Vidareanvändning av hälsodata för vård och klinisk forskning
Hänvisat till av
- Prop. 2024/25:1
- Prop. 2024/25:19
- SOU 2023:95
- SOU 2024:2
- SOU 2024:2
- SOU 2024:33
- SOU 2024:33
- SOU 2024:43
- SOU 2024:43
- SOU 2024:43
- SOU 2024:66
- SOU 2025:12
- SOU 2025:48
- SOU 2025:48
- SOU 2025:48
- SOU 2025:48
- SOU 2025:71
- SOU 2025:71
- SOU 2025:96
- SOU 2025:96
- SOU 2025:96
- SOU 2025:96
- SOU 2025:96
- Skr. 2024/25:75
- Skr. 2024/25:75
- Skr. 2024/25:75
- langsiktig-reglering-av-vissa-forskningsdatabaser
Vidareanvändning av hälsodata för vård och klinisk forskning
Del 1
Betänkande av Utredningen om sekundäranvändning av hälsodata Stockholm 2023
2SOU och Ds finns på regeringen.se under Rättsliga dokument.
Svara på remiss – hur och varför Statsrådsberedningen, SB PM 2021:1. Information för dem som ska svara på remiss finns tillgänglig på regeringen.se/remisser.
Layout: Kommittéservice, Regeringskansliet Omslag: Elanders Sverige AB Tryck och remisshantering: Elanders Sverige AB, Stockholm 2023
ISBN 978-91-525-0768-1 (tryck) ISBN 978-91-525-0769-8 (pdf) ISSN 0375-250X
3Till statsrådet och chefen för
Socialdepartementet Jakob Forssmed
Regeringen tillsatte den 12 maj 2022 en särskild utredare med uppdrag att analysera och lämna förslag på utökade möjligheter för sekundäranvändning av hälsodata. I uppdraget har också ingått att redogöra för de konkreta tillämpningssvårigheter när det gäller den befintliga regleringen av hälsodata som eventuellt framkommer under utredningens gång. Som särskild utredare förordnades från och med den 12 maj 2022 juristen Katarina Nyström. Utredningen har antagit namnet Utredningen om sekundäranvändning av hälsodata. Som sakkunniga till utredningen förordnades den 19 september 2022 departementssekreterare Evelina Björkegren, Socialdepartementet, Pontus Holm, Näringsdepartementet, och Katarina Nordqvist, Utbildningsdepartementet samt ämnesrådet Magnus Enzell. Som experter till utredningen förordnades den 19 september 2022 vetenskaplig sekreterare Lena Almqvist, Etikprövningsmyndigheten, forskningssekreteraren Sara Belfrage, Stockholms universitet, dataskyddsexperten Per Bergstrand, Vetenskapsrådet, hälsoinformatikern Daniel Karlsson, Socialstyrelsen, enhetschefen Laurent Saunier, Vinnova och enhetschefen Michel Silvestri, E-hälsomyndigheten. Den 20 december 2022 entledigades hälsoinformatikern Daniel Karlsson, Socialstyrelsen som expert. Samma datum förordnades e-hälsostrategen Lotti Barlow, Socialstyrelsen som expert. Den 22 februari 2022 förordnades områdeschefen Jon Dutrieux, Försäkringskassan och handläggaren Petra Hasselqvist, Sveriges kommuner och regioner som experter. Den 26 maj 2023 entledigades områdeschefen Jon Dutrieux, Försäkringskassan som expert. Den 26 maj 2023 förordnades områdeschefen Ulrika Eriksson, Försäkringskassan som expert.
4Utredningens expertgrupp har under utredningsarbetet bidragit med värdefulla och konstruktiva synpunkter och underlag. När begreppet utredningen används i betänkandet avses den särskilda utredaren samt sekretariatet. Den särskilda utredaren svarar ensam för innehållet i betänkandet. Som huvudsekreterare i utredningen anställdes från och med den 13 juni 2022 departementssekreteraren Carl Nilsson. Som sekreterare anställdes från och med den 15 augusti 2022 sjukhusjuristen Anna Hofling Johansson och juristen Laura Eriksson. Den rättsliga experten Ida Frithiof arbetade som sekreterare i utredningen från och med 13 juni 2022 till och med den 30 juni 2023. Regionjuristen Amanda Carlström arbetade som sekreterare i utredningen från och med den 1 mars 2023 till och med den 22 oktober 2023. Tack till alla aktörer som lagt ner tid och engagemang i utredningen. Tack till Sara Belfrage, Manólis Nymark och Andrea Hemming för era bidrag. Särskilt tack till Linda Larsson för din värdefulla insats. Särskilt tack också till Genomic Medicine Sweden, Karolinska Institutet, Region Stockholm, Västra Götalandsregionen och Göteborgs universitet för den kunskap ni delat med er av till utredningen. I och med detta betänkande är uppdraget avslutat. Utredningen överlämnar härmed Betänkandet om vidareanvändning av hälsodata för vård och klinisk forskning.
Stockholm i november 2023
Katarina Nyström /Carl Nilsson Amanda Carlström Anna Hofling Johansson Ida Frithiof Laura Eriksson
31Förkortningar
Arkivlagen Arkivlagen (1990:782) Barnkonventionen FN:s konvention om barnets rättigheter Biobankslagen Biobankslagen (2023:38) Biomedicinkonventionen Europarådets konvention om mänskliga rättigheter och biomedicin CTR Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG Datalagen Lag (2022:218) om den offentliga sektorns tillgängliggörande av data Dataskyddslagen Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning DIGITAL Programmet för ett digitalt Europa EDPB European Data Protection Board eller Europeiska Dataskyddsstyrelsen EPL Lagen (2003:460) om etikprövning av forskning som avser människor Europakonventionen Europeiska konventionen om skydd för de mänskliga
32Förkortningar
rättigheterna och de grundläggande friheterna EU:s dataförvaltningsförordning Europaparlamentets och rådets eller dataförvaltningsförord- förordning (EU) 2022/868 av ningen den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten) EU:s dataskyddsförordning eller Europaparlamentets och rådets dataskyddsförordningen förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) Findata Tillståndsmyndigheten enligt lagen om sekundäranvändning av personuppgifter inom socialoch hälsovården (552/2019) Finska sekundäranvändnings- Lagen om sekundäranvändning lagen av personuppgifter inom socialoch hälsovården (552/2019) Förslaget till EHDS Europeiska kommissionens förslag till Europaparlamentets och Rådets förordning om ett europeiskt hälsodataområde, COM(2022) 197 final av den 3 maj 2022 Förslaget till EU:s dataförord- Europeiska kommissionens förning slag till Europaparlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och användning av data (dataakten) COM(2022) 68 final av den 23 februari 2022 GCP Good Clinical Practice
33Förkortningar
GMS Genomic Medicine Sweden Helsingforsdeklarationen Helsingforsdeklarationen om etiska principer för medicinsk humanforskning, fastställd av World Medical Association HSF Hälso- och sjukvårdsförordningen (2017:80) HSL Hälso- och sjukvårdslagen (2017:30) HSLF-FS 2016:40 Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården IVDR Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitrodiagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU Kastreringslagen Den upphävda lagen (1944:133) om kastrering KL Kommunallagen (2017:725) KOMET Kommittén för teknologisk innovation och etik LPT lag (1991:1128) om psykiatrisk tvångsvård LRV lag (1991:1129) om rättspsykiatrisk vård MDR Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och
34Förkortningar
om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG NGP Nationella Genomikplattformen OECD Organisation for Economic Co-operation and Development OSF Offentlighets- och sekretessförordningen (2009:641) OSL Offentlighets- och sekretesslagen (2009:400) PDL Patientdatalagen (2008:355) PL Patientlagen (2014:821) PSL Patientsäkerhetslagen (2010:659) RF Regeringsformen JO Riksdagens ombudsmän Rättighetsstadgan Europeiska unionens stadga om de grundläggande rättigheterna Smittskyddslagen Smittskyddslagen (2004:168) SolPul Lagen (2001:454) om behandling av personuppgifter inom socialtjänsten SCB Statistiska centralbyrån SVOD Lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation Tandvårdslagen Tandvårdslagen (1985:125) Utredningen om en långsiktig En långsiktig reglering av reglering av forsknings- forskningsdatabaser, databaser Dnr U2022/04089 TF Tryckfrihetsförordningen (1949:105) Vårdanalys Myndigheten för vård- och omsorgsanalys
35Sammanfattning
Behovet och viljan att dela eller ta del av hälsodata är stort. Regelverket som styr hur hälsodata får delas upplevs dock av många som svårnavigerat och komplext, vilket skapar utmaningar och ibland oönskade begränsningar avseende vilka data som får och kan delas. Regelverket ställer också i viss utsträckning upp hinder för datadelning till förmån för angelägna ändamål. I utredningens direktiv framgår det att utredningen ska analysera, bedöma om det behövs författningsändringar och i så fall lämna nödvändiga författningsförslag för att möjliggöra sekundäranvändning av hälsodata från hälso- och sjukvården för – att personuppgifter eller andra data från flera individer ska kunna användas för vård och behandling av andra enskilda individer, – forskning, – utvecklings- och innovationsverksamhet, – undervisning på akademisk nivå samt, – statliga, regionala och kommunala myndigheters beslutsfattande.
I uppdraget ingår också att redogöra för konkreta tillämpningssvårigheter när det gäller den befintliga regleringen av hälsodata som eventuellt framkommer under utredningens gång. Utredningen redogör i kapitel 2 för utredningens tolkning av direktiven samt vilka avgränsningar utredningen gjort.
36Sammanfattning
Utredningens författningsförslag
Utredningen har haft ett omfattande uppdrag med begränsade tidsramar. Eftersom det krävs genomgripande utredning för att lämna författningsförslag som ska gå att genomföra, har utredningen varit tvungen att göra betydande avgränsningar. Utredningen lämnar därför författningsförslag avseende två av direktivens uppräknade ändamål. Utredningen har dock utrett samtliga ändamål och försökt att så detaljerat som möjligt redogöra för en väg framåt, utan att göra en mer djupgående juridisk analys som författningsförslag kräver.
Vidareanvändning för vårdändamål
Av direktiven följer att det finns ett behov att se över regleringen för att personuppgifter eller andra data från flera individer ska kunna användas för vård och behandling av andra enskilda individer. Utredningen benämner detta vidareanvändningen av personuppgifter för vårdändamål. Utredningen bedömer att det behövs författningsändring för att möjliggöra den typ av vidareanvändning av personuppgifter för vårdändamål som behövs för att precisionsmedicin ska kunna användas på ett ändamålsenligt sätt i svensk hälso- och sjukvård. Utredningen föreslår därför ändringar i patientdatalagen (2008:355), förkortad PDL, och offentlighets- och sekretesslag (2009:400), förkortad OSL, samt en ny förordning som kompletterar föreslagna bestämmelser i PDL. Utredningen föreslår att kapitel 6 i PDL används för reglering av vidareanvändning av personuppgifter för vårdändamål. Utredningens förslag innebär att det på regional nivå inom hälso- och sjukvården skapas förutsättningar för vidareanvändning av personuppgifter för vårdändamål. Utredningen föreslår att det, i beaktande av det kommunala självstyret, ska vara frivilligt att tillämpa reglerna.
Ett nytt ändamål som avser behandling av personuppgifter
för vård av en annan patient än den som uppgifterna avser
Utredningen föreslår att det införs ett nytt ändamål i PDL som avser behandling av personuppgifter för vård av en annan patient än den som personuppgifterna avser. Personuppgifter som behandlas för vården
37Sammanfattning
av en annan patient än den som uppgifterna avser får inte behandlas för något annat ändamål. Datadelning för det nya ändamålet ska, med vissa avgränsningar, kunna ske över vårdgivar- och myndighetsgränser. Utredningen förslår därför en ny sekretessbrytande grund med koppling till föreslagna regler i 6 kap. PDL. Utredningens förslag i övrigt har utformats med utgångspunkt i att behandling av personuppgifter för ändamålet ska kunna ske under så likartade villkor som möjligt, oavsett om det sker inom en myndighet eller över myndighetsgränser.
Precisering av ändamålet och integritetsskyddande åtgärder
Det integritetsintrång som utredningen förslag om vidareanvändning för vårdändamål innebär, behöver vägas upp av preciseringar av ändamålet, avgränsningar och skyddsåtgärder. Utredningens förslag innebär att behandling av personuppgifter för ändamålet preciseras i fyra steg: 1. Urval och tillgängliggörande av personuppgifter till precisionsmedicinsk databas 2. Inrättande och förande av precisionsmedicinsk databas 3. Tillgång till uppgifter i precisionsmedicinsk databas genom direktåtkomst eller annat elektroniskt utlämnande 4. Begäran om kompletterande personuppgifter från patientjournal
Utredningen föreslår att navet för behandling av personuppgifter för vård av en annan patient än den som uppgifterna avser utgörs av en ny, begränsad, uppgiftssamling kallad precisionsmedicinsk databas. En precisionsmedicinsk databas syftar till att skapa underlag för behandling av personuppgifter för det nya ändamålet. Det är ett urval av de personuppgifter som behövs för ändamålet som ska tillgängliggöras till en precisionsmedicinsk databas. Utredningens förslag lämnar möjlighet för samtliga vårdgivare att tillgängliggöra personuppgifter till en precisionsmedicinsk databas (steg 1). Utredningen föreslår att patienten ska kunna motsätta sig tillgängliggörande av personuppgifter till en precisionsmedicinsk databas. Innan uppgifter tillgängliggörs till en precisionsmedicinsk databas ska patienten få information om bland annat vad personuppgiftsbehandling i precisionsmedicinsk databas innebär samt möjligheten att mot-
38Sammanfattning
sätta sig att uppgifter görs tillgängliga. Särskilda regler om information och samtycke föreslås för personer som inte endast tillfälligt saknar förmåga att ta ställning. Vårdnadshavare kan motsätta sig tillgängliggörande av uppgifter rörande barn. Barn som utifrån ålder och mognad kan ta ställning kan själva motsätta sig tillgängliggörande. Som en ytterligare skyddsåtgärd föreslår utredningen att personuppgifter i samtliga fyra steg ska vara pseudonymiserade eller skyddade på likvärdigt sätt. Det är endast regionala myndigheter inom hälso- och sjukvården som får inrätta och föra precisionsmedicinska databaser samt vara personuppgiftsansvarig för central behandling av personuppgifter i en precisionsmedicinsk databas (steg 2). Det är också endast regionala myndigheter inom hälso- och sjukvården som får ha tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till uppgifter i en sådan databas (steg 3). Hos regionala myndigheter inom hälso- och sjukvården är det endast den som arbetar inom den specialiserade hälso- och sjukvården och som behöver tillgång till en precisionsmedicinsk databas för sitt arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter som ska kunna tilldelas behörighet till en sådan databas. Kopplat till förslaget om direktåtkomst eller annat elektroniskt utlämnande (steg 3) föreslår utredningen en regel om absolut sekretess.
Precisionsmedicinsk databas
Det hade enligt utredningens mening funnits fördelar med att ha en nationell precisionsmedicinsk databas eller en federerad lösning som möjliggör jämförelser över hela landet. Utredningen bedömer dock att det inte finns någon sådan infrastruktur på plats i dag och att det för närvarande saknas organisatoriska förutsättningar för att skapa en sådan infrastruktur som samtidigt är försvarbar ur ett rimligt tidsperspektiv för att skapa nytta inom en närtid. Utredningen har därför valt att lämna författningsförslag som skapar förutsättningar för dels, en precisionsmedicinsk databas per samverkansregion, dels att en precisionsmedicinsk databas får föras inom den Nationella Genomikplattformen, förkortad NGP. Den precisionsmedicinska databasen inom NGP möjliggör datadelning mellan landets sju regionsjukhus (universitetssjukhus), vilket innebär nödvändig täckning för till exempel diagnostisering och behandling av sällsynta diagnoser som fångas
39Sammanfattning
upp av regionsjukhusen (universitetssjukhusen) i dagsläget. NGP som it-infrastruktur finns redan i dag, men används endast för forskning. De samverkansregionala precisionsmedicinska databaserna täcker sammantaget alla landets regioner och där finns möjlighet till ett bredare angreppsätt vad avser datamängder. Den främsta anledningen till utredningens val av lösning är att det är det alternativ som skulle kunna komma på plats fortast och som utredningen bedömt vara proportionerlig ur ett integritetsperspektiv. På längre sikt ser utredningen dock att det bör övervägas och utredas om en nationell precisionsmedicinsk databas genom en federerad lösning som möjliggör jämförelser över hela landet kan införas. Utredningen bedömer att aktuella förslag går i linje med en sådan mer långsiktig lösning och att förslagen därmed inte bör innebära stora extra kostnader eller för den delen senarelägga den långsiktiga lösningen. Det här är en insats som, enligt utredningens bedömning, behöver anpassas efter förslaget till EHDS, när det är klart hur en slutlig version ser ut för det regelverket. Utredningen bedömer också att det är bättre att bygga infrastrukturen stegvis och att den skapar nytta succesivt, hellre än att bygga hela infrastrukturen i ett svep och sedan se om den fungerar och levererar enligt de behov som finns. Utredningen resonerar kring hur en mer långsiktig lösning skulle kunna se ut (se kapitel 19–23). Den delen av betänkandet består dock endast av bedömningar och inte färdiga förslag som går att ta vidare utan fortsatt utredning.
Kompletterande personuppgifter från patientjournal
Utredningen lämnar även förslag om att regionala myndigheter inom hälso- och sjukvården som har tillgång till en precisionsmedicinsk databas ska kunna begära och få ta del av kompletterande personuppgifter från patientjournal (steg 4). Kompletterande uppgifter ska även kunna tillgängliggöras internt inom en myndighet. Syftet är att göra det möjligt att hämta in mer information om specifika patienter när uppgifterna i den precisionsmedicinska databasen inte är tillräckliga. Detta kan bli aktuellt i situationer där det endast finns enstaka andra patienter med samma eller liknande hälsotillstånd.
40Sammanfattning
Vidareanvändning för ändamålet klinisk forskning
Av direktiven framgår att utredningen ska bedöma om det behövs författningsändringar för att möjliggöra vidareanvändning av hälsodata från hälso- och sjukvården för ändamålet forskning. Avseende ändamålet forskning har utredningen gjort en avgränsning till vidareanvändning av personuppgifter för klinisk forskning där samtycke till att delta i forskningen inhämtas. Utredningen konstaterar att det kan vara en betungande uppgift att få tillgång till de uppgifter som behövs för att bedriva klinisk forskning. En specifik situation som utredningen sett över är när forskarna själva rent praktiskt kan logga in i patientjournaler, i egenskap av behandlande vårdpersonal, och då se uppgifter som behövs för forskningen. Enligt dagens lagstiftning krävs då, som huvudregel, att uppgifterna måste begäras ut. Det innebär att ett utlämnande av uppgifterna kan ske först efter föregående menprövning. Det här innebär en administrativ börda för både utlämnande myndighet och forskare som kan vara tidskrävande och kan upplevas omständlig. Utredningen gör bedömningen att möjlighet till en förenklad åtkomst skulle kunna underlätta för såväl forskare som utlämnande myndigheter och undanröja en del av problematiken.
En ny lag om vidareanvändning av personuppgifter
för klinisk forskning
Utredningen har bedömt att det behövs författningsändring för att möjliggöra en förenklad åtkomst till personuppgifter från hälso- och sjukvården. I dag finns ingen lag som reglerar personuppgiftsbehandling inom forskning på samma sätt som motsvarar PDL inom hälso- och sjukvården. Det är enligt utredningens bedömning inte lämpligt att inför regler om förenklad åtkomst för ändamålet klinisk forskning i PDL. Utredningen föreslår därför en ny lag, lagen (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning och ändringar i OSL. Den nya lagen tar sin systematiska utgångspunkt i vidareanvändning för ändamålet klinisk forskning. Utredningen ser möjligheter att utreda vidare en eventuell utvidgning av lagen, dels avseende datamängder på datahållarsidan, dels om förenklade regler i någon form kan införas för klinisk forskning som inte bygger på samtycke till att delta i forskningen.
41Sammanfattning
Den nya lagens tillämpningsområde avser, på datahållarsidan, regionala myndigheter som bedriver hälso- och sjukvård och, på dataanvändarsidan, regionala myndigheter och lärosäten som bedriver klinisk forskning. De personuppgifter som får tillgängliggöras enligt lagen är uppgifter som regionala myndigheter som bedriver hälsooch sjukvård behandlar enligt 2 kap. 4 § första stycket 1–6 PDL.
Begränsad direktåtkomst och villkor för tillgängliggörande
och behandling av personuppgifter
Tillgängliggörande enligt lagen föreslås få ske genom en så kallad begränsad direktåtkomst eller annat elektronisk utlämnande. Begränsningen i direktåtkomsten innebär att de uppgifter som tillgängliggörs ska avse de personer som omfattas av ett aktuellt forskningsprojekt. I praktiken innebär möjligheten till begränsad direktåtkomst att det finns rättsligt stöd för en region att skapa en modul eller liknande i sina it-system som kan visa vissa fält med sådana uppgifter som behövs för forskningen. Dessa fält kommer forskarna åt med en forskarbehörighet, utan att behöva begära utlämnande med föregående menprövning enligt allmänna regler. Den begränsade direktåtkomsten ska vara tidsbestämd. Som villkor för tillgängliggörande föreslås att uppgifterna ska användas endast vid sådan klinisk forskning som är godkänd enligt tillämpligt etiskt regelverk samt där samtycke inhämtas för att delta i forskningen. Utöver samtycke till att delta i forskningen, ska enligt villkor i den nya lagen, även samtycke som en integritetshöjande åtgärd för den förenklade åtkomsten inhämtas från den registrerade. Den registrerade ska få information om vad den förenklade åtkomsten innebär. Särskilda regler om information och samtycke föreslås för barn och försökspersoner som inte är beslutskompetenta. Utredningen föreslår att regionala myndigheter eller lärosäten som bedriver klinisk forskning endast ska få tillföra forskningen de personuppgifter som behövs för den kliniska forskningen. Kopplat till den nya lagen föreslår utredningen en sekretessbrytande grund och en regel om absolut sekretess i forskningen för uppgifter som inte får tillföras forskningen.
42Sammanfattning
Övriga ändamål
Utvecklings och innovationsverksamhet
Utredningen har resonerar kring utveckling och innovation och lämnar bedömningar avseende olika behov som identifierats. Utredningen för också resonemang kring hur utredningen uppfattar innebörden av begreppen. Utredningen har konstaterar att frågorna är komplexa och behöver utredas vidare. Utredningen gör bedömningen att tillräcklig utredning för att kunna lämna författningsförslag för dessa ändamål inte kunnat rymmas inom de tidsramar som utredningen haft att förhålla sig till. Utredningen lämnar därför inte några författningsförslag avseende utveckling- och innovation, vilket förklaras mer utförligt i avsnitt 2.7. Eftersom utredningen lämnar författningsförslag på en helt ny reglering av ändamålet vård är det en brist att sådan ny verksamhet inte ges rättsliga möjligheter att bedriva utveckling som inte ryms under dagens regler i PDL. Utredningens bedömning är därför att det är angeläget att dessa behov ses över. Utredningen bedömer även att vissa av de behov som finns av utvecklings- och innovationsverksamhet ställer krav på organisatoriska och infrastrukturella lösningar som i dag inte finns för att det ska gå att använda känsliga personuppgifter för dessa ändamål, utan att intrånget i den personliga integriteten blir för stort i förhållande till nyttan. Se vidare resonemang i avsnitt 20.4 och kapitel 23.
Undervisning på akademisk nivå
Utredningen bedömer att de behov som framkommit, som avser undervisning på akademiska nivå, har en nära koppling till primäranvändningen av hälsodata. Undervisning som inte kan genomföras utan att behandling av personuppgifter uppstår inom hälso- och sjukvården innebär ofta en nära koppling till patienterna och vården som behöver utföras. Utredningen bedömer att dessa frågor behöver utredas gemensamt och inte avgränsat till sekundäranvändning. Utredningen lämnar därför inga författningsförslag för undervisning på akademisk nivå. Utredningens bedömning är att det behöver utredas varför olika regioner löser behoven på olika sätt och vad som krävs
43Sammanfattning
för att lösa de behov som finns som är nära kopplade till primäranvändningen.
Statliga, regionala och kommunala myndigheters beslutsfattande
Utredningens har valt att inte lämna några författningsförslag avseende statliga, regionala och kommunala myndigheters beslutsfattande. Utredningens uppfattning är att dessa ändamål kan omfatta en ansenlig mängd olika behov. Utredningen har därför avgränsat den utredning som gjorts till vissa av de behov som omfattas. Utredningens bedömning är att en del behov kopplat till regionala myndigheters beslutsfattande som uppstår i samband med vård bör kunna omhändertas av det författningsförslag avseende vårdändamålet som utredningen lämnar. Det är även möjligt att vissa behov kan omhändertas inom ändamålet utveckling som utredningen skriver om i avsnitt 2.7.6. Utredningen bedömer vidare att det saknas organisatoriska och infrastrukturella lösningar som skulle göra att nyttan stod i proportion till det intrång i den personliga integriteten som ett sådant förslag skulle innebära. Utredningen resonerar kring detta och lämnar bedömningar i avsnitt 20.5.
Konkreta tillämpningssvårigheter
Utredningen har haft i uppdrag att redogöra för olika tillämpningssvårigheter som identifierats under arbetets gång. Utredningen redogör därför för vilka utmaningar och behov som behöver ses över och vad det är för tillämpningssvårigheter som behöver utredas vidare för att kunna komma till rätta med problemen. Tre kapitel rör behov som utredningen bedömer helt eller delvis kan lösas med hjälp av en nationell datahubb (kapitel 19–21). Ytterligare två kapitel rör frågor för fortsatt utredning som utredningen bedömer behöver ses över och utredas vidare, utan att det behövs en nationell datahubb (kapitel 22–23).
44Sammanfattning
Konsekvenser av förslagen
De främsta positiva konsekvenserna av utredningens författningsförslag avseende vårdändamålet är ökad patientnytta till följd av bättre möjlighet till införande av ett precisionsmedicinskt arbetssätt i hälsooch sjukvården och ett mer jämlikt införande. Den främsta positiva nyttan som följer av utredningens författningsförslag avseende klinisk forskning avser minskad administration och därmed kostnadsbesparingar kopplat till utlämnande för klinisk forskning. De främsta negativa effekterna består av ett ökat intrång i den personliga integriteten för vissa patienter, vilket utredningen lämnat förlag för att balansera i form av integritetshöjande åtgärder. Förslagen innebär också viss kostnadsökning för regionerna avseende precisionsmedicinska databaser. Utredningens bedömning är dock att regionerna redan i dag spenderar mycket pengar på precisionsmedicin och att mycket medel läggs ner på lösningar som ska fungera med nuvarande regelverk. Enligt utredningens bedömning är dessa lösningar inte lika kostnadseffektiva som de lösningar som utredningens förslag möjliggör. Förslagen innebär i sig inga negativa konsekvenser för privata företag, men bidrar inte till några nya möjligheter att använda hälsodata. Utifrån att regeringen har en ambition om att Sverige ska vara en ledande life science-nation, gör utredningen bedömningen att uteblivna förslag för denna målgrupp är en negativ konsekvens. Utredningen har försökt att så långt det varit möjligt utreda hur dessa och andra behov som utredningen har fått till sig, skulle kunna omhändertas framgent, vilket redovisas i kapitel 19–23.
451 Författningsförslag
1.1 Förslag till lag (0000:00) om viss
vidareanvändning av personuppgifter
för klinisk forskning
Härigenom föreskrivs följande.
1 kap. Inledande bestämmelser
Uttryck i lagen
1 § I denna lag används följande uttryck med nedan angiven betydelse.
Uttryck Betydelse
EU:s dataskyddsförordning Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Förordning (EU) nr 536/2014 Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG.
46Författningsförslag
Förordning (EU) 2017/745 Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG. Förordning (EU) 2017/746 Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitrodiagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU. Hälso- och sjukvård Verksamhet som avses i hälsooch sjukvårdslagen (2017:30), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering. Lärosäte Ett statligt universitet eller en statlig högskola som har rätt att utfärda examen på forskarnivå, eller en enskild utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som
47Författningsförslag
enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400) är ett organ som jämställs med myndighet i sin forskningsverksamhet. Regional myndighet Myndighet i en region. Aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där en region utövar ett rättsligt bestämmande inflytande enligt 2 kap. 3 § offentlighets- och sekretesslagen (2009:400) ska vid tillämpningen av denna lag jämställas med en myndighet.
Tillämpningsområde
2 § Bestämmelserna i denna lag får tillämpas när personuppgifter som behandlas enligt 2 kap. 4 § första stycket 1–6 patientdatalagen (2008:355) av en regional myndighet som bedriver hälso- och sjukvård vidareanvänds av en regional myndighet eller ett lärosäte som bedriver klinisk forskning.
Ändamål
3 § Personuppgifter som anges i 2 § får, under de förutsättningar som anges i denna lag, vidareanvändas om det behövs för ändamålet klinisk forskning.
Förhållandet till annan dataskyddsreglering
4 § Denna lag kompletterar EU:s dataskyddsförordning. Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag.
48Författningsförslag
Personuppgiftsansvar
5 § En regional myndighet som bedriver hälso- och sjukvård och som tillgängliggör personuppgifter enligt denna lag är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen.
6 § En regional myndighet eller ett lärosäte som bedriver klinisk forskning och som ges tillgång till personuppgifter enligt denna lag är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten eller lärosätet utför enligt lagen.
Behandling av känsliga personuppgifter
7 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av artikel 9.2 j i förordningen.
2 kap. Tillgängliggörande av personuppgifter
Tillgång genom begränsad direktåtkomst eller annat
elektroniskt utlämnande
1 § En regional myndighet eller ett lärosäte som bedriver klinisk forskning får, under de förutsättningar som anges i detta kapitel, ges tillgång, genom begränsad direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas av en regional myndighet som bedriver hälso- och sjukvård.
2 § När personuppgifter görs tillgängliga genom begränsad direktåtkomst, ska åtkomsten vara tidsbestämd. När den bestämda tidsperioden har löpt ut, ska den begränsade direktåtkomsten upphöra. Den regionala myndigheten inom hälso- och sjukvården som tillgängliggör personuppgifterna kan, efter begäran, förlänga den tidsperiod som har bestämts enligt första stycket. Den totala tidsperioden enligt första och andra styckena får inte överskrida sex månader.
49Författningsförslag
3 § Tillgång enligt 1 § får endast avse uppgiftsmängder som kan antas ha betydelse för forskningen.
Villkor för tillgängliggörande
4 § Tillgängliggörande av personuppgifter enligt 1 § får endast ske om 1. uppgifterna ska användas i a) forskning som har godkänts av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning enligt lagen (2003:460) om etikprövning av forskning som avser människor, b) en klinisk läkemedelsprövning som har beviljats eller anses ha beviljats tillstånd i enlighet med förordning (EU) nr 536/2014, c) en klinisk prövning som får påbörjas eller genomföras i enlighet med bestämmelser i förordning (EU) 2017/745 eller enligt lagen (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter eller föreskrifter meddelade i anslutning till den lagen, eller d) en prestandastudie som får påbörjas eller genomföras i enlighet med bestämmelser i förordning (EU) 2017/746, och 2. den registrerade har samtyckt till att delta i forskningen. Villkoret enligt första stycket 2 om samtycke till att delta i forskningen är också uppfyllt om vårdnadshavare samtycker till forskning på barn enligt 18 § andra stycket lagen (2003:460) om etikprövning av forskning som avser människor. Detsamma gäller om lagligen utsedd ställföreträdare samtyckt till forskning på barn eller försökspersoner som inte är beslutskompetenta enligt artiklarna 32 och 31 i Förordning (EU) nr 536/2014, artiklarna 65 och 64 i Förordning (EU) 2017/745 eller artiklarna 61 och 60 i Förordning (EU) 2017/746.
5 § Tillgängliggörande av personuppgifter enligt 1 § får endast ske om den registrerade, utöver samtycke enligt 4 § första stycket 2, har samtyckt till tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande. Innan samtycke lämnas ska den registrerade, utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning, informeras om 1. vad begränsad direktåtkomst eller annat elektroniskt utlämnade enligt lagen innebär, och 2. rätten att återkalla ett samtycke till att uppgifter görs tillgängliga.
50Författningsförslag
6 § Om vårdnadshavare eller lagligen utsedd ställföreträdare har lämnat samtycke till forskning enligt vad som anges i 4 § andra stycket, får tillgängliggörande enligt 1 § endast ske om vårdnadshavare eller lagligen utsedd ställföreträdare samtyckt till tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande. Innan samtycke lämnas ska vårdnadshavare eller lagligen utsedd ställföreträdare få information enligt 5 § andra stycket.
7 § Om den registrerade återkallar samtycke som har lämnats enligt 5 § ska tillgängliggörandet upphöra så snart som möjligt. Om vårdnadshavare eller lagligen utsedd ställföreträdare återkallar samtycke som har lämnats enligt 6 § ska tillgängliggörandet upphöra så snart som möjligt.
3 kap. Behandling av personuppgifter som gjorts tillgängliga
Tilldelning av behörighet för elektronisk åtkomst
1 § En regional myndighet eller ett lärosäte som bedriver klinisk forskning ska bestämma villkor för tilldelning av behörighet inom den egna organisationen för åtkomst till de personuppgifter som gjorts tillgängliga enligt 2 kap. 1 §. Sådan behörighet ska begränsas till vad som behövs för att den behörige ska kunna fullgöra sina arbetsuppgifter inom forskningen.
Villkor för att uppgifternas ska få tillföras forskningen
2 § En regional myndighet eller ett lärosäte som getts tillgång till personuppgifter enligt 2 kap. 1 § får endast tillföra forskningen de uppgifter som behövs för sådan forskning som anges i 2 kap. 4 § första stycket 1.
4 kap. Bevarande och gallring
1 § När en handling är tillgänglig enligt denna lag för en regional myndighet som bedriver hälso- och sjukvård och en regional myndighet eller ett lärosäte som bedriver klinisk forskning gäller skyl-
51Författningsförslag
digheten att bevara handlingen endast för den regionala myndighet inom hälso- och sjukvården som har tillgängliggjort handlingen. Denna lag träder i kraft den 1 januari 2025.
52Författningsförslag
1.2 Förslag till lag om ändring i patientdatalagen
(2008:355)
Härigenom föreskrivs i fråga om patientdatalagen (2008:355) dels att 1 kap. 4 §, 2 kap. 2, 4 och 6 §§, 4 kap. 1 och 2 §§, 5 kap. 4 § och 8 kap. 5, 6 och 7 §§ ska ha följande lydelse, dels att det ska införas ett nytt kapitel, 6 kap., av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 kap.
1 4 § Denna lag innehåller bestämmelser som kompletterar EU:s dataskyddsförordning, vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Vid behandling av personuppgifter som avses i första stycket gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen. I lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation finns ytterligare bestämmelser om vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lag (0000:000) om viss vidareanvändning av personuppgifter för klinisk forskning finns bestämmelser om tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande av personuppgifter från hälso- och sjukvården.
1 Senaste lydelse 2022:915.
53Författningsförslag
2 kap.
2 § 2 Behandling av personuppgifter Behandling av personuppgifter som är tillåten enligt denna lag som är tillåten enligt denna lag får utföras även om den enskilde får utföras även om den enskilde motsätter sig den. Det gäller dock motsätter sig den. Det gäller dock inte i de fall som anges i 4 kap. inte i de fall som anges i 4 kap. 4 § och 7 kap. 2 § eller om något 4 §, 6 kap. 2 § och 7 kap. 2 § eller annat framgår av annan lag eller om något annat framgår av annan förordning. lag eller förordning.
4 § 3 Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för 1. att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter, 2. administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall, 3. att upprätta annan dokumentation som följer av lag, förordning eller annan författning, 4. att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten, 5. administration, planering, uppföljning, utvärdering och tillsyn av verksamheten, 6. att framställa statistik om hälso- och sjukvården, eller 7. antalsberäkning inför klinisk forskning. I 6 kap. 5 § finns särskilda bestämmelser om behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. I 7 kap. 4 och 5 §§ finns särskilda bestämmelser om ändamålen med behandling av personuppgifter i nationella och regionala kvalitetsregister.
2 Senaste lydelse 2022:915. 3 Senaste lydelse 2023:167.
54Författningsförslag
6 § 4 En vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I en region och en kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Personuppgiftsansvaret enligt första stycket omfattar även sådan behandling av personuppgifter som vårdgivaren, eller den myndighet i en region eller en kommun som är personuppgiftsansvarig, utför när vårdgivaren eller myndigheten genom direktåtkomst i ett enskilt fall bereder sig tillgång till personuppgifter om en patient hos en annan vårdgivare eller annan myndighet i samma region eller kommun. I 7 kap. och i 4 kap. 1 § lagen I 6 och 7 kap. samt i 4 kap. 1 § (2022:913) om sammanhållen lagen (2022:913) om sammanvård- och omsorgsdokumenta- hållen vård- och omsorgsdokution finns särskilda bestämmelser mentation finns särskilda bestämom personuppgiftsansvar. melser om personuppgiftsansvar.
4 kap.
1 § Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. I 6 kap. finns särskilda bestämmelser om inre sekretess vid behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser.
2 § 5 En vårdgivare ska bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat. Sådan behörighet ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården.
4 Senaste lydelse 2022:915. 5 Senaste lydelse 2022:915.
55Författningsförslag
I 6 kap. 17 § finns ytterligare bestämmelser som gäller vid tilldelning av behörighet till en precisionsmedicinsk databas. Personuppgifter som behandlas i en utredning enligt lagen (2018:744) om försäkringsmedicinska utredningar för ändamål som anges i 2 kap. 4 § första stycket 1 och 2 får inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare. I den lagen finns särskilda bestämmelser om elektronisk åtkomst vid sådana utredningar. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tilldelning av behörighet enligt första stycket.
5 kap.
4 § 6 Utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning. Om en region eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma region eller kommun. Ytterligare bestämmelser om Ytterligare bestämmelser om direktåtkomst och annat elektro- direktåtkomst och annat elektroniskt utlämnande finns i 5 §, 7 kap. niskt utlämnande finns i 5 §, 6 kap. 9 § och i lagen (2022:913) om 16 § och 7 kap. 9 § och i lagen sammanhållen vård- och omsorgs- (2022:913) om sammanhållen dokumentation. vård- och omsorgsdokumentation. Bestämmelser om begränsad direktåtkomst och annat elektroniskt utlämnande av personuppgifter som behandlas inom hälsooch sjukvården finns i lag ( 0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning.
6 Senaste lydelse 2023:167.
56Författningsförslag
6 kap. Vidareanvändning av patientdata för vårdändamål
Inledande bestämmelse
1 § Med precisionsmedicinsk databas avses en samling av personuppgifter som inrättas särskilt för ändamålet vården av en annan patient än den som uppgifterna avser. En precisionsmedicinsk databas syftar till att skapa underlag för vården av en annan patient än den som uppgifterna avser.
Den enskildes inställning till personuppgiftsbehandling
i precisionsmedicinsk databas
2 § Personuppgifter får inte göras tillgängliga till en precisionsmedicinsk databas, om den enskilde motsätter sig det. Om den enskilde motsätter sig tillgängliggörandet sedan det påbörjats, ska uppgifterna utplånas ur den precisionsmedicinska databasen så snart som möjligt.
3 § En vårdgivare får tillgängliggöra uppgifter om en enskild som inte endast tillfälligt saknar förmåga att ta ställning till behandling i en precisionsmedicinsk databas, om 1. den enskildes inställning till sådan behandling av personuppgifter så långt som möjligt har klarlagts, och 2. det inte finns anledning att anta att den enskilde skulle ha motsatt sig behandlingen av personuppgifterna.
Information
4 § Innan personuppgifter görs tillgängliga till en precisionsmedicinsk databas ska den som är personuppgiftsansvarig informera den enskilde om 1. vad personuppgiftsbehandling i precisionsmedicinsk databas innebär, 2. vad behandling av kompletterande personuppgifter från patientjournal innebär och 3. möjligheten att motsätta sig att uppgifter görs tillgängliga till en precisionsmedicinsk databas.
57Författningsförslag
Ändamål och inre sekretess
5 § I stället för vad som anges i 2 kap. 4 och 5 §§ gäller att personuppgifter, under de förutsättningar som anges i detta kapitel, får behandlas inom hälso- och sjukvården om det behövs för vården av en annan patient än den som uppgifterna avser. Första stycket gäller inte för sådan hälso- och sjukvård som regleras i 1. tandvårdslagen (1985:125), eller 2. lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar. I stället för vad som anges i 4 kap. 1 § gäller bestämmelser om inre sekretess i detta kapitel vid behandling av personuppgifter för det ändamål som anges i första stycket.
6 § Personuppgifter som behandlas för ändamålet vården av en annan patient än den som uppgifterna avser får inte behandlas för några andra ändamål. Personuppgifter som behandlas för ändamål som anges i första stycket får dock behandlas för fullgörande av någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen (2009:400).
Personuppgiftsansvar
7 § Endast en regional myndighet inom hälso- och sjukvården får vara personuppgiftsansvarig för central behandling av personuppgifter i en precisionsmedicinsk databas. I 2 kap. 6 § finns allmänna bestämmelser om personuppgiftsansvar.
Personuppgifter som får behandlas
8 § Endast sådana personuppgifter som behandlas enligt 2 kap. 4 § första stycket 1 och 2 och behövs för ändamål som anges i 5 § första stycket får behandlas med stöd av detta kapitel.
9 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas med stöd av arti-
58Författningsförslag
kel 9.2 h i förordningen under förutsättning att kravet på tystnadsplikt i artikel 9.3 i förordningen är uppfyllt.
Inrättande och förande av en precisionsmedicinsk databas
10 § Endast en regional myndighet inom hälso- och sjukvården får inrätta och föra en precisionsmedicinsk databas.
11 § Regional myndighet inom hälso- och sjukvården som för precisionsmedicinsk databas får endast behandla de personuppgifter som behövs för syftet med databasen.
12 § Den som arbetar hos en regional myndighet inom hälso- och sjukvården som för en precisionsmedicinsk databas får ta del av personuppgifter i databasen endast om han eller hon behöver uppgifterna för sitt arbete med databasen. I 4 kap. 2 och 3 §§ finns allmänna bestämmelser om tilldelning av behörighet för elektronisk åtkomst och kontroll av elektronisk åtkomst.
Urval och tillgängliggörande av personuppgifter
till en precisionsmedicinsk databas
13 § En vårdgivare får behandla personuppgifter för urval och tillgängliggörande till en regional myndighet inom hälso- och sjukvården som för en precisionsmedicinsk databas. Urval och tillgängliggörande får endast ske av personuppgifter som behövs för att skapa underlag för det ändamål som anges i 5 § första stycket.
14 § Tillgängliggörande enligt 13 § får endast avse personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt.
15 § Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient om han eller hon behöver det för sitt arbete med urval och tillgängliggörande av uppgifter till en precisionsmedicinsk databas. I 4 kap. 2 och 3 §§ finns allmänna bestämmelser om tilldelning av behörighet för elektronisk åtkomst och kontroll av elektronisk åtkomst.
59Författningsförslag
Tillgång tillpersonuppgifter i precisionsmedicinsk databas
Tillgång genom direktåtkomst eller annat elektroniskt utlämnade
16 § En regional myndighet inom hälso- och sjukvården får ges tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas i en precisionsmedicinsk databas.
Tilldelning av behörighet för elektronisk åtkomst
17 § När en regional myndighet inom hälso- och sjukvården ska bestämma villkor för tilldelning av behörighet för elektronisk åtkomst enligt 4 kap. 2 § får behörighet till en precisionsmedicinsk databas endast tilldelas den som arbetar i den specialiserade vården och behöver åtkomsten för sitt arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter. Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tilldelning av behörighet enligt första stycket för åtkomst till uppgifter som förs helt eller delvis automatiserat.
Villkor för behandling av personuppgifter
18 § En regional myndighet inom hälso- och sjukvården får behandla personuppgifter som en annan myndighet som för precisionsmedicinsk databas har gjort tillgängliga om 1. någon som arbetar hos myndigheten och enligt 17 § har behörighet till precisionsmedicinsk databas deltar i vården av en patient, och 2. uppgifterna kan ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten.
Inre sekretess
19 § Den som arbetar hos en regional myndighet inom hälso- och sjukvården som för en precisionsmedicinsk databas och har behörighet till sådan databas, får ta del av personuppgifter i databasen om han eller hon
60Författningsförslag
1. deltar i vården av en patient, och 2. uppgifterna kan ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten.
Kompletterande personuppgifter från patientjournal
Begäran om kompletterande personuppgifter
20 § En regional myndighet inom hälso- och sjukvården som har tillgång till en precisionsmedicinsk databas får, hos en vårdgivare som enligt 13 § har tillgängliggjort personuppgifter till den databasen, begära de kompletterande personuppgifter från den patientjournal som kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser. En begäran om kompletterande personuppgifter från patientjournal får också göras inom den myndighet som tillgängliggjort uppgifter till en precisionsmedicinsk databas om uppgifterna kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser.
Tillgängliggörande av kompletterande personuppgifter
21 § En vårdgivare får tillgängliggöra de personuppgifter som omfattas av en begäran om kompletterande personuppgifter enligt 20 §. Tillgängliggörande av kompletterande personuppgifter får endast ske till en regional myndighet inom hälso- och sjukvården som har tillgång till den precisionsmedicinska databasen som vårdgivaren tillgängliggjort uppgifter till.
22 § En regional myndighet inom hälso- och sjukvården får, utöver den behandling av personuppgifter som sker genom tillgång till en precisionsmedicinsk databas, endast behandla de kompletterande personuppgifter om en patient som behövs för vården av en annan patient än de som uppgifterna avser.
23 § Tillgängliggörande enligt 21 § får endast avse personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt.
61Författningsförslag
Inre sekretess
24 § Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient om han eller hon behöver det för sitt arbete med begäran enligt 20 § om kompletterande personuppgifter från patientjournal. I 4 kap. 2 och 3 §§ finns allmänna bestämmelser om tilldelning av behörighet för elektronisk åtkomst och kontroll av elektronisk åtkomst.
25 § Den som enligt 17 § har behörighet till en precisionsmedicinsk databas får ta del av kompletterande personuppgifter om patienter om han eller hon 1. deltar i vården av en patient, och 2. uppgifterna kan antas ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten.
Bevarande och gallring
26 § När en handling i en precisionsmedicinsk databas är tillgänglig för flera regionala myndigheter gäller skyldigheten att bevara den endast för den myndighet som för databasen.
27 § Personuppgifter i en precisionsmedicinsk databas får inte behandlas under längre tid än vad som behövs för ändamålen med databasen.
28 § Personuppgifter i en precisionsmedicinsk databas som enligt 2 § andra stycket ska utplånas till följd av att patienten motsatt sig tillgängliggörande sedan uppgifterna tillgängliggjorts får också gallras.
Ytterligare föreskrifter om precisionsmedicinska databaser
29 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om precisionsmedicinska databaser.
62Författningsförslag
8 kap.
5 § En vårdgivare ska på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst till uppgifter om patienten som förekommit. Första stycket gäller inte den direktåtkomst eller elektroniska åtkomst som förekommit hos en regional myndighet inom hälso- och sjukvården i anledning av att myndigheten för en precisionsmedicinsk databas, har tillgång till en sådan databas eller behandlar kompletterande personuppgifter från patientjournal enligt 6 kap. denna lag. Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om information enligt första stycket.
6 § 7 Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning ska den som är personuppgiftsansvarig enligt denna lag lämna information till den registrerade om 1. den uppgiftsskyldighet som kan följa av lag eller förordning, 2. de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen, 3. rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras, 4. rätten enligt 5 § att få information om den åtkomst som förekommit, 5. rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personuppgifter i strid med denna lag, och 6. vad som gäller i fråga om sökbegrepp, direktåtkomst, utlämnande av uppgifter på medium för automatiserad behandling och annat elektroniskt utlämnande. I 7 kap. 3 § och i 2 kap. 2 § I 6 kap. 4 §, 7 kap. 3 § och i lagen (2022:913) om samman- 2 kap. 2 § lagen (2022:913) om hållen vård- och omsorgsdoku- sammanhållen vård- och omsorgs-
7 Senaste lydelse 2022:915.
63Författningsförslag
mentation finns ytterligare be- dokumentation finns ytterligare stämmelser om vilken informa- bestämmelser om vilken information som ska lämnas i vissa fall. tion som ska lämnas i vissa fall.
7 § 8 I denna lag finns föreskrifter I denna lag finns föreskrifter om andra rättigheter för den en- om andra rättigheter för den enskilde i 3 kap. 8 § och 4 kap. 4 § skilde i 3 kap. 8 §, 4 kap. 4 § och samt 7 kap. 2 och 3 §§. Sådana 6 kap. 2 och 4 §§ samt 7 kap. 2 föreskrifter finns även i 2 kap. och 3 §§. Sådana föreskrifter finns 3 § första stycket lagen (2022:913) även i 2 kap. 3 § första stycket om sammanhållen vård- och om- lagen (2022:913) om sammansorgsdokumentation. hållen vård- och omsorgsdokumentation.
Denna lag träder i kraft den 1 januari 2025.
8 Senaste lydelse 2022:915.
64Författningsförslag
1.3 Förslag till lag om ändring i offentlighets-
och sekretesslagen (2009:400)
Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400) dels att 10 kap. 19, 21, 23 och 24 §§, 24 kap. 9 § och 25 kap. 7, 10 och 11 §§ ska ha följande lydelse, dels att det ska införas två nya paragrafer, 24 kap. 7 b § och 25 kap. 2 a §, och närmast före 24 kap. 7 b § och 25 kap. 2 a § nya rubriker av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
10 kap.
1 19 § Sekretessen enligt 25 kap. 1 §, Sekretessen enligt 25 kap. 1 §, 2 § andra stycket och 3–5 §§ och 2 § andra stycket, 2 a § andra 26 kap. 1 §, 1 a § andra stycket, stycket och 3–5 §§ och 26 kap. 3, 4 och 6 §§ hindrar inte att en 1 §, 1 a § andra stycket, 3, 4 och uppgift lämnas till Polismyndig- 6 §§ hindrar inte att en uppgift heten eller någon annan myn- lämnas till Polismyndigheten eller dighet som ska ingripa mot brott, någon annan myndighet som ska om uppgiften behövs för att för- ingripa mot brott, om uppgiften hindra ett förestående eller avbryta behövs för att förhindra ett föreett pågående brott som avses i stående eller avbryta ett pågående brott som avses i 1. 4 eller 4 a § lagen (1951:649) om straff för vissa trafikbrott, 2. 13 kap. 2 eller 3 § luftfartslagen (2010:500), 3. 30 § lagen (1990:1157) om säkerhet vid tunnelbana och spårväg, 4. 20 kap. 4 eller 5 § sjölagen (1994:1009), 5. 7 kap. 2, 3 eller 4 § järnvägssäkerhetslagen (2022:367), eller 6. 8 kap. 2, 3 eller 4 § lagen (2022:368) om nationella järnvägssystem.
2 21 § Sekretessen enligt 25 kap. 1 §, Sekretessen enligt 25 kap. 1 §, 2 § andra stycket och 3–5 §§, 2 § andra stycket, 2 a § andra 26 kap. 1 §, 1 a § andra stycket, stycket och 3–5 §§, 26 kap. 1 §,
1 Senaste lydelse 2022:916. 2 Senaste lydelse 2022:216.
65Författningsförslag
3, 4 och 6 §§ samt 33 kap. 2 och 1 a § andra stycket, 3, 4 och 6 §§ 4 a §§ hindrar inte att en uppgift samt 33 kap. 2 och 4 a §§ hindrar lämnas till en åklagarmyndighet inte att en uppgift lämnas till en eller Polismyndigheten, om upp- åklagarmyndighet eller Polismyngiften angår misstanke om brott digheten, om uppgiften angår som riktats mot någon som inte misstanke om brott som riktats har fyllt arton år och det är fråga mot någon som inte har fyllt arton om brott som avses i år och det är fråga om brott som avses i 1. 3, 4 eller 6 kap. brottsbalken, eller 2. lagen (1982:316) med förbud mot könsstympning av kvinnor.
23 § 3 Om inte annat följer av 19– Om inte annat följer av 19– 22 §§ får en uppgift som angår 22 §§ får en uppgift som angår misstanke om ett begånget brott misstanke om ett begånget brott och som är sekretessbelagd enligt och som är sekretessbelagd en- 24 kap. 2 a eller 8 §, 25 kap. 1 §, 2 § ligt 24 kap. 2 a eller 8 §, 25 kap. andra stycket eller 3–8 §§, 26 kap. 1 §, 2 § andra stycket, 2 a § andra 1 §, 1 a § andra stycket eller 2–6 §§, stycket eller 3–8 §§, 26 kap. 1 §, 29 kap. 1 §, 31 kap. 1 § första 1 a § andra stycket eller 2–6 §§, stycket, 2 eller 12 §, 33 kap. 2 29 kap. 1 §, 31 kap. 1 § första eller 4 a §, 36 kap. 3 § eller 40 kap. stycket, 2 eller 12 §, 33 kap. 2 2 eller 5 § lämnas till en eller 4 a §, 36 kap. 3 § eller 40 kap. åklagarmyndighet, Polismyndig- 2 eller 5 § lämnas till en åklagarheten, Säkerhetspolisen eller myndighet, Polismyndigheten, någon annan myndighet som har Säkerhetspolisen eller någon annan till uppgift att ingripa mot brottet myndighet som har till uppgift att endast om misstanken angår ingripa mot brottet endast om misstanken angår 1. brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, 2. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller 3. försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168).
3 Senaste lydelse 2022:216.
66Författningsförslag
4 24 § Sekretess som följer av andra Sekretess som följer av andra sekretessbestämmelser än dem sekretessbestämmelser än dem som anges i 19–23 §§, 25 kap. 2 § som anges i 19–23 §§, 24 kap. första stycket och 26 kap. 1 a § 7 b §, 25 kap. 2 § första stycket, första stycket hindrar inte att en 2 a § första stycket och 26 kap. uppgift som angår misstanke om 1 a § första stycket hindrar inte ett begånget brott lämnas till en att en uppgift som angår missåklagarmyndighet, Polismyndig- tanke om ett begånget brott heten, Säkerhetspolisen eller lämnas till en åklagarmyndighet, någon annan myndighet som Polismyndigheten, Säkerhetspolihar till uppgift att ingripa mot sen eller någon annan myndighet brottet, om fängelse är föreskrivet som har till uppgift att ingripa för brottet och detta kan antas mot brottet, om fängelse är föreföranleda någon annan påföljd skrivet för brottet och detta kan än böter. antas föranleda någon annan påföljd än böter.
24 kap.
Vidareanvändning enligt
lag (0000:00) om viss
vidareanvändning av
personuppgifter för klinisk
forskning
7 b § Sekretess gäller hos en myndighet för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig av en myndighet i en region som bedriver verksamhet som avses i 25 kap. 1 § enligt lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning, om inte förutsättningarna enligt 3 kap. 2 § samma lag för att myndigheten ska få till-
4 Senaste lydelse 2022:216.
67Författningsförslag
föra forskningen uppgiften är uppfyllda. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
5 9 § Den tystnadsplikt som följer av 2 a och 8 §§ och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 7 § andra meningen inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsförordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter. Den tystnadsplikt som följer Den tystnadsplikt som följer av 2 § inskränker rätten att med- av 2 och 7 b §§ inskränker rätten dela och offentliggöra uppgifter, att meddela och offentliggöra uppnär det är fråga om uppgift om gifter, när det är fråga om uppgift annat än verkställighet av beslut om annat än verkställighet av beom vård utan samtycke. slut om vård utan samtycke.
25 kap.
Precisionsmedicinsk databas
2 a § Sekretess gäller hos en myndighet som bedriver verksamhet som avses i 1 § i en region för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig av en annan sådan myndighet som för precisionsmedicinsk databas enligt 6 kap. patientdatalagen (2008:355), om inte förutsättningarna enligt 6 kap. 18 § samma lag för att myndigheten ska få behandla uppgiften är uppfyllda. Om de förutsättningar som anges i första stycket är uppfyllda eller myndigheten har behandlat
5 Senaste lydelse 2018:1919.
68Författningsförslag
uppgiften enligt 6 kap. 18 § tidigare, gäller sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Sekretessen gäller inte om annat följer av 7, 8, 10 § eller 26 kap. 6 §. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
7 § Sekretess gäller i verksamhet Sekretess gäller i verksamhet som anges i 1 §, 2 § andra stycket som anges i 1 §, 2 § andra stycket, och 3–5 §§ för uppgift i anmälan 2 a § andra stycket och 3–5 §§ för eller utsaga av en enskild om uppgift i anmälan eller utsaga av någons hälsotillstånd eller andra en enskild om någons hälsotillpersonliga förhållanden, i förhål- stånd eller andra personliga förlande till den som anmälan eller hållanden, i förhållande till den utsagan avser, endast om det kan som anmälan eller utsagan avser, antas att fara uppkommer för att endast om det kan antas att fara den som har lämnat uppgiften uppkommer för att den som har eller någon närstående till denne lämnat uppgiften eller någon närutsätts för våld eller lider annat stående till denne utsätts för våld allvarligt men om uppgiften röjs. eller lider annat allvarligt men om uppgiften röjs. För uppgift i en allmän handling gäller sekretessen i högst femtio år.
10 § 6 Sekretessen enligt 1 §, 2 § andra Sekretessen enligt 1 §, 2 § andra stycket, 3–5 §§ och 8 a och 8 b §§ stycket, 2 a § andra stycket, 3–5 §§ gäller inte och 8 a och 8 b §§ gäller inte 1. beslut i ärende enligt lagstiftningen om psykiatrisk tvångsvård eller rättspsykiatrisk vård, om beslutet avser frihetsberövande åtgärd, 2. beslut enligt smittskyddslagen (2004:168), om beslutet avser frihetsberövande åtgärd, 3. beslut i ärende om klagomål mot hälso- och sjukvården eller dess personal,
6 Senaste lydelse 2010:679.
69Författningsförslag
4. beslut i fråga om omhändertagande eller återlämnande av patientjournal, eller 5. beslut i ärende enligt 4 kap. 10 § eller 8 kap. patientsäkerhetslagen.
11 § 7 Sekretessen enligt 1 § hindrar inte att uppgift lämnas 1. från en myndighet som bedriver verksamhet som avses i 1 § i en kommun till en annan sådan myndighet i samma kommun, 2. från en myndighet som bedriver verksamhet som avses i 1 § i en region till en annan sådan myndighet i samma region, 3. till en myndighet som bedriver verksamhet som avses i 1 §, 26 kap. 1 §, en enskild vårdgivare eller omsorgsgivare enligt det som föreskrivs i lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation, 4. från en myndighet som bedriver verksamhet som avses i 1 § i en region till en myndighet enligt det som föreskrivs i lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning, 5. från en myndighet som bedriver verksamhet som avses i 1 § i en region till en annan sådan myndighet i en annan region enligt det som föreskrivs i 6 kap. patientdatalagen (2008:355), 4. till ett nationellt eller regio- 6. till ett nationellt eller regionalt kvalitetsregister enligt patient- nalt kvalitetsregister enligt patientdatalagen (2008:355), datalagen, 5. från en myndighet som 7. från en myndighet som bedriver verksamhet som avses i bedriver verksamhet som avses i 1 § inom en kommun eller en 1 § inom en kommun eller en region till annan sådan myndig- region till annan sådan myndighet för forskning eller framställ- het för forskning eller framställning av statistik eller för admini- ning av statistik eller för administration på verksamhetsområdet, stration på verksamhetsområdet, om det inte kan antas att den om det inte kan antas att den
7 Senaste lydelse 2022:916.
70Författningsförslag
enskilde eller någon närstående enskilde eller någon närstående till den enskilde lider men om till den enskilde lider men om uppgiften röjs, eller uppgiften röjs, eller 6. till en enskild enligt vad 8. till en enskild enligt vad som föreskrivs i som föreskrivs i – lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål, – lagen (1991:1129) om rättspsykiatrisk vård, – lagen (1995:831) om transplantation m.m., – smittskyddslagen (2004:168), – 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m., – lagen (2006:496) om blodsäkerhet, – lagen (2008:286) om kvalitets- och säkerhetsnormer vid hantering av mänskliga vävnader och celler, – lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ eller förordning som har meddelats med stöd av den lagen, eller – 2 kap. lagen (2017:612) om samverkan vid utskrivning från sluten hälso- och sjukvård.
Denna lag träder i kraft den 1 januari 2025.
71Författningsförslag
1.4 Förslag till förordning om vidareanvändning
av patientdata i precisionsmedicinsk databas
(0000:00)
Härigenom föreskrivs följande.
Inledande bestämmelser
1 § I denna förordning finns föreskrifter som ansluter till 6 kap. patientdatalagen (2008:355). De ord och benämningar som används i förordningen har samma betydelse som i den nämnda lagen.
2 § Denna förordning är meddelad med stöd av 8 kap. 7 § regeringsformen.
Precisionsmedicinsk databas
3 § En precisionsmedicinsk databas ska tillgängliggöra personuppgifter för vården av en annan patient än den som uppgifterna avser. Personuppgifterna i en precisionsmedicinsk databas får behandlas för de ändamål som anges i 6 kap. 5 § patientdatalagen (2008:355).
Samverkansregionala precisionsmedicinska databaser
4 § Endast en sådan regional myndighet inom hälso- och sjukvården som omfattas av en av de sex samverkansregioner för hälsooch sjukvård som anges i 3 kap. 1 § hälso- och sjukvårdsförordningen (2017:80) får inrätta och föra en precisionsmedicinsk databas enligt 6 kap. 10 § patientdatalagen (2008:355). En samverkansregional precisionsmedicinsk databas får finnas i var och en av 1. samverkansregion Stockholm, 2. samverkansregion Linköping, 3. samverkansregion Lund/Malmö, 4. samverkansregion Göteborg, 5. samverkansregion Uppsala/Örebro eller 6. samverkansregion Umeå.
72Författningsförslag
Precisionsmedicinsk databas inom
den Nationella Genomikplattformen
5 § Hos en regional myndighet inom hälso- och sjukvården som ingår i Genomic Medicine Sweden får en precisionsmedicinsk databas inrättas och föras enligt 6 kap. 10 § patientdatalagen (2008:355) inom den Nationella Genomikplattformen.
Personuppgiftsansvar
6 § Endast den regionala myndighet som enligt 4 § inrättar och för precisionsmedicinsk databas får vara personuppgiftsansvarig för central behandling av personuppgifter i en precisionsmedicinsk databas enligt 6 kap. 7 § patientdatalagen.
7 § Den regionala myndighet som inrättar och för precisionsmedicinsk databas inom den Nationella Genomikplattformen enligt 5 § är personuppgiftsansvarig för central behandling av personuppgifter i databasen enligt 6 kap. 7 § patientdatalagen.
Urval och tillgängliggörande av personuppgifter
till en precisionsmedicinsk databas
Samverkansregionala precisionsmedicinska databaser
8 § Vårdgivare som omfattas av en samverkansregion får endast tillgängliggöra personuppgifter till den precisionsmedicinska databas som finns i vårdgivarens samverkansregion.
9 § Vårdgivare som inte omfattas av en samverkansregion, men som bedriver hälso- och sjukvård med en region som huvudman, får tillgängliggöra personuppgifter till den samverkansregionala databas som huvudmannen omfattas av.
73Författningsförslag
Precisionsmedicinsk databas inom den Nationella Genomikplattform
10 § Vårdgivare som ingår i Genomic Medicine Sweden får tillgängliggöra personuppgifter till den precisionsmedicinska databasen inom den Nationella Genomikplattformen.
Tillgång till personuppgifter precisionsmedicinsk databas
11 § Endast regionala myndigheter inom den samverkansregion där en samverkansregional precisionsmedicinsk databas förs får ges tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas i en samverkansregional precisionsmedicinsk databas.
12 § Endast de regionala myndigheter som ingår i Genomic Medicine Sweden får ges tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas i den precisionsmedicinska databasen inom den Nationella Genomikplattformen.
Uppgiftslämnande
13 § Bestämmelser om sekretess inom allmän hälso- och sjukvårdsverksamhet finns i 25 kap. offentlighets- och sekretesslagen (2009:400). Bestämmelser om tystnadsplikt inom enskild hälso- och sjukvårdsverksamhet finns i 6 kap. 12, 13 och 16 §§ patientsäkerhetslagen (2010:659).
Denna förordning träder i kraft den 1 januari 2025.
74Författningsförslag
1.5 Förslag till förordning om ändring
i patientdataförordningen (2008:360)
Härigenom föreskrivs i fråga om patientdataförordningen (2008:360) att 2 § ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 2 § Socialstyrelsen får, efter att ha gett Integritetsskyddsmyndigheten tillfälle att yttra sig, meddela föreskrifter om verkställigheten av 1. tilldelning av behörighet för 1. tilldelning av behörighet för åtkomst till uppgifter som förs åtkomst till uppgifter som förs helt eller delvis automatiserat helt eller delvis automatiserat enligt 4 kap. 2 § patientdatalagen enligt 4 kap. 2 § och 6 kap. 17 § (2008:355) samt sådan tilldel- patientdatalagen (2008:355) samt ning av behörighet vid samman- sådan tilldelning av behörighet hållen vård- och omsorgsdoku- vid sammanhållen vård- och ommentation enligt 4 kap. 3 § lagen sorgsdokumentation enligt 4 kap. (2022:913) om sammanhållen 3 § lagen (2022:913) om sammanvård och omsorgsdokumentation, hållen vård och omsorgsdokumentation, 2. dokumentation och kontroll av elektronisk åtkomst enligt 4 kap. 3 § patientdatalagen samt dokumentation och kontroll av åtkomst vid sammanhållen vård- och omsorgsdokumentation enligt 4 kap. 4 § lagen om sammanhållen vård- och omsorgsdokumentation, 3. de krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst eller annat elektroniskt utlämnande som avses i 5 kap. 5 § patientdatalagen och i 4 kap. 2 § lagen om sammanhållen vård- och omsorgsdokumentation, och 4. den information som ska ges till patienten enligt 8 kap. 5 § patientdatalagen.
Denna förordning träder i kraft 1 januari 2025.
1 Senaste lydelse 2022:924.
752 Utredningens uppdrag
och arbete
2.1 Inledning
I detta kapitel beskrivs utredningens uppdrag och bakgrund till uppdraget, utredningens tolkning och avgränsningar av uppdraget, vissa begrepp som används i betänkandet samt hur utredningen har bedrivit sitt arbete.
2.2 Övergripande om uppdraget
I direktiven anges att utredaren ska: – Analysera vilka möjligheter som, utifrån befintlig lagstiftning kring offentlighet och sekretess, tystnadsplikt samt dataskydd, finns för att personuppgifter eller andra data från flera individer ska kunna användas för vård och behandling av andra enskilda individer samt för att sådana uppgifter ska kunna delas mellan olika aktörer som bedriver vård eller forskning och innovation eller bådadera. Analysen ska även innefatta en analys av den enskildes behov av skydd för den personliga integriteten. – Bedöma om det behövs författningsändringar för att möjliggöra att personuppgifter eller andra data från flera individer ska kunna användas för vård och behandling av andra enskilda individer samt för att sådana uppgifter ska kunna delas mellan olika aktörer som bedriver vård eller forskning och innovation eller bådadera, samt i så fall lämna nödvändiga författningsförslag.
76Utredningens uppdrag och arbete
– Om det är nödvändigt med författningsändringar, särskilt redogöra för hur författningsförslagen förhåller sig till regleringar om offentlighet och sekretess, tystnadsplikt, dataskydd och till den enskildes behov av skydd för den personliga integriteten. – Analysera vilka möjligheter som, utifrån befintlig lagstiftning kring offentlighet och sekretess, tystnadsplikt samt dataskydd, finns för att möjliggöra sekundäranvändning av hälsodata från hälso- och sjukvården för ändamålen forskning, utvecklings- och innovationsverksamhet, undervisning på akademisk nivå samt statliga och regionala och kommunala myndigheters beslutsfattande. Analysen ska även innefatta en analys av den enskildes behov av skydd för den personliga integriteten. – Bedöma om det behövs författningsändringar för att möjliggöra sekundäranvändning av hälsodata från hälso- och sjukvården för ändamålen forskning, utvecklings- och innovationsverksamhet, undervisning på akademisk nivå samt statliga och regionala och kommunala myndigheters beslutsfattande, samt i så fall lämna nödvändiga författningsförslag. – Om det är nödvändigt med författningsändringar, särskilt redogöra för hur författningsförslagen förhåller sig till regleringar om offentlighet och sekretess, tystnadsplikt och dataskydd, och till den enskildes behov av skydd för den personliga integriteten. – Redogöra för de konkreta tillämpningssvårigheter när det gäller den befintliga regleringen av hälsodata som eventuellt framkommer under utredningens gång.
I uppdraget ingår inte att lämna förslag till bestämmelser som bryter statistiksekretessen eller förslag som riskerar att leda till att individdata lagras i egna databaser hos privata aktörer där vidareutnyttjandet inte kan kontrolleras. Det framgår även av direktiven att regeringen gör bedömningen att det inte är inom ramen för regleringen om nationella och regionala kvalitetsregister i 7 kap. patientdatalagen (2008:355), förkortad PDL, eller inom ramen för regler om registerbaserad forskning, som de behov som beskrivs i direktiven kan tillgodoses. Bakgrunden till uppdraget framgår av direktivet. Direktivet hänvisar bland annat till regeringens nationella life science-strategi (N2019/03157) och regeringens datastrategi, Data – en underutnyttjad
77Utredningens uppdrag och arbete
resurs för Sverige (I2021/02739) där det framgår att dataområdet är under stor förändring samt vilka möjligheter nya data kan ge upphov till. Direktivet hänvisar också till behovet av ändrad lagstiftning rörande sekundäranvändning av hälsodata för vård av annan än den enskilde, vilket är en förutsättning för nationell implementering av viss precisionsmedicin i Sverige. Därtill lyfts att regeringen fått en rad synpunkter från olika samhällsaktörer om att regleringen av hälsodata är utdaterad och svårtillämpad. Riksdagen har i ett tillkännagivande till regeringen anfört att en översyn av patientdatalagen och annan relevant lagstiftning bör göras. 1 Det är enligt riksdagen angeläget att lagstiftningen på området är anpassad till de krav som dagens teknik ställer, samtidigt som skyddet för den personliga integriteten värnas. Utredningens direktiv är indelade i tre delar, utredningen redogör för tolkningen av var och ett av dem under avsnitt 2.3, 2.4 och 2.5.
2.3 Tolkning av uppdraget om att skapa
förutsättningar för sekundäranvändning
av hälsodata för patientändamål
Den första delen av utredningens direktiv avser enligt rubriken sekundäranvändning av hälsodata för patientändamål. I denna del av utredningens direktiv är förutsättningarna för implementeringen av precisionsmedicin inom hälso- och sjukvården en central del. Kopplat till precisionsmedicin lyfts i direktiven frågan om utbyte av personuppgifter mellan olika aktörer för vård och behandling av andra enskilda individer. I denna del lyfts även delning av personuppgifter mellan olika aktörer som bedriver vård eller forskning och innovation eller bådadera. Utredningen uppfattar att uppdraget i denna del först och främst avser vidareanvändning av personuppgifter för vårdändamål. Patienten i sig kan inte vara ett ändamål för personuppgiftsbehandlingen, utan det är enligt utredningens tolkning av uppdraget vården av patienten som är ändamålet för personuppgiftsbehandlingen. Däremot uppfattar utredningen att begreppet ”patientändamål” ger uttryck för att de nyttor av vidareanvändning som avses i denna del är av patientnära karaktär. Exakt var gränsen för detta går är inte möjligt att fastställa
1 Bet. hälso- och sjukvårdsfrågor 2018/19:SoU8 punkt 58, rskr. 2018/19:233.
78Utredningens uppdrag och arbete
och utredningen ser inte heller att det är av avgörande betydelse för utredningens uppdrag. Utredningen tolkar vidare uppdraget i denna del som att rättsläget behöver analyseras med avseende på förutsättningarna att för vårdändamål behandla personuppgifter som avser en patient för vården av en annan patient. Det ingår även att utreda förutsättningarna för sådan behandling av personuppgifter mellan aktörer som bedriver hälso- och sjukvård. Utifrån att ändamålet är vård, uppfattar utredningen att de aktörer som kan avses är sjukvårdshuvudmän och vårdgivare. Utredningen uppfattar att det övergripande syftet med analysen och eventuella författningsförslag avseende vidareanvändning av personuppgifter för vårdändamål är att kartlägga de juridiska förutsättningarna för, samt vid behov lämna de författningsförslag som krävs, för att precisionsmedicin ska kunna implementeras inom svensk hälso- och sjukvård. För en beskrivning av precisionsmedicin, se avsnitt 11.4.1. I utredningens författningsförslag formuleras ändamålet som behandling av personuppgifter för vården av en annan patient än den som personuppgifterna avser, se vidare avsnitt 14.4.1. Utöver vårdändamålet, avser uppdraget i första delen av direktiven även ändamålen innovation och forskning. Utredningen har i denna del uppfattat att uppdraget avser situationer där vård, innovation och forskning sker parallellt med varandra. Personuppgifter samlas in och används primärt för vårdändamålet. Det finns även stora behov att kunna använda uppgifterna för utveckling, innovation och forskning. I dessa situationer kan det vara svårt att bedöma vilket det primära- respektive sekundära ändamålet är. Många gånger har det inte heller en praktisk betydelse för den registrerade.
2.4 Tolkning av uppdraget att lämna förslag
som möjliggör utökad sekundäranvändning
av hälsodata
Direktiven i den andra delen tar avstamp i att det generellt finns stor potential i de mängder hälsodata som finns lagrade inom hälso- och sjukvården och som kontinuerligt samlas in. I direktiven lyfts att det finns ett växande behov av användning av hälsodata för att kunna möta alltmer komplexa samhällsutmaningar och att en mer dynamisk datadelning skulle kunna möjliggöra mer effektiv och medborgar-
79Utredningens uppdrag och arbete
centrerad service och vård. Dessutom skulle det kunna öka förmågan att möta samhällsutmaningar och kriser med hjälp av datadrivna analyser och fördjupade kunskapsunderlag som kan ge bättre helhetsbilder i realtid. Det anges vidare att det i dag inte bedöms finnas tillräckliga rättsliga, organisatoriska eller tekniska förutsättningar när det gäller sekundäranvändning av hälsodata för att dessa data ska kunna komma till nytta för ändamål som forskning, utvecklings- och innovationsverksamhet, undervisning samt statliga och regionala myndigheters beslutsfattande. Utifrån detta ska utredningen analysera möjligheterna till sekundäranvändning av hälsodata från hälso- och sjukvården för de angivna ändamålen och bedöma om det behövs författningsändringar för att möjliggöra sådan sekundäranvändning. Utredningen uppfattar att uppdraget redan i nu nämnda delar är mycket omfattande. Det kan tänkas omfatta förbättringar för hälsooch sjukvården, men också andra samhällsfunktioner. Det kan tänkas omfatta både aktörer inom hälso- och sjukvården (offentliga såväl som privata), som statliga, regionala och kommunala myndigheter och privata företag som kan ha nytta av att använda hälsodata från hälsooch sjukvården. Det rör sig om aktörer med olika uppdrag och verksamheter, som omfattas av olika regelverk. För det fall utredningen lämnar författningsförslag, ska utredningen enligt direktiven särskilt redogöra för hur författningsförslagen förhåller sig till regleringar om offentlighet och sekretess, tystnadsplikt och dataskydd, och till den enskildes behov av skydd för den personliga integriteten. Utredningen konstaterar att detta i sig innebär omfattande analyser. Ju fler typer av aktörer som omfattas av förslagen, desto fler perspektiv och juridiska aspekter aktualiseras kopplat till dessa analyser. Utredning noterar att ändamålen forskning och innovation återfinns såväl i denna del av utredningens direktiv som i första delen, avseende uppdraget beträffande sekundäranvändning av hälsodata för patientändamål, se ovan avsnitt 2.3. I direktiven kommenteras inte hur dessa eventuellt överlappar varandra. Utredningen uppfattar att det delvis kan finnas en överlappning avseende uppdragen rörande ändamålen forskning och innovation. Forskning och innovation inom eller med nära koppling till hälso- och sjukvården, där nyttorna realiseras nära patienten, skulle kunna tänkas omfattas av båda delarna i uppdragen. I direktiven framgår en bedömning att det i dag inte finns tillräckliga rättsliga, organisatoriska eller tekniska förutsättningar när det
80Utredningens uppdrag och arbete
gäller sekundäranvändning av hälsodata för att dessa data ska kunna komma till nytta för ändamål som forskning, utvecklings- och innovationsverksamhet, undervisning samt statliga och regionala myndigheters beslutsfattande. Utredningens tolkning av de utpekade ändamålen i direktivens andra del redogörs för, var för sig, nedan.
2.4.1 Forskning
Av direktiven framgår ingen begränsning av vilken typ av forskning som omfattas. Det framgår dock att det är forskning som kräver tillgång till hälsodata. Utredningens bedömning är att det finns olika typer av forskning när det kommer till hälsodata. Det innebär att en mängd olika juridiska aspekter kan aktualiseras. I kapitel 6 beskriver utredningen viktiga begrepp och regelverk inom sådan forskning som utredningen tolkar är av vikt för utredningens arbete. En av utgångspunkterna för utredningens uppdrag beskrivs i direktiven vara life science-strategin. Det framgår även i direktiven att svensk medicinsk forskning och life science ska ligga i framkant för att Sverige ska vara internationellt konkurrenskraftigt inom området. Enligt Vetenskapsrådets definition syftar medicinsk forskning till att öka grundläggande kunskaper om hur celler och vävnader fungerar och interagerar, samt till att bidra till att förbättra och utveckla läkemedel, vård- och be- 2 handlingsmetoder och medicintekniska produkter. Det här tolkar utredningen som att forskningen som avses i direktiven sannolikt avser sådan hälsodata som utgörs av personuppgifter. När hälsodata utgörs av personuppgifter aktualiseras särskilda bestämmelser i dataskyddsförordningen. En möjlig tolkning av direktiven är att det först och främst avser forskning som stärker hälso- och sjukvården och att forskningen då utgår från hälsodata som utgörs av personuppgifter. Utredningen anser dock att det inte går att utesluta en bredare tolkning. Annan forskning kan vara forskning kring exempelvis trafiksäkerhet som indirekt kan påverka hälso- och sjukvården. Det här innebär att det är svårt att sätta en yttre gräns för vilken forskning som skulle kunna omfattas av utredningens direktiv. Även om tolkningen av vilken forskning som ska omfattas begränsas till att primärt avse forskning som stärker hälso- och sjuk-
2 https://www.vr.se/uppdrag/klinisk-forskning/definitioner-av-begrepp-inom-medicinskoch-klinisk-forskning.html (Hämtat 2023-10-05).
81Utredningens uppdrag och arbete
vården, innebär sådan forskning att det finns behov som kräver flera olika juridiska perspektiv att ta hänsyn till.
2.4.2 Utveckling och innovation
I utredningens direktiv definieras utvecklings- och innovationsverksamhet som utvecklingen och implementeringen av nya eller förbättrade produkter, processer eller tjänster genom användning av tekniska uppgifter, affärsinformation och annan befintlig kunskap tillsammans med sekundäranvändning av person-uppgifter från hälso- och sjukvården. Utredningens bedömning är att det finns olika typer av utveckling när det kommer till hälsodata. Det finns utveckling inom vården som är direkt kopplad till vården av patienterna och omfattas av sådan utveckling som anges i 2 kap. 4 § 4 PDL. Sedan finns utveckling som indirekt påverkar vården. Detta kan röra exempelvis utveckling av fastighetsskötsel eller annat, så som underhåll av ramper. Ett utvecklingsarbete på detta område skulle exempelvis kunna vara att ersätta en ramp med en hiss. Utredningen bedömer att denna typ av utveckling inte är den typ av utveckling som avses i utredningens direktiv. Däremot är det en övergående skala från denna typ av utveckling till den utveckling som är nära kopplad till patienten. Slutligen finns utveckling som indirekt kan påverka vården men som kan ha en annan typ av koppling till vården. Exempelvis har ett läkemedels- eller medicinteknikföretag närmre koppling till hälso- och sjukvården än en biltillverkare som tillverkar krockkuddar. Det går att argumentera för att båda utvecklar produkter som kopplar till hälsa, men utredningen bedömer att utveckling av produkter som ska användas i sjukvården för vård av patienter har en närmare koppling till vården än exempelvis krockkuddar och säkerhetsbälten. Utredningens arbete har i första hand utgått ifrån behovet i vårdens kärnverksamhet och i andra hand utgått ifrån behovet för life science sektorn och vårdens kringverksamhet. Utveckling för övriga sektorer har utredningen tagit hänsyn till i sista hand eftersom deras behov bedömts vara minst i förhållande till de andra. Vad gäller begreppet innovation så är det inget begrepp som finns definierat i den svenska lagstiftningen. I den finska lagen för sekundäranvändning finns innovation som ett eget ändamål. Utredningen
82Utredningens uppdrag och arbete
har varit i kontakt med Findata 3 angående hur innovation används i praktiken och hur det skiljer sig mellan forskning och utveckling. Deras bedömning var att innovationsbegreppet är svårt att använda och att datauttag många gånger görs som forskning i stället eftersom det ofta ger tillgång till mer hälsodata och därför också möjliggör för fler typer av analyser. 4 Utredningen har därför tolkat att själva begreppet innovation kan ses som utveckling eller utveckling med mer verkshöjd.
2.4.3 Utbildning på akademisk nivå
Av direktiven framgår ingen tydlig avgränsning av vilken typ av utbildning på akademisk nivå som omfattas. Det framgår dock att det är sådan utbildning på akademisk nivå som i förlängningen förväntas stärka hälso- och sjukvården. Det finns olika typer av akademisk undervisning som i förlängningen kan förväntas stärka hälso- och sjukvården. Utredningens tolkning av behoven är att det främst rör blivande vårdpersonal som läkarstudenters tillgång till hälsodata när de gör praktik eller när de skriver sin examensuppsats. Utredningen tolkar även direktiven som att andra yrkeskategorier kan ha liknande behov under förutsättning att de behöver så kallad vårdförlagd utbildning under sin akademiska utbildning. Utredningen konstaterar att begreppen primär- och sekundäranvändning skapar vissa utmaningar i sammanhanget. Avseende till exempel läkarstudenters examensuppsatser skrivs dessa, som utredningen förstått det, många gånger under primärändamålet utveckling, ur vårdgivarens perspektiv. Samtidigt är det primära ändamålet utbildning för studenten och lärosätet. Utredningens uppfattning att det oftast handlar om två parallella primära ändamål snarare än ett primärt och ett sekundärt. När det kommer till läkarstudenters praktik eller så kallad vårdförlagd utbildning så skapar uppdelningen mellan primär- och sekundäranvändning också problem. Den primära anledningen till att studenten gör praktik är utbildning sett ur studentens och lärosätets perspektiv. Ur vårdgivarens eller patientens perspektiv är det primära syftet vård.
3 Findata är en finsk tillståndsmyndigheten som utfärdar tillstånd för sekundäranvädning av hälsodata. 4 Möte med THL 2022-10-21.
83Utredningens uppdrag och arbete
Utredningen har konstaterat att utbildning på akademisk nivå är ett ändamål som återfinns i den finska lagstiftningen om sekundäranvändning. Utredningens tolkning är att den finska lagstiftningen fungerat som förebild vid framtagandet av direktiven och att det är en av anledningarna till att utredningen haft i uppdrag att utröna vilka behoven av hälsodata som finns inom utbildning på akademisk nivå. Utredningen konstaterar sammanfattningsvis att det är komplext att tolka behoven ur enbart ett sekundäranvändningsperspektiv.
