Post 6092 av 7187 träffar
Propositionsnummer ·
1997/98:108 ·
Hämta Doc ·
Hälsodata- och vårdregister
Ansvarig myndighet: Socialdepartementet
Dokument: Prop. 108
Regeringens proposition
1997/98:108
Hälsodata- och vårdregister
Prop.
1997/98:108
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 5 mars 1998
Göran Persson
Margot Wallström
(Socialdepartementet)
Propositionens huvudsakliga innehåll
I propositionen föreslås två nya lagar som skall reglera IT-användningen
inom hälso- och sjukvården, nämligen lag om hälsodataregister och lag
om vårdregister.
Även i framtiden kommer det att krävas rikstäckande hälsodataregister
för att kunna följa sjukdomars utbredning i landet, att upptäcka
begynnande epidemier av smittsamma sjukdomar eller förekomsten av
nya missbildningar eller sällsynta sjukdomar, att studera orsaker till olika
sjukdomar och följa och studera hälsotillståndet hos hela
befolkningsgrupper utifrån kön, ålder, social bakgrund och regionala
skillnader. I propositionen föreslås att hälsodataregister även i
fortsättningen skall få föras på central nivå. I propositionen föreslås
således att hälsodataregister skall få föras av centrala
förvaltningsmyndigheter inom hälso- och sjukvårdens område för
1. framställning av statistik,
2. uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård,
samt
3. forskning och epidemiologiska undersökningar.
I propositionen förslås även att vårdregister skall få föras av den som
bedriver vård enligt hälso- och sjukvårdslagen (1982:763), enligt
tandvårdslagen (1985:125), enligt lagen (1991:1128) om psykiatrisk
tvångsvård eller enligt lagen (1991:1129) om rättspsykiatrisk vård samt
verksamhet som avser smittskydd enligt smittskyddslagen (1988:1472).
Lagen föreslås gälla såväl offentlig som privat vård. Lagens
ändamålsbestämmelse anger att vårdregister får föras i och för vården av
patienter. Dessutom föreslås vårdregister få föras för den
ekonomiadministration som föranleds av vård i enskilda fall. Ett
vårdregister föreslås dessutom få användas för framställning av statistik,
för uppföljning, utvärdering, kvalitetssäkring och administration på
verksamhetsområdet samt för uppgiftslämnande som föreskrivs i lag eller
förordning.
De nya lagarna föreslås träda i kraft den 24 oktober 1998.
Innehållsförteckning
1 Förslag till riksdagsbeslut 6
2 Lagtext 6
2.1 Förslag till lag om hälsodataregister 6
2.2 Förslag till lag om vårdregister 9
2.3 Förslag till lag om upphävande av lagen (1991:425)
om viss uppgiftsskyldighet inom hälso- och sjukvården 12
2.4 Förslag till lag om upphävande av kungörelsen
(1957:632) om cancerregister 12
3 Ärendet och dess beredning 13
4 Bakgrund 14
5 Personregister inom hälso- och sjukvården 15
5.1 Personregister hos centrala förvaltningsmyndig-
heter 15
5.1.1 Socialstyrelsen 15
5.1.1.1 Cancerregistret 16
5.1.1.2 Cancer-miljöregistret 17
5.1.1.3 Medicinska födelseregistret med missbildnings-
registret 17
5.1.1.4 Sjukvårdsregistret 18
5.1.1.5 Vissa andra register 19
5.1.2 Läkemedelsverket 20
5.1.2.1 Läkemedelsbiverkningsregistren m.fl 20
5.1.3 Smittskyddsinstitutet 21
5.1.3.1 Epidemiregistret m.fl 22
5.2 Personregister på regional och lokal nivå 22
5.3 Nationella kvalitetsregister 23
5.4 Andra personregister inom hälso- och sjukvård 24
6 IT inom hälso- och sjukvården 24
6.1 Den informationstekniska utvecklingen 25
6.1.1 Utvecklingen fram till idag 25
6.1.2 Framtida IT-användning 26
7 Den personliga integriteten 26
8 Rättslig reglering till skydd för den personliga integriteten 28
8.1 Nationell reglering 28
8.1.1 Regeringsformen 28
8.1.2 Tryckfrihetsförordningen 28
8.1.3 Sekretesslagen 29
8.1.4 Datalagen 30
8.1.5 Förslaget till personuppgiftslag 30
8.1.6 Registerförfattningar 32
8.1.7 Hälso- och sjukvårdslagen m.fl. vårdlagar 32
8.2 Internationell reglering 34
8.2.1 EG:s dataskyddsdirektiv 34
8.2.2 Europarådets dataskyddskonvention 36
8.2.3 Europarådets rekommendationer om dataskydd 3
9 Författningsreglering av automatiserad behandling av person-
uppgifter inom hälso- och sjukvården 37
9.1 Metod för författningsreglering 39
10 Hälsodataregister 41
10.1 Centrala register 41
10.2 Vad lagen skall reglera 44
10.3 Behovet av entydig identifiering 45
10.4 Ändamål 48
10.5 Innehåll 51
10.6 Samkörning 52
10.7 Uppgiftsskyldighet 54
10.8 Sökbegrepp 55
10.9 Direktåtkomst 57
10.10 Utlämnande av uppgifter på medium för auto-
matiserad behandling 58
10.11 Bevarande och gallring 59
10.12 Information 60
11 Vårdregister 61
11.1 Personregister som bör författningsregleras 62
11.2 De vårdformer som omfattas 67
11.3 Ändamål 70
11.4 Innehåll 72
11.5 Samkörning 73
11.6 Sökbegrepp 74
11.7 Direktåtkomst 76
11.8 Utlämnande av uppgifter på medium för auto-
matiserad behandling 77
11.9 Bevarande och gallring 78
11.10 Information 80
12 För hälsodataregister och vårdregister gemensamma frågor 81
12.1 Möjlighet att få uppgifter strukna samt samtycke
till registrering 81
12.2 Kontroll och säkerhet 84
12.3 Skadestånd 86
12.4 Rättelse 87
12.5 Sekretess 88
13 Kostnadseffekter 89
14 Författningskommentar 89
14.1 Förslaget till lag om hälsodataregister 89
14.2 Förslaget till lag om vårdregister 94
14.3 Förslagen till lagar om upphävande av lagen
(1991:425) om viss uppgiftsskyldighet inom
hälso- och sjukvården och av kungörelsen
(1957:632) om cancerregister 102
Bilaga 1 Kommitténs sammanfattning 104
Bilaga 2 Kommitténs lagförslag 109
Bilaga 3 Förteckning över remissinstanser 114
Bilaga 4 Lagrådsremissens lagförslag 116
Bilaga 5 Lagrådets yttrande 123
Utdrag ur protokoll vid regeringssammanträde den 5 mars 1998 130
Rättsdatablad 131
1 Förslag till riksdagsbeslut
Regeringen föreslår att riksdagen
antar regeringens förslag till
1. lag om hälsodataregister
2. lag om vårdregister
3. lag om upphävande av lagen (1991:425) om viss uppgiftsskyldighet
inom hälso- och sjukvården
4. lag om upphävande av kungörelsen (1957:632) om cancerregister.
2 Lagtext
Regeringen har följande förslag till lagtext.
2.1 Förslag till lag om hälsodataregister
Härigenom föreskrivs följande.
Lagens tillämpningsområde
1 § Central förvaltningsmyndighet inom hälso- och sjukvården får utföra
automatiserad behandling av personuppgifter i hälsodataregister. Den
centrala förvaltningsmyndighet som utför behandlingen av
personuppgifter är personuppgiftsansvarig.
Förhållandet till personuppgiftslagen
2 § Om inget annat följer av denna lag eller föreskrifter som meddelats
med stöd härav, tillämpas personuppgiftslagen (1998:000) vid
behandling av personuppgifter för hälsodataregister.
Ändamål
3 § Personuppgifter i ett hälsodataregister får behandlas för följande
ändamål:
1. framställning av statistik,
2. uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård,
och
3. forskning och epidemiologiska undersökningar.
Innehåll
4 § Ett hälsodataregister får innehålla endast de uppgifter som behövs
för de ändamål för vilka personuppgifter får behandlas enligt 3 §.
Samkörning
5 § Den som är personuppgiftsansvarig för behandlingen av
personuppgifter i ett hälsodataregister får för de ändamål som anges i 3 §
hämta personuppgifter till registret genom samkörning.
Uppgiftsskyldighet
6 § Den som bedriver verksamhet inom hälso- och sjukvården skall
lämna uppgifter till ett hälsodataregister för de ändamål som anges i 3 §.
Sökbegrepp
7 § Som sökbegrepp i ett hälsodataregister får användas uppgifter som
enligt 4 § får ingå i ett hälsodataregister.
Direktåtkomst
8 § Endast den som är personuppgiftsansvarig får ha direktåtkomst till
uppgifter i ett hälsodataregister.
Utlämnande på medium för automatiserad behandling
9 § Personuppgifter i ett hälsodataregister får lämnas ut på medium för
automatiserad behandling endast om uppgifterna skall användas för de
ändamål som anges i 3 §.
Sekretess
10 § I sekretesslagen (1980:100) finns bestämmelser om begränsningar i
rätten att lämna ut personuppgifter.
Rättelse och skadestånd
11 § Bestämmelserna i personuppgiftslagen (1998:000) om rättelse och
skadestånd gäller vid behandling av personuppgifter enligt denna lag
eller föreskrifter som meddelats med stöd av lagen.
Bemyndiganden
12 § Regeringen får meddela föreskrifter om
1. vilka myndigheter som får föra hälsodataregister enligt 1 §,
2. begränsning av de i 3 § angivna ändamålen,
3. begränsningar av de uppgifter som ett hälsodataregister enligt 4 § får
innehålla,
4. begränsningar av samkörning enligt 5 §,
5. uppgiftsskyldighet enligt 6 §, och
6. begränsningar i rätten att bevara uppgifter.
Denna lag träder i kraft den 24 oktober 1998. Om behandling av
personuppgifter för ett ändamål som avses i denna lag påbörjats före
ikraftträdandet gäller äldre bestämmelser t.o.m. den 30 september 2001
om behandlingen inte omfattas av ett hälsodataregister enligt denna lag.
Prop. 1997/98:108
2.2 Förslag till lag om vårdregister
Härigenom föreskrivs följande.
Lagens tillämpningsområde
1 § Den som bedriver vård får utföra automatiserad behandling av
personuppgifter i vårdregister.
Med vård enligt denna lag avses vård enligt hälso- och sjukvårdslagen
(1982:763), tandvårdslagen (1985:125), lagen (1991:1128) om
psykiatrisk tvångsvård och lagen (1991:1129) om rättspsykiatrisk vård
samt smittskydd enligt smittskyddslagen (1988:1472).
Förhållandet till personuppgiftslagen
2 § Om inget annat följer av denna lag eller föreskrifter som meddelats
med stöd härav, tillämpas personuppgiftslagen (1998:000) vid
behandling av personuppgifter för vårdregister.
Ändamål
3 § Personuppgifter i ett vårdregister får behandlas för dokumentation av
vården av patienter eller för sådan administration som rör patienter och
som syftar till att bereda vård i enskilda fall.
Behandling av personuppgifter får även utföras för den
ekonomiadministration som föranleds av vård i enskilda fall.
4 § Personuppgifter i ett vårdregister får, utöver vad som anges i 3 §,
behandlas för följande ändamål:
1. framställning av statistik,
2. uppföljning, utvärdering, kvalitetssäkring och administration på
verksamhetsområdet, och
3. uppgiftsutlämnande som föreskrivs i lag eller förordning.
Innehåll
5 § Ett vårdregister får endast innehålla de uppgifter som enligt lag eller
annan författning skall antecknas i en patientjournal. Registret får dock
även innehålla andra uppgifter som antecknas i och för vården av
patienter samt uppgifter som behövs för sådan administration som avses i
3 § andra stycket.
Samkörning
6 § Uppgifter om en patient som behövs för vård av denne samt
uppgifter som behövs för den ekonomiadministration som föranleds av
den aktuella vården får hämtas till ett vårdregister från andra vårdregister
genom samkörning. Dessutom får uppgifter om patientens
folkbokföringsadress hämtas till registret genom samkörning.
Sökbegrepp
7 § Personuppgifter som avses i 13 eller 21 § personuppgiftslagen
(1998:000) får inte användas som sökbegrepp i ett vårdregister. Inte
heller får uppgifter om att någon fått ekonomisk hjälp eller vård inom
socialtjänsten eller varit föremål för åtgärd enligt utlänningslagen
(1989:529) användas som sökbegrepp.
Det är trots förbudet i första stycket tillåtet att som sökbegrepp
använda uppgifter om sjukdom och hälsotillstånd samt uppgifter om att
någon varit föremål för tvångsingripande enligt lagen (1991:1128) om
psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.
Direktåtkomst
8 § Endast den som för de ändamål som anges i 3 och 4 §§ behöver
tillgång till uppgifterna för att kunna utföra sitt arbete får ha
direktåtkomst till uppgifter i ett vårdregister. Åtkomsten får endast avse
de uppgifter som behövs för arbetets utförande.
Utlämnande på medium för automatiserad behandling
9 § Personuppgifter i ett vårdregister får lämnas ut på medium för
automatiserad behandling endast om de skall användas för de ändamål
som anges i 3 och 4 §§ eller för forskningsändamål.
Bevarande och gallring
10 § Utöver vad som följer av personuppgiftslagen (1998:000) finns
särskilda bestämmelser om bevarande och gallring i patientjournallagen
(1985:562).
Information
11 § Den som är personuppgiftsansvarig för ett vårdregister skall se till
att den registrerade får information om behandlingen.
Informationen skall innehålla upplysningar om
1. vem som är personuppgiftsansvarig,
2. ändamålet med registret,
3. vilken typ av uppgifter som ingår i registret,
4. den uppgiftsskyldighet som följer av lagen (1998:000) om
hälsodataregister,
5. de sekretess- och säkerhetsbestämmelser som gäller för registret,
6. rätten att ta del av uppgifter enligt 26 § personuppgiftslagen
(1998:000),
7. rätten till rättelse av oriktiga eller missvisande uppgifter,
8. rätten till skadestånd vid behandling av personuppgifter i strid med
denna lag,
9. vad som gäller i fråga om sökbegrepp, direktåtkomst och
utlämnande av uppgifter på medium för automatiserad behandling,
10. vad som gäller i fråga om bevarande och gallring, samt
11. om registreringen är frivillig eller inte.
Sekretess
12 § För utlämnande av personuppgifter från ett vårdregister gäller de
begränsningar som följer av sekretesslagen (1980:100),
patientjournallagen (1985:562), lagen (1994:953) om åligganden för
personal inom hälso- och sjukvården och lagen (1996:786) om tillsyn
över hälso- och sjukvården.
Rättelse
13 § Personuppgiftslagens (1998:000) bestämmelser om den
personuppgiftsansvariges skyldighet att på begäran av den registrerade
rätta, blockera eller utplåna personuppgifter och att underrätta tredje
man, till vilken uppgifterna har lämnats ut, skall gälla även då
personuppgifter behandlats i strid med denna lag. Detta gäller dock inte
om åtgärderna skulle strida mot bestämmelserna i patientjournallagen
(1985:562).
Skadestånd
14 § Bestämmelserna i personuppgiftslagen (1998:000) om skadestånd
gäller vid behandling av personuppgifter enligt denna lag.
Denna lag träder i kraft den 24 oktober 1998.
2.3 Förslag till lag om upphävande av lagen (1991:425)
om viss uppgiftsskyldighet inom hälso- och
sjukvården
Härigenom föreskrivs att lagen (1991:425) om viss uppgiftsskyldighet
inom hälso- och sjukvården skall upphöra att gälla den dag som
regeringen bestämmer.
2.4 Förslag till lag om upphävande av kungörelsen
(1957:632) om cancerregister
Härigenom föreskrivs att kungörelsen (1957:632) om cancerregister
skall upphöra att gälla den dag som regeringen bestämmer.
3 Ärendet och dess beredning
Efter beslut av regeringen den 23 september 1993 tillkallades en
parlamentarisk kommitté med uppgift att genomföra en utredning om
författningsreglering av personregister inom hälso- och sjukvårdens
område. Kommittén antog namnet Hälsodatakommittén. I september
1995 avgav kommittén betänkandet Hälsodataregister – Vårdregister
(SOU 1995:95). Betänkandet innehåller förslag till författningsreglering
av behandling av personuppgifter i centrala register i en
hälsodataregisterlag och personregister i det direkta vårdarbetet i en
vårdregisterlag, jämte vissa konsekvensändringar. En sammanfattning av
kommitténs betänkande återfinns i bilaga 1.
Delar av kommitténs lagförslag finns i bilaga 2. Därutöver lämnade
kommittén förslag till 1. lag om ändring i lagen (1995:606) om vissa
personregister för officiell statistik, 2. lag om ändring i datalagen
(1973:289), 3. lag om upphävande av lagen (1991:425) om viss
uppgiftsskyldighet inom hälso- och sjukvården, och 4. lag om
upphävande av kungörelsen (1957:632) om cancerregister. Regeringen
avser att i annat sammanhang lämna förslag avseende kommitténs förslag
under punkt 1. Vad avser förslaget under punkt 2 är ändringen inte längre
relevant eftersom denna lag, vilket redogörs för nedan, föreslås
upphävas. Förslagen under punkterna 3 och 4 överensstämmer i sin
helhet med vad regeringen föreslår i denna proposition.
Betänkandet har remissbehandlats, en förteckning över
remissinstanserna finns i bilaga 3. En sammanställning av
remissyttrandena finns tillgängliga i Socialdepartementets ärende
(S95/5314/S).
Efter det att remissbehandlingen avslutats har regeringen i proposition
1997/98:44 föreslagit en personuppgiftslag som avser att ersätta
datalagen (1973:289) och att genomföra Europaparlamentets och rådets
direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda
personer med avseende på behandling av personuppgifter och om det fria
flödet av sådana uppgifter (nedan benämnt EG-direktivet).
En översyn av bestämmelserna har skett för att samordna förslagen i
denna proposition med regleringen i förslaget till personuppgiftslag
varvid omfattande språkliga justeringar samt vissa ändringar i sak av
mindre betydelse har gjorts.
Lagrådet
Regeringen beslutade den 29 januari 1998 att inhämta Lagrådets yttrande
över de lagförslag som finns i bilaga 4. Lagrådets yttrande finns i
bilaga 5.
Regeringen har i propositionen följt de förslag som Lagrådet lämnat.
Vi återkommer till Lagrådets yttrande i avsnitt 10.11 och 11.9 samt i
författningskommentarerna till de lagrum vilkas utformning Lagrådet
lämnat synpunkter på.
4 Bakgrund
Den moderna informationstekniken erbjuder möjligheter att effektivisera
och rationalisera verksamheter av skilda slag. På alla samhällsområden
pågår en utveckling mot en alltmer intensifierad datorisering.
Inom hälso- och sjukvården har tekniken med dataregistrering av
personuppgifter tagits i bruk ganska tidigt när det gäller att bygga upp
centrala register för framställning av statistik och för att utgöra underlag
för forskning.
Personregister har också kommit till användning i det direkta
vårdarbetet. Detta dels för att skapa underlag för diagnostik och
behandling av enskilda patienter, dels för olika administrativa rutiner.
Personuppgifter inom hälso- och sjukvården är ofta av känslig karaktär
och kräver därför ett fullgott integritetsskydd. Detta gäller både de
personregister som används i det direkta vårdarbetet och de centrala
register som används för statistik och forskning. Den rättsliga regleringen
av skyddet för den personliga integriteten i samband med personregister
finns fram till den 24 oktober 1998 i datalagen (1973:289). För att inrätta
och föra integritetskänsliga register krävs normalt tillstånd från
Datainspektionen. Regeringen har i proposition 1997/98:44 föreslagit en
personuppgiftslag som i sina huvudsakliga delar avses träda i kraft den
24 oktober 1998. Lagen avser att ersätta datalagen och att genomföra
Europaparlamentet och rådets direktiv 95/46/EG av den 24 oktober 1995
om skydd för enskilda personer med avseende på behandling av
personuppgifter och om det fria flödet av sådana uppgifter.
I proposition 1990/91:60 om offentlighet, integritet och ADB uttalade
regeringen att vissa register hos Socialstyrelsen, landstingen,
kommunerna och Riksförsäkringsverket på sikt borde regleras i särskilda
registerlagar. En sådan reglering var ett led i en allmän strävan att stärka
skyddet för de registrerades integritet i samband med nödvändig
registrering av känsliga uppgifter i vissa myndighetsregister.
En sådan reglering skulle ses som ett led i en allmän strävan att stärka
skyddet för de registrerades integritet i samband med nödvändig
registrering av känsliga personuppgifter i vissa myndighetsregister.
Konstitutionsutskottet betonade i sitt betänkande 1990/91:KU11 vikten
av att en författningsreglering kom till stånd i syfte att stärka skyddet för
de registrerades integritet i samband med sådan registrering. Riksdagen
har därefter antagit dels en lag (1993:747) om sjukförsäkringsregister hos
de allmänna försäkringskassorna, dels socialförsäkringsregisterlagen
(1997:934). Lagregleringen är avsedd att ersätta Datainspektionens
tillståndsgivning. Den innebär en detaljerad reglering av de
förutsättningar som krävs för att uppgifter skall få registreras på ADB-
medium. Vidare ingår bestämmelser om registeransvar, terminalåtkomst,
utlämnande av uppgifter m.m. i syfte att stärka skyddet för den
registrerades integritet.
För att fullfölja statsmakternas intentioner när det gäller personregister
på hälso- och sjukvårdens område beslöt regeringen den 23 september
1993 att en kommitté skulle tillkallas för att utreda och lägga fram
förslag till författningsreglering av personregister på detta område
(Dir. 1993:111). Kommittén antog namnet Hälsodatakommittén.
5 Personregister inom hälso- och sjukvården
Denna proposition syftar till att lägga fram förslag till
författningsreglering av automatiserad behandling av personuppgifter
inom hälso- och sjukvården. Utgångspunkten för förslagen är en
kartläggning av vilka personregister som idag finns på området.
Med personregister avses register, förteckning eller andra anteckningar
som förs med hjälp av automatisk databehandling och som innehåller
personuppgift som kan hänföras till den som avses med uppgiften.
Personregister inom hälso- och sjukvården kan i stort delas in i fyra
kategorier:
1) Hos de centrala myndigheterna Socialstyrelsen, Läkemedelsverket
och Smittskyddsinstitutet förs rikstäckande register som är avsedda för
statistik och forskning.
2) Inom den av sjukvårdshuvudmännen bedrivna hälso- och
sjukvården förs på regional och lokal nivå ett stort antal personregister.
En betydande del av dessa är tillkomna i och för vården av patienter. De
är främst avsedda för dokumentation av vården eller för
patientadminstrativa eller ekonomiadminstrativa funktioner.
Motsvarande register finns också inom den privat bedrivna vården.
3) På regional eller lokal nivå förs även ett antal register – ofta
rikstäckande – vars syfte är att underlätta kvalitetskontroll inom hälso-
och sjukvården. De brukar benämnas kvalitetsregister.
4) Ett mycket stort antal personregister utgörs av forskningsregister
som enskilda forskare eller institutioner inrättar och för inom ramen för
särskilda forskningsprojekt.
5.1 Personregister hos centrala förvaltningsmyndigheter
5.1.1 Socialstyrelsen
Socialstyrelsen är en central förvaltningsmyndighet för bl.a.
verksamheter som rör hälso- och sjukvård, tandvård och smittskydd, om
det inte är en uppgift för annan statlig myndighet. Under lång tid har
Socialstyrelsen haft ansvaret för statistik- och registerverksamhet inom
hälso- och sjukvården. Denna verksamhet är sedan årsskiftet 1991/92
förlagd till Epidemiologiskt Centrum (EpC), och som fr.o.m. den
1 november 1993 är en fristående enhet inom Socialstyrelsen.
EpC är verksamt på fem huvudområden; registerverksamhet,
klassifikationsverksamhet och medicinsk terminologi, rapportering om
folkhälsa och sociala förhållanden, forsknings- och utvecklingsarbete
samt statistiksamordning. De övergripande målen för EpC:s verksamhet
är att fortlöpande på nationell nivå följa, analysera och rapportera om
utbredning och utveckling av hälsoförhållanden och sjukdomar, sociala
förhållanden, vårdutnyttjande, vårdresultat samt riskfaktorer i olika
befolkningsgrupper och att bistå myndigheter, organisationer och
forskare på såväl nationell, regional som lokal nivå med epidemiologisk
rådgivning. Centret ska förse riksdag, regering, allmänhet, forskare,
myndigheter, landsting, kommuner och andra organisationer med
kunskapsunderlag inom områdena folkhälsosociala förhållanden, hälso-
och sjukvård samt socialtjänst.
En förutsättning bland andra för att bedriva epidemiologiskt arbete är
tillgången till olika slag av medicinska uppgifter om enskilda individer.
De register som förs hos Socialstyrelsen innehåller vissa av dessa
uppgifter. Sådana uppgifter kan vara av känslig natur. Registren omfattas
av sekretess enligt 9 kap. 4 § sekretesslagen (1980:100). Denna sekretess
är i princip absolut. Det finns dock möjlighet att lämna ut uppgifter bl.a.
för forskning och framställning av statistik om det står klart att
utlämnandet kan ske utan men eller skada för den som uppgiften rör.
För närvarande har Socialstyrelsen i sin registerverksamhet vid EpC
fyra aktiva register: Cancerregistret, Cancer-miljöregistret, Medicinska
födelseregistret med missbildningsregistret samt Sjukvårdsregistret.
5.1.1.1 Cancerregistret
Cancerregistret inrättades år 1958 med stöd av kungörelsen (1957:632)
om cancerregister. I kungörelsen anges att hos dåvarande
Medicinalstyrelsen (numera Socialstyrelsen) "skall föras register över
fall av cancer och av sådana därmed besläktade sjukdomar som styrelsen
bestämmer". Syftet med att tillskapa registret var att beskriva cancerns
utbredning och frekvens. Cancer hade fått ökad betydelse som dödsorsak
vid stigande medelålder och det behövdes därför en ingående och
fullständig statistik. Registret skulle "rutinmässigt insamla uppgifter om
cancerfall, sammanställa och räkna dessa, samt redovisa resultatet med
uppdelningar efter vissa standardargument, såsom cancerdiagnos, kön,
ålder, hemort, yrke m.m."
Ändamålet med registret har i beslut år 1977 av Datainspektionen
angivits vara att "utgöra underlag för statistik rörande incidenter av
malign tumörsjukdom med olika lokalisation och tumörtyp med
detaljerade uppdelningar mellan demografiska data, att göra ett centralt
basregister för epidemiologiska studier avseende tumörsjukdomar, att
utgöra centralt register för uppföljning av t.ex. patientgrupper".
Datainspektionen har meddelat vissa föreskrifter bl.a. för samkörningar
med andra register, t.ex. dödsorsaksregistret.
Det föreligger numera en obligatorisk heltäckande
rapporteringsskyldighet till Cancerregistret. Varje vårdansvarig läkare i
såväl offentlig som enskild tjänst liksom patolog och cytolog som ställer
diagnosen har en anmälningsplikt. Varje sjukdomsfall kommer därmed
att anmälas av flera läkare. Denna rapporteringsrutin är en förutsättning
för tillförlitligheten och fullständigheten hos registret.
Förutom Cancerregistret finns sedan år 1984 sex regionala
cancerregister som regionala onkologiska centra ansvarar för. Ändamålen
för dessa regionala register är att svara för regional cancerstatistik och att
utgöra underlag för utarbetande av vårdprogram för tumörsjukdomar
inräknat uppföljnings- och kontrollrutiner för dessa program. Den
löpande rapporteringen av cancerfall sker inte till Cancerregistret hos
Socialstyrelsen utan till de regionala registren från kliniker, laboratorier,
patologer och andra. En gång om året redovisar de regionala registren
inkomna anmälningar vidare till det centrala registret.
Socialstyrelsens Cancerregister innehåller uppgifter om
personnummer, kön, hemort, civilstånd, sjukhus, diagnos, tumörnummer,
histopatologiska data och journalnummer. Från dödsorsaksregistret
hämtas uppgifter om död i cancer, dödsdatum samt underliggande eller
bidragande orsaker. Det centrala Cancerregistret omfattar så gott som
samtliga fall av cancer som konstaterats i Sverige. Registret innehåller
för närvarande uppgifter om cirka 1,3 miljoner fall, vilket omfattar
omkring 1,2 miljoner personer, både levande och döda.
5.1.1.2 Cancer - miljöregistret
Det första Cancer-miljöregistret (CMR 60) inrättades genom beslut av
Datainspektionen 1977. Därefter har ytterligare register inrättats,
CMR 70 och CMR 6070. CMR 60 tillkom genom en samkörning av
Statistiska centralbyråns (SCB) register över 1960 års Folk- och
bostadsräkning (FoB) och Cancerregistret 1960–79, medan CMR 70 är
resultatet av en samkörning av Cancerregistret 1971–84 och 1970 års
FoB. CMR 6070 tillkom genom en samkörning av CMR 70 och FoB 60.
Datainspektionen har därefter givit tillstånd till utvidgningar av
innehållet i dessa register. Idag omfattar CMR 70 uppgifter från
Cancerregistret t.o.m. år 1990.
Samtliga registers giltighetstid har begränsats av Datainspektionen, för
CMR 60 och CMR 70 t.o.m. utgången av år 1994, och för CMR 6070
t.o.m. utgången av år 1995. Registren har, efter tillstånd av
Datainspektionen, i identifierbar form överlämnats för långtidsförvaring
till Riksarkivet, där de skall finnas tillgängliga för bl.a. forskning.
Registrens ändamål är att utgöra ett underlag för forskning och
utredning inom och utom Socialstyrelsen över samband mellan
förekomsten av cancersjukdomar och miljöfaktorer. Främst har man
avsett arbets- och boendemiljöfaktorer men även olika sysselsättnings-,
yrkes- och näringsgrensfaktorer. Registren skall också kunna användas
för statistiska bearbetningar och ligga till grund för urvalsdragningar för
forskning både inom och utom Socialstyrelsen.
5.1.1.3 Medicinska födelseregistret med missbildningsregistret
Medicinska födelseregistret inrättades år 1972 genom beslut av
regeringen. Genom beslutet medgavs att Socialstyrelsen får införa
"statistiska uppgifter om förlossningar m.m. avsedda som underlag för en
individrelaterad förlossningsstatistik".
Redan den 1 januari 1965 hade det inrättats ett Missbildningsregister.
Detta register hade sin grund i neurosendynkatastrofen. Som
missbildning räknas funktionella och strukturella förändringar som
upptäcks och rapporteras inom sex månader efter födseln. Registret
tillkom som ett led i ansträngningarna att tidigt upptäcka förändringar i
missbildningsfrekvensen och därmed skapa förutsättningar för en tidig
upptäckt av missbildningsframkallande faktorer.
Missbildningsregistret slogs år 1980 samman med Medicinska
födelseregistret till ett register. Formellt gick det till så att
missbildningsregistret upphörde och födelseregistret utvidgades till att
omfatta även registrering av missbildningar.
Medicinska födelseregistret med missbildningsregistret omfattar
uppgifter om samtliga graviditeter som lett till förlossning,
förlossningarna och om de nyfödda barnen. Uppgifterna avser endast
förlossningar inom landet och omfattar åren fr.o.m. 1973. Registret
omfattar ungefär 2,3 miljoner förlossningar och nyfödda barn. Det tillförs
årligen uppgifter om cirka 110 000 förlösta kvinnor och nyfödda barn,
varav cirka 1 500 med allvarlig missbildning. Registret innehåller
uppgifter om bl.a. moderns och barnets personnummer, födelsetid,
sjukhus, klinik, tidigare graviditeter, graviditetens längd, förlossningssätt,
diagnoser, missbildningsdiagnos och dödlighet.
5.1.1.4 Sjukvårdsregistret
Register över patienter utskrivna från sluten vård har förts sedan 1960-
talet. För tiden fram t.o.m. år 1983 finns det två slutenvårdsregister, ett
för somatisk och ett för psykiatrisk vård. Dessa båda register innehåller
individuppgifter med personnummer för perioderna 1978–83 respektive
1973–83. För tiden fram till tillkomsten av dagens Sjukvårdsregister
fördes dessa båda register utan personnummer.
Dagens sjukvårdsregister tillkom genom förordningen (1993:1058) om
sjukvårdsregister hos Socialstyrelsen för forskning och statistik.
Socialstyrelsen får enligt förordningen föra ett särskilt sjukvårdsregister.
Uppgifterna i registret får endast användas för forskning och
framställning av statistik. Datainspektionen har meddelat föreskrifter om
bl.a. åtkomstskydd och behörighetskontroll för registret.
Registret får innehålla uppgifter från det tidigare slutenvårdsregistret
och uppgifter som tillförs registret enligt den uppgiftsskyldighet som
regleras i förordningen (1993:1057) om viss uppgiftsskyldighet inom
hälso- och sjukvården. Enligt förordningen skall landsting och
kommuner utanför landsting senast den 31 maj varje år lämna uppgifter
till Socialstyrelsen om de patienter som föregående år har skrivits ut från
sluten vård och om de patienter som under samma tid vårdats i den öppna
vården, om vården tidigare vanligen meddelades i den slutna vården.
Enligt förordningen skall även lämnas uppgifter en gång per år om de
patienter som en viss dag är inskrivna i geriatrisk eller psykiatrisk sluten
vård.
Uppgifterna i Sjukvårdsregistret avser vårdenhet, personnummer,
folkbokföringsort, dag och sätt för in- och utskrivning, diagnos, åtgärder
samt orsaker till skador och förgiftningar. Vidare lämnas uppgift om
vården var planerad eller akut och den avtalstyp som reglerar
vårdersättningen. Den totala registreringen omfattar nästan 30 miljoner
vårdtillfällen sedan år 1964. Omkring 1,7 miljoner vårdtillfällen
tillkommer varje år.
Registret används för såväl klinisk som epidemiologisk forskning och
via statistiska bearbetningar för utvärderingar och planering av hälso-
och sjukvården. Det används också för statistiska årsböcker och allmän
samhällsinformation.
5.1.1.5 Vissa andra register
Socialstyrelsen har tidigare fört och för alltjämt andra register. En del av
dessa register omfattar persongrupper som inte behandlas inom ramen för
denna proposition, däribland legitimerad personal inom hälso- och
sjukvården. Andra är inte personregister i datalagens mening eftersom de
saknar personnummer eller annan identitetsbeteckning. Inom
Socialstyrelsen pågår också ett arbete med att skapa nya register, såsom
ett register över skador i vården och ett register om biverkningar av
dentala material.
Detaljerad statistik över legala aborter har tagits fram sedan början av
1950–talet. I och med den förändrade abortlagstiftningen år 1975 fick
registret över verkställda aborter sin nuvarande utformning. Registret
innehåller individuppgifter men inte identifierbara personuppgifter,
varför det inte utgör personregister i datalagens mening. Uppgifterna i
registret avser kvinnans ålder, hemortslän, kommun, sjukvårdsområde
för åtgärden, tidigare graviditet, vårdform, graviditetens längd och
abortmetod. Syftet med registret är att tillhandahålla kunskapsunderlag
för utvärdering av abortförebyggande arbete och för forskning samt
statistik för allmän samhällsinformation.
Sedan 1950–talet har statistik förts över steriliseringar. På samma sätt
som för registret över aborter ändrades utformningen av registret över
steriliseringar i samband med ny lagstiftning år 1976. Till registret
insamlas individuppgifter men dessa är inte identifierbara, varför inte
heller detta register är ett personregister i datalagens mening. Registret
innehåller uppgifter om varje opererad individs ålder och kön,
sjukvårdsområde där åtgärden verkställts, hemortslän, information,
vårdform, orsak/indikation, operationsmetod, eventuellt beslut av
Socialstyrelsen samt om sterilisering utförts i samband med abort.
Ansvaret för Dödsorsaksregistret har fr.o.m. den 1 juli 1994 övergått
från SCB till Socialstyrelsen. Registret omfattar avlidna personer och
utgör därför inte ett personregister enligt Datalagen. Grunden för
registreringen är de intyg om dödsorsak som utfärdas av läkare enligt
begravningslagen (1990:1144). Registret innehåller uppgifter om bl.a.
personnummer, kön, civilstånd, hemort, nationalitet, dödsdatum,
dödsorsak, underliggande och bidragande dödsorsak, olyckans yttre
orsak och skadans natur vid våldsam död, grund för
dödsorsaksangivelsen och dödsplats. I sin nuvarande form har registret
förts sedan år 1961. Det omfattar uppgifter om cirka 3 miljoner avlidna.
Socialstyrelsen har tidigare handhaft ett antal personregister som idag
inte längre är aktiva, såsom register över kvinnor som genomgått
gynekologisk hälsoundersökning. Vissa äldre register har gått upp i andra
register medan andra register är långtidsarkiverade hos Riksarkivet.
5.1.2 Läkemedelsverket
Läkemedelsverket är en central förvaltningsmyndighet för kontroll och
tillsyn av läkemedel, läkemedelsnära produkter m.m. i den utsträckning
som sådana frågor inte handhas av annan statlig myndighet. Verket skall
också svara för forskning på området av betydelse för den kontroll och
tillsyn som skall bedrivas. Läkemedelsverkets ansvar omfattar i stort
frågor om produktsäkerhet, produktkvalitet och andra därmed
sammanhängande frågor. Verkets uppgifter i förhållande till hälso- och
sjukvården är att kontrollera och ha tillsyn över läkemedlens säkerhet och
kvalitet.
Av läkemedelslagen följer att ett läkemedel skall vara av god kvalitet
och ändamålsenligt. Vid framtagning av ett nytt läkemedel sker kliniska
prövningar för att utröna läkemedlets förmåga att förebygga, påvisa,
lindra, kompensera eller bota sjukdomar hos människor. En praktisk
prövning under kontrollerade former genomförs på vanligen 500 – 5 000
individer och förutsätter ett tillstånd av Läkemedelsverket. Ett läkemedel
får godkännas för försäljning endast om det har genomgått föreskriven
prövning och fått godkännande av Läkemedelsverket eller i vissa fall ett
godkännande av EU:s läkemedelsmyndighet.
Sedan ett läkemedel godkänts sker en löpande efterkontroll.
Läkemedelsverket skall fortlöpande kontrollera ett läkemedel och pröva
om godkännandet fortfarande skall gälla. Efterkontrollen leder till att
cirka tre procent av registrerade läkemedel dras in och att cirka tio
procent erhåller en begränsning i sitt användningsområde. Som ett led i
denna efterkontroll ingår rapportering av biverkningar av läkemedel.
5.1.2.1 Läkemedelsbiverkningsregistren m.fl.
Hos Läkemedelsverket förs två register över biverkningar av läkemedel.
Före Läkemedelsverkets tillkomst den 1 juli 1990 fördes ett
biverkningsregister hos Socialstyrelsens läkemedelsavdelning.
Ändamålet med detta register var "statistisk bearbetning av fall av
läkemedelsbiverkningar för framställning av underlag för bedömningarna
i läkemedelsbiverkningsnämnden samt deltagande i
Världshälsoorganisationens (WHO) internationella rapportsystem för
läkemedelsbiverkningar" enligt det tillstånd som Datainspektionen
meddelat registret. Utöver diverse uppgifter om läkemedel och
biverkningar innehöll registret bl.a. uppgifter om födelsedatum och kön
för den som utsatts för biverkningen. Tillstånd fanns för att registrera
personnummer, men detta har inte utnyttjats. Rapporteringsskyldigheten
åvilade enskilda läkare och tandläkare personligen.
Ett nytt register har inrättats med stöd av förordningen (1994:1521) om
biverkningsregister angående läkemedel, som trädde i kraft den 1 januari
1995. De uppgifter som registreras i detta biverkningsregister får endast
användas för forskning och framställning av statistik.
Biverkningsregistret angående läkemedel får enligt
övergångsbestämmelser i 1994 års förordning innehålla uppgifter ur det
äldre biverkningsregistret. Förordningen innehåller bestämmelser om
bl.a. registeransvar, terminalåtkomst och information. Förordningen, som
var tidsbegränsad, har med verkan från den 1 januari 1997 ersatts av den
likalydande förordningen (1997:143) om biverkningsregister angående
läkemedel.
Registret innehåller uppgifter om de personer som utsatts för
läkemedelsbiverkningar och om rapporterande eller behandlande hälso-
och sjukvårdspersonal. För den förstnämnda gruppen innehåller registret
uppgifter om personnummer eller födelsedatum och kön, biverkningar,
förlopp, misstänkt läkemedel, dos, behandlingstid m.m. För personalen
innehåller registret uppgifter om befattningsnamn, adress, klinik och län.
Antalet anmälningar till biverkningsregister är cirka 3 500 per år.
Biverkningsrapporter kommer till övervägande del från den offentliga
sjukvården. Ur registret tas fram årlig statistik om
biverkningsrapporteringen. Från det svenska registret lämnas
avidentifierade uppgifter till WHO:s globala biverkningsregister. Till det
globala registret, som finns i Uppsala, kommer omkring 140 000
rapporter in om året från ett 40–tal länder.
Vid Läkemedelsverket förs även ett register över biverkningar
förorsakade av kosmetika och hygieniska produkter. I detta register tas in
uppgifter om födelsedatum och kön för patient, namn och adress för
rapporterande läkare, aktuell biverkning samt produkt.
