Nytt regelverk för hälsodataregister
Lagrådsremiss
Nytt regelverk för hälsodataregister
Regeringen överlämnar denna remiss till Lagrådet.
Stockholm den 4 juni 2026
Jakob Forssmed
Sarah Cagnell (Socialdepartementet)
Lagrådsremissens huvudsakliga innehåll
I lagrådsremissen föreslås att en ny lag ersätter den nuvarande lagen (1998:543) om hälsodataregister. De svenska hälsodataregistren har funnits i många decennier och används i flera olika samhällsnyttiga syften, t.ex. för att analysera och förbättra hälso- och sjukvården och folkhälsan och som underlag för forskningsstudier och jämförelser. Den nya lagen har i huvudsak samma tillämpningsområde men kommer att göra behandling av uppgifter från fler områden möjlig. Syftet med reformen är att bidra till ökad kunskap för att utveckla och förbättra hälso- och sjukvården samt stärka folkhälsan. Genom den nya lagen ges statliga centrala myndigheter möjlighet att behandla personuppgifter i ett hälsodataregister på ett ändamålsenligt sätt. Lagen syftar också till att skydda människor mot att deras personliga integritet kränks vid behandlingen. Även den nya lagen utformas som en ramlag som kompletteras av föreskrifter på förordningsnivå för respektive hälsodataregister. Lagen kompletterar Europaparlamentets och rådets förordning (EU) 2016/679. I lagrådsremissen föreslås även följdändringar i andra lagar. Den nya lagen och lagändringarna föreslås träda i kraft den 1 juli 2027.
41 Beslut
Regeringen har beslutat att inhämta Lagrådets yttrande över förslag till 1. lag om hälsodataregister, 2. lag om ändring i lagen (1993:1651) om läkarvårdsersättning, 3. lag om ändring i lagen (1993:1652) om ersättning för fysioterapi.
52 Lagtext
Regeringen har följande förslag till lagtext.
2.1 Förslag till lag om hälsodataregister
Härigenom föreskrivs följande.
1 kap. Inledande bestämmelser
Lagens syfte och tillämpningsområde
1 § Syftet med denna lag är dels att ge en central statlig myndighet möjlighet att behandla personuppgifter i ett hälsodataregister på ett ändamålsenligt sätt, dels att skydda människor mot att deras personliga integritet kränks vid behandlingen.
2 § Syftet med ett hälsodataregister är att bidra till ökad kunskap för att utveckla och förbättra hälso- och sjukvården samt stärka folkhälsan.
Ord och uttryck i lagen
3 § I lagen avses med – hälsodataregister : register som förs av en central statlig myndighet och som utgör en rikstäckande samling personuppgifter om enskildas vård och hälsa, – patient : person som fått, får eller är registrerad för att få hälso- och sjukvård, – vårdgivare : statlig myndighet, region, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård.
Förhållandet till annan dataskyddsreglering
4 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Uppgifter om avlidna personer
5 § Vid behandling av uppgifter om avlidna personer ska följande reglering tillämpas: 1. denna lag och föreskrifter som har meddelats i anslutning till lagen,
62. EU:s dataskyddsförordning, och 3. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen.
2 kap. Behandling av personuppgifter
Personuppgiftsansvar
1 § Den myndighet som ansvarar för ett hälsodataregister är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till lagen.
Ändamål
2 § Personuppgifter får behandlas i ett hälsodataregister om det är nödvändigt för att 1. framställa statistik, 2. framställa underlag för uppföljning, utvärdering och kvalitetssäkring, 3. utföra epidemiologiska studier, eller 4. bedriva forskning.
3 § Personuppgifter som behandlas enligt 2 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
4 § Personuppgifter som behandlas enligt 2 § får även behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med de ändamål som uppgifterna samlades in för.
Elektroniskt utlämnande av personuppgifter
5 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst, om det inte är olämpligt.
Tillåtet innehåll i ett hälsodataregister
6 § Uppgifter i ett hälsodataregister ska gälla hälso- och sjukvård eller folkhälsa. I ett sådant register får det endast finnas uppgifter 1. om en patient, 2. om en vårdåtgärd som en patient har fått eller ska få, 3. av medicinsk betydelse, och 4. av administrativ karaktär. Om det är absolut nödvändigt får det i ett hälsodataregister också finnas uppgifter om en närstående till en patient. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka personuppgifter som får finnas i ett register som regleras i lagen.
77 § Sådana känsliga personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning får behandlas om det är nödvändigt med hänsyn till ändamålet med behandlingen.
8 § Sådana personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott som avses i artikel 10 i EU:s dataskyddsförordning får behandlas, om det är absolut nödvändigt med hänsyn till ändamålet med behandlingen.
Användningsbegränsning
9 § Personuppgifter i ett hälsodataregister får inte behandlas i syfte att vidta en åtgärd i fråga om en registrerad. Förbudet gäller inte en behandling som är nödvändig för att handlägga en registrerads begäran om en rättighet som tillkommer honom eller henne enligt lag eller förordning.
Åtkomst till personuppgifter
10 § Åtkomst till personuppgifter i ett hälsodataregister ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
3 kap. Skyldighet att lämna uppgifter till hälsodataregister
Uppgiftsskyldighet för en vårdgivare
1 § En vårdgivare ska till den myndighet som ansvarar för ett hälsodataregister lämna de uppgifter som vårdgivaren förfogar över och som behövs i ett hälsodataregister som förs enligt denna lag. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om vårdgivarens skyldighet enligt första stycket.
Uppgiftsskyldighet för en statlig myndighet
2 § En statlig myndighet ska till den myndighet som ansvarar för ett hälsodataregister lämna de uppgifter som myndigheten förfogar över och som behövs i ett hälsodataregister som förs enligt denna lag. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om en statlig myndighets skyldighet enligt första stycket.
1. Denna lag träder i kraft den 1 juli 2027. 2. Genom lagen upphävs lagen (1998:543) om hälsodataregister.
82.2 Förslag till lag om ändring i lagen (1993:1651) om läkarvårdsersättning
Härigenom föreskrivs att 26 § lagen (1993:1651) om läkarvårdsersättning ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
26 § 1 En läkare som begär läkarvårdsersättning ska medverka till att den egna verksamheten kan följas upp och utvärderas. Läkaren ska årligen till regionen lämna en redovisning med uppgifter om mottagningens personal och medicintekniska utrustning samt om utförda vårdåtgärder och antalet patientbesök. Läkaren ska på begäran av regionen lämna upplysningar och visa upp patientjournal samt övrigt material som rör undersökning, vård eller behandling av en patient och som behövs för kontroll av begärd läkarvårdsersättning. Av 6 § lagen ( 1998:543 ) om I 3 kap. 1 § lagen ( 2026:000 ) om hälsodataregister följer att läkaren hälsodataregister finns bestämockså ska lämna uppgifter till melser om uppgiftsskyldighet för en hälsodataregister. vårdgivare.
Denna lag träder i kraft den 1 juli 2027.
1 Senaste lydelse 2019:884.
92.3 Förslag till lag om ändring i lagen (1993:1652) om ersättning för fysioterapi
Härigenom föreskrivs att 25 § lagen (1993:1652) om ersättning för fysioterapi 1 ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
25 § 2 En fysioterapeut som begär fysioterapiersättning enligt denna lag ska medverka till att den egna verksamheten kan följas upp och utvärderas. Fysioterapeuten ska årligen till regionen lämna en redovisning med uppgifter om mottagningens personal och medicintekniska utrustning samt om utförda behandlingsåtgärder och antalet patientbesök. Fysioterapeuten ska på begäran av regionen lämna upplysningar och visa upp patientjournal samt övrigt material som rör behandling av en patient och som behövs för kontroll av begärd fysioterapiersättning. I 3 kap. 1 § lagen (2026:000) om hälsodataregister finns bestämmelser om uppgiftsskyldighet för en vårdgivare.
Denna lag träder i kraft den 1 juli 2027.
1 Senaste lydelse av lagens rubrik 2013:1145. 2 Senaste lydelse 2019:885.
103 Ärendet och dess beredning
Regeringen beslutade den 30 mars 2023 att ge en särskild utredare i uppdrag att se över regelverket för hälsodataregister i syfte att dels föreslå viss ny uppgiftsinsamling till hälsodataregister, dels skapa ändamålsenliga regler som ökar förutsättningarna för att förbättra hälso- och sjukvården och folkhälsan samt säkerställa att regelverket är utformat på ett sådant sätt att det skyddar den personliga integriteten (dir. 2023:48). I augusti 2024 överlämnade utredaren sitt betänkande Ett nytt regelverk för hälsodataregister (SOU 2024:57). I betänkandet föreslås bl.a. en ny reglering för hälsodataregister. En sammanfattning av betänkandet finns i bilaga 1 . Betänkandets lagförslag finns i bilaga 2 . Betänkandet har remissbehandlats och en förteckning över remissinstanserna finns i bilaga 3 . Remissvaren finns tillgängliga på regeringens webbplats (regeringen.se) och i Socialdepartementet (S2024/01695). I denna lagrådsremiss behandlas betänkandets lagförslag.
4 Hälsodataregistrens utveckling och
nuvarande omfattning
4.1 Hälsodataregistrens utveckling
De nationella hälsodataregistren har inrättats i takt med det svenska hälsooch sjukvårdssystemets utveckling. De hälsodataregister som förs med stöd av det nuvarande regelverket för hälsodataregister omfattar sex hälsodataregister som Socialstyrelsen för och ett hälsodataregister som Läkemedelsverket för. Dessa är patientregistret, medicinska födelseregistret, cancerregistret, läkemedelsregistret, registret över insatser inom den kommunala hälso- och sjukvården, tandhälsoregistret och biverkningsregistret. Hälsodataregistren har oftast skapats för ett vid tidpunkten aktuellt hälsoproblem. Syftet med att inrätta exempelvis cancerregistret i slutet av 1950-talet var att beskriva utbredningen och frekvensen av cancersjukdomar. Detta ansågs angeläget eftersom cancer vid denna tid fått en ökad betydelse som dödsorsak vid stigande medellivslängd. Utvecklingen av den moderna informationstekniken och dataregistrering av personuppgifter har varit av stor betydelse för att bygga upp centrala register som grund för framställning av statistik och för forskning. Att datoriserade personregister har utvecklats och kommit till användning i det direkta vårdarbetet har varit betydelsefullt för att uppnå en effektiv och ändamålsenlig insamling av uppgifter till centrala register, som hälsodataregister. De svenska hälsodataregistren är unika eftersom de har funnits i många decennier och innehåller uppgifter om ett stort antal personer. Registren bygger på personnummer vilket gör att de kan användas i flera olika samhällsnyttiga syften, som att analysera och förbättra hälso- och sjukvården
11och stärka folkhälsan. Hälsodataregistren är också en stor källa för forskningsstudier och jämförelser.
4.2 Nuvarande hälsodataregister
Socialstyrelsen har under lång tid haft ansvaret för statistik och registerverksamhet inom hälso- och sjukvården. Myndigheten är sedan 1994 ansvarig för Sveriges officiella statistik om hälso- och sjukvård samt socialtjänst. Läkemedelsverket ska samla in, registrera, lagra och vetenskapligt utvärdera uppgifter om misstänkta biverkningar av läkemedel som godkänts för försäljning. Följande hälsodataregister förs med stöd av nuvarande regelverk.
Patientregistret Patientregistret är ett individregister som täcker vårdtillfällen i slutenvård, vårdkontakter i specialiserad psykiatrisk öppenvård och läkarkontakter i specialiserad somatisk öppenvård samt psykiatrisk tvångsvård. Registret innehåller bl.a. diagnos, behandling, kirurgi och yttre orsaker till skador och förgiftningar. Slutenvårdsdata har samlats in till patientregistret sedan 1964 och från och med 1987 är registret heltäckande för all offentlig, sluten sjukvård. Uppgifter från dagkirurgi tillkom 1997 och 2001 tillkom uppgifter från den specialiserade öppenvården. Från och med 2010 innehåller registret uppgifter om utförd psykiatrisk tvångsvård. Sådana vårdtillfällen fanns dock med i registret redan innan dess, men utan att det framgick att det var vård under tvång.
Det medicinska födelseregistret Det medicinska födelseregistret inrättades 1973 och baseras på journaldata från mödrahälsovård och förlossningsvård. Registret innehåller uppgifter om faktorer som har betydelse för graviditeten och förlossningens förlopp, samt uppgift om förlossningen och om det nyfödda barnet. Dessutom finns uppgift om diagnoser och vårdåtgärder för den förlösta i samband med förlossningen. För barnet finns uppgift om diagnoser och vårdåtgärder under nyföddhetsperioden fram till utskrivning från BB.
Cancerregistret Cancerregistret inrättades 1958 och är Sveriges äldsta hälsodataregister. Registret är incidens- och individbaserat och innehåller uppgifter om diagnostiserade primärtumörer. I registret finns uppgifter om samtliga maligna och vissa benigna tumörer och tumörliknande tillstånd.
Läkemedelsregistret Läkemedelsregistret är ett individbaserat register som täcker alla uttag på apotek av receptbelagda läkemedel och receptförskrivna handelsvaror. Läkemedelsregistret innehåller uppgifter som överförs från registret nationell läkemedelslista som E-hälsomyndigheten ansvarar för. Statistik över läkemedelsförsäljning har samlats in sedan åtminstone 1970-talet. Anonymiserade data och mängdstatistik samlades in av Socialstyrelsen
12mellan 1995 och 2005, baserat på uppgifter som hämtades från Apoteket AB. I samband med att det individbaserade registret läkemedelsförteckning inrättades 2005 övergick ansvaret för uppgiftsinsamlingen till Apoteket AB. När apoteksmarknaden omreglerades överfördes ansvaret för läkemedelsförteckningen till det då nybildade statliga bolaget Apotekens Service AB. Verksamheten i Apotekens Service AB övertogs den 1 januari 2014 av E-hälsomyndigheten när den myndigheten inrättades. Sedan dess ansvarar E-hälsomyndigheten för uppgiftsinsamlingen och överför i sin tur uppgifter till läkemedelsregistret hos Socialstyrelsen.
Registret över insatser inom den kommunala hälso- och sjukvården Registret över insatser inom den kommunala hälso- och sjukvården som tillkom 2007, innehåller individbaserade uppgifter om alla personer som har fått hälso- och sjukvård som kommunen ansvarar för enligt 12 kap. 1 och 2 §§ och 14 kap. 1 § hälso- och sjukvårdslagen (2017:30). Registret innehåller information om de personer som fått kommunal hälso- och sjukvård och vilka patientrelaterade åtgärder som utförts av legitimerad hälso- och sjukvårdspersonal. Registret innehåller information om de personer som fått kommunal hälso- och sjukvård och vilka patientrelaterade åtgärder som utförts av legitimerad hälso- och sjukvårdspersonal med kommunen som vårdgivare. Registret innehåller inte uppgift om underliggande sjukdom eller övriga skäl till en utförd patientrelaterad åtgärd. Uppgifter om den hälso- och sjukvård som patienter med kommunal hälso- och sjukvård får av regionen, som läkarinsatser, ingår inte heller i registret. Sådana uppgifter rapporterar vårdgivare inom slutenvården och den öppna specialiserade vården till patientregistret.
Tandhälsoregistret Tandhälsoregistret inrättades 2008 och är därmed det senast tillkomna hälsodataregistret hos Socialstyrelsen. Registret innehåller individbaserade uppgifter och täcker vårdtillfällen inom ramen för det statliga tandvårdsstödet och de två regionfinansierade tandvårdsstöden; uppsökande verksamhet och nödvändig tandvård samt tandvård vid långvarig sjukdom eller funktionsnedsättning.
Biverkningsregistret hos Läkemedelsverket Av 3 kap. 14 § läkemedelsförordningen (2015:458) framgår att Läkemedelsverket får föra hälsodataregister enligt den nuvarande lagen om hälsodataregister för att samla in, registrera, lagra och vetenskapligt utvärdera uppgifter om misstänkta biverkningar av läkemedel som godkänts för försäljning samt för framställning av statistik och för forskning. Registret spelar en central roll i arbetet med säkerhetsövervakning av läkemedel.
135 Regelverken för hälsodataregister och
utvecklingen av dataskyddet
5.1 Regelverket för hälsodataregister
Fram till slutet av 1990-talet fanns ingen specifik reglering av Socialstyrelsens hälsodataregister i lag. En sådan infördes 1998 genom lagen (1998:543) om hälsodataregister. I förarbetena till lagen konstateras att all behandling av personuppgifter inom hälso- och sjukvården rörande enskilda individer ofta är av känslig eller mycket känslig natur. Att behandlingen av sådana personuppgifter regleras i lag framstod därför som ett angeläget led i arbetet med att stärka skyddet för den personliga integriteten (prop. 1997/98:108 s. 24). Lagen om hälsodataregister är en ramlag som innehåller grundläggande bestämmelser om insamling och behandling av personuppgifter. Lagen kompletteras med sex förordningar som var och en gäller för ett specifikt register. Dessa är förordningen (2001:707) om patientregister hos Socialstyrelsen, förordningen (2001:708) om medicinskt födelseregister hos Socialstyrelsen, förordningen (2001:709) om cancerregister hos Socialstyrelsen, förordningen (2005:363) om läkemedelsregister hos Socialstyrelsen, förordningen (2006:94) om register hos Socialstyrelsen över insatser inom den kommunala hälso- och sjukvården, och förordningen (2008:194) om tandhälsoregister hos Socialstyrelsen. Lagen om hälsodataregister är generell till sin karaktär och utesluter inte att hälsodataregister kan inrättas hos andra statliga myndigheter. För att lagen ska vara tillämplig på ett nytt register förutsätts att regeringen i förordning beslutar om särskilda föreskrifter för registret i fråga. De uppgifter som samlas in till hälsodataregister kommer huvudsakligen från offentliga och privata vårdgivare. Skyldigheten att lämna uppgifter till ett hälsodataregister följer av 6 § lagen om hälsodataregister. I förordningarna som ansluter till lagen specificeras uppgiftsskyldigheten närmare genom att ange vilka olika kategorier av uppgifter som ska rapporteras till respektive register. Socialstyrelsen får genom bemyndigande meddela föreskrifter om hur uppgiftsskyldigheten ska fullgöras till samtliga register, förutom läkemedelsregistret som inte innehåller något sådant bemyndigande. Uppgiftsskyldighet för uppgifter som används för att framställa officiell statistik regleras också i lagen (2001:99) om den officiella statistiken och förordningen (2001:100) om den officiella statistiken. Statiska centralbyrån (SCB) har också en skyldighet enligt samtliga hälsodataregisterförordningar, förutom förordningen om läkemedelsregistret, att lämna uppgifter till alla hälsodataregister hos Socialstyrelsen. Uppgiftsskyldigheten omfattar folkbokföringsuppgifter om bl.a. en patients identitet, bosättning, medborgarskap och civilstånd. E-hälsomyndigheten har en skyldighet att lämna uppgifter från myndighetens register nationell läkemedelslista till läkemedelsregistret hos Socialstyrelsen enligt 6 kap. 5 § lagen (2018:1212) om nationell läkemedelslista. Försäkringskassan har en skyldighet att lämna uppgifter till tandhälsoregistret hos Socialstyrelsen
14enligt 5 § förordningen om tandhälsoregistret hos Socialstyrelsen. Det rör uppgifter om utförd tandvård och om patientens tandhälsa.
5.2 Regleringen av integritetsskydd när nuvarande lag trädde i kraft
Lagen om hälsodataregister trädde i kraft samtidigt som den numera upphävda personuppgiftslagen (1998:204). Lagen om hälsodataregister är således anpassad efter regleringen i personuppgiftslagen, som i sin tur införlivade det numera upphävda Europaparlamentet och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Lagen om hälsodataregister trädde i kraft efter det att Konstitutionsutskottet vid flera tillfällen framhållit att det bör vara en målsättning att föreskrifter rörande myndighetsregister som innehåller ett stort antal registrerade personer och har ett särskilt känsligt innehåll ska meddelas genom lag. Detta gäller särskilt i de fall uppgifterna i registret sprids externt i en inte obetydlig omfattning (se bet. 1990/91:KU11 s. 11 och prop. 1990/91:60 s. 58). I nära anslutning till att lagen om hälsodataregister trädde i kraft införlivades den europeiska konventionen av den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) i svensk rätt, se lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheter och de grundläggande friheterna. Samtidigt infördes en bestämmelse i regeringsformen (RF), nuvarande 2 kap. 19 §, som fastställer att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av den konventionen. Enligt artikel 8.1 i Europakonventionen har var och en rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. Denna rätt till skydd för privatlivet får enligt artikel 8.2 inte inskränkas annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till den nationella säkerheten, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller skydd för hälsa eller moral eller för andra personers fri- och rättigheter.
5.3 Större dataskyddsreformer
Under de dryga 25 år som lagen om hälsodataregister varit i kraft har flera större reformer genomförts när det gäller skyddet för enskildas personliga integritet och skyddet för fysiska personer vid behandling av personuppgifter. Grundläggande bestämmelser till skydd för den personliga integriteten som gäller i förhållandet mellan enskilda och staten finns i 2 kap. RF. Sedan 2011 gäller ett förstärkt grundlagsskydd för den personliga integriteten när det gäller vissa intrång som anses vara särskilt känsliga. Detta förstärkta grundlagsskydd framgår av 2 kap. 6 § andra stycket RF
15där det anges att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet får enligt 2 kap. 20 och 21 §§ RF begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Begränsningen får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning. Syftet med det grundlagsreglerade integritetsskyddet är således att begränsa statsmakternas normgivningsbefogenheter inom ramen för rättighetsskyddet och att det därför ska vara förbehållet riksdagen att besluta om inskränkningar. I samband med att Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad EU:s dataskyddsförordning, trädde i kraft gjordes en översyn av lagen om hälsodataregister i syfte att anpassa den till EU:s dataskyddsförordning (se SOU 2017:66 och prop. 2017/18:171). Anpassningen föranledde endast att en upplysningsbestämmelse infördes i lagen om hälsodataregister om att lagen kompletterar EU:s dataskyddsförordning och att lagen har företräde framför lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. I de till lagen om hälsodataregister anslutande förordningarna infördes kompletterande bestämmelser om den information som en registrerad ska få om registret. Någon ytterligare materiell ändring har inte skett i regelverket om hälsodataregister.
6 En ny lag om hälsodataregister
Regeringens förslag
En ny lag om hälsodataregister ska ersätta den nuvarande lagen om hälsodataregister.
Regeringens bedömning
Även den nya lagen om hälsodataregister bör utformas som en ramlag som kompletteras med bestämmelser i förordning. Den nya lagen kommer att möjliggöra behandling av fler uppgifter än den nuvarande lagen om hälsodataregister.
Utredningens förslag
Förslaget från utredningen stämmer i huvudsak överens med regeringens. Utredningen föreslår att lagen ska benämnas hälsodataregisterlagen.
16Remissinstanserna
Remissinstanserna instämmer i utredningens förslag eller har inga invändningar mot det.
Skälen för regeringens förslag och bedömning
Det behövs en ny lag som gör att fler uppgiftsmängder kan behandlas i hälsodataregister Den översyn av regelverket om hälsodataregister som utredningen har gjort visar på att det befintliga regelverket i huvudsak utgör ett relativt gott stöd i Socialstyrelsens verksamhet med hälsodataregister. Regelverket innehåller dock en del otydligheter bl.a. i fråga om tillämpligheten av vissa bestämmelser och innebörden av vissa begrepp. Dessutom bedöms vissa bestämmelser vara föråldrade och andra överflödiga. Utredningen beskriver även hur den medicinska utvecklingen och den pågående omställningen till god och nära vård innebär att det finns behov av att samla in fler uppgifter i hälsodataregister. Omställningen innebär bl.a. att primärvården kommer att utgöra navet i hälso- och sjukvården och att en allt större del av vården därför kommer att bedrivas i primärvården och den öppna specialiserade vården. Det medför ett ökat behov av att samla in uppgifter från öppenvården till hälsodataregister för att kunna följa patientens väg genom vården och följa upp, utvärdera och kvalitetssäkra vården på nationell nivå. I takt med att vården i större utsträckning bedrivs utanför slutenvården ökar också behovet av ett nationellt underlag som gör det möjligt att följa vårdförlopp och analysera vårdens tillgänglighet. Utan sådana uppgifter blir det svårt att få en samlad bild av hur vården fungerar för patienten i praktiken. Behovet av ett sådant underlag är särskilt uttalat när det gäller uppföljning av väntetider i hälso- och sjukvården. Den nuvarande lösningen med väntetidsdatabasen för uppföljning av väntetider är enligt regeringens bedömning inte tillräcklig bl.a. eftersom uppgifterna inte samlas in på individnivå med personnummer, vilket medför att datakvaliteten är begränsad. Det innebär att det inte är möjligt att följa den enskilda patientens väg genom vården över tid eller mellan olika vårdkontakter. Det medför också en risk för att samma person förekommer flera gånger i statistiken, vilket begränsar möjligheterna att analysera faktiska väntetider, vårdförlopp och vårdens tillgänglighet på ett tillförlitligt sätt. Det finns även ett behov av att kunna samla in uppgifter om läkemedel som administreras inom hälso- och sjukvården i ett hälsodataregister. En sådan insamling skulle utöver bättre statistik, bl.a. möjliggöra mer heltäckande uppföljningsstudier för att stärka kunskaperna om och erfarenheterna av läkemedelsanvändningen i hälso- och sjukvården. Uppgifterna kan även förbättra förutsättningarna för uppföljning av behandlingsutfall, resursanvändning och jämlik läkemedelsanvändning. Regeringen anser i likhet med utredningen att det finns skäl att öka regelverkets tydlighet, transparens och förutsebarhet för såväl den registeransvariga myndigheten, en uppgiftsskyldig aktör som för de registrerade. Enligt regeringen finns också behov av att samla in nya uppgiftsmängder till hälsodataregister. De ändringar som krävs är av sådan karaktär och
17omfattning att det är lämpligast att upphäva den nuvarande lagen och ersätta den med en ny lag. Regeringen konstaterar precis som utredningen att den nuvarande lagens benämning är etablerad och ändamålsenlig. Till skillnad från utredningen anser regeringen att det inte finns skäl att ändra lagens benämning till hälsodataregisterlagen för att särskilja den nuvarande lagen från den föreslagna lagen. Benämningarna är snarlika och riskerar enligt regeringen snarare att förväxlas än att skapa tydlighet. Den nya lagen ska därför som nuvarande lag benämnas lagen om hälsodataregister.
Särskilda bestämmelser är tillåtna enligt EU:s dataskyddsförordning Inledningsvis kan konstateras att EU:s dataskyddsförordning är direkt tillämplig men förutsätter och tillåter i vissa fall nationella bestämmelser som kompletterar förordningen genom specificeringar eller undantag. Enligt artikel 6.2 i EU:s dataskyddsförordning får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling av personuppgifter som är nödvändig för att fullgöra en rättslig förpliktelse enligt artikel 6.1 c eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning enligt artikel 6.1 e. Enligt artikel 6.3 ska den rättsliga grunden för behandlingen som avses i artikel 6.1 c (rättslig förpliktelse) och 6.1 e (allmänt intresse eller led i myndighetsutövning) vara fastställd i EU-rätten eller den nationella rätten. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av EU:s dataskyddsförordning. Den kan bl.a. ange de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka uppgifter får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Regleringen ska dessutom uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Den behandling av personuppgifter som registeransvarig myndighet behöver utföra i sin verksamhet för att föra hälsodataregister bedöms kunna ske med stöd av den rättsliga grunden uppgift av allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning (avsnitt 7.8). En nationell reglering av personuppgiftsbehandling i hälsodataregister är således tillåten enligt EU:s dataskyddsförordning.
Föreskrifter som rör känsliga register bör meddelas genom lag I målsättningsstadgandet i 1 kap. 2 § första stycket RF slås det fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda människans frihet. I fjärde stycket anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv. Grundlagens regler om hur normgivningsmakten är fördelad mellan riksdagen och regeringen finns i huvudsak i 8 kap. RF. Föreskrifter meddelas av riksdagen genom lag och av regeringen genom förordning. Föreskrifter ska meddelas genom lag bl.a. om de avser skyldigheter för enskilda eller ingrepp i enskildas personliga eller ekonomiska förhållanden (8 kap. 2 § första stycket 2). Kravet på att sådana föreskrifter
18ska ha lagform är dock inte undantagslöst. Riksdagen kan med vissa begränsningar som inte är aktuella här bemyndiga regeringen att meddela föreskrifterna (8 kap. 3 §). Regeringen får i övrigt meddela bl.a. sådana föreskrifter som enligt grundlag inte ska meddelas av riksdagen (8 kap. 7 §). Denna föreskriftsrätt brukar kallas för regeringens restkompetens. Att det allmänna behandlar personuppgifter om enskilda anses inte innebära någon skyldighet för den enskilde eller något ingrepp i enskildas personliga förhållanden i den mening som avses i RF. Bestämmelser om personuppgiftsbehandling som utförs av statliga myndigheter under regeringen har därmed i princip ansetts kunna beslutas av regeringen med stöd av dess restkompetens (prop. 2017/18:105 s. 26). Konstitutionsutskottet har dock angett att det bör vara en målsättning att föreskrifter rörande myndighetsregister som innehåller ett stort antal registrerade och har ett särskilt känsligt innehåll ska meddelas genom lag, vilket regeringen också instämt i (bet. 1990/91:KU11 s. 11 och bet. 1997/98:KU18 s. 48 samt prop. 1990/91:60 s. 58 och prop. 1997/98:44 s. 41).
Personuppgiftsbehandlingen i hälsodataregister omfattas av det grundlagsreglerade integritetsskyddet Sedan 2011 gäller ett utökat grundlagsskydd för den personliga integriteten enligt 2 kap. 6 § andra stycket RF. Där anges att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Enligt 2 kap. 20 § RF får skyddet begränsas genom lag under de förutsättningar som anges i 2 kap. 21 § RF. Skyddet får alltså inte begränsas genom förordning. När den nuvarande lagen om hälsodataregister trädde i kraft hade bestämmelsen i 2 kap. 6 § andra stycket RF ännu inte trätt i kraft. Frågorna om det grundlagsreglerade integritetsskyddet berördes inte heller särskilt i den översyn av lagstiftningen som gjordes i samband med att EU:s dataskyddsförordning skulle börja tillämpas. De personuppgifter som behandlas i hälsodataregister rör enskildas personliga förhållanden enligt 2 kap. 6 § andra stycket RF. Det rör sig om uppgifter om läkemedel, diagnoser, vårdåtgärder m.m. Behandlingen av personuppgifter sker även utan samtycke från den enskilde. Avgörande för bedömningen av om en åtgärd ska anses innebära övervakning eller kartläggning i den mening som avses i 2 kap. 6 § andra stycket RF är inte det huvudsakliga syftet utan åtgärdens effekt. Vad som avses med övervakning respektive kartläggning får bedömas utifrån vad som enligt normalt språkbruk läggs i dessa begrepp. Enligt förarbetena torde ett stort antal uppgiftssamlingar som det allmänna förfogar över innebära kartläggning av enskildas förhållanden, även om avsikten med samlingarna är en annan (prop. 2009/10:80 s. 180 och 250). De personuppgifter som samlas in i hälsodataregister rör en stor del av Sveriges befolkning. Syftet med behandlingen är inte att övervaka eller kartlägga enskilda individer. En effekt av att de omfattande uppgiftsmängderna lagras och behandlas, exempelvis för statistikändamål, blir emellertid att enskilda kartläggs trots att det huvudsakliga ändamålet med behandlingen är ett annat. Regeringen anser därför att den personuppgiftsbehandling
19som sker i ett hälsodataregister innebär en sådan kartläggning av enskildas förhållanden som avses i 2 kap. 6 § andra stycket RF. Den avgörande frågan är då om det intrång i den personliga integriteten som behandlingen kan innebära är betydande. Enligt förarbetena bör flera omständigheter vägas in vid denna bedömning. Stor vikt ska läggas vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste hanteringen normalt sett anses vara. Vid bedömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. Därutöver kan mängden uppgifter vara en betydelsefull faktor, liksom omfattningen av utlämnande av personuppgifter till andra, som sker utan omedelbart stöd av offentlighetsprincipen (prop. 2009/10:80 s. 183 och 184). Ändamålen med hälsodataregistren har stark koppling till angelägna samhällsintressen som uppföljning och kvalitetssäkring av hälso- och sjukvården samt framställning av statistik. För detta syfte kan det vara nödvändigt med en relativt omfattande behandling av personuppgifter, vilket inkluderar behovet av att behandla flera kategorier av känsliga personuppgifter. Med hänsyn till uppgifternas karaktär och den stora mängden uppgifter som kommer att behandlas, gör regeringen den sammantagna bedömningen att personuppgiftsbehandlingen i ett hälsodataregister kan innebära ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket RF. För att personuppgifterna ska kunna behandlas krävs därmed enligt 2 kap. 20 § RF stöd i lag. Enligt 2 kap. 20 § RF får skyddet begränsas genom lag under de förutsättningar som anges i 2 kap. 21 § RF (se avsnitt 9).
Ramarna för personuppgiftsbehandlingen och bestämmelser av central betydelse för integritetsskyddet ska regleras i lagen Den nya lagen ska precis som nuvarande lag ha karaktären av en ramlag och vara av generell karaktär i den mening att den ska gälla för befintliga hälsodataregister likväl som för framtida ännu inte inrättade hälsodataregister. Ramarna för personuppgiftsbehandlingen i hälsodataregister ska således slås fast i lag. Det handlar om bestämmelser som rör hur uppgifterna får samlas in och de primära och sekundära ändamålen med behandlingen. Även de bestämmelser som är av central betydelse för integritetsskyddet bör ges i lagform. Genom att i lag balansera det integritetsintrång som personuppgiftsbehandlingen innebär skapas tydliga förutsättningar för att behandlingen inte blir mer ingripande än vad som är nödvändigt. Genom en tydlig lagreglering skapas också bättre förutsättningar för att få allmänhetens förtroende för behandlingen av personuppgifter i hälsodataregister. I avsnitt 9 gör regeringen en samlad integritets- och proportionalitetsanalys av förslagen i denna lagrådsremiss. Regeringen avser att med stöd av 8 kap. 7 § RF komplettera lagen med bestämmelser som meddelas genom förordning.
Förordningsändringar planeras med anledning av den nya lagen En följd av förslaget om en ny lag om hälsodataregister som ersätter den nuvarande lagen är att även de hittills gällande registerförordningarna bör upphävas och ersättas med nya förordningar. Regeringen avser att återkomma i frågan.
207 Den nya lagens utformning och innehåll
7.1 Lagens syfte och tillämpningsområde
Regeringens förslag
Syftet med lagen ska vara att ge en central statlig myndighet möjlighet att behandla personuppgifter i ett hälsodataregister på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid behandlingen.
Utredningens förslag
Förslaget från utredningen stämmer delvis överens med regeringens. I utredningens förslag anges inte syftet med lagen. Utredningen föreslår att lagen ska innehålla en uppräkning av de register som ska omfattas av lagen och att lagen ska tillämpas av en myndighet som ansvarar för något av de uppräknade registren. Dessutom föreslår utredningen att det ska upplysas i lagen om att regeringen med stöd av den s.k. restkompetensen enligt regeringsformen (RF) kan meddela föreskrifter om vilken central statlig myndighet som ska föra ett register enligt lagen. I utredningens lagförslag finns en inledande bestämmelse som anger att lagen innehåller bestämmelser om hälsodataregister och behandling av uppgifter i ett sådant register. Utredningens lagförslag har även en annan språklig och redaktionell utformning.
Remissinstanserna
Remissinstanserna instämmer i utredningens förslag eller har inga invändningar mot det. Flera remissinstanser såsom bl.a. Inspektionen för vård och omsorg , Göteborgs universitet , Region Jämtland Härjedalen och Region Halland betonar behovet av vidare utredning avseende insamling av hälsodata i fråga om nya eller utökade hälsodataregister. Swedish Medtech anser att det bör tydliggöras hur data från Kriminalvården ska hanteras. Liknande frågetecken finns för Försvarsmaktens data i händelse av krig.
Skälen för regeringens förslag
Lagen syfte och tillämpningsområde I dag får en central förvaltningsmyndighet inom hälso- och sjukvården utföra automatiserad behandling av personuppgifter i hälsodataregister. Med central förvaltningsmyndighet inom hälso- och sjukvården avses myndighet som enligt sin instruktion har ett ansvar för en eller flera verksamheter inom området (se prop. 1997/98:108 s. 89 och 90). Socialstyrelsen är den myndighet som under lång tid haft ansvaret för statistik och registerverksamhet inom hälso- och sjukvården och är också den myndighet som i dag primärt ansvarar för de hälsodataregister som förs med stöd av den nuvarande lagen om hälsodataregister. Även Läkemedelsverket för i dag ett hälsodataregister.
21Utredningen föreslår i likhet med vad som gäller i dag att den föreslagna lagen ska tillämpas av en central statlig myndighet som ansvarar för ett hälsodataregister. Regeringen delar denna bedömning. Enligt utredningen är det tillräckligt att den avgränsningen framgår av definitionen av ett hälsodataregister (se avsnitt 7.3). Regeringen anser till skillnad från utredningen att det för tydlighets skull bör framgå även av lagens tillämpningsområde att det gäller en central statlig myndighet. Förslaget innebär att frågan om vilka centrala statliga myndigheter som ska ansvara för respektive hälsodataregister kan anges i förordning med stöd av regeringens restkompetens. I hälsodataregister kommer det att behandlas personuppgifter i stor omfattning. Vid utformningen av en ny lag om hälsodataregister bör det därför strävas efter en väl avvägd balans mellan dels samhällets berättigade krav på att hälsodataregister kan bedrivas på ett effektivt sätt, dels enskildas rätt till skydd av sin integritet. Regeringen föreslår därför att det ska anges att syftet med lagen är dels att ge en central statlig myndighet möjlighet att behandla personuppgifter i ett hälsodataregister på ett ändamålsenligt sätt, dels att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Till skillnad från utredningen anser regeringen att en inledande bestämmelse i lagen som anger att lagen innehåller bestämmelser om hälsodataregister och behandling av uppgifter i ett sådant register inte behövs utan att bestämmelsen om lagens syfte och tillämpningsområde på ett tillräckligt tydligt sätt informerar om lagens innehåll.
Det ska inte anges i lagen vilka register som omfattas av lagen Utredningen föreslår att det i lagen bör räknas upp vilka hälsodataregister som ska omfattas av det nya regelverket. Ett skäl som anförs är att lagen inte ska omfatta samtliga hälsodataregister. Vissa hälsodataregister kommer även fortsättningsvis att regleras i separata lagar, t.ex. lagen (2012:453) om register över nationella vaccinationsprogram m.m. Utredningen konstaterar samtidigt att det utifrån gällande normgivningsbestämmelser inte finns något krav på att i lag reglera vilka hälsodataregister som får föras. Dock anser utredningen att det är viktigt att säkerställa att personuppgiftsbehandlingen är proportionerlig i förhållande till syfte och ändamål även för framtida register som kan komma att inrättas hos en annan myndighet än Socialstyrelsen. Genom att i lag ange vilka register som omfattats av lagen måste lagstiftaren, inom ramen för lagstiftningsprocessen, tydligt redovisa att en ny insamling och behandling av personuppgifter i ett hälsodataregister är proportionerlig och svarar mot ändamål som är godtagbara i ett demokratiskt samhälle. Därutöver bedömer utredningen att en sådan reglering dels gynnar den allmänna debatten om användning av hälsodata för viktiga allmänintressen, dels ökar allmänhetens kunskap och kännedom om hälsodataregister. Eftersom inrättandet av hälsodataregister inte bedöms ske ofta ser utredningen att en sådan ordning inte bör vara orimligt betungande för vare sig regering eller riksdag. Regeringen bedömer, till skillnad från utredningen, att det inte är ändamålsenligt att i lag ange vilka hälsodataregister som får föras med stöd av lagen. Om de register som får föras räknas upp i lag, krävs lagändring varje
22gång ett nytt hälsodataregister behöver inrättas eller den befintliga registerstrukturen behöver anpassas till förändrade behov. En sådan ordning riskerar därmed att göra regleringen mindre väl anpassad till utvecklingen inom hälso- och sjukvården och samhällets behov av uppföljning, statistik, forskning och kunskapsutveckling. Regeringen anser därför att lagstiftningen i stället bör utformas så att den ger utrymme för en ändamålsenlig utveckling över tid. Det centrala bör vara att i lag ange de yttre ramarna för personuppgiftsbehandlingen genom att avgränsa vilka uppgifter som får behandlas i ett hälsodataregister och för vilka ändamål som uppgifterna får behandlas, inte att uttömmande reglera vilka enskilda register som får föras. En sådan avgränsning innebär att hälsodataregister som förs med stöd av lagen behöver vara förenliga med bestämmelserna om bl.a. ändamål för behandlingen. Regeringen instämmer i vad Inspektionen för vård och omsorg , Region Jämtland Härjedalen, Region Halland, Swedish Medtech och Göteborgs universitet framför om att det t.ex. kan finnas behov av att även samla in uppgifter från bl.a. öppen vård som tillhandahålls av en skolhuvudman enligt skollagen (2010:800) eller som tillhandahålls som en del av arbetsgivaransvaret enligt arbetsmiljölagen (1977:1160) eller inom ramen för det kommunala huvudmannaskapet enligt hälso- och sjukvårdslagen (2017:30) samt inom ramen för en statlig myndighets ansvar. Förslaget till ny lag om hälsodataregister är utformat för att kunna reglera både befintliga och framtida hälsodataregister. Vid framtagandet av en ny förordning för såväl nya som befintliga hälsodataregister behöver det säkerställas att regleringen håller sig inom de av lagen angivna ramarna för personuppgiftsbehandling. För framför allt nya register behöver även frågor som berör intrång i den personliga integriteten ingå i de överväganden som behöver göras. Det kommer även behöva analyseras om det krävs ytterligare beredningsunderlag. Regeringen anser sammanfattningsvis att vilka hälsodataregister som ska omfattas av lagen bör regleras i förordning med stöd av regeringens restkompetens enligt 8 kap. 7 § RF. Även frågan om vilken myndighet som ska ansvara för ett hälsodataregister bör regleras i förordning. Till skillnad från utredningen anser regeringen inte att det är nödvändigt med en bestämmelse som upplyser om att regeringen med stöd av restkompetensen enligt 8 kap. 7 § RF kan meddela sådana föreskrifter på området.
7.2 Syftet med ett hälsodataregister
Regeringens förslag
Syftet med ett hälsodataregister ska vara att bidra till ökad kunskap för att utveckla och förbättra hälso- och sjukvården samt stärka folkhälsan.
Utredningens förslag
Förslaget från utredningen stämmer överens med regeringens.
