska läggas till i 1 kap. 1 § patientdatalagen, som anger lagens tillämpningsområde. Av paragrafen framgår att patientdatalagen tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Personuppgiftsbehandling för att utföra antalsberäkning sker inom hälso- och sjukvården. Ett tillägg framstår mot den bakgrunden inte som nödvändigt. Som flera remissinstanser, bl.a. E-hälsomyndigheten och Socialstyrelsen, framhåller skulle det också kunna försvåra tillämpningen av lagen om andra ändamål som hör samman med vidarebehandling också behöver räknas upp i paragrafen om lagens tillämpningsområde. Regeringen anser därför att någon ändring i bestämmelsen som reglerar lagens tillämpningsområde inte ska göras.
Om antalsberäkning inför klinisk forskning förs in i patientdatalagen som ett särskilt ändamål som personuppgifter kan behandlas för, bör en definition av uttrycket också föras in i lagen. Utredningen har föreslagit att det som ska definieras är "antalsberäkning" och att detta uttryck i patientdatalagen ska ha betydelsen "behandling av personuppgifter som görs på förfrågan för att beräkna hur många personer som uppfyller på förväg uppställda kriterier och därmed kan komma att ingå i forskning inom hälso- och sjukvården". Som nämnts tidigare avses med begreppet forskning inom hälso- och sjukvården i patientdatalagen forskning inom hälso- och sjukvårdsområdet (se prop. 2007/08:126 s. 259). Begreppet ska därför inte tolkas som att all forskning fysiskt måste ske inom hälso- och sjukvården. Som Region Skåne påpekar kan en forskare som begär antalsberäkning inför klinisk forskning vara en aktör som inte själv bedriver hälso- och sjukvård, exempelvis ett universitet eller ett företag. Vid klinisk forskning tas dock hälso- och sjukvårdens strukturer och resurser i anspråk på något sätt. Utredningen har endast identifierat problem vid antalsberäkning inför klinisk forskning och de nya ändamålsbestämmelser som regeringen föreslår avser antalsberäkning inför klinisk forskning. Mot denna bakgrund anser regeringen att det är uttrycket antalsberäkning inför klinisk forskning som bör definieras. Även vissa språkliga justeringar bör göras i definitionen. Regeringen föreslår sammantaget att det är uttrycket antalsberäkning inför klinisk forskning som ska definieras och att detta uttryck ska ha betydelsen beräkning som på förfrågan av forskare inför planerad klinisk forskning görs av hur många personer som uppfyller i förväg uppställda kriterier och som därmed kan komma att omfattas av forskningen.
I 2 kap. 4 § patientdatalagen görs det inte någon åtskillnad mellan primära ändamål och sekundära ändamål för personuppgiftsbehandling inom hälso- och sjukvården, även om vissa sekundära ändamål även anges i 2 kap. 5 §. När det gäller nationella och regionala kvalitetsregister görs en tydligare åtskillnad mellan primära och sekundära ändamål, se 7 kap. 4 och 5 §§. Sett till vilka ändamål som anges i de olika paragraferna passar det enligt regeringen bäst att införa det nya ändamålet, antalsberäkning inför klinisk forskning, i 2 kap. 4 § och 7 kap. 5 §. Regeringen anser, till skillnad från utredningen, att det inte behöver införas några nya paragrafer för det nya ändamålet i lagen.
Mer komplexa antalsberäkningar
Det finns som Biobank Sverige, LIF och Vinnova framhåller ett behov av att även utföra mer komplexa antalsberäkningar. Det kan handla om antalsberäkningar som kräver samkörning av datakällor hos flera olika huvudmän då patienter vårdas hos flera olika vårdgivare eller som ett förberedande steg för andra typer av forskning än klinisk forskning, t.ex. genom att använda nationella register vid myndigheter som Socialstyrelsen, Statistiska centralbyrån eller Arbetsförmedlingen. Vinnova framför vidare att myndigheten kan se ett värde i en motsvarande översyn av lagstiftning gällande antalsberäkning för forskning som baseras på källor utanför hälso- och sjukvården, för att på förhand undvika nya tolkningssvårigheter orsakade av olika grad av precisering i respektive lagstiftningar. Regeringen konstaterar dock att utredningen har bedömt att det främst är när det gäller patientdatalagen som det finns ett behov av förtydligande när det gäller antalsberäkning. Som regeringen anger ovan vill dock regeringen framhålla att en precisering i patientdatalagen i fråga om för vilka ändamål personuppgifter får behandlas enligt den lagen inte hindrar att annan lagstiftning tolkas i enlighet med etablerad praxis hänförlig till den lagstiftningen.
Privata vårdgivare
Privata aktörer utför också uppgifter av allmänt intresse i Sverige. Det gäller inte minst inom hälso- och sjukvårdssektorn. Utredningen anger att sådana privata vårdgivare som helt saknar koppling till offentligrättslig hälso- och sjukvårdsverksamhet inte omfattas av de föreslagna bestämmelserna i patientdatalagen där antalsberäkning förs in som särskilt ändamål för vårdgivarnas personuppgiftsbehandling inom hälso- och sjukvården. Anledningen till det är enligt utredningen att det för dessa vårdgivare inte finns något tillämpligt undantag mot förbudet att behandla känsliga personuppgifter enligt artikel 9.2 i EU:s dataskyddsförordning. Flera remissinstanser - Förvaltningsrätten i Stockholm, LIF, Region Skåne, Region Stockholm och Vinnova - har uppmärksammat detta som en brist i utredningens förslag.
En behandling av personuppgifter för att göra en antalsberäkning inför klinisk forskning innebär som konstaterats en ytterligare behandling av uppgifter som redan har samlats in med stöd av en rättslig grund inom hälso- och sjukvården. Behandlingen innebär en efterkommande användning av befintliga uppgifter som härrör från den individinriktade verksamheten i hälso- och sjukvården. I denna verksamhet samlas personuppgifter normalt in och behandlas med stöd av den rättsliga grunden uppgift av allmänt intresse. När det gäller hälso- och sjukvårdsverksamhet, i både offentlig och privat regi, finns uppgiften fastställd i bl.a. hälso- och sjukvårdslagen (prop. 2017/18:105 s. 58).
Hälso- och sjukvårdslagen är den centrala lagen för hälso- och sjukvården. Den innehåller övergripande mål, reglering av ansvarsförhållanden och riktlinjer för hälso- och sjukvården. I lagen finns bestämmelser om hur hälso- och sjukvårdsverksamhet ska organiseras och bedrivas. Lagen kompletteras med detaljreglering på förordnings- och föreskriftsnivå. Hälso- och sjukvårdslagen gäller för samtliga vårdgivare samt regioner och kommuner som huvudmän. Med huvudman avses den region eller kommun som enligt lagen ansvarar för att erbjuda hälso- och sjukvård. Inom en huvudmans geografiska område kan en eller flera vårdgivare bedriva verksamhet (2 kap. 2 §). Regioner och kommuner kan med bibehållet huvudmannaskap sluta avtal med någon annan om att utföra de uppgifter som regionen eller kommunen ansvarar för enligt hälso- och sjukvårdslagen (15 kap. 1 §). Med vårdgivare avses i lagen statlig myndighet, region, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet (2 kap. 3 §). Även vårdgivare som är underställda en huvudman vars verksamhet inte regleras i lagen omfattas av definitionen vårdgivare och ska uppfylla kraven i lagen i tillämpliga delar. Vårdgivare med enbart privat finansiering omfattas också av definitionen. Begreppet vårdgivare i patientdatalagen överensstämmer med begreppet i hälso- och sjukvårdslagen (1 kap. 3 § patientdatalagen). Bestämmelserna i hälso- och sjukvårdslagen och patientdatalagen gäller för både vårdgivare med en offentlig huvudman och vårdgivare med en privat huvudman.
Regeringen har i propositionen Behandling av personuppgifter för forskningsändamål angett att presumtionen bör vara att uppgiften att forska är en uppgift av allmänt intresse (prop. 2017/18:298 s. 33). Antalsberäkning görs vid planering av klinisk forskning. Vid förberedelserna undersöks för- och nackdelar med att i framtiden genomföra en studie inom klinisk forskning. En rad förutsättningar behöver undersökas för att kunna bedöma om det är lämpligt, eller ens möjligt, att starta forskningen. Syftet med antalsberäkning är att tillhandahålla ett beslutsunderlag. Genom antalsberäkningen kan bättre beslut som avser forskning inom hälso- och sjukvården fattas. Antalsberäkning kan därmed anses vara en uppgift av allmänt intresse. När det gäller behandling som grundas på den rättsliga grunden uppgift av allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning får nationell rätt enligt artikel 6.3 innehålla bestämmelser för att anpassa tillämpningen av förordningen bl.a. vad gäller för vilka ändamål behandlingen får ske. Vid tillämpningen av artikel 6.1 e spelar det ingen roll om den personuppgiftsansvarige är en offentlig eller privat aktör. Bestämmelserna i patientdatalagen är en sådan tillåten precisering i enlighet med artikel 6.3.
Förslaget i denna proposition innebär att antalsberäkning inför klinisk forskning förs in som ett nytt tillåtet ändamål för personuppgiftsbehandling i patientdatalagen. Bestämmelserna i lagen gäller för vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Det nya ändamålet kommer därmed att gälla för alla vårdgivare som omfattas av definitionen. Bestämmelsen tillåter alla vårdgivare som omfattas av definitionen i lagen att behandla personuppgifter för antalsberäkning inför klinisk forskning, vilket är en uppgift av allmänt intresse. Detta ger enligt regeringens bedömning det stöd i rättsordningen som behövs för att uppgiften att utföra antalsberäkning ska anses vara fastställd i svensk rätt för privata vårdgivare i enlighet med artikel 6.3.
Regeringen har ovan gjort bedömningen att den ytterligare behandling av känsliga personuppgifter som sker då uppgifter som har samlats in inom hälso- och sjukvården behandlas för att utföra antalsberäkning kan ske med direkt tillämpning av bland annat artikel 9.2 i och j i EU:s dataskyddsförordning.
Som konstaterats ovan finns det bestämmelser i patientdatalagen om inre sekretess och elektronisk åtkomst, vilka är tillämpliga då uppgifter behandlas vid antalsberäkning. Vidare finns bestämmelser om tystnadsplikt för hälso- och sjukvårdspersonal inom den enskilda hälso- och sjukvården i patientsäkerhetslagen. Som närmare utvecklas i avsnitt 6.2 föreslås dessutom ytterligare en skyddsåtgärd i form av en bestämmelse i patientdatalagen som innebär dels att resultatet av antalsberäkning inför klinisk forskning ska få lämnas ut till den som gjort förfrågan endast i form av uppgift om det antal personer som uppfyller de i förväg uppställda kriterierna, dels att resultatet ska få anges med ett exakt antal eller som ett intervall. Härigenom kommer svensk rätt som angivits att innehålla bestämmelser om lämpliga skyddsåtgärder som är tillämpliga vid behandling av personuppgifter för antalsberäkning och som krävs enligt artikel 9.2 i och j.