5.1.3 Smittskyddsinstitutet
Smittskyddsinstitutet (SMI) är en central förvaltningsmyndighet med
uppgift att nationellt och internationellt bevaka det epidemiologiska läget
beträffande smittsamma sjukdomar bland människor, att aktivt medverka
till att skyddet mot sådan sjukdomar upprätthålls och förstärks samt att
lämna erforderlig information till Socialstyrelsen och andra berörda.
Smittskyddsinstitutet skall också följa och analysera immunitetsläget
efter genomförda vaccinationsprogram och föreslå vaccinationsåtgärder,
samt ta initiativ till åtgärder som medför skydd om smittsamma
sjukdomar, även i kris och krig.
I smittskyddslagen (1988:1472) finns bestämmelser mot smittsamma
sjukdomar bland människor. Till lagen hör smittskyddsförordningen
(1989:901) samt av Socialstyrelsen meddelade föreskrifter och allmänna
råd om tillämpningen av smittskyddslagen (SOSFS 1989:18).
Smittskyddslagen innehåller bestämmelser om anmälningskyldighet för
läkare när denne konstaterar sådan smitta som finns upptagen i bilagan
till smittskyddslagen. En smittsam sjukdom kan enligt smittskyddslagen
hänföras antingen till gruppen samhällsfarliga sjukdomar eller till
gruppen övriga smittsamma sjukdomar. Anmälningsskyldigheten skall
fullgöras till smittskyddsläkaren och till Smittskyddsinstitutet.
5.1.3.1 Epidemiregistret m.fl.
I samband med institutets tillkomst och nedläggningen av Statens
Bakteriologiska Laboratorium (SBL) övertog SMI ett antal register.
Många av registren förs för mycket specifika ändamål och berörs därför
inte närmare i denna proposition. Gemensamt för samtliga register hos
SMI är att de förs med tillstånd av Datainspektionen. Uppgifter från
registren används i få fall utanför myndigheten. När så sker lämnas
vanligen avidentifierade uppgifter från registren.
Inom SMI ligger ansvaret för den epidemiologiska bevakningen på
enheten för epidemiologi. Alla anmälningspliktiga sjukdomar enligt
smittskyddslagen registreras på enheten, liksom den frivilliga
rapporteringen från mikrobiologiska laboratorier beträffande vissa
sjukdomar. Det registrerade materialet bearbetas statistiskt och
analyseras akut och långsiktigt för att ge underlag för förslag till
åtgärder.
Inom den epidemiologiska enheten förs ett antal personregister som
används i smittskyddsarbetet, bl.a. Epidemiregistret som är ett
administrativt hjälpmedel i SMI:s verksamhet och omfattar alla
anmälningar som görs enligt smittskyddslagen. Det möjliggör statistiska
bearbetningar av uppgifter om anmälda sjukdomsfall av epidemisk
karaktär. Registret innehåller personnummer eller i vissa fall den s.k.
rikskoden. Vidare innehåller registret uppgifter om namn,
insjuknandedatum, smittbärare, diagnos, nationalitet, yrke, epidemikod
m.m.
Registret för Immunitetsundersökningar har som ändamål att ge
underlag för att bedöma immunitetsläget mot infektionssjukdomar i
Sverige. Registret skall även möjliggöra uppföljning och utvärdering av
genomförda vaccinationer och undantagsvis individspecifika
longitudinella undersökningar. Registret skiljer sig från epidemi- och
tuberkulosregistret genom att uppgifter hämtas in direkt från den
enskilde.
SMI utför som expertorgan på uppdrag av olika laboratorier diagnostik
av unik natur, s.k. särpräglad diagnostik. Anledningen kan vara att
arbetet med ett smittämne måste ske i ett s.k. säkerhetslaboratorium, att
antalet efterfrågade analyser är så ringa att ett enskilt laboratorium inte
kan hålla tillräckligt med kunskap eller att metodiken är ny eller under
utprovning och därför inte introducerad är hos andra laboratorium.
Registret för Mikrobiologisk diagnostik och Diagnosregistret används för
att administrera patient- och provdata avseende sådan provtagning.
5.2 Personregister på regional och lokal nivå
Inom den slutna och öppna hälso- och sjukvården – såväl den offentliga
som den privat bedrivna – finns det ett stort antal personregister. Detta är
följden av den datorisering av verksamheten som i accelererande takt
skett under de senaste åren både på regional och lokal nivå.
Användningen av datorer kan i en grov indelning hänföras till
produktion och till förvaltning. Till produktionsområdet hör
patientjournalföring, patientadministration samt administration och
dokumentation inom medicinsk service och av hälsokontroller. Till
förvaltningsområdet hör övergripande verksamhetsplanering,
ekonomiadminstration, personaladministration och
materialadministration. Gränserna mellan de olika områdena är i
praktiken inte helt klara, och det bör påpekas att olika indelningsmodeller
har använts i olika sammanhang.
Mot bakgrund av den utbyggnad av datoranvändning som pågår – inte
minst vad avser datorförda journaler – och det faktum att förteckningarna
över antalet register inom samtliga sjukvårdsförvaltningar inom landet
inte är kompletta, synes det inte vara orealistiskt att antaga att det inom
den offentliga vården kan finnas upp emot 4 000 personregister som
innehåller uppgifter om patienter.
Ändamålen med de personregister som förs inom landstingen och som
innehåller personuppgifter om patienter kan till helt övervägande del
hänföras till minst en av följande huvudgrupper.
1. Befolkningsregister för uppdatering av adressregister m.m.,
2. vård och behandling av den enskilde patienten jämte uppföljning i
behandlingssyfte, t.ex. patientadministration, journalföring,
remisshantering,
3. ekonomiadministration i samband med vård och behandling av
enskilda patienter,
4. uppföljning av behandling jämte framtagning av statistik för
planering av verksamheten i allmänhet, kvalitetskontroll och utvärdering
av behandlingsmetoder m.m.,
5. registrering av vissa sjukdomar, skador och funktioner för
forskningsändamål.
5.3 Nationella kvalitetsregister
Kvalitetsregistren är en grupp fristående register som tillkommit vid
olika tidpunkter sedan slutet av 1970-talet och med varierande syften.
Ambitionen att utveckla och använda registren som nationella
kvalitetsuppföljningsinstrument har blivit tydligare med tiden. Flera av
registren har numera rikstäckning efter att tidigare varit lokala eller
regionala. Det övergripande syftet med registren är att de skall bidra till
att förbättra kunskaper om olika typer av medicinska åtgärder och
ingrepp och därmed möjliggöra en förbättrad kvalitet inom svensk hälso-
och sjukvård. Inriktningen skiljer sig mellan registren. Vissa register har
till syfte att beskriva eventuella skillnader i användning av olika metoder,
såväl geografisk spridning som de symptom på vilka metoderna används.
Andra register beskriver skillnader i behandlingsresultat mellan olika
kliniker i relation till patientkarakteristik.
De register som har inrättats under de senaste åren har varit inriktade
på att belysa skillnader i kvalitet, vårdutnyttjande eller medicinsk praxis.
Registren, som förs med stöd av tillstånd från Datainspektionen,
administreras vid någon klinik/institution inom ett sjukhus.
Registeransvaret åvilar vanligen det aktuella landstinget. I de flesta fall är
verksamheten nära integrerad med den ansvariges vanliga uppgifter.
Sedan år 1990 har i de s.k. Dagmaröverenskommelserna mellan staten
och sjukvårdshuvudmännen avsatts medel för utveckling och drift av
nationella register för kvalitetsutveckling inom hälso- och sjukvården.
För att erhålla ekonomiskt bidrag från "Dagmar–medlen" skall
registret ha till syfte att bedriva nationell uppföljning men registret
behöver inte vara helt rikstäckande. Deltagandegraden, d.v.s. antalet
kliniker/sjukvårdsenheter som är anslutna till respektive register är olika
hög. Verksamheten med registren bygger på ett frivilligt deltagande från
ett stort antal olika medicinska enheter inom hälso- och sjukvården.
Uppgiftslämnandet grundas på att de enskilda patienterna lämnar sitt
samtycke till att deras medicinska data används i registren och att de
deltagande vårdgivarna finner det meningsfullt och upplever att
rapporteringen är till nytta för dem. Antalet uppgiftslämnare uppgick
under år 1997 till drygt 1 000 stycken. En följd av att registren har
tillskapats med olika syften är att innehållet i registren varierar.
5.4 Andra personregister inom hälso- och sjukvården
Förutom de nämnda grupperna av personregister finns det även andra
personregister inom hälso- och sjukvårdsområdet. För olika slag av
forskningsuppgifter förs ett stort antal personregister av både landsting,
forskningsinstitutioner och enskilda forskare. En del av dessa register
innehåller medicinska uppgifter. Andra innehåller socioekonomiska eller
pedagogiska uppgifter.
Till de register som innehåller medicinska uppgifter hänförs det
Svenska Tvillingregistret som förs vid Karolinska institutet. Syftet med
detta register är att studera sambandet mellan faktorer i miljön och
levnadsvanor å ena sidan och sjukdomar å den andra sidan med möjlighet
till kontroll för genetiskt inflytande samt att kvantifiera betydelsen av
genetiska faktorer för uppkomsten av sjukdom.
Vid PKU-laboratoriet på Huddinge sjukhus pågår arbetet med det s.k.
PKU-registret som ska innehålla uppgifter om barn med
ämnesomsättningssjukdomar. Ändamålet med registret skall vara
administration av provtagning avseende fyra medfödda allvarliga
sjukdomar samt framställning av statistik.
Tobiasregistret innehåller uppgifter om tänkbara benmärgsgivare.
Transplantation av benmärg är en behandlingsmetod vid t.ex. leukemi.
Registret startades våren 1992 och handhas av Stockholms läns landsting
inom Stockholm Care med stöd av Tobiasstiftelsen.
6 IT inom hälso- och sjukvården
Gemensamt för all behandling av personuppgifter inom hälso- och
sjukvården är att uppgifterna ofta är av känslig eller mycket känslig natur
och rör enskilda personer. En reglering i lag av behandlingar har
framstått som ett angeläget led i arbetet med att stärka skyddet för den
personliga integriteten. Registerlagar har införts på andra områden, som
t.ex. inom socialförsäkringen, där känsliga uppgifter om enskilda
personer har samlats i personregister. Behovet av författningsreglering
har uppkommit i takt med den tekniska utvecklingen på
informationsteknikområdet. Denna utveckling har medfört att hälso- och
sjukvården i växande omfattning utnyttjar tekniken i vårdarbetet samt i
arbete med planering, utvärdering och uppföljning.
6.1 Den informationtekniska utvecklingen
I olika sammanhang har begreppet IT – informationsteknik – kommit att
användas som en sammanfattande benämning på användningen av
datorer, telekommunikation m.m. Begreppet lägger tonvikten både på
den tekniska utrustningen för informationsbehandling och på metoder
och tillvägagångssätt för att utnyttja denna. Regeringen har valt att
allmänt använda detta begrepp. Även begreppet ADB, som är ett äldre
begrepp, används i viss omfattning. Detta sker i huvudsak i
författningssammanhang eftersom termen förekommer i t.ex.
tryckfrihetsförordningen.
Utvecklingen inom IT har varit i det närmaste explosionsartad. IT
används inom allt fler områden och får allt större betydelse för
samhällsutvecklingen. Möjligheten till informationsutbyte med hjälp av
datakommunikation har utvidgats och kapaciteten för enskilda datorer
har ökat kraftigt under de senaste åren.
Vilka tekniska möjligheter till automatiserad behandling av medicinska
uppgifter inom hälso- och sjukvården som kommer att finnas i framtiden
är det inte möjligt att med nämnvärd säkerhet bedöma i nuläget.
6.1.1 Utvecklingen fram till idag
Inom hälso- och sjukvården har efter hand skett stora förändringar av
informationshanteringen. Datorer har använts sedan slutet på 1950–talet.
Inledningsvis togs tekniken i bruk för att möta önskemålet om att sortera
bort enklare manuella arbetsuppgifter eller arbetsuppgifter som gav föga
stimulans. Under 1960– och 70–talen utvecklades IT för att planera, leda,
genomföra och följa upp produktionen. Den datoriserade patientjournalen
började införas under 1970– och 80–talen. Under de senaste årtiondena
har många sjukvårdshuvudmän byggt ut datorkommunikationsnätverk för
den egna regionen. Datoriseringen har nu genomförts så långt att nästan
samtliga vårdenheter, vårdgivare och laboratorier använder datorer till
stöd för den administrativa verksamheten, men också i stor omfattning
för patientjournalföring. Till detta kommer datoriserade mätutrustningar,
datakommunikation m.m.
IT har på ett helt annat sätt än manuell hantering möjliggjort att de
uppgifter som finns inom hälso- och sjukvården kan användas för att ge
nyttig kunskap och förståelse för olika processer inom vården. Därtill
innebär införandet av IT möjligheter till rationaliseringar. Ett exempel
som därvid ofta framhålls rör hanteringen av patientjournaler. Både
säkerheten i hanteringen och tidsmässiga vinster brukar framhållas. En
vanlig uppfattning är att säkerheten för den enskildes uppgifter ökar med
användandet av IT och införandet av IT upplevs genomgående som ett
sätt att bättre utnyttja de resurser som finns att tillgå.
Företrädare för Landstingsförbundet och Stiftelsen för Kunskaps- och
Kompetensutveckling (KK–stiftelsen) har under våren 1997 slutit en
principöverenskommelse om att tillföra 150 miljoner kronor under tre år
för insatser inom fem IT-områden, telematik, infrastruktur och
horisontella tillämpningar, industriinriktade tillämpningar, utbildning,
kompetensutveckling och kunskapsspridning samt forskning.
6.1.2 Framtida IT–användning
En ständig strävan mot lösningar som innebär kostnadsbesparingar har
kännetecknat hälso- och sjukvården under de senaste åren. Denna
utveckling kan, trots en viss ljusning i samhällsekonomin, förväntas bestå
under lång tid.
Man har därför anledning att räkna med ett intensifierat utnyttjande av
IT t.ex. inom den s.k. telemedicinen, för att dokumentera iakttagelser, för
att planera vården för enskilda patienter, men också för uppföljning och
kvalitetssäkring av genomförd vård.
Datakommunikationstekniken och nätverken tillsammans med
utvecklingen av bl.a. patientjournalsystem kommer så småningom att
möjliggöra epidemiologiska studier och epidemiologisk forskning utan
stöd av centrala register.
En annan utveckling på teknikområdet som bör nämnas gäller s.k.
"smart cards", aktiva kort eller minneskort. Minneskort har olika
karaktäristika och de är därför lämpade för olika ändamål. Det är möjligt
att det i framtiden kommer att finnas ett kort som både har en inbyggd
dator och lagringsfunktioner. Ett sådant kort skulle kunna öka säkerheten
i hälso- och sjukvården. Det skulle också kunna rationalisera
informationsutbytet mellan olika vårdinrättningar m.m.
Sammanfattningsvis kan man konstatera att utvecklingen inom IT är
till nytta inte bara för samhället som helhet utan även för
sjukvårdshuvudmännen. Den enskilde patientens förhållanden påverkas
också i positiv riktning av IT-användningen genom snabbare och säkrare
tillgång på uppgifter om hans eller hennes vårdkontakter, genomgången
behandling, medicinering m.m. Samtidigt är det viktigt att framhålla att
säkerheten och den personliga integriteten blir mer hotad ju mer
information, som potentiellt blir åtkomlig med datakommunikation.
7 Den personliga integriteten
Personlig integritet är – även om begreppet inte kan ges någon mer
objektivt bestämbar innebörd – ett honnörsbegrepp. Det anses allmänt att
det är viktigt att skydda den enskildes integritet och förhindra olika
former av intrång däri. Innebörden av begreppen personlig integritet och
intrång är dock olika för olika människor i olika situationer.
Någon entydig förklaring till begreppet är inte möjlig att ge. En ofta
använd beskrivning av integritetsskyddet innebär att man skall skydda
den enskildes rätt att bli lämnad i fred. Andra försök att beskriva vad som
menas med personlig integritet tar fasta på rätten till ensamhet, till
förtrolig samvaro inom familjen, en rätt till anonymitet och distans till
andra individer. Ett annat sätt att beskriva begreppet är att den enskilde
skall kunna kontrollera spridningen av uppgifter eller ha en rätt att själv
bestämma vilka uppgifter om sig själv som han eller hon vill dela med
sig till andra.
Ett skydd mot otillbörligt intrång är nödvändigt för att den enskilde
skall uppnå en viss frihet att styra och kontrollera sitt eget liv. Den
enskilde kan dock inte resa krav på en helt fredad sfär. Den personliga
integriteten kan inte vara absolut i den mening att regler till skydd därför
skall gälla och tillämpas undantagslöst eller oavsett motstående intressen.
Ett visst mått av intrång måste accepteras. I stället får man bygga upp ett
skydd mot sådant som bedöms utgöra ett otillbörligt intrång.
Vad som upplevs som en integritetskränkning av en person behöver
inte upplevas som en sådan av en annan person. Det är därför svårt att
generalisera. Några omständigheter kan dock mera allmänt sägas påverka
den enskildes uppfattning om risk för integritetsintrång. Stora mängder
uppgifter, förekomsten av många olika register och den möjlighet till
samkörning som det ger är sådana exempel. Vidare om de uppgifter som
behandlas belyser den enskildes avvikelser från gängse normer, särskilt i
kombination med om tilltron till att uppgifterna hålls hemliga sviktar.
Svårigheter att uppnå rättelse och användning av personnummer är
ytterligare omständigheter som ofta oroar den enskilde.
Allmänhetens inställning till hälso- och sjukvårdens datorisering m.m.
För att i viss mån kartlägga allmänhetens inställning till hälso- och
sjukvårdens datorisering uppdrog hälsodatakommittén åt Institutionen
för socialmedicin vid Uppsala universitet att göra en sådan undersökning.
En slutsats som man kan dra av undersökningen är att allmänheten i
stor utsträckning är beredd att acceptera att patientjournaler och annan
dokumentation inom sjukvården sker med hjälp av data men att det är
viktigt att den datalagrade informationen skyddas mot obehörig åtkomst.
När det gäller frågan om överföring av patientuppgifter till regionala
och centrala myndigheter inom hälso- och sjukvården visar
undersökningen att sådana överföringar har ett ganska stort stöd bland
befolkningen. Det kan dock noteras att omkring 20 procent av
befolkningen bestämt motsätter sig att sådan överföring sker.
Avvägning av integritetsskyddet
I begreppet personlig integritet kan man lägga in två delkomponenter.
För det första att den enskilde bör tillförsäkras en sfär som skyddas mot
otillbörligt intrång från myndigheter och andra som kan uppfattas som
utomstående och för det andra att den enskilde bör ha rätt och möjlighet
att själv vara med och bestämma i vilka sammanhang uppgifter om
honom får utnyttjas och hur det i så fall skall ske. I båda fallen måste
dock den enskilde tåla vissa ingrepp, framförallt från samhällets sida,
när andra intressen, som av samhället bedöms som totalt sett viktigare,
kräver det. Ingrepp får dock inte vara alltför långtgående, alltför
besvärande eller betungande i förhållande till de syften som intrånget
skall tjäna. Varje gång det blir aktuellt att utnyttja uppgifter om en
enskilds personliga förhållanden måste således en avvägning göras
mellan den enskildes rätt till personlig integritet och det allmännas behov
av information.
8 Rättslig reglering till skydd för den
personliga integriteten
Någon lagstiftning som tar direkt sikte på den behandling av
personuppgifter som förekommer inom hälso- och sjukvården finns i
princip inte. Det finns däremot en rad bestämmelser i olika författningar
som gäller generellt för behandling av personuppgifter oberoende av på
vilket samhällsområde registerna kommer till användning. Dessa
bestämmelser har framförallt till syfte att garantera ett skydd för den
personliga integriteten hos den registrerade. På hälso- och sjukvårdens
område finns därutöver en rad bestämmelser som på olika sätt bidrar till
att bygga upp ett integritetsskydd för den enskilde som vänder sig till
vården.
I detta avsnitt skall redovisas några av de viktigaste bestämmelserna av
intresse för behandling av personuppgifter inom hälso- och sjukvården.
8.1 Nationell reglering
8.1.1 Regeringsformen
Det grundläggande skyddet för den enskildes personliga integritet
återfinns i regeringsformen. I 1 kap. 2 § tredje stycket regeringsformen
anges att det allmänna skall värna den enskildes privatliv och familjeliv.
En särskild bestämmelse om den personliga integriteten och ADB finns i
2 kap. 3 § regeringsformen. Där anges att varje medborgare skall i den
utsträckning som närmare anges i lag skyddas mot att hans personliga
integritet kränks genom att uppgifter om honom registreras med hjälp av
ADB. Den närmare reglering som åsyftas i lagrummet återfinns nu i
datalagen (1973:289), se avsnitt 8.1.4 och fr.o.m. den 24 oktober 1998 i
personuppgiftslagen (1998:000), se avsnitt 8.1.5
8.1.2 Tryckfrihetsförordningen
I 2 kap. tryckfrihetsförordningen finns bestämmelser om rätten att ta del
av allmänna handlingar (offentlighetsprincipen).
ADB-upptagningar – upptagning som kan läsas, avlyssnas eller på
annat sätt uppfattas endast med tekniska hjälpmedel – räknas till
handlingar i tryckfrihetsförordningens mening. En sådan upptagning är
inte på samma sätt som en pappershandling knuten till ett bestämt fysiskt
föremål. Begreppet upptagning har istället knutits närmare till
informationsinnehållet än till bäraren av uppgiften. Detta får bl.a. till
följd att flertalet handlingar inte kan sägas finnas till förrän i det
ögonblick som de efterfrågas, skapas och blir läsbara. För att det skall
föreligga en sådan potentiell handling krävs att den kan tillskapas med
rutinmässiga åtgärder hos den myndighet som förfogar över handlingen.
En upptagning är allmän om den förvaras hos en myndighet och den
enligt särskilda regler är att anse som upprättad hos eller inkommen till
myndigheten. Upptagningen anses förvarad hos myndigheten om den är
tillgänglig där för myndigheten med tekniskt hjälpmedel, som
myndigheten själv utnyttjar för överföring i sådan form att upptagningen
kan läsas, avlyssnas eller på annat sätt uppfattas.
8.1.3 Sekretesslagen
I sekretesslagen (1980:100) ges bestämmelser om tystnadsplikt och
handlingssekretess i det allmännas verksamhet. Sekretessen innebär ett
förbud att röja en uppgift oberoende av hur detta sker. Sekretessen gäller
både mot enskilda och mot andra myndigheter men också i förhållandet
mellan olika verksamhetsgrenar inom samma myndighet om de är att
betrakta som självständiga i förhållande till varandra.
För vissa uppgifter gäller ett s.k. omvänt skaderekvisit, dvs. uppgiften
kan lämnas ut endast om det står klart att utlämnandet inte medför men
för den uppgiften rör eller skada för de intressen sekretessen skall
skydda. Sekretess är i dessa fall huvudregel. I andra fall gäller ett s.k.
rakt skaderekvisit, dvs. sekretess föreligger endast om det kan antas att
ett röjande av uppgiften medför men för den uppgiften rör eller skada för
de intressen den skall skydda. Offentlighet är i dessa fall huvudregel.
Slutligen gäller i vissa fall s.k. absolut sekretess, vilket innebär att
uppgiften aldrig får röjas.
Sekretess inom den allmänna hälso- och sjukvården regleras i 7 kap.
1–3 §§. Huvudregeln är att sekretess med ett omvänt skaderekvisit gäller
för uppgifter om den enskildes hälsotillstånd och andra personliga
förhållanden. Myndighet och kommun eller landsting som bedriver
verksamhet inom hälso- och sjukvården eller annan medicinsk
verksamhet får dock lämna uppgift till annan sådan myndighet för
forskning eller framställning av statistik eller för administration på
verksamhetsområdet, med tillämpning av det raka skaderekvisitet.
Sekretess för uppgifter i personregister regleras i 7 kap. 16 §.
Bestämmelsen innebär att sekretess gäller om det kan antas att ett
utlämnande skulle medföra att uppgifter används i strid med datalagen
(fr.o.m. den 24 oktober 1998 personuppgiftslagen).
Enligt 9 kap. 4 § gäller sekretess i sådan verksamhet hos myndighet
som avser framställning av statistik utan samband med något enskilt
ärende. Sekretessen är enligt huvudregeln absolut men det finns fem
undantag för vilka det gäller ett omvänt skaderekvisit. Till undantagen
hänförs bl.a. uppgifter som behövs för forsknings- och statistikändamål
och uppgift som inte är direkt hänförlig till den enskilde.
I 14 kap. 1 § föreskrivs att sekretessen bryts om en uppgiftsskyldighet
följer av lag eller annan författning.
8.1.4 Datalagen
Datalagen (1973:289), som gäller till 24 oktober 1998, har till syfte att
skydda den enskilde mot sådant otillbörligt intrång i den personliga
integriteten som kan bli följden av dataregistrering. Datalagen gäller för
såväl offentliga som privata register, dock inte fullt ut för ett av enskild
person för personligt bruk inrättat register.
Ett personregister får inrättas och föras av den som anmält sig till
Datainspektionen och erhållit en licens. Personuppgifter som innehåller
särskilt känsliga personuppgifter, – omdömen och värderingar om den
registrerade, – uppgifter om personer som saknar anknytning till den
registeransvarige, och personuppgifter som hämtas från andra
personregister (samkörning) kräver normalt tillstånd från
Datainspektionen för att få inrättas och föras. Dessutom krävs särskilda
och i vissa fall synnerliga skäl för att få föra register som skall innehålla
känsliga personuppgifter som t.ex. uppgifter om någons hälsotillstånd
eller sjukdom.
Undantagna från tillståndsplikt är bl.a. statsmaktregister, dvs. register
vars inrättande beslutats av riksdag eller regering. Under vissa
förutsättningar är register för vård och behandlingsändamål med uppgift
om någons sjukdom eller hälsotillstånd som myndighet inom hälso- och
sjukvården inrättar och för motsvarande register som privatpraktiserande
läkare och tandläkare inrättar och för, om de erhållit uppgiften i sin
yrkesverksamhet, undantagna från tillståndsplikt. I de båda sistnämnda
fallen krävs dock tillstånd om registret kommer att innehålla uppgift som
utgör omdöme eller annan värderande upplysning om den registrerade.
Datainspektionen skall under i lagen angivna förutsättningar meddela
tillstånd till inrättande och förande om det saknas anledning att anta att
otillbörligt intrång i en registrerads personliga integritet skall uppkomma.
Vid bedömningen om otillbörligt intrång kan uppkomma skall särskilt
beaktas arten och mängden av de personuppgifter som skall ingå i
registret, hur och från vem uppgifterna skall inhämtas samt den
inställning till registret som föreligger eller kan antas föreligga hos dem
som kan komma att registreras.
8.1.5 Förslaget till personuppgiftslag
Regeringen har i proposition 1997/98:44 föreslagit en personuppgiftslag.
Då lagen i huvudsak skall träda i kraft den 24 oktober 1998, dvs.
samtidigt som nu aktuella lagförslag om hälsodataregister och
vårdregister, kommer här innehållet i personuppgiftlagen att redovisas
trots att riksdagsbeslut om lagen ännu har fattats. Regeringen utgår också
nedan från att lagen kommer att få det innehåll som föreslås i
propositionen.
Personuppgiftslagen avses ersätta datalagen (1973:289) och innebär att
Europaparlamentet och rådets direktiv 95/46/EG av den 24 oktober 1995
om skydd för enskilda personer med avseende på behandling av
personuppgifter och om det fria flödet av sådana uppgifter genomförs i
svensk rätt.
Lagen, som i huvudsak följer EG-direktivets text och disposition,
omfattar all automatiserad behandling av personuppgifter och viss
manuell behandling av personuppgifter. Rent privat användning av
personuppgifter är undantagen. Det görs även undantag med hänsyn till
offentlighetsprincipen samt tryck- och yttrandefriheten. Vidare stadgas
att om det i annan lag eller i en förordning finns bestämmelser som
avviker från lagen, skall dessa bestämmelser gälla.
Genom personuppgiftslagen utmönstras en rad begrepp som använts i
datalagen, t.ex. personregister. En rad nya begrepp införs, vilka
definieras i 3 §.
Med behandling (av personuppgifter) avses varje åtgärd eller serie av
åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på
automatisk väg eller inte. Personuppgifter defineras som all slags
information som direkt eller indirekt kan hänföras till en fysisk person
som är i livet. Den som ensam eller tillsammans med andra bestämmer
ändamålen med och medlen för behandlingen av personuppgifter kallas
med lagens terminologi för personuppgiftsansvarig.
Lagen innehåller bestämmelser om när behandling av personuppgifter
är tillåten. För behandling av känsliga personuppgifter gäller särskilt
restriktiva regler.
Som utgångspunkt får personuppgifter behandlas bara om den
registrerade har lämnat sitt samtycke till behandlingen. Undantag från
kravet på samtycke finns dock vid vissa tillfällen, som t.ex. behandling
som sker för att skydda vitala intressen för den registrerade eller för
ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige
eller hos sådana tredje män till vilka personuppgifterna lämnas ut när
detta intresse väger tyngre än den registrerades intresse av skydd mot
kränkning av den personliga integriteten.
Vissa uppgifter benämns känsliga och dessa är det som huvudregel
förbjudet att behandla. Exempel på sådana uppgifter är ras eller etniskt
ursprung och politiska åsikter. Det är också förbjudet att behandla sådana
personuppgifter som rör hälsa eller sexualliv. Undantag från förbudet
gäller bl.a. vid samtycke av den registrerade eller under vissa betingelser
om registrering sker för forskning och statistik eller inom hälso- och
sjukvården.
Vad gäller hälso- och sjukvården får enligt 18 § förslaget till per-
sonuppgiftslag känsliga personuppgifter behandlas om behandlingen är
nödvändig för a) förebyggande hälso- och sjukvård, b) medicinska
diagnoser c) vård eller behandling, eller d) administration av hälso- och
sjukvård.
Vidare får den som är yrkesmässigt verksam inom hälso- och
sjukvårdsområdet och har tystnadsplikt alltid behandla känsliga
personuppgifter som omfattas av tystnadsplikten. Detsamma gäller den
som är underkastad en liknande tystnadsplikt och som har fått känsliga
personuppgifter från verksamhet inom hälso- och sjukvårdsområdet.
Beträffande behandling av personnummer utan samtycke får sådant
endast ske när det är klart motiverat med hänsyn till ändamålet med
behandlingen, vikten av en säker identifiering eller något annat
beaktansvärt skäl.
Den personuppgiftsansvarige skall se till a) att personuppgifter
behandlas bara när det är lagligt, b) att personuppgifter alltid behandlas
på ett korrekt sätt, c) att personuppgifter samlas in bara för särskilt,
uttryckligt angivna och berättigade ändamål, d) att personuppgifter inte
behandlas för något ändamål som är oförenligt med det för vilket
uppgifterna samlades in, e) att de personuppgifter som behandlas är
adekvata och relevanta i förhållande till ändamålen med behandlingen,
f) att inte fler personuppgifter behandlas än vad som är nödvändigt med
hänsyn till ändamålen med behandlingen, g) att de personuppgifter som
behandlas är riktiga och, om nödvändigt, aktuella, h) att alla rimliga
åtgärder vidtas för att rätta, blockera eller utplåna sådana uppgifter som
är felaktiga eller ofullständiga med hänsyn till ändamålen med
behandlingen och i) att personuppgifter inte bevaras under en längre tid
än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.
För behandling av personuppgifter för historiska, statistiska eller
vetenskapliga ändamål gäller vissa särregler som bl.a. innebär att
behandling för sådana ändamål inte skall anses som oförenlig med de
ändamål för vilka uppgifterna samlades in och att personuppgifter
insamlade för dessa ändamål får bevaras under en längre tid än vad som
sägs i punkten i) ovan.
Vidare skall information lämnas till den registrerade rörande
behandlingen. Undantag från informationsskyldigheten föreligger dock
bl.a. om det skulle vara omöjligt eller skulle innebära en
oproportionerligt stor arbetsinsats.
Den som bryter mot lagen kan drabbas av ingripanden från
tillsynsmyndigheten, såsom vitesföreläggande, skadestånd eller straff.
8.1.6 Registerförfattningar
Särskilda registerförfattningar har på senare år blivit allt mer vanliga. En
registerförfattning innebär en specialreglering i förhållande till
personuppgiftslagen i syfte att komplettera eller i vissa delar ersätta den.
En särskild författning anses under vissa förutsättningar innebära en
bättre garanti för utformning av integritetsskyddet i särskilt känsliga
register.
Registerförfattningar finns i dag inom flera områden och omfattar bl.a.
folkbokföringsregister, socialförsäkringsregister och skatteregister.
Registerförfattningar innehåller vanligen bestämmelser om
registerteknik, registerändamål, registerinnehåll inbegripet bestämmelser
om inhämtandet av uppgifter, reglering av frågan om vilka
personuppgifter som får göras tillgängliga, utlämnande av uppgifter från
registret samt bevarande och gallring av uppgifter.
8.1.7 Hälso- och sjukvårdslagen m.fl. vårdlagar
Verksamheten inom hälso- och sjukvården regleras i hälso- och
sjukvårdslagen (1982:763).
Med hälso- och sjukvård avses i lagen åtgärder för att medicinskt
förebygga, utreda och behandla sjukdomar och skador. Hälso- och
sjukvården skall bedrivas så att den uppfyller kraven på en god vård och
bygga på respekt för patientens självbestämmande och integritet. Målet
är en god hälsa och en vård på lika villkor för hela befolkningen.
Ansvaret för hälso- och sjukvården åvilar landsting och kommuner.
Tandvårdslagen (1985:125) har i likhet med hälso- och sjukvården
karaktären av en målinriktad ramlag och gäller i princip all tandvård.
Målet är en god tandvård för hela befolkningen. I likhet med hälso- och
sjukvården innehåller lagen bestämmelser som betonar vårdgivarens
skyldighet att beakta patientens självbestämmande och integritet.
I lagen (1994:953) om åligganden för personal inom hälso- och
sjukvården anges att personalen skall utföra sitt arbete i
överensstämmelse med vetenskap och beprövad erfarenhet. En patient
skall ges sakkunnig och omsorgsfull vård som uppfyller dessa krav.
Vården skall så långt som möjligt genomföras i samråd med patienten
och patienten skall visas omtanke och respekt. Han eller hon skall få
upplysningar om sitt hälsotillstånd och om de behandlingsmetoder som
finns.
Vidare stadgas att personal inom den enskilda vården inte obehörigen
får röja vad man i sin verksamhet fått veta om en enskilds hälsotillstånd
eller andra personliga förhållanden. Som obehörigt röjande anses dock
inte att någon fullgör sin uppgiftsskyldighet som följer av lag eller
förordning. Den tystnadsplikt som i lagen åläggs personal inom den
enskilda vården motsvaras för personal inom den offentliga vården av en
skyldighet att följa sekretesslagen.
I lagen (1996:786) om tillsyn över hälso- och sjukvården har införts
enhetliga bestämmelser om tillsyn över hälso- och sjukvården. Den som
vill bedriva hälso- och sjukvård skall anmäla detta till Socialstyrelsen.
Anmälningsskyldigheten omfattar även verksamhet som tar emot
uppdrag från hälso- och sjukvården och utgör led i bedömningen av
patienters hälsotillstånd eller behandling. Lagen föreskriver vidare att
Socialstyrelsen i sin tillsynsverksamhet skall få rätt att ta del av
handlingar och erhålla upplysningar i behövlig utsträckning samt att göra
inspektioner. Socialstyrelsen har enligt lagen också rätt att meddela
förelägganden och förbjuda hälso- och sjukvårdsverksamhet.
Skulle en patient i samband med vård, behandling eller undersökningar
inom hälso- och sjukvården drabbas av eller utsatts för risk att drabbas av
allvarlig skada eller sjukdom skall vårdgivaren snarast göra en anmälan
härom till Socialstyrelsen. Om Socialstyrelsen finner att det finns skäl att
ifrågasätta disciplinpåföljd, återkallelse av legitimation eller annan
behörighet att utöva yrke inom hälso- och sjukvården eller begränsning
av förskrivningsrätt enligt lagen (1994:954) om disciplinpåföljd m.m. på
hälso- och sjukvårdens område, skall styrelsen göra anmälan om detta
hos Hälso- och sjukvårdens ansvarsnämnd.
Den som på grund av anställning, uppdrag eller liknande grund deltar
eller har deltagit i verksamhet som omfattas av tillsynslagen får inte
obehörigen röja vad han eller hon därvid fått veta om en enskilds
hälsotillstånd eller andra personliga förhållanden. Som obehörigt röjande
anses inte att någon fullgör skyldighet som följer av lag eller förordning.
I patientjournallagen (1985:562) finns bestämmelser om
patientjournal, hur denna skall föras och vad den får innehålla. Lagen är
teknikneutral. Med patientjournal avses alla handlingar och anteckningar
som innehåller uppgifter om den enskilde patientens hälsotillstånd eller
andra personliga förhållanden och de åtgärder som genomförts eller
planerats. Varje anteckning i en journal skall innehålla uppgift om vem
som svarar för anteckningen och dennes bekräftelse av att anteckningen
är riktig (signering). Rättelse skall ske på sådant sätt att den felaktiga
uppgiften kan återfinnas liksom rättelsen.
Det finns en möjlighet att få en journal förstörd, helt eller delvis efter
beslut av Socialstyrelsen. För detta krävs godtagbara skäl och det skall
vara uppenbart att uppgifterna i journalen inte behövs för bl.a. patientens
framtida vård.
Bestämmelser om vem som är skyldig att föra patientjournal finns i
9 §. Handhavandet av journalen skall ske på ett betryggande sätt, både
under pågående vård och sedan journalerna arkiverats. Detta uttrycks i
7 § på så sätt att varje journalhandling skall hanteras och förvaras, så att
inte obehöriga får tillgång till den.
8.2 Internationell reglering
8.2.1 EG:s dataskyddsdirektiv
Det har inom EU ansetts nödvändigt att det råder en hög och gemensam
nivå på skyddet mot integritetskränkningar i samband med behandling av
personuppgifter för att därmed säkerställa ett fritt flöde av information
mellan medlemsstaterna. Efter ett intensivt arbete antogs den 24 oktober
1995 Europaparlamentets och rådets direktiv 95/46/EG om skydd för
enskilda personer med avseende på behandling av personuppgifter och
om det fria flödet av sådana uppgifter.
Dataskyddsdirektivet innebär inte att man skall anta en gemensam
personuppgiftslag för hela EU. Ett direktiv är endast bindande i fråga om
det resultat som skall uppnås och överlämnar åt medlemsländerna att
själva välja form och metod för detta. Direktivet utgör endast den ram
inom vilken medlemsländerna skall införliva de principer som fastställts i
direktivet. Beträffande dataskyddsdirektivet är medlemsstaterna skyldiga
att genomföra det i nationell lagstiftning senast den 24 oktober 1998.
Genom direktivet uppställs en reglering som kan sägas vara av både
minimi- och maximikaraktär. Reglerna utgör en gemensam bas för
medlemsländerna. Samtidigt föreskrivs att mer långtgående regler inte
får hindra det fria utbytet av uppgifter mellan medlemsländerna.
I artikel 1 anges syftet med direktivet, nämligen att medlemsstaterna, i
överensstämmelse med direktivet, skall skydda fysiska personers
grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband
med behandling av personuppgifter. Medlemsstaterna får inte begränsa
eller förhindra det fria flödet av personuppgifter mellan staterna med
hänvisning till den enskildes integritetsskydd sådant det framgår av
direktivet.
Artikel 2 innehåller definitioner, bl.a. av personuppgifter och
behandling av personuppgifter.
Med personuppgift avses varje upplysning som angår en identifierad
eller identifierbar fysisk person. Med sådan förstås person som kan
identifieras direkt eller indirekt, framför allt genom hänvisning till
identifikationsnummer eller till en eller flera faktorer som är specifika för
hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala
identitet.
Med behandling av personuppgifter avses varje åtgärd eller serie av
åtgärder som vidtas med personuppgifter vare sig det sker på automatisk
väg eller inte.
Direktivet är tillämpligt på all behandling av personuppgifter och
således också på manuella register, dock endast på sådana manuella
register som är sökbara utifrån särskilda kriterier. Direktivet är inte
tillämpligt på sådan behandling av personuppgifter som faller utanför
gemenskapsrätten.
De principer som medlemsländerna skall ta in i sin lagstiftning är
enligt artikel 6 att personuppgifter skall a) behandlas korrekt och lagligt,
b) samlas in för särskilda, uttryckligt angivna och berättigade ändamål.
Senare användning får inte ske på ett sätt som är oförenligt med dessa
ändamål. Dock skall behandling för historiska, statistiska eller
vetenskapliga ändamål inte anses oförenlig med ursprungliga ändamål
om lämpliga skyddsåtgärder beslutas, c) vara adekvata, relevanta och inte
överflödiga i förhållande till de ändamål för vilka de samlas in och
behandlas, d) vara riktiga och, om nödvändigt, aktuella. Oriktiga
uppgifter eller ofullständiga uppgifter skall utplånas eller rättas, e) inte
förvaras på ett sätt som gör det möjligt att under längre tid än som är
nödvändigt för de ändamål för vilka uppgifterna behandlas identifiera
enskilda. Lämpliga skyddsåtgärder skall vidtas för personuppgifter som
lagras för historisk, statistisk eller vetenskaplig användning under längre
perioder.