23Remissinstanserna
En majoritet av remissinstanserna stöder eller har inga synpunkter på förslaget. Barncancerfonden är positiv till förslaget om att i lag förtydliga syftet med hälsodataregistren. Barncancerfonden betonar att det skulle vara fördelaktigt att tydliggöra forskningens roll i kunskapsgenerering för att utveckla och förbättra hälso- och sjukvården, i tillägg till att detta omnämns som ett ändamål för hälsodataregistren. Umeå universitet föreslår att syftet med hälsodataregister utvidgas genom att tydliggöra att det ska bidra till ökad kunskap om hälsa, sjukdom och vård, för att individ och samhälle bättre ska kunna hantera dessa områden. Lunds universitet framför att uttrycket hälso- och sjukvård definieras på olika sätt i olika regelverk och att uttrycket i den föreslagna lagen motsvarar det som framgår av 1 kap. 2 § patientsäkerhetslagen (2010:659) och att det vore mer ändamålsenligt att låta detta tydligt framgå genom att föra in en hänvisning till patientsäkerhetslagens definition i lagtexten. Myndigheten för vårdoch omsorgsanalys anser att det inte är tydligt vad som avses med hälsooch sjukvård och att tandvård generellt inte brukar omfattas av begreppet hälso- och sjukvård eftersom tandvård är begränsat till insatser i munhålan (1 § tandvårdslagen [1985:125]).
Skälen för regeringens förslag
En bestämmelse om syftet med hälsodataregister ska införas Den nuvarande lagen om hälsodataregister saknar regler som mer i detalj anger hälsodataregistrens syfte, dvs. vad de ska användas till och varför. Regeringen delar utredningens bedömning att det finns fördelar med att i författning förtydliga vad som är syftet med ett hälsodataregister. En sådan bestämmelse ökar regelverkets tydlighet, transparens och förutsebarhet och det blir mer begripligt för enskilda varför uppgifter samlas in och behandlas i hälsodataregister. En syftesbestämmelse blir också ett övergripande mål för en registeransvarig myndighet att förhålla sig till vid behandling av personuppgifter. Därtill är det en fördel att ändamålen med behandling av personuppgifter i hälsodataregister på ett tydligt sätt separeras från själva syftet med registren. En bestämmelse om syfte ska inte användas för att bedöma vilka personuppgifter som får behandlas i registren utan en sådan avgränsning ska ske med ledning av de tillåtna ändamålen med personuppgifterna. Likaså är det ändamålen som ska vara nödvändiga för den rättsliga grunden för behandlingen enligt artikel 6 i EU:s dataskyddsförordning (se avsnitt 7.8). Enligt regeringen bör en bestämmelse om syftet med hälsodataregister införas för att tydliggöra det övergripande målet för en registeransvarig myndighet att förhålla sig till vid behandling av personuppgifter.
Att bidra till ökad kunskap för att utveckla och förbättra hälso- och sjukvården samt stärka folkhälsan ska vara syftet med hälsodataregister Ett hälsodataregister kan inrättas av många olika skäl, men vanligen sker det för att ett folkhälsoproblem eller annan samhällsutmaning med anknytning till hälso- och sjukvården har identifierats och behöver hanteras. När ett hälsodataregister inrättas är utgångspunkten att det ska ha lång livslängd och hög kvalitet inom sitt täckningsområde. Hälsodataregistren gör
24det möjligt att följa och beskriva hälsoförhållanden i befolkningen över tid och att identifiera hur ohälsa och sjukdom kan förebyggas genom preventiva insatser. Information i hälsodataregister kan även användas för uppföljning genom att mäta och beskriva behov, verksamheter och resursåtgång inom hälso- och sjukvården, vilket ger en överblick av dess organisation och utveckling samt gör det möjligt att identifiera signaler om avvikelser som behöver beaktas och hanteras. Det övergripande syftet med hälsodataregister är att utvinna ny kunskap. Kunskap som kan ligga till grund för att utvärdera, utveckla och förbättra hälso- och sjukvården på alla tänkbara nivåer. Det kan handla om alltifrån en säkrare vård och behandling av patienter till en effektivare styrning och organisation av vården. Dessutom är det tydligt att hälsodataregister också bidrar till att mer träffsäkra åtgärder kan vidtas i syfte att stärka den allmänna hälsan i befolkningen. Regeringen anser därför i likhet med utredningen att syftet med hälsodataregister ska vara att bidra till ökad kunskap för att utveckla och förbättra hälso- och sjukvården samt stärka folkhälsan. Regeringen delar Barncancerfondens uppfattning att forskning är en central del i arbetet med att utveckla och förbättra vård och hälsa. Regeringen bedömer att ökad kunskap, förutom genom forskning, också kan komma genom utvecklingsarbete samt kvalitetssäkrings- och uppföljningsinsatser inom hälso- och sjukvården. Mot denna bakgrund anser regeringen, till skillnad från Barncancerfonden, att det inte är nödvändigt att särskilt nämna forskning i syftesbestämmelsen. Umeå universitet föreslår att lagens syfte bör utvidgas genom att tydliggöra att ett hälsodataregister ska bidra till ökad kunskap om hälsa, sjukdom och vård, för att individ och samhälle bättre ska kunna hantera dessa områden. Enligt Umeå universitet kan förslaget tolkas som att syftet är begränsat till sådan kunskap som kan ses som tillämplig för att utveckla och förbättra hälso- och sjukvård eller som kan stärka folkhälsan. Universitet anser att förslaget också ger intryck av en förenklad och smal syn på vad som är nyttig kunskap. En sådan avgränsning är enligt remissinstansen inte ändamålsenlig i en reglering, då det inte tydliggör vilken kunskap som omfattas och vilken som faller utanför. Enligt regeringens mening ger Umeå universitets förslag ett alltför vidsträckt syfte. Regeringen bedömer att ett sådant brett formulerat syfte inte fyller någon funktion, eftersom i stort sett all behandling av data inom området skulle kunna komma att omfattas. Regeringen instämmer i stället i utredningens förslag och anser att det i lagen ska framgå att syftet med hälsodataregister är att bidra till ökad kunskap för att utveckla och förbättra hälso- och sjukvården samt stärka folkhälsan.
Om uttrycken hälso- och sjukvård och folkhälsa Hälso- och sjukvård är ett vitt begrepp som definieras på olika sätt i olika författningar. Enligt hälso- och sjukvårdslagen avses med uttrycket hälsooch sjukvård åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador. Även sjuktransporter och omhändertagande av avlidna inkluderas (2 kap. 1 § hälso- och sjukvårdslagen). En liknande definition finns i 1 kap. 5 § patientlagen (2014:821). I flertalet andra lagar har uttrycket hälso- och sjukvård en vidare innebörd och kan exempelvis inkludera vård och behandling som inte är medicinskt motiverad. I bl.a.
25patientsäkerhetslagen och patientskadelagen (1996:799) omfattas även verksamhet som regleras av lagen om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar och lagen (2001:499) om omskärelse av pojkar. I den nuvarande regleringen av hälsodataregister finns ingen definition av hälso- och sjukvård. Av den inledande bestämmelsen framgår att en central förvaltningsmyndighet inom hälso- och sjukvården får utföra automatiserad behandling av personuppgifter i hälsodataregister (1 §). Det framgår också att den som bedriver verksamhet inom hälso- och sjukvården ska lämna uppgifter till ett hälsodataregister för de ändamål som anges i 3 § (6 §). Med stöd av nuvarande reglering förs tandhälsoregistret som regleras i förordningen (2008:194) om tandhälsoregister hos Socialstyrelsen. Utredningen föreslår heller ingen definition av uttrycket hälsooch sjukvård i den förslagna lagen eftersom den befarar att en definition kan leda till inlåsningseffekter eller tolknings- och tillämpningssvårigheter i frågan om vilken hälso- och sjukvård som kan respektive inte kan omfattas av den utökade uppgiftsskyldigheten till hälsodataregister. Utredningen bedömer i stället att uttrycket hälso- och sjukvård bör ha en dynamisk innebörd i förhållande till insamling av uppgifter från öppenvården till hälsodataregister. Hälsodataregister är en värdefull samhällsresurs av stor betydelse på flera olika samhällsnivåer. Användningsområdena för hälsodataregister har stor spännvidd och kan t.ex. bidra till att skapa goda förutsättningar för den generella utvecklingen av framtidens hälso- och sjukvård eller att på ett effektivt och träffsäkert sätt hantera mer isolerade händelser, som en pandemi eller annan krissituation. Regeringen anser därför, i likhet med utredningen, att uttrycket hälso- och sjukvård bör ha en vid innebörd i förhållande till insamling av uppgifter till hälsodataregister. Hälso- och sjukvård ska därför ges en vid innebörd i den föreslagna lagen och det innebär som utgångspunkt att all vård och behandling eller andra närliggande åtgärder som vidtas inom ramen för en vårdkontakt hos en vårdgivare kan anses vara hälso- och sjukvård. Karaktären på hälso- och sjukvården, exempelvis om den är medicinskt motiverad eller inte, om den är av hälsofrämjande, förebyggande eller behandlande slag, bör således inte tillmätas någon betydelse. Som Myndigheten för vård- och omsorgsanalys påpekar brukar begreppet hälso- och sjukvård generellt inte omfatta tandvård. I bl.a. patientdatalagen (2008:355) och patientsäkerhetslagen omfattar dock hälso- och sjukvård även verksamhet som omfattas av tandvårdslagen. Den nuvarande regleringen av hälsodataregister omfattar tandvård och regeringen finner inte skäl att göra en annan bedömning vad avser den föreslagna nya lagen. Med hälso- och sjukvård ska därmed förstås även tandvård. Sammanfattningsvis anser alltså regeringen att uttrycket hälso- och sjukvård bör ha en dynamisk innebörd och anser därför till skillnad mot Lunds universitet att uttrycket inte bör definieras i den föreslagna lagen. Uttrycket folkhälsa är inte definierat i svensk lagstiftning. På Folkhälsomyndighetens hemsida ( folkhalsomyndigheten.se ) anges att folkhälsa är ett samlingsbegrepp för hela befolkningens hälsa. Uttrycket gäller både nivån på hälsa, exempelvis medellivslängden i befolkningen, och hur hälsan fördelas, exempelvis medellivslängden i olika grupper i befolk-
26ningen. En god folkhälsa innebär att hälsan är så god och så jämlikt fördelad som möjligt bland olika grupper i samhället. Begreppet folkhälsa definieras såvitt får anses relevant i detta lagstiftningsärende i artikel 3 c i Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbetet. Av den bestämmelsen framgår att med folkhälsa avses alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker. I dag har ordet funktionshinder en annan betydelse och den vedertagna termen som avses är funktionsnedsättning. Regeringen bedömer att uttrycket folkhälsa kan användas i den nya lagen om hälsodataregister utan att uttrycket definieras och att EU:s definition är en bra utgångspunkt vid bedömning av vad som avses med folkhälsa.
7.3 Ord och uttryck i lagen
Regeringens förslag
Den nya lagen ska innehålla följande definitioner: – hälsodataregister: register som förs av en central statlig myndighet och som utgör en rikstäckande samling personuppgifter om enskildas vård och hälsa, – patient: en person som fått, får eller är registrerad för att få hälsooch sjukvård, och – vårdgivare: en statlig myndighet, en region, en kommun, en annan juridisk person eller en enskild näringsidkare som bedriver hälsooch sjukvård.
Utredningens förslag
Förslaget från utredningen stämmer överens med regeringens.
Remissinstanserna
En majoritet av remissinstanserna instämmer i eller har inget att invända mot förslaget. Lunds universitet föreslår att uttrycket vårdgivare ska definieras genom en hänvisning till definitionen i patientsäkerhetslagen (2010:659) och att förhållandet mellan den föreslagna lagen och bestämmelserna i 7 kap. patientdatalagen (2008:355) bör framgå av lagtexten. Myndigheten för vård- och omsorgsanalys anför att det inte är tydligt vad som avses med vårdgivare i förhållande till tandvården, vilket skapar osäkerhet om vem som faktiskt omfattas av uppgiftsskyldigheten. Myndigheten påpekar att vårdgivare i lagen definieras som den som bedriver hälso- och sjukvård, samtidigt som tandvård generellt sett inte brukar omfattas av begreppet hälso- och sjukvård eftersom tandvård enligt tandvårdslagen är begränsad till insatser i munhålan (1 § tandvårdslagen 26 [1985:125]). Region Halland anger att definitionen av patient t.ex. inte
27återfinns i patientdatalagen (2008:355) och att det riskerar att utesluta upprättandet av hälsodataregister som avser enskildas deltagande i hälsofrämjande utbildningsinsatser där deltagare i samband med deltagandet inte kan betraktas som patienter inom hälso- och sjukvården.
Skälen för regeringens förslag
Uttrycket hälsodataregister Det finns ett antal grundläggande kännetecken för ett hälsodataregister. I förarbetena till den nuvarande lagen om hälsodataregister anges att ett hälsodataregister är ett centralt personregister hos en statlig förvaltningsmyndighet och att registren tillförs uppgifter från vården (prop. 1997/98:108 s. 40). Att ett hälsodataregister är centralt betyder enligt utredningen att det hålls på central nivå, dvs. av en statlig förvaltningsmyndighet vars verksamhetsområde är rikstäckande. Att det är ett personregister innebär att det är individbaserat och innehåller direkt utpekande personuppgifter, som personnummer. De övriga uppgifter som samlas in har koppling till en enskilds hälsotillstånd, exempelvis den vård och behandling eller de läkemedel som en enskild har fått. Utredningen konstaterar också att inrapporteringen till befintliga hälsodataregister är obligatorisk för samtliga berörda vårdgivare till skillnad från kvalitetsregistren, där det är frivilligt. Till skillnad från andra register som samlar in personuppgifter om enskildas vård och hälsa såsom t.ex. kvalitetsregister kan en registrerad inte påverka uppgiftsinsamlingen till ett hälsodataregister. Till skillnad från Lunds universitet anser regeringen att förhållandet mellan hälsodataregister och bestämmelserna i 7 kap. patientdatalagen inte bör framgå av lagen om hälsodataregister. En sådan bestämmelse finns inte i dagens reglering av hälsodataregister eller i patientdatalagen och regeringen finner inte heller skäl att införa en sådan. Vid inrättande av nationella register får man beakta skillnaderna mellan hälsodataregister och kvalitetsregister. Regeringen bedömer således i likhet med utredningen att hälsodataregister bör definieras i lagen. Enligt regeringen utgör en definition av uttrycket en yttre ram för vad som kan utgöra ett hälsodataregister. Det i sin tur ger vägledning för hur övriga bestämmelser i lagen ska tolkas.
Uttrycket patient Enskilda individer registreras i hälsodataregister som patienter. Uttrycket patient definieras i 1 kap. 1 § lagen (2022:913) om sammanhållen vårdoch omsorgsdokumentation. Enligt den bestämmelsen är en patient den som fått, får eller är registrerad (dvs. listad) för att få hälso- och sjukvård (prop. 2021/22:177 s. 190). Utredningen föreslår att samma definition av patient bör föras in i den föreslagna lagen om hälsodataregister. Regeringen instämmer i utredningens förslag och ser att det finns flera skäl till att föra in en definition av vad som avses med patient i den nya lagen om hälsodataregister. Det främsta skälet är att det tydliggör vilka personer som det är tillåtet att samla in uppgifter om (se avsnitt 7.10). Ett ytterligare skäl är att det klargör att även den som endast är listad för att få hälso- och sjukvård omfattas av uttrycket. Det kan vara av betydelse för
28att möjliggöra ökad insamling av exempelvis uppgifter om väntetider i vården. Region Halland påtalar att den föreslagna definitionen av patient riskerar att utesluta hälsodataregister som avser enskildas deltagande i hälsofrämjande utbildningsinsatser där deltagarna inte kan betraktas som patienter. Regeringen anser dock att föreslagen definition av patient är ändamålsenlig och förenlig med de krav på förutsebarhet och tydlighet som en reglering av detta slag kräver.
Uttrycket vårdgivare För att uppfylla syftet med hälsodataregister krävs att uppgifter om patienters vård och hälsa kan samlas in från vårdgivare. Det saknas en allmängiltig definition av uttrycket vårdgivare och vårdgivare kan därför ha olika innebörd i de författningar som styr hälso- och sjukvårdens verksamhetsområden. Av 1 kap. 3 § patientsäkerhetslagen framgår att med vårdgivare avses statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård. Liknande definition av vårdgivare finns i patientdatalagen och patientskadelagen (1996:799). I hälso- och sjukvårdslagen har däremot en huvudmans och en vårdgivares åtskilda roller tydliggjorts. Ansvaret som åligger en vårdgivare enligt den lagen är detsamma oavsett om vårdgivaren samtidigt är huvudman för verksamheten eller inte. Med vårdgivare avses i hälso- och sjukvårdslagen en statlig myndighet, region, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet. I den nuvarande lagen om hälsodataregister används inte uttrycket vårdgivare. I 6 § i den nuvarande lagen anges att den som bedriver verksamhet inom hälso- och sjukvården ska lämna uppgifter till ett hälsodataregister. Regeringen föreslår i avsnitt 7.14 att en vårdgivare ska vara skyldig att lämna de uppgifter som vårdgivaren förfogar över och som behövs i ett hälsodataregister. En given utgångspunkt vid reglering av en uppgiftsskyldighet är att det måste vara tydligt vilken aktör som har att uppfylla skyldigheten i fråga. Regeringen bedömer därför, till skillnad från Lunds universitet , att en uttrycklig definition i den föreslagna lagen är att föredra. Med uttrycket vårdgivare ska avses en statlig myndighet, en region, en kommun, en annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård. Detta stämmer överens med definitionen av vårdgivare i hälsooch sjukvårdslagen. I hälso- och sjukvårdslagen är emellertid definitionen av hälso- och sjukvård snävare. Myndigheten för vård- och omsorgsanalys efterfrågar ett förtydligande av vad som avses med vårdgivare i det föreslagna regelverket i förhållande till tandvården. Eftersom hälso- och sjukvård i den föreslagna regleringen även avser att omfatta tandvård kommer de aktörer som yrkesmässigt bedriver tandvård att omfattas av uppgiftsskyldigheten till ett hälsodataregister (se avsnitt 7.2).
297.4 Lagens förhållande till annan reglering
7.4.1 Lagen ska komplettera den allmänna
dataskyddslagstiftningen
Regeringens förslag
Den nya lagen om hälsodataregister ska innehålla en upplysning om att lagen kompletterar EU:s dataskyddsförordning. Den nya lagen ska även innehålla en bestämmelse som anger att lagen med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandlingen av personuppgifter enligt den nya lagen, om inte annat följer av den nya lagen eller föreskrifter som har meddelats i anslutning till denna.
Utredningens förslag
Förslaget från utredningen stämmer i huvudsak överens med regeringens. Utredningen föreslår att det i bestämmelsen även anges att ord och uttryck i lagen har samma betydelse som i EU:s dataskyddsförordning.
Remissinstanserna
En majoritet av remissinstanserna stöder eller har inget att invända mot förslaget. Lunds universitet anser att det i lagen bör preciseras vilka ord och uttryck som ska ha samma betydelse som i EU:s dataskyddsförordning.
Skälen för regeringens förslag
Lagen bör upplysa om att den kompletterar EU:s dataskyddsförordning EU:s dataskyddsförordning är direkt tillämplig i varje medlemsstat. En bestämmelse i en registerförfattning får tillämpas endast om den är förenlig med EU:s dataskyddsförordning och avser en fråga som enligt förordningen får särregleras eller specificeras genom nationell rätt (prop. 2017/18:105 s. 27). Den lag som nu föreslås kan därför endast innehålla bestämmelser som kompletterar eller tar över EU:s dataskyddsförordning när detta är tillåtet. För att det ska vara tydligt för tillämparen och den registrerade hur de olika regleringarna förhåller sig till varandra anser regeringen att en bestämmelse med upplysning om att lagen kompletterar EU:s dataskyddsförordning bör tas in i lagen. Det tydliggör också att lagen inte utgör en uttömmande reglering. Till skillnad från utredningens förslag bedömer regeringen att det inte behöver förtydligas att ord och uttryck i lagen om hälsodataregister har samma betydelse som i EU:s dataskyddsförordning. En upplysning om att lagen kompletterar EU:s dataskyddsförordning anser regeringen är tillräckligt för att förtydliga relationen mellan dessa regelverk. Därmed är det inte heller nödvändigt att det i lagen närmare preciseras vilka ord och uttryck i EU:s dataskyddsförordning som avses, såsom Lunds universitet förespråkar. En sådan ordning kan även ge intryck av att lagen är fristående från EU:s dataskyddsförordning.
30Lagen bör även upplysa om förhållandet till dataskyddslagen och föreskrifter till den lagen Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (förkortad dataskyddslagen) utgör komplement till EU:s dataskyddsförordning på en generell nivå och reglerar endast vissa frågor. Av 1 kap. 6 § dataskyddslagen följer att om en annan lag eller förordning innehåller någon bestämmelse som avviker från dataskyddslagen så ska bestämmelsen i den lagen eller förordningen tillämpas. Det behövs därför inte någon materiell bestämmelse för att bestämmelserna i lagen om hälsodataregister ska ges företräde framför dataskyddslagen. Registerförfattningar innehåller trots det ofta en upplysning om att det kan finnas tillämpliga bestämmelser om behandling av personuppgifter i dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen. Av tydlighetsskäl bör det därför införas en upplysning i den förslagna lagen om att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen ska gälla vid behandling av personuppgifter enligt den nya lagen, om inte annat följer av den nya lagen eller föreskrifter som har meddelats i anslutning till den lagen (jfr prop. 2017/18:171 s. 73).
7.4.2 Förhållandet till EU:s förordning om det
europeiska hälsodataområdet
Regeringens bedömning
Förordningen om det europeiska hälsodataområdet och regelverket om hälsodataregister är parallella rättsliga regleringar som kan tillämpas vid sidan av varandra.
Utredningens bedömning
Utredningens bedömning stämmer överens med regeringens.
Remissinstanserna
Majoriteten av remissinstanserna instämmer med eller har inget att invända mot bedömningen. Flera remissinstanser, däribland SciLifeLab, Karolinska Institutet, Umeå universitet, Svenska Läkaresällskapet, Swedish Medtech, E-hälsomyndigheten och Forte , framhåller vikten av samordningsvinster mellan hälsodataregister och kommande krav i förordningen om det europeiska hälsodataområdet.
Skälen för regeringens bedömning
Europaparlamentets och rådets förordning (EU) 2025/327 av den 11 februari 2025 om det europeiska hälsodataområdet och om ändring av direktiv 2011/24/EU och förordning (EU) 2024/2847, förkortad EHDSförordningen, trädde i kraft den 26 mars 2025 och ska stegvis börja gälla i medlemsstaterna. De första delarna ska börja tillämpas från och med den 26 mars 2027 och de sista delarna ska börja tillämpas den 26 mars 2029. Anpassningar av svensk rätt till EHDS hanteras bl.a. inom ramen för
31uppdraget om att möjliggöra en nationell digital infrastruktur för hälsodata (S 2024:A). EHDS-förordningen syftar till att skapa gemensamma ramar för hur elektroniska hälsodata ska kunna göras tillgängliga och användas, både för primär och sekundär användning. Med primär användning avses utbyte och åtkomst till hälsodata i huvudsak för ändamålet vård av patienter (artikel 2 d). Med sekundär användning avses att hälsodata används för andra ändamål än de initialt samlades in eller producerades för (artikel 2 e). Dessa andra ändamål innefattar breda användningsområden såsom forskning, statistik, kvalitetssäkring, verksamhetsplanering, träning av algoritmer och program, utbildning och samhällsanalys. Förordningen anger även vilka krav som ska gälla för åtkomst, säkerhet och interoperabilitet. Samtidigt innehåller förordningen uttryckliga bestämmelser om att den inte ska påverka unionsrättsliga eller nationella regler om elektronisk behandling av hälsodata som bl.a. syftar till att ge tillgång till allmänna handlingar (artikel 1.6). Förordningen ska inte heller påverka särskilda bestämmelser i unionsrätten eller nationell rätt om tillgång till elektroniska hälsodata för vidare behandling hos bl.a. myndigheter och andra aktörer som utför en uppgift av allmänt intresse (artikel 1.7). Den föreslagna lagen om hälsodataregister reglerar sådan sekundär användning av hälsodata som avses i EHDS-förordningen. Regeringen har gjort bedömningen att uppgiften att föra hälsodataregister utgör en uppgift av allmänt intresse (se avsnitt 7.8.1). Hälsodata för sekundär användning bör som huvudregel tillgängliggöras i anonymiserad form eller som statistik. I den mån uppgifter behöver göras tillgängliga på individnivå, exempelvis för forskning, bör detta ske i anonymiserad eller pseudonymiserad form och i s.k. säkra behandlingsmiljöer. Tillgång till och vidareanvändning av personuppgifter i hälsodataregister får ske till myndigheter och andra aktörer som utför uppgifter av allmänt intresse för bl.a. forskning, statistik och uppföljning. Denna krets och användning överensstämmer med utgångspunkten i EHDS-förordningen att särskild nationell reglering om tillgång till elektroniska hälsodata för vidarebehandling hos aktörer som utför uppgifter av allmänt intresse inte påverkas av förordningen (artikel 1.7). Dessutom reglerar inte EHDS register i sig utan endast att hälsodata ska kunna göras tillgängliga för sekundär användning och hur det ska ske. Regeringen bedömer därför i likhet med utredningen att förslaget till ny lag om hälsodataregister är förenligt med EHDS-förordningen och att dessa två regelverk ska betraktas som två parallella rättsliga system som kan tillämpas vid sidan av varandra. I likhet med flera remissinstanser, däribland SciLifeLab, Karolinska Institutet, Umeå universitet, Svenska Läkaresällskapet, Swedish Medtech, E-hälsomyndigheten och Forte , anser regeringen att det är viktigt att ta tillvara samordningsvinster mellan hälsodataregister och kommande krav i EHDS-förordningen genom att t.ex. utgå från samma standarder för interoperabilitet för att möjliggöra datadelning. Dessa frågor kan emellertid inte tas upp i detta lagstiftningsarbete utan får beaktas inom ramen för uppdraget att möjliggöra en nationell digital infrastruktur för hälsodata (S 2024:A).
327.5 Uppgifter om avlidna
Regeringens förslag
Vid behandling av uppgifter om avlidna personer ska lagen och föreskrifter som har meddelats i anslutning till lagen, EU:s dataskyddsförordning, dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen tillämpas.
Utredningens förslag
Förslaget från utredningen stämmer delvis överens med regeringens. Utredningen föreslår inte att EU:s dataskyddsförordning, dataskyddslagen eller föreskrifter som har meddelats i anslutning till den lagen ska tillämpas vid behandling av uppgifter om avlidna. Utredningen föreslår även en annan språklig utformning.
Remissinstanserna
Majoriteten av remissinstanserna instämmer i förslaget eller har inga invändningar mot det. Umeå universitet föreslår att konsekvenserna av det starka skyddet av uppgifter om avlidna bör klarläggas ytterligare. Universitet framhåller bl.a. att EU:s dataskyddsförordning inte är tillämplig på uppgifter om avlidna och att det av den anledningen inte går att upprätthålla någon princip om att dessa uppgifter åtnjuter samma skydd som personuppgifter.
Skälen för regeringens förslag
EU:s dataskyddsförordning är inte tillämplig på uppgifter om avlidna personer. En medlemsstat får dock fastställa bestämmelser för behandling av sådana personuppgifter (skäl 27 till EU:s dataskyddsförordning). Det finns flera exempel på registerförfattningar vars tillämpningsområde har utsträckts till att omfatta även uppgifter om avlidna, t.ex. 1 kap. 1 § lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet och 114 kap. 5 § SFB. Ett hälsodataregister har lång livslängd. Cancerregistret inrättades redan i slutet av 1950-talet och patientregistret några år därefter. Majoriteten av de uppgifter som behandlas i hälsodataregister är personuppgifter. Det innebär att det finns register som innehåller en ansenlig mängd uppgifter om nu avlidna personer. Uppgifter som kan vara av mycket integritetskänslig karaktär. För att uppfylla syftet med ett hälsodataregister är det nödvändigt att fortsatt kunna behandla samtliga uppgifter i registret, även uppgifter om personer som efter registreringen i registret har avlidit. Regeringen har tidigare konstaterat att avlidna personer inte har samma behov av integritetsskydd (prop. 2018/19:33 s. 67). Även om avlidna inte har samma omedelbara behov av integritetsskydd som levande personer är uppgifter som omfattas av hälsodataregistren regelmässigt så känsliga att det framstår som angeläget att de omfattas av registerlagens integritetskyddande regelverk. Att låta den nya lagen gälla även för uppgifter om avlidna kan dessutom anses bidra till att upprätthålla den frid som bör
33tillkomma en avliden person och för efterlevande kan det vara betydelsefullt att även den avlidnes uppgifter skyddas. Dessutom är det sällan praktiskt möjligt eller lämpligt att särskilja avlidnas uppgifter från levandes i omfattande databaser. Även av det skälet är det enligt regeringen mest ändamålsenligt att alla individuppgifter i registret omfattas av samma regelverk. För att få en enhetlig och heltäckande reglering bör även EU:s dataskyddsförordning och dataskyddslagen gälla vid behandling av uppgifter om avlidna inom den föreslagna lagens tillämpningsområde. Dessutom bör föreskrifter som meddelas i anslutning till den nu föreslagna lagen och dataskyddslagen gälla vid behandling av uppgifter om avlidna inom den nya lagens tillämpningsområde (jfr prop. 2019/20:106 s. 32 och prop. 2023/24:29 s. 24 och 25). I huvudsak bör samma krav gälla för uppgifter om avlidna personer som för personuppgifter. Exempelvis bör ändamålsbestämmelser, krav för behandling av känsliga personuppgifter och de principer som följer av artikel 5 i EU:s dataskyddsförordning gälla för uppgifter om avlidna personer. Som Umeå universitet påpekar kan uppgifter om avlidna inte helt åtnjuta samma skydd som personuppgifter. Regeringen har tidigare konstaterat att bestämmelser som på något sätt kräver den registrerades agerande eller medverkan i övrigt inte är tillämpliga på avlidna personer (prop. 2019/20:106). Någon möjlighet för efterlevande eller andra att överta rättigheter som tillkom den avlidne när denne var i livet finns inte heller (samma s. 32). Det innebär t.ex. att bestämmelser om rätten till information, rätten till skadestånd och möjligheten att begära rättelse av registrerades personuppgifter inte är tillämpliga i förhållande till avlidna Umeå universitet påtalar att det inte finns någon möjlighet att etikpröva forskning i registeruppgifter om avlidna (enbart om deras kroppar på något sätt involveras). Om skyddsåtgärder innebär att godkännande vid en etikprövning blir en nödvändighet skulle det kunna leda till stopp för forskning om avlidna. Regeringen konstaterar att detta lagstiftningsarbete inte ändrar de regler som följer av regelverket för etikprövning. Varken EU:s dataskyddsförordning, dataskyddslagen eller den föreslagna lagen ställer som krav att det måste finnas ett etikgodkännande vid behandling för forskningsändamål. Utgångspunkten för regeringens förslag är att samma regler ska gälla för såväl avlidna som levande personer, dock enbart i tillämpliga delar. Regeringen anser sammanfattningsvis att samtliga uppgifter om registrerade bör omfattas av samma regler så långt som möjligt. Att vissa bestämmelser inte är tillämpliga vid behandling av uppgifter som avser avlidna personer följer av de regelverk som den föreslagna bestämmelsen hänvisar till och behöver inte framgå av lagtexten.
347.6 Behandling av personuppgifter i hälsodataregister är obligatorisk
Regeringens bedömning
Det bör inte införas en möjlighet för en registrerad att motsätta sig behandlingen av personuppgifter i ett hälsodataregister. Det behöver inte regleras särskilt att behandlingen av personuppgifter är tillåten även om den registrerade motsätter sig behandlingen.
Utredningens bedömning
Bedömningen från utredningen stämmer överens med regeringens.
Remissinstanserna
Majoriteten av remissinstanserna instämmer i eller har inget att invända mot bedömningen. Region Dalarna pekar på att möjligheten att motsätta sig registrering finns i kvalitetsregister och om lagstiftaren avser att inkludera kvalitetsregister i den obligatoriska inrapporteringen så ser regionen att det kan innebära stora inskränkningar i den personliga integriteten. Region Skåne efterfrågar ett förtydligande gällande hur uppgifter i utvecklings- och statistiksyfte ska behandlas där individerna har lämnat sitt samtycke. Detta med anledning av att behandling av personuppgifter föreslås begränsas till undantagen i artikel 9 g–j i EU:s dataskyddsförordning.
Skälen för regeringens bedömning
All behandling av personuppgifter måste ha stöd i en rättslig grund i artikel 6.1 i EU:s dataskyddsförordning. Den rättsliga grunden för behandling av personuppgifter i ett hälsodataregister är företrädesvis artikel 6.1 e, dvs. att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (se avsnitt 7.8.1). Alla uppgifter som riksdag eller regering gett i uppdrag åt statliga myndigheter att utföra är av allmänt intresse. Nödvändig behandling av personuppgifter som följer av en sådan uppgift får utföras även om den registrerade inte samtycker till behandlingen i fråga. På samma sätt är det tillåtet att utan den registrerades samtycke utföra nödvändig behandling av s.k. känsliga personuppgifter med stöd av något av undantagen i artikel 9.2 g–j i EU:s dataskyddsförordning. Syftet med hälsodataregister är att bidra till ökad kunskap för att förbättra hälso- och sjukvården samt stärka folkhälsan (se avsnitt 7.1). En avgörande faktor för att uppnå detta syfte är enligt utredningen att registren håller hög kvalitet. För att upprätthålla hög kvalitet krävs att täckningsgraden och kvaliteten på inrapporterade data är god. Det säkerställs enligt utredningen genom att vårdgivare lämnar data i enlighet med en uppgiftsskyldighet som gäller för varje register. En förutsättning för att hälsodataregister även i framtiden ska hålla nödvändig kvalitet och kunna utgöra relevanta underlag för kontinuerligt kunskapsbyggande är enligt
35utredningen att personuppgiftsbehandlingen inte är valbar för en registrerad. Regeringen delar utredningens bedömning att det inte bör införas en möjlighet för registrerade att motsätta sig behandlingen av personuppgifter i ett hälsodataregister. En sådan möjlighet finns inte heller i dagens reglering av hälsodataregister och skulle som utredningen konstaterar motverka hela syftet med ett hälsodataregister. I detta sammanhang vill regeringen klargöra att förslaget i denna lagrådsremiss inte avser att inkludera nationella kvalitetsregister, vilket Region Dalarna påpekar, i den obligatoriska inrapporteringen till hälsodataregister eller i övrigt ändra den ordning som gäller för kvalitetsregister. En myndighets uppgift att ansvara för och behandla personuppgifter i ett hälsodataregister är och kommer fortsatt vara reglerat i författning. Tillämplig reglering finns i den föreslagna lagen om hälsodataregister, lagen (2001:99) om den officiella statistiken och förordningen (2001:100) om den officiella statistiken samt i berörd myndighets instruktion. Den rättsliga regleringen ger stöd för en myndighet att utföra den behandling som är nödvändig för att uppnå syftet med ett hälsodataregister oavsett den registrerades inställning till behandlingen. En bestämmelse om att behandlingen av uppgifter är obligatorisk skulle därför inte tillföra något materiellt innehåll utöver vad som redan gäller. Regeringen delar därför utredningens bedömning att den nya lagen inte bör innehålla en bestämmelse om att behandlingen av personuppgifter i ett hälsodataregister är tillåten även om den registrerade motsätter sig den. Regeringen vill med anledning av Region Skånes synpunkt förtydliga att huruvida en enskild lämnat sitt samtycke till att uppgifter i utvecklingsoch statistiksyfte får behandlas har ingen betydelse för den registeransvariga myndighetens rätt att behandla uppgifterna i ett hälsodataregister då behandlingen grundar sig på artiklarna 6.1 e och 9 g–j i EU:s dataskyddsförordning.
7.7 Personuppgiftsansvar
Regeringens förslag
Den myndighet som regeringen bestämmer med ansvar för ett hälsodataregister ska vara personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen eller enligt föreskrifter som har meddelats i anslutning till lagen.
Utredningens förslag
Förslaget från utredningen stämmer i sak överens med regeringens, men har en annan språklig utformning.
Remissinstanserna
Remissinstanserna instämmer i förslaget eller har inga invändningar mot det.
36Skälen för regeringens förslag
Uttrycket personuppgiftsansvarig är centralt inom all dataskyddsreglering. Den personuppgiftsansvarige är skyldig att se till att behandling av personuppgifter sker i enlighet med gällande bestämmelser, och enskilda ska alltid kunna vända sig till den personuppgiftsansvarige för att göra sina rättigheter gällande. Den personuppgiftsansvarige ska exempelvis ansvara för och kunna visa att de grundläggande principerna i artikel 5.1 i EU:s dataskyddsförordning följs (artikel 5.2). Därutöver ska den personuppgiftsansvarige bl.a. genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med EU:s dataskyddsförordning (artikel 24.1) och för att säkerställa en lämplig säkerhetsnivå (artikel 32.1). Av definitionen i artikel 4.7 i EU:s dataskyddsförordning framgår att det med personuppgiftsansvarig avses en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen eller medlen för behandlingen bestäms i unionsrätten eller medlemsstaternas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. Det är alltså tillåtet att i nationell rätt ange vem som är personuppgiftsansvarig för en viss behandling av personuppgifter. Registerförfattningar innehåller regelmässigt en reglering av vem som är personuppgiftsansvarig. I den nuvarande lagen om hälsodataregister anges att den centrala förvaltningsmyndighet som utför behandlingen av personuppgifter är personuppgiftsansvarig (1 §). En bestämmelse om personuppgiftsansvar bidrar till tydlighet för både ansvarig myndighet och de registrerade. Regeringen anser därför, i likhet med utredningen, att det bör framgå även av den nya lagen vem som är personuppgiftsansvarig. Eftersom den föreslagna lagen om hälsodataregister, precis som den nuvarande, reglerar den registeransvariga myndighetens personuppgiftsbehandling bör det vara den myndigheten som ska vara personuppgiftsansvarig. Regeringen föreslår att bestämmelsen ska utformas så att det tydligt framgår att personuppgiftsansvaret kopplas till den behandling som utförs med stöd av lagen eller föreskrifter som har meddelats i anslutning till lagen.
7.8 Ändamål för behandling av personuppgifter
7.8.1 Rättslig grund för behandling av personuppgifter
Regeringens bedömning
Den rättsliga grunden för behandling av personuppgifter i ett hälsodataregister är företrädesvis uppgift av allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning, men även den rättsliga grunden rättslig förpliktelse enligt artikel 6.1 c i förordningen är tillämplig på behandling av personuppgifter i ett hälsodataregister.
37Utredningens bedömning
Utredningens bedömning stämmer överens med regeringens.
Remissinstanserna
Remissinstanserna instämmer i eller har inga invändningar mot bedömningen.
Skälen för regeringens bedömning
Behandling för att utföra en uppgift av allmänt intresse All behandling av personuppgifter måste ha stöd i någon av de rättsliga grunder som anges i artikel 6.1 a–f i EU:s dataskyddsförordning. De rättsliga grunderna är i viss mån överlappande och flera rättsliga grunder kan därför vara tillämpliga för en och samma behandling (prop. 2017/18:105 s. 46). En av grunderna är att personuppgifter får behandlas med stöd av artikel 6.1 e om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Regeringen har bedömt att alla uppgifter som riksdagen eller regeringen har gett i uppdrag åt statliga myndigheter att utföra och sådan verksamhet som myndigheterna bedriver inom ramen för sin befogenhet i normalfallet är sådana uppgifter av allmänt intresse som avses i artikel 6.1 e i EU:s dataskyddsförordning (prop. 2017/18:105 s. 56 och 57). En uppgift av allmänt intresse ska vara fastställd i enlighet med unionsrätten eller den nationella rätten som den personuppgiftsansvarige omfattas av (artikel 6.3 i EU:s dataskyddsförordning). Av samma artikel framgår också att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Med detta avses, enligt skäl 41 i EU:s dataskyddsförordning, inte att den rättsliga grunden nödvändigtvis måste fastställas i lag. Däremot måste grunden vara fastställd i laga ordning på ett konstitutionellt korrekt sätt (prop. 2017/18:105 s. 51). Artikel 6.1 e kompletteras av 2 kap. 2 § 1 dataskyddslagen. Av den bestämmelsen framgår att en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning utgör en rättslig grund för behandling av personuppgifter. Av skäl 45 till EU:s dataskyddsförordning följer också att allmänintresset inbegriper hälso- och sjukvårdsändamål, folkhälsa, socialt skydd och förvaltning av hälso- och sjukvårdstjänster. Regeringen har tidigare bedömt att den behandling som görs i hälsodataregister är nödvändig för att utföra en uppgift av allmänt intresse (prop. 1997/98:108 s. 48 och prop. 2017/18:171 s.133). I dag regleras uppgiften att föra hälsodataregister i lagen om hälsodataregister och i anslutande förordningar. Den föreslagna lagen om hälsodataregister kommer att utformas på liknande sätt. Lagen kommer att närmare fastställa den rättsliga grunden i den nationella rätten, bl.a. när det gäller de allmänna villkoren för behandling av personuppgifter, för vilka ändamål personuppgifter får behandlas och åtgärder för att tillförsäkra en laglig och rättvis behandling. Kravet på att grunden för de behandlingar som den registeransvariga myndigheten behöver utföra ska vara rättsligt 37
38fastställd i enlighet med artikel 6.3 i EU:s dataskyddsförordning får därmed enligt regeringen anses uppfyllt genom den lag som nu föreslås. Även kravet på att syftet med behandlingen ska vara nödvändigt för att utföra en uppgift av allmänt intresse får anses uppfyllt med det föreslagna regelverket. Slutligen ska den rättsliga grunden också uppfylla ett mål av allmänt intresse och vara proportionerlig mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen). Uppgifter av allmänt intresse som har fastställts i enlighet med svensk rätt uppfyller genomgående dessa krav (prop. 2017/18:105 s. 50). Kravet på proportionalitet kan också tillgodoses genom särskilt reglerade skyddsåtgärder (jfr avsnitt 9).
Behandling för att fullgöra en rättslig förpliktelse Personuppgifter får också behandlas om det i enlighet med den rättsliga grunden i artikel 6.1 c i EU:s dataskyddsförordning är nödvändigt för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. En rättslig förpliktelse kan avse en författningsreglerad skyldighet för en myndighet att lämna ut uppgifter till en annan myndighet eller till någon annan aktör. I normalfallet torde dock myndigheters uppgifter och uppdrag i första hand utgöra en rättslig grund för behandling av personuppgifter med stöd av artikel 6.1 e i EU:s dataskyddsförordning, dvs. på grundval av att uppgiften eller uppdraget avser en uppgift av allmänt intresse (prop. 2017/18:105 s. 53 och 54). Vid behandling av personuppgifter kan flera rättsliga grunder vara tillämpliga avseende en och samma behandling (prop. 2017/18:105 s. 46). De uppgiftsskyldigheter som finns i den nuvarande lagen om hälsodataregister och tillhörande förordningar har regeringen ansett utgöra en rättslig förpliktelse (prop. 2017/18:171 s. 133). Den rättsliga förpliktelsen ska vara fastställd i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av och syftet med behandlingen ska fastställas i den rättsliga grunden enligt artikel 6.3. Av 2 kap. 1 § dataskyddslagen framgår att personuppgifter får behandlas för att fullgöra en rättslig förpliktelse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning. I den föreslagna lagen kommer uppgiftsskyldigheter för vårdgivare och statliga myndigheter att regleras. Den personuppgiftsbehandling som sker för att fullfölja de angivna uppgiftsskyldigheterna är nödvändig för att uppfylla en rättslig förpliktelse enligt artikel 6.1 c i EU:s dataskyddsförordning. Den rättsliga förpliktelsen är fastställda i nationell rätt i enlighet med artikel 6.3 första stycket i EU:s dataskyddsförordning. Syftet med behandlingen framgår av den rättsliga förpliktelsen.