2.4.4 Myndigheters beslutsfattande
Av direktiven framgår ingen begränsning av vilken typ av myndigheters beslutsfattande som omfattas, mer än att kommunala, regionala och statliga myndigheter listas. Det framgår däremot att det är sådant beslutsfattande som kräver tillgång till hälsodata. Det här innebär att uppdraget kan omfatta oerhört många typer av beslut och sannolikt lika många juridiska aspekter och perspektiv. Utredningens bedömning av ändamålet statliga, regionala och kommunala myndigheters beslutsfattande är att regeringen önskat driva på utvecklingen där hälsodata används i större utsträckning för att fatta välgrundade beslut. Utredningens tolkning vad gäller kommunala och regionala myndigheter är att de sannolikt bör begränsas till att omfattas av sådana myndigheter som bedriver vård. Utredningens bedömning är att det finns en tydlig skillnad mellan behoven av hälsodata för kommunala eller regionala myndigheter i form av vårdgivare jämfört med till exempel statliga myndigheter. Gemensamt är dock att alla kan behöva hälsodata för att fatta vissa av sina beslut. Kommunala och kanske framför allt regionala vårdgivare har behov av hälsodata för att fatta beslut på macro- meso- och micronivå. Med macronivå avser utredningen exempelvis vårdbehov som en regionledning kan behöva fatta beslut kring. Med mesonivå avser utredningen exempelvis vårdplanering för enskilda sjukhus. Med micronivå avser utredningen enskilda kliniker eller enskilda personers användning av hälsodata i enskilda patientmöten. I korthet har utredningen bedömt att statliga myndigheter framför allt har registerförfattning att använda som grund för beslutsfattande när det rör hälsodata som utgörs av personuppgifter som behövs för beslutsfattandet. För kommunala och regionala vårdgivare
84Utredningens uppdrag och arbete
som kräver tillgång till hälsodata som utgörs av personuppgifter för sina beslutsfattande tillämpas PDL. Utredningens egen uppfattning om hur behoven bör tillgodoses omhändertas i avsnitt 2.7.8. Utredningens bedömning är att vissa aspekter omhändertas inom utredningens författningsförslag som avser vårdändamålet. Vid personuppgiftsbehandling som avser vård av annan än den personuppgifterna avser, utgör de nya möjligheterna som följer av utredningens författningsförslag, en form av beslutsstöd. Beslutsfattande som behöver fattas som direkt rör vård av patienter bör, till viss del, enligt utredningens uppfattning omhändertas inom utvecklingsändamålet. Den bedömningen gör utredningen utifrån att slutsatser som kan dras vid utveckling av vården bör kunna ligga till grund för nya beslut i framtiden. Övriga behov handlar, enligt utredningens bedömning, sannolikt ofta om tillgång till hälsodata på aggregerad nivå som efterfrågas när det gäller olika myndigheters beslutsfattande. Utredningen tolkar därför direktiven som att det ges uttryck för att det främst saknas organisatoriska och tekniska möjligheter för att kunna använda hälsodata för dessa myndigheters beslutsfattande.
2.4.5 Frågan om inrättande av en nationell datahubb
Bedömning: Enligt direktiven ska utredningen säkerställa att de förslag som lämnas är förenliga med målsättningen att inom ramen för en befintlig myndighet inrätta en teknisk och organisatorisk funktion för säker och effektiv delning av hälsodata. Utredningen har tolkat uppdraget som att det inte omfattar att lämna förslag på inrättande av en nationell datahubb vid en myndighet eftersom det skulle kräva omfattande och genomgripande författningsförslag som inte skulle ge utrymme åt utredning av de ändamål som uttryckligen anges i direktiven. Utredningen resonerar däremot så långt det är möjligt utan att lämna författningsförslag i kapitel 19–21 om införande av en sådan nationell datahubb. Resonemangen i dessa kapitel utgörs av bedömningar som efter ytterligare utredning kan leda till författningsförslag.
I utredningen direktiv anges att uppdraget omfattar att säkerställa att de förslag som lämnas är förenliga med målsättningen att inom ramen för en befintlig myndighet inrätta en teknisk och organisatorisk
85Utredningens uppdrag och arbete
funktion för säker och effektiv delning av hälsodata, i likhet med Findata i Finland eller andra liknande strukturer i andra länder. Utredningen noterar också att det finns stora likheter mellan de ändamål som omfattas av utredningens uppdrag avseende utökade möjligheter till sekundäranvändning av hälsodata och de ändamål som omfattas av den finska sekundäranvändningslagen. Vidare anges i direktiven att för att förbättrade rättsliga möjligheter till sekundäranvändning av hälsodata ska kunna få verkligt genomslag behöver dessa förbättringar framöver kunna kompletteras med bättre tekniska, kompetensmässiga och organisatoriska funktioner för den faktiska datadelningen. Dessa faktorer är också förutsättningar för att Sverige ska kunna vara en del av det europeiska hälsodataområdet. En möjlighet är att en befintlig myndighet görs ansvarig för att möjliggöra datadelning i likhet med Findata i Finland. Utredningen har utifrån detta haft anledning att ta ställning till hur långt utredningens förslag ska gå. Utredningen uppfattar att uppdraget omfattar att kartlägga och analysera strukturer för datadelning i andra länder. Utredningen har tolkat detta som strukturer som följer av delen av förslagen till Europeiska kommissionens förslag till Europaparlamentets och Rådets förordning om ett europeiskt hälsodataområde, COM(2022) 197 final av den 3 maj 2022, förkortat förslaget till EHDS, som avser sekundäranvändning. Utredningen redogör för detta i kapitel 10. Utredningen uppfattar även uppdraget att se över just juridiska utmaningar med dagens lagstiftning. Utredningen har dock inte tolkat uppdraget som att det omfattar att lämnar förslag på inrättande av en nationell datahubb vid en statlig myndighet. Denna bedömning gör utredningen bland annat för att det inte uttryckligen står i direktivet. Att inrätta en nationell datahubb är ett mycket omfattande arbete och om regeringen hade velat att utredningen gjorde det så utgår utredningen från att det tydligt framgått av direktiven och att tydliga tekniska specifikationer skulle angetts. Utredningens uppfattning är även att utredningstiden skulle varit anpassad efter ett sådant uppdrag om det skulle ingått i uppdraget. Det hade inte varit möjligt för utredningen att både utreda rättsliga förutsättningar för de uttryckliga ändamålen som anges i direktiven parallellt med en så stor fråga som etableringen av en nationell datahubb med de angivna tidsramarna. Utredningen tolkar skrivelsen om att förslagen ska vara förenliga med målsättningen som att regeringen har en sådan målsättning men att regeringen har för ambition att först uttryckligen peka ut lämplig statlig myndighet
86Utredningens uppdrag och arbete
och att regeringen kommer återkomma i denna fråga. Utredningen bedömer vidare att det är rimligt att regeringen medvetet avvaktat med att uttryckligen skriva ut ett uppdrag om att reglera upp en nationell datahubb eftersom stora delar av en sådan datahubb sannolikt kommer påverkas av förslaget till EHDS. Av den anledningen bedömer utredningen att det är lämpligt att etableringen av en nationell datahubb utreds när regeringen vet mer om hur den slutliga förordningen kommer att se ut. Frågor som tekniska möjligheter, infrastruktur, it och informationssäkerhet behöver ses över med ett samlat grepp för att se vad som är möjligt att genomföra. Detta är frågor som utredningen inte haft möjlighet eller kompetens att se över. För att arbetet med att etablera en nationell datahubb ska bli så effektivt som möjligt behöver regeringen först peka ut lämplig statlig myndighet för att sedan utreda vilka rättsliga förutsättningar just den myndigheten skulle ha för uppdraget. Utredningen har därför valt att fokusera på att skapa ett så bra underlag som möjligt för regeringen i dess arbete att ta fram en nationell datahubb, se kapitel 19–21 och bilaga 4.
2.5 Tolkning av uppdraget att redogöra
för tillämpningssvårigheter gällande
befintlig reglering
Enligt utredningens direktiv har utredningen i uppdrag att redogöra för eventuella tillämpningssvårigheter när det gäller befintlig reglering av hälsodata. Syftet med detta anges i direktivet vara att konkretisera vilka problem som finns och på så sätt underlätta regeringens fortsatta arbete på hälsodataområdet. Utredningen tolkar denna del av uppdraget som att regeringen konstaterar att behoven är många på hälsodataområdet och att utredningen inte kan förväntas lämna förslag på alla behov och problem som identifieras under utredningens gång. Utredningen avser därför redogöra för vilka utmaningar och behov som behöver ses över och vad det är för tillämpningssvårigheter som behöver utredas vidare för att kunna komma till rätta med problemen. Utredningen har valt att dela upp denna del i två delar för att på ett pedagogiskt sätt kunna hjälpa regeringen på bästa sätt med de resurser och den kompetens som utredningen haft tillgänglig. Den första delen rör behov som utredningen bedömer helt eller delvis kan lösas med
87Utredningens uppdrag och arbete
hjälp av en nationell datahubb (kapitel 19–21). Den andra delen rör frågor för fortsatt utredning som utredningen bedömer inte helt eller delvis går att lösa med hjälp av en nationell datahubb (kapitel 22–23).
2.6 Begrepp som påverkar tolkningar
och avgränsningar av uppdraget
2.6.1 Definition av hälso- och sjukvården
Hälso- och sjukvården i utredningens direktiv
Hälso- och sjukvården är central i utredningens direktiv. Uppdraget att skapa förutsättningar för sekundäranvändning av hälsodata för patientändamål/vårdändamål har huvudfokus på hälso- och sjukvården, se vidare avsnitt 2.3. Uppdraget avseende utökade möjligheter till sekundäranvändning av hälsodata för forskning, utvecklings- och innovationsverksamhet, undervisning på akademisk nivå samt statliga och regionala och kommunala myndigheters beslutsfattande avser hälsodata ”från hälso- och sjukvården”. Direktiven ger också uttryck för att det först och främst är i hälsooch sjukvården som nyttan av sekundäranvändningen ska realiseras. I direktiven talas om hälsodata som nationell resurs för framtidens hälso- och sjukvård och att sekundäranvändning för angivna ändamål förväntas stärka hälso- och sjukvården. I den inledande sammanfattningens av uppdraget anges att syftet med uppdraget är att utveckla möjligheterna till sekundäranvändning av hälsodata för att direkt eller indirekt stärka hälso- och sjukvården. Utredningen noterar att det i direktiven saknas en definition av hälso- och sjukvården. Det anges inte heller vad som närmare avses med hälsodata ”från” hälso- och sjukvården. I det följande redogörs för hur utredningen definierar hälso- och sjukvården samt hur utredningen tolkar formuleringen ”från hälso- och sjukvården”.
88Utredningens uppdrag och arbete
Hälso- och sjukvård i lagstiftningen
Hälso- och sjukvård definieras i olika lagar. Definitionerna skiljer sig något åt. Enligt hälso- och sjukvårdslagen (2017:30), förkortad HSL, avses med begreppet hälso- och sjukvård åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador, sjuktransporter, och omhändertagande av avlidna (2 kap. 1 § HSL). Tillämpningsområdet för patientdatalagen (2008:355), förkortad, PDL är vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal. Förutom verksamhet enligt hälso- och sjukvårdslagen omfattar PDL även verksamheter i ett antal andra uppräknande lagar. Dessa är tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter, lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar samt den upphävda lagen (1944:133) om kastrering (1 kap. 3 § PDL). I lag (2022:913) om sammanhållen vård- och omsorgsdokumentation, förkortad SVOD, definieras hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering (1 kap. 1 § SVOD). Enligt biobankslag (2023:38) avses med hälso- och sjukvård verksamhet som omfattas av hälso- och sjukvårdslagen (2017:30) eller tandvårdslagen (1985:125).
Utredningens definition av hälso- och sjukvård
Utredningen konstaterar att det finns legaldefinitioner av hälso- och sjukvård. Utredningen anser att det är lämpligast att ansluta sig till en sådan befintlig definition av hälso- och sjukvård. Mot bakgrund
89Utredningens uppdrag och arbete
av att utredningens författningsförslag avser vidareanvändning av personuppgifter från hälso- och sjukvården utgår utredningen från tillämpningsområdet för PDL och därmed från definitionen av hälso- och sjukvård i den lagen. Vilka verksamheter som omfattas av utredningens förslag framgår av avsnitt 2.8. Det är vårdgivares behandling av personuppgifter enligt PDL som är utredningens utgångspunkt. När det i utredningens direktiv anges ”vården”, tolkar utredningen det som att det är svensk hälso- och sjukvård som avses. Socialtjänsten omfattas inte av hälso- och sjukvården, se vidare nedan avsnitt 2.7, Utredningens avgränsning av uppdraget. Hälsodata ”från” hälso- och sjukvården omfattar enligt utredningens tolkning hälsodata som finns lagrad inom hälso- och sjukvården. Formulerat utifrån PDL:s tillämpningsområde får förstås personuppgifter som behandlas av vårdgivare inom hälso- och sjukvården (se 1 kap. 1 PDL). Utifrån tryckfrihetsförordningens (1949:105), förkortad TF, terminologi avser det hälsodata i handlingar som förvaras hos en myndighet som bedriver hälso- och sjukvård (se 2 kap. 3, 4 och 6–8 §§ TF). Hälsodata från hälso- och sjukvården skulle också kunna tänkas avse hälsodata som producerats inom hälso- och sjukvården men som även finns hos andra aktörer. Till exempel rapporterar vårdgivare in data till statliga myndigheter, såsom Socialstyrelsen och Läkemedelsverket.
2.6.2 Begreppet hälsodata
Utredningens uppdrag avser enligt direktiven uteslutande sekundäranvändning av hälsodata. I direktiven definieras hälsodata med anknytning till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad EU:s dataskyddsförordning. Med hälsodata avses enligt direktiven en dokumenterad personuppgift som rör en persons fysiska eller psykiska hälsotillstånd i bred bemärkelse och som utgör känsliga personuppgifter enligt EU:s dataskyddsförordning. Utredningen noterar att begreppet hälsodata används allt oftare i olika sammanhang, vilket bland annat framgår av utredningsdirek-
90Utredningens uppdrag och arbete
tiven. Begreppet används av olika aktörer och dess innebörd varierar. Utredning konstaterar att begreppet inte har någon rättslig definition och att det inte heller i andra sammanhang har en entydig definition. I avsnitt 19.2 berörs också hälsodataområdets komplexitet. Utredningen använder begreppet ”data” i meningen dokumenterad information (se avsnitt 3.2). Data är typiskt sett information i digitalt format, men kan också avse information som dokumenterats på annat sätt.
Infallsvinklar på begreppet hälsodata
En möjlig infallsvinkel på begreppet hälsodata är att knyta an till vad som utgör känsliga personuppgifter enligt EU:s dataskyddsförordning. Begreppet skulle då i vart fall omfatta uppgifter om hälsa enligt artikel 9.1. Om begreppet ska omfatta ”fysiska eller psykiska hälsotillstånd i bred bemärkelse”, såsom anges i direktiven, skulle det sannolikt också behöva omfatta genetiska uppgifter enligt samma bestämmelse i dataskyddsförordningen. En liknande typ av definition som anknyter till uppgifterna som sådana kopplat till en individ, är den som Kommittén för teknologisk innovation och etik, KOMET, har valt i sin rapport om samtycke inom vård och inom medicinsk forskning. I rapporten definieras hälsodata som ”en dokumenterad uppgift som 5 rör en persons fysiska eller psykiska hälsotillstånd”. En sådan definition skulle dock utesluta data som inte är personuppgifter enligt EU:s dataskyddsförordning. Den synliggör inte heller andra juridiska perspektiv som kan finnas, till exempel sekretess. Ett annat sätt att närma sig begreppet hälsodata är att försöka beskriva vad det är för typ av information. Hälsodata kan då kort och gott beskrivas som data kopplade till människors hälsa (se prop. 2022/21:60, s. 81). Ett liknande, men mer konkret sätt att förhålla sig till hälsodata, är att ange vilken typ av uppgifter som menas med tillhörande exempel. Detta sätt används också huvudsakligen i Socialstyrelsens rapport Kartläggning av datamängder av nationellt intresse på hälsodataområdet – delrapport. 6 I rapporten beskrivs typer av hälsodata enligt följande:
5 Komet beskriver 2019:07. Samtycke inom vård och medicinsk forskning, s. 3. 6 Kartläggning av datamängder av nationellt intresse på hälsodataområdet – delrapport, Nationellt tillgängliga hälsodata för en datadriven hälso- och sjukvård, forskning och innovation (2022-3-7781).
91Utredningens uppdrag och arbete
• Vårddata; exempelvis diagnoser, vårdåtgärder, läkemedelsanvändning, laboratoriesvar, bildanalys, enkäter, skattningsskalor, med mera inom vård och omsorg, tandvård eller socialtjänstens områden. • Livsstilsdata; kost, fysisk aktivitet, alkohol, narkotika, dopning, tobak och spel, livskvalitet, med mera. • Biologiska data; ålder, fenotyp, mikrobiomarkörer, vävnader, biometrisk information, genomik med mera. • Socioekonomiska data; socialförsäkringsdata, yrke, utbildning, inkomst, demografiska data (bostadsområde, folkbokföringsadress, födelseland) med mera. • Organisatoriska; sjukvårdssystem (organisatoriska, geografiska, ekonomiska data om verksamheter och personal till exempel yrke och utbildningsnivå, arbetsställe, med mera), produktregister. • Miljödata; luft, vatten, boendemiljö, utemiljöer för barn med mera. • Aggregerad information; beteenderelaterade mönster som resmönster, sökmönster (till exempel rådgivning, 1177, 112) med mera.
Ovan nämnda data kan många fall utgöra personuppgifter och även känsliga personuppgifter enligt EU:s dataskyddsförordning, men de måste inte alltid måste vara det. Hälsodata enligt detta synsätt är alltså bredare än den möjliga definitionen enligt utredningens direktiv som har anknytning till EU:s dataskyddsförordning. Ett principiellt annat sätt att förhålla sig till begreppet hälsodata är att koppla begreppet till data i en viss verksamhet eller aktör, det vill säga var informationen finns. Hälsodata skulle då kunna definieras utifrån aktörer som bedriver verksamhet där det samlas in och registreras typer av hälsodata, till exempel vårddata och biologiska data. Sådana aktörer kan vara vård- och omsorgsgivare. Hälsodata kan utifrån detta beskrivas som data inom hälso- och sjukvården eller socialtjänsten. Det går också att kombinera en beskrivning av informationen med var den finns, till exempel biologiska data, vårddata och livsstilsdata som genereras inom hälso- och sjukvården och omsorgen. 7 I Socialstyrelsens rapport ovan beskrivs vårddata i sig som information inom vård och omsorg, tandvård eller socialtjänstens områden.
7 Se för ett sådant angreppssätt, E-hälsomyndighetens förstudie om ett statligt, nationellt datautrymme för bilddiagnostik (S2021/03122), s. 147.
92Utredningens uppdrag och arbete
En definition med koppling till hälsodata som innehåller både typ av information som avses samt var den finns, i kombination med en koppling till EU:s dataskyddsförordning, finns förslaget till EHDS. I förslaget till EHDS definieras personliga e-hälsodata som uppgifter om hälsa och genetiska uppgifter enligt definitionen i EU:s dataskyddsförordning, samt uppgifter som avser bestämningsfaktorer för hälsa, eller uppgifter som behandlas i samband med tillhandahållande av hälso- och sjukvårdstjänster, och som behandlas i elektroniskt format (se artikel 2.2 a) i förslaget till EHDS).
Utredningens beskrivning av hälsodata
Utredningen använder begreppet hälsodata med innebörden dokumenterad information som avser vårddata, biologiska data, eller livsstilsdata. Motivering till utredningens beskrivning är att utredningen anser att en beskrivning av hälsodata inte bör grundas i något regelverk. Det regelverk som i och för sig skulle ligga närmast till hands, utifrån att det har störst generell tillämplighet, är EU:s dataskyddsförordning. Om en definition av hälsodata ska göras utifrån ett regelverk, bör det enligt utredningens mening knyta an till EU:s dataskyddsförordning och utformas i linje med den definition som finns i utredningens direktiv. Hälsodata behöver dock inte alltid vara personuppgifter enligt dataskyddsregelverket. Det kan också vara så att ett så kallat dataset innehåller både information som är personuppgifter och som inte är det, eller inte längre är det. I ett dataset finns ofta en mängd variabler, där vissa utgörs av personuppgifter, andra inte. Några variabler kan utgöra personuppgifter först när de kombineras. Samtidigt finns andra regelverk som också kan vara tillämpligt på hälsodata, såsom sekretessregler. Utredningen ser därför ett behov av att frikoppla beskrivningen av hälsodata från olika potentiellt tillämpliga regelverk. Dessa kan i stället appliceras på den beskrivning som utredningen föreslår.
Förklaring till beskrivningen
Utredningen ser ett behov av en generell beskrivning av hälsodata som är praktiskt användbar för att belysa vilken typ av information som omfattas av begreppet. Utgångspunkten bör därför vara en be-
93Utredningens uppdrag och arbete
skrivning som anger vissa typer av information. Beskrivningen bör vara användbar och begriplig för både praktiker och jurister. En omfattande eller allmänt hållen beskrivning av informationstyper har fördelen att den inte skapar gränsdragningsproblem. En sådan beskrivning tenderar dock att bli intetsägande och inte tillföra något av värde. Begreppet bör därför enligt utrednings uppfattning avgränsas på något sätt. Utredningens ambition har varit att ringa in det centrala och hitta kärnan i den information som bör anses vara hälsodata. Utredningen har därför övervägt olika sätt att avgränsa innebörden av begreppet hälsodata. Utredningen noterar en principiell skillnad mellan data om hälsa som härrör från individen och data som avser utifrån kommande faktorer som kan påverka människors hälsa. Exempel på data som härrör från individen är diagnos, biologisk ålder och personens arvsmassa, medan luftföroreningar eller socioekonomi inte härrör direkt från individen. Data som avser faktorer som kommer utifrån bör enligt utrednings mening inte ingå i en beskrivning av hälsodata, eftersom dessa snarare är faktorer som samvarierar med en persons hälsa eller på annat sätt indirekt säger något om en persons hälsa. Exempelvis går det att göra antaganden om att personer som utsatts för en viss typ av luftföroreningar på gruppnivå kommer ha sämre hälsa, men den hälsodata som direkt kopplar till individen är information om ett hälsotillstånd, som kan eller inte kan uppstått till följd av luftföroreningarna. Utredningen konstaterar även att det finns en skiljelinje mellan information som i sig avser en individs hälsa och information om faktorer som är bestämmande för en individs hälsa, så kallade bestämningsfaktorer för hälsa (se artikel 2.2 a) i förslaget till EHDS). Bestämningsfaktorer för hälsa är exempelvis yrke, utbildning och sjukvårdssystem. Dessa faktorer kan påverka individens hälsa och ha betydelse för folkhälsan i stort. En beskrivning som omfattar även bestämningsfaktorer för hälsa riskerar dock att bli så vid att i princip vilka faktorer som helst ingår. Utredningen anser att en sådan beskrivning inte skulle bli särskilt praktiskt användbar. Avseende betydelsen av vårddata, biologiska data och livsstilsdata ansluter sig utredningen till den betydelse som anges i Socialstyrelsens rapport Kartläggning av datamängder av nationellt intresse på hälsodataområdet
94Utredningens uppdrag och arbete
– delrapport. 8 Vårddata avser enligt utredningens tolkning av delrapporten all data om en individ inom områdena hälso- och sjukvård, omsorg, tandvård och socialtjänst. Det här innebär att utredningens uppfattning är att vissa uppgifter, som enligt Socialstyrelsens delrapport, kategoriseras som biologiska data eller livsstilsdata även utgör vårddata. Därutöver anser utredningen att även andra uppgifter, som yrke, bör omfattas av begreppet hälsodata när de finns inom områdena hälso- och vård och omsorg, tandvård eller socialtjänst. När vissa uppgifter som exemplet yrke inte finns inom dessa områden utgör de därför inte hälsodata, enligt utredningens uppfattning. Utredningen ser ett behov av att definitionen ska belysa vilken typ av information som omfattas av begreppet. Utredningen anser att information om hälsa som härrör från individen är en rimlig avgränsning för att begreppet ska bli praktiskt användbart. På utredningens beskrivning av hälsodata kan olika aspekter läggas, exempelvis tillägg eller precisering av aktörer eller typ av verksamhet. Även olika rättsliga aspekter kan adderas till beskrivningen. Exempelvis kan man tala om hälsodata hos vårdgivare eller hälsodata som sekretessbelagda uppgifter eller uppgifter som omfattas av tystnadsplikt. På samma principiella sätt kan även utredningens författningsförslag beskrivas. Utrednings författningsförslag avser, på datahållarsidan, hälsodata i form av personuppgifter som finns inom hälso- och sjukvården, se avsnitt 2.7.
2.6.3 Begreppet patientdata
Enligt 1 kap. 1 § PDL ska PDL tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Begreppet patientdata definieras inte och förekommer inte alls i själva lagen. Utredningen konstaterar att det saknas en rättslig definition av patientdata. Däremot kan det konstateras att PDL reglerar vårdgivares personuppgifter inom hälso- och sjukvården och att lagen i tillämpliga delar även uppgifter om avlidna personer. Det vore därför rimligt att anta att begreppet patientdata avser personuppgifter, men att begreppet omfattar mer än personuppgifter enligt dataskyddsförordningen som inte är tillämplig på avlidna. Vad som avses med inom hälso- och sjuk-
8 Kartläggning av datamängder av nationellt intresse på hälsodataområdet – delrapport, Nationellt tillgängliga hälsodata för en datadriven hälso- och sjukvård, forskning och innovation (2022-3-7781), s. 13.
95Utredningens uppdrag och arbete
vården kan sannolikt kopplas till de bestämmelser lagen anger om vårdgivares skyldighet att föra patientjournal. I PDL finns regler om journalföring som i stora delar fördes över oförändrade från 1985 års 9 patientjournallag. En grundläggande bestämmelse föreskriver att det vid vård av patienter finns en skyldighet att föra patientjournal (se 3 kap. 1 § första stycket PDL). Syftet med att föra patientjournal är i första hand att bidra till en god och säker vård av patienten (3 kap. 2 § första stycket PDL). Av 3 kap. 2 § andra stycket PDL framgår att patientjournalen även är en informationskälla för patienten, uppföljning och utveckling av verksamheten, tillsyn och rättsliga krav, uppgiftsskyldighet enligt lag samt forskning. I förarbetena till PDL anförs att patientjournalen i första hand är ett arbetsinstrument för hälso- och sjukvårdspersonalen. Vidare anförs att journalens grundläggande syfte är att tillgodose patientens intresse av en god och säker vård. Journalen kommer emellertid även fortsatt att ha betydelse inte bara för patienten själv utan även som till exempel underlag vid verksamhetsuppföljning, kontroll och tillsyn eller i rättsliga sammanhang samt som källmaterial vid forskning och kvalitetssäkring. För att detta ska tydliggöras i den föreslagna ramlagstiftningen ansåg regeringen att en bestämmelse om syftet med journalföringen skulle införas (prop. 2007/08:126, s. 89–90). Skyldigheten att föra patientjournal är kopplat till hälso- och sjukvårdspersonalens medicinska yrkesansvar (se prop. 2007/08:126, s. 81). Utgångspunkten är att den som enligt 4 kap. patientsäkerhetslagen (2010:659) har legitimation eller särskilt förordnande för att utöva ett visst yrke har skyldighet att föra patientjournal (3 kap. 3 § 1 PDL). Därutöver finns skyldighet att föra patientjournal för vissa andra yrkeskategorier, utan att dessa innehar legitimation för yrket (se 3 kap. 3 § 2–4 PDL). I äldre förarbeten pekas den medicinska ledning ut som ytterst ansvarig för att personalen fullgör sina skyldigheter, däribland journalföringen (se prop. 1984/85:189, s. 26). Numera anges dock oftare vårdgivaren som ytterst ansvarig för att tillse att hälsooch sjukvårdspersonalen kan fullgöra sina skyldigheter. 10 Det finns även regler om vad en patientjournal ska innehålla. Övergripande gäller att en patientjournal endast får innehålla de uppgifter som behövs för ändamålet vårddokumentation, det vill säga
9 Prop. 2007/08:126, s. 46 och 90. 10 Se till exempel SOSFS 2011:9 och HLSF-FS 2016:40.
96Utredningens uppdrag och arbete
uppgifter som behövs i och för vården av patienten eller som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall (3 kap. 5 § PDL och 2 kap. 4 § första stycket 1 och 2 PDL). Patientjournalen ska vidare innehålla de uppgifter som behövs för en god och säker vård av patienten (3 kap 6 § första stycket PDL). Uppgifter som tillförs en patientjournal bör därför vara att anse som patientdata. Enligt utredningens bedömning är det dock olyckligt att en författning har ett namn som inte definieras. Trots detta kommer utredningen att använda begreppet i delar av författningsförslagen. Det beror på att utredningen av lagtekniska skäl behöver ta hänsyn till befintliga namn på författningar. Om en författning sakligt hör samman med en annan författning, kommer sambandet mellan de båda författningarna nämligen att framgå av SFS-registret endast om författningarnas rubriker innehåller samma ord eller ord som börjar på samma sätt och som är lämpliga som sökord i registret. 11 Av den anledningen har utredningen gjort bedömningen att det är lämpligt att använda begreppet patientdata för att författningsförslagen ska kopplas till PDL i SFS-registret vid till exempel en sökning på författningar.
2.6.4 Primär- och sekundäranvändning
i rättsliga sammanhang
Med sekundäranvändning av personuppgifter avses enligt utredningens direktiv behandling av personuppgifter för något annat ändamål än det primära ändamålet med personuppgiftsbehandlingen. Direktiven definierar alltså sekundäranvändning i förhållande till primäranvändning. Direktivens definition av sekundäranvändning bygger på att det kan klarläggas vad som menas primär användning eller det primära ändamålet med behandling av personuppgifter. Primär- respektive sekundär användning definieras inte i EU:s dataskyddsförordning. Begreppet har dock nära koppling till bestämmelsen om ändamålsbegränsning i artikel 5.1 b i EU:s dataskyddsförordning. Europeiska dataskyddsstyrelsen, förkortad EDPB, har utfärdat Riktlinjer 03/2020 om behandling av uppgifter om hälsa för vetenskapliga forskningsändamål i samband med covid-19-utbrottet. I dessa
11 Se Ds 2014:1, s. 17.
97Utredningens uppdrag och arbete
riktlinjer används begreppen primär och sekundär användning i samband med behandling om av personuppgifter för vetenskapliga forskningsändamål (se punkten 11). Med primär användning avses enligt riktlinjerna ”forskning utifrån personuppgifter (om hälsa) som består i användning av uppgifter som samlats in direkt för vetenskapliga studier”. Med sekundär användning avses "forskning utifrån personuppgifter (om hälsa) som består i ytterligare behandling av uppgifter som ursprungligen samlades in för ett annat ändamål”. EDPB kopplar alltså primär användning till det ursprungliga insamlingsändamålet, annan sekundär användning är ytterligare behandling av personuppgifter för ett annat ändamål. Ett liknande sätt att göra skillnad på primär och sekundär användning av hälsodata är den som finns i den finska lagen om sekundäranvändning av personuppgifter inom social- och hälsovården (552/2019, ursprungligen i kraft 2019-05-01), förkortad finska sekundäranvändningslagen. I den finska sekundäranvändningslagen definieras begreppet ”primärt användningsområde för personuppgifter” som det användningsändamål för vilket personuppgifterna ursprungligen har registrerats (1 kap. 3 § 2). I samma lag definieras ”sekundärt användningsändamål för personuppgifter” som användning av personuppgifter för något annat användningsändamål än det primära användningsändamål som avses i definitionen av primärt användningsområde för personuppgifter (1 kap. 3 § 3). I 2 kap. 4 PDL görs inte skillnad på ändamål som avser ”primäranvändning” eller ”sekundäranvändning” eftersom återanvändningen är så nära kopplad till kärnverksamheten. I propositionen till PDL uttalas att eftersom patientdatalagen får ett väsentligen mera vidsträckt tillämpningsområde i förhållande till vårdregisterlagen är det olämpligt att som i dag dela in ändamålen i primära och sekundära ändamål. Både primära och sekundära ändamål handlar om personuppgiftsbehandlingar som, mer eller mindre integrerat, normalt äger rum i varje vårdgivares egen verksamhet (prop. 2007/08:126, s. 56). Behandling av personuppgifter för exempelvis utveckling och uppföljning av vårdgivarens verksamhet avser i stor utsträckning återanvändning av uppgifter som samlats in i för vården av patienter och skulle därför kunna ses som sekundäranvändning. När det gäller registerförfattningar för statliga myndigheter görs skillnad på primära ändamål som myndigheten får samla in personuppgifter för inom myndighetens egen verksamhet, och sekundära som myndigheten får lämna
98Utredningens uppdrag och arbete
ut uppgifter för till externa mottagare, se SOU Dataskydd inom Socialdepartementet, s. 151). I förslaget till EHDS finns definitioner kopplade till primär och sekundär användning av hälsodata. Med primär användning av e-hälsodata avses behandling av personliga e-hälsodata för tillhandahållande av hälso- och sjukvård i syfte att bedöma, bibehålla eller återställa hälsotillståndet hos den fysiska person som dessa data avser, inklusive förskrivning, expediering och tillhandahållande av läkemedel och medicintekniska produkter, samt för relevanta socialförsäkringsinstitutioner, förvaltningsenheter eller enheter med ansvar för utbetalning av ersättning. Definitionerna i förslaget till EHDS tar, till skillnad från ovan nämnda definitioner, inte utgångspunkt i vad som är ändamålet för insamlingen, utan bestämmer vad som är primär och sekundär användning frikopplat från ursprunglig insamling och vidareanvändning. Ursprunglig insamling och registrering för forskning klassas då alltid som sekundär användning. Utredning uppfattar att detta är ett nytt sätt att förhålla sig till primär och sekundär användning som inte ligger i linje med den innebörd som begreppen för närvarande typiskt sett brukar ha.
Praktiska aspekter på primär- och sekundäranvändning
Utredningens erfarenhet är att det är svårt att i praktiken göra skillnad på primär och sekundär användning av hälsodata. En sekundäranvändning kan uppfattas ske för ett primärt ändamål i en verksamhet. Till exempel kan en uppgift samlas in till forskning, men sedan användas för vården av samma individ. Hos vårdgivaren är vård ett primärt ändamål, men om utgångspunkten för kategoriseringen är ursprungligt ett annat insamlingsändamål, kan vård ses som ett sekundärt ändamål. Frågan är hur långt tillbaka i kedjan av användande av en personuppgift man behöver gå för att avgöra om det är primär eller sekundär användning. Om sekundäranvändning ska definieras utifrån ursprungligt insamlingsändamål behöver personuppgiftens hela ”livscykel” kunna följas, också mellan olika personuppgiftsansvariga, vilket kan vara en praktisk omöjlighet. Hälsodata kan också samlas in för flera ändamål samtidigt. Under ett forskningsprojekt kan hälsodata samlas in som kan vara av vikt
99Utredningens uppdrag och arbete
för vården av patienten. Det innebär att uppgifter dom samlats in för det primära ändamålet forskning och återanvänds för det primära ändamålet vård. Ett annat exempel är när en patient vårdas och hälsodata som samlats in inte varit tillräcklig. I den stunden kan verksamheten dra lärdom om vilka uppgifter som bör samlas in vid liknande situationer i framtiden. Det är då oklart om denna oundvikliga verksamhetshetutveckling som skedde av själva insamlandet bör ses som primäranvändning eller vidareanvändning. Termen ”sekundär” leder ordalydelsemässigt in på den andra gången som en personuppgift används, medan personuppgifter i dag kan används för flera ändamål i samma verksamhet innan de senare lämnas ut för ytterligare användningar. Begreppet är därmed inte heller representativt rent språkligt för det som sker i praktiken. Utöver dessa perspektiv har utredningen även fått till sig att vissa aktörer tolkat begreppet sekundäranvändning som att det utgörs av något sekundärt, som något mindre viktigt än det primära ändamålet. Av flera anledningar anser därför utredningen att sekundäranvändning inte är ett optimalt begrepp att använda i sammanhanget.
2.6.5 Vidareanvändning i stället för sekundäranvändning
Utredningen har valt begreppet vidareanvändning i stället för sekundäranvändning. Utredningen är medveten om att detta inte löser alla de svårigheter som är förknippade med uppdelningen primär- och sekundär användning. Utredningen anser dock att det är ett begrepp som bättre belyser vad som rent praktiskt sker. Utredningen föregriper på detta sätt inte heller den eventuella definitionen av sekundäranvändning som kan komma i och med förslaget till EHDS. I utformningen av begreppet har utredningen hämtat inspiration från begreppet vidareutnyttjande som finns i Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om dataförvaltning (dataförvaltningsakten) COM(2020) 767 final av den 25 november 2020, förkortad dataförvaltningsförordningen, och lag (2022:818) om den offentliga sektorns tillgängliggörande av data. Utredningens begrepp vidareanvändning har inte samma juridiska innebörd som vidareutnyttjande enligt dessa regelverk. Däremot anser utredningen
100Utredningens uppdrag och arbete
att ledet ”vidare” är ett bra ord för att belysa nytt händer i förhållande till något tidigare eller annat. I den engelska versionen av DFF används termen ”re-use”. Utredning anser att det mer neutrala användning är ett lämpligare ord än nyttjande. Utredningen har även övervägt begreppet vidarebehandling. Ledet ”behandling” skulle knyta mer direkt an mot EU:s dataskyddsförordning och behandling av personuppgifter. Liksom avseende beskrivningen av begreppet hälsodata, anser utredningen att det är lämpligt att de begrepp som används tar höjd för att datadelning som sker kan omfatta dataset som även innehåller hälsodata som inte är personuppgifter. Användning ger då uttryck för detta bredare perspektiv som inte är direkt kopplat till åtgärder som avser personuppgifter. Utredningen bedömer också att ordet användning är mer begripligt från praktisk synvinkel, än vad behandling är. Användning omfattar dock även ”behandling” enligt dataskyddsförordningen. Det är enligt utredningens bedömning svårt att ge ett begrepp en definition som ger uttryck för dels vad som praktiskt sker, dels för de rättsliga konsekvenser som är relevanta i det aktuella fallet. De försök som gjorts att definiera sekundäranvändning illustrerar detta. Liksom med beskrivningen av begreppet hälsodata, ser utredningen ett behov av ett begrepp som är begripligt från praktiskt perspektiv, samtidigt som det är användbart juridiskt. Utredningen uppfattar att begreppet vidareanvändning överlag har mottagits positivt när utredningen har använt det i olika sammanhang under utredningstiden. I stället för att försöka legaldefiniera begreppet vidareanvändning, beskriver utredningen vad det närmare avser i olika situationer. Vidareanvändning hos en och samma aktör omfattar att insamlade hälsodata används för ett annat ändamål än vad de ursprungligen samlades in för. Vidareanvändning kan ske i flera led, till exempel först vård och sedan utveckling och uppföljning hos en vårdgivare. Vad som är samma eller ett nytt ändamål är inte alltid givet. Avser vidareanvändningen personuppgifter behöver frågan om en vidareanvändning ryms inom det ursprungliga insamlingsändamålet, analyseras utifrån dataskyddslagstiftningen. Inom ramen för uppdraget att analysera förutsättningarna för sekundäranvändning för patientändamål/vårdändamål, se avsnitt 2.3, har utredningen haft att bedöma vad som inom ett övergripande vårdändamål är att anse som en vidareanvändning av personuppgifter som kräver ny rättslig grund, se avsnitt 14.3.
101Utredningens uppdrag och arbete
Vidareanvändning omfattar också att hälsodata som samlats in av en aktör delas med en annan aktör som sedan använder informationen. Detta kan till exempel avse en vårdgivare som lämnar ut hälsodata till en myndighet eller privat aktör som bedriver forskning. Utredningens bedömning är däremot att det är primäranvändning när samma vårdgivare använder hälsodata för samma ändamål flera gånger, som exempelvis när en läkare läser på om en patients provsvar inför ett nytt besök. Utredningens uppfattning är att hälsodata kan primäranvändas hos en vårdgivare och samtidigt kan samma hälsodata vidareanvändas hos en annan. Om vårdgivare A tar en röntgenbild av en patient och sedan skickar röntgenbilden till vårdgivare B så är röntgenbilden parallell primäranvändning hos båda vårdgivarna. Däremot är det rimligt att anse att vårdgivare B:s behandling av röntgenbilden utgör en vidareanvändning ur vårdgivare A:s perspektiv. Sammanfattningsvis gör utredningen bedömningen att det finns inget optimalt begrepp för när hälsodata används flera gånger, parallellt eller i olika led. Vidareanvändning är dock det begrepp som bäst motsvarar utredningens uppfattning om vad det är som sker när hälsodata används flera gånger.
2.6.6 Den enskildes inställning
Utredningen konstaterar att det finns flera sätt som används i praktiken som avser ge uttryck för den enskildes inställning. Att samtycka till något kan enkelt förklaras med att en person godkänner något. Ett annat sätt att uttrycka den enskildes inställning kan vara en möjlighet att kunna motsätta sig något. Eftersom det finns olika typer av samtycken har utredningen valt att redogöra mer djupgående för olika typer av samtycken i en egen bilaga (se Bilaga 3 Samtycken inom vård och klinisk forskning). Utredningen listar därför endast kort i detta avsnitt vilka olika begrepp som används i utredningen och som ger uttryck för den enskildes inställning. Utredningen använder formuleringen ”samtycke till vård” när samtycke enligt 4 kap. 2 § PL avses. En patient kan, om inte annat följer av lag, lämna sitt samtycke skriftligen, muntligen eller genom att på annat sätt visa att hen samtycker till en viss åtgärd.
102Utredningens uppdrag och arbete
Utredningen använder formuleringen ”samtycke avseende prover” när utredningen syftar på samtycke enligt biobankslagen (2023:38). Utredningen använder formuleringen ”samtycke som rättslig grund för behandling av personuppgifter” när samtycke enligt artikel 6.1 a i dataskyddsförordningen avses. Utredningen använder formuleringen ”samtycke som rättslig grund för behandling av personuppgifter enligt bestämmelse i PDL”, när samtycke enligt 2 kap. 3 § PDL. Bestämmelsen anger att behandling av personuppgifter som inte är tillåten enligt PDL ändå får ske, om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Det gäller dock inte i de fall som anges i 6 kap. 5 § eller om något annat framgår av annan lag eller förordning. Utredningen använder formuleringen ”samtycke som integritetshöjande åtgärd vid behandling av personuppgifter” när samtycke används som en åtgärds som avser höja integriteten. Samtycke som integritetshöjande åtgärd är ett annat sorts samtycke än de samtycken som förekommer som rättslig grund för behandling av personuppgifter och som undantag för att den personuppgiftsansvarige ska få behandla känsliga personuppgifter. Ett integritetshöjande samtycke kan betraktas som ett slags extra skyddsåtgärd för den enskildes personliga integritet och för att säkerställa individens frivillighet inför en viss personuppgiftsbehandling. Utredningen använder formuleringen ”samtycke till att bryta sekretessen” när samtycke enligt 10 kap. 1 § OSL avses och innebär att den person som sekretessen avser att skydda kan, med vissa undantag, helt eller delvis häva sekretessen. Utredningen använder formuleringen ”samtycke till deltagande i klinisk forskning” när vi syftar på samtycke enligt etikprövningslagen, Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel upphävande av direktiv 2001/20/EG, förkortad CTR, Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG, förkortad MDR eller Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitrodiagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU, förkortad IVDR.
103Utredningens uppdrag och arbete
”Opt-in” är inte ett begrepp som är vanligt förekommande i utredningen. Utredningen använder begreppet för att uttrycka att en person aktivt måste ge sitt samtycke. Begreppet ”opt-out”, eller ”rätten att motsätta sig” använder utredningen däremot för att beskriva när en enskild aktivt valt att avstå en viss personuppgiftsbehandling genom att motsätta sig behandlingen.
2.6.7 Datahållare och dataanvändare
Utredningen använder begreppet datahållare för den aktör som innehar den data som ska vidareanvändas. Utredning använder begreppet dataanvändare för den aktör som ska använda data. Datahållare och dataanvändare används i allmänspråklig mening i betänkandet och har inte i sig någon juridisk betydelse. Kopplat till begreppet datadelning representerar datahållaren ”från-sidan” och dataanvändaren ”till-sidan”. I utrednings författningsförslag anges datahållaren och dataanvändaren med andra begrepp, se avsnitt 2.6.7. Datahållare är exempelvis vårdgivare och regional myndighet som bedriver hälso- och sjukvård, medan dataanvändare exempelvis utgörs av regionala myndigheter inom hälso- och sjukvården och lärosäten. Ett begrepp som förekommer i praktiken kopplat till datahantering är ”ägarskap”. Utredningen uppfattar att ägarskap till data ofta synes vara ett uttryck för placering av ansvar för data inom en organisation. Rättigheter och skyldigheter kopplat till data uttrycks enligt utredningens mening inte lämpligen genom ett ägarbegrepp. I stället finns olika typer av rättigheter och skyldigheter kopplade till data beroende på regelverk. I dataförvaltningsförordningen, förekommer begreppen datainnehavare och dataanvändare (se artikel 2 (8) och (9)). Utredningen använder medvetet inte begreppen datahållare och datainnehavare i den juridiska innebörd som begreppen datainnehavare och dataanvändare har enligt dataförvaltningsförordningen. Utredningen konstaterar dock att definitionerna av datainnehavare och dataanvändare i dataförvaltningsförordningen är breda och att det därför skulle kunna vara så att en datahållare eller dataanvändare enligt utredningens användning av dessa uttryck också skulle kunna vara en datainnehavare eller dataanvändare enligt dataförvaltningsförordningen.
104Utredningens uppdrag och arbete
2.7 Utredningens avgränsning av uppdraget
Bedömning : Utredningen lämnar författningsförslag avseende vidareanvändning för ändamålen vård och forskning. Utredningens förslag för vård avser vidareanvändning för vården av en annan patient än den som personuppgifterna. Utredningens förslag för forskning avser begränsad direktåtkomst till personuppgifter för ändamålet klinisk forskning och har som syfte att förenkla tillgången till personuppgifter. Utredningen lämnar inte författningsförslag avseende ändamålet undervisning på akademisk nivå, ändamålet utveckling och innovation eller ändamålet statliga, regionala och kommunala myndigheters beslutsfattande. För dessa ändamål lämnar utredningen bedömningar som behöver utredas vidare.
Av beskrivningarna i avsnitten ovan avseende utredningens uppdrag enligt direktiven framgår att det är mycket omfattande. Givet de tidsramar som utredningen har fått, finns behov av att göra avgränsningar. Nedan redogörs först för de avgränsningar som följer direkt av direktiven, sedan för de som utredningen själv har gjort.
2.7.1 Avgränsningar som följer av direktiven
Uttryckliga avgränsningar
Det står uttryckligen i direktiven att det inte ingår i uppdraget att lämna förslag till bestämmelser som bryter statistiksekretessen eller förslag som riskerar att leda till att individdata lagras i egna databaser hos privata aktörer där vidareutnyttjandet inte kan kontrolleras. Utredningens förslag avser inget av detta. Det framgår även av direktiven att regeringen gör bedömningen att det inte är inom ramen för regleringen om nationella och regionala kvalitetsregister i 7 kap. patientdatalagen (2008:355), förkortad PDL, som de behov som beskrivs i direktiven kan tillgodoses. Utredningen lämnar inte förslag som går ut på att behoven av vidareanvändning av hälsodata tillgodoses genom användning av nationella eller regionala kvalitetsregister. Däremot är denna reglering en faktisk realitet som utredningen behöver förhålla sig till, bland annat i integritets-
105Utredningens uppdrag och arbete
analysen. Den kan även tjäna till lagteknisk ledning för delar av utredningens författningsförslag. Utredningen bedömer inte heller att statliga myndigheters registersamlingar omfattas av uppdraget. Denna bedömning grundar sig på att de personuppgifter som krävs för vård också återfinns i vården och sällan i statliga register så som hälsodataregistren. Vad gäller delen om vidareanvändning så står det uttryckligen i direktiven att det avser hälsodata från hälso- och sjukvården. Utredningen bedömer också att socialtjänsten inte omfattas av uppdraget eftersom direktiven avgränsas till att gälla hälsodata från hälso- och sjukvården.
2.7.2 Avgränsningar som utredningen har gjort
Inledning
Som framgår av avsnitt 2.1–2.5 är utredningens uppdrag omfattande. Det avser förutsättningarna för vidareanvändning av hälsodata för hälso- och sjukvård, men även för andra samhällsnyttor. Det avser ett flertal ändamål som är olika till sin karaktär och omfattar i princip alla aktörer som skulle kunna ha ett intresse av att använda sig av hälsodata. Utredningen är medveten om att det finns stora behov och identifierade problem med delning av data inom hälsodataområdet. Rent juridiskt innebär uppdraget oerhört många olika aspekter att förhålla sig till. I direktiven anges att utredningen inte förväntas kunna lösa alla problem som identifieras, utan en del av uppdraget är att redogöra för dem. Utredningen tolkar direktiven som att regeringen har varit tydlig med vikten av en väl genomarbetad och utförlig integritetsanalys (dir 2022:41 s. 6 och 10). Utredningens har noterat att flera tidigare utredningar på hälsodataområdet inte lett till proposition (exempelvis SOU 2010:81, SOU 2014:23 och SOU 2015:32). Utredningens bedömning är att en av orsakerna till att dessa utredningar inte kunnat tas vidare kan vara att de har haft en bristande integritetsanalys. Dessa utredningar har på samma sätt som utredningen haft omfattande och svåra uppdrag. Utredningen har därför begränsat författningsförslagen till att endast omfatta två av de uttryckliga ändamålen som anges i direktiven. Författningsförslagen som utredningen lämnar avser ändamålen
106Utredningens uppdrag och arbete
vård och forskning. Dessa utökade möjligheter har dock krävt en djupgående analys av juridiskt komplexa regleringar. Anledningen till det, utifrån direktiven sett, smala angreppssättet har varit att försöka få till en väl genomarbetad utredning med tillhörande fördjupad integritetsanalys utan att försöka greppa efter för mycket. Utifrån ett integritetsperspektiv, eller utifrån patienters och vårdgivares perspektiv, är vårdändamålet inte något smalt område utan ett avancerat ändamål som innebär genomgripande förändringar av befintlig lagstiftning. För att möjliggöra vidareanvändning för vården av annan patient än den personuppgifterna avser, krävs ingripande och långtgående bestämmelser. Författningsförslagen som avser vårdändamålet av därför vittgående och av omfattande karaktär. Det är dessutom helt nytt i svensk lagstiftning att föreslå regler som möjliggör det utredningen nu föreslår för vårdändamålet, det har inte funnits någon liknande förlaga att ta efter eller hämta inspiration ifrån. Att föreslå nya bestämmelser för detta ändamål som avser känsliga personuppgifter har därför varit både en komplicerad och tidskrävande övning. Anledningen till att utredningen valt att fokusera på just dessa två ändamål beror på att utredningen uppfattat direktiven som att det finns en stark önskan om att så snart som möjligt kunna få till rättsliga möjligheter för att implementera precisionsmedicin i Sverige. Utredningen har därför valt att huvudsakligen fokusera på att förslagen ska gå att genomföra. Utredningens förhoppning är att författningsförslagen som läggs fram kan vara ett litet men genomtänkt steg i rätt riktning och att kommande utredningar kan bygga vidare på utredningens analyser och förslag. Flera olika möjligheter för de olika ändamålen har övervägts under utredningens gång och många har avgränsats bort för att de varit för omfattande i sin komplexitet att försöka lösa under de angivna tidsramarna. Utredningens bedömning är att ytterligare utredningar behövs för att se över i vilken mån och på vilka sätt utredningens förslag går att utöka. Som utredningen ser det hade alternativet varit att lämna fler författningsförslag utan lika genomarbetade analyser. Risken hade då varit att frågorna skulle behöva utredas om. För att kompensera det faktum att utredningen inte lämnar författningsförslag för samtliga ändamål har utredningen försökt att se detaljerat som möjligt försöka beskriva vad utmaningarna på hälsodataområdet är och hur de ska kunna lösas praktiskt och vilka frågor som behöver utredas vidare. Utredningens ambition har varit att för-
107Utredningens uppdrag och arbete
söka maximera den nyttan som utredningen har kunnat bidra med, sett till kompetens och resurser i sekretariatet. De sistnämnda bedömningarna kräver inte samma fördjupade juridiska insatser som det gör att lämna författningsförslag. Slutligen har utredningen bedömt att flera av de ändamål som anges i direktiven kräver en nationell datahubb för att utredningen skulle kunna lämna genomförbara författningsförslag.
2.7.3 Utredningens förslag avser vidareanvändning av
personuppgifter som finns inom hälso- och sjukvården
Bedömning : Utredningens författningsförslag ska avse reglering av vidareanvändning av personuppgifter som finns inom hälso- och sjukvården.
I utredningens direktiv framgår det att utredningen ska se över utökade möjligheter till sekundäranvändning av hälsodata. Det anges också i direktiven att utredningen ska analysera, bedöma om det behövs författningsändringar och i så fall lämna nödvändiga författningsförslag för att personuppgifter eller andra data från flera individer ska kunna användas för vård och behandling av andra enskilda individer. Utifrån hur utredningens uppdrag anges finner utredningen det, av juridiska skäl, mest ändamålsenligt att och frångå begreppet hälsodata eller ”andra data” och avgränsa författningsförslagen till att endast omfatta personuppgifter. Utredningen beskriver i avsnitt 2.6.2 dess förhållningssätt till begreppet hälsodata. Det är när hälsodata utgörs av personuppgifter som behovet av författningsreglering uppstår. De behoven som utredningen avser lösa, handlar om att reglera hälsodata som utgörs av personuppgifter. Så fort hälsodata utgörs av personuppgifter blir EU:s dataskyddsförordning tillämplig. När den rättsliga grunden i artikel 6.1 utgörs av uppgift av allmänt intresse (6.1 e) behövs uppgiften av allmänt intresse fastställas i nationell reglering (prop. 2017/18:105 s. 49). Dataskyddsförordningen fungerar som en yttre ram för personuppgiftsbehandling. Syftet med kompletterande lag till dataskyddsförordningen är att precisera tillåtna ändamål och reglera förutsättningarna för aktuell personuppgiftsbehandling (jämför artikel 6.3 andra stycket dataskyddsförordningen. Utredningens målsättning är därför att skapa
108Utredningens uppdrag och arbete
sådan kompletterande lagstiftning som krävs, genom de förslag som utredningen lämnar. När det gäller behandling som avser särskilda kategorier av personuppgifter (känsliga personuppgifter) anges ytterligare villkor i artikel 9 i dataskyddsförordningen. Personuppgifterna som omfattas av utredningens förslag regleras som känsliga personuppgifter eftersom de utgörs av uppgifter om hälsa. De har dessutom samlats in inom hälso- och sjukvården. Personuppgifterna som omfattas av utredningens författningsförslag omfattas därför också typiskt sett av sekretess enligt offentlighets och sekretesslagen (2009:400), förkortad OSL, exempelvis enligt 25 kap. 1 § OSL, vilket också medför behov av författningsändringsförslag. Utredningen är medveten om att begreppet personuppgifter även omfattar uppgifter på papper. Den aspekten har utredningen beaktat men bedömt att det inte har någon påverkan på utredningens förslag. Vid tillämpningen av en reglering som avser personuppgifter uppkommer frågan om en viss datamängd, databas eller annan uppgiftssamling innehåller personuppgifter eller inte. Uppgifter som inte utgörs av personuppgifter, omfattas inte av EU:s dataskyddsförordning och inte heller av utredningens förslag. Utredningen konstaterar dock att den juridiska uppdelningen mellan hälsodata som är personuppgifter och hälsodata som inte är det, i praktiken kan vara mycket svår att göra. Frågor uppkommer såsom om en aggregering av en viss datamängd har gjorts på ett sådant sätt att alla uppgifter i den verkligen är att anse som anonym data. Det kan också vara så att en datamängd innehåller både personuppgifter och uppgifter som inte utgörs av personuppgifter. I praktiken uppkommer då fråga hur man ska hantera sådana datamängder. Utredningen har ingen ambition eller möjlighet att lösa dessa frågeställningar på ett generellt plan. Däremot konstaterar utredningen att förslagen som utredningen lämnar tillåter datadelning av personuppgifter på fler sätt och i fler situationer. Det i sin tur leder till att aktörerna i något färre situationer behöver framställa dataset som inte innehåller personuppgifter. Reglerna som utredningen föreslår behöver kunna tillämpas på dataset som innehåller både personuppgifter och data som inte är personuppgifter. Den juridiska utgångspunkten som utredningen har att förhålla sig till måste dock vara personuppgifter för att skapa de
109Utredningens uppdrag och arbete
rättsliga förutsättningar som krävs för ändamålen utredningen lämnar förslag på. Ovan har konstaterats att hälso- och sjukvården är central i utredningens direktiv. Kopplat till uppdraget om utökade möjligheter till sekundäranvändning av hälsodata anges det uttryckligen att det är hälsodata ”från” hälso- och sjukvården som avses. Utredningen har ovan presenterat sin tolkning av formuleringarna i dessa avseenden. Utifrån att formuleringarna också skulle kunna tolkas på andra sätt, redogör utredning nedan för verksamheter och hälsodatamängder som inte omfattas av utredningens uppdrag.
2.7.4 Avgränsningar avseende vidareanvändning
för vårdändamål
Bedömning: Utredningen lämnar författningsförslag som avser behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. Författningsförslagen avgränsas till att endast ge regionala myndigheter inom hälso- och sjukvården rätt att använda de utökade möjligheterna som författningsförslagen leder till.
Enligt utredningens direktiv har utredningen i uppdrag att skapa förutsättningar för sekundäranvändning av hälsodata för patientändamål. I avsnitt 2.7.3 redogör utredningen för att uppdraget avgränsas till vidareanvändning av personuppgifter för detta ändamål. Vidare redogör utredningen i avsnitt 2.3 att det i utredningen benämns vårdändamål. Utredningen anser att ett tydligt sätt att ge uttryck för ändamålet är att beskriva det som behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. De behov som utredningen fått till sig avseende vidareanvändning för vårdändamål (behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser) har nästan uteslutande kommit från regional hälso- och sjukvård. Det är en av anledningarna till att utredningen valt att avgränsa författningsförslagen till att endast regionala myndigheter inom hälso- och sjukvården ges rätt att använda de utökade möjligheterna som författningsförslagen leder till, i vården av patienter. Sannolikt skulle även till exempel privata vårdgivare kunna ha nytta av samma utökade möjligheter för ända-
110Utredningens uppdrag och arbete
målet vård av annan. Utredningen bedömer dock att det inte varit möjligt att utöka möjligheterna till att även omfatta privata vårdgivare i förhållande till utredningens tidsramar eftersom en sådan ansats skulle kräva ytterligare juridiska analyser av andra regelverk och även leda till ett behov av en ännu mer komplex integritetsanalys. I utredningens direktiv anges att det är av stor vikt att skyddet för den personliga integriteten respekteras och att informationssäkerheten säkras. Avvägningar måste därför göras mellan den nytta som datadriven hälso- och sjukvård kan skapa och de risker som det kan medföra för enskildas personliga integritet och vilka möjligheter som finns att hantera sådana risker. Utredningen konstaterar att en rimlig ansats är att begränsa vilka aktörer som får använda sig av de nya möjligheterna författningsförslaget avseende vårdändamålet medför till regionala myndigheter inom hälso- och sjukvården. En sådan avgränsning är nödvändig för att utredningen fullt ut kunna se över effekterna och riskerna för den personliga integriteten.
2.7.5 Avgränsningar avseende vidareanvändning för forskning
Bedömning : Utredningen lämnar författningsförslag avseende vidareanvändning för ändamålet forskning och avser enklare tillgång till personuppgifter som finns hos regionala myndigheter som bedriver hälso- och sjukvård. Författningsförslagen avgränsas till klinisk forskning där samtycke till att delta i forskningen inhämtas.
Enligt utredningens direktiv har utredningen i uppdrag att skapa förutsättningar för sekundäranvändning av hälsodata för ändamålet forskning. I avsnitt 2.7.3 redogör utredningen för att uppdraget avgränsas till vidareanvändning av personuppgifter. Den vanligaste problematiken, som utredningen fått till sig, och som genererar en stor administrativ börda, handlar om otympliga tillvägagångssätt för att få tillgång till data som behövs för forskningen. Det handlar både om olika utfall av menprövningar som resulterar i varierade möjligheter till tillgång till data och om åtkomst av uppgifter som forskare redan rent praktiskt kan ha åtkomst till för ett annat ändamål. I kapitel 15 finns ett förklarande stycke om forskare som är anställda inom hälsooch sjukvården och som måste begära ut uppgifter som forskarna rent
111Utredningens uppdrag och arbete
praktiskt kan ha åtkomst till i egenskap av till exempel behandlande läkare för ändamålet vård. Utredningens författningsförslag innebär en förenkling av åtkomsten till data som behövs för att forskningen ska kunna genomföras. Utredningens förslag är endast tillämplig på personuppgifter från regional hälso- och sjukvård. Denna avgränsning har gjorts utifrån samma resonemang som för ändamålet vård av annan patient än den personuppgifterna avser. Ett utökande av fler eller andra källor än regional hälso- och sjukvård skulle kräva en ytterligare, fördjupad integritetsanalys som inte är genomförbar med anledning av utredningens angivna tidsramar. Utredningen har valt att begränsa forskningen som ska omfattas till klinisk forskning. Författningsförslaget gäller endast sådan klinisk forskning som baseras på samtycke till att delta i forskningen. Ett sådant samtycke som inhämtas för att delta i den kliniska forskningen ska då kompletteras med ytterligare ett samtycke som inhämtas samtidigt. Det ytterligare samtycket utgör en integritetshöjande åtgärd och avser samtycke till den begränsade åtkomsten. Utredningens bedömning är att det är svårt att leva upp till dataskyddsförordningens regler om integritetshöjande åtgärder för att förenkla åtkomsten av personuppgifter för annan forskning. Observationsstudier där samtycke inte inhämtas avgränsas därför bort från utredningens förslag om enklare åtkomst. Utredningen konstaterar att regeringens uttalande i direktiven pekar på att det bör vara en rimlig avgränsning eftersom det ”finns regleringar som avser registerbaserad forskning. Regeringen bedömer dock att det inte är inom ramen för sådana regleringar som de behov som beskrivs i dessa direktiv kan tillgodoses” 12 . Av den anledningen kommer utredningen inte lägga fram några författningsförslag som avser registerbaserad forskning. Däremot har utredningen fått till sig ett uttalat problem avseende registerbaserad forskning, som bland annat handlar om att vid vissa fall kunna ta kontakt med de registrerade vars uppgifter behandlas vid registerforskning, se vidare kapitel 22. Utredningens bedömning är därför att det uppenbarligen finns ett behov hos forskare om att till exempel kunna få tillgång till mer uppgifter än ett register tillhandahåller. Det kan handla om forskning som inleds som registerforskning men vid intressanta fynd skulle kunna utvecklas till klinisk forskning där forskaren behöver kontakta forskningspersoner och inhämta samtycke. Utredningen resonerar där-
12 Dir. 2022:41 s. 4.
112Utredningens uppdrag och arbete
för kring behovet av detta och möjligheter att tillmötesgå behovet genom en statlig, nationell datahubb med en funktion där invånarna kan samtycka till att bli kontaktade för olika syften, se vidare kapitel 19–21. Utredningens uppfattning är även att det finns en problematik kring menprövningar som resulterar i olika bedömningar. Utredningens bedömning är att det är angeläget att ta vidare frågan om gemensam menprövning så forskare ska kunna få en förutsägbarhet genom enhetliga och konsekventa bedömningar. Utredningens anser dock att det inte är möjligt att lämna förslag på en sådan hantering utan att ha tillgång till en statlig, nationell datahubb (se vidare kapitel 19–21).
2.7.6 Avgränsningar avseende vidareanvändning
för utveckling och innovation
Bedömning: Utredningen lämnar inte författningsförslag avseende ändamålen utveckling och innovation. Ändamålen utveckling och innovation bör omhändertas av nya utredningar.
Utredningen hade inledningsvis en ambition att lämna författningsförslag även avseende utveckling och innovation. Dock var arbetet för tidskrävande för att hinna med en sådan grundlig analys som utredningen anser behövs för författningsförslag. Utredningen har därför vikt ett eget kapitel åt utveckling för att ge så bra möjligheter som möjligt för en ny utredningen att ta vid och fortsätta arbeta med analysen. De analyser som utredningen hann genomföra återfinns i kapitel 23. Utredningen anser att det är angeläget att en ny utredning tillsätts snarast för att omhänderta ändamålen utveckling och innovation. Det är en stor brist att det ena författningsförslaget ger nya möjligheter för vårdändamålet samtidigt som sådan regionöverskridande verksamhet inte har något rättsligt stöd för utveckling av verksamheten. För aktörerna som får använda de nya möjligheterna som författningsförslagen ger, i vården av patienter, kan utvecklingsändamålet i PDL sannolikt utökas till att även omfatta regionalöverskridande utveckling. Det finns dock behov av utveckling som inte endast omfattar regionala myndigheter inom hälso- och sjukvården. Utredningen har fått till sig behov av utveckling för regionala myndigheter inom hälso-
113Utredningens uppdrag och arbete
sjukvården som bedriver nära samarbete med kommunal verksamhet. Kommuner bedriver verksamhet enligt både PDL (vård) och lag (2001:454) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPuL (socialtjänst). Mot bakgrund av detta bör ett samlat grepp tas för sådan utveckling i en egen utredning. Som angetts i avgränsningar som framgår av direktiven är utredningens uppfattning att direktiven är avgränsade till att inte omfatta socialtjänstens område. Utöver offentliga aktörer finns även behov av utveckling och innovation som olika privata aktörer har. Utredningens bedömning är att många situationer där ändamålet för personuppgiftsbehandlingen är utveckling eller innovation kräver en nationell datahubb och en säker behandlingsmiljö för att nyttan ska stå i proportion till integritetsintrånget. Utredningen har därför avgränsat bort dessa behov för att de i stället ses över vid etablering av en nationell datahubb, se vidare kapitel 19–21.
2.7.7 Avgränsningar avseende undervisning
på akademisk nivå
Bedömning : Utredningen lämnar inte författningsförslag avseende ändamålet undervisning på akademisk nivå. Ändamålen undervisning på akademisk nivå bör omhändertas av nya utredningar.
Enligt utredningens direktiv har utredningen i uppdrag att skapa förutsättningar för utökade möjligheter till sekundäranvändning av hälsodata för ändamålet undervisning på akademisk nivå. Utredningen har fått till sig att de olika universiteten löser tillgång till hälsodata på olika sätt och att det finns en avsaknad av enhetlighet inom landet. Utredningens bedömning är att dessa behov behöver ses över och utredas. Däremot konstaterar utredningen att begreppen primär- och sekundäranvändning skapar utmaningar i sammanhanget. Den primära anledningen till att en student gör verksamhetsförlagd utbildning (VFU) är utbildning. Samtidigt konstaterar utredningen att det finns fler perspektiv att ta hänsyn till i sammanhanget. Ur studentens och lärosätets perspektiv är undervisning på akademisk nivå det primära syftet. Ur vårdgivarens eller patientens perspektiv är det primära syftet däremot vård. Utredningen anser att det inte är lämpligt att utredningen ser över dessa behov utan att hänsyn samtidigt tas till primäran-
114Utredningens uppdrag och arbete
vändningen. Utredningens bedömning är att det finns anledning till ytterligare utredning för att se över behoven, men att en sådan utredning behöver ta ett samlat grepp för att lösa dessa frågor på bästa sätt.
2.7.8 Avgränsningar avseende statliga, regionala
och kommunala myndigheters beslutsfattande
Bedömning : Utredningen lämnar inte författningsförslag avseende ändamålet statliga, regionala och kommunala myndigheters beslutsfattande. Ändamålen statliga, regionala och kommunala myndigheters beslutsfattande bör omhändertas av nya utredningar.
Som utredningen anger i 2.4.4 finns ett behov av tillgång till hälsodata för statliga, regionala och kommunala myndigheters beslutsfattande. Utredningens uppfattning av behoven som uppstår i samband med vård bör kunna omhändertas antingen av det författningsförslag avseende vårdändamålet som utredningen lämnar eller, efter fortsatt utredning, inom ändamålet utveckling som utredningen skriver om i 2.7.6. Utredningen bedömer vidare att det saknas organisatoriska och infrastrukturella lösningar som skulle göra att nyttan stod i proportion till det intrång i den personliga integriteten som ett sådant förslag skulle innebära. Utredningen resonerar kring detta och lämnar bedömningar i avsnitt 20.5.
2.8 Aktörer som omfattas av utredningens förslag
Bedömning : De aktörer som omfattas av utredningens författningsförslag bör begränsas.
Utredningens förslag är avgränsade så att endast vissa aktörer kommer omfattas av dem. För att ge en bild av hur förslagen är tänkt att fungera i praktiken behöver en kort beskrivning förklara vilka aktörer som omfattas av förslagen. Förtydliganden och djupare resonemang om varför dessa avgränsningar gjorts kommer finnas i andra delar i betänkandet. Generellt kan anges att förslagen avser vidareanvändning av personuppgifter från hälso- och sjukvården, se avsnitt 2.7.3. Verksamheten
115Utredningens uppdrag och arbete
på datahållarsidan är alltså hälso- och sjukvård. Utredningen tar utgångspunkt i definitionen av hälso- och sjukvård som finns i patientdatalagen (2008:355), förkortad PDL, se avsnitt 2.6.1. På dataanvändarsidan finns verksamhet i form av hälso- och sjukvård och klinisk forskning, se avsnitt 2.7.4 och 2.7.5. En fråga som utredningen har haft att överväga kopplat till författningsförslagen har varit vilka aktörer inom hälso- och sjukvård och klinisk forskning som ska omfattas på datahållar- respektive dataanvändarsidan. Som redogörs för i avsnitt 2.7.2 är behoven stora, samtidigt som utredningen har begränsade tidsramar att förhålla sig till. Utredningen har därför sett det nödvändigt att begränsa antalet aktörer, framför allt på dataanvändarsidan. Utredningen har fokuserat på de aktörer där utredningen uppfattar att de största och mest akuta behoven finns. En ytterligare aspekt på avgränsningarna av aktörer på dataanvändarsidan som utredningen haft att ta hänsyn till är att ju fler aktörer som omfattas, desto mer omfattande och komplexa blir frågorna om integritets- och sekretesskydd. För att kunna lämna väl genomarbetade förslag, har utredningen därför behövt göra avgränsningar av antalet och typen av aktörer som omfattas. Exempelvis omfattas endast aktörer på dataanvändarsidan som omfattas av befintliga regler om sekretess eller lagstadgad tystnadsplikt. Aktörer vars behov har identifierats av utredningen, men som inte omhändertas i utredningens författningsförslag omfattas av andra delar av betänkandet, se kapitel 19–23.
2.8.1 Vidareanvändning för vårdändamål
Med avseende på vidareanvändning för vårdändamål, föreslår utredningen ett nytt ändamål för behandling av personuppgifter. Ändamålet avser behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser, se avsnitt 14.4. Kopplat till det nya ändamålet föreslår utredningen en modell för vidareanvändningen som bygger på behandling av personuppgifter i fyra huvudsakliga steg, se avsnitt 13.4. De aktörer som, i olika delar, omfattas av utredningens förslag om vidareanvändning av personuppgifter för vårdändamål är vårdgivare och regional myndighet inom hälso- och sjukvården. Vårdgivare har samma definition som i PDL (1 kap. 3 §). Med
116Utredningens uppdrag och arbete
regional myndighet inom hälso- och sjukvården menas en myndighet i en region som tillhandahåller hälso- och sjukvård, se vidare avsnitt 14.7.2. Enligt utredningens förslag är det vårdgivare som är datahållare vid vidareanvändning för vårdändamål. Det är personuppgifter som har samlats in och som lagras hos vårdgivare som ska kunna bli föremål för vidareanvändning för det nya ändamålet. Vårdgivare ska i steg 1 och 4 i modellen kunna tillgängliggöra personuppgifter för vidareanvändning för vårdändamål. Dataanvändare är regionala myndigheter inom hälso- och sjukvården. Regionala myndigheter inom hälso- och sjukvården ska kunna inrätta och föra en databas med personuppgifter för vidareanvändning. Utredningen kallar en sådan databas för precisionsmedicinsk databas (steg 2, se avsnitt 14.2.). Det är även regionala myndigheter inom hälso- och sjukvården som ska kunna ha tillgång till personuppgifter i en precisionsmedicinsk databas och personal hos sådana myndigheter som arbetar inom den specialiserade vården som ska kunna söka i den (steg 3, se avsnitt 14.8). Närmare motivering till avgränsningarna avseende aktörer kopplat till vidareanvändning för vårdändamål finns i avsnitt 14.6.1, 17.7.2 och 14.8.1.
2.8.2 Vidareanvändning för klinisk forskning
För ändamålet klinisk forskning föreslår utredningen regler som innebär enklare tillgång till personuppgifter, se kapitel 16. Utredningen föreslår att vidareanvändning av personuppgifter som finns inom hälsooch sjukvården ska kunna ske genom en så kallad begränsad direktåtkomst eller annat elektroniskt utlämnande. Datahållare vid vidareanvändning av personuppgifter för klinisk forskning enligt utredningens förslag är regionala myndigheter som bedriver hälso- och sjukvård. Dataanvändare vid vidareanvändning av personuppgifter för klinisk forskning är regionala myndigheter och lärosäten som bedriver klinisk forskning. Definitioner av aktörerna finns i avsnitt 16.3. Närmare motivering till avgränsningar finns i avsnitt 16.4.2 och 16.7.4.
117Utredningens uppdrag och arbete
2.9 Utredningens uppdrag i förhållande
till andra utredningar
Det finns flertalet pågående utredningar som utredningen samverkat med eftersom deras uppdrag har en anknytning till utredningens uppdrag. Utredningen har haft löpande kontakt med Utredningen om e-recept och patientöversikter inom EES (S 2020:10) fram till dess att den överlämnade sitt slutbetänkande. Samverkan har framför allt bestått i kunskapsöverföring och att se till att utredningarnas förslag går i linje med varandra och att inga förslag krockar. Därutöver har utredningen haft avstämning med arbetsgruppen som skrev Förslag på åtgärder för att skapa bättre förutsättningar för kliniska prövningar (Ds 2023:8). Även denna samverkan har bestått i kunskapsöverföring men också säkerställande att förslagen ska vara förenliga med varandra. Slutligen har utredningen haft avstämningar varannan vecka med utredningen om infrastruktur för hälsodata som nationellt intresse (S 2022:10). Även här har samverkan bestått av kunskapsöverföring och att se till att förslagen ska vara förenliga med varandra. Utöver det har det varit viktigt att säkerställa så vi inte utreder samma frågor eller lämnar konkurrerande förslag. Andra utredningar som utredningen haft mer sporadisk kontakt med men som bidragit med värdefull kunskap och vars arbete utredningen förhållit sig till är: • Genomförande av EU:s dataförvaltningsförordning (Ds 2023:24), • Utredningen om en effektiv organisation för statlig forskningsfinansiering (U 2022:06), • Utredningen om hälsodataregister (S 2023:02), • Utredningen om interoperabilitet vid datadelning (I 2022:03).
2.10 Utredningens arbete
Utredningsarbetet inleddes i augusti 2022 och har utgått ifrån utredningsdirektiven (dir. 2022:41). Utredningen skickade in en promemoria till Regeringskansliet den 8 februari 2023 med förslag om ändring av E-hälsomyndighetens instruktion (se bilaga 4 Promemoria med förslag om ändring av E hälsomyndighetens uppdrag inom hälsodata-
118Utredningens uppdrag och arbete
området). Regeringen beslutade 29 juni 2023 om tilläggsdirektiv till utredningen (dir. 2023:97). Tilläggsdirektivet innebär en förlängning av utredningens uppdrag med två månader. Utredningarbetet har bedrivits på sedvanligt sätt med regelbundna sammanträden och andra kontakter med experter och sakkunniga. Under arbetet med slutbetänkandet har utredningen haft fem expertgruppsmöten varav ett slutjusteringsmöte. Utredningen har i enlighet med vad som föreskrivs i direktiven haft samråd med andra utredningar med närliggande uppdrag. Samråden har i huvudsak genomförts via digitala möten. Utöver detta har utredningen genomfört vanliga och digitala möten med företrädare för professions-, patient- och andra intresseföreningar, myndigheter, universitet och regioner. Syftet med mötena har varit att samla in information, kunskap och synpunkter utifrån respektive organisations perspektiv.
2.11 Betänkandets disposition
Slutbetänkandet är indelat i tre avdelningar. Den första avdelningen innehåller allmän bakgrund om vad data och datadelning är, pågående initiativ inom EU på hälsodataområdet samt gällande rätt (kapitel 3–10). Den andra avdelningen innehåller utredningens internationella utblick, problemanalys, utgångspunkter samt utredningen överväganden och förslag (kapitel 10–18). Den tredje avdelningen innehåller bedömningar avseende frågor för fortsatt utredning (kapitel 19–23). Därefter avslutas utredningen med författningskommentar följt av utredningens bilagor. Bilaga 1 är utredningens direktiv. Bilaga 2 är utredningens tilläggsdirektiv. Bilaga 3 beskriver samtycken inom vård och klinisk forskning. Bilaga 4 innehåller en promemoria som utredningen skickade till regeringen med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet.
119BAKGRUND
1213 Vad är data och datadelning?
3.1 Inledning
Utredningen har bland annat i uppdrag att lämna förslag för att möjliggöra en utökad vidareanvändning av hälsodata. För att reglera användning av data i olika sammanhang krävs dock en djupare förståelse för vad data är och vad som avses med vidareanvändning, och framför allt hur dessa frågor påverkas av de juridiska ramar som finns på hälsodataområdet. Utredningen har i sitt arbete uppfattat det som att det finns en diskrepans i förståelse mellan de som arbetar med teknik respektive juridik. Diskrepansen kan bland annat medföra att de olika professioner som arbetar med frågorna missförstår varandra eller att regler och andra rättsliga förutsättningar blir svåra att tillämpa i praktiken. Det kan även resultera i att juridiska problem kan få otillfredsställande tekniska lösningar då de juridiska frågorna saknar förankring hos de praktiker som ska lösa dem. I ett försök att överbrygga denna diskrepans har utredningen därför valt att beskriva begreppet data ur olika perspektiv, samt försökt tydliggöra kopplingen mellan olika juridiska och tekniska begrepp. Data har flera egenskaper. Data kan delas utan att förbrukas och många personer kan använda samma resurs samtidigt. Värdet av resursen kan dessutom öka ju mer av den du har. Data kan även dupliceras. Detta är bara några av de egenskaper som gör att data är en resurs som är olik många andra. Så även om data ibland beskrivs som den nya oljan finns flera tydliga skillnader mellan data och olja, vilket också ställer andra krav på lagstiftningen kring data som gemensam resurs. 1 Av de datamängder som finns är hälsodata en av de mer integritetskänsliga datamängderna. Det har debatterats om hälsodata bör ses
1 https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-isno-longer-oil-but-data (Hämtat 2023-01-26).
122Vad är data och datadelning?
som det nya blodet eller den nya oljan. Hälsodata är en värdefull resurs, inte minst för vården, men också en resurs som behöver regleras annorlunda då det inte är en resurs som alla andra. 2 Datadelning av den omfattande skala som EU-kommissionen föreslår 3 lyfter ett antal etiska frågeställningar. Förhoppningsvis bidrar utredningens betänkande till att komma längre i arbetet med att hitta en bra balans och lösningar för att möjliggöra en säker och ändamålsenlig datadelning som invånarna känner tillit till och som värnar deras integritet. När det i utredningens direktiv talas om en datadriven hälso- och sjukvård, eller ett datadrivet samhälle, avses enligt utredningen när data används för att underlätta och skapa mervärde för olika användare baserat på kunskap. Data som används kan vara av låg kvalitet eller felaktig, vilket skulle kunna skapa situationer där data inte skapar mervärde. Utredningen menar dock att det är själva ansatsen som sådan att använda data för att skapa mervärde som är kärnan i de datadrivna processerna och gör inget anspråk på att datadrivet i samtliga fall leder till ett bättre utfall eller genererar utfall som kan ses som objektiva sanningar. Utredningen menar i stället att en datadriven process är ytterligare ett verktyg bland flera och som likt andra verktyg har sina styrkor och svagheter.
3.2 Vad är data?
Begreppet data kan många gånger användas synonymt med information, då data är just information. I allmänspråklig mening avser data ”uppgifter, fakta särskilt när de är digitalt behandlade”. 4 Försök till att definiera begreppet data görs ofta i olika rättsliga källor. Det saknas dock en generellt giltig juridisk definition av begreppet data. Integritetsskyddsmyndigheten definierar data som uppgifter eller information om något, oftast i samband med mätningar eller rapportering, exempelvis personuppgifter. 5
2 Perakslis, E., & Coravos, A. 2019. Is health-care data the new blood?. The Lancet Digital Health, 1(1), e8–e9. 3 Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, ”Mot en blomstrande datadriven ekonomi”, COM (2014) 442. 4 https://svenska.se/tre/?sok=data&pz=1 (Hämtat 2022-10-05). 5 https://www.imy.se/ordlista/ (Hämtat 2022-10-07).
123Vad är data och datadelning?
I artikel 2.1. i Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten), förkortad EU:s dataförvaltningsförordning, definieras begreppet data som Varje digital återgivning av handlingar, fakta eller information och varje sammanställning av sådana handlingar, sådana fakta eller sådan information, däribland i form av ljudinspelningar, bildinspelningar eller audiovisuella inspelningar.
I lagen (2022:818) om offentliga sektorns tillgängliggörande av data definieras data som ”information i digitalt format oberoende av medium” (1 kap. 4 §). Som framgår ovan är begreppet data förhållandevis brett och allmänt hållet, men i korthet kan sägas att det är information som är eller kan användas för att generera kunskap. Denna information kan utgöras av personuppgifter, men behöver inte utgöras av det. Utredningen använder begreppet ”data” i meningen att informationen som avses på något sätt är dokumenterad. Utredningens bedömning är att data typiskt sett är information i digitalt format, men att data även kan avse information som dokumenterats på annat sätt.
3.2.1 Olika typer av data
Insamlade data kan klassificeras, sorteras och struktureras på olika sätt. Det kan till exempel göras utifrån vad data handlar om, vad data har för form eller hur data är reglerad. Samma begrepp kan även ha olika innebörd inom olika fält. Ett sätt att klassificera data är att skilja mellan kvalitativa data och kvantitativa data. Ett exempel på kvalitativa data är fritext i en patientjournal, medan ett blodtryck är ett exempel på kvantitativa data. Data kan också sorteras in i skalor så som nominal-, ordinal-, intervall- och kvotskala. 6 Data kan även vara strukturerad eller ostrukturerad. Det finns ingen entydig definition av vad strukturerade data är, men generellt avses ofta data som är organiserad på något sätt, till exempel i ett register. 7 Inte heller för ostrukturerade data finns någon entydig definition, men vanligen avses att data är oorganiserad. Van-
6 Stanley S. S., 1946, On the Theory of Scales of Measurement. 7 Strukturerade data | IDG:s ordlista (Hämtat 2022-10-26). En till synes näraliggande men ändå separat fråga är det arbete som bedrivits av Socialstyrelsen med att ta fram ett ramverk för Strukturerad dokumentation inom vård och omsorg, NI 2023:5.
124Vad är data och datadelning?
liga exempel på ostrukturerade data är fritext i en journal. Anledningen till att text sägs vara ostrukturerad data är för att en dator inte med lätthet kan tolka eller behandla innehållet. Det behöver inte alltid vara uppenbart för någon om datan är strukturerad eller ostrukturerad. Data kan se ostrukturerad ut, men med hjälp av rätt programvara kan det visa sig att datan är strukturerad och att det därmed kan röra sig om till exempel direkt identifierbara personuppgifter. Vad för typ av data det rör sig om kan påverka bedömningen av om det rör sig om en direkt eller indirekt identifierbar personuppgift, eller om det i en viss situation rör sig om en personuppgift över huvud taget. Ett annat sätt att beskriva det är att om data utgörs av en eller flera personuppgift/-er eller när det rör sig om data som omfattas av sekretess får det rättsliga konsekvenser knutna till sig som måste hanteras.