Sammanfattningsvis medför förslaget att även privata vårdgivare som inte har någon koppling till den offentligrättsliga hälso- och sjukvårdsverksamheten får ett stöd i patientdatalagen för att behandla personuppgifter för ändamålet att utföra antalsberäkning inför klinisk forskning.
6.2 Det behövs ytterligare skyddsåtgärder vid antalsberäkning inför klinisk forskning
Regeringens förslag: Det ska som en skyddsåtgärd införas en bestämmelse i patientdatalagen som innebär att resultatet av antalsberäkning inför klinisk forskning får lämnas ut till den som gjort förfrågan endast i form av uppgift om det antal personer som uppfyller de i förväg uppställda kriterierna. Resultatet får anges med ett exakt antal eller som ett intervall.
Regeringens bedömning: Det bör inte införas någon upplysnings-bestämmelse i patientdatalagen om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter i fråga om behandling av personuppgifter vid antalsberäkning.
Utredningens förslag och bedömning överensstämmer inte med regeringens. Utredningen bedömer att det inte finns anledning att fastställa ytterligare skyddsåtgärder för det föreslagna ändamålet behandling av personuppgifter för antalsberäkning. Utredningen föreslår att det i lagen bör upplysas om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter som närmare reglerar hur personuppgiftsbehandlingen för detta ändamål ska utföras.
Remissinstanserna: De flesta remissinstanserna yttrar sig inte särskilt om bedömningen att ytterligare skyddsåtgärder inte bör införas i patientdatalagen (2008:355). Socialstyrelsen instämmer i utredningens bedömning att några skyddsåtgärder inte behövs och pekar på kravet för vårdgivare att säkerställa att behovs- och riskanalyser genomförs i enlighet med artikel 5.1 f och 32 i EU:s dataskyddsförordning, patientdatalagen och Socialstyrelsens föreskrifter och allmänna råd.
Integritetsskyddsmyndigheten (IMY) delar inte utredningens bedömning att några skyddsåtgärder inte behöver införas i patientdatalagen, och anför att det krävs en tydlig reglering av lämpliga skyddsåtgärder för att uppfylla kraven på proportionalitet i EU:s dataskyddsförordning och att behovet av skyddsåtgärder kan se olika ut beroende på om uppgifterna hämtas ur patientjournalen eller de regionala eller nationella kvalitetsregistren. Lämpliga skyddsåtgärder kan enligt IMY vara en bestämmelse som ger den enskilde möjlighet att motsätta sig personuppgiftsbehandling eller att införa bestämmelser om informationsskyldighet, liknande den som finns i 7 kap. 3 § patientdatalagen, för den personuppgiftsansvariga.
Svensk sjuksköterskeförening anser att det finns en risk att förslaget om att enbart uppgift om antalet personer lämnas till forskaren inte kommer följas. Svenska läkaresällskapet anför att det behövs en kontrollmekanism för att värdera hur specifika och detaljerade kriterier man kan använda vid antalsberäkning eftersom det kan finnas en risk att en individ identifieras genom att kombinera tillräckligt många sökkriterier. Även Sveriges Kommuner och Regioner (SKR) och Statens medicinetiska råd (Smer) belyser risken att individer kan komma att identifieras om den begärda antalsberäkningen omfattar en liten patientgrupp eller en kombination av personfaktorer och sjukdomar.
Örebro universitet lyfter frågan om användning av administrativa pseudonymiserade eller helt avidentifierade system vid antalsberäkning kan vara en möjlighet.
SKR, Region Östergötland och Läkemedelsindustriföretagen (LIF) tillstyrker utredningens förslag att införa en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter som närmare reglerar hur personuppgiftsbehandlingen för detta ändamål ska utföras. Etikprövningsmyndigheten betonar vikten av att möjligheten att meddela föreskrifter på lägre nivå än i lag verkligen utnyttjas, för att uppnå ett fullgott skydd för de registrerade. Region Östergötland lyfter fram aspekten att det finns en viss osäkerhet ur ett dataskyddsperspektiv eftersom det i dag inte går att utvärdera exakt vilka konsekvenser kommande föreskrifter kan få vad gäller skydd av personuppgifter och den personliga integriteten.
Socialstyrelsen avstyrker förslaget att införa en upplysningsbestämmelse i patientdatalagen och anför att hänvisningen kan leda till oklarheter i förhållande till befintliga bemyndiganden samt att det i dag inte finns några detaljstyrande föreskrifter utifrån specifika ändamål.
Som framgår i avsnitt 3 har IMY beretts tillfälle att yttra sig över ett utkast till lagrådsremiss med förslag som överensstämmer med det som anges i rutan. IMY anser att det vore lämpligt att som skyddsåtgärd införa en möjlighet för den registrerade att motsätta sig personuppgiftsbehandling vid antalsberäkning genom så kallad opt-out. Denna skyddsåtgärd behöver dock enligt IMY endast införas avseende sådan antalsberäkning som inte sker i kvalitetsregistren eftersom den registrerade redan idag har en möjlighet att motsätta sig behandling inom ramen för kvalitetsregistren. Att inte införa en möjlighet för den enskilde att motsätta sig personuppgiftsbehandling för antalsberäkning utanför kvalitetsregistren skulle enligt IMY innebära en obalans i integritetsskyddet då möjligheten för den enskilde att motsätta sig antalsberäkning genom att motsätta sig att ens uppgifter ingår i ett kvalitetsregister kan kringgås genom att uppgifterna hämtas direkt ifrån dennes patientjournal. Att däremot införa en sådan möjlighet även i patientjournalerna borde enligt myndigheten ha praktiska fördelar då de som motsatt sig personuppgiftsbehandling för antalsberäkning med all sannolikhet inte heller kommer vilja delta i den kommande kliniska forskningsstudien.
Skälen för regeringens förslag och bedömning
Vid behandling av känsliga personuppgifter ställs det särskilda krav på skyddsåtgärder
Som regeringen redogjort för i avsnitt 4 innebär antalsberäkning inför klinisk forskning att känsliga personuppgifter behandlas. Genom de kriterier som forskaren anger i sin förfrågan till en vårdgivare, söker vårdgivaren uppgifter ur exempelvis journalhandlingar och kvalitetsregister för att få fram hur stort antal patienter som stämmer in på kriterierna.
Förslagen som lämnas i avsnitt 6.1 innebär att en behandling av känsliga personuppgifter tillåts för ett nytt preciserat ändamål, antalsberäkning inför klinisk forskning. I sammanhanget måste därför även behovet av skyddsåtgärder övervägas för att säkerställa den enskildes grundläggande rättigheter och intressen. Vid behandling av känsliga personuppgifter med tillämpning av undantaget i artikel 9.2 i i EU:s dataskyddsförordning uppställs krav på att nationell rätt ska innehålla lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter, och enligt artikel 9.2 j krävs att nationell rätt innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Enligt artikel 89.1 i EU:s dataskyddsförordning ställs det krav på att en behandling av personuppgifter för bland annat statistiska ändamål och vetenskapliga eller historiska forskningsändamål omfattas av lämpliga skyddsåtgärder. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Uppgiftsminimering är en av de principer för behandling av personuppgifter som framgår av artikel 5 och innebär att personuppgifterna ska vara adekvata, relevanta, och inte för omfattande i förhållande till de ändamål för vilka de behandlas (artikel 5.1 c). Medlemsstaterna bör införa lämpliga skyddsåtgärder för behandling av personuppgifter för dessa ändamål (skäl 156 i EU:s dataskyddsförordning).
Vilka uppgifter som får redovisas till förfrågaren av en antalsberäkning bör regleras i lag som en skyddsåtgärd
Utöver sådana skyddsåtgärder som nämns direkt i EU:s dataskyddsförordning finns det i svensk rätt andra former av skyddsåtgärder, exempelvis tillgångsbegränsningar, sökbegränsningar, gallringsregler och sekretessbestämmelser. I avsnitt 5.2 och 5.3 har regeringen redogjort för de bestämmelser om skyddsåtgärder som i dag finns i EU:s dataskyddsförordning, patientdatalagen, OSL och patientsäkerhetslagen. Som angetts finns i patientdatalagen t.ex. bestämmelser om s.k. inre sekretess, dvs. att den som arbetar hos en vårdgivare får ta del av uppgifter om en patient endast om han eller hon behöver uppgifterna för sitt arbete inom hälso- och sjukvården (4 kap. 1 §). I samma kapitel finns även bestämmelser om tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat, om att sådan behörighet ska dokumenteras och att kontroller av eventuell obehörig åtkomst regelbundet ska göras (4 kap. 2 och 3 §§). Patienten har även en rätt att på begäran få information om bl.a. sådan elektronisk åtkomst till dennes uppgifter som förekommit (8 kap. 5 §). I 8 kap. 6 § finns bestämmelser om vilka uppgifter som den personuppgiftsansvarige i övrigt och utan begäran är skyldig att lämna till den registrerade. I OSL samt patientsäkerhetslagen finns vidare bestämmelser om sekretess respektive tystnadsplikt.
Utredningen anför att dess förslag innebär att endast uppgift om det antal sökträffar som en antalsberäkning ger ska redovisas till frågeställaren och att några personuppgifter inte ska lämnas ut till förfrågaren. Några remissinstanser tar dock upp olika aspekter på frågan om utredningens förslag kan medföra en risk för att känsliga personuppgifter ändå kan komma att spridas från hälso- och sjukvården. Svensk sjuksköterskeförening lyfter frågan om att vårdgivare kan komma att lämna ut personuppgifter. Svenska läkaresällskapet, SKR och Smer anför att det finns en risk att individer kan komma att identifieras om de kriterier som anges i förfrågan om antalsberäkning endast omfattar ett fåtal personer. Beträffande dessa frågor gör regeringen följande överväganden.