Behandling av personuppgifter är tillåten enligt artikel 7 om a) den
enskilde givit sitt otvetydiga samtycke eller behandlingen är nödvändig
för b) att fullgöra ett avtal i vilket den registrerade är part eller för att på
den enskildes begäran vidta åtgärder inför ett avtal, c) att uppfylla en
rättslig förpliktelse som åvilar den personuppgiftsansvarige, d) att skydda
intressen som är av grundläggande betydelse för den enskilde, e) att
utföra en arbetsuppgift av allmänt intresse eller som ett led i
myndighetsutövning av den personuppgiftsansvarige eller av tredje man
till vilken personuppgifterna lämnas ut, eller f) ändamål som rör
berättigade intressen hos den personuppgiftsansvarige eller hos den
tredje man till vilken uppgifterna lämnas ut, utom då den enskildes
intressen tar över.
Som en huvudregel föreskrivs förbud mot behandling av känsliga
uppgifter (artikel 8.1). Till känsliga uppgifter räknas uppgifter om ras
eller etniskt ursprung, politisk uppfattning, religiös tro eller filosofisk
övertygelse, facklig tillhörighet och uppgifter om hälsa eller sexualliv.
Artikel 8.2 anger ett antal undantag från huvudregeln, bl.a. om den
enskilde har givit sitt samtycke till behandlingen. Huvudregeln gäller inte
heller när behandlingen av uppgifter är nödvändig med hänsyn till
förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller
behandling eller administration av hälso- och sjukvård eller när dessa
uppgifter behandlas av någon som är yrkesmässigt verksam inom
området eller är underkastad tystnadsplikt (artikel 8.3).
Om lämpliga skyddsåtgärder vidtas får genom nationell lagstiftning
beslutas om andra undantag från huvudregeln i artikel 8.1 om det krävs
av hänsyn till ett viktigt allmänt intresse.
Genom personuppgiftslagen införlivas de principer och riktlinjer som
direktivet föreskriver med svensk rätt. Förslaget till personuppgiftslag
behandlas ovan i avsnitt 8.1.5
8.2.2 Europarådets dataskyddskonvention
Europarådets ministerkommitté antog år 1980 en konvention till skydd
för enskilda vid automatisk databehandling av personuppgifter.
Konventionen trädde kraft den 1 oktober 1985 och har tillträtts av
Sverige. Konventionens syfte är att säkerställa respekten för
grundläggande fri- och rättigheter, särskilt den enskildes rätt till
personlig integritet i samband med automatisk databehandling av
personuppgifter. Utgångspunkten är att vissa av den enskildes rättigheter
kan behöva skyddas i förhållande till den princip om fritt flöde av
information, oberoende av gränser, som finns inskriven i internationella
överenskommelser om mänskliga rättigheter.
Konventionen innehåller vissa krav på beskaffenheten av de
personuppgifter som skall undergå automatisk databehandling. Dessa
krav innebär bl.a. att uppgifterna skall inhämtas och behandlas på ett
korrekt sätt. Vidare skall uppgifterna lagras för särskilt angivna och
lagliga ändamål och inte användas på ett sätt som är oförenligt med dessa
ändamål. Personuppgifter som rör bl.a. hälsa får inte bearbetas med ADB
om inte den nationella lagstiftningen ger ett ändamålsenligt skydd.
Vidare skall lämpliga säkerhetsåtgärder vidtas för att skydda
personuppgifter gentemot oavsiktlig eller otillåten förstörelse. Slutligen
skall alla som är registrerade i ett personregister ha möjlighet till insyn i
registret och möjlighet att få felaktiga uppgifter rättade.
8.2.3 Europarådets rekommendationer om dataskydd
Europarådet har antagit ett flertal rekommendationer om dataskydd inom
olika områden. Dessa rekommendationer är i och för sig inte bindande
för medlemsländerna men genom att anta en rekommendation utan
reservation anses medlemslandet i princip åtagit sig att följa den och
försöka anpassa sin nationella lagstiftning till rekommendationens
innehåll.
Rekommendationen om medicinska databaser, No. R (81) 1
Sverige har utan reservation anslutit sig till rekommendationen som
antogs år 1981. Rekommendationen är tillämplig på databanker som
innehåller medicinska uppgifter som skall användas för medicinsk
behandling, hälsovård eller medicinsk forskning. Enligt
rekommendationen skall allmänheten informeras om inrättandet av och
innehållet i en databank. Varje registrerad skall därjämte informeras om
databankens innehåll beträffande honom eller henne. Det sägs också i
rekommendationen att endast medicinsk personal skall kunna ta del av
innehållet i banken. Den registrerade kan dock lämna samtycke till att
annan får del av materialet beträffande honom eller henne.
Rekommendationen är för närvarande föremål för omprövning. Syftet är
att arbeta fram en rekommendation som skall omfatta all behandling av
medicinska uppgifter med stöd av informationsteknik.
Rekommendationen om skydd för personuppgifter som används för
forskning och statistik, No. R (83) 10
Sverige har utan reservation anslutit sig till rekommendationen som
antogs år 1983. Syftet med rekommendationen är att tillgodose såväl
forskningens behov som skyddet för den enskildes integritet.
Rekommendationen är tillämplig på personuppgifter som uteslutande
används för vetenskaplig forskning och statistik, såväl inom den
allmänna som inom den enskilda sektorn och oberoende av om
uppgifterna förs med hjälp av ADB eller manuellt.
Respekten för den personliga integriteten skall garanteras i varje
projekt som använder personuppgifter. Är det möjligt skall projekten
utföras med anonyma uppgifter. Vidare får personuppgifter som erhållits
för forskning och statistik inte användas för något annat ändamål än
dessa. Personuppgifter som med den enskildes samtycke samlats in för
ett särskilt projekt får inte utan den enskildes samtycke användas i
samband med något annat ändamål.
Personuppgifter som används för forskning och statistik får inte
publiceras i identifierbar form, såvida inte de berörda lämnat sitt
samtycke och det sker i enlighet med skyddsbestämmelser i inhemsk lag.
Så långt det är möjligt skall det i varje projekt anges om personuppgift
skall förstöras, avidentifieras eller bevaras när projektet är avslutat och i
så fall under vilka former som uppgifterna skall bevaras
I Europarådet har en ny rekommendation till skydd för personuppgifter
som samlas in och behandlas för statistik förhandlats fram. Denna
förväntas ersätta den nuvarande rekommendationen.
9 Författningsreglering av automatiserad
behandling av personuppgifter inom hälso-
och sjukvården
Det har länge funnits krav på en författningsreglering av personregister
inom hälso- och sjukvården. I propositionen 1990/91:60 om offentlighet,
integritet och ADB uttalades att vissa personregister hos bl.a.
Socialstyrelsen och landstingen på sikt borde regleras i särskilda
registerlagar och att en sådan reglering skulle ses som ett led i en allmän
strävan att stärka skyddet för de registrerades integritet i samband med
nödvändig registrering av känsliga personuppgifter i vissa
myndighetsregister. En målsättning borde vara att bestämmelser
meddelades i form av lag i de fall register med ett stort antal registrerade
och ett särskilt integritetskänsligt innehåll inrättades.
Regeringens förslag: Den automatiserade behandling av
personuppgifter som utförs hos centrala förvaltningsmyndigheter på
hälso- och sjukvårdens område och vars ändamål inte i första hand är
inriktade på vård av enskilda patienter och den automatiserade
behandling av personuppgifter som utförs hos vårdgivare i och för
vården av enskilda patienter skall regleras genom lag.
Hälsodatakommitténs förslag: Överensstämmer med regeringens.
Remissinstanserna: I princip samtliga remissinstanser tillstyrker
förslaget eller lämnar det utan erinran.
Skälen för regeringens förslag: Inom vården sker dokumentationen
av integritetskänsliga uppgifter om patienter främst i patientjournaler,
samt i mer begränsad omfattning även i patientadministrativa register
som inte utgör patientjournaler. Ur dessa källor inhämtas och används
sedan uppgifter för ändamål såsom administration på
verksamhetsområdet samt uppföljning, utvärdering och kvalitetssäkring
av såväl verksamheten i stort som behandlingsmetoder. Uppgifter i
patientjournaler används även för andra ändamål såsom
uppgiftslämnande till personregister som förs av centrala
förvaltningsmyndigheter, forskning och tillsyn. På regional och lokal
nivå går IT-användningen mot en snabb och omfattande utbyggnad. Det
kan förutsättas att denna utbyggnad leder till att de personregister som
förs på sikt kommer att omfatta hela befolkningen. Samtidigt är den
rättsliga regleringen oklar vilket enligt regeringens mening är mycket
otillfredsställande.
De centrala förvaltningsmyndigheterna inom hälso- och sjukvårdens
område har sedan länge använt IT vid dokumentationen av hälsodata i
rikstäckande personregister. Nuvarande centrala register är antingen s.k.
statsmaktsregister, dvs. personregister som inrättats av riksdag eller
regeringen, eller register som grundats på regler i datalagen och
föreskrifter från Datainspektionen
IT anses vara en nödvändig förutsättning för en rationell
dokumentation av uppgifter om enskilda som sker på olika nivåer inom
hälso- och sjukvården. Det är därför inte möjligt att låta den enskilde få
avgöra om uppgifter om honom eller henne skall få dokumenteras med
hjälp av automatiserad behandling. De centrala
förvaltningsmyndigheterna och sjukvårdshuvudmännen torde själva bäst
kunna bedöma hur dokumentation skall ske. De har dessutom ett ansvar
för att ianspråktagna resurser utnyttjas effektivt. Det bör därför stå dessa
fritt att själva välja teknik för verksamheten, förutsatt att uppställda
integritets- och säkerhetskrav uppfylls.
De flesta register inom hälso- och sjukvårdens område innehåller
uppgifter om enskilda personers hälsa som är av mycket känslig natur.
Behandlingen av personuppgifter kan av den enskilde ibland uppfattas
som ett intrång i den personliga integriteten. Arten men även
omfattningen av den behandling av personuppgifter som sker inom
hälso- och sjukvården medför enligt regeringens mening att denna är
principiellt sett lämpad för författningsreglering. För detta talar också det
förhållandet att behandling av personuppgifter bör få ske oavsett den
enskildes inställning och att uppgifterna även får användas för andra
ändamål än vården av den enskilde patienten. Dessa övergripande
integritetsskyddssynpunkter bör inte bedömas av en myndighet från fall
till fall utan regleras generellt av statsmakterna.
Regeringen anser därför att regler om behandling av personuppgifter
inom hälso- och sjukvården skall ges i lag. Detta gäller både den
behandling som utförs hos centrala förvaltningsmyndigheter på hälso-
och sjukvårdens område och vars ändamål inte i första hand är inriktade
på vård av enskilda patienter och den behandling som utförs hos
vårdgivare i och för vården av enskilda patienter.
9.1 Metod för författningsreglering
Regeringens förslag: Automatiserad behandling av personuppgifter
inom hälso- och sjukvården skall regleras genom särskilda
registerförfattningar. Den behandling som utförs hos centrala
förvaltningsmyndigheter (hälsodataregister) och den behandling som
utförs i och för det regionala och lokala vårdarbetet (vårdregister)
skall regleras var för sig.
Hälsodatakommitténs förslag: Överensstämmer med regeringens.
Remissinstanserna: I princip samtliga remissinstanser tillstyrker
förslaget eller lämnar det utan erinran.
Skälen för regeringens förslag: En lagreglering kan ske på olika sätt.
Ett sätt är i form av särskilda registerförfattningar. Denna metod har
använts på andra samhällsområden, såsom inom socialförsäkringen och
arbetsförmedlingen. Metoden att använda registerförfattningar har dock
kritiserats för att bl.a. innebära att en anpassning av IT–förhållanden till
ändrade verksamhetsförhållanden och teknikutveckling motverkas. Detta
eftersom sådana författningar ofta i detalj reglerar vilken information
som får behandlas, vilka som får ha tillgång till uppgifterna och hur de
får användas m.m., vilket kan få till följd att systemändringar, t.ex. på
grund av ändringar i verksamheten eller den tekniska utvecklingen, måste
föregås av motsvarande ändringar i registerlagen. Riksdagen får därmed
på detaljnivå ta ställning till myndigheternas sätt att driva sin
verksamhet.
Personuppgiftlagen avses gälla i princip all behandling av
personuppgifter. Till skillnad från regleringen i datalagen (1973:289) är
regleringen i personuppgiftslagen inte knuten till registerbegreppet. Detta
hindrar dock inte att begreppet register används i en författning som
syftar till att reglera all behandling av personuppgifter i ett visst avseende
(jfr. prop. 1997/98:44 s.39).
Frågan uppkommer då om det är möjligt att lösa
författningsregleringen av hälso- och sjukvårdens behandling av
personuppgifter på ett annat sätt än med särskilda registerförfattningar.
En metod skulle kunna vara att föra in integritetsskyddsbestämmelser i
redan gällande författningar som reglerar den verksamhet i vilken
behandlingen sker. När det gäller den behandling av personuppgifter som
utförs hos de centrala förvaltningsmyndigheterna på hälso- och
sjukvårdens område skulle man kunna ta in bestämmelser om
behandlingen i respektive myndighets instruktion. En sådan ordning är
dock, enligt regeringens mening, inte lämplig. En reglering av
integritetsskyddet kräver en högre detaljeringsgrad angående innehåll,
inhämtande av uppgifter, samkörning, m.m. än som kan tillgodoses inom
ramen för en myndighets instruktion.
Beträffande behandling av personuppgifter som utförs i och för vården
av patienter skulle en komplettering av hälso- och sjukvårdslagen kunna
vara ett alternativ. Regeringen har inte ansett detta vara en bra lösning.
Den lagen är i första hand inriktad på vårdarbetet hos landsting och
kommuner. Lagen omfattar dessutom inte tandvård och smittskydd.
Regeringen har inte heller funnit patientjournallagen lämplig för en
reglering av behandling av personuppgifter. Anledningen härtill är att
regeringens förslag omfattar inte bara behandling av personuppgifter för
dokumentation av vården av patienter utan också behandling för
patientadministration och viss ekonomiadministration, dvs. frågor som
inte regleras i patientjournallagen.
Regeringens slutsats blir därför att man för en författningsreglering av
behandling av personuppgifter inom hälso- och sjukvårdens område trots
de nackdelar som kan finnas bör välja den etablerade modellen med
särskilda registerförfattningar.
Fråga uppkommer då om behandlingen av personuppgifter hos de
centrala förvaltningsmyndigheterna och hos dem som regionalt och lokalt
bedriver vård- och behandlingsarbete skall regleras i en och samma
författning eller om man bör hålla regleringen isär.
En omständighet som kan tala för en reglering av behandlingen i en
och samma författning är att medicinska uppgifter om enskilda överförs
från regional och lokal nivå till de centrala förvaltningsmyndigheterna.
Genom en sammanhållen reglering av den regionala, lokala och
centrala behandlingen av personuppgifter skulle en enhetlig reglering av
flödet av medicinska uppgifter kunna uppnås. All författningsreglering
skulle finnas på ett ställe och sambanden i informationsutbytet mellan de
olika nivåerna skulle framgå tydligare. Hälso- och sjukvård utövas dock
av en mängd olika aktörer – staten, landsting, kommuner och privata
vårdgivare – utan inbördes organisatoriskt förhållande. Detta kan
medföra tveksamhet om fördelarna med en reglering av det gemensamma
flödet är så stora att en reglering i en och samma författning är att
föredra.
En omständighet som talar mot en sådan reglering är spännvidden hos
de ändamål som behandlingen av personuppgifter skall få utföras för.
Behandlingen på regional och lokal nivå kommer huvudsakligen att
användas för patientjournalföring och patientadministration. De olika
registren hos centrala myndigheter skall användas för framställning av
statistik, utvärdering av vård och som underlag för forskning. Den senare
behandlingensändamål är vitt skilda från de patientvårdande ändamålen
för den lokala och regionala behandlingen.
Man bör också beakta att vardera gruppen register i åtskilliga
avseenden kräver sina särskilda bestämmelser och att regleringen vänder
sig till skilda användare.
Mot bakgrund av det nu anförda har regeringen funnit att det inte är
något att vinna med en gemensam reglering av alla personregister i en
och samma författning. Regeringen föreslår därför att den hos centrala
förvaltningsmyndigheter utförda behandlingen av personuppgifter och
den i och för vårdarbetet regionalt och lokalt förda behandlingen
regleras var för sig.
De centrala registren tillförs uppgifter från vården. Regeringen har
funnit det lämpligt att benämna dessa uppgifter hälsodata och de register
i vilka dessa data skall registreras hälsodataregister. Som en
sammanfattande benämning på de personregister som förs i och för
vården av patienter har regeringen valt beteckningen vårdregister.
10 Hälsodataregister
10.1 Centrala register
Regeringens bedömning: Hälsodataregister bör vara rikstäckande,
centrala register.
Hälsodatakommitténs bedömning: Överensstämmer med
regeringens.
Remissinstanserna: De flesta remissinstanser tillstyrker förslaget eller
lämnar det utan erinran. Smittskyddsinstitutet anser att hälsodataregister
kan behöva föras på lokal nivå.
Skälen för regeringens bedömning
För att förebygga ohälsa och sjukdom behövs kunskap om
orsakssambanden mellan ohälsa och riskfaktorer. Uppgifter om
medicinska och andra förhållanden som kan ligga till grund för att ta
fram dessa kunskaper kan återfinnas i olika hälsodataregister och andra
register med personuppgifter.
Regeringens överväganden i detta kapitel omfattar de personregister
som förs av centrala statliga förvaltningsmyndigheter inom hälso- och
sjukvårdens område – för närvarande Socialstyrelsen, Läkemedelsverket
och Smittskyddinstitutet – och som innehåller uppgifter om enskilda
patienter insamlade i syfte att tillgodose övergripande samhälleliga
ändamål, såsom framställning av statistik, uppföljning, utvärdering och
kvalitetssäkring av vården samt forskning. Vi har tidigare funnit att en
lämplig beteckning på sådana personregister är hälsodataregister.
Det finns många omständigheter som talar för att hälsodataregister bör
vara rikstäckande för att den nödvändiga kunskapen skall kunna tas fram.
Nuvarande centrala personregister är också rikstäckande. Vissa
hälsoproblem är av den arten att de måste studeras på ett mycket stort – i
princip rikstäckande – material. Vetskap om olika samband, t.ex.
sällsynta sjukdomar och effekter av biverkningar, kan i vissa fall erhållas
endast genom studier över längre tidsperioder och med tillräckligt stort
underlag. Stora befolkningsbaserade undersökningar kan ge en kunskap
som inte kan fås på annat sätt. Det kan också förekomma regionala
variationer i sjukdomsförekomst eller vårdutnyttjande. Omflyttningen i
befolkningen är ytterligare ett skäl för rikstäckande hälsodataregister.
Vid en lokal eller regional registerhållning upphör i princip
uppgiftsinsamlingen när individen flyttar från ett område. Verksamheter
som kräver uppgifter insamlade under lång tid begränsas därvid såvida
inte registrering med säkerhet sker i den nya regionen.
Kunskapen kan tas fram med hjälp av statistik och inom olika
forskningsprojekt eller genom utvärdering av pågående verksamheter.
Framställning av statistik har varit ett viktigt motiv för tillkomsten av
nuvarande register. Statistikframställning är i dag en ännu viktigare
faktor för att myndigheter skall kunna beskriva den verklighet i vilken de
arbetar men även för att påvisa hur verkligheten påverkas av olika
åtgärder som myndigheter företar inom sitt verksamhetsområde.
Statistiken ligger också till grund för bevakningar av hälsoläget i
landet. Hälsodataregister är därför nödvändiga för olika slag av
övervakning av ovanliga eller lågfrekventa sjukdomar eller biverkningar
av läkemedel men även av det allmänna smittläget. Det krävs ett stort
statistikunderlag för att en fullständig övervakning skall kunna utföras.
Lokala eller regionala register kan leda till att hälsorisker inte blir korrekt
identifierade eller skattade, varvid risken ökar för att onödiga sjukdomar
och dödsfall av den orsaken kan komma att inträffa.
Hälsodataregister kan även användas för att ge den förfinade och
detaljerade statistik på riks- och regional nivå som behövs för hälso- och
sjukvårdens planering och tillsyn. Uppgifter i rikstäckande register kan
användas vid jämförelser i fråga om effektivitet och produktivitet i syfte
att åstadkomma en optimal dimensionering av tillgängliga resurser, men
även för att kunna bedöma resursutnyttjandet och kvaliteten hos
sjukvården.
Forskning över längre tidsperioder underlättas om det finns
rikstäckande hälsodataregister. Detta arbete är viktigt och nödvändigt för
både den enskilde individen och samhället. Krav måste ställas på att
forskning bedrivs, att den inriktas på väsentliga frågor och att den håller
hög kvalitet. Att forskningen skall vara väsentlig innebär att den skall
syfta till att besvara frågor som är av värde för samhället och den
enskilde. Samtliga nuvarande register används i olika utsträckning för
forskningsuppgifter, både hos de myndigheter som för sådana register
och av forskarvärlden i övrigt. Genom att använda uppgifter från t.ex.
Cancer-miljöregistret har det varit möjligt att öka kunskapen om vad som
orsakar cancer och att kartlägga vilka arbets- och samhällsmiljöer som
innebär risker för hälsan. Uppgifterna används också inom medicinska
och samhällsvetenskapliga studier av olika slag när det gäller att förklara
hur olika sjukdomar och sociala problem uppkommer och utvecklas. Det
i register insamlade materialet ger vidare möjlighet till koppling i tiden
för individer med avseende på t.ex. sjukdomsåterfall, risker etc. Sverige
anses internationellt ledande i denna fråga om registerepidemiologisk
forskning. De centrala registren är, enligt forskningsföreträdare, en
guldgruva. De ger epidemiologin en stabil bas och gör att forskningen,
har något sagt, "slipper uppfinna hjulet på nytt vare gång".
Utvärdering, uppföljning och kvalitetssäkring är arbetsuppgifter som
blir allt viktigare för myndigheter och andra i en tid då man måste
hushålla med de ekonomiska resurserna. Det är även angeläget att kunna
följa metodanvändning och resursfördelning när sjukvården
decentraliseras och nya typer av vårdgivare och organisationsformer blir
aktuella. Kunskaper behövs också för att utvärdera effekter av olika
behandlingsmetoder och för att bedöma kvaliteten i hälso- och
sjukvården. Exempelvis anses sjukvårdsregistret ge en god bild av vad
som sker i den slutna vården eftersom registret innehåller uppgifter som
behandlats på ett någorlunda enhetligt sätt under många år.
Man kan också utgå från att det i framtiden aktualiseras frågor som för
sin lösning är beroende av personuppgifter, t.ex. hälsorisker i arbetet,
andra miljöpåverkansproblem, m.m. Det är som tidigare anförts inte i
förväg möjligt att med någon större grad av säkerhet ange vilka sådana
frågeställningar som kan bli aktuella, men det torde vara en fördel i dessa
sammanhang att ha tillgång till rikstäckande hälsodata.
Regeringens slutsats är att uppgiften att följa sjukdomars utbredning i
landet, att upptäcka begynnande epidemier av smittsamma sjukdomar
eller förekomster av nya missbildningar eller sällsynta sjukdomar, att
studera orsaker till olika sjukdomar och att följa och studera
hälsotillståndet hos olika befolkningsgrupper utifrån kön, ålder, social
bakgrund, regionala skillnader m.m. även framöver kommer att kräva
rikstäckande hälsodataregister i minst samma omfattning som i dag.
Centrala eller regionala och lokala hälsodataregister
Regeringen har med det nu anförda kommit fram till att rikstäckande
hälsodataregister behövs även i fortsättningen. Frågan uppkommer då om
dessa register liksom nu bör föras centralt av en förvaltningsmyndighet
eller om registren skulle kunna spaltas upp och föras regionalt.
Tillsammans skulle de fortfarande vara rikstäckande.
För ett system med regionala register har anförts att IT möjliggör en
snabb och säker sammankoppling av olika register och att kravet på
rikstäckning därför tekniskt sett skulle kunna uppfyllas. En
regionalisering skulle, har det också anförts, kunna innebära en fördel av
integritetsskäl. Som redovisats i avsnittet om den personliga integriteten
är vidarelämnande av personliga och känsliga uppgifter något som kan
upplevas som en fara för den personliga integriteten.
En regionalisering innebär också att varje register skulle innehålla
uppgifter om ett mindre antal registrerade. Det har ibland framhållits att
det är just den stora mängden uppgifter i centrala register som uppfattas
som en fara ur integritetssynpunkt. Det har också framskymtat att det
skulle vara en fördel ur kostnadssynpunkt med regionala register
eftersom man skulle slippa från ett moment med vidarebefordran av
registrerade uppgifter till ett centralt register.
En ytterligare aspekt att beakta är dock att en sammankoppling av flera
regionaliserade register medför tillgång till ett lika omfattande material
om de registrerade som ett centralt register. Någon vinst ur
integritetssynpunkt kan därför knappast sägas föreligga. Skyddet för
otillbörligt intrång kan inte heller sägas vara större i ett regionalt register
än i ett centralt. Kanske förhåller det sig till och med tvärtom. Den
behandling av personuppgifter som sker på central nivå kan förses med
säkerhetsarrangemang som är effektivare än motsvarande arrangemang
för de mindre registren.
Regeringen har därför svårt att se att man skulle vinna något ur
integritetssynpunkt med en utspridning av de nu existerande registren till
regional nivå.
En regional eller lokal behandling av personuppgifter innebär sannolikt
att varje moment i hanteringen får dubbleras. Det gäller insamling,
kontroll, bearbetning och utformning av dataskyddet. En följd därav kan
bli att verksamheten fördyras. Vidarelämnandet av uppgifter till centrala
register drar också en viss kostnad. En sammankoppling av regionala
register för att åstadkomma en rikstäckning torde föranleda i viss mån
motsvarande kostnader. Därtill kommer att en sönderbrytning av
nuvarande centrala register och uppbyggandet av nya regionala register
på samtliga registerområden initialt skulle dra betydande kostnader.
Kostnadsskäl kan därför enligt regeringens mening inte anföras för en
regionalisering av hälsodataregister.
Några andra skäl som skulle tala för en regionalisering har inte heller
kunnat återfinnas. För ett bibehållande av centrala register talar däremot
att erfarenheterna av centraliseringen är goda. Det har inte något
sammanhang pekats på att registerföringen varit förenad med nackdelar
just på grund av att den utförts av en central förvaltningsmyndighet.
Tvärtom skapar detta möjligheter för att upprätthålla kraven på hög
kvalitet hos registeruppgifterna. Tillgängligheten ökar och syftena med
registren främjas.
Regeringens slutsats är med anledning av det nu anförda att
hälsodataregister även fortsättningsvis bör föras på central nivå.
10.2 Vad lagen skall reglera
Regeringens förslag: I lagen om hälsodataregister skall de frågor
regleras som är gemensamma för alla hälsodataregister. Närmare
föreskrifter om enskilda hälsodataregister skall meddelas av
regeringen inom de ramar som lagen drar upp.
Hälsodatakommitténs förslag: Överensstämmer i sak med
regeringens.
Remissinstanserna: I stort sett samtliga remissinstanser, t.ex.
Justitiekanslern, Socialstyrelsen, Statistiska centralbyrån,
Socialvetenskapliga forskningsrådet och Tjänstemännens
Centralorganisation (TCO), tillstyrker förslaget. Datainspektionen har
ifrågasatt om inte alla hälsodataregister bör regleras av riksdagen genom
lag.
Skälen för regeringens förslag: Regeringen har i avsnitt 9 kommit
fram till att bestämmelser om hälsodataregister bör tas in i en särskild
registerförfattning. En lämplig modell för författningsreglering är att i lag
reglera särskilt viktiga och gemensamma frågor för samtliga
hälsodataregister. Det kan röra frågor som enligt grundlagen måste
regleras i lag, såsom uppgiftsskyldighet till registren. Även frågor som
tar direkt sikte på skyddet för den personliga integriteten, såsom
ändamål, innehåll, inhämtande av uppgifter, åtkomst till uppgifter med
hjälp av IT och gallring bör regleras i lag.
Genom denna lag skall däremot inte någon behandling av
personuppgifter för ett visst ändamål regleras. Detta skall istället ske
genom föreskrifter från regeringen inom de ramar som lagen drar upp.
Regeringens föreskrifter skall ges formen av en särskild förordning för
respektive hälsodataregister. I förordningen tas in bestämmelser som
närmare reglerar de frågor som anges i lagen men även sådant som inte
regleras av lagen. Med denna kombination av ramlag och
kompletterande föreskrifter tillgodoses enligt regeringens mening på ett
tillfredsställande sätt kravet på skydd för den personliga integriteten
liksom kravet på flexibilitet i regleringen av de särskilda
hälsodataregistren.
Den författningsrättsliga grunden för regeringens föreskrifter
behandlas i författningskommentaren till 12 §.
Vilka register som i dag förs hos centrala förvaltningsmyndigheter
framgår av avsnitt 5. Regeringen tar i denna proposition inte ställning till
om samtliga dessa register skall bestå och de närmare villkor som skall
gälla för dessa. Detta får i stället prövas i samband med att
registerförordningen utfärdas. I samband med detta bör sådana frågor
som personuppgiftsansvarig myndighet, vilka register som kan regleras
av samma registerförordning och nuvarande registers förenlighet med
personuppgiftslagen övervägas.
10.3 Behovet av entydig identifiering
Regeringens förslag: Hälsodataregister skall inte generellt föras med
anonyma eller pseudonyma uppgifter. Personnummer skall i princip
kunna användas för att identifiera personer i ett hälsodataregister.
Hälsodatakommitténs förslag: Överensstämmer med regeringens.
Remissinstanserna: Socialstyrelsen, Folkhälsoinstitutet, Medicinska
Forskningsrådet, Södermanlands läns landsting och Sundsvalls kommun
m.fl. tillstyrker förslaget. Hovrätten över Skåne och Blekinge anser att
konsekvenserna för registrens användbarhet av att använda pseudonyma
uppgifter borde ha undersökts närmare. Umeå kommun m.fl. är
tveksamma till det nödvändiga i att använda personidentifierbara
uppgifter i hälsodataregister. Statistiska centralbyrån anför att s.k.
envägskryptering av endast identifierare inte ger det skydd som avses.
Skälen för regeringens förslag
Från tid till annan har framförts tanken att hälsodata om enskilda
individer inte annat än i sällsynta fall skall registreras i centrala register i
den formen att de kan härledas till någon enskild person. Anledningen är
att integritetsskyddet anses öka om registrering sker i anonym form.
Hälsodata skall användas för framställning av officiell och annan
statistik, för utvärdering av vården med avseende på t.ex. effekter av nya
behandlingsmetoder samt för forskning. Innehållet i hälsodataregister
måste således med hänsyn till sitt användningsområde vara av hög
kvalitet. Detta ställer särskilda krav på registerföringen. Det måste t.ex.
vara möjligt att kontrollera om hälsodata som skall tillföras ett
hälsodataregister avser en enskild vars uppgifter redan tidigare förts in i
registret, dvs. att kunna utesluta dubbelregistrering. Det måste också vara
möjligt att kunna gå tillbaka till ursprunget för en enskild uppgift i syfte
att kontrollera dess riktighet eller för att komplettera den. Det är vidare
av betydelse att kunna urskilja om ett antal vårdtillfällen avser en person
vid flera tillfällen eller flera personer vid ett tillfälle för var och en.
Detsamma gäller om ett vårdtillfälle utgörs av nybesök eller återbesök i
anledning av tidigare vårdtillfälle. Det måste även vara möjligt att följa
individer med flera registreringstillfällen i ett och samma register.
En registrering av anonyma uppgifter i hälsodataregister möjliggör inte
dessa och andra nödvändiga kontroller av datakvaliteten, eftersom
vetskap saknas om vilken enskild individ som en registerpost avser.
Även om många projekt inom statistik och forskning i princip kan
utföras med anonyma uppgifter finns projekt när personanknytning är
nödvändig. Ibland sker inhämtande av uppgifter om enskildas
förhållanden från flera olika personregister. Genom bearbetningar av
detta slag skapas många gånger ny viktig kunskap. För att kunna
sammanställa uppgifter från olika register fordras att efterfrågade
uppgifter i de olika registren kan kopplas samman på individnivå.
En registrering byggd på anonyma uppgifter medför självfallet en vinst
för den enskildes integritetsskydd. T.ex. förhindras den slumpmässiga
tillgången till personuppgifter som annars kan uppkomma när någon av
en händelse kommer i kontakt med ett register och däri känner igen
någons namn.
Vid avvägningen mellan användbarhet och integritetsskydd bör man
dock beakta att även vid användning av anonyma uppgifter lagras vissa
uppgifter om den enskildes förhållanden. Därigenom föreligger en viss
möjlighet att återskapa identiteten hos hälsodata genom s.k.
bakvägsidentifiering. Ett sätt att minska risken för detta slag av
identifiering är att begränsa omfattningen av uppgifter i ett register. En
sådan begränsning kan dock inte drivas för långt utan att registrets
användbarhet går förlorad.
Regeringen bedömer mot bakgrund av ovanstående förhållanden att en
anonymisering av hälsodataregistren i avsevärd mån skulle minska
användbarheten. Den vinst som en anonymisering kan medföra för den
enskildes integritet uppväger enligt regeringens mening inte de
försämrade möjligheter detta för med sig vad gäller att hålla en hög
kvalitet på hälsodataregister och att utnyttja registret för olika ändamål.
Användning av personnummer
En personanknytning uppkommer genom att den samling av uppgifter
om enskildas förhållanden som ingår i registret knyts till ett särskilt
igenkänningstecken – en identifierare. En identifierare skall, för att vara
lämplig som sådan, uppfylla vissa bestämda krav. Den skall vara entydig,
känd, kort, varaktig och huvudsakligen informationslös. I personregister
används vanligen personnummer som identifierare. Andra möjliga
identifierare kan vara födelsetid, kön, namn, adress och
fastighetsnummer eller kombinationer av dessa.
Fördelen med personnummer är att det är en enhetlig och för varje
person särskiljande och varaktig identitetsbeteckning. Det är vidare ett
billigt och säkert instrument för identifiering av enskilda. Personnumret
är kort och det är lätt att kontrollera. Samtidigt är registrering av
personnummer ett av de inslag som ofta upplevs som särskilt
integritetskränkande av allmänheten.
Av 22 § förslaget till personuppgiftslag framgår att uppgift om
personnummer får behandlas utan samtycke bara när det är klart
motiverat med hänsyn till ändamålet med behandlingen, vikten av en
säker identifiering eller av något annat beaktansvärt ändamål.
Bestämmelsens innebörd är att det beträffande varje enskilt register skall
övervägas behovet av att registrera personnummer och att en prövning av
detta behov utifrån integritetssynpunkt skall ske. Det skall därvid
föreligga ett objektivt intresse, enligt personuppgiftslagens rekvisit, att
registrera personnumret.
De fördelar som ovan anförts medför enligt regeringens mening att
något genellt förbud mot att använda personnummer inte kan bli aktuellt.
Detta särskilt med beaktande av hälsodataregistrens stora samhälleliga
värde och de regler om sekretess m.m. som gäller till skydd för den
enskildes personliga integritet. Bestämmelsen om personnummer i
personuppgiftslagen kommer dock att gälla även för hälsodataregister.
Regeringen avser att i samband med utfärdande av registerförordning för
ett hälsodataregister särskilt överväga behovet av att använda
personnummer eller ej.
10.4 Ändamål
Regeringens förslag: Uppgifter i hälsodataregister får behandlas för
att framställa statistik och för att följa upp, utvärdera och
kvalitetssäkra hälso- och sjukvården. Uppgifter får även behandlas för
forskning och epidemiologiska undersökningar som den
personuppgiftsansvarige utför. Personuppgifter i ett hälsodataregister
får behandlas för ett eller flera av dessa ändamål. Regeringen
bestämmer genom föreskrifter närmare om ändamålen inom de
gränser som lagen drar upp.
Hälsodatakommitténs förslag: Överensstämmer med regeringens.
Remissinstanserna: Flertalet av remissinstanserna, t.ex. Svenska
Läkaresällskapet, Södermanlands läns landsting och Stockholms stad,
tillstyrker förslaget. Kammarrätten i Stockholm anför att de ändamål, för
vilka ett hälsodataregister får inrättas och föras, är av avgörande vikt för
skyddet av den personliga integriteten om uppgifterna inte har
anonymiserats. Med hänsyn härtill och eftersom personuppgifterna ifråga
kan vara mycket ömtåliga bör ändamålsbestämmelsen omarbetas och ges
en snävare utformning än i förslaget. Socialstyrelsen vill understryka
vikten av att regeringen vid inrättandet av registren enligt den nya
lagstiftningen beaktar behovet av flexibilitet. Ändamålen bör således i
förordning inte inskränkas mer än nödvändigt. I annat fall riskeras
registrens användbarhet att begränsas. Läkemedelsverket anser att de
angivna ändamålen är otillräckliga för det primära syftet med det
biverkningsregister som finns hos verket, nämligen fortlöpande
utvärdering av läkemedels ändamålsenlighet.
Skälen för regeringens förslag
I en lag om hälsodataregister är ändamålsbestämmelsen av central
betydelse, eftersom bestämmelsen anger den allmänna ramen för
registrens innehåll och på vilket sätt den personuppgiftsansvarige kan
använda registren. En reglering av ändamålen i lagen ställer upp gränser
för vad regeringen kan besluta i fråga om omfattningen av de enskilda
registrens ändamål och vilka uppgifter som får samlas in till dessa
register. Avgränsningen av de ändamål för vilka ett hälsodataregister får
behandlas är därför, såsom anförts av Kammarrätten i Stockholm, av
avgörande vikt för skyddet av den personliga integriteten.
Uppgifter i hälsodataregister får därför endast behandlas för nedan
angivna ändamål vilka samtliga är av ett högt samhälleligt intresse.
Behandling av personuppgifter i hälsodataregister skall få utföras för
framställning av statistik, för uppföljning, utvärdering och
kvalitetssäkring av vård samt för forskning. Regeringen avser att vid
utfärdandet av föreskrifter för varje särskilt hälsodataregister ta ställning
till om ett register skall omfatta ett eller flera av dessa ändamål och om
ändamålet skall preciseras ytterligare.
Statistik
Statistik kan indelas i sådan statistik som är av allmänt intresse och sådan
statistik som används internt hos dem som tar fram statistiken. Den
senare statistiken används främst för uppföljning, utvärdering och
planering av den egna verksamheten.
Den allmänna statstiken har som syfte att ge information av allmänt
intresse i fråga om samhällsutveckling och samhällsförhållanden. I 1 §
lagen (1992:889) om den officiella statistiken anges att till sådan statistik
räknas den statistik för samhällsplanering, forskning, allmän information
och internationell rapportering som en statlig myndighet framställer.
Framställning av statistik har varit en viktig anledning till att många av
nuvarande register har inrättats. Statistikframställning är i dag än mer
betydelsefull för att myndigheterna skall kunna beskriva den verklighet i
vilken de arbetar och för att visa hur verksamheten påverkas av olika
åtgärder som myndigheten företar.
Som en ändamålsbestämmelse för hälsodataregister bör därför anges
att behandling får ske för framställning av statistik. Däri inbegrips såväl
officiell statistik som annan statistik.
Statistikframställning sker i dag till övervägande delen med hjälp av
IT. För registerhållning i syfte att framställa statistik har riksdagen
antagit lagen (1995:606) om vissa personregister för officiell statistik.
Lagen skall tillämpas på personregister som inrättas och förs för
framställning av officiell statistik av någon statistikansvarig myndighet.
Lagen är tillämplig på personregister som förs enbart för framställning av
statistik. Den är således inte tillämplig på hälsodataregister som avser
behandling av uppgifter för något ytterligare ändamål utöver
statistikframställning.
Om regeringen däremot föreskriver att ett hälsodataregister endast
skall nyttjas för framställning av statistik kan tvekan uppkomma om
lagen om hälsodataregister eller statistikregisterlagen skall tillämpas. I
klargörande hänseende bör förhållandet att hälsodataregister således kan
användas för framställning av officiell statistik enbart eller tillsammans
med andra ändamål regleras. Statistikregisterlagen bör därför förses med
en bestämmelse som undantar personregister som regleras i annan lag
eller med stöd av annan lag från lagens tillämpningsområde. Därutöver
behöver korrigeringar ske av lagtexten som en följd av
personuppgiftslagen. Regeringen avser att i annat sammanhang
återkomma med förslag till ändringar i statistikregisterlagen.
Uppföljning, utvärdering och kvalitetssäkring
Uppföljning avser att fortlöpande och regelbundet mäta och beskriva
behov, verksamheter och resursåtgång angivet i termer av t.ex.
behovstäckning, produktivitet och nyckeltal. Uppföljning syftar till att ge
en översiktlig bild av verksamhetens utveckling och att fungera som en
signal för avvikelser som bör beaktas. Utvärdering avser analys och
värdering av kvalitet, effektivitet och resultat hos en verksamhet i
förhållande till de mål som bestämts för denna. Kvalitetssäkring är en
utvärderingsprocess i vilken man fortlöpande och systematiskt beskriver,
mäter och värderar kvaliteten i den egna verksamheten i relation till de
mål som har lagts fast.