3.2.2 Ostrukturerade data
Exemplifieringen i denna del är inte avsedd att vara uttömmande, syftet är snarare att skapa en förståelse för vilka de stora typerna av ostrukturerade datamängder som är vanligt förekommande inom vården.
Text
Ett av de vanligaste exemplen på textdata inom hälso- och sjukvården är journalanteckningar som är skrivna som fritext. Ur ett dataanvändarperspektiv är textdata svårt att använda eftersom innehållet och strukturen på texten inte är standardiserade och det finns därmed en stor variation av information i texten. Ytterligare en svår aspekt med textdata är att det kan vara väldigt svårt och tidskrävande att pseudonymisera eller anonymisera textdata. Textdata kan i vissa fall även innehålla information om andra personer än den registrerade, vilket gör det än svårare att hantera. Text kan även bifogas andra datatyper exempelvis som metadata, det vill säga data om data. Ett sådant exempel kan vara data som beskriver vilken upplösning en bild har, men det kan också vara information om vilken person en viss röntgenbild tillhör. Det kan också röra sig om anteckningar som gjorts på eller till en bild. Men det kan
125Vad är data och datadelning?
även röra sig om text som bara är sparat i ett bildformat, så som en skärmdump av en hemsida.
Bild
Bilder är en vanligt förekommande datamängd inom vården exempelvis finns röntgenbilder, bilder inom patologin, men även visuella representationer av data så som enklare diagram till mer avancerade visualiseringar av genomikdata. Eftersom bilder är ostrukturerad data kan det vara svårt att identifiera enskilda personer från bilder utan att få ytterligare information rörande bilden om inte till exempel ett ansikte gör att en person enkelt kan identifieras.
Ljud
Hälsodata i form av ljud kan vara biomarkörer så som en ljudupptagning av en persons hosta, men det kan också vara dikterad patientinformation, inspelade telefonsamtal eller andra ljudfiler eller ljudspår till video. Ljuddata är därmed inte helt olikt bilddata och det kan vara svårt att direkt identifiera en person enbart utifrån bara ett ljud. Däremot kan en persons röst göra det lätt att identifiera personen i fråga.
Video
Exempel på video kan vara video som genererats vid en koloskopi eller en ultraljudsundersökning, det kan även röra sig om videosamtal, videoövervakning eller en simulering av en biologisk process. Video kan exempelvis användas i undervisningssyfte eller som del i ett videosamtal mellan en patient och en vårdgivare.
Avslutande kommentar
Text kan ibland framstå som strukturerad utan att för den sakens skull vara det. De flesta som läser är medvetna om att ett understruket ord kan betyda att ordet är extra viktigt. Beroende på avsändare och rubrik på ett dokument kan läsare generellt också ofta förstå vad det är för
126Vad är data och datadelning?
information som finns i dokumentet. För en dator är det dock svårt att med lätthet utläsa dessa nyanser och skillnader, denna typ av data är ofta ostrukturerad. 8 Ostrukturerade data har dessutom av sin natur en inneboende osäkerhet kopplat till sig gällande om det utgörs av en personuppgift eller inte. Det är ofta en bedömningsfråga som dessutom beror på vilken ytterligare information som betraktaren har med sig eller kan tillskansa sig. Det visar tydligt på hur svårt det är att på ett ändamålsenligt sätt ta fram en övergripande datareglering som tillåter en integritetssäker datadelning. Det är även förklarligt att det finns ett behov av ökad precision i regleringen.
3.2.3 Strukturerade och standardiserade data
Strukturerade data är data som är ordnade på ett systematiskt sätt. Det har som tidigare nämnts inte att göra med om den av människor upplevs som strukturerad, utan om den är strukturerad på ett sätt som underlättar sökningar av data. 9 Strukturerad data underlättar ofta för datadelning dels genom att det är enklare rent tekniskt, men det kan också underlätta vid utlämnande eftersom det många gånger är lättare att bedöma om strukturerade data är en personuppgift eller inte. Exempelvis är det svårt att ur ett textdokument få reda på exakt hur många namn som återfinns i texten, medan det i en strukturerad datamängd är enkelt att få fram den informationen. Ett annat, liknande begrepp är standardiserade data. En standard kan ses som överenskomna gemensamma regler för beskrivning, utformning och framställning av en produkt eller tjänst. 10 Standardiserade data är alltså data som följer en viss överenskommen standard och används oftast för att minska onödiga variationer och oklarheter som kommer av att exempelvis olika begrepp kan tolkas på olika sätt. Vid delning av data kan standardiserad data hjälpa aktörerna som delar data att få en bättre förståelse för vad det är för data de delar och vad datan betyder. Standardiserade data har många gånger inte någon direkt påverkan på huruvida data utgörs av personuppgifter
8 Feldman, R., & Sanger, J. 200). The text mining handbook: advanced approaches in analyzing unstructured data. Cambridge University Press. 9 https://it-ord.idg.se/ord/strukturerade-data/ (Hämtat 2023-03-16). 10 https://it-ord.idg.se/ord/standard/ (Hämtat 2023-03-16).
127Vad är data och datadelning?
eller inte utan nyttan uppstår ofta snarare i att datan blir mer jämförbar och lättare kan delas mellan olika system.
3.2.4 Aggregerade data
När enskilda rader i ett dataset samlas ihop brukar de benämnas som aggregerad data. Det finns flera olika fördelar med att aggregera data. En viktig aspekt kan vara att uppgifter som slås samman kan gå från att innehålla personuppgifter till att bli aggregerad data, som då inte längre utgörs av personuppgifter. I vissa fall hjälper det inte att aggregera data för att det inte ska anses utgöra personuppgifter. När det finns många variabler som kan användas för att identifiera en person eller när antalet personer i en viss grupp är så pass få kan det innebära att det går att bakvägsidentifiera enskilda personer, trots att data är aggregerad. Aggregerade data har därmed utmaningar i att det kan vara svårt att bedöma huruvida en mängd data innehåller personuppgifter eller inte. För väldigt stora dataset kan det vara praktiskt omöjligt att veta eller ta reda på om datamängden innehåller personuppgifter eller inte.
3.2.5 Övriga datatyper
Utöver de datatyper som tagits upp ovan finns även andra datatyper som är svåra att kategorisera då de ofta är en sammanblandning av flera olika datatyper samtidigt eller att de på annat sätt har en annorlunda karaktär. Ett sådant exempel kan vara att datatyperna inte lagras utan bara existerar under vissa förhållanden eller korta perioder. Även här kommer utredningen bara kortfattat beskriva ett antal sådana typer som utredningen bedömt särskilt viktiga för hälsodataområdet.
Förstärkt- och virtuell verklighet
Förstärkt verklighet är en teknik som kombinerar människans sinnesintryck med datorgenererade intryck i realtid. Den vanliga yttervärlden som vi uppfattar med ögon, öron och andra sinnesorgan kompletteras med virtuella inslag. Det förutsätter speciella interaktiva glasögon eller liknande utrustning. En metod kan vara att man tittar på en historisk
128Vad är data och datadelning?
turistattraktion genom bildskärmen på en smart mobil med kamera. På bildskärmen visas då motivet med datorgenererade tillägg, till exempel en rekonstruktion av hur arkeologer tror att en ruin såg ut innan den blev ruin. Det liknar virtuell verklighet, fast blandat med vanliga sinnesintryck. 11 Virtuell verklighet är en teknik som visar en illusion av en verklig och interaktiv omgivning, skapad med datorteknik. Rörliga bilder, ljud gör att användaren tycker sig vara i en tredimensionell värld som går att röra sig i och också påverka. 12 Det finns redan i dag en mängd olika medicintekniska produkter som använder sig av förstärkt eller virtuell verklighet. 13 Allt eftersom denna teknik utvecklas och blir en mer integrerad del av vården så är utredningens bedömning att behovet av relevant och uppdaterad reglering kommer att öka. Exempelvis finns behov av att samla in data från användningen av dessa produkter för att utvärdera såväl säkerhet som effektivitet. För att dessa produkter ska fungera krävs ofta tränade algoritmer som i sin tur kräver stora datamängder för att tränas. På så sätt är denna teknik dataintensiv eftersom den både har ett behov av historiska data och samtidigt kan använda, sammanföra och generera stora mängder data i realtid.
Beräkningsdata
När en beräkning görs genereras många gånger olika värden. Utredningen har inte kunnat hitta ett bra begrepp för att beskriva denna typ av data och har därför valt att kalla det beräkningsdata. Ett exempel är parametrar, så som vikter i maskin- och djupinlärning. Utanför en ekvation, modell eller beräkning saknar dessa värden många gånger praktisk betydelse utan blir då bara värden. Ur ett integritetsperspektiv är problemet med denna typ av data snarlik problemen som finns med anonymisering av data. Det är svårt att veta om det går eller inte att identifiera en individ ur datan eller vilka andra data eller hjälpmedel som hade krävts för att kunna identifiera en person. För exemplet djupinlärning kan det röra sig om fler värden än vad en människa rimligen någonsin skulle kunna ta del av. Exempelvis använder Googles
11 https://it-ord.idg.se/ord/forstarkt-verklighet/ (Hämtat 2023-03-16). 12 https://it-ord.idg.se/ord/virtuell-verklighet/ (Hämtat 2023-03-16). 13 https://www.fda.gov/medical-devices/digital-health-center-excellence/augmented-realityand-virtual-reality-medical-devices (Hämtat 2023-03-16).
129Vad är data och datadelning?
djupinlärningsmodell AlphaStar 139 miljoner parametrar 14 , OpenAI:s GPT-3 använder 175 miljarder parametrar. 15 Maskin- såväl som djupinlärning blir ett allt vanligare verktyg, så även inom hälsodataområdet. Det är också ett fält där utvecklingen går väldigt snabbt framåt, vilket kan göra det svårt att bedöma hur dessa modeller får kombineras med hälsodata.
3.2.6 Kvalitativ metod och data
Inom samhällsvetenskaperna används både kvalitativ och kvantitativ metod. Med kvalitativ metod avses ett samlingsbegrepp för olika arbetssätt som förenas av att forskaren själv befinner sig i den sociala verklighet som analyseras, att datainsamling och analys sker samtidigt och i växelverkan, samt att forskaren söker fånga såväl människors handlingar som dessa handlingars innebörd. 16 Kvalitativ metod fokuseras mer på textanalyser och fallstudier och kvalitativa data är därmed oftast formaterat som text. 17 Inom hälso- och sjukvården är fritext i journal en typ av kvalitativ data. På senare år har det blivit vanligare att maskininlärningsmodeller används för att omvandla kvalitativa data till kvantitativa data. 18 Var gränsen går för kvantitativa respektive kvalitativa data är inte helt tydlig och förändras i takt med teknikens utveckling, även om metoderna fortsatt skiljer sig åt.
3.2.7 Kvantitativ metod och data
Kvantitativ metod är ett samlingsbegrepp inom samhällsvetenskaperna för de arbetssätt där forskaren systematiskt samlar in empiriska och kvantifierbara data, sammanfattar dessa i statistisk form samt från
14 Wang, Xiangjun, et al. (2021, July). SCC: An efficient deep reinforcement learning agent mastering the game of StarCraft II. In International conference on machine learning (pp. 10905–10915). PMLR. 15 Floridi, L., & Chiriatti, M. 2020. GPT-3: Its nature, scope, limits, and consequences. Minds and Machines, 30, 681–694. 16 https://www.ne.se/uppslagsverk/encyklopedi/l%C3%A5ng/kvalitativ-metod (Hämtat 2023-03-28). 17 Esiasson, P., Gilljam, M., Oscarsson, H., Towns, A., & Wängnerud, L. 2017. Metodpraktikan: Konsten att studera samhälle, individ och marknad. 5. uppl. Stockholm: Norstedts Juridik, (s. 211). 18 Khurana, D., Koli, A., Khatter, K., & Singh, S. 2023. Natural language processing: State of the art, current trends and challenges. Multimedia tools and applications, 82(3), 3713–3744.
130Vad är data och datadelning?
dessa bearbetade data analyserar utfallet med utgångspunkt i testbara hypoteser. 19 Denna metod är också väldigt vanlig utanför forskningen och används ofta i det som kallas datadriven hälso- och sjukvård, eller det som oftast avses med begreppet dataanalys. Vanligt är då också att analytiker använder så kallad real world data, vilket är all data som inte är data från en randomiserad kontrollerad studie. 20
3.2.8 Real world data
Det finns ingen vedertagen definition eller svensk översättning av real world data (RWD). Statens beredning för medicinsk och social utvärdering (SBU) har förklarat begreppet som: Ofta syftar det [real world data] på uppgifter om individers behandling och hälsa som finns i register och journaler, men också på hälso- och livsstilsinformation i smarttelefoner och bärbara sensorer. Det gemensamma är att uppgifterna inte primärt har samlats in i vetenskapligt syfte men ändå används av forskare. 21
I praktiken innebär det i stort sett samtliga data som samlats in utanför vetenskapliga studier. Utredningen har noterat att begreppet ibland förväxlas med begreppet realtidsdata, vilket beskrivs i avsnitt 3.2.9.
3.2.9 Realtidsdata
Det finns ingen definition av realtidsdata, det som däremot ofta avses är data som uppdateras och visas upp i realtid. I praktiken brukar begreppet användas i relation till beslutsstöd eller uppföljning även om realtidsdata förekommer även inom andra områden. Exempel på realtidsdata är om ett sjukhus kan monitorera antalet väntande på akuten i realtid. Ett annat exempel är medicintekniska produkter som visar värden i realtid så som EKG. Begreppet har blivit vanligare inom beslutsstöd på senare år för att verksamheter snabbare ska kunna agera på insamlade data. Utredningens bedömning är att vissa aktörer även
19 https://www.ne.se/uppslagsverk/encyklopedi/l%C3%A5ng/kvantitativ-metod (Hämtat 2023-03-28). 20 https://www.sbu.se/sv/publikationer/vetenskap-och-praxis/forskningen-flyttar-in-i-vardagen/ (Hämtat 2023-04-05). 21 https://www.sbu.se/sv/publikationer/vetenskap-och-praxis/forskningen-flyttar-in-i-vardagen/ (Hämtat 2023-09-18).
131Vad är data och datadelning?
använder begreppet för att beskriva data som uppdateras ofta om än inte i realtid. Här verkar det vara upp till det specifika fallet om data kan anses uppdateras i realtid eller inte. I vissa fall kan en timmes eftersläpning anses vara nära nog realtid, medan det inte kan anses vara det i andra. Utredningen har noterat att begreppet i vissa fall felaktigt används för att beskriva real world data, se avsnitt 3.2.7.
3.2.10 Metadata
Metadata är data om data eller information om data. Det kan exempelvis vara en lista över vilka variabler som finns i en databas och information om de olika variablerna i databasen. Metadata är ofta centralt för att aktörer ska kunna hitta och använda sig av relevant data. Ett exempel på användning av metadata är Vetenskapsrådets metadataverktyg Register Utiliser Tool (RUT). Verktyget underlättar registerbaserad forskning genom att tillåta sökning i och analys av metadata. På så sätt kan forskare utvärdera vilka register och variabler som de kan behöva i sin forskning. Ett vanligt exempel på metadata är information om hur kategorivariabler är kodade. Exempelvis kan värdet 0 innebära kvinnligt kön och värdet 1 manligt kön. Det kan även finnas metadata som talar om att en viss insamlingsmetod ändrades ett specifikt år. Eftersom metadata beskriver annan data så kan det underlätta för exempelvis dataanvändaren att bedöma vilka variabler som skulle gå att få ta del av och vilka data som kan behöva aggregeras. Ett sådant exempel är att metadata kan beskriva huruvida en variabel för ålder är kodat som exakt ålder eller om ålder är kodat i ålderskategorier. Metadata kan även användas som ett verktyg för uppgiftsminimering, utan rätt kunskap om datan som dataanvändaren vill få tillgång till kan det hända att användaren vill ta del av fler variabler än nödvändigt eftersom det kan vara svårt att på förhand veta om variablerna innehåller den information som dataanvändaren behöver för att göra den aktuella analysen. Dataanvändaren kanske på förhand bedömer att en variabel är av intresse, men av metadatan framgår att variabeln inte innehöll den data som användaren först trodde eller att kvaliteten gör att datan inte kan användas för det ändamål som användaren först tänkt. Därmed skulle ett utlämnande av den variabeln utgöra ett onödigt integritetsintrång.
132Vad är data och datadelning?
Socialstyrelsen skriver i sin rapport Kartläggning av datamängder av nationellt intresse på hälsodataområdet – slutrapport 22 att ett av syftena med att tillgängliggöra metadata är att skapa bättre förståelse för vilka data som finns tillgängliga, var de är lokaliserade, vilken kvalitet de har och för att få en förståelse för på vilket sätt data går att använda och till vad.
3.3 Behandling, lagring, och strukturering av data
Behandling av data kan ske på en mängd olika sätt. Den tekniska utvecklingen innebär att data kan behandlas på alltmer komplicerade sätt och denna utveckling går framåt i snabb takt. I förslaget till Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och användning av data COM(2022) 68 final av den 23 februari 2022, förkortad förslaget till Förordning om harmoniserade regler för skälig åtkomst till och användning av data (även kallad dataakten) definieras behandling i artikel 2.11 som: … åtgärd eller kombination av åtgärder som utförs på data eller dataset i elektroniskt format, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Behandling av data är alltså ett mer omfattande begrepp än dataskyddsförordningen behandling av personuppgifter, som endast avser behandling av sådan data som utgörs av personuppgifter. Att behandla data kan även innebära att data samlas in, lagras och struktureras på olika sätt. Nedan följer en kort beskrivning av några olika sätt att lagra och strukturera data. En datainsamling kan beskrivas som en datamängd vilket kan ses som en informationsmängd. Begreppet datamängd kan betyda olika saker beroende på sammanhang. Begreppet brukar generellt avse en ordnad samling data (datapunkter) om en bestämd företeelse. 23 En datamängd kan därför vara både data inom exempelvis ett område men kan också en specifik mängd av
22 Kartläggning av datamängder av nationellt intresse på hälsodataområdet – slutrapport (2022-10-8136). 23 https://it-ord.idg.se/ord/datamangd/ (Hämtat 2022-10-07).
133Vad är data och datadelning?
data, på samma sätt som det går att ha en mängd med information. Samma data kan också tillhöra flera olika datamängdsbegrepp samtidigt, precis som en informationsmängd kan röra information om exempelvis krisberedskap och samtidigt vara en informationsmängd från en statlig myndighet. Mängden är alltså en förklaring av vad datan beskriver eller används för. I figur 3.1 nedan visas en bild av ett dataset och utredningen kommer utifrån den bilden beskriva data från ett enskilt värde till en större samling av mer komplexa datamängder.
Figur 3.1 En bild över ett typiskt dataset
Dataset Nyckel/Identifierare Variabel
Personnr. Förnamn Efternamn Diagnoskod Kön
Rad 123456-7890 Anna Andersson A15 Kvinna 234567-8901 Bertil Bengtsson C18 Man 345678-9012 Carl Carlsson E10 Man 345678-9012 Carl Carlsson D44 Man
Datapunkt Källa : Utredningens illustration.
3.3.1 Datapunkt
En datapunkt är den minsta odelbara delen i en datamängd. Vad som är odelbart beror på sammanhanget. 24 I figur 3.1 är exempelvis könet på en person en datapunkt. Det finns exempelvis ingen anledning att dela datapunkten kvinna till två separata datapunkter. För diagnoskod kan det däremot finnas anledning att dela datapunkten, exempelvis står bokstaven i början av diagnoskoden för en viss grupp av diagnoser. Så vad som räknas som odelbar beror därför på sammanhanget.
24 https://it-ord.idg.se/ord/datapunkt/ (Hämtat 2023-03-15).
134Vad är data och datadelning?
3.3.2 Variabel
En variabel är inom matematiken en storhet som tänks variera. 25 En variabel skrivs ofta ut som bokstaven x och kan beskrivas som en bokstav som kan stå i ett uttryck och som vi kan byta ut mot olika värden. I en tabell med data brukar varje kolumn representera en variabel. I figur 3.1. ovan är exempelvis kön en variabel. Det är alltså ett värde som varierar beroende på vem observationen avser. 26
3.3.3 Nyckel
Vissa variabler kan fungera som nycklar, även kallat identifierare. I databaser är nyckeln ett värde (namn, tal, nummer) som kan användas för att entydigt identifiera en rad (post) i en relationsdatabas eller i en annan fil. En vanlig förekommande nyckel är personnummer 27 , vilket också är den nyckel som använts som exempel i figur 3.1. I figuren ser vi dock att två rader har samma nyckel, många gånger är det inte lämpligt att välja en nyckel som inte är unik för den enskilda raden, 28 det finns dock situationer där det viktiga är att nyckeln kan användas för att identifiera enskilda individer snarare än enskilda rader.
3.3.4 Rad, post eller observation
I en tabell med data finns även rader, dessa kallas också poster eller observationer. 29,30 En rad är i många fall unik, men det förekommer situationer där det kan finnas identiska rader, exempelvis om vissa variabler har tagits bort av integritetsskäl. Det kan innebära att en eller flera rader blir identiska, men det kan även finnas andra situationer där identiska rader kan förekomma.
25 https://www.ne.se/uppslagsverk/encyklopedi/l%C3%A5ng/variabel (Hämtat 2023-03-15). 26 Organisation for Economic Co-operation and Development, 2008, OECD glossary of statistical terms. Organisation for Economic Co-operation and Development. s. 577. 27 https://it-ord.idg.se/ord/nyckel/ (Hämtat 2023-03-15). 28 https://it-ord.idg.se/ord/nyckel/ (Hämtat 2023-03-15). 29 https://www.statology.org/observation-in-statistics/ (Hämtat 2023-03-15). 30 https://it-ord.idg.se/ord/post/ (Hämtat 2023-03-15).
135Vad är data och datadelning?
3.3.5 Dataset
Ett dataset är en samling av datapunkter ordnade i rader och kolumner och som tillsammans utgör ett dataset. Ett dataset är alltså en samling data som behandlas tillsammans för ett bestämt ändamål av ett 31 datorprogram.
3.3.6 Databas
En databas är data som är samlade, ordnade, sökbara och skilda från specifika program (applikationer). En fördel med en databas jämfört med exempelvis ett dataset som är sparat som en fil är att en databas är enklare att underhålla och det gör också att flera program kan använda samma data. 32 En databas kan vara ett register i dataskyddsförordningens mening, men behöver inte vara det. (Se ytterligare om databaser avsnitt 13.3.4)
3.3.7 Register
Ett register är typiskt sett en lista med uppgifter, inte sällan personuppgifter. Några exempel på register är nationella kvalitetsregister och Socialstyrelsens hälsodataregister. Ursprungligen fördes register på papper och bestod då rader och kolumner med uppgifter. I och med att datorn uppfanns så blev alltmer register digitaliserade, men register hade oftast samma form som de hade när de var på papper. På senare tid har det dock utvecklats en rad olika lösningar som gjort att det finns andra sätt att lagra data, men också andra sätt att sammanställa data än att samla allt i register. Även om det finns vissa fördelar med register så som att det är ett enkelt sett att lagra och visualisera data så finns det också en rad utmaningar med register. Exempelvis kan det vara kostsamt att uppdatera och hålla register och uppgifter samlas oftast in för att senare kunna delas. Det har tidigare, framför allt när register var i pappersformat, funnits behov av att föra olika register med samma uppgifter i dem, vilket skapar mycket administration både gällande registrering av uppgifterna, och för att säkerställa att uppgifterna är korrekta i samtliga
31 https://it-ord.idg.se/ord/datamangd/ (Hämtat 2023-03-15). 32 https://it-ord.idg.se/ord/databas/ (Hämtat 2023-03-15).
136Vad är data och datadelning?
register. På senare år har det blivit alltmer vanligt med lösningar där data lagras mer lokalt och att relevanta data tillgängliggörs efter behov. Ett sådant exempel är om en patient skulle byta adress, då kan detta göras i en databas där andra system hämtar informationen, i stället för att informationen behöver ändras i samtliga system. Register kan alltså vara flera olika saker, från en processor i en dator till en innehållsförteckning i en bok. Ett register kan vara en förteckning över data som hålls strukturerat och därmed sökbart. Vanligen är därmed även ett register en databas. I EU:s dataskyddsförordning definieras register i artikel 4.6 som en ”strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden”. Enligt den svenska modellen för författningsreglering av register är viss registerföring särskilt reglerad i så kallade registerförfattningar, se nästföljande avsnitt. Varje myndighet ska enligt 4 kap. 2 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, tillhandahålla information om de register och databaser som myndigheten har. Syftet är att underlätta för allmänheten att ta del av allmänna handlingar från de databaser och register som myndigheten ansvarar för. Innehåller databasen eller registret personuppgifter ansvarar den som är personuppgiftsansvarig för personuppgiftsbehandlingen i dessa, det vill säga vanligen aktuell myndighet. Varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare ska enligt artikel 30 i EU:s dataskyddsförordning föra ett register över behandling som utförts under dess ansvar. Personuppgiftsansvarig myndighet ansvarar därmed för att ha en särskild registerförteckning över de personuppgiftsbehandlingar som utförts under dess ansvar. Ytterst är det EU:s dataskyddsförordning och dataskyddslagen som reglerar personuppgiftsbehandling i svensk rätt, men denna reglering kompletteras ofta med myndighetsspecifika registerförfattningar. Dessa, ofta sektorsspecifika registerförfattningar, kompletterar därmed EU:s dataskyddsförordning och kan innehålla avvikelser som ansetts nödvändiga eller lämpliga på det aktuella området i förhållande till det generella dataskyddet. I svensk lagstiftning finns inom den offentliga sektorn en lång tradition av registerförfattningar. Vanligen innehåller ett sådant register personuppgifter och registerförfattningen reglerar hur behandlingen av dessa ska vara. Registerförfattningarna kompletterar dataskyddsför-
137Vad är data och datadelning?
ordningen men reglerar mer specifikt viss typ av behandling av personuppgifter, både sådana som gäller för flera organisationer inom en sektor och sådana som enbart gäller för en viss myndighet. I vissa sammanhang skiljs på så kallade renodlade registerförfattningar, informationshanteringsförfattningar och annan reglering med inslag av dataskyddsbestämmelser. I en registerförfattning anges ofta de ändamål för vilka personuppgifterna i fråga får behandlas. Detta är tillåtet förutsatt att registerförfattningen uppfyller vissa grundläggande krav i dataskyddsförordningen. Registerförfattningarna har företräde framför lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen, men måste fortfarande överensstämma med dataskyddsförordningen. Detta eftersom dataskyddslagen enligt 1 kap. 6 § är subsidiär till annan lag eller en förordning som innehåller någon bestämmelse som avviker från dataskyddslagen. Registerförfattningar kan vara tillämpliga övergripande för en viss typ av personuppgifter inom ett visst område. Hälso- och sjukvårdens område är föremål för ett stort antal registerförfattningar. Dessa registerförfattningar utgörs av lagar som reglerar vissa specifika verksamheters personuppgiftsbehandling, såsom till exempel hälso- och sjukvård i form av PDL, och som gäller som komplement till dataskyddsförordningen.
3.3.8 Datalager
Datalager, även kallat informationslager är en databas som är anpassad för snabb läsning, men som inte behöver klara ändringar och strykningar, eftersom den bara används för analys av sådant som redan har hänt. Datalager bygger på att färska data regelbundet överförs från det vanliga it-systemet, som då inte behöver belastas av tunga sökningar. I ett informationslager formateras datamängderna också 33 om, så att de blir anpassade till analytikernas sökningar. Ett vanligt förekommande exempel inom vården är att data för analys inte hämtas direkt från en applikation så som ett journalsystem utan att det oftast hämtas från ett datalager. En anledning till det är att om all begäran om data skulle skickas direkt till journalsystemet så finns det en risk att journalsystemet blir överbelastat.
33 https://it-ord.idg.se/ord/informationslager/ (Hämtat 2023-03-15).
138Vad är data och datadelning?
3.3.9 Stordata
Storadata, även kallat big data är ett begrepp som blev vanligt runt 2010 och är en benämning på mycket stora datamängder som kräver speciella metoder för analys. Det syftar oftast på ostrukturerade data, alltså sådana data som inte kan ordnas i tabeller eller kalkylark. Ett kriterium är att datamängderna är så stora att de i praktiken inte kan behandlas med traditionella program för analys och datautvinning. Områden där stordata är vanliga är analys av stora textmängder exempelvis från stora sociala medier, hälsodata, analys och kategorisering av fotografier och andra bilder, meteorologi, klimatanalys och data 34 från handel.
3.3.10 Datasjö
Datasjö är ett begrepp som brukar användas för att beskriva en lagring av stor mängd data som sparas i oförändrad form i ett gemensamt förråd, det vill säga utan någon form av normalisering eller annan anpassning. 35 Det kan exempelvis innebära lagring av både strukturerade data så som register och ostrukturerade data så som bilder. På det sättet skiljer sig datasjöar från de mer traditionella och mer strukturerade datalagren. Ett datalager kan ses som ett välstrukturerat förråd där allt står uppmärkt och ordnat i lådor och i rader. En datasjö kan ses som ett förråd där föremålen är inkastade, vissa saker i lådor, andra inte, vissa i rader, andra inte. 36 En datasjö är alltså ett sätt att lagra och använda data, vilket innebär att en datasjö kan ägas och innehålla data om endast en enda person. Så även om namnet sjö antyder att det skulle kunna röra sig om gemensamt tillgängliga data är ordet snarare en beskrivning av att flera olika typer av kärl med data har slagits samman, även kallat poolats, för att tillsammans bilda en sjö där data från de olika kärlen blandas och tillgängliggörs för de som ägaren av datasjön har gett behörighet till. Det kan finnas situationer där olika aktörer vill sammanföra sina data i en gemensam sjö, det har dock inget med begreppet att göra, snarare att aktörerna väljer det formatet för att dela och använda data. På samma sätt som ett förråd kan vara ens
34 https://it-ord.idg.se/ord/big-data/ (Hämtat 2023-03-16). 35 https://it-ord.idg.se/?s=datasj%C3%B6 (Hämtat 2022-10-07). 36 https://it-ord.idg.se/ord/informationslager/ (Hämtad 2022-10-26).
139Vad är data och datadelning?
privata förråd eller ens gemensamma förråd så är förråd i allmänhet inte gemensamma, utan snarare ett praktiskt sätt att lagra saker och förrådet kan användas på olika sätt beroende på behov.
3.3.11 Poolade data
Det finns ingen svensk definition av vad en datapool är utan begreppet är en anglicism. Begreppet kommer från engelskans data pool och ordet pool används då i bemärkelsen: A number of people or a quantity of a particular thing, such as money, collected together for shared use by several people or organizations. 37
Det betyder alltså att en eller flera personer eller aktörer valt att samla data tillsammans för att datan ska kunna användas av en eller flera aktörer. Verbet för detta är att poola och när data poolats så är den poolade datan en datapool. Utredningen har noterat att begreppet datasjö ofta används felaktigt för att beskriva poolade data. Begreppen är både praktiskt och juridiskt väldigt olika. Att jämföra en datasjö med poolade data är ungefär som att jämföra en pool med en sjö. Det kan finnas likheter, men i praktiken är de väldigt olika. Utredningen tror att en av anledningarna till att begreppen blandas ihop är för att det rent intuitivt låter som att en datasjö är något större och offentligt, medan en pool är mer begränsad och privat. I praktiken är det däremot ofta tvärt om. En datasjö är ett sätt att lagra olika datatyper på ett visst sätt (se avsnitt 3.3.10) medan poolade data bara är data som lagts samman. En annan sak som gör begreppet mer svårhanterligt är att det går att poola datasjöar, vilket då blir poolade data. Poolade data innebär juridiska utmaningar. Som konstaterats ovan i avsnitt 3.4 innebär datadelning oftast att olika juridiska regelverk aktualiseras beroende på omständigheterna och förutsättningarna i det aktuella fallet. Att samla data för olika ändamål innebär ofta att olika lagrum görs gällande. Dessutom kan det finnas olika rättsliga grunder och olika rättsliga aktörer har olika regelverk att förhålla sig till. Det här innebär att för att kunna poola data behöver en juridisk analys göras för att se så samtliga inblandade aktörer har förståelse för hur regelverket behöver efterlevas.
37 https://dictionary.cambridge.org/dictionary/english/pool (Hämtat 2023-09-13).
140Vad är data och datadelning?
3.3.12 FAIR
FAIR är en akronym som står för Findable, Accessible, Interoperable och Reusable, det vill säga sökbar, tillgänglig, interoperabel och återanvändningsbar. FAIR-principerna innebär att forskningsdata ska gå att hitta, det ska finnas information om hur man får tillgång till dem, de ska vara kompatibla med andra data, och de ska vara möjliga att återanvända. 38 Dessa principer kan även användas utanför forskningen, även om det primärt är inom forskning som de i dag används. För att data ska vara sökbar används ofta metadata, se avsnitt 3.2.10. För att data ska vara tillgänglig krävs dels att datan kan tillgängliggöras, alternativt att dataägaren har en vilja att tillgängliggöra datan, dels att datan får tillgängliggöras. Exempelvis får inte vissa data tillgängliggöras av sekretesskäl. För att data ska vara interoperabel krävs teknisk och semantisk interoperabilitet, exempelvis att datum registreras i samma format. En förutsättning för att data ska vara återanvändningsbar är att data beskrivs med tillräckliga metadata, att metadata kan läsas av både människor och datorer och att det finns tydliga upplysningar om exempelvis vetenskapligt syfte, i vilket sammanhang data samlades in och vilken utrustning och programvara som användes. Även villkor för hur data får användas måste anges tydligt. 39
3.4 Vad är datadelning?
Flera av de listade sätten ovan om hur data kan behandlas genom att samlas in, lagras och struktureras kan innebära att data delas. Vad datadelning faktiskt innebär och omfattar kan betyda flera olika saker både i praktiken och rent juridiskt. I detta avsnitt kommer utredningen översiktligt beskriva några centrala begrepp för att tydliggöra vad utredningen avser när utredningen skriver om datadelning.
38 https://snd.gu.se/sv/hantera-data/fardigstalla-tillgangliggora/FAIR-principerna (Hämtat 2023-09-18). 39 https://snd.gu.se/sv/hantera-data/fardigstalla-tillgangliggora/FAIR-principerna (Hämtat 2023-09-18).
141Vad är data och datadelning?
3.4.1 Tillgängliggörande av data
Datadelning kan övergripande beskrivas som att en person eller en organisation gör sina data tillgängliga för andra. 40 Inom denna övergripande beskrivning kan datadelning betyda olika saker. En allmän betydelse är att en datamängd görs tillgänglig för andra användare, antingen i en begränsad grupp eller mer generellt till allmänheten eller många mottagare. Dataledning kan också bestå i utbyte av data, genom att två eller flera organisationer kommer överens om att ha gemensam tillgång till varandras data. Av dessa beskrivningar följer att datadelning både kan vara envägs eller tvåvägs tillgängliggörande av data. Datadelning är även ett begrepp som finns definierat i artikel 2.10 i dataförvaltningsförordningen och beskrivs som … en registrerads eller datainnehavares tillhandahållande av data till en dataanvändare för gemensam eller individuell användning av dessa delade data, baserat på frivilliga avtal, unionsrätt eller nationell rätt, direkt eller via en förmedlare, till exempel inom ramen för öppna eller kommersiella licenser mot en avgift eller kostnadsfritt.
Det innebär att det finns många olika förutsättningar att ta hänsyn till och datadelning blir snarare som en form av paraplybegrepp som i sin tur kan delas upp enligt olika juridiska förutsättningar. I hälso- och sjukvården behandlas dagligen enorma mängder data som består av personuppgifter. En stor andel av uppgifterna utgörs av känsliga personuppgifter. Det finns flera bestämmelser inom hälsooch sjukvården som innebär att uppgifter delas. Förutom dataförvaltningsförordningen som nämns ovan, förekommer begreppet datadelning inte i lagstiftning som rör informationshantering, såsom dataskyddsförordningen, tryckfrihetsförordningen (1949:105), förkortad TF, offentlighets- och sekretesslagen (2009:400), förkortad OSL, eller svenska registerförfattningar. I dessa författningar används andra begrepp för åtgärder som omfattas av begreppet datadelning. För att förstå vilka rättsliga aspekter en specifik datadelning aktualiserar, måste man därför analysera vad datadelningen innebär i förhållande till de rättsliga begrepp som finns i relevant lagstiftning.
40 https://it-ord.idg.se/ord/datadelning/ hämtat 2022-11-23.
142Vad är data och datadelning?
3.4.2 Juridiska begrepp som kopplar till datadelning
Utlämnande
Den organisation som gör sin data tillgänglig, kan i lagens mening göra ett utlämnande av information. Begreppet utlämnande förekommer i TF och syftar på när en myndighet lämnar ut så kallade allmänna handlingar eller uppgifter ur allmänna handlingar (se 2 kap. 15–20 §§ TF). Utlämnande kan ske genom att den som begärt ut handlingen får ta del av en på stället på ett sådant sätt att den kan läsas eller avlyssnas eller uppfattas på annat sätt (2 kap. 15 § TF). Kan handlingen inte läsas eller uppfattas på något annat sätt utan något tekniskt hjälpmedel, ska myndigheten ställa ett sådant till förfogande. Det kan till exempel vara en uppkopplad skärm om det gäller en elektronisk handling. En handling får också skrivas av, fotograferas eller spelas in. Utlämnande kan också ske genom att den som begär ut handlingen får del av en avskrift eller kopia av handlingen. Detta kan gå till så att handlingen kopieras och skickas per brev. Detta förekommer fortfarande hos myndigheter vad gäller sekretessbelagd information.
Utlämnande på medium för automatiserad behandling
Utlämnande på medium för automatiserad behandling är ett begrepp som förekommer i PDL och innebär utlämnande på medium för automatiserad behandling (ADB-utlämnande). Förarbetena till PDL anger att utlämnande också kan göras i elektronisk form, det vill säga på medium för automatiserad behandling eller via elektronisk kommunikation på annat sätt. Den elektroniska formen omfattar i sig ett stort antal variationer, till exempel användning av e-post, lagring på cd-rom, direktöverföring från ett datorsystem till ett annat via telenätet eller att en mottagare ges elektronisk tillgång till det utlämnande organets datorsystem (prop. 2007/08:126, s. 73).
Direktåtkomst
Utlämnande kan också ske genom så kallad direktåtkomst. Det finns ingen rättslig definition av direktåtkomst. Begreppet har använts i många utredningar och finns i lagstiftning utan att vara definierat i någon lag. Direktåtkomst innebär en form av elektroniskt utlämnande.
143Vad är data och datadelning?
Utlämnandet sker då till en extern mottagare där den som är ansvarig för informationen inte längre har någon kontroll över vilka uppgifter som mottagaren tar del av. Den som tar emot uppgifterna kan inte heller påverka innehållet i det system eller register som uppgifterna lämnas ut från. Direktåtkomst till personuppgifter som behandlas enligt PDL får endast ske i den utsträckning som lag eller förordning anger det. Ett exempel på en lagstadgad form av direktåtkomst finns i 5 kap. 4 § 2 PDL. Ifall en region eller en kommun bedriver hälsooch sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma region eller kommun. I 5 kap. 5 § patientdatalagen anges att en vårdgivare får medge en patient tillgång, genom direktåtkomst, till sådana uppgifter om sig själv som behandlas för vårddokumentation. Exempel på sådan direktåtkomst är vårdens e-tjänst Journalen via 1177 Vårdguiden. Data som omfattas av direktåtkomsten blir allmänna handlingar hos mottagande myndighet. Direktåtkomsten begränsas av den behörighet som har givits användaren.
Annat elektroniskt utlämnande
I senare lagstiftningsarbete används formuleringen direktåtkomst eller annat elektroniskt utlämnande. Med begreppet annat elektroniskt utlämnande avses sådan elektronisk överföring av uppgifter som inte sker genom direktåtkomst, till exempel e-post, USB-minne eller genom en så kallad fråga-svarfunktion där användaren kan ställa en fråga med begäran om utlämnande av uppgifter i ett sammanhållet system, och därefter få ett samlat svar från flera vårdgivare eller omsorgsgivare. Utredningen uppfattar det som att detta omfattas av begreppet ADB-utlämnande. Motiveringen till användande av detta begrepp, i tillägg till direktåtkomst, är att inte låsa fast vårdgivare till att de måste använda direktåtkomst, som anses vara förknippat med särskilda integritetsrisker. Utredningen konstaterar vidare att det noteras att det i praktiken inte är något stor skillnad mellan direktåtkomst och en elektronisk frågasvar-funktion. Se exempelvis prop. 2021/22:177, s. 78–79:
144Vad är data och datadelning?
Regeringen delar utredningens bedömning att det inte är lämpligt att utforma regleringen på ett sådant sätt att den låser fast det elektroniska utlämnandet i system med sammanhållen vård- och omsorgsdokumentation till just direktåtkomst. Det kan finnas system som uppfyller behovet av informationsöverföring men med högre integritetsskydd än vid direkt-åtkomst, och dessa måste vara tillåtna. Regeringen avser inte att begränsa hur sådana system är uppbyggda mer än vad som motiveras utifrån ett sekretess- och dataskyddsperspektiv.”
Elektronisk åtkomst
Elektronisk åtkomst innebär, enligt utredningens mening, inte en form av datadelning men tas ändå upp här för att förtydliga begreppen i sammanhanget. Begreppet avser inte en form för utlämnande. Med elektronisk åtkomst avses åtkomst eller tillgång till uppgifter som behandlas elektroniskt inom den egna organisationen. Elektronisk åtkomst är alltså formen för hälso- och sjukvårdspersonalens interna åtkomst till personuppgifter inom vårdgivaren vilket sker på elektronisk väg, såsom inloggning i ett journalsystem. Vårdgivaren har ansvar för att göra en individuell prövning av sin personals behov. Denna behovsprövning avser även hälso- och sjukvårdspersonalens tillgång till uppgifter genom sammanhållen journalföring.
3.5 Data som utgör personuppgifter
Det finns flera juridiska begrepp som beskriver typer av data eller hälsodata. I detta avsnitt beskrivs några av de som utredningen bedömer är mest centrala.
3.5.1 Personuppgifter
Ett centralt begrepp i sammanhanget är som nämnts ovan personuppgifter. I artikel 4.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad dataskyddsförordningen, definieras personuppgifter som varje upplysning som avser en identifierad eller identifierbar fysisk person. I 2 kap. 7 § tryckfrihetsförordningen defi-
145Vad är data och datadelning?
nieras personuppgift som all slags information som direkt eller indirekt kan hänföras till en fysisk person. Exempel på personuppgifter är namn, personnummer, bostadsadress och IP-adress.
3.5.2 Känsliga personuppgifter
I dataskyddsförordningen finns bestämmelser om särskilda kategorier av personuppgifter. Med detta begrepp avses bland annat genetiska uppgifter, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (se artikel 9.1 i dataskyddsförordningen). I svensk lagstiftning kallas dessa personuppgifter för känsliga personuppgifter (se 3 kap. 1 § lagen [2018:218] med kompletterande bestämmelser till EU:s dataskyddsförordning och 2 kap. 7 a § patientdatalagen [2008:355]).
3.5.3 Uppgifter om hälsa
Med begreppet uppgifter om hälsa avses personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus (artikel 4.15 dataskyddsförordningen). Ett exempel på en uppgift om hälsa är en uppgift om blodtryck. I skäl 35 i dataskyddsförordningen anges att personuppgifter om hälsa bör innefatta alla de uppgifter som hänför sig till en registrerad persons hälsotillstånd som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd.
3.5.4 Genetiska uppgifter
Med genetiska uppgifter avses alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga (artikel 4.13). Ett exempel på en genetisk uppgift är en uppgift om arvsanlag.
146Vad är data och datadelning?
3.5.5 Uppgift om en enskilds hälsotillstånd
eller andra personliga förhållanden
I 25 kap. 1 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, används begreppet uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden för att definiera sekretessbestämmelsens föremål, se vidare om hälso- och sjukvårdssekretess i avsnitt 8.3.3. Begreppet hälsotillstånd är en typ av personligt förhållande som regeringen ansåg borde framhållas särskilt (prop. 1979/80:2, Del A s. 168). Begreppet hälsotillstånd definieras dock inte i förarbetena till bestämmelsen. Däremot finns skrivningar om begreppet andra personliga förhållanden, vilket också inkluderar begreppet hälsotillstånd. Där anges att vad som menas med personliga förhållanden måste bestämmas utifrån vanligt språkbruk. Vidare anförs att det är vitt skilda förhållanden som omfattas, såsom adress, ekonomiska förhållanden men även yttringar av ett psykiskt sjukdomstillstånd. (prop. 1979/80:2 Del A, s. 84 och 168).
3.5.6 När övergår personuppgifter till att inte längre
vara personuppgifter?
Enligt dataskyddsförordningen är personuppgifter all slags information som direkt eller indirekt kan knytas till en person som är i livet. Ibland kan det vara svårt att avgöra var gränsen går för när data utgörs av personuppgifter eller när det inte längre anses utgöra personuppgifter. Ibland kan olika uppgifter tillsammans leda till att en viss person kan identifieras. Uppgifter som inte direkt kan identifiera en person klassas som personuppgifter om de är pseudonymiserade. Pseudonymisering är en säkerhetsåtgärd som innebär att personuppgifterna ersätts med något annat, som en kod eller ett löpnummer och då krävs kompletterande uppgifter för att det ska vara möjligt att hänföra uppgiften till en specifik person. Pseudonymiserade uppgifter är alltså fortfarande personuppgifter, även om risken för att identifiera en person minskar. Av skäl 26 i dataskyddsförordningen framgår att förordningen är tillämplig på personuppgifter som har pseudonymiserats och som skulle kunna tillskrivas en fysisk person genom att kompletterande uppgifter används. Dataskyddsförordningen är därför tillämplig även på pseudonymiserade personuppgifter.
147Vad är data och datadelning?
Anonymisering innebär däremot att personuppgifter anonymiserats på ett sådant sätt att den registrerade inte längre är identifierbar (skäl 26 i dataskyddsförordningen). Dataskyddsförordningen är inte tillämplig på sådan anonym information, men själva anonymiseringen utgör en behandling av personuppgifter som omfattas av dataskyddsförordningen. 41 42 I en relativt ny dom från EU-domstolen prövades huruvida uppgifter kunde anses vara anonyma hos mottagaren, trots att den organisation som lämnat uppgifterna hade tillgång till kompletterande uppgifter som möjliggjorde identifiering. Utredningen konstaterar att domen är intressant men att ytterligare rättspraxis skulle behövas för att få bättre förståelse för när pseudonymiserade personuppgifter kan klassas som anonyma. Det finns en mängd gråzoner gällande var gränsen går för när personuppgifter inte längre kan anses utgöra personuppgifter. Olika bedömningar görs på olika håll och utredningens bedömning är att det inte finns ett enkelt svar på frågan när dataskyddsförordningen blir tillämplig. För att bedöma om en person kan identifieras i ett dataset görs ofta en så kallad statistisk röjandekontroll. Begreppet statistisk röjandekontroll skiljer sig från röjandekontroll i sambandet röjande av sekretess. Det är metoder för att se till att inte uppgifter om enskilda personer eller företag ska gå att utläsa ur redovisad statistik eller statistiska material. Med röjande menas att en utomstående får ny kunskap om en egenskap hos en enskild (en person eller ett företag). Ett röjande kan till exempel ske genom att en uppgift om någon enskild framgår från en tabell eller genom att uppgiften tas fram av någon som ”lägger pussel” med statistiska material och information från annat håll.
41 Se skäl 26 i Dataskyddsförordningen och jämför s. 7 i yttrande 05/2014 om avidentifieringsmetoder antaget den 10 april 2014 av Artikel 29-arbetsgruppen för skydd av personuppgifter. 42 Mål T-557/20.
148Vad är data och datadelning?
Figur 3.2 Schematisk översikt över hur en röjandekontroll kan se ut
Bedömning av röjanderisk
Nej
Krävs skydd? Bedömning av skaderisk
Ja
Skyddande av data
Bedömning av Godtagbar Ja kvalitet kvalitet?
Nej
”Åtgärd krävs” ”Överlämna”
Källa: https://www.scb.se/hitta-statistik/artiklar/2017/Rojandekontroll--viktig-for-statistikens-kvalitet/ (Hämtat 2023-03-06).
I offentlighets- och sekretessammanhang förekommer begreppet avidentifierade uppgifter. För att hinder ska finnas mot att lämna ut uppgifter som är sekretessreglerade till skydd för enskilds personliga eller ekonomiska förhållanden, krävs det en enskild person riskerar att lida skada eller men. Av förarbetena till den tidigare sekretesslagen framgår att det krävs att uppgifterna är hänförliga till en viss individ för att en enskild person ska lida skada eller men. Vidare anges att det innebär att man i allmänhet bör kunna lämna ut så kallade avidentifierade uppgifter utan att risk för skada eller men uppkommer (prop. 1979/80:2 Del A s. 84).
149Vad är data och datadelning?
3.6 Skyddsåtgärder
Om data består av personuppgifter och dataskyddsförordningen är tillämplig, finns en rad olika tekniker och metoder för att skydda de registrerades personliga integritet i samband med databearbetning och analys. Utredningen har valt att begränsa sig till att enbart skriva om ett par skyddsåtgärder som utredningen bedömer är relevanta för betänkandet. För en mer utförlig beskrivning av olika skyddsåtgärder så finns en bra sammanställning i forskningsdatautredningens delbetänkande (SOU 2017:50, kapitel 12). Utredningen kommer i denna del beskriva tre generaliseringsmetoder i mer detalj eftersom utredningen bedömer att det är främst dessa som kan komma att vara aktuella för de som ska tillämpa utredningens förslag. Utöver detta kommer andra skyddsåtgärder beskrivas mer översiktligt eftersom de i olika sammanhang kommer att tas upp i betänkandet. Syftet med detta är dels att visa på komplexiteten när det kommer till att skydda data och anonymisera data, dels visa på andra metoder som inte enbart handlar om pseudonymisering. Vissa skyddsåtgärder är också lämpliga när det inte bedöms finnas någon större risk för att de som har tillgång till data aktivt kommer försöka avidentifiera den, vilket i vissa situationer kan vara fallet. En friare datadelning ställer därmed också större krav på olika typer av skyddsåtgärder och balansen mellan detaljeringsgrad och skyddsåtgärd kan vara svår. Det är inte heller så enkelt att avgöra vilken metod som är bäst lämpad i olika sammanhang. Vid datadelning som innefattar behandling av personuppgifter, behöver det alltid göras en avvägning mellan nyttan och intrånget i den personliga integriteten. Dessutom behöver det göras en bedömning om vilken typ av skyddsåtgärd som är mest lämplig för den enskilda situationen.
3.6.1 Generalisering av data
Generalisering av data är ett samlingsbegrepp som avser flera typer av skyddsåtgärder. Med generalisering menas i allmänhet att undvika identifiering genom kvasiidentifierare 43 genom att integritetskänsliga eller särskil-
43 Uppgift som indirekt eller i kombination med andra uppgifter kan identifiera en person, exempelvis postnummer, ålder och kön.
150Vad är data och datadelning?
jande uppgifter aggregeras. I stället för att datasetet talar om exakt ålder på en registrerad så anges åldersspann (exempelvis ”20–29 år”). För diagnos och behandling av personer med hjälp av precisionsmedicin kan det exempelvis vara viktigt att veta exakt vilken mutation en person har och om personen är ett barn eller inte. Barnets exakta ålder är därmed sällan, om någonsin, avgörande och därför inte nödvändig i datasetet. För biomarkörer kan det röra sig om att informationen som är viktig att känna till är om ett värde var kraftigt förhöjt, något förhöjt eller normalt. Skillnaden mellan variabler som beskriver en biomarkör jämfört med variabeln ålder är att behovet av detaljeringsgrad kan skilja sig åt beroende på situation och biomarkör. Det kan därför till skillnad från ålder vara svårt att säga att biomarkörsvariabler alltid ska vara generaliserade på ett visst sätt.
K-anonymitet
K-anonymitet innebär att en eller flera kvasiidentifierare aggregeras. Bokstaven k står för antalet gånger en kombination av så kallade kvasiidentifierare, återfinns i ett dataset. Ett exempel är om värdena för ålder och vikt skulle aggregeras till grupper, exempelvis i steg om tio. Så i stället för 47 år så skulle det stå 40–50 år och i stället för 77 kg så skulle det stå 70–80 kg. Om det fortfarande finns individer som är unika trots detta, exempelvis om det bara finns en observation som har värdet 40–50 år och 70–80 kg så går det fortfarande att identifiera enskilda personer utifrån det nya datasetet trots generaliseringen. Då behöver datasetet generaliseras ytterligare för att kunna säga att k-anonymitet har uppnåtts. Rent praktiskt är K-anonymitet inte svårt att använda, det svåra ligger snarare i att bedöma vilka variabler som ska aggregeras, på vilket sätt och på vilken nivå. Det kan vara värt att notera att k-anonymitet inte innebär att det är omöjligt att identifiera personer, med vissa metoder och för vissa typer av data så kan det trots k-anonymitet gå att identifiera enskilda personer. K-anonymitet räcker många gånger om data ska anonymiseras för betrodda personer som det inte finns anledning att tro ska försöka identifiera enskilda personer. I vissa situationer kan det finnas risk för att enskilda aktörer aktivt vill identifiera personer i ett dataset. För att göra det kan exempelvis annan kompletterande data
151Vad är data och datadelning?
användas av den som aktivt vill identifiera någon. Om det på förhand finns kännedom om att en specifik person ingår i ett dataset och det även finns kännedom om exakt ålder och adress som personen bor på kan det gå att identifiera enskilda personer. Det kan i sin tur leda till en ”snöbollseffekt” där det går att identifiera fler personer genom uteslutningsmetoden. I praktiken påminner det lite om att lösa ett sudoku, efter en viss punkt så blir det bara lättare och lättare tills du kan identifiera alla, trots att du från början inte hade tillräckligt med information för att identifiera mer än en eller ett fåtal individer. För att ytterligare skydda data kan då L-diversitet och T-närhet användas.
L-diversitet och t-närhet
L-diversitet är en metod som kan användas utöver k-anonymitet för att ytterligare stärka skyddet för personuppgifterna. L:et i L-diversitet står för antalet värden i varje ekvivalensklass. Ett konkret exempel på hur en grupp av observationer kan ingå i samma ekvivalensklass visas i figur 3.4. L-diversitet kan användas som en ytterligare skyddsåtgärd och skyddar mot två typer av attacker som kan göras på data som anonymiserats med hjälp av k-anonymitet. Utredningen har försökt illustrera detta i figur 3.3 där uppgifterna i figuren är ursprungsdata.
152Vad är data och datadelning?
Figur 3.3 Exempel på ett dataset med pseudonymiserade data
Ickekänsliga uppgifter Känsliga uppgifter Id Postnummer Ålder Födelseland Diagnos 1 13053 28 Ryssland Hjärtsjukdom 2 13068 29 USA Hjärtsjukdom 3 13068 21 Japan Infektionssjukdom 4 13053 23 USA Infektionssjukdom 5 14853 50 Indien Cancer 6 14853 55 Ryssland Hjärtsjukdom 7 14850 47 USA Infektionssjukdom 8 14850 49 USA Infektionssjukdom 9 13053 31 USA Cancer 10 13053 37 Indien Cancer 11 13068 36 Japan Cancer 12 13068 35 USA Cancer Källa : Machanavajjhala, A., Kifer, D., Gehrke, J., & Venkitasubramaniam, M. (2007). l-diversity: Privacy beyond k-anonymity. ACM Transactions on Knowledge Discovery from Data (TKDD), 1(1), 3-es.
Därefter har k-anonymitet använts för att generalisera datan för att göra att personerna inte längre är direkt identifierbara, se figur 3.4.
Figur 3.4 Exempel på ett dataset med pseudonymiserade data
som anonymiserats med hjälp av k-anonymitet
Ickekänsliga uppgifter Känsliga uppgifter Id Postnummer Ålder Födelseland Diagnos 1 130** < 30 * Hjärtsjukdom 2 130** < 30 * Hjärtsjukdom 3 130** < 30 * Infektionssjukdom 4 130** < 30 * Infektionssjukdom 5 1485* ≥40 * Cancer 6 1485* ≥40 * Hjärtsjukdom 7 1485* ≥40 * Infektionssjukdom 8 1485* ≥40 * Infektionssjukdom 9 130** 3* * Cancer Dessa observationer ingår i 10 130** 3* * Cancer samma ekvivalensklass 11 130** 3* * Cancer 12 130** 3* * Cancer Källa : Utredningens illustration.
153Vad är data och datadelning?
Vi kan nu se att i kolumnen ”Id” har 9–12 bildat en homogen grupp där alla observationer är samma, vilket innebär att alla id i denna grupp ingår i samma ekvivalensklass. Det finns två typer av attacker som kan utföras för att identifiera enskilda personer utifrån datasetet ovan. Det ena sättet ärattacker som följer av att data blivit för homogen, vilket är fallet i 3.4. Det andra sättet är att med hjälp av bakgrundsinformation och kunskap inom ett visst område, exempelvis medicinsk kunskap. För attacker som avser data där generaliseringen skapat för homogena grupper finns följande exempel. Antag att det finns två grannar, Lotta och August som bor i ett område med ett postnummer som börjar på 130. Lotta ser att August blir körd till sjukhus. Vi antar vidare att Lotta har tillgång till det generaliserade datasetet (figur 3.4). Lotta vet alltså att August, som blev körd till sjukhus är 30 år gammal och vet också vilket postnummer hon ska leta efter för att kunna identifiera August. Lotta kan då identifiera att August åkte till sjukhuset på grund av att han hade fått cancer eftersom samtliga i den tredje gruppen har fått vård för cancer. Därmed har den uppgiften som är känslig, i detta fall diagnosen, kunnat identifieras på grund av att k-anonymiseringen lett till att en grupp är för homogen och att det därmed gått att knyta den känsliga uppgiften till en enskild person. För attacker som avser bakgrundsinformation kan det vara så att någon känner till en person som ingår i den första gruppen i figur 3.4. och vet att den personen på grund av etniskt ursprung har mycket låg risk för hjärtsjukdomar. Då kan det gå att lista ut att personen med största sannolikhet har en infektionssjukdom. T-närhet är en metod som kan användas när k-anonymitet använts men där l-diversitet bedömts behövas för att förhindra att personer identifieras. Det gäller till exempel en grupp, trots att de inte ingår i samma ekvivalensklass delar känsliga uppgifter som är semantiskt lika, vilket kan leda till att den känsliga uppgiften helt eller delvis röjs. 44 Exempelvis ingår inte två observationer i samma ekvivalensklass om den ena personen har bröstcancer och den andra prostatacancer, men om den känsliga uppgiften är att personen har cancer, då ingår de i samma ekvivalensklass och därmed är den känsliga uppgiften röjd.
44 Li, N., Li, T., & Venkatasubramanian, S. (2006, April). t-closeness: Privacy beyond k-anonymity and l-diversity. In 2007 IEEE 23rd international conference on data engineering (pp. 106–115). IEEE.
154Vad är data och datadelning?
Detta är bara några få exempel som visar på hur svårt det är att anonymisera data och att det ofta kan röra sig om känsliga personuppgifter när det kommer till delning av hälsodata. Det här leder till att det blir fråga om att väga nyttan mot riskerna och att det alltid måste finnas situationsanpassade skyddsåtgärder. Detta gör att området är svårt att reglera eftersom typ av skyddsåtgärd kan variera kraftigt från fall till fall trots att det kan samma data som delas i olika situationer. Vilken typ av åtgärd som är lämplig kommer bero på vilka data som ska delas, hur den ser ut, vem som ska ta del av den och för vilka ändamål.
3.6.2 Säkra behandlingsmiljöer
Det saknas en entydig definition av vad en säker behandlingsmiljö är. I förslaget till EHDS finns det beskrivet i artikel 50 och avser då en miljö där data kan behandlas och där risken för obehörig läsning, kopiering, ändring eller borttagning av data minimerats. Datatillgången har också begränsats till de data som dataanvändaren fått tillstånd att få tillgång till. Ett av de primära användningsområdena för säkra behandlingsmiljöer är att skapa en miljö där personuppgifter kan behandlas på ett mer integritetssäkert sätt och även att minimera risken för okontrollerat vidareutnyttjande. I Sverige finns inga statliga säkra behandlingsmiljöer som liknar den säkra behandlingsmiljö som Findata erbjuder och dit aktörer kan vända sig för att behandla hälsodata. SCB har en mer generell plattform för tillgängliggörande av mikrodata, MONA (Microdata Online Access). I MONA kan användare göra bearbetningar via internet utan att mikrodata lämnar SCB. Med mikrodata menas uppgifter som avser enskilda objekt, till exempel personer eller företag. Hälsodata på micronivå är i stort sett alltid känsliga personuppgifter. MONA-användare arbetar i Windowsmiljö via fjärruppkoppling. Mikrodata blir då synliga på dataskärmen och bearbetningar görs med de programvaror som finns i MONA. Resultat laddas ner till den egna datorn, men mikrodata sparas i MONA. Användaren kan inte utan särskild överenskommelse med SCB ta ut mikrodata från MONA. Användare har själva möjlighet att föra över eget material till sin lagringsyta i MONA, till exempel statistik eller skript som behövs för det syfte som SCB lämnat ut data för. Förutom åtkomst till utlämnade
155Vad är data och datadelning?
mikrodata, programvaror och egen lagringsyta har användare i MONA tillgång till metadata om de flesta av SCB:s mikrodataregister. Säkra behandlingsmiljöer och så kallade datahubbar, även kallat datadelningstjänster är centrala i förslaget till EHDS och utredningen skriver i kapitel 10 mer om det pågående arbete som de olika medlemsländer gör för att förbereda sig inför EHDS.
3.6.3 Syntetiska data
Syntetiska data är artificiella data som genereras från originaldata genom att använda en modell som är tränad för att reproducera egenskaperna och strukturen hos originaldatan. Det innebär att syntetiska data och originaldata bör ge mycket liknande resultat när de genomgår samma statistiska analys. Den grad i vilken syntetiska data är en korrekt proxy 45 för originaldata är ett mått på användbarheten 46 av metoden och modellen. Det gör att syntetiska data möjliggör användning av detaljerade data över stora populationer utan att de utgör personuppgifter, eftersom populationen som representeras i datan är en population som till sin struktur liknar den faktiska populationen, men innehåller inga individer som finns på riktigt. Exempelvis så har Storbritanniens National health service (NHS) Digital 47 tagit fram ett syntetiskt dataset baserat på deras cancerregister. Det finns flera olika sätt att ta fram syntetiska data och precis som för anonymisering kan det vara svårt att bedöma om syntetiska data innehåller personuppgifter. Exempelvis kan slumpen göra att det genereras en person som inte finns på riktigt, men som teoretiskt sätt kan ha samma karakteristika som en person i verkligheten. Utredningens bedömning är att detta inte är en personuppgift på samma sätt som att någon skulle kunna gissa utifrån givna sannolikheter att en person har ett visst namn, ålder, diagnos och jobbar på en viss arbetsplats. Med givna sannolikheter går det att göra ganska träffsäkra gissningar. Sådana gissningar gör dock inte att det blir en personuppgift eftersom personen är en teoretisk person. Om antagandet görs
45 Proxy (av engelska proxy som betyder ”ombud”, ”fullmakt”, ”ställföreträdande” eller ”indirekt”) betyder i vetenskapliga sammanhang att man vill mäta eller uppskatta något som inte kan mätas direkt, där man då i stället mäter något annat som har en känd relation till det man egentligen ville undersöka. (Proxy – Wikipedia 2022-10-06). 46 https://edps.europa.eu/press-publications/publications/techsonar/synthetic-data_en (2022-10-06). 47 https://www.cancerdata.nhs.uk/simulacrum (2022-10-06).
156Vad är data och datadelning?
att det skulle kunna ses som en personuppgift skulle också exempelvis fiktiva exempel i utbildningsmaterial som baseras på helt påhittade människor kunna vara personuppgifter om det senare visar sig att det finns eller har funnits en person som stämmer in på den karakteristikan. Att så är fallet går att härleda genom matematisk logik. Ett exempel på detta är att ett syntetiskt dataset många gånger tas fram ifrån ett register. I det syntetiska datasetet som tagits fram ska det inte finnas några observationer som är samma som de i det ursprungliga datasetet. Det kan därmed antas att det inte finns några personuppgifter i det syntetiska datasetet. Om ett antal personer tillkommer till registret varje dag kommer registret till slut innehålla oändligt många observationer. Om det finns oändligt med observationer så innebär det att alla kombinationer kommer att finnas med i det ursprungliga registret. Det syntetiska datasetet kommer, allt eftersom tiden går mot oändligheten, att innehålla data som överensstämmer med oändligt många personer i det ursprungliga registret. Om det syntetiska datasetet inte kontrolleras mot det register som det skapades utifrån varje gång en ny observation läggs till registret, kommer det inte heller gå att observera när datasetet skulle antas innehålla personuppgifter. Utredningen anser att antagandena ovan är rimliga eftersom det annars skulle betyda att det syntetiska datasetet innehåller personuppgifter på personer som ännu inte fötts. Därav kan antas att innehållet i det syntetiska datasetet inte är att betrakta som personuppgifter. Ett pragmatiskt, förhållandevis snabbt och billigt exempel på ett sätt att se om det går att identifiera en person ur ett populationsregister är att be personen eller personerna som ingår i underlaget och gjort det syntetiska datasetet att hitta sig själva. De har oftast det tekniska kunnandet, tillgänglig teknik och dessutom oftast mer kunskap om sig själv än vad andra har. Kan de inte hitta sig själva är det sannolikt så att det syntetiska datasetet inte innehåller personuppgifter.
3.6.4 Federerade analyser
Federering avser att samordna eller sammanföra, exempelvis är federerade databaser flera databaser som hanteras som en enhet. 48 Federerade analyser är metoder som gör det möjligt att åstadkomma ana-
48 https://it-ord.idg.se/ord/federate/.
157Vad är data och datadelning?
lyser baserat på flera olika datakällor utan att behöva flytta känsliga personuppgifter utanför källsystemen och de skyddsmekanismer som omger dessa. Exponeringen av data kan därför reduceras. 49,50
49 Läkemedelsverket 4.3.1-2020-017988. 50 Federerade analyser – IT-arkitektur, Rapport från Läkemedelsverket, Datum: 2021-12-03, Dnr: 4.3.1-2020-017988.
1594 Initiativ inom EU
på hälsodataområdet
4.1 Inledning
Utredningen bedömer att det är relevant att beskriva den EU-rättsliga kontexten som utredningens förslag behöver förhålla sig till. Det framgår också av direktiven till utredningen att flera delar av utredningens uppdrag sammanfaller med delar av Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om ett europeiskt hälsodataområde COM(2022) 197 final av den 3 maj 2022, förkortad förslaget till EHDS. Utredningens arbete kommer också påverkas av Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724, förkortad EU:s dataförvaltningsförordning (även kallad dataförvaltningsakten). Vidare kommer utredningens arbete påverkas av Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och användning av data COM(2022) 68 final av den 23 februari 2022, förkortad förslaget till Förordning om harmoniserade regler för skälig åtkomst till och användning av data (även kallad dataakten). Eftersom EHDS och relaterade akter, så som dataakten fortfarande är under förhandling och kan komma att ändras under förhandlingsprocessen har utredningen valt att begränsa sig till att inte analysera kommissionens olika förslag mer djupgående. Utredningen förhåller sig i stället till akternas inriktning och vad de syftar till att åstadkomma för att utredningens förslag ändå ska gå i linje med vad Europeiska kommissionen vill uppnå med rättsakterna (se även kapitel 9 där EU:s dataförvaltningsförordning redogörs för ytterligare). Utredningens bedömning är också att utredningens förslag varken överlappar eller krockar med förslaget till EHDS.
160Initiativ inom EU på hälsodataområdet
4.2 En europeisk dataekonomi
4.2.1 Kommissionens meddelande om att skapa
en europeisk dataekonomi
Arbetet inom Europeiska unionen med att skapa en europeisk dataekonomi har pågått under många år. Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad EU:s dataskyddsförordning, trädde i kraft 2018. Det var runt denna tidpunkt som arbetet med omställningen till en dataekonomi började ta form inom EU. Tidigare reglering hade endast berört enskilda sektorer så som direktiv 2015/2366 om betaltjänster eller data som inte är personuppgifter. 1 Så även om 2,3 dataekonomin diskuterats inom EU tidigare än 2018 var EU:s dataskyddsförordning den första mer övergripande regleringen som rörde personuppgiftsbehandling i syfte att skapa en stabil ram för digitalt förtroende (COM(2020) 66 final s. 4) 4 , vilket angetts som en förutsättning för att skapa en datadriven ekonomi (COM(2017) 9 final s. 3). Därefter har även förordningar såsom EU:s dataförvaltningsförordning och förslagen till dataförordningen och EHDS kommit, vilka alla kommer ha en stor inverkan på medlemsstaternas reglering av data. Utredningen har valt att beskriva EU-kontexten från och med året 2017 som var året innan EU:s dataskyddsförordning trädde i kraft och året som meddelandet från Europiska kommissionen om att skapa en europeisk dataekonomi publicerades. 5 Kommissionen konstaterar i sitt meddelande att data har blivit en viktig resurs för ekonomisk tillväxt, sysselsättning och samhällsutveckling. Vidare konstateras att genom dataanalys underlättas optimeringen av processer och beslut,
1 Europaparlamentets och rådets förordning (EU) 2018/1807 av den 14 november 2018 om en ram för det fria flödet av andra data än personuppgifter i Europeiska unionen (Text av betydelse för EES.). 2 Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, ”Skydd av den personliga integriteten i en uppkopplad värld En europeisk ram för personuppgiftsskydd för tjugohundratalet”, COM(2012) 9. 3 Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, ”Mot en blomstrande datadriven ekonomi”, COM(2014) 442. 4 Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, ”EU-strategi för data”, COM(2020) 66 final). 5 Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, ”Att skapa en europeisk dataekonomi”, COM(2017) 9 final av den 10 januari 2017.
161Initiativ inom EU på hälsodataområdet
innovation och möjligheten att förutse framtida händelser. Kommissionen framhäver att det inom olika områden finns stor potential i denna globala trend, så som inom hälsa, miljö, livsmedelssäkerhet, klimat- och resurseffektivitet, energi, intelligenta transportsystem och smarta städer (COM(2017) 9 final, s. 2). Kommissionen beskriver dataekonomin 6 som en ekonomi som kännetecknas av ett ekosystem bestående av olika typer av marknadsaktörer, såsom tillverkare, forskare och leverantörer av infrastruktur, som samarbetar för att säkerställa att data är tillgängliga och användbara. Dataekonomin gör det möjligt för marknadsaktörerna att dra nytta av data genom att skapa en mängd olika tillämpningar som har potential att förbättra produkter, tjänster och processer (COM(2017) 9 final, s. 2). Vidare konstaterar kommissionen att den datadrivna omvandlingen och ny teknik leder till att det ständigt genereras ökande mängder data av maskiner och nya processer. Även uppkopplingen till internet i sig själv förändrar uppgifternas tillgänglighet, eftersom det i allt högre utsträckning delas data digitalt och datan blir därmed inte lika bunden av fysiska och geografiska barriärer.
4.2.2 EU:s dataskyddsförordning
Även då EU:s dataskyddsförordning har ett annat syfte än att skapa en mer datadriven ekonomi, kan förordningen enligt Kommissionen ses som ett av de första stegen mot en mer datadriven ekonomi när den trädde i kraft i maj 2018. I meddelandet från Europiska kommissionen om att skapa en europeisk dataekonomi angavs att en enda heltäckande uppsättning regler för hela Europa skulle garantera en konsekvent tolkning av de nya reglerna (COM(2017) 9 final, s. 2). I de inledande beaktandesatserna till förordningen finns liknande resonemang och vikten av att reglerna inte ska utgöra ett hinder för flöden av personuppgifter inom EU återfinns. Det framhålls även att ett tydligt och likvärdigt skydd för de enskildas personuppgifter utgör en förutsättning för att den inre marknaden ska fungera väl. 7
6 Dataekonomin mäter de totala effekterna av datamarknaden, det vill säga marknaden för datatjänster där data utbyts som produkter eller tjänster som härrör från rådata, på ekonomin i sin helhet. Den omfattar den generering, insamling, lagring, bearbetning, distribution, analys, utveckling, leverans och det utnyttjande av data som möjliggjorts genom digital teknik (European Data Market study, SMART 2013/0063, IDC, 2016). 7 Se EU:s dataskyddsförordning skäl 10 och 13.
162Initiativ inom EU på hälsodataområdet
4.2.3 EU:s datastrategi och dataområde
I EU:s datastrategi 8 skriver kommissionen att deras vision bygger på europeiska värden om grundläggande rättigheter och på övertygelsen om att människan är och bör förbli i centrum (COM(2020) 66 final s. 4). Kommissionen anger att målet är att skapa ett gemensamt europeiskt dataområde – en genuin inre marknad för data. För att åstadkomma det föreslår kommissionen att EU bör kombinera ändamålsenlig lagstiftning med styrning för att säkerställa tillgången till data, med investeringar i standarder, verktyg och infrastrukturer samt kompetens att hantera data (COM(2020) 66 final s. 5). Vidare beskrivs att det europeiska dataområdets funktion kommer att vara beroende av EU:s förmåga att investera i nästa generations teknik och infrastruktur samt i digitala färdigheter som datakompetens. Infrastrukturen är tänkt att stödja skapandet av europeiska datapooler som möjliggör stordataanalys och maskininlärning på ett sätt som stämmer överens med dataskydds- och konkurrenslagstiftningen och gör det möjligt för datadrivna ekosystem att växa fram (COM(2020) 66 final s. 5).
4.2.4 Den digitala kompassen
I mars 2021 presenterade kommissionen sitt meddelande Digital kompass 2030: den europeiska vägen in i det digitala decenniet. 9 I meddelandet föreslår kommissionen att en digital kompass ska införas för att omsätta EU:s digitala ambitioner för 2030 i konkreta mål och säkerställa att dessa mål uppnås. Kompassen består av fyra huvudpunkter (COM(2021) 118 final s. 4): – Kompetens. – Säker och hållbar digital infrastruktur. – Digital omställning av näringslivet. – Digitalisering av offentlig service.
8 Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, En EU-strategi för data, COM(2020) 66 final av den 19 februari 2020. 9 Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, Digital kompassen 2030: den europeiska vägen in i det digitala decenniet, COM(2021) 118 final av den 9 mars 2021.
163Initiativ inom EU på hälsodataområdet
Därutöver förtydligas att omställningen bygger på att säkerställa full respekt för EU:s grundläggande rättigheter (COM(2021) 118 final s. 14): – Yttrandefriheten, inklusive tillgången till mångsidig, tillförlitlig och öppen information. – Friheten att starta och bedriva affärsverksamhet på nätet. – Skyddet av personuppgifter och integritet samt rätten att bli bortglömd. – Skyddet av enskildas intellektuella verk i det digitala rummet. Till dessa tillkommer en uppsättning digitala principer som är tänka att möjliggöra att informera användare och vägleda beslutsfattare och digitala operatörer (COM(2021) 118 final s. 14): – Allmän tillgång till internettjänster. – En säker och tillförlitlig miljö på nätet. – Allmän digital utbildning och allmänna digitala färdigheter så att människor kan delta aktivt i samhället och i demokratiska processer. – Tillgång till digitala system och apparater som tar hänsyn till miljön. – Digital offentlig service och information för alla med människan i centrum. – Etiska principer för algoritmer där människan står i centrum. – Skydd och egenmakt för barn på internet. – Tillgång till digital hälso- och sjukvård. Utöver huvudpunkterna, de grundläggande rättigheterna och de digitala principerna finns en rad mål. Tre exempel på mål är: – 75 procent av de europeiska företagen har anammat molntjänster, stordata och artificiell intelligens (COM(2021) 118 final s. 11). – 100 procent av EU-medborgarna har tillgång till sina patientjournaler (e-journaler) (COM(2021) 118 final s. 13). – 80 procent av medborgarna använder en digital id-lösning (COM (2021) 118 final s. 13).
164Initiativ inom EU på hälsodataområdet
Målen ska uppfyllas genom en kombination av investeringar och ny lagstiftning (COM(2020) 66 final, s. 5). Det finns en rad olika fonder som medlemsländerna kan ansöka om medel från. Det är framför allt Programmet för ett digitalt Europa (DIGITAL) som används för att bygga upp infrastrukturen för de olika dataområdena. 10 Även om medlemsstaterna kan ansöka om medel från EU så kommer omställningen till en datadriven ekonomi sannolikt innebära omfattande investeringskostnader för samtliga medlemsländer.
4.2.5 Förslaget till AI-förordningen
I Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om harmoniserade regler för artificiell intelligens (rättsakt om artificiell intelligens) och om ändring av vissa unionslagstiftningsakter COM(2021) 206 final av den 21 april 2021, förkortad förslaget 11 till AI-förordningen, föreslås harmoniserade regler för utveckling och användning av AI-system i unionen. De föreslagna regelverken har fyra specifika mål (COM(2021) 206 final s. 3): – Säkerställa att AI-system som släpps ut och används på unionsmarknaden är säkra och är förenliga med befintlig lagstiftning om de grundläggande rättigheterna och unionens värden. – Säkerställa rättssäkerhet för att underlätta investeringar och innovation för AI. – Förbättra styrningen och säkra en effektiv kontroll av uppfyllandet av befintlig lagstiftning om de grundläggande rättigheterna och säkerhetskrav som är tillämpliga på AI-system. – Främja utvecklingen av en inre marknad för lagliga, säkra och tillförlitliga AI-tillämpningar och förhindra marknadsfragmentering.
I artikel 5.1 i förordningen föreslås att vissa typer av AI-tillämpningar ska vara förbjudna. En sådan AI-tillämpning är offentliga myndigheters användande av AI-system för att utvärdera eller klassificera fysiska personers pålitlighet under en viss tidsperiod på grundval av deras sociala beteende eller kända eller förutsedda personliga eller personlig-
10 Europaparlamentets och rådets förordning (EU) 2021/694 av den 29 april 2021 om inrättande av programmet för ett digitalt Europa och om upphävande av beslut (EU) 2015/2240. 11 Även kallad AI-akten.
165Initiativ inom EU på hälsodataområdet
hetsrelaterade egenskaper, med en social poängsättning som leder till skadlig eller ogynnsam behandling av vissa fysiska personer eller hela grupper av fysiska personer i sociala sammanhang som saknar koppling till de sammanhang i vilka berörda data ursprungligen genererades eller samlades in (se artikel 5.1 c). Därtill föreslås klassificeringsregler för AI-system med hög risk (se artikel 6). Ett sådant exempel är AI-system som är avsedda att användas av myndigheter eller för offentliga myndigheters räkning för att utvärdera fysiska personers rätt till förmåner och tjänster i form av offentligt stöd samt för att bevilja, dra ner på, återkalla eller återkräva sådana förmåner och tjänster (se artikel 6.2). För den typen av AI föreslås en rad krav, såsom ökad dokumentation (se artikel 9.1).
4.2.6 EU:s dataförvaltningsförordning
I EU:s dataförvaltningsförordning finns reglering för att främja att data från offentliga myndigheter och vissa andra organ eller sammanslutningar görs tillgänglig för vidareutnyttjande (se vidare kapitel 9 för närmare redogörelse av vilka som träffas av reglerna). Det framgår också att främja tillgången till dessa data för vetenskaplig forskning enligt principen så öppen som möjligt, så begränsad som nödvändigt. (se skäl 16). Andra centrala skäl för förordningen är att det behövs åtgärder för att öka förtroendet för datadelning (se skäl 5). I artikel 1 framgår att förordningen fastställer följande: – Villkoren för vidareutnyttjande inom unionen av vissa kategorier av data som innehas av offentliga myndigheter, – En ram för anmälan av och tillsyn över tillhandahållandet av dataförmedlingstjänster, – En ram för frivillig registrering av enheter som samlar in och behandlar data som tillhandahålls för altruistiska ändamål, – En ram för inrättandet av en europeisk datainnovationsstyrelse.
Förordningen innehåller i artikel 2 en rad definitioner som har relevans när det talas om datadelning, så som data (se vidare avsnitt 3.2), vidareutnyttjande (se vidare avsnitt 9.2), datadelning (se vidare avsnitt 3.4) med mera vilka utredningen har att förhålla sig till.
166Initiativ inom EU på hälsodataområdet
Som framgår av kapitel 9 skapar inte dataförvaltningsförordningen några nya möjligheter till datadelning eller vidareutnyttjande utan reglerar snarare hur ett sådant tillgängliggörande får se ut i de fall sådana data kan tillgängliggöras för vidareutnyttjande enligt befintliga regler och att dataförvaltningsförordningen är tillämplig på den aktuella situationen. Likaså påverkar inte dataförvaltningsförordningen nationella bestämmelser om sekretess. Det innebär att bestämmelser i offentlighets- och sekretesslagen (2009:400), förkortad OSL, ska tillämpas som vanligt även om datahållaren är en sådan aktör som kan omfattas av reglerna i dataförvaltningsförordningen. På grund av det ovanstående gör utredningens den preliminära bedömningen att ingen av de situationer där utredningen lämnar författningsförslag är oförenliga med dataförvaltningsförordningen eller de kompletterande bestämmelser som föreslagits i Ds 2023:24 Genomförande av EU:s dataförvaltningsförordning. Enligt utredningen reglerar dataförvaltningsförordningen respektive utredningens förslag olika saker.
4.2.7 Förslaget till dataförordningen
I förslaget till dataförordningen föreslås harmoniserade regler för rättvis åtkomst till och användning av data (COM(2022) 68 final s. 1) Syftet är att säkerställa en rättvis fördelning av datauppgifternas värde bland aktörerna i dataekonomin och att främja åtkomsten till och användningen av data (COM(2022) 68 final s. 16), vilket regleras i artikel 13. Förslagets specifika mål är att (COM(2022) 68 final s. 13): – Underlätta konsumenternas och företagens åtkomst till och användning av data, och samtidigt bevara incitamenten att investera i skapandet av värde genom data. – Se till att de offentliga myndigheterna och unionens institutioner, byråer och organ kan använda data som innehas av företag i särskilda situationer där behovet av data är stort. – Underlätta byten mellan olika tjänster för molnteknik och edge computing. – Införa skyddsåtgärder mot olaglig överföring av data utan föregående meddelande av molntjänstleverantören.
167Initiativ inom EU på hälsodataområdet
– Utarbeta interoperabilitetsstandarder för data som ska återanvändas mellan olika sektorer i ett försök att undanröja hinder för datautbytet mellan gemensamma domänspecifika europeiska dataområden, i enlighet med kraven på interoperabilitet inom sektorn, och mellan andra data som inte omfattas av ett särskilt gemensamt europeiskt dataområde.
Även denna förordning innehåller förslag på definitioner som har bäring på datadelning, såsom data, datainnehavare och datamottagare (se artikel 2).
4.2.8 Förslaget till EHDS
Reglering för inrättandet av det första domänspecifika gemensamma europeiska dataområdet, hälsodataområdet, återfinns i förslaget till EHDS. Förordningen håller fortfarande på att förhandlas, men i korthet kan sägas att EHDS bland annat syftar till att öka interoperabiliteten på hälsodataområdet, öka möjligheterna för sekundäranvändning av hälsodata samt öka fysiska personers kontroll över sina egna hälsodata. Utredningen har bedömt att förslaget till EHDS syftar till att skapa ett juridiskt ramverk för att underlätta datadelning på hälsodataområdet inom EU. Förslaget syftar även till att i delar inrätta och i andra delar stimulera till utvecklingen av en EU-gemensam digital infrastruktur. Med detta avser utredningen en digital infrastruktur på den nationella nivån som är interoperabel mellan EU-länderna och med den digitala infrastruktur som finns på EU-nivå. Det innebär också en större integrering mellan infrastrukturer på olika områdena så som mellan hälsooch sjukvården och forskningen.