Det är känsliga personuppgifter som behandlas vid antalsberäkning och de registrerade kan inte motsätta sig personuppgiftsbehandlingen i t.ex. patientjournaler (se nedan). Som bl.a. IMY och Etikprövningsmyndigheten påpekat är det därför viktigt att det finns tillräckliga och lämpliga skyddsåtgärder som medför att riskerna för de registrerades personliga integritet minimeras. Vid antalsberäkning inför klinisk forskning behöver förfrågaren inte veta vilka personer som uppfyller de angivna kriterierna, utan endast hur många personer det är fråga om. Regeringen instämmer i utredningens bedömning att några personuppgifter inte bör lämnas ut till frågeställaren vid antalsberäkning inför klinisk forskning. Därtill ska beaktas att det gäller stark sekretess och tystnadsplikt för uppgift om vilka enskilda som behandlas inom hälso- och sjukvården. Denna sekretess och tystnadsplikt gäller t.o.m. som huvudregel i förhållande till vårdtagarens anhöriga. Enbart ett utlämnande av en siffra kan därför inte leda till att enskilda kan identifieras för utomstående när resultatet av en antalsberäkning endast omfattar ett fåtal personer. Med anledning av den synpunkt som Svensk sjuksköterskeförening har lämnat anser regeringen dock att det inte räcker med enbart en definition av uttrycket antalsberäkning inför klinisk forskning (se avsnitt 6.1), utan att det uttryckligen bör regleras i patientdatalagen dels att resultatet av en antalsberäkning får redovisas till förfrågaren endast i form av uppgift om det antal personer som uppfyller de i förväg uppställda kriterierna, dels att resultatet får anges med ett exakt antal eller som ett intervall. Bestämmelsen, som utgör en skyddsåtgärd, ska vara tillämplig på all antalsberäkning inför klinisk forskning inom patientdatalagens tillämpningsområde, oavsett i vilka databaser eller register som personuppgiftsbehandlingen sker. Bestämmelsen bör därför föras in i 5 kap. patientdatalagen, där grundläggande bestämmelser om utlämnande av uppgifter och handlingar samt viss uppgiftsskyldighet finns. Det bör vara upp till vårdgivaren att utifrån förfrågan i det enskilda fallet avgöra om det är lämpligt att redovisa resultatet i form av ett exakt antal eller ett intervall.
De personuppgifter som behandlas vid antalsberäkning omfattas av bestämmelser om sekretess och tystnadsplikt gentemot bl.a. frågeställaren. Det finns tillsynsmyndigheter som granskar myndigheternas efterlevnad av bl.a. OSL. Till exempel granskar Riksdagens ombudsmän (JO) att offentliga vårdgivare följer tillämpliga bestämmelser om sekretess. Vidare har IMY ett tillsynsuppdrag att övervaka tillämpningen av dataskyddsförordningen. Av dataskyddsförordningen följer att personupp-giftsansvarig utan dröjsmål och om möjligt inom 72 timmar ska anmäla en personuppgiftsincident till tillsynsmyndigheten (artikel 33). Ett exempel på personuppgiftsincident är en säkerhetsincident som leder till obehörig åtkomst till de personuppgifter som behandlats (artikel 4.12). Om tillsynsmyndigheten konstaterar att en överträdelse av förordningen har skett, kan myndigheten påföra en sanktionsavgift, som i varje enskilt fall ska vara effektiv, proportionell och avskräckande (artikel 83). Det finns alltså väl etablerade regelverk som ska säkerställa att bestämmelserna om behandling av personuppgifter efterlevs. Det finns även bestämmelser om inre sekretess i patientdatalagen, som förhindrar att personer som inte deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården får ta del av dokumenterade uppgifter (4 kap. 1 § patientdatalagen).
Mot bakgrund av denna reglering och med hänsyn till regeringens förslag på skyddsåtgärd är det regeringens uppfattning att risken för att en patient eller en mindre patientgrupp skulle kunna identifieras utifrån resultatet av antalsberäkningen är minimal.
Vid antalsberäkning finns det ett värde för forskaren som gör förfrågan att få en verklig uppfattning av hur många patienter som uppfyller de kriterier som är relevanta för forskningsprojektet. Att antalsberäkning kan göras i de system som faktiskt används för vård och behandling, bl.a. patientjournaler, är därför en viktig och avgörande förutsättning för att kunna utföra en antalsberäkning av hög kvalitet. Regeringen ser därför inte Örebro universitets förslag om pseudonymiserade eller helt avidentifierade administrativa system för antalsberäkning som ett möjligt alternativ. Att införa en bestämmelse om att antalsberäkning endast får göras i pseudonymiserade system skulle även vara en för långtgående och för vårdgivarna betungande skyddsåtgärd i förhållande till de risker för den registrerades intressen som behandlingen aktualiserar. Det finns i och för sig inget som hindrar en vårdgivare från att utföra antalsberäkningarna i pseudonymiserade eller helt avidentifierade system, men det är enligt regeringens mening ingen skyddsåtgärd som det bör införas krav på i reglering.
Det finns inte anledning att införa ytterligare skyddsåtgärder utöver de befintliga och den ovan föreslagna skyddsåtgärden
IMY anser att det finns anledning att införa ytterligare en skyddsåtgärd i form av en opt out-bestämmelse för sådan antalsberäkning som inte sker i nationella eller regionala kvalitetsregister. En stor skillnad mellan nationella eller regionala kvalitetsregister å ena sidan och övriga databaser inom hälso- och sjukvården å andra, är att den enskilde kan motsätta sig behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister, en s.k. opt-out-bestämmelse (7 kap. 2 § patientdatalagen). Behandling av personuppgifter i bl.a. patientjournaler och i lokala kvalitetsregister är däremot tillåten även om den enskilde motsätter sig det (2 kap. 2 § patientdatalagen). När patientdatalagen med de aktuella bestämmelserna infördes lyfte regeringen att det inom hälso- och sjukvården förs kvalitetsregister på flera olika nivåer. De kan föras lokalt inom en offentlig eller privat vårdgivares verksamhet, nationellt med hela landet som upptagningsområde eller regionalt. Regeringen framhöll att i de nationella eller regionala kvalitetsregistren samlas ofta personuppgifter och annan information som rapporteras till registret från flera vårdgivare utspridda inom ett landsting (numera benämnd region), inom en eller flera av landets sex sjukvårdsregioner eller i hela landet och att datoriserade register vari lagras känsliga personuppgifter som härrör från ett flertal vårdgivares patientverksamhet får anses som mer integritetskänsliga än lokala motsvarigheter. Regeringen ansåg därför att det fanns anledning att kringgärda personuppgiftshanteringen i nationella och regionala kvalitetsregister med vissa specialbestämmelser rörande några för integritetsskyddet viktiga förhållanden, t.ex. särbestämmelsen som den ovan nämnda opt-out-bestämmelsen i 7 kap. 2 §. Införandet av särbestämmelser bedömdes medföra att allmänhetens förtroende för registerverksamheten bevaras på en hög nivå och motverka bortfall genom att enskilda patienter blir mindre benägna att utnyttja rätten att motsätta sig registrering i ett nationellt eller regionalt kvalitetsregister. Regeringen föreslog således bestämmelser i 7 kap. som gäller för nationella och regionala kvalitetsregister men inte för lokala kvalitetsregister. De lokala kvalitetsregistren regleras i stället av patientdatalagens allmänna bestämmelser, se bl.a. 2 kap. 4 § 4 (prop. 2007/08:126 s. 176-178 och 186-190).
När det gäller den personuppgiftsbehandling som sker med stöd av 2 kap. patientdatalagen gör regeringen följande överväganden. Häri ingår den personuppgiftsbehandling som sker i patientjournalerna, men även i eventuella andra system som vårdgivaren har, t.ex. lokala kvalitetsregister, men inte nationella och regionala kvalitetsregister. Patientjournaler och andra databaser och system än nationella och regionala kvalitetsregister används i dag, förutom för vårddokumentation, även för bl.a. administration, planering, uppföljning, utvärdering och tillsyn av verksamheten och att framställa statistik om hälso- och sjukvården (2 kap. 4 § patientdatalagen). Med statistik om hälso- och sjukvården avses inte s.k. verksamhetsstatistik, utan exempelvis sådan statistik som regionerna tar fram för att informera befolkningen om hälso- och sjukvårdsverksamheten (se prop. 2007/08:126 s. 229).
Insamlingen av de aktuella personuppgifterna inom hälso- och sjukvården ligger primärt till grund för diagnostisering och behandling av patienten i fråga. Men den registrerade kan inte heller motsätta sig personuppgiftsbehandling som saknar direkt koppling till vården av denne. Det kan t.ex. röra sig om framtagande av statistik eller, som regeringen nu föreslår, antalsberäkning. I fråga om personuppgiftsbehandling som den enskilde inte kan motsätta sig aktualiseras frågor om den registrerades autonomi och rätten till kontroll över sina personuppgifter.
Vid antalsberäkning finns det som nämnts ovan ett värde för forskaren som gör förfrågan att få en verklig uppfattning av hur många patienter som uppfyller de kriterier som är relevanta för forskningsprojektet. Att antalsberäkning kan göras i de system som faktiskt används för vård och behandling, bl.a. patientjournaler, är därför en viktig och avgörande förutsättning för att kunna utföra en antalsberäkning av hög kvalitet. Regeringen instämmer därför inte i IMY:s bedömning att en lämplig skyddsåtgärd kan vara en bestämmelse som ger den enskilde möjlighet att motsätta sig personuppgiftsbehandling för antalsberäkning i patientjournaler, en s.k. opt-out-bestämmelse liknande den som finns för de nationella och regionala kvalitetsregistren. Patientdatalagen innehåller i dag skillnader vad gäller integritetsskyddet för uppgifter i patientjournaler och i de nationella och regionala kvalitetsregistren. De nationella och regionala kvalitetsregistren innehåller i vissa delar andra uppgifter än de som finns i patientjournaler och det finns ett värde i att kunna göra antalsberäkningar i båda systemen. Den omständigheten att en registrerad inte kan motsätta sig att dennes personuppgifter behandlas för antalsberäkning i patientjournaler, även om denne motsatt sig behandling av personuppgifter i kvalitetsregistren medför inte en obalans i integritetsskyddet. Som framgår ovan har lagstiftaren gjort en medveten skillnad i integritetsskyddet mellan å ena sidan patientjournaler och lokala kvalitetsregister och å andra sidan nationella och regionala kvalitetsregister. Om en antalsberäkning görs i både patientjournaler och kvalitetsregister kommer förfrågaren endast att få två siffror redovisade till sig. Någon möjlighet att jämföra eller göra korssökningar på sökresultaten finns inte.
Antalsberäkning innebär att sökningar görs i patientjournaler utifrån vissa i förväg uppställda kriterier. Syftet med personuppgiftsbehandlingen är att få fram ett sifferresultat som sedan redovisas till förfrågaren. Resultatet utgör en del av underlaget för forskaren när denne ska bedöma om det finns förutsättningar att påbörja en forskningsstudie. Antalsberäkning sker innan någon egentlig forskning har påbörjats och det är i det läget för tidigt för något ställningstagande från patienten om eventuellt framtida deltagande i forskning. Det är först i nästa steg, när beslut tagits om att inleda en forskningsstudie och denna har prövats enligt etikprövningslagen, som potentiella patienter söks fram och tillfrågas om deltagande. Regeringen delar inte IMY:s uppfattning att en eventuell möjlighet att motsätta sig personuppgiftsbehandling vid antalsberäkning i patientjournaler skulle innebära praktiska fördelar då de som motsatt sig personuppgiftsbehandling för antalsberäkning med all sannolikhet inte heller kommer vilja delta i den kommande kliniska forskningsstudien. Regeringen anser att det först är när det finns en konkret forskningsstudie att ta ställning till, som det för de flesta patienter bör vara möjligt att ta ställning till eventuellt deltagande.