Ändamålet att följa upp, utvärdera och kvalitetssäkra hälso- och
sjukvården är en angelägen uppgift som blir allt viktigare på central nivå
i en situation som kräver skärpt hushållning med tillgängliga ekonomiska
och personella resurser. Sedan den 1 januari 1997 anges i 31 § hälso- och
sjukvårdslagen att inom hälso- och sjukvården skall kvaliteten i
verksamheten systematiskt och fortlöpande utvecklas och säkras (jfr.
även 16 § tandvårdslagen). Med hänsyn härtill och det övergripande
ansvar som centrala förvaltningsmyndigheter har på respektive
verksamhetsområde för ett effektivt utnyttjande av samlade resurser är
det väl motiverat att uppgifter i ett hälsodataregister får behandlas för
uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård på
central nivå.
Forskning m.m.
Nuvarande register används i mycket hög grad som underlag för olika
forskningsuppgifter. Registren används i detta syfte såväl av den
myndighet som för registret som av andra.
En myndighets verksamhet är reglerad i lagar, förordningar och
myndighetsföreskrifter, främst myndighetens instruktion. Härigenom
anges en myndighets ansvarsområde avgränsat från andra myndigheters.
Det ändamål för vilket behandling av uppgifter i ett personregister får ske
skall inrymmas i ett på detta sätt bestämt verksamhetsområde.
Läkemedelsverket skall enligt sin instruktion särskilt svara för
forskning inom sitt ansvarsområde av betydelse för den kontroll och
tillsyn som skall bedrivas. Smittskyddsinstitutet skall bedriva forskning
inom smittskyddsområdet samt analysera det epidemiologiska läget
beträffande smittsamma sjukdomar och analysera skyddet efter
genomförda vaccinationsprogram. Socialstyrelsen har enligt
instruktionen att följa forsknings- och utvecklingsarbete av särskild
betydelse inom sitt ansvarsområde och att verka för att sådant arbete
kommer till stånd. Därutöver skall Socialstyrelsen följa, analysera och
rapportera om hälsoutvecklingen i landet samt belysa epidemiologiska
konsekvenser av olika åtgärder.
Epidemiologi är vetenskapen om hälsoförhållanden i befolkningen och
de faktorer som påverkar eller bidrar till olika typer av ohälsa.
Epidemiologin har en central betydelse för att påvisa riskfaktorer för en
lång rad sjukdomar hos befolkningen och ge underlag till systematiskt
genomförda försök med förebyggande insatser. Många gånger drivs
epidemiologiska undersökningar som långsiktiga projekt där
förändringar över tiden av sjuklighet, dödlighet och orsaker därtill
studeras.
Vid den epidemiologiska verksamheten hos Socialstyrelsen används
uppgifter ur de nuvarande registren både för framställning av statistik
och för att ta fram andra slag av särskilda rapporter och redogörelser över
aktuella frågeställningar. Användningen av hälsodataregister för
epidemiologiska undersökningar som resulterar i statistiska
beskrivningar får anses täckas av ändamålsbestämmelsen statistik.
Epidemiologiska undersökningar som resulterar i andra former av
redovisningar än ren statistik bör i många fall kunna täckas av
ändamålsbestämmelsen forskning. För att undvika tillämpningsproblem
och med hänsyn till svårigheten att dra en exakt gräns för vad som skall
avses med forskning bör ändamålsbestämmelsen för hälsodataregister
utformas så att uppgifter i ett hälsodataregister får behandlas för
forskning och epidemiologiska undersökningar.
10.5 Innehåll
Regeringens förslag: Ett hälsodataregister får endast innehålla
sådana uppgifter som behövs för att den personuppgiftsansvarige skall
kunna använda registret för de ändamål för vilket personuppgifter får
behandlas.
Hälsodatakommitténs förslag: Överensstämmer med regeringens.
Remissinstanserna: Socialstyrelsen tillstyrker förslaget.
Kammarrätten i Stockholm anser att det i lagtexten tydligare bör anges
vilka uppgifter som skall få ingå i ett register. Vidare bör det i
författningskommentaren ges konkreta exempel på vilken typ av
uppgifter som normalt kan förekomma och uppgifter som typiskt sett är
olämpliga att registrera och därför inte bör förekomma. Jönköpings
kommun anser att det finns behov av allmänna principer för
registerinnehållet.
Skälen för regeringens förslag: En reglering av innehållet i ett
register har på samma sätt som en bestämmelse om registerändamål stor
betydelse för skyddet av den personliga integriteten. Behovet av skydd
förstärks när de uppgifter som behövs är av känslig natur.
Ser man på hälso- och sjukvården i stort kan man konstatera att det
förekommer hälsodata av olika känslighetsgrad. Uppgifter om att någon
har sökt vård för ett benbrott torde till exempel i de flesta fall bedömas
annorlunda än uppgifter om exempelvis könssjukdomar eller
genomgången psykiatrisk behandling. Olika personer kan också uppfatta
vilka uppgifter som är särskilt känsliga olika.
Regeringen utgår emellertid från att alla medicinska uppgifter är att
betrakta som känsliga personuppgifter och skall hanteras därefter.
Omfattningen av känsliga uppgifter i hälsodataregister är beroende av
registrets ändamål och går knappast att förutsäga.
Förslaget till personuppgiftslag innehåller ett principiellt förbud mot
att behandla personuppgifter som rör hälsa eller sexualliv. Uppgifterna
ovan betecknas med personuppgiftslagens terminologi som känsliga
personuppgifter. Från förbudet gäller undantag bl.a. vid samtycke från
den registrerade och vid behandling inom hälso- och sjukvården samt
under vissa betingelser vid behandling för forskning och statistik. Vidare
gäller att ett register endast får innehålla uppgifter som är förenliga med
ändamålet.
Uppgifter om en enskilds medicinska och andra förhållanden får
tillföras ett hälsodataregister endast under den förutsättningen att
uppgiften är nödvändig för att tillgodose de ändamål för vilka registret
får föras. I ett hälsodataregister får därför inte förekomma uppgifter som
inte uppfyller detta krav men som mer allmänt sett bedöms vara bra att
ha tillgängliga.
Vilka uppgifter som skall ingå i ett hälsodataregister får bedömas
utifrån de ändamål för vilka behandling av uppgifter i registret får ske.
Att generellt bestämma vilka uppgifter som är behövliga för olika
register torde vara i det närmaste omöjligt att göra. Detsamma gäller
frågan om det bör införas något generellt förbud att registrera vissa
hälsodata. Det får ankomma på regeringen att i respektive
registerförordning bestämma vad som får föras in i registret. Därvid bör
regeringen noggrant överväga behovet av varje särskild uppgift i
registret. Vid dessa överväganden bör beaktas att samtliga
registeruppgifter kan komma att användas som sökbegrepp.
10.6 Samkörning
Regeringens förslag: Hälsodataregister får tillföras personuppgifter
från andra register endast för de ändamål för vilka hälsodataregister
får behandlas. Uppgifter får även hämtas in för att skapa tillfälliga
hälsodataregister som efter kvalitetskontroll anonymiseras.
Hälsodatakommitténs förslag: Överensstämmer med regeringens.
Remissinstanserna: Folkhälsoinstitutet liksom flertalet
remissinstanser som yttrat sig i frågan tillstyrker förslaget.
Socialstyrelsen påtalar att det inom regeringskansliet måste finnas en
beredskap för att snabbt kunna ta ställning till frågor om en utvidgning av
samkörningsmöjligheterna. Jönköpings kommun ifrågasätter om inte
förslaget går något för långt när mycket få begränsade principer anges
och samkörning av olika register tillåts. Riksförbundet för Social och
Mental Hälsa (RSMH) ställer sig helt avvisande till att identifierbara
vårduppgifter skall kunna överföras från lokala vårdregister till specifika
hälsodataregister, utan att man inhämtar den enskildes informerade
samtycke. Om det i vissa fall finns speciella skäl för att tillåta
samkörning utan informerat samtycke är det ett krav från RSMH att en
politisk beslutsinstans ger tillstånd till detta efter inhämtande av
synpunkter från berörda myndigheter och patientorganisationer.
Smittskyddsinstitutet anser att det finns behov av tillfälliga
hälsodataregister i samband med utbrott av epidemiska sjukdomar. Dessa
register skall vara personanknutna så länge utbrottet utreds, i regel ej
längre än tolv månader. Läkemedelsverket finner det inkonsekvent att
uppgiftsskyldigheten inom den offentliga vården skall åvila landsting och
kommuner och inte den enskilde yrkesutövaren när uppgiftsskyldighet
skall åvila yrkesutövning på den privata sidan.
Skälen för regeringens förslag
Med samkörning mellan två personregister menas en maskinell
bearbetning av uppgifter i ett register tillsammans med uppgifter i ett
annat register hos den personuppgiftsansvarige eller hos annan
personuppgiftsansvarig (jfr. prop. 1981/82:189 s. 53). Även annan direkt
överföring av uppgifter från ett personregister till ett annat räknas som
samkörning.
Genom samkörning ökas möjligheterna att nyttja uppgifter i olika
register i syfte att vidga kunskapen eller förvärva ny kunskap. För att
registren skall kunna fylla sina ändamål behöver registerinnehållet många
gånger kompletteras med andra uppgifter. Genom samkörningar av
hälsodataregister med andra register ökar möjligheten att finna orsaker
till och förklara uppkomster av ohälsoproblem.
Samkörning av flera hälsodataregister eller samkörning av
hälsodataregister och andra personregister kan dock till följd av de
känsliga uppgifter som återfinns i hälsodataregister vara riskfyllt ur
integritetssynpunkt. Möjligheten att samköra personregister är en vanlig
anledning till den oro som medborgare kan känna inför att registreras i
personregister. Denna oro uppstår trots det skydd mot utlämnande av
registeruppgifter som finns i bl.a. sekretesslagen.
Samkörning bör med hänsyn till de vidgade möjligheterna att nyttja
insamlade hälsodata inte förbjudas. Inhämtande av uppgifter från andra
personregister bör dock begränsas när den enskildes integritet kan
påverkas negativt av en sådan bearbetning. I vilka enskilda situationer så
kan bli fallet är inte möjligt att uttala sig generellt om.
Med hänsyn till de vidgade möjligheter som en samkörning kan
medföra bör det enligt regeringens mening inte införas något generellt
förbud mot samkörning. För att tillvarata den enskildes skydd för den
personliga integriteten bör dock rätten till samkörning regleras.
Ändamålsbestämmelsen utgör den grundläggande bestämmelsen för
integritetsskyddet vid behandlingen av uppgifter i ett hälsodataregister.
Liksom i fråga om avgränsning av innehållet i ett hälsodataregister bör
tillåtligheten av att hämta in uppgifter från andra personregister
(hälsodataregister, vårdregister eller andra personregister) vara beroende
av att inhämtade uppgifter skall användas för något av
registerändamålen. Samkörning bör därför i princip medges när den sker
inom ramen för dessa ändamål.
Tillfälliga hälsodataregister
Genom samkörning kan ett nytt hälsodataregister tillskapas. För att få
användas krävs att regeringen meddelar föreskrifter härom eller att
behandling kan ske med stöd av annan reglering.
Det bör dock finnas möjlighet att genom samkörning skapa ett nytt
register utan att regeringen i varje enskilt fall skall fatta beslut därom,
nämligen när det gäller tillfälliga hälsodataregister. Vid den samkörning
som hittills skett av nuvarande personregister förekommer att avsikten
med det nya registret redan från början varit att registret efter kontroll av
kvaliteten skall användas i anonym form, varvid registret upphör att vara
ett personregister. Sådana anonymiserade register har främst användning
för statistikändamål.
Det bör finnas utrymme för att tillåta denna form av tillfälliga
hälsodataregister. Enligt upplysningar till hälsodatakommittén är denna
form av samkörning vanligt förekommande hos de centrala
myndigheterna. Hälsodataregistren bör även fortsättningsvis kunna
användas för sådana ändamål.
Regeringen anser att som utgångspunkt kan en period om tre månader
vara en lämpligt avvägd frist för att genomföra kontroll och rättelse
varefter uppgifterna skall anonymiseras. De närmare villkoren för att ett
särskilt hälsodataregister skall få samköras på detta sätt bör anges av
regeringen vid utfärdandet av registerförordningen.
Den av Smittskyddsinstitutet föreslagna konstruktionen för tillfälliga
register faller enligt regeringens mening inte inom vad som kan anses
utgöra ett hälsodataregister och får således regleras på annat sätt.
10.7 Uppgiftsskyldighet
Regeringens förslag: Samtliga ansvariga för verksamhet inom hälso-
och sjukvårdens område skall rapportera uppgifter till
hälsodataregister. Den närmare utformningen av uppgiftsskyldigheten
skall framgå av regeringens föreskrifter för respektive register.
Hälsodatakommitténs förslag: Överensstämmer med regeringens.
Remissinstanserna: De flesta remissinstanserna, däribland
Folkhälsoinstitutet och Statistiska Centralbyrån tillstyrker förslaget.
Statens institutionsstyrelse (SiS) anser att det bör klargöras att
uppgiftsskyldigheten skall gälla landsting, kommuner och enskilda
yrkesutövare för vilka landsting eller kommun ej svarar.
Skälen för regeringens förslag: Sekretess gäller, enligt 7 kap. 1 §
sekretesslagen, inom hälso- och sjukvården för uppgift om enskilds
hälsotillstånd eller andra personliga förhållanden. Av 14 kap. 1 § andra
meningen sekretesslagen följer att sekretess inte hindrar att uppgifter
lämnas till myndighet, om uppgiftsskyldigheten följer av lag eller
förordning. Motsvarande tystnadsplikt inom den privata vården gäller
enligt 6 § tillsynslagen och 8 § åliggandelagen .
För att ett hälsodataregister skall kunna användas på ett effektivt sätt
för sina ändamål krävs att registret innehåller uppgifter om alla de
individer som berörs av registret och en bestämmelse om
uppgiftsskyldighet är behövlig för att den sekretessprövning som annars
måste ske inför varje enskilt utlämnande av hälsodata skall kunna
underlåtas.
Rapporteringen av hälsodata kan med hänsyn till kravet på korrekt och
fullständig information inte grundas på ett frivilligt åtagande från
vårdgivarna. En inte obetydlig risk för underlåten rapportering t.ex. till
följd av hög arbetsbelastning, kan därvid uppstå. Det måste därför finnas
en skyldighet för vårdgivarna att rapportera uppgifter om de förhållanden
som skall belysas med hjälp av ett hälsodataregister.
IT-systemen kan, där de finns, redan i dag utnyttjas för att ta fram de
uppgifter som skall rapporteras vidare till hälsodataregister. För den
offentliga vården är det sjukvårdshuvudmannen som är ansvarig för IT-
systemet och det är därför lämpligt att uppgiftsskyldigheten åligger
denne och inte de enskilda yrkesutövarna. Något liknande generellt
system finns inte inom den privata vården. För den privata vården bör
därför den enskilde vårdgivaren vara uppgiftsskyldig. Av det ovan
nämnda följer att det är antingen en offentlig sjukvårdhuvudman eller en
privat vårdgivare som är uppgiftsskyldig. Det innebär att en myndighet
som anlitar en privat vårdgivare skall vara uppgiftsskyldig till
hälsodataregister.
Av 8 kap. 5 § regeringsformen (RF) följer att åliggande för en
kommunal myndighet skall regleras i lag. Likaledes anges i 8 kap. 3 § RF
att föreskrifter om förhållandet mellan enskilda och det allmänna som
gäller åligganden för enskilda skall meddelas genom lag. Att fullgöra en
uppgiftsskyldighet till ett hälsodataregister omfattas av dessa
bestämmelser och kräver därför lagstöd.
Bestämmelser om uppgiftsskyldighet till hälsodataregister och vem
uppgiftsskyldigheten åvilar bör med hänsyn till ovanstående regleras i
lagen om hälsodataregister. Den närmare utformningen av
uppgiftsskyldigheten kan tas in i respektive registerförordning. Ett
bemyndigande att meddela föreskrifter därom ges därför regeringen. En
generell bestämmelse om uppgiftsskyldighet till hälsodataregister
innebär att bestämmelser därom som återfinns i andra lagar i princip kan
upphävas.
10.8 Sökbegrepp
Regeringens förslag: Samtliga registeruppgifter i ett
hälsodataregister skall enligt en uttrycklig lagbestämmelse få
användas som sökbegrepp.
Hälsodatakommitténs förslag: Överensstämmer med regeringens.
Remissinstanserna: Kammarrätten i Stockholm anser att det är viktigt
att sökbegrepp som är känsliga från integritetssynpunkt används i mycket
begränsad utsträckning. De grundläggande sökbegreppen bör därför tas
in i lagen. Jönköpings kommun tycker att det är svårförståeligt att inte
förslaget på ett mycket starkt sätt begränsat åtkomsten till registersökning
avseende vissa känsliga sjukdomar såsom HIV/AIDS, könssjukdomar
och psykiatriska diagnoser. Sundsvalls kommun anser att en begränsning
av sökord bör göras för uppgifter om ras, politisk uppfattning, religiös tro
eller övertygelse i övrigt och sexualliv. Svenska Kommunförbundet
tillstyrker förslaget och anför att hälsodataregister inrättas för ändamål
med högt samhällsintresse och det ligger i sakens natur att den
registeransvariga myndigheten inte i förväg kan ange vilka sökord som
kan anses obehövliga. Riksförbundet för Social och Mental Hälsa
(RSMH) anser att tillåtna sökbegrepp måste begränsas. Inom den
psykiatriska och rättspsykiatriska vården förekommer ofta personliga
uppgifter som är mycket känsliga ur integritetssynpunkt.
Skälen för regeringens förslag: Information ur ett personregister tas
fram genom att i registret ingående uppgifter – t.ex. personnummer eller
sjukdomsdiagnos – används som sökbegrepp vid behandlingen av
registret. En myndighet är enligt tryckfrihetsförordningen i princip
skyldig att använda alla uppgifter som sökbegrepp för att ta fram den
information som någon begär att få ta del av. Ett utlämnande skall dock
alltid föregås av en sekretessprövning.
Användning av registeruppgifter som sökbegrepp kan ibland få
oönskade konsekvenser. Så kan t.ex. från början harmlösa uppgifter just
genom sammanställningen framstå som integritetskränkande.
Förekomsten av många sökbegrepp kan därför i viss mån öka risken för
integritetsintrång.
Det är enligt tryckfrihetsförordningen möjligt att genom lag,
förordning eller särskilt beslut som grundar sig på lag begränsa
möjligheten att använda vissa uppgifter som sökbegrepp. Konsekvensen
av en sådan begränsning är att varken myndigheten själv eller en enskild
kan ta fram information den vägen. Härigenom uppnås ett ökat
integritetsskydd men samtidigt begränsas registrets användbarhet.
I registerförfattningar förekommer att användningen av
registeruppgifter som sökbegrepp begränsas. Vanligen omfattar en sådan
begränsning uppgifter som anses vara särskilt känsliga t.ex. nationalitet
eller kriminalitet. Ett exempel på en sådan begränsning finns i 18 §
socialförsäkringsregisterlagen (1997:934) som närmare reglerar hur
uppgifter om enskild som avser bl.a. intagning på kriminalvårdsanstalt
får användas som sökbegrepp.
Ett inrättande av ett hälsodataregister skall föregås av en noggrann
prövning av ändamålet med registret och vilka uppgifter som får
behandlas i registret. Uppgifterna skall vara behövliga för att den
personuppgiftsansvarige skall kunna utföra de arbetsuppgifter vartill
registret får användas. Om en uppgift inte är nödvändig för ett registers
ändamål skall den inte heller förekomma i registret. Regeringen skall i
respektive förordning ange vilka uppgifter som får ingå i ett
hälsodataregister.
Uppgifterna som ingår i ett hälsodataregister kommer ofta att vara av
känslig eller mycket känslig natur. Det kan gälla de rent medicinska
uppgifterna men även andra uppgifter. Denna omständighet skulle kunna
tala för att man trots allt inför inskränkningar i användningen av
uppgifter som sökbegrepp och därigenom ökar skyddet för den
personliga integriteten.
Mot en begränsning av sökbegrepp kan dock anföras behandling av
personuppgifter i ett hälsodataregister får ske för sådana ändamål som
har ett högt samhällsintresse, såsom framställning av officiell statstik och
forskning. Det ligger i sakens natur att den personuppgiftsansvariga
myndigheten inte i förväg kan bestämma vilka uppgifter som är
obehövliga som sökord för att utföra en arbetsuppgift inom ramen för
dessa ändamål. Genom regleringen av innehållet i registret sker också en
form av reglering av möjliga sökbegrepp. Ytterligare begränsningar av
tillåtna registeruppgifter som sökbegrepp inskränker registrens
användbarhet.
Om en sökordbegränsning införs bör den i så fall inriktas på de mest
känsliga uppgifterna i registren, främst de medicinska. Många av dessa
hälsodata utgör å andra sidan skälet för registrets existens. Det framstår
inte som särskilt konsekvent att i ena stunden tillåta att känsliga uppgifter
ingår i ett register och i nästa stund förbjuda användaren att bruka
uppgifterna för ändamålet.
Med hänsyn till det anförda finns det inte någon anledning att begränsa
användningen av uppgifter i hälsodataregisterlagen som sökbegrepp. I
klarhetens intresse, samt av principiella skäl, bör detta uttryckligen
regleras i lagtexten.
10.9 Direktåtkomst
Regeringens förslag: Endast den personuppgiftsansvarige får ha
direktåtkomst till uppgifter i ett hälsodataregister.
Hälsodatakommitténs förslag: Överensstämmer med regeringens.
Remissinstanserna: Datainspektionen anser att regeringen i
förordningen om register bör begränsa möjligheten till direktåtkomst till
endast den särskilda verksamhet hos en myndighet som för ett hälso- och
dataregister. Jönköpings kommun anser att det finns behov av allmänna
principer för registeråtkomsten. Smittskyddsinstitutet anför att vissa
hälsodataregister bör kunna samutnyttjas av flera myndigheter.
Skälen för regeringens förslag: Att den personuppgiftsansvariga
myndigheten skall ha direktåtkomst till sina egna register säger sig självt.
Reglerna i sekretesslagen är tillämpliga även på uppgiftslämnande
mellan olika verksamheter hos samma myndighet. Enligt regeringens
uppfattning innebär detta en lämplig avvägning av möjligheterna att
utnyttja personuppgifter inom en myndighets olika verksamheter.
Uppgifter i hälsodataregister bör med hänsyn till att de innehåller
uppgifter av stor betydelse för forskning och utveckling på hälso- och
sjukvårdens område i så stor utsträckning som det är möjligt med
beaktande av integritetsskyddet användas för att främja sådana ändamål.
Detta skulle tala för att myndigheter som själva för hälsodataregister
skulle kunna tillerkännas direktåtkomst till andra myndigheters
hälsodataregister.
Ett tillhandahållande av uppgifter ur hälsodataregister medelst
direktåtkomst innebär å andra sidan att känsliga uppgifter från
hälsodataregister kommer att spridas till en större krets av användare. En
komplikation är också att hälsodataregister, enligt reglerna i
Tryckfrihetsförordningen, blir att anse som allmän handling inte bara hos
den personuppgiftsansvariga myndigheten utan även hos den myndighet
som har direktåtkomst.
Med beaktande av det nu anförda anser regeringen att direktåtkomst
bör förbehållas den som är personuppgiftsansvarig för hälsodataregistret.
Den möjlighet till samutnyttjande av register som Smittskyddsinstitutet
efterlyser bör enligt regeringens mening kunna tillgodoses genom
reglerna om utlämnande av uppgifter på medium för automatiserad
behandling (avsnitt 10.10) och samkörning (avsnitt 10.6).
10.10 Utlämnande av uppgifter på medium för
automatiserad behandling
Regeringens förslag: Personuppgifter får lämnas ut med hjälp av
medium för automatiserad behandling om de skall användas för
sådana ändamål för vilka hälsodataregister får föras.
Hälsodatakommitténs förslag: Överensstämmer i sak med
regeringens.
Remissinstanserna: Kammarrätten i Stockholm föreslår att
utlämnande av uppgifter begränsas till nyttjare som har ett dokumenterat
kvalificerat yrkesmässigt eller akademiskt behov av sådana uppgifter.
Därvid bör klargöras att utlämnande för forskningsändamål endast kan
komma ifråga för den högre forskningsutbildningen.
Riksförsäkringsverket (RFV) anser att det bör vara möjligt att lämna ut de
uppgifter som kan komma att behövas för forskning och statistik på
socialförsäkringens område på ADB-medium, utan att det uppstår någon
fara ur integritetssynpunkt. RFV anser därför att det klart bör framgå av
hälsodataregisterlagen att det finns möjligheter att göra en sådan
överföring. Sveriges läkarförbund anser att tillstånd av Datainspektionen
bör krävas för utlämnande av uppgifter på ADB-medium.
Skälen för regeringens förslag: Liksom vid direktåtkomst är det här
inte fråga om att reglera om en upptagning får lämnas ut eller inte. Den
regleringen sker i tryckfrihetsförordningen och sekretesslagstiftningen.
Här behandlas endast formen för utlämnande.
I författningstext och andra sammanhang används begreppet medium
för automatisk databehandling eller ADB-behandling. Även
hälsodatakommittén har använt dessa begrepp i sitt betänkande. Även
termen terminalåtkomst används synonymt med dessa begrepp på sina
ställen. Samtliga dessa termer är nu att anse som något föråldrade och
ersätts av begreppet medium för automatiserad behandling. Detta innebär
dock inte någon skillnad i innebörd.
Den moderna datatekniken ger många alternativa former för
utlämnande av uppgifter, t.ex. diskett, CD-skiva, on-line uppkoppling
eller radiolänk. Den tekniska utvecklingen går snabbt och det är knappast
möjligt att söka ge en närmare definition som avses med medium för
automatiserad behandling.
Uppgifter i hälsodataregister är av stort värde för många ändamål, även
kommersiella. Utlämnande på medium för automatiserad behandling
aktualiserar därför frågan om det av integritetsskäl behövs särskilda
begränsningar.
En möjlighet är därvid att i klartext ange vilka mottagare som kan få
tillgång till uppgifter med hjälp av medium för automatiserad behandling.
Regeringen har dock funnit att en sådan avgränsning, med tanke på de
olika nyttjare som hälsodataregister kommer att ha, inte är en lämplig
modell. Tillskott och bortfall av nyttjare skulle också kunna föranleda ett
ständigt pågående ändringsarbete i registerförfattningar.
En lämpligare metod är att begränsa användingen av medium för
automatiserad behandling vid utlämnande av uppgifter till de mottagare
som behöver hälsodata för sådana ändamål för vilka behandling får ske.
Härigenom uppnås en samstämmighet med ställningstagandena
beträffande innehåll i och inhämtande av uppgifter till ett
hälsodataregister.
Med stöd av sekretesslagen överförs i vissa fall den sekretess som
gäller för uppgifterna i hälsodataregistret till mottagaren. I andra fall kan
förbehåll behöva göras i mottagarens möjligheter att nyttja erhållna
uppgifter. Så sker redan i dag när Socialstyrelsen ger enskilda forskare
tillgång till uppgifter i sina register. Denna praxis bör tillämpas även i
fortsättningen i syfte att stärka skyddet för den enskildes integritet.
Vad särskilt gäller forskning är det viktigt att, som Kammarrätten i
Stockholm anför, begränsa utlämnande av uppgifter på medium för
automatiserad behandling till forskningsprojket av viss kvalitet. Det
ankommer därvid på den personuppgiftsansvarige att göra denna
prövning. Vid prövningen innebär enligt 19 § förslaget till
personuppgiftslag ett godkännande av behandlingen från en
forskningsetisk kommitté att förutsättningar föreligger för att lämna ut
uppgifterna
10.11 Bevarande och gallring
Regeringens förslag: Något behov av bestämmelser i fråga om
bevarande och gallring som avviker från regleringen härav i andra
författningar finns inte. Uppgifter i ett hälsodataregister skall således
bevaras och gallras enligt reglerna i personuppgiftslagen (1998:000).
Regeringen ges dock möjlighet att meddela närmare föreskrifter
härom.
Hälsodatakommitténs förslag: Kommittén föreslog att bevarande och
gallring skall gallras enligt arkivlagens (1990:782) regler.
Remissinstanserna: Samtliga remissinstanser som har yttrat sig i
frågan, däribland Riksarkivet, tillstyrker kommittens förslag. Karolinska
institutet vill uppmärksamma att genetiska data om en person är av
integritetsskyddsintresse även för dennes barn och barnbarn, varför
sekretesskyddet bör bestå även långt efter det att en registrerad avlidit
eller att registrerade data lämnats för arkivering.
Skälen för regeringens förslag: En författningsreglering av
möjligheten att gallra de uppgifter som finns i hälsodataregister är viktig
både ur den enskildes och ur samhällets synpunkt. En alltför omfattande
gallring i hälsodataregister kan emellertid få till följd att det inte kommer
att finnas tillräckligt material för t.ex. epidemiologiska undersökningar
eller utvärderingar av olika slag. En alltför begränsad gallring kan
medföra att känsliga uppgifter om den enskilde onödigtvis sparas, vilket
kan upplevas som ett intrång i den personliga integriteten.
Andra omständigheter talar i motsatt riktning. Utvärdering av nya
behandlingsmetoder och epidemiologisk verksamhet kräver ofta tillgång
till material insamlat under lång tid. En viktig omständighet att beakta är
kontinuiteten i registerföringen. Många epidemiologiska undersökningar
och forskningsprojekt förutsätter att man har tillgång till uppgifter som
ligger långt tillbaka i tiden. Möjligheten att upptäcka förändringar av
mindre omfattning, exempelvis när det gäller missbildningar, innebär att
det är förenat med stora svårigheter att på förhand bestämma i vilken
omfattning och hur länge uppgifter i hälsodataregister kan behöva
bevaras innan det kan anses att uppgifterna har förlorat sitt
informationsvärde. Även möjligheten att använda uppgifter för annan
forskning medför att det är svårt att fastställa en tidpunkt när uppgifterna
inte längre behövs i registret. Det är också av stort intresse att kunna följa
utvecklingen inom hälso- och sjukvårdens område under längre
tidsperioder.
Av 9 § i) förslaget till personuppgiftslag som grundar sig på artikel
6 e) i EG-direktivet framgår att en personuppgift inte får bevaras under
längre tid än vad som är nödvändigt med hänsyn till ändamålen med
behandlingen. Personuppgifter får dock bevaras under längre tid för
historiska, statistiska eller vetenskapliga ändamål. I dessa fall får dock
inte personuppgifter bevaras under längre tid än vad som är nödvändigt
för dessa ändamål. Vidare anges i 8 § andra stycket att bestämmelserna i
lagen inte hindrar att en myndighet arkiverar och bevarar allmänna
handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.
Lagrådet anför i sitt yttrande att det kan vara tveksamt om en
hänvisning till arkivlagens regler är förenlig med EG-direktivet och har
föreslagit att denna skall utgå.
Regeringen har inte i detta lagstiftningsärende anledning att göra
någon annan bedömning av direktivets förenlighet med regler om
bevarande av allmänna handlingar och omhändertagande av
arkivmaterial än den som framgår av 8 § andra stycket förslaget till
personuppgiftslag. Med anledning av vad som anförts i anslutning till
denna paragraf (prop. 1997/98:44 s. 48) kan dock hänvisningen till
arkivlagen i förevarande lagförslag utgå i enlighet med Lagrådets förslag.
Eftersom personuppgiftslagens regler, enligt 2 § i förevarande
lagförslag, generellt kommer att gälla i den mån en fråga inte regleras av
hälsodataregisterlagen, är någon ytterligare bestämmelse med hänvisning
till personuppgiftslagen inte nödvändig.
10.12 Information
Regeringens bedömning: Att den som är personuppgiftsansvarig
skall upplysa den enskilde som omfattas av registret och allmänheten
om att registret finns följer av förslaget till personuppgiftslag.
Informationen omfattar bl.a. ändamålet med registret och dess
innehåll samt uppgifter om sekretess- och säkerhetsbestämmelser.
Någon reglering av frågan i lagen om hälsodataregister är inte
nödvändig.
Hälsodatakommitténs förslag: Att en bestämmelse som i generella
termer reglerar informationsskyldigheten införs i lagen om
hälsodataregister.
Remissinstanserna: De remissinstanser som yttrat sig har tillstyrkt
kommitténs förslag. Karolinska institutet anför att det är viktigt att
informationen är tydlig och uttömmande så att den kan förstås även av
den som på grund av sjukdom inte är förmögen till något aktivt
informationsinhämtande. Läkemedelsindustriföreningen anser att en
enskild medborgare bör ha rätt att på förfrågan erhålla utdrag ur register
som visar vilka uppgifter om honom eller henne som finns registrerade.
Skälen för regeringens bedömning: Skyldigheten att upplysa
allmänheten om förekomsten av ett register och dess innehåll är en viktig
del i det integritetsskydd som genom författningsreglering byggs upp
kring dessa register. Genom upplysningsskyldigheten skapas ett
förtroende hos allmänheten för att registreringen i ett hälsodataregister
sker på ett tillbörligt sätt.
Till skillnad mot datalagen innehåller förslaget till personuppgiftslag
utförliga bestämmelser om information vid behandling av
personuppgifter. Om en fråga inte regleras i lagen om hälsodataregister
skall enligt 2 § personuppgiftslagens regler tillämpas. Regeringen anser
därför att någon ytterligare generell reglering av
informationsskyldigheten inte är nödvändig.
Regeringen avser dock att i respektive registerförordning närmare
precisera på vilket sätt informationen skall ges och vilket innehåll
informationen skall ha.
Som riktlinje för dessa föreskrifter skall gälla att följande uppgifter i
vart fall bör ingå:
1. vem som är personuppgiftsansvarig,
2. ändamålet med registret,
3. vilka uppgifter som ingår i registret,
4. varifrån uppgifter hämtats in,
5. hur länge registret kommer att föras,
6. rätten till rättelse av oriktiga eller missvisande uppgifter,
7. innebörden och omfattningen av det sekretess- och säkerhetsskydd
som gäller för registret,
8. vad som gäller i fråga om sökbegrepp, direkt åtkomst och utlämnade
på medium för automatiserad behandling ,
9. den registrerades rätt att ta del av uppgifter enligt 26 §
personuppgiftslagen, samt
10. vad som gäller om bevarande och gallring av registret.
11 Vårdregister
Det finns ett allmänt intresse av att de resurser som tas i anspråk av
hälso- och sjukvården utnyttjas optimalt varvid kostnadseffektivitet skall
förenas med säkerhet i vårdarbetet. Minskade kostnader för exempelvis
administration och arkivhållning ökar utrymmet för det egentliga
vårdarbetet. Tillförlitlig utvärdering av behandlingsmetoder och av
verksamheten i övrigt ökar effektiviteten i vårdarbetet. Patienterna kräver
korta väntetider i såväl kölistor som i väntrum. Den som blir placerad i
en kölista önskar många gånger besked om den ungefärliga väntetiden.
Patienternas önskemål ställer krav på en väl fungerande
verksamhetsplanering. Dessa krav skall förenas med patienternas krav på
säker och effektiv behandling.
Vården måste vara så ordnad att uppgifter om enskilda patienters
hälsotillstånd, tidigare vårdtillfällen av intresse, pågående medicinering,
överkänslighet m.m. enkelt kan tas fram vid besök på en vårdinrättning.
Det behövs därför information om var sådana uppgifter kan återfinnas.
Akutsjukvården måste snabbt, effektivt och säkert kunna ta sig an
patienter som kommer in medvetslösa och som därför inte själva kan
lämna sådana uppgifter. För att kunna möta dessa krav och uppnå
effektivitet och säkerhet i allmän planering, administration och
vårdarbete, har hälso- och sjukvården ett mycket stort
informationsbehov.
För att kunna tillgodose detta behov har hälso- och sjukvården i
accelererande tempo tagit hjälp av datatekniken. På i stort sett alla
områden har man för att öka effektiviteten och säkerheten i vården
introducerat olika slag av datasystem. Antalet personregister har på så
sätt ökat väsentligt.
Den information som förekommer i registren är till stor del av känslig
eller mycket känslig karaktär, varför patienten har ett starkt intresse av att
informationen inte sprids i onödan. Rätt använd kan IT vara ett
hjälpmedel i ansträngningarna att försöka tillgodose såväl olika
intressenters krav på effektivitet och säkerhet i vårdarbete och
administration som patientens intresse av integritet.
11.1 Personregister som bör författningsregleras
Regeringens förslag: Automatiserad behandling av personuppgifter
för patientjournalföring enligt patientjournallagen (1985:562) skall
författningsregleras. Detsamma gäller automatiserad behandling av
personuppgifter för annan dokumentation i och för vården av
patienter. Vidare skall automatiserad behandling av personuppgifter
för patientadministration och sådan ekonomiadministration som
föranleds av vård i enskilda fall författningsregleras.
Regeringens bedömning: Någon författningsreglering görs inte av
automatiserad behandling av personuppgifter för annan administration
på verksamhetsområdet än patientadministration och
ekonomiadministration som föranleds av vård i enskilda fall.
Automatiserad behandling av personuppgifter för dessa ändamål faller
in under den allmänna regleringen i förslaget till personuppgiftslag.
Detsamma gäller automatiserad behandling av personuppgifter på
lokal och regional nivå för framställning av statistik, uppföljning,
utvärdering och kvalitetssäkring samt forskning.
Hälsodatakommitténs förslag: Överensstämmer med regeringens.
Remissinstanserna: Flertalet remissinstanser, t.ex. Socialstyrelsen,
Lunds universitet och Östergötlands läns landsting tillstyrker förslaget.
Datainspektionen anför att det är viktigt att gränserna för lagens
tillämpning görs tydliga. Medicinska forskningsrådet finner att det är
befogat, men möjligen svårt att upprätthålla, att särskilja register som
inrättas t.ex. för utvärdering. Socialvetenskapliga forskningsrådet
tillstyrker förslaget angående reglering av forskningsregister. Umeå
kommun anser att de tekniska lösningarna och handhavandet borde ha
diskuterats av kommittén. Kommunen anser att dessa aspekter inte kan
separeras från principdiskussioner om registrens existens. Svenska
Kommunförbundet m.fl. understryker vikten av att lagar ändras så att
kommunerna får föra gemensam dokumentation för verksamheter som
bedrivs enligt socialtjänstlagen, lagen om stöd och service för
funktionshindrade samt hälso- och sjukvårdslagen i de fall
verksamheterna är integrerade. Sveriges Läkarförbund avvisar
systemlösningar som innebär central styrning eller central tillgång till
register med journalinformation.
Skälen för regeringens förslag
Verksamheten inom vården avviker från vad som kan kallas traditionell
myndighetsverksamhet. De legala verksamhetsbeskrivningarna är
oprecisa och utmärkande för IT-användningen inom vården är att IT
används för att effektivisera, underlätta och förbättra det praktiska
vårdarbetet och administrationen av detta. Vårdgivarna har också haft
stor individuell frihet att ange behovet av register för den egna
verksamheten samt utformningen av de register som finns.
Det är inte realistiskt att i detalj författningsreglera varje
förekommande registerändamål eller kombination av sådana ändamål.
Utgångspunkten är i stället att skapa en generell reglering av IT-
användningen i vårdarbetet som täcker in den behandling som är
nödvändig.
Patientjournaler
Grundläggande bestämmelser om vad en patientjournal skall innehålla
finns i patientjournallagen (1985:562) och i Socialstyrelsens föreskrifter
och allmänna råd (SOSFS 1993:20). Vidare återfinns bestämmelser i bl.a.
smittskyddslagen (1988:1472) och förordningen (1991:1472) om
psykiatrisk tvångsvård. De samlade regleringen innebär att i
patientjournalen återfinns alltifrån bagatellartade uppgifter till uppgifter
av mycket känslig natur där den enskildes uppfattning om vilka uppgifter
som är ömtåliga kan variera kraftigt från person till person. Den enskilde
kan inte påverka innehållet i dokumentationen på annat sätt än att genom
att avstå från att lämna vissa upplysningar. Även om han eller hon
teoretiskt har denna möjlighet, är det knappast något som man tänker på
vid samtal med en läkare eller annan företrädare för sjukvårdspersonalen
i samband med att man söker hjälp för sina besvär. Det är väl snarare så
att den enskilde i denna situation är angelägen om att lämna alla de
upplysningar som kan tänkas vara av intresse. Relationen mellan
patienten och sjukvårdspersonalen är sådan att den måste bygga på
förtroende och sjukvårdspersonalens tystnadsplikt är välkänd bland
allmänheten. Även om patienten skulle vara tveksam till att uppgifter om
honom eller henne skulle registreras finner han eller hon sig i det
eftersom han knappast kan tacka nej till den vård som erbjuds.
Patientjournalen utgör den uppgiftssamling som innehåller den största
mängden integritetskänsliga uppgifter om patienten. Regeringen har i
avsnitt 9 anfört att behandling av personuppgifter på automatiserad väg
skall regleras i lag. De skäl vi där redovisat samt vad som ovan anförts
talar för att datoriserad patientjournalföring skall lagregleras.
Andra anteckningar än patientjournaler
Med patientjournal avses enligt 2 § patientjournallagen de anteckningar
som görs och de handlingar som upprättas eller inkommer i samband
med vården och som innehåller uppgifter om patientens hälsotillstånd
eller andra personliga förhållanden och om vårdåtgärder.