1695 Hälso- och sjukvård
5.1 Inledning
Utredningen har på datahållarsidan avgränsat uppdraget till vidareanvändning av hälsodata som finns inom hälso- och sjukvården, se avsnitt 2.7.3. Hälso- och sjukvården finns också på dataanvändarsidan, bland annat vid vidareanvändning av hälsodata för vårdändamål, se avsnitt 2.7.4 och kopplat till utvecklingsändamålet, se kapitel 23. I ljuset av detta är regelverk som gäller för hälso- och sjukvård samt för dess organisation av betydelse för förståelsen av utredningens förslag och betänkandet i övrigt. Regeringsformen, förkortad RF, tar i en av sina portalparagrafer upp det allmännas ansvar att verka för goda förutsättningar för hälsa (1 kap. 2 § andra stycket RF). Den rättsliga regleringen av hälso- och sjukvården finns i ett stort antal lagar och andra författningar. Även internationell och EU-rättslig reglering finns på hälso- och sjukvårdens område. I detta kapitel kommer regler kring hälso- och sjukvård med generell tillämplighet att beröras. Detta innefattar grundläggande internationella regler samt nationella mål, principer och regler för hälsooch sjukvården. Därutöver kommer vissa centrala skyldigheter för vårdgivare och hälso- och sjukvårdspersonal kopplade till vården att beskrivas. Viss speciallagstiftning på hälso- och sjukvårdsområdet kommer också att redogöras för. Slutligen kommer ansvaret för hälsooch sjukvården och dess övergripande organisatoriska förhållanden att beskrivas. Utredningens avgränsningar gör att det är den regionala hälso- och sjukvården som är fokus i betänkandet och i utredningens författningsförslag. För att redogörelsen av ansvar och organisation ska bli rättvisande beskrivs dock även kort kommunernas ansvar och privata aktörer som vårdgivare i detta kapitel. Utredningen använder definitionen av hälso- och sjukvård som finns i patientdatalagen (2008:355), förkortad PDL, se avsnitt 2.6.1.
170Hälso- och sjukvård
Definitionen i PDL omfattar även tandvården. Utifrån att utredningens författningsförslag inte omfattar tandvården, berörs inte tandvårdslagen (1985:125) i detta kapitel.
5.2 Hälsa och tillgång till sjukvård
som mänsklig rättighet
Att ha tillgång till hälso- och sjukvård är en grundläggande förutsättning för att människor ska kunna tillförsäkras en godtagbar levnadsstandard. I FN:s allmänna förklaring om de mänskliga rättigheterna från 1948 illustreras detta genom bestämmelsen att var och en har rätt till en levnadsstandard tillräcklig för den egna och familjens hälsa och välbefinnande, inklusive mat, kläder, bostad, hälsovård och nödvändiga sociala tjänster (artikel 25.1). Förklaringen är inte formellt bindande, men ses som ett uttryck för sedvanerättsliga regler. I artikel 12.1 i 1966 års FN-konvention om ekonomiska, sociala och kulturella rättigheter, förkortad ICESCR-konventionen erkänns rätten för var och en att åtnjuta bästa möjliga fysiska och psykiska hälsa. Där anges de åtgärder som konventionsstaterna ska vidta för att tillgodose denna rätt. Vidare anges bland annat att medlemsstaterna ska förbättra alla aspekter av samhällets hälsovård. Artikel 12.1 i ICESCRkonventionen anger också att medlemsstaterna ska förebygga, behandla och bekämpa alla epidemiska och endemiska sjukdomar, yrkessjukdomar och andra sjukdomar. Vidare anges att medlemsstaterna ska skapa förutsättningar som tillförsäkrar alla läkarvård och sjukhusvård i händelse av sjukdom. ICESCR ratificerades av Sverige år 1971 och trädde i kraft år 1976. 1 I artikel 24 i FN:s konvention om barnets rättigheter, förkortad Barnkonventionen, erkänns barnets rätt till bästa möjliga hälsa och tillgång till hälso- och sjukvård och rehabilitering. Vidare anges att konventionsstaterna ska sträva efter att säkerställa att inget barn berövas sin rätt att ha tillgång till sådan hälso- och sjukvård. Sverige har ratificerat Barnkonventionen och den är dessutom svensk lag sedan den 1 januari 2020, se lag (2018:1197) om Förenta nationernas konvention om barnets rättigheter. Även Europeiska unionens stadga om de grundläggande rättigheterna, förkortad rättighetsstadgan, erkänner rätten till hälsoskydd.
1 SÖ 1971:41. Sverige gjorde vid ratificeringen förbehåll mot artikel 7 d.
171Hälso- och sjukvård
I artikel 35 anges att var och en har rätt till tillgång till förebyggande hälsovård och till medicinsk vård på de villkor som fastställs i nationell lagstiftning och praxis. Av samma bestämmelser framgår att en hög nivå av skydd för människors hälsa ska säkerställas vid utformning och genomförande av all unionspolitik och alla unionsåtgärder. Rätten till skydd för den enskildes hälsa återfinns också i 1961 års europeiska sociala stadga. I artikel 11 anges att parterna åtar sig att vidta de åtgärder som är nödvändiga, bland annat för att så långt som möjligt undanröja orsakerna till ohälsa samt att så långt som möjligt förebygga uppkomsten av exempelvis sjukdomar och olycksfall.
5.3 Mål och principer för hälso- och sjukvården
Hälso- och sjukvårdslagen (2017:30), förkortad HSL, är en målinriktad ramlagstiftning för hälso- och sjukvården i Sverige (prop. 2016/17:43 s. 78 och 80). Den innehåller bland annat bestämmelser om hur hälsooch sjukvårdsverksamhet ska bedrivas, oavsett vem det är som bedriver vården (se 1 kap. 1 § HSL). I 3 kap. 1 § HSL anges att målet med hälso- och sjukvården är en god hälsa och en vård på lika villkor för hela befolkningen. Hälsooch sjukvårdens hälsouppdrag lyfts även särskilt i 3 kap. 2 § HSL, där det framgår att hälso- och sjukvården ska arbeta för att förebygga ohälsa. Av 3 kap 1 § andra stycket HSL framgår två grundläggande principer för hur hälso- och sjukvård ska ges. Vården ska ges med respekt för alla människors lika värde och för den enskilda människans värdighet (människovärdesprincipen). Den som har det största behovet av hälso- och sjukvård ska ges företräde till vården (behovs-solidaritetsprincipen). Vidare anges i 4 kap. 1 § HSL att all offentligt finansierad hälso- och sjukvårdsverksamhet ska vara organiserad så att den främjar kostnadseffektivitet (kostnadseffektivitetsprincipen). Kostnadseffektivitetsprincipen är underordnad de två andra principerna (prop. 1996/ 97:60 s. 21). Människovärdesprincipen, behovs-solidaritetsprincipen och kostnadseffektivitetsprincipen är de etiska principer som återfinns i regeringens riktlinjer för prioriteringar inom hälso- och sjukvården, den
172Hälso- och sjukvård
så kallade etiska plattformen för prioriteringar (prop. 1996/97:60 s. 18–22). Riksdagen har ställt sig bakom dessa riktlinjer. 2
5.3.1 God vård
I 5 kap. 1 § HSL anges att hälso- och sjukvårdsverksamhet ska bedrivas så att kraven på en god vård uppfylls. Det innebär enligt bestämmelsen att vården särskilt ska 1. vara av god kvalitet och en god hygienisk standard, 2. tillgodose patientens behov av trygghet, kontinuitet och säkerhet, 3. bygga på respekt för patientens självbestämmande och integritet, 4. främja goda kontakter mellan patienten och hälso- och sjukvårdspersonalen, och 5. vara lätt tillgänglig.
Bestämmelsen om god vård infördes i lagstiftningen i och med 1982 års hälso- och sjukvårdslag och flyttades över till 2017 års HSL i en något omstrukturerad form (se prop. 2016/17:43 s. 95). Den innehåller centrala aspekter på vad en god vård avser, men är inte uttömmande. Enligt regeringen bör det stå klart för berörda aktörer att kraven på god vård är komplexa och att de även beskrivs bland annat på andra ställen i HSL samt i andra författningar och kunskapsstöd (prop. 2016/17:43 s. 95). Det framkommer ingen ytterligare ledning i förarbetena till 2017års HSL kring vad en god vård konkret avser. För att hitta sådan ledning måste vägledning sökas i förarbetena till 1982 års hälso- och sjukvårdslag, där det bland annat uttalas att ett grundläggande krav som måste ställas på hälso- och sjukvården är att den är av god kvalitet. Kravet innebär bland annat att hälso- och sjukvården ska ha den medicinskt tekniska kvalitet som behövs och även tillgodose kraven på en god omvårdnad samt vara anpassad till den enskilde patientens särskilda förhållanden. Det måste förutsättas att vården tillgodoser människornas behov av trygghet och säkerhet i medicinskt hänseende (prop. 1981/82:97 s. 56). Vidare tas aspekter på god materiell kvalitet upp, såsom kvaliteten på såväl teknisk utrustning – från tänger, för-
2 Se Riksdagens protokoll 1996/97:90 och Socialutskottets betänkande 1996/97:SoU14.
173Hälso- och sjukvård
bandsmateriel och läkemedel till den mest komplicerade tekniska utrustningen (se prop. 1981/82:96 s. 116). Innan en ny diagnos- eller behandlingsmetod som kan ha betydelse för människovärde och integritet börjar tillämpas, ska vårdgivaren se till att metoden har bedömts från individ- och samhällsetiska aspekter (5 kap. 3 § HSL). Den generella bestämmelsen om god vård kompletteras av 5 kap. 2 § HSL, av vilken det följer att där det bedrivs hälso- och sjukvårdsverksamhet ska det finnas den personal, de lokaler och den utrustning som krävs för att en god vård ska kunna ges. Vid bestämmelsens införande anförde regeringen att kraven på vårdgivarens personal, lokaler och utrustning är av avgörande betydelse för vårdens kvalitet och patientsäkerhet (prop. 1995/96:176 s. 53). Kvaliteten i verksamheten ska systematiskt och fortlöpande utvecklas och säkras (5 kap. 4 § HSL). Begreppet god vård är även inarbetat i sjukvårdens ledningssystem för kvalitet. Det regleras i dag i Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete och ligger till grund för Socialstyrelsens arbete med bland annat nationella indikatorer för god vård (se prop. 2019/20:164 s. 37, samt nedan avseende systematiskt kvalitetsarbete inom hälso- och sjukvården avsnitt 5.5). Bland bestämmelserna i HSL om hur verksamheten ska bedrivas, återfinns också principen om barnets bästa. Det anges att när vård ges till barn ska barnets bästa särskilt beaktas (5 kap. 6 § HSL). Hälso- och sjukvården ska också särskilt beakta barns behov av information, råd och stöd om barnets förälder eller någon annan vuxen som barnet varaktigt bor tillsammans med har en psykisk störning eller en psykisk funktionsnedsättning, har en allvarlig fysisk sjukdom eller skada, har ett missbruk av alkohol, annat beroendeframkallande medel eller spel om pengar, eller utsätter eller har utsatt barnet eller en närstående till barnet för våld eller andra övergrepp (5 kap. 7 § första stycket HSL). Detsamma gäller enligt bestämmelsens andra stycke om barnets förälder eller någon annan vuxen som barnet varaktigt bor tillsammans med oväntat avlider. När hälso- och sjukvård ges till personer som har stora och varaktiga funktionsnedsättningar ska det särskilt övervägas om vården kan ges på ett sätt som bidrar till att den enskilde får möjlighet att delta i samhällslivet och kan leva som andra (5 kap. 9 § HSL).
174Hälso- och sjukvård
5.3.2 Säker vård och hälso- och sjukvårdspersonalens
allmänna skyldigheter
Att eftersträva en hög patientsäkerhet är ytterligare en central del inom hälso- och sjukvården. I patientsäkerhetslagen (2010:659), förkortad PSL, finns ett antal skyldigheter för vårdgivare och vårdpersonal i syfte att främja en hög patientsäkerhet inom hälso- och sjukvården (se 1 kap. 1 § första stycket PSL). I lagen finns bland annat bestämmelser om vårdgivarens skyldighet att bedriva ett systematiskt patientsäkerhetsarbete (se 3 kap. PSL), skyldigheter för hälso- och sjuk- 3 vårdspersonal med flera (se 6 kap. PSL) samt Inspektionen för vård och omsorgs tillsyn över hälso- och sjukvården och dess personal (se 7 kap. PSL). Vidare finns Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2017:40) om vårdgivares systematiska patientsäkerhetsarbete. I 6 kap. 1 § PSL anges att hälso- och sjukvårdspersonal ska utföra sitt arbete i överensstämmelse med vetenskap och beprövad erfarenhet. En patient ska ges sakkunnig och omsorgsfull hälso- och sjukvård som uppfyller dessa krav. Vården ska så långt som möjligt utformas och genomföras i samråd med patienten. Patienten ska även visas omtanke och respekt (6 kap. 1 § PSL).
5.4 Hälso- och sjukvårdens skyldigheter
från ett patientperspektiv
Hälso- och sjukvårdens skyldigheter, utifrån ett patientperspektiv, har ytterligare utvecklas och samlats i patientlagen (2014:821), förkortad PL. Lagen har till övergripande syfte att stärka och tydliggöra patientens ställning samt att främja patientens integritet, självbestämmande och delaktighet inom hälso- och sjukvården (1 kap. 1 § första stycket PL). I PL framhålls att patientens självbestämmande och integritet ska respekteras (4 kap. 1 § PL). Vidare framgår av 4 kap. 2 § första stycket PL att hälso- och sjukvård inte får ges utan patientens samtycke, om inte annat följer av PL eller någon annan lag. I exempelvis akuta situationer får vård ges utan samtycke (se 4 kap. 4 § PL). Patienten kan, om inte annat följer av lag, lämna sitt samtycke skriftligen, muntligen eller genom att på annat sätt visa att han eller hon samtycker till den
3 Se definition av hälso- och sjukvårdspersonal i 1 kap. 4 § PSL.
175Hälso- och sjukvård
aktuella åtgärden (4 kap. 2 § andra stycket PL). Enligt 4 kap. 2 § tredje stycket PL kan patienten när som helst ta tillbaka sitt samtycke. Om patienten avstår från viss vård eller behandling, ska patienten få information om vilka konsekvenser detta kan medföra. Innan samtycke inhämtas ska patienten få information enligt 3 kap. PL (4 kap. 2 § första stycket PL). Patienten ska till exempel få information om sitt hälsotillstånd, de metoder som finns för undersökning, vård och behandling, det förväntade vård- och behandlingsförloppet och väsentliga risker för komplikationer och biverkningar (3 kap. 1 § PL). Enligt 3 kap. 2 § PL ska patienten även få information om bland annat möjligheten att välja behandlingsalternativ samt vårdgivare och utförare av offentligt finansierad hälso- och sjukvård. Patienten ska också får information om möjligheten att få en ny medicinsk bedömning. Hälso- och sjukvården ska så långt som möjligt utformas och genomföras i samråd med patienten (5 kap. 1 § PL). Detta är ett uttryck för att patienten ska göras delaktig i sin vård. När det finns flera behandlingsalternativ som står i överensstämmelse med vetenskap och beprövad erfarenhet ska patienten få möjlighet att välja det alternativ som hen föredrar. Patienten ska få den valda behandlingen, om det med hänsyn till den aktuella sjukdomen eller skadan och till kostnaderna för behandlingen framstår som befogat (7 kap. 1 § första stycket PL). Patienter som omfattas av regionens ansvar för hälso- och sjukvård har rätt att välja utförare av offentligt finansierad öppen vård inom eller utom denna region (9 kap. 1 § första stycket PL). Nedan redogörs för ansvaret för hälso- och sjukvård samt olika utförare, se avsnitt 5.6.
5.5 Utveckling och säkring av verksamhetens kvalitet
För att kunna uppnå målen för hälso- och sjukvården och kunna ge en god och säker vård behöver vårdgivarna bland annat bedriva utveckling och säkring av verksamhetens kvalitet (jämför prop. 2016/17:43 s. 93). 4 Detta kommer till uttryck i 5 kap. 4 § HSL där det anges att kvaliteten i verksamheten systematiskt och fortlöpande ska utvecklas och säkras. Utveckling och säkring av kvaliteten inom hälso- och sjuk-
4 Andra förutsättningar för att uppnå målen med hälso- och sjukvården är bland annat en god ledning, planering och samverkan (se prop. 2016/17:43 s. 93).
176Hälso- och sjukvård
vården bedrivs på olika nivåer och på olika sätt. Grundläggande för att uppfylla kraven i 5 kap. 4 § HSL är att vårdgivaren har ett ledningssystem för systematiskt kvalitetsarbete. Det lagstadgade kravet på systematisk och fortlöpande utveckling och säkring av verksamhetens kvalitet infördes i mitten av 1990-talet, när egenkontrollen 5 fortfarande var under utveckling hos vårdgivare (se prop. 1995/96:176 s. 47). Numera är systematisk och fortlöpande utveckling och säkring av verksamhetens kvalitet ett väl utvecklat arbetssätt hos vårdgivare. Det som reglerna syftar till att eftersträva är ett konstruktivt samspel mellan egenkontrollen och den statliga tillsynen där de olika insatserna bör stödja och förstärka varandra (prop. 1995/96:176 s. 48). Som komplement till av den generella regeln i 5 kap. 4 § HSL finns Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete. 6 Av 1 kap. 1 § SOSFS 2011:9 framgår att de ska tillämpas i arbetet med att systematiskt och fortlöpande utveckla och säkra kvaliteten i sådan verksamhet som omfattas av bland annat 5 kap. 4 § HSL. Den gäller också för vårdgivares systematiska patientsäkerhetsarbete enligt 3 kap. PSL (1 kap. 2 § SOSFS 2011:9). Med kvalitet förstås enligt föreskrifterna att en verksamhet uppfyller de krav och mål som gäller för verksamheten enligt lagar och andra föreskrifter om till exempel hälso- och sjukvård och beslut som har meddelats med stöd av sådana föreskrifter (2 kap. 1 § SOSFS 2011:9). Begreppet kvalitet i aktuellt sammanhang kopplar alltså till de grundläggande regler och krav som, såvitt avser vårdgivare, finns på hälso- och sjukvården, till exempel kravet på god vård, att arbeta utifrån vetenskap och beprövad erfarenhet samt att bedriva ett systematiskt patientsäkerhetsarbete. För att kunna bedriva utveckling och säkring av verksamhetens kvalitet behöver vårdgivaren ha tillgång till hälsodata som typiskt sett utgörs av personuppgifter. Användningsområdet kan exempelvis handla om att följa upp omhändertagandet av patienter med en viss diagnos eller en viss vårdprocess, vilket kräver tillgång till hälsodata om patien-
5 Egenkontroll här i meningen att vårdgivaren kontrollerar sig själv, till skillnad från kontroll av vårdgivaren som utförs av en fristående aktör. Jämför egenkontroll i SOSFS 2011:9 som har en snävare betydelse. 6 Jämför prop. 1995/96:176 s. 53, som tar upp att bestämmelsen avser att vårdgivare ska ha system som synliggör förekomsten av risktillbud eller s.k. avvikande händelser. Detta är i dag väl utvecklat hos vårdgivare genom s.k. avvikelsehanteringssystem, vilka vid tiden för reglernas införande fortfarande var under uppbyggnad.
177Hälso- och sjukvård
ter med diagnosen eller i vårdprocessen. Vårdgivares personuppgiftsbehandling i detta syfte regleras som uttryckligt ändamål i 2 kap. 4 § första stycket 4 PDL. Regionala och nationella kvalitetsregister är ett exempel på informationsmängder som omfattar stora volymer patientuppgifter och som har till syfte att utveckla kvaliteten inom hälsooch sjukvården (jämför 7 kap. 4 § PDL). Se vidare om dataskyddsreglerna i PDL i avsnitt 7.5.
5.6 Ansvaret för hälso- och sjukvården
och övergripande om dess organisation
Ansvaret för hälso- och sjukvården i Sverige är delat mellan staten, regionerna och kommunerna. Nedan följer en övergripande beskrivning av denna ansvarsfördelning och centrala förhållanden kring hälso- 7 och sjukvårdens organisation.
5.6.1 Staten
Staten ansvarar för den övergripande hälso- och sjukvårdspolitiken. Statens styrning kan delas in i tre delar, lagstiftningen, budgeten i form av statsbidrag och myndighetsstyrningen. Dessa kan sedan delas in i ytterligare delar, exempelvis kan myndigheternas styrning vara både tvingande, genom föreskrifter, eller frivillig genom bland annat tillhandahållande av metodstöd. 8 Staten har även det primära ansvaret för att bedriva och finansiera forskning och utbildning inom hälsooch sjukvårdsområdet (se vidare kapitel 6). Staten beslutar också om den nationella högspecialiserade vården (se 2 kap. 1 § hälso- och sjukvårdsförordningen [2017:80]). Det finns flera statliga myndigheter med särskild inriktning mot hälso- och sjukvårdsområdet, såsom E-hälsomyndigheten, Folkhälsomyndigheten, Inspektionen för vård och omsorg, Läkemedelsverket, Myndigheten för vård- och omsorgsanalys, Socialstyrelsen, Statens beredning för medicinsk och social utvärdering och Tand- och läkemedelsförmånsverket.
7 För en mer utförlig redogörelse, se bland annat SOU 2020:36 och SOU 2021:80, kapitel 6. 8 Riksrevisionen, 2017, Staten och SKL (RIR 2017:3).
178Hälso- och sjukvård
5.6.2 Regionerna och kommunerna
Ansvaret för att erbjuda hälso- och sjukvård i Sverige ligger på landets 20 regioner och 290 kommuner. I Gotlands län ansvarar Gotlands kommun för de uppgifter som regioner ansvarar för i övriga län. Den grundläggande regleringen av ansvaret för att erbjuda hälso- och sjukvård finns i HSL. Regionerna ansvarar för att erbjuda en god hälso- och sjukvård åt den som är bosatt inom regionen och åt den som har skyddad folkbokföring och stadigvarande vistas inom regionen (8 kap. 1 § HSL). Regionen har ansvar för vård även i vissa andra situationer, exempelvis för de patienter som enligt 9 kap. 1 § PL väljer utförare av offentligfinansierad öppenvård utanför sin hemregion (8 kap. 3 § HSL). Kommunen ansvarar för att erbjuda hälso- och sjukvård i: • Permanent särskilt boende, korttidsboende och dagverksamhet som är reglerade i socialtjänstlagen (2001:453) (se 12 kap. 1 § HSL). • Bostad med särskild service (LSS-boenden) samt daglig verksamhet som är reglerade i lagen (1993:387) om stöd och service till vissa funktionshindrade (se 12 kap. 1 § HSL 9 ). • Det egna hemmet, kallat ordinärt boende, i form av hemsjukvård om regionen och den aktuella kommunen kommit överens om att kommunen ska ta över ansvaret för sådan hälso- och sjukvård (se 14 kap. 1 § HSL). Sådan överenskommelse har nåtts med samtliga regioner utom Region Stockholm.
Mottagare av kommunal hälso- och sjukvård finns i praktiken i stor utsträckning bland äldre personer och bland personer med funktionsnedsättning.
9 I prop. 1992/93:159 s. 182, anges att insatserna bostad med särskild service för barn och ungdomar, bostad med särskild service för vuxna samt daglig verksamhet också är sådana bostäder respektive sådan verksamhet som avses i 21 och 10 §§ socialtjänstlagen (numera 5 kap. 7 § och 3 kap. 6 § socialtjänstlagen 2001:453). Kommunerna har därför ett hälso- och sjukvårdsansvar (exklusive läkarinsatser) enligt hälso- och sjukvårdslagen för personer som bor i bostad med särskild service respektive vistas i dagverksamhet.
179Hälso- och sjukvård
Begreppen huvudman och vårdgivare
I HSL definieras huvudman och vårdgivare. Vid införandet av HSL uttalade regeringen att det mot bakgrund av den alltmer differentierade strukturen på hälso- och sjukvårdsområdet, även inom regioners och kommuners hälso- och sjukvårdsorganisationer, är viktigt att tydliggöra huvudmannens och vårdgivarens åtskilda roller (prop. 2016/ 2017:43 s. 88). Den region eller kommun som enligt lagen ansvarar för att hälsooch sjukvård erbjuds kallas huvudman (2 kap. 2 § HSL). Ansvaret som huvudman omfattar att finansiera, organisera och planera vården. I och med att huvudmannaskapet för hälso- och sjukvård i Sverige ligger hos regionerna och kommunerna karakteriseras hälso- och sjukvårdssystemet av en stark decentralisering. Den decentraliserade karaktären av hälso- och sjukvården har ytterligare förstärkts av framväxten av ett stort antal privata vårdgivare på regional och lokal nivå, se vidare avsnitt 5.6.3. Regioner och kommuner har enligt 14 kap. 2 § RF kommunal självstyrelse, vilket bland annat innebär att de får ta ut skatt för att sköta sina uppgifter och att beslutanderätten utövas av valda församlingar (se 14 kap 1 och 4 §§ RF). Inom en region eller kommun råder därmed stor frihet att organisera hälso- och sjukvården utifrån de egna förutsättningarna och behoven. Detta innebär bland annat att hälsooch sjukvården kan bedrivas genom en eller flera nämnder som regionen och kommunen bestämmer (se 3 kap. 4 § kommunallagen [2017:725], förkortad KL, jämför med 7 kap. 1 § och 11 kap. 1 § HSL). Inom en kommun eller region kan det vidare finnas flera nämnder eller styrelser som ansvarar för hälso- och sjukvård, vilka är egna myndigheter. Huvudmannen kan välja att bedriva vården i egen regi, vilket också är det vanligaste i Sverige totalt sett (SOU 2021:80 s. 200). Driften kan också utföras av någon annan, se avsnitt 5.6.3. För att ange den som bedriver hälso- och sjukvårdsverksamhet används i HSL begreppet vårdgivare. En vårdgivare kan vara en statlig myndighet, region, kommun, annan juridisk person eller enskild näringsidkare (2 kap. 3 § HSL). Sjukvårdshuvudmännen kan alltså själva vara vårdgivare. De kan dock även överlåta driften av hälsooch sjukvård till privata aktörer, som då i lagens mening är vårdgivare
180Hälso- och sjukvård
för den vård som har överlåtits. Inom en regions eller kommuns geografiska område kan det finnas flera vårdgivare (2 kap. 2 § HSL).
5.6.3 Privata aktörer som vårdgivare
Regioner och kommuner kan sluta avtal med någon annan om att utföra de uppgifter som regionen eller kommunen ansvarar för (10 kap. 1 § KL). Sådan överlåtelse sker med bibehållet huvudmannaskap, vilket på hälso- och sjukvårdens område uttryckligen framgår av 15 kap. 1 § HSL. De flesta privata vårdgivare som finns har avtal med regioner eller kommuner och får offentlig finansiering. Uppdragen från regionerna kan lämnas över med stöd av lagen (2008:962) om valfrihetssystem, lagen (2016:1145) om offentlig upphandling, eller så kan det vara fråga om verksamhet som privatpraktiserande läkare eller fysioterapeuter utför enligt lagen (1993:1651) om läkarvårdsersättning respektive lagen (1993:1652) om ersättning för fysioterapi. Utöver privata aktörer med offentlig finansiering finns också den helt privata hälso- och sjukvården, det vill säga privata vårdgivare som bedriver vård utan en region eller kommun som huvudman. Finansiering av sådan vård kan ske genom privat sjukvårdsförsäkring eller enskilds egen betalning. Privata aktörer som bedriver hälso- och sjukvård är egna juridiska personer eller enskilda näringsidkare, organisatoriskt skilda från regionenen eller kommunen som huvudman eller vårdgivare. Privata aktörer som bedriver hälso- och sjukvård är alltså egna vårdgivare enligt definitionen i HSL (se 2 kap. 3 § HSL).
5.7 Speciallagstiftning på hälso-
och sjukvårdsområdet
Viss verksamhet inom hälso- och sjukvården omfattas av speciallagstiftning. Nedan berörs kortfattat vissa av dessa lagar i den utsträckning dessa är relevanta för utredningens uppdrag och författningsförslag.
181Hälso- och sjukvård
5.7.1 Biobankslagen
Biobankslagen (2023:38) trädde i kraft den 1 juli 2023. Dessförinnan gällde lag (2002:297) om biobanker inom hälso- och sjukvården med mera. I biobankslagen finns bestämmelser om hur humanbiologiskt material, med respekt för den enskilda människans integritet, för vissa ändamål, får samlas in till och bevaras i en biobank och användas (1 kap. 1 § biobankslagen). Humanbiologiskt material från en levande eller avliden människa eller foster kallas i lagen för prov (se 1 kap. 2 § biobankslagen). Biobankslagen ska tillämpas på identifierbara prover som samlas in och bevaras i en biobank eller används för 1. vård, behandling eller andra medicinska ändamål i en vårdgivares verksamhet, 2. forskning, 3. produktframställning, eller 4. utbildning, kvalitetssäkring eller utvecklingsarbete inom ramen för något av de ändamål som anges i 1–3 (1 kap. 3 § biobankslagen). Biobankslagen har därmed ett utökat tillämpningsområde i jämförelse med den tidigare gällande lagen (2002:297) om biobanker inom hälso- och sjukvården med mera (se prop. 2021/22:257 s. 33–38). Biobankslagen är alltså tillämplig på prover, inte på hälsodata eller personuppgifter. Samtidigt som insamling med mera av prover enligt biobankslagen föranleder behandling av personuppgifter, finns det alltså inga särskilda regler om vilka personuppgifter som får eller ska samlas in och bevaras tillsammans med ett prov (se prop. 2021/22:257 s. 220). Biobankslagen kompletterar EU:s dataskyddsförordning och vid behandling av personuppgifter enligt biobankslagen gäller i stället, som utgångspunkt, bestämmelser i andra lagar om behandling av personuppgifter samt lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen (1 kap. 7 § biobankslagen). I biobankslagen finns dock vissa bestämmelser som direkt rör behandling av personuppgifter. Sådana bestämmelser finns om det så kallade PKU-registret (se 7 kap. 4–7 §§). Utöver detta finns ytterligare ett fåtal bestämmelser om personuppgiftsbehandling. Av dessa är 5 kap. 4 § av relevans. 10 Där framgår att om ett kodat prov från provgivaren tillgängliggörs samtidigt som andra personuppgifter från
10 Övriga bestämmelser som specifikt avser personuppgifter är 5 kap. 11 § och 8 kap. 3 § biobankslagen.
182Hälso- och sjukvård
provgivaren, ska personuppgifterna tillgängliggöras på ett sådant sätt att de inte av någon obehörig kan kopplas samman med provet. Av 1 kap. 7 § andra stycket biobankslagen följer att de bestämmelser om personuppgiftsbehandling som finns i biobankslagen har företräde framför bestämmelser om behandling av personuppgifter i andra lagar, samt lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen (se även prop. 2021/22:257 s. 257). I biobankslagen finns regler om samtycke och information (4 kap.). Huvudregeln är att provgivaren ska samtycka till att ett prov samlas in och bevaras i biobank (4 kap. 1 § biobankslagen). Innan ett samtycke lämnas ska provgivaren ha fått viss, i lagen angiven, information (se 4 kap. 2 § biobankslagen). Det finns vissa undantag från kravet på samtycke när det gäller prover för provgivarens vård eller behandling (4 kap. 7 § biobankslagen). Bland annat krävs inte samtycke om provgivaren har informerats och samtyckt till vård eller behandling enligt PL och fått viss angiven information i enlighet med 4 kap. 7 § biobankslagen. I 4 kap. 3 § första stycket biobankslagen påminns det om att det i lagen (2003:460) om etikprövning av forskning som avser människor (nedan EPL), finns bestämmelser om information och samtycke som ska tillämpas. Om det i annan lag finns särskilda bestämmelser om information och samtycke ska de bestämmelserna tillämpas. Detta gäller dock inte i fråga om prover som enligt 4 kap. 5 eller 9 § samlas in, bevaras eller används (4 kap. 3 § andra stycket biobankslagen). I lagen finns även regler om tillgängliggörande av prover och uppgifter (kap. 5). Bland detta kan noteras att ett prov som tillgängliggörs ska vara kodat, om inte detta hindrar att ändamålet med tillgängliggörandet uppfylls (5 kap. 3 §). Ett prov får skickas för forskning endast om provet ska ingå i 1) forskning som har godkänts av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning enligt EPL, 2) en klinisk läkemedelsprövning som har beviljats eller anses ha beviljats tillstånd i enlighet med förordning (EU) nr 536/2014, 3) en klinisk prövning som får påbörjas eller genomföras i enlighet med bestämmelser i förordning (EU) 2017/745 eller enligt lagen (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter eller föreskrifter meddelade i anslutning till den lagen, eller 4) en prestandastudie som får påbörjas eller genomföras
183Hälso- och sjukvård
i enlighet med bestämmelser i förordning (EU) 2017/746 (5 kap. 10 § biobankslagen).
5.7.2 Lagen om psykiatrisk tvångsvård och lagen
om rättspsykiatrisk vård
I 1 § lag (1991:1128) om psykiatrisk tvångsvård, förkortad LPT, stadgas att föreskrifterna i HSL och PL gäller all psykiatrisk vård och att kompletterande föreskrifter om psykiatrisk vård som är förenad med frihetsberövande och annat tvång (tvångsvård) ges i LPT. Föreskrifter om psykiatrisk tvångsvård finns också i lag (1991:1129) om rättspsykiatrisk vård, förkortad LRV (1 § andra stycket LPT). Av 3 § LPT följer att tvångsvård får ges endast om patienten lider av en allvarlig psykisk störning och på grund av sitt psykiska tillstånd och sina personliga förhållanden i övrigt 1. har ett oundgängligt behov av psykiatrisk vård, som inte kan tillgodoses på annat sätt än genom att patienten är intagen på en sjukvårdsinrättning för kvalificerad psykiatrisk dygnetruntvård (sluten psykiatrisk tvångsvård) eller 2. behöver iaktta särskilda villkor för att kunna ges nödvändig psykiatrisk vård (öppen psykiatrisk tvångsvård).
En förutsättning för vård enligt LPT är att patienten motsätter sig sådan vård som sägs i första stycket, eller det till följd av patientens psykiska tillstånd finns grundad anledning att anta att vården inte kan ges med hans eller hennes samtycke. I 18–24 §§ LPT finns regler om tvångsåtgärder mot patienter. Dessa avser bland annat låsning, fastspänning, avskiljande och omhändertagande av viss egendom. LRV gäller enligt 1 § den som 1. efter beslut av domstol ska ges rättspsykiatrisk vård, 2. är anhållen, häktad eller intagen på en enhet för rättspsykiatrisk undersökning,
184Hälso- och sjukvård
3. är intagen i eller ska förpassas till kriminalvårdsanstalt, 4. eller är intagen i eller ska förpassas till ett särskilt ungdomshem till följd av en dom på sluten ungdomsvård enligt 32 kap. 5 § brottsbalken.
I 2 § LRV erinras om att bestämmelserna i HSL om skyldighet för en region att erbjuda hälso- och sjukvård även gäller rättspsykiatrisk vård. Rättspsykiatrisk vård ges efter beslut av domstol om överlämnande till sådan vård enligt vad som framgår av 31 kap. 3 § brottsbalken. Sådan vård ges enligt 3 § LRV som sluten rättspsykiatrisk vård eller, efter sådan vård, som öppen rättspsykiatrisk vård. Vård som ges när patienten är intagen på en sjukvårdsinrättning benämns sluten rättspsykiatrisk vård. Annan vård enligt lagen benämns öppen rättspsykiatrisk vård. Enligt 6 § LRV ges rättspsykiatrisk vård på en sjukvårdsinrättning som drivs av en region. Den som ges öppen rättspsykiatrisk vård får vistas utanför en sådan sjukvårdsinrättning. Vidare framgår av 6 § LRV att vid rättspsykiatrisk vård gäller 15 a–17 LPT angående god säkerhet, upprättande av vårdplan och samråd med patienten i fråga om behandlingen och behandling utan samtycke, samt 31 b § LPT om dagliga aktiviteter och utomhusvistelse för patient som är under 18 år. Av 8 § LRV framgår att vid sluten rättspsykiatrisk vård enligt LRV gäller, om inte annat anges i 8 a §, i tillämpliga delar bestämmelserna i 18–24 §§ LPT som reglerar olika tvångsåtgärder vid sluten psykiatrisk vård. Särskilda bestämmelser bland annat i fråga om den som är anhållen, häktad eller intagen i eller ska förpassas till kriminalvården regleras i 8 § andra stycket. I 8 a § finns särskilda bestämmelser om elektroniska kommunikationstjänster och i 8 b § om allmän inpasseringskontroll.
5.7.3 Smittskyddslagen
Smittskyddslagens (2004:168) syfte är att skydda befolkningen mot smittsamma sjukdomar. Lagen innehåller bestämmelser om smittskyddsåtgärder som riktar sig till människor. Smittskyddslagen ger uttryck för synen att enskilda måste vara beredda att acceptera vissa integritetsintrång när det krävs för att skydda andra människor från smitta. Smittskyddslagen innehåller bland annat skyldigheter för en-
185Hälso- och sjukvård
skilda och förutsättningar för ingripande med tvång i vissa undantagsfall. Smittskyddslagen kan sägas ha mer av ett samhällsperspektiv, till skillnad från det patientperspektiv som annars är utgångspunkten inom hälso- och sjukvårdsverksamhet och som kommer till uttryck i HSL och PL, se avsnitt 5.3 och 5.4. Smittskydd är inte hälso- och sjukvård enligt HSL (jämför 2 kap. 1 § HSL). Smittskyddslagen omfattar smittsamma sjukdomar som kan överföras till eller mellan människor och som kan innebära ett inte ringa hot mot människors hälsa (1 kap. 2–3 §§). Särskilda bestämmelser gäller för allmänfarliga sjukdomar. Allmänfarliga sjukdomar är smittsamma sjukdomar som kan vara livshotande, innebära långvarig sjukdom eller svårt lidande eller medföra andra allvarliga konsekvenser och där det finns möjlighet att förebygga smittspridning genom åtgärder som riktas till den smittade (1 kap. 3 § andra stycket). För allmänfarliga sjukdomar gäller informationsplikt för enskilda (2 kap. 2 § andra stycket). De är även anmälningspliktiga och smittspårningspliktiga (2 kap. 5 § och 3 kap. 4 § ). Anmälningsplikten innebär att misstänkta och bekräftade fall av en allmänfarlig sjukdom ska anmälas till smittskyddsläkare och till Folkhälsomyndigheten (2 kap. 5 §). Smittspårningsplikten innebär en skyldighet för behandlande läkare att med den enskildes hjälp identifiera vem som kan ha överfört smittan och vilka andra personer som kan ha smittats (3 kap. 4 §). Under vissa förutsättningar kan även tvångsåtgärder vidtas mot människor som är smittade eller misstänkt smittade av en allmänfarlig sjukdom, såsom tvångsundersökning (3 kap. 2 §) och isolering (5 kap. 1 och 3 §§). Förvaltningsrätten beslutar om tvångsundersökning och isolering enligt 5 kap. 1 § efter ansökan av smittskyddsläkaren. Smittskyddsläkaren beslutar om tillfällig isolering enligt 5 kap. 3 § men beslutet förfaller om det inte senast inom fyra dagar underställs förvaltningsrätten. Den som bär på eller misstänks bära på en allmänfarlig sjukdom ska också av behandlande läkare ges individuellt utformade förhållningsregler i syfte att hindra smittspridning. Förhållningsreglerna får bland annat avse inskränkningar som gäller arbete, förbud mot att donera blod och organ och skyldighet att informera till exempel vårdgivare eller sexualpartners om smittbärarskap (4 kap. 2 §). Utöver reglerna om allmänfarliga sjukdomar finns regler om samhällsfarliga sjukdomar då extraordinära smittskyddsåtgärder får tillämpas. Med samhällsfarliga sjukdomar avses allmänfarliga sjukdomar som
186Hälso- och sjukvård
kan få en spridning i samhället som innebär en allvarlig störning eller överhängande risk för en allvarlig störning i viktiga samhällsfunktioner och som kräver extraordinära smittskyddsåtgärder (1 kap. 3 § tredje stycket). De extraordinära smittskyddsåtgärderna avser hälsokontroll vid platsen för inresa (3 kap. 8 §), karantän (3 kap. 9 §), avspärrning (3 kap. 10 §) och förbud mot att resa ut ur landet (3 kap. 12 §).
5.7.4 Lagen om genetisk integritet
Lagen (2006:351) om genetisk integritet har till syfte att värna den enskilda människans integritet. I förarbetena lyfts den genetiska informationens speciella karaktär fram. Särarten motiverar att genetisk information i vissa avseenden behandlas på ett annat sätt än medicinsk information i allmänhet. En grundläggande princip måste vara att informationen är den enskildes privatsak, och det måste finnas tungt vägande skäl för att någon ska få använda eller bereda sig tillgång till en genetisk information som rör någon annan. För människors tillit till hälso- och sjukvården och medicinsk forskning är det enligt regeringens mening viktigt att genetiska undersökningar och genetisk information inom dessa områden ges ett tillfredsställande lagligt skydd (prop. 2005/06:64 s. 49). Genetisk information omfattas dock av samma hälso- och sjukvårdssekretess enligt 25 kap. 1 § OSL och samma regler om behandling av personuppgifter som annan information inom hälso- och sjukvården (se prop. 2005/06:64 s. 62–64). Lagen om genetisk integritet innehåller bestämmelser om användning av viss bioteknik som har utvecklats för medicinska ändamål samt om vissa rättsliga verkningar av sådan användning (1 kap. 1 §). Lagen skapades i syfte att utgöra en samlad lag för genetisk undersökning och information inom hälso- och sjukvården och medicinsk forskning samt genterapi, fosterdiagnostik och preimplantatorisk genetisk diagnostik och användning av genetisk information på försäkringsområdet. Den samlar också regler från ett antal andra lagar (prop. 2005/06:64 s. 65). Med genetisk undersökning avses en undersökning inom hälso- och sjukvården eller medicinsk forskning som syftar till att ge upplysning om en människas arvsmassa genom molekylärgenetisk, mikrobiologisk, immunologisk, biokemisk, cytogenetisk eller därmed jämförlig analysmetod eller genom inhämtande av upplysningar om hans eller
187Hälso- och sjukvård
hennes biologiska släktingar (1 kap. 5 §). Med genetisk information menas information om resultatet av en genetisk undersökning, dock inte till den del informationen endast innefattar upplysning om den undersöktes aktuella hälsotillstånd (1 kap. 5 §). Lagen om genetisk integritet innehåller ett antal förbud och villkor avseende utförandet av genetiska undersökningar och användandet av genetisk information samt genterapi (2 kap.). Ingen får utan stöd i lag ställa som villkor för ett avtal att den andra parten genomgår en genetisk undersökning eller lämnar genetisk information om sig själv (2 kap. 1 § första stycket). Vidare gäller att ingen utan stöd i lag, i samband med avtal, får efterforska eller använda genetisk information om den andre (2 kap. 1 § andra stycket). Lagen reglerar också ett förbud mot att olovligen bereda sig tillgång till genetisk information om någon annan (2 kap. 1 § andra stycket). Förbuden motiveras av att det är viktigt att genetiska undersökningar kan göras i hälso- och sjukvårdssammanhang utan att de berörda behöver hysa oro för att resultaten missbrukas (prop. 2005/06:64 s. 50). För försäkringsbolag gäller undantag från förbudet att efterforska och använda genetisk information vid riskbedömda personförsäkringar på mycket höga belopp (2 kap. 2 §). Forskning med syfte att utveckla metoder för att åstadkomma genetiska effekter som kan gå i arv är tillåten (prop. 2005/06:64 s. 1). Däremot är försök i forsknings- eller behandlingssyfte samt behandlingsmetoder som medför genetiska förändringar som kan gå i arv hos en människa förbjudna (2 kap. 3–4 §§). Vidare finns regler om tillstånd för genetisk undersökning vid allmänna hälsoundersökningar (3 kap.). Genom Socialstyrelsens föreskrifter (HSLF-FS 2019:12) om undantag från kravet på tillstånd till genetisk undersökning vid allmän hälsoundersökning har Socialstyrelsen meddelat undantag från kravet på tillstånd för undersökningar som avser vissa diagnoser. En allmän hälsoundersökning beskrivs i förarbetena som en samlad undersökning av en större eller mindre grupp av människor eller en viss kategori av människor. Den berör samtidigt en grupp människor som inte behöver ha något annat gemensamt än att de till exempel är av samma ålder, bor i samma område eller dylikt. Syftet med en allmän hälsoundersökning behöver inte heller vara att ge enskilda besked om en diagnos, utan kan vara till exempel att skapa ett underlag för hälsooch sjukvårdens planering. Vid en allmän hälsoundersökning kom-
188Hälso- och sjukvård
mer initiativet från den allmänna eller privata hälso- och sjukvården (prop. 2005/06:64 s. 67). När det gäller genetiska undersökningar i övrigt, till exempel sådana som utförs i diagnostiserande syfte efter att en enskild har sökt hälso- och sjukvård, gäller endast HSL:s allmänna bestämmelser (jämför prop. 2005/06:64 s. 68). I lagen om genetisk integritet finns även grundläggande bestämmelser med villkor med mera för fosterdiagnostik, genetisk fosterdiagnostik och preimplantatorisk genetisk diagnostik (kapitel 4). Vidare finns regler om bland annat samtycke och tidsgränser vid åtgärder i forsknings- eller behandlingssyfte med ägg från människa (kapitel 5). Lagen innehåller också regler om villkor med mera för insemination (kapitel 6) och befruktning utanför kroppen (kapitel 7).
1896 Forskning
6.1 Inledning
I detta kapitel beskrivs ansvar för forskning och regelverk rörande forskning. Kapitlet inleds med en redogörselse för begrepp inom medicinsk forskning. Urvalet av de regelverk och förhållanden som beskrivs i kapitlet har gjorts utifrån vad utredningen har bedömt är relevant för utredningens uppdrag i förhållande till de avgränsningar som redogörs för i avsnitt 2.7. I ljuset av detta är de centrala regelverken som beskrivs nedan de som aktualiseras när klinisk forskning utförs av en myndighet i en region (regional myndighet) eller ett lärosäte, se definitioner kopplade till utredningens författningsförslag i avsnitt 16.3. Den rättsliga regleringen av klinisk forskning finns i flera lagar och andra författningar. Även internationell och EU-rättslig reglering finns på området. Regler som rör hantering av data inom forskningen finns bland annat i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad EU:s dataskyddsförordning, patientdatalagen (2008:355), förkortad PDL, tryckfrihetsförordningen, offentlighets- och sekretesslagen (2009:400), förkortad OSL, och arkivlagen (1990:782). Utredningen har valt att redogöra samlat för regler som har det gemensamt att de syftar till att skydda information om individer, så kallade dataskyddsregler, se kapitel 7. Där berörs både generellt tillämpliga dataskyddsregler och dataskyddsregler som är specifikt tillämpliga inom forskning. Utredningen redogör för regler om offentlighet, sekretess och tystnadsplikt i kapitel 8. Där berörs bland annat centrala bestämmelser som sekretess inom forskning.
190Forskning
6.2 Begrepp inom medicinsk forskning
Den medicinska forskningen ger kunskap om hur kroppen fungerar samt hur sjukdomar förebyggs, uppkommer och behandlas. Enligt Vetenskapsrådets definition syftar medicinsk forskning till att öka grundläggande kunskaper om hur celler och vävnader fungerar och interagerar, samt till att bidra till att förbättra och utveckla läkemedel, vård- och behandlingsmetoder och medicintekniska produkter. 1 Inom medicinsk forskning görs ofta skillnad mellan preklinisk och klinisk forskning. Preklinisk forskning förutsätter inte vårdens strukturer. Vetenskapsrådet beskriver att preklinisk forskning är grundläggande experimentell forskning på molekylär, cellulär och integrativ nivå rörande de livsprocesser som bestämmer kroppens funktion – normalt och vid sjukdom. Vid preklinisk forskning vill forskaren till exempel se hur celler, vävnader, och organ fungerar och interagerar. 2 Ett exempel på preklinisk forskning är djurstudier. Begreppet klinisk forskning har ingen författningsreglerad definition, men i flera förarbeten konstateras att den kliniska forskningen förutsätter vårdens strukturer och resurser och utgår från de behov som finns i hälso- och sjukvården och förväntas leda till patient- och samhällsnytta (se SOU 2017:104 s. 188 och 339 samt SOU 2008:7 s. 57 och SOU 2009:43 s. 41–42). Inom klinisk forskning studeras bland annat vilka besvär som människor med en viss sjukdom har, hur träffsäkert ett diagnostiskt test är och vilken behandling som är mest effektiv. Den kliniska forskningen har som mål att lösa ett hälsoproblem eller att identifiera faktorer som leder till ökad hälsa. Den kunskapsutveckling som sker genom klinisk forskning möjliggör att ny diagnostik och bättre och mer effektiva behandlingsmetoder kan utvecklas. Detta i sin tur bidrar till att patienter kan erbjudas en förbättrad och mer modern hälso- och sjukvård. Klinisk forskning kan utföras av forskare med anställning vid bland annat universitet, inom hälso- och sjukvården eller vid företag. Den kliniska forskningen kan delas in i ytterligare flera olika kategorier beroende på vilket syfte som forskningen har. Den kliniska forskningen inkluderar kliniska studier som är studier som genom-
1 Vetenskapsrådet, https://www.vr.se/uppdrag/klinisk-forskning/definitioner-av-begrepp-inommedicinsk-och-klinisk-forskning.html. 2 Vetenskapsrådet, https://www.vr.se/uppdrag/klinisk-forskning/definitioner-av-begrepp-inommedicinsk-och-klinisk-forskning.html.
191Forskning
förs på människor. Exempel på kliniska studier är interventionsstudier och observationsstudier. En interventionsstudie är en studie där deltagaren utsätts för någon form av intervention. Interventionen kan exempelvis vara ett läkemedel, en medicinteknisk produkt eller en viss behandlingsmetod. När interventionen är ett läkemedel eller en medicinteknisk produkt kallas sådan klinisk studie även klinisk prövning som alltså är ett snävare begrepp än klinisk studie. En observationsstudie är en studie där deltagaren observeras, men utan att forskaren påverkar förloppet. Det kan exempelvis handla om epidemiologiska undersökningar. Ytterligare en kategori av kliniska studier är så kallade registerbaserade kliniska studier. I sådana studier kan enligt Vetenskapsrådets definition mikrodata från exempelvis nationella och regionala kvalitetsregister eller statliga myndigheters register användas för att genomföra epidemiologiska studier eller för att planera, stödja eller följa upp interventionsstudier. Även registerbaserade randomiserade kliniska studier (R-RCT) och biobanksstudier omfattas. 3 I figur 6.2 visas hur de centrala begreppen förhåller sig till varandra. Beroende på vilken typ av klinisk forskning som genomförs gäller olika regler, vilket utvecklas i avsnitt 6.4.
Figur 6.1 Begreppstruktur
Källa : Vetenskapsrådet, https://www.vr.se/uppdrag/klinisk-forskning/definitioner-av-begrepp-inommedicinsk-och-klinisk-forskning.html (hämtat 2023-10-11).
3 Vetenskapsrådet, https://www.vr.se/uppdrag/klinisk-forskning/definitioner-av-begrepp-inommedicinsk-och-klinisk-forskning.html (hämtat 2023-10-11).
192Forskning
6.2.1 Forskningsbegrepp i lagstiftningen
Forskning återkommer som begrepp i olika former i lagstiftning. Det är för utredningen relevant att titta på hur forskning används i olika lagar och särskilt de lagar som har relevans inom den kliniska forskningen. I 2 § lagen (2003:460) om etikprövning av forskning som avser människor, förkortad etikprövningslagen, finns en definition av begreppet forskning i förhållande till den lagen. Där anges att med forskning avses vetenskapligt experimentellt eller teoretiskt arbete eller vetenskapliga studier genom observation, om arbetet eller studierna görs för att hämta in ny kunskap, och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete eller sådana studier som utförs endast inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå. I 7 kap. 5 § 2 PDL anges ändamålet forskning inom hälso- och sjukvården som ett av ändamålen för vilken personuppgifter i kvalitetsregister får behandlas. Av förarbetena framgår att det med detta begrepp avses forskning inom hälso- och sjukvårdsområdet. Begreppet omfattar både klinisk forskning och preklinisk forskning, men begreppet är bredare än så. Att det talas om hälso- och sjukvårdsområdet innebär att forskningen kan avse även sådana frågor som inte uteslutande tar sikte på medicinsk forskning. Till hälso- och sjukvårdsområdet hör också exempelvis hälsoekonomiska frågor (se prop. 2007/08:126 s. 259). Begreppet ska inte förstås så att forskningen måste bedrivas fysiskt inom hälso- och sjukvården. Forskningen kan således utföras inte bara av sjukvårdshuvudmännen utan också av till exempel universitet och företag. Antalsberäkning är ett vanligt begrepp inför klinisk forskning. Sådan beräkning innebär att på förfrågan, inför planerad klinisk forskning, beräkna hur många personer som uppfyller vissa i förväg uppställda kriterier och som därmed kan komma att ingå i forskningen. Antalsberäkning har länge utförts inom hälso- och sjukvården men det har varit ifrågasatt huruvida det funnits rättsligt stöd för sådan personuppgiftsbehandling. Genom en nyligen gjord lagändring i PDL, har ett rättsligt stöd för den personuppgiftsbehandling som är nödvändig vid antalsberäkning införts (se 2 kap. 4 § första stycket 7 PDL 4 ). Vidare har en definition införts i PDL av begreppet ”antalsberäkning
4 SFS 2023:167.
193Forskning
inför klinisk forskning” (1 kap. 3 § PDL). I förarbetena anges i förhållande till att det ska vara fråga om antalsberäkning inför klinisk forskning, att detta innebär att det ska vara fråga om forskning som förutsätter vårdens strukturer och resurser. Sådan forskning kan ha som mål att lösa ett hälsoproblem eller identifiera faktorer som leder till förbättrad hälsa. Den utgår från de behov som finns i hälso- och sjukvården och förväntas leda till patient- och samhällsnytta. Klinisk forskning kan utföras av forskare, anställda inom hälso- och sjukvården, universitet och högskola, eller företag (prop. 2022/23:31 s. 56). I 18 kap. 2 § hälso- och sjukvårdslagen (2017:30), förkortad HSL, anges att regioner och kommuner ska medverka vid finansiering, planering och genomförande av dels kliniskt forskningsarbete på hälsooch sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete (se vidare prop. 1996/97:5 s. 181 och 185). I 24 kap. 8 § OSL stadgas att sekretess gäller i sådan särskild verksamhet hos myndighet som avser framställning av statistik för uppgift som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. I tredje stycket anges att uppgift som behövs för forsknings- eller statistikändamål och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Vad som avses med forskning i detta sammanhang har inte preciserats i lagtexten. I förarbetena till motsvarande bestämmelse i den tidigare gällande sekretesslagen (1980:100) sägs om detta undantag endast att det kan finnas behov av att genombryta sekretessen i vissa särskilda fall, såsom för forskning om yrkessjukdomar (prop. 1979/80:2, Del A s. 264). Begreppet forskning förekommer även i lag (2016:1145) om offentlig upphandling men begreppet är inte närmare definierat. Det är upp till rättstillämpningen att i varje enskilt fall pröva vad som utgör forskning i lagens bemärkelse. I EU:s dataskyddsförordning definieras inte begreppet forskning. I förordningen används beteckningen ”vetenskapliga och historiska forskningsändamål”. Till ledning för tolkningen av detta begrepp anges det i skäl 159 i förordningen att begreppet vetenskapliga forskningsändamål bör ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Även studier som utförs av ett allmänt
194Forskning
intresse inom folkhälsoområdet bör omfattas av begreppet. Enligt förordningens skäl 160 omfattar historiska forskningsändamål historiska och genealogiska ändamål. Regeringen har gjort bedömningen att forskning enligt etikprövningslagen omfattas av dataskyddsförordningens begrepp forskningsändamål (se prop. 2018/19:165 s. 19). I 4 kap. 3 § lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning anges att personuppgifter som behandlas enbart för forskningsändamål får användas för att vidta åtgärder i fråga om den registrerade endast om det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. För begreppet forskningsändamål hänvisas i förarbetena till dataskyddsförordningen (se prop. 2017/18:298 s. 29). I artikel 2.2 i Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG, förkortad CTR 5 , definieras klinisk prövning i förhållande till den EU-förordningen. I Sverige används ofta den inarbetade benämningen klinisk läkemedelsprövning för att beskriva det som i förordningen kallas kliniska prövningar av humanläkemedel (se prop. 2017/18:193 s. 12). I läkemedelslagen (2015:315) hänvisas för definitionen klinisk läkemedelsprövning på människor till definitionen i CTR, se 2 kap. 1 § läkemedelslagen. I artikel 2.44 Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG, förkortad MDR 6 , definieras klinisk prövning i förhållande till den EU-förordningen som en systematisk undersökning som involverar en eller flera försökspersoner för att bedöma en produkts säkerhet eller prestanda. I artikel 2.42 i Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitro-diagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU, förkortad IVDR 7 , definieras prestandastudie som en studie som genomförs för att fastställa eller bekräfta en produkts analytiska eller
5 Efter engelskans Clinical Trial Regulation. 6 Efter engelskans Medical Devices Regulation. 7 Efter engelskans In Vitro Diagnostic Regulation.
195Forskning
kliniska prestanda. På IVD-området används alltså uttrycket prestandastudier i stället för uttrycket klinisk prövning.
6.3 Ansvaret för forskning
Inom det offentliga sker forskning av staten, regioner och kommuner. Forskning sker också i stor utsträckning hos privata aktörer. Nedan följer en övergripande beskrivning av ansvarsfördelning och centrala förhållanden kring forskningens organisation.
6.3.1 Statens ansvar
Staten ansvarar för att bedriva och finansiera forskning. Uppgiften att bedriva forskning för staten sker genom statliga universitet och högskolor men också genom andra statliga myndigheter. Staten har även det primära ansvaret för forskning och utbildning på vårdområdet genom de statliga universiteten. 8 För universitet och högskolor med staten som huvudman finns det bestämmelser i högskolelagen (1992:1434) som reglerar sådan verksamhet. I 1 kap. 2 § högskolelagen anges forskning som en av högskolornas uppgifter. I 1 kap. 3 a § samma lag ställs det krav på att vetenskapens trovärdighet och god forskningssed värnas i verksamheten. Andra statliga myndigheter, utöver universitet och högskolor, kan ägna sig åt forskning beroende på vilket uppdrag och vilka uppgifter som har ålagts respektive myndighet i gällande rätt. Flera myndigheter har en förordningsreglerad uppgift som omfattar forskning. Uppgiften att forska kan även regleras på annat sätt, till exempel direkt i lag eller genom särskilda regeringsbeslut. 9 Utöver att bedriva forskning ansvarar staten också för att finansiera forskning. Exempel på myndigheter som har till uppdrag att bidra med finansiering av forskning är Forskningsrådet för arbetsliv, hälsa och välfärd (Forte), Vetenskapsrådet och Verket för innovationssystem (Vinnova).
8 Se även SOU 2021:80, s. 193. 9 Se även SOU 2018:36 s. 244.
196Forskning
6.3.2 Regionernas och kommunernas ansvar
Regioner och kommuner ska enligt 18 kap. 2 § HSL medverka vid finansiering, planering och genomförande av dels kliniskt forskningsarbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete. Regioner och kommuner ska i dessa frågor, i den omfattning som behövs, samverka med varandra och med berörda universitet och högskolor. Bestämmelsen infördes för att klargöra att landstingen (i dag regionerna) har en rätt och ett ansvar att bedriva denna typ av forskning. Samtidigt poängterades att huvudansvaret för forskningen fortsatt åvilar staten, främst genom universitet och högskolor (prop. 1996/97:5 s. 184). När det gäller kommuner och regioner kan forskningsuppgiften också vara fastställd genom beslut om verksamheten i kommunen eller regionen som fattats av fullmäktige i enlighet med bestämmelserna i kommunallagen. 10 Regionerna finansierar den kliniska forskningen dels via ALF-ersättning 11 från staten, dels med egna medel. Samarbetet mellan staten och vissa regioner om utbildning av läkare, klinisk forskning och utveckling av hälso- och sjukvården regleras genom det så kallade ALFavtalet. Avtalet reglerar också statens ersättning för regionernas åtagande, det vill säga hur mycket statliga medel regionerna ska få för att medverka i utbildning av läkare, bedriva klinisk forskning och utveckla hälso- och sjukvården, Ersättningen benämns ALF-medel. För att skapa goda förutsättningar för forskning och utbildning är parterna enligt avtalet överens om att berörda universitet ska delta i organisering och ledning av verksamheten i den del av hälso- och sjukvården som utformas med särskild hänsyn tagen till forskningens och utbildningens behov. Denna verksamhet betecknas som universitetssjukvård och är en gemensam angelägenhet för berörda regioner och universitet. Enligt avtalet ska universitetssjukvårdens kärnverksamhet, jämte hälsooch sjukvård, vara klinisk forskning och utbildning liksom kunskapstillämpning och kunskapsspridning för hälso- och sjukvårdens utveckling. Med klinisk forskning avses sådan forskning som förutsätter vårdens strukturer och resurser och har som mål att lösa ett ohälsoproblem eller att identifiera faktorer som leder till ökad hälsa. Staten lämnar ersättning till regionerna för medverkan i den kliniska forsk-
10 Se även SOU 2018:36, s. 245. 11 Avtal om Läkarutbildning och Forskning, som reglerar statens ersättning till regionerna för vissa kostnader i samband med utbildning och medicinsk forskning.
197Forskning
ningen enligt vad som föreskrivs i avtalet. Närmare reglering sker genom regionala avtal mellan respektive region och universitet. 12 Regeringskansliet har för närvarande tillsatt en särskild utredare att ta fram ett underlag inför en omförhandling av ALF-avtalet (U 2023:A).
6.3.3 Övriga aktörer
Forskning bedrivs även av andra aktörer än staten, regioner och kommuner såsom av privaträttsliga organisationer i form av exempelvis bolag, stiftelser och föreningar. Privata aktörer bedriver till exempel många läkemedelsprövningar och kliniska prövningar av medicintekniska produkter. När det gäller universitet och högskolor finns utöver de statliga universiteten och högskolorna även ett antal enskilda utbildningsanordnare, det vill säga högskolor som drivs av andra aktörer än staten, till exempel av stiftelser eller föreningar. Regeringen har gett dessa utbildningsanordnare rätt att utfärda högskoleexamina enligt den svenska examensordningen. Exempel på enskilda utbildningsanordnare är Stiftelsen Chalmers tekniska högskola, Handelshögskolan i Stockholm och Högskolan i Jönköping. Verksamheten för enskilda utbildningsanordnare regleras i lagen (1993:792) om tillstånd att utfärda vissa examina. Utbildningen ska vila på vetenskaplig eller konstnärlig grund och på beprövad erfarenhet samt bedrivas så att den i övrigt uppfyller krav som ställs på utbildning i första kapitlet högskolelagen. För varje examen som tillståndet avser ska utbildningen uppfylla de särskilda krav som gäller för denna examen enligt examensordningen i bilaga 2 till högskoleförordningen. Övriga delar av högskolelagen och högskoleförordningen gäller inte för enskilda utbildningsanordnare. (SOU 2017:104 s. 136). Sådana enskilda utbildningsanordnare bedriver även forskning i stor utsträckning, både i egen regi och i samverkan med andra aktörer.
12 Se även SOU 2017:104 s. 244.
198Forskning
6.4 Regler vid klinisk forskning
6.4.1 Inledning
Flera olika regler kan bli tillämpliga beroende på vad den kliniska forskningen innefattar. Nedan görs en övergripande beskrivning av de för utredningen mest centrala reglerna.
6.4.2 Internationellt
Helsingforsdeklarationen
Internationella forskningsetiska riktlinjer för medicinsk forskning på människor finns i Helsingforsdeklarationen om etiska principer för medicinsk humanforskning, fastställd av World Medical Association, förkortad Helsingforsdeklarationen. Helsingforsdeklarationen innehåller grundläggande etiska principer som ska gälla vid medicinsk forskning som omfattar människor. Reglerna gäller också forskning som innefattar mänskligt material som är kopplat till viss person eller personuppgifter. Helsingforsdeklarationen är inte juridiskt bindande men har haft stor inverkan på lagstiftningen.
Europarådets konvention om mänskliga
rättigheter och biomedicin
Europarådets konvention om de mänskliga rättigheterna och biomedicin, här kallad biomedicinkonventionen, har betydelse på forskningsområdet. Sverige har inte ratificerat konventionen, vilket innebär att den inte är bindande för Sverige, men den har ändå påverkat utformningen av den svenska lagstiftningen. Biomedicinkonventionens syfte är att skydda människor, integritet och andra fri- och rättigheter vid tillämpningen av biologi och medicin. Konventionen omfattar dels åtgärder inom hälso- och sjukvårdsområdet, dels forskning på människor. Biomedicinkonventionen kompletteras av Europarådets rekommendation (CM/Rec[2016]6) om forskning på biologiskt material av mänskligt ursprung som beslutades i maj 2016. Rekommendationen innehåller principer för hur vävnadsprover får samlas in och bevaras för forskningsändamål och hur humanbiologiskt material som samlats in eller bevarats för något annat ändamål får användas i forskning. Här
199Forskning
finns bland annat rekommendationer om sekretess, informerat samtycke, strukturerad förvaring av vävnadsprover och forskningspersoners rätt att informeras om forskningsresultat som kan vara relevanta för deras hälsa.
Good Clinical Practice (GCP)
Good Clinical Practice (GCP), på svenska god klinisk sed, är en internationell etisk och vetenskaplig kvalitetsstandard för utformning, genomförande, registrering och rapportering av prövningar som involverar deltagande av försökspersoner. Efterlevnad av denna standard ger allmänheten garantier för att försökspersonernas rättigheter, säkerhet och välbefinnande skyddas, i enlighet med de principer som har sitt ursprung i Helsingforsdeklarationen, och att data från kliniska prövningar är trovärdiga. Syftet med GCP-riktlinjen från International Conference on Harmonisation (ICH) är att tillhandahålla en enhetlig standard för Europeiska unionen (EU), Japan och USA för att underlätta ömsesidigt godkännande av kliniska data av tillsynsmyndigheterna i dessa jurisdiktioner. Riktlinjen utvecklades med hänsyn till nuvarande god klinisk praxis i Europeiska unionen, Japan och USA, liksom i Australien, Kanada, de nordiska länderna och Världshälsoorganisationen (WHO). Denna riktlinje bör följas när data från kliniska prövningar som är avsedda att lämnas in till tillsynsmyndigheterna tas fram. 13
6.4.3 Lag om ansvar för god forskningssed och prövning
av oredlighet i forskning
Lag (2019:504) om ansvar för god forskningssed och prövning av oredlighet i forskning innehåller bestämmelser om forskares och forskningshuvudmäns ansvar för att forskning utförs i enlighet med god forskningssed och bestämmelser om förfarandet vid prövning av frågor om oredlighet i forskning. Forskningshuvudman är enligt lagens definition en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskning utförs, se 2 §. I samma paragraf definieras oredlighet i forskning som en allvarlig avvikelse från god forskningssed i form av fabricering,
13 https://ichgcp.net/.
200Forskning
förfalskning eller plagiering som begås med uppsåt eller av grov oaktsamhet vid planering, genomförande eller rapportering av forskning. Det finns inte någon definition av begreppet god forskningssed i författning. I förarbetena till lagen sägs att vad som utgör god forskningssed ofta är fastställt i kodexar och policydokument och kan variera mellan olika forskningsområden samt att det kan finnas lagkrav som måste följas. Begreppet kan sägas innefatta de samlade etiska kraven på hur forskning bör bedrivas (se prop. 2018/19:58 s. 99). I 3 § framgår vilka utförares forskning som lagen tillämpas på. Uppräkningen i paragrafen omfattar bland annat universitet och högskolor som har staten som huvudman och omfattas av högskolelagen, andra statliga myndigheter samt kommuner och regioner. I 4 § framgår forskarens ansvar att följa god forskningssed. I 5 § finns bestämmelse om forskningshuvudmannens ansvar för att forskningen utförs enligt god forskningssed. I 7 § anges att en särskild nämnd ska pröva frågor om oredlighet i forskning och hur sådana ärenden inleds. Nämndens beslut i ärenden om oredlighet i forskning ska redovisas i ett beslut enligt 9 §. Sådana beslut kan överklagas enligt 21 §. Om nämnden har fattat ett beslut om att det har förekommit oredlighet i forskning, eller det framgår av ett beslut av nämnden att det har förekommit en allvarlig avvikelse från god forskningssed i form av fabricering, förfalskning eller plagiering utan att uppsåt eller grov oaktsamhet har kunnat konstateras, ska forskningshuvudmannen inom sex månader efter att beslutet har vunnit laga kraft rapportera till nämnden vilka åtgärder huvudmannen har vidtagit eller avser att vidta med anledning av beslutet enligt 13 §. Forskningshuvudmannen ska också snarast efter att beslutet har fattats underrätta intressenter, se 14 §. Bestämmelser om behandling av personuppgifter enligt lagen finns i 15–20 §§.
6.4.4 Lag om etikprövning av forskning som avser människor
Tillämpningsområde och centrala begrepp
Vid forskning inom hälso- och sjukvårdsområdet blir lagen (2003:460) om etikprövning av forskning som avser människor, förkortad EPL, ofta tillämplig. Lagen innehåller bestämmelser om etikprövning av forskning som avser människor och biologiskt material från män-
201Forskning
niskor. Den innehåller också bestämmelser om samtycke till sådan forskning. Syftet med lagen är att skydda den enskilda människan och respekten för människovärdet vid forskning (1 § EPL). Lagen tillämpas på forskning som ska utföras i Sverige (5 § EPL). I 2 § EPL finns definitioner av ett antal centrala begrepp. Med forskning avses vetenskapligt experimentellt eller teoretiskt arbete eller vetenskapliga studier genom observation, om arbetet eller studierna görs för att hämta in ny kunskap, och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete eller sådana studier som utförs endast inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå. Forskningshuvudman är en statlig myndighet eller en fysisk eller juridisk person i vars verksamhet forskningen utförs. Med forskningsperson menas en levande människa som forskningen avser. Enligt 4 § ska EPL tillämpas på forskning som: – innebär ett fysiskt ingrepp på en forskningsperson, – utförs enligt en metod som syftar till att påverka forskningspersonen fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen fysiskt eller psykiskt, – avser studier på biologiskt material som har tagits från en levande människa och kan härledas till denna människa, – innebär ett fysiskt ingrepp på en avliden människa, eller – avser studier på biologiskt material som har tagits för medicinskt ändamål från en avliden människa och kan härledas till denna människa.
EPL ska också tillämpas på forskning som innefattar behandling av personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter), eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (3 § EPL). EPL tillämpas inte på kliniska prövningar eller prestandastudier som omfattas av CTR, MDR eller IVDR. Detta framgår av 4 a och 4 b §§ EPL. Bestämmelser om etisk granskning finns i stället i lagen (2018:1091) med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel och i lagen (2021:603) med kompletterande bestämmelser om etisk granskning till EU:s förordningar om medicintekniska produkter.
202Forskning
Etikprövning och godkännande
Enligt 6 § EPL får forskning som omfattas av EPL utföras bara om den har godkänts vid en etikprövning. Ett godkännande får förenas med villkor. Ett godkännande ska avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. Forskningen får innefatta behandling av sådana personuppgifter som avses i 3 § bara om behandlingen har godkänts vid etikprövningen. I 7–11 §§ EPL finns vissa utgångspunkter för själva etikprövningen. Grundläggande är att forskning bara får godkännas om den kan utföras med respekt för människovärdet (7 § EPL). Vidare ska mänskliga rättigheter och grundläggande friheter alltid beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov (8 § EPL). Forskning får godkännas bara om de risker som den kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde (9 § EPL). Behandling av personuppgifter som avses i 3 § får godkännas bara om den är nödvändig för att forskningen ska kunna utföras (10 § andra stycket EPL).
Information och samtycke
Vid forskning på levande människor eller biologiskt material från levande människor (jämför 4 § 1–3 EPL) gäller, med vissa i bestämmelsen angivna undantag, regler om information och samtycke (13 § EPL). Forskningspersonen ska informeras om den övergripande planen för forskningen, syftet med forskningen, metoder som kommer att användas, de följder och risker som forskningen kan medföra, vem som är forskningshuvudman, att deltagande i forskningen är frivilligt, och forskningspersonens rätt att när som helst avbryta sin medverkan (16 § EPL). Som huvudregel får forskning bara utföras om forskningspersonen har samtyckt till den forskning som avser henne eller honom, enligt 17 § EPL. Ett samtycke gäller bara om forskningspersonen dessförinnan har fått information om forskningen enligt 16 §. Samtycket ska vara frivilligt, uttryckligt och preciserat till viss forskning. Samtycket ska dokumenteras. Enligt 19 § EPL kan ett samtycke när som helst tas tillbaka med omedelbar verkan. De data som har hämtats in
203Forskning
dessförinnan får dock användas i forskningen. Det ska framhållas att samtycke till att delta i forskning inte är samma sak som samtycke som rättslig grund för behandling av personuppgifter (se vidare bilaga 3 till betänkandet, Samtycken inom vård och forskning). Det finns särskilda regler avseende information och samtycke för forskningspersoner under 18 år (se 18 § EPL) samt för forskning där samtycke på grund av sjukdom, psykisk störning, försvagat hälsotillstånd eller något annat liknande förhållande hos forskningspersonen hindrar att hans eller hennes mening inhämtas (se 20–22 §§ EPL).
Forskning utan samtycke
Det bör noteras att bestämmelserna i 16–22 §§ EPL om information och samtycke gäller för forskning som avses i 4 § 1–3 EPL (se 13 § EPL). Med andra ord träffas inte forskning som visserligen innefattar behandling av känsliga personuppgifter (jämför 3 § 1 EPL) men som inte är sådan forskning som räknas upp i 4 § 1–3 14 av bestämmelserna om information och samtycke i 16–22 §§ EPL. Exempel på sådan forskning är registerbaserade studier. Det finns dock inget som hindrar att ett beslut om etikgodkännande i enskilda fall förenas med särskilda villkor om information och samtycke.
Ansökan och beslut
Enligt 23 § EPL ska ansökan om etikprövning av forskning göras av forskningshuvudmannen. När flera forskningshuvudmän medverkar i ett och samma forskningsprojekt ska de gemensamt uppdra åt en av dem att ansöka om etikprövning av projektet för allas räkning och att informera de övriga om Etikprövningsmyndighetens beslut. Det är Etikprövningsmyndigheten som prövar ansökningar om etikprövning av forskning (24 § EPL). Beslut från Etikprövningsmyndigheten i ärendet om etikprövning kan, om det gått huvudmannen emot, överklagas till Överklagandenämnden för etikprövning (36 § EPL).
14 Forskning som (1) innebär ett fysiskt ingrepp på en forskningsperson, (2) utförs enligt en metod som syftar till att påverka forskningspersonen fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen fysiskt eller psykiskt, eller (3) avser studier på biologiskt material som har tagits från en levande människa och kan härledas till denna människa.
204Forskning
6.4.5 EU-förordningen om kliniska prövningar
av humanläkemedel
Tillämpningsområde
CTR trädde i kraft 16 juni 2014, och började tillämpas den 31 januari 2022. Svensk lag har anpassats till förordningen genom förslag i propositionen Anpassningar av svensk rätt till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:196) och propositionen Kompletterande bestämmelser om etisk granskning till EU-förordningen om kliniska läkemedelsprövningar (prop. 2017/18:193). Genom sistnämnda proposition infördes lagen (2018:1091) med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel. Lagen trädde i kraft den 31 januari 2022 när EU-förordningen började tillämpas. Kompletterande bestämmelser finns också i 7 kap. läkemedelslagen (2015:315). Syftet med CTR är att förenkla förfarandet för beviljande av tillstånd för kliniska läkemedelsprövningar inom EU, speciellt i fråga om prövningar som ska ske i flera medlemsstater. Enligt artikel 1 i CTR tillämpas den på alla kliniska prövningar som genomförs inom unionen. I artikel 2.2.2 i CTR finns en definition av begreppet klinisk prövning. CTR tillämpas inte på icke-interventionsstudier, som enligt definition i artikel 2.2.4 är annan klinisk studie än klinisk prövning.
Etisk granskning och tillstånd
Av CTR framgår att kliniska prövningar ska genomgå vetenskaplig och etisk granskning samt godkännas i enlighet med förordningen (artikel 4). Ansökan om tillstånd att utföra en klinisk prövning ska lämnas in av en sponsor till avsedda berörda medlemsstater via en webbportal (EU-portalen) som Europeiska läkemedelsmyndigheten ska upprätthålla (artikel 5.1 och 80). Med sponsor avses person, företag, institution eller organisation som ansvarar för att inleda, leda och ordna med finansieringen av en klinisk läkemedelsprövning (artikel 2.2.14). Begreppet forskningshuvudman används inte i CTR. Enligt 2 och 3 §§ i lagen (2018:1091) med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska pröv-
205Forskning
ningar av humanläkemedel ska Etikprövningsmyndigheten genomföra etisk granskning i enlighet med vad som stadgas i EU-förordningen, och redovisa denna i ett yttrande till Läkemedelsverket, vilken är den myndighet regeringen har utsett för att pröva frågor om tillstånd för att genomföra en klinisk läkemedelsprövning. Yttrandet ska innehålla en bedömning av om en ansökan om tillstånd att utföra klinisk läkemedelsprövning ska beviljas, beviljas på vissa villkor eller avslås. Vad som anges i 7–11 §§ i EPL ska ligga till grund för bedömningen. Etikprövningsmyndighetens beslut om yttrande får inte överklagas, se 5 § i lagen (2018:1091) med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel. Att Läkemedelsverket prövar frågor om tillstånd att genomföra en klinisk läkemedelsprövning framgår av 7 kap. 7 § läkemedelslagen (2015:315). Tillstånd får inte meddelas om Etikprövningsmyndigheten vid den etiska granskningen har avgett ett negativt yttrande. Om Etikprövningsmyndigheten efter sin granskning har avgett ett yttrande med villkor för prövningens genomförande ska villkoren beaktas vid tillståndsgivningen. Beslut som Läkemedelsverket meddelat om tillstånd till klinisk läkemedelsprövning får överklagas till allmän förvaltningsdomstol.
Skydd för försökspersoner och informerat samtycke
I kapitel V i CTR finns bestämmelser om skydd för försökspersoner och informerat samtycke. I artikel 28 finns allmänna bestämmelser om villkor för när en klinisk läkemedelsprövning får genomföras. Ett krav är att försökspersonen, eller dennes lagligen utsedda ställföreträdare, ska ha informerats och lämnat informerat samtycke till deltagandet i den kliniska läkemedelsprövningen i enlighet med artikel 29. Enligt artikel 29 ska försökspersonen, eller dennes lagligen utsedda ställföreträdare, få information som gör det möjligt att förstå den kliniska prövningens karaktär, mål, nytta, konsekvenser, risker och olägenheter, samt information om rätten att vägra delta i prövningen och rätten att när som helst avbryta deltagandet i prövningen. Information ska också ges om omständigheterna kring genomförandet av den kliniska prövningen, inbegripet hur länge försökspersonen förväntas delta i den, och information om möjliga behandlingsalternativ
206Forskning
och eventuell uppföljning om försökspersonens deltagande i den kliniska prövningen avbryts. Den information som ges ska vara uttömmande, kortfattad, tydlig, relevant och begriplig för en lekman. Informationen ska tillhandahållas under en intervju med en medlem av prövningsgruppen men informationen ska även ges skriftligt. Det informerade samtycket ska vara skriftligt och undertecknas av försökspersonen. Om försökspersonen är oförmögen att skriva får samtycke ges och registreras på annat lämpligt sätt i närvaro av minst ett oberoende vittne. Försökspersonen, eller dennes lagligen utsedda ställföreträdare, får när som helst avsluta sitt deltagande i prövningen genom att återkalla sitt informerade samtycke enligt artikel 28.3. De data som erhållits innan samtycket återkallades får användas i prövningen. För svenska förhållanden framgår vem den lagligen utsedda ställföreträdaren är i 7 kap. 3 § läkemedelslagen (2015:315). Förutom de allmänna förutsättningarna i artikel 28 för att utföra kliniska läkemedelsprövningar, uppställer CTR ytterligare villkor som måste vara uppfyllda för att kliniska läkemedelsprövningar ska få utföras på icke beslutskompetenta vuxna och underåriga (se artikel 31 och 32). I artikel 35 i CTR anges när klinisk läkemedelsprövning kan utföras på person i nödsituation. Enligt artikeln får informerat samtycke till att delta i en klinisk läkemedelsprövning inhämtas och information om den kliniska prövningen ges efter beslutet att inkludera försökspersonen i den kliniska prövningen, förutsatt att en rad omständigheter föreligger.
Övrigt
Från 31 januari 2023 ska inga nya ansökningar om klinisk läkemedelsprövning enligt EU-direktiv 2001/20/EG och relaterade nationella regelverk skickas in till Läkemedelsverket eftersom alla ansökningar då måste göras enligt bestämmelserna i CTR. Kliniska läkemedelsprövningar som sedan tidigare är godkända enligt direktivlagstiftningen får fortsätta att genomföras i enlighet med bestämmelserna i den äldre lagstiftningen, dock längst fram till 30 januari 2025.
207Forskning
6.4.6 EU-förordningarna om medicintekniska produkter
Tillämpningsområde
Kliniska prövningar av medicintekniska produkter och prestandastudier av medicintekniska produkter för in vitro-diagnostik regleras i MDR och IVDR. MDR började tillämpas den 26 maj 2021 och IVDR började tillämpas den 26 maj 2022. De huvudsakliga anpassningarna av svensk rätt till dessa EU-förordningar presenteras i propositionen Anpassningar till EU:s förordningar om medicinteknik – del 2 (prop. 2020/21:172). EU-förordningarna kompletteras av lagen (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter. Till EU-förordningarna finns det också en lag om etisk granskning, lagen (2021:603) med kompletterande bestämmelser om etisk granskning till EU:s förordningar om medicintekniska produkter. Medicinteknisk produkt definieras i artikel 2.1 i MDR och medicinteknisk produkt för in vitro-diagnostik definieras i artikel 2.2 i IVDR. Bestämmelserna om klinisk prövning regleras i huvudsak i kapitel VI i MDR. I IVDR finns bestämmelser om prestandastudier i huvudsak i kapitel VI.
Etisk granskning och tillstånd
Enligt artikel 62.3 i MDR och artikel 58.3 i IVDR ska vissa kliniska prövningar och vissa prestandastudier vara föremål för vetenskaplig och etisk granskning. En sponsor för en klinisk prövning eller en prestandastudie ska lämna en ansökan samt den dokumentation som krävs till den eller de medlemsstater där prövningen eller prestandastudien ska genomföras (den s.k. berörda medlemsstaten). Ansökan ska lämnas in via ett elektroniskt system (som avses i artikel 73 i MDR och artikel 69 i IVDR). I lagen (2021:603) med kompletterande bestämmelser om etisk granskning till EU:s förordningar om medicintekniska produkter framgår att Läkemedelsverket ska fatta beslut om tillstånd medan Etikprövningsmyndigheten ska utföra den etiska granskningen. Resultatet av denna granskning ska redovisas till Läkemedelsverket inför myndighetens beslut i tillståndsfrågan. Den relevanta regleringen återfinns i
208Forskning
4 § denna lag, 24 a § EPL samt i 2 kap. 4 § lag (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter. Därutöver ska Etikprövningsmyndigheten i vissa fall meddela ett eget beslut gällande en ansökan om att få genomföra en klinisk prövning av medicintekniska produkter eller en prestandastudie av medicintekniska produkter för in vitro-diagnostik. Det framgår av 5 § lagen med kompletterande bestämmelser om etisk granskning till EU:s förordning om medicintekniska produkter. Vad som anges i 7–11 §§ EPL ska ligga till grund för bedömningen vid granskningen (se 6 §). Etikprövningsmyndighetens beslut enligt 4 § lag (2021:603) med kompletterande bestämmelser om etisk granskning till EU:s förordningar om medicintekniska produkter kan inte överklagas (se 7 §). Etikprövningsmyndighetens beslut enligt 5 § får däremot överklagas till Överklagandenämnden för etikprövning. Beslut av Överklagandenämnden för etikprövning får inte överklagas.