Personuppgiftsbehandlingen som sådan vid antalsberäkning, att söka på personuppgifter efter vissa i förväg uppställda kriterier, liknar den som sker vid bl.a. framtagande av statistik. Enskilda kan i dag inte motsätta sig personuppgiftsbehandling som innebär t.ex. sökning på diagnoser och andra känsliga personuppgifter som ligger till grund för olika statistiska sammanställningar, vilka sedan används för att informera t.ex. befolkningen om hälso- och sjukvårdsverksamheten. En särreglering för antalsberäkning, i form av t.ex. en opt-out-bestämmelse, skulle riskera att medföra svåra gränsdragningar och omotiverade administrativa åtgärder för vårdgivarna. Det skulle då behöva finnas funktioner som möjliggör att samma personuppgift inte får ingå i sökunderlaget vid sökning för antalsberäkning, beroende på om patienten har motsatt sig personuppgiftsbehandling för detta ändamål, men däremot för t.ex. verksamhetsutveckling och statistik. Skillnaderna vad gäller de registrerades grundläggande rättigheter och intressen mellan dessa olika personuppgiftsbehandlingar är i detta sammanhang inte sådana att personuppgiftsbehandling vid antalsberäkning bör särregleras.
Det integritetsintrång som behandlingen av personuppgifter vid antalsberäkning medför är begränsat. Befintliga skyddsåtgärder tillsammans med den av regeringen ovan föreslagna skyddsåtgärden minimerar både exponeringen av personuppgifterna och risken för att dessa sprids vidare. Se vidare regeringens överväganden i frågorna om proportionalitet och den enskildes intressen i avsnitt 6.3. Regeringen bedömer att befintliga skyddsåtgärder i kombination med den ytterligare skyddsåtgärd som regeringen föreslår, är både lämpliga och tillräckliga för att tillvarata de registrerades intressen och rättigheter. Regeringen anser därför inte att en ytterligare skyddsåtgärd i form av en opt-out-bestämmelse för sådan antalsberäkning som inte sker nationella eller regionala kvalitetsregister bör införas.
När det gäller nationella och regionala kvalitetsregister har patienten, i enlighet med befintliga bestämmelser, möjlighet att välja att dennes personuppgifter inte ska behandlas i dessa databaser, vilket i sig är en mycket stark skyddsåtgärd. Kvalitetsregistren omgärdas även av ytterligare skyddsåtgärder. En enskilds namn och personnummer får t.ex. behandlas i ett nationellt eller regionalt kvalitetsregister endast om det inte är tillräckligt att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde (7 kap. 8 § andra stycket patientdatalagen). Regeringen har ovan redogjort för sin bedömning att de skyddsåtgärder som i dag finns beträffande de databaser som regleras i 2 kap. patientdatalagen i kombination med den nu föreslagna skyddsåtgärden är tillräckliga för personuppgiftsbehandling vid antalsberäkning. Med hänsyn till att de nationella och regionala kvalitetsregistren omfattas av ytterligare skyddsåtgärder anser regeringen att det saknas skäl att beträffande kvalitetsregistren särreglera antalsberäkning.
Närmare om personuppgiftsansvarigas informationsskyldighet
Det finns anledning att närmare belysa den fråga som IMY väcker angående personuppgiftsansvarigas informationsskyldighet. Myndigheten har som exempel på skyddsåtgärd föreslagit att en informationsskyldighet, liknande den i 7 kap. 3 § patientdatalagen, införs vid personuppgiftsbehandling för antalsberäkning.
Redan av artikel 13 och 14 i EU:s dataskyddsförordning framgår att den personuppgiftsansvarige ska lämna viss information till den registrerade. Information ska bl.a. lämnas om ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen, under vilken period som personuppgifterna kommer lagras samt om den registrerades rätt att begära tillgång till och rättelse eller radering av personuppgifterna. I patientdatalagen finns kompletterande bestämmelser om informationsskyldighet. En vårdgivare ska bl.a. upplysa patienten om sin rätt att på begäran få information om den direktåtkomst och elektroniska åtkomst till uppgifter om patienten som förekommit (8 kap. 5 § och 6 § 4). I 8 kap. 6 § anges vilken information den personuppgiftsansvarige ska lämna till den registrerade utöver den information som ska lämnas enligt artikel 13 och 14.
Av regleringen i 7 kap. 3 § patientdatalagen, som gäller för nationella och regionala kvalitetsregister och som IMY nämner som exempel, framgår att innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister ska den som är personuppgiftsansvarig se till att den enskilde, utöver den information som ska lämnas enligt 8 kap. 6 §, får information om rätten att när som helst få uppgifter om sig själv utplånade ur registret. Om det inte är möjligt att lämna informationen innan personuppgiftsbehandlingen påbörjas, ska den lämnas så snart som möjligt därefter.
Då den registrerade inte kan motsätta sig den personuppgiftsbehandling som sker i bl.a. patientjournaler och då regeringen inte föreslår att det i 2 kap. patientdatalagen ska införas någon bestämmelse som ger den enskilde möjlighet att motsätta sig behandling av personuppgifter vid antalsberäkningar, föreslås inte att någon bestämmelse som motsvarar 7 kap. 3 § patientdatalagen ska införas beträffande antalsberäkningar i 2 kap. patientdatalagen. Regeringen föreslår i denna proposition att personuppgiftsbehandling för antalsberäkning införs som ett uttryckligt tillåtet ändamål i patientdatalagen. Som ovan har redogjorts för framgår det av artikel 13 och 14 dataskyddsförordningen att bl.a. information om ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen ska lämnas till den registrerade. Artikel 13 är tillämplig om personuppgifter samlas in från den registrerade medan artikel 14 är tillämplig om personuppgifterna inte har erhållits från den registrerade. Av artikel 13.3 och artikel 14.4 framgår vidare att om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information om detta andra syfte samt viss ytterligare relevant information. Vissa undantag från informationsskyldigheten finns i artikel 13.4 och artikel 14.5. De bestämmelser som redan finns om informationsskyldighet bedöms vara både ändamålsenliga och tillräckliga för att tillvarata de registrerades intressen.
Det finns inte skäl att införa skyddsåtgärder i föreskrifter på lägre nivå än lag
Utredningen föreslår, utan närmare motivering och utan att lämna något författningsförslag, att det i en föreskrift på lägre nivå än lag, ska regleras vem eller vilka personalkategorier som bör utföra den aktuella personuppgiftsbehandlingen, hur denna arbetsuppgift ska utformas, vilka sök- och sammanställningsmöjligheter som kan bedömas vara nödvändiga, vilken information om behandlingen som bör lämnas till de registrerade samt andra liknande frågor.
Som Socialstyrelsen påpekar saknas denna typ av detaljreglering för andra personuppgiftsbehandlingar inom hälso- och sjukvården. Patientdatalagen är tillämplig på många olika sorters verksamheter av skiftande storlek. Att meddela föreskrifter som reglerar vilken personalkategori som ska utföra arbetsuppgiften eller hur denna uppgift ska utföras riskerar att inverka menligt på de enskilda vårdgivarnas möjlighet att själva organisera sin verksamhet. Redan genom bestämmelsen i artikel 24 i EU:s dataskyddsförordning framgår att den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med förordningen. Det bör därför vara upp till den enskilde vårdgivaren att avgöra på vilket sätt arbetet bäst ska organiseras för att uppfylla kraven på skydd och säkerhet för de registrerade.
Syftet med utredningens förslag att det på lägre nivå än lag ska införas bestämmelser som begränsar möjligheterna att söka och sammanställa information är sannolikt att föreslå en lösning på en problematik liknande den som regeringen ovan har redogjort för, t.ex. risken för att individer kan komma att identifieras om de kriterier som anges i förfrågan om antalsberäkning ger ett mycket lågt antal som resultat. Dessa integritetsrisker bör dock minimeras i och med bestämmelserna om sekretess respektive tystnadsplikt i OSL respektive patientsäkerhetslagen, bestämmelserna om inre sekretess i patientdatalagen och den nya skyddsåtgärd som regeringen föreslår i patientdatalagen. De befintliga skyddsåtgärderna bedöms tillsammans med den nya skyddsåtgärden vara lämpliga och tillräckliga för att tillvarata de registrerades intressen och rättigheter.
Regeringen anser därför, i likhet med Socialstyrelsen, att det inte finns skäl för att införa ytterligare skyddsåtgärder i föreskrifter på lägre nivå än lag. Om ett detaljerat regelverk skulle införas kring just behandling av personuppgifter för antalsberäkning skulle det i stället riskera att medföra osäkerhet kring vad som gäller beträffande annan personuppgiftsbehandling inom hälso- och sjukvården, där sådan reglering saknas. Någon upplysningsbestämmelse bör således inte föras in i patientdatalagen.
6.3 De enskildas integritet skyddas
Regeringens bedömning: Den behandling av personuppgifter som möjliggörs genom förslagen i denna proposition medför endast små risker för de intressen som dataskyddsregleringen avser att skydda. Behandlingen av personuppgifter står i rimlig proportion till den nytta som förslagen förväntas medföra.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: De flesta remissinstanserna yttrar sig inte särskilt över bedömningen i denna del. Integritetsskyddsmyndigheten (IMY) anser att det finns behov av personuppgiftsbehandling för antalsberäkning inför klinisk forskning. Betänkandet innehåller dock enligt myndigheten inte de analyser som krävs för att kunna ta ställning till om lagförslaget uppfyller kraven i EU:s dataskyddsförordning. IMY kan därför inte tillstyrka förslaget utifrån det nuvarande underlaget. IMY framhåller att enligt artikel 6.3 andra stycket dataskyddsförordningen måste behandlingen vara proportionerlig i förhållande till det legitima mål som eftersträvas. Vid bedömningen av om dessa krav är uppfyllda måste det ske en kartläggning av de risker och konsekvenser som förslaget kan innebära för den personliga integriteten. Även i artikel 9.2 j dataskyddsförordningen anges att behandlingen ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen.
Statens medicinsk-etiska råd (Smer) anser inte att den etiska analysen är fullständigt genomförd och att man inte har behandlat avvägningen mellan nyttan av ny kunskap i relation till patienters integritet tillräckligt ingående. Även Sveriges Kommuner och Regioner (SKR) anser att den etiska analysen av förslagens konsekvenser för den personliga integriteten är bristfällig. Men trots brister i den etiska analysen instämmer SKR i att risken för den personliga integriteten står i proportion till värdet av att kunna genomföra antalsberäkning som ett förberedande steg inför klinisk forskning.