Nödvändig behandling En behandling enligt artikel 6.1 c eller e är bara tillåten om den också är nödvändig. Att behandlingen ska vara nödvändig innebär inte att det ska vara omöjligt att uppnå syftet med behandlingen utan att personuppgifter behandlas. Vanligtvis anses det nödvändigt att behandla personuppgifter elektroniskt eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag (prop. 2017/18:105 s. 46 och 47 och EU-domstolens dom i målet Huber mot
39Tyskland C-524/06, EU:C:2008:724). Kravet på nödvändighet innebär dock att personuppgifter inte får behandlas om syftet med behandlingen kan uppnås med andra medel, t.ex. genom att anonymisera uppgifterna (prop. 2017/18:232 s. 117). En bedömning av om nödvändighetskravet är uppfyllt måste göras inför varje behandling.
7.8.2 Primära ändamål
Regeringens förslag
Personuppgifter ska få behandlas i ett hälsodataregister om det är nödvändigt för att – framställa statistik, – framställa underlag för uppföljning, utvärdering och kvalitetssäkring, – utföra epidemiologiska studier, eller – bedriva forskning.
Utredningens förslag
Förslaget från utredningen stämmer i huvudsak överens med regeringens. Utredningen föreslår att personuppgifter i ett hälsodataregister ska få behandlas om det är nödvändigt för att fullgöra uppgiftslämnande som sker i enlighet med lag eller förordning.
Remissinstanserna
Majoriteten av remissinstanserna instämmer i eller har inget att invända mot utredningens förslag. SciLifeLab anger att begreppet analys bör ingå i de primära ändamålen eftersom det är en central del av Socialstyrelsens uppgifter. Svenska Läkaresällskapet (SLS) och Umeå universitet anser att ändamålen bör kompletteras med ändamålet att möjliggöra eller förbereda forskning. Enligt SLS skulle en sådan komplettering exempelvis kunna bidra till att lösa problematiken kring antalsberäkningar som kan behövas som underlag för en etikansökan. Region Halland anser att ändamålet kvalitetsutveckling måste tillåtas i den föreslagna lagen eftersom det i annan hälso- och sjukvårdslagstiftning görs en åtskillnad mellan kvalitetssäkring och kvalitetsutveckling. Lunds universitet anger att de listade ändamålen för behandling av personuppgifter i ett hälsodataregister är snävare än de exempel som får behandlas med stöd av artikel 9.2 g–j i EU:s dataskyddsförordning. Etikprövningsmyndigheten påpekar att ansvaret för att aktiviteter som utgör forskning enligt 2 § i lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) inte utförs utan etikprövning ligger hos den organisation i vars verksamhet arbetet bedrivs. Flera remissinstanser, såsom Sveriges Kommuner och Regioner (SKR) , Region Västerbotten och Västra Götalandsregionen, saknar ett region- och kommunperspektiv och anser att vårdgivarna och huvudmännen löpande behöver få tillgång till sina inrapporterade data för att kunna kvalitetssäkra sina respektive verksamheter. Regionerna behöver enligt SKR ha möjlig-
40het att själva bygga statistik genom fri tillgång till egna inrapporterade data. Det behövs en transparens beträffande inrapporterade hälsodata för andra ändamål än statlig uppföljning.
Skälen för regeringens förslag
Ändamål för behandling av personuppgifter i hälsodataregister ska fastställas Personuppgifter ska enligt artikel 5.1 b i EU:s dataskyddsförordning samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Denna princip kallas för principen om ändamålsbegränsning. I skäl 39 i EU:s dataskyddsförordning klargörs att de specifika ändamål som personuppgifterna behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in. Utifrån ändamålet avgörs vilka personuppgifter som får behandlas (artikel 5.1 c) och den registrerade har rätt att få information om ändamålet (artiklarna 13-15). Även lämplig säkerhetsnivå bestäms utifrån bl.a. behandlingens ändamål (artikel 32.1). Ändamålet bestäms av den personuppgiftsansvarige, i EUrätt eller i nationell rätt (artiklarna 4.7, 6.2 och 6.3). Enligt den s.k. finalitetsprincipen får personuppgifter inte vidarebehandlas för något annat ändamål som är oförenligt med insamlingsändamålen. Möjligheten att senare behandla personuppgifterna för andra ändamål är således begränsad. Ändamålsbestämmelser anger den yttersta ramen inom vilken uppgifter får behandlas. Ändamålsbestämmelser är sådana specifika bestämmelser som anpassar tillämpningen av EU:s dataskyddsförordning och säkerställer en laglig och rättvis behandling och är således tillåtna i nationell rätt enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning. Primära ändamål är sådana ändamål som avser myndigheters interna verksamhet. I registerförfattningar förekommer primära ändamål med varierande detaljeringsgrad. För att leva upp till kravet på särskilda, uttryckligt angivna och berättigade ändamål i EU:s dataskyddsförordning behöver myndigheten normalt också formulera mer preciserade ändamål för de specifika behandlingar av personuppgifter som sker i myndighetens verksamhet (prop. 2019/20:106 s. 39). Genom väl avvägda ändamålsbestämmelser kan en myndighet som ansvarar för ett hälsodataregister ges nödvändiga förutsättningar att behandla personuppgifter i sin verksamhet samtidigt som risken för obefogade intrång i den personliga integriteten minskar. Som anges i avsnitt 7.8.1 är behandling av personuppgifter som görs med stöd av den rättsliga grunden uppgift av allmänt intresse och rättslig förpliktelse endast tillåten om behandlingen är nödvändig. En bedömning av om behandlingen är nödvändig måste göras inför varje behandling. Kravet på nödvändighet innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. I kravet på nödvändighet ligger att personuppgifter inte får behandlas om syftet med behandlingen kan uppnås med andra medel, t.ex. genom anonymiserade uppgifter (jfr prop. 2022/23:34 s. 124). I dag får personuppgifter i ett hälsodataregister behandlas för framställning av statistik, uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvården och för forskning och epidemiologiska undersökningar (3 § lagen om hälsodataregister). Utredningen konstaterar att de 40 ändamål för behandling som regleras i den nuvarande lagen om hälso-
41dataregister i allt väsentligt överensstämmer med de behov en registeransvarig myndighet har att behandla uppgifter i ett hälsodataregister. Enligt utredningen har det inte heller framkommit några behov av att utöka ändamålen för tillåten behandling. Mot denna bakgrund föreslår utredningen i huvudsak motsvarande ändamål för vilka det i dag är tillåtet att behandla personuppgifter i hälsodataregister, dvs. för framställning av statistik, uppföljning, utvärdering och kvalitetssäkring och för forskning och epidemiologiska undersökningar. Regeringen finner inte skäl att göra någon annan bedömning än den utredningen har gjort och anser att motsvarande ändamål som finns i dagens reglering motsvarar de behov som finns att behandla personuppgifter i ett hälsodataregister. Dessa ändamål har sedan tidigare bedömts vara tillräckligt specifika, särskilt angivna och berättigade (prop. 1997/98:108 s. 48). Regeringen instämmer med SciLifeLab om att analysarbete är en central del i Socialstyrelsens arbete med hälsodataregistren. Till skillnad från SciLifeLab anser regeringen att analysarbete täcks in av befintliga ändamål, särskilt framställning av statistik samt framställning av underlag för uppföljning, utvärdering och kvalitetssäkring. Även mer fördjupade analyser ryms inom ändamålen epidemiologiska studier och forskning. Mot denna bakgrund finns det enligt regeringens mening inte behov av att särskilt ange begreppet analys i den uppräknade ändamålen. Flera remissinstanser såsom SKR, Region Västerbotten och Västra Götalandsregionen saknar ett region- och kommunperspektiv och anger att vårdgivarna löpande behöver få tillgång till sina inrapporterade data för att kunna kvalitetssäkra sina respektive verksamheter. Regeringen noterar att hälsodataregister förs i dag, och kommer även framöver att föras av en statlig myndighet för vissa ändamål. Regeringen delar uppfattningen att regioner och kommuner har behov av att kunna kvalitetssäkra, följa upp och utveckla sina verksamheter. Hälsodataregister ska emellertid även fortsättningsvis föras av en statlig myndighet för de ändamål som anges i lagen. Frågor om huvudmännens tillgång till uppgifter för kvalitetssäkring, verksamhetsuppföljning och verksamhetsutveckling bör därför inte regleras inom ramen för denna lag. Sådana behov får i stället tillgodoses genom andra ordningar och regelverk som är anpassade till huvudmännens ansvar för den egna verksamheten. Lunds universitet anser att det finns skäl att se över hur lagförslaget beskriver de olika ändamål som tillåter behandling av personuppgifter i 2 kap. 2 § jämfört med 2 kap. 6 § i lagförslaget. Universitetet anser att grunderna för databehandling i 2 kap. 2 § är mer begränsade än i 2 kap. 6 §. Som redogjorts för ovan anger ändamålsbestämmelsen i 2 kap. 2 § i utredningens lagförslag tillsammans med finalitetsprincipen i 2 kap. 4 § den yttersta ramen för vilka personuppgifter som får behandlas i ett hälsodataregister. Bestämmelsen i 2 kap. 6 § är inte avsedd att utvidga ändamålen, utan bestämmelsen förtydligar att registeransvarig myndighet får behandla känsliga personuppgifter inom ramen för de tillåtna ändamålen. Nedan följer en närmare beskrivning av respektive ändamål. Det kan framhållas att uttrycken statistik, uppföljning, utvärdering, epidemiologiska studier och forskning i viss mån går in i varandra och det går inte att dra någon skarp gräns mellan dem.
42Ändamålet statistik Statistik är vetenskapen om metoder för insamling, bearbetning, redovisning och analys av numeriska data. Enligt skäl 162 i EU:s dataskyddsförordning avses med statistiska ändamål varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat. Det statistiska resultatet kan även användas för olika ändamål, inbegripet vetenskapliga forskningsändamål. Ett statistiskt ändamål innebär att resultatet av behandlingen av personuppgifter inte består av personuppgifter, utan av aggregerade uppgifter, och att resultatet eller personuppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild fysisk person. Regeringen har uttalat att med statistik avses metoder för att samla in, bearbeta, utvärdera och analysera data eller information (prop. 2017/18:107 s. 19). Behandling av personuppgifter för statistiska ändamål kan utföras inom ramen för en särskild statistikverksamhet vid en myndighet eller som en uppföljande åtgärd till annan verksamhet. Det förstnämnda avser s.k. officiell statistisk som är särskilt reglerat genom lagen (2001:99) om den officiella statistiken och förordningen (2001:100) om den officiella statistiken. Det kan också avse annan reglerad statistik som framställs av särskilt utpekade myndigheter. Socialstyrelsen ansvarar för den officiella statistiken avseende exempelvis hälso- och sjukvård och Folkhälsomyndigheten för statistikområdena folkhälsans utveckling och smittskydd. Framställning av statistik har varit ett viktigt motiv vid inrättandet av nuvarande lag om hälsodataregister. Ett hälsodataregister skapas ofta som ett s.k. statistikregister som hanteras inom ramen för en myndighets särskilda statistikverksamhet. Ändamålet statistikframställning är särskilt prioriterat i EU:s dataskyddsförordning genom att det som utgångspunkt alltid är tillåtet att behandla uppgifter för statistikändamål oavsett för vilket ändamål uppgifterna ursprungligen samlades in. En förutsättning är att de skyddsåtgärder som anges i artikel 89.1 beaktas. Eftersom statistikframställning i princip alltid är tillåtet med stöd av finalitetsprincipen, dvs. oavsett för vilket ändamål uppgifterna ursprungligen har samlats in, kan det ifrågasättas om det är nödvändigt att reglera statistik som ett eget ändamål för behandling. Eftersom statistikframställning utgör en grundläggande och betydande del av den personuppgiftsbehandling som utförs i hälsodataregister anser regeringen att det uttryckligen bör framgå av den nya lagen att det är ett tillåtet ändamål för behandling. En reglering av statistikframställning som ett primärt ändamål är även en förutsättning för att en registeransvarig myndighet ska kunna samla in uppgifter specifikt för detta ändamål. En sådan bestämmelse stärker även transparensen och förutsebarheten i frågan om hur uppgifter i hälsodataregister behandlas.
Ändamålen uppföljning, utvärdering och kvalitetssäkring Ett viktigt användningsområde för hälsodataregister är att ta fram underlag som bidrar till att bl.a. identifiera likheter och skillnader i hälso- och sjukvårdsverksamheter, beskriva nyttan av en viss verksamhet eller på central nivå kontrollera i vilken utsträckning hälso- och sjukvårdsverksamheter uppnår sina kvalitetsmål. Sådana underlag, som kan framställas
43inom ramen för uppföljning, utvärdering eller kvalitetssäkring, har också potential att ge en överblick över hälso- och sjukvårdens utveckling och hälsoutvecklingen i befolkningen. En myndighet som ansvarar för ett hälsodataregister ska fortsatt kunna behandla uppgifter för ändamålen uppföljning, utvärdering och kvalitetssäkring. Med uppföljning avses att fortlöpande och regelbundet mäta och beskriva behov, verksamheter och resursåtgång angivet i termer som behovstäckning, produktivitet och nyckeltal. Genom att följa upp hälsooch sjukvården går det att belysa bl.a. skillnader i vård eller läkemedelsanvändning i olika regioner eller mellan olika kön och åldrar. Utvärdering avser analys och värdering av kvalitet, effektivitet och resultat hos en verksamhet i förhållande till de mål som bestämts för denna (prop.1997/98:108 s. 49). Med stöd av uppgifter i hälsodataregister kan exempelvis vården vid olika sjukdomar utvärderas utifrån gällande nationella riktlinjer. Kvalitetssäkring är en utvärderingsprocess där man fortlöpande och systematiskt beskriver, mäter och värderar kvaliteten i en verksamhet i relation till fastslagna mål. Kvalitetssäkring kan utföras med stöd av olika kvalitetsindikatorer, som överlevnad, sjukvårdskostnad eller väntetider i vården. Genom att mäta och jämföra kvalitetsindikatorer för olika vårdgivare kan förhållanden inom hälso- och sjukvården följas upp och utvärderas. Till skillnad från Region Halland anser regeringen inte att ändamålet kvalitetsutveckling behöver framgå av den nya lagen för att hålla samman hälsodataregisterlagstiftningen med övrig hälso- och sjukvårdslagstiftning. Regeringen noterar att det i annan hälso- och sjukvårdslagstiftning i vissa sammanhang görs en åtskillnad mellan kvalitetssäkring och kvalitetsutveckling. Regeringen bedömer i detta sammanhang att ändamålet att framställa underlag för uppföljning, utvärdering och kvalitetssäkring ger tillräckligt utrymme för att ta fram underlag som också kan användas i ett kvalitetsutvecklande arbete i hälsooch sjukvården. Enligt den nuvarande lagen är ändamålen begränsade genom att den behandling som aktualiseras ska avse hälso- och sjukvård. Regeringen anser i likhet med utredningen att denna begränsning inte tillför något i sak och att den därför bör utgå. Regeringen instämmer även i utredningens bedömning att ändamålen bör förtydligas genom att lägga till ”framställa underlag” framför uppföljning, utvärdering och kvalitetssäkring. Tillägget är inte avsett att utgöra någon begränsning av ändamålen i förhållande till vad som gäller i dag. Ett underlag kan ha olika former och mottagare. Det behöver inte vara beständigt till sin form utan kan också avse en dynamisk bearbetning av information som sker över tid. Underlag kan framställas inom ramen för den registeransvariga myndighetens egna behov men kan också tas fram på uppdrag av en utomstående aktör.
Ändamålet epidemiologiska studier Ett annat viktigt användningsområde är epidemiologiska studier. Epidemiologi är vetenskapen om hälsoförhållanden i befolkningen och de faktorer som påverkar eller bidrar till olika typer av ohälsa. Epidemiologin har en central betydelse för att påvisa riskfaktorer för en lång rad sjukdomar hos befolkningen och ge underlag till systematiskt genomförda
44försök med förebyggande insatser. Många gånger drivs epidemiologiska undersökningar som långsiktiga projekt där förändringar över tiden av sjuklighet, dödlighet och orsaker därtill studeras (prop. 1997/98:108 s. 50 och 51). När en epidemiologisk undersökning bedrivs vid en myndighet är huvudsyftet i regel inte forskning utan snarare att analysera trender, samband och mekanismer bakom olika sjukdomars utbredning och variation i befolkningen. En epidemiologisk undersökning inkluderar ofta statistikframställning men sträcker sig i allmänhet längre än så genom fördjupade analyser av de statistiska resultaten, exempelvis när det gäller orsaker och samband. Möjligheten att behandla personuppgifter för kunskapsproduktion inom epidemiologi utgör en inte oväsentlig del av bl.a. Socialstyrelsens verksamhet. Genom epidemiologiska undersökningar kan viktiga samhällsfrågor belysas utifrån ett folkhälsoperspektiv. Det har inte minst visat sig angeläget i situationer av snabb och oväntad spridning av smittsamma sjukdomar i befolkningen, exempelvis sjukdomen covid-19. Regeringen delar utredningens bedömning att det är angeläget att epidemiologiska undersökningar kvarstår som ett eget ändamål i den nya lagen om hälsodataregister. Detta ökar transparensen och tydligheten i regelverket. Därtill bedömer regeringen att en myndighet som ansvarar för ett hälsodataregister och som inte har forskning som en instruktionsenlig uppgift, på detta sätt får ett tydligt stöd för att utföra epidemiologiska undersökningar med uppgifter i hälsodataregister. Utredningen pekar också på att en epidemiologisk undersökning som utförs av en myndighet i regel inte behöver etikgodkännande, till skillnad från ett forskningsprojekt. Som Etikprövningsmyndigheten uppger ligger ansvaret för att aktiviteter som utgör forskning enligt definitionen i 2 § etikprövningslagen inte utförs utan etikprövning alltid hos den organisation i vars verksamhet arbetet bedrivs. I flera nyare författningar har uttrycket epidemiologisk studie ersatt uttrycket epidemiologisk undersökning, se exempelvis 4 § 7 förordningen (2015:284) med instruktion för Socialstyrelsen och 5 och 6 §§ biobanksförordningen (2023:43). För att uppnå större enhetlighet anser regeringen att uttrycket epidemiologisk studie därför bör ersätta epidemiologisk undersökning även i den nya lagen om hälsodataregister. Någon ändring i sak är inte avsedd.
Ändamålet forskning Etikprövningslagen innehåller bestämmelser om etikprövning av forskning som avser människor. I 2 § etikprövningslagen definieras forskning som vetenskapligt experimentellt eller teoretiskt arbete eller vetenskapliga studier genom observation, om arbetet eller studierna görs för att hämta in ny kunskap, och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete eller sådana studier som utförs endast inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå. I forskningsprojekt där uppgifter från hälsodataregister utgör underlag kommer känsliga personuppgifter i många fall att behandlas. För att ett sådant projekt ska vara tillåtet krävs att det har godkänts vid en etikprövning enligt 6 § etikprövningslagen. Vid sidan av kravet på etikgodkännande måste en myndighet
45som ansvarar för ett hälsodataregister som utgångspunkt ha i uppgift att bedriva forskning för att kunna genomföra forskningsprojekt i sin verksamhet. En sådan uppgift kan t.ex. regleras i myndighetens instruktion eller ges genom uppdrag. En etikprövning enligt etikprövningslagen uppfyller enligt regeringen det krav som EU:s dataskyddsförordning ställer på en objektiv bedömning av de risker personuppgiftsbehandlingen kan medföra för den registrerades grundläggande rättigheter och friheter (prop. 2017/18:298 s. 87 och 88). Etikprövning anses därmed vara en sådan i nationell rätt fastställd lämplig och särskild åtgärd som krävs enligt artikel 9.2 j i EU:s dataskyddsförordning vid nödvändig behandling av känsliga personuppgifter för forskningsändamål. På samma sätt som statistik är forskning särskilt prioriterat i EU:s dataskyddsförordning genom att det som utgångspunkt alltid är tillåtet att behandla uppgifter för vetenskapliga eller historiska forskningsändamål oavsett för vilket ändamål uppgifterna ursprungligen samlades in (artikel 5.1 b i EU:s dataskyddsförordning). Behandling av personuppgifter för vetenskapliga forskningsändamål ska ges en vid tolkning enligt EU:s dataskyddsförordning. I ändamålet ingår exempelvis grundforskning, tillämpad forskning, privatfinansierad forskning och studier av allmänt intresse inom folkhälsoområdet (skäl 159 till EU:s dataskyddsförordning). Precis som med ändamålet statistik kan det ifrågasättas om det är nödvändigt att reglera forskning som ett eget ändamål för registeransvarig myndighets behandling, eftersom sådan behandling kan utföras med stöd av finalitetsprincipen, dvs. oavsett för vilket ändamål uppgifterna ursprungligen har samlats in. Regeringen anser dock i likhet med utredningen att det av tydlighetsskäl bör klargöras att uppgifter i hälsodataregister får behandlas för att bedriva forskning. Det är en förutsättning för att en registeransvarig myndighet ska kunna samla in uppgifter specifikt för ändamålet forskning. Socialstyrelsen ska enligt 4 § 4 förordningen (2015:284) med instruktion för Socialstyrelsen främja utvecklingen av metoder och arbetsformer i socialt arbete genom bl.a. forskning, dvs. det ingår i myndighetens uppgift att bedriva forskning inom det området. Det finns för närvarande inte någon motsvarande författningsreglerad uppgift för Socialstyrelsen att bedriva forskning på hälso- och sjukvårdsområdet. Socialstyrelsen ska dock enligt 4 § 9 förordningen med instruktion för Socialstyrelsen följa forsknings- och utvecklingsarbete av särskild betydelse inom sitt verksamhetsområde och verka för att sådant arbete kommer till stånd, vilket även inkluderar hälso- och sjukvårdsområdet. Genom att ha med ändamålet forskning som ett primärt ändamål skapas dock incitament för utveckling av mer beprövad erfarenhet och mer forskning om insatser och deras resultat. Ett sådant ändamål stärker också transparensen och förutsebarheten i frågan om hur uppgifter i hälsodataregister kan komma att behandlas. Regeringen konstaterar även att registeransvarig myndighet hanterar utlämnanden av registeruppgifter för forskning som bedrivs av utomstående aktörer. Sådana utlämnanden och den personuppgiftsbehandling som det ger upphov till omfattas av förslagets sekundära ändamålsbestämmelse (se avsnitt 7.8.3).
46I likhet med SLS och Umeå universitet anser regeringen att det är viktigt att det går att samla in och ta del av relevanta data även för att förbereda forskning. Regeringen konstaterar att Socialstyrelsen enligt sin instruktion ska följa forsknings- och utvecklingsarbete av särskild betydelse inom sitt verksamhetsområde och verka för att sådant arbete kommer till stånd. Frågan om ändamålen i förordningen bör kompletteras med ändamålet att förbereda forskning för att möjliggöra bl.a. antalsberäkning, som SLS och Umeå universitet föreslår, får analyseras i det fortsatta förordningsarbetet. Sammanfattningsvis anser regeringen att forskning bör vara ett sådant primärt ändamål som personuppgifter i ett hälsodataregister får behandlas för och att det ska regleras i den föreslagna lagen.
7.8.3 Sekundära ändamål
Regeringens förslag
Personuppgifter som behandlas enligt de primära ändamålen ska även få behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Utredningens förslag
Förslaget från utredningen stämmer delvis överens med regeringens. Utredningen föreslår att behandling av personuppgifter för att fullgöra uppgiftslämnande som sker i enlighet med lag eller förordning ska regleras som ett primärt ändamål.
Remissinstanserna
Remissinstanserna instämmer i eller har inga invändningar mot förslaget.
Skälen för regeringens förslag
En bestämmelse om uppgiftslämnande i överensstämmelse med lag eller förordning ger ökad tydlighet och transparens Uppgifter som samlas i ett hälsodataregister kan vara av stort värde för andra aktörer än den myndighet som ansvarar för registret i fråga. Socialstyrelsens omfattande utlämnandeverksamhet är ett tydligt tecken på det. Utlämnande av uppgifter i ett hälsodataregister utgör en behandling av personuppgifter i dataskyddsförordningens mening. Behandlingen måste, i likhet med all annan behandling, ha stöd i en rättslig grund enligt artikel 6.1 i EU:s dataskyddsförordning. Det är framför allt aktuellt att lämna ut uppgifter med stöd av de rättsliga grunderna i artikel 6.1 c och e (rättslig förpliktelse respektive uppgift av allmänt intresse). Den rättsliga grunden enligt artikel 6.1 c och e ska vara fastställd (artikel 6.3 första stycket), vilket innebär att uppgiftslämnandet måste ske i överensstämmelse med lag eller förordning. En myndighet kan omfattas av en sådan uttrycklig uppgiftsskyldighet som avses i 10 kap. 28 § offentlighetsoch sekretesslagen (2009:400), OSL. En myndighet kan också behöva lämna ut uppgifter i syfte att bl.a. fullgöra skyldigheten enligt 6 kap. 5 §
47OSL att på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Den nuvarande lagen om hälsodataregister innehåller inte en särskild ändamålsbestämmelse för utlämnande av uppgifter. En bestämmelse som tydliggör att uppgifter i hälsodataregister får behandlas för uppgiftslämnande som sker enligt lag eller förordning kan bidra till ökad transparens och förutsebarhet för de registrerade vars uppgifter behandlas. Det kan därmed ses som en integritetshöjande åtgärd i förhållande till EU:s dataskyddsförordning. Regeringen instämmer därför i utredningens bedömning att den föreslagna lagen bör innehålla en särskild ändamålsbestämmelse som avser behandling som syftar till att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. En sådan bestämmelse gör det tydligt för de registrerade att uppgifterna får behandlas även för att fullgöra ett uppgiftslämnande.
Uppgiftslämnande bör regleras som ett sekundärt ändamål Medan bestämmelser om primära ändamål reglerar behandling som behövs i den berörda myndighetens egen verksamhet reglerar sekundära ändamål bl.a. i vilken utsträckning uppgifter som behandlas för något av de primära ändamålen får vidarebehandlas för att lämnas ut till enskilda eller till andra myndigheter. Syftet med uppdelningen i primära och sekundära ändamål är att göra det tydligt hur personuppgifter dels får användas i myndighetens egen verksamhet, dels får behandlas för att lämnas ut till andra. Utredningen har föreslagit att uppgiftslämnande ska regleras som ett primärt ändamål. Hälsodataregister är en gemensam samhällsresurs som ska bidra till kunskapsutveckling på ett generellt plan, dvs. inte enbart vid den registeransvariga myndigheten. Ett hälsodataregister förutsätts komma till användning för ändamål av högt samhälleligt intresse, både vid den myndighet som ansvarar för det och hos andra aktörer. För att detta ska kunna realiseras behöver enligt utredningen en registeransvarig myndighet ha en väl fungerande verksamhet när det gäller handläggning av beställningar av data från hälsodataregister. Utlämnande av uppgifter i hälsodataregister kan därmed vara en central och viktig del av en registeransvarig myndighets verksamhet. Genom att reglera uppgiftslämnande som ett primärt ändamål skapas enligt utredningen förutsättningar för en registeransvarig myndighet att i viss utsträckning beakta andra aktörers behov av tillgång till uppgifter i hälsodataregister, vilket kan vara relevant vid insamling av exempelvis uppgifter om rekvisitionsläkemedel. Eftersom utlämnande av uppgifter i hälsodataregister kan förutsättas vara en central del av verksamheten vid en myndighet som ansvarar för hälsodataregister anser utredningen att behandling av personuppgifter för utlämnande av personuppgifter bör regleras som ett primärt ändamål i den nya lagen. Regeringen instämmer i utredningens bedömning att utlämnande av uppgifter i hälsodataregister är en central och viktig del i en registeransvarig myndighets verksamhet. Det främsta syftet med ett hälsodataregister är emellertid att möjliggöra för registeransvarig myndighet att genomföra sitt uppdrag som nationell statistik- och kunskapsmyndighet
48inom hälso- och sjukvårdens område. Utlämnande av uppgifter är i detta sammanhang en följdverksamhet som kan vara nödvändig för att andra aktörer ska kunna ta del av uppgifter för ändamål av allmänt intresse, men det utgör inte grunden för att uppgifter ska samlas in eller behandlas i registren. Regeringen anser därför, till skillnad från utredningen, att fullgörande av uppgiftslämnande ska regleras som ett sekundärt ändamål. En sådan sekundär ändamålsbestämmelse ligger också i linje med annan motsvarande lagstiftning (se t.ex. propositionen En lag för socialdataregister, prop. 2025/26:165). En begränsning till personuppgifter som behandlas enligt de primära ändamålen innebär dessutom att det inte kan bli aktuellt för den registeransvariga myndigheten att samla in uppgifter i ett hälsodataregister enbart med syftet att senare lämna ut dem. Uppgifter som får lämnas ut med stöd av bestämmelsen måste alltså redan vara föremål för behandling i myndighetens egen verksamhet inom ramen för de primära ändamålsbestämmelserna. Vid uppgiftslämnande är den viktigaste frågan ur ett integritetsperspektiv om uppgifterna över huvud taget ska lämnas ut. Den frågan aktualiseras redan när en bestämmelse som fastställer en skyldighet eller tillåter ett utlämnande införs. Det får förutsättas att det då görs en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet. Den avvägningen säkerställer att den rättsliga grunden uppfyller ett mål av allmänt intresse och är proportionerlig mot det legitima mål som eftersträvas (artikel 6.3 andra stycket sista meningen i EU:s dataskyddsförordning). Ett utlämnande av personuppgifter som sker i överensstämmelse med lag eller förordning får alltså anses uppfylla kraven i artikel 6 i EU:s dataskyddsförordning. En ändamålsbestämmelse med det föreslagna innehållet får regleras i nationell rätt (artikel 6.2 och 6.3). Avvägningen säkerställer också att den behandling av personuppgifter som utlämnandet innebär är proportionerlig i enlighet med regeringsformens krav (2 kap. 6, 20 och 21 §§ RF). Vid ett utlämnande blir den dataskyddsreglering som gäller hos mottagaren styrande för den fortsatta personuppgiftsbehandlingen.
7.8.4 Finalitetsprincipen
Regeringens förslag
Det ska tydliggöras att personuppgifter som behandlas för de primära ändamålen även får behandlas för andra ändamål, under förutsättning att dessa inte är oförenliga med de ändamål för vilka uppgifterna samlades in.
Utredningens förslag
Förslaget från utredningen stämmer överens med regeringens.
Remissinstanserna
Ingen remissinstans yttrar sig särskilt över förslaget.
49Skälen för regeringens förslag
En upplysningsbestämmelse om att finalitetsprincipen gäller ska införas Enligt artikel 5.1 b i EU:s dataskyddsförordning ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Det sistnämnda ledet ger uttryck för den s.k. finalitetsprincipen. Principen kommer även till uttryck i artikel 6.4, där det bl.a. anges vad som i vissa fall ska beaktas vid en bedömning av om behandling för andra ändamål är förenlig med de ändamål för vilka personuppgifterna ursprungligen samlades in. Regeringen anser att finalitetsprincipen bör utgöra den yttersta ramen inom vilken personuppgifter får behandlas på dataskyddsförordningens område enligt den föreslagna lagen (jfr prop. 2019/20:106 s. 40). Finalitetsprincipen innebär i sig ett integritetsskydd eftersom den förbjuder ytterligare behandling av personuppgifter som är oförenlig med ursprungsändamålen. Vid tillämpning av finalitetsprincipen ska kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen, det sammanhang inom vilket personuppgifterna har samlats in, personuppgifternas art, eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen och förekomsten av lämpliga skyddsåtgärder beaktas (artikel 6.4). Finalitetsprincipen kan alltså inte tillämpas utan avvägningar som i praktiken innebär att de nya ändamålen kommer att behöva ligga mycket nära de ursprungliga ändamålen eller kunna ses som en förlängning av de ursprungliga ändamålen (jfr prop. 2023/24:29 s. 50). Bestämmelserna om finalitetsprincipen i EU:s dataskyddsförordning är direkt tillämpliga vid en registeransvarig myndighets behandling av personuppgifter. Regeringen anser dock att det av tydlighetsskäl bör införas en bestämmelse i lagen om att personuppgifter som behandlas enligt de primära ändamålen får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med de ändamål för vilka uppgifterna samlades in.
Särskilt om samkörning med andra personregister Finalitetsprincipen kan ge stöd för att exempelvis samköra uppgifter i hälsodataregister med uppgifter från andra register, som kvalitetsregister, eller med uppgifter som samlats in genom enkäter. Sådan samkörning kan vara relevant inom ramen för exempelvis en hälsoekonomisk studie som syftar till att prognostisera läkemedelskostnader, uppskatta de samlade kostnaderna för hälso- och sjukvården eller undersöka kostnadseffektiviteten av en viss behandlingsmetod. Samtidigt som samkörning anses kunna medföra stor nytta för att exempelvis vidga kunskapen inom ett aktuellt område, kan samkörning av stora uppgiftsmängder mellan flera register även medföra större risker ur integritetssynpunkt. Det bör därför framhållas att det alltid krävs att den registeransvariga myndigheten genomför en noggrann prövning enligt artikel 6.4 i EU:s dataskyddsförordning om en samkörning är förenlig med insamlingsändamålen. Vid denna prövning ska personuppgifternas känslighet särskilt beaktas (artikel 6.4 c). Samkörning får också endast ske om det är tillåtet enligt relevanta bestämmelser om sekretess. Den 49
50registeransvariga myndigheten måste även vid en proportionalitetsavvägning noggrant pröva samtliga skäl som talar för, respektive de som talar emot, en sådan behandling av personuppgifter i ett hälsodataregister.
7.9 Elektroniskt utlämnande
Regeringens förslag
Personuppgifter i ett hälsodataregister ska få lämnas ut elektroniskt, dock inte genom direktåtkomst. Elektroniskt utlämnande får bara ske om det inte är olämpligt.
Utredningens förslag
Förslaget från utredningen stämmer delvis överens med regeringens. Utredningen föreslår inte att det ska göras en lämplighetsbedömning. Utredningens förslag har även en annan språklig utformning.
Remissinstanserna
Remissinstanserna instämmer i eller har inga invändningar mot förslaget. Integritetsskyddsmyndigheten och Cancerfonden ser positivt på att direktåtkomst förbjuds i lagen.
Skälen för regeringens förslag
Det finns olika former av elektroniskt utlämnande EU:s dataskyddsförordning innehåller inte några bestämmelser som uttryckligen tar sikte på sättet att lämna ut personuppgifter. Av artikel 6.3 i förordningen framgår dock att den rättsliga grunden, som ska fastställas i enlighet med unionsrätten eller medlemsstaternas nationella rätt, kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen, bl.a. vad gäller typer av behandling och förfaranden för behandling. Det är alltså möjligt att i nationell rätt införa regler som preciserar formerna för behandlingen av personuppgifter. Det är också relativt vanligt att elektroniskt utlämnande regleras särskilt i registerförfattningar. Elektroniskt utlämnande av uppgifter kan i dag ske antingen genom direktåtkomst eller genom annat elektroniskt utlämnande (även kallat utlämnande på medium för automatiserad behandling). Dessa två former av elektroniskt utlämnande kan få olika effekter ur integritetssynpunkt. Det finns inte någon legaldefinition av begreppet direktåtkomst. Den grundläggande innebörden anses vara att någon har tillgång till information hos någon annan, och på egen hand kan söka i den, dock utan att själv kunna påverka innehållet. Direktåtkomst kan ge användaren möjlighet att även hämta in information till sitt eget system och bearbeta den där (se t.ex. prop. 2016/17:58 s. 112). Vid direktåtkomst har den uppgiftslämnande myndigheten i det enskilda fallet inte någon kontroll över vilka uppgifter som mottagaren tar del av vid ett visst söktillfälle. 50 Prövningen av om ett utlämnande är förenligt med offentlighets- och
51sekretesslagen måste därför ske redan när uppgifterna görs tillgängliga genom direktåtkomst. En sådan prövning innefattar alla de uppgifter som mottagaren har möjlighet att ta del av genom sin direktåtkomst (se prop. 2011/12:45 s. 133). Vid direktåtkomst uppkommer i regel s.k. överskottsinformation, eftersom den mottagande myndigheten ofta rent tekniskt måste ha tillgång till fler uppgifter än de som faktiskt kommer att utnyttjas. Sammanställningar av uppgifter hos en myndighet, som i samband med direktåtkomst görs tekniskt tillgängliga för en annan myndighet, anses vara förvarade även hos den andra myndigheten, och därmed också utgöra allmänna handlingar hos den myndigheten om sammanställningarna kan göras tillgängliga via rutinbetonade åtgärder (jfr 2 kap. 3, 4 och 6 §§ tryckfrihetsförordningen och prop. 2007/08:160 s. 67–70). Direktåtkomst kan, beroende på omständigheterna i det enskilda fallet, generellt sägas öka riskerna för intrång i den personliga integriteten, eftersom den typiskt sett innebär att uppgifterna blir tillgängliga för fler personer och att den utlämnande myndighetens möjlighet att kontrollera utlämnandet minskar. Uttrycken ”annat elektroniskt utlämnande” och ”utlämnande på medium för automatiserad behandling” har samma innebörd. Det förra uttrycket förekommer i nyare registerförfattningar. Vad som avses med uttrycken har förändrats i takt med teknikutvecklingen, men de förhåller sig alltid på något sätt till utlämnande genom direktåtkomst. Med dagens teknik kan utlämnande av information ske genom annat elektroniskt utlämnande, exempelvis genom e-post, på ett usb-minne eller genom direkt överföring från ett datorsystem till ett annat. Vid ett mer omfattande informationsutbyte mellan myndigheter är det oftast den senare metoden, direkt överföring från ett datorsystem till ett annat, som används.
Elektroniskt utlämnande bör vara tillåtet om det inte är olämpligt, dock inte genom direktåtkomst I dag sker utlämnande av personuppgifter i hälsodataregister i princip uteslutande elektroniskt. Enligt den nuvarande lagen om hälsodataregister är det tillåtet att lämna ut uppgifter på medium för automatiserad behandling om uppgifterna ska användas för något av de ändamål för vilka det är tillåtet att behandla uppgifter enligt lagen (9 §). Regeringen anser i likhet med utredningen att det finns skäl att i den nya lagen också tydliggöra att det som utgångspunkt är tillåtet att lämna ut personuppgifter elektroniskt. För att upprätthålla ett adekvat skydd för den personliga integriteten vid utlämnande i elektronisk form är det viktigt att inte fler uppgifter än nödvändigt lämnas ut. Utlämnandet ska dessutom ske på ett sätt som säkerställer lämplig säkerhet för personuppgifterna. Det inbegriper skydd mot obehörig eller otillåten behandling genom lämpliga tekniska eller organisatoriska åtgärder. För att uppnå en ändamålsenlig avvägning mellan myndigheternas intresse av att på ett effektivt sätt lämna ut personuppgifter elektroniskt och riskerna med sådant utlämnande, innehåller kompletterande dataskyddsregleringar ofta en reglering som anger när sådant utlämnande får ske. Den formulering som har valts i modernare dataskyddsförfattningar är att elektroniskt utlämnande får ske om det inte är olämpligt (jfr t.ex. 19 § första stycket kustbevakningsdatalagen
52[2019:429] och 1 kap. 9 § lagen [2020:421] om Rättsmedicinalverkets behandling av personuppgifter). Regeringen anser att en sådan reglering bör finnas i föreslagna lagen om hälsodataregister. Vid lämplighetsbedömningen har det bl.a. betydelse vem mottagaren är och vad syftet med utlämnandet är. Typiskt sett bör det inte anses vara olämpligt att lämna ut uppgifter elektroniskt till en myndighet. Lämplighetsprövningen blir särskilt viktig när utlämnandet ska ske till en enskild och det på grund av personuppgifternas art, struktur, antal eller någon annan särskild omständighet finns anledning att befara att utlämnandet i förlängningen kan leda till integritetsrisker. Vid prövningen av om personuppgifter bör lämnas ut elektroniskt bör även informationssäkerheten, dvs. säkerheten hos mottagaren, vägas in (jfr prop. 2014/15:148 s. 114 och prop. 2020/21:224 s. 188). I likhet med utredningen bedömer regeringen att det inte är ändamålsenligt att införa en begränsning av för vilka ändamål mottagaren får behandla de utlämnade uppgifterna. En sådan begränsning finns i nuvarande reglering men är mindre vanligt förekommande i dag. I detta sammanhang kan även nämnas att den kommande regleringen i EHDS om sekundär användning av hälsodata ställer krav på att uppgifter ska kunna göras tillgängliga i syfte att behandlas för en mängd olika ändamål, bl.a. utveckling och innovation. I fråga om direktåtkomst bör det, i likhet med vad som gäller i dag, inte vara tillåtet.
7.10 Tillåtet innehåll i ett hälsodataregister
7.10.1 Avgränsning av vilka personuppgifter som får
finnas i ett hälsodataregister
Regeringens förslag
Uppgifter i ett hälsodataregister ska gälla hälso- och sjukvård eller folkhälsa. I ett hälsodataregister ska det endast få finnas uppgifter – om en patient, – om en vårdåtgärd som patienten har fått eller ska få, – av medicinsk betydelse, och – av administrativ karaktär. Om det är absolut nödvändigt ska det i ett hälsodataregister också få finnas uppgifter om en närstående till patienten. Det ska finnas en upplysning om att regeringen kan meddela föreskrifter om vilka personuppgifter som ska få finnas i ett hälsodataregister.
Utredningens förslag
Förslaget från utredningen stämmer delvis överens med regeringens. Utredningen föreslår inte att uppgifter i ett hälsodataregister ska gälla hälso- och sjukvård eller folkhälsa. Utredningen föreslår att endast sådana
53personuppgifter som är nödvändiga för att uppnå syftet med registret ska få behandlas i ett hälsodataregister.
Remissinstanserna
Flertalet remissinstanser instämmer med förslaget eller har inget att invända mot det. Västra Götalandsregionen anser att de föreslagna bestämmelserna om syfte och ändamål som syftar till att tydliggöra skillnaden mellan dessa två, tvärtom riskerar att skapa en otydlighet i förhållande till artikel 6 i EU:s dataskyddsförordning. Där anges det att behandlingen måste vara nödvändig för tillämpningen av de rättsliga grunderna i artikel 6. Region Halland befarar att de uppgifter som utredningen vill tillåta i ett hälsodataregister kan bli mer begränsade än den information vårdgivare får samla in enligt patientdatalagen (2008:355). Det kan i sin tur begränsa framtida möjligheter att skapa hälsodataregister. Patientbegreppet som utredningen har valt återfinns t.ex. inte i patientdatalagen och riskerar t.ex. att utesluta upprättandet av hälsoregister som avser enskildas deltagande i hälsofrämjande utbildningsinsatser där deltagare i samband med deltagandet inte kan betraktas vara patienter inom hälso- och sjukvården. Region Kronoberg anser att den föreslagna formuleringen om tillåtelsen att registrera uppgifter om ”närstående” när det bedöms ”absolut nödvändigt” är alltför oprecis juridiskt.