Skydd för försökspersoner och informerat samtycke
De allmänna kraven på kliniska prövningar regleras i artikel 62 i MDR och de allmänna kraven på prestandastudier i artikel 57 i IVDR. Ett samtycke till en klinisk prövning eller en prestandastudie ska vara informerat och skriftligt (artikel 63 i MDR och artikel 59 i IVDR). EU-förordningarna påverkar inte tillämpningen av nationell rätt enligt vilken det för en underårig som har förmåga att inta en ståndpunkt och bedöma den information han eller hon får, krävs att personen själv ger sitt samtycke för att kunna delta i en klinisk prövning eller prestandastudie. Kliniska prövningar eller prestandastudier på försökspersoner som inte är beslutskompetenta får endast genomföras om vissa villkor är uppfyllda (artikel 64 i MDR och artikel 60 i IVDR). Som exempel på sådana villkor kan nämnas att deras lagligen utsedda ställföreträdare har gett sitt informerade samtycke. I fråga om underåriga måste också vissa villkor vara uppfyllda (se vidare artikel 65 i MDR och artikel 61 i IVDR) Av artikel 62.5 i MDR och artikel 58.6 i IVDR framgår att försökspersonen, eller om försökspersonen inte kan ge ett informerat samtycke, hans eller hennes lagligen utsedda ställföreträdare, när som helst får avsluta deltagandet i en klinisk prövning eller prestandastudie genom att återkalla sitt informerade samtycke.
209Forskning
EU-förordningarna ger också utrymme för att utföra kliniska prövningar och prestandastudier i nödsituationer på vissa villkor (artikel 68 i MDR och artikel 64 i IVDR). I 2 kap. lagen (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter finns kompletterande bestämmelser till MDR som bland annat berör informerat samtycke för försökspersoner vars mening inte kan inhämtas och informerat samtycke för försökspersoner som är underåriga.
2117 Dataskydd
7.1 Generella regler om behandling
av personuppgifter
7.1.1 Inledning
Utredningens författningsförslag och stora delar av betänkandet i övrigt avser hälsodata i form av personuppgifter, se avsnitt 2.7.3. Enligt utredningens direktiv ingår det i utredningens uppdrag att analysera bland annat lagstiftning rörande dataskydd. I detta kapitel görs en genomgång av dataskyddsregleringen med särskilt fokus på sådana bestämmelser som kan ha relevans för utredningens förslag. I kapitel 3, redogör utredningen för att data är information, och att informationen kan se ut på olika sätt. Som också anges där, kan data bestå av personuppgifter men behöver inte göra det. Personuppgifter utgör sådan information som skyddas av bestämmelser om personlig integritet och regler till skydd för enskildas privatliv. Enskild har inte endast en fysisk integritet utan även en digital integritet. Digital integritet är bland annat rätten till skydd för personuppgifter och i andra digitala sammanhang. Ett särdrag när det gäller den digitala integriteten är att den inte lyder under geografiska gränser på samma sätt som andra delar av en persons integritet. Det regelverk som finns till skydd för personuppgifterna är således del av ett internationellt system och de verktyg som används för uttolkandet av reglerna är därför inte enbart vad som följer av inhemska förarbeten och praxis. Till de källor som är vanligast förekommande på dataskyddsområdet som inte är del av de nationella rättskällorna, kan avgöranden från EU-domstolen och Europeiska domstolen för de mänskliga rättigheterna samt Europeiska dataskyddsstyrelsens vägledningar och yttranden, räknas. Europeiska dataskyddsstyrelsen, förkortad EDPB, är inte en domstol och deras uttalanden och vägledningar är formellt sett inte en rätts-
212Dataskydd
källa. Då EDPB utgör ett oberoende organ som bland annat består av alla EU:s medlemsstaters dataskyddsmyndigheter (se bland annat skäl 139 och artiklarna 68–69 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), har dock deras uttalanden ansetts ha stor betydelse för hur specifika bestämmelser i dataskyddsförordningen ska tolkas.
7.1.2 Integritetsskydd som en grundläggande
mänsklig rättighet
Förenta nationerna (FN)
I FN:s allmänna förklaring om de mänskliga rättigheterna från år 1948 finns bestämmelser om skydd för privatlivet och den personliga integriteten. Enligt artikel 12 får ingen utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp. Enligt artikel 29.2 får en person som utövar sina rättigheter och friheter endast underkastas sådana inskränkningar som har fastställts i lag. Inskränkningarna får ske i syfte att trygga tillbörlig hänsyn till och respekt för andras rättigheter och friheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd. Den allmänna förklaringen inte formellt bindande, men ett uttryck för sedvanerätt. Inom FN har det också utarbetats en internationell konvention om medborgerliga och politiska rättigheter. Sverige anslöt sig till konventionen 1971. I artikel 17 upprepas vad som anges i artikel 12 i den allmänna förklaringen. FN:s generalförsamling antog 1990 riktlinjer om datoriserade register med personuppgifter. I riktlinjerna finns tio grundläggande principer som medlemsstaterna ska ta hänsyn till vid lagstiftning avseende datoriserade register med personuppgifter.
213Dataskydd
Dataskyddskonventionen
Europarådets ministerkommitté antog 1980 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Konventionen trädde i kraft år 1985. Dataskyddskonventionen är den enda rättsligt bindande multilaterala avtalet som specifikt avser personuppgiftsskydd. Samtliga EU-länder har ratificerat konventionen. Enligt dataskyddskonventionen krävs att parterna vidtar nödvändiga åtgärder i sin nationella lagstiftning för att säkerställa respekt för alla enskildas mänskliga rättigheter när det gäller behandling av personuppgifter (artikel 4). Av artikel 5 framgår att personuppgiftsbehandling ska vila på laglig grund och att ett antal grundläggande principer ska följas, bland annat att personuppgifter ska inhämtas och behandlas på ett korrekt och lagligt sätt och för särskilt angivna ändamål. Personuppgifter får, enligt samma bestämmelse, som huvudregel sedan inte användas på ett sätt som är oförenligt med dessa ändamål. Det finns även regler om till exempel särskilda kategorier av personuppgifter 1 , säkerhetsåtgärder och överföring av uppgifter över landsgränser (artiklarna 6, 7 och 14). Konventionen har varit en viktig inspirationskälla vid utformningen av dataskyddslagstiftning inom EU. Dataskyddskonventionen uppdaterades år 2018 2 , bland annat i syfte att anpassas till den tekniska utvecklingen och dataskyddsförordningens ikraftträdande.
Europarätt
Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, förkortad Europakonventionen, innehåller också bestämmelser om skydd för privatlivet och den personliga integriteten. Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens (artikel 8.1). Offentlig myndighet får inte ingripa i denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till den nationella säkerheten, den allmänna säkerheten eller landets ekonomiska välstånd,
1 Såsom genetiska data, biometriska data, uppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös tro eller annan övertygelse, hälsa och sexualliv. 2 Protokollet om ändring av konvention 108, antagen av Europarådets ministerkommitté den 18 maj 2018.
214Dataskydd
till förebyggande av oordning eller brott, till skydd för hälsa eller moral eller till skydd för andra personers fri- och rättigheter (artikel 8.2). Europakonventionen är svensk lag. 3 Ingen lag eller föreskrift får meddelas i strid med Sveriges åtaganden enligt Europakonventionen (2 kap. 19 § regeringsformen). I anslutning till Europakonventionen har Europarådets ministerkommitté antagit rekommendationer för behandling av personuppgifter på vissa områden. Av relevans för denna utredning är Recommendation No. R (97) 5 of the Committee of Ministers to Member States on 4 the Protection of Medical Data , som antogs i syfte att förtydliga vad som gäller för den särskilda kategorin av personuppgifter som rör hälsa (hälsouppgifter), se artikel 6 i Konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter Rekommendationen No. R (97) 5 är tillämplig på insamling och automatiserad behandling av hälsouppgifter. Även Europeiska unionens stadga om de grundläggande rättigheterna, förkortad rättighetsstadgan, innehåller bestämmelser om skydd för den personliga integriteten. Rättighetsstadgan är bindande för EU:s medlemsstater. Av artikel 3 framgår att var och en har rätt till fysisk och mental integritet. Inom medicin och biologi ska i synnerhet följande respekteras: a) Den berörda personens fria och informerade samtycke, på de villkor som föreskrivs i lag. b) Förbud mot rashygieniska metoder, i synnerhet sådana som syftar till urval av människor. c) Förbud mot att låta människokroppen och dess delar i sig utgöra en källa till ekonomisk vinning. d) Förbud mot reproduktiv kloning av människor.
Var och en har också rätt till respekt för sitt privat- och familjeliv (artikel 7). Vidare anges i artikel 8 rättighetsstadgan att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Dessa upp-
3 Lag (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna. 4 Council of Europe, Recommendation No. R (97) 5 of the Committee of Ministers to Member States on the Protection of Medical Data, antaget 13 februari 1997 av Europarådets ministerkommitté.
215Dataskydd
gifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Det anges också att var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem. I artikel 52.1 rättighetsstadgan anges att varje begränsning i utövandet av de rättigheter och friheter som erkänns i denna stadga ska vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.
Svensk rätt
Enligt 2 kap. 6 § andra stycket regeringsformen (förkortad RF), är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Bestämmelsen infördes år 2010 och innebar ett utvidgat grundlagsskydd för enskildas personliga förhållanden. I förarbetena till bestämmelsen anförs att respekten för individens självbestämmande är grundläggande i en demokrati. Samt att det genom att stärka skyddet för den personliga integriteten på grundlagsnivå, utan att skyddsintresset i första hand ska värderas utifrån intresset av att skydda den fria åsiktsbildningen, betonas vikten av respekt för individens rätt att själv förfoga över och ta ställning till det allmännas tillgång till information som rör hans eller hennes privata förhållanden på ett tydligare sätt än vad som tidigare har skett (prop. 2009/10:80 s. 176). Grundlagsskyddet omfattar endast betydande integritetsintrång och i förarbetena betonas att grundlagsbestämmelsen bara omfattar vissa kvalificerade intrång i den personliga integriteten. Vid bedömningen av hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden är det naturligt att stor vikt läggs vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Även hantering av ett litet fåtal uppgifter kan med
216Dataskydd
andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär (prop. 2009/10:80 s. 183). I förarbetena anges vidare att mängden uppgifter givetvis också kan vara en viktig faktor i sammanhanget. Det anges också att konstitutionsutskottet i flera lagstiftningsärenden som rört myndigheters behandling av personuppgifter framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag och att regeringen vid åtskilliga tillfällen har instämt i denna bedömning (prop. 2009/10 s. 183). Av förarbetena framgår också att uppgifternas karaktär och omfattning endast utgör två faktorer som ska beaktas vid bedömningen av vad som kan anses utgöra ett betydande intrång. Exempel på andra omständigheter som bör vägas in är ändamålet med behandlingen av uppgifterna och omfattningen av utlämnandet av uppgifter till andra som sker utan omedelbart stöd av offentlighetsprincipen. Vidare anges att frågan om vad som utgör ett betydande integritetsintrång måste bedömas utifrån de samhällsvärderingar som råder vid varje givet tillfälle. Dessa kan påverkas av en rad omständigheter, inte minst av den fortsatta tekniska utvecklingen men även av andra förhållanden i vår omvärld. (prop. 2009/10 s. 184 och s. 185). När det gäller frågan om samtycke anförs i förarbetena att det utvidgade integritetsskyddet bör ta sikte på sådana åtgärder som den enskilde själv inte kan få kännedom om eller påverka genom ett krav på frivilligt godkännande. Om åtgärden däremot förutsätter den enskildes godkännande, kan det intrång som åtgärden innebär normalt inte anses vara av så allvarlig beskaffenhet att den bör omfattas av ett stärkt grundlagsskydd. Detta gäller oberoende av vilka slags uppgifter åtgärden eller behandlingen avser (prop. 2009/10 s. 178–179). Vid bedömningen av om en åtgärd ska anses innebära övervakning eller kartläggning är det, enligt förarbetena, inte åtgärdens huvudsakliga syfte utan vilken effekt åtgärden har, som är avgörande. Exempelvis kan en åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda ärenden i många fall anses innebära kartläggning av enskildas förhållanden, även om kartläggning inte är avsikten. Ett annat exempel är de myndighetsspecifika verksamhetsregister och databaser med information som är knuten till en myndighets ärendehantering som förekommer inom i stort sett all statlig och kommunal förvaltning. Uppgifterna är i flertalet fall tillgängliga för myndigheterna på sådant sätt att lagringen
217Dataskydd
och behandlingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett något helt annat. Med hänsyn till dagens snabba tekniska utveckling ligger det i sakens natur att nya metoder kommer att utvecklas som möjliggör övervakning och kartläggning i andra former än vad som för närvarande är möjligt (prop. 2009/10 s. 180–181). Med enskildas personliga förhållanden avses, enligt förarbetena, vitt skilda slag av information som är knuten till den enskildes person, till exempel uppgifter om namn och andra personliga identifikationsuppgifter, adress, familjeförhållanden, hälsa och vandel. Uttrycket avses ha samma innebörd som i tryckfrihetsförordningen, förkortad TF, och offentlighets- och sekretesslagen (2009:400), förkortad OSL. Även fotografisk bild samt uppgifter som inte är direkt knutna till den enskildes privata sfär, till exempel uppgift om anställning och uppgift om en persons ekonomi, omfattas av uttrycket personliga förhållanden (prop. 2009/10:80 s. 177). Det skydd för den personliga integriteten som grundlagsbestämmelsen 2 kap. 6 § andra stycket RF innebär är inte absolut, utan kan under vissa förutsättningar begränsas med hänsyn till andra motstående intressen. En sådan begränsning får endast ske genom lag (2 kap. 20 § första stycket 2 RF). Det ställs också krav på att begränsningarna ska vara nödvändiga för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. En begränsning får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Vidare får begränsningen inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning (2 kap. 21 § RF). Av förarbetena framgår att en önskad följd av regleringen bland annat är att lagstiftaren tydligt ska redovisa vilka avvägningar som gjorts vid proportionalitetsbedömningen. Detta kan förväntas öka förutsättningarna för att avvägningarna i fråga om integritetsintrånget blir mer ingående belysta och att de presenteras på ett sådant sätt att kvaliteten i lagstiftningen höjs ytterligare (prop. 2009/10:80 s. 177).
218Dataskydd
7.1.3 Allmänt om EU:s dataskyddsförordning
Syfte och tillämpningsområde
Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad dataskyddsförordningen eller EU:s dataskyddsförordning. Från och med den 25 maj 2018 trädde dataskyddsförordningens bestämmelser i kraft. Dataskyddsförordningen utgör den generella regleringen av personuppgiftsbehandling inom EU. Att dataskyddsförordningen är en EUförordning innebär att den är direkt tillämplig i varje medlemsstat. Även om dataskyddsförordningen är direkt tillämplig innehåller den många bestämmelser som förutsätter eller ger utrymme för kompletterande nationella bestämmelser av olika slag. Förordningen har därmed i vissa delar en direktivliknande karaktär. För att säkerställa en enhetlig skyddsnivå över hela unionen och undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden behövs, enligt skälen till förordningen, en förordning som skapar rättslig säkerhet och öppenhet för ekonomiska aktörer och som ger fysiska personer i alla medlemsstater samma rättsligt verkställbara rättigheter och skyldigheter samt ålägger personuppgiftsansvariga och personuppgiftsbiträden samma ansvar (skäl 13). Enligt artikel 1 i dataskyddsförordningen är syftet med förordningen att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Vidare anges att det fria flödet av personuppgifter inom unionen varken får begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter. Dataskyddsförordningen syftar således till att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter samtidigt som den syftar till att få till stånd ett fritt flöde av personuppgifter inom EU som inte begränsas av dataskyddsskäl. Rätten till skydd av personuppgifter är som nämnts ovan, inte en absolut rättighet. Rättigheten måste förstås utifrån sin kontext i samhället och vägas mot andra grundläggande rättigheter utifrån en proportionalitetsbedömning (skäl 4).
219Dataskydd
Dataskyddsförordningen ska tillämpas på all helt eller delvis automatiserad (automatisk) behandling av personuppgifter. Detta gäller oavsett om personuppgifterna finns i ett register eller inte. Dataskyddsförordningen ska dessutom tillämpas på manuell (ickeautomatisk) behandling av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1). Detta innebär till exempel att dataskyddsförordningen gäller behandling av personuppgifter i löpande text i en dator eller bilder på individer i skannade dokument. Dataskyddsförordningen har alltså ett brett tillämpningsområde.
Grundläggande begrepp
Nedan följer en kort beskrivning av några av de mest grundläggande begreppen i dataskyddsförordningen.
Personuppgifter
Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person (det är detta som avses med begreppet registrerad) (artikel 4.1). Redan ordalydelsen tyder på att en vid tolkning ska göras (”varje upplysning”). Exempel på personuppgifter är namn, adress och personnummer. Andra upplysningar som identifierar en fysisk person kan vara identifikationsnummer, lokaliseringsuppgift eller onlineidentifikatorer (till exempel IP-adress). Information som är specifik för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet kan utgöra personuppgifter. Bilder på och ljudupptagningar av individer kan vara personuppgifter, även om inga namn nämns. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person. Värt att notera är att uppgifter om avlidna fysiska personer inte utgör personuppgifter enligt dataskyddsförordningen (skäl 27). Definitionen av personuppgifter omfattar därför enbart levande fysiska personer.
220Dataskydd
Pseudonymisering och anonymisering
Dataskyddsförordningen är även tillämplig på pseudonymiserade uppgifter. Med pseudonymisering avses åtgärder som innebär att personuppgifterna inte längre direkt kan hänföras till en specifik registrerad utan att kompletterande information används (artikel 4.5). Även om man har kodat, krypterat eller på annat sätt pseudonymiserat uppgifterna är de personuppgifter i dataskyddsförordningens mening så länge de kan hänföras till en identifierbar fysisk person med hjälp av kompletterande uppgifter. För att avgöra om en fysisk person är identifierbar bör alla hjälpmedel som rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen, beaktas. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör samtliga objektiva faktorer beaktas, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen (skäl 26). Det krävs inte att den personuppgiftsansvarige själv förfogar över de uppgifter som gör identifieringen möjlig. Till stöd för bedömningen kan den praxis som finns från EU-domstolen som tar sikte på när uppgifter ska anses pseudonymiserade respektive anonymiserade, se bland annat Breyer-domen (C 582–14 Patrick Breyer mot Bundesrepublik Deutschland från den 19 oktober 2016) och Single Resolution Board v. European Data Protection Supervisor (Mål T-557-20 från den 26 april 2023). Den senare domen avsåg den definition av personuppgifter som finns i förordning 2018/1725 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter, som utgör den dataskyddsförordning som är tillämpbar på personuppgiftsbehandling som utförs av Europeiska unionens institutioner. Domen avser överklagandet av ett beslut som fattats av den Europeiska datatillsynsmannen (EDPS). När det gäller anonymiserade uppgifter är dataskyddsförordningen inte tillämplig. Med anonymiserade uppgifter avses uppgifter som inte ens med kompletterande information kan hänföras till en viss individ. Någon koppling till individen ska inte rimligen kunna skapas. Det innebär att dataskyddsförordningen inte gäller vid behandling av ano-
221Dataskydd
nymiserad information inom till exempel forskning eller för statistiska ändamål (skäl 26).
Behandling
I dataskyddsförordningen är ordet behandling central. En behandling är enligt dataskyddsförordningens definition en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring (artikel 4.2). Behandling är därmed ett vidsträckt begrepp och innefattar allt som kan göras med personuppgifter. Så snart personuppgifter på något sätt hanteras – automatiserat eller manuellt, oberoende av teknik – är det fråga om behandling i dataskyddsförordningens mening.
Personuppgiftsansvarig och personuppgiftsbiträde
I dataskyddsförordningen finns det flera utpekade roller. Bland de som ska utföra behandlingar på personuppgifter är personuppgiftsansvarig och personuppgiftsbiträde de två mest centrala. Något förenklat kan sägas att personuppgiftsansvarig är den som bestämmer varför personuppgifter ska behandlas och hur behandlingen ska gå till. I dataskyddsförordningens definition uttrycks personuppgiftsansvarig som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter (artikel 4.7). En medlemsstat har rätt att i sin nationella rätt precisera vem som är personuppgiftsansvarig. Ett exempel där personuppgiftsansvaret pekas ut i lag är i patientdatalagen (2008:335), förkortad PDL. I artikel 4.8 i dataskyddsförordningen beskrivs personuppgiftsbiträde som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Till skillnad från den personuppgiftsansvariga bestämmer personuppgiftsbiträdet inte för vilka ändamål eller
222Dataskydd
hur behandlingen av personuppgifter ska gå till, utan gör detta på uppdrag av den personuppgiftsansvarige.
Känsliga personuppgifter
Med känsliga personuppgifter avses sådana personuppgifter som utpekas som särskilda kategorier av personuppgifter enligt artikel 9.1 i dataskyddsförordningen, det vill säga. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, liksom genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Sagda bestämmelse innehåller ett principiellt förbud mot behandling av sådana uppgifter, men också flera undantag från detta förbud, vilka följer av artikel 9.2 a–j i förordningen. Vissa av undantagen innehåller hänvisningar till nationell rätt, innebärande att lagstiftningsåtgärder bör vidtas för att dessa undantag ska vara tillämpliga (artikel 9.2). För utredningens del är det främst vissa av kategorierna av personuppgifter som är relevanta, som uppgifter om hälsa och genetiska uppgifter. Dessa undantag återges i korthet nedan. Bland undantagen finns ett som avser behandling som är nödvändig av skäl som hör samman med tillhandahållande av hälso- och sjukvård (artikel 9.2 h). Av artikel 9.3 framgår vidare att personuppgifter som avses i artikel 9.1 får behandlas för de ändamål som avses i artikel 9.2 h, när uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt. Ett annat relevant undantag är det som följer av artikel 9.2 j, som medger behandling som är nödvändig för vetenskapliga forskningsändamål. Vidare anges i dataskyddsförordningens skäl att personuppgifter om hälsa bör innefatta alla de uppgifter som hänför sig till en registrerad persons hälsotillstånd som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd. Detta inbegriper uppgifter om den fysiska personen som insamlats i samband med registrering för eller tillhandahållande av hälso- och sjukvårdstjänster, ett nummer, en symbol eller ett kännetecken som den fysiska personen tilldelats för att identifiera denne för hälso- och sjukvårdsändamål. Det kan också vara uppgifter som
223Dataskydd
härrör från tester eller undersökning av en kroppsdel eller kroppssubstans, däribland genetiska uppgifter och biologiska prov, och andra uppgifter om exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling med mera (skäl 35). Enligt EDPB:s riktlinjer ska uppgifter om hälsa tolkas brett och innefattar bland annat information som samlats in av en vårdgivare i en patientjournal till exempel sjukdomshistoria och resultat av undersökningar och behandlingar. 5 När det gäller genetiska uppgifter anges i dataskyddsförordningens skäl 34 att genetiska uppgifter bör definieras som personuppgifter som rör en fysisk persons nedärvda eller förvärvade genetiska kännetecken, vilka framgår av en analys av ett biologiskt prov från den fysiska personen i fråga, framför allt kromosom-, DNA- eller RNAanalys eller av en annan form av analys som gör det möjligt att inhämta motsvarande information.
Förhållande till offentlighetsprincipen
Dataskyddsförordningen innehåller ingen definition av begreppet utlämnande. Begreppet bör ses som ett EU-rättsligt begrepp. Utlämnandebegreppet i förordningen är inte synonymt med ett utlämnande av uppgifter i allmänna handlingar enligt svensk rätt, även om viss överlappning finns. När en myndighet lämnar ut allmänna handlingar som innehåller personuppgifter, utgör själva utlämnandet en behandling av personuppgifter enligt dataskyddsförordningen. Samtidigt är det fråga om ett utlämnande som sker med stöd av offentlighetsprincipen och de övriga principerna i tryckfrihetsförordningen. Enligt förordningen måste något av villkoren i artikel 6.1 vara uppfyllt för att behandlingen av personuppgifter ska vara tillåten. Dataskyddsförordningen innehåller därutöver specialregler för vad som kallas särskilda behandlingssituationer. Som särskilda behandlingssituationer räknas yttrande- och informationsfriheten samt allmänhetens tillgång till allmänna handlingar. Utrymmet för att ge offentlighetsprincipen företräde framför personuppgiftsregleringen uttrycks i artikel 86. Av bestämmelsen följer att personuppgifter i allmänna handlingar får lämnas ut i enlighet med
5 Riktlinjer 3/2020 om behandling av uppgifter om hälsa för vetenskapliga forskningsändamål i samband med covid-19-utbrottet, antagna 21 april 2020, s. 5 punkterna 7–8.
224Dataskydd
nationell rätt, för att jämka samman allmänhetens rätt att få tillgång till handlingar med rätten till skydd för personuppgifter i enlighet med förordningen. Artikeln möjliggör alltså en tillämpning av tryckfrihetsförordningens reglering om allmänhetens tillgång till handlingar när det gäller allmänna handlingar som innehåller personuppgifter.
7.2 Dataskyddsförordningens grundläggande principer
7.2.1 Inledning
I artikel 5.1 i dataskyddsförordningen anges de grundläggande principerna för all personuppgiftsbehandling. De grundläggande principerna redogör för vilka allmänna krav som gäller för all personuppgiftsbehandling. Samtliga principer måste vara uppfyllda för att en behandling ska anses vara förenlig med dataskyddsförordningen. Artikel 5 utgör även ett kumulativt krav med artikel 6 för att en behandling ska anses ha rättslig grund (se prop. 2017/18:105 s. 48). Den första principen som läggs fast i artikel 5.1 (led a) är att personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Principen om laglighet utgör en hänvisning till de rättsliga grunderna i artikel 6.1. I artikel 5.1 anges vidare att personuppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att de inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål (led b). Det anges i samma led att ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, under vissa förutsättningar, ska anses förenligt med de ursprungliga ändamålen. Kravet på ett specificerat ändamål anses utgöra ett uttryck för den så kallade finalitetsprincipen, se mer nedan. Att behandlingar som vidtas för forskningsändamål m.m. ses som förenliga med ursprungsändamålet utgör alltså ett undantag från finalitetsprincipen. Vidare ska uppgifterna enligt artikel 5.1 bland annat vara adekvata och korrekta och får inte förvaras under en längre tid än vad som är nödvändigt (leden c, d och e). Uppgifterna måste också behandlas på ett sätt som säkerställer lämplig säkerhet (led f). Nedan följer en lite närmare genomgång av de principer som kan anses särskilt berörda när man talar om vidareanvändning av personuppgifter.
225Dataskydd
7.2.2 Särskilt om principen om uppgiftsminimering
Av artikel 5.1 c följer ett krav på att personuppgifterna ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen, samt att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Den så kallade principen om uppgiftsminimering återfinns även på andra ställen i förordningen, exempelvis i artikel 25.1 när det talas om inbyggt dataskydd, och i artikel 89.1 om skyddsåtgärder vid behandling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål. Prövning av om en personuppgift behövs för en viss behandling eller inte måste göras kontinuerligt och inte bara då den samlas in och registreras. Även vid en senare hantering ska personuppgiften behövas för ändamålet med just den senare hanteringen (prop. 2007/08:126 s. 63).
7.2.3 Särskilt om principen ändamålsbegränsning
Syftet med principen om ändamålsbegränsning är öppenhet, rättssäkerhet och förutsebarhet för den registrerade. Målet är att skydda dennes integritet genom tydliga ramar för hur dennes personuppgifter får användas. Att ändamålet ska vara särskilt angivet innebär att en alltför allmänt hållen ändamålsangivelse inte godtas. Den registrerade ska kunna förstå och förutse att dennes uppgifter kommer att användas på ett visst sätt. I skäl 39 anges bland annat att de särskilda ändamål som personuppgifterna behandlas för bör vara tydliga och legitima. De ska också ha bestämts vid den tidpunkt då personuppgifterna samlades in. Att ändamålet är tydligt angivet får särskild betydelse vid bedömning av om en rättslig grund för behandling föreligger. Av artikel 5.1 b framgår, som angetts ovan, att ytterligare behandling för bland annat vetenskapliga eller historiska forskningsändamål inte ska anses oförenlig med de ursprungliga ändamålen. Skrivningen, det så kallade forskningsundantaget, innebär alltså att ytterligare behandling för forskningsändamål är särskilt gynnad (se vidare under avsnitt 7.2.4).
226Dataskydd
7.2.4 Särskilt om finalitetsprincipen och dess undantag
Som angetts i avsnittet ovan, får personuppgifter som samlas in för särskilda, uttryckligt angivna och berättigade ändamål inte senare behandlas på ett sätt som är oförenligt med dessa ändamål enligt den så kallade finalitetsprincipen. Om personuppgifterna behandlas ytterligare för bland annat vetenskapliga eller historiska forskningsändamål, anses de ändamålen inte vara oförenligt med de ursprungliga ändamålen (artikel 5.1 b). Undantaget för historiska eller vetenskapliga forskningsändamål medför däremot inte att det går att bortse från kravet på särskilda, uttryckligt angivna och berättigade ändamål för insamlingen och den senare behandlingen. De på förhand fastställda ändamålen sätter alltså alltjämt ramarna för behandlingen (Ds Långsiktig reglering av forskningsdatabaser, U2022/04089, s. 80). Av skäl 50 till dataskyddsförordningen framgår att vid sådan vidarebehandling som inte hindras av finalitetsprincipen krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Vidare anges att om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i en myndighetsutövning, kan EU-rätten eller medlemsstaterna i sin nationella rätt närmare fastställa för vilka uppgifter och syften ytterligare behandling ses som förenligt med det ursprungliga ändamålet. I artikel 6.4 anges omständigheter som den personuppgiftsansvarige behöver beakta för att fastställa huruvida en behandling för andra ändamål än det vilket personuppgifterna ursprungligen samlades in för inte ska ses som oförenliga med de ursprungliga ändamålen. Häribland nämns kopplingen mellan de ändamål som för vilka personuppgifterna samlades in och ändamålen med den avsedda ytterligare behandlingen, sammanhanget inom vilket personuppgifterna samlades in och särskilt de registrerades rimliga förväntningar (jämför artikel 6.4 a och b samt skäl 50).
7.3 Dataskyddsförordningens rättsliga grunder
för behandling av personuppgifter
Dataskyddsförordningen utgår från att varje behandling av personuppgifter måste vila på en rättslig grund. Behandling av personuppgifter får därför bara ske under de omständigheter som särskilt anges i lag-
227Dataskydd
stiftningen. I dataskyddsförordningen räknas dessa rättsliga grunder upp i artikel 6.1. Behandling är enligt denna bestämmelse endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt: a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person. e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
Uppräkningen i artikel 6.1 är uttömmande. Om inget av dessa villkor är uppfyllda är behandlingen inte laglig och får därmed inte utföras. Den omständigheten att behandlingen är laglig enligt artikel 6.1 i dataskyddsförordningen, att den är rättsligt grundad, innebär inte att behandling kan ske av vilka uppgifter som helst eller på valfritt sätt. Den personuppgiftsansvarige måste också uppfylla kraven i övriga bestämmelser i förordningen, till exempel de allmänna principerna i artikel 5. Utredningen har valt att nedan gå igenom vissa av de rättsliga grunderna i mer detalj, nämligen de rättsliga grunder som är relevanta att beröra i förhållande till utredningens förslag.
228Dataskydd
7.3.1 Särskilt om samtycke
Av artikel 6.1 a framgår att behandling av personuppgifter är tillåten om den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Ett samtycke är varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne (artikel 4.11) (se vidare Bilaga 3 Samtycken inom vård och forskning, däri beskrivs olika relevanta typer av samtycken som finns på området). Med frivilligt menas att den registrerade har ett genuint fritt val att medverka i behandlingen. Är situationen sådan att den registrerade i praktiken inte kan avstå, kan samtycket inte gärna vara ”frivilligt”. Samtycke bör därför inte utgöra giltig rättslig grund för behandling av personuppgifter om det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Detta gäller särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar (skäl 43). För att samtycket ska vara informerat, bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda (skäl 42). Det är bara behandling av personuppgifter för det ändamål som den registrerade blivit informerad om som samtycket kan avse. Har den personuppgiftsansvarige informerat om att behandlingen av personuppgifterna ska gå till på visst sätt, men denne senare önskar 6 göra på något annat sätt, måste ett nytt samtycke hämtas in. Om en behandling av personuppgifter stödjer sig på samtycke som rättslig grund, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandlingen. Det krävs inte att samtycket är skriftligt, men vid tvist har den personuppgiftsansvarige bevisbördan för att samtycke lämnats. Den registrerade ska ha rätt att när som helst kunna återkalla ett samtycke (artikel 7 dataskyddsförordningen).
6 Öman, S., Dataskyddsförordningen (GDPR) m.m. – En kommentar, kommentaren till artikel 4, (JUNO) version:1A.
229Dataskydd
7.3.2 Särskilt om rättslig förpliktelse
Enligt den rättsliga grunden i artikel 6.1 c får personuppgifter behandlas om behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. I första hand borde offentligrättsliga förpliktelser omfattas av begreppet rättslig förpliktelse. Det finns dock även i civilrättsliga författningar bestämmelser som i sig utgör eller kan medföra rättsliga skyldigheter, till exempel inom arbetsrätten. Förpliktelser som följer av avtal där den registrerade själv är part utgör däremot en separat rättslig grund för personuppgiftsbehandling enligt dataskyddsförordningen, nämligen enligt artikel 6.1 b. Förpliktelser som åligger enskilda eller kommuner kan regleras direkt i lag, i förordningar eller andra föreskrifter. Förpliktelser kan också fastställas i domar eller myndighetsbeslut som meddelats med stöd av lag eller andra föreskrifter. Som en följd av den svenska arbetsmarknadsmodellen kan rättsliga förpliktelser även anges i kollektivavtal. Sådana avtal omfattas inte av artikel 6.1 b, eftersom den registrerade inte själv är part (prop. 2017/18:105 s. 53).
7.3.3 Särskilt om uppgift av allmänt intresse
Vad som är ett allmänt intresse enligt dataskyddsförordningen definieras inte i förordningen. Innebörden av begreppet allmänt intresse i dataskyddsförordningens mening har ännu inte närmare utvecklats av EU-domstolen i mål om behandling av personuppgifter. Det finns dock inget som tyder på att begreppet allmänt intresse ska uppfattas mer restriktivt enligt dataskyddsförordningen än enligt dataskyddsdirektivet. Dataskyddsutredningen har tvärtom ansett att mycket talar för att begreppet allmänt intresse bör ha en vidare EUrättslig betydelse genom dataskyddsförordningen än det hittills har haft (SOU 2017:39 s. 123). Regeringen har ansett att sådan verksamhet som en statlig eller kommunal myndighet bedriver, inom ramen för sin befogenhet, är av allmänt intresse. Det är därmed den rättsliga grunden i artikel 6.1 e i dataskyddsförordningen som vanligen bör tillämpas av myndigheten (prop. 2017/18:105 s. 57). Även privata aktörer kan utföra arbetsuppgifter av allmänt intresse på uppdrag av en myndighet eller på eget initiativ. Bedömningen av
230Dataskydd
om arbetsuppgiften är av allmänt intresse bör göras mot bakgrund av verksamhetens syfte, oavsett om den faktiskt utförs i myndighetens regi eller av någon annan (prop. 2017/28:105 s. 58). Som exempel på verksamheter med arbetsuppgifter av allmänt intresse kan nämnas hälso- och sjukvård, skola, stöd och service till personer med funktionsnedsättningar, kommunikation och energiförsörjning. För att en behandling av personuppgifter ska vara tillåten enligt artikel 6.1 e i dataskyddsförordningen måste den vara nödvändig i förhållande till den rättsliga grunden. Nödvändighetskriteriet ska ses mot bakgrund av att undantag och begränsningar av skyddet för personuppgifter ska inskränkas till vad som är absolut nödvändigt. Samtidigt följer av praxis att behandlingen kan anses nödvändig och därmed tillåten enligt artikel 6.1 om den leder till effektivitetsvinster men även att kravet på nödvändighet ska prövas tillsammans med principen om uppgiftsminimering enligt artikel 5.1 c i dataskyddsförordningen. (jämför prop. 2017/18:105 s. 46–47 med däri angiven praxis). I artikel 6.3 i dataskyddsförordningen anges att grunden för behandlingen som avses i den rättsliga förpliktelsen, enligt artikel 6.1 c eller den uppgift av allmänt intresse enligt 6.1 e, ska vara fastställd i unionsrätt eller en medlemsstats nationella rätt. Den rättsliga grunden enligt artikel 6.3 är därför ofta fastställd i till exempel myndigheters instruktioner eller i annan reglering som styr verksamheten, till exempel hälsooch sjukvårdslagen (2017:30), förkortad HSL, och socialtjänstlagen (2001:453). På vissa områden kompletteras verksamhetsregleringen av en särskild författning som reglerar personuppgiftsbehandlingen, en så kallad registerförfattning. Den rättsliga grunden som fastställs i nationell rätt enligt artikel 6.3 i dataskyddsförordningen omfattar då både verksamhetsregleringen och den aktuella registerförfattningen, exempelvis en eller flera bestämmelser i HSL och PDL. I dataskyddsförordningen ställs det även krav på tydlighet, precision, förutsebarhet och proportionalitet avseende de rättsliga grunder som ska anses utgöra ett rättsligt stöd för en behandling av personuppgifter i enlighet med artikel 6.1 c och 6.1 e (se artikel 6.3 och skäl 41). Kravet på förutsebarhet ska ses från den registrerades – och inte den personuppgiftsansvariges – perspektiv (skäl 41). Det måste alltid göras en bedömning av personuppgiftsbehandlingens och verksamhetens karaktär för att avgöra hur stor grad av
231Dataskydd
tydlighet och precision som krävs. Ett mer kännbart intrång kräver en mer preciserad rättslig grund, medan personuppgiftsbehandling med lägre integritetsrisker kan ske med stöd av en mer allmänt hållen rättslig grund (prop. 2017/18:105 s. 51).
7.4 Dataskyddslagen
Dataskyddsförordningen kompletteras i svensk lagstiftning av lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen. Dataskyddslagen innehåller anpassningar och kompletterande bestämmelser på ett generellt plan. Dataskyddslagen är subsidiär i förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i så kallade registerförfattningar. Dataskyddslagen trädde i kraft den 25 maj 2018, samtidigt som dataskyddsförordningen började tillämpas. Personnummer och samordningsnummer är inte känsliga personuppgifter enligt artikel 9 dataskyddsförordningen, men har ändå en särställning som extra skyddsvärd. Dataskyddsförordningen ger medlemsstaterna möjlighet att bestämma särskilda villkor för när ett nationellt identifikationsnummer eller annat vedertaget sätt för identifiering får behandlas (artikel 87). I Sverige finns detta reglerat i dataskyddslagen som anger att personnummer och samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl (3 kap. 10 §). I dataskyddslagen finns även vissa begränsningar av de registrerades rättigheter enligt förordningen, av störst betydelse i sammanhanget är kanske 5 kap. 1 § som anger begränsningar för rätten till information och tillgång till personuppgifter enligt artiklarna 13–15 i dataskyddsförordningen.
7.5 Patientdatalagen
7.5.1 Inledning
Även om dataskyddsförordningen är det grundläggande regelverket för behandling av personuppgifter även inom vården, finns det nationella regelverk som kompletterar dataskyddsförordningen avseende
232Dataskydd
personuppgiftsbehandling på hälso- och sjukvårdsområdet. De två lagar som främst berör utredningens arbete utgörs av PDL och lag (2022:913) om sammanhållen vård- och omsorgsdokumentation, förkortad SVOD. En närmare redogörelse för SVOD görs i avsnitt 7.6. PDL är tillämplig vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal. Lagen gäller, till skillnad från dataskyddsförordningen, i tillämpliga delar även uppgifter om avlidna (jämför 1 kap. 1 § PDL och skäl 27 i dataskyddsförordningen). Mer om dess tillämpningsområde följer i avsnitt 7.5.2 om PDL:s syfte och tillämpningsområde.
7.5.2 Patientdatalagens syfte och tillämpningsområde
I förarbetena till PDL angavs att en utgångspunkt med lagen var att hanteringen av personuppgifter inom hälso- och sjukvården skulle underlättas samtidigt som patientsäkerheten och patientens egen möjlighet till medverkan skulle stärkas. Regelverket anpassades för att på ett bättre sätt svara mot de nya möjligheter som fanns att utbyta patientinformation som lagras elektroniskt. Ett uttalat syfte var också att underlätta informationsutbyte mellan vårdgivare och mellan vårdgivare och patient. Det betonades samtidigt att skyddet för patientens integritet skulle vara första prioritet (prop. 2007/08:126 s. 34). Enligt 1 kap. 2 § PDL ska informationshanteringen inom hälsooch sjukvården vara organiserad så att den tillgodoser patientsäkerhet och god kvalitet samt främjar kostnadseffektivitet. Personuppgifter ska utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras. Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem. PDL:s tillämpningsområde bestäms av definitionerna i 1 kap. 3 § av begreppen ”vårdgivare” och ”hälso- och sjukvård”. Med vårdgivare avses statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare). Med hälso- och sjukvård menas verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128)
233Dataskydd
om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter, lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar samt den upphävda lagen (1944:133) om kastrering. Tillämpningsområdet för PDL är därmed bredare än för HSL. På grund av att PDL även gäller för avlidna personer, får även PDL ett bredare tillämpningsområde än om endast dataskyddsförordningen skulle ha tillämpats (jämför 1 kap. 1 § andra stycket PDL och skäl 27 till dataskyddsförordningen). PDL har karaktären av en ramlag som innehåller grundläggande principer för vårdgivares behandling av personuppgifter. Lagen kompletteras med mer detaljerade bestämmelser i patientdataförordningen (2008:360) och av Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40). I det följande redogörs för bestämmelser i PDL som är av särskild relevans för denna utredning. Särskilt fokus kommer att ligga på reglerna kring tillåtna ändamål för behandling av personuppgifter, tillåtna utlämnanden enligt lagen inklusive sådana som görs till nationella kvalitetsregister samt de skyddsbestämmelser som finns för den personliga integriteten.
7.5.3 Personuppgiftsansvar
I PDL pekas vårdgivaren ut som personuppgiftsansvarig (2 kap. 6 § PDL). Det anges vidare att den myndighet inom en region eller kommun som bedriver hälso- och sjukvård är den personuppgiftsansvariga för den behandling som myndigheten utför, 2 kap. 6 § stycke 1 andra meningen. Inom den allmänna hälso- och sjukvården hos sjukvårdshuvudmännen är det den juridiska personen, det vill säga. regionen eller kommunen, som är vårdgivare. Som framgår av den andra meningen i första stycket 2 kap. 6 § PDL är det däremot inte den juridiska personen i rollen som vårdgivare som behöver vara personuppgiftsansvarig. PDL anger i stället att det är den myndighet, det vill säga
234Dataskydd
den nämnd eller annan myndighet som leder eller utför den faktiska hälso- och sjukvården, som är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Härmed avses exempelvis så kallad beställar- och utförarnämnder i en region eller en kommun. Skälen för att personuppgiftsansvaret regleras på det sättet är att det skulle uppnås en samordning mellan personuppgiftsansvaret och ansvaret för allmänna handlingar enligt TF, dåvarande sekretesslagen och arkivlagen (1990:782) (prop. 2007/08:126 s. 61). Vilka myndigheter i regioner eller kommuner som är personuppgiftsansvariga i regioners eller kommuners hälso- och sjukvård kan därför inte anges generellt utan beror på hur ansvaret för hälso- och sjukvårdens verksamhet organiserats i respektive region eller kommun. Vem eller vilka som är personuppgiftsansvariga vid samverkan mellan olika vårdgivare regleras inte generellt utom till den del det rör sig om direktåtkomst, 2 kap. 6 § stycke 2 och till viss del avseende de nationella och regionala kvalitetsregisterna, jämför 7 kap. 7 § PDL. Utformningen av 2 kap. 6 § PDL innebär därmed att den myndighet som gör personuppgifter om en patient tillgängliga för andra vårdgivare eller annan myndighet i samma region eller kommun har personuppgiftsansvaret för tillgängliggörandet med allt vad det innebär exempelvis som ansvaret för rättslig grund, efterlevnad av de grundläggande principerna, lämplig säkerhet och informationsskyldighet enligt både dataskyddsförordningen och PDL. Vidare är den myndighet som bereder sig tillgång till andra vårdgivares uppgifter, för att söka efter och läsa vårddokumentation, i enlighet med PDL, personuppgiftsansvarig för den personuppgiftsbehandling som det handlandet innebär.
7.5.4 Tillåtna ändamål
Innan PDL trädde i kraft fanns utrymme för vårdgivarna att själva bestämma ändamål, vilket inte ansågs tillräckligt integritetsskyddande. Det ansågs därför viktigt att det i PDL uttryckligen och så uttömmande som möjligt skulle framgå vilka ändamål som skulle tillåtas och därmed regleras i lagen. Ändamålsregleringen är därför uttömmande i den meningen att vårdgivarna inte själva får besluta om ytterligare ändamål för vilket eller vilka personuppgifter kan samlas in i
235Dataskydd
verksamheten. Genom att också inkludera ändamål som tidigare endast reglerats av personuppgiftslagen ansågs integritetsskyddet öka i förhållande till vad som gällt tidigare (prop. 2007/08:126 s. 55–56). Syftet med ändamålsbestämmelsen i 2 kap. 4 § PDL är att ge en yttersta ram för när personuppgifter får samlas in och fortsättningsvis behandlas. En och samma behandling av personuppgifter kan ske för mer än ett ändamål. Särskilt gäller detta i sådana stora elektroniska informationssystem som integrerar en mängd olika funktioner (prop. 2007/08:126 s. 55–57). När det gäller behandling för nationella kvalitetsregister finns en egen ändamålsbestämmelse i 7 kap. 4–5 §§ PDL. Vid införandet av PDL ansågs det olämpligt att som tidigare dela in ändamålen i primära och sekundära ändamål. Enligt förarbetena handlar både primära och sekundära ändamål om personuppgiftsbehandlingar som, mer eller mindre integrerat, normalt äger rum i varje vårdgivares egen verksamhet (prop. 2007/08:126 s. 56).
Ändamålet vårddokumentation (2 kap. 4 § 1 och 2 PDL)
Personuppgifter får behandlas om det behövs för att fullgöra de skyldigheter som anges i 3 kap. PDL, som skyldigheten att föra patientjournal, och upprätta annan dokumentation som behövs i och för vården av patienter. Personuppgifter får också behandlas om det behövs för administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall (prop. 2007/08:126 s. 228).
Annan dokumentation (2 kap. 4 § 3 PDL)
Punkten 3 avser annan dokumentation än vårddokumentation som hälso- och sjukvården är skyldig att utföra enligt olika författningar. Exempel härpå är dokumentation enligt lagen (1985:12) om kontroll av berusningsmedel på sjukhus och bestämmelsen om rapporteringsskyldighet till vårdgivare i 6 kap. 4 § patientsäkerhetslagen (2010:659). Det finns vidare en rad författningar som föreskriver att hälso- och sjukvården ska lämna ut uppgifter till olika myndigheter. I allmänhet rör det sig här om utlämnande av uppgifter som primärt har samlats in som vårddokumentation, det vill säga för ändamålet enligt punk-
236Dataskydd
terna 1 och 2 i 2 kap. 4 § PDL. Uppgifterna kan då normalt tillhandahållas utan någon föregående bearbetning. I dessa fall handlar det endast om en behandling för det ändamål som anges i 2 kap. 5 § PDL, alltså behandling för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning (prop. 2007/08:126 s. 228). Ibland kan uppgiftsskyldigheten förutsätta en viss särskild personuppgiftsbehandling där dokumentationen utformas utifrån hur uppgiftsskyldigheten ska fullgöras. I sådana fall är det inte fråga om en ren ”återanvändning” av redan insamlade personuppgifter. Exempel på sådan behandling som görs särskilt med anledning av en uppgiftsskyldighet är den behandling som sker för att uppfylla 4 och 6 §§ förordningen (2001:707) om patientregister hos Socialstyrelsen.
Kvalitetsutveckling och kvalitetssäkring (2 kap. 4 § 4 PDL)
Detta ändamål ger lagstöd för behandling av personuppgifter inom vad som brukar kallas systematiskt kvalitetsarbete. Lydelsen har en direkt koppling till vårdgivares skyldighet enligt hälso- och sjukvårdslagen att aktivt arbeta med verksamhets- och kvalitetsutveckling (se även formuleringen att ”kvaliteten inom hälso- och sjukvården systematiskt och fortlöpande ska utvecklas och säkras” i 5 kap. 4 § HSL) (SOU 2021:4 s. 148). Att kvalitetssäkring tas upp som en särskild punkt beror bland annat på den centrala roll som kvalitetssäkringsarbetet har inom hälsooch sjukvården. Kvalitetssäkringsarbete kan ske i många former och med olika metoder. En speciell form är verksamheten med hälsooch sjukvårdens kvalitetsregister (prop. 2007/08:126 s. 228). I förarbetena till bestämmelsen anges att användning av modern informationsteknik avsevärt förbättrat möjligheterna att arbeta med kvalitetssäkring. I huvudsak rör det sig om att personuppgifter som samlats in och behandlas för det primära ändamålet vårddokumentation, men det förekommer också behandling av personuppgifter för det primära ändamålet kvalitetssäkring. Ibland är denna uppgiftsinsamling integrerad med det individinriktade arbetet. Det kan därför vara svårt att i praktiken avgöra vad som är det övergripande syftet med en viss behandling av personuppgifter (prop. 2007/08:126 s. 57 f.).
237Dataskydd
Övergripande planering, uppföljning med mera (2 kap. 4 § 5 PDL)
Med punkten 5 avses administration och planering på ett mer övergripande plan än vad som avses med den patientadministration som omfattas av ändamålet vårddokumentation (punkterna 1 och 2). Punkten 5 gör det möjligt för hälso- och sjukvården att bedriva verksamhetsuppföljning med individuppgifter. Med utvärdering avses analys och värdering av kvalitet, effektivitet och resultat av en verksamhet i förhållande till de mål som bestämts för denna. Personuppgiftsbehandling får också förekomma för att vårdgivaren ska kunna bedriva tillsyn av sin verksamhet (prop. 2007/08:126 s. 228 f.).
Statistik (2 kap. 4 § 6 PDL)
Enligt punkten 6 får personuppgifter behandlas för statistikändamål. Med detta menas inte så kallad verksamhetsstatistik, som ryms inom ändamålet i punkten 5, utan annan statistik. Exempel är sådan statistik som regionerna tar fram för att informera befolkningen om hälsooch sjukvårdsverksamheten. Det är tillåtet att samköra personuppgifter i olika register eller datasystem inom hälso- och sjukvården, om samkörningen sker för något eller några av de ändamål som anges i paragrafen. Detsamma gäller om samkörningen sker för ändamål som inte är oförenliga med dessa ändamål.
Antalsberäkning inför klinisk forskning (2 kap. 4 § 7 PDL)
Ändamålsbestämningen ger stöd för alla vårdgivare, såväl offentliga som privata, att behandla personuppgifter för antalsberäkning inför klinisk forskning. Oavsett om antalsberäkningarna görs av en person eller via en automatiserad aktivitet, ligger ansvaret för att personuppgiftsbehandlingen görs på ett korrekt sätt på den personuppgiftsansvariga vårdgivaren eller personuppgiftsansvarig myndighet för ett regionalt eller nationellt kvalitetsregister (prop. 2022/23:31 s. 11). Personuppgiftsbehandlingen utförs av anställd personal hos vårdgivaren eller hos den myndighet som ansvarar för kvalitetsregister. I första hand bör det vara fråga om sökningar i patientjournaler och lokala, regionala eller nationella kvalitetsregister, även om det är möj-
238Dataskydd
ligt att en vårdgivare har ytterligare databaser där relevant information finns. Även dessa databaser omfattas då av ändamålsbestämningen. Den information som redovisas till forskare som står bakom förfrågan består av ett sökresultat i form av ett exakt antal personer som uppfyller kriterierna eller som ett intervall. 7
7.5.5 Inre sekretess och behörighetsregler
I förarbetena till PDL uppgavs att förtroendet för integritetsskyddet i informationshanteringen inom vården inte bara hade relevans när det gäller den yttre sekretessen gentemot utomstående och vid överföring av personuppgifter mellan vårdgivare, utan även inom en verksamhet måste det finnas ett integritetsskydd avseende hanteringen av uppgifter om enskilda, den så kallade inre sekretessen. Vidare uppgavs att i PDL avsågs med inre sekretess ett begrepp som inrymde ett flertal frågeställningar om hur känsliga uppgifter om enskildas hälsa och andra personliga förhållanden bör handhas inom en verksamhet för att motverka risker för obefogade intrång i den personliga integriteten (prop. 2007/08:126 s. 141). Bestämmelsen i 4 kap. 1 § PDL innebär att den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Vidare är den inre sekretessen i 4 kap. 1 § PDL tillämplig på alla dokumenterade personuppgifter om en patient och gäller för såväl manuellt som elektroniskt dokumenterade uppgifter, för uppgifter i till exempel patientjournalen, annan vårddokumentation och kvalitetsregister. Vilka praktiska åtgärder som avses med att ”delta i vården” eller hur ordet behov ska tolkas (”behöver för sitt arbete”) i enlighet med bestämmelsen utvecklas inte nämnvärt i PDL:s förarbeten. I samband med hänvisning till vissa äldre förarbeten och föreskrifter från Socialstyrelsen anges dock att det endast är en begränsad del av personalen vid en klinik som har behov av tillgång till journaler, och att det är den personal som arbetar på en enhet som är engagerad i vården som har rätt att ta del av journalen (prop. 2007/08:126 s. 142).
7 Nymark, M., Patientdatalagen en kommentar, version 2, (JUNO 2023), under rubriken Antalsberäkning för forskning.
239Dataskydd
Vidare anförs att för den arbetstagare som bryter mot bestämmelserna om inre sekretess kan få disciplinpåföljd i enlighet med PSL aktualiseras (prop. 2007/08:126 s. 148). Den som arbetar hos en vårdgivare får även ta del av dokumenterade uppgifter om en patient om hen av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Detta kan exempelvis avse administration, uppföljning eller kvalitetsutveckling (prop. 2007/08:126 s. 142).
Särskilt om behörighetsregler
Genom att en användare endast får tillgång till sådana personuppgifter som hen har behov av i sitt arbete, kan risken för otillåten behandling av personuppgifter förbyggas eller åtminstone minskas. Vidare har regeringen anfört, i samband med dataskyddsförordningens ikraftträdande på Socialdepartementets område, att styrning av tilldelning och begränsning av behörigheter utgör sådana tekniska och organisatoriska åtgärder som en personuppgiftsansvarig ska vidta på eget initiativ enligt dataskyddsförordningen (prop. 2017/18:171, s. 138). Som anförts ovan ansågs det vid införandet av PDL särskilt viktigt för den inre sekretessen att det fanns en särskild regel som klargjorde att en befattningshavare hos en vårdgivare endast var behörig att ta del av uppgifter om en patient som den deltog i vården av eller annars behövde för sitt arbete inom hälso- och sjukvården (prop. 2007/08:126 s. 148). Av 4 kap. 2 § PDL framgår att det är den verksamhetsansvariga vårdgivaren som ska tilldela behörighet för elektronisk åtkomst åt sin personal. Av ansvaret anses även bland annat följa att behörigheter ska följas upp och förändras eller inskränkas efter hand som ändringar i en enskild befattningshavarens arbetsuppgifter ger anledning till det (prop. 2007/08:126 s. 148). Likaså anfördes det i förarbetena att sådana beslut om behörighet skulle fattas efter en analys av både behov och risker med den tilltänkta behörigheten, och avgörande för beslutet borde vara att behörigheten skulle begränsas till vad befattningshavaren behövde för ändamålet en god och säker vård. En vidare eller mer grovmaskig behörighetstilldelning skulle enligt regeringen, även om den medförde effektivitetsvinster, anses som en spridning av journaluppgifter inom
240Dataskydd
en verksamhet och borde därför inte accepteras (prop. 2007/08:126 s. 148 f.). Vårdgivare har vidare enligt 4 kap. 3 § PDL en skyldighet att se till att elektronisk åtkomst dokumenteras och kan kontrolleras. Av samma bestämmelse framgår att vårdgivare ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt uppgifter om patienter. I Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF- FS 2016:40) finns ytterligare bestämmelser om tilldelning av behörigheter och kontroll av elektronisk åtkomst. Utifrån att i princip all dokumentation om patienter i dag lagras digitalt hos vårdgivare, är det genom elektronisk åtkomst som personal normalt sett tar del av hälsodata om patienter. Rent praktiskt innebär elektronisk åtkomst att personalen tilldelas behörighet i vårdgivarens informationssystem och genom personlig inloggning kan ta del av patientuppgifter i systemen.
7.5.6 Olika former för elektroniska utlämnanden
Den stora mängd personuppgifter som hanteras inom hälso- och sjukvården kan lämnas ut på flera olika sätt. Till stor del lagras och hanteras dessa uppgifter digitalt. I PDL har man valt att skilja mellan den interna åtkomsten, den elektroniska åtkomsten (se ovan avsnitt 7.5.5) och den åtkomst som följer av att man lämnar ut, eller tillgängliggör, uppgifter utanför den egna organisationen. Utlämnanden sker ofta i elektronisk form, exempelvis via mejl, lagring på USB-minne, direktöverföring från ett datorsystem till ett annat eller att en mottagare får elektronisk tillgång till den utlämnande aktörens it-system. Nedan redogörs närmare för när uppgifter lämnas ut via direktåtkomst eller annat elektroniskt utlämnande.
Direktåtkomst
Enligt förarbetena till PDL är direktåtkomst en viss form av elektroniskt utlämnande till en extern mottagare. Den som är ansvarig för informationen har inte kontroll över vilka uppgifter som en mottagare vid ett visst tillfälle tar del av (automatiserad tillgång) och mot-
241Dataskydd
tagaren av informationen kan inte påverka innehållet i det informationssystem som informationen lämnas ut från (prop. 2007/08:126 s. 74). Ett annat sätt att uttrycka det är att den som behöver ta del av informationen kan bereda sig åtkomst på eget initiativ. Personuppgifterna finns potentiellt tillgängliga för den som önskar ta del dem, utan att den som gjort uppgifterna tillgängliga behöver fatta något formellt beslut om utlämnande i det enskilda fallet. Vid direktåtkomst anses nämligen de uppgifter som omfattas av åtkomsten och finns potentiellt tillgängliga för andra, vara utlämnande i TF:s mening, redan genom att åtkomst medges (prop. 2007/08:126 s. 120–122). Synsättet avviker från ett traditionellt utlämnande av allmänna handlingar som förutsätter att en sekretessprövning görs i varje enskilt fall, innan uppgifterna kan lämnas ut. Bestämmelser som medger direktåtkomst har inte i sig sekretessbrytande effekt utan de måste kombineras med särskilda sekretessbrytande regler om direktåtkomsten ska omfatta sådana uppgifter som det kan gälla sekretess för. Det finns också en särskild regel om överföring av sekretess i OSL vid myndigheters direktåtkomst till andra myndigheters upptagningar för automatiserad behandling (se 11 kap. 4 § OSL). Direktåtkomst inom hälso- och sjukvården anses vara en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter (prop. 2007/08:126 s. 76). Det har därför angetts i PDL att utlämnanden genom direktåtkomst bara får ske i den utsträckning som medges i lag eller förordning (5 kap. 4 § PDL).
Annat elektroniskt utlämnande
Utlämnande på medium för automatiserad behandling innebär enligt förarbetena till PDL ett elektroniskt utlämnande utan möjlighet för mottagaren att själv bereda sig tillgång till uppgifterna. De exempel på utlämnande på medium för automatiserad behandling som tas upp i förarbetena är exempelvis genom användning av mejl, utlämnande på cd-rom eller genom filöverföring från ett datorsystem till ett annat. Vid denna typ av utlämnande fattas ett beslut i varje enskilt fall om uppgifterna kan lämnas ut eller om de omfattas av sekretess (prop. 2007/08:126 s. 77).
242Dataskydd
Som regel lämnas informationen ut i en form som medför att mottagaren kan bearbeta den. Bearbetningsmöjligheterna är dock inte avgörande för om det är fråga om ett utlämnande på automatiserat medium eller inte (prop. 2007/08:126 s. 77). Gränsdragningen mellan direktåtkomst och utlämnande på medium för automatiserad behandling har belysts av Högsta förvaltningsdomstolen i den så kallade LEFI Online-domen (HFD 2015 ref. 61). Försäkringskassan hade gett handläggare hos socialnämnder tillgång till uppgifter ur Försäkringskassans databas LEFI Online. Informationsutbytet skedde genom en fråga-svar-funktion. Frågan i målet var om socialnämndernas åtkomst till uppgifterna var att anse som direktåtkomst i socialförsäkringsbalkens mening – vilket i sådana fall ställde krav på vissa begränsningar när det gällde vilka uppgifter handläggarna fick ta del av – eller om det i stället var fråga om utlämnande på medium för automatiserad behandling. Högsta förvaltningsdomstolen tog utgångspunkt i TF:s bestämmelser om allmänna handlingar. Av den tidigare lydelsen av 2 kap. 3 § andra stycket TF (nuvarande 2 kap. 6 § första stycket TF) framgår att en upptagning anses förvarad hos myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller uppfattas på annat sätt. De allmänna handlingar hos en myndighet som en annan myndighet får tillgång till, genom direktåtkomst, utgör, som redogjorts för ovan, allmänna handlingar även hos denna myndighet (prop. 2002/03:135 s. 90). Domstolen ansåg att den avgränsning som på detta sätt görs av begreppet direktåtkomst enligt TF även kunde användas för att bestämma innehållet i begreppet direktåtkomst i socialförsäkringsbalkens mening (2010:110). Det avgörande blev alltså om upptagningen kunde anses förvarad hos socialnämnderna i tryckfrihetsförordningens mening. I den delen gjorde Högsta förvaltningsdomstolen följande uttalande. Socialnämnderna kan inte på egen hand söka information i socialförsäkringsdatabasen, utan ett utlämnande genom LEFI Online förutsätter att Försäkringskassan reagerar på en begäran om att de efterfrågade uppgifterna ska lämnas ut. Försäkringskassan får därigenom anses förfoga över frågan om och i så fall vilka uppgifter som ska lämnas ut. Någon sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket tryckfrihetsförordningen kan socialnämnderna således inte anses ha. Detta innebär att förfarandet inte är att betrakta som direktåtkomst enligt socialförsäkringsbalken.
243Dataskydd
Uttalandet från HFD skulle därför kunna ge stöd för den slutsats som regeringen gjort i PDL:s förarbeten, att tillgängliggörande av uppgifter som inte sker i form av en direktåtkomst utgör ett annat elektroniskt 8 utlämnande.
7.5.7 Kort om kvalitetsregister
I 7 kap. PDL finns bestämmelser som bara gäller för nationella och regionala kvalitetsregister. Med kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Kvalitetsregistren ska möjliggöra jämförelse inom hälso- och sjukvården på nationell eller regional nivå (7 kap. 1 § PDL). Registren är främst inriktade på medicinska specialiteter och har oftast byggts upp genom frivilliga initiativ av specialistföreningar för att användas som stöd för kvalitetsutveckling i det kliniska arbetet. All inrapporteringen sker till följd av ett frivilligt åtagande från vårdgivarnas sida (prop. 2007/08:126 s. 176). Kvalitetsregistren möjliggör jämförelser inom hälso- och sjukvården på både nationell och regional nivå och sjunde kapitlet PDL ger på så sätt stöd för en särskild form av verksamhetsuppföljning över vårdgivargränser (SOU 2014:23 s. 103). Personuppgifter i nationella och regionala kvalitetsregister får primärt behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet (7 kap. 4 § PDL). Som huvudregel får kvalitetsregister därmed endast innehålla sådana personuppgifter som behövs för de ändamål för vilket det enskilda kvalitetsregistret verkar, exempelvis att säkra och utveckla kvaliteten i vården av en viss diagnos, till exempel diabetes, eller för en viss åtgärd, till exempel höftoperationer. Personuppgiftsansvaret för behandling i nationella kvalitetsregister kan delas in i två nivåer. För den ena, där personuppgiftsbehandling som vårdgivare utför när de samlar in och registrerar uppgifter till ett nationellt kvalitetsregister, ansvarar respektive vårdgivare enligt den allmänna principen i 2 kap. 6 § första stycket PDL. För den andra nivån, som gäller ansvaret för att föra kvalitetsregistret, anges att endast myndigheter inom hälso- och sjukvården får vara personuppgifts-
8 Se även här den analys utredningen för SVOD gjort med anledning av dessa förarbetsuttalanden och HFD 2015 ref. 61, SOU 2021:4 s. 157 f. och s. 240–247.
244Dataskydd
ansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister (7 kap. 7 § PDL). För att få registrera uppgifter i ett nationellt kvalitetsregister om en viss patient krävs att patienten inte motsatt sig det (7 kap. 2 § PDL). Det är alltså fråga om en så kallad opt-out (jämför även 2 kap. 2 § och 2 kap. 3 § SVOD). För personer som har permanent nedsatt beslutsförmåga får personuppgifter behandlas i ett kvalitetsregister om hens inställning till sådan personuppgiftsbehandling så långt som möjligt klarlagts, och det inte finns anledning att anta att hen skulle ha motsatt sig personuppgiftsbehandlingen (7 kap. 2 a § PDL). Innan uppgifterna registreras är den personuppgiftsansvarige skyldig att lämna patienten utförlig information om den hantering av personuppgifter som gäller för det aktuella kvalitetsregistret (7 kap. 3 § och 8 kap. 6 § PDL).
7.5.8 Den enskildes inställning i förhållande till behandling
av personuppgifter inom hälso- och sjukvården
Utgångspunkten enligt PDL är att behandling av personuppgifter som är tillåten enligt lagen får utföras även om den enskilde motsätter sig den (2 kap. 3 § PDL). I och med införandet av denna bestämmelse i PDL anfördes att skälen för detta, utifrån den dåvarande personuppgiftslagens bestämmelser var att kraven på uttrycklighet gjorde det olämpligt att ha samtycke som en förutsättning för att få behandla personuppgifter inom vården. Där till kom att flera av de personuppgiftsbehandlingar på området föranleddes av rättsliga förpliktelser, som journalföringsplikten, eller andra uppgifter av allmänt intresse som inte förutsatte ett samtycke för att vara förenligt med personuppgiftslagen (prop. 2007/08:126 s. 64 f.) Regeringen ansåg det ändå skäligt att det i vissa situationer skulle finnas ett utrymme för att patientens inställning till behandlingen tillmättes betydelse när det gäller de olika formerna för elektronisk åtkomst (prop. 2007/08:126 s. 151). Det rör sig dels om möjligheten för en patient att spärra vissa uppgifter i vårdsyfte enligt 4 kap. 4 § PDL, dels om möjligheten att motsätta sig behandling för att förhindra tillgängliggörande eller åtkomst enligt bestämmelserna i SVOD, se mer nedan. Att patienten kan spärra vissa uppgifter från att kunna nås via elektronisk åtkomst inom en vårdgivare, styr inte när olika sjukhus eller
245Dataskydd
kliniker får ta del av uppgifter inom en vårdgivare, utan bara sättet som det får göras på (prop. 2007/08:126 s. 151). Möjligheten att kunna spärra sina uppgifter för andra vårdenhet eller vårdprocesser ansågs vara en möjlighet för patienten att påverka och för regelverket att ligga i linje med kravet i HSL på att verksamheten ska bygga på respekt för patientens självbestämmande och integritet och så långt det är möjligt utföras och genomföras i samråd med patienten (prop. 2007/08:126:151).
7.5.9 Kort om journalföring
En patientjournal består av en eller flera handlingar om rör samma patient enligt PDL (se 1 kap. 3 § PDL). Det är alltså inte tillåtet att föra en patientjournal för flera patienter. Däremot kan en patientjournal vara splittrad på olika dokumentationsytor så länge vårdgivaren kan hålla den samman enligt krav i HSLF-FS 2016:40. Kopplat till reglerna om patientjournal, finns även begreppet journalhandling. Detta definieras i lagen som en framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder (1 kap. 3 § PDL). Såväl pappersbaserade som digitala handlingar omfattas av begreppet journalhandling. Exempel på journalhandlingar är löpande journalanteckningar, röntgenbilder, provsvar och remisser. Däremot omfattas typiskt sett inte livsstilsenkäter av journalföringsskyldigheten. En patients klagomål och dokumentation kring hanteringen av det hör inte heller hemma i patientjournalen utan i vårdgivarens avvikelsehanteringssystem.
Patientjournalen i elektronisk form
Redan när PDL trädde i kraft år 2008 konstaterades att en stor del av vårddokumentationen hanterades elektroniskt (prop. 2007/08:126, s. 33–34). Patientjournalen och annan patientadministration är i dag digital hos de allra flesta vårdgivare. I den mån journalhandlingar i pappersform skickas in till vårdgivaren, eller produceras av vårdgiva-
246Dataskydd
ren, skannas dessa normalt sett in i digitala journalarkivsystem och finns därefter tillgängliga i digital form. Journalhandlingar kan också förekomma som exempelvis film eller i form av en chatt med en patient. De olika medium som journalinformation förekommer på har olika förutsättningar för till exempel bevarande. För lagring och bevarande av journalhandlingar har vårdgivare typiskt sett olika digitala journalsystem och andra it-stöd. Vanligtvis finns ett huvudjournalsystem som används brett inom vårdgivaren. Utöver huvudjournalsystemet finns ofta flera andra dokumentationssystem, exempelvis för läkemedelshantering, operationsplanering, mödrahälsovård och akutsjukvård. Skiljt från journalföringssystem finns system för patientadministration för bland annat kallelser och betalning. Vilka system som används kan, i alla fall delvis, vara samma inom vissa vårdgivare (till exempel inom en region), men skiljer sig också mycket åt både inom och mellan vårdgivare. Antalet IT-system inom svensk hälso- och sjukvård är relativt stort. 9
7.6 Lag om sammanhållen vård-
och omsorgsdokumentation
7.6.1 Inledning
Den 15 juni 2022 antog riksdagen SVOD. Lagen trädde i kraft den 1 januari 2023. I och med den nya lagen finns nu regler om informationsöverföring mellan vårdgivare samt mellan vårdgivare och omsorgsgivare samlade i en lag. För personuppgiftsansvariga vårdgivare inom hälso- och sjukvården har direktåtkomst mellan dem varit möjlig sedan tidigare med stöd av reglerna om sammanhållen journalföring (tidigare 6 kap. PDL). I och med den aktuella lagändringen, flyttades bestämmelserna i sjätte kapitlet PDL över till den nya lagen. Detta motiverades bland annat med att det av flera skäl förelåg ett stort behov av informationsutbyte inom den individinriktade omsorgsverksamheten för äldre och personer med funktionsnedsättningar vilket också påpekats av flertal tidigare utredningar (se bland annat prop. 2021/22:177 s. 39–41 och s. 55. Se även SOU 2021:4 s. 210).
9 SOU 2014:23, s. 108.
247Dataskydd
Informationsutbytet enligt den nya lagen genomförs genom ett system där de olika vårdgivarna och omsorgsgivarna kan välja att ge åtkomst till sina journalhandlingar genom direktåtkomst eller annat elektroniskt utlämnande, samt välja om de vill ta del av journaler från andra genom direktåtkomst eller annat elektroniskt utlämnande (prop. 2021/22:177 s. 46). Att tillgängliggöra eller bereda sig åtkomst till uppgifterna är endast tillåtet när vissa särskilda förutsättningar i lagen är uppfyllda (2 kap. 2–6 §§ och 3 kap. 1–2 §§ SVOD). Systemet med sammanhållen vård- och omsorgsdokumentation är ett frivilligt åtagande, det föreligger således ingen skyldighet för vårdgivare eller omsorgsgivare att bygga upp ett sådant system (prop. 2021/22:177 s. 44). De vårdgivare och omsorggivare som ingår i systemet fullgör sin respektive dokumentationsskyldighet i sina egna dokumentationssystem. Nedanstående utgör inte en komplett redogörelse för den nya lagen utan fokuserar på de förutsättningar som gäller för att ett tillgängliggörande ska vara möjligt, formerna för tillgängliggörande, de skyddsbestämmelser som antagits samt tillhörande överväganden.
7.6.2 Kort om förutsättningarna för tillgängliggörande
och åtkomst
Enligt 2 kap. 1–2 §§ SVOD ska följande förutsättningar vara uppfyllda för att en vårdgivare eller omsorgsgivare ska få tillgängliggöra information. För det första behöver den information som ska tillgängliggöras endast vara uppgifter som behövs för att föra patientjournal och upprätta annan dokumentation som behövs för vården av patienten eller för att sköta administration som rör patienter och som syftar till att bereda vård i enskilda fallet eller som annars föranleds av vård i enskilda fall (2 kap. 1 § stycke 2 SVOD). För det andra måste vårdgivaren i enlighet med 2 kap. 2 § ha gett patienten information om:
248Dataskydd
1. Vad sammanhållen vård- och omsorgsdokumentation innebär. 2. Möjligheten att motsätta sig att uppgifter görs tillgängliga för andra vårdgivare eller omsorgsgivare genom sådan dokumentation. 3. Patienten ska också informeras om att uppgiften om att det finns spärrade uppgifter om patienten och vilken vårdgivare som har spärrat uppgifterna ska göras tillgängliga för andra vårdgivare. 4. Därtill att vid fara för patientens liv eller när det annars finns allvarlig risk för dennes hälsa får en annan vårdgivare ta del av uppgift om vilken vårdgivare som har spärrat uppgifterna.
Det behövs inget aktivt samtycke från patienten, utan det är tillräckligt att patienten fått informationen som tillämplig lag kräver och att hen därefter inte motsatt sig att uppgifterna görs tillgängliga. Enligt förarbeten är det upp till vårdgivaren att avgöra på vilket sätt patienten ska informeras. Såväl muntlig information som skriftlig information fullgör kraven. Exempelvis skulle informationen kunna framgå på en affisch i receptionen (prop. 2021/22:177 s. 90). Om patienten motsätter sig får uppgifterna om patienten inte göras tillgängliga för andra vårdgivare eller omsorgsgivare. Uppgifterna ska i dessa fall genast spärras av vårdgivaren eller omsorgsgivaren (2 kap. 3 § SVOD). När en vårdgivare eller omsorgsgivare som är ansluten till system för sammanhållen vård- och omsorgsdokumentation vill ta del av uppgifter om en patient som en annan vårdgivare tillgängliggjort i systemet och därmed behandla dessa uppställs vissa krav. Uppgifterna ska röra en patient som det finns en aktuell patientrelation med, patienten ska samtycka till personuppgiftsbehandlingen och för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten, utföra insatser enligt lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter eller bedöma behovet av sådana insatser det vill säga informationen ska antas vara av relevans för vården av den aktuella patienten (se 3 kap. 1 § 1–3 punkten SVOD). Uppgifter får också behandlas vid utfärdande av ett sådant intyg som avses i 3 kap. 16 § PDL förutsatt att vårdrelation finns och patienten ger sitt samtycke till behandlingen. När en vårdgivare eller omsorgsgivare som är ansluten till system för sammanhållen vård- och omsorgsdokumentation vill ta del av uppgifter om en patient som en annan vårdgivare tillgängliggjort i systemet och därmed behandla dessa, uppställs vissa krav. Uppgif-
249Dataskydd
terna ska röra en patient som det finns en aktuell patientrelation med, patienten ska samtycka till personuppgiftsbehandlingen och för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten, utföra insatser enligt lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter eller bedöma behovet av sådana insatser. Informationen ska således antas vara av relevans för vården av den aktuella patienten (se 3 kap. 1 § 1–3 SVOD). Uppgifter får också behandlas vid utfärdande av ett sådant intyg som avses i 3 kap. 16 § PDL förutsatt att vårdrelation finns och patienten ger sitt samtycke till behandlingen.
7.6.3 Kort om säkerhetsåtgärderna och andra
integritetsstärkande åtgärder
Enligt 3 kap. 7 § SVOD är lagens reglering uttömmande och uppgifter om en patient eller omsorgstagare får således inte behandlas under andra förutsättningar än de som finns i lagen, även om den har samtyckt till det. I förarbetena till bestämmelsen uppgavs anledningen för ett sådant förbud vara fördelar för förtroendet för ett system med sammanhållen vård- och omsorgsdokumentation, om uppgifterna enbart behandlas för de syften och ändamål som patienten och omsorgsmottagaren kan förutse och kontrollera (prop. 2021/22:177 s. 129). I 4 kap. 3 § regleras åtkomsten till de uppgifter som gjorts tillgängliga genom system för sammanhållen vård- och omsorgsdokumentation. För hälso- och sjukvårdens del hänvisas det till 4 kap. 2 § PDL. Detta medför att PDL:s bestämmelser om tilldelning av behörighet även ska gälla för åtkomst hos en personuppgiftsansvarig till de uppgifter som den har åtkomst till inom ramen för ett system med sammanhållen vård- och omsorgsdokumentation (prop. 2021/22:177 s. 141–143). I 4 kap. 4 § SVOD återfinns kraven på loggkontroll, och även här hänvisas det för hälso- och sjukvårdens del till PDL.
250Dataskydd
7.7 Regler om dataskydd inom forskning
7.7.1 Inledning
Vid behandling av personuppgifter inom forskning gäller dataskyddsförordningen. Det finns således ingen nationell lag som reglerar personuppgiftsbehandling på forskningsområdet i allmänhet. I stället regleras frågor som exempelvis personuppgiftsansvar och lämplig säkerhet i dataskyddsförordningen samt av olika registerförfattningar för vissa specifika behandlingssituationer som anknyter till forskningsverksamhet på olika sätt. Med anledning av dataskyddsförordningens ikraftträdande gjordes vissa anpassningar i svensk rätt som syftade till att möjliggöra en fortsatt behandling av personuppgifter för forskningsändamål som är ändamålsenlig samtidigt som den enskildes fri- och rättigheter skyddas (se prop. 2017/18:298). Så gjordes exempelvis i lagen (2003:460) om etikprövning av forskning som avser människor, förkortad EPL, samt i dataskyddslagen. Nedan följer ett urval av de regler som enligt utredningen är av särskild vikt för att förstå hur dataskyddet på forskningens område ser ut.
7.7.2 Termen forskningsändamål
I dataskyddsförordningen används termen vetenskapliga eller historiska forskningsändamål. I vissa fall används bara termen forskningsändamål (prop. 2017/18:298 s. 29). I skäl 159 till dataskyddsförordningen anges att behandling av personuppgifter för vetenskapliga forskningsändamål i förordningen bör ges en vid tolkning och omfatta till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. I samma skäl anges också att all reglering av vetenskaplig forskning ska ta hänsyn till unionens målsättning att uppnå ett europeiskt forskningsområde. Denna målsättning har formulerats i artikel 179.1 i fördraget om Europeiska unionens funktionssätt. Termen vetenskapliga eller historiska forskningsändamål anses därför ha en EU-rättslig innebörd som alltså inte kan definieras enbart utifrån nationell rätt eller praxis.
251Dataskydd
7.7.3 Ändamålsbegränsning och forskningsundantaget
Precis som för annan personuppgiftsbehandling måste samtliga av dataskyddsförordningens grundläggande principer i artikel 5 följas även vid behandling av personuppgifter för forskningsändamål. Av artikel 5.1 b framgår att ytterligare behandling för vetenskapliga eller historiska forskningsändamål inte ska anses oförenlig med de ursprungliga ändamålen. Skrivningen, det så kallade forskningsundantaget, innebär alltså att ytterligare behandling för forskningsändamål är särskilt gynnad (se avsnitt 7.2.3–7.2.4.)
7.7.4 Rättslig grund
De rättsliga grunder som kan vara relevanta när det gäller behandling av personuppgifter för forskningsändamål är främst samtycke (artikel 6.1 a), allmänt intresse (artikel 6.1 e) och intresseavvägning (artikel 6.1 f). I vissa fall kan också den rättsliga grunden rättslig förpliktelse (artikel 6.1 c) vara aktuell (prop. 2017/18:298 s. 29). I sammanhanget kan också nämnas att regeringen i förarbeten har uttalat att om ett forskningsprojekt har godkänts enligt EPL har forskningen erkänts i svensk rättsordning på ett sådant sätt att utförande av forskningsuppgiften är en i svensk rätt fastställd uppgift av allmänt intresse (prop. 2017/18:298 s. 87–89).
Rättslig grund för offentliga aktörer som bedriver forskning
Möjligheten att använda samtycke som rättslig grund är begränsad och aktualiseras främst inom områden som inte är offentligrättsligt reglerade (prop. 2017/18:298 s. 32). När den personuppgiftsansvarige är en offentligrättslig forskningsutförare måste beaktas om det föreligger en sådan ojämlik situation att det inte kan sägas att inhämtade samtycken lämnas frivilligt (prop. 2017/18:298 s. 39). Det föreligger dock inte alltid ett hinder för offentliga forskningsutförare att använda samtycke som rättslig grund (se prop. 2017/18:298 s. 41). Den rättsliga grunden intresseavvägning gäller inte för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter (artikel 6.1 andra stycket dataskyddsförordningen). För offentliga aktörer som bedriver
252Dataskydd
forskning är det därför framför allt allmänt intresse som aktualiseras som rättslig grund. Enligt artikel 6.1 e får en personuppgift behandlas om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse. Grunden för behandlingen ska enligt artikel 6.3 fastställas i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Regeringen har i förarbeten uttalat att presumtionen bör vara att uppgiften att forska är en uppgift av allmänt intresse i dataskyddsförordningens mening (prop. 2017/18:298 s. 33). För kommunala myndigheter följer obligatoriska uppgifter av åligganden som fastställs i lag eller förordning. Även sådana frivilliga åtaganden som en kommun gör inom ramen för sin allmänna befogenhet ska framgå av gällande rätt, nämligen av det reglemente som fullmäktige utfärdar för den ansvariga nämnden (prop. 2017/18:298 s. 35). I förarbeten har gjorts bedömningen att 18 kap. 2 § HSL, som bland annat anger att regioner ska medverka vid finansiering, planering och genomförande av dels kliniskt forskningsarbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete, uppfyller dataskyddsförordningens krav på att reglering ska vara fastställd i nationell rätt. Vidare har uttalats att forskning i övrigt hör till området där regioner och kommuner kan göra frivilliga åtaganden inom ramen för sin befogenhet (prop. 2017/18:298 s. 49). För den rättsliga grunden allmänt intresse finns som nämnts ovan under 7.3 ett nödvändighetsrekvisit. Vid forskning innebär nödvändighetsrekvisitet att personuppgiftsbehandlingen måste vara nödvändig för att forskningen ska kunna utföras, men utifrån en rimlighetsbedömning av vilka alternativa sätt att utföra forskningsuppgiften som är möjliga. I forskningssammanhang bör den rimlighetsbedömningen även kunna omfatta bedömningen av huruvida användandet av personuppgifter kan medföra högre kvalitet och tillförlitlighet i forskningsresultatet (prop. 2017/18:298 s. 38).
7.7.5 Behandling av känsliga personuppgifter
och särskilda skyddsåtgärder
I dataskyddsförordningen finns ett förbud mot behandling av känsliga personuppgifter (artikel 9.1). Förbudet kompletteras av en rad undantag som möjliggör behandling av känsliga personuppgifter i vissa fall. Förutom undantag på grund av att det finns ett uttryckligt samtycke
253Dataskydd
finns även i artikel 9.2. j ett undantag för forskningsändamål. I artikeln anges att förbudet inte gäller om behandlingen är nödvändig för bland annat forskningsändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Särskilt om skyddsåtgärder vid behandling av personuppgifter
för forskningsändamål
I artikel 89.1 dataskyddsförordningen anges att behandling för bland annat vetenskapliga eller historiska forskningsändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med dataskyddsförordningen för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas (se ovan under avsnitt 7.2.2). En förutsättning för att få behandla känsliga personuppgifter med stöd av undantaget i artikel 9. 2 j, är att det i enlighet med artikel 89.1, jämte vissa andra villkor, i nationell rätt finns sådana bestämmelser om särskilda och lämpliga skyddsåtgärder. Vidare anges i skäl 156 att medlemsstaterna bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för forskningsändamål. I svensk rätt är etikprövning enligt EPL en skyddsåtgärd vid behandling av känsliga personuppgifter. Forskning på känsliga personuppgifter som sker i enlighet med svensk rätt, kan därmed göras utan samtycke från den registrerade om utförandet sker med stöd av undantaget i artikel 9.2 j och att den nationella rätten uppfyller de angivna villkoren däri. Även etisk granskning enligt lagen (2018:1091) med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel anses utgöra en skyddsåtgärd (prop. 2017/18:298 s. 91–95).