Vid medicinska serviceenheter förekommer dokumentation t.ex. i
samband med analyser av prover. Alla de uppgifter som dokumenteras
framgår inte alltid av det svar som lämnas till den som har beställt
analysen. Den dokumentation som sker vid medicinska serviceenheter
anses inte utgöra patientjournaler. Det är i stället de analyssvar och
utlåtanden som tillställs den som har beställt analysen eller
undersökningen som blir journalhandlingar, förutsatt att denne bedömer
att svaren skall fogas till patientjournalen.
Skyldighet att föra patientjournal åligger inte heller alla
befattningshavare inom hälso- och sjukvården. Emellertid förekommer
att vårdåtgärder dokumenteras även av sådan personal som inte omfattas
av journalföringsskyldigheten. Exempelvis för undersköterskor och
skötare anteckningar antingen direkt i patientjournalen eller på särskilda
formulär som ibland biläggs patientjournalen, ibland förvaras separat.
Vidare förekommer särskilda ambulansjournaler där dokumentation görs
av ambulanssjukvårdare.
Även sådan dokumentation som sker vid medicinska serviceenheter
och sådan dokumentation som sker av personal som inte åläggs en
journalföringsskyldighet i patientjournallagen kan innehålla
integritetskänsliga uppgifter. De dokumenterade uppgifterna kan liksom
uppgifter i patientjournaler användas även för andra ändamål. Behandling
av dokumentation av detta slag bör oberoende av dess formella status
omfattas av samma lagreglering som behandling för patientjournalföring
Patientadministration
Åtskilliga åtgärder som har samband med patientadministration
dokumenteras i patientjournalen. Patientadministration och
patientjournalföring är dock inga synonyma begrepp. Omfattningen och
arten av de patientadministrativa uppgifter som dokumenteras i journalen
torde variera från fall till fall, inte minst beroende på den enskilde
vårdgivarens tolkning av vilka uppgifter som är relevanta för vården.
Vidare förekommer patientadministration som inte har samband med
patientjournalföringen, såsom exempelvis väntelistor och fristående
sammanställningar av patientens tidigare kontakter med vården.
Även sådana patientadministrativa personregister som är fristående i
förhållande till journalföringen kan innehålla integritetskänsliga
uppgifter. De registrerade uppgifterna används liksom journaluppgifter
även för andra ändamål än vården av den enskilde patienten. Med hänsyn
härtill och till utvecklingen inom vården, att patientadministration och
patientjournalföring i praktiken integreras i gemensamma register, bör
behandling av personuppgifter för patientadministration omfattas av
samma författningsreglering som behandling av personuppgifter för
patientjournalföring.
Ekonomiadministration i anledning av enskilda vårdfall
Beträffande den administrativa verksamhet som avser ekonomisk
förvaltning kan såvitt nu är av intresse två områden urskiljas. Det ena
avser ekonomiadministrativ verksamhet som följer i anledning av
enskilda vårdfall. Det andra avser mer övergripande administration av
ekonomisk natur, t.ex. betalning av löner och leverantörsfakturor.
Den ekonomiadministrativa verksamhet som följer i anledning av
enskilda vårdfall har två sidor. Den ena sidan berör förhållandet mellan
vårdgivaren och patienten, såsom exempelvis betalning av patientavgifter
och kundreskontrafunktioner. Den andra sidan berör förhållandet mellan
enheter hos en vårdgivare och förhållandet mellan olika vårdgivare. I
denna del innefattas t.ex. interndebitering och fakturering.
Den patientrelaterade ekonomiadministrationen är intimt förknippad
med de faktiska vårdfall som den avser och uppgifter om patienter får i
viss omfattning användas i samband härmed. Vidare är det mycket
vanligt att befintliga personregister har patientrelaterad
ekonomiadministration som ett deländamål vid sidan av
patientjournalföring och patientadministration. Mot den nu redovisade
bakgrunden anser regeringen att även behandling av personuppgifter som
har ekonomiadministration föranledd av vård i enskilda fall som ett
deländamål vid sidan av patientjournalföring eller patientadministration,
bör lagregleras och därvid omfattas av samma lagreglering som
behandling av personuppgifter för journalföring.
Vad gäller behandling av personuppgifter som inte har
patientjournalföring eller patientadministration som ett deländamål vid
sidan av patientrelaterad ekonomiadministration torde dessa många
gånger inte innehålla medicinska eller andra särskilt känsliga
personuppgifter något större behov av lagreglering kan knappast sägas
föreligga. Emellertid vinner lagregleringen i tydlighet och konsekvens
om registerlagen även omfattar sådana renodlat ekonomiadministrativa
personregister som enbart tar sikte på vård i enskilda fall. Härigenom
undviker man gränsdragningsproblem när det gäller att bedöma om en
uppgift avser patientadministration eller patientrelaterad
ekonomiadministration.
Framställning av statistik samt administration på verksamhetsområdet
För att sjukvårdshuvudmännen skall kunna fullgöra sina uppgifter inom
den övergripande verksamhetsplaneringen, t.ex. planering av antalet
vårdplatser och fördelning av anslag, krävs tillgång till
verksamhetsstatistik och kunskap om förhållandena i det praktiska
vårdarbetet. Administration av detta slag är en nödvändig och integrerad
del av vården och uppgifter om patienter får också i viss omfattning
användas för dessa ändamål.
Kraven på dels ett starkt integritetsskydd, dels en rationell förvaltning
av verksamheten medför en intressekonflikt. Utgångspunkten för
vårdarbetet och huvudregeln vad avser integritetsskyddet inom vården är
att uppgifter om medicinska förhållanden skall spridas i absolut minsta
möjliga mån. Företrädare för sjukvårdshuvudmän har uppgett till
hälsodatakommittén att integritetsskyddet upplevs som hämmande i
arbetet med att utveckla och effektivisera vården.
Sjukvårdshuvudmännens behov av tillgång till uppgifter från det
praktiska vårdarbetet synes variera bl.a. mot bakgrund av vilken
organisatorisk modell man valt och andra lokala förhållanden.
Regeringen har inte sett det som en framkomlig väg att uttömmande
författningsreglera behandlingen av personuppgifter för administrativa
ändamål. Vad gäller möjligheterna att använda personregister som
inrättats och förs för patientjournalföring, patientadministration eller
sådan ekonomiadministration i enskilda fall för framställning av statistik
och administration på verksamhetsområdet hänvisas till avsnitt 11.3
rörande registerändamål för vårdregister.
Med hänvisning till det anförda föreslår regeringen inte någon
författningsreglering av den behandling av personuppgifter som sker
särskilt för statistik och administration på verksamhetsområdet.
Uppföljning, utvärdering och kvalitetssäkring
Ett stort antal av de personregister som förs inom hälso- och sjukvården
avser uppföljning, utvärdering och kvalitetssäkring.
Med uppföljning avses att fortlöpande och regelbundet mäta och
beskriva sina behov, verksamheter och resursåtgången angivet i termer
av t.ex. behovstäckning, produktivitet och nyckeltal. Uppföljningen
tjänar till att ge en översiktlig bild av verksamhetens utveckling och att
tjäna som en signal för avvikelser som bör beaktas.
Med utvärdering avses analys och värdering av kvalitet, effektivitet
och resultat av en verksamhet i förhållande till de mål som bestäms för
denna.
Med kvalitetssäkring avses såväl att mäta och värdera kvaliteten som
olika åtgärder för att vid behov förbättra kvaliteten (jfr 31 § hälso- och
sjukvårdslagen och 16 § tandvårdslagen) .
Även uppföljning, utvärdering och kvalitetssäkring kräver tillgång till
uppgifter från det individinriktade vårdarbetet. Behandling av
personuppgifter som sker särskilt för uppföljning, utvärdering eller
kvalitetssäkring avser dock mera strikt avgränsade ändamål än vad
patientjournallagen gör. Uppgifter som behandlas för dessa ändamål
torde dessutom regelmässigt inte komma att spridas från registren i
identifierbart skick och bedömningen av vilka uppgifter som behöver
behandlas kan antas variera från fall till fall. Någon författningsreglering
föreslås därför inte.
Vad gäller möjligheterna att använda vårdregister vars ändamål är
patientjournalföring, patientadministration eller sådan
ekonomiadministration i enskilda fall för framställning av statistik och
administration på verksamhetsområdet hänvisas till avsnitt 11.3 rörande
registerändamål för vårdregister.
Forskning
Ett stort antal av de personregister för vilka någon sjukvårdshuvudman är
personuppgiftsansvarig avser forskning. Vad avser personregister för
forskningsändamål krävs enligt datalagen Datainspektionens tillstånd för
inrättande och förande, varvid det vanligtvis föreskrivs att registrering
inte får ske utan den enskildes samtycke. Erfarenheterna av denna
reglering är såvitt kunnat utrönas goda.
Regeringens förslag till vårdregisterlag innebär att den
personuppgiftsansvarige oavsett den registrerades inställning skall få
använda ett vårdregister för de ändamål som anges i lagen. Denna princip
anser regeringen däremot inte bör gälla om den som är
personuppgiftsansvarig för ett vårdregister önskar använda registret för
forskning.
11.2 De vårdformer som omfattas
Regeringens förslag: Lagen om vårdregister skall gälla för
automatiserad behandling av personuppgifter inom vård enligt hälso-
och sjukvårdslagen (1982:763), vård enligt lagen (1991:1128) om
psykiatrisk tvångsvård, vård enligt lagen (1991:1129) om
rättspsykiatrisk vård, tandvård enligt tandvårdslagen (1985:125) samt
smittskydd enligt smittskyddslagen (1988:1472). Även automatiserad
behandling av personuppgifter inom privat vård skall omfattas av
lagen.
Hälsodatakommitténs förslag: Överensstämmer i sak med
regeringens.
Remissinstanserna: Linköpings kommun anser att det är viktigt att slå
fast vem som anses bedriva vården i ett beställar – utförarsystem
eftersom patientjournaler som lagras hos utföraren kan vara
svåråtkomliga vid ett byte av utförare. Socialstyrelsen anser att gränsen
mellan vård enligt hälso- och sjukvårdslagen och
kvacksalveriverksamhet är oklar och måste lösas.
Skälen för regeringens förslag
Avgränsningen av den behandling av personuppgifter inom vården som
bör författningsregleras kräver utöver vad som i föregående avsnitt
anförts även en precisering av vad som enligt vårdregisterlagen skall
avses med vård.
Vårdbegreppet
Begrepp som hälso- och sjukvård och vård- och behandlingsändamål har
tidigare använts i lagstiftningen. Lagstiftaren har dock inte varit
konsekvent när det gäller att definiera dessa begrepp. Definitioner av de
olika begreppen förekommer bl.a. i hälso- och sjukvårdslagen
(1982:763), lagen (1991:1128) om psykiatrisk tvångsvård och
smittskyddslagen (1988:1472).
Den viktigaste regleringen på området återfinns i hälso- och
sjukvårdslagen. Med hälso- och sjukvård aves enligt hälso- och
sjukvårdslagen åtgärder för att medicinskt förebygga, utreda och
behandla sjukdomar och skador samt sjuktransporter och
omhändertagande av avlidna. Begreppet omfattar således såväl
sjukdomsförebyggande åtgärder som egentlig sjukvård. Det är vidare
fråga om både miljö- och individinriktade åtgärder.
I patientjournallagen stadgas att patientjournal skall föras vid vård av
patienter inom hälso- och sjukvården och att med vård avses även
undersökning och behandling. Någon definition av begreppet vård
lämnas dock inte i lagen. Vårdbegreppet torde omfatta hälso- och
sjukvårdslagens definition med det tillägget att även tandvård omfattas.
I sekretesslagen återfinns ytterligare en variant av vårdbegreppet.
Enligt 7 kap. 1 § gäller sekretess inom hälso- och sjukvården och annan
medicinsk verksamhet. Begreppet hälso- och sjukvård enligt detta lagrum
innefattar även tandvård. Som exempel på annan medicinsk verksamhet
anges i lagen rättsmedicinsk och rättspsykiatrisk undersökning,
insemination m.m. Till sådan verksamhet räknas dessutom bl.a.
transplantation samt verksamheten vid Smittskyddsinstitutet.
En möjlighet kan vara att anknyta registerlagens tillämplighet till
bestämmelserna om förande av patientjournal. Fördelen med att
bestämma tillämpningsområdet på detta sätt skulle vara att all
patientjournalföring skulle komma att omfattas oavsett inom vilken
verksamhet på vårdområdet journalföringen sker. Emellertid skulle denna
metod även innebära nackdelar. Som tidigare nämnts är det vanligt att
patientjournalföring och patientadministration integreras i system som är
gemensamma för dessa ändamål. Även om åtskilliga
patientadministrativa åtgärder skall dokumenteras i patientjournalen är
dessa begrepp inte synonyma. Dessutom förekommer det att
anteckningar görs av personalkategorier som inte omfattas av
skyldigheten enligt patientjournallagen att föra patientjournal. Det är
oklart om sådana anteckningar i formell mening utgör en patientjournal.
Vid nu angivna förhållanden synes det uppkomma risk för oklarheter i
fråga om registerlagens tillämpningsområde om man väljer att anknyta
till patientjournalbegreppet.
Regleringen vinner i tydlighet om lagens tillämplighet bestäms genom
en hänvisning till de lagar som reglerar vårdarbetet inom de
verksamhetsområden som omfattas av registerlagen.
Tillämpningsområdet bör bestämmas på så sätt att all
patientjournalföring – oavsett om den grundar sig på patientjournallagen
eller annan författning – omfattas av registerlagen. Vårdbegreppet enligt
denna lag skall därför avse vård enligt hälso- och sjukvårdslagen,
psykiatrisk vård, rättspsykiatrisk vård, tandvård samt smittskydd enligt
smittskyddslagen.
Frågan som väckts av Linköpings kommun om vem som anses bedriva
vården och är skyldig att föra patientjournal påverkas inte av denna
lagstiftning utan löses genom tillämpning av bestämmelser i annan
författning.
Privat vård
Skäl kan anföras för att inte författningsreglera den behandling av
personuppgifter som förekommer inom den privat bedrivna hälso- och
sjukvården. Ett sådant skäl är att dessa privata register inte omfattas av
grundlagsreglerna om allmänna handlingars offentlighet. Vidare torde
spridningen av uppgifter till andra personer än sådana som är engagerade
i vården och behandlingen av patienten i flertalet fall kunna antas vara
mindre inom privat bedriven vård.
En viktig omständighet som talar för att behandla privat och offentligt
bedriven hälso- och sjukvård på samma sätt är att patientens intresse av
integritet torde vara detsamma oavsett om man erhåller offentlig eller
privat vård. Vidare skall beaktas att genom sekretesslagens regler för
utlämnande av allmänna handlingar är integritetsskyddet mycket starkt
även inom den offentliga vården. Man bör också beakta att utvecklingen
inom den privata sektorn går mot större vårdgivare, såsom t.ex.
Praktikertjänst AB.
Sammantaget och främst mot bakgrund av den enskildes intresse av
integritetsskydd oavsett om han eller hon bereds offentlig eller privat
vård, framstår det som omotiverat att inte även den privat bedrivna
vården skall omfattas av lagen om vårdregister.
Gränsdragning mot kvacksalveri
Avsikten är inte att författningsregleringen skall omfatta behandling av
personuppgifter som sker inom verksamhet som avses i lagen (1960:409)
om förbud i vissa fall mot verksamhet på hälso- och sjukvårdens område
(kvacksalverilagen).
Begreppet hälso- och sjukvårdspersonal definieras i 1 § lagen
(1994:953) om åligganden för personal inom hälso- och sjukvården.
Personer som inte omfattas av uppräkningen i den nämnda paragrafen får
inte med stöd av vårdregisterlagen behandla personuppgifter.
Kvacksalverilagen är för närvarande föremål för översyn och
regeringen avser att under våren 1998 lägga fram förslag om lag om
yrkesverksamhet inom hälso- och sjukvårdens område varvid de
otydligheter som Socialstyrelsen pekat på bör komma att undanröjas.
11.3 Ändamål
Regeringens förslag: Personuppgifter i ett vårdregister får behandlas
i och för vården av patienter. Detta innebär att registret skall användas
för dokumentation av vården eller för sådan administration som rör
patienter och som syftar till att bereda vård i enskilda fall. Uppgifter i
vårdregister får även behandla personuppgifter för den
ekonomiadministration som föranleds av vård i enskilda fall.
Behandling får utföras för ett eller flera av dessa ändamål.
Uppgifter som finns i ett vårdregister får dessutom behandlas för
framställning av statistik, för uppföljning, utvärdering och
kvalitetssäkring, för administration på verksamhetsområdet samt för
uppgiftslämnande som föreskrivs i lag eller förordning.
Hälsodatakommitténs förslag: Överensstämmer med regeringens.
Remissinstanserna: Datainspektionen anser att det är oklart vilka
slags register som omfattas av registerändamålet. Riksförsäkringsverket
anser att det är oklart om även ekonomiadministration som föranleds av
vård i enskilda fall och som utförs utanför hälso- och sjukvården
omfattas. Socialstyrelsen anser att frågan om behovet av en bestämmelse
som med patient jämställer den som t.ex. frivilligt donerar organ för
transplantation eller annat medicinskt ändamål och den som frivilligt
deltar som försöksperson i medicinsk forskning bör övervägas. Styrelsen
anser vidare att åtgärder med stöd av smittskyddslagen (1988:1472),
vilka inte avser vård av enskilda patienter och som inte torde omfattas av
det föreslagna ändamålet, bör uppmärksammas. Styrelsen anser dessutom
att möjligheten att för tillsynsändamål bearbeta vårdregister bör
lagregleras. Karolinska institutet anser det vara mest praktiskt att data
som förekommer i vården får användas för alla de verksamheter som kan
förekomma hos vårdgivaren. Institutet anser därför att databearbetning
enligt vårdregisterlagen bör få omfatta alla sådana ändamål. Umeå
kommun finner det angeläget att det inte inrättas en generell möjlighet
till förande av lokala vårdregister. Även om det blir den enskilda
vårdgivaren som beslutar om vårdregistrets existens anser kommunen att
det skall föreligga anmälningsskyldighet till Datainspektionen.
Skälen för regeringens förslag: Bestämningen av ändamålet för ett
vårdregister är av central betydelse ur integritetssynpunkt. Härigenom
ges den allmänna ramen för registrets användning eftersom uppgifter i
registret endast får behandlas i överensstämmelse med ändamålet. Vidare
ger ändamålsbestämmelsen ramen för vilka uppgifter som får ingå,
skyldigheten för den personuppgiftsansvarige att övervaka behandlingen
av uppgifter m.m. Regeringens förslag beträffande registerändamål blir
till stor del en direkt följd av regeringens förslag om vilka personregister
som bör författningsregleras.
Som framgår av avsnitten 11.1 och 11.2 anser regeringen att det är
registeranvändningen i den individinriktade verksamheten inom vården
som bör författningsregleras. Detta innebär att vårdregisterlagen bör
omfatta all registrering av vårddokumentation i enskilda fall och detta
oavsett om dokumentationen formellt sett utgör en patientjournal enligt
patientjournallagen eller inte. Regeringen anser dessutom att behov av
personuppgifter som utförs för patientadministration skall omfattas av
regleringen. Någon allmänt vedertagen definition av begreppet
patientadministration finns inte. Det finns heller inte någon klart
identifierbar gräns mellan vad som är patientadministration och vad som
är patientjournalföring. Mot den nu redovisade bakgrunden skall som ett
registerändamål anges att uppgifter i ett vårdregister får behandlas i och
för vården av patienter, varmed avses att registret används för
dokumentation av vården eller för sådan administration som avser
patienter och som syftar till att bereda vård i enskilda fall.
Regeringen anser även att behandling som utförs för
ekonomiadministration som föranleds av vård i enskilda fall skall
författningsregleras och omfattas av samma reglering som datoriserad
patientjournalföring och patientadministration.
Behandling av uppgifter i ett vårdregister skall således få utföras för ett
eller flera av dessa ändamål. Personregister som har ett registerändamål
som helt eller delvis faller utanför lagens ändamålsbestämmelse och som
således inte omfattas av lagen får regleras av personuppgiftslagen och
tillsynsmyndigheten.
Utöver den patientrelaterade administration som avses ovan föranleder
vårdverksamheten administration av annat och mer övergripande slag.
Sådan administration kräver ibland tillgång till individuella uppgifter
som härrör från den individinriktade vårdverksamheten, ibland tillgång
till statistik som härrör därifrån. Vårdgivaren har även ett ansvar för
uppföljning, utvärdering och kvalitetssäkring (Jfr. 31 § hälso- och
sjukvårdslagen och 16 § tandvårdslagen). Även dessa verksamheter
kräver tillgång till uppgifter från den individinriktade vårdverksamheten.
Mot bakgrund härav bör uppgifter som finns i ett vårdregister få
användas för nu angivna ändamål.
Tillsynsverksamheten på hälso- och sjukvårdens område utövas i
princip av Socialstyrelsen. Styrelsen har för sitt arbete rätt att företa
inspektioner samt att begära att personal inom hälso- och sjukvården
lämnar ut handlingar, prover och annat material som rör verksamheten.
Med hänsyn till detta skall i vårdregisterlagen anges att den som är
ansvarig för ett vårdregister får använda det för uppgiftslämnande som
föreskrivs i lag eller förordning. Socialstyrelsen har i sitt remissyttrande
förespråkat en lagreglering av styrelsens rätt att bearbeta de
personregister som tillsynen avser. Enligt regeringens mening bör frågan
om tillsynsmyndigheter generellt bör få rätt att få bearbeta ett
omhändertaget personregister övervägas i annat sammanhang.
11.4 Innehåll
Regeringens förslag: Ett vårdregister får innehålla de uppgifter som
enligt lag eller förordning eller enligt föreskrifter som meddelas med
stöd av lag eller förordning antecknas i en patientjournal. Det får
dessutom innehålla andra uppgifter som antecknas i och för vården av
patienter samt uppgifter som behövs för den ekonomiadministration
som föranleds av vård i enskilda fall.
Hälsodatakommitténs förslag: Överensstämmer med regeringens.
Remissinstanserna: Jönköpings kommun ifrågasätter att, enligt
kommunens mening, mycket vaga registerprinciper anges. Sveriges
läkarförbund anser att administrativa informationssystem inom hälso-
och sjukvården skall skiljas från system för vård och behandling.
Skälen för regeringens förslag: Det är från integritetssynpunkt
väsentligt att ett register inte innehåller andra personuppgifter än vad som
är nödvändigt för att registret skall kunna användas för sitt ändamål.
Genom en bestämmelse om innehållet ges ramarna för vilka uppgifter
som får behandlas. Andra personuppgifter än vad som omfattas av denna
bestämmelse får inte samlas in och registreras. En reglering av innehållet
har därför stor betydelse för skyddet av den personliga integriteten.
Patientjournalen utgör den mest centrala patientdokumentationen.
Termen patientjournal utgör dock inget exakt begrepp såtillvida att man
generellt kan ange dess konkreta innehåll. Inte heller patientjournallagen
innehåller någon detaljreglering av vad som skall journalföras. Lagen ger
i stället minimiregler om vad patientjournalen skall innehålla. Det finns
vidare andra regler och föreskrifter som påverkar journalens innehåll.
Patientjournalens innehåll kan således variera betydligt från fall till fall
och variationsmöjligheterna synes oändliga.
Mot den nu redovisade bakgrunden är det inte möjligt att detaljerat
precisera patientjournalens innehåll. Vårdregisterlagens bestämmelse om
registerinnehåll måste utformas på sådant sätt att patientjournalföringen
kan ske i enlighet med de bestämmelser som reglerar vad som skall
antecknas i en patientjournal. Behandling skall därför få ske av de
uppgifter som enligt lag eller förordning eller enligt föreskrifter som
meddelats med stöd av lag eller förordning skall antecknas i en
patientjournal.
Som tidigare anförts anser regeringen att ett vårdregister skall få
användas för all dokumentation i och för vården av patienter, dvs. även
om dokumentationen formellt sett inte utgör patientjournal. Inte heller
beträffande sådan dokumentation samt patientadministration som inte
sammanfaller med patientjournalföringen kan det förutses exakt vilka
uppgifter som behöver behandlas. Under dessa förutsättningar riskerar en
precisering av registerinnehållet att begränsa IT-användningen på ett inte
avsett sätt utan att ge någon nämnvärd vinst i integritetshänseende.
Registerinnehållet bör därför i denna del regleras på så sätt att ett
vårdregister får innehålla de uppgifter som antecknas i och för vården av
patienter.
Den ekonomiadministration som föranleds av vård i enskilda fall är
nödvändig och intimt förknippad med de faktiska vårdfall den avser.
Även i fråga om ekonomiadministration av detta slag bedömer
regeringen att en precisering av registerinnehållet kan få en hämmande
inverkan på effektiviteten utan att ge någon direkt vinst i
integritetshänseende. Skyddet för patientens integritet kan även i denna
del tillgodoses genom en allmänt hållen bestämmelse som anknyter till
ändamålet.
En förväxling av patienter kan få mycket allvarliga konsekvenser. Det
är därför av mycket stor vikt att patientens identitet säkerställs på sådant
sätt att det inte föreligger någon tvekan om vilken patient en uppgift
avser. Mot denna bakgrund måste registrering av personnummer tillåtas i
vårdregistren.
11.5 Samkörning
Regeringens förslag: Uppgifter om en patient som behövs för vården
av denne samt uppgifter som behövs för den ekonomiadministration
som föranleds av den aktuella vården skall få inhämtas till ett
vårdregister från andra sådana register genom samkörning. Dessutom
får uppgifter om patientens folkbokföringsförhållanden genom
samkörning hämtas till ett vårdregister från andra personregister än
vårdregister.
Hälsodatakommitténs förslag: Överensstämmer med regeringens.
Remissinstanserna: Övervägande delen av remissinstanserna,
däribland Örebro läns landsting, välkomnar att möjligheterna till
samkörning regleras genom lag. Landstinget i Östergötland vill betona
respekten för den enskilde patienten och hans/hennes integritet.
Landstinget anser att om uppgifterna skall användas för forskning eller
samkörning för något annat ändamål så skall uppgifterna om den
enskilde vara helt avidentifierade. Malmöhus läns landsting förutsätter
att man från centralt håll med uppmärksamhet kommer att följa
eventuella samkörningar av register. Landstinget anser att sådana inte får
ske slentrianmässigt utan att de måste vara påkallade av ett reellt behov.
Riksförbundet för Social och Mental Hälsa anser att höga krav måste
ställas på regelverket, bl.a. informerat samtycke, för att godta
samkörning.
Skälen för regeringens förslag: Bearbetning av uppgifter från olika
personregister kan bidra till att göra verksamheten säker och effektiv.
Samtidigt kan sådan behandling innebära risker ur integritetssynpunkt.
Så kan t.ex. samkörning minska den enskildes möjlighet att överblicka
hur uppgifter som han eller hon lämnat om sig själv används.
Samkörning kan också innebära att uppgifter används i andra
sammanhang än de egentligen är avsedda för, och det kan finnas risk för
att uppgifterna blir missvisande i sitt nya sammanhang.
För att möjliggöra ett rationellt inhämtande av uppgifter bör en
generell möjlighet till samkörning lämnas i lagen i sådana fall där en
sådan är till nytta för patienten eller vårdgivaren. Härigenom möjliggörs
t.ex. att analysresultat från laboratorer, remissvar och uppgifter som finns
i annan journal och som är relevanta för det aktuella vårdtillfället
inhämtas till ett vårdregister från ett annat genom samkörning. I samband
härmed får även uppgifter för den ekonomiadministration som eventuellt
uppkommer i anledning av den aktuella vården inhämtas genom
samkörning.
Den samkörning som nu föreslås innebär inte någon frihet för en
vårdgivare att okontrollerat öka mängden uppgifter om patienten. Det är i
stället enbart fråga om att med viss teknik få inhämta de uppgifter som
under alla förhållanden skall tillställas vårdgivaren. Möjligheterna till
samkörning innebär inte att utlämnandet av uppgifter får ske utan att
föregås av sedvanlig prövning av vilka uppgifter som kan lämnas ut. I
samband med utlämnandet skyddas patientens integritet av bl.a.
bestämmelserna i sekretesslagen och åliggandelagen.
Det ligger i såväl patientens som vårdgivarens intresse att vårdgivaren
har aktuella adressuppgifter om patienten. Uppdatering av
adressuppgifter sker i dag ofta genom det statliga person- och
adressregistret SPAR. Det förekommer dock att landstingen för egna
befolkningsregister som används på motsvarande sätt. För att undvika
den tänkbara situationen att tillstånd skall komma att krävas för
samkörning av ett vårdregister med ett sådant befolkningsregister
föreslår regeringen att sådan samkörning skall tillåtas genom en
bestämmelse i lagen om vårdregister.
11.6 Sökbegrepp
Regeringens förslag: Som sökbegrepp får inte användas
personuppgifter som avses i 13 eller 21 § förslaget till
personuppgiftslag (1998:000). Inte heller får uppgifter om att någon
fått ekonomisk hjälp eller vård inom socialtjänsten eller varit föremål
för åtgärd enligt utlänningslagen (1989:529) användas som
sökbegrepp.
Dock får uppgift om sjukdom och hälsotillstånd samt att någon varit
föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk
tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård användas
som sökbegrepp.
Hälsodatakommitténs förslag: Överensstämmer i huvudsak med
regeringens. Komitténs förslag innehöll dock en hänvisning till begrepp i
4 § datalagen (1973:289).
Remissinstanserna: Svenska Kommunförbundet instämmer helt i
förslaget. Socialstyrelsen anser att det i bland kan vara nödvändigt att
sökning får ske även på vissa begrepp som nu föreslås uteslutna.
Upplands Väsby kommun anser att det bör vara möjligt att söka även på
de begrepp som används inom omvårdnads- och äldrenämndens
verksamhet. Jönköpings kommun anser att det är svårförståeligt att
åtkomsten till registersökning avseende vissa känsliga sjukdomar såsom
AIDS, könssjukdomar och psykiatriska diagnoser inte begränsats på ett
mycket starkt sätt.
Skälen för regeringens förslag: Mot bakgrund av de krav som ställs
på en patientjournals innehåll kommer vårdregistren att innehålla en stor
mängd uppgifter som är mycket känsliga ur integritetssynpunkt. Genom
sökningar på vissa uppgifter – sökbegrepp – som finns i ett
personregister kan olika urval och sammanställningar av information
göras. Användningen av olika uppgifter som sökbegrepp kan ge
oönskade och oförutsedda följder. Redan sammanställningar av flera var
för sig tillsynes harmlösa uppgifter kan framstå som
integritetskränkande. Än mer integritetskränkande framstår
sammanställningen om den dessutom innehåller känsliga uppgifter.
Sammanställningen kan upplevas som obehaglig för den enskilde även
om den omfattas av sekretess.
En myndighet är enligt tryckfrihetsförordningen i princip skyldig att
använda alla uppgifter som sökbegrepp för att ta fram den information
som någon begär att få ta del av. Ett utlämnande skall dock alltid föregås
av en sekretessprövning.
En myndighets befogenhet att göra upptagningar tillgängliga för egen
räkning kan dock begränsas genom lag, förordning eller särskilt beslut
som grundar sig på lag. Detta gäller oberoende om uppgifterna omfattas
av sekretess eller ej. En sådan föreskrift innebär enligt 2 kap. 3 §
tryckfrihetsförordningen att upptagningen i fråga inte är allmän handling.
I 4 § datalagen anges en mängd uppgifter som lagstiftaren ansåg vara
av särskilt känslig natur. Det är här fråga om uppgifter som t.ex. att
någon blivit dömd för brott, har erhållit ekonomisk hjälp eller vård inom
socialtjänsten. Vidare omfattas uppgifter om någons sjukdom,
hälsotillstånd, sexualliv, ras eller politiska uppfattning.
Motsvarande reglering återfinns i 13 och 21 §§ förslaget till
personuppgiftslag som i princip omfattar samma uppgifter som i
datalagen.
Det faller sig naturligt att ta denna reglering som utgångspunkt för
bedömningen av vilka uppgifter i ett vårdregister som inte skall få
användas som sökbegrepp.
En värdefull tillgång hos datoriserad journalföring är just möjligheten
att genom sökning på begrepp som beskriver sjukdom och hälsotillstånd
snabbt och effektivt finna relevanta journalanteckningar från patientens
tidigare vårdtillfällen. Fördelarna med att tillåta sökning på dessa ur
integritetssynpunkt känsliga begrepp är så stora att intresset av
begränsning av sökmöjligheterna härvid bör få vika.
Uppgifter om att patienten varit föremål för psykiatrisk tvångsvård
eller rättspsykiatrisk vård är av särskilt intresse när det gäller
användningen av ett vårdregister för andra ändamål än i och för
patientens vård såsom uppföljning, utvärdering och kvalitetssäkring av
psykiatrisk tvångsvård och rättspsykiatrisk vård.
Mot den nu redovisade bakgrunden föreslår regeringen inte något
förbud mot att uppgifter om sjukdom eller hälsotillstånd eller uppgifter
om att någon har beretts psykiatrisk tvångsvård eller rättspsykiatrisk vård
används som sökbegrepp i vårdregistren. Övriga uppgifter av de slag
som ansetts vara särskilt känsliga enligt 13 och 21 §§ förslaget till
personuppgiftslag får däremot inte användas som sökbegrepp. Därutöver
skall, i överensstämmelse med vad som gäller enligt datalagen, inte
uppgifter om att någon har fått ekonomisk hjälp eller vård inom
socialtjänsten eller varit föremål för åtgärd enligt utlänningslagen
(1989:529) få användas som sökbegrepp.
11.7 Direktåtkomst
Regeringens förslag: Direktåtkomst till uppgifter i ett vårdregister får
endast den ha som behöver tillgång till uppgifterna för att kunna
utföra sitt arbete. Vidare skall uppgifterna behövas för något av de
ändamål för vilka ett vårdregister får användas. Åtkomsten får inte
avse andra uppgifter än vad som behövs för att arbetsuppgifterna skall
kunna utföras.
Hälsodatakommitténs förslag: Överensstämmer i sak med
regeringens.
Remissinstanserna: Kammarrätten i Stockholm anser att mer
preciserade riktlinjer bör meddelas för att syftet med förslaget skall
uppnås. Kammarrätten anser vidare att det är av betydelse att
regelbundna och dokumenterade kontroller utförs för att säkerställa att
obehörig åtkomst inte förekommer. Datainspektionen anser att om den
föreslagna möjligheten till direktåtkomst läggs till grund för lagstiftning
bör sekretessregeln i 7 kap. 1 § femte stycket sekretesslagen ses över.
Riksförsäkringsverket anser att det bör klart framgå i vilken form
tillhandahållandet av uppgifterna i vårdregistret kan ges – direkt åtkomst
eller utlämnande på ADB-medium – och om detta kräver reglering i
förordningsform. Örebro läns landsting anser att hälsodatakommittén
tydligare borde ha kommenterat risken för otillbörlig åtkomst.
Jönköpings kommun anser att det finns behov av mer allmänna principer
för bl.a. registeråtkomst.
Skälen för regeringens förslag: En reglering i lag av
tillhandahållande av uppgifter avser det sätt på vilket uppgifterna får
tillhandahållas och inte frågan om uppgifterna får lämnas ut. Den som
avser att lämna ut uppgifter måste först ta ställning till om uppgifterna får
lämnas ut. Frågan om sekretess behandlas nedan i avsnitt 12.5. Om ett
utlämnande kan ske blir det aktuellt för den personuppgiftsansvarige att
med beaktande av lagens bestämmelser om direktåtkomst och om
utlämnande på medium för automatiserad behandling ta ställning till på
vilket sätt uppgifterna skall tillhandahållas.
Från integritetssynpunkt är det mycket angeläget att direktåtkomsten
till uppgifterna inte är vidare än vad som behövs med hänsyn till de
ändamål för vilka uppgifterna behandlas. Med beaktande av
bestämmelsen i 7 § patientjournallagen om s.k. inre sekretess bör
möjligheterna till direktåtkomst till uppgifter i registret begränsas på så
sätt att sådan enbart får ges den som behöver uppgifterna för att kunna
utföra sitt arbete och att åtkomsten inte får avse andra uppgifter än vad
denne behöver ha tillgång till för arbetets utförande. Som en ytterligare
begränsning bör gälla att uppgifterna skall användas för något av de
ändamål för vilka ett vårdregister får föras.
Det ankommer på den personuppgiftsansvarige att närmare utforma
nödvändiga system för behörighetskontroll m.m. Denna fråga behandlas
nedan i avsnitt 12.2.
11.8 Utlämnande av uppgifter på medium för
automatiserad behandling
Regeringens förslag: Personuppgifter från ett vårdregister får lämnas
ut på medium för automatiserad behandling om de skall användas för
de ändamål för vilka vårdregister får föras. Detsamma gäller om
uppgifterna skall användas för framställning av statistik,
administration på verksamhetsområdet, uppföljning, utvärdering eller
kvalitetssäkring eller om uppgifterna skall lämnas på grund av att
uppgiftsskyldighet följer av lag eller förordning. Slutligen skall
uppgifter få lämnas på medium för automatiserad behandling om de
skall användas för forskning.
Hälsodatakommitténs förslag: Överensstämmer i sak med
regeringens.
Remissinstanserna: Karolinska institutet anser att personuppgifter
inte bör lämnas ut med mindre än att forskaren uppvisar beslut från en
forskningsetisk kommittés prövning av forskningsprojektet. Svenska
Läkaresällskapet anser att det i förarbetena till lagen tydligt skall anges
att alla forskningsprojekt som omfattar personidentifierbara data med
centrala eller lokala sjukvårdsregister alltid skall granskas av en
forskningsetisk kommitté. Enligt Riksförsäkringsverkets mening bör det
omfattande uppgiftslämnande som idag sker från landsting och andra
vårdgivare till försäkringskassorna kunna ske från vårdregistren med
användning av IT i framtiden.
Skälen för regeringens förslag: En reglering av utlämnande på
medium för automatiserad behandling avser liksom regleringen av
direktåtkomst till uppgifterna i ett vårdregister det sätt på vilket
uppgifterna får lämnas ut och inte frågan om uppgifterna överhuvudtaget
får lämnas ut.
I författningstext och andra sammanhang används begreppet medium
för automatisk databehandling eller ADB-behandling. Även
hälsodatakommittén har använt dessa begrepp i sitt betänkande. Även
termen terminalåtkomst används synonymt med dessa begrepp på sina
ställen. Samtliga dessa termer är nu att anse som något föråldrade och
ersätts av begreppet medium för automatiserad behandling. Detta innebär
dock inte någon skillnad i sak.
Med hänsyn till intresset av integritetsskydd för den enskilde bör det
enligt regeringens mening beträffande vårdregister finnas föreskrifter
som begränsar möjligheterna att lämna ut uppgifter på medium för
automatiserad behandling.
I avsnitt 11.5 föreslås att uppgifter om en patient som behövs för
vården av denne och för den ekonomiadministration som föranleds av
den aktuella vården skall få inhämtas till ett vårdregister från andra
vårdregister genom samkörning. Motsvarande regler skall naturligen
gälla för utlämnandet från ett vårdregister. Uppgifter från ett vårdregister
skall vidare få lämnas på medium för automatiserad behandling om de
skall användas i och för vården av en patient utan att tillföras ett annat
vårdregister. Härigenom kan t.ex. recepthantering ske på sådant sätt att
uppgifter lämnas till apotek på medium för automatiserad behandling.
Sekretessen enligt 7 kap. 1 § sekretesslagen gäller inom den offentligt
bedrivna hälso- och sjukvården oavsett om uppgifterna finns i ett
vårdregister eller behandlas för framställning av statistik, administration
på verksamhetsområde, uppföljning, utvärdering eller kvalitetssäkring.
På motsvarande sätt gäller enligt tillsynslagen och åliggandelagen
tystnadsplikt inom den privata vården. Om uppgifter som finns i ett
vårdregister skall lämnas ut för att användas för något av dessa ändamål
bör uppgifterna få lämnas på medium för automatiserad behandling.
För uppgifter vilka lämnas till en myndighet som bedriver särskild
verksamhet som avser framställning av statistik gäller i princip absolut
sekretess enligt 9 kap. 4 § sekretesslagen. Vidare om en myndighet i sin
forskningsverksamhet från annan myndighet erhåller uppgift som är
sekretessbelagd där, gäller enligt 13 kap. 3 och 6 §§ sekretesslagen
sekretessen också hos den mottagande myndigheten, såvida inte sekretess
till skydd för samma intresse gäller hos mottagaren. Om utlämnande
slutligen sker till en enskild forskare, kan det enligt 14 kap. 9 §
sekretesslagen i förbehåll anges i vilken utsträckning och på vad sätt
uppgifterna får användas. Med hänsyn till dessa regler om sekretess bör
uppgifter få lämnas ut på medium för automatiserad behandling även då
uppgifterna skall användas för forskning eller framställning av statistik
eller för administration på verksamhetsområdet.
Vad särskilt gäller forskning är det viktigt att, som Karolinska
Institutet och Svenska Läkarsällskapet anför, begränsa utlämnandet av
uppgifter på medium för automatiserad behandling till forskningsprojekt
av viss kvalitet. Det ankommer därvid på den personuppgiftsansvarige
att göra denna prövning. Vid prövningen innebär enligt 19 § förslaget till
personuppgiftslag ett godkännande av behandlingen från en
forskningsetisk kommitté att förutsättningar föreligger för att lämna ut
uppgifterna.