Skälen för regeringens förslag
Behovet av en bestämmelse om tillåtet innehåll i ett hälsodataregister Enligt EU:s dataskyddsförordning ska personuppgifter vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (artikel 5.1 c). Bestämmelsen ger uttryck för principen om uppgiftsminimering. Principen innebär att en personuppgiftsansvarig måste kunna motivera att det finns ett berättigat behov av de personuppgifter som samlas in och behandlas. Det innebär motsatsvis att det inte är tillåtet att samla in uppgifter för ospecificerade behov eller för att de kan vara bra att ha. I nationell rätt är det tillåtet att precisera vilken typ av uppgifter som ska behandlas för ett specifikt ändamål. Det framgår av artikel 6.3 i EU:s dataskyddsförordning. I det befintliga regelverket för hälsodataregister återspeglas principen om uppgiftsminimering på flera nivåer. I lagen finns en generell bestämmelse om vilka uppgifter ett hälsodataregister får innehålla. I förordning preciseras vilka uppgifter eller kategorier av uppgifter som får behandlas i respektive register. Därtill finns för vissa register myndighetsföreskrifter som preciserar vilka variabler en vårdgivare ska lämna till ett specifikt hälsodataregister, vilket motsvarar de konkreta uppgifter ett register får innehålla. Regelverket är anpassat för att kunna tillvarata behov som förändras över tid av att behandla personuppgifter i ett hälsodataregister. I den nuvarande lagen om hälsodataregister är det tillåtna innehållet i ett hälsodataregister avgränsat till att endast omfatta uppgifter som behövs för de ändamål som regleras i lagen. Eftersom ändamålen är vida till sin karaktär, t.ex. statistik och forskning, anser utredningen att avgränsningen
54till ändamålen inte är tillräckligt tydlig för att avgränsa vilka personuppgifter som ett hälsodataregister får innehålla. Regeringen instämmer i utredningens bedömning att dagens reglering som hänvisar till de angivna ändamålen i lagen inte är en tillräcklig tydlig begränsning av vilka personuppgifter som ett hälsodataregister får innehålla. Dessutom framgår det direkt av EU:s dataskyddsförordning att endast uppgifter som är nödvändiga för de ändamål för vilka personuppgifter samlas in får behandlas (artikel 5.1 b och c). Eftersom denna reglering redan finns i EU:s dataskyddsförordning behöver det enligt utredningen inte regleras särskilt i lag. Regeringen instämmer i den bedömningen. För att förtydliga vilka personuppgifter som får behandlas i ett hälsodataregister föreslår utredningen därför att ett hälsodataregister endast får innehålla sådana personuppgifter som är nödvändiga för att uppnå syftet med registret, dvs. för att bidra till ökad kunskap för att utveckla och förbättra hälso- och sjukvården samt stärka folkhälsan. Regeringen anser, till skillnad från utredningen, att syftet med behandlingen inte ska vara styrande för vilka uppgifter som ett hälsodataregister får innehålla. I likhet med Västra Götalandsregionen anser regeringen att en sådan ordning innebär en otydlighet i förhållande till artikel 6 i EU:s dataskyddsförordning. Regleringen av behandling av personuppgifter enligt EU:s dataskyddsförordning utgår från ändamålen med behandlingen. Ändamålen måste ha stöd i en rättslig grund enligt artikel 6 i EU:s dataskyddsförordning. Ändamålen är därför centrala för prövningen av om en viss behandling är tillåten och för bedömningen av bl.a. uppgiftsminimering och laglighet. Det saknas enligt regeringen anledning att frångå denna ordning och låta ett mer övergripande syfte med ett register vara styrande för vilka personuppgifter som får behandlas i registret såsom utredningen föreslår. En bestämmelse om vad syftet är med hälsodataregister bör i stället ses som en avgränsning främst i förhållande till vilka hälsodataregister som kan föras med stöd av lagen. Regeringen noterar även att förslaget till definitionen av begreppet hälsodataregistret, dvs. en rikstäckande samling personuppgifter om enskildas vård och hälsa hos en central statlig myndighet, i sig innebär en avgränsning av de uppgifter som ett register kan innehålla (se avsnitt 7.3). Sammanfattningsvis anser regeringen att det finns behov av en bestämmelse om tillåtet innehåll i ett hälsodataregister och att ändamålen är centrala för prövningen av vilka uppgifter som får finnas i registren. Att ändamålen är styrande för innehållet behöver dock inte regleras eftersom det framgår av EU:s dataskyddsförordning.
Uppgifter som får finnas i ett hälsodataregister Regeringen delar utredningens bedömning att det i lagen bör specificeras vilka övergripande uppgiftskategorier som får finnas i hälsodataregister i syfte att öka förutsebarheten och transparensen i regelverket. En sådan uppräkning bör enligt regeringen inte begränsa de möjligheter som i dag finns att samla in och behandla personuppgifter i hälsodataregister. En begränsning i lag av vilka uppgifter som får behandlas behöver tillräckligt tydligt specificera registrets innehåll och samtidigt ge den myndighet som ansvarar för ett hälsodataregister utrymme att utföra sitt författningsenliga uppdrag på ett ändamålsenligt sätt. Utredningen föreslår
55att ett hälsodataregister ska få innehålla uppgiftskategorierna; uppgift om en patient, uppgift om en vårdåtgärd som en patient har fått eller ska få, uppgift av medicinsk betydelse och uppgift av administrativ karaktär. Dessutom föreslår utredningen att uppgift om en närstående till patienten får finnas i ett register om det är absolut nödvändigt. Regeringen instämmer i utredningens förslag. Genom att lagen anger övergripande uppgiftskategorier och den närmare avgränsningen av vilka uppgifter som får behandlas kommer regleras på lägre normgivningsnivå bedömer regeringen att det finnas tillräcklig flexibilitet för att inrätta nya hälsodataregister och anpassa befintliga register till framtida behov. Regeringen föreslår även att det i lagen bör anges att uppgifter som ska få behandlas i hälsodataregister ska gälla hälso- och sjukvård eller folkhälsa.
Uppgifter om en patient Enligt utredningen registreras enskilda individer i hälsodataregister i rollen som patient. Med uppgift om en patient avses information om vem patienten är och dennes levnadsförhållanden. Typiska uppgifter som sorterar under denna kategori är information om patientens identitet, civilstånd, bosättning, inflyttning från och utflyttning till utlandet, medborgarskap samt dödsdatum. Det rör sig främst, men inte uteslutande, om uppgifter som samlas in från andra aktörer än vårdgivare, exempelvis Statistiska centralbyrån. Även information om dödsorsak ingår i denna kategori. Anledningen till det sistnämnda är bl.a. att på ett ändamålsenligt sätt öka täckningsgraden i cancerregistret genom att komplettera med uppgifter från dödsorsaksregistret. Genom att samla in uppgifter om identifierbara personer möjliggörs samkörningar med andra personnummerbaserade register, exempelvis andra hälsodataregister, socialdataregister, kvalitetsregister och andra personnummerbaserade myndighetsregister. Samkörning av register är ofta nödvändigt för att besvara de specifika frågor som ställs inom ramen för en epidemiologisk studie eller för att genom statistikframställning kunna göra relevanta jämförelser över tid (se avsnitt 7.8.4). Regeringen föreslår i likhet med utredningen att patient ska definieras i den nya lagen som en person som fått, får eller är registrerad för att få hälso- och sjukvård (se avsnitt 7.3). Regeringen delar inte Region Hallands uppfattning att uppgifterna som föreslås tillåtas i ett hälsodataregister riskerar att bli mer begränsade än den information som vårdgivare får samla in inom ramen för patientdatalagen.
Uppgifter om en vårdåtgärd som en patient har fått eller ska få I den nuvarande regleringen av hälsodataregister används varierande uttryck för att beskriva det som kan samlas in under termen vårdåtgärd. Åtgärder, händelser samt undersöknings- och behandlingsåtgärder förekommer i några förordningar som allmänna uttryck. Utmärkande för en vårdåtgärd är enligt utredningen att den avser en insats som vidtas inom hälso- och sjukvården eller tandvården och som är inriktad på ett visst resultat. En sådan insats kan enligt utredningen handla om att medicinskt förebygga, utreda eller behandla sjukdomar och skador. Förebyggande vårdåtgärder avser i huvudsak åtgärder som syftar till att bevara god hälsa och förhindra uppkomst av sjukdom, skada eller försämrat hälsotillstånd.
56Till de medicinskt förebyggande vårdåtgärderna hör bl.a. allmänna och riktade hälsokontroller, vaccinationer, mödra- och barnhälsovård samt screening som utförs i syfte att i ett tidigt stadium upptäcka sjukdom. Vårdåtgärder av medicinskt utredande karaktär kan enligt utredningen vara att hämta in och analysera relevant information och fatta beslut om vilken åtgärd som ska vidtas, exempelvis utfärda en remiss eller ordinera en sjukskrivning. En vårdåtgärd som avser medicinsk behandling av en sjukdom eller skada inkluderar åtgärder som syftar till att förebygga ohälsa samt bevara eller förbättra patientens hälsotillstånd. Det kan handla om läkemedelsbehandling, kirurgi eller annan medicinsk eller medicinteknisk behandling. Uttrycket vårdåtgärd omfattar enligt utredningen även sådana insatser som inte är medicinskt motiverade för patienten, såsom en åtgärd som vidtas efter att patienten avlidit, exempelvis vid organdonation. Den personuppgiftsbehandling som i dag sker i hälsodataregister omfattar i praktiken endast vårdåtgärder som en patient har fått, dvs. insatsen är genomförd. Utredningen föreslår därför att även uppgifter om planerade vårdåtgärder bör få samlas in i hälsodataregister. Sådana uppgifter kan vara relevanta att behandla för att möjliggöra uppföljning av väntetider i vården. Regeringen instämmer i denna bedömning. Ett hälsodataregister ska således få innehålla uppgifter om en vårdåtgärd som en patient har fått eller som en patient ska få.
Uppgifter av medicinsk betydelse Hälsodataregister behöver också innehålla uppgifter av medicinsk betydelse. Sådana uppgifter kan enligt utredningen omfatta information om aktuellt hälsotillstånd och andra observationer, medicinska bedömningar, funktionstillstånd, diagnoser, tandhälsa samt ordinationer och ordinationsorsak. Uppgift om administrering av läkemedel inom hälsooch sjukvården omfattas också enligt utredningen av den aktuella uppgiftskategorin. Även uppgift om medicinering och laboratoriedata kan vara av medicinsk betydelse liksom livsstilsrelaterad information som längd och vikt samt bruk av tobak eller alkohol. Dessutom kan enligt utredningen uppgift om tidsangivelse i vissa fall vara av medicinsk betydelse, som vid vilken tidpunkt ett rekvisitionsläkemedel har administrerats till patient. Vanligen bör dock information om tidpunkter för åtgärder eller andra händelser sortera under kategorin uppgift av administrativ karaktär. Eftersom ytterligare hälsodataregister kan komma att inrättas är det enligt utredningen angeläget att kategorin uppgifter av medicinsk betydelse ges ett förhållandevis brett tolkningsutrymme. Regeringen instämmer i denna bedömning. Uppgift av medicinsk betydelse är således en bred uppgiftskategori som kan inkludera en mängd olika slag av information. Ett riktmärke för vilka uppgifter som kan vara av medicinsk betydelse är att det som utgångspunkt rör sig om information som en vårdgivare är skyldig att dokumentera, exempelvis i en patientjournal.
Uppgifter av administrativ karaktär Hälsodataregister behöver också innehålla uppgifter av administrativ karaktär. Med uppgift av administrativ karaktär avses enligt utredningen bl.a. information om hos vilken vårdgivare en vårdkontakt har genomförts
57och vilken eller vilka kategorier av hälso- och sjukvårdspersonal som har vidtagit en vårdåtgärd. Även uppgift på vilket sätt en vårdåtgärd har genomförts, exempelvis på ett särskilt boende för äldre personer eller genom hemsjukvård, är en uppgift av administrativ karaktär. Information om vid vilken tidpunkt en händelse har skett eller en vårdkontakt har genomförts är i normalfallet också en uppgift av administrativ karaktär. Det kan avse uppgift om när i tid en patient bokat en vårdkontakt och när kontakten genomförts. Dessutom omfattas enligt utredningen information om hur den genomförda vården är finansierad och organiserad, exempelvis i offentlig eller privat regi, enligt avtal eller vårdval samt om privat vård som finansieras på annat sätt än genom offentliga medel. Även information om vårdkostnader eller liknande uppgift som kan ligga till grund för exempelvis utbetalning av ersättning för tillhandahållande av vård inkluderas i denna uppgiftskategori.
Uppgifter om en närstående till en patient Uppgifter om närstående till en patient samlas i dag in till vissa hälsodataregister. Enligt utredningen kan insamlingen vara både avsiktlig och oavsiktlig. I det senare fallet avses att information om en närstående finns integrerad i en uppgift som samlas in om en patient. Avsikten är alltså inte att samla in uppgift om en närstående, men en sådan insamling kan uppstå som en oundviklig bieffekt. Ett exempel är diagnoskoder om skador som uppstått vid våld i en nära relation. Vid insamlingen av en sådan diagnoskod kan information om exempelvis en partner eller annan närstående indirekt omfattas. Övervägande del av insamling av uppgifter som rör närstående sker enligt utredningen med avsikt att samla in sådana uppgifter. Det medicinska födelseregistret innehåller exempelvis uppgift om den gravidas make, maka eller sambo och i cancerregistret får vissa uppgifter om en patients föräldrar samlas in. Enligt utredningen bör det finnas ett tydligt rättsligt stöd för att behandla uppgift om närstående i ett hälsodataregister, eftersom det bidrar till ökad transparens och förutsebarhet för de registrerade. Regeringen delar denna bedömning. Regeringen instämmer även i utredningens förslag om att en uppgift om närstående endast får behandlas om det är absolut nödvändigt. Region Kronoberg anser att formuleringen ”närstående” när det bedöms ”absolut nödvändigt” är alltför oprecis juridiskt och undrar om det avser en eller flera ”anhöriga” eller om det även avser personer med annan relation till patienten. Regionen anser också att innebörden av ”absolut nödvändigt” måste preciseras eller exemplifieras. Regeringen kan konstatera att uttrycket närstående finns i flera lagar, bl.a. i patientdatalagen (2008:355) och i patientlagen (2014:281). Av förarbetena till den senare lagen följer att vem som är närstående får avgöras från fall till fall. Med närstående avses i första hand familjen och andra anhöriga, men även andra, som t.ex. mycket nära vänner, kan i det enskilda fallet vara att anse som närstående (prop. 2013/14:106 s. 117). Uttrycket närstående definieras i Socialstyrelsens termbank som en person som den enskilde anser sig ha en nära relation till. Uttrycket absolut nödvändigt används för att markera att behandlingen ska ske med restriktivitet och att behovet av att behandla personuppgiften ska prövas
58noga i det enskilda ärendet (jfr prop. 2015/16:65 s. 81, prop. 2019/20:113 s. 28 och 29 och prop. 2023/24:29 s. 100). Genom att detta särskilt understryks i den föreslagna lagen avser regeringen att tydliggöra för tillämparen att en sådan bedömning inte ska göras slentrianmässigt utan kräver en noggrann bedömning i varje enskilt fall. Som utredningen anför kan kriteriet anses uppfyllt om bl.a. behandlingen är en oundviklig bieffekt av annan nödvändig uppgiftsinsamling om en patient. Uppgifter om personnummer eller annan identitetsbeteckning som är direkt hänförlig till den enskilde bör undvikas i den mån det är möjligt. Regeringen anser, till skillnad från Region Kronoberg, att de föreslagna uttrycken närstående och absolut nödvändigt är tillräckligt precisa. Uttrycken förekommer också i annan lagstiftning hänförlig till hälsouppgifter.
Regeringen får meddela föreskrifter om vilka personuppgifter som får finnas i ett hälsodataregister Regeringen bedömer i likhet med utredningen att det kan finns behov av en reglering på lägre föreskriftsnivå än lag för att anpassa och precisera de typer av personuppgifter som ska få behandlas i ett hälsodataregister. Sådan reglering bör införas för att tydliggöra för tillämparen, uppgiftslämnare och för den registrerade själv vilka personuppgifter som får behandlas. Därigenom kan det t.ex., vilket SciLifeLabs efterfrågar, tydliggöras hur tredjepartsuppgifter om närstående ska dokumenteras för att möjliggöra en ändamålsenlig rapportering till hälsodataregister. Regeringen kan med stöd av restkompetensen enligt 8 kap. 7 § RF meddela föreskrifter om vilka personuppgifter som får finnas i ett hälsodataregister. En upplysningsbestämmelse som avser detta bör föras in i den föreslagna lagen.
7.10.2 Behandling av känsliga personuppgifter
Regeringens förslag
Känsliga personuppgifter ska få behandlas i ett hälsodataregister om det är nödvändig med hänsyn till ändamålet med behandlingen.
Utredningens förslag
Förslaget från utredningen stämmer i sak överens med regeringens, men har en annan språklig utformning.
Remissinstanserna
Flertalet remissinstanser stöder eller har inget att invända mot förslaget. Integritetsskyddsmyndigheten framhåller att myndigheten ser positivt på att det av lagförslaget framgår att behandling av känsliga personuppgifter sker med stöd av undantagen i artikel 9.2 g, h och j i EU:s dataskyddsförordning. Etikprövningsmyndigheten framhåller att det bör övervägas att införa en upplysningsbestämmelse om att forskning som innefattar
59behandling av känsliga personuppgifter eller personuppgifter om lagöverträdelser måste ha godkänts vid en etikprövning.
Skälen för regeringens förslag
Känsliga personuppgifter behandlas i hälsodataregister Av artikel 9.1 i EU:s dataskyddsförordning följer att behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och behandling av genetiska eller biometriska uppgifter, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning, är som huvudregel förbjuden. I svensk rätt kallas uppgifterna känsliga personuppgifter (se t.ex. 3 kap. 1 § dataskyddslagen). I avsnitt 5.10.1 klargörs de övergripande typer av personuppgifter som den ansvariga registermyndigheten bedöms ha ett behov av att kunna behandla i ett hälsodataregister. Enligt utredningen är den övervägande delen av de personuppgifter som behandlas i ett hälsodataregister uppgifter som rör enskildas hälsa. Enligt artikel 4.15 i EU:s dataskyddsförordning är uppgifter om hälsa sådana personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus. Enligt utredningen kan även uppgifter som avslöjar sexualliv eller sexuell läggning förekomma i ett hälsodataregister, t.ex. uppgifter om föräldraskap i medicinska födelseregistret eller diagnoser av sexuellt överförbara sjukdomar i patientregistret. Det kan heller inte, enligt utredningen, uteslutas att uppgifterna i ett hälsodataregister sammantaget kan avslöja en enskild individs etniska ursprung och religiösa eller filosofiska övertygelse, även om specifika uppgifter om dessa förhållanden inte samlas in.
Det finns rättslig grund för att behandla känsliga personuppgifter i hälsodataregister Förbudet i artikel 9.1 i EU:s dataskyddsförordning att behandla känsliga personuppgifter kompletteras av ett antal undantag i artikel 9.2 som anger när behandling av känsliga personuppgifter trots allt är tillåten eller kan tillåtas. Några av undantagen i artikel 9.2 är direkt tillämpliga medan andra kräver viss nationell reglering för att behandling av känsliga personuppgifter ska vara tillåten. Vissa undantag i artikel 9.2 i EU:s dataskyddsförordning kräver även att behandlingen är nödvändig för att det ska vara tillåtet att behandla känsliga personuppgifter. Kravet på nödvändighet i artikel 9 innebär detsamma som kravet på nödvändighet i artikel 6 (prop. 2017/18:105 s. 75 och 76). Undantagen för behandling av känsliga personuppgifter har ingen inbördes prioritering och flera undantag kan vara tillämpliga på en och samma behandling. Känsliga personuppgifter får enligt artikel 9.2 g i EU:s dataskyddsförordning bl.a. behandlas om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller en medlemsstats nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen. Vad som är ett
60allmänt intresse respektive ett viktigt allmänt intresse är inte definierat i EU:s dataskyddsförordning. Uttryckets innebörd har inte heller utvecklats närmare av EU-domstolen. Regeringen har konstaterat att det är svårt att på ett generellt plan definiera vad som skiljer ett allmänt intresse från ett viktigt allmänt intresse men att det, när det gäller myndigheters behandling, måste anses utgöra ett viktigt allmänt intresse att svenska myndigheter kan bedriva den verksamhet som tydligt faller inom ramen för deras befogenheter på ett korrekt, rättssäkert och effektivt sätt (prop. 2017/18:105 s. 83). Av samma skäl får myndigheters arbetsuppgifter och myndighetsutövning anses utgöra ett viktigt allmänt intresse. Kravet på att behandlingen ska ske på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, innebär att den rättsliga grunden för behandlingen typiskt sett kommer att vara rättslig förpliktelse, en uppgift av allmänt intresse eller myndighetsutövning som har stöd i rättsordningen, artikel 6.1 c eller e. Det rättsliga stödet ska innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen (prop. 2017/18:105 s. 84). Det kan exempelvis röra sig om sekretessbestämmelser. Registeransvarig myndighet kommer att behöva behandla känsliga personuppgifter för att fullfölja arbetsuppgifter som åligger den registeransvarige enligt gällande rätt, bl.a. behandling som är nödvändig för att hantera ett utlämnandeärende eller en begäran från en registrerad om att utöva en rättighet enligt EU:s dataskyddsförordning. Det rör sig då om en behandling av ett viktigt allmänt intresse och som har sin grund i nationell rätt som både är proportionerlig och förenlig med det väsentliga innehållet i rätten till dataskydd. Den föreslagna lagen föreslås innehålla bestämmelser som kompletterar EU:s dataskyddsförordnings bestämmelser om när behandling av personuppgifter kan tillåtas. Lagen föreslås också innehålla olika former av skyddsåtgärder som upprätthåller skyddet för den personliga integriteten vid den behandling av känsliga personuppgifter som utförs i ett hälsodataregister. Sammantaget bedömer regeringen därför att den behandling av känsliga personuppgifter som registeransvarig myndighet behöver utföra uppfyller kraven i artikel 9.2 g i EU:s dataskyddsförordning. Av artikel 9.2 h i EU:s dataskyddsförordning framgår att känsliga personuppgifter får behandlas för hälso- och sjukvårdsändamål om behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet. En förutsättning är att uppgifterna behandlas av en yrkesutövare som omfattas av tystnadsplikt (artikel 9.3 i EU:s dataskyddsförordning). Socialstyrelsen, som är registeransvarig för nuvarande hälsodataregister, är en central nationell myndighet vars uppdrag i huvudsak är att ta fram och utveckla statistik, regler och kunskap till hälso- och sjukvården och socialtjänsten. Socialstyrelsen är även en av de myndigheter som i förarbetena till dataskyddslagen särskilt pekas ut 60 som en sådan myndighet som kan tillämpa undantaget i artikel 9.2 h i EU:s
61dataskyddsförordning (prop. 2017/18:105 s. 93). Uppgifter i ett hälsodataregister som rör en enskild persons ekonomiska eller personliga förhållanden omfattas av absolut sekretess enligt 24 kap. 8 § OSL. Statistiksekretess är som huvudregel absolut och uppgifter får lämnas ut endast i vissa undantagssituationer. Kravet på att behandlingen ska omfattas av tystnadsplikt är därmed uppfyllt. Regeringen bedömer att behandling av känsliga personuppgifter i ett hälsodataregister även kan ske med stöd av artikel 9.2 h i EU:s dataskyddsförordning. Enligt artikel 9.2 i i EU:s dataskyddsförordning får känsliga personuppgifter behandlas om behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet. Det inkluderar behovet av att säkerställa skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter. För att undantaget ska vara tillämpligt krävs att den personuppgiftsansvarige, i likhet med vad som gäller för bl.a. hälso- och sjukvårdsundantaget, har stöd i rättsordningen för att utföra en uppgift på folkhälsoområdet. Det rättsliga stödet ska innehålla lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter, särskilt tystnadsplikt. Undantaget för folkhälsoområdet är nytt sedan EU:s dataskyddsförordning trädde i kraft och det saknas praxis kring hur det förhåller sig till undantaget för hälso- och sjukvårdsändamål. Uttrycket folkhälsa ska tolkas enligt definitionen i artikel 3 c i Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbetet (skäl 54 till EU:s dataskyddsförordning). Enligt definitionen framgår att med folkhälsa avses alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker. Regeringen anser i likhet med utredningen att även undantaget för folkhälsa kan bli tillämpligt vid behandling av känsliga personuppgifter i ett hälsodataregister. Som utredningen konstaterar är undantagen för hälso- och sjukvård samt folkhälsa i viss utsträckning överlappande och det inte alltid är möjligt att dra en skarp skiljelinje mellan vad som faller under det ena eller det andra undantaget. Regeringen bedömer därför att förutsättningarna för att behandla känsliga personuppgifter i ett hälsodataregister med stöd av artikel 9.2 i i EU:s dataskyddsförordning också är tillämpligt. Av artikel 9.2 j i EU:s dataskyddsförordning framgår att känsliga personuppgifter får behandlas om det är nödvändigt för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Behandlingen ska ske i enlighet med artikel 89.1 i EU:s dataskyddsförordning och utföras på grundval av unionsrätten eller medlemsstaternas nationella rätt. Behandlingen ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehåller i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Personuppgifter i ett hälsodataregister behandlas för att framställa både officiell statistik och annan statistik. Enligt den föreslagna 61
62lagen kommer även uppgifter i hälsodataregistren att kunna behandlas för ändamålet forskning. Behandlingen kommer att ske på grundval av nationell rätt. I den föreslagna lagen om hälsodataregister kommer det att finnas bestämmelser som kompletterar EU:s dataskyddsförordnings bestämmelser om när behandling av personuppgifter kan tillåtas. Lagen kommer också att innehålla bestämmelser om sådana åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen som krävs enligt artikel 9.2 j. Som Etikprövningsmyndigheten framhåller krävs enligt svensk rätt etikgodkännande om behandlingen innefattar känsliga personuppgifter eller personuppgifter om lagöverträdelser i forskning. Etikprövningsmyndigheten ska vid sin prövning göra en intresseavvägning där riskerna för den personliga integriteten vägs mot forskningens vetenskapliga värde (se 7–11 §§ lagen [2003:460] om etikprövning av forskning som avser människor, etikprövningslagen). En sådan etikprövning uppfyller enligt regeringens uppfattning EU:s dataskyddsförordnings krav på en objektiv bedömning av de risker personuppgiftsbehandlingen kan medföra för den registrerades grundläggande rättigheter och friheter (prop. 2017/18:298 s. 87 och 88). Etikprövning anses därmed också vara en sådan i nationell rätt fastställd lämplig och särskild åtgärd som artikel 9.2 j i EU:s dataskyddsförordning kräver. Till skillnad från Etikprövningsmyndigheten anser regeringen att det inte föreligger någon risk för att kravet på etikgodkännande ska förbises och bedömer att det därför inte är motiverat att införa en upplysningsbestämmelse om krav på etikprövning enligt etikprövningslagen. Regeringen anser således att nödvändig behandling av känsliga personuppgifter i hälsodataregister bedöms kunna ske med stöd av undantaget i artikel 9.2 j i EU:s dataskyddsförordning.
En särskild bestämmelse i lag ska införas Undantagen i artikel 9.2 g–j i EU:s dataskyddsförordning är direkt tillämpliga i svensk rätt och det finns därmed ingen skyldighet att reglera undantagen särskilt. Det är dock tillåtet för en medlemsstat att i nationell rätt införa mer specifika bestämmelser om behandling av känsliga personuppgifter (artikel 6.2 och 6.3 samt skäl 10). I 3 kap. dataskyddslagen finns bestämmelser om behandling av vissa kategorier av personuppgifter. Av 3 kap. 3 § 3 dataskyddslagen framgår att känsliga personuppgifter får behandlas av en myndighet med stöd av artikel 9.2 g i EU:s dataskyddsförordning om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse. Enligt 3 kap. 5 § 6 dataskyddslagen får känsliga personuppgifter behandlas med stöd av artikel 9.2 h i EU:s dataskyddsförordning, om behandlingen är nödvändig för förvaltning av hälso- och sjukvårdstjänster, social omsorg samt deras system. Dessutom anges i 3 kap. 7 § dataskyddslagen att känsliga personuppgifter får behandlas med stöd av artikel 9.2 j i EU:s dataskyddsförordning, om behandlingen är nödvändig för statistiska ändamål. Regeringen bedömer att dataskyddslagens bestämmelser inte ger tillräckligt tydliga rättsliga förutsättningar för behandling av känsliga personuppgifter i ett hälsodataregister. I fråga om 3 kap. 5 § dataskyddslagen utgör denna bestämmelse dessutom endast ett förtydligande av artikel 9.2 h i EU:s dataskyddsförordning. Regeringen anser därför att det
63bör införas en bestämmelse i den nya lagen som tydliggör att en behandling av känsliga personuppgifter enligt artikel 9.1 i EU:s dataskyddsförordning är tillåten om det är nödvändigt med hänsyn till ändamålet med behandlingen. En sådan bestämmelse bidrar till bl.a. ökad transparens för den registrerade, tillämparen och allmänheten. Till skillnad från utredningen anser regeringen att det inte behöver tydliggöras att den föreslagna bestämmelsen grundar sig i artikel 9.2 g-j i EU:s dataskyddsförordning. Motsvarande bestämmelse i 9 § lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten hänvisar inte heller till artikel 9.2 i EU:s dataskyddsförordning. Hänvisningen till artikel 9.1 i EU:s dataskyddsförordning bör vara dynamisk, dvs. avse förordningen i den vid varje tidpunkt gällande lydelsen. På så sätt säkerställs att eventuella ändringar i EU:s dataskyddsförordning får omedelbart genomslag.
7.10.3 Behandling av personuppgifter som rör
lagöverträdelser
Regeringens förslag
Personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott ska få behandlas i ett hälsodataregister om det är absolut nödvändigt med hänsyn till ändamålet med behandlingen.
Utredningens förslag
Förslaget från utredningen stämmer delvis överens med regeringens. Utredningen föreslår att behandlingen av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott får ske om det är absolut nödvändigt för att uppnå syftet med ett hälsodataregister.
Remissinstanserna
Endast Etikprövningsmyndigheten yttrar sig över förslaget. Myndighetens synpunkter redovisas och behandlas i avsnitt 7.10.2.
Skälen för regeringens förslag
Behandling av personuppgifter om lagöverträdelser är särskilt reglerad i artikel 10 i EU:s dataskyddsförordning. Av artikeln framgår att behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 endast får utföras under kontroll av en myndighet eller då sådan behandling är tillåten enligt unionsrätten eller medlemsstatens nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Den del av artikel 10 som rör uppgiftsbehandling under kontroll av en myndighet är direkt tillämplig och regeringen har bedömt att bestämmelsen i vart fall bör innebära att det är tillåtet att behandla uppgifter som rör lagöverträdelser om den personuppgiftsansvarige är en myndighet (prop. 2017/18:105 s. 99). EU:s dataskydds-
64förordning innehåller alltså inga begränsande regler för behandling av personuppgifter om lagöverträdelser om den personuppgiftsansvarige är en myndighet. I linje med detta följer av 3 kap. 8 § dataskyddslagen att personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas av myndigheter. Det krävs därmed inga särskilda ställningstaganden för myndigheters behandling av personuppgifter som avser lagöverträdelser utöver de ställningstaganden som allmänt ska göras i fråga om laglig grund. På motsvarande sätt krävs det inte heller några bestämmelser som begränsar behandlingen. Personuppgifter om lagöverträdelser är dock av integritetskänslig karaktär och behandling av sådana uppgifter anses därför som särskilt riskfylld. Av det skälet är behandling av uppgifter om lagöverträdelser särskilt reglerad både i EU:s dataskyddsförordning och i många myndighetsspecifika registerförfattningar. Att det är tillåtet för medlemsstaterna att begränsa utrymmet att behandla uppgifter om lagöverträdelser följer av artikel 6.2 i EU:s dataskyddsförordning. Hälsodataregister innehåller primärt uppgifter som hämtas in från vårdgivare. Uppgifterna avser i huvudsak information om patienters vårdkontakter, som vårdåtgärder och annan närliggande information av medicinsk betydelse. Det är ovanligt att sådana uppgifter också innehåller information om en lagöverträdelse, men det förekommer i begränsad utsträckning. Exempelvis är information om att någon vårdas under tvång enligt lagen (1991:1129) om rättspsykiatrisk vård en uppgift om lagöverträdelse. Uppgifter som primärt är bärare av information om en patients vård och hälsa kan också indirekt innehålla information om en lagöverträdelse, som en uppgift om att en patient åsamkats en skada till följd av våld i en nära relation. En myndighet som ansvarar för ett hälsodataregister kan således i någon utsträckning ha behov av att behandla uppgifter om lagöverträdelser, även om behovet kan förutses vara relativt begränsat. Som utredningen konstaterar är sådan uppgiftsinsamling snarare att betrakta som en oundviklig bieffekt av den uppgiftsinsamling som är tillåten enligt lagen. En förutsättning för att behandling av lagöverträdelser i ett hälsodataregister ska vara tillåten bör enligt regeringens bedömning vara att behandlingen är absolut nödvändig med hänsyn till ändamålet med behandlingen. Det skiljer sig från utredningen som anser att behandlingen ska vara absolut nödvändig med hänsyn till syftet med registret. I avsnitt 7.10.1 utvecklas skälen som ligger till grund för den bedömningen, dvs. varför hänvisningen bör göras med hänsyn till ändamålet med behandlingen och inte till syftet med registret. Ett krav på att behandlingen ska vara absolut nödvändig innebär att en personuppgiftsansvarig myndighet ska iaktta långtgående restriktivitet vid bedömningen av om en behandling ska utföras eller inte. Vid insamling av uppgifter där information om lagöverträdelser ingår som en oundviklig bieffekt bör kravet på absolut nödvändighet i regel vara uppfyllt under förutsättning att myndigheten kan motivera sitt behov av den primära uppgiften. Eftersom personuppgifter som rör lagöverträdelser är av integritetskänslig karaktär och kan vara särskilt riskfyllda att behandla, bedömer regeringen att det av tydlighetsskäl bör framgå av den föreslagna lagen att sådana uppgifter får behandlas. En hänvisning i lagen bör göras direkt till 64 artikel 10 i EU:s dataskyddsförordning. Hänvisningen bör vara dynamisk,
65dvs. avse förordningen i den vid varje tidpunkt gällande lydelsen. På så sätt säkerställs att eventuella ändringar i EU:s dataskyddsförordning får omedelbart genomslag.
7.11 Särskilda skydds- och säkerhetsåtgärder
7.11.1 Användningsbegränsning
Regeringens förslag
Personuppgifter i ett hälsodataregister ska inte få behandlas i syfte att vidta en åtgärd i fråga om en registrerad. Förbudet ska inte gälla en behandling som är nödvändig för att handlägga en registrerads begäran om en rättighet som tillkommer honom eller henne enligt lag eller förordning.
Utredningens förslag
Förslaget från utredningen stämmer överens med regeringens.
Remissinstanserna
Remissinstanserna instämmer med förslaget eller har inget att invända mot det.
Skälen för regeringens förslag
Den yttre ramen för hur personuppgifter får behandlas i ett hälsodataregister tydliggörs genom bestämmelser om tillåtna ändamål för behandlingen. Därtill gäller att en behandling för något av de tillåtna ändamålen ska ske i linje med syftet för hälsodataregistret, dvs. att bidra till ökad kunskap för att utveckla och förbättra hälso- och sjukvården samt stärka folkhälsan. De föreslagna ändamålen i avsnitt 7.8 är alla av sådan karaktär att den behandling som aktualiseras i princip uteslutande avser samlade uppgiftsmängder. Det kan dock fortfarande vara personuppgifter. Från ett integritetsskyddsperspektiv är det viktigt att så långt som möjligt säkerställa att de uppgifter som samlas in och behandlas i ett hälsodataregister inte används för andra syften eller ändamål vid sidan av vad som är uttryckligen tillåtet. Ett starkt och tydligt reglerat integritetsskydd bidrar också till att upprätthålla allmänhetens förtroende för de myndigheter som ansvarar för hälsodataregister. Utredningen anser därför att det finns skäl att i lag förtydliga att personuppgifter i hälsodataregister inte får behandlas i syfte att vidta en åtgärd i fråga om en registrerad, en s.k. användningsbegränsning. Liknande bestämmelser om användningsbegränsning finns i dataskyddslagen. Genom en bestämmelse om användningsbegränsning tydliggörs enligt utredningen att finalitetsprincipen aldrig kan ges en sådan vidsträckt tolkning att den ger stöd för att behandla personuppgifter i syfte att vidta en åtgärd som direkt påverkar en enskild individ. Regeringen instämmer i utredningens förslag.
66Uttrycket behandling omfattar alla slag av åtgärder som kan utföras med personuppgifter, även sökning (jfr artikel 4.2 i EU:s dataskyddsförordning). Den föreslagna begränsningen medför inte ett förbud mot att söka på enskilda utan det är snarare syftet med sökningen som avgör om den är tillåten eller inte. Om det behövs för att exempelvis hålla uppgifter i ett register aktuella och korrekta är det tillåtet att utföra de sökningar eller andra behandlingar som är nödvändiga för att korrigera specifika personuppgifter. En registeransvarig myndighet är alltså inte förhindrad att söka på enskilda registrerade om det är nödvändigt inom ramen för sedvanlig registervård eller annan intern förvaltning av ett register. Uttrycket åtgärd i fråga om en registrerad omfattar alla slag av åtgärder som t.ex. får direkt effekt eller rättsverkan för en enskild individ. Det saknar betydelse huruvida åtgärdens effekt är till den registrerades fördel eller nackdel. Genom den föreslagna användningsbegränsningen tydliggörs att det t.ex. inte är tillåtet att använda uppgifter i ett hälsodataregister som underlag för ett beslut som riktar sig mot den registrerade. Behandling som är nödvändig för att lämna ut en allmän handling eller en uppgift i en allmän handling utgör dock inte en åtgärd i fråga om en registrerad. Det gäller även om uppgiftsmottagaren avser att vidta en sådan åtgärd. Det innebär att det är tillåtet att göra sökningar på enskilda individer för att efterkomma en begäran om utlämnande hos den registeransvariga myndigheten. Regeringen finner i likhet med utredningen att en användningsbegränsning inte kan vara absolut eftersom det riskerar att stå i strid med en registrerads rätt att utöva rättigheter som tillkommer denne enligt annan lag eller förordning. En registrerad vars uppgifter behandlas i hälsodataregister har bl.a. rätt att få tillgång till sina egna personuppgifter, s.k. registerutdrag, enligt artikel 15 i EU:s dataskyddsförordning. För att en registeransvarig myndighet ska kunna handlägga en enskilds begäran om att utöva en sådan rättighet behöver myndigheten kunna utföra nödvändig uppgiftsbehandling, inklusive sökning i ett hälsodataregister. En användningsbegränsning ska således inte omfatta en behandling som är nödvändig för att handlägga en registrerads begäran om att utöva en rättighet som tillkommer honom eller henne enligt lag eller förordning. Regeringen anser i likhet med utredningen att det bör framgå av den föreslagna lagen. Den föreslagna bestämmelsen bedöms vara en sådan specifik eller särskild bestämmelse som det enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning är tillåtet att införa i nationell rätt för att närmare fastställa villkoren för den personuppgiftsansvariges behandling som grundar sig på bl.a. en uppgift av allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning. Bestämmelsen syftar till att skydda bl.a. sådana uppgifter som räknas som känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen och bestämmelsen är en sådan lämplig och särskild åtgärd som i enlighet med artikel 9.2 g och j säkerställer den registrerades grundläggande rättigheter och intressen.
677.11.2 Åtkomst till personuppgifter
Regeringens förslag
Åtkomst till personuppgifter i ett hälsodataregister ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
Regeringens bedömning
Det bör i förordning regleras vilka rutiner som ska gälla för att säkerställa att åtkomsten till personuppgifter i ett hälsodataregister begränsas, kontrolleras och följs upp.
Utredningens förslag och bedömning
Förslaget och bedömningen från utredningen stämmer i huvudsak överens med regeringens. Utredningen föreslår att den som arbetar i en verksamhet med hälsodataregister får ta del av personuppgifter i hälsodataregister bara om denne behöver det för att kunna fullgöra sina arbetsuppgifter. Utredningen föreslår att den myndighet som ansvarar för ett hälsodataregister ska dokumentera åtkomst till personuppgifter. Utredningen föreslår även en annan redaktionell och språklig utformning.
Remissinstanserna
Flertalet remissinstanser stöder eller har inga synpunkter på förslagen. Myndigheten för samhällsskydd och beredskap (MSB) , numera Myndigheten för civilt försvar (MCF), betonar att säker informationsförsörjning förutsätter att samtliga ingående delar i systemet arbetar kontinuerligt och riskbaserat med informations- och cybersäkerhet enligt gällande reglering. Lunds universitet påpekar att avsikten med lagförslaget är ett förbättrat skydd för patienters personuppgifter men att det trots detta inte ställs explicita krav på anonymisering av personuppgifter. Universitetet anser att det bör klargöras om och under vilka omständigheter anonymisering krävs. Om lagstiftaren anser att det inte krävs anonymisering behöver detta kunna motiveras i enlighet med artikel 25.1 i EU:s dataskyddsförordning.