Göteborgs universitet anser att det är av stor betydelse att kunna utföra antalsberäkning för att värdera möjligheterna att utföra kliniska studier, givetvis med bevarad personlig integritet och patientsäkerhet. Detta är enligt universitetet viktigt för utvecklingen av Sverige som stark kunskapsnation och förbättrar förutsättningarna för forskning, innovation och ett konkurrenskraftigt näringsliv.
Vetenskapsrådet tillstyrker förslagen i delbetänkandet och vill betona att dessa är av stor vikt för att möjliggöra förbättrade förutsättningar för att bedriva kliniska studier i Sverige. Vidare anser Vetenskapsrådet att förslagets utformning, där patientuppgifterna stannar inom hälso- och sjukvården, möjliggör för patienter att känna fortsatt förtroende för vården och bidra till bra underlag för framtida forskning.
Skälen för regeringens bedömning: Av artikel 6.3 i dataskydds-förordningen framgår att nationell rätt som kompletterar förordningen ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Detta motsvarar det krav som Europakonventionen ställer på lagstiftaren i en rättsstat. Det finns även ett krav på proportionalitetsbedömning vid undantag från förbudet mot behandling av känsliga personuppgifter med stöd av artikel 9.2 j i EU:s dataskyddsförordning.
Vad gäller proportionalitetsbedömningen anger utredningen visserligen i en tabell vilka värden som står på spel samt effekter på kort sikt respektive på lång sikt för de aktörer som berörs av antalsberäkning. För personerna bakom personuppgifterna, dvs. de registrerade, anges i denna uppräkning att de värden som står på spel är integritet, autonomi, människovärde och rättvisa. Det saknas dock, som bl.a. IMY, SKR och Smer påpekat, en analys av vad detta konkret innebär och vilka konkreta risker för den personliga integriteten som personuppgiftsbehandling vid antalsberäkning innebär.
Regeringen gör i denna fråga följande överväganden. Antalsberäkning inför klinisk forskning innebär att vårdgivare, på förfrågan av forskare, gör sökningar i sina databaser efter hur många personer som stämmer in på de kriterier som angetts i förfrågan. Exempel på kriterier som anges kan vara diagnoser, behandling, ålder och uppgift om en patient genomgått en viss åtgärd inom hälso- och sjukvård. Det innebär att känsliga personuppgifter behandlas och att sökningar görs på känsliga personuppgifter. Resultatet av denna sökning, dvs. hur många patienter som stämmer in på kriterierna, redovisas sedan till frågeställaren i form av en uppgift om antal. Som framgår av avsnitt 6.2 föreslår regeringen att det uttryckligen ska anges i patientdatalagen dels att resultatet av antalsberäkning inför klinisk forskning ska få lämnas ut till den som gjort förfrågan endast i form av uppgift om det antal personer som uppfyller de i förväg uppställda kriterierna, dels att resultatet ska få anges med ett exakt antal eller som ett intervall.
Personuppgiftsbehandlingen kommer att utföras av anställd personal hos vårdgivaren. Den krets av personer som kommer att ha tillgång till uppgifterna kommer att vara begränsad till den eller de personer som utför sökningen. Det torde i första hand vara fråga om sökningar i patientjournaler och kvalitetsregister, även om det är möjligt att en vårdgivare har ytterligare databaser där relevant information finns. Även dessa databaser omfattas av regleringen i patientdatalagen, OSL samt patientsäkerhetslagen. Det finns en möjlighet för vårdgivaren att använda sådant datastöd som medför att sökningen görs helt maskinellt och den anställde får då inte tillgång till personuppgifterna som sådana, utan endast resultatet av sökningen, dvs. antalet sökträffar. Även i dessa fall utförs emellertid en behandling av känsliga personuppgifter som kräver rättsligt stöd och tillräckliga och lämpliga skyddsåtgärder. De personuppgifter som behandlas kommer, oavsett om vårdgivaren har tillgång till denna typ av datastöd, på sin höjd exponeras för den person som utför sökningen (4 kap. 1 § patientdatalagen). Personuppgifterna omfattas också av sekretess och bestämmelser om tystnadsplikt gentemot utomstående.
Den information som därefter redovisas till forskaren som står bakom förfrågan består av ett sökresultat i form av ett exakt antal personer som uppfyller kriterierna eller som ett intervall. Några personuppgifter kommer inte att föras vidare. Risken för att uppgifterna kan komma att användas i ovidkommande syften eller för att någon aktör genom en personuppgiftsincident förlorar kontrollen över uppgifterna bedöms vara mycket liten.
Resultatet av antalsberäkning inför klinisk forskning används sedan av forskaren för att bedöma om det finns tillräckligt många potentiella personer som uppfyller kriterierna för att ingå i det aktuella forsknings-projektet. Som Göteborgs universitet anför är antalsberäkning av stor betydelse för att kunna värdera möjligheterna att utföra kliniska studier, vilket är viktigt för utvecklingen av Sverige som stark kunskapsnation och förbättrar även förutsättningarna för forskning, innovation och ett konkurrenskraftigt näringsliv. Den kliniska forskningen ligger till grund för bl.a. framtagande av nya läkemedel och åtgärder inom hälso- och sjukvården samt nya användningsområden för befintliga läkemedel och åtgärder. Att denna typ av forskning bedrivs i Sverige möjliggör även för svensk hälso- och sjukvård att tidigt få information om planerad forskning och möjlighet att medverka i studier som på sikt kan bidra med ny kunskap i utvecklingen av en modern vård. Detta är till nytta för patienter, vårdgivare och samhället i stort.
Patientdatalagen, med den föreslagna nya skyddsåtgärden, patientsäkerhetslagen samt OSL innehåller flera skyddsåtgärder som minskar riskerna för de registrerade och minimerar intrånget i deras personliga integritet. I avsnitt 5.2 och 5.3 finns en närmare redogörelse för de skyddsåtgärder som finns i dag och i avsnitt 6.2 finns regeringens förslag och överväganden i frågan om tillkommande skyddsåtgärder. Intresset av att personuppgifter kan behandlas för antalsberäkning inför klinisk forskning, tillsammans med befintliga skyddsåtgärder och den föreslagna skyddsåtgärden, väger enligt regeringens mening upp de nackdelar som kan uppstå för den enskilde genom den aktuella personuppgiftsbehandlingen. I likhet med bl.a. SKR gör regeringen därför bedömningen att den behandling av personuppgifter som sker vid antalsberäkning står i rimlig proportion till den nytta som den avsedda behandlingen innebär. Förslaget bedöms uppfylla mål av allmänt intresse och vara proportionellt mot det legitima mål som eftersträvas.
7 Ikraftträdande- och övergångsbestämmelser
Regeringens förslag: Ändringarna i patientdatalagen ska träda i kraft den 1 maj 2023.
Regeringens bedömning: Några övergångsbestämmelser behövs inte.
Utredningens förslag och bedömning: Utredningens förslag överensstämmer inte med regeringens. Utredningen föreslår att författningsändringarna ska träda i kraft den 1 januari 2022. Utredningens bedömning om övergångsbestämmelser överensstämmer med regeringens.
Remissinstanserna: Endast en remissinstans yttrar sig särskilt om tidpunkten för ikraftträdande. Sveriges Kommuner och Regioner (SKR) tillstyrker att de föreslagna författningsändringarna träder i kraft den 1 januari 2022 och delar bedömningen att några övergångsbestämmelser inte behövs.
Skälen för regeringens förslag och bedömning: Förslaget till lag om ändring i patientdatalagen syftar till att tydliggöra förutsättningarna för personuppgiftsbehandling vid antalsberäkning inför klinisk forskning. Som framgår av avsnitt 6.1 innebär förslaget inte något ställningstagande för att det för närvarande skulle vara otillåtet enligt patientdatalagen att utföra antalsberäkning. Regeringen har därmed inte heller tagit ställning för att antalsberäkning skulle vara otillåten under tiden fram till dess att lagen träder i kraft, se vidare författningskommentaren (avsnitt 9).
Ändringarna i patientdatalagen bör träda i kraft så snart som möjligt. Med hänsyn till den tid lagstiftningsprocessen tar bedöms den 1 maj 2023 vara den tidigaste tidpunkt detta kan ske. Regeringen anser, i likhet med utredningen och SKR, att några särskilda övergångsbestämmelser inte behövs.
8 Konsekvenser av förslaget
Förslagen i denna proposition innebär att det tydliggörs att antalsberäkning inför klinisk forskning är ett tillåtet ändamål för behandling av person-uppgifter inom hälso- och sjukvården och av uppgifter i kvalitetsregister genom att antalsberäkning förs in som ett särskilt angivet ändamål för personuppgiftsbehandling i patientdatalagen. Den lagen gäller för vård-givares behandling av personuppgifter inom hälso- och sjukvården, både för vårdgivare med en offentlig huvudman och för vårdgivare med en privat huvudman. Det nya ändamålet kommer att gälla för alla vårdgivare som omfattas av definitionen av detta begrepp i lagen och göra det möjligt för alla sådana vårdgivare att behandla personuppgifter för antalsberäkning inför klinisk forskning. Även vårdgivare som är underställda en huvudman vars verksamhet inte regleras i lagen omfattas av definitionen vårdgivare och ska uppfylla kraven i lagen i tillämpliga delar. Vårdgivare med enbart privat finansiering omfattas också av definitionen. Det kommer att vara möjligt även för sådana privata vårdgivare att behandla personuppgifter vid antalsberäkning.
Samhällsekonomiska konsekvenser
Klinisk forskning är en förutsättning för en modern vård. Den kunskapsutveckling som sker genom klinisk forskning möjliggör att ny diagnostik och bättre och mer effektiva behandlingsmetoder utvecklas. Detta i sin tur bidrar till att svenska vårdtagare kan erbjudas en modern hälso- och sjukvård av hög kvalitet. En tydlighet i rättsläget kan bidra till ökade möjligheter att genomföra klinisk forskning, som på sikt kan bidra till ny prevention, diagnostik och behandling för människor i såväl Sverige som internationellt. Förslagen kan på lång sikt antas ha positiva samhällsekonomiska konsekvenser eftersom de förväntas bidra till ökad kvalitet och tillförlitlighet i forskningen. Detta bidrar inte bara till en mer effektiv vård med högre kvalitet utan kan även stärka Sverige som kunskapsnation. En av regeringens målsättningar inom life science-området, vilket omfattar klinisk forskning, är att mer klinisk forskning som bedrivs i samarbete med näringslivet ska förläggas till Sverige.
Ekonomiska konsekvenser för regioner och kommuner
Som framgår av avsnitt 5.1 ska kommuner och regioner enligt hälso- och sjukvårdslagen bl.a. medverka vid finansiering, planering och genomförande av dels kliniskt forskningsarbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete (18 kap. 2 §). Att bidra med underlag till de förberedande stegen inför klinisk forskning är en del av denna uppgift och underlag för antalsberäkning tas redan i dag fram inom hälso- och sjukvården. De i denna proposition föreslagna författningsändringarna påverkar varken omfattningen eller genomförandet av den praktiska uppgiftshanteringen, utan tydliggör endast de rättliga förutsättningarna för sådan personuppgiftsbehandling som behöver ske vid antalsberäkning.