11.9 Bevarande och gallring
Regeringens förslag: Något behov av bestämmelser i fråga om
bevarande och gallring som avviker från regleringen härav i andra
författningar finns inte. Detta innebär att gallring skall ske med
beaktande av regler i förslaget till personuppgiftslag (1998:000) och
patientjournallagen (1985:562). En bestämmelse härom skall tas in i
lagen.
Hälsodatakommitténs förslag: Kommitténs förslag innehöll en
hänvisning till datalagens (1973:289), patientjournallagens och
arkivlagens(1990:782) regler om gallring.
Remissinstanserna: Riksarkivet, Farmaceutiska fakulteten vid
Uppsala Universitet m.fl. tillstyrker kommitténs förslag. Kammarrätten i
Stockholm anser att det finns anledning att befara att enskilda i vissa fall
inte utan svårighet kan få klart för sig vilket regelsystem som är
tillämpligt beträffande en viss uppgift som anses felaktig eller
missvisande. Socialstyrelsen anser att en hänvisning bör ske till
bestämmelserna om förstöring av journal i patientjournallagen. Upplands
Väsby kommun anser att arkivbestämmelserna bör samordnas för
patientjournaler och för personakter enligt socialtjänstlagen. Kommunen
anser vidare att hantering av gallring och arkivering bör skrivas in i lagen
om vårdregister. Svenska Kommunförbundet anser att en samordning av
gallringsbestämmelser i olika författningar måste ske.
Skälen för regeringens förslag: Regler om bevarande och gallring
finns i flera olika författningar, varvid delvis olika regler gäller för
offentlig och privat vård.
Regler om bevarande och gallring av allmänna handlingar hos
myndigheter finns i arkivlagen (1990:782). Huvudregeln enligt
arkivlagen är att allmänna handlingar skall bevaras. Enligt 10 § får
allmänna handlingar gallras. Gallringen skall ske på ett sådant sätt att
kvarvarande arkivmaterial kan tillgodose rätten att ta del av allmänna
handlingar, rättsskipningens och förvaltningens behov av information,
samt forskningens behov. I annan lag eller förordning får finnas
avvikande bestämmelser om gallring som tar över arkivlagens
bestämmelser.
Av 9 § i) förslaget till personuppgiftslag samt av artikel 6 e) i EG-
direktivet framgår att en personuppgift inte får bevaras under en längre
tid än vad som är nödvändigt med hänsyn till ändamålen med
behandlingen. Personuppgifter får dock bevaras under längre tid för
historiska, statistiska eller vetenskapliga ändamål. Vidare anges i 8 §
andra stycket att bestämmelserna inte hindrar att en myndighet arkiverar
och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en
arkivmyndighet.
I 8 § patientjournallagen föreskrivs att journalhandling skall bevaras
minst tre år efter det att den sista uppgiften fördes in i handlingen. Enligt
12 § samma lag samt även enligt förordningen (1986:203) om förlängd
bevarandetid för vissa journalhandlingar inom hälso- och sjukvården
skall vissa typer journalhandlingar omhändertas i minst tio år. Vidare
skall enligt särskilda författningar journalhandlingar rörande patienter
som är födda den femte, femtonde eller tjugofemte i varje månad också
bevaras i minst tio år, om det inte är uppenbart att de saknar betydelse för
forskningsändamål.
Vad särskilt gäller offentligt bedriven vård har Riksarkivet utfärdat
allmänna råd om arkivvård och gallring av patientjournaler,
patientregister m.m. hos landsting och kommuner (RA–FS 1992:3). I de
allmänna råden anges att patientjournaler som är förda av läkare eller
journaler där läkare regelmässigt har gjort anteckningar bör bevaras för
att tillgodose forskningens behov av källmaterial. Om ett totalbevarande
av journalerna inte är möjligt, bör dessa bevaras under patientens livstid
och gallras tidigast fem år efter dennes död. Patientjournaler från vissa
geografiska områden bör under alla förhållanden bevaras för framtiden.
I detta sammanhang bör något nämnas om förstörande av
patientjournal och rättelse då varje utplånande av uppgifter i en handling
utgör en form av gallring. Enligt 17 § patientjournallagen får
Socialstyrelsen på ansökan av patienten eller någon annan som omnämns
i en patientjournal förordna att journalen helt eller delvis skall förstöras.
Förutsättningarna för detta är dels att godtagbara skäl anförs för ansökan,
dels att patientjournalen eller den del därav som skall förstöras
uppenbarligen inte behövs för patientens vård och dels att det från allmän
synpunkt inte finns skäl att bevara journalen.
Enligt 28 § förslaget till personuppgiftslag är den
personuppgiftansvarige skyldig att på begäran av den registrerade snarast
rätta, blockera eller utplåna sådana personuppgifter som inte har
behandlats i enlighet med lagen eller föreskrifter som har meddelats med
stöd av lagen. I 6 § patientjournallagen stadgas emellertid att uppgifter i
en patientjournal inte får utplånas eller göras oläsliga i andra fall än vad
som avses i 17 § samma lag. Vid rättelse av en felaktighet i en
journalhandling skall det enligt 6 § anges när rättelsen har skett och vem
som har gjort den. Vidare skall den ursprungliga uppgiften kvarstå.
Nuvarande bestämmelser om bevarande och gallring, till vilka även
räknas bestämmelserna om förstörande av patientjornal och rättelse,
utgör resultatet av avvägningar mellan å den ena sidan
integritetsskyddsintressen och å den andra sidan insyn- och
rättssäkerhetsaspekter, myndigheternas informationsbehov samt
forskningsintresset. Regeringen har inte funnit anledning att föreslå
någon ändring i nu gällande bestämmelser på området.
Lagrådet anför i sitt yttrande att det kan vara tveksamt om en
hänvisning till arkivlagens regler är förenlig med EG-direktivet och har
föreslagit att denna skall utgå.
Regeringen har inte i detta lagstiftningsärende anledning att göra
någon annan bedömning av direktivets förenlighet med regler om
bevarande av allmänna handlingar och omhändertagande av
arkivmaterial än den som framgår av 8 § andra stycket förslaget till
personuppgiftslag. Med anledning av vad som anförts i anslutning till
denna paragraf (prop. 1997/98:44 s. 48) kan dock hänvisningen till
arkivlagen i förevarande lagförslag utgå i enlighet med Lagrådets förslag.
Med hänsyn till den stora praktiska betydelse som patientjournallagens
regler om bevarande och gallring har skall en hänvisning härtill göras i
lagtexten.
11.10 Information
Regeringens förslag: Den som är personuppgiftsansvarig för ett
vårdregister skall se till att den registrerade får information om
registret. Informationen skall omfatta ändamålet med registret och vad
registret får innehålla. Informationen skall vidare innehålla
upplysning om uppgiftsskyldigheten enligt lagen om
hälsodataregister, om de sekretess- och säkerhetsbestämmelser som
gäller, om rätten att få ta del av uppgifter och om rätten till rättelse av
oriktiga eller missvisande uppgifter. I övrigt skall informationen
innehålla upplysning om vad som gäller beträffande sökbegrepp,
direktåtkomst, utlämnande av uppgifter på medium för automatiserad
behandling, bevarande av uppgifter samt rätten till skadestånd.
Hälsodatakommitténs förslag: Överensstämmer med regeringens.
Remissinstanserna: De flesta remissinstanser som yttrat sig i frågan,
däribland Karolinska Institutet och Örebro läns landsting har tillstyrkt
förslaget. Datainspektionen anser att det från integritetssynpunkt är
väsentligt att de som skall registreras kan få lämplig information, men
anser att all den information som anges i lagförslaget inte behöver vara
obligatorisk. Sveriges läkarförbund anser att adekvat vård naturligtvis
skall ges även den som vägrar registrering och att en enskild måste ha
rätt att själv besluta om han eller hon vill ingå i ett datoriserat
personregister eller inte. Svenska Läkaresällskapet anser att det är
väsentligt att all personal som har att hantera vårdregister skall ha
genomgått utbildning med examination om lagar och regler och särskilt
om säkerhetsbestämmelser och säkerhetstekniker vid
informationshantering.
Skälen för regeringens förslag: Enligt regeringens förslag skall
vårdregister få föras oavsett vilken inställning patienten har till att bli
registrerad i personregister (jfr. avsnitt 12.1). Mot bakgrund härav är det
ur integritetssynpunkt angeläget att patienten får information om att
registrering sker, syftet med registreringen, vad för slags uppgifter
registreringen avser och att vissa uppgifter lämnas vidare till centrala
förvaltningsmyndigheter inom hälso- och sjukvårdens område på grund
av bestämmelsen i 6 § lagen om hälsodataregister. Det är vidare
angeläget att patienten får information om vilka rättigheter han eller hon
har i anledning av registreringen, t.ex. rätten att ta del av uppgifter och
till rättelse av oriktiga eller missvisande uppgifter, och om vart han eller
hon skall vända sig med en begäran om registerutdrag eller rättelse.
Utöver vad som nu nämnts är informationen enligt regeringens mening
viktig även för att skapa en nödvändig grund för att allmänheten skall få
förtroende för registren. Informationen bör i detta syfte även innehålla
upplysning om de begränsningar i fråga om sökbegrepp, direktåtkomst,
utlämnande av uppgifter på medium för automatiserad behandling och
vilka regler som gäller för bevarande och gallring samt för rätten till
skadestånd.
Det bör åvila den personuppgiftsansvarige att skapa rutiner som
garanterar att informationsskyldigheten fullgörs. Det bör dock inte krävas
att vårdpersonalen i varje enskilt fall lämnar en muntlig information om
att dokumentation sker i ett vårdregister utan informationsskyldigheten
kan fullgöras genom t.ex. broschyrer.
12 För hälsodataregister och vårdregister
gemensamma frågor
12.1 Möjlighet att få uppgifter strukna samt samtycke till
registrering
Regeringen har i avsnitten 10 och 11 kommit fram till att både
hälsodataregister och vårdregister måste innehålla personanknutna
uppgifter om de registrerade för att registren skall kunna tillgodose de
ändamål för vilka de inrättas. Kravet på personidentifikation måste
därvid upprätthållas beträffande alla personer som återfinns i registret.
För den som inte vill förekomma i ett register med sitt personnummer
blir den enda utvägen då att han eller hon inte förs in i registret alls eller,
om han eller hon redan finns där, får rätt att bli struken ur registret. Det
är också möjligt att tänka sig ett system där registreringen görs beroende
av den enskildes i förväg inhämtade samtycke.
Enligt datalagen kan ett tillstånd att inrätta och föra personregister
förenas med villkor att uppgifter får registreras endast sedan den enskilde
samtyckt därtill. Ett samtycke till registrering kan vara antingen passivt –
dvs. den enskilde underrättas om registreringen och antas ha godkänt den
om han eller hon inte hör av sig – eller informerat – den enskilde erhåller
information om registreringen och dess verkningar och meddelar aktivt
att han eller hon önskar respektive inte önskar delta. Dessutom kan
ställas krav på uttryckligt samtycke, varmed oftast menas skriftligt
samtycke.
Inhämtande av samtycke kan enligt Datainspektionens praxis
beträffande forskningsregister få underlåtas bl.a. när det skulle vara
synnerligen kostsamt eller tidsödande att inhämta samtycke. När
inhämtande av samtycke får underlåtas är det vanligt att
Datainspektionen i stället kräver någon form av information till
allmänheten om att insamling av uppgifter pågår.
Enligt EG-direktivet och förslaget till personuppgiftslagen ställs i
princip krav på samtycke för behandling av personuppgifter i
personregister. Behandling får dock ske utan samtycke under vissa
förutsättningar. Så kan t.ex. alla slags personuppgifter – även sådan som i
förslaget till personuppgiftslagen benämns som känsliga – behandlas
utan samtycke från den registrerade om behandlingen är nödvändig för
vård eller behandling, eller för administration av hälso- och sjukvård.
Vidare får behandling av personuppgifter ske när behandlingen är
nödvändig för ändamål som rör ett berättigat intresse hos den
personuppgiftsansvarige när detta intresse väger tyngre än den
registrerades intresse av skydd mot kränkning av den personliga
integriteten.
Uppgifter om enskildas hälsotillstånd och andra förhållanden kan tas
bort ur ett personregister inom hälso- och sjukvården enligt regler i 17 §
patientjournallagen. För detta krävs att den enskilde anför godtagbara
skäl, att journalen uppenbarligen inte behövs för patientens vård och att
det ur allmän synpunkt uppenbarligen inte finns skäl att bevara journalen.
Regeringens förslag: Personuppgifter skall få registreras i
vårdregister eller hälsodataregister oberoende av den enskildes
samtycke. Inte heller skall den enskilde ha rätt att få uppgifter strukna
ur registren.
Hälsodatakommitténs förslag: Överensstämmer med regeringens.
Remissinstanserna: Många remissinstanser, däribland
Socialstyrelsen, Rättsmedicinalverket, Medicinska Forskningsrådet och
Svenska Kommunförbundet tillstyrker förslaget. Stockholms stad anser att
den enskilde skall tillfrågas om han eller hon medger att personliga
omständigheter registreras och att ett nekande svar skall respekteras. Spri
– Hälso- och sjukvårdens utvecklingsinstitut anser att trots enkelheten i
en obligatorisk registrering motiverar skyddet av den personliga
integriteten en frivillig registrering.
Skälen för regeringens förslag: Dokumentationen inom regional och
lokal hälso- och sjukvård sker enligt regler i främst patientjournallagen.
Av 1 § följer att vid vård av en patient skall föras en patientjournal och i
3 § anges vilka uppgifter som bör antecknas i journalen. Skyldighet att
dokumentera erhållna uppgifter och vidtagna åtgärder åvilar vissa i
patientjournallagen angivna yrkesgrupper under ett särskilt i lagen
angivet ansvar.
Det föreligger ingen skyldighet att vid dokumentationsarbete använda
någon särskild teknik. Patientjournallagen är till sin natur teknikneutral,
dvs. den skall tillämpas både vid manuell journalföring och när journaler
förs med IT. Det är vårdgivaren ensam som avgör vilken teknik som
skall användas i verksamheten.
Om den verksamhetsansvarige beslutat sig för att använda IT för
journalföring, blir en konsekvens av att samtycke skall krävas för
automatiserad behandling av personuppgifter eller att den registrerade
skall kunna få sina uppgifter strukna, inte att dokumentationen skall
underlåtas, utan att vårdgivaren för just denna patient måste föra
journalen med hjälp av annan teknik än IT. Följden blir att vårdgivaren
måste tillämpa olika förfaranden, ett byggt på IT för vissa patienter och
ett som förs manuellt eller på annat sätt för andra patienter. Man bör då
ha i minnet att journaler som förs manuellt och som dokumenteras i form
av pappersjournaler kan vara mindre säkra ur integritetssynpunkt än
registerbaserade journaler. Manuellt förda journaler är därför lättare
åtkomliga för obehöriga särskilt när det gäller den åtkomst som sker då
en person av en tillfällighet råkar få tillgång till en journal och passar på
att ta del av den.
Konsekvenserna blir desamma för hälsodataregistren. Dessa måste för
att kunna användas för sitt ändamål vara heltäckande eftersom bortfall av
uppgifter beträffande vissa individer kan äventyra hela registrets
användbarhet. Införandet av krav på samtycke eller en strykningsrätt i
hälsodataregister tvingar därför fram en ordning där hanteringen får ske
med hjälp av två olika förfaranden, ett byggt på IT och ett utan IT.
Det kan antas att endast ett fåtal personer kommer att utnyttja en rätt
till strykning ur register. Den inställning till personregister som kan
utläsas ur Hälsodatakommitténs attitydundersökning tyder på att så är
fallet och från de centrala förvaltningsmyndigheter som handhar
nuvarande personregister uppges att det inte i någon större omfattning
förekommer att enskilda begär att uppgifter skall tas bort ur registren.
Teoretiskt sett kan dock en större grupp registrerade av olika skäl –
kanske efter en av de "larmrapporter" som brukar förekomma med jämna
mellanrum – bestämma sig för att de inte längre vill ingå i ett
personregister.
Konsekvensen av en strykningsrätt kan då bli att den verksamhet som
registret skall utnyttjas för inte kan utföras på ett tillfredsställande sätt.
En omständighet att beakta är att det inte kan uteslutas att de personer
som utnyttjar möjligheten att stryka sig ur register kan vara de vars
uppgifter är särskilt väsentliga för de ändamål för vilket behandlingen av
uppgifter utförs.
Liksom för vårdregister kan den situationen uppkomma att
integritetsskyddet snarare minskar genom att uppgifterna inte kan föras
med hjälp av IT.
Motivet för att låta en enskild bestämma om uppgifter om honom eller
henne skall få ingå i ett hälsodataregister eller vårdregister är att skyddet
för den personliga integriteten därigenom skulle förstärkas.
Integritetsskyddet innebär emellertid som framhållits i avsnitt 7 inte en
ovillkorlig rätt att bli lämnad helt i fred eller att ensam bestämma eller
förfoga över samtliga uppgifter om sig själv. Ett visst mått av intrång
måste accepteras då det finns ett motstående intresse som väger tyngre.
När det särskilt gäller hälsodataregistren delar regeringen den
principiella uppfattning som framkom i den dåvarande regeringens beslut
angående Statistiska Centralbyråns register om vägtrafikolycksfall (dnr
Ju 93-1779), nämligen att en strykningsrätt kan innebära ett betydande
och irreparabelt ingrepp i det statistiska underlaget för ett register. Det
samhälleliga intresset av att ett register grundas på ett tillförlitligt
underlag får när det gäller dessa register anses väga tyngre än den
enskildes intresse av att kunna få stå utanför registret.
Till detta kommer att även säkerhetsaspekter och integritetsaspekter
kan komma att försämras av en rätt att stå utanför IT-användningen. En
hantering med IT anses ge ett betydligt bättre skydd mot åtkomst till
hälsodata än ett traditionellt pappersbaserat system och utvecklingen av
tillförlitliga behörighetskontrollsystem sker fortlöpande.
Sammanfattningsvis anser regeringen att någon rätt för den enskilde att
slippa bli införd i ett hälsodata- eller vårdregister inte bör införas. Inte
heller bör någon rätt att bli struken ur ett sådant register medges.
Konsekvenserna för registerhållaren blir genom sådana undantag
påtagliga då en dubbel registrering måste tillgripas. Detta kan i sin tur få
återverkningar både på den arbetsmässiga och den finansiella situationen
för registerhållaren. Underlaget i registren påverkas också på ett sätt som
kan bli kännbart och kan äventyra eller i vart fall underminera
användningen av registren för sina ändamål. Det kan också med visst fog
sättas i fråga om en undantagsrätt verkligen gagnar den enskilde eftersom
uppgifter om denne i stället får tas in i selektiva manuella register. Det är
inte uteslutet att effekten härav t.o.m. skulle kunna bli negativ ur
integritetsskyddssynpunkt.
12.2 Kontroll och säkerhet
Regeringens förslag: Frågor om kontroll och säkerhet skall inte
författningsregleras utan hanteras av tillsynsmyndigheten.
Hälsodatakommitténs förslag: Överensstämmer med regeringens.
Remissinstanserna: Umeå kommun anför att det inte är tillräckligt att
hänvisa till nuvarande regler och att det är viktigt att en
tillsynsmyndighet tillförs extra resurser för särskild granskning av de
personregister som omfattas av förslagen.
Skälen för regeringens förslag: Enligt 31 § förslaget till
personuppgiftslag skall den personuppgiftansvarige vidta åtgärder för att
skydda de personuppgifter som behandlas och av 32 § samma lag
framgår att tillsynsmyndigheten får besluta om vilka säkerhetsåtgärder
som skall vidtas.
Datainspektionen har utfärdat allmänna råd om ADB-säkerhet för
personregister. Enligt dessa skall ett register hänföras till endera av tre
integritetsklasser, där klass 1 motsvarar en mycket hög nivå av ADB-
säkerhet, klass 2 en hög nivå och klass 3 motsvarar en grundnivå.
Datainspektionens allmänna råd innebär bl.a. i fråga om
behörighetskontroll att för såväl integritetklass 1 som 2 gäller att all
datoranvändning bör regleras i behörighetskontrollsystem och att alla
register och program bör vara skyddade. Lösenord bör kunna bestå av
minst sex tecken och bör när som helst kunna bytas ut av användaren,
samt ske med automatik efter viss tid. Vid utloggning av terminal bör
skärmbilden raderas och automatisk utloggning bör ske om inte
terminalen används under viss tid. Behörighetskontrollsystemet bör
medge att detaljerade rapporter tas fram om avvisade försök till
inloggning eller åtkomst.
De myndigheter som handhar nuvarande register och som kommer att
ansvara för hälsodata- eller vårdregister bedriver såvitt regeringen kunnat
finna ett aktivt arbete i syfte att vidmakthålla en hög säkerhet. Detta
arbete sker bl.a. genom framtagande av egna dataskyddsprogram. Det har
även upplysts att några allvarliga försök att på ett otillåtet sätt ta del av
uppgifter i personregister inom hälso- och sjukvården inte har
förekommit.
Hälsodataregister och vårdregister innehåller känsliga uppgifter om
enskildas hälsa. Hanteringen av kontroll- och säkerhetsfrågor är därför
viktig för att upprätthålla skyddet för integritetskänsliga uppgifter om
enskildas förhållanden. Ansvaret för säkerhetsfrågor åvilar främst den
personuppgiftsansvarige, men även övriga som i arbetet använder
registret har ett ansvar för att säkerheten upprätthålls. Det är därför
mycket viktigt att personuppgiftsansvariga utarbetar egna
datasäkerhetsprogram.
I hälsodataregister ingår uppgifter om enskildas hälsotillstånd av olika
känslighetsgrad. Vanligtvis kommer hälsodataregister att hänföras till
integritetsklass 2 enligt Datainspektionens klassifikationssystem. Vissa
register som innehåller ännu känsligare uppgifter, t.ex. om HIV, kommer
att hänföras till integritetsklass 1.
I den mån ett vårdregister avser journalföring torde registret vara att
hänföra till integritetsklass 1 eftersom uppgifter om kriminalitet och om
tvångsingripanden från samhällets sida kan dokumenteras i journalen. De
vårdregister som inte avser journalföring torde få hänföras till
integritetsklass 2.
Utvecklingen på säkerhetsområdet går, liksom inom annan IT, mycket
snabbt. Det är naturligt att nya möjligheter att skydda uppgifter tas till
vara. En reglering av frågor om kontroll och säkerhet skall vara sådan att
den fortlöpande kan anpassas till förändringar i både teknik och
datatillämpning. Detta är av avgörande betydelse för att en så hög grad av
säkerhet som möjligt skall kunna upprätthållas. Tillsynsmyndigheten
bedriver också ett mycket aktivt arbete i dessa avseenden.
Säkerhetsfrågor rör ofta sådana områden som behörighetskontrollsystem,
förvaring av datamedia, säkerhetkopiering m.m. Det är frågor med klar
inriktning på teknik, som lämpar sig mindre väl för en reglering på lag-
eller förordningsnivå. Detta talar enligt regeringens uppfattning för att
det inte är motiverat att i författning ta in särskilda föreskrifter om ADB-
säkerheten. Sådana föreskrifter bör i stället liksom hittills hanteras på
myndighetsnivå.
12.3 Skadestånd
Regeringens förslag: De bestämmelser om skadestånd som finns i
förslaget till personuppgiftslag skall gälla även behandlingar som
utförts i strid med lagen om hälsodataregister eller lagen om
vårdregister. En föreskrift som anger detta förhållande tas in i lagarna
eftersom den föreslagna personuppgiftslagens
skadeståndsbestämmelser endast gäller vid behandling som skett i
strid med den lagen.
Hälsodatakommitténs förslag innehöll inte någon uttrycklig reglering
av skadeståndsskyldigheten utan förutsatte att datalagens regler om
skadestånd skulle tillämpas.
Remissinstanserna: Ingen remissinstans har yttrat sig i frågan.
Skälen för regeringens förslag: Enligt förslaget till personuppgiftslag
skall den personuppgiftsansvarige ersätta den registrerade för den skada
som en behandling av personuppgifter i strid med den lagen har orsakat.
Ersättning skall inte bara betalas för person- och sakskada utan också för
ren förmögenhetsskada samt för den kränkning av den personliga
integriteten som behandlingen har inneburit. Bestämmelserna innebär
bl.a. att ersättningsskyldigheten kan jämkas om den ersättningsskyldige
(personuppgiftsansvarige) visar att felet inte berodde på honom eller
henne.
Hälsodatakommitténs betänkande innehöll inte någon uttrycklig
reglering av skadeståndsskyldigheten utan förutsatte att datalagens regler
om skadestånd skulle tillämpas. Vid en jämförelse av regleringen av
skadestånd i datalagen och personuppgiftslagen innehåller båda likartade
regler om ersättning för ren förmögenhetsskada och kränkning.
Skadeståndsansvaret i datalagen är dock strikt till skillnad mot
personuppgiftslagens regler som innebär att den ersättningsskyldige har
möjlighet att helt eller delvis undangå skadeståndsansvar om han eller
hon visar att han eller hon inte är ansvarig för den händelse som orsakade
skadan. Å andra sidan är reglerna i förslaget till personuppgiftslag om
vad som grundar skadeståndsskyldighet något mer vidsträckta än de som
finns i datalagen. Denna utvidgning av området för
skadeståndsskyldighet kompenseras i viss mån av de regler om jämkning
som ovan nämnts.
Regeringen anser att de regler om skadestånd som finns i förslaget till
personuppgiftslag är en lämplig avvägning av vilken
ersättningsskyldighet som skall åvila en personuppgiftsansvarig som
hanterar uppgifter i strid med nu föreslagen lagstiftning. Eftersom
personuppgiftslagens regler – till skillnad från vad som gäller enligt
datalagen, och som förutsattes i betänkandet – endast gäller för brott mot
den lagen är nödvändigt att i de föreslagna lagarna om hälsodata- och
vårdregister införa en bestämmelse om skadeståndsskyldighet som
motsvarar regleringen i förslaget till personuppgiftslag.
12.4 Rättelse
Regringens förslag: De bestämmelser om rättelse som finns i
förslaget till personuppgiftslag skall gälla även behandlingar som
utförts i strid med lagen om hälsodataregister eller lagen om
vårdregister. En föreskrift som anger detta förhållande tas in i lagen
eftersom den föreslagna personuppgiftslagens bestämmelser om
rättelse endast gäller vid behandling som skett i strid med den lagen.
För rättelse av uppgifter i ett vårdregister som grundar sig på
dokumentationsskyldighet enligt patientjournallagen skall denna lag
gälla.
Hälsodatakommitténs förslag innehöll inte någon uttrycklig reglering
av rättelse utan förutsatte att datalagens och patientjournallagens regler
om rättelse skulle tillämpas.
Remissinstanserna: Ingen remissinstans har yttrat sig i frågan.
Skälen för regeringens förslag: Det är av stor betydelse för att den
registrerade skall hysa tilltro till behandlingen av personuppgifter i ett
hälsodata- eller vårdregister att han eller hon har möjlighet att få
felaktiga uppgifter korrigerade eller utplånade.
I likhet med vad som ovan angetts beträffande skadestånd gäller enligt
förslaget personuppgiftslagens regler om rättelse endast för uppgifter
som behandlats i strid med den lagen. Regeringen anser att en
motsvarande reglering skall införas i nu aktuella lagar om
hälsodataregister respektive vårdregister.
När det gäller vårdregister härrör vissa uppgifter från
dokumentationsskyldighet enligt patientjournallagen. Denna lag
innehåller även regler om rättelse av uppgifter. I 6 § stadgas att uppgifter
i en patientjournal inte får utplånas eller göras oläsliga i andra fall än vad
som avses i 17 §. Vid rättelse av en felaktighet i en journalhandling skall
det enligt 6 § anges när rättelsen har skett och vem som har gjort den.
Vidare skall den ursprungliga uppgiften kvarstå. Enligt 17 § får
Socialstyrelsen på ansökan av patienten eller någon annan som omnämns
i en patientjournal förordna att journalen helt eller delvis skall förstöras.
Förutsättningarna för detta är dels att godtagbara skäl anförs för ansökan,
dels att patientjournalen eller den del därav som skall förstöras
uppenbarligen inte behövs för patientens vård och dels att det från allmän
synpunkt inte finns skäl att bevara journalen.
Vid rättelse av uppgifter i vårdregister måste således en samtidig
tillämpning ske av reglerna i förslaget till personuppgiftslag och
patientjournallagen varvid den sistnämnda lagens regler har företräde.
12.5 Sekretess
Regeringens förslag: Någon särskild reglering av sekretessfrågor
som avviker från gällande lagstiftning skall inte införas. En
hänvisning till aktuella författningar skall dock göras i lagtexten.
Hälsodatakommitténs förslag: Inte heller kommittén anser att det
finns behov av särskild sekretesslagstiftning. Kommittén har dock inte
föreslagit någon särskild hänvisning i lagtexten.
Remissinstanserna: Ingen remissinstans har yttrat sig i denna fråga.
Några remissinstanser, däribland Kammarrätten i Stockholm, har anfört
att en reglering som kräver samtidig tillämpning av ett flertal olika
författningar kan vara oöverskådlig för den enskilde.
Skälen för regeringens förslag: I avsnitt 8.1.3 lämnas en redogörelse
för innehållet i sekretesslagen. Denna lag gäller för offentliga
myndigheter. På den privata sidan gäller motsvarande regler enligt
tillsynslagen och åliggandelagen.
Frågan om vilka uppgifter om enskildas hälsotillstånd eller andra
personliga förhållanden som en vårdgivare får lämna ut prövas mot
bakgrund av bestämmelserna i främst 7 kap. 1 § sekretesslagen vad avser
offentligt bedriven vård och vad avser privat bedriven vård för
vårdgivaren m.fl. i 6 § tillsynslagen och för hälso- och sjukvårdspersonal
i 8 § åliggandelagen. Vad särskilt gäller den offentliga vården skall det
dessutom observeras att sekretess även gäller mellan olika
verksamhetsgrenar om dessa är att betrakta som självständiga i
förhållande till varandra.
Dessa grundläggande integritetsskyddsbestämmelser kompletteras av
en bestämmelse i 7 § patientjournallagen om vad som brukar kallas inre
sekretess. Enligt denna bestämmelse skall varje journalhandling hanteras
och förvaras så att ingen obehörig får tillgång till journalen. Detta
uttrycks i förarbetena (prop. 1984/85:189 s. 43) på så sätt att det vid
vården av en patient på t.ex. en klinik endast är en begränsad del av
personalen som behöver tillgång till patientens journal och att respekten
för patientens integritet kräver att ingen utanför denna krets får tillgång
till journalen.
Enligt regeringens mening utgör ovan angiven lagstiftning ett väl
avvägt skydd för de uppgifter som kan förekomma i hälsodataregister
eller vårdregister. Att ytterligare komplettera dessa regler i nu aktuella
lagförslag är därför inte nödvändigt.
Frågan om skydd mot okontollerat utlämnande av uppgifter är dock en
de frågor som för den enskilde är av mycket stor betydelse. Såsom
Kammarrätten i Stockholm påpekar krävs tillämpning av flera
författningar t.ex. vid en fråga om utlämnande på medium för
automatiserad behandling och direktåtkomst. Det är därför enligt
regerings mening motiverat att i lagtexten införa en uttrycklig erinran om
de sekretessregler som skall beaktas.
13 Kostnadseffekter
Förslaget till lag om hälsodataregister bygger på att nuvarande centrala
personregister skall utgöra hälsodataregister. Regeringen föreslår inte att
några nya personregister skall inrättas. De principer som gäller i dag
skall tillämpas vid tillskapande av hälsodataregister. Några
kostnadsökningar aktualiseras därför inte.
Vad avser vårdregistren innebär regeringens förslag inte att
vårdgivarna åläggs att använda IT. Liksom tidigare är det respektive
vårdgivare som avgör om, när och i vilken omfattning IT skall komma i
bruk. Regeringens förslag innebär därför inte i sig någon ökning av de
offentliga utgifterna.
Förslaget till lag om vårdregister innebär däremot minskade intäkter
för Datainspektionen eftersom åtskilliga personregister av de slag som nu
är tillståndspliktiga inte kommer att kräva tillstånd i framtiden. Samtidigt
kommer Datainspektionen att härigenom avlastas motsvarande arbete
med tillståndsprövning. Förslaget kan därför betraktas som i stort sett
kostnadsneutralt. I praktiken kommer en lagreglering att medföra ett ökat
utrymme för Datainspektionen att arbeta med tillsyn.
14 Författningskommentar
14.1 Förslaget till lag om hälsodataregister
Lagens tillämpningsområde
1 § Central förvaltningsmyndighet inom hälso- och sjukvården får utföra
automatiserad behandling av personuppgifter i hälsodataregister. Den
centrala förvaltningsmyndigheten som utför behandlingen av
personuppgifter är personuppgiftsansvarig.
I paragrafen anges att central förvaltningsmyndighet inom hälso- och
sjukvården får utföra automatiserad behandling av personuppgifter i
hälsodataregister. I paragrafen anges även att den centrala
förvaltningsmyndighet som utför behandlingen av personuppgifter är
personuppgiftsansvarig. Paragrafen har utformats i enlighet med
Lagrådets förslag. Emellertid har vissa mindre språkliga justeringar skett
för att anpassa utformningen till övriga registerlagar.
Begreppet behandling av personuppgifter definieras i förslaget till
personuppgiftslag. Med behandling avses enligt personuppgiftslagen
varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter,
vare sig det sker på automatisk väg eller inte, t.ex. insamling,
registrering, organisering, lagring, bearbetning eller ändring, återvinning,
inhämtande, användning, utlämnande genom översändande, spridning
eller annat tillhandahållande av uppgifter, sammanställning eller
samkörning, blockering, utplåning eller förstöring. Med personuppgift
avses all slags information som direkt eller indirekt kan hänföras till en
fysisk person som är i livet.
Med central förvaltningsmyndighet inom hälso- och sjukvården avses
myndighet som enligt sin instruktion har ett ansvar för en eller flera
verksamheter inom området. Avgränsningen av vad som räknas till
hälso- och sjukvård i denna lag är densamma som i lagen om
vårdregister. För närvarande förekommer personregister som kan utgöra
hälsodataregister hos Socialstyrelsen, Läkemedelsverket och
Smittskyddsinstitutet.
Förhållandet till personuppgiftslagen
2 § Om inget annat följer av denna lag eller föreskrifter som meddelats
med stöd härav, tillämpas personuppgiftslagen (1998:000) vid
behandling av personuppgifter för hälsodataregister.
Av förslaget till personuppgiftslag följer att bestämmelser i lagar och
förordningar som avviker från personuppgiftslagen gäller framför denna.
I 2 § i förevarande lagförslag uttrycks förhållandet mellan
personuppgiftslagen och denna lag på det sättet att personuppgiftslagen
gäller om inget annat sägs i denna lag eller föreskrifter som meddelats
med stöd härav. Detta innebär bl.a. att bestämmelser om information
samt bevarande och gallring ges i personuppgiftslagen.
Ändamål
3 § Personuppgifter i ett hälsodataregister får behandlas för följande
ändamål:
1. framställning av statistik,
2. uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård,
och
3. forskning och epidemiologiska undersökningar.
I paragrafen anges de ändamål för vilka personuppgifter i ett
hälsodataregister får behandlas. Genom ändamålsbestämmelsen anges
den yttre ramen för vad uppgifter som finns i hälsodataregistret får
användas till. Ändamålsbestämningen har avgörande betydelse för vilka
uppgifter som får tas in i registret och hur uppgifterna får behandlas.
Bestämmelsen är därför av central betydelse för den personliga
integriteten. Det åligger den personuppgiftsansvarige att se till att
uppgifter i ett hälsodataregister används på ett sätt som står i
överensstämmelse med registrets ändamål. Ett hälsodataregisters
ändamål kan vara framställning av statistik, uppföljning, utvärdering och
kvalitetssäkring av hälso- och sjukvården samt forskning och
epidemiologiska undersökningar. Till följd härav kan exempelvis inte
hälsodataregister användas för myndigheters tillsynsfunktion.
Uppgifterna i registret kan dock efter anonymisering föras över till ett
annat register som kan användas i tillsynsarbete. Detta möjliggörs genom
att det nya registret inte är att bedöma som personregister eftersom det
har anonymiserats.
Regeringen avser att i förordning närmare besluta om ett
hälsodataregisters specifika ändamål inom ramen för de huvudändamål
som anges i denna paragraf. Ett bemyndigande lämnas därför, på sätt
Lagrådet föreslagit, i 12 §. Ett register kan därvid inrättas för endast
något eller några av de angivna ändamålen eller för samtliga ändamål.
Innehåll
4 § Ett hälsodataregister får innehålla endast de uppgifter som behövs
för de ändamål för vilka personuppgifter får behandlas enligt 3 §.
I paragrafen anges att ett hälsodataregister endast får innehålla de
uppgifter som behövs för de ändamål som anges i 3 §. Det är av vikt att
registerinnehållet anges klart och så avgränsat som möjligt. Uppgifter
som inte kan hänföras till registrets ändamål är inte tillåtna. Regeringen
avser att närmare bestämma omfattningen och arten av uppgifter i
respektive register genom förordning. Ett bemyndigande lämnas därför,
på sätt Lagrådet föreslagit, i 12 §. Innehållet i nuvarande centrala
personregister kan därvid tjäna som vägledning. En omständighet som
bör beaktas är att samtliga uppgifter i ett hälsodataregister får användas
som sökbegrepp. Detta förhållande bör bidra till att omfattningen av
uppgifter i ett hälsodataregister i vissa fall kan behöva begränsas.
Samkörning
5 § Den som är personuppgiftsansvarig för behandlingen av
personuppgifter i ett hälsodataregister får för de ändamål som anges i 3 §
hämta personuppgifter till registret genom samkörning.
Hälsodataregistret kommer enligt 4 § endast att innehålla uppgifter av
vikt för de ändamål som registret inrättats för.
Uppgifterna kommer att tillföras registret på olika sätt, t.ex. genom
anmälningar i enskilda fall eller genom överföringar avseende en stor
mängd individer via lokala eller regionala personregister. Gemensamt för
all informationsöverföring är att den sker från vårdgivare och inte från
enskilda patienter. Av paragrafen följer att ett hälsodataregister skall
kunna tillföras information genom samkörning med andra personregister
om informationen behövs för att tillgodose registerändamålet. Skälen för
denna reglering har utvecklats i avsnitt 10.6.
Genom paragrafen möjliggörs överföring av uppgifter från ett annat
hälsodataregister samt från vårdregister och andra lokalt eller regionalt
förda personregister inom hälso- och sjukvården. Vidare kan uppgifter
hämtas från befolkningsregister förda vid t.ex. Statistiska Centralbyrån.
Regeringen avser att i förordning närmare ange från vilka register
inhämtande får ske och vilka uppgifter som får tillföras hälsodataregister
genom samkörning. Ett bemyndigande lämnas därför, på sätt Lagrådet
föreslagit, i 12 §.
Uppgiftsskyldighet
6 § Den som bedriver verksamhet inom hälso- och sjukvården skall
lämna uppgifter till ett hälsodataregister för de ändamål som anges i 3 §.
I paragrafen regleras skyldigheten att lämna uppgifter till
hälsodataregister. Således anges att den som bedriver verksamhet inom
hälso- och sjukvården skall lämna uppgifter från sin verksamhet till
hälsodataregister. Uppgiftsskyldigheten gäller för alla som är ansvariga
för verksamhet inom den regionala och lokala hälso- och sjukvården,
nämligen landsting, kommuner och privata vårdgivare. Som angetts i
avsnitt 10.7 åvilar uppgiftsskyldigheten landsting och kommuner inom
den offentligt bedrivna vården och inte den enskilde yrkesutövaren. I den
mån staten bedriver hälso- och sjukvårdsverksamhet åligger även en
uppgiftsskyldighet för staten.
Inom den privata vården ansvarar vårdgivaren för att
uppgiftsskyldigheten fullgörs på lämpligt sätt. Uppgiftslämnandet från
privat verksamhet sker i dag delvis på frivillig grund – till
Läkemedelsbiverkningsregistret – och delvis till följd av en
författningsgrundad skyldighet – till Cancerregistret. Förändringen
innebär att uppgiftsskyldigheten utvidgas och blir en skyldighet att lämna
uppgifter till samtliga hälsodataregister.
Bestämmelsen medför emellertid inte någon skyldighet för de centrala
förvaltningsmyndigheterna på hälso- och sjukvårdens område att lämna
uppgifter till varandra.
I 12 § ges ett bemyndigande för regeringen att meddela närmare
bestämmelser om uppgiftsskyldigheten.
Sökbegrepp
7 § Som sökbegrepp i ett hälsodataregister får användas uppgifter som
enligt 4 § får ingå i ett hälsodataregister.
I paragrafen regleras bruket av sökbegrepp. I avsnitt 10.8 har redogjorts
för varför någon begränsning av sökbegreppen inte har ansetts motiverad.
Direktåtkomst
8 § Endast den som är personuppgiftsansvarig får ha direktåtkomst till
uppgifter i ett hälsodataregister.
I paragrafen införs den nya beteckningen direktåtkomst. Därmed avses
detsamma som terminalåtkomst vilket numera får anses vara ett något
föråldrat begrepp.