254Dataskydd
7.7.6 Undantag från vissa rättigheter
I dataskyddsförordningen och i svensk rätt framgår vissa undantag när det gäller den registrerades rättigheter som har relevans när uppgifter behandlas för forskningsändamål. Vilken information som ska lämnas till den registrerade när personuppgifter inte har inhämtats direkt från den registrerade regleras i artikel 14 dataskyddsförordningen. Enligt artikel 14.5 b ska bestämmelserna i artikeln inte tillämpas i den mån tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för bland annat forskningsändamål i enlighet med artikel 89.1, eller i den mån skyldigheten att lämna information sannolikt kommer att göra det omöjligt eller avsevärt försvåra uppfyllandet av målen med den aktuella behandlingen. I sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, inbegripet att göra uppgifterna tillgängliga för allmänheten (jämför även 5 kap. 1 § dataskyddslagen och avsnitt 7.4 ovan). Rätten till radering som framgår av artikel 17 i dataskyddsförordningen ska inte gälla i den utsträckning som behandlingen är nödvändig för bland annat forskningsändamål enligt artikel 89.1, i den utsträckning som rätten sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med behandlingen (artikel 17.3 dataskyddsförordningen). Rätten att göra invändning mot behandling av personuppgifter gäller enligt artikel 21.1 om behandlingen grundar sig på artikel 6.1 e allmänt intresse eller 6.1 f intresseavvägning. Av artikel 21.6 framgår dock att om personuppgifter behandlas för bland annat forskningsändamål och den rättsliga grunden för forskningen är allmänt intresse saknar den registrerade rätt att invända. I dataskyddsförordningen finns även en bestämmelse som anger att den personuppgiftsansvarige inte ska behöva bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa förordningen (artikel 11.1). När personuppgifter behandlas för forskningsändamål är det inte ovanligt att det saknas direkt identifierande uppgifter, exempelvis när uppgifter kodats eller pseudonymiserats. Detta medför att den personuppgiftsansvarige i dessa fall saknar sådana uppgifter som gör det möjligt att exempelvis göra registerutdrag eller ens avgöra om uppgifter om en viss
255Dataskydd
person behandlas (prop. 2017/18:298 s. 104). Om den personuppgiftsansvarige i sådana situationer kan visa att denne inte kan identifiera den registrerade ska artiklarna 15–20 (vissa rättigheter för den registrerade) inte gälla, förutom när den registrerade tillhandahåller ytterligare information som gör identifieringen möjlig (artikel 11.2 dataskyddsförordningen). Av OSL framgår att en myndighet, dels på begäran av en enskild, ska lämna ut uppgifter ur en allmän handling (6 kap. 4 §), dels på begäran av en annan myndighet ska lämna ut uppgifter som myndigheten förfogar över (6 kap. 5 §), i båda fallen under förutsättning att uppgifterna inte är sekretessbelagda eller att ett utlämnande skulle hindra arbetes behöriga gång. I artikel 14.5 c dataskyddsförordningen anges ett undantag från informationsskyldigheten i den mån att erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga skyddsåtgärder för att skydda den registrerades berättigade intressen. I förarbeten har regeringen uttalat att regleringen i OSL innebär att ett erhållande eller utlämnande av uppgifter uttryckligen är föreskrivet i svensk rätt i enlighet med artikel 14.5 c dataskyddsförordningen och att artikel 14.1–4 (informationsskyldigheten) inte behöver tillämpas i dessa fall (prop. 2017/18:298 s. 105). Detta gäller oavsett för vilket ändamål uppgifterna lämnas ut och alltså även när uppgifter lämnas ut för forskningsändamål (prop. 2017/18:298 s. 112). I dessa fall är regler om sekretess och tystnadsplikt en lämplig skyddsåtgärd som uppfyller kraven i artikel 14.5 c dataskyddsförordningen (prop. 2017/ 18:298 s. 114). Det är också möjligt att i nationell rätt föreskriva undantag från vissa av den registrerades rättigheter (se artikel 89.2 i dataskyddsförordningen).
2578 Offentlighet, sekretess
och tystnadsplikt
8.1 Inledning
Enligt utredningens direktiv ingår det i utredningens uppdrag att analysera bland annat lagstiftning kring offentlighet och sekretess samt tystnadsplikt. Utredningen lämnar också författningsförslag avseende ändring av sekretessregler, se kapitel 17. Urvalet av de bestämmelser som beskrivs i detta kapitel har gjorts utifrån vad som bedömts relevant för utredningens uppdrag i förhållande till de avgränsningar som redogörs för i kapitel 2. I detta kapitel redogörs för rätten att ta del av allmänna handlingar enligt tryckfrihetsförordningen (1949:105), förkortad TF, samt av rätten att ta del av uppgifter enligt offentlighets- och sekretesslagen (2009:400), förkortad OSL. Här beskrivs även bestämmelser om sekretess i OSL. Kapitlet innehåller även en redogörelse för den tystnadsplikt som gäller för den enskilda hälso- och sjukvården, det vill säga privata vårdgivare, enligt patientsäkerhetslagen (2010:659), förkortad PSL. I kapitel 7 redogör utredningen för aktuella bestämmelser om dataskydd enligt bland annat Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad EU:s dataskyddsförordning eller dataskyddsförordningen, och patientdatalagen (2008:355), förkortad PDL som också ger skydd mot spridning av integritetskänsliga uppgifter.
258Offentlighet, sekretess och tystnadsplikt
8.2 Offentlighetsprincipen
Offentlighetsprincipen innebär att allmänheten ska ha insyn i statens och kommunernas 1 verksamhet. Principen kommer till uttryck på olika sätt, exempelvis genom yttrande- och meddelarfrihet för tjänste- 2 män. I första hand förknippas dock offentlighetsprincipen med grundsatsen om allmänna handlingars offentlighet. Denna grundsats kan ses som en del av informationsfriheten (prop. 1975/76:160 s. 23). Med informationsfrihet avses frihet att inhämta och ta emot upplysningar samt i övrigt ta del av andras yttranden (2 kap. 1 § första stycket 2 regeringsformen, förkortad RF).
8.2.1 Rätten att ta del av allmänna handlingar
Rätten att ta del av allmänna handlingar regleras i 2 kap. TF. Syftet med rätten att ta del av allmänna handlingar är bland annat att främja ett fritt meningsutbyte samt en fri och allsidig upplysning. Rätten att ta del av allmänna handlingar gäller också handlingar hos företag där kommuner eller regioner utövar ett rättsligt bestämmande inflytande (se 2 kap. 3 § första stycket OSL). Rätten gäller var och en, det vill säga alla (se 2 kap. 1 § TF). Den gäller även juridiska personer (se RÅ 2003 ref. 83). För andra än svenska medborgare och svenska juridiska personer kan rätten att ta del av allmänna handlingar begränsas genom lag (14 kap. 5 § TF). Någon sådan lag finns dock inte för närvarande. TF ger inte myndigheter någon rätt att ta del av allmänna handlingar från andra myndigheter. Däremot finns en särskild bestämmelse i OSL om skyldigheten för myndigheter att lämna uppgifter till varandra (se 6 kap. 5 § OSL). TF reglerar inte heller enskildas rätt att ta del av uppgifter i allmänna handlingar, utan även detta regleras i OSL. I avsnitt 8.3 (Offentlighets- och sekretesslagen) finns en närmare beskrivning av de aktuella bestämmelserna i OSL. Vidare framgår av artikel 86 i EU:s dataskyddsförordning att personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift
1 Med kommuner avses i detta sammanhang även regioner, det vill säga kommuner på regional nivå (jämför 1 kap. 7 § regeringsformen). 2 Se Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, avsnitt 1.1. Vad innebär offentlighetsprincipen? (Juno version 26).
259Offentlighet, sekretess och tystnadsplikt
av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med medlemsstatens nationella rätt.
8.2.2 Vad som är en allmän handling
Rätten att ta del av handlingar enligt 2 kap. 1 § TF är endast tillämplig på allmänna handlingar. Begreppet allmän handling är därför centralt för att bestämma offentlighetsprincipens omfattning och de rättigheter med mera som är kopplade till begreppet. Med handling avses en framställning i skrift eller bild samt en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt, nedan benämnd upptagning (2 kap. 3 § TF). Detta kan uttryckas som att en handling är ett föremål som innehåller information av något slag. 3 Alla handlingar som finns hos myndigheterna är inte allmänna. En handling är allmän om den förvaras hos myndigheten och enligt vissa angivna regler anses inkommen till eller upprättad hos en myndighet (2 kap. 4 § TF). En upptagning anses förvarad hos en myndighet, om den är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt (2 kap. 6 § första stycket TF). Det finns dock två undantag till denna huvudregel. Det första undantaget finns i 2 kap. 6 § andra stycket TF. Där anges att en sammanställning av uppgifter ur en upptagning för automatiserad behandling anses förvarad hos myndigheten endast om myndigheten kan göra sammanställningen tillgänglig med rutinbetonade åtgärder och inte annat följer av 7 §. Med rutinbetonade åtgärder avses en begränsad arbetsinsats som inte är förknippad med några nämnvärda kostnader. Bedömningen av om en åtgärd är rutinbetonad får göras med hänsyn till såväl den allmänna tekniska utvecklingen som den tekniska kompetensen och den tekniska utvecklingen på myndigheten i fråga (prop. 2001/02:70 s. 37). I HFD 2015 ref. 25 ansåg domstolen att en sammanställning av uppgifter ur en upptagning för automatiserad databehandling som krävde en arbetsinsats på fyra till sex timmar inte kunde anses tillgänglig med rutinbetonade åtgärder. Det andra undantaget finns i 2 kap. 7 § första
3 Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, avsnitt 2.2.1 Handlingsbegreppet (Juno version 26).
260Offentlighet, sekretess och tystnadsplikt
stycket TF. Där anges att en sammanställning enligt 6 § andra stycket inte anses förvarad hos myndigheten om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. En handling anses inkommen till en myndighet, när den har anlänt till myndigheten eller kommit behörig befattningshavare tillhanda. En upptagning anses i stället inkommen till myndigheten när någon annan har gjort den tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt (2 kap. 6 § första stycket och 2 kap. 9 § första stycket TF). Exempelvis anses en upptagning i form av en journalhandling som tillgängliggjorts i ett system för sammanhållen vård- och omsorgsdokumentation som inkommen hos övriga myndigheter som har tillgång till systemet, såvida upptagningen inte är spärrad. En handling anses ha upprättats hos en myndighet, när den har expedierats. I HFD 2011 ref. 52 ansågs handlingar som en myndighet fört in i en databas och som befattningshavare hos en annan myndighet kunde ta del av i läsbart skick som expedierade hos den förstnämnda myndigheten. En handling som inte har expedierats anses upprättad när det ärende som den hänför sig till har slutbehandlats hos myndigheten eller, om handlingen inte hänför sig till ett visst ärende, när den har justerats av myndigheten eller färdigställts på annat sätt (2 kap. 10 § första stycket TF). Har ett organ som ingår i eller är knutet till en myndighet lämnat över en handling till något annat organ inom samma myndighet, anses handlingen som inkommen eller upprättad därigenom endast om organen uppträder som självständiga i förhållande till varandra (2 kap. 11 § första stycket TF). Bestämmelsen har sin motsvarighet i 8 kap. 2 § OSL som gäller frågan om sekretess mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra, se avsnitt 8.3.1 (Allmänt om sekretess). I 2 kap. 13 § första stycket TF finns ett undantag från huvudregeln om vad som är en allmän handling. Där anges att en handling som förvaras hos en myndighet endast som ett led i en teknisk bearbetning eller teknisk lagring för någon annans räkning inte anses som allmän handling hos den myndigheten.
261Offentlighet, sekretess och tystnadsplikt
8.2.3 Begränsningar i rätten att ta del av allmänna handlingar
Rätten att ta del av allmänna handlingar gäller inte utan begränsningar. Av 2 kap. 2 § första stycket TF framgår att rätten får begränsas endast om det krävs med hänsyn till vissa ändamål, bland annat skyddet för enskildas personliga eller ekonomiska förhållanden. En begränsning av rätten att ta del av allmänna handlingar ska anges noga i en bestämmelse i en särskild lag eller, om det anses lämpligare i ett visst fall, i en annan lag som den särskilda lagen hänvisar till (2 kap. 2 § andra stycket TF). Med den särskilda lagen avses i dag OSL. Sekretessbestämmelser till skydd för uppgift om enskilds personliga eller ekonomiska förhållanden finns i lagens femte avdelning (21–40 kap. OSL).
8.2.4 Utlämnande av allmänna handlingar
2 kap. TF innehåller även bestämmelser om själva utlämnandet av allmänna handlingar. Begreppet utlämnande syftar på när mottagaren får ta del av en allmän handling. En begäran att få ta del av en allmän handling görs hos den myndighet som förvarar handlingen (2 kap. 17 § första stycket TF). Begäran prövas, som huvudregel, av den myndighet som anges i första stycket (2 kap. 17 § andra stycket TF). Den som begär ut en allmän handling som får lämnas ut ska få ta del av handlingen på stället på ett sådant sätt att den kan läsas, avlyssnas eller uppfattas på annat sätt. En handling kan också skrivas av, fotograferas eller spelas in. Kan en handling inte tillhandahållas utan att en sådan del av handlingen som inte får lämnas ut röjs, ska den i övriga delar göras tillgänglig för sökanden i avskrift eller kopia (2 kap. 15 första stycket TF). I 2 kap. 15 § andra stycket finns vissa undantag till bestämmelserna i första stycket. Den som önskar ta del av en allmän handling har även, med vissa undantag, rätt att mot en avgift få en avskrift eller kopia av handlingen till den del handlingen får lämnas ut (2 kap. 16 § första stycket TF).
8.3 Offentlighets- och sekretesslagen
OSL innehåller inte bara bestämmelser om sekretess utan innehåller även bestämmelser om myndigheters handläggning vid registrering, utlämnande och övrig hantering av allmänna handlingar (se 1 kap.
262Offentlighet, sekretess och tystnadsplikt
1 § första och andra stycket OSL). Bestämmelser om myndighetens hantering av allmänna handlingar finns bland annat i lagens sjätte kapitel som innehåller bestämmelser om utlämnade av allmänna handlingar och uppgifter (se 1 kap. 3 § OSL). Utöver skyldigheten att lämna ut allmänna handlingar som följer av TF, ska en myndighet på begäran av en enskild också lämna uppgift ur en allmän handling som förvaras hos myndigheten, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång (6 kap. 4 § OSL). Bestämmelsen innebär inte någon skyldighet att lämna ut uppgifter som inte finns i allmänna handlingar. Mellan myndigheter gäller att en myndighet på begäran av en annan myndighet ska lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång (6 kap. 5 § OSL). Denna bestämmelse kan ses som en precisering av den allmänna samverkansskyldigheten som gäller enligt 8 § FL. Skyldigheten att lämna information till andra myndigheter är mer vidsträckt än skyldigheten gentemot allmänheten. Enligt denna paragraf omfattar skyldigheten varje uppgift som myndigheten förfogar över, alltså inte 4 bara uppgifter ur allmänna handlingar.
8.3.1 Allmänt om sekretess
Inledande bestämmelser
OSL:s bestämmelser om sekretess innebär begränsningar i den rätt att ta del av allmänna handlingar som följer av TF (1 kap. 1 § andra stycket OSL). Med sekretess avses ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt (3 kap. 1 § OSL). Sekretess innebär således både handlingssekretess och tystnadsplikt. Gäller förbud mot att röja en uppgift, får uppgiften inte heller i övrigt utnyttjas utanför den verksamhet för vilken den är sekretessreglerad (7 kap. 1 § OSL). Det finns inte någon definition av ordet röja i OSL och det kan i vissa situationer vara svårt att avgöra om en uppgift kan anses röjd. Förbudet att röja eller utnyttja en uppgift gäller för myndigheter (2 kap. 1 § första stycket OSL). Ett sådant förbud gäller också för en
4 Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, kommentaren till 6 kap. 5 § OSL (Juno version 26).
263Offentlighet, sekretess och tystnadsplikt
person som fått kännedom om uppgiften genom att för det allmännas räkning delta i en myndighets verksamhet som exempelvis anställd eller uppdragstagare (se 2 kap. 1 § andra stycket OSL). Bestämmelserna gäller också för företag där kommuner eller regioner utövar ett rättsligt bestämmande inflytande (se 2 kap. 3 § första stycket OSL).
Vilka sekretessen gäller mot
Sekretessen gäller såväl mot enskilda, det vill säga fysiska eller juridiska personer, som mot andra myndigheter (se 8 kap. 1 § OSL). Nämnder inom en kommun eller region anses som egna myndigheter. Om en kommun eller en region har valt att dela upp hälso- och sjukvården på flera sektorer som organisatoriskt hör till olika nämnder är OSL:s regler om sekretess därmed tillämpliga vid uppgiftslämnande mellan de olika nämndernas vårdinrättningar. Samma sak gäller i förhållande till kommunala företags vårdinrättningar (se prop. 2007/08:126 s. 164). Som ”enskild” betraktas även privata företag, vilket innebär att sekretess även gäller gentemot till exempel en privat vårdgivare. Sekretessen gäller också mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra (8 kap. 2 § OSL). Det är inte alltid helt lätt att avgöra när det finns självständiga verksamhetsgrenar inom en myndighet. Av förarbetena till PDL framgår att all hälso- och sjukvård som lyder under samma nämnd inom en region eller en kommun utgör en och samma verksamhetsgren (prop. 2007/08:126 s. 163). Det innebär att någon sekretessprövning enligt OSL inte behöver göras när uppgifter överförs mellan olika vårdinrättningar, till exempel från ett sjukhus till en vårdcentral, så länge som dessa sorterar under samma nämnd. Forskning som bedrivs av en vårdgivande myndighet som ett led i vården och behandlingen av en patient anses ingå i myndighetens hälso- och sjukvårdsverksamhet. Annan forskning betraktas dock i regel som en självständig verksamhetsgren, vilket innebär att sekretess gäller inom myndigheten mellan sådan forskningsverksamhet och hälso- och sjukvårdsverksamheten. Med annan forskning avses dokumentation som enbart sker i forskningssyfte och som inte heller har någon betydelse för vården (se prop. 2007/08:126 s. 51 och s. 202). Det kan vara svårt att avgöra var gränsen mellan sådan forskning och annan forskning går.
264Offentlighet, sekretess och tystnadsplikt
Utbildningsverksamhet är i regel en självständig verksamhetsgren även om den bedrivs inom en och samma myndighet som bedriver hälso- och sjukvård (se prop. 2007/08:126 s. 51 och s. 202). Bestämmelserna i 8 kap. 1 och 2 §§ OSL reglerar den så kallade yttre sekretessen. OSL innehåller inte något förbud mot att röja uppgifter till någon inom en och samma myndighet eller verksamhetsgren, den så kallade inre sekretessen. Sådana bestämmelser finns i stället vad gäller hälso- och sjukvården i exempelvis PDL.
Utlämnande av avidentifierade och pseudonymiserade uppgifter
För att det ska finnas hinder mot att lämna ut uppgifter som är sekretessreglerade till skydd för enskilds personliga eller ekonomiska förhållanden krävs det att en enskild person riskerar att lida skada eller men (se exempelvis sekretessbestämmelserna i 25 kap. OSL). Vad som avses med begreppet men framgår av avsnitt 8.3.3. I förarbetena till den tidigare sekretesslagen (1980:100) anges att det krävs att uppgifterna är hänförliga till en viss individ för att en enskild person ska lida skada eller men. Det innebär att det i allmänhet bör vara möjligt att lämna ut så kallade avidentifierade uppgifter utan att risk för skada eller men uppkommer. I enstaka fall kan det emellertid tänkas att en avidentifiering inte är tillräcklig för att hindra att sambandet mellan individen och uppgiften spåras. Frågan om en sådan risk föreligger får bedömas efter omständigheterna i det enskilda fallet (se prop. 1979/80:2 Del A s. 84). För att uppgifter ska anses vara avidentifierade ska en enskild inte kunna identifieras vare sig utifrån de uppgifter som lämnas ut eller med hjälp av annan tillgänglig information, så kallad pusselläggning, (se bland annat Kammarrätten i Stockholms dom den 20 augusti 2020 i mål nr 4876–20). I ett beslut av Riksdagens ombudsmän, JO, som rörde utlämnande av personuppgifter till tredje land, uttalar sig JO om pseudonymiserade uppgifter (JO:s beslut den 4 juni 2019, dnr 6794–2017 och dnr 6864– 2017). Där anges att tillämpningen av begreppet avidentifierade uppgifter under senare år har blivit mer restriktiv och att det som avsågs i förarbetena till den tidigare sekretesslagen torde ha varit det som i dag kallas pseudonymiserade uppgifter, det vill säga information utan
265Offentlighet, sekretess och tystnadsplikt
direktidentifierande uppgifter (jämför definitionen i artikel 4.5 i EU:s dataskyddsförordning). Att lämna ut uppgifter i pseudonymiserad form kan, enligt JO, medföra att det saknas risk för att en enskild person ska lida skada eller men, och att uppgifterna då kan lämnas ut. Det är emellertid viktigt att den utlämnande myndigheten gör en noggrann prövning av vilka uppgifter som kan lämnas ut, och hur utlämnandet bör ske, för att inte riskera att röja enskilda individer. Vid bedömningen bör myndigheten beakta bland annat vilken typ av uppgifter som omfattas, vem som är mottagare, vilken spridning uppgifterna kommer att få, hur uppgifterna kommer att hanteras av mottagaren, vilka som har tillgång till referensuppgifterna och vilka risker som finns för ytterligare spridning av uppgifterna. I kapitel 7. (Dataskydd) finns en närmare beskrivning av begreppet pseudonymisering. I det kapitlet redogörs också för betydelsen av begreppet anonymisering. Begreppet anonymisering används framför allt i dataskyddssammahang och i regel inte i sammanhang då det gäller sekretess. Begreppet anonymisering kopplar till frågan om en uppgift är en personuppgift eller inte medan begreppet avidentifiering kopplar till frågan om det finns en risk för skada eller men om uppgifterna lämnas ut.
Sekretessbrytande bestämmelser
En sekretessbrytande bestämmelse är en bestämmelse som innebär att en sekretessbelagd uppgift får lämnas ut under vissa förutsättningar (3 kap. 1 § OSL). I 10 kap. OSL finns sekretessbrytande bestämmelser som är tillämpliga på sekretess enligt alla eller ett stort antal sekretessbestämmelser i lagen. Sekretessbrytande bestämmelser som endast bryter sekretess som gäller enligt en viss sekretessbestämmelse eller enligt några få sekretessbestämmelser finns utspridda i olika kapitel, bland annat i 25 kap. OSL, se nedan i avsnitt 8.3.3). Sekretess hindrar inte att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning (10 kap. 28 § första stycket OSL). Bestämmelsen är även tillämplig när uppgifter lämnas mellan olika verksamhetsgrenar inom en myndighet som är att betrakta som självständiga i förhållande till varandra (se 8 kap. 2 § OSL). Ett exempel på en sådan uppgiftsskyldighet är att den som bedriver verk-
266Offentlighet, sekretess och tystnadsplikt
samhet inom hälso- och sjukvården ska lämna uppgifter till ett hälsodataregister för vissa angivna ändamål (6 § lag (1998:543) om hälsodataregister). I 10 kap. 1 § OSL finns en annan sekretessbrytande bestämmelse. I denna bestämmelse anges att det följer av 12 kap. OSL att sekretess till skydd för en enskild inte hindrar att en uppgift lämnas till en annan enskild eller till en myndighet, om den enskilde samtycker till det. I 12 kap. 2 § första stycket OSL anges att en enskild helt eller delvis kan häva sekretess som gäller till skydd för honom eller henne, om inte annat anges i denna lag. Till skillnad från 10 kap. 16 och 28 §§ OSL är denna sekretessbrytande bestämmelse inte bara tillämplig när det gäller att lämna uppgifter till myndigheter utan även till enskilda. Se mer om samtycke till att bryta sekretessen i Bilaga 3 (Samtycken inom vård och klinisk forskning). Om 10 kap. 1 eller 28 §§ OSL är tillämpliga kan en uppgift lämnas ut utan att det behöver göras en bedömning av om ett sådant utlämnande innebär en risk för skada, men eller annan olägenhet.
Utlämnande av uppgift med förbehåll
I 10 kap. 14 § första stycket OSL finns en bestämmelse som ger en myndighet möjlighet att till en enskild lämna ut en uppgift som är sekretessbelagd, under förutsättning att den risk för skada, men eller annan olägenhet som hindrar att uppgifterna lämnas, kan undanröjas genom ett förbehåll som inskränker den enskildes rätt att lämna uppgiften vidare eller utnyttja den. Som framgår av bestämmelsens ordalydelse kan ett sådant förbehåll endast riktas till enskilda mottagare. Vidare kan förbehållet endast användas i förhållande till sekretessbestämmelser som innehåller någon form av skaderekvisit (se prop. 1979/80:2 Del A s. 350). Ett förbehåll kan alltså inte möjliggöra ett utlämnande av en uppgift som omfattas av så kallad absolut sekretess. En tystnadsplikt som följer av ett förbehåll som avses i 10 kap. 14 § första stycket OSL inskränker rätten att meddela och offentliggöra uppgifter (13 kap. 5 § andra stycket OSL).
267Offentlighet, sekretess och tystnadsplikt
Primära sekretessbestämmelser och bestämmelser
om överföring av sekretess
Sekretessen följer som huvudregel inte med en uppgift när den lämnas till en annan myndighet. I förarbetena till den numera upphävda sekretesslagen motiverades denna ordning bland annat med att behovet av och styrkan i en sekretess inte kan bestämmas endast med hänsyn till sekretessintresset utan också måste vägas mot intresset av insyn i myndigheternas verksamhet. Ett annat skäl uppgavs vara att det är svårt att överblicka konsekvenserna av en regel som innebär att sekretessen sprider sig i flera led från myndighet till myndighet. En sådan regel bedömdes också skapa tillämpningssvårigheter (prop. 1979/80:2 Del A s. 75). Får en myndighet en sekretessreglerad uppgift från en annan myndighet, gäller sekretess för uppgiften hos den mottagande myndigheten endast om sekretess följer av en primär sekretessbestämmelse som är tillämplig hos den mottagande myndigheten eller av en bestämmelse om överföring av sekretess. Motsvarande gäller om en myndighet har elektronisk tillgång till en sekretessreglerad uppgift hos en annan myndighet (7 kap. 2 § OSL). Med elektronisk tillgång avses exempelvis att en myndighet får så kallad direktåtkomst till journaluppgifter genom sammanhållen vård- och omsorgsdokumentation. En primär sekretessbestämmelse är en bestämmelse om sekretess som en myndighet ska tillämpa på grund av att bestämmelsen riktar sig direkt till myndigheten eller omfattar en viss verksamhetstyp eller en viss ärendetyp som hanteras hos myndigheten eller omfattar vissa uppgifter som finns hos myndigheten (3 kap. 1 § OSL). En bestämmelse om överföring av sekretess är en bestämmelse som innebär att en sekretessbestämmelse som är tillämplig på en uppgift hos en myndighet, ska tillämpas på uppgiften även av en myndighet som uppgiften lämnas till eller som har elektronisk tillgång till uppgiften hos den förstnämnda myndigheten (3 kap. 1 § OSL). I samma bestämmelse anges också att en sekundär sekretessbestämmelse är en bestämmelse om sekretess som en myndighet ska tillämpa på grund av en bestämmelse om överföring av sekretess.
268Offentlighet, sekretess och tystnadsplikt
Bestämmelser om överföring av sekretess
I 11 kap. OSL finns sekundära sekretessbestämmelser, det vill säga bestämmelser om överföring av sekretess, som innebär att sekretess överförs till vissa angivna typer av organ eller vissa angivna verksamheter. Det finns en bestämmelse om överföring av sekretess när en myndighet i sin forskningsverksamhet får en sekretessreglerad uppgift från en annan myndighet (11 kap. 3 § OSL). I dessa fall blir alltså sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Detta gäller dock inte avseende en uppgift som ingår i ett beslut hos den mottagande myndigheten. Vidare finns en bestämmelse om överföring av sekretess när en myndighet får direktåtkomst till andra myndigheters upptagningar för automatiserad behandling och en uppgift i denna upptagning är sekretessreglerad (11 kap. 4 § OSL). Även i dessa fall gäller sekretessbestämmelsen inte avseende en uppgift som ingår i ett beslut hos den mottagande myndigheten.
Konkurrens mellan primära sekretessbestämmelser och bestämmelser om överföring av sekretess
De sekundära sekretessbestämmelserna som finns i 11 kap. 3 och 4 §§ kan i vissa fall bli utkonkurrerade av en primär sekretessbestämmelse. Huvudregeln om konkurrens mellan sekretessbestämmelser finns i 7 kap. 3 § OSL. I den bestämmelsen anges att om flera sekretessbestämmelser är tillämpliga på en uppgift hos en myndighet och en prövning i ett enskilt fall resulterar i att uppgiften inte är sekretessbelagd enligt en eller flera bestämmelser samtidigt som den är sekretessbelagd enligt en eller flera andra bestämmelser, ska de senare bestämmelserna ha företräde, om inte annat anges i denna lag. I 11 kap. 8 § OSL finns ett undantag från denna huvudregel. Av den bestämmelsen framgår att de sekundära sekretessbestämmelserna som finns i 11 kap. 1–7 §§ OSL inte ska tillämpas på en uppgift när det finns en primär sekretessbestämmelse till skydd för samma intresse som är tillämplig hos den mottagande myndigheten. Detta gäller oavsett om den primära sekretessbestämmelsen ger ett starkare eller svagare skydd än den sekundära sekretessen. Även uttryckliga undantag från den primära sekretessbestämmelsens tillämpningsområde har företräde framför den överförda sekretessen (se prop. 2007/08:160 s. 165).
269Offentlighet, sekretess och tystnadsplikt
En sådan ordning har bland annat motiverats med att en primär sekretessbestämmelse normalt har utformats efter en avvägning av sekretessintresset och intresset av insyn hos just det organet eller i den 5 verksamheten (jämför prop. 2007/08:160 s. 76). Om den primära och den sekundära sekretessbestämmelsen inte gäller till skydd för samma intresse är bestämmelsen i 11 kap. 8 § OSL inte tillämplig. Då ska i stället huvudregeln i 7 kap. 3 § OSL tillämpas. Bestämmelsen i 11 kap. 8 § OSL är inte heller tillämplig vid konkurrens mellan de sekundära sekretessbestämmelserna i 11 kap. 1–7 §§ och de primära sekretessbestämmelser som finns i 21 kap. 1, 3, 3 a, 5 och 7 §§ OSL, det vill säga de bestämmelser som gäller som ett minimiskydd för enskildas personliga integritet inom hela den offentliga sektorn. Även i dessa fall ska i stället huvudregeln i 7 kap. 3 § OSL tillämpas.
8.3.2 Behandling i strid med dataskyddsregleringen
I kapitel 7 redogör utredningen för aktuella bestämmelser om dataskydd enligt EU:s dataskyddsförordning och lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen. Utredningen beskriver vidare bestämmelser i bland annat lagen (2003:460) om etikprövning av forskning som avser människor, förkortad EPL, se vidare kapitel 6 21 kap. OSL innehåller särskilda bestämmelser om sekretess till skydd för uppgift om enskilds personliga förhållanden oavsett i vilket sammanhang uppgiften förekommer. I det kapitlet finns en bestämmelse, 21 kap. 7 § OSL, som har direkt koppling till de ovan nämnda regelverken. I bestämmelsen anges att sekretess gäller för personuppgift, om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen i den ursprungliga lydelsen, dataskyddslagen eller 6 § EPL (21 kap. 7 § första stycket OSL, vår kursivering). Bestämmelsen är utformad med ett så kallat rakt skaderekvisit, vilket innebär en presumtion för att uppgifter får lämnas ut. Av förarbetena till dataskyddslagen framgår att vidare undersökningar av den kommande behandlingen får vidtas endast om det finns
5 Se även Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, kommentaren till 11 kap. 8 § OSL (Juno version 26).
270Offentlighet, sekretess och tystnadsplikt
konkreta omständigheter som indikerar att mottagaren kommer att behandla uppgifterna på ett sätt som strider mot dataskyddsregleringen. Finns det inga sådana indikationer behöver inte någon bedömning enligt dataskyddsregleringen göras (prop. 2017/18:105 s. 135).
8.3.3 Sekretess i verksamhet som avser
hälso- och sjukvård med mera
I 25 kap. OSL finns särskilda bestämmelser om sekretess till skydd för enskild i verksamhet som avser hälso- och sjukvård med mera. Det kan dock vara värt att notera att även sekretessbestämmelser som finns i andra kapitel i OSL kan bli tillämpliga på uppgifter som finns inom hälso- och sjukvården. Exempelvis kan 35 kap. 1 § OSL, som bland annat innehåller bestämmelser om sekretess till skydd för enskildas intressen i förundersökning och annan brottsbekämpande verksamhet, bli tillämplig på uppgifter som finns inom hälso- och sjukvården. Ett annat exempel på sekretessbestämmelser som kan bli tillämpliga är 21 kap. 7 §, se avsnitt 8.3.2 (Behandling i strid med dataskyddsregleringen). Verksamhet vid sjukhus och andra liknande inrättningar som drivs av enskilda, det vill säga privata vårdgivare, faller utanför OSL:s tillämplighet. Vad gäller dessa verksamheter finns det i stället bestämmelser om tystnadsplikt i PSL se avsnitt 8.4. (Tystnadsplikt för personal inom den enskilda hälso- och sjukvården).
Sekretess inom hälso- och sjukvården
och annan medicinsk verksamhet
Sekretess gäller inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Bestämmelsen i 25 kap. 1 § första stycket OSL om sekretess i hälso- och sjukvården är alltså utformad med ett så kallat omvänt skaderekvisit, vilket innebär att presumtionen är att uppgifterna omfattas av sekretess. Sekretessen gäller också i annan medicinsk verksamhet, exempelvis rättsmedicinsk och rättspsykiatrisk undersökning, insemination, befruktning utanför kroppen, fastställande av könstillhörighet, abort, sterilisering, omskärelse och åtgärder
271Offentlighet, sekretess och tystnadsplikt
mot smittsamma sjukdomar (25 kap. 1 § första stycket OSL). Av bestämmelsens andra stycke framgår att det finns vissa undantag från denna huvudregel. Med uttrycket hälso- och sjukvård förstås först och främst den öppna och slutna sjukvård som regleras i hälso- och sjukvårdslagen (2017:30), förkortad HSL. Hit hör också den förebyggande medicinska hälsovården, till exempel den som bedrivs vid mödra- och barnavårdscentralerna. Även tandvården hör till hälso- och sjukvården. Hälso- och sjukvård kan även utgöra inslag i annan förvaltning, till exempel inom skolväsendet eller socialtjänsten. Företagshälsovården i det allmännas verksamhet faller också under paragrafens tillämpningsområde. 6 Med uttrycket annan medicinsk verksamhet avses verksamhet som 7 inte primärt har vård- eller behandlingssyfte. I lagtexten ges exempel på sådana verksamheter. Begreppet personliga förhållanden, som också inkluderar någons hälsotillstånd, ska tolkas utifrån vanligt språkbruk. Vitt skilda förhållanden omfattas, såsom adress, ekonomiska förhållanden och yttringar av ett psykiskt sjukdomstillstånd (se prop. 1979/80:2 Del A s. 84 och 168). Detta innebär att i stort sett alla personuppgifter som förekommer i hälso- och sjukvårdens verksamhet omfattas av sekretess. Begreppet men har en mycket vid innebörd. I första hand avses att någon blir utsatt för andras missaktning om hans eller hennes personliga förhållanden blir kända. Redan den omständigheten att vissa personer känner till en, för någon enskild, känslig uppgift kan i många fall anses tillräckligt för att medföra men. Utgångspunkten för en bedömning av om men föreligger är den berörda personens egen upplevelse. Bedömningen måste dock i viss utsträckning kunna korrigeras på grundval av gängse värderingar i samhället. Begreppet men kan i vissa sammanhang även inbegripa ekonomiska konsekvenser för en enskild (se prop. 1979/80:2 Del A s. 83).
6 Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, kommentaren till 25 kap. 1 § OSL (Juno version 26). 7 Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, kommentaren till 25 kap. 1 § OSL (Juno version 26).
272Offentlighet, sekretess och tystnadsplikt
Sekretess för uppgifter som ingår i system med sammanhållen
vård- och omsorgsdokumentation
Den 1 januari 2023 trädde lagen (2022:913) om sammanhållen vårdoch omsorgsdokumentation, förkortad SVOD, i kraft. Med sammanhållen vård- och omsorgsdokumentation avses ett elektroniskt system som gör det möjligt för en vårdgivare eller omsorgsgivare att ge eller få tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter hos andra vårdgivare eller omsorgsgivare (1 § SVOD). Regler om så kallad sammanhållen journalföring mellan vårdgivare fanns tidigare reglerat i 6 kap. PDL. Genom lagändringen har bestämmelser om elektroniskt utlämnande mellan vårdgivare samt mellan vårdgivare och omsorgsgivare samlats i en lag. För en närmare beskrivning av den nya lagen se kapitel 7. När det gäller vårdgivare som får tillgång till uppgifter genom sammanhållen vård- och omsorgsdokumentation finns en särskild sekretessbestämmelse i 25 kap. 2 § OSL. I bestämmelsens första stycke anges att sekretess gäller hos en myndighet som bedriver verksamhet som avses i 1 § 8 för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig av en annan vårdgivare eller omsorgsgivare enligt SVOD, om inte förutsättningarna enligt 3 kap. 1, 3, 5 eller 6 §§ samma lag för att myndigheten ska få behandla uppgiften är uppfyllda. Om de villkor för behandling av uppgifter som uppställs i de angivna paragraferna inte är uppfyllda, gäller således så kallad absolut sekretess för uppgifterna. Absolut sekretess avser att en sekretessbestämmelse saknar skaderekvisit, det vill säga sekretess råder oavsett vilka följder ett röjande skulle få. Absolut sekretess medför således att någon skadeprövning inte ska göras. Myndigheten behöver därmed inte ta del av uppgifterna för att pröva sekretessfrågan. En begäran om att lämna ut uppgifterna kan därmed avslås med hänvisning till att begärda uppgifter inte förvaras hos myndigheten (prop. 2021/ 22:177 s. 228). Om förutsättningarna i de angivna paragraferna för att den anslutna vårdgivaren ska få behandla uppgifterna är uppfyllda, eller om myndigheten har behandlat uppgifterna enligt nämnda bestämmelser tidigare, gäller däremot sekretess med ett omvänt skaderekvisit. Sekretess gäller då om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (25 kap. 2 §
8 Det vill säga hälso- och sjukvård eller annan medicinsk verksamhet.
273Offentlighet, sekretess och tystnadsplikt
andra stycket första meningen OSL). Av samma stycke andra meningen framgår vidare att det finns vissa undantag till det som anges i första meningen.
Sekretessbrytande bestämmelser
I 25 kap. 11 § OSL finns ett antal bestämmelser som bryter sekretessen i 1 §, det vill säga sekretessen inom hälso- och sjukvården och annan medicinsk verksamhet. Därtill kan de sekretessbrytande bestämmelser som finns i 10 kap. OSL bli tillämpliga, se avsnitt 8.3.1 (Allmänt om sekretess). Av 25 kap. 11 § 1 och 2 OSL framgår att sekretessen enligt 1 § inte hindrar att uppgift lämnas från myndighet som bedriver verksamhet som avses i den paragrafen till en annan sådan myndighet i samma kommun eller region. Företag där kommuner eller regioner utövar ett rättsligt bestämmande inflytande ska jämställas med myndigheter i detta sammanhang (se 2 kap. 3 § första stycket OSL). Bestämmelsen gör det möjligt för kommuner och regioner att fritt välja sin organisation utan hänsyn till att sekretess i princip råder mellan myndigheter. Även om ingen sekretess gäller mellan hälso- och sjukvårdsmyndigheter i samma kommun eller region kan bestämmelsen i 5 kap. 1 § 3 HSL om att vården ska bygga på respekt för patientens självbestämmande innebära att vissa uppgifter inte ska lämnas ut. I den mån uppgifterna behandlas enligt PDL träder även skyddsreglerna i den lagen och EU:s dataskyddsförordning in. 9 För en närmare beskrivning av dessa regelverk, se kapitel 5 (Hälso- och sjukvård) och kapitel 7 (Dataskydd). Av 25 kap. 11 § 3 framgår att sekretessen enligt 1 § inte hindrar att uppgift lämnas till en myndighet som bedriver verksamhet som avses i den paragrafen, 26 kap. 1 § 10 OSL eller en enskild vårdgivare eller omsorgsgivare enligt det som föreskrivs i lagen om sammanhållen vård- och omsorgsdokumentation. Även i detta sammanhang ska företag där kommuner eller regioner utövar ett rättsligt bestämmande inflytande jämställas med myndigheter. I 25 kap. 2 § OSL regleras vilken sekretess som gäller hos den myndighet som får tillgång till uppgifterna, se ovan.
9 Se Lenberg, Tansjö och Geijer, Offentlighets- och sekretesslagen, kommentaren till 25 kap. 11 § OSL (Juno version 26). 10 Det vill säga socialtjänst och därmed jämställd verksamhet.
274Offentlighet, sekretess och tystnadsplikt
Av bestämmelsens femte punkt framgår att sekretessen enligt 1 § inte hindrar att uppgift lämnas från en myndighet som bedriver verksamhet som avses i den paragrafen inom en kommun eller en region till annan sådan myndighet för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs. Bestämmelsen är utformad med ett rakt skaderekvisit, vilket innebär en presumtion för att uppgifter får lämnas ut. Som framgår av ordalydelsen är bestämmelsen endast tillämplig när uppgift lämnas till en myndighet som bedriver hälso- och sjukvård eller annan medicinsk verksamhet. När uppgift lämnas till exempelvis ett lärosäte i egenskap av forskningshuvudman är det i stället 25 kap. 1 § OSL som ska tillämpas, se ovan. Som framgår av avsnitt 8.3.1 (Allmänt om sekretess) finns det en bestämmelse om överföring av sekretess när en myndighet i sin forskningsverksamhet får en sekretessreglerad uppgift från en annan myndighet (11 kap. 3 § OSL).
Rätten att meddela och offentliggöra uppgifter
Av 25 kap. 18 § andra stycket OSL framgår att den tystnadsplikt som följer av 1 och 2 §§ inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställigheten av beslut om omhändertagande eller beslut om vård utan samtycke. Rätten att meddela och offentliggöra sådana uppgifter som omfattas av sekretess enligt dessa bestämmelser är alltså mycket starkt begränsad.
8.3.4 Sekretess inom forskning
Det finns ingen sekretessbestämmelse som generellt reglerar sekretessen till skydd för enskilds personliga och ekonomiska förhållanden inom forskningsverksamhet. I stället finns det flera sekretessbestämmelser som kan aktualiseras och bli tillämpliga. Vidare blir indelningen mellan primära och sekundära sekretessbestämmelser central när det gäller forskningsverksamhet. När det gäller forskning som bedrivs inom en hälso- och sjukvårdsmyndighet är det även nödvändigt att skilja på sådan forskning som sker som ett led i vården och behandlingen av en patient, och annan forskning som bedrivs som en självständig verksamhetsgren. Nedan följer en beskrivning av ett antal
275Offentlighet, sekretess och tystnadsplikt
sekretessbestämmelser som kan bli aktuella på uppgifter som finns där forskningen bedrivs efter att uppgifterna har tillgängliggjorts genom utredningens författningsförslag.
Primära sekretessbestämmelser
Behandling i strid med dataskyddsregleringen
I avsnitt 8.3.2 (Behandling i strid med dataskyddsregleringen) finns en beskrivning av bestämmelsen i 21 kap. 7 § OSL. Bestämmelsen kan få betydelse om uppgifter i forskningsverksamhet begärs ut.
Sekretess till skydd för enskild inom forskning och statistik
I 24 kap. OSL finns vissa bestämmelser som särskilt reglerar sekretess till skydd för enskild inom forskning och statistik. Enligt 24 kap. 1 § OSL gäller sekretess för uppgift som hänför sig till psykologisk undersökning som utförs för forskningsändamål, om det inte står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon närstående till denne lider men. Ett omvänt skaderekvisit gäller, det vill säga det råder en presumtion för sekretess. I 24 kap. 8 § OSL regleras den så kallande statistiksekretessen. Enligt bestämmelsens första stycke gäller sekretess i sådan särskild verksamhet hos en myndighet som avser framställande av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Sekretessen är absolut. Detta stycke blir normalt inte tillämpligt på uppgifter som finns hos en region eller ett lärosäte som bedriver forskning. Detta beror bland annat på att denna verksamhet generellt inte har statistikframställning som sitt huvudsakliga syfte (se prop. 2013/14:162 s. 9). Enligt bestämmelsens andra stycke gäller dock en motsvarande sekretess i annan jämförbar undersökning som utförs av myndigheter som nämns i bestämmelsen eller av någon annan myndighet i den utsträckning regeringen meddelar föreskrifter om det. I 7 § offentlighetsoch sekretessförordningen (2009:641), förkortad OSF, finns en uppräkning av de myndigheter och undersökningar som berörs, liksom vilka uppgifter som omfattas av sekretessen. Där framgår bland annat att sekretessen enligt 24 kap. 8 § OSL också gäller uppgifter om enskil-
276Offentlighet, sekretess och tystnadsplikt
das personliga förhållanden hos sjukvårdsinrättningar, utbildningsanstalter och forskningsinrättningar i miljömedicinska, socialmedicinska, psykiatriska eller andra medicinska studier och hos utbildningsanstalter och forskningsinrättningar för undersökningar i sociologiska, psykologiska, pedagogiska eller andra beteendevetenskapliga eller samhällsvetenskapliga studier. Vad avser begreppet annan jämförbar undersökning anförs i förarbetena till bestämmelsen att undersökningar med hjälp av statistiska metoder genomförs inom en rad myndigheters verksamheter. Vissa sådana undersökningar omfattas av statistiksekretess trots att de genomförs utanför en särskild verksamhet för framställning av statistik. En skillnad jämfört med sekretessen i särskild statistikverksamhet är att sekretessens räckvidd inte gäller i hela verksamheten utan är begränsad till sådana uppgifter som kan hänföras till undersökningen (prop. 2013/14:162 s. 10). Är bestämmelsen i 24 kap. 8 § andra stycket tillämplig gäller således absolut sekretess även för uppgifterna hänförliga till sådan jämförbar verksamhet. Det finns emellertid vissa undantag från den absoluta sekretessen i 24 kap. 8 § första och andra stycket OSL. Ett av dessa handlar om uppgifter som behövs för forsknings- eller statistikändamål. Ett annat undantag omfattar uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde. I dessa undantagsfall får uppgifter lämnas ut, om det står klart att dessa kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men (se 24 kap. 8 § tredje stycket OSL). Bestämmelsen är utformad med ett så kallat omvänt skaderekvisit, vilket innebär att presumtionen är att uppgifterna omfattas av sekretess.
Rätten att meddela och offentliggöra uppgifter
Av 24 kap. 9 § OSL framgår att den tystnadsplikt som följer av 8 § samma kapitel inskränker rätten att meddela och offentliggöra uppgifter.
277Offentlighet, sekretess och tystnadsplikt
Forskning som ett led i vården och behandlingen av en patient
Som framgår av avsnitt 8.3.1 (Allmänt om sekretess) anses forskning som bedrivs som ett led i vården och behandlingen av en patient ingå i en myndighets hälso- och sjukvårdsverksamhet. Detta till skillnad från forskning där dokumentation enbart sker i forskningssyfte och där forskningen inte har någon betydelse för vården. Sådan forskning betraktas i regel som en självständig verksamhetsgren. När det gäller forskning som bedrivs som ett led i vården och behandlingen av en patient omfattas denna forskning av hälso- och sjukvårdssekretessen (prop. 2007/08:126 s. 202). Bestämmelsen i 25 kap. 1 § OSL blir alltså tillämplig som primär sekretessbestämmelse i sådana fall. En beskrivning av denna bestämmelse finns i avsnitt 8.3.3 (Sekretess i verksamhet som avser hälso- och sjukvård med mera). Som framgår i avsnitt 8.3.1 (Allmänt om sekretess) är det inte helt enkelt att dra gränsen mellan forskning som bedrivs som ett led i vården och behandlingen av en patient och sådan forskning som sker som en självständig verksamhetsgren.
8.3.5 Överföring av sekretess i forskningsverksamhet
Som framgår av avsnitt 8.3.1 (Allmänt om sekretess) finns en bestämmelse om överföring av sekretess som anger att om en myndighet i sin forskningsverksamhet får en sekretessreglerad uppgift från en annan myndighet, blir sekretessbestämmelsen tillämplig på uppgiften även hos den mottagande myndigheten. Detta gäller dock inte avseende uppgifter som ingår i ett beslut hos den mottagande myndigheten (se 11 kap. 3 § OSL). Bestämmelsen om överföring av sekretess blir tillämplig i de fall det inte finns någon primär sekretessbestämmelse hos den mottagande myndigheten som är tillämplig på uppgifterna som behandlas i forskningsverksamheten. Sekretessen överförs alltså i det fall uppgifterna lämnas till en myndighets forskningsverksamhet under förutsättning att uppgifterna inte redan omfattas av en primär sekretessbestämmelse till skydd för samma intresse hos den mottagande myndigheten. Detta framgår av 11 kap. 8 § OSL som reglerar konkurrens mellan primära och sekundära sekretessbestämmelser, se avsnitt 8.3.1 (Allmänt om sekretess).
278Offentlighet, sekretess och tystnadsplikt
I avsaknad av en primär sekretessbestämmelse innebär 11 kap. 3 § OSL bland annat att den sekretess med omvänt skaderekvisit som gäller enligt 25 kap. 1 § OSL överförs från en utlämnande myndighet till en mottagande myndighet. Detta får betydelse inom forskningen eftersom en viktig källa för forskare, främst på det medicinska området, är personuppgifter som hämtas från hälso- och sjukvården. Sådana uppgifter skyddas av hälso- och sjukvårdssekretess i 25 kap. 1 § OSL.
8.4 Tystnadsplikt för personal inom den enskilda
hälso- och sjukvården
Som framgår ovan omfattas inte personal inom den enskilda hälsooch sjukvården, det vill säga privata vårdgivare, av bestämmelserna i OSL. För den enskilda hälso- och sjukvården gäller i stället bestämmelser om tystnadsplikt i 6 kap. 12–14 och 16 §§ PSL. Där anges bland annat att den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen får röja vad han eller hon i sin verksamhet har fått veta om en persons hälsotillstånd eller andra personliga förhållanden (6 kap. 12 § PSL). Inte heller den som, utan att höra till hälso- och sjukvårdspersonalen, till följd av anställning eller uppdrag eller på annan liknande grund deltar eller har deltagit inom den enskilda hälso- och sjukvård får obehörigen röja vad han eller hon därvid fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden (6 kap. 16 § PSL). Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. Vid tolkningen av obehörighetsrekvisitet har det ansetts naturligt att söka viss ledning i skaderekvisitet som finns i OSL:s motsvarande bestämmelse. Därigenom nås en i sak nära överensstämmelse mellan tystnadsplikten för personal inom den offentliga hälso- och sjukvården och tystnadsplikten för personal inom den enskilda hälso- och sjukvården (jämför prop. 1981/82:186, s. 26).
279Offentlighet, sekretess och tystnadsplikt
8.5 Brott mot tystnadsplikten
Röjande eller olovligen utnyttjande av en uppgift, som någon är pliktig att hemlighålla enligt lag eller annan författning eller enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning, är straffsanktionerat som brott mot tystnadsplikt. För straffansvar krävs att gärningen begåtts med uppsåt eller av oaktsamhet och att det inte rör sig om ringa fall av oaktsamhetsbrott (se 20 kap. 3 § brottsbalken). Straffbestämmelsen avser både sådan tystnadsplikt som gäller i offentlig verksamhet enligt OSL och sådan tystnadsplikt som gäller i enskild verksamhet enligt andra författningar, exempelvis PSL. Exempel på förbehåll som har meddelats med stöd av lag är sådana förbehåll som görs med stöd av 10 kap. 14 § OSL.
2819 Övrig lagstiftning
9.1 Inledning
Utredningen redogör i kapitel 5–8 för gällande rätt avseende områdena Hälso- och sjukvård (kapitel 5), Forskning (kapitel 6), Dataskydd (kapitel 7) och Offentlighet, sekretess och tystnadsplikt (kapitel 8). Utöver de regelverk som faller under dessa teman, har utredningen identifierat två ytterligare regelverk som är relevanta för betänkandet. Dessa regelverk redogörs för nedan.
9.2 Dataförvaltningsförordningen
Bestämmelserna i Europaparlamentet och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltningsförordning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten), förkortad dataförvaltningsförordningen, började tillämpas den 24 september 2023. Dataförvaltningsförordningen omfattar villkor för vidareutnyttjande av vissa typer av skyddade data från offentliga myndigheter, en ram för anmälan av och tillsyn över tillhandahållande av dataförmedlartjänster, ett ramverk för frivillig registrering av och tillsyn över dataaltruismorganisationer samt inrättande av en europeisk datainnovationsstyrelse. Dataförvaltningsförordningen är en del av genomförandet av EU:s datastrategi.
Bakgrund och kopplingen till datalagen
Reglerna om tillgängliggörande av skyddade data för vidareutnyttjande i dataförvaltningsförordningen har en stark koppling till det tidigare genomförda öppna data-direktivet. Öppna data-direktivet hade som
282Övrig lagstiftning
syfte att säkerställa att myndigheter gör en större del av de data de producerar lätt tillgängliga för användning och vidareutnyttjande. Av olika skäl har vissa kategorier av data, såsom data som rör affärshemligheter, insynsskyddade statistiska data och data som skyddas av tredje parts immateriella rättigheter inbegripet personuppgifter, inte tillgängliggjorts i den utsträckning som är möjligt enligt unionsrätten (Ds 2023:24 Genomförande av EU:s dataförvaltningsförordning s. 74 f.). Öppna data-direktivet har i Sverige primärt införlivats i svensk rätt genom inrättandet av en ny lag, lagen (2022:818) om den offentliga sektorns tillgängliggörande av data, förkortad datalagen, som trädde i kraft i 1 augusti 2022. Datalagen syftar till att främja den offentliga sektorns tillgängliggörande av data för vidareutnyttjande, särskilt i form av öppna data, under förutsättning att krav på informationssäkerhet och skydd av personuppgifter kan upprätthållas och att det inte innebär risker för Sveriges säkerhet (1 kap. 1 §). Enligt 1 kap. 2 § ska datalagen inte påverka bestämmelser som styr tillgången till data enligt nationell- eller unionsrätt. Inte heller ska den påverka tillämpningen av bestämmelser i annan lag eller förordning om skyddet för personuppgifter. Av 1 kap. 3 § kan utläsas att för det fall det föreskrivs strängare krav för ett tillgängliggörande i annan författning ska de kraven gälla, i annat fall gäller det som sägs i datalagen. Anledningen är att öppna-data direktivet ansågs vara av minimi-karaktär (jämför prop. 2021/22:225 s. 23). Sammanfattningsvis kan det konstateras att datalagen varken ger en mer vidsträckt rätt för någon att få tillgång till data än vad som följer av någon annan författning, eller begränsar en sådan rätt till data som regleras i annan lag eller förordning (prop. 2021/22:225 s. 22 f.). I kapitel II dataförvaltningsförordningen finns villkor och ramar för vidareutnyttjande av skyddade data som innehas av offentliga myndigheter. Kapitlet kan ses som en vidareutveckling gällande det rättsliga ramverket för att kunna tillgängliggöra offentligt producerade data för vidareutnyttjande. Detta eftersom dataförvaltningsförordningen omfattar villkor för vidareutnyttjande från offentliga myndigheter av vissa typer av just sådana typer av skyddade data som öppna datadirektivet, och även datalagen, inte omfattar. I förarbetena till datalagen anges att sådana data som är undantagna lagens tillämpningsområde i allmänhet är av den arten att de är nära knutna till en viss person och som alltså inte skulle tillhandahållas någon annan, främst för att
283Övrig lagstiftning
datan innehåller integritetskänsliga personuppgifter eller omfattas av sekretess. Syftet med undantaget är att minimera risken för att data av känslig karaktär tillgängliggörs för vidareutnyttjande (jämför 1 kap. 9 § och prop. 2021/22:225 s. 32).
Närmare om regleringen i dataförvaltningsförordningens kapitel II
I kapitel II dataförvaltningsförordningen, regleras vidareutnyttjande av vissa kategorier av skyddade data som innehas av offentliga myndigheter. Kapitlet ger inte en ny dataskyddsrättslig grund för att dela skyddade data. Inte heller innebär det skyldigheter att tillgängliggöra sådana data. I stället införs villkor för hur ett sådant tillgängliggörande får se ut i de fall sådana data kan tillgängliggöras för vidareutnyttjande enligt befintliga regler.
Vad som avses med vidareutnyttjande
Med vidareutnyttjande i dataförvaltningsförordningen avses fysiska eller juridiska personers användning av data som innehas av offentliga myndigheter för andra ändamål än de ursprungliga ändamålen inom den offentliga verksamheten (artikel 2.2) 1 .
Vilka omfattas av regleringen
Bestämmelserna i kapitel II dataförvaltningsförordningen är tillämpliga på offentliga myndigheter (artikel 3.1 dataförvaltningsförordningen). Med offentliga myndigheter avses enligt artikel 2.18 statliga, regionala eller lokala myndigheter och offentligrättsliga organ, eller sammanslutningar av en eller flera sådana myndigheter eller offentligrättsliga organ. Offentligrättsliga organ är juridiska personer som har inrättats för att tillgodose behov av allmänt intresse och som till största del finansieras av statliga, regionala eller kommunala myndigheter, eller står under administrativ tillsyn av myndigheter eller av ett kontrollorgan som till mer än hälften utses av sådana myndigheter, artikel 2.19. Bestämmelserna ska i enlighet med artikel 3.2 inte tillämpas på offentliga företag, public service-bolag, kulturinstitutioner och utbild-
1 I avsnitt 2.6 redogörs för valet av begreppet vidareanvändning i betänkandet.
284Övrig lagstiftning
ningsinstitutioner. Med offentliga företag avses enligt definitionen i artikel 2.19 dataförvaltningsförordningen företag som offentliga myndigheter har ett direkt eller indirekt bestämmande inflytande över.
Kort om villkoren som kan ställas för vidareutnyttjande
I artikel 5 regleras vilka villkor som får ställas upp när offentliga myndigheter tillgängliggör de särskilda kategorierna av skyddade data för vidareutnyttjande. Villkoren ska vara icke-diskriminerande, transparenta, proportionerliga och objektivt motiverade med hänsyn till kategorierna av data, vidareutnyttjandets syfte och typerna av data. Villkoren får inte begränsa konkurrensen. Villkoren för vidareutnyttjande ska offentliggöras via den gemensamma informationspunkt som ska inrättas enligt artikel 8. De krav som kan föreskrivas av offentliga myndigheter omfattar olika skyddsåtgärder för att upprätthålla datans aktuella skydd. Det avser bland annat anonymisering av personuppgifter, ändringar av uppgifter innehållande affärshemligheter eller immateriella rättigheter, att tillgång till och vidareutnyttjande ska ske i en säker behandlingsmiljö som tillhandahålls och kontrolleras av myndigheten eller att tillgång till och vidareutnyttjande av data i vissa fall ska ske i bestämda fysiska lokaler där den säkra behandlingsmiljön är belägen. Dataförvaltningsförordningen påverkar inte nationella bestämmelser om sekretess, inte heller sådan sekretess som avser de kategorier av skyddade data som kapitel II tar sikte på. Det innebär att vissa bestämmelser i offentlighets- och sekretesslagen (2009:400), förkortad OSL, som till exempel statistiksekretess och affärssekretess samt dataskyddssekretess i 21 kap. 7 § OSL inte påverkas, utan ska tillämpas på samma sätt som i dag även efter att dataförvaltningsförordningen börjat tillämpas. I skäl 7 beskrivs olika tekniker som kan användas för att skydda eller ta bort personuppgifter ur en datamängd såsom exempelvis generalisering, undertryckande och randomisering (för beskrivning av dessa begrepp se även kapitel 3). Om en myndighet skulle bearbeta känsliga uppgifter med någon av dessa metoder så skulle resultatet av bearbetningen sannolikt anses vara en ny handling skild från handlingen med de känsliga uppgifterna i obearbetad form. De moderna metoder som avses i dataförvaltningsförordningen skiljer sig från traditionell maskning enligt svensk sekretesslagstiftning
285Övrig lagstiftning
där det vanligen är den handling där de känsliga uppgifterna ursprungligen finns i som blir föremål för utlämnande. Bearbetningen, det vill säga användandet av nämnda metoder, torde aldrig kunna ses som sådana rutinbetonade åtgärder som avses i 2 kap. 6 § andra stycket tryckfrihetsförordningen. Någon skyldighet att använda metoderna och i praktiken framställa nya handlingar eller data som kan göras tillgänglig för vidareutnyttjande finns inte, varken i dataförvaltningsförordningen eller i svensk rätt (Ds 2023:24 Genomförande av EU:s dataförvaltningsförordning s. 85).
9.3 Nationell lagstiftning om bevarande och gallring
Svenska myndigheter, kommunala företag och vissa andra organ är enligt arkivlagen (1990:782) skyldiga att bevara sina allmänna handlingar. Myndighetens arkiv bildas av allmänna handlingar från myndighetens verksamhet och sådana handlingar som avses i 2 kap. 12 § tryckfrihetsförordningen och som myndigheten beslutar ska tas om hand för arkivering. Myndigheternas arkiv är en del av det nationella kulturarvet. Arkiven ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov (3 § arkivlagen). I förarbetena till dataskyddslagen har regeringen uttalat att det står klart att behandling av personuppgifter som utförs för att uppfylla de krav som ställs i arkivlagen och anslutande föreskrifter måste anses ske för arkivändamål av allmänt intresse. Den behandling av personuppgifter som myndigheter och andra utför när de i enlighet med föreskrifter om arkiv arkiverar sina handlingar utgör således en vidarebehandling som sker för arkivändamål av allmänt intresse. Behandlingen i arkiv ska enligt artikel 5.1 b i dataskyddsförordningen inte anses som oförenlig med de ursprungliga ändamålen. Det krävs då inte någon annan rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs (se skäl 50 till dataskyddsförordningen och prop. 2017/18:105 s. 110 f.) Myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser 1) rätten att ta del av allmänna handlingar, 2) behovet av information för rättskipningen och förvaltningen, och 3) forskningens behov (3 § tredje stycket arkivlagen). Utgångspunkten enligt
286Övrig lagstiftning
arkivlagen är alltså att allmänna handlingar ska bevaras för framtiden (detta kallas ibland evig bevarandetid). Av 10 § arkivlagen följer dock att allmänna handlingar får gallras. Med gallring avses att handlingar sorteras ut och förstörs. Vid gallring från upptagningar för automatisk databehandling raderas information från det fysiska underlaget. Att föreskriven gallring sker är viktigt både av integritetsskäl och av ekonomiska skäl. Gallring på den statliga sidan sker med stöd av föreskrifter eller särskilda beslut av Riksarkivet. Gallringsföreskrifter för kommunala eller regionala myndigheter meddelas i allmänhet av kommunerna 2 eller regionerna själva . I förarbetena till arkivlagen anges att gallringen utgör en praktisk nödvändighet. Utan den skulle arkivmaterialet växa i en omfattning som vore ohanterlig, utan att det skulle medföra några fördelar från insyns- eller informationssynpunkt. Tvärtom skulle arkiven bli mer svårhanterliga. Gallringen syftar till att arkiven inte ska tyngas av handlingar som saknar påtagligt informationsvärde, som bara utgör en dubblering av information som bättre kan sökas i ett annat arkiv eller som har ett informationsvärde som är markant begränsat i tiden. Vid gallring ska alltid beaktas att arkiven utgör en del av kulturarvet. Det arkivmaterial som återstår ska kunna tillgodose de ändamål som anges i 3 § tredje stycket arkivlagen. Även efter en genomförd gallring måste arkiven kunna tillgodose rätten att ta del av allmänna handlingar, rättskipningens och förvaltningens behov och forskningens behov (se prop. 1989/90:72 s. 42). Det är den arkivbildande myndigheten som verkställer föreskriven gallring i arkivet (6 § arkivlagen). Av 8 § andra stycket arkivlagen framgår att kommunstyrelsen är arkivmyndighet i kommunen och regionstyrelsen i regionen, om inte kommunfullmäktige eller regionfullmäktige har utsett någon annan nämnd eller styrelse till arkivmyndighet. Huvudregeln är alltså att allmänna handlingar ska bevaras i myndigheternas arkiv med en evig bevarandetid. Gallring får dock under vissa förutsättningar ske. Avvikande gallringsbestämmelser i lag eller förordning tar över arkivlagens regler om bevarande och gallring (10 § tredje stycket arkivlagen). Särskilda gallringsregler finns till exempel i de registerlagar som reglerar personregister på integritetskänsliga områden. 3
2 Adlercreutz, Arkivlag (1990:782) 10 §, Karnov (JUNO)(besökt 2023-09-14). 3 Adlercreutz, Arkivlag (1990:782) 10 §, Karnov (JUNO)(besökt 2023-09-14).
287ANALYS, ÖVERVÄGANDEN OCH FÖRSLAG
28910 Internationell jämförelse
10.1 Inledning
I detta kapitel har utredningen fokuserat på en internationell utblick. Syftet har varit att försöka väga Sveriges situation och nivå mot andra jämförbara länder på hälsodataområdet. Utredningen har även försökt ringa in vad Sverige kan lära sig av andra länder. Utredningen har i jämförelsen tittat närmare på automatiserad databehandling, nationellt tillgängliga medborgartjänster, teknisk och semantisk interopabilitet, samt nationell digital infrastruktur. Eftersom området är så pass stort och komplext finns det många dimensioner och perspektiv där ett land kan vara bättre eller sämre i relation till ett annat. Samtidigt finns många faktorer som samvarierar och påverkar varandra, vilket gör att det är svårt att jämföra hela eller enskilda delar av hälsodataområdet. Utredningen har dock försökt att i så stor mån det är möjligt att fokusera på insatser som andra länder gjort och sätta det i en kontext för att på så vis försöka kunna estimera hur lång tid det skulle ta för Sverige att uppnå ett liknande resultat, givet den svenska kontexten. För att göra detta har utredningen försökt kvantifiera i år som Sverige ligger efter föregångsländerna, syftet med det är att försöka konkretisera insatserna som behöver göras framgent i ett policycykelperspektiv. Utredningen vill poängtera att bedömningarna i detta kapitel endast är uppskattningar från utredningens håll och vill understryka att det är svårt att göra jämförelser mellan länder på ett så pass stort och vagt definierat område som hälsodataområdet är.
290Internationell jämförelse
10.2 Allmänna utgångspunkter
Sverige ser sig och har historiskt sett sig som ett land med god tillgång till hälsodata. Utredningens bedömning är att det är svårt att använda ett eller ett fåtal mått för att avgöra om ett land kan klassas som i framkant vad gäller tillgång till och användning av hälsodata. Flera mätningar, så som indexet för digital ekonomi och digitalt samhälle (DESI) är oftast generella och fokuserade på historiskt viktiga indikatorer, eller indikatorer som kanske är viktiga för länder som inte kommit så långt i sin digitala utveckling. Ett exempel på en sådan indikator är andelen kvinnor respektive män som använder internet. I Sverige är an- 1 delen som använder internet 95 procent bland både kvinnor och män och det finns inget som tyder på att det kommer ändras framöver. Ett mer informativt mått skulle kunna vara hur många personer under 18 år som kan programmera. Ett annat skulle kunna vara vilka länder som har handlingsplaner för att möt de behov av färdigheter som kommer av omställningen till en datadriven ekonomi. Av denna anledning är det svårt att göra en mer kvantifierbar jämförelse mellan olika länder och det är svårt att bedöma hur Sverige står sig gentemot andra länder. Om två eller flera olika länder ska jämföras så är det också viktigt att fastställa om det som jämförs är hur situationen ser ut just nu eller om det är prognosen över utvecklingen som jämförs. Utredningens bedömning är att det finns ett antal rapporter som belyst nuläget men att nuläget inte är så intressant ur ett policyperspektiv. Enligt utredningen är det viktigare att försöka förstå hur Sverige kommer ligga till i framtiden inom användning av hälsodata, jämfört med andra länder. Det finns olika sätt att gå till väga för att studera framtiden. En metod är genom att göra prognoser. Det finns en mängd olika sätt att göra prognoser på och utredningen kommer inte gå in i detalj på det. I korthet kan dock sägas att ofta baseras en prognos på historiska data och trender. Prognoser kan även kompletteras med exempelvis kvalificerade gissningar gällande större förändringar i framtiden som prognosmakaren bedömer kommer påverka utfallet. Förslaget till EHDS är ett sådant exempel på en händelse som sannolikt kommer ske i framtiden och som förhoppningsvis kommer ha en positiv effekt
1 Europeiska kommissionen, 2021, Women in Digital Scoreboard 2021.
291Internationell jämförelse
på trenden för användning av hälsodata, både inom och över landsgränser, oaktat de olika medlemsländernas tidigare situation. En annan metod är backcasting. Backcasting kan beskrivas som en ansats eller en metod inom framtidsstudiefältet där man vänder på perspektiven, i stället för att utgå från nuet och sedan analysera framtiden, utgår man från hur det skulle kunna vara i framtiden för att 2 öka förståelse för hur beslut i nuet skulle kunna påverka framtiden. Utredningen bedömer att det inte finns några sammanställda data av hög kvalitet som på ett tillförlitligt och tillfredsställande sätt kan beskriva vare sig nuläget eller trenden inom hälsodataområdet. Därmed bedömer utredningen att det behövs både en prognos för att beräkna tidshorisonten och en backcasting för att analysera vad som kan komma att behöva göras för att Sverige ska kunna nå målbilden som EU-kommissionen pekat ut. Utredningen bedömer också att hälsodataområdet är ett så kallat komplext system, vilket gör att det sannolikt inte kommer finnas uppdaterade och relevanta data som kan beskriva komplexiteten på hälsodataområdet, åtminstone inte i vår direkta närtid. Det här talar ytterligare för att det inte är lönt att utredningen själv försöker sammanställa sådan data utan i stället försöka resonera kring vilka de övergripande utmaningarna är och vilka de kritiska besluten kommer vara för att Sverige ska kunna rankas högt inom hälsodataområdet. En hög rankning i sig självt är inget självändamål, däremot finns det en risk kopplat till att medborgare upplever att den offentligt finansierade vården inte kan hantera data på samma sätt som övriga samhället och därmed inte dra nytta av fördelarna med dataanvändning.
10.3 Bedömning av Sveriges position i förhållande
till relevanta jämförelseländer
En prognos om hur många år Sverige ligger efter andra länder som ligger i framkant är endast en grov uppskattning från utredningens håll. Det finns inget facit för den här typen av bedömning utan är endast avsett att ge en indikation och ungefärlig uppskattning som ska kunna sättas i förhållande till vad som kan vara rimligt att åstadkomma under en mandatperiod.
2 Alm, S., Palme, J., & Westholm, E. 2012. Att utforska framtiden: valda perspektiv. Dialogos Förlag.
292Internationell jämförelse
Estimeringen kan göras på olika sätt, men utredningen har valt att göra enligt följande. Utredningen gjorde bedömningen ett år innan betänkandet publicerades, om inga åtgärder gjorts mellan det att utredningen gjorde sin bedömning och publicering så lägger detta till ett år till estimatet. Intervallet för denna del är 0–1 år. Från det att problemet blir känt för regeringen så tar det olika lång tid för regeringen att agera på informationen, vilket beror på en rad olika faktorer. Men generellt kan sägas att om ändringen är av sådan typ av den kräver lagändring så görs detta två gånger om året och föregås av beslutsprocess. Därav skulle ett initiativ som kräver lagändring ta, från identifierat problem till det att direktiven är beslutade innebära cirka 0,5–1 år. Det går att göra snabbare, men utredningen har ingen anledning att tro att hälsodatafrågorna skulle vara så akuta så att de togs utanför ordinarie processer. Till detta tillkommer själva utredningstiden på 1–2 år. Därefter påbörjas lagstiftningsprocessen i Regeringskansliet. Hur lång tid denna tar beror på en rad olika faktorer, men utredningen har valt att anta att det tar 1–2 år från att betänkandet levereras till dess att propositionen läggs fram för riksdagen. Beroende på vad det är för förslag så tillkommer olika lång ikraftträdandetid. Eftersom flera av förslagen på hälsodataområdet rör kommunsektorn och exempelvis deras journalsystem så krävs ofta i alla fall ett år. Sammantaget blir då lagstiftningsprocessen 3,5–6 år från initiativ till dess att lagen träder ikraft. Om initiativet kräver reformmedel, vilket är fallet för hälsodataområdet, behöver det beslutas om i budgetpropositionen. Även här skulle det kunna beslutas i höst- och vårändringsbudgeten, men utredningen har även här ingen anledning att tro att hälsodatafrågorna skulle vara så akuta att de beslutades om medel rörande hälsodata i ändringsbudgetarna. Beroende på när problemet blir känt för regeringen så tar det upp emot ett år till nästa budgetproposition. Intervallet här blir därmed 0,5–1 år. Ett problem med hälsodataområdet är att det är väldigt komplext, har många ömsesidiga beroenden och kräver infrastruktursatsningar, som inte sällan tar lång tid och är kostsamma (se exempelvis SOU 2021:71). Ett annat verktyg som regeringen har är myndighetsstyrningen och ett myndighetsuppdrag kan tas fram på några få veckor och uppdragstiden kan variera men är ofta runt ett år.
293Internationell jämförelse
En utmaning på hälsodataområdet är att det inte sällan krävs utredning antingen i form av ett myndighetsuppdrag eller en statlig utredning. Därefter krävs det reformmedel och att infrastruktur byggs. Utredningen anser att det inte är orimligt att anta att det i samband med det uppdagas nya behov av lagstiftning eller att det i vissa fall inte går att lagstifta om något innan infrastrukturen är byggd. Exempelvis kan utredningen inte lämna författningsförslag för datahubben eftersom en sådan inte finns. Detta gör att det först kommer krävas utredning, vilken kan ta 3,5–6 år, följt av beslut av budgetproposition och myndighetsuppdrag, vilket då tar ytterligare 1–1,5 år. Följt av ytterligare ett lagstiftningsärende på 3,5–6 år. Utredningens bedömning är dock att vissa saker går att göra parallellt åtminstone delar av tiden och bedömer inte att spannet blir 8–13,5 år, samtidigt är det inte så mycket som går att göra parallellt. Utredningen bedömer att det därför krävs cirka 4,5–7 år bara för att ta fram något som liknar exempelvis Findata (se avsnitt 10.4) eller den franska datahubben (se avsnitt 10.3.11). Eftersom det enligt utredningens bedömning kommer krävas åtminstone två på varandra följande lagstiftningsärenden. Att studera framtiden innebär av naturliga skäl att det finns en stor grad av osäkerhet. Exempelvis är det svårt för utredningen att bedöma på vilket sätt Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om ett europeiskt hälsodataområde COM(2022) 197 final av den 3 maj 2022, förkortad förslaget till EHDS, kommer att påverka estimeringen. Därutöver tillkommer politiska prioriteringar, prioriteras frågorna högt kan det gå snabbare, prioriteras de lågt kan det ta längre tid. Utredningen har valt att utgå ifrån länder som på ett eller annat sätt sticker ut och har lyckats ta fram system, lösningar eller modeller som skapar nytta med hjälp av hälsodata eller som underlättar vidareanvändande av hälsodata. Fokus kommer ligga på europeiska länder eller andra länder som på annat sätt bedömts vara jämförbara med Sverige. Utredningen har valt ut ett antal rapporter från större internationella aktörer så som OECD och EU-kommissionen, relevanta myndighetsrapporter samt gjort egna bedömningar.
294Internationell jämförelse
10.3.1 OECD
Under 2021 publicerade OECD en undersökning hur infrastrukturen och styrningen för hälsodata såg ut i de olika länderna. 3 Undersökningen fokuserar primärt på två utfallsmått, det ena är tillgång till data, det andra är styrningsmodell. På tillgång till data fick Sverige ett betyg på 6,84 av 8 möjliga, att jämföras med medelvärdet som ligger på 5,41 och där Danmark, som fått högst poäng ligger på 7,77. Utredningen bedömer att resultaten i denna jämförelse ska tolkas med försiktighet, då denna bedömning baseras på ländernas tillgång på data gällande diabetes och hjärt- och kärlsjukdomar och därav inte representerar datatillgången i allmänhet. De två kvalitetsregistren som har data över diabetes och hjärt- och kärlsjukdomar kan anses vara bland de mest utvecklade kvalitetsregistren som Sverige har. Det finns skillnader mellan register och alla är inte lika välutvecklade som dessa två. På styrmodeller får Sverige en poäng på 10,22 av totalt 15, vilket är samma som medelvärdet för de jämförda länderna. Betyget kan jämföras med Danmark, som är det land som fått högst poäng och fått 14,90 av 15 poäng. Även vad gäller styrningsmodell bedömer utredningen att resultaten är svåra att dra några större generella slutsatser ifrån. Det beror på flera orsaker, bland annat att det är ett litet antal frågor som ställts, inom ett förhållandevis smalt område. Därutöver rör frågorna ett begränsat antal datamängder vilka utredningen inte bedömer är representativa för Sverige och därmed sannolikt inte representativa för de andra jämförbara länderna heller. Slutligen bedömer utredningen att det är svårt att dra några generella slutsatser utifrån denna jämförelse, men kan konstatera att jämförelsen stödjer bedömningen att Sverige historiskt haft god datatillgång, men lite eller inget om nutidens eller framtidens behov och tillgång till data.
10.3.2 EU
Under det franska ordförandeskapet i EU:s ministerråd första halvåret 2022 lät det franska hälsoministeriet företaget EY göra en nationell jämförelse mellan medlemsländerna. 4 Rapporten är en så kallad
3 Oderkirk J. (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/55d24b5den. 4 https://ue.esante.gouv.fr/sites/default/files/202207/Final%20Report%20of%20the%20stu dy%20on%20digital%20health.pdf (Hämtat 2023-03-30).
295Internationell jämförelse
skrivbordsanalys, som bygger på publika källor och inte på intervjuer. Utredningens bedömning är att rapporten innehåller flertalet felaktigheter gällande Sverige, exempelvis att Sverige har en lagstiftning för vidareanvändning av hälsodata och att Sverige har ett tvingande regelverk för interoperabilitet. Eftersom båda dessa frågor utreds för närvarande så kan utredningen konstatera att denna rapport inte kan användas för att jämföra hur de olika länderna ligger till i förhållande till varandra och utredningen har inte hittat några andra tillförlitliga och relevanta data från EU som går att använda för att göra en relevant jämförelse mellan länderna.
10.3.3 Global digital health partnership
Global digital health partnership (GDHP) är ett samverkansprojekt mellan en mängd stater och projektet syftar till att vara en internationell plattform där länder kan lära av varandra inom hälsodataområdet. (GDHP) gjorde i juli 2020 en jämförelse mellan olika länder och hur långt de kommit med sitt arbete med interoperabilitet på hälsodataområdet. 5 I deras jämförelse fick länder svara på frågor rörande hur höga de upplevde att hindren var inom interoperabilitetsområdet. Skalan går från 0 till 3 där 0 betyder att det inte finns några hinder och utmaningar, medan 3 betyder att det finns höga hinder och stora utmaningar. Ett medelvärde räknades sedan fram per land samt ett medelvärde för samtliga länder. Sverige fick ett medelvärde på 2,2 vilket är högst av alla de 22 jämförda länderna. Medelvärdet för länderna som ingick var 1,32. Av jämförelsen kan det även konstateras att Sverige har ett dåligt resultat på frågor rörande förvaltningsmodell, enhetlighet och reglering.
10.3.4 TEHDAS
Finska Sitra koordinerar ett EU-projekt som heter Towards European health data space (TEHDAS) där 25 länder deltar. En arbetsgrupp inom TEHDAS har besökt tolv medlemsländer och sammanställt ett underlag per land gällande varje lands förberedelser inför förslaget till
5 Rucker, D., Hasan, A., Lewi,s L., Tao, D. Advancing Interoperability Together Globally: GDHP White Paper on Interoperability; July 2020. Sydney, Australia.
296Internationell jämförelse
EHDS. 6 Utredningens bedömning är att de faktablad som TEHDAS låtit ta fram är de mest nyanserade och korrekta sammanställningarna av alla de jämförelser som gjorts mellan några av EU:s medlemsländer. Utredningen har valt att inte redogöra för samtliga 12 länder som TEHDAS intervjuat, utan kommer i stället redogöra för ett urval som utredningen bedömer är av särskilt intresse. Länderna som utredningen valt att titta närmare på är Danmark, Estland, Finland och Tyskland. Danmark och Finland är av intresse eftersom de nordiska länderna sannolikt är de som liknar varandra mest. Estland har valts eftersom de ofta lyfts fram som ett föregångsland och Tyskland eftersom utredningen bedömer att Tyskland likt Sverige har en hög grad av decentralisering och därmed liknande utmaningar. I korthet kan sägas att Sverige har liknande utmaningar som de andra länder som TEHDAS varit i kontakt med. Kompetensbrist lyfts av i stort sett samtliga länder, brist på infrastruktur och fungerande styrningsmodell lyfts av flera om än inte alla. 7 Generellt sett kan också sägas att länderna ställer sig positiva till förslaget till EHDS, men de flesta länderna ser också risker med förslaget till EHDS om inte vissa begrepp och skrivningar i förslaget förtydligas. Flera länder ser också risker kopplat till bristande finansiering för att få till stånd den infrastruktur som förslaget till EHDS kommer att kräva. 8
10.3.5 Myndighetsrapporter
Utredningen har valt att framför allt utgå ifrån två myndighetsrapporter från Myndigheten för vård- och omsorgsanalys (hädanefter Vårdanalys) eftersom dessa är de två senaste rapporterna som utredningen kunnat identifiera som specifikt tittar på hälsodata och strukturreformer inom hälso- och sjukvården. Det finns andra myndighetsrapporter som gör internationella jämförelser, men dessa fokuserar ofta på en specifik del av hälsodataområdet och inte på hälsodataområdet i stort.
6 https://tehdas.eu/packages/package-4-outreach-engagement-and-sustainability/tehdascountry-visits/ (Hämtat 2023-04-04). 7 Se exempelvis avsnitt Resources (human, technical, financial) i respektive lands faktablad. https://tehdas.eu/packages/package-4-outreach-engagement-and-sustainability/tehdascountry-visits/ (Hämtat 2023-04-04). 8 Se avsnitt European Health Data Space (EHDS) i respektive lands faktablad. https://tehdas.eu/ packages/package-4-outreach-engagement-and-sustainability/tehdas-country-visits/ (Hämtat 2023-04-04).
297Internationell jämförelse
Ökad precision i Europa
Vårdanalys analyserade i sin rapport sju europeiska länders satsningar på precisionsmedicin och hälsodata och rapporten publicerades 2021. I korthet anger myndigheten att de tre länderna som ligger i framkant inom hälsodata är Danmark, Finland och Island och att gemensamt för länderna är statliga nationella satsningar på infrastruktur som kompletteras med lagstiftning med tydliga krav på exempelvis anslutning till infrastrukturen. I rapporten har myndigheten också lyft fyra andra internationella jämförelser. Av dessa två bedömer utredningen att det finns två som är relevanta för utredningens jämförelse, de två som sållats bort är en rapport från E-hälsomyndigheten som fokuserar på invånarens tillgång till hälsodata och den andra är en rapport från The commonwealth fund som fokuserade på primärvårdsläkare, där tre av utfallsmåtten rörde hälsodata. Utredningen bedömer att dessa två jämförelser inte är relevanta för denna jämförelse, eftersom de berör två nischade delar av hälsodataområdet. Nedan följer en kort redogörelse för de två rapporter som utredningen bedömt är relevanta för jämförelsen.