Förslagen bedöms inte medföra någon ökad risk för att resurser tas från vård av patienter. Förslagen kan komma att medföra viss minskad administration, framför allt för regionerna eftersom det föreslagna förtydligandet av lagstiftningen torde ge minskat behov av att undersöka och administrera frågor om huruvida det finns en rättslig grund för personuppgiftsbehandlingen. Efterfrågan på personella resurser för att handlägga förfrågningar om antalsberäkning skulle kunna öka något till följd av att antalet förfrågningar om antalsberäkning kan komma att öka när det blir en tydligare uttalad möjlighet.
Regeringen bedömer att de ekonomiska konsekvenserna för kommuner och regioner blir ytterst begränsade. Eftersom hälso- och sjukvården redan i dag i stor utsträckning tar fram underlag inför antalsberäkning bedöms förslagen inte påverka resursåtgången menligt inom regioner eller kommuner. Förslagen skulle kunna innebära en viss ökning av kostnaderna initialt då förtydligandet i regelverket kan leda till att antalet förfrågningar om antalsberäkning ökar något och bl.a. utbildning av personal kan krävas. Samtidigt bedöms förslaget medföra viss minskad administration. Sammantaget bedöms förslagens ekonomiska konsekvenser för regioner och kommuner vara så små att de inte kräver någon ytterligare finansiering.
Konsekvenser för den kommunala självstyrelsen
Enligt 14 kap. 3 § regeringsformen bör en inskränkning av den kommunala självstyrelsen inte gå utöver vad som är nödvändigt med hänsyn till de ändamål som föranlett den.
Förslaget innebär ingen utökad skyldighet för kommuner och regioner och därmed inte heller någon inskränkning i den kommunala självstyrelsen. Som framgår ovan förekommer antalsberäkning redan i dag inom hälso- och sjukvården. Förslaget innebär endast att det införs ett tydligt rättligt stöd för den personuppgiftsbehandling som sker vid sådan beräkning.
Konsekvenser för den personliga integriteten
Se avsnitt 6.3.
Konsekvenser för forskning och innovation
Förslagen bedöms bidra positivt till innovation. Förslagen undanröjer den osäkerhet som finns i fråga om rättsläget och om antalsberäkning är ett tillåtet ändamål för personuppgiftsbehandling enligt patientdatalagen. Härigenom underlättas antalsberäkning under förberedande steg för forskning och innovation, något som i sin tur bidrar till att bättre beslut kan fattas avseende forskning och innovation inom hälso- och sjukvården.
I ett större perspektiv utgör förslagen en del i utvecklingen av Sverige som stark kunskapsnation inom life science-området och stärker landets attraktivitet för klinisk forskning och läkemedelsprövningar. Genom att förbättra förutsättningarna för forskning, innovation och konkurrenskraftigt näringsliv finns möjligheter till bättre hälsa samt utveckling av en modern vård.
Konsekvenser i övrigt
Förslagen bedöms inte påverka brottsligheten och det brottsförebyggande arbetet, sysselsättning och offentlig service i olika delar av landet, små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags, jämställdheten mellan kvinnor och män, miljön eller möjligheterna att nå de integrationspolitiska målen. Förslagen bedöms vara förenliga med EU:s dataskyddsförordning.
9 Författningskommentar
Förslaget till lag om ändring i patientdatalagen (2008:355)
1 kap.
3 § I denna lag används följande uttryck med nedan angiven betydelse.
Uttryck
Betydelse
Antalsberäkning inför klinisk forskning
Beräkning som på förfrågan av forskare inför planerad klinisk forskning görs av hur många personer som uppfyller vissa i förväg uppställda kriterier och som därmed kan komma att omfattas av forskningen.
Hälso- och sjukvård
Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter, lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar samt den upphävda lagen (1944:133) om kastrering.
Journalhandling
Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder.
Patientjournal
En eller flera journalhandlingar som rör samma patient.
Vårdgivare
Statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).
Paragrafen innehåller definitioner av vissa centrala uttryck som används i patientdatalagen.
En ny definition förs in i paragrafen. Definitionen avser antalsberäkning inför klinisk forskning. Med detta uttryck avses beräkning som på förfrågan av forskare inför planerad klinisk forskning görs av hur många personer som uppfyller vissa i förväg uppställda kriterier och som därmed kan komma att omfattas av forskningen. Forskning kan utföras av en forskare eller av en grupp forskare. I det första fallet finns det bara en forskare som kan göra en förfrågan. I de fall det är flera forskare som deltar i planeringen av forskningen är det tillräckligt att en av dem gör förfrågan. Att det ska vara fråga om antalsberäkning inför klinisk forskning innebär att det ska vara fråga om forskning som förutsätter vårdens strukturer och resurser. Sådan forskning kan ha som mål att lösa ett hälsoproblem eller identifiera faktorer som leder till förbättrad hälsa. Den utgår från de behov som finns i hälso- och sjukvården och förväntas leda till patient- och samhällsnytta. Klinisk forskning kan utföras av forskare anställda inom hälso- och sjukvården, universitet och högskola, eller företag.
Definitionen införs med anledning av att antalsberäkning inför klinisk forskning läggs till som ett nytt ändamål för personuppgiftsbehandling i 2 kap. 4 § och 7 kap. 5 §, se kommentaren till de paragraferna.
Övervägandena finns i avsnitt 6.1.
2 kap.
4 § Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för
1. att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,
2. administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall,
3. att upprätta annan dokumentation som följer av lag, förordning eller annan författning,
4. att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten,
5. administration, planering, uppföljning, utvärdering och tillsyn av verksamheten,
6. att framställa statistik om hälso- och sjukvården, eller
7. antalsberäkning inför klinisk forskning.
I 7 kap. 4 och 5 §§ finns särskilda bestämmelser om ändamålen med behandling av personuppgifter i nationella och regionala kvalitetsregister.
I paragrafen anges för vilka ändamål personuppgifter får behandlas inom hälso- och sjukvården.
I första stycket anges vissa ändamål som personuppgifter får behandlas för inom hälso- och sjukvården. Som ett förtydligande införs ett nytt ändamål i en ny punkt 7 antalsberäkning inför klinisk forskning. Betydelsen av detta uttryck framgår av 1 kap. 3 §. Tillägget ger stöd för alla vårdgivare, såväl vårdgivare med offentlig huvudman som vårdgivare med privat huvudman, att behandla personuppgifter för antalsberäkning inför klinisk forskning.
Övervägandena finns i avsnitt 6.1.
5 kap.
Utlämnande av resultatet efter antalsberäkning inför klinisk forskning
7 § Resultatet av antalsberäkning inför klinisk forskning får lämnas ut till den som gjort förfrågan endast i form av uppgift om det antal personer som uppfyller de i förväg uppställda kriterierna. Resultatet får anges med ett exakt antal eller som ett intervall.
Paragrafen är ny. Bestämmelsen reglerar som en skyddsåtgärd hur resultatet av en antalsberäkning inför klinisk forskning får lämnas ut.
Paragrafen innebär att resultatet av en antalsberäkning inför klinisk forskning ska redovisas i form av det antal personer som uppfyller de i förväg uppställda kriterierna eller ett intervall. Några personuppgifter ska inte lämnas ut till förfrågaren. Bestämmelsen är tillämplig på antalsberäkning som utförs såväl i patientjournaler m.m. (se 2 kap. 4 §), som i nationella och regionala kvalitetsregister (se 7 kap. 5 §). Det är vård-givaren eller den som förfogar över registret som utifrån förfrågan i det enskilda fallet avgör om det är lämpligt att redovisa resultatet i form av ett exakt antal eller ett intervall. Bedömningen bör göras efter dialog med den forskare som gjort förfrågan.
Övervägandena finns i avsnitt 6.2.
7 kap.
5 § Personuppgifter som behandlas för de ändamål som anges i 4 § får också behandlas för ändamålen
1. framställning av statistik,
2. antalsberäkning inför klinisk forskning,
3. forskning inom hälso- och sjukvården,
4. utlämnande till den som ska använda uppgifterna för ändamål som anges i 1 och 3 eller i 4 §, och
5. fullgörande av någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen (2009:400).
I paragrafen regleras att personuppgifter i nationella och regionala kvalitetsregister, som har samlats in för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet (se 4 §), också får behandlas för vissa andra sekundära ändamål.
Som ett förtydligande införs ett nytt ändamål i punkt 2 antalsberäkning inför klinisk forskning. Betydelsen av detta uttryck framgår av 1 kap. 3 §. Tillägget ger stöd för alla vårdgivare, såväl vårdgivare med offentlig huvudman som vårdgivare med privat huvudman, att behandla personuppgifter för antalsberäkning inför klinisk forskning. Med anledning av det nya ändamålet omnumreras de nuvarande ändamålen 2-4 till 3-5.
Övervägandena finns i avsnitt 6.1.
Ikraftträdande
Denna lag träder i kraft den 1 maj 2023.
Ändringarna i lagen träder i kraft den 1 maj 2023. Ändringarna i lagen tydliggör förutsättningarna för personuppgiftsbehandling vid antalsberäkning inför klinisk forskning efter ikraftträdandet. Som Lagrådet fäster uppmärksamheten på är ändringarna inte avsedda att påverka tillämpningen i tiden före ikraftträdandet.
Sammanfattning av betänkandet Personuppgiftsbehandling vid antalsberäkning inför klinisk forskning (SOU 2020:53)
Kommitténs uppdrag och utgångspunkter för förslagen
Kommittén för teknologisk innovation och etik arbetar med att skapa goda förutsättningar för innovation och konkurrenskraft, samtidigt som utveckling och spridning av ny teknik ska ske tryggt, säkert och med ett långsiktigt samhällsperspektiv. Kommittén ska beakta prioriteringar och resultat från regeringens samverkansprogram, såsom Hälsa och life science, och bland annat ta sektorsövergripande och policyutvecklande initiativ kopplade till precisionsmedicin.
Betänkandet innehåller en beskrivning och analys av de rättsliga förutsättningarna för en vårdgivare att utföra sådan personuppgiftsbehandling vilken är nödvändig för den antalsberäkning som behövs inför beslut om att inleda en studie inom klinisk forskning. Syftet med våra överväganden och förslag är att bidra till ökad tydlighet, att underlätta för de aktörer som planerar klinisk forskning och att förstärka rättssäkerheten genom att säkerställa lika villkor i hela landet. Ytterligare ett viktigt syfte är att värna integriteten hos dem vars personuppgifter behandlas i samband med antalsberäkning.