Skälen för regeringens förslag och bedömning
Åtkomst till personuppgifter i hälsodataregister ska begränsas Hälsodataregister bygger på obligatorisk insamling av personuppgifter från hälso- och sjukvården. För att sådan insamling ska kunna fortgå, nu och i framtiden, är det avgörande att allmänheten har ett högt förtroende för hälso- och sjukvården som registrerar uppgifter vid en vårdkontakt och för en statlig myndighet som samlar in uppgifterna till ett hälsodataregister. Om allmänhetens förtroende skadas i något hänseende kan det få konsekvenser både för hälso- och sjukvårdsverksamheterna som rapporterar uppgifter till ett hälsodataregister och för den registeransvariga myndigheten. Förtroendet för en myndighets behandling av personupp-
68gifter grundar sig bl.a. på att uppgifterna behandlas på ett säkert och lagenligt sätt med respekt för enskildas integritet. Det innebär att uppgifterna inte får komma i orätta händer eller på annat sätt spridas på ett otillåtet sätt. Obehörig spridning eller användning av uppgifter i ett register kan medföra betydande integritetsskada för en enskild individ. En strävan för ett nytt regelverk för hälsodataregister är att säkerställa att behandlingen av personuppgifter är transparent och förutsebar för de registrerade. En del i att uppnå detta är att införa tydliga regler om behörighetsstyrning, dvs. vem som ska få åtkomst till uppgifter i ett hälsodataregister och under vilka förutsättningar. Personuppgiftsansvariga är enligt EU:s dataskyddsförordning skyldiga att vidta tekniska eller organisatoriska åtgärder för att säkerställa lämplig säkerhet för personuppgifterna, inbegripet bl.a. skydd mot obehörig eller otillåten behandling (artiklarna 5.1 f, 24, 25 och 32). Den personuppgiftsansvarige ska bl. a. vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige (artikel 32.4). Att begränsa tillgången till personuppgifter är en viktig åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen (jfr artikel 9.2 g och j). Skyldigheten för personuppgiftsansvariga att på olika sätt begränsa denna tillgång följer redan av EU:s dataskyddsförordning. Mer specifika krav på att vidta åtgärder kan fastställas i den nationella lagstiftningen med stöd av artikel 6.2 och 6.3 i EU:s dataskyddsförordning utan att den personuppgiftsansvariges eget ansvar för att vidta lämpliga åtgärder för den skull upphör (prop. 2017/18:171 s. 138). För att skydda enskilda mot obehörig åtkomst har utredningen föreslagit att den som arbetar i en verksamhet med hälsodataregister får ta del av personuppgifter i hälsodataregister bara om denne behöver det för att kunna fullgöra sina arbetsuppgifter. Utredningen konstaterar att den som arbetar med hälsodataregister potentiellt kan få åtkomst till en stor samlad mängd uppgifter om en patient oavsett vårdkontakt och vårdgivare. Den skada och kränkning som en registrerad kan utsättas för om någon obehörigen tar del av och använder uppgifterna för otillåtna syften är därmed stor. Utredningen föreslår av den anledningen en bestämmelse som riktar sig till den enskilde medarbetaren som arbetar med hälsodataregister, i likhet med vad som gäller för den som arbetar hos en vårdgivare enligt 4 kap. 1 § patientdatalagen (2008:355), för att upprätthålla ett fullgott integritetsskydd för den registrerade. En effekt blir då enligt utredningen att obehörig åtkomst kan beivras straffrättsligt. För att försäkra sig om att bestämmelsen som begränsar åtkomsten till personuppgifter får avsedd effekt bör den enligt utredningen också kompletteras med en skyldighet för en registeransvarig myndighet att bestämma villkor för tilldelning av behörighet för åtkomst till personuppgifter i registret. Sådan behörighet ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Regeringen delar utredningens bedömning att det för ett fullgott integritetsskydd bör säkerställas att den som arbetar i en verksamhet med hälsodataregister endast får ta del av personuppgifter i ett hälsodataregister om denne behöver det för att kunna fullgöra sina arbetsuppgifter och att 68 den registeransvariga myndigheten i egenskap av personuppgiftsansvarig
69bör vara skyldig att bestämma villkor för tilldelning för åtkomst till ett sådant register. Till skillnad från utredningen anser regeringen att samma syfte kan uppnås genom en bestämmelse i lagen som tydliggör att åtkomst till personuppgifter i ett hälsodataregister ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter och som riktar sig till den registeransvariga myndigheten. En sådan ordning utesluter inte att obehörig åtkomst kan beivras straffrättsligt. Enligt 4 kap. 9 c § brottsbalken kan den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling under vissa förutsättningar dömas för dataintrång. Bestämmelsen förutsätter inte att den som olovligen berett sig tillgång till en uppgift har haft något särskilt syfte med intrånget för att gärningen ska vara straffbar. Vid bedömningen av om åtgärden skett olovligen är det av betydelse om personen haft behörighet att ta del av uppgifterna eller inte. Enligt regeringen finns det således inget krav på att bestämmelsen behöver rikta sig direkt mot den anställde vid den registeransvariga myndigheten för att obehörig åtkomst ska kunna beivras straffrättsligt som utredningen påpekar. Det förutsätter dock att den registeransvariga myndigheten har tydliga behörighetsregler där tilldelningen av behörighet sker under sådana former att det otvetydigt kan konstateras dels vilken behörighet som tilldelats en person, dels att denne faktiskt tagit del av och förstått innebörden av behörighetstilldelningen och ramarna för behörigheten. En bestämmelse om att åtkomst till personuppgifter i ett hälsodataregister ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter klargör att den registeransvariga myndigheten har ett ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter inte sprids utanför den krets av personer som behöver ha åtkomst till dessa för att kunna utföra sina arbetsuppgifter (jfr artikel 32). Innebörden av bestämmelsen är att det ska finnas ett berättigat behov av åtkomst till personuppgifter i ett hälsodataregister. Den registeransvariga myndigheten behöver aktivt ta ställning till vilka personuppgifter en medarbetare behöver ges åtkomst till för att utföra sina arbetsuppgifter, och att nödvändig behörighet tilldelas utifrån det. I kravet på villkor för behörighetstilldelning ligger också ett krav på att säkerställa att det finns rutiner för att följa upp, förändra och vid behov inskränka en tilldelad behörighet, exempelvis i samband med att en medarbetare byter arbetsuppgifter. Det kan finnas skäl att tekniskt begränsa åtkomsten till personuppgifter både när det gäller omfattningen och vilka slag av uppgifter en medarbetare kan få tillgång till. Är det tillräckligt för en medarbetare att arbeta med uppgifter i pseudonymiserad form ska tillgången begränsas till sådana uppgifter. Kan åtkomst till kodnycklar eller personnummer och andra direkt utpekande uppgifter begränsas till endast ett fåtal personer så ska det göras. En fördel med tekniska åtgärder för behörighetsstyrning är att det minskar risken för en medarbetare att oavsiktligt ta del av uppgifter som denne inte behöver för att utföra sina arbetsuppgifter. Tekniska åtgärder kompletteras ofta av organisatoriska åtgärder. Det kan enligt utredningen handla om information och utbildning i personuppgiftsbehandling eller interna riktlinjer och regler som sätter upp ramarna för hur och vem som får ta del av personuppgifter. Vilka närmare åtgärder som är mest lämpliga att vidta beror bl.a. på vilka tekniska möjligheter myndigheten har och hur myndigheten är 69
70organiserad. Eftersom de tekniska förutsättningarna kan utvecklas med tiden bör det enligt regeringens bedömning inte regleras vilka konkreta åtgärder som ska vidtas för att begränsa tillgången. Till skillnad från vad som efterfrågas av Lunds universitet bedömer regeringen därför att det inte är ändamålsenligt att i lag närmare reglera när anonymisering krävs utan att frågan får hanteras inom ramen för myndighetens behörighets- och åtkomststyrning och de riskbaserade skyddsåtgärder som följer av artikel 25.1 i EU:s dataskyddsförordning. Regeringen delar MCF:s uppfattning och betonar vikten av att berörda aktörer arbetar kontinuerligt och riskbaserat med informations- och cybersäkerhet enligt övriga gällande regelverk inom området. Regeringen anser sammanfattningsvis att det i lagen bör framgå att åtkomst till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
En bestämmelse om kontroll och uppföljning av åtkomsten till personuppgifter Den personuppgiftsansvarige ska enligt artiklarna 24 och 32 i EU:s dataskyddsförordning bl.a. säkerställa och kunna visa att behandlingen utförs i enlighet med EU:s dataskyddsförordning. Utredningen föreslår att en registeransvarig myndighet ska dokumentera åtkomst till personuppgifter och att det ska regleras i förordning att myndigheten regelbundet ska kontrollera och följa upp sådan åtkomst. Detta för att säkerställa att regleringen som syftar till att begränsa medarbetares tillgång till personuppgifter ska få avsedd effekt. Regeringen instämmer i utredningens bedömning att det är viktigt att tydliggöra att åtkomsten till personuppgifter ska dokumenteras och kontrolleras regelbundet. Inte minst mot bakgrund av den stora mängden personuppgifter som kommer att hanteras inom hälsodataregistren. Dock bedömer regeringen att bestämmelsen bör utformas på så sätt att åtkomsten till personuppgifter regelbundet ska kontrolleras och följas upp. Ett sådant krav i lag utgör en skyddsåtgärd i syfte att begränsa intrånget i enskildas integritet. Det är även viktigt för att myndigheterna ska kunna upptäcka och åtgärda obehörig åtkomst. Liknande regleringar finns i andra registerförfattningar, t.ex. 1 kap. 11 § lagen om behandling av personuppgifter vid Utbetalningsmyndigheten och 15 § andra stycket lagen (2024:1006) om behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys. Det bör vara upp till ansvarig registermyndighet att närmare bestämma formerna för kontrollen och uppföljningen men den bör exempelvis kunna ske genom uppföljning av loggar. Kontroll och uppföljning bör genomföras regelbundet, dvs. systematiskt och återkommande, och inte endast om myndigheten av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit.
Det bör i förordning införas bestämmelser om rutiner för tilldelning, kontroll och uppföljning av behörigheter För att säkerställa att åtkomsten till personuppgifter begränsas till vad var och en behöver för att fullgöra sina arbetsuppgifter bör det finnas rutiner för att hantera behörigheter som ger sådan åtkomst. Det bör även finnas rutiner för att återkommande kontrollera och följa upp åtkomsten till
71personuppgifter. Rutiner kan bl.a. förhindra att anställda tilldelas vidare behörighet till uppgifter än nödvändigt, eller att anställda som byter arbetsuppgifter har kvar vidare behörigheter än vad som behövs med hänsyn till de nya arbetsuppgifterna. Utöver de åtgärder som anges i den föreslagna lagen kan lämpliga organisatoriska skyddsåtgärder för att uppfylla kraven i EU:s dataskyddsförordning också handla om rutiner för information till och utbildning av personal i personuppgiftsbehandling, för att säkerställa att berörda medarbetare har tillräckliga kunskaper i personuppgiftsbehandling. Regeringen bedömer i likhet med utredningen att det är tillräckligt att sådana krav och rutiner införs i förordning.
7.12 Registrerades rättigheter bör inte begränsas
Regeringens bedömning
Lagen bör inte innehålla några begränsningar av den registrerades rättigheter enligt EU:s dataskyddsförordning. Den myndighet som ansvarar för ett hälsodataregister bör, med stöd av EU:s dataskyddsförordning, i vissa fall anses vara undantagen från skyldigheten att lämna information till den registrerade.
Utredningens bedömning
Bedömningen från utredningen stämmer överens med regeringens.
Remissinstanserna
Majoriteten av remissinstanserna instämmer i eller har inga synpunkter på bedömningen. Lunds universitet anser att undantaget i artikel 14.5 i EU:s dataskyddsförordning inte är generellt tillämpligt, utan bedömningen av om de villkor som anges i artikeln är uppfyllda ska göras från fall till fall. Universitetet anför även att lagförslaget utgår från att undantaget är tillämpligt eftersom information skulle kräva oproportionerliga ansträngningar, främst på grund av avsaknaden av kontaktuppgifter till den registrerade. Enligt universitetet är detta resonemang knappast relevant om inte uppgifterna anonymiseras.
Skälen för regeringens bedömning
Den registrerades rättigheter bör inte begränsas I EU:s dataskyddsförordning finns bestämmelser om ett antal rättigheter för registrerade som syftar till att ge den registrerade ökad kontroll över sina uppgifter. Det handlar bl.a. om information om, tillgång till, rättelse av, radering av och begränsning av behandling av egna personuppgifter samt att kunna göra invändningar mot behandlingen av uppgifterna (artiklarna 12–22). Rättigheterna är inte i alla delar absoluta och det finns såväl direkt tillämpliga undantag som möjlighet att i nationell rätt göra ytterligare undantag i vissa fall. Rätten till radering gäller exempelvis inte i den 71
72utsträckning som behandlingen är nödvändig för att uppfylla en rättslig förpliktelse eller för att utföra en uppgift av allmänt intresse (artikel 17.3 b). Om en personuppgiftsansvarig behandlar uppgifter för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål får det enligt artikel 89.2 i unionsrätten eller nationell rätt under vissa förutsättningar också föreskrivas undantag från rätten till tillgång (artikel 15), rätten till rättelse (artikel 16), rätten till begränsning (artikel 18) och rätten att göra invändningar (artikel 21). Dock med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1. Vissa rättigheter är dessutom beroende av den rättsliga grund som ligger till grund för behandlingen. Det gäller särskilt rätten att göra invändningar där den registrerade endast har rätt att göra invändningar mot behandling av personuppgifter som grundar sig på artikel 6.1 e och f i EU:s dataskyddsförordning, dvs. när personuppgifter behandlas för att utföra en uppgift av allmänt intresse, som ett led i myndighetsutövning eller efter en intresseavvägning. Även här gäller särskilda regler när personuppgifterna behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Det nya regelverket om hälsodataregister bör vara tydligt, transparent och förutsebart för registrerade i fråga om hur deras personuppgifter behandlas. Av den anledningen är det av stor betydelse att de rättigheter som föreskrivs i EU:s dataskyddsförordning och som är tillämpliga vid behandling av personuppgifter i hälsodataregister, inte begränsas i den föreslagna lagen. Detta gäller bl.a. den registrerades rätt till tillgång, det som vanligen brukar kallas registerutdrag (artikel 15), rätten för den registrerade att få felaktiga personuppgifter rättade (artikel 16) och rätten att under vissa förutsättningar kunna kräva att behandlingen av personuppgifter begränsas (artikel 18).
Rätten att göra invändning Den registrerade har enligt EU:s dataskyddsförordning rätt att göra invändningar mot sådan behandling av personuppgifter avseende honom eller henne som grundar sig på att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 21.1). Den personuppgiftsansvarige får i så fall inte längre behandla personuppgifterna om inte denne kan visa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Rätten att invända mot behandlingen av personuppgifter är begränsad om det rör sig om personuppgifter som behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. I sådana fall har den registrerade bara rätt att göra invändningar om behandlingen inte är nödvändig för att utföra en uppgift av allmänt intresse (artikel 21.6). En begränsning av rätten att göra invändningar kan göras i unionsrätten eller i nationell rätt (artikel 23.1). Det krävs dock att begränsningen sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och att det utgör en nödvändig och proportionell åtgärd i ett
73demokratiskt samhälle i syfte att säkerställa bl.a. viktiga mål av generellt allmänt intresse. Rätten att göra invändningar har begränsats i flera registerförfattningar då det bedömts vara av stor betydelse att uppgifter får behandlas i myndighetens verksamhet, oberoende av den registrerades inställning. För ett nationellt register kan en sådan begränsning också motiveras med att det kan påverka täckningsgraden och därmed också kvaliteten i ett register. Merparten av den behandling av personuppgifter som sker i ett hälsodataregister sker med stöd av den rättsliga grunden uppgift av allmänt intresse i artikel 6.1 e i EU:s dataskyddsförordning. EU:s dataskyddsförordning innehåller dock en skyddsmekanism som begränsar rätten att invända mot behandlingar som sker för forsknings- och statistikändamål i syfte att utföra en uppgift av allmänt intresse, (artikel 21.6). Denna begränsning inverkar på registrerades möjligheter att invända mot en behandling i hälsodataregister eftersom registren i stor utsträckning används för just forskning och statistik. Trots att det är av stor vikt att personuppgifter i ett hälsodataregister får behandlas oberoende av den registrerades inställning och det behov som finns av att ett hälsodataregister är så heltäckande som möjligt, anser regeringen i likhet med utredningen att det inte finns skäl att begränsa rätten att invända mot en behandling (jfr artikel 23.1 i EU:s dataskyddsförordning). Någon begränsning av rätten för den registrerade att göra invändningar föreslås därför inte i lagen.
Rätten till information En registrerad har som utgångspunkt rätt till information om en personuppgiftsbehandling som rör honom eller henne. Artikel 14 i EU:s dataskyddsförordning reglerar skyldigheten för den personuppgiftsansvarige att lämna information till den registrerade om personuppgifterna har erhållits från annan än den registrerade själv. Att den personuppgiftsansvarige ska lämna information innebär att denne måste vidta aktiva åtgärder för att ge informationen i fråga till den registrerade eller aktivt ledsaga den registrerade till den plats där informationen finns. Rätten till information om en personuppgiftsbehandling är inte absolut. Undantag från informationsskyldighet får göras bl.a. i de situationer där den registrerade redan förfogar över informationen (artikel 14.5 a), om tillhandahållandet av informationen visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 (artikel 14.5 b) eller erhållandet eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen (artikel 14.5 c). Uppgifter till hälsodataregister samlas in från vårdgivare och statliga myndigheter. Den registeransvariga myndigheten saknar därmed all form av direktkontakt med och kontaktuppgifter till de registrerade vars uppgifter behandlas. Mot denna bakgrund och den stora mängd uppgifter som behandlas anser regeringen, till skillnad från Lunds universitet , att det skulle medföra en oproportionerlig ansträngning att lämna information om
74behandlingen direkt till varje enskild registrerad på det sätt som artikel 14.5 b i EU:s dataskyddsförordning kräver. Något krav på att uppgifterna behöver vara anonymiserade för att undantaget ska vara tillämpligt, såsom Lunds universitet framför, finns inte enligt regeringens bedömning. Den behandling som utförs i hälsodataregister avser dessutom ofta statistikframställning och i viss utsträckning även forskning som artikel 14.5 b särskilt pekar ut. För att undantaget i artikel 14.5 b ska vara tillämpligt ska även den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter, friheter och berättigade intressen, inbegripet att göra uppgifterna tillgängliga för allmänheten. Uppgifter i hälsodataregister omfattas av absolut sekretess enligt 24 kap. 8 § OSL. Uppgifterna är i många fall pseudonymiserade och flera bestämmelser som syftar till att skydda den registrerades integritet föreslås såsom tekniska behörighetsbegränsningar och att åtkomsten till registret ska kontrolleras och följas upp. Förslaget till lag om hälsodataregister innehåller även begränsningar vad gäller ändamålen för behandlingen samt innehållet i ett hälsodataregister. Undantaget i artikel 14.5 b bör därmed enligt regeringen vara tillämpligt för registeransvarig myndighet. Dessutom grundar sig uppgiftsinsamlingen till hälsodataregister på en författningsreglerad uppgiftsskyldighet (artikel 14. 5 c). En förutsättning för att detta undantag ska vara tillämpligt är att den nationella rätten också fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Den föreslagna lagen om hälsodataregister innehåller som nämnts i stycket ovan skyddsåtgärder för att skydda den registrerades integritet vid behandlingen av personuppgifter. Regeringen delar därför utredningens bedömning att det i nationell rätt kommer finnas ett tillräckligt skydd för de registrerades intressen för att även undantaget i artikel 14.5 c i EU:s dataskyddsförordning bör kunna tillämpas vid personuppgiftsbehandling i ett hälsodataregister. Sammanfattningsvis bedömer regeringen att behandling av personuppgifter i ett hälsodataregister därmed kan komma att falla in under något av de angivna undantagen i artikel 14.5 b eller 14.5 c i EU:s dataskyddsförordning. Registeransvarig myndighet kan under dessa förutsättningar vara undantagen från skyldigheten att lämna information till den registrerade enligt artikel 14.
Allmän information om hälsodataregister Socialstyrelsen håller allmän information om dagens register tillgänglig på myndighetens webbplats. Att göra information, som annars skulle ha lämnats till den registrerade vid registreringstillfället, tillgänglig för allmänheten utgör ett krav för att få tillämpa undantaget i artikel 14.5 b i EU:s dataskyddsförordning. Ett tillhandahållande av information säkerställer även transparens och öppenhet och bidrar genom detta till ett högt förtroende för myndighetens register. Något motsvarande krav på att tillgängliggöra information för allmänheten finns inte när undantag från informationsplikten till den enskilde görs med stöd av artikel 14.5 c i EU:s dataskyddsförordning.
757.13 Längsta tid som personuppgifter får behandlas
Regeringens bedömning
Det bör inte införas en bestämmelse i lagen om hälsodataregister om längsta tid för behandling av personuppgifter. Arkivlagstiftningens principer om bevarande bör vara utgångspunkten för uppgifter i ett hälsodataregister.
Utredningens bedömning
Bedömningen från utredningen stämmer överens med regeringens.
Remissinstanserna
Remissinstanserna instämmer i eller har inga synpunkter på bedömningen.
Skälen för regeringens bedömning
Enligt artikel 5.1 e i EU:s dataskyddsförordning får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas. Bestämmelsen ger uttryck för principen om lagringsminimering. Att personuppgifter upphör att behandlas innebär inte nödvändigtvis att handlingarna gallras. Personuppgifter får lagras under en längre period i den mån uppgifterna enbart behandlas för arkivändamål av allmänt intresse eller för vetenskapliga och historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1. Det förutsätter dock att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt EU:s dataskyddsförordning genomförs för att garantera den registrerades fri- och rättigheter. Regeringen har bedömt att den behandling av personuppgifter som utförs för att uppfylla de krav som ställs i arkivlagen (1990:782) och anslutande föreskrifter måste anses ske för arkivändamål av allmänt intresse (prop. 2017/18:105 s. 110). Behandlingen ska därmed inte anses som oförenlig med de ursprungliga ändamålen. I arkivlagen och arkivförordningen (1991:446) finns bestämmelser om bevarande av uppgifter hos myndigheter och vissa andra organ. Utgångspunkten är enligt 3 § arkivlagen att allmänna handlingar ska bevaras, hållas ordnade och vårdas så att myndigheternas arkiv kan tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. Om arkivändamålen kan tillgodoses får under vissa förutsättningar allmänna handlingar dock gallras (10 § arkivlagen). Utgångspunkten i det arkivrättsliga regelverket är alltså att uppgifter ska bevaras, medan presumtionen i regelverk som skyddar personuppgifter är den omvända. Gallring enligt det arkivrättsliga regelverket syftar till att begränsa arkivens omfattning, bl.a. för att därmed öka deras tillgänglighet, medan bestämmelser om längsta tid för behandling av personuppgifter enligt det dataskyddsrättsliga regelverket syftar till att skydda enskildas personliga integritet.
76I den nuvarande lagen om hälsodataregister saknas reglering om längsta tid för behandling av personuppgifter. En bestämmelse om en viss specificerad längsta tid under vilken personuppgifter i ett hälsodataregister får behandlas skulle kunna motiveras av tydlighets- och integritetsskäl. En förutsättning för att hälsodataregister ska kunna användas i kunskapshöjande syfte inom ramen för exempelvis epidemiologiska studier och statistikframställning är att registren innehåller långa tidsserier av kvalitativa och jämförbara data. Det är snarare så att ju längre tidsserier ett hälsodataregister innehåller desto mer värdefullt och användbart är det. Det innebär att det egentligen inte finns någon bortre gräns för hur länge uppgifter i ett hälsodataregister kan vara relevanta och användbara. Att på förhand bestämma i vilken omfattning och hur länge uppgifter i hälsodataregister ska få bevaras innan de kan anses ha förlorat sitt värde är därför förenat med stora svårigheter. Beroende på vad uppgifterna ska användas till varierar behoven av hur långa tidsserier som är relevanta för att följa utvecklingen inom hälso- och sjukvården eller för att tillgodose forskningens dynamiska behov. Av dessa skäl anser regeringen i likhet med utredningen att den nya lagen om hälsodataregister inte bör innehålla en bestämmelse som preciserar en längsta tid för behandling av personuppgifter. Det innebär att den grundläggande principen om lagringsminimering i EU:s dataskyddsförordning ska tillämpas av en personuppgiftsansvarig myndighet i kombination med arkivlagens bestämmelser och eventuella gallringsföreskrifter beslutade av Riksarkivet.
7.14 Skyldighet att lämna uppgifter till hälsodataregister
Regeringens förslag
Vårdgivare och statliga myndigheter ska vara skyldiga att till en myndighet som ansvarar för ett hälsodataregister lämna de uppgifter som de förfogar över och som behövs i ett hälsodataregister. Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om vårdgivares uppgiftsskyldighet. Det ska finnas en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om statliga myndigheters uppgiftsskyldighet.
Utredningens förslag
Förslagen från utredningen stämmer i huvudsak överens med regeringens. Utredningen föreslår att uppgiftsskyldigheten för vårdgivare respektive statliga myndigheter ska begränsas till sådana uppgifter som är nödvändiga för att uppnå syftet med ett hälsodataregister.
77Remissinstanserna
Majoriteten av remissinstanserna instämmer i eller har inga synpunkter på förslagen. Flera remissinstanser såsom Sveriges Kommuner och Regioner (SKR) , Region Skåne och Västra Götalandsregionen är positiva till att uppgiftsskyldigheten utökas till att även gälla privata vårdgivare och till att omfatta flera uppgifter. Region Stockholm pekar på att det är regionerna som har huvudansvaret för den offentligt finansierade hälso- och sjukvården och förespråkar därför att inrapporteringen till Socialstyrelsen bör gå via regionerna. Region Halland ifrågasätter om det inte bör vara regionen som juridisk person i dess egenskap av vårdgivare som ska åläggas en skyldighet att lämna uppgifter till hälsodataregister. Region Kronoberg påpekar att det är viktigt att dela på begreppen vårdgivare och huvudman eftersom en del av de hälso- och sjukvårdstjänster som produceras regionalt har privata vårdgivare som utförare, vilket inte beskrivs tydligt av utredningen. Karolinska Institutet (KI) framför att Socialstyrelsen saknar medel att vidta åtgärder för det fall uppgiftsskyldigheten inte utförs i enlighet med bestämmelserna. Region Västmanland och Västra Götalandsregionen ställer sig frågande till hur man på nationell nivå säkerställer att data från olika huvudmän går att jämföra. Västra Götalandsregionen påtalar att det framstår som utmanande för regionerna att dela jämförbara läkemedelsdata innan Sverige har ett nationellt journalsystem med enhetlig nomenklatur, tydliga definitioner och harmoniserade tolkningar. Västra Götalandsregionen efterlyser en beskrivning av hur de föreslagna förändringarna påverkar nuvarande insamlingar.
Skälen för regeringens förslag
Det finns behov av en uppgiftsskyldighet till hälsodataregister Information som tillförs ett hälsodataregister utgörs av uppgifter som registreras vid en vårdkontakt eller som en patient på annat sätt lämnar till en vårdgivare. De uppgifter som samlas in till hälsodataregister kommer huvudsakligen från offentliga och privata vårdgivare. Uppgifterna hos dessa aktörer omfattas av sekretess och tystnadsplikt. Inom den allmänna hälso- och sjukvården råder sekretess för uppgifter om enskildas hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan men för den enskilde eller närstående enligt 25 kap. 1 § OSL. Bestämmelsen omfattar även annan medicinsk verksamhet som räknas upp i paragrafen. Paragrafen föreskriver ett omvänt skaderekvisit, dvs. presumtion för sekretess. Personal verksamma hos privata vårdgivare omfattas i stället av bestämmelser om tystnadsplikt i patientsäkerhetslagen (2010:659). Enligt 26 kap. 12 § patientsäkerhetslagen får den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen röja vad denne i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Vid tolkningen av obehörighetsrekvisitet har det ansetts naturligt att söka viss ledning i skaderekvisitet som finns i offentlighets- och sekretesslagens motsvarande bestämmelse, dvs. 25 kap. 1 § OSL (prop. 1980/81:28 s. 23).
78Utöver uppgifter från vårdgivare behöver hälsodataregister innehålla relevanta uppgifter som finns hos vissa statliga myndigheter som E-hälsomyndigheten, Försäkringskassan, SCB och Skatteverket. I dag lämnar Skatteverket regelbundet uppgifter till flera av Socialstyrelsens hälsodataregister. Uppgifterna kommer från folkbokföringsdatabasen och kan avse exempelvis patienters personnummer eller samordningsnummer, namn, adress och folkbokföringsort. Likaså lämnar SCB uppgifter om bl.a. en patients identitet, bosättning, medborgarskap och civilstånd till flertalet hälsodataregister (t.ex. 6 § andra stycket förordningen [2001:707] om patientregister hos Socialstyrelsen). Även Försäkringskassan har en skyldighet att lämna uppgifter till tandhälsoregistret hos Socialstyrelsen (5 § förordningen [2008:194] om tandhälsoregister hos Socialstyrelsen). Likaså har E-hälsomyndigheten en skyldighet att lämna uppgifter från den nationella läkemedelslistan till Socialstyrelsen (6 kap. 5 § lagen [2018:1212] om nationell läkemedelslista). Uppgifterna hos dessa myndigheter omfattas i många fall av sekretess. Hos SCB utgör all statistikverksamhet en sådan särskild verksamhet som avser framställning av statistik enligt 24 kap. 8 § OSL. Hos Försäkringskassan gäller bl.a. sekretess för uppgifter om utförd tandvård som ligger till grund för begäran om ersättning om statligt tandvårdsstöd och särskilt tandvårdsbidrag (28 kap. 1 § första stycket 5 OSL). Hos E-hälsomyndigheten gäller sekretess för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider men (25 kap. 17 a § OSL). För att ett hälsodataregister ska vara kvalitativt och kunna användas på ett effektivt sätt för sitt ändamål krävs att innehållet i registret är korrekt och så fullständigt som möjligt. Rapporteringen till ett hälsodataregister kan med hänsyn till detta inte grundas på ett frivilligt åtagande från berörda aktörer. I dag följer av 6 § lagen om hälsodataregister att den som bedriver verksamhet inom hälso- och sjukvården ska lämna uppgifter till ett hälsodataregister. En uppgiftsskyldighet i lag eller förordning kan ha sekretessbrytande verkan och hindrar då inte att uppgifter som omfattas av sekretess lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning (10 kap. 28 § OSL). En motsvarande bestämmelse för privata vårdgivare finns i 6 kap. 12 § patientsäkerhetslagen. En förutsättning för att en bestämmelse om uppgiftsskyldighet ska ha sekretessbrytande verkan är att den uppfyller vissa krav på konkretion. En bestämmelse om uppgiftsskyldighet kan ta sikte på utlämnande av uppgifter av ett speciellt slag, gälla en viss myndighets rätt att ta del av uppgifter i allmänhet eller avse en skyldighet för en viss myndighet att lämna andra myndigheter information. För att säkerställa att nödvändig information tillförs hälsodataregister instämmer regeringen i utredningens bedömning att informationsutbytet precis som i dag bör regleras genom en uppgiftsskyldighet. Genom att införa en tillräckligt preciserade bestämmelser om uppgiftsskyldighet ges ett tydligt stöd för den personuppgiftsbehandling som uppgiftsöverföringen kan medföra. Det blir även tydligt för utlämnande vårdgivare och statliga myndigheter att de ansvarar för uppgiftslämnandet.
79Uppgiftsskyldigheten bör omfatta offentliga och privata vårdgivare samt statliga myndigheter Information som tillförs ett hälsodataregister utgörs av uppgifter som registreras vid en vårdkontakt eller som en patient på annat sätt lämnar till en vårdgivare. För att uppfylla syftet med ett hälsodataregister krävs därför att uppgifter om patientens vård och hälsa kan samlas in från vårdgivare. I och med den utökade uppgiftsinsamling som utredningen föreslår är det viktigt att uppgifter kan samlas in från både offentliga och privata vårdgivare. En stor del av primärvården liksom den specialiserade öppenvården tillhandahålls och utförs av privata vårdgivare. För att få en samlad bild av hälso- och sjukvården är det därmed av stor betydelse att uppgifter också kan samlas in från hälso- och sjukvårdsverksamheter som bedrivs i privat regi. I dag följer av 6 § lagen om hälsodataregister att den som bedriver verksamhet inom hälso- och sjukvården ska lämna uppgifter till ett hälsodataregister. Av förarbetena till lagen framgår att uppgiftsskyldigheten gäller för alla som är ansvariga för verksamhet inom den regionala och lokala hälso- och sjukvården, nämligen landsting, kommuner och privata vårdgivare. För offentligt bedriven vård betyder det att det är sjukvårdshuvudmannen, dvs. en region eller kommun, som är uppgiftsskyldig. I den mån staten bedriver hälso- och sjukvårdsverksamhet är den uppgiftsskyldig. Inom den privata vården ansvarar varje vårdgivare för att fullgöra uppgiftsskyldigheten på lämpligt sätt. Motivet till nuvarande fördelning av uppgiftsskyldighet till hälsodataregister var att regioner och kommuner ansvarar för de it-system där uppgifterna finns som ska rapporteras. Det ansågs därför lämpligt att lägga uppgiftsskyldigheten för den offentligt bedrivna vården på sjukvårdshuvudmannen och inte den enskilde yrkesutövaren (prop. 1997/98:108 s. 54, 91 och 92). Utredningen föreslår däremot att uppgiftsskyldigheten bör ligga på varje enskild vårdgivare och inte på huvudmannen. Enligt utredningen är det vårdgivaren (myndighet, annan juridisk person eller enskild näringsidkare) som registrerar patientuppgifter i sin verksamhet som bär det rättsliga ansvaret för uppgifterna i fråga. Vårdgivaren ansvarar för att skydda uppgifterna i enlighet med gällande bestämmelser om sekretess och tystnadsplikt samt för att lämna ut uppgifterna när det finns en sådan skyldighet enligt lag och förordning. Vårdgivaren är också personuppgiftsansvarig för behandlingen av uppgifterna. Vårdgivaren är således den aktör som ytterst kan garantera att uppgiftsskyldigheten faktiskt efterlevs. Utredningen anser att en sådan ordning inte utesluter att huvudmannen för vården, dvs. en kommun eller region, ändå kan ta ansvar för att rapportera in uppgifterna till ett hälsodataregister för en vårdgivares räkning när det finns rättsliga förutsättningar för det. Enligt utredningen är det även rimligt att ha samma ansvarsfördelning när statliga myndigheter ansvarar för att tillhandahålla hälso- och sjukvård. I de fall en statlig myndighet bedriver vården i egen regi, dvs. som vårdgivare, är myndigheten uppgiftsskyldig till hälsodataregister. Har vården lagts ut på entreprenad, exempelvis till en privat vårdgivare, är det i stället den vårdgivaren som är uppgiftsskyldig. En privat vårdgivare som bedriver privat finansierad vård, bör i likhet med vad som gäller i dag, enligt utredningen bära det rättsliga ansvaret att uppfylla uppgiftsskyldigheten till ett hälsodataregister.
80Region Stockholm anser emellertid att uppgiftsskyldigheten till hälsodataregistren även fortsättningsvis bör ligga på huvudmannen och inte på den vårdgivare som bedriver verksamheten. Enligt region Stockholm ökar förutsättningarna för att regionernas och Socialstyrelsens data blir samstämmiga om inrapporteringen går via regionerna. Även Region Halland ifrågasätter om det bör vara regionen som juridisk person i dess egenskap av vårdgivare som bör åläggas en skyldighet att tillföra hälsodataregister uppgifter. Enligt regionen framgår det av 2 kap. 6 § patientdatalagen (2008:355) att i en region och i en kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Denna ordning är tillkommen för att uppnå samordning mellan personuppgiftsansvaret och ansvaret för allmänna handlingar enligt tryckfrihetsförordningen, offentlighets- och sekretesslagen och arkivlagen (1990:782). Region Halland uppfattar det som olyckligt att den samordningen avseende personuppgiftsansvar och ansvar jämlikt tryckfrihetsförordningen inte upprätthålls konsekvent i lagstiftningen. Region Kronoberg påpekar att det är viktigt att dela på begreppen vårdgivare och huvudman eftersom en del av de hälso- och sjukvårdstjänster som produceras regionalt har privata vårdgivare som utförare, vilket inte beskrivs tydligt av utredningen. Regeringen delar Region Kronobergs uppfattning att denna åtskillnad bör framgå tydligt. I hälso- och sjukvårdslagen definieras huvudman som den region eller kommun som enligt lagen ansvarar för att erbjuda hälsooch sjukvård. Inom en huvudmans område kan en eller flera vårdgivare bedriva verksamhet. Vårdgivare avser därmed den aktör som faktiskt bedriver vården och som i praktiken förfogar över och dokumenterar de patientuppgifter som ska lämnas till ett hälsodataregister. Regeringen instämmer i det som Region Stockholm påpekar att regionerna behöver tillgång till relevanta uppgifter för uppföljning, förbättringsarbete och kunskapsutveckling. Regeringen bedömer dock, i likhet med utredningen, att uppgiftsskyldigheten till ett hälsodataregister bör åligga vårdgivaren och inte huvudmannen. Som utredningen konstaterar är det vårdgivaren som är personuppgiftsansvarig för behandlingen av uppgifterna och som bär det rättsliga ansvaret för uppgifterna i fråga. Det är vårdgivaren som förfogar över och dokumenterar de patientuppgifter som ska lämnas till ett hälsodataregister. Vårdgivaren har därav de bästa förutsättningarna att säkerställa att uppgiftsskyldigheten efterlevs. Region Hallands synpunkt om att det i patientdatalagen anges att varje myndighet i en region eller kommun som bedriver hälso- och sjukvård är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför, medför inte någon annan bedömning. Regeringen bedömer att den föreslagna regleringen inte står i konflikt med den ansvarsfördelning som följer av patientdatalagen. Bestämmelserna om personuppgiftsansvar och ansvar för allmänna handlingar reglerar hur personuppgifter behandlas och förvaltas inom en myndighetsorganisation. Reglerna om uppgiftsskyldighet till hälsodataregister tar däremot sikte på vem som bär det rättsliga ansvaret för att nödvändiga uppgifter lämnas till ett nationellt register. Den samordning mellan personuppgiftsansvar och ansvar för allmänna handlingar som Region Halland hänvisar till påverkas därför inte av den föreslagna regleringen. I avsnitt 7.3 föreslår regeringen att det i 80 lagen ska framgå att med vårdgivare avses en statlig myndighet, region,
81kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård. Förslaget utesluter inte att regionen som huvudman kan organisera och samordna rapporteringen och, när rättsliga förutsättningar finns, rapportera uppgifter till hälsodataregister för vårdgivares räkning. Frågan om samstämmighet mellan regionernas och Socialstyrelsens data bör enligt regeringen i första hand säkerställas genom tydliga gemensamma specifikationer och kvalitetssäkring för rapporteringen. Sådana frågor får omhändertas inom ramen för Socialstyrelsens arbete med insamling och kvalitetssäkring. Därutöver kommer statliga myndigheter precis som i dag att vara skyldiga att lämna personuppgifter till ett hälsodataregister. Enligt den nuvarande regleringen lämnas uppgifter av bl.a. E-hälsomyndigheten, Försäkringskassan och SCB. En uppgiftsskyldighet bör därför omfatta även statliga myndigheter i den föreslagna lagen.
Uppgiftsskyldighetens närmare innebörd För att upprätthålla skyddet för den personliga integriteten är det viktigt att inte fler uppgifter än nödvändigt samlas in till hälsodataregister. De personuppgifter som samlas in ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (artikel 5.1 c i EU:s dataskyddsförordning). Utredningen föreslår därför att uppgiftsskyldigheten ska begränsas till sådana uppgifter som är nödvändiga för att uppnå syftet med ett hälsodataregister, dvs. att bidra till ökad kunskap för att utveckla och förbättra hälso- och sjukvården samt stärka folkhälsan. Det ska också finnas ett behov av att behandla uppgifterna för något av de tillåtna ändamålen i den föreslagna lagen om hälsodataregister. Enligt regeringen bör uppgiftsskyldigheten endast gälla i den utsträckning som uppgifterna behövs i ett hälsodataregister, vilket regleras utifrån bestämmelserna om syfte, ändamål och innehåll i lagen. Den yttre ramen för vilka uppgifter som kan bli föremål för uppgiftsskyldigheten följer alltså av de föreslagna bestämmelserna om tillåtet innehåll i lagen. Bestämmelserna om tillåtet innehåll utgör därmed en begränsning av vilka uppgifter som får samlas in och knyter även tydligt an till de tillåtna ändamålen för behandlingen. Regeringen föreslår därför, till skillnad från utredningen, att uppgiftsskyldigheten ska knyta an till de uppgifter som är nödvändiga för ändamålet med behandlingen i stället för de uppgifter som är nödvändiga för att uppnå syftet med hälsodataregister. En sådan begränsning till ändamålet med behandlingen anser regeringen bättre överensstämmer med principen om uppgiftsminimering i artikel 5.1 c i EU:s dataskyddsförordning. Dessutom ska uppgiftsskyldigheten till hälsodataregister endast gälla sådana uppgifter som vårdgivare och statliga myndigheter förfogar över. Regeringen delar Region Västmanlands och Västra Götalandsregionens uppfattning att uppgiftslämnandet behöver utformas så att de uppgifter som samlas in blir jämförbara över tid och mellan olika vårdgivare och huvudmän. Detta är av central betydelse för att registren ska kunna användas för uppföljning och analys. Frågor om utformningen för rapporteringen bör därför beaktas i det arbete som Socialstyrelsen bedriver med att utveckla insamlings- och kvalitetssäkringsprocesser för hälso-
82dataregister. Närmare överväganden om hur nya insamlingar kommer påverka befintliga insamlingar får göras inom ramen för det fortsatta genomförandet.
Uppgiftsskyldigheten för vårdgivare och statliga myndigheter bör regleras i lag Av normgivningsreglerna i regeringsformen (RF) följer att förhållandet mellan enskilda och det allmänna som gäller skyldigheter för enskilda samt åligganden för kommuner ska regleras i lag (8 kap. 2 och 3 §§ RF). En uppgiftsskyldighet för vårdgivare till ett hälsodataregister omfattas av denna bestämmelse och kräver därför lagstöd. Regleringen av uppgiftsskyldighet mellan statliga myndigheter omfattas av regeringens restkompetens enligt 8 kap. 7 § RF. Det innebär att sådan uppgiftsskyldighet kan regleras i förordning. Insamlingen av uppgifter till hälsodataregister är omfattande och berör större delen av Sveriges befolkning. Enligt utredningens förslag kommer uppgiftsskyldigheten att utvidgas till att även omfatta uppgifter om rekvisitionsläkemedel, väntetider och uppgifter om patientens vårdkontakter i primärvården och i den specialiserade somatiska öppenvården. Enligt 2 kap. 6 § andra stycket RF är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. I avsnitt 6 framgår att regeringen bedömer att personuppgiftsbehandlingen i ett hälsodataregister, med hänsyn bl.a. till uppgifternas karaktär och den stora mängden uppgifter i fråga, kan innebära ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket RF. Av samma skäl kan även den personuppgiftsbehandling som följer av förslaget om ny och utökad uppgiftsskyldighet riskera att innebära ett betydande intrång i den enskildes personliga integritet. Mot bakgrund av detta bedömer regeringen att uppgiftsskyldigheten även för statliga myndigheter bör regleras i lag. En samlad integritets- och proportionalitetsanalys av förslagen görs i avsnitt 9. Sammanfattningsvis anser regeringen att bestämmelser om uppgiftsskyldighet till hälsodataregister för vårdgivare och statliga myndigheter ska regleras i den föreslagna lagen om hälsodataregister. KI noterar att Socialstyrelsen inte kan ingripa om en uppgiftslämnare inte uppfyller sin skyldighet att lämna data. Regeringen är naturligtvis angelägen om att en lagstadgad uppgiftsskyldighet efterlevs. Utredningen lämnar dock inte några förslag till sanktioner för det fall den reglerade uppgiftsskyldigheten inte uppfylls. Det saknas således beredningsunderlag för att i detta lagstiftningsarbete föreslå några sådana åtgärder.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om uppgiftsskyldigheten Ramarna för personuppgiftsbehandling i ett hälsodataregister och bestämmelser som är av central betydelse för integritetsskyddet bör enligt regeringen regleras i den föreslagna lagen (se avsnitt 6). Enligt regeringen är det inte ändamålsenligt att i lagen detaljreglera personuppgiftsbehandlingen, exempelvis de närmare uppgifterna som får finnas i ett hälsodataregister. Den närmare regleringen om innehållet i ett hälsodataregister och
83uppgiftsskyldigheten bör regleras i förordning och vid behov i föreskrifter. Regeringen föreslår därför att det införs en upplysning om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela närmare föreskrifter om uppgiftsskyldigheten. Uttrycket närmare föreskrifter innebär att det är verkställighetsföreskrifter som avses. En upplysningsbestämmelse som avser detta bör därför föras in i den föreslagna lagen.