En direktåtkomst omfattar vanligen hela registret och den som erhåller
en direktåtkomst kan arbeta mot registret med sina frågor. Sådan åtkomst
skall såsom utvecklats i avsnitt 10.9 endast tillkomma den
personuppgiftsansvarige.
Utlämnande på medium för automatiserad behandling
9 § Personuppgifter i ett hälsodataregister får lämnas ut på medium för
automatiserad behandling endast om uppgifterna skall användas för de
ändamål som anges i 3 §.
I paragrafen regleras att uppgifter i ett hälsodataregister får lämnas ut på
medium för automatiserad behandling endast om uppgiften skall
användas för de ändamål som anges i 3 §. I bestämmelsen regleras
således inte frågan om uppgifter över huvud taget med hänsyn till
rådande sekretess får lämnas ut från ett hälsodataregister utan endast i
vilken form och med vilken teknik åtkomst till uppgifter i ett
hälsodataregister får ges. Ett utlämnade måste alltid, vilket erinras om i
10 §, föregås av en sekretess-prövning. Utlämnande på medium för
automatiserad behandling har behandlats i avsnitt 10.10.
Sekretess
10 § I sekretesslagen (1980:100) finns bestämmelser om begränsningar i
rätten att lämna ut personuppgifter.
I paragrafen erinras om att sekretesslagens bestämmelser gäller för
utlämnade av personuppgifter från ett hälsodataregister.
Rättelse och skadestånd
11 § Bestämmelserna i personuppgiftslagen (1998:000) om rättelse och
skadestånd gäller vid behandling av personuppgifter enligt denna lag
eller föreskrifter som meddelats med stöd av lagen.
Förslaget till personuppgiftslags bestämmelser om rättelse och
skadestånd är utformade så att dessa gäller vid överträdelse av den lagen.
Genom förevarande paragraf görs personuppgiftslagens bestämmelser
tillämpliga även då personuppgifter behandlas i strid med
hälsodataregisterlagen eller föreskrifter som meddelats med stöd av
lagen.
Bemyndiganden
12 § Regeringen får meddela föreskrifter om
1. vilka myndigheter som får föra hälsodataregister enligt 1 §,
2. begränsning av de i 3 § angivna ändamålen,
3. begränsningar av de uppgifter som ett hälsodataregister enligt 4 § får
innehålla,
4. begränsningar av samkörning enligt 5 §,
5. uppgiftsskyldighet enligt 6 §, och
6. begränsningar i rätten att bevara uppgifter.
Paragrafen har tillkommit efter förslag från Lagrådet. I paragrafen samlas
och preciseras samtliga bemyndiganden som lämnas regeringen. Som
Lagrådet anfört utgör p 5 om uppgiftsskyldighet ett rent bemyndigande
enligt föreskrifter i 8 kap. 3 och 5 §§ RF. Övriga bemyndiganden i
paragrafen avser inte sådana åligganden eller ingrepp som avses i
nämnda paragrafer. Detta hindrar dock inte att bemyndigande sker i
lagform.
Ikraftträdande
Denna lag träder i kraft den 24 oktober 1998. Om behandling av per-
sonuppgifter för ett ändamål som avses i denna lag påbörjats före
ikraftträdandet gäller äldre bestämmelser t.o.m. den 30 september 2001
om behandlingen inte omfattas av ett hälsodataregister enligt denna lag.
Lagen träder i kraft samtidigt som personuppgiftslagen. Vissa av
nuvarande centrala register grundas enbart på tillstånd av
Datainspektionen. Andra register grundas på en förordning, ett
regeringsbeslut, ett cirkulär från dåvarande Medicinalstyrelsen respektive
en kungörelse. Dessa bestämmelser skall gälla t.o.m. den 30 september
2001 om behandlingen inte omfattas av ett hälsodataregister enligt denna
lag.
14.2 Förslaget till lag om vårdregister
Begreppet vårdregister i lagens rubrik avser att ge upplysning om att de
personregister som omfattas av lagen är sådana som används i det
dagliga vårdarbetet och i administrationen av detta.
Vårdregisterlagen är en speciallag i förhållande till
personuppgiftslagen (1998:000). I de delar vårdregisterlagen inte
innehåller några bestämmelser kommer därför personuppgiftslagen att
gälla. Genomgående gäller också att vårdregisterlagen får tillämpas med
samtidigt beaktande av relevanta bestämmelser i bl.a. sekretesslagen
(1980:100), hälso- och sjukvårdslagen (1982:763), patientjournallagen
(1985:562), lagen (1994:953) om åligganden för personal inom hälso-
och sjukvården och lagen (1996:786) om tillsyn över hälso- och
sjukvården.
Lagens tillämpningsområde
1 § Den som bedriver vård får utföra automatiserad behandling av
personuppgifter i vårdregister.
Med vård enligt denna lag avses vård enligt hälso- och sjukvårdslagen
(1982:763), tandvårdslagen (1985:125), lagen (1991:1128) om psykiat-
risk tvångsvård och lagen (1991:1129) om rättspsykiatrisk vård samt
smittskydd enligt smittskyddslagen (1988:1472).
Paragrafen anger lagens tillämpningsområde och anger att den som
bedriver vård får utföra automatiserad behandling av personuppgifter i
vårdregister. Första stycket har fått sin lydelse på förslag av Lagrådet.
Vissa mindre språkliga justeringar har dock skett i syfte att anpassa
utformningen till övriga registerlagar. Av andra stycket framgår att lagen
gäller behandling av personuppgifter inom all hälso- och sjukvård enligt
hälso- och sjukvårdslagen (1982:763). Den gäller vidare behandling av
personuppgifter inom tandvård, psykiatrisk tvångsvård, rättspsykiatrisk
vård och smittskydd.
Begreppet behandling av personuppgifter definieras i förslaget till per-
sonuppgiftslag. Med behandling avses enligt personuppgiftslagen varje
åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare
sig det sker på automatisk väg eller inte, t.ex. insamling, registrering,
organisering, lagring, bearbetning eller ändring, återvinning, inhämtande,
användning, utlämnade genom översändande, spridning eller annat
tillhandahållande av uppgifter, sammanställning eller samkörning,
blockering, utplåning eller förstöring. Med personuppgift avses all slags
information som direkt eller indirekt kan hänföras till en fysisk person
som är i livet.
Med hälso- och sjukvård enligt hälso- och sjukvårdslagen avses
åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar
och skador. Begreppet omfattar således såväl sjukdomsförebyggande
åtgärder som egentlig sjukvård. Även sjuktransporter och
omhändertagande av avlidna utgör hälso- och sjukvård. Hit hör också
bl.a. abort, sterilisering, kastrering, insemination och transplantation. För
nyss nämnda områden finns visserligen särskild lagstiftning men denna
reglerar enbart förutsättningarna för att respektive ingrepp skall få
utföras. Vårdbegreppet har behandlats i avsnitt 11.2.
Regleringen av tillämpningsområdet i denna paragraf i förening med
ändamålsbestämmelsen i 3 § medför att lagen omfattar register som
förekommer inom vårdens individinriktade verksamhet. Lagen gäller
personregister som förs inom såväl offentlig som privat bedriven vård
och oavsett i vilken organisationsform verksamheten bedrivs. Lagen får
sitt största tillämpningsområde inom den landstingsbedrivna hälso- och
sjukvården. Den får också betydelse för den kommunalt bedrivna vården
och för all privat bedriven vård. Den gäller personregister inom bl.a.
företagshälsovård, skolhälsovård, studerandehälsovård och den hälsovård
som bedrivs inom kriminalvården och försvaret. Lagen gäller däremot
inte inom verksamhet som omfattas av lagen (1960:409) om förbud i
vissa fall mot verksamhet på hälso- och sjukvårdens område
(kvacksalverilagen).
Förhållandet till personuppgiftslagen
2 § Om inget annat följer av denna lag eller föreskrifter som meddelats
med stöd härav, tillämpas personuppgiftslagen (1998:000) vid
behandling av personuppgifter för vårdregister.
Av förslaget till personuppgiftslag följer att bestämmelser i lagar och
förordningar som avviker från personuppgiftslagen gäller framför denna.
I 2 § i förevarande lagförslag uttrycks förhållandet mellan
personuppgiftslagen och denna lag på det sättet att personuppgiftslagen
gäller om inget annat sägs i denna lag eller föreskrifter som meddelats
med stöd härav.
Ändamål
3 § Personuppgifter i ett vårdregister får behandlas för dokumentation av
vården av patienter eller för sådan administration som rör patienter och
som syftar till att bereda vård i enskilda fall.
Behandling av personuppgifter får även utföras för den
ekonomiadministration som föranleds av vård i enskilda fall.
Enligt paragrafens första stycke får vårdregister föras i och för vården av
patienter. Med vård avses även undersökning och behandling. Med
patienter avses detsamma som i patientjournallagen (1985:562), dvs. den
enskilde i hans kontakt med hälso- och sjukvården. Detta innebär t.ex. att
personregisteranvändningen i blodgivningsverksamhet omfattas av
lagregleringen. Som nämnts under 1 § är det den individinriktade
verksamheten inom vården som omfattas av regleringen. Det är fråga om
såväl sjukdomsförebyggande åtgärder – t.ex. allmänna och riktade
hälsokontroller som egentlig sjukvård t.ex. undersökning och behandling
vid ohälsa samt omvårdnad. Det saknar betydelse om det är det allmänna
eller den enskilde själv som tagit initiativ till vården. Eftersom
vårdbegreppet även innefattar undersökning, får – mot bakgrund av
innebörden av begreppet patient – ett vårdregister även användas i
samband med hälsokontroller utan egentlig vård- eller behandlingssyfte,
t.ex. en hälsoundersökning på den enskildes initiativ i syfte att erhålla ett
intyg för körkort eller annat ändamål. Detsamma gäller vid
blodprovstagning på polisens begäran i anledning av att en person är
misstänkt för trafikonykterhetsbrott.
Registerändamålet tar i huvudsak sikte på verksamheter som avser
dokumentation, dvs. patientjournalföring enligt patientjournallagen
(1985:562) och patientadministration. Paragrafens precisering av
registerändamålet innebär att de personregister som används för
dokumentation av vården av patienter och för sådan administration som
rör enskilda patienter och som syftar till att bereda vård i enskilda fall
utgör vårdregister. Exempel på patientadministrativa åtgärder och
funktioner som – oavsett om dokumentation skall ske i en patientjournal
– omfattas av regleringen är tidbokning, väntelistor och kallelser m.m.
vid vårdcentraler, vid kliniker inom såväl öppen som sluten vård, vid
enheter inom medicinsk service och i samband med hälsokontroller av
olika slag hos privata vårdgivare.
Vidare omfattas besöksregistreringen inom öppen vård, in- och
utskrivningar inom sluten vård, överflyttning mellan vårdenheter,
remisshantering, recepthantering och hjälpmedelshantering. Detsamma
gäller register för listning av enskilda hos viss vårdgivare. Register för
sökning av utlånade, mikrofilmade och arkiverade journaler eller för
upplysning om vilka patienter som vårdas vid ett sjukhus och om tidigare
vårdkontakter med sjukhuset utgör också vårdregister. Det skall
understrykas att det är omöjligt att göra en heltäckande uppräkning av de
funktioner ett vårdregister kan ha.
Vid sidan av nu angiven administration som rör enskilda patienter och
som syftar till att bereda vård i enskilda fall förekommer administration
som avser vårdplanering i allmänhet såsom beräkning av behov av
vårdplatser m.m. inom en enhet, myndighet eller region. Administration
av dessa slag utgör sådan administration på verksamhetsområdet som
avses i 4 § och för vilken uppgifterna i vårdregistret får användas.
Enligt paragrafens andra stycke får vårdregister föras även för
ekonomiadministration som föranleds av vård i enskilda fall. Härmed
avses olika slag av ekonomisk reglering i anledning av vårdgivarens
individinriktade verksamhet.
Åtskilliga förekommande personregister har ekonomiadministration
som ett ändamål vid sidan av patientjournalföring och
patientadministration, men det förekommer även att personregister avser
enbart ekonomiadministration. Även register av sistnämnda slag utgör
vårdregister under förutsättning att registerändamålet begränsar sig till
ekonomiadministration som föranleds av vård i enskilda fall. Om ett
ekonomiadministrativt personregister har ett vidare ändamål än så, utgör
det inte ett vårdregister.
4 § Personuppgifter i ett vårdregister får, utöver vad som anges i 3 §,
behandlas för följande ändamål:
1. framställning av statistik,
2. uppföljning, utvärdering, kvalitetssäkring och administration på
verksamhetsområdet, och
3. uppgiftsutlämnande som föreskrivs i lag eller förordning.
Vid sidan av det individinriktade vårdarbetet har sjukvårdshuvudmännen
även ett övergripande ansvar för vården. För att övriga åligganden som
åvilar sjukvårdshuvudmännen skall kunna fullgöras krävs tillgång till
uppgifter som härrör från det individinriktade vårdarbetet. Uppgifterna i
ett vårdregister får därför även användas för framställning av statistik och
för uppföljning, utvärdering, kvalitetssäkring och administration på
verksamhetsområdet. Uppgifterna i ett vårdregister får vidare användas
för uppgiftslämnande som föreskrivs i lag eller förordning.
Innehåll
5 § Ett vårdregister får endast innehålla de uppgifter som enligt lag eller
annan författning skall antecknas i en patientjournal. Registret får dock
även innehålla andra uppgifter som antecknas i och för vården av
patienter samt uppgifter som behövs för sådan administration som avses i
3 § andra stycket.
Innehållet i vårdregister har behandlats i avsnitt 11.4. Ett vårdregister får
innehålla de uppgifter som enligt patientjournallagen (1985:562) och
föreskrifter som meddelats med stöd av den lagen skall antecknas i en
patientjournal. Det får dessutom innehålla uppgifter som enligt annan
författning skall ingå i en patientjournal. Bestämmelser om sådana
uppgifter finns bl.a. i 2 § förordningen (1991:1472) om psykiatrisk
tvångsvård och rättspsykiatrisk vård och i 16 § smittskyddslagen
(1988:1472).
Vad avser ekonomadministrativa uppgifter regleras registerinnehållet
genom en allmänt hållen bestämmelse som anknyter till
registerändamålet enligt 3 §, innebärande att ett vårdregister inte får
innehålla andra uppgifter av ekonomiadministrativ natur än som
föranleds av vård i enskilda fall.
Samkörning
6 § Uppgifter om en patient som behövs för vård av denne samt
uppgifter som behövs för den ekonomiadministration som föranleds av
den aktuella vården får hämtas till ett vårdregister från andra vårdregister
genom samkörning. Dessutom får uppgifter om patientens
folkbokföringsadress hämtas till registret genom samkörning.
Genom denna paragraf regleras att uppgifter kan hämtas från ett
vårdregister till ett annat. Bestämmelsen möjliggör ett rationellt
inhämtande av uppgifter. Härigenom kan t.ex. analysresultat från
laboratorier och remissvar genom samkörning inhämtas till ett
vårdregister från ett annat vårdregister. Härvid kan även uppgifter
inhämtas som behövs för den ekonomiadministration som eventuellt
föranleds av dessa vårdåtgärder, t.ex. uppgifter för interndebitering och
fakturering. Däremot medger bestämmelsen inte att uppgifter genom
samkörning hämtas från andra personregister än vårdregister såvida inte
inhämtandet avser uppdatering av folkbokföringsuppgifter.
Det skall observeras att bestämmelsen inte ändrar det förhållandet att
ett utlämnande av uppgifter, som i ett samkörningsfall sker från ett
register, på vanligt sätt skall prövas enligt sekretesslagen (1980:100) vad
avser register för vilka en myndighet är personuppgiftsansvarig och med
beaktande av bestämmelserna om tystnadsplikt i lagen (1994:953) om
åligganden för personal inom hälso- och sjukvården och lagen
(1996:786) om tillsyn över hälso- och sjukvården vad avser register
inom den privata hälso- och sjukvården. Av särskilt intresse för
uppgiftslämnande mellan register som förs vid enheter inom en
verksamhetsgren hos en myndighet är att uppgiftslämnandet skall ske
med beaktande av andra integritetsbestämmelser än sekretesslagens
bestämmelser, t.ex. 7 § patientjournallagen (1985:562). Som en erinran
om dessa bestämmelser har 12 § införts.
Sökbegrepp
7 § Personuppgifter som avses i 13 eller 21 § personuppgiftslagen
(1998:000) får inte användas som sökbegrepp i ett vårdregister. Inte
heller får uppgifter om att någon fått ekonomisk hjälp eller vård inom
socialtjänsten eller varit föremål för åtgärd enligt utlänningslagen
(1989:529) användas som sökbegrepp.
Det är trots förbudet i första stycket tillåtet att som sökbegrepp
använda uppgifter om sjukdom och hälsotillstånd samt uppgifter om att
någon varit föremål för tvångsingripande enligt lagen (1991:1128) om
psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.
Genom att uppgifter i ett register används som sökbegrepp kan olika
urval och sammanställningar av information göras. Riksdagen har i
tidigare lagstiftningsärende (bet. 1989/90:KU5y, bet. 1989/90:SkU19)
uttalat att det är viktigt att sökbegrepp som är av känslig natur från
integritetssynpunkt endast användas i begränsad utsträckning.
Mot bakgrund av de krav som ställs på en patientjournals innehåll kan
ett vårdregister innehålla en stor mängd uppgifter som är mycket känsliga
från integritetssynpunkt. I paragrafen föreskrivs förbud mot att använda
vissa känsliga uppgifter som sökbegrepp.
I sammanhanget skall även påpekas att uppgifterna i vårdregister som
förs inom den offentliga vården enligt 7 kap. 1 § första stycket
sekretesslagen (1980:100) omfattas av det omvända skaderekvisitet,
varför även de uppgifter som är tillåtna som sökbegrepp har ett mycket
starkt skydd mot att obehöriga skall få tillgång till dessa. Uppgifter i ett
vårdregister som förs inom den privata vården skyddas av bestämmelser
om tystnadsplikt i lagen (1994:953) om åligganden för personal inom
hälso- och sjukvården och lagen (1996:786) om tillsyn över hälso- och
sjukvården.
Direktåtkomst
8 § Endast den som för de ändamål som anges i 3 och 4 §§ behöver
tillgång till uppgifterna för att kunna utföra sitt arbete får ha
direktåtkomst till uppgifter i ett vårdregister. Åtkomsten får endast avse
de uppgifter som behövs för arbetets utförande.
I paragrafen införs den nya beteckningen direktåtkomst. Därmed avses
det samma som terminalåtkomst vilket numera får anses vara ett något
föråldrat begrepp.
Enligt paragrafen begränsas åtkomsten till uppgifter i ett vårdregister
på så sätt att direktåtkomst enbart får ges befattningshavare som behöver
tillgång till uppgifter för att de skall kunna utföra sitt arbete. Vidare får
åtkomsten inte avse andra uppgifter än vad som behövs för arbetets
utförande. Bestämmelsen kan sägas motsvara vad som stadgas i 7 §
patientjournallagen (1985:562) om s.k. inre sekretess, nämligen att varje
journalhandling skall hanteras och förvaras så att obehöriga inte får
tillgång till den.
Paragrafen innebär bl.a. att administrativ personal inte får ges
direktåtkomst till samtliga uppgifter i ett vårdregister om detta förs för
bl.a. patientjournalföring. Det krävs i stället att den
personuppgiftsansvarige gör en bedömning av vilka befattningshavare
som på grund av sina arbetsuppgifter behöver tillgång till uppgifter ur
registret samt vilka uppgifter respektive befattningshavare behöver
tillgång till. Denna bedömning får göras mot bakgrund av innehållet i 7 §
patientjournallagen samt vad som stadgas i 2 a § hälso- och
sjukvårdslagen (1982:763) om att vården skall bygga på respekt för
patientens självbestämmande och integritet. Vidare måste
personuppgiftsansvariga inom offentligt bedriven vård beakta att
sekretess enligt sekretesslagen (1980:100) råder mellan olika
verksamhetsgrenar som är självständiga i förhållande till varandra.
Utlämnade på medium för automatiserad behandling
9 § Personuppgifter i ett vårdregister får lämnas ut på medium för
automatiserad behandling endast om de skall användas för de ändamål
som anges i 3 och 4 §§ eller för forskningsändamål.
Paragrafen anger i vad mån personuppgifter i ett vårdregister får
utlämnas på medium för automatiserad behandling. Uppgifter får på detta
sätt lämnas från ett vårdregister om det skall användas för ändamål som
anges i 3 § om registerändamål.
Personregister med ändamål som anges i 4 § utgör inte vårdregister. I
förevarande paragraf lämnas emellertid ett medgivande till att uppgifter i
ett vårdregister får lämnas ut på medium för automatiserad behandling
om det skall användas för ändamål som avses i 4 §.
Innan uppgifter lämnas ut måste även ett utlämnade prövas enligt
gällande tystnadsplikts- och sekretessbestämmelser.
Om en myndighet i sin forskningsverksamhet från annan myndighet
erhåller uppgift som är sekretessbelagd där, gäller enligt 13 kap. 3 och
6 §§ sekretesslagen (1980:100) sekretessen också hos den mottagande
myndigheten. Om utlämnade sker till en enskild forskare, kan det enligt
14 kap. 9 § sekretesslagen i förbehåll anges i vilken utsträckning och på
vilket sätt uppgifterna får användas. Härigenom kan bl.a. förhindras att
mottagaren vidarelämnar uppgifter. Mot denna bakgrund får uppgifter i
ett vårdregister lämnas på medium för automatiserad behandling även då
uppgifterna skall användas för forskning.
Frågan om utlämnande har behandlats i avsnitt 11.8.
Bevarande och gallring
10 § Utöver vad som följer av personuppgiftslagen (1998:000) finns
särskilda bestämmelser om bevarande och gallring i patientjournallagen
(1985:562).
Några avvikande bestämmelser om bevarande och gallring införs inte i
lagen. Däremot hänvisas till gällande regler härom. I förhållande till
lagrådsremissen har den uttryckliga hänvisningen till arkivlagen
(1990:782) utgått. Bestämmelsen innebär att frågan om bevarande och
gallring skall lösas med tillämpning av personuppgiftslagens regler.
Personuppgiftslagen medger enligt 8 § andra stycket bevarande av
allmänna handlingar och omhändertagande av arkivmaterial. Vidare skall
alltid avvikande bestämmelser i bl.a. patientjournallagen (1985:562)
beaktas. Den uppräkning av författningar som görs i paragrafen är inte
uttömmande, jfr. bl.a. förordningen (1986:203) om förlängd bevarandetid
för vissa journalhandlingar inom hälso- och sjukvården.
Information
11 § Den som är personuppgiftsansvarig för ett vårdregister skall se till
att den registrerade får information om behandlingen.
Informationen skall innehålla upplysningar om
1. vem som är personuppgiftsansvarig,
2. ändamålet med registret,
3. vilken typ av uppgifter som ingår i registret,
4. den uppgiftsskyldighet som följer av lagen (1998:000) om
hälsodataregister,
5. de sekretess- och säkerhetsbestämmelser som gäller för registret,
6. rätten att ta del av uppgifter enligt 26 § personuppgiftslagen
(1998:000),
7. rätten till rättelse av oriktiga eller missvisande uppgifter,
8. rätten till skadestånd vid behandling av personuppgifter i strid med
denna lag,
9. vad som gäller i fråga om sökbegrepp, direktåtkomst och
utlämnande av uppgifter på medium för automatiserad behandling,
10. vad som gäller i fråga om bevarande och gallring, samt
11. om registreringen är frivillig eller inte.
Det åligger den personuppgiftsansvarige att tillse att den som registreras i
ett vårdregister får information om registret. Någon krav på att informa-
tion skall lämnas muntligen till varje patient finns inte. Även om det
många gånger kan vara lämpligt att informationen lämnas muntligen, får
det ske på annat sätt, t.ex. genom broschyrer eller genom anslag vid
vårdinrättningar.
Sekretess
12 § För utlämnande av personuppgifter från ett vårdregister gäller de
begränsningar som följer av sekretesslagen (1980:100),
patientjournallagen (1985:562), lagen (1994:953) om åligganden för
personal inom hälso- och sjukvården och lagen (1996:786) om tillsyn
över hälso- och sjukvården.
I paragrafen erinras om att ett flertal tystnadsplikts- och
sekretessbestämmelser gäller för utlämnade av personuppgifter från ett
vårdregister. Beträffande vårdregister som förs inom den offentligt
bedrivna vården gäller bl.a. regleringen i sekretesslagen (1980:100) för
utlämnande av uppgifter. Utlämnade av uppgifter från register inom den
privata vården måste ske i beaktande av bestämmelserna om
tystnadsplikt i lagen (1994:953) om åligganden för personal inom hälso-
och sjukvården. Tystnadspliktsbestämmelser finns även i
patientjournallagen (1985:562) och lagen om tillsyn över hälso- och
sjukvården (1996:786).
Rättelse
13 § Personuppgiftslagens (1998:000) bestämmelser om den
personuppgiftsansvariges skyldighet att på begäran av den registrerade
rätta, blockera eller utplåna personuppgifter och att underrätta tredje
man, till vilken uppgifterna har lämnats ut, skall gälla även då
personuppgifter behandlats i strid med denna lag. Detta gäller dock inte
om åtgärderna skulle strida mot bestämmelserna i patientjournallagen
(1985:562).
Förslaget till personuppgiftslags bestämmelser om rättelse är utformad så
att bestämmelsen enbart gäller den lagen. Genom förevarande paragraf
görs personuppgiftslagens (1998:000) bestämmelser tillämpliga även då
personuppgifter behandlas i strid med vårdregisterlagen. Emellertid har i
paragrafen erinrats om att bestämmelsen inte gäller om åtgärderna skulle
strida mot patientjournallagens (1985:562) regler om rättelse och
förstöring av patientjournal.
Skadestånd
14 § Bestämmelserna i personuppgiftslagen (1998:000) om skadestånd
gäller vid behandling av personuppgifter enligt denna lag.
Förslaget till personuppgiftslags bestämmelse om skadestånd är utformad
så att den gäller vid överträdelse av den lagen. Genom förevarande para-
graf görs personuppgiftslagens bestämmelser tillämpliga även då per-
sonuppgifter behandlas i strid med vårdregisterlagen.
Ikraftträdande
Denna lag träder i kraft den 24 oktober 1998.
Lagen träder i kraft samtidigt som personuppgiftslagen.
De personregister som före lagens ikraftträdande inrättats genom
tillstånd från Datainspektionen och som omfattas av denna lags
tillämpningsområde och ändamålsbestämmelse, skall genom lagens
ikraftträdande anses utgöra vårdregister. Detsamma gäller de
personregister som inrättats med stöd av bestämmelserna i 2 a § andra
stycket 2 eller 4 datalagen (1973:289).
14.3 Förslagen till lagar om upphävande av lagen
(1991:425) om viss uppgiftsskyldighet inom hälso-
och sjukvården och av kungörelsen (1957:632) om
cancerregister
Härigenom föreskrivs att lagen (1991:425) om viss uppgiftsskyldighet
inom hälso- och sjukvården skall upphöra att gälla den dag som
regeringen bestämmer.
I lagen om viss uppgiftsskyldighet inom hälso- och sjukvården föreskrivs
att landsting och kommuner, enligt vad regeringen närmare föreskriver,
skall lämna uppgifter från hälso- och sjukvården till Socialstyrelsen och
Läkemedelsverket för forskning och framställning av statistik på
området. I propositionen föreslås att bestämmelser om uppgiftsskyldighet
skall tas in i lagen om hälsodataregister. Den särskilda lagen blir därför
överflödig och kan upphävas. Detta bör dock inte ske förrän
hälsodataregisterlagen fått giltighet för alla berörda register.
Härigenom föreskrivs att kungörelsen (1957:632) om cancerregister
skall upphöra att gälla den dag som regeringen bestämmer.
Cancerregistret har tillkommit efter riksdagens hörande och regleras i
den av regeringen utfärdade kungörelsen (1957:632) om cancerregister.
Avsikten är att Cancerregistret skall utgöra ett hälsodataregister enligt
lagen om hälsodataregister och att regeringen skall fatta beslut härom i
en förordning. Nuvarande kungörelse kan därvid upphävas. Eftersom
riksdagen medverkat vid kungörelsens tillkomst skall riksdagen också
medverka vid kungörelsens upphävande. Detta kan ske genom ett
bemyndigande i föreslagen form.
Kommitténs sammanfattning
Verksamheten inom hälso- och sjukvården är mycket
informationsintensiv. Inom vården sker dokumentationen av
integritetskänsliga uppgifter om patienter främst i patientjournaler. Dessa
uppgifter används inte bara inom vården utan också för andra ändamål
såsom administration på verksamhetsområdet samt uppföljning,
utvärdering och kvalitetssäkring av såväl verksamheten som
behandlingsmetoder. Uppgifter i patientjournaler används även för tillsyn
och forskning. Dessutom förs uppgifter vidare till centrala
förvaltningsmyndigheter där de dokumenteras och vanligen används för
framställning av statistik och som underlag för forskning. Ju mer
kunskaperna om människan och våra sjukdomar ökar, desto mer
information behövs för att man på ett relevant sätt skall kunna vidta rätta
åtgärder.
Datorer har använts inom hälso- och sjukvården sedan slutet av 1950-
talet. Datoriseringen av vården inleddes inom de ekonomi- och
personaladministrativa funktionerna samt inom medicinsk service
(laboratorier o.dyl.). Därefter datoriserades stora delar av
patientadministrationen, främst på sjukhusen. Under senare år har det
även skett en omfattande utbyggnad av datorstödet för
patientjournalföring. datoriseringen har nått längst inom primärvården
där mellan 80 och 85 procent av vårdenheterna hade tillgång till
datoriserad journalföring vid utgången av 1994. Det kan antas att
datorstödet för patientjournalföring inom den slutna vården kommer att
byggas ut kraftigt under de närmast åren. Utmärkande för användningen
av informationsteknik (IT) inom vården är att den används för att
effektivisera, underlätta och förbättra det praktiska vårdarbetet och
administrationen av detta.
På central myndighetsnivå har hälsodata dokumenterats i olika register
med datorstöd sedan länge. Till skillnad från den lokala regionala nivån
där utvecklingen kännetecknas av en kraftigt ökad IT-användning,
innebär utvecklingen på central nivå mer en förändrad utformning av IT-
användningen. Det ställs krav på att hälso- och sjukvården skall utnyttja
ianspråktagna resurser effektivt. Samtidigt krävs att vården skall vara av
hög kvalitet och att verksamheten skall bedrivas på ett säkert sätt. Kraven
på en effektiv förvaltning samt utveckling i hälso- och sjukvårdens
omvärld medför att man inom vården måste ha tillgång till modern
teknik.
Kraven på ökad effektivitet och vårdens behov av ett ökat
informationsflöde i förening med den mycket snabba tekniska
utvecklingen inom IT-området ställer särskilda krav på att den enskildes
personliga integritet skyddas. Med personlig integritet avser regeringen
att den enskilde av rättsordningen på olika sätt skall tillförsäkras en rätt
till en privat sfär som inrymmer bl.a. att själv bestämma vilka uppgifter
om sina personliga förhållanden som han vill lämna ut. Denna rätt för
den enskilda kan dock inte vara fullständigt okränkbar. Vissa intrång
måste få göras om det är motiverat v andra viktiga intressen, t.ex.
bevakning av hälsoläget. Det går inte att ställa upp någon generell gräns
för vilka intrång i den personliga integriteten som den enskilde måste
tåla. Gränserna får i stället dras upp genom en avvägning för respektive
område.
Våra förslag innebär inte någon rätt för den enskilde patienten att
beslut om han skall ingå i ett datoriserat personregister eller inte.
Däremot är det inget som hindrar den personuppgiftsansvarige att
samtidigt föra manuella register. Registreringen av uppgifter om enskilda
kommer sålunda att ske oberoende av den enskildes medverkan.
Användningen av personregister inom hälso- och sjukvårdens område
kräver idag Datainspektionens tillstånd. I viss omfattning får
personregister även föras utan tillstånd. Den registrering som
förekommer avser mycket känsliga uppgifter och när IT–användningen
är fullt utbyggd kommer personregistren tillsammans att innehålla
uppgifter om hela eller i stort sett hela befolkningen. Mot bakgrund av
arten och omfattningen av den personregistrering som sker inom hälso-
och sjukvården samt det förhållandet att registrering skall få ske inom
hälso- och sjukvården samt det förhållandet att registrering skall få ske
oavsett den enskildes inställning härtill, bör skyddet för den personliga
integriteten lyftas upp från myndighetsnivå till riksdagen och regeringen.
Regeringen lämnar därför förslag till två nya lagar som skall reglera IT
användningen inom hälso- och sjukvården, nämligen lag om
hälsodataregister och lag om vårdregister.
Hälsodataregister
Uppgiften att följa sjukdomars utbredning i landet, att upptäcka
begynnande epidemier av smittsamma sjukdomar eller förekomsten av
nya missbildningar eller sällsynta sjukdomar, att studera orsaker till olika
sjukdomar och att följa eller studera hälsotillståndet hos olika
befolkningsgrupper utifrån kön, ålder, social bakgrund och regionala
skillnader m.m. kommer enligt vår mening att kräva rikstäckande
hälsodataregister även i framtiden. Hälsodataregister bör även i
fortsättningen få föras på central nivå. Mot den nu redovisade
bakgrunden föreslår vid att hälsodataregister skall få föras av centrala
förvaltningsmyndigheter inom hälso- och sjukvårdens område för
1) framställning av statistik, 2) uppföljning, utvärdering och
kvalitetssäkring av hälso- och sjukvården samt 3) forskning och
epidemiologiska undersökningar.
De centrala förvaltningsmyndigheter inom hälso- och sjukvårdens
område som nu för personregister vilka kommer att omfattas av
författningsregleringen är Socialstyrelsen, Läkemedelsverket och
Smittskyddsinstitutet. Nuvarande personregistret som berörs av
regleringen är för Socialstyrelsens vidkommande Cancerregistret,
Cancer–miljöregistret, Medicinska födelseregistret med
missbildningsregistret samt Sjukvårdsregistret och för
Läkemedelsverkets vidkommande biverkningsregistren. Beträffande
Smittskyddsinstitutet kommer Epidemiregistret och Tuberkulosregistret
att omfattas av den föreslagna regleringen.
Regeringen föreslår att vissa frågor som är gemensamma för alla
hälsodataregister tas in i en registerlag. Här regleras frågor om
uppgiftsskyldighet och sådana frågor som direkt angår skyddet för den
personliga integriteten, såsom registerändamål, registerinnehåll,
möjlighet till sambearbetning och utlämnande av uppgifter med hjälp av
IT. Inrättandet av register skall däremot inte ske genom lagen utan
genom särskilt beslut av regeringen intaget i en förordning. I
förordningen tas in bestämmelser som närmare för varje särskilt register
reglerar de frågor som anges i lagen men även sådant som inte regleras i
lagen, t.ex. personuppgiftsansvarig myndighet.
Ett hälsodataregister får innehålla endast de uppgifter som behövs för
de ändamål för vilka registret förs. Det ankommer på regeringen att i
förordningen för respektive register närmare ange dess innehåll. Den som
är personuppgiftsansvarig för ett hälsodataregister får genom
sambearbetning hämta uppgifter till registret från andra personregister.
Även här gäller begränsningen att uppgifterna skall inhämtas för det
ändamål för vilket registret förs. Personnummer bör få användas som
identifierare i hälsodataregister. Regeringen bör dock i samband med
inrättandet av ett hälsodataregister särskilt överväga behovet av att i
registret använda personnummer.
Regeringen föreslår också att den som bedriver verksamhet inom
hälso- och sjukvården skall vara skyldig att lämna uppgifter till
hälsodataregister. Denna skyldighet skall ses mot bakgrund av vikten av
att uppgifterna i ett hälsodataregister är fullständiga, varför
rapporteringen inte kan grundas på ett frivilligt åtagande från
vårdgivarna.
Regeringen skall i förordningen för respektive hälsodataregister som
nämndes ovan ange vilka uppgifter registret får innehålla. Därvid måste
noga övervägas vilka uppgifter som behöver registreras för att registret
skall kunna användas för sitt ändamål. Mot denna bakgrund föreslår
regeringen inte någon begränsning av möjligheterna att söka på de
uppgifter som finns i ett hälsodataregister.
Det är endast den myndighet som är personuppgiftsansvarig för ett
hälsodataregister som får ha direkt åtkomst till uppgifterna i registret.
Detta är viktigt för att förhindra spridningen av integritetskänsliga
uppgifter. Vidare får uppgifter i ett hälsodataregister lämnas ut på
medium för automatisk databehandling endast om de skall användas för
ändamål för vilka ett hälsodataregister får föras.
Många epidemiologiska undersökningar och forskningsprojekt kräver
tillgång till uppgifter som samlats in kontinuerligt under en lång tid. Det
är mycket svårt att fastställa en tidpunkt när insamlade uppgifter inte
längre behövs för dessa ändamål. Intresset av att bevara uppgifter är
enligt vår mening starkare än det integritetsskyddsintresse som kan tala
för att gallring skall ske efter viss tid. Regeringen föreslår därför inge
särskilda gallringsföreskrifter utan hänvisar till den generella reglering
som finns i arkivlagen (1990:782).
Beträffande kontroll- och säkerhetsfrågor anser regeringen det vara
mest lämpligt att föreskrifter även fortsättningsvis meddelas av
Tillsynsmyndigheten.
Vårdregister
Vårdregister får enligt regeringens förslag föras av den som bedriver
vård enligt hälso- och sjukvårdslagen (1982:763), enligt tandvårdslagen
(1985:125), enligt lagen (1991:1128) om psykiatrisk tvångsvård eller
enligt lagen (1991:1129) om rättspsykiatrisk vård samt i verksamhet som
avser smittskydd enligt smittskyddslagen (1988:1472). Lagen föreslås
gälla såväl offentligt som privat bedriven vård.
Vårdregisterlagen reglerar inte alla slag av personregister som
förekommer hos vårdgivarna. Lagens ändamålsbestämmelse anger att
vårdregister får föras i och för vården av patienter, dvs. för
dokumentation av vården eller för sådan administration som rör patienter
och som syftar till att bereda vård i enskilda fall. Dessutom får
vårdregister föras för den ekonomiadministration som föranleds av vård i
enskilda fall. Ett vårdregister får föras för ett eller flera av dessa
ändamål. Personregister som har ett vidare ändamål än vad som nu
angetts däremot inte vårdregister och omfattas därför inte av lagen.
Regleringen innebär att vårdregister får föras inom vårdens
individinriktade verksamhet.
Ett vårdregister får dessutom användas för framställning av statistik,
för uppföljning, utvärdering, kvalitetssäkring och administration på
verksamhetsområdet samt för uppgiftslämnande som föreskrivs i lag eller
förordning. Personregister som förs särskilt för nu nämnda ändamål utgör
däremot inte vårdregister. För sådana personregister föreslår regeringen
att det även i fortsättningen skall krävas Tillsynsmyndighetens tillstånd
eller att inspektionen utfärdar generella sektorsföreskrifter.
Bestämmelsen om vad ett vårdregister får innehålla måste utformas
mot bakgrund av bestämmelser i andra författningar om vad en
patientjournal skall innehålla. I detta hänseende finns ingen
detaljreglering utan en patientjournal skall tillföras de uppgifter som
behövs för en god och säker vård av patienten. Regeringens förslag
innebär att ett vårdregister får innehålla de uppgifter som behövs för att
registret skall kunna användas i och för vården av patienter eller för
sådan ekonomiadministration som föranleds av vård i enskilda fall. För
dessa ändamål får även uppgifter genom sambearbetning inhämtas till ett
vårdregister från andra vårdregister, förutsatt att sekretessreglerna
medger att uppgifterna får lämnas ut. Uppgifter för uppdatering av
patientens folkbokföringsförhållanden får dessutom hämtas till ett
vårdregister från andra personregister än vårdregister. Av säkerhetsskäl
får det inte råda någon tvekan om vilken enskild patient de registrerade
uppgifter avser. Med hänsyn härtill bör personnummer få användas som
identifierare även i vårdregistren.
Den omständigheten att ett vårdregister får användas för
patientjournalföring innebär att ett vårdregister kan komma att innehålla
en stor mängd mycket känsliga uppgifter. De ändamål för vilka ett
vårdregister får användas kräver inte att det är möjligt att söka på alla
uppgifter som finns i registret. Regeringen har därför ansett att det
motiverat med ett förbund att söka upp vissa särskilt integritetskänsliga
uppgifter. Som utgångspunkt för den föreslagna sökordsbegränsningen
har regeringen tagit bestämmelsen i 4 § datalagen (1973:289).
Regeringens förslag innebär att det är tillåtet att använda uppgifter om
sjukdom och hälsotillstånd samt uppgift om att någon beretts psykiatrisk
tvångsvård eller rättspsykiatrisk vård som sökbegrepp i ett vårdregister.
Övriga uppgifter av de slag som anges i 4 § datalagen bör däremot inte få
användas som sökbegrepp.
Direkt åtkomst till uppgifter i ett vårdregister får endast den ha som
behöver tillgång till uppgifter för att kunna utföra sitt arbete. Vidare skall
uppgifterna behövas för något av de ändamål för vilka ett vårdregister får
användas och åtkomsten får inte avse andra uppgifter än vad som behövs
för arbetets utförande. För att uppgifter skall få lämnas på medium för
automatisk databehandling krävs att uppgifterna skall användas för något
av de ändamål för vilka ett vårdregister får användas eller att uppgifterna
skall användas för forskning.