I ett större perspektiv utgör betänkandets förslag en del av utvecklingen av Sverige som stark kunskapsnation inom life science-området. Genom att förbättra förutsättningarna för forskning, innovation och konkurrenskraftigt näringsliv finns möjligheter till bättre hälsa, utveckling av sjukvården och tryggat ekonomiskt välstånd. Tydlighet om rättsläget kan bidra till de förberedelser som krävs för klinisk forskning som i förlängningen bygger upp kunskap till stöd för diagnostik, behandling, möjlighet att förebygga sjukdom och till rehabilitering för människor såväl i Sverige som internationellt.
Om antalsberäkning
Antalsberäkning görs vid planering av klinisk forskning som en del av förberedelserna för att undersöka för- och nackdelar med att i framtiden genomföra en studie. Antalsberäkningen görs innan någon forskning har påbörjats. I detta tidiga läge behövs en uppfattning om antal möjliga forskningspersoner, men inte vilka personerna är och inte heller närmare information om varje individ.
För att kunna göra antalsberäkning behövs behandling av personuppgifter som ofta rör en persons hälsa, något som enligt EU:s dataskyddsförordning (EU 2016/679) betraktas som känsliga personuppgifter. I en vårdgivares verksamhet kan dessa uppgifter till exempel finnas i patientjournaler eller i kvalitetsregister.
Bland de som har behov av antalsberäkning finns universitet och högskolor, andra myndigheter, kommuner och regioner samt företag, särskilt de som är inriktade på läkemedel och medicinsk teknik. Det har inte varit möjligt att få fram exakt uppgift över hur många antalsberäkningar som görs, bland annat eftersom det saknas sammanhållen statistik och för att förfrågningar om kliniska studier görs på många olika sätt.
Det finns problem med den nuvarande ordningen, eftersom det råder osäkerhet om huruvida det finns rättsligt stöd för den personuppgiftsbehandling som sker vid antalsberäkning. Detta har bland annat lyfts i regeringens strategi för life science och hälsa samt av Vetenskapsrådet. Kontakter under utredningstiden ger vid handen att regioner och vårdgivare hanterar förfrågningar om, och utförande av, antalsberäkning på lite olika sätt.
Etiska aspekter
Flera intressenter berörs av personuppgiftsbehandling vid antalsberäkning.
Ömsesidig förståelse kan skapas genom att involvera intressenterna i processen med att utarbeta ett förslag till ändrat regelverk för antalsberäkning och då vara noga med att så många röster som möjligt kommer till tals och att olika perspektiv belyses. Dessutom behövs ett gott informations- och kommunikationsarbete vid en eventuell förändring av gällande regler om personuppgiftsbehandling inom hälso- och sjukvården.
En rad olika värden för olika intressenter behöver beaktas. Ett av de mest uppenbara är att värna integriteten hos den vars personuppgifter behandlas. Andra värden är autonomi och människovärde. Ytterligare en aspekt är ett intresse för den enskilde patienten att bidra till ny kunskap som kan bli till gagn för egen eller andra människors hälsa.
För forskaren finns värdet av att i ett tidigt skede kunna göra en rimlig bedömning av förutsättningarna för att starta ett projekt, så att inte alltför mycket resurser läggs på en idé som sedan inte kan genomföras. Vårdgivaren och regionen har ett intresse av att ta del av kunskapsuppbyggnad. Slutligen finns ett värde av likabehandling och rättvisa, till exempel avseende möjligheten att i ett senare skede delta i forskning samt att behandling av personuppgifter görs på lika sätt i hela landet.
Vi menar att det finns en etisk aspekt av en tydligare rättslig grund för behandling av känsliga personuppgifter. För att undvika en glidning i användandet av antalsberäkning som ändamål är det viktigt med en tydlig definition av vad ändamålet antalsberäkning omfattar.
Rättslig reglering av antalsberäkning
Dataskyddsförordningen, som är direkt tillämplig i Sverige, utgör
grunden för den generella personuppgiftsbehandlingen inom Europeiska
unionen.
Den behandling av känsliga personuppgifter som sker vid antalsberäkning är av administrativ art och utgör en efterkommande användning av uppgifter som härrör från den individinriktade verksamheten i hälso- och sjukvården (benämns ibland utsökning). Den sker på förfrågan av forskningshuvudmän. Syftet är, som nämnts, att få fram en bild av storleken på underlaget för en eventuell framtida forskningsstudie inom hälso- och sjukvården.
Vi bedömer att personuppgiftsbehandlingen kan stödjas på rättsliga grunder i EU:s dataskyddsförordning och att det finns tillämpliga undantag från förbudet mot att behandla sådana känsliga uppgifter som det är fråga om vid antalsberäkning. Det finns behov av och det finns, enligt förordningen, förutsättningar för att i nationell lagstiftning införa kompletterande bestämmelser om bland annat ändamålsbestämning för behandlingen.
Förslag om att antalsberäkning fastställs i lag som ett tillåtet ändamål för personuppgiftsbehandling
Vi föreslår att det i patientdatalagen (2008:355) införs nya bestämmelser som tillåter att personuppgifter behandlas för att beräkna hur många personer som, genom att uppfylla på förväg uppställda kriterier, kan ingå i en studie inom klinisk forskning.
I förtydligande syfte föreslås ett tillägg i patientdatalagens tillämpningsparagraf, att tillämpningsområdet omfattar också personuppgiftsbehandling för att utföra sådana antalsberäkningar, samt ett tillägg i lagens bestämmelse med vissa definitioner av uttryck som används i lagen. Vidare föreslås en upplysningsbestämmelse om att regeringen eller den myndighet regeringen bestämmer kan meddela närmare föreskrifter om hur personuppgiftsbehandlingen för detta ändamål ska utföras.
Vår bedömning är, som framgått, att de föreslagna ändamålsbestämmelserna har stöd i dataskyddsförordningen, eftersom personuppgiftsbehandlingen kan grundas på utförandet av en uppgift av allmänt intresse. Förslagen bedöms också vara förenliga med regeringsformen. Författningsändringarna föreslås träda i kraft den 1 januari år 2022. Några övergångsbestämmelser behövs inte.
Att det finns explicit stöd för all personuppgiftsbehandling som sker inom hälso- och sjukvården ligger i linje med både förhållningssättet och förarbetsuttalanden när det gäller patientdatalagen. Personuppgiftsbehandling för antalsberäkning förekommer redan i dag, något som i många fall är av avgörande betydelse för ställningstagande till att initiera en studie inom klinisk forskning. Integritetsintrånget som behandlingen medför får anses stå i rimlig proportion till den nytta som den avsedda behandlingen innebär. Att ge personuppgiftsansvariga och de individer som i praktiken utför personuppgiftsbehandlingen ett tydligt stöd för behandlingen och komma till rätta med den rättsosäkerhet som föreligger, är ett ytterligare, viktigt skäl för en lagreglering.
De nya bestämmelserna föranleder inte några ändringar beträffande gällande personuppgiftsansvar. Behandlingen innebär inte att det lämnas ut några personuppgifter. Mottagaren får enbart en uppgift om storleken av möjligt antal personer. Det behövs därför inte nya eller ändrade sekretessbestämmelser.
I dataskyddsförordningen finns en generell reglering av åtgärder som begränsar behandlingen av personuppgifter och patientdatalagen innehåller redan i dag bestämmelser om nödvändiga skyddsåtgärder som kan tillämpas också på personuppgiftsbehandling vid antalsberäkning. Av det svenska regelverket framgår att vårdgivaren har ansvar för att tilldela behörigheter och för rutiner som säkerställer att personalens behörigheter begränsas till vad som är nödvändigt. Utöver skydd i form av regler för behörighet skyddas personuppgifter inom hälso-och sjukvården också av det sätt de är lagrade och åtkomliga i systemen. Ytterligare exempel på åtgärder för att trygga säkerheten för personuppgifter är hantering av lösenord och fysiskt skydd av systemen, samt ledningssystem för att styra verksamheten så att rätt sak görs vid rätt tillfälle och på rätt sätt. Vi anser att det finns en rad redan etablerade strukturer inom hälso- och sjukvården för att trygga en säker hantering av personuppgifter.
Vår bedömning är därför att det inte finns anledning att i lagen fastställa ytterligare skyddsåtgärder för att behandla personuppgifter för det föreslagna ändamålet behandling av personuppgifter för antalsberäkning. Däremot bör det, som framgått, införas en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter som närmare reglerar hur personuppgiftsbehandlingen för detta ändamål får utföras.
Förslagens konsekvenser
Betänkandet innehåller förslag till författningsändringar. Ett primärt syfte är att undanröja den osäkerhet som kan anses föreligga om det rättsliga stödet för personuppgiftsbehandling vid antalsberäkning inför klinisk forskning.
Regioner och kommuner ska medverka vid forskning inom hälso- och sjukvård och folkhälsoområdet; att bidra med underlag till de förberedande stegen inför klinisk forskning är del av denna uppgift. Förslagens ekonomiska konsekvenser för regioner och kommuner bedöms vara små och inte kräva någon ytterligare finansiering. Eftersom hälso- och sjukvården redan i dag tar fram underlag inför antalsberäkning bedöms förslagen inte påverka resursåtgången inom regioner eller kommuner och inte heller medföra ökad risk för att resurser tas från vård av patienterna.
Enligt vår bedömning är det inte möjligt för sådana privata vårdgivare som helt saknar koppling till offentligrättslig hälso- och sjukvårdsverksamhet att behandla personuppgifter för antalsberäkning. Enligt vår bedömning finns inte undantag enligt artikel 9.2 i dataskyddsförordningen som är tillämpligt för sådana vårdgivare. Därmed är det inte möjligt att göra det forskningsförberedande steg som antalsberäkningen innebär för potentiella studiedeltagare från denna grupp av vårdgivare.
Att inte skada, att göra gott, att respektera patientens autonomi och integritet samt att vara rättvis är viktiga etiska principer inom all hälso- och sjukvård. Risken för den enskilde bedöms vara liten när antalsberäkningen görs i enlighet med vårt förslag, det vill säga ett förfarande där personuppgiftsbehandlingen görs helt och hållet inom hälso- och sjukvården, och enbart uppgift om antalet personer lämnas till forskaren.
Förslagen kan på lång sikt antas ha positiva samhällsekonomiska konsekvenser eftersom de förväntas bidra till ökad kvalitet och tillförlitlighet i forskningen och därmed stärka Sverige som kunskapsnation. Detta bör även stärka förtroendet för svensk forskning, såväl nationellt som internationellt.
Utredningens förslag väntas bidra positivt till innovation genom att underlätta ansvarsfullt nyttiggörande av hälso- och vårddata. Genom att förbättra förutsättningarna för forskning, innovation och ett konkurrenskraftigt näringsliv finns möjligheter till bättre hälsa, utveckling av sjukvården och tryggat ekonomiskt välstånd.