Intresseavvägning vid införande av en bestämmelse om uppgiftsskyldighet Information som omfattas av sekretess och tystnadsplikt ska som utgångspunkt inte vidarebefordras utanför den verksamhet inom vilken den inhämtats. Därmed förutsätter införandet av en bestämmelse om uppgiftsskyldighet med sekretessbrytande verkan att en intresseavvägning görs mellan behovet av att utbyta uppgifter och det intresse som sekretessbestämmelsen/tystnadsplikten avser att skydda samt att skälen för att i lag reglera en sådan skyldighet är starkare än det integritetsintrång som utlämnandet innebär för den enskilde. Vid intresseavvägningen har det betydelse vilken skyddsnivå som uppgifterna får hos mottagaren. Som framgår i avsnitt 8 kommer uppgifter som lämnas till ett hälsodataregister som utgångspunkt att omfattas av s.k. statistiksekretess enligt 24 kap. 8 § första stycket OSL. Denna sekretess är absolut och skyddar enligt bestämmelsen inte bara sådana uppgifter som innehåller identitetsbeteckningar utan även uppgifter som över huvud taget kan hänföras till en viss enskild. Som huvudregel omfattas uppgifterna i ett hälsodataregister av sekretessbestämmelser som har en starkare skyddsnivå än den sekretess som gäller inom hälso- och sjukvården. Vid en intresseavvägning mellan behov av att hälsodataregister tillförs relevanta uppgifter och det intresse som hälso- och sjukvårdssekretessen avser att skydda, bedömer regeringen att den föreslagna uppgiftsskyldigheten är motiverad och proportionerlig.
8 Sekretess och tystnadsplikt
Regeringens bedömning
Befintlig sekretesslagstiftning ger ett tillräckligt skydd för de uppgifter som kommer att behandlas med anledning av förslagen.
Utredningens bedömning
Bedömningen från utredningen stämmer överens med regeringens.
84Remissinstanserna
Flertalet remissinstanser har inga synpunkter på bedömningen. Biobank Sverige önskar framföra att dagens problematik kvarstår för regionerna, som huvudmän för biobankerna, gällande att tillhandahålla prov för medicinsk forskning utifrån uppgifter i de nationella hälsodataregistren. De uppgifter som är aktuella för hantering enligt utredningens förslag är i huvudsak uppgifter för vilka hälso- och sjukvårdssekretess gäller. Eftersom statistiksekretess gäller med stark sekretess för uppgifter i de nationella hälsodataregistren föreligger ofta hinder för t.ex. regioner att ta emot dessa uppgifter mot bakgrund av principerna om primär och sekundär sekretess. Region Östergötland påtalar att eftersom uppgifter i de nationella hälsodataregistren skyddas av absolut sekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400), OSL, så innebär det att de som huvudregel inte lämnas ut. Uppgifterna kommer således ha en starkare sekretess efter det att de har rapporterats in till Socialstyrelsen jämfört med vad de har hos den vårdgivare som ursprungligen har rapporterat in dem. Detta innebär att i de fall regionen vill ta del av de uppgifter som de har rapporterat in till Socialstyrelsen så kan detta inte ske med enkelhet.
Skälen för regeringens bedömning
Sekretess och tystnadsplikt Offentlighetsprincipen innebär att var och en har rätt att ta del av allmänna handlingar hos en myndighet förutsatt att handlingarna inte omfattas av sekretess. Allmänna handlingars offentlighet regleras i 2 kap. tryckfrihetsförordningen (TF) och gäller i vissa fall även privaträttsliga organ, t.ex. kommunala bolag och stiftelser enligt 2 kap. 3 § OSL. I 6 kap. 5 § OSL finns en informationsskyldighet mellan myndigheter som innebär att en myndighet på begäran av en annan myndighet ska lämna uppgift som den förfogar över, om uppgiften inte är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Denna informationsskyldighet är en precisering av den allmänna samverkansskyldigheten som gäller för myndigheter enligt 8 § förvaltningslagen (2017:900). Med sekretess avses ett förbud att röja en uppgift, vare sig det sker muntligen, genom att en allmän handling lämnas ut eller på något annat sätt (3 kap. 1 § OSL). I offentlighets- och sekretesslagen regleras också sekretess mellan myndigheter. En uppgift för vilken sekretess gäller får inte röjas för andra myndigheter, om inte annat anges i offentlighets- och sekretesslagen eller i lag eller förordning som offentlighets- och sekretesslagen hänvisar till (8 kap. 1 § OSL). Enligt 8 kap. 2 § OSL gäller vad som föreskrivs om sekretess mot andra myndigheter i 1 § och vad som föreskrivs i andra bestämmelser i offentlighets- och sekretesslagen om uppgiftslämnande till andra myndigheter och överföring av sekretess mellan myndigheter, också mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra. I patientsäkerhetslagen (2010:659) finns bestämmelser om tystnadsplikt för personal verksamma hos privata vårdgivare. I avsnitt 7.14 föreslår regeringen en uppgiftsskyldighet för vårdgivare och statliga myndigheter att lämna de uppgifter som de förfogar över och
85som behövs i ett hälsodataregister. En sådan uppgiftsskyldighet har en sekretessbrytande verkan (10 kap. 28 § OSL). En motsvarande bestämmelse för privata vårdgivare följer av 6 kap. 12 § patientsäkerhetslagen. De uppgifter som kommer att lämnas med stöd av uppgiftsskyldigheten är uppgifter som i många fall omfattas av stark sekretess hos utlämnande aktör (se avsnitt 7.14). Det är därför viktigt att uppgifterna fortsatt skyddas av sekretess när de förs över till ett hälsodataregister.
Sekretess hos registeransvarig myndighet Uppgifter i de hälsodataregister som förs med stöd av lagen om hälsodataregister kan omfattas av den s.k. statistiksekretessen i 24 kap. 8 § OSL. Enligt bestämmelsen gäller sekretess i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Med särskild verksamhet menas verksamhet som är skild från annan verksamhet hos myndigheten. Utmärkande är att verksamheten är organiserad som en egen enhet eller liknande (prop. 1979/80:2 del A s. 263). Den officiella statistikproduktionen som regleras i lagen (2001:99) om den officiella statistiken och förordningen (2001:100) om den officiella statistiken är ett typexempel för sådan särskild verksamhet. Socialstyrelsen är enligt bilagan till nämnda förordning statistikansvarig myndighet för hälso- och sjukvård och socialtjänst. Myndigheter kan dock även i andra fall än de som avses i förordningen om officiell statistik ha uppgifter avseende verksamhet med statistik (s.k. övrig statistik). Den s.k. statistiksekretessen är absolut och skyddar enligt bestämmelsen inte bara sådana uppgifter som innehåller identitetsbeteckningar som namn och personnummer på en enskild, utan även uppgifter som överhuvudtaget kan – direkt eller indirekt – hänföras till en viss enskild. Statistiksekretessen gäller för en uppgift oavsett varifrån den härrör eller hur den har kommit till myndigheten. Det är alltså inte ändamålet med uppgiften utan den verksamhet i vilken den förekommer som är avgörande (prop. 1979/80:2 s. 263). Uppgifter som lämnas till ett hälsodataregister med anledning av den föreslagna uppgiftsskyldigheten kommer således att omfattas av den starka statistiksekretessen i 24 kap. 8 § OSL. Från huvudregeln om absolut sekretess i statistikverksamhet finns ett antal undantag för att möjliggöra utlämnande för vissa särskilda syften. Undantagen avser bl.a. uppgifter som behövs för forsknings- eller statistikändamål samt uppgifter som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde. I dessa undantagsfall får uppgifter dock bara lämnas ut, om det står klart att uppgifterna kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men (se 24 kap. 8 § tredje stycket OSL). Vid en skadeprövning enligt 24 kap. 8 § tredje stycket OSL kan det sekretesskydd som de efterfrågade uppgifterna skulle få efter ett utlämnande vara av avgörande betydelse. Vid utlämnande till en annan myndighet behöver de olika sekretessregler som kan bli aktuella hos den myndigheten beaktas. Lämnas exempelvis uppgifter till en myndighet i dess forskningsverksamhet överförs sekretessen dit, om uppgifterna inte omfattas av en annan sekretessbestämmelse till skydd för samma intresse
86hos den mottagande myndigheten (jfr 11 kap. 3 och 8 §§ OSL). Om uppgifterna omfattas av svagare sekretesskydd än statistiksekretessen hos mottagaren, kan det i sig innebära att det inte står klart att de kan lämnas ut utan risk för skada eller men. Enligt Biobank Sverige innebär utredningens förslag inte några utökade möjligheter för en registeransvarig myndighet att lämna ut personuppgifter i förhållande till vad som gäller i dag med anledning av dagens sekretessreglering. Även Region Östergötland framför att om regionen vill ta del av de uppgifter som regionen har rapporterat in till Socialstyrelsen så kan det inte ske enkelt eftersom uppgifterna kommer att ha ett starkare sekretesskydd hos Socialstyrelsen jämfört med vad uppgifterna har hos den vårdgivare som har rapporterat in dem. Regeringen delar Biobank Sveriges och Region Östergötlands uppfattning att den starka statistiksekretess som gäller för uppgifter i hälsodataregister kan medföra begränsningar för utlämnande, även i situationer där en region önskar ta del av sina egna inrapporterade uppgifter. Samtidigt är det just ett starkt sekretesskydd hos den registeransvariga myndigheten som möjliggör att omfattande och känsliga uppgifter kan samlas in till nationella register för ändamål av högt samhälleligt intresse. Det är därför av central betydelse att uppgifterna även fortsättningsvis omfattas av ett starkt sekretesskydd hos registermyndigheten. Regeringen konstaterar att det redan i dag finns vissa begränsade möjligheter till utlämnande av uppgifter från statistikverksamhet, bl.a. för uppgifter som inte är direkt hänförliga till den enskilde eller utlämnande för forsknings- och statistikändamål efter skadeprövning (24 kap. 8 § tredje stycket OSL) samt genom regler om överföring av sekretess vid utlämnande till myndigheters forskningsverksamhet (jfr 11 kap. OSL). I många fall kan behovet av underlag tillgodoses genom statistik eller andra sammanställningar på aggregerad nivå. Frågor om sekundär användning av hälsodata för t.ex. forskning och andra samhällsändamål hanteras inom ramen för uppdraget om att möjliggöra en nationell digital infrastruktur för hälsodata (S 2024:A). Vid utlämnande av uppgifter till andra än myndigheter omfattas uppgifterna som regel inte av någon sekretessbestämmelse hos mottagaren. Ett möjligt sätt att undanröja risken för skada eller men kan vara att förena utlämnandet med ett förbehåll enligt 10 kap. 14 § OSL som inskränker en enskild fysisk persons rätt att lämna uppgiften vidare eller utnyttja den. Om mottagaren inte följer de villkor som uppställs i förbehållet kan han eller hon göra sig skyldig till brott mot tystnadsplikten (20 kap. 3 § brottsbalken). Uppgifter som lämnas till ett hälsodataregister med anledning av uppgiftsskyldigheten kommer således att omfattas av den starka statistiksekretessen i 24 kap. 8 § OSL. Enligt regeringens bedömning kommer uppgifterna därför att omfattas av ett tillräckligt sekretesskydd hos den registeransvariga myndigheten.
Offentlighetsprincipens förhållande till EU:s dataskyddsförordning Bestämmelserna i EU:s dataskyddsförordning ska inte tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen (artiklarna 85 och 86 i EU:s dataskydds-förordning, se även 1 kap. 7 § dataskyddslagen). Den svenska regleringen av rätten att ta
87del av allmänna handlingar enligt tryckfrihetsförordningen ges därmed företräde framför rätten till skydd av personuppgifter enligt dataskyddsförordningen. Det finns en tydlig samverkan mellan bestämmelserna i EU:s dataskyddsförordning och bestämmelser som innebär en begränsning av rätten att ta del av allmänna handlingar. Bestämmelserna i offentlighetsoch sekretesslagen är därmed en grundläggande del av skyddet för personuppgifter i svensk rätt. Lagen innehåller även en särskild bestämmelse som föreskriver sekretess för personuppgifter, om det kan antas att uppgifterna efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen (21 kap. 7 § OSL). Om en myndighet bedömer att det kan antas att personuppgifter efter ett utlämnande kommer att behandlas i strid med gällande dataskyddsreglering kan alltså myndigheten neka att lämna ut personuppgifterna, även om de inte omfattas av sekretess enligt någon annan bestämmelse i offentlighets- och sekretesslagen. Rätten att ta del av allmänna handlingar enligt tryckfrihetsförordningen gäller endast i förhållande till enskilda och är inte tillämplig när myndigheter lämnar uppgifter sinsemellan. Detta innebär att när en myndighet lämnar personuppgifter till en annan myndighet omfattas denna behandling av regleringen i EU:s dataskyddsförordning och kompletterande nationell dataskyddsreglering. Uppgiftslämnande mellan myndigheter omfattas därmed som utgångspunkt av bestämmelserna i EU:s dataskyddsförordning, däribland de grundläggande principerna för personuppgiftsbehandling (se artikel 5 i EU:s dataskyddsförordning).
Den befintliga sekretesslagstiftningen ger ett tillräckligt skydd Sammanfattningsvis anser regeringen att den befintliga sekretesslagstiftningen ger ett tillräckligt skydd för de uppgifter som kommer att behandlas i ett hälsodataregister med anledning av förslagen i denna lagrådsremiss.
9 Samlad integritets- och
proportionalitetsanalys
Regeringens bedömning
Den personuppgiftsbehandling som möjliggörs genom förslagen utgör en proportionerlig inskränkning av det skydd för den personliga integriteten som finns i regeringsformen, den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna samt Europeiska unionens stadga om de grundläggande rättigheterna. Förslagen är förenliga med kraven på proportionalitet i EU:s dataskyddsförordning.
Utredningens bedömning
Bedömningen från utredningen stämmer överens med regeringens.
88Remissinstanserna
Flertalet remissinstanser instämmer i eller har inga synpunkter på bedömningen. Västra Götalandsregionen anser att det inte är tydligt om utredaren avsett att göra en godtagbar konsekvensbedömning enligt artikel 35 i EU:s dataskyddsförordning, så att varken Socialstyrelsen, eller någon annan personuppgiftsansvarig, och inte heller de inrapporterande vårdgivarna behöver göra några konsekvensbedömningar eftersom det finns risk att aktörerna kommer fram till olika slutsatser om och hur personuppgifter kan behandlas och lämnas ut.
Skälen för regeringens bedömning
Utgångspunkter vid bedömning av förslagets påverkan på den personliga integriteten och proportionalitet Förslaget om en lag om hälsodataregister inklusive bestämmelserna om uppgiftsskyldighet innebär att registeransvarig myndighet ges utökade möjligheter att samla in och behandla känsliga personuppgifter både sett till antal personuppgifter och antalet registrerade. I avsnitt 6 konstateras att den behandling av personuppgifter som registeransvarig myndighet behöver utföra, och som möjliggörs genom förslagen i denna lagrådsremiss, kan innebära ett betydande intrång i den enskildes personliga integritet. I några av de tidigare avsnitten beskrivs hur de föreslagna bestämmelserna bedöms bidra till att skydda den personliga integriteten (se t.ex. avsnitt 7.11). Även de behov som ligger till grund för förslagen redovisas, inbegripet bl.a. en bedömning av att den registeransvariga myndigheten utför en uppgift av allmänt intresse. I detta avsnitt görs en bredare och mer samlad bedömning av integritetsoch proportionalitetsaspekter av förslagen i lagrådsremissen. Respekten för individens självbestämmande och integritet är grundläggande i en demokrati. Någon enhetlig definition av begreppet personlig integritet finns inte. Regeringen uttalade dock i samband med den senaste utvidgningen av integritetsskyddet i regeringsformen (RF) att en rimlig utgångspunkt för bedömningen av behovet av ett utökat skydd för den personliga integriteten var att den skulle ske utifrån den enskildes intresse av att skydda information om sina personliga förhållanden (prop. 2009/10:80 s. 175). Vissa faktorer har ansetts särskilt viktiga att ta hänsyn till när det gäller att bedöma integritetskänsligheten vid helt eller delvis automatiserad behandling av personuppgifter. Det gäller arten av personuppgifter som samlas in och registreras, varför detta görs, hur och av vem uppgifterna används samt mängden av uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgängliga för bearbetningar och sammanställningar. Även rådande samhällsvärderingar kan ha viss påverkan på vilken reglering och begränsning av behandlingen av personuppgifter som är nödvändig för att skydda den personliga integriteten (se t.ex. prop. 2005/06:173 s. 15 och prop. 2022/23:34 s. 162).
Begränsningar i skyddet för den personliga integriteten får göras I avsnitt 6 bedömer regeringen att den behandling av personuppgifter som utförs i hälsodataregister i vissa fall kommer att innebära ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra
89stycket RF. I avsnitt 7.14 görs motsvarande bedömning av den personuppgiftsbehandling som följer av förslaget om ny och utökad uppgiftsskyldighet. Skyddet för den personliga integriteten är inte absolut och kan under vissa förutsättningar begränsas. En begränsning måste ske genom lag (2 kap. 20 § RF). Det grundlagsreglerade integritetsskyddet innebär också att begränsningar i skyddet får göras endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar (2 kap. 21 § RF). Vid en inskränkning av skyddet ska det alltså göras en proportionalitetsbedömning där integritetsriskerna med personuppgiftsbehandlingen vägs mot de fördelar behandlingen kan leda till. En behandling av personuppgifter är bara tillåten om fördelarna med den står i rimlig proportion till nackdelarna. I detta ingår att bedöma om behandlingen av personuppgifter är nödvändig utifrån det avsedda ändamålet och om det finns alternativ som är mindre integritetskänsliga. Behandlingen av personuppgifter berör även rätten till respekt för privatlivet enligt artikel 8.1 i den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna, här benämnd Europakonventionen. Enligt den artikeln har var och en rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens. Europakonventionen gäller som svensk lag genom lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna. Enligt 2 kap. 19 § RF får inte lag eller annan föreskrift meddelas i strid med Sveriges åtaganden på grund av Europakonventionen. Av artikel 8.2 i Europakonventionen följer att rätten till skydd för privatlivet inte får inskränkas annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till den nationella säkerheten, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller skydd för hälsa eller moral eller för andra personers fri- och rättigheter. I artiklarna 3, 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02), här benämnd EU:s rättighetsstadga, slås det fast att var och en har rätt till fysisk och mental integritet, respekt för sitt privat- och familjeliv, sin bostad och sina kommunikationer samt skydd av de personuppgifter som rör honom eller henne. Av artikel 52.3 i stadgan följer att i den mån stadgan omfattar rättigheter som motsvarar sådana som garanteras av Europakonventionen ska de ha samma innebörd och räckvidd som enligt konventionen. Bestämmelsen hindrar dock inte unionsrätten från att tillförsäkra ett mer långtgående skydd. I EU:s rättighetsstadga är utgångspunkten att en inskränkning av rättigheter och friheter enligt stadgan endast får göras i lag och måste vara förenlig med det väsentliga innehållet i de rättigheter och friheter som erkänns i stadgan. Begränsningar får med beaktande av proportionalitetsprincipen endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter (artikel 52.1). Även EU:s dataskyddsförordning förutsätter att proportionalitetsbedömningar görs vid behandling av personuppgifter. Den rättsliga 89
90grunden som avser rättslig förpliktelse (artikel 6.1 c) och uppgift av allmänt intresse (artikel 6.1 e) ska vara proportionerlig mot det legitima mål som eftersträvas (artikel 6.3 andra stycket). Behandling av känsliga personuppgifter enligt artikel 9.2 g och j är endast tillåten om behandlingen står i proportion till det eftersträvade syftet. Rätten till skydd för den personliga integriteten måste även enligt skälen i EU:s dataskyddsförordning förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter utifrån proportionalitetsprincipen (skäl 4). För att det ska vara befogat att införa en ny och utökad möjlighet för behandling av personuppgifter i hälsodataregister på det sätt som föreslås måste behovet av behandlingen väga tyngre än den enskildes intresse av skydd för den personliga integriteten. Behandlingen ska alltså stå i rimlig proportion till det integritetsintrång den medför. En förutsättning för att göra en sådan proportionalitetsbedömning är att riskerna för den personliga integriteten har identifierats. Genom att införa skyddsåtgärder som begränsar den tillåtna behandlingen kan behovet av behandling balanseras mot enskildas intresse av skydd för den personliga integriteten.
Integritetsrisker vid behandling av personuppgifter i hälsodataregister I befintliga hälsodataregister behandlas en betydande mängd personuppgifter. Den föreslagna lagen kommer möjliggöra för utökade uppgiftsinsamlingar från hälso- och sjukvården såsom uppgifter från öppen vård och uppgifter om rekvisitionsläkemedel, vilket kommer att medföra att både mängden uppgifter som behandlas per individ kommer att öka liksom antalet individer som registreras i ett hälsodataregister. Det innebär i sig en integritetsrisk, eftersom en omfattande behandling av personuppgifter generellt sett är förenad med större integritetsrisker än vad en mer begränsad behandling är. Merparten av de uppgifter som kommer att behandlas i hälsodataregistren är känsliga personuppgifter. Det handlar främst om att uppgifterna innehåller information om enskildas vård och hälsa. Därtill kan det förekomma uppgifter som direkt eller indirekt avslöjar ras eller etniskt ursprung, religiös övertygelse samt uppgifter om sexualliv eller sexuell läggning. Behandling av känsliga personuppgifter är förenad med särskilda integritetsrisker. Risken för otillbörlig användning och spridning av sådana uppgifter utanför den enskildes förtroendekrets kan uppfattas som särskilt känslig. Vid förlorad kontroll över uppgifterna skulle exempelvis hälsouppgifter kunna vidareförmedlas till någon som använder dem för att selektera bort personer med vissa hälsotillstånd i anställningsprocesser, höja försäkringspremier eller liknande som förutom integritetsintrånget i sig även kan leda till materiella nackdelar för den enskilde. Även behandling av sådana personuppgifter som inte är känsliga i EU:s dataskyddsförordnings mening kan vara förenad med integritetsrisker. Behandling av personnummer och andra personuppgifter som direkt kan hänföras till den registrerade kan utgöra en integritetsrisk eftersom det möjliggör samkörning av uppgifter som finns i olika källor och behandling för andra ändamål än de ursprungligen avsedda. En samling av flera personuppgifter som är av mindre känslig karaktär kan tillsammans skapa en integritetskänslig sammanställning om en person som kan ligga till grund för utökad kartläggning. Av denna anledning betraktas samkörning
91ofta som en särskilt integritetskänslig form av personuppgiftsbehandling. Eftersom den föreslagna lagen möjliggör en omfattande behandling av personuppgifter som även kommer att inbegripa samkörning finns alltså risken för sådana integritetskänsliga sammanställningar. I ett hälsodataregister kommer det också att finnas uppgifter om flera grupper med behov av särskilt skydd. Barns personuppgifter förtjänar t.ex. ett särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter (skäl 38 i EU:s dataskyddsförordning). Även personer med vissa kognitiva funktionsnedsättningar kan vara mindre medvetna om sådana faktorer. Dessutom kan äldre personer vara en sårbar grupp, vilket innebär att det kan vara svårt för dem att på ett enkelt sätt utöva sina rättigheter. Det finns också särskilt stora integritetsrisker vid personuppgiftsbehandling som rör personer med skyddade personuppgifter och personer som i övrigt är utsatta för våld eller förtryck. Personuppgifter som samlas in elektroniskt kan enkelt sammanställas och systematiseras vilket ger möjlighet att exempelvis kartlägga och övervaka enskilda individer, något som också ökar risken för integritetskränkningar. Uppgiftsinsamlingen i sig innebär därför en särskild integritetsrisk. De personuppgifter som behandlas i hälsodataregister kommer till övervägande del från vårdgivare. Behandlingen sker därmed för andra ändamål än det som uppgifterna ursprungligen samlats in för. Det innebär i sig en integritetsrisk eftersom den registrerade inte alltid kan förväntas förutse uppgiftsbehandlingen och därmed ha svårt att bedöma dess risker. För en enskild kan det vara svårt att till fullo överblicka vad insamlingen innebär i termer av hur dennes uppgifter kan komma att behandlas och av vem. Avsaknad av inblick i och förståelse för en personuppgiftsbehandling kan medföra en känsla av att förlora kontrollen över sina personuppgifter, vilket kan uppfattas som ett integritetsintrång. Den registrerade kan inte heller motsätta sig behandlingen. Därtill är det vanligt att uppgifter som behandlas i hälsodataregister lämnas ut till tredje part, exempelvis för användning i statistik- eller forskningsprojekt. Spridningen av uppgifterna till ett hälsodataregister innebär också en ökad risk för att personuppgifterna behandlas otillbörligt, t.ex. genom att uppgifter kan komma i orätta händer eller röjas i strid med gällande sekretessbestämmelser. Vid en obehörig befattning med uppgifterna är riskerna särskilt stora mot bakgrund av att stora mängder uppgifter är samlade hos en och samma aktör. På samma sätt som det inte kan uteslutas att någon som har berättigad tillgång till uppgifterna använder dem för ovidkommande eller otillåtna syften, går det inte utesluta att någon som inte har behörighet att ta del av uppgifterna ändå gör det. Här bör också betonas att även det förhållandet att någon tar del av mer information än vad den behöver för att utföra sina arbetsuppgifter ökar risken för otillåten behandling, obehörigt röjande och andra former av missbruk. Vid förlorad kontroll över uppgifterna, t.ex. vid en personuppgiftsincident eller otillbörlig åtkomst, kan uppgifterna komma att spridas till obehöriga och användas felaktigt exempelvis av försäkringsbolag, arbetsgivare eller andra aktörer med risk för diskriminering och beslut som påverkar den enskilde negativt. Eftersom hälsodataregister är personnummerbaserade finns även risk för otillåten sambearbetning med andra 91
92individbaserade uppgiftsmängder, vilket kan möjliggöra övervakning, kartläggning och andra allvarliga kränkningar. Sammantaget kan otillåten spridning leda till betydande integritetsintrång och svår överblickbara konsekvenser för en enskild.
Den föreslagna behandlingen är begränsad En strävan i förslaget om ett nytt regelverk för hälsodataregister är att det ska vara tydligt, transparent och förutsebart. Syftet är att tydliggöra gränserna för behandlingen av personuppgifter för den som har att tillämpa regelverket och att tydliggöra för registrerade varför deras personuppgifter samlas in, hur de behandlas och vilka övergripande åtgärder som vidtas för att skydda uppgifterna. I avsnitt 7.8 föreslås bestämmelser om ändamål för behandlingen av personuppgifter i ett hälsodataregister. De föreslagna ändamålen utgör en grundläggande begränsning av all behandling i ett hälsodataregister. Genom att det i lag fastställs för vilka ändamål personuppgifter får behandlas bestäms en yttersta ram för behandlingen, som endast kan ändras genom lag. Därtill gäller att en behandling för något av de tillåtna ändamålen ska ske i linje med syftet för hälsodataregistret, dvs. att bidra till ökad kunskap för att utveckla och förbättra hälso- och sjukvården samt stärka folkhälsan. Avsikten med syftes- och ändamålsbestämmelserna är bl.a. att öka tydligheten för registrerade i fråga om hur deras personuppgifter behandlas i hälsodataregister. En gemensam nämnare för de tillåtna ändamålen är att behandlingen av personuppgifter i princip uteslutande görs på aggregerad nivå. I avsnitt 7.10 föreslås en bestämmelse som sätter den yttersta ramen för vilka personuppgifter som får finnas i ett register. Endast vissa närmare angivna personuppgifter som behövs för ändamålen med registren får behandlas. Uppgiftskategorierna i lagen är av nödvändighet vida men kan avgränsas för respektive register i anslutande förordning. Att i den föreslagna lagen särskilt reglera vilka personuppgifter som får finnas i ett hälsodataregister samt de yttre ramarna för dessa säkerställer också att endast de uppgifter som behövs behandlas i hälsodataregistret. Förutom att en sådan reglering begränsar den tillåtna personuppgiftsbehandlingen förutsätter också regleringen ett noggrant övervägande av nödvändigheten och proportionaliteten av varje enskild personuppgift som föreslås få behandlas. En utökning av de personuppgifter som får behandlas förutsätter likaså att en sådan avvägning görs av riksdag eller regering. Denna reglering av innehållet bedöms därmed tillsammans med de föreslagna ändamålsbestämmelserna och den föreslagna syftesbestämmelsen i avsnitt 7.2 minska integritetsriskerna och därmed utgöra en skyddsåtgärd. För att ytterligare befästa den yttre gränsen för tillåten behandling föreslås i avsnitt 7.11.1 en användningsbegränsning som klargör att uppgifterna inte får behandlas i syfte att vidta en åtgärd i fråga om en registrerad. Begränsningen inbegriper ett förbud mot sökning på personuppgifter i syfte att vidta en sådan åtgärd. Bestämmelsen utgör också en yttersta gräns vid tillämpningen av finalitetsprincipen och därmed också ett skydd mot att uppgifter i hälsodataregister används som beslutsunderlag eller på annat sätt som maktmedel för att påverka en enskild individ.
93Behandling av känsliga personuppgifter i hälsodataregister är en förutsättning för att det överhuvud taget ska vara relevant att föra ett sådant register. I avsnitt 7.10.2 föreslås att känsliga personuppgifter ska få behandlas om det är nödvändigt för ändamålet med behandlingen, vilket innebär en begränsning i hur känsliga personuppgifter får behandlas i hälsodataregister. I avsnitt 7.10.3 föreslås en begränsning för när uppgifter om lagöverträdelser får behandlas. Sådan behandling får utföras endast om den är absolut nödvändig. Den personuppgiftsansvarige måste särskilt noggrant överväga behovet av att samla in sådana uppgifter mot de integritetsrisker det medför.
Föreslagna skyddsåtgärder begränsar riskerna I lagen om hälsodataregister föreslås flera skyddsåtgärder för att säkerställa ett starkt skydd för uppgifterna och minska risken för otillbörliga kränkningar av enskildas personliga integritet. En sådan åtgärd är förslaget i avsnitt 7.5 om att regelverket även ska gälla för behandling av uppgifter om avlidna. Det kravet bedöms stärka skyddet även för de personuppgifter som behandlas i ett hälsodataregister eftersom uppgifter om en avliden, enskilt eller i kombination med andra uppgifter, kan bära information om nu levande personer. I avsnitt 7.11.2 föreslås att åtkomst till personuppgifter i ett hälsodataregister ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Dessutom att åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Förslaget om begränsad åtkomst till personuppgifterna säkerställer ett aktivt arbete med s.k. behörighetsstyrning. Det bör endast vara ett begränsat antal medarbetare hos den myndighet som ansvarar för ett hälsodataregister som har ett behov av att ta del av de personuppgifter som finns i ett hälsodataregister. Det bör i många fall även vara tillräckligt för dem som arbetar med att exempelvis ta fram statistiskt underlag för analys att ta del av uppgifter som inte är direkt hänförliga till den registrerade. Kravet på att regelbundet kontrollera och följa upp åtkomsten till personuppgifter bidrar till att missbruk av behörigheter, intrång och andra säkerhetsrisker kan förebyggas och upptäckas i ett tidigt skede, vilket minskar risken för att personuppgifter används på ett sätt som de inte var avsedda för vid insamlingen. Risken minskar också för att personuppgiftsincidenter i övrigt inträffar. Bestämmelsen utgör därmed en skyddsåtgärd. Även de föreslagna bestämmelserna i avsnitt 7.9 om elektroniskt utlämnande bör betraktas som en skydds- och integritetshöjande åtgärd eftersom en sådan bestämmelse tydliggör och säkerställer att det alltid görs en lämplighetsavvägning innan personuppgifter lämnas ut elektroniskt. Utöver de skyddsåtgärder som föreslås i lagen om hälsodataregister gäller de krav som följer av den generella dataskyddsregleringen. Den personuppgiftsansvarige ska enligt artikel 24 i EU:s dataskyddsförordning vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen sker i enlighet med förordningen. Mot bakgrund av hälsodataregistrens känsliga karaktär innebär det högt ställda krav för att skydda uppgifterna. Det kan handla om att uppgifterna ska behandlas i en it-miljö som är fysiskt och tekniskt separerad från myndig-
94hetens övriga system. Åtkomst till uppgifterna ska vara starkt begränsad och föregås av säkra funktioner för autentisering. Dessutom bör direkt utpekande personuppgifter endast behandlas när det finns motiverade skäl. I övriga fall bör uppgifterna pseudonymiseras eller skyddas på motsvarande sätt. Kravet på inbyggt dataskydd och dataskydd som standard samt krav på att vidta lämpliga tekniska och organisatoriska skyddsåtgärder för att säkerställa en lämplig säkerhetsnivå följer också av artiklarna 25 och 32 i EU:s dataskyddsförordning. Den registeransvariga myndigheten har alltså ett ansvar för att säkerställa skyddet för de uppgifter som myndigheten kommer att behandla. Utöver detta kommer hälsodataregistren, precis som i dag, att hanteras i en särskild statistikverksamhet. Det innebär att uppgifterna som utgångspunkt omfattas av absolut sekretess. Sekretessen gäller både i förhållande till myndighetens övriga verksamhetsgrenar och mot tredje man, vilket ytterligare förhindrar spridningen av personuppgifter. Sekretessen är starkare hos den registeransvariga myndigheten än hos de aktörer som genom den föreslagna uppgiftsskyldigheten ska lämna uppgifter till ett hälsodataregister.
Behovet av personuppgiftsbehandlingen och proportionalitet Hälsodataregister har funnits under lång tid och har inrättats utifrån behov av att kunna beskriva och hantera såväl generella som specifika samhällsutmaningar inom hälso- och sjukvårdsområdet. Samtidigt som hälsodataregister är en unik källa för utveckling och förbättring av hälso- och sjukvården utgör behandlingen av personuppgifter ett intrång i enskildas personliga integritet. Ett sådant intrång måste vägas mot behoven av att behandla uppgifterna i ett hälsodataregister. Den reglering av personuppgiftsbehandling som föreslås i denna lagrådsremiss syftar till att balansera en registeransvarig myndighets behov av att utföra sina författningsreglerade uppgifter på ett ändamålsenligt sätt samtidigt som regleringen syftar till att upprätthålla ett starkt skydd för den personliga integriteten. Förslaget till ny lag om hälsodataregister är utformad för att kunna reglera både befintliga och framtida hälsodataregister. Regeringen avser att återkomma i frågan om vilka myndigheter som bör vara registeransvariga enligt den nya regleringen. Utgångspunkten är dock att ansvaret över befintliga register kommer att vara detsamma även med den nya regleringen. Socialstyrelsen fullgör viktiga samhällsuppgifter genom att ta fram kunskapsunderlag på bl.a. hälso- och sjukvårds- och tandvårdsområdet. I myndighetens uppdrag ingår att följa, analysera och rapportera om hälsooch sjukvård och hälsa genom statistikframställning, uppföljning, utvärdering och epidemiologiska studier. Det kan handla om att följa upp patienters lika tillgång till vård och läkemedel och att utvärdera följsamheten till behandlingsrekommendationer eller nationella riktlinjer. Ändamålsenliga underlag och utvärderingar bidrar till utveckling och förbättring av hälso- och sjukvården och ger förutsättningar att nå de politiska målen om en tillgänglig, jämlik och jämställd hälso- och sjukvård som är behovsanpassad, effektiv och av god kvalitet. För Socialstyrelsen är det nödvändigt att samla in och behandla personuppgifter i hälsodataregister för att kunna fullgöra sitt uppdrag på ett ändamålsenligt sätt. Den utökade
95insamlingen av uppgifter från öppenvården som förslaget till ny lag om hälsodataregister möjliggör skapar nya förutsättningar att följa upp olika patientgruppers samlade vårdprocesser och vårdkedjor, oavsett inom vilken vårdnivå patienten utreds, vårdas eller behandlas. Uppgifterna behövs för att skapa heltäckande data som kan ligga till grund för utveckling samt ökad kvalitet och effektivitet i svensk hälso- och sjukvård. Detta skapar mervärde för samhället i stort och för hälso- och sjukvårdsverksamheterna, inklusive medarbetare och patienter. Den utökade uppgiftsinsamlingen möjliggör också mer träffsäker uppföljning av vårdens tillgänglighet och bidrar till ökad kvalitet vid utvärdering av om vården är jämlik och jämställd i hela landet. Förslaget kommer även att möjliggöra en utökad insamling av bl.a. uppgifter om rekvisitionsläkemedel, vilket i sin tur kommer att skapa nya möjligheter att utvärdera om läkemedelsanvändningen i befolkningen är jämlik och jämställd i landet, oavsett inom vilken region patienten får vård och behandling. I rollen som statistikansvarig myndighet ansvarar Socialstyrelsen för den officiella statistiken avseende hälsa och sjukdomar samt hälso- och sjukvården. Myndigheten måste kunna behandla personuppgifter för att ta fram kvalitativ och relevant statistik och rapportera data och statistik inom ramen för Sveriges internationella åtaganden. Med förslagen om utökade möjligheter till insamling av uppgifter från öppenvården och om rekvisitionsläkemedel, finns det goda förutsättningar att få en helhetsbild av hälsoutvecklingen för befolkningen i stort och för specifika patientgrupper. Det skapar dessutom förutsättningar att göra bredare jämförelser och identifiera geografiska skillnader, skillnader mellan kön och olika åldersgrupper när det gäller såväl läkemedelsanvändning som vårdens tillgänglighet. Hälsodataregister är också av särskild betydelse för Socialstyrelsens uppdrag inom forsknings- och utvecklingsarbete. Tillgången till personnummerbaserade data är en grundläggande förutsättning för forskningsprojekt som är beroende av att kunna samköra data, både från olika hälsodataregister och med andra statliga och regionala register eller egeninsamlade data. Den utökade uppgiftsinsamlingen, i kombination med de uppgifter som redan finns i hälsodataregister, gynnar forskningshuvudmän som på ett effektivt sätt kan få tillgång till nödvändiga uppgifter av hög kvalitet. En effekt av den utökade uppgiftsinsamlingen är att även andra statliga myndigheter, som Folkhälsomyndigheten, Läkemedelsverket och Tandvårds- och läkemedelsförmånsverket, får bättre förutsättningar att genomföra sina författningsreglerade uppgifter. På liknande sätt skapas också bättre förutsättningar för exempelvis läkemedelsbolag att göra säkerhetsuppföljningar av läkemedel som har godkänts för försäljning. De ändamål för vilket det är tillåtet att behandla personuppgifter i hälsodataregister kräver stora volymer data. Att behandlingen skulle kunna ske på annat sätt än digitalt är helt uteslutet. För att Socialstyrelsen ska kunna fullgöra sitt uppdrag krävs därför användning av digitala verktyg och en automatiserad behandling av personuppgifter. Det bedöms inte finnas några alternativ som är mindre integritetskänsliga. Det regelverk som föreslås skapar en balans mellan behovet av att behandla personuppgifter i hälsodataregister i syfte att utveckla och förbättra hälso- och sjukvården samt stärka folkhälsan, och enskildas behov av skydd för sin personliga integritet. De uppgifter som förslås ska få behandlas bedöms vara 95
96adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. De skyddsåtgärder som föreslås bidrar till att minska risken för integritetsintrång. Även det dataskyddsrättsliga regelverket i övrigt i kombination med sekretesslagstiftningen bedöms bidra till ett starkt skydd för den personliga integriteten. Mot bakgrund av detta skydd samt det starka intresset av att Socialstyrelsen kan fullgöra sina uppgifter på ett ändamålsenligt sätt, bedömer regeringen det nödvändigt och proportionerligt att myndigheten får behandla personuppgifter för de föreslagna ändamålen och inom de övriga ramar som anges i den föreslagna regleringen. Den personuppgiftsbehandling som möjliggörs av förslagen utgör enligt regeringens bedömning en proportionerlig inskränkning av det skydd för den personliga integriteten som finns i regeringsformen, Europakonventionen samt EU:s rättighetsstadga. Förslagen bedöms även vara förenliga med kraven på proportionalitet enligt EU:s dataskyddsförordning. Det krävs därmed inte någon ytterligare reglering i dataskyddsrättsligt hänseende.
Konsekvensbedömning av dataskydd Västra Götalandsregionen anser att det inte är tydligt om utredaren avsett att göra en godtagbar konsekvensbedömning enligt artikel 35 i EU:s dataskyddsförordning. Regeringen konstaterar att den föreslagna lagen om hälsodataregister, tillsammans med annan dataskyddsreglering, anger ramarna för den personuppgiftsbehandling som får utföras i hälsodataregister. De överväganden som redovisas här är alltså inte avsedda att utgöra en sådan konsekvensbedömning som ersätter kravet på en konsekvensbedömning avseende dataskydd enligt EU:s dataskyddsförordning. En konsekvensbedömning görs bäst av den registeransvariga myndigheten eftersom det ytterst är upp till myndigheten att besluta om de närmare förutsättningarna för behandlingen, t.ex. när det gäller vilken teknik och vilka säkerhetslösningar som ska användas.
10 Följdändringar
Regeringens förslag
I lagen om läkarvårdsersättning ska hänvisningen till lagen om hälsodataregister ersättas med en hänvisning till den nya lagen. I lagen om ersättning för fysioterapi ska upplysas om att det i lagen om hälsodataregister finns bestämmelser om uppgiftsskyldighet för en vårdgivare.
Utredningens förslag
Förslaget från utredningen stämmer i sak överens med regeringens, men har en annan språklig utformning.
97Remissinstanserna
Ingen remissinstans har framfört synpunkter på förslagen.
Skälen för regeringens förslag
Lagen (1993:1651) om läkarvårdsersättning innehåller bestämmelser om vissa ersättningar till läkare i privat verksamhet i primärvård och den öppna hälso- och sjukvården i övrigt och om patientavgifter i samband därmed. I 26 § den lagen anges att det av 6 § lagen (1998:543) om hälsodataregister följer att läkaren också ska lämna uppgifter till hälsodataregister. I förarbetena till lagen om läkarvårdsersättning anges att bestämmelsen behövs mot bakgrund av en låg inrapporteringsfrekvens från privatpraktiserande läkare (prop. 2008/09:64 s. 77). Med anledning av att den föreslagna lagen om hälsodataregister kommer att möjliggöra en utökad uppgiftsinsamling från öppenvården anser regeringen, i likhet med utredningen, att det är angeläget att upplysningen om uppgiftsskyldighet i lagen om läkarvårdsersättning kvarstår. Hänvisningen till den nuvarande lagen om hälsodataregister bör därför ersättas med en motsvarande hänvisning till den föreslagna lagen om hälsodataregister. Lagen (1993:1652) om ersättning för fysioterapi innehåller bestämmelser om vissa ersättningar till fysioterapeuter i privat verksamhet i den öppna hälso- och sjukvården och om patientavgifter i samband därmed (fysioterapiersättning). Med anledningen av att den föreslagna lagen kommer att möjliggöra en utökad uppgiftsinsamling från öppenvården kommer även fysioterapeuter, såväl inom den specialiserade öppenvården som inom primärvården att omfattas. Mot denna bakgrund är det angeläget att fysioterapeuter i privat verksamhet uppmärksammas på den författningsreglerade uppgiftsskyldigheten som följer av lagen om hälsodataregister. Regeringen anser därför, i likhet med utredningen, att det i lagen om ersättning för fysioterapi ska föras in en upplysning om att det i lagen om hälsodataregister finns bestämmelser om uppgiftsskyldighet för en vårdgivare.
11 Ikraftträdande- och
övergångsbestämmelser
Regeringens förslag
Den nya lagen och lagändringarna ska träda i kraft den 1 juli 2027. Den nuvarande lagen om hälsodataregister ska samtidigt upphöra att gälla.
Regeringens bedömning
Det behövs inte några övergångsbestämmelser.