Mirror, mirror 2021: Reflecting poorly – Health care in the U.S. compared to other high-income countries
I denna undersökning från 2021 rankas 11 länder, bland andra Nederländerna, Norge, Storbritannien och Tyskland samt Sverige. Jämförelsen gäller bland annat administrativ effektivitet som mäts i fem indikatorer. Fyra av indikatorerna avser mängden administration för primärvårdsläkare och den femte mäter hur stor andel av patienter som vänt sig till akuten i stället för exempelvis en vårdcentral till följd av att vårdcentralen inte var öppen eller tillgänglig. Sverige hamnar på plats 7 av 11 i jämförelsen när de olika indikatorerna läggs samman. Det är svårt att dra några långtgående slutsatser ifrån jämförelsen eftersom det inte var administration i sjukvården som jämfördes. Däremot ger det en indikation på att primärvårdsläkare i Sverige i förhållande till jämförelseländerna spenderar mycket tid på administration.
298Internationell jämförelse
Tabell 10.1 Tabell som visar ländernas ranking inom varje mätområde
samt genomsnittlig ranking
Land Tillgång Vårdprocess Administrativ Jämlikhet Medicinska Genomsnittlig
till vård effektivitet resultat ranking
AUS 8 6 2 1 1 3 CAN 9 4 7 10 10 10 FRA 7 10 6 7 6 8 GER 3 9 9 2 7 5 NETH 1 3 8 5 4 2 NZ 5 1 3 9 8 6 NOR 2 8 1 8 2 1 SWE 6 11 5 6 5 7 SWIZ 10 7 10 3 3 9 UK 4 5 4 4 9 4 US 11 2 11 11 11 11 Källa: Eric C. Schneider et al., Mirror, Mirror 2021 — Reflecting Poorly: Health Care in the U.S. Compared to Other High-Income Countries (Commonwealth Fund, Aug. 2021). https://doi.org/10.26099/01DV-H208.
A vision of a nordic secure digital infrastructure for health data: the nordic commons
I NordForsks rapport bedöms Danmark, Norge, Finland och Sverige. status för sju olika typer av data uppfyller FAIR-principerna (Findable, Accessible, Interoperable, Reusable, se avsnitt 3.4.12). Typerna av data som jämförs är 1. Hälsodataregister, 2. Kvalitetsregister, 3. Biobanker, 4. OMICS, 5. Laboratoriedata, 6. Forskningsdata inom hälsa, 7. Socioekonomiska register.
I fyra av datatyperna har Danmark kommit längst, i en har Norge kommit längst, i en annan bedöms Danmark, Norge och Finland ha kommit lika långt. För ytterligare en datatyp bedöms samtliga fyra
299Internationell jämförelse
länder ha kommit lika långt. I två datatyper ligger Sverige ensamt sist. De olika typerna och Sveriges status redogörs för i tabellen nedan. Jämförelsen ska tolkas med försiktighet, det ger dock en indikation på att Sverige inte arbetat eller åtminstone inte lyckats lika bra med att få ner transaktions- och insamlingskostnaderna för sina hälsodatamängder lika mycket som de andra nordiska länderna.
300Internationell jämförelse
Tabell 10.2 FAIR-status för olika typer av hälsodata i Danmark,
Sverige, Finland och Norge
Ljusgrå = Acceptabelt, grå = Arbete pågår, Mörkgrå = Inte tillfredställande
Domän Land Finadble Accessible Interoperable Reusable Hälsodataregister Danmark Sverige Finland Norge Kvalitetsregister Danmark Sverige Finland Norge Biobanker Danmark Sverige Finland Norge OMICS Danmark Sverige Finland Norge Laboratoriedata Danmark Sverige Finland Norge
Forskningsdata
Danmark
inom hälsa
Sverige Finland Norge
Socioekonomiska
Danmark
register
Sverige Finland Norge Källa: NordForsk, 2019, A vision of a Nordic secure digital infrastructure for health data: The Nordic Commons.
301Internationell jämförelse
Strukturreformer i hälso- och sjukvårdssystem
I korthet konstaterar Vårdanalys att de mest genomgripande förändringarna som skett av svensk hälso- och sjukvård skedde under perioden 1960–1992, vilka ökade decentraliseringen. Strukturreformerna i Danmark och Norge har fokuserat på ökad centralisering och myndigheten konstaterar sammanfattningsvis att den ökade graden av statlig styrning och större regioner tycks ha lett 9 till följande effekter: – Färre och större sjukhusorganisationer. – Blandade effekter på förmågan att koncentrera specialiserade behandlingar. – Ökad produktivitet. – I vissa avseenden kortare väntetider. – Vissa positiva effekter på geografisk likvärdighet. – Utmaningar i att skapa sammanhållen och förebyggande vård. – Vissa positiva effekter på forskning och infrastruktur. – Signaler om minskad lokaldemokrati men ökat patientinflytande.
Gällande den danska strukturreformen konstaterar myndigheten att byråkratiseringen minskat: Den samlade bedömningen av den danska kommunalreformen från 2007 är att den har lett till mindre byråkrati och att den genom hälsoavtalen har skapat förutsättningar för bättre ansvarsfördelning, kommunikation och samordning av vården mellan olika myndigheter. 10
Myndigheten konstaterar också att det haft positiva effekter för ett mer sammanhållet it-system, vilket generellt är positivt för möjligheten att använda hälsodata. 11 Det utökade mandatet att styra och koordinera sjukhusvården har också lett till ett mer sammanhållet it-system. I och med etablerandet av regioner utvecklades ett enhetligt it-system för varje region. Det har gett
9 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem, s. 27. 10 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem, s. 66. 11 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem, s. 70.
302Internationell jämförelse
förutsättningar för ett mer effektivt informationsutbyte och därmed en mer sammanhängande vård. Tidigare hade varje landsting egna system för till exempel elektroniska patientjournaler.
10.3.6 Estland
Ett land som återkommande lyfts när det kommer till att använda hälsodata är Estland. Estland påbörjade sitt arbete med att digitalisera sin offentliga sektor 1994 i samband med beslutet om principerna för informationspolicy för Estland. 12 År 2008 infördes ett nationellt system för att integrera data för vårdgivare i Estland. Detta mål liknar den målbild som EU-kommissionen presenterat i förslaget till EHDS, men även i meddelanden från EU-kommissionen (COM(2018) 233 final). Det ligger också i linje med den målbild som utredningen presenterade i sin promemoria till regeringen om att skapa en nationell digital infrastruktur (se bilaga 4 Promemoria med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet). Under antagandet att målbilden skulle kunna uppnås enbart genom att förslagen som utredningen lämnat i sin promemoria samt att pågående utredningar leder till nödvändiga lagändringar, skulle en sådan process troligtvis vara klar som tidigast 2026. Denna uppskattning baserar utredningen på att Utredningen om infrastruktur för hälsodata som nationellt intresse (S 2022:10) ska lämna sitt slutbetänkande senast 30 april 2024. Därefter tillkommer beredning i Regeringskansliet fram till dess att en proposition kan lämnas över till beslut i riksdagen. Det är vidare rimligt att anta att enbart perioden för ikraftträdandet sannolikt kommer ligga på upp emot ett år. Baserat på dessa antaganden skulle Sverige ligga minst 18 år efter Estland gällande att ha en nationellt fungerande digital infrastruktur för hälsodata med hög grad av teknisk och semantisk interoperabilitet, med tillhörande digitala medborgartjänster. Detta är dock en grov jämförelse som förmodligen överskattar hur långt efter Sverige ligger Estland, men det ger en indikation på ungefär hur Sverige förhåller sig till Estland. I GDHP:s jämförelse ligger Estland på 0,8 i snitt jämfört med Sveriges 2,2. Detta styrker att Sverige ligger efter Estland, men det är svårt att kvantifiera hur långt efter i tid Sverige ligger endast baserat på dessa data.
12 https://e-estonia.com/story/ (Hämtat 2023-03-30).
303Internationell jämförelse
I OECD:s jämförelse får Estland 6,09 av 8 poäng gällande datatillgänglighet och 9,44 poäng av 15 gällande styrningsmodell, att jämföra med Sveriges 6,84 respektive 10,22 poäng. Resultaten indikerar att Sverige fortsatt står sig bra gentemot Estland avseende datatillgång och att länderna ligger förhållandevis lika avseende styrmodell. Även här är det svårt att göra en uppskattning av hur Sverige förhåller sig till Estland kvantifierat i tid, det beror också på vad det är som mäts. Utredningens slutsats är att Estland ligger före Sverige vad gäller infrastruktur för hälsodata och att Estland utvecklas i en snabbare takt än Sverige, men att Sverige i dagsläget har en bättre datatillgång på vissa områden än vad Estland har. Utredningen bedömer dock att det försprånget kommer vara borta inom några år till följd av att Estland har bättre förutsättningar för en skalbar och effektiv datainsamling.
10.3.7 Danmark
Danmark finns inte med i GDHP:s jämförelse, men är med i både TEHDAS kartläggning och i OECD:s jämförelse. I OECD:s jämförelse får Danmark 7,77 av 8 poäng på tillgång till data 13 , att jämföra med Sveriges 6,84. På styrmodeller får Danmark 14 en poäng på 14,90 av 15, att jämföra med Sveriges 10,22. Resultaten är väntade eftersom datamängderna som analyseras i delen om tillgång till data är begränsade och avser om än centrala datamängder, datamängder som flera av de nordiska länderna samlat in under många år. Det är inte heller oväntat att Danmark får ett bättre resultat gällande styrmodell eftersom Danmark, likt Finland, Norge och Estland gjort stora strukturreformer i närtid som bland annat syftat till starkare statlig styrning och i de hänseenden som rör styrmodeller för hälsodata saknar Sverige en sådan motsvarande statlig styrmodell. Sveriges nuvarande modell bygger i stor utsträckning på frivillighet. 15
13 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 34. 14 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 75. 15 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem. Erfarenheter från Danmark, Norge, England och Nederländerna.
304Internationell jämförelse
Av TEHDAS kartläggning anger Danmark varken decentralisering, bristande eller svag styrning som ett problem 16 , vilket sannolikt beror på den strukturreform som genomfördes i Danmark 2007, vars ena 17 syfte bland annat var att stärka statens styrning. Därtill så etablerade Danmark den statliga myndigheten Sundhetsdatastyrelsen 2015 i syfte att skapa ett sammanhängande system för hälsodata och digitala lösningar till nytta för patienter och kliniker samt forskning och administration inom hälso- och sjukvården. Myndigheten omsatte år 2020 drygt 400 miljoner danska kronor, varav 300 miljoner var anslagsfinansierat. Danmark har därtill tagit fram en handlingsplan för en nationell forskningsinfrastruktur kopplat till hälsodata. 18 Av det ovan beskrivna är det svårt att estimera hur långt före Danmark ligger, men Danmark har dels gjort en strukturreform 2007, vilket regeringen aviserat att även Sverige ska utreda med start 2023 (prop. 2022/23:1 Utgiftsområde 9 s. 46). Det är rimligt att anta att en sådan reform skulle vara utredd och beslutad om som tidigast fyra år, vilket skulle innebära att Sverige gör en liknande reform som Danmark cirka 20 år senare. Danmark etablerade 2015 den statliga myndigheten Sundhedsdatastyrelsen i syfte att skapa sammanhängande hälsodata och digitala lösningar till nytta för patienter och kliniker samt forskning och administration inom hälso- och sjukvården. 19 Utredningens bedömning är Danmarks lösning är liknande de lösningar som utredningen föreslog i sin promemoria (se bilaga 4 Promemoria med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet Baserat på antagandet att Regeringen skulle välja att bygga upp en nationell digital infrastruktur i år så är Sverige ungefär åtta år efter Danmark. Sammanfattningsvis kan sägas att Sverige ligger efter Danmark på hälsodataområdet i de flesta hänseendena, både gällande datatillgång, effektiv datainsamling och datadelning. Utredningens väldigt grova uppskattning är att Sverige ligger någonstans emellan 4 och 20 år efter Danmark. Utredningens bedömning är att det gissningsvis rör sig om cirka 10 års utveckling för att komma till den nivå som Danmark är på nu, men att det framför allt beror på strukturreformen och att Sverige
16 TEHDAS, 2022, Country visit – Denmark. 17 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem. Erfarenheter från Danmark, Norge, England och Nederländerna. 18 Myndigheten för vård- och omsorgsanalys, 2021, Ökad precision i Europa. 19 Myndigheten för vård- och omsorgsanalys, 2021, Ökad precision i Europa, s. 30.
305Internationell jämförelse
teoretiskt skulle kunna komma upp i en liknande nivå på 6–8 år med en aggressiv reformagenda. Vad gäller Danmarks utvecklingstakt så är den svår att bedöma och utredningen kan bara konstatera att utvecklingstakten i Danmark på detta område är snabbare än i Sverige.
10.3.8 Norge
Norge ingår inte i GDHP:s jämförelse, men ingår däremot i OECD:s jämförelse. I den jämförelsen får Norge 5,91 av 8 poäng gällande tillgång till hälsodata, jämfört med Sveriges 6,84. 20 Avseende styrmodell så rankar Norge näst lägst av samtliga jämförda länder och får där 6,90 21 av 15 poäng, att jämföra med Sveriges 10,22. Norge genomförde 2002 en strukturreform som centraliserade sjukhusvården. Ett par av reformens syften var att korta ner väntetiderna och skapa bättre förutsättningar för nationella it-system och stärka förutsättningarna för forskning och utveckling och få till en bättre koordinering av sjukhusinvesteringar. Även om det funnits negativa effekter av reformen så har den inneburit en positiv effekt på just väntetiderna, förutsättningarna för forskning och utveckling för att nämna några av de positiva effekterna. 22 Norge beslutade 2013 om en hälso- och omsorgsstrategi med satsningar på hälsodata som en nationell tillgång. Därefter tillsattes en utredning 2016, som slutrapporterade 2017, där bland annat förslag om en datahubb lämnades. En plattform började byggas 2020 med planen att lanseras 2022, men pausades 2021 till följd av Schrems IIdomen och det är i dag oklart när plattformen ska vara klar. 23 Norge beslutade också 2002 i samband med strukturreformen om 24 en nationell branschstandard för hälsodata, vilket liknar det uppdrag som Utredningen om infrastruktur för hälsodata som nationellt intresse (S 2022:10) har.
20 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 34. 21 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 75. 22 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem. Erfarenheter från Danmark, Norge, England och Nederländerna, s. 92. 23 https://www.ehelse.no/aktuelt/setter-arbeidet-med-helseanalyseplattformen-pa-pause (Hämtat 2023-04-06). 24 https://www.ehelse.no/normen/om-normen (Hämtat 2023-04-06).
306Internationell jämförelse
Även om Sverige och Norge liknar varandra på många sätt genomförde Norge en större strukturreform redan 2002, men till skillnad från exempelvis Danmark, Frankrike och Storbritannien så centraliserades endast sjukhusvården. Den ökade centraliseringen av specialistvården verkar dock ha lett till ökade förutsättningar för användning av hälsodata, även om den decentraliserade primärvården verkar försvåra dataförsörjningen. Av den anledningen är det svårt att jämföra hur Sverige ligger till i förhållande till Norge. Norge verkar ha större utmaningar med vissa delar så som datatillgång, men har kommit längre vad gäller interoperabilitet och datadelningstjänster. Utredningens bedömning är därför att Sverige och Norge ligger både före och efter varandra fast inom olika delar av hälsodataområdet. Norge har en starkare utvecklingstrend och deras arbete med datatillgång, uppdateringsfrekvens och kostnaden för datadelning förbättras i en snabbare takt än i Sverige. Det finns inget som tyder på att deras utvecklingstakt håller på att stanna av och det är därför sannolikt att de kommer fortsätta att bli bättre än Sverige samt gå om Sverige i de avseenden där Sverige i dag är bättre än Norge. En sådan prognos bygger på antagandet att Sverige inte börjar fatta beslut som stärker den svenska utvecklingen.
10.3.9 Tyskland
Tyskland ingår inte heller i GDHP:s jämförelse, men ingår däremot i OECD:s jämförelse. I den jämförelsen får Tyskland 3,64 av 8 poäng 25 gällande tillgång till hälsodata, jämfört med Sveriges 6,84 och 8,33 poäng av 15 avseende styrningsmodell för hälsodata, jämfört med Sveriges 10,22. 26 I och med Tysklands historia så finns inte samma kultur och tillit till statlig datainsamling, vilket skulle kunna vara en förklaring till att de får så låg poäng gällande tillgång till data. Tyskland är, likt Sverige, mycket decentraliserat. Exempelvis har Tyskland 16 delstater med viss lagstiftningsmakt. Detta skulle kunna vara en av förklaringarna till den låga poängen avseende styrmodeller då det är svårt att få till en enhetlig nationell styrning.
25 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 34. 26 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 75.
307Internationell jämförelse
I Vårdanalys rapport framgår att Tyskland antog en ny lag 2019 i syfte att driva på den digitala utvecklingen inom vården och därmed gjorde det obligatoriskt för sjukhus och apotek att ansluta sig till den nationella digitala infrastrukturen, medan det är fortsatt frivilligt att ansluta sig för vissa vård- och rehabiliteringskliniker som tillhandahåller till exempel mödravård eller fysioterapi. 27 I Vårdanalys rapport om strukturförändringar konstaterar myndigheten också att Tyskland, tillsammans med Sverige och Norge är ett av de länder där flest patienter angett att vården inte lyckats samordna viktig information om 28 patientens medicinska bakgrund eller behandling. Av TEHDAS kartläggning framgår att den höga graden av decentralisering skapat liknande utmaningar som i Sverige och att även Tyskland står inför en omfattande omställning i och med förslaget till EHDS. Tyskland uppger att implementeringstiden för EHDS skulle behöva vara runt tio år. 29 Sammanfattningsvis kan noteras att Sverige och Tyskland står inför liknande utmaningar med ett decentraliserat hälso- och sjukvårdssystem, men att Sverige förmodligen ligger före Tyskland till följd av att Sverige historiskt legat bra till på hälsodataområdet. Det är svårt att ange i antal år hur stor skillnaden är, men sannolikt ligger Sverige före Tyskland gällande användning av hälsodata.
10.3.10 Storbritannien
Storbritannien finns inte med i OECD:s jämförelse, men är däremot med i GDHP:s jämförelse. Där får Storbritannien en poäng på 1,16 av 3 avseende hur stora barriärer som finns inom interoperabilitet på hälsodataområdet, att jämföra med Sveriges 2,20. Storbritanniens lägre poäng kommer framför allt från att de har en starkare styrning och 30 mindre frivillighet, vilket lett till lägre barriärer för att dela data. I Vårdanalys landsjämförelse konstateras egentligen bara att Storbritannien etablerade en plattform som en gemensam ingång till 31 hälsodata 2020. I Vårdanalys rapport om strukturreformer konstaterar myndigheten att Storbritanniens system liknar de skandinaviska,
27 Myndigheten för vård- och omsorgsanalys, 2021, Ökad precision i Europa, s. 68. 28 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem. Erfarenheter från Danmark, Norge, England och Nederländerna, s. 31. 29 TEHDAS, 2022, Country visit – Germany, s. 4. 30 Rucker, D., Hasan, A., Lewis, L., Tao, D. Advancing Interoperability Together Globally: GDHP. White Paper on Interoperability; July 2020, Sydney, Australia. 31 Myndigheten för vård- och omsorgsanalys, 2021, Ökad precision i Europa, s.62.
308Internationell jämförelse
men att de länge har haft en betydligt mer centraliserad styrning av sjukvården som gjort det lättare att förändra strukturen i en enhetlig inriktning. Detta skulle kunna förklara varför Storbritannien lyckats 32 med flera av sina stora struktursatsningar inom hälsodataområdet. Storbritannien började också inrätta datahubbar redan 2019 och har sedan dess startat nio regionala datahubbar. 33 Varje hubb har specialiserat sig inom områden där det finns universitet med djup kunskap inom det specifika området. Varje hubb har också ett nära samarbete med hälso- och sjukvården, akademin, industrin och patienterna. 34
Figur 10.1 Bild över Storbritanniens datahubbar
Källa: https://www.hdruk.ac.uk/helping-with-health-data/health-data-research-hubs/ (Hämtat 2023-05-25).
Eftersom Storbritannien lämnat EU så tillämpar de inte längre GDPR och skiljer sig därför åt jämfört med flera andra europeiska länder. I stället tillämpar de Data Protection Act 2018, som har inkorporerat GDPR:s bestämmelser till brittisk lagstiftning. 35 Storbritanniens utträde ur EU minskar därmed jämförbarheten med Sverige, vilket gör det svårt att säga något om ländernas framtida utvecklingstakt i förhållande till varandra.
32 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem. Erfarenheter från Danmark, Norge, England och Nederländerna, s. 45. 33 https://www.hdruk.ac.uk/helping-with-health-data/health-data-research-hubs/ (Hämtat 2023-04-06). 34 https://www.hdruk.ac.uk/helping-with-health-data/health-data-research-hubs/ (Hämtat 2023-05-25). 35 Overview – Data Protection and the EU | ICO, (Hämtat den 22 augusti 2023).
309Internationell jämförelse
Även om Storbritannien kommit långt inom hälsodataområdet har det inte varit helt utan kontroverser. Under 2013 informerade NHS att patientdata skulle extraheras till en central databas om patienterna inte aktivt valde att motsätta sig detta. Kritiken rörde framför allt den bristande informationen till patienterna och att genomförandet var dåligt förankrad bland patienter och vårdpersonal och inte kommu- 36 nicerats på ett bra sätt. Under 2021 genomförde Storbritannien en reform inom hälsodataområdet kallad General Practice Data for Planning and Research i syfte att tillgängliggöra patienternas data för planering och för forskning. Även denna reform fick omfattande kritik av patienter och de som arbetar inom hälso- och sjukvården bland annat på grund av att intrånget i den personliga integriteten inte upplevdes stå i proportion till nyttan. Kritiken bestod även av uppfattningen att staten inte på ett adekvat sätt konsulterat exempelvis medborgarna eller hälso- och sjukvårdspersonalen i tillräckligt stor utsträckning. Storbritannien har sedan dess arbetat intensivt med att lyssna in olika grupper för att få till lösningar som aktörerna anser acceptabla sett ur ett integritets- 37 perspektiv. Utredningens bedömning är att dessa exempel tydligt visar på riskerna med att dels välja för snabba lösningar, dels hur lätt det är att medborgarna tappar tilltron till datainsamlingen. En sådan effekt kan få till följd att medborgarna väljer att inte dela sina hälsodata. Detta är en viktig lärdom för Sverige, eftersom dåligt genomförda förslag riskerar att hämma snarare än att driva utvecklingen framåt. Att jämföra Sverige och Storbritannien inom detta område är svårt. Det finns dock en likhet i att Sverige inte alltid involverar och konsulterar medborgarna i samband med att ny insamling eller behandling av hälsodata. Storbritannien har drivit hälsodatafrågorna hårt, men i vissa delar brustit i sin transparens och medborgarinvolvering. Storbritannien har trots vissa omdiskuterade beslut nu lyckats bygga upp säkra behandlingsmiljöer för hälsodata 38 och tillgängliggör mycket hälsodata för bland annat forskning. 39
36 https://www.theguardian.com/technology/2016/jul/06/nhs-to-scrap-single-database-ofpatients-medical-details (Hämtat 2023-04-05). 37 https://digital.nhs.uk/data-and-information/data-collections-and-data-sets/data-collections/ general-practice-data-for-planning-and-research/about-the-gpdpr-programme (Hämtat 2023-04-05). 38 https://www.opendemocracy.net/en/ournhs/weve-won-our-lawsuit-over-matt-hancocks- 23m-nhs-data-deal-with-palantir/ (Hämtat 2023-04-05). 39 https://www.healthdatagateway.org/ (Hämtat 2023-04-05).
310Internationell jämförelse
Det är svårt att säga hur många år före Storbritannien ligger än Sverige, men utredningen kan konstatera att Storbritannien kommit längre i sin omställning till en mer datadriven hälso- och sjukvård än vad Sverige har. Med tillämpandet av samma antagande som användes för jämförelsen med Estland det vill säga att pågående utredningar och utredningens promemoria leder till att Sverige kommer ha ett lika utvecklat ekosystem för hälsodata som Storbritannien har gör utredningen bedömningen att Sverige ligger 6–7 år efter Storbritannien. Denna bedömning är dock behäftad med betydande osäkerhet.
10.3.11 Frankrike
Frankrike är inte med i GDHP:s jämförelse, men är däremot med i OECD:s jämförelse. Frankrike bedöms där, avseende tillgång till 40 data till en poäng om 5,42 av 8, att jämföra med Sveriges 6,84. På styrningsmodell får Frankrike 12,67 av 15 poäng, att jämföra med Sveriges 10,22. 41 Frankrike är inte med i varken TEHDAS kartläggning eller i Vårdanalys båda rapporter. Frankrike har också ett försäkringsfinansierat hälso- och sjukvårdssystem, 42 vilket gör att deras system skiljer sig en del mot det svenska. Frankrike reformerade delar av sitt sjukvårdssystem i samband med att en ny lag gällande sjukvårdens organisation och transformation trädde i kraft 2019. 43 Som en del i denna reform inrättades den franska hälsodatahubben, health data hub (LOI no 2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santè). Hälsodatahubben kan användas för beslutsstöd i hälso- och sjukvården, tillgängliggöra data för forskning och får användas av såväl offentliga och privata aktörer i de fall som syftet är att förbättra något
40 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 34. 41 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 75. 42 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem. Erfarenheter från Danmark, Norge, England och Nederländerna. 43 Reformen har innefattat flera lagändringar och initierades med LOI no 2016-41 du 26 janvier 2016 de modernisation de notre système de santé och själva hubben inrättades i samband med LOI n° 2019-774 du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé.
311Internationell jämförelse
för det offentliga. Det är uttryckligen förbjudet att använda data från huben i kommersiella syften. 44 I juli 2022 meddelade EU-kommissionen att konsortiet som leds av den franska hälsodatahubben vunnit utlysningen om att agera pilotprojekt för det europeiska hälsodataområdet HealthData@EU i syfte att bidra till kunskap i den pågående förhandlingen av förslaget till 45 EHDS. Det återstår att se hur utfallet av denna pilot blir. Även i Frankrike kan vi se att det de senaste åren har skett en strukturreform kopplat till hälsodata som haft fokus på ökad styrning och centralisering. Med tillämpandet av samma antagande som användes för jämförelsen med Estland, det vill säga att pågående utredningar och utredningens promemoria (se bilaga 4 Promemoria med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet) leder till att Sverige kommer ha ett lika utvecklat ekosystem för hälsodata som Frankrike har gör utredningen bedömningen att Sverige ligger 6–7 år efter Frankrike. Denna bedömning är dock behäftad med betydande osäkerhet.
10.4 Särskilt om Finland och Findata
Finland finns med i OECD:s jämförelse, men inte i GDHP:s. Finland finns också med bland de länder TEHDAS besökt. I OECD:s jämförelse får Finland 6,67 av 8 poäng avseende tillgång till data, att jämföra med Sveriges 6,84. 46 På styrningsmodell får Finland 12,78 av 15 poäng, att jämföra med Sveriges 10,22. 47 Av TEHDAS sammanställning framgår att Finland har i stort sett alla komponenter klara inför implementeringen av EHDS men att Finland kommer behöva utöka och utveckla befintliga komponenter 48 ytterligare till följd av ökade behov av datadelning. Det är svårt att bedöma hur Sverige ligger till i förhållande till Finland i synnerhet eftersom Finland precis genomgått en större hälso-
44 https://www.health-data-hub.fr/page/faq-english (2023-04-06). 45 https://www.health-data-hub.fr/sites/default/files/2022-07/Press%20release%20-%20EHDS2 %20pilot%20launch.pdf (Hämtat 2023-04-06). 46 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 34. 47 Oderkirk, J., (2021), ”Survey results: National health data infrastructure and governance”, OECD Health Working Papers, No. 127, OECD Publishing, Paris, https://doi.org/10.1787/ 55d24b5den, s. 75. 48 TEHDAS, 2022, Country visit –Finland.
312Internationell jämförelse
och sjukvårdsreform. Men uppskattningsvis ligger Sverige 6–10 år efter Finland.
10.4.1 Den finska sekundäranvändningslagen,
Findata och Finlands nationella datahubb
Finland tog under 2018 fram ett förslag på en ny lag för sekundäranvändning av hälsodata, lagen om sekundär användning av personuppgifter inom social- och hälsovården, förkortad finska sekundäranvändningslagen. Lagen trädde i kraft under 2019 och utgör en komplettering till dataskyddsförordningen (1 kap. 2 § finska sekundäranvändningslagen). Lagen ska ses som en del av en helhet, där den andra delen består av regleringen av de s.k. Kanta-tjänsterna. 49 Den till dataskyddsförordningen kompletterande nationella lagstiftning som reglerar personuppgiftsbehandlingen för Kantatjänsterna är lag om elektronisk behandling av kunduppgifter inom social- och hälsovården, och tar sikte på den primära användningen av personuppgifter inom social- och hälsovården (lag om elektronisk behandling av kunduppgifter inom socialoch hälsovården 1 kap. 1 och 2 §§). Sammanfattningsvis kan det sägas att lagen går ut på att förenkla processen när en aktör vill använda data från flera olika personuppgiftsansvariga, genom att utse en ansvarig myndighet, Findata, som blir ansvarig för inhämtandet av personuppgifter från dessa personuppgiftsansvariga för att sedan sköta utlämnandet till den aktör som begärt datan (RP 159/2017 rd s. 1 och s. 93). Findata har även möjlighet att samköra data från olika personuppgiftsansvariga och sammanställa material på olika sätt. Lagen skiljer på två typer av utlämnande från Findata, utlämnande i enlighet med ett tillstånd som beslutas av myndigheten själv, ett så kallat dataanvändningstillstånd, eller i enlighet med en begäran om information. Den senare avser endast aggregerade data som begärts för ändamål som omfattas av lagen (1 kap. 3 § p. 9 finska sekundäranvändningslagen). 50 En begäran om information ska handläggas snabbare än utlämnanden i enlighet med ett dataanvändningstillstånd.
49 Lagstiftning – Professionella – Kanta.fi (Hämtat 2023-08-22) och Sekundär användning av kanta uppgifter – Professionella – Kanta.fi (Hämtat 2023-08-22). 50 https://findata.fi/sv/tillstand/#Val-och-ifyllnad-av-ansokningsblankett (Hämtat 2023-08-22.).
313Internationell jämförelse
10.4.2 När får sekundäranvändning ske?
Den finska sekundäranvändningslagen har snävat in sekundäranvändningen genom att räkna upp sju ändamål och genom att ange vilka personuppgiftsansvarigas personuppgifter som omfattas av lagen. I 1 kap. 2 § finska sekundäranvändningslagen anges följande ändamål för vilka personuppgifter får behandlas för: • statistikföring, • vetenskaplig forskning, • utvecklings- och innovationsverksamhet, • undervisning, • informationsledning, • myndighetsstyrning och myndighetstillsyn inom social- och hälsovården, samt • myndigheternas planerings- och utredningsuppgifter.
Användande av data för att genomföra medicinsk och klinisk läkemedelsforskning 51 är exkluderat, och regleras i annan ordning, (se 1 § och 2 § p. 1 lag om medicinsk forskning (9.4.1999/488)). Vidare anges tre olika situationer för att det ska anses finnas grund för att lämna ut personuppgifter för ett sekundärt ändamål; att det finns ett tillstånd från de relevanta personuppgiftsansvariga, det finns ett tillstånd från Findata, eller med stöd i lag (4 kap. 35 §).
10.4.3 Rättslig grund enligt dataskyddsförordningen
Enligt förarbetena till den finska sekundärlagen utgör 4 kap. 35–38 §§ rättslig grund enligt artikel 6 i dataskyddsförordningen för datahållaren, alltså den som är personuppgiftsansvarig för insamlingen av personuppgifter för den primära användningen och för Findata. I de fall då mottagaren, alltså den som begärt data för ett sekundärt användningsändamål, är en offentlig aktör utgör lagen för särskilt angivna ändamål den rättsliga grunden även för dem, vilket regleras i 4 kap. 39–42 §§. Sistnämnda bestämmelser tar sikte på sekundäranvändning för de sär-
51 Den finska definitionen skiljer sig något från den svenska, se den finska lagen lag om medicinsk forskning (9.4.1999/488) för mer information.
314Internationell jämförelse
skilda ändamålen undervisning, myndighetsplanerings- och utredningsuppgifter, informationsledning, myndighetsstyrning och myndighetstillsyn inom social- och hälsovården. Är mottagaren en privat aktör anges det i förarbetena att den mottagaren även kan använda sig av intresseavvägning enligt artikel 6.1 f dataskyddsförordningen som rättslig grund (RP 159/2017 rd s.125).
10.4.4 Hur den finska datahubben fungerar i praktiken
Enligt 2 kap. 5 § sekundäranvändningslagen ska Findata förutom att bevilja tillstånd för sekundäranvändning i enlighet med lagen, ansvara för insamling, samkörning och förbehandling av data för att sedan kunna lämna ut i enlighet med beviljade tillstånd (2 kap. 5 § stycke 1). Av samma bestämmelse framgår att myndigheten har informationssäker drifttjänst för mottagande av personuppgifter och för utlämnande av sådana (se 2 kap. 5 § andra stycket samt 3 kap. 17 §). De har även en informationssäker driftsmiljö där en innehavare av tillstånd för sekundäranvändning kan bearbeta den data den får utlämnat till sig. Denna driftssäkra miljö kallas för Kapseli och fungerar i korthet som en fjärråtkomst, det vill säga att användaren kan nå den från sin egen dator. 52 Användandet av Kapseli faktureras sedan separat och kan köpas 53 in i olika nivåer. Kapseli är en driftsmiljö som är individualiserat på så sätt att det kopplas till ett specifikt tillstånd. En tillståndsinnehavare kan alltså inte använda den informationssäkra driftsmiljön för att bearbeta data som omfattas av ett annat tillstånd (se 3 kap. 20 § sekundäranvändningslagen). När en användare beviljats ett tillstånd från Findata, samlas sedan personuppgifter från de relevanta personuppgiftsansvariga in (i enlighet med tillståndet) till Findatas säkra driftsmiljö. Användaren har därefter tre månader på sig att gå igenom materialet för att kunna säkerställa att datan överensstämmer med deras beställning. Findata raderar samtlig data fyra månader efter att användaren tagit del av den, men sparar kodnyckeln utifall om att data behöver återställas. Alla tillstånd är tidsbegränsade och när denna tid gått ut så stängs användarens tillgång till Kapseli av och all data raderas då permanent. 54
52 https://findata.fi/sv/kapseli/ (hämtat 2023-08-23). 53 https://findata.fi/sv/kapseli/ (hämtat 2023-08-23). 54 Mailkonversation med Findata. Komm2022/00460/S 2022:04-33.
315Internationell jämförelse
Enligt lagen ska de olika personuppgiftsansvariga som omfattas av sekundäranvändningslagen (se 6 §) sammanställa materialbeskrivningar av den data de har i sina respektive datalager. De ska även ansvara för att det finns en rådgivningstjänst av sina egna data, för att de som behöver ska kunna få tillräcklig information om datainnehållet hos de personuppgiftsansvariga och på så sätt kunna bedöma om det täcker informationsbehovet (se 3 kap. 12–13 §§ sekundäranvändningslagen).
10.4.5 För- och nackdelar med den finska
sekundäranvändningslagen
Utredningen har varit i kontakt med den finska myndigheten Institutet för hälsa och välfärd (THL) och Findata för att bättre förstå vad som blivit bra, mindre bra och vilka utmaningar som fortfarande finns kvar. Några av fördelarna med Findata är att det blivit tydligare för aktörer som vill begära ut data till vem de ska vända sig. Även Findatas rådgivning där de ger råd i frågor som gäller ansökan om dataanvändningstillstånd, begäran om uppgifter och ändringstillstånd och allmänna råd angående lagen om sekundär användning har fått mycket positivt bemötande. För råd gällande specifika datamängder hänvisar Findata till de personuppgiftsansvariga, eftersom de oftast är dem som har bäst koll på sina egna data. Findata är fortsatt i en utvecklingsfas och det är därför svårt att i nuläget säga vilka av de negativa effekter som kommer gå över med tiden och vilka positiva effekter som kommer uppstå på sikt när systemet har anpassat sig efter de nya förutsättningarna och Findata har fått möjlighet att förbättra sin verksamhet. Findata har fått viss kritik för att regelverket och att deras uppdrag om att dela data i vissa fall inte fått bort mycket av den administration som var tänkt att försvinna för datahållarna. Exempelvis finns det i samband med behandlingen av dataanvändningstillstånd vissa datamängder där datahållarna själva ändå måste avgöra om data kan lämnas ut eller inte, så som när det rör sig om ett litet antal patienter. En anledning till det är att det är datahållaren som har förståelse och kunskap för de variabler som de kan lämna ut och vilken kvalitet just den data som ska lämnas ut har. Det antyder att en dialog ändå kan komma att behövas mellan dataanvändaren och datahållaren för vissa datamängder. Viss kritik har också framförts gällande att lagstiftningen är svår att tillämpa i praktiken och att lagstiftningen upplevdes som utdaterad
316Internationell jämförelse
inom vissa områden redan när den antogs, inte minst kopplat till teknikutvecklingen. Ett exempel där lagen ansetts särskilt otydlig och lett till tillämpningssvårigheter är hur innovationsbegreppet definierats och hur gränsen mellan forskning och innovation ska dras. Annan kritik som lyfts mot den finska lagen om sekundäranvändning är att den ansetts vara för detaljerad. Vidare har kritik getts för att det är långa handläggningstider hos Findata och att datauttag blivit mer kostsamma än tidigare. Vissa aktörer har även lyft att de upplever att den säkra behandlingsmiljön hos Findata är för hårt reglerad, exempelvis genom att den är för detaljerad eller för snäv, vilket gjort att den inte upplevs som ändamålsenlig, vilket är en av orsakerna till att universitetssjukhusen byggt upp egna behandlingsmiljöer. Vad som däremot kan sägas som positivt med den finska sekundäranvändningslagen är att bara ett hundratal individer har valt att opt:a ut, 55 att jämföra med Storbritanniens satsning 2021 där 1,4 miljoner personer opt:ade ut på bara två månader. 56,57
10.5 Sammanfattning
I korthet kan sägas att utredningen bedömer att Sverige ligger efter vad gäller nationell digital infrastruktur. Med det avser utredningen att Sverige har en bristande teknisk och semantisk interoperabilitet samt brist på nationellt tillgängliga medborgartjänster. De tjänster som finns, som exempelvis 1177 är tillgängligt för alla medborgare, men är inte tillgänglig för alla vårdgivare. Där till kommer att myndigheter har begränsad möjlighet att använda sig av den plattform som finns. Detsamma gäller nationella tjänsteplattformen som rent geografiskt finns tillgänglig, om än i olika utsträckning i hela landet, men där det också finns begränsningar i vilka som kan nyttja deras tjänster.
55 Kommunikation med Findata 2023-03-23, utredningens diarienummer: Komm2022/00460/S 2022:04-25. 56 https://www.opendemocracy.net/en/ournhs/millions-opt-out-of-englands-health-datasharing-plan/ (Hämtat 2023-04-25). 57 https://www.theguardian.com/society/2021/aug/22/nhs-data-grab-on-hold-as-millions-optout?CMP=fb_gu&utm_medium=Social&utm_source=Facebook&fbclid=IwAR2KbwEu7 BAEjCIelqEGK76r9HJS6xfyDWiVplidYcMTa0cM9UHJR0V-ihw#Echobox=1629617253 (Hämtat 2023-04-25).
317Internationell jämförelse
Utredningens bedömning är dock att Sverige fortsatt står sig bra när det kommer till detaljerade historiska data, vilket är en fortsatt styrka för Sverige. Utredningens bedömning är dock att bristen på nationell digital infrastruktur riskerar att göra att Sverige hamnar efter även på det området i framtiden.
10.6 Avslutande kommentarer
Sammanvägd bedömning:
1. Samtliga länder har uppgett att rekrytering och kompetens är en av de största utmaningarna för omställningen till en datadriven hälso- och sjukvård. Utredningen delar bedömningen de aktörer som TEHDAS intervjuat om att kompetensförsörjningen och kompetensväxlingen kommer vara en av de största strukturella utmaningarna för hälso- och sjukvården under det kommande decenniet, inte minst i ljuset av den omfattande utveckling som håller på att ske på dataområdet och inom klinisk genetik. 2. En av de enligt utredningen viktigaste lärdomarna från den internationella utblicken är att förtroendet för delning av hälsodata snabbt kan ändras. Brister i kommunikation och förankringen hos medborgarna kan få långtgående negativa effekter och utredningen bedömer därför att det är av yttersta vikt att invånarna informeras och involveras på ett tydligt sätt i reformprocesserna. Skyddet för den personliga integriteten måste värnas och medborgarnas inflytande och möjlighet till ansvarsutkrävande måste vara tydligt. 3. Sverige har halkat efter andra länder inom hälsodataområdet. En av anledningarna är, enligt utredningens bedömning, reformer som inte åstadkommit det som eftersträvats. Utredningens uppskattning är att Sverige befinner sig i en position där föregångsländerna befann sig för 7–15 år sedan. Utredningen bedömer dock att det inte behöver betyda att det tar 7–15 år för Sverige att komma i kapp, eftersom Sverige nu har många förlagor som går att kopiera. Däremot gör utredningen bedömningen att det mest sannolika scenariot för Sverige är att Sverige även framgent kommer ligga efter föregångsländerna. Detta
318Internationell jämförelse
eftersom det ter sig osannolikt att Sverige skulle gå från att vara en av de länder med lägst utvecklingstakt till att få en utvecklingstakt som är starkare än föregångsländerna. Ett första mål bör snarare vara att komma upp i samma utvecklingstakt som föregångsländerna. Utredningen ser att det finns potential för Sverige att komma i kapp föregångsländerna och på sikt återigen inta positionen som ett föregångsland inom hälsodata. Det skulle dock kräva omfattande politiska prioriteringar som sträcker sig över flera mandatperioder.
En begränsning med utredningens internationella jämförelse är att utredningen endast jämfört Sverige med länder som i stort liknar Sverige avseende exempelvis BNP per capita eller att de har liknande hälso- och sjukvårdssystem och så vidare. Utredningen har valt att inte jämföra Sverige med länder som kanske är mer lika Sverige gällande vissa utmaningar inom hälsodataområdet så som, Polen, Portugal, Tjeckien och Ungern som alla var del av TEHDAS kartläggning. Anledningen till detta var att utöver de utmaningar som Sverige står inför så står vissa av dessa länder inför andra utmaningar som Sverige inte står inför, exempelvis saknar vissa av länderna unika identifierare så som personnummer. Utvecklandet av Findata är enligt utredningen ett bra exempel som visar på komplexiteten i att ta fram lagstiftning på hälsodataområdet och hur beroende lagstiftningen är av tekniken. Utredningens bedömning är att arbetet kräver involveringen av såväl praktiker som jurister i lagstiftningsarbetet och att problemen behöver lösas i flera små delar, ibland parallellt och vissa seriellt. Det gör att det är svårt att uppskatta hur lång tid det kommer ta för Sverige att bygg upp liknande system. De länder som ligger före Sverige bröt ny mark och hade inga förlagor som de kunde ta inspiration ifrån. Sverige har såväl flera länder att hämta inspiration ifrån som hela förslaget till EHDS, vilket i stora delar syftar till att medlemsstaterna ska ta fram de system som föregångsländerna har byggt upp. Det är dock svårt att bedöma tidsbesparingen som följer av detta, i synnerhet eftersom många av de svåra frågorna kopplat till infrastrukturen för hälsodata snarare är nationella och starkt kopplade till vilket arv länderna har med sig in i arbetet med hälsodata. Utredningen bedömer dock att Sverige historiskt haft en god datatillgång och även fortsatt har god datatillgång inom vissa områden
319Internationell jämförelse
jämfört med andra länder. Föregångsländerna har dock byggt upp en infrastruktur som är mer skalbar, ekonomiskt effektiv och har en starkare och bättre styrning inom hälsodataområdet, och därmed nu också har en starkare utvecklingskurva. Utredningens noterar att samtliga av föregångsländerna har eller håller på att centralisera infrastrukturen för hälsodata och många gånger även styrningen av hälso- och sjukvården. De flesta länderna har arbetat med en nationell infrastruktur för hälsodata under många år, gjort stora investeringar och haft ett starkare politiskt fokus på hälsodatafrågorna än vad Sverige haft. Utredningens bedömning är att bristen på relevant statlig nationell styrning är en starkt bidragande faktor till Sveriges förhållandevis dåliga placering. Några exempel på sådan styrning är den prestationsbaserade vårdgarantin (kömiljarden), omställningen till god och nära vård, vision e-hälsa 2025 och utformningen av satsningen på nationella kvalitetsregister, för att nämna några. Utredningen baserar sin bedömning på de utredningar som gjorts av dessa reformer. Dessa utredningar pekar på att reformerna lett till 58,59 60,61,62 ökad administration i vården , utebliven effekt samt inte bidragit till en nationellt hållbar lösning (se bilaga 4 Promemoria med förslag om ändring av E hälsomyndighetens uppdrag inom hälsodataområdet). Utredningen anser att samtliga reformer, i varierad grad, haft en hög alternativkostnad och därmed haft en negativ påverkan på utvecklingen inom hälsodataområdet i Sverige och bidragit till Sveriges förhållandevis dåliga resultat. Sverige är i dag enligt utredningen i samma position som föregångsländerna befann sig för någonstans mellan 7 och 15 år sedan och att Sverige har en av de svagaste utvecklingskurvorna av samtliga av de jämförda länderna. Utredningen bedömer därför att Sverige kommer ligga mer efter föregångsländerna de kommande åren även om Sveriges utvecklingskurva skulle öka eftersom det kommer ta tid att komma upp i samma utvecklingstakt. Bedömningen är behäftad med betydande osäkerhet inte minst eftersom det är svårt att bedöma hur lika EU-
58 Myndigheten för vård- och omsorgsanalys, 2023, Ordnat för omställning? Utvärdering av omställningen till en god och nära vård: delrapport, s. 6 ff. 59 Myndigheten för vård- och omsorgsanalys, 2006, Lapptäcke med otillräcklig täckning, s. 14 ff. 60 Riksrevisionen, 2005, Ökad tillgänglighet i sjukhusvården? s. 24. 61 Riksrevisionen, 2022, På skakig grund – beslutsunderlag inför stora reformer s. 66. 62 Socialstyrelsen, 2014, Vårdgaranti och kömiljard Uppföljning 2013, s. 34.
320Internationell jämförelse
länderna kommer vara några år efter att EHDS trätt i kraft och hur den föreslagna förordningen kommer påverka ländernas utveckling. Utredningen ser tre scenarion framför sig för det svenska hälsodataområdet jämfört med föregångsländerna.
10.6.1 Scenario 1 – Utvecklingstakten ligger
kvar oförändrat eller försämras
Reformmässigt så har utvecklingstakten på hälsodataområdet enligt utredningen varit låg de senaste tio åren och flera utredningar på området har av olika skäl inte lett till lagstiftning och myndigheternas mandat, roll och relevans på området har också minskat under denna period, till förmån för stärkandet av Inera AB och SKR. Utredningens bedömning är att det inte är sannolikt att utvecklingstakten förblir oförändrad eller minskar eftersom Regeringen de senaste åren tillsatt en rad utredningar och beslutat om ett stort antal regeringsuppdrag på hälsodataområdet. Men för fullständighetens skull bedömer utredningen att detta scenario ändå kan vara intressant att lyfta, eftersom det på ett bra sätt tydliggör vilka effekter en försämrad utvecklingstakt är och riskerna med att inte investera i hälsodataområdet. Utredningen ser en risk med att Sverige skulle kunna hamna i en situation där förtroende för offentligt finansierad och offentlig utförd vård skulle kunna börja försvagas om Sverige hamnar ännu mer efter exempelvis våra grannländer. En konsekvens av det skulle kunna vara att allt fler som följd kommer att teckna privata sjukvårdsförsäkring eller välja privata alternativ. Det skulle i sin tur också bidra till att öka de socioekonomiska klyftorna. Utöver att detta skulle kunna skapa en större klyfta mellan individer baserat på deras inkomst så är det sannolikt också så att vårdens medarbetare kommer söka sig till de arbetsplatser som erbjuder en bättre arbetsmiljö där det finns tillgång till datadrivna beslutsstöd, automatiserad datainsamling och behandling. Utvecklingen skulle sannolikt också leda till att offentligt finansierad sjukvård i Sverige skulle vara relativt oproduktiv jämfört med våra grannländer. Det är enligt utredningen inte en sannolik utveckling på kort och medellång sikt att Sverige går från Beveridge-modell (skattefinansierad sjukvård) till Bismarck-modell (försäkringsfinansierad sjukvård) genom ökat antal privata sjukvårdsförsäkringar, eftersom dagens försäkringar generellt sett endast omfattar en mycket liten del av sjukvården (SOU 2021:80 s. 162).
321Internationell jämförelse
Ett mer troligt scenario är enligt utredningen snarare att missnöjet med hälso- och sjukvården ökar och leder till högre krav på politiken, samtidigt som problemen blir svårare och dyrare att lösa för varje år som går där problemen inte adresseras i tid. Ett sådant exempel skulle kunna vara genom ett ökat antal privata utförare. Privata utförare i sig behöver inte innebära varken något positivt eller negativt, men om det saknas tydlig nationell styrning så finns det stor risk att de privata utförarna, likt regionerna, skapar egna lösningar vilket fragmentiserar hälsodataområdet ytterligare.
10.6.2 Scenario 2 – Utvecklingstakten ökar
till att matcha föregångsländerna
Baserat på ett antagande att Sverige beslutar den lagstiftning kopplat till vidareanvändning av hälsodata och interoperabilitet som behövs och investerar i utvecklingen av en nationell infrastruktur för hälsodata i linje med vad utredningen skrev i sin promemoria (se bilaga 4 Promemoria med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet), finns det möjligheter för Sverige att komma upp i den utvecklingstakt som föregångsländerna har. Antagandet om att Sverige ska kunna matcha föregångsländernas utvecklingstakt bygger därmed dels på att Sverige ökar sin takt och att föregångsländernas utvecklingstakt inte stannar av och stagnerar. Under dessa antaganden skulle Sverige om tio år fortsatt ligga tio år efter föregångsländerna. Utredningens bedömning är att Sverige då om tio år kommer ha löst många av de problem som föregångsländerna i dag har löst. Exempelvis gällande ökade förutsättningar för vidareanvändning av hälsodata samt minskad administrativ börda i hälso- och sjukvården. Det är enligt utredningen inte orimligt att anta att allt fler länder kommer komma i kapp Sverige under denna period, även om Sverige i förhållande till föregångsländerna samtidigt inte halkar efter mer. Effekten av det är att Sverige ur ett internationellt perspektiv då endast kan ses som ytterligare ett land i mängden länder som inte excellerar inom hälsodataområdet. En trolig effekt av det är att Sverige svårligen kommer kunna konkurrera med föregångsländerna inom områden som är väldigt datatunga, så som precisionsmedicin Därtill skulle konkurrensen om investeringar, men även exporten inom life science-sektorn minska till
322Internationell jämförelse
följd av att Sverige både minskat sin konkurrenskraft, samtidigt som konkurrensen från andra länder ökat. Det är också rimligt att anta att denna effekt även kommer att synas inom forskningen, inte minst inom hälsodatatunga områden.
10.6.3 Scenario 3 – Utvecklingstakten ökar till en nivå där
Sverige kommer i kapp eller går om föregångsländerna
Scenariot att utvecklingstakten skulle öka till en nivå där Sverige kommer i kapp eller går om föregångsländerna skulle innebära omfattande investeringar och starkt politiskt ledarskap. Det skulle kräva en stark samordning av staten, samt mellan staten, kommuner och regioner, forskare, näringsliv och patienter. Med denna utvecklingstakt bedömer utredningen att Sverige hade kunnat stärka sin konkurrenskraft inom såväl life science som inom flera andra forskningsområden. Det skulle också möjliggöra att Sverige skulle kunna erbjuda en hälso- och sjukvård i världsklass även i framtiden. Det skulle sannolikt också öka effektiviteten i hälso- och sjukvården, men också inom omsorgen till följd av ökad automatisering av datainsamling, effektivare informationsdelning samt smartare beslutsstöd. I denna typ av prognoser är det mer regel än undantag att nyttorna överskattas och kostnaderna och hindren underskattas. Utredningen bedömer att om det görs omfattande satsningar på hälsodata så har Sverige en möjlighet att komma i kapp och gå om föregångsländerna på 4–15 års sikt. Utredningen baserar det på att Sverige har fortsatt goda resultat utanför den offentligt finansierade hälso- och sjukvården vad gäller hälsodata, samt framstående forskning, ett starkt näringsliv, bra grundinfrastruktur med exempelvis personnummer. Så om styrningen och utvecklingen av hälsodata inom det offentliga skulle komma i kapp och matcha utvecklingstakten inom exempelvis forskningen eller den privata sektorn så finns goda förutsättningar för Sverige att återta en ledande position inom hälsodata. Anledningen till det stora spannet är att hälsodataområdet är ett heterogent område och Sverige ligger fortsatt bra inom vissa områden, vissa områden går också att förändra mycket snabbare än andra. Mer långtgående strukturproblem tenderar dock att ta långt mycket längre tid.
32311 Övergripande beskrivning
av utmaningar och behov
på hälsodataområdet
11.1 Inledning
I det här kapitlet avser utredningen redogöra för utmaningar och behov av övergripande karaktär. Det finns flera faktorer som gör situationen utmanande. Vi står inför nya förutsättningar som ställer krav på bland annat uppdaterat regelverk, anpassad infrastruktur och modern datahantering. Data har blivit en alltmer central resurs i samhället och allt fler delar av samhället styrs av algoritmer som använder stora mängder data. Det finns flera olika begrepp för att beskriva denna omställning inom hälso- och sjukvården. Utredningen har valt att använda begreppet datadriven hälso- och sjukvård. Med datadriven hälso- och sjukvård avser utredningen processer där data är en central resurs som används för att automatisera eller stötta i beslut eller processer som görs inom eller i angränsning till hälso- och sjukvården. Ett exempel är vid vård av annan patient än den personuppgifterna avser. Det kan också röra sig om automatiserad datainsamling som möjliggör automatiserade beslut. Det kan till exempel handla om användningen av en insulinpump som doserar insulin baserat på de värden från patientens kontinuerliga glukosmätare. Datadriven hälso- och sjukvård är i sig inget nytt och eftersom data många gånger är information så är det heller inget nytt att vård baseras på kunskap och fakta. Vad som däremot är nytt är den omfattande volymen av data som nu finns tillgänglig. I dag kan vi producera mer data om en individ på några dagar än vad som tidigare var möjligt under en livstid. Detta ställer nya krav på hur vi hanterar de data vi samlar in. Denna omställning är inte helt olik den omställning som skedde i samband med internet, eller när datorerna kom. Det är
324Övergripande beskrivning av utmaningar och behov på hälsodataområdet
inte en sak eller en process som byts ut eller ändras utan det innebär ett helt annat sätt att arbeta och kommer kräva omfattande investeringar. Även om det finns stora vinster med att använda data så finns det också stora utmaningar och direkta och indirekta kostnader. Det finns även gott om exempel på dyra it-projekt där de positiva effekterna aldrig kunnat realiseras. Trots detta kommer Sverige behöva ställa om till en mer datadriven hälso- och sjukvård för att fortsatt kunna erbjuda invånarna en vård i världsklass, men också för att klara framtidens vårdbehov och kostnader. Utmaningarna som Sverige står inför i och med omställningen till en mer datadriven hälso- och sjukvård är många och i detta avsnitt kommer utredningen översiktligt beskriva de utmaningar som Sverige står inför och som faller inom ramen för utredningens arbete.
11.2 Regelverken upplevs som svåra att tillämpa
Utredningen har fått till sig att det finns svårigheter att förstå och tillämpa lagstiftningen på hälsodataområdet. Ett problem som utredningen identifierat är att förarbetena till bland annat patientdatalagen (2008:355), förkortad PDL, i vissa avseenden kan vara svåra att applicera på dagens förutsättningar. Gamla exempel eller utdaterade begrepp medför att tolkningarna av lagen och förarbetena kan gå isär vilket medför att det skapas en osäkerhet om vad som faktiskt gäller. Regelverket verkar därmed vara komplicerat för såväl icke-jurister som jurister. Detta medför att behovet av stöd från jurister ofta är stort. Dessutom finns det en brist på kunniga jurister inom hälsodataområdet och de som har god kompetens har ofta ett pressat schema för att hinna med sina arbetsuppgifter. Dessutom kan tolkningsutrymmen leda till olika lokala tolkningar. Utifrån juristernas perspektiv verkar det upplevas som att efterfrågan på rådgivning överstiger utbudet. Juristerna behöver dessutom ofta ta ställning till en komplex lagstiftning där det saknas konsensus om hur lagen ska tolkas, se kapitel 3 Vad är data och kapitel 19, Frågor för fortsatt utredning för ytterligare resonemang. En mer enhetlig och tydlig reglering inom hälsodataområdet bedömer utredningen skulle kunna göra att vårdpersonal och forskare på området lättare kan tillskansa sig en mer grundläggande förståelse för regelverket och på så sätt bättre kunna förstå när en jurist behö-
325Övergripande beskrivning av utmaningar och behov på hälsodataområdet
ver rådfrågas. Det finns således ett glapp mellan de jurister som kan området bra och personer ute i verksamheterna som behöver tillämpa regelverken. Det saknas inte bara jurister som kan området utan det saknas även tillräckligt med utbyte mellan professioner i verksamheterna för att få till ett önskvärt scenario.
11.2.1 Utmaningar kopplat till begreppen
primär- och sekundäranvändning
I vissa juridiska sammanhang förekommer en uppdelning mellan användning av hälsodata, som utgörs av personuppgifter, för primära respektive sekundära ändamål. I utredningens direktiv ges också uttryck för denna distinktion, genom att det anges att med sekundäranvändning av personuppgifter avses behandling av personuppgifter för något annat ändamål än det primära ändamålet med personuppgiftsbehandlingen. Exempel på uppdelning i primär- och sekundäranvändning är att det i många så kallade registerförfattningar görs en uppdelning i primära ändamål Dessa avser typiskt sett användande av personuppgifter i myndighetens egen verksamhet, och sekundära ändamål som avser utlämnande av personuppgifter till externa mottagare. 1 I Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad dataskyddsförordningen eller EU:s dataskyddsförordning finns ingen definition av primär eller sekundär behandling, jämför artikel 4.2, däremot kan det anses finnas en distinktion mellan primära och sekundära ändamål. Skillnaden formuleras genom principen om ändamålsbegränsning i artikel 5.1 b i dataskyddsförordningen. I artikeln framgår det att uppgifter får samlas in för särskilda, uttryckliga och berättigade ändamål och får senare inte behandlas på ett sätt som är oförenligt med dessa ändamål. Bestämmelsen ger uttryck för den så kallade finalitetsprincipen. Utifrån detta kan en åtskillnad göras mellan, å ena sidan, användning för det ändamål som uppgifterna ursprungligen samlades in för (primär användning) och, å andra sidan, vidare användning för
1 Jämför SOU 2017:66 s. 151 och s. 228.
326Övergripande beskrivning av utmaningar och behov på hälsodataområdet
andra ändamål (sekundär användning), för ytterligare beskrivning se kapitel 7 Dataskyddsreglering. 2 Alla ändamål som anges i kap. 2 och 7 patientdatalagen (2008:355), förkortad PDL, är berättigade ändamål enligt dataskyddsförordningen. I PDL görs dock ingen skillnad mellan primär- och sekundäranvändning. (se prop. 2007/08:126 s. 56.). Utredningen gör bedömningen att det kan vara svårt att skilja på primäranvändning och sekundäranvändning i praktiken då de många gånger används parallellt (se djupare analys angående innebörden av detta i kapitel 13).
11.2.2 Utlämnande av hälsodata varierar inom
och mellan organisationer
Tillgång till hälsodata förutsätter att datat får lämnas ut. Flera aktörer har lyft att menprövningen av utlämnande av hälsodata ibland upplevs komplex, godtycklig och oförutsägbar. Eftersom menprövning är en bedömning ligger det i sakens natur att utfallet kan variera beroende på vem det är som gör prövningen. Mer specifika problem och utmaningar som följer av detta redogörs för i kapitel 15 och 22. Förutsättningarna för en menprövning inför ett eventuellt utlämnande av hälsodata påverkas av en rad olika faktorer. För att illustrera utmaningarna och dess komplexitet har utredningen gjort en schematisk illustration över två fiktiva regioner i figur 11.1. I både Region A och B råder det en yttre sekretessgräns mellan verksamheterna hos regionen som vårdgivare och verksamheterna hos de privata vårdgivarna, trots att verksamheterna rent geografiskt kan vara belägen i en och samma region. De privata vårdgivarna illustreras av de grå cirklarna i figuren. Organiseras verksamheten inom en och samma vårdgivare, såsom Sjukhus 1 i Region A och Primärvård Region A i figur 11.1, uppstår ingen yttre sekretessgräns mellan verksamheterna.
2 Europeiska dataskyddsstyrelsen, 2020, Riktlinjer 03/2020 om behandling av uppgifter om hälsa för vetenskapliga forskningsändamål i samband med covid-19 utbrottet, punkt 11.
327Övergripande beskrivning av utmaningar och behov på hälsodataområdet
Figur 11.1 Schematisk illustration över två fiktiva regioner med olika
vårdgivare och vård som bedrivs i både offentlig och privat regi
Region A Region B Region B som vårdgivare Region A som vårdgivare
Specialistsjukvård privat vårdgivare 1 Region B Sjukhus 1 Sjukhus 1 Specialistsjukvård Region B privat vårdgivare Region A Region A
Specialistsjukvård privat vårdgivare 2 Region B
Specialistsjukvård Primärvård privat vårdgivare Sjukhus 2 3 Region B Region A Region B
Källa: Utredningens illustration.
11.3 Utmaningar med omställningen till
en mer datadriven hälso- och sjukvård
I detta avsnitt kommer utredningen redogöra översiktligt för icke-juridiska utmaningar och behov som rör omställningen till en mer datadriven hälso- och sjukvård.
11.3.1 Digital infrastruktur för hälsodata
Bristen på en nationell digital infrastruktur har lyfts av en rad aktörer. 3 Utredningen har fått till sig att den infrastruktur som finns i dag på hälsodataområdet inte anses vara nationell och att den infrastrukturen som finns i dag har flera brister kopplat till såväl primär- som sekundäranvändning. Utredningen har försökt utröna vilken infrastruktur det handlat om. Utredningens bedömning är att det dels verkar handla om en generell känsla av att det finns många aktörer och ingen tydlig nationell aktör på området. På området finns flera
3 Möte med Barncancerfonden 27 september 2022, SciLifeLab 27 september 2022, Sahlgrenska Universitetssjukhuset 30 september 2022, och Karolinska Institutet 14 november 2022, Research institute of Sweden 10 november 2022.
328Övergripande beskrivning av utmaningar och behov på hälsodataområdet
olika aktörer så som statliga förvaltningsmyndigheter, universitet, regioner, Inera AB med flera. Utöver detta så har även Inera AB:s tjänster lyfts fram specifikt eftersom inte alla aktörer har möjlighet att använda deras tjänster och att Inera AB:s tjänster därmed inte upplevs som nationella. Därutöver har det även lyfts att det kan vara kostsamt eller krångligt att ansluta sig eller att tjänsterna inte täcker alla områden som aktörerna har behov av. Utredningen har inte gjort någon bedömning eller utrett vidare vad som avsetts med krångligt. Det ingår inte i utredningens uppdrag att ta ett så omfattande grepp om hälsodataområdet, men bristen på samordning och infrastruktur har en stor påverkan på vilka förslag som utredningen kan lämna och vilka nödvändiga avgränsningar utredningen behövt göra. Utredningen egna bedömning är också att debatten och styrningen inom digitalisering och hälsodata präglas av splittring, okunskap, kompetensbrist och glädjekalkyler. 4 Utredningen drar denna slutsats dels ifrån egen tolkning av samhällsdebatten, dels från de aktörer som utredningen varit i kontakt med, vilket inkluderar regioner, statliga myndigheter, intresseorganisationer med flera. Utredningen har inte heller träffat någon aktör som gjort bedömningen att infrastruktursatsningar ofta håller de initiala kostnadsberäkningarna och att slutanvändarna som regel är en del av hela beslutsprocessen. Utredningens slutsats är på ingetdera sätt unik för hälso- och sjukvården, utan verkar gälla digitalisering i stort. Det finns gott om dyra it-projekt såväl inom som utanför Sverige som inte levt upp till de förväntningar som fanns vid projektstarten. Utredningen kommer i detta avsnitt bara översiktligt beskriva den nulägesbild som utredningen uppfattat då det är den som utredningen kommer utgå ifrån i resten av betänkandet (se även bilaga 4 Promemoria med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet).
Den svenska digitala infrastrukturen saknar
långsiktig styrning och finansiering
Genom den internationella utblicken kan det konstateras att flera länder som anses ha kommit längre än Sverige på hälsodataområdet verkar ha vissa saker gemensamt. Det ena är att de har en tydligare statlig styrning med tvingande regler snarare än frivillighet. Det har
4 Se bland annat Arena Idé, 2022, Digitaliseringslobbyn – på vems villkor digitaliseras vården?
329Övergripande beskrivning av utmaningar och behov på hälsodataområdet
också centraliserat flera av de områden av hälso- och sjukvården där det finns storskalfördelar och flyttat dem från regional nivå till statlig nivå. Detta har sedan kombinerats med statliga långsiktiga investeringar på hälsodataområdet. Utredningen konstaterar även att EU-regleringar nyligen trätt i kraft eller är på gång vilka alla berör hälsodataområdet (EU:s data- 5 6 förvaltningsförordning , förslaget till dataförordning och förslaget till förordning om ett europeiskt hälsodataområde [EHDS] 7 ). Samtliga regleringar innefattar olika typer av aktörer eller organ med ansvar för data. För att inte öka på den decentraliserade styrningen bedömer utredningen att det kan övervägas om en och samma statliga myndighet bör få ansvar för att utföra de uppgifter som anges i samtliga av de ovan nämnda EU-förordningarna. Omställningen till en mer datadriven hälso- och sjukvård kommer att vara kostsam och ta tid. Men ju längre Sverige halkar efter desto mer kommer det att kosta i såväl pengar som livskvalitet och levnadsår för Sveriges medborgare om arbetet inte påskyndas. Det bör i sammanhanget noteras att regionerna håller på att byta ur stora delar av sin digitala infrastruktur och även staten har tagit ett större ansvar för hälsodatafrågorna de senaste åren. Så hur förändringstakten kommer bli till följd av detta är svårt att säga i nuläget. Utredningens bedömning är ändock att utvecklingstakten på hälsodataområdet behöver öka om Sverige ska komma i kapp föregångsländerna (se vidare kapitel 10). Tillgång till data är nödvändigt för att både göra befintliga behandlingar inom hälso- och sjukvården bättre och mer träffsäkra, men också för att utveckla nya behandlingar. Data behövs också för att hantera de kostnadsrisker som nya behandlingar ofta för med sig. Utredningen
5 Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten). 6 Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och användning av data (dataakten) COM(2022) 68 final av den 23 februari 2022. 7 Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om ett europeiskt hälsodataområde COM(2022) 197 final av den 3 maj 2022.
330Övergripande beskrivning av utmaningar och behov på hälsodataområdet
beskriver ett exempel om användningen av riskdelningsavtal för nya läkemedelsbehandlingar i avsnitt 20.5.1 och 20.6.1. 8,9,10 Omställningen kommer ställa höga krav på den digitala infrastrukturen med tillhörande organisatoriska och juridiska strukturer för att möjliggöra en fungerande datadelning där den hälsodata som delas också är av tillräckligt god kvalitet. Det kommer alltså innebära omfattande investeringar i såväl verksamhets- som it-utveckling för berörda aktörer i kombination med ett omfattande regleringsarbete. Utredningens bedömning, likt regeringens (prop. 2022/23:1, Utgiftsområde 9 s. 32), är att omställningen till en mer datadriven hälsooch sjukvård präglas av underinvesteringar. Det har bland annat lett till att en stor del av den data som i dag samlas in samlas in manuellt av vårdpersonalen i stället för att göras automatiserat eller genom att redan insamlade data återanvänds. Detta gäller såväl inmatning i olika register, som att besvara enkäter eller att data behöver registreras in flera olika system. Underinvesteringar i digital infrastruktur kan också leda till höga driftkostnader då äldre system ofta inte är lika effektiva och skalbara 11 som nya system. Ökade kostnader kan också komma av att underinvesteringar i digital infrastruktur inte gör data lättare att samla in och bearbeta i samma takt som behoven av datainsamling ökar. En sådan utveckling leder till att en allt större del av hälso- och sjukvårdens medarbetare behöver lägga tid på manuell datainsamling och administration (SOU 2016:2 s. 291, s. 366 och s. 575). Utredningens bedömning är att Sverige hamnat i en nedåtgående spiral på hälsodataområdet bland annat till följd av bristande investeringar och styrning. 12 Följden har blivit att kostnaderna och administrationen ökar i snabbare takt än besparingarna och mycket fokus
8 Tandvårds- och läkemedelsförmånsverket, 2021, Hur ska vi utvärdera och hur ska vi betala? Hälsoekonomiska bedömningar och betalningsmodeller för precisionsmedicin och ATMP. 9 Tandvårds- och läkemedelsförmånsverket, 2022, Beräkning och betalning. Fortsatt utredning om utvärderingsmetoder och betalningsmodeller för nya läkemedel som ATMP och precisionsmedicin. 10 Tandvårds- och läkemedelsförmånsverket, 2021, Utvecklad uppföljning med hjälp av data från exempelvis nationella tjänsteplattformen. 11 Crotty, J., & Horrocks, I., 2017. Managing legacy system costs: A case study of a meta-assessment model to identify solutions in a large financial services company. Applied computing and informatics, 13(2), 175–183. 12 Myndigheten för vård- och omsorgsanalys, 2021, Ökad precision i Europa. Sju europeiska länders satsningar på precisionsmedicin och hälsodata.
331Övergripande beskrivning av utmaningar och behov på hälsodataområdet
läggs på digitalisering 13 snarare än datadrivet arbetssätt. 14 Därutöver finns det i dag få möjligheter och strukturer som möjliggör för aktörer som är sekundära användare av hälsodata som har stora behov av hälsodata att bidra med finansieringen av infrastrukturen. Detta är sannolikt en fråga som kommer behöva utredas om Sverige ska klara de investeringsbehov som Sverige står inför på hälsodataområdet. Utredningen delar regeringens (prop. 2022/23:1 Utgiftsområde 9 s. 32) om att det kommer krävas ett omfattande arbete för att göra omställningen till en mer datadriven hälso- och sjukvård. Exempelvis bedömer utredningen att Sverige kommer behöva investera i kompetensförsörjning, verksamhetsutveckling och infrastruktur som gör det möjligt att vända den nedåtgående trenden med ökande administration och bristfälliga möjligheter att använda de data som samlats in och skapa nytta för patienterna. Problemet med ökande administration i vården har påpekats av flera utredningar, exempelvis utredningen Effektiv vård (SOU 2016:2 s. 291, s. 366 och s. 575). I våra grannländer har denna omställning pågått under flera år och även om det pågått i Sverige har exempelvis våra grannländer kommit längre på flera områden. Vi kan från deras arbete se att omställningen är möjlig, men att den också är svår och kostsam. 15,16
11.3.2 Automatiserad datainsamling
Ett återkommande problem som lyfts till utredningen är bristen på auto- 17 matiserad datainsamling och bearbetning . Ett sådant arbetssätt skapar dubbelarbete för hälso- och sjukvårdens medarbetare (dir. 2022:98). Manuell datainsamling riskerar också att leda till felinmatningar eller att datainsamlingen prioriteras bort till förmån för annat arbete eller att det uppstår lokala variationer i datainsamlingen.
13 Med digitisering avses konvertering av information från analog till digital form. Till exempel att skanna in text och bilder och att överföra musik från band och LP ‑ skivor till digitalt format som CD och MP3. Digitisering kan också kallas för digifiering, dessa begrepp är ej att förväxla med digitalisering. 14 Institutet för framtidsstudier, 2018, Förbjuden framtid? Den digitala kommunen. 15 Myndigheten för vård- och omsorgsanalys, 2021, Ökad precision i Europa. Sju europeiska länders satsningar på precisionsmedicin och hälsodata. 16 Myndigheten för vård- och omsorgsanalys, 2014, Strukturreformer i hälso- och sjukvårdssystem. Erfarenheter från Danmark, Norge, England och Nederländerna. 17 SLIT–nätverket för Sveriges IT-direktörer, 2022, IT och digitalisering i hälso- och sjukvården 2022 (s. 21).
332Övergripande beskrivning av utmaningar och behov på hälsodataområdet
Automatiserad datainsamling innebär i praktiken en rad olika utmaningar så som standardisering, utveckling med mera och är därför ofta en komplex process att få till. Utredningen kommer inte i detta avsnitt gå in närmare på dessa utmaningar då flera utmaningar är kopplade till enskilda verksamheter. Utredningen delar bilden som aktörerna utredningen träffat beskrivit, om att automatiseringen av datainsamlingen i vården inom hälsodataområdet måste öka för att kunna frigöra de resurser som vården kommer behöva för att hantera framtidens vårdbehov. 18 Utredningens bedömning är att datahantering och dataförsörjning sannolikt kommer vara en av hälso- och sjukvårdens och välfärdens största utmaningar de kommande åren.
11.3.3 Datamängderna fortsätter att växa
19 NHS i England har ett pågående projekt som tydligt belyser hur omfattande datainsamlingen börjar bli inom hälso- och sjukvården. Sedan 2021 har NHS genomfört ett pilotprojekt tillsammans med företaget GRAIL för att screena för 50 olika cancertyper. 20 I dagsläget omfattar deras genomikdatabas cirka 335 000 deltagare och omfattar över 12 petabyte, vilket motsvarar en miljon gigabyte, data. 21 Detta kan 22 jämföras med att vissa estimat visar att det globalt producerades 23 24 97 zettabyte data år 2022 . NHS databas motsvarar alltså cirka 0,000012 procent av all data som genererades 2022.
18 Möte med Vårdföretagarna, Swedish Medtech 2 november 2022 och Svensk sjuksköterskeförening 26 september 2022. 19 Storbritanniens satsning på tidig detektion av cancer med hjälp av flytande biopsier – beskrivning och analys, RISE, 2022. 20 Storbritanniens satsning på tidig detektion av cancer med hjälp av flytande biopsier – beskrivning och analys, RISE, 2022. 21 https://grail.com/our-journey/ (Hämtat 2023-01-30). 22 Med producerades avses ”skapad, infångad, kopierad eller konsumerad”. Utredningen antar att estimatet är behäftat med betydande osäkerhet, men bedömer ändå att det ger en tillräcklig indikation på ungefär vilken magnitud datainsamlingen ligger på globalt. 23 För referens så motsvarar en zettabyte 1000 miljarder gigabyte. 24 https://www.statista.com/statistics/871513/worldwide-data-created/ (Hämtat 2023-01-30).
333Övergripande beskrivning av utmaningar och behov på hälsodataområdet
Figur 11.2 Estimerad global årlig datagenerering
200 180 160 140 yte 120 b 100 80 Zetta 60 40 20 0
År
Källa : https://www.statista.com/statistics/871513/worldwide-data-created/ (Hämtad 2023-01-30).
Ett annat sätt att se på storleken på GRAIL:s datamängd är att räkna ut hur stor den varit om lika mycket data skulle samlas in om samtliga individer globalt. I så fall skulle deras genomikdatabas motsvara 0,3 procent av all data som producerades globalt under 2022. Marknaden för bolag som utvecklar genetiska tester ökar i snabb takt, därmed ökar också datainsamlingen. Under 2020 utgjorde den globala populationen ungefär 7 procent av alla människor som någonsin levt. 25 Siffrorna visar tydligt på hur enormt stor datainsamlingen sannolikt kommer att bli de kommande åren. Hälso- och sjukvårdens behov av storskalig lagring och beräkningskapacitet kommer sannolikt öka allt eftersom den tekniska utvecklingen inom life-science-området ökar.
25 https://info.nicic.gov/ces/global/population-demographics/how-many-people-have-everlived-earth (Hämtat 2023-01-27).
334Övergripande beskrivning av utmaningar och behov på hälsodataområdet
11.3.4 En uppgift en gång
Enligt FAIR-principerna (se avsnitt 3.3) ska data vara återanvändningsbar (reusable). I detta sammanhang brukar även principen om 26,27 en uppgift en gång användas. Detta innebär att en uppgift endast ska behöva samlas in en gång. I dagsläget samlas mycket hälsodata in flera gånger och av olika aktörer. Exempelvis konstaterade Myndigheten för vård- och omsorgsanalys i en rapport att redan insamlade 28 data inte alltid används. Detta medför dels att nyttan blir lägre för insamlade hälsodata, dels att det bli ökade kostnader för de fall då hälsodata samlas in flera gånger. Det finns flera anledningar till att samma eller liknande uppgifter samlas in flera gånger. Några exempel är att uppgifterna samlats in med enbart ett syfte i åtanke snarare än ett bredare syfte och därmed begränsar återanvändbarheten. Ett annat problem är att hälsodata av olika skäl inte går eller får delas. I kapitel 2 redogörs för vad begreppet hälsodata innefattar enligt utredningen. Ett av de stora problemen som utredningen identifierat är att det många gånger inte är samma personer eller aktörer som samlar in data som sedan nyttjar den. Ett sådant exempel kan vara att det är sjuksköterskor som samlar in data som sedan används av exempelvis sjukhusledningen. Det kan även röra datainsamling som följer av olika myndighetskrav som sedan kan behövas för ett annat ändamål. Den problematiken gäller såväl den primära som sekundära insamlingen. Att det är en aktör eller person som samlar in data och någon annan som använder den kan göra att datainsamlingen upplevs som meningslös. 29 Det kan också leda till att för lite hälsodata samlas in, eftersom det är aktören som samlar in som står för större delen av kostnaden, medan det kan vara andra aktörer som har behovet. Då uppstår en diskrepans mellan utbud och efterfrågan som leder till ett suboptimalt nyttjande av hälsodata.
26 Se exempelvis DIGG:s arbete med nationellt ramverk för grunddata https://www.digg.se/ ledning-och-samordning/ena---sveriges-digitala-infrastruktur/nationella-grunddata (Hämtat 2023-08-07). 27 https://commission.europa.eu/news/once-only-principle-system-breakthrough-eusdigital-single-market-2020-11-05_en (Hämtat 2023-10-11). 28 Myndigheten för vård- och omsorgsanalys, 2017, Lapptäcke med otillräcklig täckning. Slututvärdering av satsningen på nationella kvalitetsregister. 29 https://www.dn.se/debatt/till-stora-kostnader-samlas-data-in-som-aldrig-anvands/ (Hämtat 2023-01-30).
335Övergripande beskrivning av utmaningar och behov på hälsodataområdet
11.3.5 Kompetensbristen är en stor utmaning
i omställningsarbetet
Utmaningar med kompetensbristen är inte ett unikt problem för Sverige. Flertalet medlemsländer som intervjuades i projektet Towards the European Health Data Space (TEHDAS) gällande utmaningar kopplade till implementeringen av EHDS lyfte just kompetensbristen 30 som en av de stora utmaningarna. Som utredningen tolkar underlaget som TEHDAS tagit fram att kompetensbristen avser såväl brist på generell- som spetskompetens inom exempelvis datahantering och bearbetning. Omställningen till en mer datadriven hälso- och sjukvård kommer innebära en hög grad av kompetensväxling inom vissa verksamheter, främst inom hälso- och sjukvården. För att lyckas med omställningen till en mer datadriven hälsooch sjukvård krävs ökad kompetens inom områden som rör datahantering. Utredningens bedömning är att allt fler yrkeskategorier, så som administratörer, jurister, ekonomer men även vårdpersonalen behöver en ökad kompetens inom matematik, mer specifikt kvantitativ metod, men också inom datavetenskap. Allt eftersom data får en mer central roll och börjar genomsyra hela verksamheten behöver i stort samtliga som arbetar inom hälso- och sjukvården ha en grundläggande förståelse för vad data är och hur det kan användas. Utöver en ökad grundläggande kompetens bland samtliga medarbetare ökar även behovet av spetskompetens inom exempelvis dataanalys allt eftersom omställningen kommer längre och datamängderna och användningen av exempelvis AI ökar. Det finns även en brist på resurser och kompetens inom området hälsoinformatik. Ett område som utgör en central del i arbetet med att standardisera hälsodata och skapa förutsättningar för effektiv informationsförsörjning. 31
11.3.6 Datakvalitet och tillgång till data
En datadriven hälso- och sjukvård kräver inte bara fungerande system och adekvata regelverk. Utan tillgång till nödvändiga data av bra kvalitet blir nyttan av datainsamlingen begränsad.
30 https://tehdas.eu/packages/package-4-outreach-engagement-and-sustainability/tehdascountry-visits/ (Hämtat 2023-03-23). 31 Möte med SKR 7 juni 2023.
336Övergripande beskrivning av utmaningar och behov på hälsodataområdet
Datatillgång
Efter dialog med flertalet aktörer kan utredningen konstatera att datatillgången begränsas av olika skäl. Nedan redogörs för de vanligaste skälen som lyfts till utredningen.
Juridiska hinder eller otydligheter
De juridiska aspekterna beskrivs i olika hänseenden närmare i kapitel 12, 13 respektive 15 samt genomgående i hela betänkandet och kommer därför inte redogöras för i detalj under detta men innebär i korthet att det i flera situationer saknas legala förutsättningar för att få tillgång till hälsodata.
Avsaknad av infrastruktur
Avsaknaden av teknisk och/eller organisatoriska infrastrukturella förmågor som möjliggör datadelning tas inte heller upp nedan utan beskrivs mer i kapitel 19, samt i bilaga 4 Promemoria med förslag om ändring av E-hälsomyndighetens uppdrag inom hälsodataområdet.
Bristande interoperabilitet
Behov av ökad teknisk och semantisk interoperabilitet kommer utredningen inte gå in på i någon större detalj eftersom det dels ligger utanför utredningens uppdrag, dels finns två pågående utredningar som tittar specifikt på interoperabilitet. Utredningen om infrastruktur för hälsodata som nationellt intresse (S 2022:10) och Utredningen om interoperabilitet vid datadelning (I 2022:03).
337Övergripande beskrivning av utmaningar och behov på hälsodataområdet
Bristande möjligheter för att hitta data
Flertalet aktörer har lyft problemet med att hitta vilka data som finns och var dessa data finns (N 2022:A). 32,33 Ett sådant behov har även identifierats av EU-kommissionen som i artikel 55 i förslaget till EHDS skriver att de organ som ansvarar för tillgång till hälsodata ska informera dataanvändarna om tillgängliga dataset och deras egenskaper genom en metadatakatalog. Utredningen delar aktörernas bedömning och ser att det finns behov av en nationell datahubb (se kapitel 19) som bör kompletteras med ansvaret för att, i ett första skede, tillhandahålla en metadatakatalog över de hälsodatamängder som omfattas av PDL, lag (1998:543) om hälsodataregister samt utredningens eget förslag, lag om vidareanvändning av vissa personuppgifter för klinisk forskning. I ett senare skede bör, enligt utredningens bedömning, även andra datamängder inkluderas. I det arbetet bör även befintliga strukturer så som Vetenskapsrådets metadatatjänst RUT beaktas.