Betänkandets lagförslag
Förslag till lag om ändring i patientdatalagen (2008:353)
Härigenom föreskrivs i fråga om patientdatalagen
dels att 1 kap. 1 § och 3 §, 2 kap. 4 § samt 7 kap. 4 och 6 §§ ska ha följande lydelse,
dels att det ska införas två nya paragrafer, 2 kap. 4 a § och 7 kap. 5 a §, av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
1 §
Denna lag tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal.
Denna lag tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården och för antalsberäkning. I lagen finns också bestämmelser om skyldighet att föra patientjournal.
Lagen gäller i tillämpliga delar även uppgifter om avlidna personer.
Lagen gäller inte vid sådan behandling av personuppgifter som avses i den ursprungliga lydelsen av artikel 2.2 d i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
3 §
Uttryck
Betydelse
Antalsberäkning
Behandling av personuppgifter som görs på förfrågan för att beräkna hur många personer som uppfyller på förväg uppställda kriterier och därmed kan komma att ingå i forskning inom hälso- och sjukvården.
Hälso- och sjukvård
Verksamhet som avses i hälso-och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering.
Journalhandling
Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder.
Patientjournal
En eller flera journalhandlingar som rör samma patient.
Sammanhållen journalföring
Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.
Vårdgivare
Statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).
Nuvarande lydelse
Föreslagen lydelse
2 kap.
4 §
Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för
1. att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,
2. administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall,
3. att upprätta annan dokumentation som följer av lag, förordning eller annan författning,
4. att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten,
5. administration, planering, uppföljning, utvärdering och tillsyn av verksamheten, eller
6. att framställa statistik om hälso- och sjukvården.
I 7 kap. 4 och 5 §§ finns särskilda bestämmelser om ändamålen med behandling av personuppgifter i nationella och regionala kvalitetsregister.
I 7 kap. 4-5 a §§ finns särskilda bestämmelser om ändamålen med behandling av personuppgifter i nationella och regionala kvalitetsregister.
4 a §
Personuppgifter som behandlas för ändamål som anges i 4 § första stycket får också behandlas för antalsberäkning.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap 7 § regeringsformen meddela föreskrifter om hur sådan personuppgiftsbehandling som avses i första stycket ska utföras för att skydda de registrerades personliga integritet.
7 kap.
4 §
I stället för vad som anges i 2 kap. 4 och 5 §§ gäller att personuppgifter i nationella och regionala kvalitetsregister får behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.
I stället för vad som anges i 2 kap. 4-5 §§ gäller att personuppgifter i nationella och regionala kvalitetsregister får behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.
5 a §
Personuppgifter som behandlas för de ändamål som anges i 4 § får också behandlas för antalsberäkning.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om hur sådan personuppgiftsbehandling som avses i första stycket ska utföras för att skydda de registrerades personliga integritet.
6 §
Personuppgifter i nationella och regionala kvalitetsregister får inte behandlas för några andra ändamål än de som anges i 4 och 5 §§.
Personuppgifter i nationella och regionala kvalitetsregister får inte behandlas för några andra ändamål än de som anges i 4-5 a §§.
Denna lag träder i kraft den 1 januari 2022.
Förteckning över remissinstanserna
Följande remissinstanser har inkommit med yttrande över betänkandet:
Biobank Sverige, Cancerfonden, Chalmers tekniska högskola AB, Integritetsskyddsmyndigheten (IMY), E-hälsomyndigheten, Etikprövningsmyndigheten, Forskningsrådet för hälsa, arbetsliv och välfärd (Forte), Förvaltningsrätten i Stockholm, Göteborgs universitet, Inspektionen för vård och omsorg (IVO), Kammarrätten i Stockholm, Karolinska institutet, Karolinska Universitetssjukhuset, Kungliga Vetenskapsakademien, Linköpings universitet, Läkemedelsindustriföreningen (LIF), Läkemedelsverket, AB Mälardalens högskola, Region Gävleborg, Region Halland, Region Jönköpings län, Region Skåne, Region Stockholm, Region Uppsala, Region Västerbotten, Region Östergötland, Rättsmedicinalverket, Sahlgrenska universitetssjukhuset, Socialstyrelsen, Statens medicinsk-etiska råd (Smer), Statistiska centralbyrån (SCB), Svensk sjuksköterskeförening, Svenska läkaresällskapet, Sveriges Kommuner och Regioner (SKR), Sveriges läkarförbund, Sveriges universitets- och högskoleförbund, Swedish Medtech, Tandvårds- och läkemedelsförmånsverket (TLV), Vetenskapsrådet, Verket för innovationssystem (Vinnova), Västra Götalandsregionen, Örebro universitet och Överklagandenämnden för etikprövning.
Ett spontant yttrande har därutöver inkommit från Umeå universitet.
Följande remissinstanser har beretts tillfälle att yttra sig, men har förklarat sig avstå eller har inte inkommit med yttrande: Akademiska sjukhuset i Uppsala, AstraZeneca, Apotekarsocieteten, Astma- och allergiförbundet, Baxter Medical AB, BioArctic AB, Diabetesförbundet, Funktionsrätt Sverige, Getinge AB, Hjärt-Lungfonden, Janssen-Cilag AB, Kungliga Ingenjörsvetenskapsakademien, Medivir AB, Merck Sharpe & Dohme (Sweden), Norrlands universitetssjukhus Umeå, Novartis Sverige AB, Novo Nordisk Scandinavia AB, Nämnden för prövning av oredlighet i forskning, Nätverket mot cancer, Orexo AB, Pfizer Sverige AB, Prostatacancerförbundet, Region Norrbotten, Region Örebro län, Reumatikerförbundet, Riksdagens ombudsmän (JO), Riksförbundet Hjärtlung, Riksförbundet Sällsynta diagnoser, Sanofi, Skånes Universitetssjukhus, Sweden Bio, Swedish Orphan Biovitrum AB (SOBI), Universitetssjukhuset i Linköping, Universitetssjukhuset i Örebro, Vårdförbundet och Vävnadsrådet.
Lagrådsremissens lagförslag
Förslag till lag om ändring i patientdatalagen (2008:355)
Lydelse enligt SFS 2022:915
1 kap.
3 §
I denna lag används följande uttryck med nedan angiven betydelse
Uttryck
Betydelse
Hälso- och sjukvård
Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter, lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar samt den upphävda lagen (1944:133) om kastrering.
Journalhandling
Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder.
Patientjournal
En eller flera journalhandlingar som rör samma patient.
Vårdgivare
Statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).
Föreslagen lydelse
3 §
I denna lag används följande uttryck med nedan angiven betydelse.
Uttryck
Betydelse
Antalsberäkning inför klinisk forskning
Beräkning som på förfrågan av forskare inför planerad klinisk forskning görs av hur många personer som uppfyller vissa i förväg uppställda kriterier och som därmed kan komma att ingå i forskningen.
Hälso- och sjukvård
Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter, lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar samt den upphävda lagen (1944:133) om kastrering.
Journalhandling
Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller in-kommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder.
Patientjournal
En eller flera journalhandlingar som rör samma patient.
Vårdgivare
Statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).
Nuvarande lydelse
Föreslagen lydelse
2 kap.
4 §
Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för
1. att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,
2. administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall,
3. att upprätta annan dokumentation som följer av lag, förordning eller annan författning,
4. att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten,
5. administration, planering, uppföljning, utvärdering och tillsyn av verksamheten, eller
5. administration, planering, uppföljning, utvärdering och tillsyn av verksamheten,
6. att framställa statistik om hälso- och sjukvården.
6. att framställa statistik om hälso- och sjukvården, eller
7. antalsberäkning inför klinisk forskning.
I 7 kap. 4 och 5 §§ finns särskilda bestämmelser om ändamålen med behandling av personuppgifter i nationella och regionala kvalitetsregister.
5 kap.
Utlämnande vid antalsberäkning inför klinisk forskning
7 §
Resultatet av antalsberäkning inför klinisk forskning får lämnas ut till den som gjort förfrågan endast i form av uppgift om det antal personer som uppfyller de i förväg uppställda kriterierna. Resultatet får anges med ett exakt antal eller som ett intervall.
7 kap.
5 §
Personuppgifter som behandlas för de ändamål som anges i 4 § får också behandlas för ändamålen
1. framställning av statistik,
2. antalsberäkning inför klinisk forskning,
2. forskning inom hälso- och sjukvården,
3. forskning inom hälso- och sjukvården,
3. utlämnande till den som ska använda uppgifterna för ändamål som anges i 1 och 2 eller i 4 §, och
4. utlämnande till den som ska använda uppgifterna för ändamål som anges i 1 och 3 eller i 4 §, och
4. fullgörande av någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen (2009:400).
5. fullgörande av någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen (2009:400).
Denna lag träder i kraft den 1 mars 2023.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2022-09-23
Närvarande: F.d. justitierådet Martin Borgeke samt justitieråden Leif Gäverth och Eric M. Runesson
Personuppgiftsbehandling vid antalsberäkning inför klinisk forskning
Enligt en lagrådsremiss den 18 augusti 2022 har regeringen (Utbildningsdepartementet) beslutat inhämta Lagrådets yttrande över förslag till lag om ändring i patientdatalagen (2008:355).
Förslaget har inför Lagrådet föredragits av rättssakkunniga Karin Eriksson, biträdd av departementssekreteraren Katarina Nordqvist.
Förslaget föranleder följande yttrande.
I lagrådsremissen föreslås ändringar i patientdatalagen som innebär att det ges stöd i lag för den personuppgiftsbehandling som förekommer och som också är nödvändig vid s.k. antalsberäkning inför klinisk forskning. Antalsberäkning går ut på att inför planerad klinisk forskning ta reda på hur många personer som uppfyller vissa i förväg uppställda kriterier och som därmed kan komma att omfattas av forskningen.
Lagstiftningen är tänkt att träda i kraft den 1 mars 2023. Först då kommer det alltså att finnas stöd i lag för den verksamhet med antalsberäkning som redan förekommer. Som Lagrådet ser det kan detta medföra risk för en tolkning av lagstiftningsåtgärden som innebär, att antalsberäkning under mellantiden inte skulle vara tillåten. Detta gäller särskilt som det tydligen på vissa håll anses råda oklarhet i frågan.
Eftersom förslagen i remissen inte ska uppfattas på det angivna sättet bör en upplysning om detta lämnas i författningskommentaren.
Utbildningsdepartementet
Utdrag ur protokoll vid regeringssammanträde den 8 december 2022
Närvarande: statsminister Kristersson, ordförande, och statsråden Busch, Svantesson, Ankarberg Johansson, Edholm, J Pehrson, Waltersson Grönvall, Roswall, Forssmed, Slottner, M Persson, Wykman, Kullgren, Liljestrand, Bohlin, Carlson, Pourmokhtari
Föredragande: statsrådet M Persson
Regeringen beslutar proposition Behandling av personuppgifter vid antalsberäkning inför klinisk forskning