98Utredningens förslag och bedömning
Förslaget och bedömningen från utredningen stämmer delvis överens med regeringens. Utredningen föreslår att lagförslagen ska träda i kraft den 1 oktober 2025.
Remissinstanserna
Flera remissinstanser avstyrker eller har synpunkter på förslaget. Bland annat anser flera remissinstanser, däribland Region Härjedalen Jämtland , Region Västerbotten, Region Kronoberg och Linköping kommun att tiden fram till ikraftträdandet är för kort. Till exempel Region Kronoberg uppger att regionen kommer att behöva minst tolv månader för att implementera tekniska funktioner och förändrade arbetssätt för vårdpersonal från det att regionen vet vilka variabellistor som ska rapporteras in till Socialstyrelsen. Region Västerbotten framhåller att regionen kommer fokuseras på implementering och utbildning av sitt nya vårdinformationssystem under 2025, vilket innebär att berörda regioner i SUSSA-samarbetet och systemleverantörer kommer att ha mycket begränsad förmåga att arbeta för genomförande av utredningens förslag innan full funktionalitet har säkerställts i det nya vårdinformationssystemet. Inspektionen för vård och omsorg (IVO) framhåller att det är viktigt att både beakta vårdgivarnas förutsättningar och att skapa goda förutsättningar inför tillämpningen av förordningen om det europeiska hälsodataområdet (EHDS-förordningen). En för snar tidpunkt kan skapa onödig belastning för rapporterande verksamheter, inte minst mot bakgrund av att många regioner är på väg att byta journalsystem. Även Umeå universitet påpekar att invändningar vad gäller ikraftträdande bör beaktas om dessa handlar om samordning med EHDS-förordningen och förändringar av journalsystem som innebär att flera aktörer får svårt att klara ett införande från den 1 oktober 2025. Sveriges Kommuner och Regioner (SKR) framför att det är viktigt att utgå från befintlig rapportering och förordar ett stegvis införande av förslaget till lag beträffande de uppgifter som ska samlas in från nya uppgiftslämnare vilket inkluderar regioner, kommuner och privata vårdgivare. Enligt SKR kommer kommuner och privata vårdgivare sannolikt behöva ett senare ikraftträdande datum. Även SciLifeLab bedömer att vårdgivarna sannolikt kommer att behöva längre tid för att förbereda sina system för överföring av begärda uppgifter.
Skälen för regeringens förslag och bedömning
Förslaget till ny lag kommer möjliggöra för nya och utökade uppgiftsinsamlingar som kommer kräva visst omställningsarbete för aktörerna. Som flera remissinstanser påpekar är det därför viktigt att tid ges till att förbereda inför detta. Som IVO och Umeå universitet framför är det också viktig att skapa goda förutsättningar inför tillämpningen av förordningen om det europeiska hälsodataområdet (EHDS-förordningen). Enligt regeringen är det angeläget att den nya lagen träder i kraft så snart som möjligt med hänsyn tagen till dessa faktorer. Lagen utformas som en ramlag av generell karaktär och detaljerna om hur uppgiftsskyldigheten ska fullgöras kommer att följa av föreskrifter på
99en lägre normgivningsnivå. Det innebär att den utökade insamlingen kommer att ske först när dessa föreskrifter är på plats. Regeringen har därför gett Socialstyrelsen ett uppdrag att förbereda för den utökade insamlingen samt att ta fram förslag till föreskrifter i nära dialog med berörda aktörer (S2025/00940). Uppdraget ska slutredovisas före utgången av april 2026. Inom ramen för Socialstyrelsens föreskriftsarbete behöver myndigheten i övrigt utreda konsekvenserna förslagen i enlighet med förordningen (2024:183) om konsekvensutredningar. Mot denna bakgrund anser regeringen att den nya lagen och lagändringarna bör träda i kraft den 1 juli 2027. Vid samma tidpunkt ska den nuvarande lagen om hälsodataregister upphöra att gälla. I likhet med utredningen anser regeringen att det saknas behov av några övergångsbestämmelser.
12 Konsekvenser
12.1 Ekonomiska konsekvenser
Ekonomiska konsekvenser för Socialstyrelsen Regeringen konstaterar inledningsvis att förslagen i denna lagrådsremiss innebär ökade krav på Socialstyrelsen. Förslaget att utöka insamlingen av uppgifter från öppenvården kommer ge upphov till initiala anpassningskostnader för Socialstyrelsen, men på sikt leda till effektivare uppföljning. För Socialstyrelsen innebär den utökade uppgiftsinsamlingen från öppenvården både en engångskostnad och en löpande kostnad. Socialstyrelsen uppskattar engångskostnaden för att bygga de tekniska och organisatoriska funktionerna till 23 miljoner kronor och de löpande kostnaderna till 16 miljoner kronor per år. Utredningen bedömer kostnaderna som rimliga. Beroende på ambitionsnivån kan dock utfallet variera. Socialstyrelsen uppskattar kostnaden för det initiala utvecklingsarbetet för ett nytt register om rekvisitionsläkemedel till cirka 4 miljoner kronor. Den årliga löpande kostnaden för bl.a. utökat uppgiftsutlämnande och för att ta fram nya statistikprodukter uppskattar myndigheten till cirka 1,5 miljoner kronor. Västra Götalandsregionen , Lif och Forte framhåller behovet av att Socialstyrelsen får erforderliga resurser och att investeringar som krävs får anses vara väl motiverade ur ett samhällsekonomiskt perspektiv. Regeringen instämmer i remissinstansernas synpunkt att det är viktigt att Socialstyrelsen tillförs tillräckliga resurser för att kunna fullgöra uppdraget på ett ändamålsenligt sätt, vilket även innefattar att kunna ge regionerna det stöd som krävs för en kvalitetssäkrad och jämförbar rapportering. Regeringen konstaterar att investeringarna kommer möjliggöra en uppföljning av vårdens tillgänglighet och patientsäkerhet som inte tidigare varit möjlig eftersom det saknats nationella data från majoriteten av öppenvården och uppgifter om rekvisitionsläkemedel. Dessutom bedömer regeringen att kostnaderna bedöms som rimliga och att de står i proportion till de nyttor som insamlingen kommer medföra. Socialstyrelsen har under 2026 tillförts 26 miljoner kronor för att genomföra 99
100förberedelser för ett nytt regelverk om hälsodataregister och en utökad insamling av uppgifter (S2026/00384).
Ekonomiska konsekvenser för vårdgivare Enligt utredningen ser regionerna inga särskilda tekniska utmaningar med att anpassa sina journalsystem till en utökad uppgiftsinsamling från öppenvården. Samtliga uppgifter som kan komma att behöva rapporteras registreras redan i dag. Det finns dock behov av ett visst förberedelsearbete för att exempelvis extrahera uppgifter och införa en löpande inrapportering till patientregistret. Kostnaden för en sådan arbetsinsats anger de flesta regioner som marginell, upp till cirka 1 miljon kronor per region. Regionerna framför också att medarbetare behöver utbildas. Den uppskattade kostnaden för en sådan utbildningsinsats skiljer sig åt mellan regionerna. Kostnadsuppskattningarna för denna insats uppgår till allt från noll till fem miljoner kronor. När det gäller ökad löpande kostnad för itförvaltning bedömer de flesta regioner att någon sådan inte uppstår eller att den är ytterst marginell, upp till cirka 100 000 kronor per region och år. För några regioner kan det däremot uppstå ökade löpande kostnader för att kvalitetssäkra uppgifter. De regionerna uppskattar den årliga kostnaden till mellan 1,2 och 3,5 miljoner kronor. Mikroföretagen, dvs. små företag med färre än tio anställda, anger till utredningen att i princip alla de uppgifter som kan komma att omfattas av den utökade insamlingen redan i dag registreras i journalsystemen. Om journalsystemsleverantörerna erbjuder funktionalitet som stöder inrapportering av uppgifter eller om regionen rapporterar in uppgifterna i de fall företagens uppgifter finns i regionens system, bedömer mikroföretagen de eventuella kostnaderna som marginella. De större privata vårdgivarna använder primärt regionernas olika journalsystem och förutsätter därmed att regionerna fortsättningsvis kommer rapportera in de uppgifter som omfattas av den utökade insamlingen från regionernas journalsystem. För de delar av verksamheten som inte använder regionernas journalsystem anser vårdgivarna att de egna systemen kan behöva anpassas. De större privata vårdgivarna behöver göra förberedande arbetsinsatser för att bl.a. extrahera uppgifter. Enligt utredning är engångskostnaden för arbetet marginellt och företagen uppskattar den till som mest cirka 500 000 kronor. Offentliga vårdgivare i samtliga regioner berörs av förslaget om insamling av rekvisitionsläkemedel och åtminstone tusen privata vårdgivare kan komma omfattas av insamlingen. Enligt utredningen är ingen vårdgivare beredd att uppskatta kostnaderna för att rapportera uppgifter om rekvisitionsläkemedel till ett nytt hälsodataregister. Svårigheten att göra kostnadsuppskattningar beror bl.a. på att vårdgivarna saknar kunskap om vilken it-utveckling som krävs för att uppnå en effektiv och ändamålsenlig rapportering, vilket även understryks av Funktionsrätt Sverige. Remissinstansen understryker även risken för ökad administrativ tidsåtgång per vårdkontakt och på ökade samhällskostnader hänförliga till utveckling och anpassning av it-system för sådan rapportering. Regelrådet anser att beskrivningen av påverkan på bl.a. företagens kostnader inte är tillräckligt tydlig och anser att särskild hänsyn ska tas till de små företagen. Flera regioner och kommuner påpekar att anpassnings-
101åtgärder kommer innebära kostnadsökningar och förutsätter att finansieringsprincipen tillämpas i de fall regionerna får ökade kostnader, det gäller bl.a. Region Jönköpings län, Region Halland, Region Jämtland Härjedalen, Region Värmland, Region Kronoberg samt Stockholms stad, Burlövs och Linköpings kommun . Sveriges Kommuner och Regioner (SKR) anser att förslagen innebär en höjd ambitionsnivå för inrapportering från kommuner, regioner och privata vårdgivare samt att nya insamlingar och tekniska lösningar krävs och att sådana ambitionshöjningar ska omfattas av finansieringsprincipen. SKR vänder sig mot att utredningen helt överlämnar till Socialstyrelsen att beräkna vad reformen kostar. Regeringen instämmer delvis i regelrådets bedömning att konsekvenserna för små företag inte är utredda i tillräcklig utsträckning. Regeringen konstaterar dock att EHDS-förordningen ställer krav på interoperabilitet som kommer att gälla redan från mars 2029 för vissa prioriterade kategorier av elektroniska hälsodata. Dessa datamängder sammanfaller i stor utsträckning med de uppgifter som Socialstyrelsen ska samla in. Regeringen bedömer därför att de föreslagna bestämmelserna endast får begränsade ytterligare ekonomiska konsekvenser för berörda företag. Regeringen delar utredningens slutsats att det inte finns skäl att göra någon reglering i enlighet med finansieringsprincipen inte ska gälla för den utökade uppgiftsinsamlingen. Den kostnadsökning som följer av den höjda ambitionsnivån bedöms som begränsad och i huvudsak hänförlig till engångsanpassningar och initiala utbildningsinsatser. Regeringen konstaterar att utredningen har inhämtat kostnadsuppskattningar från majoriteten av regionerna.. Regeringen avser att följa upp och utvärdera konsekvenserna av reformen. Arbetet ska genomföras i nära dialog med regioner och kommuner samt andra uppgiftslämnare och utformas så att inrapporteringen blir enhetlig, enkel och kostnadseffektiv samt så långt som möjligt undviker en ökad administrativ belastning för hälso- och sjukvården. Myndigheten ska även ta hänsyn till kommande EU-krav på bl.a. interoperabilitet. Fullgörandet av uppgiftsskyldigheten kommer alltså att preciseras inom ramen för Socialstyrelsens föreskriftsarbete. Socialstyrelsen kommer då att bedöma konsekvenserna enligt förordning (2024:182) om konsekvensutredningar.
12.2 Samhällsekonomiska konsekvenser
Hälsodata av god kvalitet är av central betydelse för att skapa ändamålsenlig statistik, bedriva forskning, bidra till Sveriges konkurrenskraft inom life science och att göra uppföljningar av hög kvalitet som kan utgöra underlag för ny kunskap, innovation och förändrade arbetssätt till nytta för såväl patienter som för hälso- och sjukvården. Tillgång till relevanta data är också centralt för att kunna utforma träffsäkra åtgärder vid exempelvis samhällskriser, som en pandemi. Genom att skapa rättsliga förutsättningar för att samla in uppgifter från fler vårdkontakter oavsett vårdnivå skapas möjligheter att få en mer fullständig bild av hälso- och sjukvården i Sverige. Därigenom blir det möjligt att följa upp och utvärdera vårdens kvalitet och effekt samt vid behov vidareutveckla kunskapsstöd till
102vårdgivarna. Det skapas också bättre förutsättningar för att få en fullständig bild av vårdens tillgänglighet och vårdkonsumtionen över landet. Samtidigt bör det beaktas att en utökad informationsdelning och rapportering kan medföra ökad administration för vårdgivare och hälsooch sjukvårdspersonal. Om sådana krav inte utformas på ett ändamålsenligt och proportionerligt sätt finns en risk att resurser tas i anspråk från annan hälso- och sjukvård, inklusive patientnära arbete och andra angelägna utvecklings- och uppföljningsinsatser. Från ett styrningsperspektiv skapar uppgiftsinsamlingen bättre förutsättningar att ta fram välgrundade beslutsunderlag som bidrar till en ändamålsenlig och kostnadseffektiv hälso- och sjukvård. Den utökade uppgiftsinsamlingen ger bättre förutsättningar för att följa upp väntetider och vårdköer. En tillförlitlig uppföljning av väntetider förutsätter att relevanta uppgifter kan kopplas till enskilda patienter genom personnummer eller motsvarande unik identifierare. Genom att insamlingen till patientregistret utökas med uppgifter från fler delar av öppenvården skapas bättre möjligheter att följa vårdkontakter och vårdförlopp över tid. Detta kan i sin tur ge ett mer ändamålsenligt underlag för analyser av vårdens tillgänglighet och för beslut om riktade åtgärder. En utökad uppgiftsinsamling blir också en värdefull och efterfrågad källa som bidrar till möjligheter att bedriva forskning i världsklass. Behovet av att samla in uppgifter om rekvisitionsläkemedel på nationell nivå är känt sedan länge. Detaljerade uppgifter om rekvisitionsläkemedel behövs bl.a. för studier av läkemedelssäkerhet samt för beslut om användning och uppföljning av dessa läkemedel. Ett flertal statliga myndigheter samt regioner, läkemedelsföretag och forskare har ett omfattande och angeläget behov av att följa upp den läkemedelsanvändning som sker inom hälso- och sjukvården för att bl.a. möjliggöra en kostnadseffektiv och ändamålsenlig läkemedelsanvändning. Uppgifterna kan också bidra till att skapa kunskapsunderlag som stöder en kostnadseffektiv och ändamålsenlig utveckling av hälso- och sjukvården samtidigt som den kan bidra till förutsättningar att ge den enskilde patienten bästa möjliga vård och behandling. Sammantaget bedömer regeringen att förslagen har positiva samhällsekonomiska konsekvenser, men att genomförandet bör ske med tydligt fokus på att begränsa den administrativa bördan. Detta för att reformen i onödan inte tränger undan resurser från vårdens kärnuppdrag.
12.3 Konsekvenser för den kommunala självstyrelsen
I lagrådsremissen föreslås att regioner och kommuner, i egenskap av vårdgivare, blir skyldiga att lämna uppgifter till ett hälsodataregister i större utsträckning än i dag. Enligt 14 kap. 3 § regeringsformen bör en inskränkning i den kommunala självstyrelsen inte gå utöver vad som är nödvändigt med hänsyn till de ändamål som föranlett den. Det innebär att eventuella inskränkningar i den kommunala självstyrelsen ska prövas mot de nationella intressen som den föreslagna regleringen ska tillgodose.
103För att säkerställa att nödvändiga uppgifter kommer in till hälsodataregistren bedöms det vara nödvändigt att reglera en uppgiftsskyldighet i författning. Eftersom skyldigheten rör regioner behöver regleringen göras i lag. Det finns redan enligt nuvarande lagstiftning en sådan skyldighet. Det är således inte fråga om en ny inskränkning av självstyrelsen utan endast en marginell inskränkning i form av ökad ambitionsnivå. Denna inskränkning måste vägas mot förslagens syfte, dvs. att stärka den nationella statistiken och möjliggöra kunskapsunderlag av god kvalitet för att utveckla och förbättra hälso- och sjukvården. I förlängningen bidrar uppgiftsskyldigheten till högre kvalitet i hälso- och sjukvården. Regeringen anser sammantaget att den inskränkning i den kommunala självstyrelsen som förslaget medför är proportionerligt i förhållande till regleringens ändamål i enlighet med 14 kap. 3 § regeringsformen.
12.4 Övriga konsekvenser
Regeringen bedömer att lagförslaget inte får några konsekvenser för sysselsättning och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till stora företags villkor. Brottsligheten och det brottsförebyggande arbetet förväntas inte påverkas varken positivt eller negativt av förslaget. Med förslaget får myndigheter goda möjligheter att analysera hälsorelaterade aspekter av jämställdhet och integration, exempelvis skillnader i hälsa, vårdbehov, vårdkonsumtion och tillgång till vård. Sådana analyser kan bidra till bättre beslutsunderlag i de delar av jämställdhets- och integrationspolitiken som berör hälso- och sjukvården. I övrigt är författningsförslaget könsneutralt utformat och förväntas inte få några negativa konsekvenser för jämställdheten mellan kvinnor och män. Förslaget bedöms inte heller få några negativa konsekvenser för möjligheten att nå de integrationspolitiska målen. Enligt FN:s konvention om barnets rättigheter får barn inte utsättas för godtyckliga eller olagliga ingripanden i sitt privat- och familjeliv (artikel 16.1) och vid alla åtgärder som barn ska i första hand beaktas vad som bedöms vara barnets bästa (artikel 3.1). I skäl 38 till EU:s dataskyddsförordning framhålls även att barns personuppgifter förtjänar ett särskilt skydd. Barnombudsmannen och Barncancerfonden saknar hänvisningar till barnets rättigheter och till barnkonventionen i betänkandet liksom analyser av konsekvenser för barn och barns rättigheter. Även Region Blekinge saknar barnrättsperspektivet. Regeringen konstaterar att den föreslagna regleringen kan innebära att personuppgifter om barn behandlas. Regeringen gör bedömningen att de begränsningar och skyddsåtgärder som följer av den föreslagna lagen ger ett tillräckligt och proportionerligt integritetsskydd för barn. Vid bedömningen av barnets bästa beaktar regeringen att behandlingen av uppgifter i hälsodataregister syftar till att skapa kunskapsunderlag som kan bidra till att utveckla och förbättra hälso- och sjukvården, inklusive vården av barn, och därigenom stärka patientsäkerheten. En mer heltäckande och kvalitetssäkrad uppföljning av barns vård kan möjliggöra tidigare upptäckt av
104brister och bättre jämförelser samt förbättringsinsatser. Samtidigt innebär behandlingen ett integritetsintrång som måste begränsas till vad som är nödvändigt och omgärdas av ändamålsbegränsning, uppgiftsminimering och starka sekretess- och säkerhetsåtgärder. Regeringen bedömer sammantaget att den föreslagna regleringen är proportionerlig i förhållande till de ändamål som eftersträvas och att den utformning som föreslås innebär att den personuppgiftsbehandling som avser barn inte går utöver vad som är nödvändigt för att uppnå syftet. Regelrådet anser att utredningen inte redovisar behovet av särskilda informationsinsatser till berörda aktörer i samband med ikraftträdandet. När det gäller informationsinsatser bedömer regeringen att sådana i huvudsak är en genomförandefråga som normalt inte regleras i lag, utan som bör hanteras inom ramen för myndigheternas föreskrifter, vägledningar och kommunikationsplaner. Regeringen utgår därför från att berörda myndigheter planerar och genomför målinriktade informationsoch stödinsatser till berörda aktörer vid ikraftträdandet.
13 Författningskommentar
13.1 Förslaget till lag om hälsodataregister
1 kap. Inledande bestämmelser
Lagens syfte och tillämpningsområde
1 § Syftet med denna lag är dels att ge en central statlig myndighet möjlighet att behandla personuppgifter i ett hälsodataregister på ett ändamålsenligt sätt, dels att skydda människor mot att deras personliga integritet kränks vid behandlingen.
Paragrafen anger lagens syfte och tillämpningsområde. Övervägandena finns i avsnitt 7.1. Av bestämmelsen följer att lagen endast är tillämplig på en central statlig myndighets behandling av personuppgifter i ett hälsodataregister. Med det avses en myndighet med ett nationellt verksamhetsområde. Lagen ska således inte tillämpas på register som förs av en regional eller kommunal myndighet i en viss region eller kommun eller av statliga myndigheter med regionala uppgifter eller universitet. Vad som avses med ett hälsodataregister framgår av 3 §. Definitioner av begreppen personuppgifter och behandling finns i artikel 4.1 och 4.2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
2 § Syftet med ett hälsodataregister är att bidra till ökad kunskap för att utveckla och förbättra hälso- och sjukvården samt stärka folkhälsan.
I paragrafen anges det övergripande syftet med ett hälsodataregister. 104 Övervägandena finns i avsnitt 7.2.
105Bestämmelsen utgör en yttre ram för den behandling av personuppgifter som kan utföras med stöd av lagen. Vad som avses med hälsodataregister framgår av 3 §. Uttrycket hälso- och sjukvård bör ha en dynamisk innebörd i förhållande till insamling av uppgifter till ett hälsodataregister. Hälso- och sjukvård ska därför som utgångspunkt omfatta all vård och behandling eller andra närliggande åtgärder som vidtas inom ramen för en vårdkontakt hos en vårdgivare. Karaktären på hälso- och sjukvården, exempelvis om den är medicinskt motiverad eller inte, om den är hälsofrämjande, förebyggande eller behandlande, bör inte tillmätas någon betydelse. Med hälso-och sjukvård ska även förstås tandvård. Den närmare avgränsningen av vilka uppgifter som ska samlas in och från vilka verksamheter bör omhändertas på en lägre författningsnivå än lag. Folkhälsa är ett samlingsbegrepp för hela befolkningens hälsa. Av skäl 54 till EU:s dataskyddsförordning framgår att begreppet folkhälsa ska tolkas enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbetet, nämligen alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker. I dag har ordet funktionshinder en annan betydelse och den vedertagna termen som avses är funktionsnedsättning.
Ord och uttryck i lagen
3 § I lagen avses med – hälsodataregister : register som förs av en central statlig myndighet och som utgör en rikstäckande samling personuppgifter om enskildas vård och hälsa, – patient : person som fått, får eller är registrerad för att få hälso- och sjukvård, – vårdgivare : statlig myndighet, region, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård.
I paragrafen anges vad som avses med vissa ord och uttryck i lagen. Övervägandena finns i avsnitt 7.3. Utmärkande för ett hälsodataregister är att det innehåller personuppgifter om enskildas vård och hälsa. Vilka uppgifter om vård och hälsa som får ingå i ett hälsodataregister enligt lagen framgår av 2 kap. 5 § och författningskommentaren till den bestämmelsen. Ett hälsodataregister är rikstäckande, dvs. det innehåller uppgifter som samlas in på nationell nivå från samtliga berörda aktörer, främst vårdgivare, oavsett var i Sverige de är etablerade och vilken organisationsform de har. Ett hälsodataregister ska dessutom finnas hos en central statlig myndighet. Med det avses en myndighet med ett nationellt verksamhetsområde. Det innebär motsatsvis att hälsodataregister enligt denna lag inte kan föras av exempelvis en kommunal myndighet eller ett universitet. Med uttrycket patient avses en person som fått, får eller är registrerad att få hälso- och sjukvård. Uttrycket patient har samma innebörd som i 1 kap. 1 § lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation. 105
106En vårdgivare enligt denna lag är en fysisk eller juridisk person som yrkesmässigt bedriver hälso- och sjukvård. Det saknar betydelse vem som är huvudman eller på annat sätt ansvarig för den hälso- och sjukvårdsverksamhet som vårdgivaren bedriver och hur vården finansieras.
Förhållandet till annan dataskyddsreglering
4 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning. Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Paragrafen anger lagens förhållande till annan dataskyddsreglering. Övervägandena finns i avsnitt 7.4. I första stycket finns en upplysning om att lagen kompletterar EU:s dataskyddsförordning. Det innebär att lagen inte kan tillämpas fristående, utan endast tillsammans med EU:s dataskyddsförordning. EU:s dataskyddsförordning är direkt tillämplig men förutsätter eller tillåter i vissa avseenden nationella bestämmelser som kompletterar förordningen. Av andra stycket framgår lagens förhållande till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen. Dataskyddslagen, som kompletterar EU:s dataskyddsförordning på nationell generell nivå, är subsidiär i förhållande till denna lag. Bestämmelsen innebär att om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen, gäller dataskyddslagen.
Uppgifter om avlidna personer
5 § Vid behandling av uppgifter om avlidna personer ska följande reglering tillämpas: 1. denna lag och föreskrifter som har meddelats i anslutning till lagen, 2. EU:s dataskyddsförordning, och 3. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen.
Paragrafen reglerar vad som gäller vid behandling av uppgifter om avlidna personer. Övervägandena finns i avsnitt 7.5. I paragrafen slås fast att lagen och föreskrifter som har meddelats i anslutning till lagen ska tillämpas vid behandling av uppgifter om avlidna personer. Även EU:s dataskyddsförordning och dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen ska tillämpas vid behandling av sådana uppgifter. Genom paragrafen utvidgas därmed lagens tillämpningsområde i förhållande till EU:s dataskyddsförordning. En del av bestämmelserna i de författningar som listas kräver den registrerades aktiva medverkan. Det gäller t.ex. artiklarna i EU:s dataskyddsförordning om den registrerades rättigheter. Dessa och andra bestämmelser som kräver den registrerades medverkan kan av naturliga
107skäl inte tillämpas för uppgifter om avlidna personer. Paragrafen innebär inte att efterlevande och andra ges möjlighet att göra gällande rättigheter som tillkom den avlidne när denne var i livet. Bestämmelser som däremot ska tillämpas även vid behandling av uppgifter om avlidna personer är sådana som avser bl.a. ändamål för behandlingen, tillåtna rättsliga grunder och de grundläggande principerna i artikel 5 i EU:s dataskyddsförordning. Enligt 1 § lagen (1987:269) om kriterier för bestämmande av människans död är en människa död, dvs. avliden, när hjärnans samtliga funktioner totalt och oåterkalleligt har fallit bort.
2 kap. Behandling av personuppgifter
Personuppgiftsansvar
1 § Den myndighet som ansvarar för ett hälsodataregister är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till lagen.
Paragrafen reglerar den myndighet som är personuppgiftsansvarig för behandlingen av personuppgifter i ett hälsodataregister. Övervägandena finns i avsnitt 7.7. Av paragrafen framgår att den myndighet som ansvarar för ett hälsodataregister är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till lagen. I artikel 4.7 i EU:s dataskyddsförordning finns definitionen av personuppgiftsansvarig.
Ändamål
2 § Personuppgifter får behandlas i ett hälsodataregister om det är nödvändigt för att 1. framställa statistik, 2. framställa underlag för uppföljning, utvärdering och kvalitetssäkring, 3. utföra epidemiologiska studier, eller 4. bedriva forskning.
Paragrafen reglerar de primära ändamål som personuppgifter får behandlas för inom lagens tillämpningsområde. Övervägandena finns i avsnitt 7.8.2. Ändamålen avser att återspegla de behov av personuppgiftsbehandling som den registeransvariga myndigheten har för att kunna utföra sina uppgifter i ett hälsodataregister. De primära ändamålen ger tillsammans med den sekundära ändamålsbestämmelsen (2 kap. 3 §), bestämmelsen om finalitetsprincipen (2 kap. 4 §) och bestämmelsen om syftet med lagen (1 kap. 2 §) en ram för den personuppgiftsbehandling som är tillåten. Av paragrafen framgår att en grundläggande förutsättning för att behandla personuppgifter i ett hälsodataregister är att behandlingen är nödvändig för något av de uppräknade ändamålen. Kravet på nödvändighet innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen kan anses nödvändig och därmed tillåten, om behandlingen leder till effektivitetsvinster (prop. 2017/18:105 s. 189). Att behandlingen
108skulle kunna ske manuellt, dvs. utan tekniska hjälpmedel, medför därför inte per automatik att behandlingen inte anses nödvändig. I kravet på nödvändighet ligger dock att personuppgifter inte får behandlas om syftet med behandlingen kan uppnås lika bra med andra medel, till exempel genom att uppgifterna anonymiseras (jfr prop. 2017/18:232 s. 117). Enligt första punkten får personuppgifter i ett hälsodataregister behandlas för att framställa statistik. Med statistik avses både officiell statistik och annan statistik. Statistiska undersökningar som utgör en integrerad del av ett forskningsprojekt omfattas av ändamålet forskning i fjärde punkten. Enligt andra punkten får personuppgifter behandlas för att framställa underlag för uppföljning, utvärdering och kvalitetssäkring. Ett sådant underlag kan ha olika former och behöver inte vara beständigt till sin form. Underlag kan framställas i syfte att tillgodose den registeransvariga myndighetens egna behov eller andra aktörers behov. Med uppföljning avses exempelvis att på nationell nivå mäta och beskriva behov, verksamheter och resursåtgång inom hälso- och sjukvården. Uppföljning syftar bl.a. till att ge en överblick av utvecklingen inom hälso- och sjukvården och att identifiera avvikelser som bör beaktas. Med utvärdering avses bl.a. analys och värdering av kvalitet, effektivitet och resultat inom hälso- och sjukvården i förhållande till exempelvis nationella mål. Kvalitetssäkring är en utvärderingsprocess som fortlöpande och systematiskt beskriver, mäter och värderar kvaliteten i hälso- och sjukvårdsverksamhet, exempelvis i relation till de bestämda målen. Ändamålen i denna punkt är i viss utsträckning överlappande. Det innebär att en personuppgiftsbehandling kan innefatta exempelvis både uppföljning och kvalitetssäkring. Enligt tredje punkten får uppgifter behandlas i ett hälsodataregister för att utföra epidemiologiska studier. Epidemiologi är vetenskapen om hälsoförhållanden i befolkningen och de faktorer som påverkar eller bidrar till olika typer av ohälsa. Epidemiologin har en central betydelse för att påvisa riskfaktorer för en lång rad sjukdomar hos befolkningen och ge underlag till systematiskt genomförda försök med förebyggande insatser. I det fall en epidemiologisk studie bedrivs som ett forskningsprojekt omfattas behandlingen av ändamålet forskning i fjärde punkten. Enligt fjärde punkten får uppgifter i ett hälsodataregister behandlas för att bedriva forskning. Med forskning avses samma sak som i 2 § lagen (2003:460) om etikprövning av forskning som avser människor, (etikprövningslagen). Eftersom hälsodataregister till övervägande del består av s.k. känsliga personuppgifter enligt artikel 9.1 i EU:s dataskyddsförordning får personuppgifter behandlas för ändamålet forskning endast om forskningsprojektet godkänts vid en etikprövning enligt etikprövningslagen.
3 § Personuppgifter som behandlas enligt 2 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Paragrafen anger för vilka sekundära ändamål som personuppgifter får behandlas inom lagens tillämpningsområde. Övervägandena finns i avsnitt 7.8.3. Personuppgifter som behandlas för primära ändamål får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag
109eller förordning. Med detta avses att uppgiftslämnandet sker med stöd av bestämmelser som påbjuder eller tillåter utlämnande. Behandlingen förutsätter att uppgifterna redan är föremål för behandling enligt 2 kap. 2 §. Det kan t.ex. röra sig om en uttrycklig uppgiftsskyldighet (10 kap. 28 § offentlighets- och sekretesslagen [2009:400], OSL) eller om skyldigheten för en myndighet att på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång (6 kap. 5 § OSL).
4 § Personuppgifter som behandlas enligt 2 § får även behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med de ändamål som uppgifterna samlades in för.
Paragrafen innehåller en bestämmelse om den s.k. finalitetsprincipen i EU:s dataskyddsförordning. Övervägandena finns i avsnitt 7.8.4. Bestämmelsen tydliggör att finalitetsprincipen i artikel 5.1 b i EU:s dataskyddsförordning gäller vid behandling av personuppgifter enligt lagen. Behandling av personuppgifter enligt paragrafen förutsätter att uppgifterna som ska behandlas redan har samlats in i ett hälsodataregister för något av de primära ändamålen i 2 kap. 2 §. Bestämmelsen är utformad i nära anslutning till artikel 5.1 b i EU:s dataskyddsförordning och bör tolkas på samma sätt. Det innebär bl.a. att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i förordningen inte ska anses vara oförenlig med de ursprungliga ändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 i EU:s dataskyddsförordning ska beaktas vid bedömningen av om behandlingen är förenlig med finalitetsprincipen. Bestämmelsen medför t.ex. att det kan vara tillåtet att samköra uppgifter i hälsodataregister med uppgifter från andra register, som kvalitetsregister, eller med uppgifter som samlats in genom enkäter under förutsättning att ändamålet med en sådan behandling inte är oförenligt med de ändamål som anges i 2 §.
Elektroniskt utlämnande av personuppgifter
5 § Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst, om det inte är olämpligt.
Paragrafen reglerar förutsättningarna för elektroniskt utlämnande av personuppgifter. Övervägandena finns i avsnitt 7.9. Enligt paragrafen får personuppgifter lämnas ut elektroniskt på annat sätt än genom direktåtkomst, om det inte är olämpligt. Ett elektroniskt utlämnande av personuppgifter måste vara förenligt med kraven i EU:s dataskyddsförordning på säkerhet och skydd av personuppgifter. Det innebär att det som utgångspunkt inte är tillåtet att lämna ut känsliga personuppgifter via vanlig e-post. Personuppgifter i ett hälsodataregister får inte lämnas ut genom direktåtkomst. Direktåtkomst innebär att en mottagare har direkt tillgång till någon annans register eller databas och därigenom på egen hand kan ta del av information (se HFD 2015 ref. 61). Som exempel på annat elektroniskt utlämnande än genom direktåtkomst
110kan nämnas utlämnande på usb-minne eller genom e-post. Den form för utlämnande som sannolikt är mest vanlig vid överföring av större informationsmängder är dock direkt överföring från ett datorsystem till ett annat (jfr prop. 2022/23:34 s. 209). För att elektroniskt utlämnande ska vara tillåtet krävs även att sådant lämnande inte är olämpligt. En bedömning av om det är olämpligt att lämna ut uppgifterna elektroniskt ska göras i varje enskilt fall. Vid lämplighetsbedömningen har det bl.a. betydelse vem mottagaren är och vad syftet med utlämnandet är. Typiskt sett bör det inte anses vara olämpligt att lämna ut uppgifter elektroniskt till en myndighet. Lämplighetsprövningen blir särskilt viktig när utlämnandet ska ske till enskild och det på grund av personuppgifternas art, struktur, antal eller någon annan särskild omständighet finns anledning att befara att utlämnandet i förlängningen kan leda till integritetsrisker. Vid prövningen av om personuppgifter bör lämnas ut elektroniskt bör även informationssäkerheten, dvs. säkerheten hos mottagaren, vägas in (jfr prop. 2014/15:148 s. 114 och prop. 2020/21:224 s. 188).
Tillåtet innehåll i ett hälsodataregister
6 § Uppgifter i ett hälsodataregister ska gälla hälso- och sjukvård eller folkhälsa. I ett sådant register får det endast finnas uppgifter 1. om en patient, 2. om en vårdåtgärd som en patient har fått eller ska få, 3. av medicinsk betydelse, och 4. av administrativ karaktär. Om det är absolut nödvändigt får det i ett hälsodataregister också finnas uppgifter om en närstående till en patient. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka personuppgifter som får finnas i ett register som regleras i lagen.
I paragrafen regleras innehållet i ett hälsodataregister. Övervägandena finns i avsnitt 7.10.1. Första stycket specificerar den yttre ramen för de personuppgifter som kan behandlas i ett hälsodataregister genom att uttömmande reglera de övergripande uppgiftskategorier som får finnas i ett register. Regleringen ska läsas tillsammans med bestämmelsen om tillåtna ändamål i 2 kap. 2 § och syftesbestämmelsen i 1 kap. 2 §. Uppgifter i ett hälsodataregister ska gälla hälso- och sjukvård eller folkhälsa. Enligt första punkten får ett hälsodataregister innehålla uppgifter om en patient. Vad som avses med en patient framgår av 1 kap. 3 §. Med uppgift om en patient avses grundläggande information om patientens identitet, bosättning och andra relevanta levnadsförhållanden. Det kan exempelvis vara personnummer eller motsvarande identifikationsuppgifter, medborgarskap, civilstånd, folkbokföringsort och födelseort. Enligt andra punkten får ett hälsodataregister innehålla uppgifter om en vårdåtgärd som en patient har fått eller ska få. I uttrycket vårdåtgärd, som inkluderar åtgärder inom tandvården, ingår insatser som vidtas i syfte att medicinskt förebygga, utreda och behandla sjukdomar och skador. En förebyggande insats kan avse en vårdåtgärd som syftar till att bevara god hälsa och förhindra uppkomst av sjukdom, skada eller försämrat hälsotillstånd. Till dessa åtgärder hör bl.a. allmänna och riktade hälsokontroller,
111vaccinationer samt mödra- och barnhälsovård. En insats av medicinskt utredande karaktär kan vara att hämta in och analysera relevant information och fatta beslut om vilken åtgärd som ska vidtas, exempelvis utfärda en remiss eller ordinera en sjukskrivning. Att medicinskt behandla en sjukdom och skada inkluderar åtgärder som syftar till att förebygga ohälsa samt bevara eller förbättra patientens hälsotillstånd, exempelvis läkemedelsbehandling eller medicinteknisk behandling. Uttrycket vårdåtgärd omfattar även sådana insatser som inte alltid är medicinskt motiverade för patienten, såsom en åtgärd som vidtas efter att patienten avlidit, exempelvis vid organdonation. Enligt tredje punkten får uppgifter av medicinsk betydelse finnas i ett hälsodataregister. Denna uppgiftskategori avser företrädesvis sådan information som en vårdgivare är skyldig att dokumentera i en patientjournal enligt 3 kap. patientdatalagen (2008:355). I uppgiftskategorin ingår typiskt sett information om aktuellt hälsotillstånd, symtom, diagnos, funktionstillstånd, ordination, tandhälsa, medicinsk bedömning och andra observationer. Dessutom ingår uppgift om ordinerat och föreskrivet eller administrerat läkemedel, liksom andra uppgifter om pågående medicinering eller genomförd vaccinering. Uppgiftskategorin inkluderar också information som delvis kan vara av mer livsstilsrelaterad karaktär, som bruk av nikotin och alkohol samt längd och vikt. I vissa fall kan en uppgift om tidpunkt vara av medicinsk betydelse, t.ex. i fråga om tidsangivelser för när ett rekvisitionsläkemedel har administrerats till patient. Enligt fjärde punkten får uppgifter av administrativ karaktär finnas i ett hälsodataregister. Med detta avses rent administrativa förhållanden som anknyter till eller på annat sätt är relevant för de övriga uppgiftskategorier som får finnas i ett hälsodataregister. Det kan vara information om exempelvis vårdgivaren, om hälso- och sjukvårdspersonalen, om vårdkontakten eller om ett läkemedel som ordinerats till patient. Information som typiskt sett är av administrativ karaktär är uppgift om vårdenhet, klinik eller kommun. Även uppgift om på vilket sätt en vårdkontakt har genomförts, exempelvis via distanskontakt eller via hemsjukvård, och av vem, exempelvis läkare eller sjuksköterska, ingår i uppgiftskategorin. En uppgift om vid vilken tidpunkt en åtgärd har vidtagits eller en vårdkontakt har genomförts är i normalfallet av administrativ karaktär. Det kan avse uppgift om när i tid en patient bokat en vårdkontakt och när kontakten genomförts. I uppgiftskategorin ingår också information om vårdkostnader och hur vården är finansierad. Enligt andra stycket får, om det är absolut nödvändigt, uppgifter om en närstående till patienten finnas i ett hälsodataregister. Med närstående avses i första hand familjen och andra anhöriga, men även andra, som t.ex. mycket nära vänner, kan i det enskilda fallet vara att anse som närstående. Kravet på att uppgiften ska vara absolut nödvändig för att få behandlas i ett hälsodataregister innebär inte att personuppgifter får behandlas endast i absoluta undantagsfall, utan avser att markera att behandlingen ska ske med restriktivitet och att behovet av att behandla personuppgiften ska prövas noga i det enskilda ärendet (jfr prop. 2015/16:65 s. 81, prop. 2019/20:113 s. 28 och 29 och prop. 2023/24:29 s. 100). I tredje stycket finns en upplysningsbestämmelse om att regeringen kan meddela föreskrifter om vilka personuppgifter som ska få finnas i ett hälsodataregister. 111
1127 § Sådana känsliga personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning får behandlas om det är nödvändigt med hänsyn till ändamålet med behandlingen.
Paragrafen reglerar möjligheten till behandling av känsliga personuppgifter. Övervägandena finns i avsnitt 7.10.2. Bestämmelsen reglerar behandling av sådana känsliga personuppgifter som enligt artikel 9.1 i EU:s dataskyddsförordning inte får behandlas. I artikel 9.2 finns ett antal undantag, som trots förbudet i vissa fall tillåter behandling av personuppgifter. Behandling av känsliga personuppgifter i ett hälsodataregister kan således ske om det är nödvändigt av hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g, om det är nödvändigt av skäl som hör samman med förebyggande hälso- och sjukvård m.m. enligt artikel 9.2 h, om det är nödvändigt av skäl av allmänt intresse på folkhälsoområdet enligt artikel 9.2 i eller om det är nödvändigt för forskningsändamål eller statistikändamål enligt artikel 9.2 j. För forskningsprojekt som innefattar behandling av känsliga personuppgifter krävs också att projektet har godkänts vid en etikprövning (2, 3 och 6 §§ lagen [2003:460] om etikprövning av forskning som avser människor). De personuppgifter som registeransvarig myndighet får behandla med stöd av bestämmelsen är sådana som avses i artikel 9.1 i EU:s dataskyddsförordning, dvs. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Definitioner av genetiska och biometriska uppgifter samt uppgifter om hälsa finns i artikel 4.13, 4.14 och 4.15 i EU:s dataskyddsförordning. Undantagen kan i viss utsträckning vara överlappande och en personuppgiftsbehandling kan därför ha stöd i fler än ett av undantagen. Bestämmelsen ersätter de generella bestämmelserna i 3 kap. 3, 5 och 7 §§ dataskyddslagen om behandling av känsliga personuppgifter för ett viktigt allmänt intresse, social omsorg och statistik, vilka gäller när sektorspecifik reglering saknas. Känsliga personuppgifter får endast behandlas om det är nödvändigt med hänsyn till ändamålet med behandlingen. Det innebär att behandlingen måste kunna motiveras i varje enskilt fall. Nödvändighetsrekvisitet har samma innebörd som i 2 kap. 2 § (jfr prop. 2017/18:105 s. 75 och 76). Med uttrycket ändamålet med behandlingen avses behandling som utförs både med stöd av den primära och med stöd av den sekundära ändamålsbestämmelsen. Hänvisningen till EU:s dataskyddsförordning är dynamisk och avser alltså förordningen i dess vid varje tidpunkt gällande lydelsen.