I fråga om bevarande och gallring föreslår regeringen inte någon
särskild bestämmelse utan hänvisar till den reglering som finns i
arkivlagen, patientjournallagen och datalagen.
Även beträffande vårdregistren anser regeringen det vara mest lämpligt
att Tillsynsmyndigheten meddelar föreskrifter i kontroll- och
säkerhetsfrågor.
Patient- och personalkort
Regeringen har även studerat om introduktionen av minneskort (s.k.
smart cards) i form av patient- och personalkort ställer krav på ändring,
komplettering eller förtydligande i gällande författningar. Användningen
av sådana kort har ännu inte fått någon mer omfattande utbredning inom
hälso- och sjukvården. Användningen av minneskort övervägs för
närvarande även inom andra samhällsområden. Gällande lagstiftning
medger inte att ett minneskort som innehas av den enskilde patienten
ersätter patientjournalen. Regeringen anser det inte heller realistiskt att
genom lagändringar låta minneskorten få denna funktion. I övrigt finns
det enligt vår bedömning inte några för hälso- och sjukvårdens område
särskilda rättsliga problem förenade med användningen av minneskort
som nu behöver regleras och som inte föreligger vid en allmän
användning av sådana kort.
Kommitténs lagförslag
Förslag till lag om hälsodataregister
Härigenom föreskrivs följande.
Lagens tillämpningsområde
1 § Denna lag gäller personregister enligt 1 § datalagen (1973:289) som
förs av central förvaltningsmyndighet inom hälso- och sjukvården för de
ändamål som anges i 3 § denna lag (hälsodataregister).
När hälsodataregister får föras
2 § Ett hälsodataregister får föras när regeringen genom en förordning
har beslutat att inrätta registret.
Registerändamål
3 § Ett hälsodataregister får inrättas och föras för följande ändamål:
1. framställning av statistik
2. uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård
3. forskning och epidemiologiska undersökningar.
Registerinnehåll
4 § Ett hälsodataregister får innehålla endast de uppgifter som behövs för
de ändamål som anges 3 §.
Sambearbetning
5 § För de ändamål som anges i 3 § får den som är registeransvarig enligt
1 § datalagen (1973:289) för ett hälsodataregister hämta uppgifter till
registret från andra personregister.
Uppgiftsskyldighet
6 § Den som bedriver verksamhet inom hälso- och sjukvården skall
lämna uppgifter till hälsodataregister för de ändamål som anges i 3 §.
Regeringen får meddela föreskrifter om uppgiftsskyldigheten enligt
första stycket.
Sökbegrepp
7 § Som sökbegrepp får användas uppgifter som enligt 4 § får ingå i ett
hälsodataregister.
Direkt åtkomst till uppgifter i hälsodataregister
8 § Direkt åtkomst till uppgifter i ett hälsodataregister får endast den ha
som är registeransvarig.
Utlämnande på medium för automatisk databehandling
9 § Uppgifter i ett hälsodataregister får lämnas ut på medium för
automatisk databehandling endast om uppgifterna skall användas för de
ändamål som anges i 3 §.
Bevarande och gallring
10 § Bestämmelser om bevarande och gallring finns i arkivlagen
(1990:782).
Information
11 § Den som är registeransvarig för ett hälsodataregister skall lämna
information om registret till den som registreras, såvida denne inte på
annat sätt fått sådan information. Även allmänheten skall informeras om
registret.
Övriga bestämmelser
12 § Enskild persons identitet får inte avslöjas i de redovisningar som
sker med uppgifter ur ett hälsodataregister.
Ikraftträdande
Denna lag träder i kraft den 1 januari 1997
Ett motsvarande personregister som inrättats före ikraftträdandet får
utan hinder av lagen föras intill utgången av år 1998, om registret inte
ersätts av ett hälsodataregister inrättat enligt denna lag.
Lag om vårdregister
Härigenom föreskrivs följande.
Lagens tillämpningsområde
1 § Denna lag gäller personregister enligt 1 § datalagen (1973: 289) som
förs inom vården för de ändamål som anges i 3 § denna lag
(vårdregister).
Med vård enligt denna lag avses vård enligt hälso- och sjukvårdslagen
(1982:763), tandvårdslagen (1985:125), lagen (1991:1128) om
psykiatrisk tvångsvård och lagen (1991:1129) om rättspsykiatrisk vård
samt smittskydd enligt smittskyddslagen (1988:1472).
Vem som får föra vårdregister
2 § Den som bedriver vård som anges i 1 § får föra vårdregister.
Registerändamål
3 § Ett vårdregister får föras i och för vården av patienter. Härmed avses
att registret förs för dokumentation av vården eller för sådan
administration som rör patienter och som syftar till att bereda vård i
enskilda fall.
Ett vårdregister får även föras för den ekonomiadministration som
föranleds av vård i enskilda fall.
4 § Ett vårdregister får utöver vad som anges i 3 § användas
– för framställning av statistik samt för uppföljning, utvärdering,
kvaliltetssäkring och administration på verksamhetsområdet, och
– för uppgiftslämnande som föreskrivs i lag eller förordning.
Registerinnehåll
5 § Ett vårdregister får innehålla de uppgifter som enligt lag eller
förordning eller enligt föreskrifter som meddelas med stöd av lag eller
förordning antecknas i en patientjournal. Registret får även innehålla
andra uppgifter som antecknas i och för vården av patienter samt
uppgifter som behövs för sådan administration som avses i 3 § andra
stycket.
Sambearbetning
6 § Uppgifter om en patient som behövs för vård av denne samt uppgifter
som behövs för den ekonomiadministration som föranleds av den
aktuella vården får hämtas till ett vårdregister från andra sådana register.
Uppgifter för uppdatering av patientens folkbokföringsförhållanden får
dessutom hämtas till ett vårdregister från andra personregister än
vårdregister.
Sökbegrepp
7 § Uppgifter som avses i 4 § datalagen (1973:289) får inte användas
som sökbegrepp. Detta gäller dock inte uppgifter om sjukdom och
hälsotillstånd samt uppgifter om någon varit föremål för
tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård
eller lagen (1991:1129) om rättspsykiatrisk vård.
Direkt åtkomst till uppgifter i vårdregister
8 § Direkt åtkomst till uppgifter i ett vårdregister får endast den ha som
för de ändamål som anges i 3 och 4 § § behöver tillgång till uppgifter för
att kunna utföra sitt arbete. Åtkomsten får inte avse andra uppgifter än
vad som behövs för arbetets utförande.
Utlämnande på medium för automatisk databehandling
9 § Uppgifter i ett vårdregister får lämnas ut på medium för automatisk
databehandling endas om uppgifterna skall användas för de ändamål som
anges i 3 och 4 § § eller för forskning.
Bevarande och gallring
10 § Bestämmelser om bevarande och gallring finns i arkivlagen
(1990:782), patientjournallagen (1985:562) och datalagen (1973:289).
Information
11 § Den som är registeransvarig enligt 1 § datalagen (1973:289) får ett
vårdregister skall se till att den som registreras på lämpligt sätt får
information om registret.
Informationen skall innehålla upplysning om
1. vem som är registeransvarig,
2. ändamålet med registret,
3. vilken typ av uppgifter som ingår i registret,
4. den uppgiftsskyldighet som följer av 6 § lagen (1998:000) om
hälsodataregister,
5. de sekretess och säkerhetsbestämmelser som gäller för registret,
6. rätten att få registerutdrag enligt 10 § datalagen (1973:289),
7. rätten till rättelse av oriktiga eller missvisande uppgifter,
8. vad som gäller i fråga om sökbegrepp, direkt åtkomst och
utlämnande av uppgifter på medium för automatisk databehandling,
9. vad som gäller i fråga om bevarande och gallring av uppgifter, samt
10. om registreringen är frivillig eller inte.
Ikraftträdande
Denna lag träder i kraft den 1 januari 1997.
Följande remissinstanser har beretts möjlighet att
lämna synpunkter
Riksdagens ombudsmän (JO), Hovrätten över Skåne och Blekinge,
Kammarrätten i Stockholm, Justitiekanslern, Datainspektionen,
Kriminalvårdsstyrelsen, Riksförsäkringsverket, Socialstyrelsen,
Folkhälsoinstitutet, Läkemedelsverket, Smittskyddsinstitutet,
Rättsmedicinalverket, Hälso- och sjukvårdens ansvarsnämnd, Statens
beredning för utvärdering av medicinsk metodik, Socialvetenskapliga
forskningsrådet, Statens institutionsstyrelse, Statskontoret, Statistiska
centralbyrån, Riksarkivet, Skolverket, Medicinska forskningsrådet,
Karolinska institutet, Hälsouniversitetet i Linköping, Medicinska
fakulteten vid Lunds universitet, Farmaceutiska fakulteten vid Uppsala
universitet, Arbetarskyddsstyrelsen, Stockholms läns landsting,
Landstinget Sörmland, Landstinget i Östergötland, Malmöhus läns
landsting, Landstinget i Älvsborg, Örebro läns landsting, Landstinget
Västernorrland, Norrbottens läns landsting, Stockholms stad, Upplands
Väsby kommun, Linköpings kommun, Jönköpings kommun, Malmö
stad, Göteborgs stad, Borås kommun, Sundsvalls kommun, Umeå
kommun, Landstingsförbundet, Svenska kommunförbundet, Hälso- och
sjukvårdens utvecklingsinstitut (Spri), Apoteket AB,
Läkemedelsindustriföreningen, Landsorganisationen i Sverige (LO),
Tjänstemännens centralorganisation (TCO), Sveriges Akademikers
Centralorganisation (SACO), Svenska Arbetsgivareföreningen, Sveriges
läkarförbund, Vårdförbundet SHSTF, Sveriges Tandläkarförbund,
Sveriges Psykologförbund, Sveriges Farmaceutförbund, Svenska
Läkaresällskapet, Riksförbundet för Enskild Vård, Sveriges Allmänna
Patientförening, Vårdkonsumenternas Riksförbund,
Handikappförbundens Samarbetsorgan, De Handikappades Riksförbund,
Synskadades Riksförbund, Sveriges Dövas Riksförbund, Bygg Hälsan
AB, Previa rikshälsan, Praktikertjänst AB, Carlanderska Sjukhemmet,
Sophiahemmet.
Följande remissinstanser har antingen inte besvarat remissen eller inte
redovisat några synpunkter:
Statens beredning för utvärdering av medicinsk metodik, Skolverket,
Landstinget Västernorrland, Norrbottens läns landsting, Göteborgs stad,
Borås kommun, Landsorganisationen i Sverige (LO), Sveriges
Akademikers Centralorganisation (SACO), Svenska
Arbetsgivareföreningen, Sveriges Tandläkarförbund, Sveriges
Psykologförbund, Sveriges Farmaceutförbund, Riksförbundet för Enskild
Vård, Sveriges Allmänna Patientförening, Vårdkonsumenternas
Riksförbund, De Handikappades Riksförbund, Synskadades Riksförbund,
Sveriges Dövas Riksförbund, Bygg Hälsan AB, Previa rikshälsan,
Praktikertjänst AB, Carlanderska Sjukhemmet och Sophiahemmet.
Följande remissinstanser har uppgett att redovisade synpunkter endast
avser vissa delar av betänkandet:
Hovrätten över Skåne och Blekinge samt Arbetarskyddsstyrelsen har
uppgett att redovisade synpunkter endast avser lagförslaget om
hälsodataregister. Statens institutionsstyrelse har uppgett att styrelsen
avstår från att lämna synpunkter med undantag för vissa delar av
lagförslaget om hälsodataregister. Hälso- och sjukvårdens ansvarsnämnd
samt Linköpings kommun har uppgett att redovisade synpunkter endast
avser lagförslaget om vårdregister.
Remissinstaner som har inkommit med yttrande på eget initiativ:
Riksförbundet för Social och Mental Hälsa (RSMH).
Lagrådsremissens lagförslag
Förslag till lag om hälsodataregister
Härigenom föreskrivs följande.
Lagens tillämpningsområde
1 § Denna lag gäller automatiserad behandling av personuppgifter som
utförs av central förvaltningsmyndighet inom hälso- och sjukvården för
de ändamål som anges i 5 §.
Förhållandet till personuppgiftslagen
2 § Om inget annat följer av denna lag eller föreskrifter som meddelats
med stöd härav, tillämpas personuppgiftslagen (1998:000) vid
behandling av personuppgifter för hälsodataregister.
Hälsodataregister
3 § Hos sådan myndighet som nämns i 1 § får med hjälp av
automatiserad behandling föras hälsodataregister när detta har
föreskrivits av regeringen. Regeringen får i samband därvid meddela
föreskrifter till skydd för personlig integritet.
Definitioner
4 § Med behandling, blockering, den registrerade, personuppgifter och
personuppgiftsansvarig förstås i denna lag detsamma som i
personuppgiftslagen (1998:000).
Ändamål
5 § Personuppgifter i ett hälsodataregister får behandlas för följande
ändamål:
1. framställning av statistik,
2. uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård
eller
3. forskning och epidemiologiska undersökningar.
Innehåll
6 § Ett hälsodataregister får innehålla endast de uppgifter som behövs
för de ändamål för vilka personuppgifter får behandlas enligt 5 §.
Samkörning
7 § Den som är personuppgiftsansvarig för behandlingen av
personuppgifter i ett hälsodataregister får för de ändamål som anges i 5 §
hämta personuppgifter till registret genom samkörning.
Uppgiftsskyldighet
8 § Den som bedriver verksamhet inom hälso- och sjukvården skall
lämna uppgifter till ett hälsodataregister för de ändamål som anges i 5 §.
Regeringen får meddela närmare föreskrifter om uppgiftsskyldighet
enligt första stycket.
Sökbegrepp
9 § Som sökbegrepp i ett hälsodataregister får användas uppgifter som
enligt 6 § får ingå i ett hälsodataregister.
Direktåtkomst till uppgifter i hälsodataregister
10 § Direktåtkomst till uppgifter i ett hälsodataregister får endast den ha
som är personuppgiftsansvarig.
Bevarande och gallring
11 § Bestämmelser om bevarande och gallring finns i arkivlagen
(1990:782).
Redovisningar
12 § Enskilda personers identitet får inte avslöjas i de redovisningar som
görs med hjälp av uppgifter ur ett hälsodataregister.
Sekretess
13 § I sekretesslagen (1980:100) finns bestämmelser om rätten att lämna
ut personuppgifter från ett hälsodataregister.
Utlämnande på medium för automatiserad behandling
14 § Personuppgifter i ett hälsodataregister får lämnas ut på medium för
automatiserad behandling endast om uppgifterna skall användas för de
ändamål som anges i 5 §.
Rättelse och skadestånd
15 § Personuppgiftslagens (1998:000) bestämmelser om rättelse och
skadestånd gäller vid behandling av personuppgifter enligt denna lag
eller föreskrifter som meddelats med stöd av lagen.
______________
Denna lag träder i kraft den 24 oktober 1998. Om behandling av
personuppgifter för ett ändamål som avses i denna lag påbörjats före
ikraftträdandet gäller äldre bestämmelser t.o.m. den 30 september 2001
om behandlingen inte omfattas av ett hälsodataregister enligt denna lag
Förslag till lag om vårdregister
Härigenom föreskrivs följande.
Lagens tillämpningsområde
1 § Denna lag gäller automatiserad behandling av personuppgifter som
utförs inom vården för de ändamål som anges i 5 §.
Med vård enligt denna lag avses vård enligt hälso- och sjukvårdslagen
(1982:763), tandvårdslagen (1985:125), lagen (1991:1128) om
psykiatrisk tvångsvård och lagen (1991:1129) om rättspsykiatrisk vård
samt smittskydd enligt smittskyddslagen (1988:1472).
Förhållandet till personuppgiftslagen
2 § Om inget annat följer av denna lag eller föreskrifter som meddelats
med stöd härav, tillämpas personuppgiftslagen (1998:000) vid
behandling av personuppgifter för vårdregister.
Vårdregister
3 § Den som bedriver vård som nämns i 1 § andra stycket får med hjälp
av automatiserad behandling föra vårdregister.
Definitioner
4 § Med behandling, blockering, den registrerade, personuppgifter,
personuppgiftsansvarig, och tredje man förstås i denna lag detsamma
som i personuppgiftslagen (1998:000).
Ändamål
5 § Personuppgifter i ett vårdregister får behandlas i och för vården av
patienter. Detta innebär att behandling får utföras för dokumentation av
vården eller för sådan administration som rör patienter och som syftar till
att bereda vård i enskilda fall.
Behandling av personuppgifter får även utföras för den
ekonomiadministration som föranleds av vård i enskilda fall.
6 § Personuppgifter i ett vårdregister får, utöver vad som anges i 5 §,
behandlas
för följande ändamål:
1. framställning av statistik,
2. uppföljning, utvärdering, kvalitetssäkring och administration på
verksamhetsområdet, eller
3. uppgiftsutlämnande som föreskrivs i lag eller förordning.
Innehåll
7 § Ett vårdregister får innehålla de uppgifter som enligt lag eller annan
författning antecknas i en patientjournal. Registret får även innehålla
andra uppgifter som antecknas i och för vården av patienter samt
uppgifter som behövs för sådan administration som avses i 5 § andra
stycket.
Samkörning
8 § Uppgifter om en patient som behövs för vård av denne samt
uppgifter som behövs för den ekonomiadministration som föranleds av
den aktuella vården får hämtas till ett vårdregister från andra vårdregister
genom samkörning. Dessutom får uppgifter om patientens
folkbokföringsort hämtas till registret genom samkörning.
Sökbegrepp
9 § Personuppgifter som avses i 13 eller 21 § personuppgiftslagen
(1998:000) får inte användas som sökbegrepp i ett vårdregister. Inte
heller får uppgifter om att någon fått ekonomisk hjälp eller vård inom
socialtjänsten eller varit föremål för åtgärd enligt utlänningslagen
(1989:529) användas som sökbegrepp.
Det är trots förbudet i första stycket tillåtet att som sökbegrepp
använda uppgifter om sjukdom och hälsotillstånd samt uppgifter om att
någon varit föremål för tvångsingripande enligt lagen (1991:1128) om
psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård
användas som sökbegrepp.
Direktåtkomst till uppgifter i vårdregister
10 § Direktåtkomst till uppgifter i ett vårdregister får endast den ha som
för de ändamål som anges i 5 och 6 §§ behöver tillgång till uppgifterna
för att kunna utföra sitt arbete. Åtkomsten får endast avse de uppgifter
som behövs för arbetets utförande.
Gallring
11 § Bestämmelser om bevarande och gallring finns i
patientjournallagen (1985:562), arkivlagen (1990:782) och
personuppgiftslagen (1998:000).
Information
12 § Den som är personuppgiftsansvarig för ett vårdregister skall se till
att den registrerade får information om behandlingen.
Informationen skall innehålla upplysningar om
1. vem som är personuppgiftsansvarig,
2. ändamålet med registret,
3. vilken typ av uppgifter som ingår i registret,
4. den uppgiftsskyldighet som följer av lagen (1998:000) om
hälsodataregister,
5. de sekretess- och säkerhetsbestämmelser som gäller för registret,
6. rätten att få registerutdrag enligt 26 § personuppgiftslagen
(1998:000),
7. rätten till rättelse av oriktiga eller missvisande uppgifter,
8. rätten till skadestånd vid behandling av personuppgifter i strid med
denna lag,
9. vad som gäller i fråga om sökbegrepp, direktåtkomst och
utlämnande av uppgifter på medium för automatiserad behandling,
10. vad som gäller i fråga om bevarande och gallring av uppgifter,
samt
11. om registreringen är frivillig eller inte.
Sekretess
13 § För utlämnande av personuppgift från ett vårdregister gäller de
begränsningar som följer av sekretesslagen (1980:100),
patientjournallagen (1985:562), lagen (1994:953) om åligganden för
personal inom hälso- och sjukvården och lagen (1996:786) om tillsyn
över hälso- och sjukvården.
Utlämnande på medium för automatiserad behandling
14 § Personuppgifter i ett vårdregister får lämnas ut på medium för
automatiserad behandling endast om de skall användas för de ändamål
som anges i 5 och 6 §§ eller för forskningsändamål.
Rättelse
15 § Personuppgiftslagens (1998:000) bestämmelser om den
personuppgiftsansvariges skyldighet att på begäran av den registrerade
rätta, blockera eller utplåna personuppgifter och att underrätta tredje
man, till vilken uppgifterna har lämnats ut, skall gälla även då
personuppgifter behandlats i strid med denna lag. Detta gäller dock inte
om åtgärderna skulle strida mot bestämmelserna i patientjournallagen
(1985:562).
Skadestånd
16 § Personuppgiftslagens (1998:000) bestämmelser om skadestånd
gäller vid behandling av personuppgifter enligt denna lag.
Denna lag träder i kraft den 24 oktober 1998.
Förslag till lag om upphävande av lagen (1991:425) om viss
uppgiftsskyldighet inom hälso- och sjukvården
Härigenom föreskrivs att lagen (1991:425) om viss uppgiftsskyldighet
inom hälso- och sjukvården skall upphöra att gälla den dag som
regeringen bestämmer.
Förslag till lag om upphävande av kungörelsen (1957:632) om
cancerregister
Härigenom föreskrivs att kungörelsen (1957:632) om cancerregister
skall upphöra att gälla den dag som regeringen bestämmer.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 1998-02-25
Närvarande: regeringsrådet Stig von Bahr, regeringsrådet
Arne Baekkevold, justitierådet Leif Thorsson.
Enligt en lagrådsremiss den 29 januari 1998 (Socialdepartementet) har
regeringen beslutat inhämta Lagrådets yttrande över förslag till
1. lag om hälsodataregister,
2. lag om vårdregister,
3. lag om upphävande av lagen (1991:425) om viss uppgiftsskyldighet
inom hälso- och sjukvården,
4. lag om upphävande av kungörelsen (1957:632) om cancerregister.
Förslagen har inför Lagrådet föredragits av hovrättsassessorn
Maria Lockman.
Förslaget föranleder följande yttrande av Lagrådet:
Förslaget till lag om hälsodataregister
1 '
Se vad Lagrådet anfört under 3 och 4 ''.
3 '
I första meningen anges att det hos sådan myndighet som nämns i 1 ',
dvs. central förvaltningsmyndighet inom hälso- och sjukvården, får med
hjälp av automatiserad behandling föras hälsodataregister när detta har
föreskrivits av regeringen. Enligt andra meningen får regeringen därvid
meddela föreskrifter till skydd för personlig integritet.
Av författningskommentaren framgår att tanken är att regeringen med
stöd av första meningen skall i förordning bestämma vilken myndighet
som skall föra registret. Att första meningen innehåller ett bemyndigande
för regeringen att meddela föreskrifter är emellertid
– särskilt som ett annat uttryckssätt valts i andra meningen – svårt att
utläsa av ordalydelsen. Bestämmelsen bör redan av denna anledning
förtydligas (jfr nedan).
I författningskommentaren anges att bemyndigandet i andra meningen
bygger på 8 kap. 7 ' första stycket 8 regeringsformen (RF). Enligt den
bestämmelsen kan regeringen, utan hinder av 8 kap. 3 eller 5 ', efter
bemyndigande i lag genom förordning meddela föreskrifter till skydd för
personlig integritet vid behandling av personuppgifter (lydelse enligt
prop. 1997/98:44).
En förutsättning för att en tillämpning av 8 kap. 7 ' RF skall komma i
fråga är således att föreskrifter i ämnet enligt 8 kap. 3 eller 5 ' RF annars
endast hade kunnat meddelas genom lag (från 8 kap. 5 ', som saknar
intresse i detta sammanhang, bortses i det följande). Enligt 8 kap. 3 '
skall föreskrifter om förhållandet mellan enskilda och det allmänna, som
gäller åligganden för enskilda eller i övrigt avser ingrepp i enskildas
personliga eller ekonomiska förhållanden, meddelas genom lag. Såvitt
Lagrådet kan förstå avser emellertid de remitterade föreskrifterna –
bortsett från förslaget i 8 ' om uppgiftsskyldighet – inte sådana
åligganden eller ingrepp som avses i 8 kap. 3 ' RF (jfr prop. 1990/91:60
s. 56 ff och 1990/91:KU11 s. 9 ff). Detta hindrar givetvis inte att lagform
ändå väljs (se 8 kap. 14 ' första stycket RF).
Vad nu redovisats leder till slutsatsen att bestämmelserna i 8 kap. RF
om riksdagens rätt att delegera inte är direkt tillämpliga på
bemyndigandena i förevarande paragraf. Vad som i författnings-
kommentaren anförs om den konstitutionella grunden för bemyn-
digandena är alltså enligt Lagrådets uppfattning inte korrekt. I
sammanhanget bör dock konstateras att det vid den praktiska tillämp-
ningen sannolikt inte har så stor betydelse om ett normgivnings-
bemyndigande direkt omfattas av 8 kap. 7 ' RF eller om bemyndigandet
innebär att riksdagen återlämnar en del av den normgivningsmakt som
riksdagen tagit med stöd av 8 kap. 14 ' RF.
I författningskommentaren till 5-7 '' anförs att regeringen avser att i
förordningar meddela närmare föreskrifter om specifika ändamål inom
ramen för de angivna huvudändamål för vilka personuppgifter i ett
hälsodataregister får användas (5 '), om omfattningen och arten av
tillåtna uppgifter (6 ') och om villkoren för samkörning (7 '). Av den
allmänna motiveringen synes vidare framgå att regeringen för varje
hälsodataregister skall överväga om särskilda föreskrifter om gallring
skall införas (11 '). Vid föredragningen inför Lagrådet har upplysts att
nämnda föreskrifter skall meddelas med stöd av bemyndigandet i andra
meningen för regeringen att meddela föreskrifter till skydd för personlig
integritet. Vidare har upplysts att uttrycket "skydd för personlig
integritet" avses markera att de tilltänkta regeringsföreskrifterna skall
innehålla begränsningar i fråga om ändamål för behandlingen och
uppgifter som registret får innehålla samt i fråga om rätten till
samkörning och bevarande av handlingar.
Det finns inget att invända mot att riksdagen genom lag fastställer en
yttre ram för tillåten behandling av personuppgifter samtidigt som
regeringen bemyndigas att i olika hänseenden meddela föreskrifter som,
till skydd för den enskildes integritet, innebär inskränkningar vad gäller
exempelvis samkörning och bevarande av uppgifter. Lagrådet kan därför
i och för sig godta att normgivningen på sätt föreslagits fördelas mellan
föreskrifter i lag och föreskrifter i regeringsförordning. Bemyndigandet i
andra meningen ger dock knappast klart besked om delegeringens
omfattning och inriktning. Enligt Lagrådets uppfattning talar inte minst
tydlighetsskäl för att samtliga bemyndiganden samlas och preciseras i en
–lämpligen lagens sista – paragraf. Den paragrafen kan förslagsvis ges
följande lydelse:
"Regeringen får meddela föreskrifter om
1. vilka myndigheter som får föra hälsodataregister enligt 1 ',
2. begränsning av de i 5 ' angivna ändamålen,
3. begränsningar av de uppgifter som ett hälsodataregister enligt 6 ' får
innehålla,
4. begränsningar av samkörning enligt 7 ',
5. uppgiftsskyldighet enligt 8 ', och
6. begränsningar i rätten att bevara handlingar (11 ')."
Godtas Lagrådets förslag synes den del av den nu behandlade 3 ' som
inte tar sikte på bemyndiganden med fördel kunna överföras till 1 ',
vilken paragraf – med beaktande av vad Lagrådet anfört i anslutning till
4 § – synes kunna ges följande lydelse:
"Central förvaltningsmyndighet inom hälso- och sjukvården får med
hjälp av automatiserad behandling av personuppgifter föra hälsodata-
register. Den centrala fövaltningsmyndigheten som för registret är
personuppgiftsansvarig för behandlingen av personuppgifterna."
4 '
Enligt paragrafen skall vissa begrepp, bl.a. begreppet personuppgifts-
ansvarig, ha samma betydelse i den remitterade lagen som i
personuppgiftslagen. Med personuppgiftsansvarig avses enligt 3 '
personuppgiftslagen (lydelse enligt prop. 1997/98:44) den som ensam
eller tillsammans med andra bestämmer ändamålen med och medlen för
behandlingen av personuppgifter.
I 5 ' det remitterade förslaget anges för vilka ändamål personuppgifter
i ett hälsodataregister får behandlas. Dessa ändamål kan, som framgått av
vad Lagrådet anfört i anslutning till 3 ', senare komma att preciseras i
inskränkande riktning genom föreskrifter som regeringen meddelar. Det
framstår mot denna bakgrund som högst tveksamt om den centrala
förvaltningsmyndigheten får ett sådant inflytande över ändamålen med
behandlingen att myndigheten blir att anse som personuppgiftsansvarig.
F`r att undanröja all osäkerhet på denna punkt bör den i förevarande
paragraf gjorda kopplingen till personuppgiftslagen slopas. I stället bör
det remitterade förslaget kompletteras med en uttrycklig regel om att den
centrala förvaltningsmyndighet som för registret är
personuppgiftsansvarig. En best@mmelse med detta innehåll kan
lämpligen tas in i 1 ' (jfr vad Lagrådet anfört under 3 ').
Enligt 2 ' tillämpas personuppgiftslagen, om inget annat följer av den
remitterade lagen eller föreskrifter som meddelats med stöd av den, vid
behandling av personuppgifter för hälsodataregister. Denna hänvisning
till personuppgiftslagens regelsystem måste enligt Lagrådets mening
omfatta, så länge annat inte sägs, även nämnda lags terminologi. Vad
som föreskrivs i förevarande paragraf om behandling, blockering, den
registrerade och personuppgifter framstår därför som överflödigt. Hela
paragrafen synes således kunna slopas.
5 – 7 ''
Lagrådet får hänvisa till vad som anförts i anslutning till 3 '.
8 '
Godtas vad Lagrådet anfört i anslutning till 3 ' skall bemyndigandet i
andra stycket flyttas till lagens sista paragraf.
11 '
I paragrafen anges att bestämmelser om bevarande och gallring finns i
arkivlagen (1990:782). Av den allmänna motiveringen framgår att avsik-
ten med bestämmelsen är att arkivlagens och inte personuppgiftslagens
bestämmelser i ämnet skall gälla. För att denna innebörd klart skall
framgå behöver paragrafen i och för sig förtydligas. Enligt Lagrådets
mening bör emellertid den föreslagna ordningen inte genomföras av skäl
som Lagrådet utvecklar i det följande.
Personuppgiftslagen gäller vid behandling av personuppgifter om inte
avvikande bestämmelser meddelats i annan författning. I fråga om
bevarande och gallring av uppgifter är huvudregeln i personuppgiftslagen
(9 '; här och i det följande i lydelse enligt prop. 1997/98:44) att en per-
sonuppgift inte får bevaras under längre tid än vad som är nödvändigt
med hänsyn till ändamålen med behandlingen. Personuppgifter får dock
bevaras under längre tid för historiska, statistiska eller vetenskapliga än-
damål. I sådana fall får uppgifterna inte bevaras längre tid än vad som be-
hövs för dessa ändamål. Vidare anges i 8 ' andra stycket personuppgifts-
lagen att bestämmelserna i lagen inte hindrar att en myndighet arkiverar
och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en
arkivmyndighet. Att märka är också att det i 13 ' personuppgiftslagen
finns ett förbud mot behandling av känsliga personuppgifter, till vilka
räknas bl.a. uppgifter som rör hälsa. Undantag från förbudet finns i 14 –
19 '' och avser bl.a. behandling för hälso- och sjukvårdsändamål och för
forsknings- och statistikändamål.
Huvudregeln enligt arkivlagen (3 ') är att allmänna handlingar skall
bevaras. Enligt 10 ' arkivlagen får dock handlingar gallras, varvid skall
beaktas bl.a. att kvarvarande arkivmaterial skall kunna tillgodose rätten
att ta del av allmänna handlingar, rättsskipningens och förvaltningens
behov av information samt forskningens behov.
I den allmänna motiveringen konstateras att olika intressen ställs mot
varandra när det gäller gallring av uppgifter i hälsodataregister. Den
omständigheten att sådana register innehåller många och ibland känsliga
uppgifter om enskilda talar enligt motiven för gallring när uppgifterna
inte längre behövs för sitt ändamål. Andra omständigheter talar enligt
motiven i motsatt riktning. Därvid framhålls bl.a. svårigheterna att på
förhand bestämma i vilken omfattning och hur länge uppgifter i
hälsodataregister kan behöva bevaras innan det kan anses att uppgifterna
har förlorat sitt informationsvärde för bl.a. epidemiologiska
undersökningar och forskningsprojekt. Avvägningen mellan olika
intressen leder enligt motiven fram till att det inte bör införas någon
generell bestämmelse som innebär att uppgifter skall gallras inom vissa
angivna frister. Frågor om bevarande och gallring av uppgifter i
hälsodataregister anses i stället böra lösas med tillämpning av reglerna i
arkivlagen. För varje hälsodataregister skall det enligt motiven övervägas
av regeringen om särskilda föreskrifter om gallring skall införas. Härvid
bör, sägs det vidare, särskilt beaktas att möjligheten att bevara uppgifter
under längre tid enligt personuppgiftslagen endast gäller för historiska,
statistiska och vetenskapliga ändamål, i vilket epidemiologi får anses
inbegripet. Detta medför enligt regeringens mening att den föreslagna
lösningen inte medför någon avvikelse från vad som stadgas i per-
sonuppgiftslagen.
Lagrådet vill till att börja med framhålla att personuppgiftslagen
grundar sig på ett EG-direktiv, närmare bestämt Europaparlamentets och
rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda
personer med avseende på behandling av personuppgifter och om det fria
flödet av sådana uppgifter. Lagrådet har i yttrande den 26 november 1997
över förslag till bl.a. personuppgiftslag (se prop. 1997/98:44 s. 235)
funnit att undantagen i 8 ' andra stycket personuppgiftslagen – dvs. att
bestämmelserna i lagen inte hindrar att en myndighet arkiverar och
bevarar allmänna handlingar eller att arkivmaterial tas om hand av en
arkivmyndighet – strider mot det övergripande syftet med direktivet,
nämligen i första hand att skapa en gemensam hög nivå till skydd för den
personliga integriteten. Lagrådet förordade mot denna bakgrund att
undantagen skulle utgå.
I förevarande ärende har som nämnts ståndpunkten att arkivlagens
bestämmelser skall gälla motiverats med främst svårigheten att på
förhand bestämma i vilken omfattning och under vilken tid uppgifterna
kan behövas för undersöknings– och forskningsändamål. Något hinder på
grund av detta att låta bestämmelserna i personuppgiftslagen om
bevarande vara tillämpliga kan Lagrådet inte finna. Vad som är
avgörande i sammanhanget är dock att direktivet enligt Lagrådets mening
inte lämnar något utrymme att föreskriva att arkivlagens bestämmelser
skall tillämpas med avseende på uppgifterna i hälsodataregister. Rege-
ringen har visserligen anfört att den föreslagna lösningen – genom gall-
ringsbestämmelser i regeringsförordningar, jfr. vad Lagrådet anfört under
3 ' – inte kommer att medföra någon avvikelse från vad som stadgas i
personuppgiftslagen. Arkivlagen ger emellertid enligt ordalagen större
möjligheter till bevarande än direktivet och strider således mot detta. En
hänvisning i förevarande lag till arkivlagens bestämmelser kommer
därför också i konflikt med direktivet. Lagrådet föreslår att hänvisningen
till arkivlagen utgår.
12 '
Enligt paragrafen får enskilda personers identitet inte avslöjas i de
redovisningar som görs med hjälp av uppgifter ur ett hälsodataregister.
Avsikten med paragrafen framgår inte klart av lagtexten och någon
ledning ges inte heller i författningskommentaren eller motiven i övrigt.
Oklart är bl.a. vad som avses med begreppet "redovisningar" och hur
paragrafen förhåller sig till tryckfrihetsförordningen och sekretesslagen.
Enligt vad som upplysts vid föredragningen i Lagrådet skall paragrafen
gälla endast för den personuppgiftsansvariga myndigheten och de
"redovisningar" som denna gör. Paragrafen avses vidare inte innebära
någon inskränkning i förhållande till sekretesslagen i fråga om ut-
lämnande av uppgifter.
Enligt Lagrådets mening är det vanskligt från såväl praktiska som
principiella utgångspunkter att i förevarande avseende göra skillnad
mellan redovisningar som faller under paragrafen och sådana som faller
utanför paragrafen. ADB-tekniken gör det möjligt att ur en samling
uppgifter på ADB-medium – t.ex. hälsodataregistret – välja olika sam-
manställningar som var och en kan utgöra en för myndigheten tillgänglig
allmän handling. En viss sammanställning anses utgöra en för
myndigheten tillgänglig upptagning (handling) om den kan tas fram
genom rutinbetonade åtgärder från myndighetens sida. Krävs däremot en
mera kvalificerad, konstruktiv insats i form av t.ex. nyskrivning av
datorprogram, kan den upptagning som skulle bli resultatet av bearbet-
ningen inte anses som tillgänglig för myndigheten (prop. 1975/76:160 s.
89–1 och RÅ 1988 ref. 84).
Det är tydligt att förevarande paragraf inte skall tillämpas i fråga om
sammanställningar som i enlighet med det anförda utgör en för myndig-
heten tillgänglig allmän handling. För uppgifter i sådana sammanställ-
ningar tillämpas sekretesslagen. Tillämpningsområdet för paragrafen
begränsas till sammanställningar eller redovisningar som utförs manuellt
och som åtminstone vid tillfället i fråga inte kan tas fram maskinellt
genom rutinbetonade åtgärder. Paragrafen synes för dessa fall innebära
ett förbud att framställa en allmän handling som avslöjar enskilda per-
soners identitet. Något motsvarande förbud kommer däremot som sagt
inte att gälla för sådana sammanställningar som utgör tillgängliga
allmänna handlingar eller för registrets namnuppgifter i sig. Paragrafen
kan sålunda sägas ge i viss mån slumpartade effekter. Enligt Lagrådets
mening är paragrafen inte förenlig med det tryckfrihetsrättsliga systemet.
Lagrådet förordar därför att paragrafen får utgå.
Förslaget till lag om vårdregister
1 '
I enlighet med vad Lagrådet anfört i anslutning till 1 och 3 '' förslaget
till lag om hälsodataregister förordar Lagrådet att första stycket
ges följande lydelse:
"Den som bedriver vård får med hjälp av automatiserad behandling av
personuppgifter föra vårdregister."
Godtas vad Lagrådet föreslagit bör 3 ' slopas.
3 '
Paragrafen bör – i enlighet med vad Lagrådet anfört under 1 ' – utgå.
4 '
Av hänvisningen i 2 ' till personuppgiftslagen får anses följa att nämnda
lags terminologi gäller vid tillämpning av den nu remitterade lagen så
länge annat inte sägs. Vad som i förevarande paragraf föreskrivs om
behandling, blockering, den registrerade, personuppgifter,
personuppgiftsansvarig och tredje man framstår därför som överflödigt
(jfr. vad Lagrådet anfört i anslutning till 4 ' förslaget till lag om
hälsodataregister). Lagrådet förordar att paragrafen slopas.
11 '
I paragrafen föreskrivs att bestämmelser om bevarande och gallring finns
i patientjournallagen (1985:562), arkivlagen och personuppgiftslagen. Av
författningskommentaren framgår att avsikten är att arkivlagen skall gälla
för vårdregister som förs inom den offentliga vården, medan
personuppgiftslagen skall gälla för sådana register inom den privata
vården. Dock skall avvikande bestämmelser i patientjournallagen alltid
beaktas. Paragrafen borde i och för sig förtydligas så att denna avsikt
framgår av lagtexten. Lagrådet får dock i dessa frågor hänvisa till vad
Lagrådet anfört under 11 ' förslaget till lag om hälsodataregister.
Övriga lagförslag
Lagrådet lämnar förslagen utan erinran.
Socialdepartementet
Utdrag ur protokoll vid regeringssammanträde den 5 mars 1998
Närvarande: statsministern Persson, ordförande, och statsråden Hjelm-
Wallén, Peterson, Freivalds, Wallström, Tham, Åsbrink, Schori,
Andersson, Winberg, Uusmann, Ulvskog, Sundström, Johansson,
von Sydow, Klingvall, Pagrotsky, Östros
Föredragande: statsrådet Wallström
Regeringen beslutar proposition 1997/98:108 Hälsodata- och vårdregister
Rättsdatablad
Författningsrubrik
Bestämmelser som
inför, ändrar, upp-
häver eller upprepar
ett normgivnings-
bemyndigande
Celexnummer för
bakomliggande EG-
regler
Lag (1998:000) om
hälsodataregister
12 §
Prop. 1997/98:108
103
2
1
Prop. 1997/98:108
21
13
Prop. 1997/98:108
Bilaga 1
17
Prop. 1997/98:108
Bilaga 1
13
Prop. 1997/98:108
Bilaga 2
17
Prop. 1997/98:108
Bilaga 2
13
Prop. 1997/98:108
Bilaga 3
14
Prop. 1997/98:108
Bilaga 3
13
Prop. 1997/98:108
Bilaga 4
122
18
Prop. 1997/98:108
Bilaga 4
13
20
122
Prop. 1997/98:108
Bilaga 5
25
129
Prop. 1997/98:108
27
130
Prop. 1997/98:108
28
1