8 § Sådana personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott som avses i artikel 10 i EU:s dataskyddsförordning får behandlas, om det är absolut nödvändigt med hänsyn till ändamålet med behandlingen.
113Paragrafen reglerar möjligheten till behandling av personuppgifter som rör lagöverträdelser. Övervägandena finns i avsnitt 7.10.3. Bestämmelsen förtydligar tillåtligheten av behandling av personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning, dvs. personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott. Personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott får behandlas i ett hälsodataregister om det är absolut nödvändigt med hänsyn till ändamålet med behandlingen. Det innebär att behandlingen måste kunna motiveras i varje enskilt fall. Att behandlingen ska vara absolut nödvändig innebär dock inte att den ska vara absolut oundgänglig (se författningskommentaren till 2 kap. 6 § andra stycket). I det fall insamling av uppgifter om lagöverträdelser uppstår som en oundviklig bieffekt vid insamling av andra uppgifter bör kravet på absolut nödvändigt i regel vara uppfyllt. Hänvisningen till EU:s dataskyddsförordning är dynamisk och avser alltså förordningen i den vid varje tidpunkt gällande lydelsen.
Användningsbegränsning
9 § Personuppgifter i ett hälsodataregister får inte behandlas i syfte att vidta en åtgärd i fråga om en registrerad. Förbudet gäller inte en behandling som är nödvändig för att handlägga en registrerads begäran om en rättighet som tillkommer honom eller henne enligt lag eller förordning.
Paragrafen innehåller ett förbud mot att behandla personuppgifter i ett hälsodataregister i syfte att vidta en åtgärd i fråga om en registrerad. Övervägandena finns i avsnitt 7.11.1. Enligt första stycket är det förbjudet att behandla personuppgifter i ett hälsodataregister i syfte att vidta en åtgärd i fråga om en registrerad. Definition av begreppet behandling finns i artikel 4.2 i EU:s dataskyddsförordning och innefattar all hantering av personuppgifter inklusive sökning. Uttrycket åtgärd i fråga om en registrerad ska ges en vid tolkning. Det kan vara en åtgärd som medför direkt rättsverkan för en registrerad, exempelvis genom beslut, men det innefattar även andra slag av åtgärder som mer indirekt kan påverka en registrerad. Det saknar betydelse huruvida åtgärdens effekt är till den registrerades fördel eller nackdel. Bestämmelsen tydliggör att finalitetsprincipen i 4 § aldrig kan ges en sådan vidsträckt tolkning att den ger stöd för att behandla personuppgifter i syfte att vidta en åtgärd som direkt påverkar den registrerade. En åtgärd i fråga om den registrerade omfattar inte utlämnande av personuppgifter till tredje man. Det är alltså tillåtet att söka på personuppgifter eller utföra annan nödvändig behandling i syfte att fullgöra ett uppgiftslämnande som följer av lag eller förordning. En åtgärd som utförs inom ramen för en registeransvarig myndighets interna registervård anses inte heller vidtas i fråga om en registrerad. Enligt andra stycket undantas sådana behandlingar som är nödvändiga för att handlägga en registrerads begäran om att utöva en rättighet som tillkommer denne enligt lag eller förordning.
114Åtkomst till personuppgifter
10 § Åtkomst till personuppgifter i ett hälsodataregister ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.
Paragrafen reglerar den interna tillgången till personuppgifter i ett hälsodataregister hos den myndighet som ansvarar för ett register. Övervägandena finns i avsnitt 7.11.2. Första stycket innebär att den registeransvariga myndigheten ska begränsa åtkomsten till personuppgifter i registret till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Uttrycket var och en inkluderar såväl tillsvidareanställd personal som personer med tidsbegränsade anställningar eller uppdrag vid den registeransvariga myndigheten. Myndigheten ska alltså aktivt ta ställning till vilket informationsbehov ett tjänsteåliggande eller uppdrag medför och tilldela den behörighet som behövs utifrån det. Myndigheten har ett ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter inte sprids utanför den krets av personer som behöver ha åtkomst till dessa för att kunna utföra sina arbetsuppgifter. Åtkomsten kan begränsas genom tekniska och organisatoriska åtgärder (jfr artikel 32 i EU:s dataskyddsförordning). Enligt andra stycket ska den registeransvariga myndigheten kontrollera och följa upp åtkomsten till personuppgifter regelbundet. Kontroller ska genomföras systematiskt och återkommande och inte bara när myndigheten av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit. Kontroll kan till exempel ske genom uppföljning av loggar i olika system.
3 kap. Skyldighet att lämna uppgifter till hälsodataregister
Uppgiftsskyldighet för en vårdgivare
1 § En vårdgivare ska till den myndighet som ansvarar för ett hälsodataregister lämna de uppgifter som vårdgivaren förfogar över och som behövs i ett hälsodataregister som förs enligt denna lag. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om vårdgivarens skyldighet enligt första stycket.
Paragrafen reglerar vårdgivares skyldighet att lämna uppgifter till ett hälsodataregister. Övervägandena finns i avsnitt 7.14. Första stycket innehåller en skyldighet för en vårdgivare att till en myndighet som ansvarar för ett hälsodataregister lämna de uppgifter som vårdgivaren förfogar över och som behövs i ett hälsodataregister som förs enligt lagen. Vilka aktörer som omfattas av uttrycket vårdgivare framgår av 1 kap. 3 §. Uppgifterna ska också behövas i ett hälsodataregister. Med detta avses att det endast är sådana uppgifter som får behandlas enligt lagen som avses. Det innebär bl.a. att uppgifterna ska bidra till ökad kunskap för att utveckla och förbättra hälso- och sjukvården samt stärka folkhälsan. Uppgifterna ska därtill vara nödvändiga för de ändamål som anges i 2 kap.
1152 §, och överensstämma med tillåtet innehåll i ett hälsodataregister enligt 2 kap. 6 §. Andra stycket innehåller en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om uppgiftsskyldigheten. Uttrycket närmare föreskrifter innebär att det är verkställighetsföreskrifter som avses. Föreskrifterna ska avse uppgifter som omfattas av uppgiftsskyldigheten enligt första stycket.
Uppgiftsskyldighet för statliga myndigheter
2 § En statlig myndighet ska till den myndighet som ansvarar för ett hälsodataregister lämna de uppgifter som myndigheten förfogar över och som behövs i ett hälsodataregister som förs enligt denna lag. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om en statlig myndighets skyldighet enligt första stycket.
Paragrafen reglerar statliga myndigheters, som inte är vårdgivare, skyldighet att lämna uppgifter till ett hälsodataregister. Övervägandena finns i avsnitt 7.14. Första stycket innehåller en skyldighet för en statlig myndighet att till ett hälsodataregister lämna de uppgifter som myndigheten förfogar över och som behövs i ett hälsodataregister. Det innebär att det endast är sådana uppgifter som får behandlas enligt lagen som avses, dvs. uppgifterna ska bidra till ökad kunskap för att utveckla och förbättra hälso- och sjukvården samt stärka folkhälsan. Uppgifterna ska därtill vara nödvändiga för de ändamål som anges i 2 kap. 2 §, och överensstämma med tillåtet innehåll i ett hälsodataregister enligt 2 kap.6 §. I andra stycket finns en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om uppgiftsskyldigheten. Uttrycket närmare föreskrifter innebär att det är verkställighetsföreskrifter som avses. Föreskrifterna ska avse uppgifter som omfattas av uppgiftsskyldigheten enligt första stycket.
13.2 Förslaget till lag om ändring i lagen (1993:1651) om läkarvårdsersättning
26 § En läkare som begär läkarvårdsersättning ska medverka till att den egna verksamheten kan följas upp och utvärderas. Läkaren ska årligen till regionen lämna en redovisning med uppgifter om mottagningens personal och medicintekniska utrustning samt om utförda vårdåtgärder och antalet patientbesök. Läkaren ska på begäran av regionen lämna upplysningar och visa upp patientjournal samt övrigt material som rör undersökning, vård eller behandling av en patient och som behövs för kontroll av begärd läkarvårdsersättning. I 3 kap. 1 § lagen (2026:000) om hälsodataregister finns bestämmelser om uppgiftsskyldighet för en vårdgivare .
I paragrafen regleras hur en läkare som begär läkarvårdsersättning ska medverka till att den egna verksamheten kan följas upp och utvärderas. Övervägandena finns i avsnitt 10.
116Tredje stycket ändras på så sätt att hänvisningen till den tidigare lagen om hälsodataregister ändras till den nya lagen om hälsodataregister. Övriga ändringar är endast språkliga.
13.3 Förslaget till lag om ändring i lagen (1993:1652) om ersättning för fysioterapi
25 § En fysioterapeut som begär fysioterapiersättning enligt denna lag ska medverka till att den egna verksamheten kan följas upp och utvärderas. Fysioterapeuten ska årligen till regionen lämna en redovisning med uppgifter om mottagningens personal och medicintekniska utrustning samt om utförda behandlingsåtgärder och antalet patientbesök. Fysioterapeuten ska på begäran av regionen lämna upplysningar och visa upp patientjournal samt övrigt material som rör behandling av en patient och som behövs för kontroll av begärd fysioterapiersättning. I 3 kap. 1 § lagen (2026:000) om hälsodataregister finns bestämmelser om uppgiftsskyldighet för en vårdgivare.
I paragrafen regleras hur en fysioterapeut som begär fysioterapiersättning enligt lagen ska medverka till att den egna verksamheten kan följas upp och utvärderas. Övervägandena finns i avsnitt 10. I ett nytt tredje stycke införs en upplysning om att det i lagen (2026:000) om hälsodataregister finns bestämmelser om uppgiftsskyldighet för en vårdgivare till hälsodataregister.
117Sammanfattning av betänkandet Ett nytt Bilaga 1 regelverk för hälsodataregister (SOU 2024:57)
Uppdraget
Vårt uppdrag har varit att analysera regelverket för hälsodataregister och föreslå regler för behandling av personuppgifter från primärvården, om samtliga patienter som behandlas inom den specialiserade öppenvården samt personuppgifter som avser rekvisitionsläkemedel. Inom ramen för våra förslag om behandling av personuppgifter från öppenvården har det ingått att föreslå regler som möjliggör behandling av uppgifter om väntetider och vårdköer. I vårt uppdrag har också ingått att föreslå ett samlat regelverk för hälsodataregister som är förenligt med regeringsformens normgivningskrav liksom med EU:s dataskyddsförordning.
Om hälsodataregister
Den nuvarande lagen (1998:543) om hälsodataregister är en ramlag som innehåller grundläggande bestämmelser om insamling och behandling av personuppgifter. Lagen kompletteras med sex förordningar som var och en gäller för ett specifikt register – patientregistret, medicinska födelseregistret, cancerregistret, läkemedelsregistret, registret över insatser inom den kommunala hälso- och sjukvården och tandhälsoregistret. Samtliga register finns hos Socialstyrelsen och hanteras inom ramen för myndighetens särskilda statistikverksamhet. Ett hälsodataregister är en rikstäckande samling personuppgifter om enskildas vård och hälsa hos en central statlig myndighet. En registrerad, dvs. en patient, har inte möjlighet att motsätta sig behandlingen av personuppgifter. Det innebär att registren omfattar alla som vid ett eller flera tillfällen har varit i kontakt med en vårdgivare som omfattas av uppgiftsskyldighet till ett hälsodataregister. Att registren är rikstäckande innebär att de kan ge en rättvisande helhetsbild vilket är en förutsättning för att genom olika former av analyser dra korrekta slutsatser om svensk hälsooch sjukvård. Långa tidsserier med hälsodata av god kvalitet är av central betydelse för att tillgodose behovet av kunskapsutveckling inom hälso- och sjukvårdsområdet.
Ett nytt regelverk för hälsodataregister
Vi bedömer att det finns behov av ökad tydlighet, transparens och förutsebarhet i den behandling av personuppgifter som utförs i hälsodataregister. Regelverket för hälsodataregister behöver också anpassas till den utveckling som skett i fråga om reglering av dataskydd. Vi föreslår därför en ny lag och en anslutande förordning för behandlingen av personuppgifter i hälsodataregister. Den nya lagen och förordningen benämns hälsodataregisterlagen respektive hälsodataregisterförordningen. Lagen utformas som en ramlag av generell karaktär och ska kunna gälla för Socialstyrelsens
118Bilaga 1 befintliga hälsodataregister likväl som för framtida ännu ej inrättade hälsodataregister. I lagen ska framgå att syftet med hälsodataregister är att bidra till ökad kunskap för att utveckla och förbättra hälso- och sjukvården samt stärka folkhälsan. Till skillnad från dagens förordningsstruktur föreslår vi att de nu gällande sex förordningarna ersätts av en gemensam förordning. Genom att samla de bestämmelser som gäller för hälsodataregister i en förordning blir det enklare att få en överblick av regelverket, vilket ger bättre förutsättningar för en enhetlig tolkning och tillämpning av reglerna. Det nya regelverket ska omfatta patientregistret, medicinska födelseregistret, cancerregistret, registret över expedierade läkemedel (nuvarande läkemedelsregistret), registret över kommunal hälso- och sjukvård (nuvarande registret över insatser inom den kommunala hälso- och sjukvården), tandhälsoregistret samt det nya registret över administrerade läkemedel. Vårdgivare och vissa statliga myndigheter föreslås vara skyldiga att lämna uppgifter till hälsodataregister. Socialstyrelsen ska få meddela föreskrifter om hur uppgiftsskyldigheten ska fullgöras och vid framtagandet av dessa beakta de krav på interoperabilitet som enligt lag eller förordning gäller för en vårdgivare. De tillåtna ändamål för behandling som vi föreslår motsvarar i huvudsak de ändamål för vilka det i dag är tillåtet att behandla personuppgifter i hälsodataregister. Ändamålen anpassas på förordningsnivå utifrån de behov som identifieras för varje enskilt register och ansvarig myndighet. Ett hälsodataregister får endast innehålla sådana personuppgifter som är nödvändiga för att uppnå syftet med registret. De övergripande uppgiftskategorier som vi föreslår ska få behandlas i hälsodataregister är uppgift om en patient och om en vårdåtgärd som patienten har fått eller ska få. Ett register får också innehålla uppgift av medicinsk betydelse samt uppgift av administrativ karaktär. Om det är absolut nödvändigt får ett register innehålla uppgift om en närstående till en patient. Vilka personuppgifter som varje hälsodataregister får innehålla preciseras i hälsodataregisterförordningen.
Ett utökat skydd av den personliga integriteten
Behandlingen av personuppgifter i ett hälsodataregister utgör ett betydande intrång i den personliga integriteten och omfattas av det förstärkta grundlagsskyddet i 2 kap. 6 § regeringsformen. Det innebär att vissa moment i behandlingen av personuppgifter måste regleras i lag och att begränsningar i skyddet får göras endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Mot bakgrund av det förstärkta grundlagsskyddet innehåller hälsodataregisterlagen de bestämmelser som reglerar den huvudsakliga behandlingen av personuppgifter i hälsodataregister. Den rättsliga grunden för behandling av personuppgifter i ett hälsodataregister är företrädesvis artikel 6.1 e i dataskyddsförordningen, dvs. att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Den personuppgiftsbehandling som sker till följd av bland annat författningsreglerade uppgiftsskyldigheter har sin grund i att behandlingen är
119nödvändig för att uppfylla en rättslig förpliktelse, artikel 6.1 c i data- Bilaga 1 skyddsförordningen. I ett hälsodataregister är merparten av de uppgifter som behandlas s.k. känsliga personuppgifter som omfattas av artikel 9.1 i dataskyddsförordningen. I integritetshöjande syfte föreslår vi att känsliga personuppgifter i ett hälsodataregister ska få behandlas endast med stöd av något av undantagen i artikel 9.2 g–j i dataskyddsförordningen. Det avser behandling som är nödvändig för ett viktigt allmänt intresse, hälso- och sjukvård, folkhälsa samt för arkiv, forskning och statistik. Dataskyddsförordningens bestämmelse om uppgiftsminimering sätter den absolut yttersta ramen för vilka personuppgifter som får behandlas i hälsodataregister, artikel 5.1 c. I det nya regelverket om hälsodataregister kommer principen om uppgiftsminimering återspeglas på flera nivåer. På lagnivå sätts ramarna för vilka övergripande uppgiftskategorier det är tillåtet att behandla och på förordningsnivå preciseras uppgiftskategorierna i större eller mindre utsträckning för varje register. Exakt vilka variabler som ska samlas in till varje hälsodataregister kan därefter för merparten av registren fastställas i myndighetsföreskrifter. De uppgifter som vi föreslår ska få behandlas bedöms vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. De skyddsåtgärder vi föreslår bidrar till att minska risken för integritetsintrång. Här kan särskilt nämnas användningsbegränsningen som tydliggör att personuppgifter i hälsodataregister inte får behandlas i syfte att vidta en åtgärd i fråga om en registrerad. Vi föreslår också nya regler om behörighetsstyrning och loggkontroll, vilket sammantaget leder till ett ökat integritetsskydd. Även det dataskyddsrättsliga regelverket i övrigt i kombination med sekretesslagstiftningen bedöms bidra till ett starkt skydd för den personliga integriteten. I syfte att bland annat öka registrerades kunskap och medvetenhet om hälsodataregister föreslår vi en utökad informationsskyldighet för en registeransvarig myndighet. Mot bakgrund av de skyddsåtgärder vi föreslår samt det starka intresset av att en registeransvarig myndighet kan fullgöra sina uppgifter på ett ändamålsenligt sätt, bedömer vi det nödvändigt och proportionerligt att i hälsodataregister behandla personuppgifter för de föreslagna ändamålen och inom de övriga ramar som anges i det föreslagna regelverket. Det intrång som sker är motiverat och proportionerligt utifrån en avvägning mellan det allmänintresse som ligger till grund för behandlingen av personuppgifter i hälsodataregister och intresset av att upprätthålla skyddet för den personliga integriteten.
Utökad insamling av uppgifter från öppenvården
Den medicinska utvecklingen tillsammans med samhälls- och teknikutvecklingen har bidragit till en förskjutning från sluten mot öppen vård. Det blir allt vanligare med behandlingar och behandlingsmetoder som inte kräver sjukhusvistelse, exempelvis kan patienter i större utsträckning än tidigare självmonitorera och själva behandla sina sjukdomar. Vidare innebär den pågående omställningen till nära vård att en större del av hälso- och sjukvården sannolikt kommer att utföras i primärvården. Med
120Bilaga 1 anledning av primärvårdens uppdrag och roll som första linjens vård kan man anta att många patienter både inleder och avslutar en vårdkontakt i primärvården, dvs. utan att gå vidare till någon annan vårdnivå. En systematisk uppföljning för den del av hälso- och sjukvårdssystemet som möter flest patienter behövs för att följa upp hälso- och sjukvårdslagens (2017:30) mål om en god hälsa och en vård på lika villkor. I dagsläget är insamlingen av uppgifter till patientregistret avgränsad till slutenvården och vissa delar av öppenvården. Primärvården och delar av den specialiserade öppenvården har inte varit föremål för systematisk uppföljning på nationell nivå på samma sätt som slutenvården och det saknas i stor utsträckning underlag för att beskriva och utvärdera utvecklingen i dessa delar av svensk hälso- och sjukvård. Behovet av fler uppgifter från patienters vårdkontakter i öppenvården är centralt för att forskningen ska kunna bidra till ökad kunskap som kan leda till exempelvis nya och effektivare behandlingsmetoder. På samma sätt behövs data i form av sammanhängande tidsserier för att utföra epidemiologiska och andra longitudinella studier. Även life science-sektorn har behov av data från samtliga vårdnivåer för att exempelvis stödja omställningen mot precisionsmedicin samt utveckla och införa nya typer av avancerad diagnostik och behandling. Uppgifter från vårdkontakter på alla vårdnivåer i hälso- och sjukvården behövs också i beredskapssyfte för att exempelvis hantera krissituationer, vilket senast aktualiserades under coronapandemin.
Uppgifter från vårdkontakter inom den specialiserade
somatiska öppenvården och primärvården ska samlas in
Vi föreslår en utökad insamling av uppgifter till patientregistret hos Socialstyrelsen. Förslaget omfattar uppgifter om patienters vårdkontakter i primärvården och i den specialiserade somatiska öppenvården. Uppgiftsinsamlingen ska omfatta både offentliga och privata vårdgivare. Insamlingen ska utgå från behovet av en uppgift, oavsett vid vilken vårdkontakt uppgiften har registrerats och vilken hälso- och sjukvårdspersonal en patient har träffat. Uppgiftsinsamlingen bör i första hand utgå ifrån de uppgifter som ska dokumenteras i en patientjournal. De uppgiftskategorier som får samlas in är uppgifter om en patient och, om det är absolut nödvändigt, om en närstående till en patient. Vidare får insamlingen omfatta uppgifter om en vårdåtgärd som en patient har fått eller ska få, uppgifter av medicinsk betydelse och uppgifter av administrativ karaktär som rör vårdgivaren eller patientens vårdkontakt. För att stärka uppgiftsinsamlingen från vårdgivare som utanför det regionala huvudmannaskapet tillhandahåller privat finansierad vård bör regeringen uppdra åt Socialstyrelsen att analysera förutsättningarna för dessa vårdgivare att rapportera uppgifter till hälsodataregister och lämna förslag på hur sådan rapportering kan underlättas. Den utökade uppgiftsinsamlingen ska i dagsläget inte omfatta öppen vård som tillhandahålls av en skolhuvudman enligt skollagen (2010:800), som en del av arbetsgivaransvaret enligt arbetsmiljölagen (1997:1160) eller inom ramen för det kommunala huvudmannaskapet enligt hälso- och sjukvårds-
121lagen. Uppgiftsinsamlingen ska inte heller omfatta öppenvård som tillhanda- Bilaga 1 hålls inom ramen för en statlig myndighets ansvar. När det gäller registret över kommunal hälso- och sjukvård föreslår vi att även privata vårdgivare ska omfattas av uppgiftsskyldigheten till det registret. För att ytterligare stärka uppgiftsinsamlingen från den kommunala hälso- och sjukvården föreslår vi att Socialstyrelsen ska få i uppdrag att utreda behovet av att samla in uppgifter av bland annat medicinsk betydelse till registret över kommunal hälso- och sjukvård, samt lämna nödvändiga författningsförslag.
Insamling av uppgifter om väntetider
Långa väntetider är sedan länge ett problem i svensk hälso- och sjukvård. Uppgifter för att följa och mäta väntetider i hälso- och sjukvården samlas i dagsläget in till flera olika register. Det mest framträdande är den nationella väntetidsdatabasen hos Sveriges Kommuner och Regioner (SKR). Vissa väntetidsdata finns i patientregistret hos Socialstyrelsen och därutöver registreras väntetidsdata i vissa nationella kvalitetsregister. För att staten ska kunna fullfölja sitt ansvar att främja en god hälsa och vård på lika villkor för hela befolkningen behövs relevant information om bland annat vårdens tillgänglighet kopplat till varje patient. I flera utredningar och rapporter konstateras att dagens insamling till den nationella väntetidsdatabasen inte tillgodoser det statliga uppföljningsbehovet, främst eftersom uppgifterna inte är personnummerbaserade. Behovet av uppgifter på individnivå, dvs. med personnummer eller motsvarande unik identifierare, är främst kopplat till möjligheten att göra analyser av god kvalitet. Även om den information som finns i väntetidsdatabasen har varit och är till nytta för den statliga uppföljningen är statens behov av att mäta och följa upp väntetider ett annat än regionernas i egenskap av huvudmän. Staten har ett övergripande ansvar för att hälsooch sjukvården fungerar på ett ändamålsenligt sätt. Den statliga uppföljningen hjälper också regeringen att följa resultat av omstruktureringar och andra reformer på nationell nivå. Även utifrån ett patientperspektiv är transparens i fråga om väntetider i vården av stor betydelse för tilliten till hälso- och sjukvårdssystemet. Den statliga uppföljningen av väntetider behöver stärkas för att möjliggöra mer mångsidiga analyser och jämförelser av väntetiderna i svensk hälso- och sjukvård. För detta krävs att uppgifter för att mäta och följa upp väntetider samlas in på individnivå, dvs. med personnummer eller motsvarande unik identifierare. Vårt förslag om att utöka insamlingen till patientregistret med uppgifter från öppenvården ger nödvändiga förutsättningar att samla in relevanta uppgifter för att mäta och följa upp väntetider i hälso- och sjukvården. När nödvändiga väntetidsdata finns i patientregistret bör regeringen överväga att upphäva regionernas författningsreglerade uppgiftsskyldighet till väntetidsdatabasen hos SKR.
122Bilaga 1 Utökad insamling av uppgifter om rekvisitionsläkemedel
Behovet av att samla uppgifter om rekvisitionsläkemedel på individnivå i ett centralt register har varit känt länge. Vi använder uttrycket rekvisitionsläkemedel för att beskriva läkemedel som ordineras och administreras till patient inom hälso- och sjukvården oavsett på vilken vårdnivå det sker. Flera myndigheter och privata aktörer har behov av sådana uppgifter för att kunna fullgöra sina uppdrag på ett ändamålsenligt sätt enligt författning, regleringsbrev och regeringsuppdrag eller för att driva utvecklingen av hälso- och sjukvården i önskad riktning. En utökad insamling av uppgifter om rekvisitionsläkemedel till ett hälsodataregister skulle, utöver bättre statistik, bland annat möjliggöra mer heltäckande uppföljningsstudier för att stärka kunskaperna om och erfarenheterna av läkemedelsanvändningen i hälso- och sjukvården. Det medför också en ökad samhällsnytta för redan existerande datainsamlingar. Genom att sammankoppla uppgifter om vårdåtgärder i befintliga register med uppgifter om administrerade läkemedel i hälso- och sjukvården uppnås en mer korrekt bild av samtliga patientåtgärder, vilket kan förbättra precisionen i analyser av behandlingar och ingrepp. Det innebär ytterst att förutsättningarna för en enskild patient att få bästa möjliga och säkra vård och behandling förbättras. Trots det stora behovet av uppgifter om rekvisitionsläkemedel är tillgången till sådana data i hälsodataregister mycket begränsad. Även om vissa uppgifter om rekvisitionsläkemedel samlas in till patientregistret är täckningsgraden så låg att Socialstyrelsen avråder från att använda uppgifterna för analys. För läkemedel som förskrivs på recept kan nytta, säkerhet, användningsmönster, ändamålsenlighet och kostnadseffektivitet utvärderas genom läkemedelsregistret och genom att kombinera uppgifterna med data från andra källor. För rekvisitionsläkemedel däremot sker uppföljning på nationell nivå i dagsläget främst på ett övergripande plan utifrån försäljningsvolymer och kostnader. Följderna av att det saknas uppgifter om rekvisitionsläkemedel på individnivå i ett centralt register är bland annat att det inte går att genomföra någon ändamålsenlig uppföljning av sådana läkemedel.
Uppgifter om rekvisitionsläkemedel ska samlas in från
slutenvården och den specialiserade öppenvården
Vi föreslår att fler uppgifter om rekvisitionsläkemedel ska samlas in från slutenvården och den specialiserade öppenvården till ett nytt hälsodataregister hos Socialstyrelsen benämnt registret över administrerade läkemedel. Uppgifter om rekvisitionsläkemedel bör i nuläget inte samlas in via registret nationell läkemedelslista. I vårt utredningsarbete har det framkommit att det finns ett behov av att samla in uppgifter som avser såväl ordinerade som administrerade rekvisitionsläkemedel. I nuläget bör insamlingen dock i huvudsak avse uppgifter om rekvisitionsläkemedel som har administrerats inom hälso- och sjukvården. Dessa uppgifter svarar mot de mest angelägna behov vi har identifierat. Förutom uppgifter om 122 patienter och uppgifter av administrativ karaktär ska insamlingen omfatta
123uppgifter av medicinsk betydelse som avser det administrerade läke- Bilaga 1 medlet, administrerad dos och dosenhet samt när och hur läkemedlet har administrerats. Uppgifter om ordinationer begränsas till uppgift om ordinationsorsak. Socialstyrelsen ska få i uppdrag att förbereda den nya insamlingen av uppgifter om rekvisitionsläkemedel till registret över administrerade läkemedel. Socialstyrelsen bör vidare få i uppdrag att utreda vilka behov som finns av att samla in uppgifter om rekvisitionsläkemedel från primärvården inklusive den kommunala hälso- och sjukvården. I uppdraget bör ingå att analysera vårdgivarnas förutsättningar att lämna uppgifter till ett hälsodataregister hos Socialstyrelsen.
Konsekvenser
Konsekvenser av förslaget om en utökad
uppgiftsinsamling från öppenvården
Vårt förslag om en utökad uppgiftsinsamling från öppenvården kommer påverka samtliga regioner och omkring 2 800 privata företag som regionerna köper vård av. Antalet företag som erbjuder privat finansierad vård och som kan komma att träffas av insamlingen kan vara så många som 12 000 till 13 000, men sannolikt är det betydligt färre. Mängden nya vårdkontakter inom den offentligt finansierade vården som potentiellt kan omfattas avgörs utifrån vilka uppgifter som ska samlas in och från vilken verksamhet. Som mest bör det uppgå till cirka 60 miljoner. Regionerna ser inga särskilda tekniska utmaningar med att anpassa sina journalsystem till en utökad uppgiftsinsamling. Det finns dock behov av visst förberedelsearbete för att exempelvis extrahera uppgifter och införa en löpande inrapportering till patientregistret. Uppgiftsinsamlingen kan medföra ytterligare administrativ tid per vårdkontakt om det ställs krav på att registrera uppgifter enligt kodverk som är nya för vissa medarbetare. Vidare behöver medarbetare utbildas, bland annat i syfte att kvalitetssäkra diagnos- och åtgärdskodning. De större privata vårdgivarna använder primärt regionernas olika journalsystem och förutsätter därmed att regionerna tar ansvar för att rapportera in de uppgifter som kommer att omfattas av den utökade insamlingen från regionernas journalsystem. Mikroföretagen anger att kostnaderna för uppgiftsrapportering blir marginella under förutsättning att journalsystemsleverantörerna anpassar sig till de nya kraven och erbjuder funktionalitet som stödjer inrapportering eller att regionen rapporterar in uppgifterna i de fall företagens uppgifter finns i regionens system. För Socialstyrelsen kommer en utökad uppgiftsinsamling från öppenvården medföra myndighetens hittills största expansion av sin registerverksamhet. Antalet insamlade poster till patientregistret kommer att öka med flera hundra miljoner. Socialstyrelsen uppskattar att engångskostnaden för att bygga tekniska och organisatoriska funktioner som stödjer uppgiftsinsamlingen uppgår till 23 miljoner kronor. På längre sikt uppskattar Socialstyrelsen att myndigheten behöver ett ökat förvaltningsanslag om 16 miljoner kronor årligen för att täcka löpande kostnader.
124Bilaga 1 Konsekvenser av förslaget om en utökad
uppgiftsinsamling av rekvisitionsläkemedel
Vårt förslag om att samla in uppgifter om rekvisitionsläkemedel som administrerats inom slutenvården och den specialiserade öppenvården kommer att påverka offentliga vårdgivare i samtliga regioner. Hur många privata vårdgivare som påverkas av förslaget är inte klarlagt men uppskattningsvis är det minst ett tusental. För vissa vårdgivare kan vårt förslag medföra verksamhetsmässig påverkan, exempelvis genom att det blir nödvändigt att ändra arbetsprocesser och genomföra utbildningsinsatser för berörd personal. Det finns oklarheter i frågan om framför allt de tekniska förutsättningarna när det gäller att registrera och extrahera relevanta data. I dagsläget är ingen vårdgivare beredd att uppskatta kostnaderna för att rapportera uppgifter om rekvisitionsläkemedel till ett nytt hälsodataregister. Det beror bland annat på att vårdgivarna saknar kunskap om vilken it-utveckling som krävs för att uppnå en effektiv och ändamålsenlig rapportering. Journalsystemsleverantörerna behöver involveras för att utreda de tekniska förutsättningarna och göra kostnadsuppskattningar. Dessa frågor bör omhändertas inom ramen för det regeringsuppdrag vi föreslår att Socialstyrelsen ska få att förbereda den nya insamlingen av uppgifter om rekvisitionsläkemedel till registret över administrerade läkemedel. Vårt förslag om att samla in uppgifter om rekvisitionsläkemedel kommer att få konsekvenser för Socialstyrelsen som registeransvarig myndighet. Socialstyrelsen måste inrätta ett nytt register, skapa förutsättningar för inrapportering och utforma kontroll och inläsningsprogram. Myndigheten behöver också etablera löpande processer för att uppgiftsinsamlingen ska ske effektivt och säkert samt meddela föreskrifter om hur vårdgivarna ska fullgöra sin uppgiftsskyldighet. Vidare kommer myndighetens utlämnandeverksamhet att påverkas genom ett större antal eller bredare förfrågningar om utlämnande av uppgifter från det nya registret. Socialstyrelsen uppskattar kostnaden för det initiala utvecklingsarbetet till cirka 4 miljoner kronor. Den årliga kostnaden för bland annat utökat uppgiftsutlämnande och för att ta fram nya statistikprodukter uppskattar myndigheten till cirka 1,5 miljoner kronor.
125Betänkandets lagförslag Bilaga 2
1.1 Förslag till hälsodataregisterlag
Härigenom föreskrivs följande.
1 kap. Inledande bestämmelser
Lagens innehåll och syftet med hälsodataregister
1 § Denna lag innehåller bestämmelser om hälsodataregister och om behandling av personuppgifter i ett sådant register.
2 § Syftet med ett hälsodataregister är att bidra till ökad kunskap för att utveckla och förbättra hälso- och sjukvården samt stärka folkhälsan.
Ord och uttryck i lagen
3 § I lagen avses med hälsodataregister : en rikstäckande samling personuppgifter om enskildas vård och hälsa hos en central statlig myndighet, patient : person som fått, får eller är registrerad för att få hälso- och sjukvård, vårdgivare : statlig myndighet, region, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård.
Lagens tillämpningsområde
4 § Denna lag ska tillämpas av en myndighet som ansvarar för något av följande hälsodataregister 1. patientregistret, 2. medicinska födelseregistret, 3. cancerregistret, 4. registret över expedierade läkemedel, 5. registret över kommunal hälso- och sjukvård, 6. tandhälsoregistret, eller 7. registret över administrerade läkemedel. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilken myndighet som ansvarar för ett hälsodataregister.
5 § Lagen gäller i tillämpliga delar även vid behandling av uppgifter om avlidna.
Lagens förhållande till annan dataskyddsreglering
6 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
126Bilaga 2 Ord och uttryck i denna lag har samma betydelse som i EU:s dataskyddsförordning.
7 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
2 kap. Behandling av personuppgifter
Personuppgiftsansvar
1 § En myndighet som ansvarar för ett hälsodataregister är personuppgiftsansvarig för behandlingen av personuppgifter i registret.
Ändamål
2 § Personuppgifter får behandlas i ett hälsodataregister om det är nödvändigt för att 1. framställa statistik, 2. framställa underlag för uppföljning, utvärdering och kvalitetssäkring, 3. utföra epidemiologiska studier, 4. bedriva forskning, och 5. fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av ändamålen i första stycket.
3 § Personuppgifter som behandlas enligt 2 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med de ändamål som uppgifterna samlades in för.
Elektroniskt utlämnande av personuppgifter
4 § Personuppgifter får lämnas ut elektroniskt, dock inte genom direktåtkomst.
Tillåtet innehåll i ett hälsodataregister
5 § Ett hälsodataregister får innehålla endast sådana personupp-gifter som är nödvändiga för att uppnå syftet med registret, enligt 1 kap. 2 §. I ett hälsodataregister får det finnas 1. uppgift om en patient, 2. uppgift om en vårdåtgärd som en patient har fått eller ska få, 3. uppgift av medicinsk betydelse, och 4. uppgift av administrativ karaktär. Om det är absolut nödvändigt får i ett hälsodataregister också finnas uppgift om en närstående till en patient. Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka personuppgifter som får finnas i ett hälsodataregister.
1276 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning Bilaga 2 får behandlas endast med stöd av artikel 9.2 g–j i förordningen.
7 § Personuppgifter som avses i artikel 10 i EU:s dataskydds-förordning (fällande domar i brottmål och lagöverträdelser som innefattar brott) får behandlas, om det är absolut nödvändigt för att uppnå syftet med ett hälsodataregister, enligt 1 kap. 2 §.
Användningsbegränsning
8 § Personuppgifter i ett hälsodataregister får inte behandlas i syfte att vidta en åtgärd i fråga om en registrerad. Förbudet i första stycket gäller inte en behandling som är nödvändig för att handlägga en registrerads begäran om en rättighet som tillkommer denne enligt lag eller förordning.
Åtkomst till personuppgifter
9 § Den som arbetar i en verksamhet med hälsodataregister får ta del av personuppgifter i ett hälsodataregister bara om denne behöver det för att kunna fullgöra sina arbetsuppgifter.
10 § En myndighet som ansvarar för ett hälsodataregister ska bestämma villkor för tilldelning av behörighet för åtkomst till personuppgifter i registret. Sådan behörighet ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter.
11 § En myndighet som ansvarar för ett hälsodataregister ska dokumentera åtkomst till personuppgifter.
3 kap. Skyldighet att lämna uppgifter till hälsodataregister
Uppgiftsskyldighet för en vårdgivare
1 § En vårdgivare ska till en myndighet som ansvarar för ett hälsodataregister lämna de uppgifter som är nödvändiga för att uppnå syftet med registret, enligt 1 kap. 2 §. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om hur uppgiftsskyldigheten ska fullgöras.
Uppgiftsskyldighet för en statlig myndighet
2 § En statlig myndighet ska till en myndighet som ansvarar för ett hälsodataregister lämna de uppgifter som är nödvändiga för att uppnå syftet med registret, enligt 1 kap. 2 §. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om hur uppgiftsskyldigheten ska fullgöras.
Denna lag träder i kraft den 1 oktober 2025. Genom lagen upphävs lagen (1998:543) om hälsodataregister.
128Bilaga 2 1.2 Förslag till lag om ändring i lagen (1993:1651) om läkarvårdsersättning
Härigenom föreskrivs att 26 § lagen (1993:1651) om läkarvårdsersättning ska ha följande lydelse
Nuvarande lydelse Föreslagen lydelse
26 § 1 En läkare som begär läkarvårdsersättning ska medverka till att den egna verksamheten kan följas upp och utvärderas. Läkaren ska årligen till regionen lämna en redovisning med uppgifter om mottagningens personal och medicintekniska utrustning samt om utförda vårdåtgärder och antalet patientbesök. Läkaren ska på begäran av regionen lämna upplysningar och visa upp patientjournal samt övrigt material som rör undersökning, vård eller behandling av en patient och som behövs för kontroll av begärd läkarvårdsersättning. Av 6 § lagen (1998:543) om Av 3 kap. 1 § hälsodataregisterhälsodataregister följer att läkaren lagen (2025:000) följer att läkaren också ska lämna uppgifter till också ska lämna uppgifter till hälsodataregister. hälsodataregister.
Denna lag träder i kraft den 1 oktober 2025.
1 Senaste lydelse 2019:884.
1291.3 Förslag till lag om ändring i lagen (1993:1652) Bilaga 2 om ersättning för fysioterapi
Härigenom föreskrivs att 25 § lagen (1993:1652) om fysioterapi ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
25 § 1 En fysioterapeut som begär fysioterapiersättning enligt denna lag ska medverka till att den egna verksamheten kan följas upp och utvärderas. Fysioterapeuten ska årligen till regionen lämna en redovisning med uppgifter om mottagningens personal och medicintekniska utrustning samt om utförda behandlingsåtgärder och antalet patientbesök. Fysioterapeuten ska på begäran av regionen lämna upplysningar och visa upp patientjournal samt övrigt material som rör behandling av en patient och som behövs för kontroll av begärd fysioterapiersättning. Av 3 kap. 1 § hälsodataregisterlagen (2025:000) följer att fysioterapeuten också ska lämna uppgifter till hälsodataregister.
Denna lag träder i kraft den 1 oktober 2025.
1 Senaste lydelse 2019:885.
130Förteckning över remissinstanserna Bilaga 3
Efter remiss har yttrande kommit från Arvika kommun, Barnombudsmannen, Biobank Sverige, Barncancerfonden, Burlövs kommun, Cancerfonden, Diskrimineringsombudsmannen, E-hälsomyndigheten, Etikprövningsmyndigheten, Folkhälsomyndigheten, Forskningsrådet för hälsa, arbetsliv och välfärd, Funktionsrätt Sverige, Försäkringskassan, Göteborgs kommun, Göteborgs universitet, Institutet för mänskliga rättigheter, Inspektionen för socialförsäkringen, Inspektionen för vård och omsorg, Integritetsskyddsmyndigheten, Kammarrätten i Göteborg, Karlstads kommun, Karolinska institutet, Kungälvs kommun, Linköpings kommun, Luleå kommun, Lunds universitet, Läkemedelsindustriföreningen, Läkemedelsverket, Malmö kommun, Myndigheten för samhällsskydd och beredskap (numera Myndigheten för civilt försvar), Myndigheten för vård- och omsorgsanalys, Nacka kommun, Nämnden för prövning av oredlighet i forskning, Regelrådet, Region Blekinge, Region Dalarna, Region Gotland, Region Halland, Region Jämtland Härjedalen, Region Jönköpings län, Region Kalmar län, Region Kronoberg, Region Norrbotten, Region Skåne, Region Stockholm, Region Sörmland, Region Värmland, Region Västerbotten, Region Västernorrland, Region Västmanland, Region Örebro, Region Östergötland, Riksdagens ombudsmän (JO), Ronneby kommun, SciLifeLab, Socialstyrelsen, Statens beredning för medicinsk och social utvärdering, Statistiska centralbyrån, Stockholms kommun, Stockholms universitet, Svensk Sjuksköterskeförening, Svenska Läkaresällskapet, Sveriges Kommuner och Regioner, Sveriges läkarförbund, Swedish Medtech, Söderhamns kommun, Södertälje kommun, Tandvårds- och läkemedelsförmånsverket, Umeå universitet, Vilhelmina kommun, Vinnova, Vårdförbundet, Västerås kommun, Västra Götalandsregionen, Växjö kommun, Överklagandenämnden för etikprövning. Följande remissinstanser har inte svarat: AI Sweden, Emmaboda kommun, , Forska!Sverige, Genomics Medicine Sweden, Gällivare kommun, Göteborgs kommun, Härnösands kommun, Inera, Kiruna kommun, Lysekils kommun, Myndigheten för digital förvaltning, Nynäshamns kommun, Region Gävleborg, Region Uppsala, Research Institutes of Sweden, Rädda barnen, Sandvikens kommun, Svenskt näringsliv, Södertälje kommun, Sveriges Tandläkarförbund, SwedenBio, Umeå kommun, Uppsala kommun, Vetenskapsrådet, Vårdföretagarna, Åmåls kommun, Åre kommun, Älvdalens kommun, Övertorneå kommun, Därutöver har yttranden inkommit från Svensk förening för allmänmedicin, Statens medicinsk-etiska råd, AstraZeneca, Svenska Barnläkarföreningen, Riksförbudet Sällsynta diagnoser, Bröstcancerförbundet, Elöverkänsligas Riksförbund.