Låg uppdateringsfrekvens och långa ledtider
Flera aktörer har lyft behovet av ökad uppdateringsfrekvens och kortare ledtider. Det handlar primärt om hälsodataregister eller register som finns i regionerna, så som nationella kvalitetsregister. 34 Det har även i budgetpropositionen för 2022 (prop. 2021/22:1 Utgiftsområde 9 s. 45) angetts att uppdateringsfrekvensen behöver öka för att kunna hantera aktuella samhällsproblem. Uppdateringsfrekvensen är inte bara viktig för krishantering, den är också viktig för den nationella uppföljningen, forskning, innovation och för bland annat life science-industrin, som är en av Sveriges stora basnäringar. 35 Enligt dataskyddsförordningen finns även ett generellt krav på att de som är personuppgiftsansvariga ska se till att personuppgifter som behandlas är korrekta och om nödvändigt uppdaterade (artikel 5.1 d).
32 Socialstyrelsen, 2022, Kartläggning av datamängder av nationellt intresse på hälsodataområdet (delrapport), s. 34. 33 E-hälsomyndigheten, 2022, Förstudie om ett statligt, nationellt datautrymme för bilddiagnostik, s. 54. 34 Industrin, TLV, LV, VOA, Coronakommissionen, SoS utredning, BP, uppdateringsfrekvensen i hälsodataregistren är så låg (Socialstyrelsen 2022-10-8136, TLV 1694/2020. 35 Regeringskansliet, 2019, En nationell strategi för life science.
338Övergripande beskrivning av utmaningar och behov på hälsodataområdet
Den låga uppdateringsfrekvensen är också ett problem för regeringen då en stor del av den statliga uppföljningen bedrivs genom att myndigheter får uppdrag att ta fram myndighetsrapporter. Dessa rapporter bygger ofta på användningen av data från bland annat Socialstyrelsens hälsodataregister. Registren har i dag olika uppdateringsfrekvens, vissa månadsvis, andra årsvis. I praktiken innebär det att de flesta myndighetsrapporter baseras på gamla data, vilket får till följd att rapporterna kan belysa hur situationen såg ut för flera år sedan. Detta tillför även andra problem, exempelvis att det är svårt att komplettera analyserna med intervjuer av aktörer inom hälso- och sjukvården eftersom den data som svaren jämförs med kan vara flera år gamla. Det kan i sin tur bland annat leda till att det kan bli svårt för myndigheterna att lämna rekommendationer på åtgärder, lite beroende på hur trögrörliga trenderna är som analyseras. En effekt av det är att många rapporter av olika skäl inte svarar upp emot de behov som Regeringskansliet har (SOU 2020:36 s. 262).
Möjlighet att ta del av data
Det kan i vissa fall finnas skäl till att olika privata och offentliga aktörer väljer att inte dela hälsodata. De två vanligaste orsakerna som lyfts till utredningen är kostnaden för utlämnande samt osäkerhet kring om hälsodata får lämnas ut eller inte. Vad gäller kostnaderna för utlämnande så kan det röra såväl brister på tekniska eller organisatoriska förutsättningar mellan datahållare som gör att kostnaden för utlämnande kan skilja sig åt. Exempelvis att data inte är strukturerad eller sammanställd på ett sätt så att de enkelt kan delas. Det kan också röra sig om att vissa datauttag är mer komplexa och innebär omfattande administration, exempelvis i samband med menprövningar. Vad som får lämnas ut är dessutom en bedömningsfråga som kan skilja sig från en aktör till en annan. Exempelvis kan olika regioner eller myndigheter inom en region göra olika bedömningar kring förutsättningarna att göra ett utlämnande i enlighet med gällande sekretessregler. Dessa förutsättningar kan få till effekt att den som begär ut hälsodata får hälsodata från vissa regioner och avslag från andra regioner. En annan orsak som utredningen fått till sig är att en del datahållare känner sig osäkra på om de får tillgängliggöra data eller att de
339Övergripande beskrivning av utmaningar och behov på hälsodataområdet
känner sig otrygga med huruvida de kan behålla kontrollen över sina hälsodata om de delar sina hälsodata. Det kan exempelvis avse att mottagande aktör inte bedöms ha adekvat cyber- och informationssäkerhet för att säkerställa att uppgifterna inte kommer obehöriga till del. En annan anledning är att datahållare ser en risk att deras hälsodata kan komma att tolkas felaktig om dataanvändaren inte har tillräcklig kunskap om den. Det kan också bero på en upplevd risk att hälsodatan kommer delas eller användas för andra ändamål än för vad de tillgängliggjorts för. Ytterligare orsaker som lyfts är att data i vissa fall är eller ses som en företagshemlighet och att de företag som äger informationen inte vill eller kan dela den.
Sammanfattning
Det finns flera utmaningar kopplat till frågan om tillgång till data och det är på vissa områden anmärkningsvärt hur bristfällig tillgången på relevanta data är. Exempelvis finns i dag inga nationella tillförlitliga och uppdaterade data över tillgängligheten till vård (SOU 2021:58, s. 374), trots att tillgängligheten till vård är en av väljarnas viktigaste fråga. 36 Enligt utredningens bedömning kommer inrättandet av en nationell datahubb med tillhörande regionala datahubbar inte att lösa alla problem för frågan om datatillgång utan det kommer även krävas omfattande investeringar i kommuner och regioner samt en starkare statlig styrning som prioriterar och harmoniserar investeringarna inom detta område som i sin tur skapar nationella infrastrukturella förmågor att ställa om hälso- och sjukvården till att bli mer datadriven.
Datakvalitet
Flera aktörer har lyft att det inom vissa områden finns brist på hälsodata av bra datakvalitet. Det har främst handlat om uppgifter i exempelvis journaler eller patientgenererade data. I dag saknas delvis strukturer som säkerställer att de hälsodata som rapporteras in inom hälso- och
36 Näsman, P., Oscarsson, H. E., Pettersson, M., & Holmberg, S. 2022. VALU 2022-SVT:s vallokalsundersökning riksdagsvalet 2022.
340Övergripande beskrivning av utmaningar och behov på hälsodataområdet
sjukvården är korrekta. Ett exempel som visar på denna avsaknad var när journaler började tillgängliggöras via nätet, då upptäckte vissa patienter fel i journalerna, så som hur ofta patienten hade symptom 37 eller liknande. Det kan i detta sammanhang också nämnas att journaldata är en datamängd som är notoriskt svårhanterad. Personer kan säga fel eller läkaren kan behöva tolka diffusa förklaringar av problem och därefter göra antaganden som kan vara mer eller mindre korrekta. Det finns därför gott om situationer där det kan uppstå felaktigheter. Det kommer aldrig gå att kontrollera alla hälsodata för alla eventuella fel. I stället kommer det krävas att relevant data har en tillräcklig kvalitet för ändamålet. Ibland kan det behöva accepteras att kvaliteten för olika variabler inte är lika god i ett helt dataset eller att täckningsgraden inte är fullständig. Exempelvis kan en datamängd om exempelvis läkemedelsordination ha tillräckligt god kvalitet för att det ska kunna utläsas en trend i datamängden, även om några enskilda observationer skulle vara felaktiga. I det enskilda fallet skulle en felaktig observation däremot kunna innebära en betydande patientsäkerhetsrisk. Sammanfattningsvis kan det konstateras att kvalitén på relevant data kan variera beroende på situation. Ibland krävs att kvalitén är väldigt hög, medan den i andra situationer kan vara tillräckligt att datan är av medel till hög kvalité. Eftersom behoven och nyttan kan variera ner på variabelnivå inom samma datamängd så kan kostnaden för datainsamlingen alltså i vissa fall behöva bedömas ner på variabelnivå för att bedöma om kostnaderna står i relation till nyttan. En annan vanligt återkommande synpunkt som lyfts till utredningen är behovet av god kännedom om de hälsodata som analyseras. Detta kräver att både dataanvändaren och datahållaren har god kännedom om aktuella hälsodata. Oftast är det aktörerna som är nära insamlingen av den relevanta hälsodatan som har bäst koll på dess styrkor och svagheter och för vilka ändamål olika datamängder lämpar sig. 38
37 Möte med Regionala cancercentrum 22 september 2023. 38 Möte med Regionala cancercentrum 22 september 2022, Institutet för hälsa och välfärd (THL) 21 oktober 2022, Centrum för hälsodata 12 januari 2023, Socialstyrelsen 27 januari 2023.
341Övergripande beskrivning av utmaningar och behov på hälsodataområdet
11.3.7 Behovet av direkt identifierbara individdata
Flera aktörer har framhållit behovet av direkt identifierbara personuppgifter, medan andra har ifrågasatt behovet av individdata. Utredningen kommer därför kortfattat redogöra för de behov som dataanvändare har av direkt identifierbara personuppgifter. Det finns olika skäl till att en aktör kan behöva få tillgång till direkt identifierbara personuppgifter. Inom forskning kan det bero på att individen observeras direkt och att det därmed är svårt eller ibland inte ens möjligt att använda sig av annat än direkt identifierbara personuppgifter. Ett annat vanligt behov är att kunna samköra hälsodata. Ett sådant exempel är om en forskningsstudie är intresserad av hälsodata från två olika kvalitetsregister där samma personer finns registrerade. Om dessa två datamängder ska sammanfogas krävs en nyckel (se avsnitt 3.3.4) för att veta vilka hälsodata som hör till vilken individ. En vanligt förekommande nyckel är personnummer. Den som samkör hälsodata har sällan ett behov eller en vilja av att veta vem individen är, men utan någon form av kodnyckel saknas möjligheten att kunna sammanfoga och jämföra hälsodata från olika register. Ett av syftena med hälsodatareglering är enligt utredningen att förhindra okontrollerad vidareanvändning och okontrollerad samkörning av personuppgifter. Det finns en efterfrågan att kunna minimera intrånget i den personliga integriteten genom att samköra hälsodata 39 inom en säker behandlingsmiljö eller på något annat sätt där integritetsintrånget kan minimeras och informations- och cybersäkerheten kan hållas på en hög nivå. Andra aspekter som efterfrågas är öppenhet och information till de berörda personerna kring samkörningsmöjligheterna och att så sker.
39 I detta sammanhang avses begreppet säker behandlingsmiljö som är definierat i artikel 2 i Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten) och begreppet ska alltså inte tolkas så som det kan används allmänspråkligt.
342Övergripande beskrivning av utmaningar och behov på hälsodataområdet
11.3.8 Tillit är en grundförutsättning för att kunna dela data
En grundförutsättning för datadelning är att det finns tillit mellan invånarna vars data samlas in och den som samlar in data. Regeringen har utöver direktiven till denna utredning (dir. 2022:41) i en rad olika dokument kommunicerat vikten av integritetsskydd och medborgarnas tillit. I budgetpropositionen 2022 skriver regeringen: Datadelning ska präglas av öppenhet och transparens och det ska vara tydligt för den enskilde om, hur, när och i vilka syften data kan komma att delas. Kontrollerade, säkra och transparenta mekanismer för datadelning med tillhörande tillsyn är en förutsättning för att motverka diskriminering och orimliga intrång i individens integritet, samtidigt som det är ett värdefullt verktyg för att kunna erbjuda en god och effektiv vård.
Att samla in stora mängder data om individer är ett stort ansvar. Insamling av data bygger i stora delar på individens tillit till att datahållaren använder datan på ett ansvarsfullt och säkert sätt.
Utmaningar kring tillit för hantering av personuppgifter
och utbud av digitala tjänster.
Viljan att dela hälsodata verkar skilja sig åt mellan grupper, ändamål och typ av hälsodata det är som ska delas. Detta kan exempelvis ses i den undersökning som den europeiska paraplyorganisationen för sällsynta hälsotillstånd EURORDIS gjort. De tillfrågade sina medlemmar om deras inställning till datadelning. Av urvalet som tillfrågades att svara på enkäten svarade endast 19 procent, vilket gör att svaren ska tolkas med försiktighet. Enligt undersökningen skulle 97 procent av de som besvarade enkäten vara redo att dela med sig av sina personuppgifter för att utveckla nya behandlingar och förbättra diagnostiken av sin sjukdom. Vidare var 95 procent villiga att dela med sig av sina personuppgifter för att förbättra forskningen om andra sjukdomar än deras egen. 40 Enligt undersökningen uppgav 80 procent att de ville ha full (47 procent) eller nästan full (33 procent) kontroll över de personuppgifter de delar med sig av. De som svarade på undersökningen uppgav i detta sammanhang även att de två största riskerna, som de ser i samband
40 Courbier, S., Dimond, R., & Bros-Facer, V. (2019). Share and protect our health data: an evidence based approach to rare disease patients’ perspectives on data sharing and data protection-quantitative survey and recommendations. Orphanet journal of rare diseases, 14, 1–15.
343Övergripande beskrivning av utmaningar och behov på hälsodataområdet
med datadelning, är att deras data ska delas med tredje part utan deras samtycke samt att deras data skulle användas för något annat än det som de delade med sig av sina data för. Enligt E-hälsomyndighetens Invånarundersökning från 2021 uppger var fjärde invånare att de delvis eller inte alls litar på att deras information behandlas på ett säkert sätt av hälso- och sjukvården eller 41 socialtjänsten. Även om denna fråga inte svarar på invånarnas vilja att dela sina personuppgifter så anser utredningen att det är rimligt antagande att de flesta sannolikt tycker att det är en viktig del i beslutet om de vill dela sina personuppgifter eller inte. Detta grundar utredningen utöver egen bedömning utifrån det kontakter utredningen haft, men bedömningen grundar sig också i att det skett protester mot exempelvis förslaget till EHDS där kritik riktats mot att invånare tappar kontrollen över hur deras hälsodata används. 42 Orsakerna till att en person vill dela med sig av sina personuppgifter kan vara många, en grundförutsättning är dock att det finns tillit till att personuppgifterna inte missbrukas. Tilliten till datadelning verkar lätt att förlora och desto svårare att bygga upp, vilket varit fallet i exempelvis Storbritannien (se avsnitt 10.3.10). Sammanfattningsvis konstaterar utredningen att det är angeläget att det finns en tillit hos landets invånare till att utökade möjligheter för vidareanvändning av hälsodata hanteras på ett sätt som invånarna kan känna sig trygga och bekväma med. I det ingår att såväl tjänsterna som informationen tillgängliggörs på ett sätt som är tillgängligt för samtliga invånare, oavsett om de är vuxna, barn, personer med kognitiva eller andra funktionsvariationer.
11.4 Nya förutsättningar på hälsodataområdet
Allt eftersom nya typer av datamängder kan samlas in, kan även förväntningarna från medborgarna på att dessa data används på lämpligt sätt inom hälso- och sjukvården öka. När det blev möjligt att mäta blocksockernivåerna i blodet uppstod en förväntan bland många personer med diabetes att denna information skulle samlas in och användas för att få till en bättre hälso- och sjukvård för diabetiker. I dag
41 E-hälsomyndigheten, 2021, Invånarundersökningen 2021, Om digitala tjänster inom hälsooch sjukvård och socialtjänst. 42 https://www.dn.se/sverige/hundratusen-i-protest-mot-delad-patientdata-i-eu/ (2023-10-11).
344Övergripande beskrivning av utmaningar och behov på hälsodataområdet
är den datainsamlingen en självklar del av diabetesvården och en central del för att kunna erbjuda bra behandling. Ett annat exempel, som i dag tas för givet, är när teknik som gjorde det möjligt att mäta halterna av olika ämnen i vatten eller luft utvecklades. Denna teknik har möjliggjort att forskare har kunnat koppla ihop halterna av dessa ämnen med olika hälsoutfall, vilket i flera fall 43 lett till en reglering på området.
11.4.1 Precisionsmedicin
Precisionsmedicin, är ett relativt nytt begrepp som blir allt viktigare inom hälso- och sjukvården. Utredningen avser inte definiera exakt vad som ingår i begreppet precisionsmedicin men enligt utredningen kan det generellt anses innebära att prevention, behandling, diagnostik och uppföljning skräddarsys efter den enskilde patientens unika förutsättningar. Det kan göras genom olika metoder där ett vanligt sätt är att analysera den genetiska profilen hos en individ.
Begreppet precisionsmedicin
Utredningen konstaterar att det pågår en diskussion kring semantiken och begreppet personlig hälso- och sjukvård i förhållande till begreppen precisionsmedicin, precisionshälsa och precisionsterapi. Exempelvis finns en EU rådslutsats från 2015 som Sverige skrivit på och där det på engelska heter ”personalised medicine” (2015/C 421/03) som översatts till ”individualiserad behandling för patienter”. Det skulle kunna gå att argumentera för att detta begrepp är något bredare än precisionsmedicin och inte heller är något nytt. Utredningen konstaterar därmed bara att olika begrepp florerar och utredningen har inte för avsikt att försöka definiera begreppen eller se över semantiken. Utredningen utgår primärt från begreppet precisionsmedicin eftersom det, enligt utredningens bedömning, är det i särklass vanligaste begreppet som använts av de som utredningen varit i kontakt med inom det aktuella ämnet. Inom vissa områden är precisionsmedicin vanligare än inom andra, men utvecklingen indikerar att precisionsmedicin sprider sig och används inom allt fler områden. I dag skulle
43 Se exempelvis: Europaparlamentets och rådets direktiv 2008/50/EG av den 21 maj 2008 om luftkvalitet och renare luft i Europa.
345Övergripande beskrivning av utmaningar och behov på hälsodataområdet
en patient med behov av en blodtransfusion inte få en sådan transfusion utan att hälso- och sjukvården först ser till så till exempel blodgrupp matchar patientens blod. På samma sätt ämnar precisionsmedicin se till patienternas individuella förutsättningar och anpassa vård och behandling därefter. 44
Vad innebär användning av precisionsmedicin
En läkarundersökning genomförs oftast för att en läkare försöker hitta orsaken till att en patient upplever ett obehag, smärta eller annat symtom som gett patienten anledning att uppsöka hälso- och sjukvården. För att hitta orsaken och ställa en diagnos finns det många olika undersökningar som kan behöva göras, som till exempel klinisk undersökning, avbildning med röntgen eller nuklearmedicin och laboratorieanalyser av urin eller blod. Det är även möjligt att undersöka och analysera patientens arvsmassa vilket kallas sekvensering. Att genomföra en gen- eller genomsekvensering är en avancerad undersökning av delar eller hela patientens arvsmassa (genomet). En sådan sekvensering genererar enorma mängder data. I våra celler finns en molekyl som kallas DNA. DNA:t fungerar som en instruktionsbok, som styr hur vår kropp byggs upp och fungerar. Instruktionen är uppbyggd av fyra kemiska molekyler, som betecknas med bokstäverna A, G, T och C. Den kompletta uppsättningen bokstäver, DNA-molekyler, utgör individens genomsekvens. Hela genomet består av två uppsättningar, en från vardera föräldern, av 3 miljarder av dessa DNA-bokstäver. Cirka 99 procent av DNAsekvensen är lika hos alla människor, medan det är den resterande 1 procent som gör oss olika och som bestämmer allt från en individs längd till individens hårfärg. Förändringar i DNA-sekvensen kan ge hälsoproblem eller sjukdom. Olikheter mellan våra genom uppstår av slumpvisa förändringar när celler delar sig och DNA kopieras. Dessa förändringar kan liknas vid ett stavfel eller en bugg i en datakod. Oftast innebär det här inga problem för personen, utan är enbart individuella skillnader. Ibland leder dock stavfelet till hälsoproblem eller sjukdom hos individen, då kroppen inte får rätt instruktionen.
44 Dialog med Genomic Medicine Sweden (GMS) 2023-08-25.
346Övergripande beskrivning av utmaningar och behov på hälsodataområdet
Att upptäcka och förstå stavfelen/buggarna i en individs DNA kan hjälpa hälso- och sjukvården att ställa rätt diagnos och i bästa fall hitta en behandling som är skräddarsydd för den specifika patientens genförutsättningar. Genom att ta ett blodprov eller annan vävnad kan hälso- och sjukvården analysera vissa av patientens gener eller hela patientens genom. Genomsekvensering och helgenomsekvensering innebär samma sak. För att hitta de eventuella förändringarna i en specifik patients DNA behöver gen- eller genomsekvensen jämföras med sekvensen från andra individer. Ju fler sekvenser som kan jämföras med, desto säkrare utfall. För att kunna förstå vilka förändringar i en specifik patients DNA som kan bidra till ohälsa och vilka som är normalvariationer och därmed ofarliga, behöver läkaren även veta hur DNA:t ser ut hos friska individer. Ibland jämförs en individs genomsekvens med nära släktingars sekvens, som mellan föräldrar och barn eller syskon. Vid en sådan jämförelse kan det även avgöras om det kan finnas ärftlighet i genförändringen. Genom att veta exakt var den specifika patientens genom är annorlunda, kan den kunskapen hjälpa läkaren att ställa diagnos för patientens tillstånd, eller avfärda en misstänkt diagnos. Därmed ökar möjligheten att hitta den bästa individuella vården och behandlingen. Gen- och genomsekvensering är komplicerade processer, som kräver både mycket kunskap och avancerade analysmetoder. Förändringar i DNA:t som hittas behöver bedömas av specialister. Som nämnts tidigare består en individs DNA av 3 miljarder bokstäver i olika kombinationer som utgör den mänskliga arvsmassan och där vissa genförändringar kan ge upphov till olika hälsotillstånd. Kunskapen och möjligheter till att ställa diagnos förbättras hela tiden i snabb takt. Ju fler genom som sekvenseras, desto mer kunskap genereras om betydelsen av genetiska varianter och därmed kan fler personer få en genetisk diagnos. Nyckeln till ännu fler och snabbare förbättringar ligger i att kunna jämföra och dela sådan data. Utöver genomik finns även andra tekniker så som bildanalys, AI, proteomik, transkriptomik, epigenomik 45 med flera vilka också är viktiga delar av precisionsmedicinen. Det är dock svårt att i nuläget säga vilka omik-tekniker som kommer användas inom precisionsmedicin i framtiden. Teknologiska framsteg inom genomik och rela-
45 Förenklat kan sägas att Proteomik, transkriptomik, epigenomik likt genomik är ett samlingsbegrepp för olika metoder för att analysera biologiska tillstånd eller processer.
347Övergripande beskrivning av utmaningar och behov på hälsodataområdet
terade områden har underlättat stora sekvenseringsinsatser, stöttat nya biologiska upptäckter inom till exempel cancersjukdomar och skapat en era av biomarkörer som analyseras i blod. Trots dessa framsteg finns det ytterligare frågor som kan få svar med hjälp av avancerad helkropps-avbildning med röntgen eller nuklearmedicinska metoder. Tidig diagnos, spridning av sjukdomen, uttryck av olika biomarkörer kan visualiseras med olika bildgivande metoder. Denna information används för att ge den unika patienten en korrekt diagnos, för att planera och välja behandling samt för att följa behandlingssvar och sjukdomsutveckling. Molekylär avbildning med till exempel positronemissionstomografi (PET) kan vägleda behandlingsval genom att påvisa förekomst av särskilda biomarkörer och hur utbredda dessa är i kroppen. Det går även att se om biomarkörerna varierar mellan olika områden av sjukdomen. Bilderna kan även analyseras med olika datadrivna metoder som genererar stora mängder data. Precis som med omik finns praktiska utmaningar för en bredare användning av precisionsavbildning i sjukvården och det finns dessutom ett stort behov av infrastruktur för datadelning av bilddata. På behandlingssidan finns även avancerade terapiläkemedel som i varierande grad anpassas efter personen eller personens specifika genuppsättning och är en viktig del av precisionsmedicinen. Det finns flera utmaningar med behandlingar som CAR-T 46 , gen- och vävnadsterapier, såsom stora kostnader vid behandlingstillfället samt en osäkerhet kopplat till långtidseffekterna av behandlingen. Det kan även leda till stor osäkerhet kopplat till långtidseffekterna ur ett hälsoekonomiskt perspektiv. Både diagnostiken och den precisionsmedicinska behandlingen genererar stora mängder data.
Fördelar med precisionsmedicinska arbetssätt
Nyttan som precisionsmedicinen bidrar med kan hjälpa patienter att få en diagnos eller rätt anpassad behandling. För sällsynta diagnoser är möjligheten att få en diagnos en viktig förutsättning för att få tillgång till rätt vård, omhändertagande och stödinsatser. Att använda sig av till exempel helgenomsekvensering kan ha en avgörande roll för att fastställa sällsynta diagnoser. Rätt behandling kan i sin tur både rädda liv och minska lidande för patienterna. Inom ett forsknings-
46 Chimeric antigen receptor T cell therapy.
348Övergripande beskrivning av utmaningar och behov på hälsodataområdet
projekt har flera barn i Sverige med hittills obotlig cancer fått individanpassad behandling. Forskningsprojektet har bidragit till att barnen fått prova anpassade läkemedel som riktar sig mot just genetiska fel 47 i cancercellerna. I minst 25 fall har tumörerna minskat eller slutat växa. För fler fördelar som följer av förslagen, se konsekvensutredningen i avsnitt 18.2.1.
11.4.2 Ökad reglering ökar behovet av data
Utöver ökade förväntningar så kommer hela tiden nya krav på dokumentation gällande exempelvis säkerhet och effekt av läkemedel och medicintekniska produkter. Kraven på dokumentation ställer i sin tur krav på tillgång till data. EU-förordningarna som reglerar medicintekniska produkter och medicintekniska produkter för in vitrodiagnostik, (2017/745 respektive 2017/746) ställer nya och ökade krav på dokumentation kring medicintekniska produkter. Tillverkarna måste ha tillgång till data för att uppfylla kraven på tillräcklig dokumentation för att användarna ska få tillgång till säkra och effektiva produkter. Samtidigt som behovet av data har ökat har kostnaden för datainsamlingen i sjukvården inte minskat i samma takt och förutsättningarna för insamlingen av dessa data har inte heller nödvändigtvis ökat eller förenklats.
11.4.3 Hälsodata som krävs för att hantera kriser
Ytterligare ett exempel på behov av nya datamängder är data som krävs för att hantera kriser såsom en pandemi. Ett problem med denna typ av hälsodata är att det på förhand kan vara svårt att veta vilka data som behövs för en specifik kris. Detta ställer högre krav på en mer flexibel lagstiftning i en krissituation, men framför allt att det finns system, semantik och infrastruktur på plats som kan hantera de nya behoven.
47 Se https://www.barncancerfonden.se/barncancerforskning/sa-ska-forskarna-utrota-barncancer/ forskningsreportage/ny-chans-for-barn-med-hittills-obotlig-cancer/ (hämtad 11 oktober 2023).
349Övergripande beskrivning av utmaningar och behov på hälsodataområdet
11.5 Övriga utmaningar som följer
av den tekniska utvecklingen
11.5.1 AI
Flera aktörer har lyft till utredningen att det är svårt att veta hur data får användas i samband med utveckling och användning av AI. Utredningen kommer inte gå in på detta av olika skäl. Hur AI får användas kommer delvis att regleras i AI-förordningen, se kapitel 4.
11.5.2 Datautvinning
Datautvinning kallas även för data mining och innebär sökning efter mönster och samband i stora data-mängder. Metoden används bland annat för att leta efter sådant som: – samtidiga samband så som företeelser som uppträder samtidigt eller under samma omständigheter, – sekventiella samband så som företeelser som brukar uppträda i en bestämd ordning, – kategorisering så som gruppering efter nyupptäckta mönster, – samhörighet så som gruppering efter andra samband, se affinitetsanalys och – förutsägelser så som prediktiv analys.
Ett konkret exempel från detaljhandeln är en amerikansk stormarknadskedja som upptäckte att försäljningen av både öl och blöjor ökade på fredagar. När dessa varor placerades intill varandra ökade försäljningen av båda ytterligare. Förklaringen var att småbarnspappor brukar 48 handla just på fredagar. Exemplet ovan kan verka banalt, men med stora datamängder och mycket beräkningskraft kan denna metod hitta samband som ingen människa skulle kunna göra. Det är därför oftast svårt att på förhand veta exakt vilka samband och trender modellen kan hittat ur en given mängd data. Även om det kan vara utmanande att ta reda på om sambanden från denna typ av analysmetod är kausala eller inte och i så
48 https://it-ord.idg.se/ord/datautvinning/ (Hämtat 2023-03-27).
350Övergripande beskrivning av utmaningar och behov på hälsodataområdet
fall åt vilket håll det kausala sambandet går samt hur hela det kausala sambandet ser ut så har de på senare år skapat nya möjligheter för att generera nya hypoteser. 49 Ett problem med denna typ av analyser är att det oftast krävs mycket data och i fallet för hälsodata så rör det sig oftast om känsliga personuppgifter. Eftersom den som analyserar datan inte på förhand alltid vet vad hen letar efter kan det vara svårt att uppgiftsminimera. Det är också svårt att på förhand specificera och avgränsa vilka typer av samband det är som analytikern förväntar sig att hitta och huruvida dessa samband faktiskt finns eller om de bara beror på slumpen. Så trots att denna typ av analysmetod många gånger analyserar flera miljoner datapunkter, som gör det praktiskt omöjligt för den som analyserar datan att identifiera enskilda i den, så är den ändock ur ett integritetsperspektiv svårhanterad. Utredningen bedömer dock att denna typ av metod blir allt vanligare inom hälsodataområdet, inte minst för forskning, uppföljning och utveckling.
49 Oquendo, M. A., et al. 2012. Machine learning and data mining: strategies for hypothesis generation. Molecular psychiatry, 17(10), 956–959.
35112 Problemanalys kopplad till
utredningens författningsförslag
12.1 Inledning
I föregående kapitel har övergripande behov på området beskrivits. Olika brister har identifierats och utredningen har, via de kontakter som förevarit inom utredningsarbetet, fått till sig att regelverken på hälsodataområdet upplevs som otydliga och otillräckliga. I detta kapitel redogör utredningen för de problem och brister som utredningen bedömer faller inom ramen för utredningens direktiv. Vidare är problemanalysen i detta kapitel begränsad till de situationer där det, enligt utredningens bedömning, är möjligt för utredningen att lämna författningsförslag. I utredningens direktiv framgår det att utredningen ska analysera, bedöma och i de fall det behövs, lämna författningsförslag för att möjliggöra sekundäranvändning av hälsodata från hälso- och sjukvården för flera olika ändamål. Utredningen har landat i att det är möjligt att lämna författningsförslag för två av ändamålen som räknas upp i direktiven. Det ena ändamålet är när personuppgifter från en eller flera patienter ska kunna användas för vård och behandling av andra enskilda patienter. Det andra ändamålet är när personuppgifter ska användas för forskning. Utredningens avgränsningar och bedömningar av varför dessa två är möjliga att lämna författningsförslag på, finns beskrivna i avsnitt 2.6. Ändamål som finns med i utredningens direktiv, men som utredningen av olika anledningar inte kan lämna författningsförslag på, beskrivs närmare i kapitel 19 en nationell datahubb, Kapitel 20 En nationell datahubb för ändamålen i utredningens direktiv, Kapitel 21 Byggstenar för den nationella datahubben och Kapitel 22 Frågeställningar för fortsatt utredning. I dessa kapitel kommer även konkreta tillämpningssvårigheter och behov som utredningen fått till sig men som inte faller inom utredningens direktiv att redovisas.
352Problemanalys kopplad till utredningens författningsförslag
12.2 Vidareanvändning för vårdändamål
12.2.1 Inledning
Att använda data från flera olika personer för att utveckla och förbättra vården är i sig inget nytt. Däremot skapas kontinuerligt nya möjligheter genom att använda mer detaljerade data om enskilda patienter för att behandla en annan enskild patient. Flera aktörer har lyft för utredningen att det finns nytta av denna typ av dataanvändning inom flera olika medicinska områden och verksamheter inom hälsooch sjukvården. Behoven förefaller vara störst inom den så kallade precisionsmedicinen. I dagsläget är det möjligt att analysera en patients gener och därigenom fastställa diagnos och skräddarsy behandling utifrån den enskilda individens genetiska förutsättningar. Denna typ av diagnostik och behandling brukar benämnas precisionsmedicin, vilket avser diagnostiska metoder och terapi för individanpassad utredning, prevention och behandling av sjukdom, applicerade på individnivå eller på delar av befolkningen. 1 Ibland används även begreppet precisionshälsa för att belysa att det är bredare och omfattar fler områden än det medicinska området. 2 Vilka data som är och kommer vara aktuella för precisionsmedicin i framtiden är svårt att säga. I dagsläget är det vanligt att analysera patientens gener, vilket gör genomikdatan central. Däremot finns det andra typer av data och andra tekniker som också är relevanta för precisionsmedicinen, som till exempel bildanalys, AI, proteomik, tran- 3 skriptomik, epigenomik med flera. Sådan data kan också behöva samköras med andra datatyper som till exempel bilder. Nuvarande regelverk som styr hälso- och sjukvården har tillkommit under en tid när inte precisionsmedicin fanns och är följaktligen inte anpassat efter dagens förutsättningar. Patientdatalagen (2008:355), förkortad PDL, är därför inte utformad efter de behov som precisionsmedicinen har. Behandling av personuppgifter från en (eller flera) patienter för vård av en annan patient, än den (eller de) personuppgifterna avser, är i dag inte ett uttryckligt tillåtet ändamål enligt PDL. Det rättsliga stödet för att vårdpersonal i ett enskilt fall ska få behandla
1 Regeringskansliet, 2019, En nationell strategi för life science. 2 Möte med Svensk sjuksköterskeförening 26 september 2022. 3 Proteomik, transkriptomik, epigenomik är likt genomik och enkelt utryckt är dessa olika metoder för att analysera biologiska processer eller egenskaper.
353Problemanalys kopplad till utredningens författningsförslag
personuppgifter för vårdändamål utgår från att personalen deltar i vården av den patient vars uppgifter behandlas. Behovet av att ta del av andra patienters personuppgifter, som personalen inte deltar i vården av, för ändamålet vård och behandling genom att till exempel jämföra olika analyser i stor skala saknar ett tydligt rättsligt stöd i dagens lagstiftning. Om personuppgifter ska delas mellan vårdgivare, till exempel mellan två regioner, finns också sekretessgränser att ta hänsyn till. I dag finns således inte de rättsliga förutsättningarna för att fullskaligt kunna implementera precisionsmedicin i Sverige. Detta har sedan tidigare påtalats i en hemställan till regeringen av Genomic Medicine Sweden 4 och av Komets förslag om att utreda insamling och 5 delning av hälsodata. Precisionsmedicin används dock i viss utsträckning redan i dag. Exempelvis är det möjligt att identifiera kliniskt relevanta molekylära förändringar och markörer som den enskilda patienten har. En sådan process kan skapa grundläggande förståelse för patientens förutsättningar och kan vara avgörande för att sätta in en målinriktad behandling. Detaljrika kartläggningar av olika sjukdomar och mer skräddarsydda behandlingar som kartläggningarna öppnar för, ökar. Däremot saknas rättsliga förutsättningar för vårdpersonalen att jämföra dessa uppgifter mellan olika patienter. Oaktat de legala förutsättningarna ser även förutsättningarna för användandet av precisionsmedicin olika ut i olika delar av landet i dag. Utredningen anser att det går att ifrågasätta om de bristande juridiska förutsättningarna är etiskt försvarbara och om konsekvenserna av de legala begränsningarna är förenliga med hälso- och sjukvårdens målsättning om vård på lika villkor för hela befolkningen, se 3 kap. 1 § hälso- och sjukvårdslagen (2017:30), förkortad HSL.
12.2.2 Juridiska förutsättningar
Nedan kommer de främsta juridiska hindren att övergripande beröras. Dessa hinder samt andra juridiska aspekter av betydelse för utredningens förslag kommer att beröras mer i detalj i kapitel 13 Vidareanvändning för vård av en annan patient än den som uppgifterna avser.
4 Regeringskansliet, 2020, dnr S2020/08250-1. 5 Kommittén för teknologisk innovation och etik, N 2018:04, 2020, Förslag om att utreda insamling och delning av hälsodata (dnr komm2020/00543/N 2018:04).
354Problemanalys kopplad till utredningens författningsförslag
Avsaknad av uttryckligt ändamål i PDL
PDL är utformad så att det i lagen finns en bestämmelse som har till syfte att så uttömmande som möjligt ange för vilka ändamål som vårdgivare får behandla personuppgifter inom hälso- och sjukvården. Bestämmelsen finns i 2 kap. 4 § PDL och kallas nedan för ändamålsbestämmelsen. I förarbetena till lagen lyfts särskilt att vårdgivarna inte själva får besluta om ytterligare ändamål för vilket eller vilka personuppgifter kan samlas in i verksamheten (prop. 2007/08:126 s. 56). Utredningen anser att detta uttalande även har bäring på vidareanvändning för nya ändamål, se vidare avsnitt 13.8. Ändamålsbestämmelsen består av sammanlagt sju punkter, med sju olika specificerade ändamål. Vad avser behandling av personuppgifter för den individinriktade patientvården, är punkterna 1–2 i ändamålsbestämmelsen relevanta. Punkterna brukar gemensamt benämnas för ändamålet vårddokumentation, se vidare avsnitt 7.5.4). Enligt dessa punkter får vårdgivare behandla personuppgifter om det behövs för • att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter, • administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall.
I den utsträckning journalföringsplikt finns är sådan insamling och registrering också en skyldighet för hälso- och sjukvårdspersonal (se 3 kap. 1 och 3 §§ PDL). Av ordalydelsen i punkterna ovan framgår inte att de uppgifter som dokumenteras får användas för vården av en annan patient än den som uppgifterna avser. Av förarbetena till PDL framgår dock att ändamålet vårddokumentation även omfattar senare användning av de registrerade uppgifterna i den omfattning som behövs för patientvården eller patientadministrationen (se prop. 2007/08:126, s. 57). Att uppgifterna inte enbart får behandlas för att fullgöra journalföringsplikten eller upprättande av annan dokumentation framgår alltså inte uttryckligen av lagtexten. Utredningen Rätt information på rätt plats i rätt tid föreslog att det i förtydligande syfte skulle tas in en formulering om 6 detta i PDL. Förslaget ledde inte till lagstiftning. Utredningen uppfattar dock inte att det råder något tvivel om att vårdgivare även får
6 Se SOU 2014:23, s. 155–156.
355Problemanalys kopplad till utredningens författningsförslag
behandla personuppgifter för vården av den patient som uppgifterna avser, även efter det att de skyldigheter som framgår av punkten 1 ovan har fullgjorts. Sådan behandling kan enligt utredningens mening inte heller vara oförutsebar för den registrerade. Däremot framgår inte av förarbetena att registrerade uppgifter om en eller flera patienter skulle kunna användas för vården av en annan patient. Ändamålet i 2 kap. 4 § första stycket 1 PDL kopplar enligt dess ordalydelse till journalföringsplikten i 3 kap. PDL. Frågan är om reglerna i 3 kap. PDL kan ge stöd för att tolka 2 kap. 4 § första stycket punkten 1 PDL som att ändamålet även omfattar behandling av personuppgifter för vård av annan patient. Utredningen har utrett denna fråga och kommit fram till att så inte är fallet. Utredningens resonemang kring detta utvecklas i avsnitt 13.8. Utredningens sammantagna slutsats är att det inte finns något stöd i PDL eller dess förarbeten för att vårdgivare skulle få använda personuppgifter som samlats in och behandlas för vården av en patient, för vården av en annan patient. Enligt utredningens mening finns också en stor principiell skillnad mellan att, å ena sidan, använda registrerade data om en patient för vården av den patienten, och, å andra sidan, att använda samma data för vården av en annan patient. Utredningens bedömning är att den personuppgiftsbehandling som krävs inte är förenlig med finalitetsprincipen, se vidare avsnitt 13.8.2. Utredningen konstaterar sammanfattningsvis att det saknas rättslig grund som tillåter att vårdgivare behandlar personuppgifter för vård av en annan patient än den som uppgifterna avser. Slutsatsen innebär ett juridiskt hinder för den personuppgiftsbehandling som är nödvändig för att fullt ut implementera bland annat precisionsmedicin.
Begränsningar avseende rättsligt stöd för vårdgivarens
personal att ta del av dokumenterade personuppgifter
vid vård av annan patient än den personuppgifterna avser
Ytterligare en fråga som utredningen har uppmärksammats på är begränsningarna av den rättsliga grunden i PDL för behörig personal att ta del av dokumenterade personuppgifter. Relevant bestämmelse finns i 4 kap. 1 § PDL. Av bestämmelsen följer att den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.
356Problemanalys kopplad till utredningens författningsförslag
Förarbetena till PDL ger inte någon mer utförlig ledning till hur ”deltar i vården” eller ”annat skäl” i 4 kap. 1 § PDL ska tolkas eller hur dessa formuleringar förhåller sig till ändamålsbestämmelsen i 2 kap. 4 § PDL (jämför prop. 2007/08:126, s. 238). Ett utförligare resonemang kring detta förs i avsnitt 13.9. Sammanfattningsvis anser utredningen att det saknas rättsligt stöd för personalens tillgång till dokumenterade personuppgifter om en eller flera patienter i syfte att vårda en annan patient.
Befintliga möjligheter till datadelning över vårdgivargränser
för patientändamål avser endast samma patient
I lagen (2022:913) om sammanhållen vård och omsorgsdokumentation, förkortad SVOD, samt 25 kap. 2 § och 25 kap. 11 § 3 offentlighetsoch sekretesslagen (2009:400), förkortad OSL, finns regler som möjliggör datadelning under vissa förutsättningar mellan vårdgivare. Reglerna avser datadelning avseende personuppgifter som behandlas för ändamålet vårddokumentation enligt PDL (se 2 kap. 1 § SVOD). Reglerna består kortfattat av sekretessbrytande bestämmelser och möjlighet till direktåtkomst eller annat elektroniskt utlämnande av vårddokumentation. För en mer utförlig beskrivning av dessa regler, se, avsnitt 7.6 och avsnitt 8.3.3. Ett av kraven för att vårdgivare ska få behandla personuppgifter enligt SVOD är att vårdgivaren har en aktuell patientrelation med den patienten och att patienten samtycker till behandlingen i det enskilda fallet (3 kap. 1–2 §§ SVOD). Regleringen ställer även krav på att uppgifterna bland annat ska antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten. Reglerna i SVOD möjliggör således inte heller för vårdgivare att behandla personuppgifter om en eller flera patienter för vård av en annan patient.
Sekretess mellan vårdgivare
Uppgifter inom offentligt bedriven hälso- och sjukvård omfattas av regleringen i OSL. Inom hälso- och sjukvården gäller som huvudregel sekretess för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men
357Problemanalys kopplad till utredningens författningsförslag
(25 kap. 1 § OSL). Hälso- och sjukvårdssekretessen gäller alltså med ett omvänt skaderekvisit, det vill säga det finns en presumtion för att uppgifterna inte ska lämnas ut. Inom enskild hälso- och sjukvård gäller i stället tystnadsplikt enligt 6 kap. 12–14 och 16 §§ patientsäkerhetslagen (2010:659), förkortad PSL. Sekretess i offentlig verksamhet gäller som huvudregel både i förhållande till enskilda och andra myndigheter (8 kap. 1 § OSL). Nämnder inom en kommun eller region anses utgöra egna myndigheter. Detta innebär att sekretess som utgångspunkt gäller mellan till exempel olika nämnder inom en region. Mellan myndigheter inom en kommun eller en region som bedriver hälso- och sjukvård finns en sekretessbrytande bestämmelse (25 kap. 11 § 1–2 OSL). Mellan vårdgivare finns en sekretessbrytande bestämmelse kopplade till SVOD (25 kap. 11 § 3 OSL). Det finns även sekretessbrytande bestämmelse för uppgiftslämnande till nationella eller regionala kvalitetsregister (25 kap. 11 § 4 OSL). Ingen av dessa bestämmelser kan dock tillämpas om exempelvis en region, för vården av en patient i en annan region, vill tillgängliggöra uppgifter som avser en annan patient än den som ska vårdas. Mellan hälso- och sjukvårdsmyndigheter i olika regioner finns således sekretessgränser som hindrar datadelning.
Utrymme för olika tolkningar
Utredningen har under sitt arbete tagit del av tolkningar som olika aktörer gör avseende ovan berörda regler. Utredningen kan konstatera att aktörerna gör olika bedömningar. Vissa aktörer anser till exempel att det kan finnas ett utrymme för att tolka in behandling av personuppgifter för vård av en annan patient än den som uppgifterna avser i ändamålsbestämmelsen i PDL. De finns aktörer som ser ett utrymme för att tolka befogenhetsbestämmelsen i 4 kap. 1 § PDL så att ”annat skäl” kan anses utgöra stöd för personalens åtkomst till dokumenterade personuppgifter om patienter, medan andra inte gör det. Den sammantagna bilden som utredningen fått är att reglerna i PDL ger stort utrymme för tolkning. Tolkningar som går isär är ett problem som skapar oförutsebarhet och rättsosäkerhet om inte lagstiftaren ingriper. Det faktum motiverar i sig lagstiftning. Utredningens bedömning är att det uppenbarligen behövs tydligare regler för att
358Problemanalys kopplad till utredningens författningsförslag
det ska vara förutsebart och finnas ett tydligt rättsligt stöd för både vårdgivare och patienter.
12.3 Vidareanvändning för klinisk forskning
12.3.1 Inledning
Som nämnts i kapitel 6 Forskning utgörs klinisk forskning av medicinsk och hälsovetenskaplig forskning som förutsätter vårdens strukturer och resurser och har som mål att lösa ett hälsoproblem. Forskningen kan även ha som mål att identifiera faktorer som leder till ökad hälsa. Som utgångspunkt behövs tillgång till hälsodata som finns inom hälso- och sjukvården för att bedriva klinisk forskning. Ett problem som lyfts av flertalet aktörer avser åtkomsten till uppgifter som behövs för att klinisk forskning ska kunna genomföras. Utredningen konstaterar att det finns sekretessregler som underlättar utlämnande från hälso- och sjukvården till klinisk forskning, se avsnitt 8.3.4). I praktiken förekommer även utlämnande i stor omfattning till klinisk forskning. Däremot har utredningen fått till sig att den praktiska hanteringen kring utlämnande inte alltid är så smidig och upplevs utdaterad i flera avseenden. Utlämnande till klinisk forskning kräver ofta en omfattande och tidskrävande manuell sammanställning av uppgifter som vanligen utförs av administrativ personal hos vårdgivaren. Långa ledtider medför i sin tur fördröjning av angelägen klinisk forskning. Dessutom riskerar olika slutsatser vid menprövningar att leda till att forskare får ut olika mycket information från olika myndigheter. En sådan effekt kan i sin tur leda till ett obalanserat underlag för den kliniska forskningen. Utöver dessa problem har utredningen även fått till sig att omfattande utlämnanden många gånger sker på papper, trots att uppgifterna hanteras digitalt både före och efter utlämnandet. Problemen är, av allt att döma, flera och av olika art. För att förenkla och förbättra en sådan hantering fullt ut räcker inte författningsändringar, se vidare avsnitt 15.3.4. Utredningen har däremot för avsikt att ringa in vilka problem som genom nya författningsförslag skulle kunna åtgärdas till viss del för att underlätta åtkomst till hälsodata som finns inom hälso- och sjukvården.
359Problemanalys kopplad till utredningens författningsförslag
12.3.2 Juridiska förutsättningar
Regelverk för klinisk forskning som verksamhet
Förutsättningarna för att bedriva klinisk forskning inom hälso- och sjukvården regleras typiskt sett av lagen (2003:460) om etikprövning av forskning som avser människor, förkortad etikprövningslagen. Omfattas den kliniska forskningen av MDR, 7 IVDR 8 eller CTR 9 är dessa EU-förordningar och kompletterande svensk lagstiftning om etisk granskning tillämpliga i stället för etikprövningslagen (se 4 a och 4 b §§ etikprövningslagen). När hälso- och sjukvård och klinisk forskning bedrivs inom exempelvis en region tillämpas alltså regelverken avseende hälso- och sjukvården, parallellt med regelverken avseende forskningen. Regionen uppträder då både som vårdgivare och forskningshuvudman (eller motsvarande enligt ovan nämnda förordningar). Inblandad personal behöver vara medvetna om, förstå och förhålla sig till att olika regelverk är tillämpliga beroende på om det är hälso- och sjukvård eller klinisk forskning den utför. Utredningen redogör nedan för olika juridiska perspektiv som behöver tas hänsyn till i sammanhanget.
Ändamål och åtkomst
Som utredningen konstaterat tidigare är det olika regelverk som aktualiseras beroende på vilket ändamål en personuppgift ska behandlas för. För vårdändamål gäller vissa regler. Handlar det i stället om forskningsändamål gäller andra regler. Regleringen av åtkomsten till uppgifter som finns inom en vårdgivares verksamhet beror på ändamålet och vårdpersonalen har behörighet för åtkomst baserat på sitt individuella behov, kopplat till ett eller flera ändamål. Vilka uppgifter personalen får ta del av varierar således beroende på vilken behörighet personalen har i förhållande till vilket område personalen arbetar. I PDL finns tydliga regler för hur vårdpersonal
7 Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG. 8 Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitro-diagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU. 9 Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG.
360Problemanalys kopplad till utredningens författningsförslag
får bereda sig åtkomst till dokumenterade uppgifter om en patient inom en vårdgivares verksamhet för ändamålet vård. Åtkomsten styrs av så kallad inre sekretess, och beskrivs i avsnitt 12.2.2. Behörigheten som personalen tilldelas begränsas till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter inom hälsooch sjukvården. PDL tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården (se 1 kap. 1 § PDL). Enligt e contrario tolkning av definitionen av hälso- och sjukvård (se 2 kap. 1 § HSL) utgör forskning inte hälso- och sjukvård. Eftersom forskning därmed inte utgör en del av tillämpningsområdet för PDL, gäller följaktligen inte en behörighet som personalen tilldelats för åtkomst till patientuppgifter inom hälso- och sjukvården om personalen behöver tillgång till uppgifter för ändamålet klinisk forskning. Ändamålet antalsberäkning (se 1 kap. 3 § och 2 kap. 4 § 7 PDL) utgör inte i sig forskning, utan är ett moment inom hälso- och sjukvården som görs inför planerad klinisk forskning. Klinisk forskning omfattas inte heller av SVOD. Ett vanligt praktiskt problem som utredningen fått till sig är när personal både forskar och tillhandahåller vård till samma individer. En sådan situation innebär att olika juridiska regelverk blir gällande för de olika personuppgiftsbehandlingarna. Personal som rent praktiskt har åtkomst till personuppgifter som behövs för både vård och klinisk forskning får då generellt sett inte använda åtkomsten för båda ändamålen. Uppgifter som behövs för klinisk forskning måste i stället vanligtvis begäras ut från den personuppgiftsansvariga vårdgivaren för forskningsändamålet. Det spelar alltså ingen roll att det de facto finns en åtkomst till uppgifterna för personalen, eftersom rätten att ta del av uppgifter om patienter styrs av ändamålen och den rättsliga grunden som en personuppgiftsbehandling vilar på. Det juridiska regelverk som styr detta beskrivs i stycket nedan. Efter att utredningen har varit i kontakt med ett flertal aktörer framstår frågan om processen för åtkomst till personuppgifter för ändamålet klinisk forskning som mest angelägen för hälso- och sjukvårdspersonal som också bedriver klinisk forskning. Utredningen konstaterar att angelägenheten är tydligast inom regionerna. En betydande andel av utlämnande av data från hälso- och sjukvården för ändamålet klinisk forskning sker från regionala myndigheter som bedriver hälsooch sjukvård till regionala myndigheter som bedriver klinisk forskning eller till lärosäten som bedriver klinisk forskning. Inom universitet
361Problemanalys kopplad till utredningens författningsförslag
och högskolor bedrivs också klinisk forskning, ibland i samarbete med regioner och ibland mer självständigt.
Sekretessgränser
Forskning som inte är ett led i vården betraktas från sekretessperspektiv som en självständig verksamhetsgren inom vårdgivare som är myndigheter (offentliga vårdgivare), se avseende självständiga verksamhetsgrenar, kapitel 8 Offentlighet, sekretess och tystnadsplikt, samt kapitel 13, avsnitt 13.7 Forskning som ett led i vården och patientnära forskning. Detta innebär att det finns en yttre sekretessgräns inom den vårdgivande myndigheten mellan, å ena sidan, hälso- och sjukvårdsverksamheten, och å andra sidan, klinisk forskning, som inte är ett led i vården av patienter. Rent formellt finns därmed en sekretessgräns mellan vårdverksamheten och forskningsverksamheten även om båda sker på samma klinik med samma personal. Som nämns i avsnitt 12.3.1 blir det extra tydligt för det fall personal både tillhandahåller vård och forskar på samma individer. När klinisk forskning och vård sker momentant omfattas båda situationerna av samma sekretess, se avsnitt 15.6. Sekretessgränsen uppstår däremot när personal tillhandahåller vård och behandlar en patient på förmiddagen för att sedan på eftermiddagen bedriva klinisk forskning på samma individ som då utgörs av en forskningsperson. Då innebär reglerna att personalen behöver förhålla sig till en sekretessgräns mellan vården som ges till patienten och den kliniska forskningen på samma person. Förhållandet mellan de olika verksamhetsgrenarna får till följd att det vanligtvis behöver ske ett utlämnande av personuppgifter från hälso- och sjukvården till den kliniska forskningen. Forskaren måste alltså, i enlighet med reglerna om handlingsoffentlighet i 2 kap. tryckfrihetsförordningen begära ut de uppgifter som behövs för den kliniska forskningen, trots att forskaren, i egenskap av till exempel behandlande läkare, kan ha åtkomst till samma uppgifter med stöd av sin behörighet och reglerna om inre sekretess i 4 kap. 1–2 §§ PDL. Ett utlämnande ska föregås av en så kallad menprövning som ska göras av någon som objektivt kan bedöma om uppgifterna ska lämnas ut, vilket vanligtvis då inte är forskaren själv. I praktiken sker en sådan process på olika sätt. En yrkesutövare som önskar ta del av den
362Problemanalys kopplad till utredningens författningsförslag
egna verksamhetens journalinformation för forskningsändamål kan i många regioner endast få tillgång till den efter att verksamhetschefen eller annan beslutsfattare har fattat ett beslut om utlämnande. Ett sådan beslut om utlämnande innebär inte att det är tillåtet att ta del av journaluppgifterna genom att logga in i regionens journalsystem. För många yrkesverksamma i hälso- och sjukvården är det även vanligt med så kallade kombinationsanställningar, där personal är anställd både inom en region och hos ett lärosäte. Här kan det, utifrån sett, upplevas som tydligt att åtkomst till vårdgivarens journalsystem endast kan bli aktuellt som anställd hos vårdgivaren för ändamålet vård. Verkligheten är dock inte lika distinkt, då samma person ofta byter roll och arbetsgivare flera gånger under en och samma dag. Ofta flyter arbetsuppgifterna för kombinationsanställda samman och det kan upplevas som verklighetsfrånvänt att dra en skarp linje mellan dessa arbetsuppgifter för att det juridiska regelverket kräver det. Utredningen konstaterar att det juridiska regelverket är tydligt men otympligt att efterleva i praktiken. En region, som i denna kontext är en vårdgivare, kan bestå av flera myndigheter som bedriver hälsooch sjukvård. Styrelser och nämnder inom en region är egna myndigheter. Mellan myndigheter inom en vårdgivare och mellan myndigheter hos olika vårdgivare finns som utgångspunkt också yttre sekretessgränser mellan hälso- och sjukvårdsverksamhet och klinisk forskning. Det saknas regler om direktåtkomst eller annat elektroniskt utlämnande för ändamålet klinisk forskning, medan sådan åtkomst kan ske över dessa gränser för vårdändamål. Samma praktiska problem finns därmed även mellan myndigheter inom vårdgivaren och mellan vårdgivare när det kommer till utlämnande till klinisk forskning. Till den del den patientnära forskningen innefattar patientjournalföring eller annan dokumentation som hör till vården av patienten, ska den informationshanteringen ske med stöd av PDL (se prop. 2007/08:126, s. 51). I förarbetena till PDL (prop. 2007/08:126, SOU 2006:82) saknas vägledning om hur forskning som ett led i vården ska tolkas och i vilka situationer det kan vara tillämpligt. Denna diskrepans har lyfts som ett problem till utredningen. Utredningen behandlar denna fråga i avsnitt 15.6. Forskning som ett led i vården och patientnära forskning. I figur 12.1 har utredningen försökt illustrera olika sekretessgränser som finns. Varje svart linje utgör en sekretessgräns. Det innebär att det finns sekretessgränser både mellan olika regioner och inom en
363Problemanalys kopplad till utredningens författningsförslag
region, det vill säga mellan olika myndigheter inom en och samma region. Det finns även sekretessgränser inom en och samma myndighet i en region, mellan olika verksamhetsgrenar, exempelvis mellan hälso- och sjukvårdsverksamheten och den kliniska forskningen. Utöver dessa sekretessgränser finns det också sekretessgränser mellan hälso- och sjukvårdsverksamheten vid en myndighet inom en region och forskningsverksamhet vid ett universitet. När det finns sådana sekretessgränser kan uppgifter ändå utlämnas efter föregående menprövning enligt beskrivningarna ovan, vilket pilarna nedan illustrerar.
Figur 12.1 Sekretessgränser mellan hälso- och sjukvård
och klinisk forskning hos myndigheter
Region A Region B Myndighet 1 Myndighet 2 (ex. Myndighet 1 Myndighet 2 (ex. (ex. ett sjukhus) ett sjukhus) (ex. ett sjukhus) ett sjukhus) Hälso- och Hälso- och sjukvårdssjukvårdsverksamhet verksamhet
Hälso- och Klinisk sjukvårdsforskning verksamhet
Universitet A
Klinisk Övrig forskning verksamhet
Källa : Utredningens illustration.
364Problemanalys kopplad till utredningens författningsförslag
Personuppgiftsbehandling
Vad avser personuppgiftsbehandling hos en vårdgivare som sker endast i forskningssyfte, omfattas den, som redan nämnts ovan, inte av PDL:s tillämpningsområde. Med detta avses dokumentation som enbart sker i forskningssyfte och som inte heller har någon betydelse för vården (se prop. 2007/08:126 s. 51). Patientdatalagen ska tillämpas vid behandling av personuppgifter i vårdgivares kärnverksamhet som avser tillhandahållande av hälso- och sjukvård inklusive tandvård åt patienter (prop. 2007/08:126, s. 48). Personuppgiftsbehandling som sker inom forskning saknar en motsvarande kompletterande författningsreglering och regleras enbart av Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad EU:s dataskyddsförordning (se vidare avsnitt 7.7). För den personuppgiftbehandling och hantering av personuppgifter som PDL är tillämplig på är vårdgivaren personuppgiftsansvarig, se 2 kap. 6 § PDL. Avseende den personuppgiftshanteringen som enbart sker för forskningen, finns ingen liknande utpekad personuppgiftsansvarig i nationell lagstiftning. Bedömning av vem som är personuppgiftsansvarig måste i stället göras enligt reglerna i EU:s dataskyddsförordning. Inom forskningsprojekt kan det variera hur parterna reglerar personuppgiftsansvaret beroende på hur förutsättningarna ser ut i det enskilda fallet. Flera olika upplägg som kan vara möjliga finns och förekommer inom den kliniska forskningen. Ett är när det finns två eller flera parallella, självständiga personuppgiftsansvariga. Ett annat upplägg kan vara att parterna som ingår i forskningsprojektet, ingår ett avtal om gemensamt personuppgiftsansvar. Ett tredje kan vara att en part utgör ett personuppgiftsbiträde åt en annan part som då är personuppgiftsansvarig. I sammanhanget kan även nämnas att för antalsberäkning, som ansetts utgöra ett förberedande steg för klinisk forskning gäller alltjämt personuppgiftsansvaret enligt PDL (jämför ovan och se prop. 2022/ 23:31 s. 17 och 25 f.).
36513 Reglering av vidareanvändning
för vårdändamål –
utgångspunkter och inriktning
13.1 Inledning
Av kapitel 2 framgår att utredningen lämnar författningsförslag avseende vårdändamålet. Utredningens författningsförslag avser vidareanvändning av personuppgifter för vården av en annan patient än den som uppgifterna avser. Överväganden och förslag som avser de bestämmelser som utredningen lämnar förslag på finns i kapitel 14. I förevarande kapitel berörs utgångspunkter och inriktning för utredningens förslag till regler avseende vidareanvändning för vårdändamålet. I avsnitt 13.2 beskrivs från praktisk synvinkel de behov som finns inom hälso- och sjukvården kopplade till att hitta relevant hälsodata för vården av en annan patient än den som uppgifterna avser. Vid sökning av hälsodata om andra patienter än den som uppgifterna avser uppkommer frågan om gränsen mellan vård och forskning (avsnitt 13.2.2) samt etiska aspekter på att tillgängliggöra information för hälso- och sjukvårdspersonal att använda på nya sätt (avsnitt 13.2.3). Utredningen beskriver vidare den praktiska gången vid sökning efter relevant hälsodata för vårdändamål, avsnitt 13.2.4. Utredningen redogör för de övergripande ställningstaganden som utredningen haft att göra avseende vilken eller vilka informationsmängder som det ska bli tillåtet att göra sökning i, avsnitt 13.3. I pedagogiskt syfte presenterar utredningen i avsnitt 13.4 den övergripande modell som utredningen föreslår ska gälla för behandling av personuppgifter för ändamålet vården av en annan patient än den som uppgifterna avser. Överväganden kopplade till modellen återkommer i avsnitt 13.3–13.5 i detta kapitel, samt mer detaljerat i kapitel 14. En principiell fråga som utredningen har haft att ta ställning till är om
366Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
reglerna ska vara frivilliga eller utgöra skyldigheter för aktörerna. Denna fråga berörs i avsnitt13.6. Utredningen har valt en lösning som bygger på att det ska få inrättas databaser som samlar relevanta hälsodata för ändamålet vården av en annan patient än den som uppgifterna avser. Utredningens överväganden kring utformningen av sådana databaser och hur de ska få inrättas finns i avsnitt 13.6 och avsnitt 14.7. Utredningens överväganden avseende den övergripande lagtekniska utformningen av regleringen finns i avsnitt 13.7. Två principiellt viktiga rättsliga frågor är om befintliga ändamålsbestämmelser i patientdatalagen (2008:355), förkortad PDL, omfattar behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser samt om befintliga bestämmelser i PDL om befogenhet att ta del av patientuppgifter ger stöd för hälso- och sjukvårdspersonal att ta del av uppgifter för att vårda en annan patient än den som uppgifterna avser. Utredningens analys av dessa frågor finns i avsnitt 13.8 och 13.9. I de mer praktiskt inriktade delarna av kapitlet använder utredningen begreppen data, hälsodata, vidareanvändning och vårdändamål. När utredningen skriver om den föreslagna regleringen använder utredningen begreppet personuppgifter i stället för hälsodata, eftersom det är det som utredningens författningsförslag avser, se avsnitt 2.6.3. Vårdändamålet formuleras enligt utredningens förslag som behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser, se avsnitt 14.4.
13.2 Att hitta relevant hälsodata för vårdändamål
Vad precisionsmedicin är och innebär beskrivs mer utförligt i avsnitt 11.4.1. Precisionsmedicin generellt kräver och genererar stora mängder hälsodata, lite beroende på område. Metoden går ut på att kunna skräddarsy vård och behandling för den enskilda patienten, utifrån dennes individuella förutsättningar. För att kunna arbeta med ett precisionsmedicinskt arbetssätt krävs att det går att jämföra relevanta hälsodata. Hälsodata från andra patienter som har liknande förutsättningar kan ge ledning i det enskilda fallet. För att kunna hitta datan som ger ledning krävs att aktuell personal har tillgång till relevanta hälsodata.
367Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
13.2.1 Om sökning och utfall
Aktörer inom hälso- och sjukvården har för utredningen beskrivit de konkreta behoven som finns för att hälsodata ska kunna vidareanvända för vårdändamål. Det som beskrivs tar sin utgångspunkt i behoven att kunna söka och hitta relevant hälsodata för vården av den patient som vårdas. I detta avsnitt berörs begreppen sökning och utfall av sökning. Dessa begrepp är grundläggande för förståelsen av det sätt som man inom hälso- och sjukvården behöver använda hälsodata för att implementera precisionsmedicin i vården. Utredningen har identifierat tre typiska utfall av en sökning i en datamängd som innehåller hälsodata om patienter. Avsnittet innehåller även en redogörelse för dessa typfall, benämnda Typfall 1–3.
Vad är sökning och utfall?
Utredningen använder begreppet sökning för en aktivitet som går ut på att leta efter relevant information i en informationsmängd genom att ange urval eller kriterier. Utredningen har valt ett exempel som vem som helst ska kunna ta till sig. Exempel på ett urval är ”krukor” och exempel på urval med kriterium är krukor under 500 kronor. Svaret på en sökning, det vill säga den information som kommer ut av sökningen, kallar utredningen för utfall. Utfallet av sökningen är en uppsättning data som uppfyller det urval eller de kriterier som sattes upp i sökningen. En sökning kan exempelvis vara ”alla grå krukor under 500 kronor, sorterade på pris”. På en sådan sökning kommer användaren få se alla grå krukor under 500 kronor som finns i en databas, sorterade på pris. För att översätta detta till sökning efter hälsodata i en databas för vårdändamål kan en sökning avse en viss genförändring (urval) hos kvinnor i ålder 20–30 år (kriterium). Ett exempel på utfall är att den som sökte får se en informationsmängd där effekt av behandling (variabel) samt vilken behandling de fått (variabel) baserat på de urval och kriterier som ställts upp för sökningen. Det finns olika sätt att söka efter data. Ett exempel är att användaren söker efter data i en databas genom att skicka en fråga till databasen. Frågor till en databas är i stort sett samma sak som sökfunktioner på hemsidor där användaren kan filtrera sin sökning efter exempelvis färg, pris eller storlek. Skillnaden är att frågan oftast skrivs i ett program-
368Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
meringsspråk, medan sökningar på hemsidor har programmeringskod i grunden som gör att användaren ska slippa kunna programmera för att genomföra sökningen. I praktiken är det dock samma sak som händer. I vissa fall kan sökning likna antalsberäkning för forskning, se avsnitt 13.2.2. Utredningen har valt att benämna förfarandet sökning för att inte skapa förvirring eller sammanblandning med sådan antalsberäkning som redan finns reglerad i PDL (se 2 kap. 4 § första stycket 7 PDL) och som utförs inför klinisk forskning. Utredningen har även övervägt andra begrepp, till exempel efterforskning. Utredning anser att efterforskning är mindre lämpligt i ett sammanhang där det handlar om vidareanvändning av hälsodata för vårdändamålet, eftersom det kan föra tankarna till forskning. Utredningen uppfattar inte heller att efterforskning är en term som används i praktiken. Utredningen har därför landat i att använda begreppet sökning.
Utfall av sökningen – tre typfall
Utredningen har identifierat att utfallen vid sökning kan delas in i tre typfall, vilka visas i figur 13.1.
Figur 13.1 Utfallstyper 1 – 3. Typfall 1 och 2 är vidareanvändning
för vårdändamål och typfall 3 är vidareanvändning
för forskningsändamål
Vård av annan Forskning
Mängd information
Antal patienter Antal patienter Antal patienter Källa : Utredningens illustration.
369Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
Typfall 1 – mycket information om ett fåtal patienter
Typfall 1 avser utfallet mycket information om ett fåtal patienter. Sökningen har i denna situation gjorts utifrån att behovet för vården av en patient är mycket information om ett fåtal patienter. Detta kan exempelvis vara fallet vid behandling av en person med ett sällsynt hälsotillstånd. Patientgruppen är ofta liten och det är inte ovanligt med en komplex sjukdomsbild. För att kunna vårda dessa patienter på bästa sätt krävs ofta mycket information från patienter med samma eller liknande hälsotillstånd.
Typfall 2 – lite information om många patienter
Typfall 2 avser utfallet lite information om många patienter. Sökning i denna situation har gjorts utifrån att behovet för vården av en patient är att det behövs lite information om många patienter. Ett sådan exempel kan vara att se hur patienter med en viss typ av cancer reagerat på olika typer av läkemedelsbehandling. I dagsläget är det vanligt att cancer delas in baserat på vilken vävnad cancern sitter i, exempelvis bröstcancer. Läkemedelsbehandlingar har traditionellt utvecklats för att behandla cancern utifrån denna uppdelning och därför är det vanligt att cancerläkemedel blir godkända för behandling av exempelvis bröstcancer. På senare år har det blivit allt vanligare att titta på vilken mutation det är som gett upphov till cancern och därmed sätta in den behandling som har bäst effekt baserat på patientens specifika mutation. I praktiken skulle det kunna vara så att en läkare har en patient som fått bröstcancer, tumören har sekvenserats och läkaren har gott om information om cancern. Läkaren kan nu välja att sätta in det läkemedel som traditionellt varit bäst för samtliga personer som fått bröstcancer. I stället har läkaren möjlighet att titta i en databas som innehåller alla patienter som fått diagnosen bröstcancer, tumörspecifik information, vilka behandlingar de fått samt behandlingsutfall. Läkaren kan efter denna sökning konstatera att patienten i det aktuella fallet har en ovanligare form av bröstcancer och att andra patienter fått effekt av den läkemedelsbehandling som patienten i normala fall skulle fått efter att ha testat två andra, vanligare läkemedelsbehandlingar. Läkaren väljer därför att ordinera patienten på en behandling som sannolikt är bättre anpassad direkt.
370Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
Typfall 3 – mycket information om många patienter
Typfall 3 avser utfallet mycket information om många patienter eller till och med ”allt om alla” utifrån ett visst urval eller kriterium. I denna situation är behovet relativt mycket information och relativt många patienter. Utfallet i typfall 3 grundar sig på en mer explorativ sökning som exempelvis att testa en hypotes på ett större datamaterial. Utredningen utvecklar resonemanget i 13.2.2.
Endast typfall 1 och 2 kan vara vidareanvändning av hälsodata för vårdändamål
Utredningens bedömning är att användning av den information som blir utfallet av sökning i typfall 1 och 2 kan falla in under kravet på att hälso- och sjukvårdspersonalen ska utföra sitt arbete i överensstämmelse med vetenskap och beprövad erfarenhet (se 6 kap. 1 § patientsäkerhetslagen, förkortad PSL). Den information som till exempel behandlande läkare får ta del av från denna typ av sökning är, enligt utredningen, möjligt att jämföra med den information den som söker hade fått genom att rådfråga andra läkare som haft liknande patientfall. En sökning i en samlad informationsmängd gör det dock möjligt att ”rådfråga” och ta del av andra patienters uppgifter och på så vis dra nytta av samlad, upparbetad kunskap och beprövad erfarenhet. Informationsmängden som utfallet av sökningen resulterar i blir en sammanställning av information om exempelvis vilken typ av behandling som satts in i liknande situationer. Bedömningarna av behandlingsval bör antas vara grundade på vetenskap, kunskap och beprövad erfarenhet.
13.2.2 Gränsen mot forskning
Ur ett etiskt och juridiskt perspektiv är det centralt att göra skillnad mellan hälso- och sjukvård och forskning. Olika etiska principer och regelverk gäller för verksamhet som avser hälso- och sjukvård respektive forskning, se vidare om detta i kapitlen 5 och 6. En förklaring till denna uppdelning är att medan hälso- och sjukvård har den enskilda patientens välmående och hälsa i fokus, syftar forskning till att skapa vetenskaplig kunskap till gagn för kommande
371Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
patienter och framtidens vård. Precisionsmedicin kan dock, rent juridiskt, ses som en uppluckring av denna gränsdragning – här handlar det inte enbart om åtgärder med den vars information det gäller i fokus, utan även om att skapa kunskap för vård av andra, aktuella och identifierade, patienter. Kunskapen som erhålls är också av ett annat slag än den som skapas med hjälp av gängse vetenskapliga metoder. Det innebär att medan precisionsmedicin handlar om vård av patienter, uppkommer en möjlig slitning mellan den nytta som uppstår för en person av att begränsa nyttjandet av dennes information (bevarad integritet) och nyttan som uppstår av att personuppgifterna kan användas för att vårda någon annan. Vid personuppgiftsbehandling är det dock viktigt att hålla reda på för vilket ändamål som användningen av personuppgifter sker. Insamling av personuppgifter får bara ske för särskilda, uttryckligt angivna och berättigade ändamål och får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (artikel 5.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad dataskyddsförordningen). I PDL, finns en uppräkning av de ändamål som vårdgivare får behandla personuppgifter för inom hälso- och sjukvården (se 2 kap. 4 § andra stycket PDL). I typfall 3 i figur 13.1 innebär behandlingen av personuppgifter en mer explorativ sökning för att jämföra olika data utan att det specifika målet med personuppgiftsbehandlingen ska vara en enskild patients vård. Forskning hjälper till att skapa ny kunskap. Utredningen konstaterar att det finns forskning som bedrivs på mycket små patientgrupper eller utifrån informationen i stora register. Det innebär att figuren och typfall 1 och 2 även kan aktualiseras vid forskning. Utredningens målsättning med att ändå försöka illustrera typfallen är att visa på att precisionsmedicinska databaser inte har som syfte att användas för forskning. De regler som utredningen föreslår för ändamålet vård av annan än den som personuppgifterna avser, syftar till att skapa utökade möjligheter till personuppgiftsbehandling för vårdändamål. Allmänna regler som gäller för hälso- och sjukvård och vårdprofessionen är tillämpliga även i situationer där personuppgifter behandlas för vård av annan än den som uppgifterna avser. Detta innebär att PSL:s regler om vetenskap och beprövad erfarenhet gäller. Utredningens förslag avser endast
372Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
möjligheter till tillgång till information. En bedömning måste alltid göras av om informationen är medicinskt relevant. Utredningen belyser detta ytterligare i både figur 13.1 och i konsekvensutredningen (se avsnitt 18.2.6–18.2.7).
13.2.3 Övergripande om etiska aspekter
Ur etiskt hänseende finns det vissa risker kopplade till att nya personuppgifter om personers hälsa tillgängliggörs för hälso- och sjukvårdspersonal. Dessa risker finns även när befintliga personuppgifter om personers hälsa tillgängliggörs för fler personer eller för fler syften. Dessa risker kan vara av olika slag, några exempel är intrång från externa aktörer, otillbörlig åtkomst av vårdens personal för otillåtna syften och spridning av uppgifter av misstag. Utförliga beskrivningar och kartläggningar av risker av dessa slag finns i bland annat Integritetskommitténs delbetänkande (SOU 2016:41, kapitel 9). Nyttan med digitala hälsouppgifter och risker ur ett integritetsperspektiv beskrivs också i Vårdanalys rapport Vad står på spel? 1 Hur allvarliga riskerna är beror på olika saker, inklusive de enskildas situation och deras egna bedömningar. Även om alla personuppgifter om hälsa per definition är så kallade känsliga personuppgifter enligt 2 EU:s dataskyddsförordning , varierar deras upplevda känslighet mellan individer och sammanhang. Nyttjande av en enskilds uppgifter som är tillåten, kan av den enskilde upplevas som ett integritetsintrång. Samtidigt kan andra situationer, som innebär nyttjande av en enskilds uppgifter som inte är tillåten, av vissa, uppfattas som helt okänsligt ur ett integritetsperspektiv. Det kan då framstå som mest rättvist att alltid inhämta samtycke inför en personuppgiftsbehandling av den enskildes personuppgifter, för säkerhets skull. Alternativet att säkerställa att den enskildes samtycke erhålls inför varje nyttjande av den enskildes uppgifter är dock inte alltid vare sig möjlig eller proportionerlig. Det kan finnas tillfällen som nödsituationer eller då den enskilde själv inte är förmögen att ta ställning eller kan uttrycka sitt ställningstagande där det inte är möjligt att inhämta samtycke. Att inhämta samtycke vid varje enskild användning kan också innebära ett poten-
1 Myndigheten för vård- och omsorgsanalys, 2016, Vad står på spel? kapitel 3. 2 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
373Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
tiellt integritetsintrång eftersom hen då kan påminnas om en traumatisk upplevelse som patient. Om ändamålet med nyttjandet av personuppgifterna är något annat än vården av den enskilde själv, kan det också anses omotiverat att alltid överlåta beslutet om sådan vidareanvändning till den enskilde vars uppgifter det gäller, då priset i termer av förhindrade kunskapsvinster med mera kan bedömas vara för högt. Att vidta åtgärder för att minska riskerna för intrång i den enskildes personliga integritet är nödvändigt och ter sig än mer angeläget när patients samtycke inte inhämtas. Ju större mängd data som tillgängliggörs, desto noggrannare överväganden behöver finnas avseende vem som kan bereda sig åtkomst till dem och för vilka syften. Förutom att värna den enskildes personliga integritet, är det nödvändigt att skydda patienters uppgifter för att säkerställa att förtroendet för vården och dess sätt att hantera patientuppgifter bibehålls. Om detta förtroende eroderas, riskerar det att leda till att patienter blir mindre villiga att vara sanningsenliga i sina kontakter med vården. En sådan utveckling försämrar möjligheterna för patienterna själva att kunna ta del av god vård men det försämrar också vårdens egna möjligheter att dra nytta av datamängderna för andra syften.
13.2.4 Den praktiska gången vid sökning för vårdändamål
Utredningen avser att i detta avsnitt redogöra för den praktiska gången för sökning och utfall för vårdändamål, se typfall 1 och 2 i avsnitt 13.2.1. I ett första steg handlar det om att söka för att se om det över huvud taget finns relevant hälsodata om andra patienter för vården av den aktuella patienten. Rent praktiskt påminner denna typ av sökning den som görs för antalsberäkningar inför klinisk forskning. Sökningen går ut på att ta reda på om något utfall finns och i så fall hur mycket relevant information som ett första urval ger. Själva patienten i sig är typiskt sett inte relevant, utan det intressanta är om en sökning över huvud taget ger ett utfall. Sökning i detta första steg illustreras i figur 13.2. Utredningen föreslår att särskilda samlingar av hälsodata, så kallade precisionsmedicinska databaser, ska få skapas där sökningar för vårdändamål ska få göras, se avsnitt 13.4 och 14.7. Urval och tillgängliggörande av relevant hälsodata ska få ske till databaserna, se avsnitt 14.6.
374Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
Den övergripande modellen beskrivs i avsnitt 13.4, där urval och tillgängliggörande av relevant hälsodata är steg 1, samlingarna av hälsodata är steg 2 och sökning möjliggörs av tillgången till personuppgifter i steg 3.
Figur 13.2 Första steget för ändamålet vård av annan är att göra
en sökning i en relevant hälsodatamängd
Sökning
Finns det relevanta patienter?
Ja Nej
Räcker Ändamålet vård informationen av annan är inte som tillämpligt Ja beslutsstöd? Nej
Använd Begär ut informationen journaler från för att vårda relevanta patienten vårdenheter
Använd informationen för att vårda patienten
Vård av annan Källa: Utredningens illustration.
Den som söker kommer sannolikt behöva göra upprepade sökningar för att kunna hitta relevant hälsodata för vården av patienten och förfina sina sökningar baserat på vad tidigare sökningar har gett för utfall. I utredningens kontakter med hälso- och sjukvården har det framkommit att sökningarna typiskt sett kommer att behöva vara en iterativ process.
375Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
I syfte att möta dessa behov lämnar utredningen förslag om bland annat direktåtkomst och en befogenhetsregel med utrymme för medicinsk bedömning, se avsnitt 14.8.2 och 14.8.4. Efter att sökningen eller sökningarna är genomförd finns det två möjliga utfall; antingen finns det relevanta data om andra patienter eller så finns det inte det. Om det inte finns några relevanta personuppgifter så saknas motiv för att kunna gå vidare till nästa steg.
Figur 13.3 Andra steget är om utfallet är att det finns relevant data eller
inte. Finns inte relevant data är ändamålet inte tillämpligt
Sökning
Finns det relevanta patienter?
Ja Nej
Räcker Ändamålet vård informationen av annan är inte som tillämpligt Ja beslutsstöd? Nej
Använd Begär ut informationen journaler från för att vårda relevanta patienten vårdenheter
Använd informationen för att vårda patienten
Vård av annan Källa: Utredningens illustration.
Om utfallet är att det finns relevant data om andra patienter behöver den som söker ta ställning till om informationen är tillräcklig. Om informationen är tillräcklig kan informationen användas som beslutsstöd för att vårda patienten.
376Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
I vissa situationer är informationen dock inte tillräcklig. I dessa fall finns behov av mer information om patienterna vars personuppgifter har sökts fram, än den som finns i den informationsmängd som sökningen har gjorts i. Behovet i den situationen är att kunna ta del av kompletterande personuppgifter från den patientjournal som kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser. Detta motsvarar steg 4, begäran om kompletterande personuppgifter från patientjournal, i beskrivning av den övergripande modellen nedan avsnitt 13.4. Utredningens förslag för att möta detta behov av kompletterande uppgifter från patientjournal finns i avsnitt 14.9.
Figur 13.4 I det tredje steget får en bedömning göras om utfallet räcker
för att vårda patienten, eller om det finns behov av
kompletterande journalinformation.
Sökning
Finns det relevanta patienter?
Ja Nej
Räcker Ändamålet vård informationen av annan är inte som tillämpligt Ja beslutsstöd? Nej
Använd Begär ut informationen journaler från för att vårda relevanta patienten vårdenheter
Använd informationen för att vårda patienten
Vård av annan Källa: Utredningens illustration.
377Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
13.3 Valet av databas som nav
för vidareanvändningen
Förslag : Vidareanvändningen ska grunda sig i inrättande och förande av nya samlingar av personuppgifter i form av databaser.
Ovan har framgått att det praktiska behov som hälso- och sjukvården har för att kunna vidareanvända personuppgifter för vården av en annan patient än den som uppgifterna avser grundar sig i att utföra sökningar efter relevanta personuppgifter om patienter. Syftet med detta är att se om det över huvud taget finns relevant information och i så fall omfattningen av denna. Sökningar behöver utföras i någon form av informationsmängd. Frågan är då vilken eller vilka informationsmängder som sökningar ska få ske i. Det finns olika alternativ. Ett alternativ är att tillåta sökning i en eller flera befintliga informationsmängder. Ett annat alternativ är att tillåta skapande av nya informationsmängder för det aktuella ändamålet. Nedan följer utredningens överväganden i denna fråga.
13.3.1 Hur behöver sökning kunna utföras
för att möta behoven?
De mer specifika behoven kopplat till författningsförslag och utformningen av dessa återfinns i kapitel 14. I syfte att ge en övergripande bild, sammanfattar utredningen i detta avsnitt behoven i övergripande drag. Utredningen har i kontakt med företrädare från hälso- och sjukvården som arbetar inom precisionsmedicin fått till sig de övergripande behoven som finns med avseende på sökning enligt vad som beskrivs i avsnitt 13.2.1. Först och främst avser behoven vissa typer av vårddata, inte alla personuppgifter som vårdgivare lagrar om patienter. Uppgifterna behöver inte vara direktidentifierbara. Från professionen är det starkt efterfrågat att kunna söka bland relevanta personuppgifter, både inom och mellan olika vårdgivare. För att kunna erbjuda jämlik vård behöver tillgången till relevant hälsodata också bli mer jämlik. I vissa fall kan det räcka med att söka i några regioners hälsodatamängder, medan det i vissa andra situa-
378Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
tioner finns så få patientfall att all relevant data som finns i Sverige behöver kunna tillgås. Hälsodata behöver därför kunna delas mellan vårdgivare för att uppfylla de behov som finns. För att precisionsmedicin ska kunna bli en integrerad del i vården, krävs att sökning kan ske inom ramen för det löpande arbete inom hälso- och sjukvården. Det finns vidare behov av att kunna utföra upprepade sökningar. I akuta skeden finns inte tid för administrativa utlämnandeprocesser. Dessa behov kräver enligt utredningens bedömning att direktåtkomst till uppgifterna är tillåtet, förenat med behörigheter till relevant personal.
13.3.2 Sökning i befintliga informationsmängder
Det kan övervägas om befintliga informationsmängder inom hälsooch sjukvården bör kunna användas för sökning. De befintliga informationsmängderna inom hälso- och sjukvården som utredningen har identifierat är befintliga patientjournalsystem, systemet för sammanhållen vårddokumentation enligt SVOD eller nationella och regionala kvalitetsregister. Lämpligheten i att söka i befintliga informationsmängder bör enligt utredningens mening bedömas utifrån praktisk användbarhet, kostnadsaspekter och integritetsperspektivet. Vid en bedömning utifrån dessa aspekter anser utredningen att det inte är en lämplig lösning att sökning sker i befintliga informationsmängder. Utredningens överväganden framgår i det följande. Ett sätt att sammanföra personuppgifter mellan olika vårdgivare är att de som behöver söka får någon form tillgång som är direkt kopplad till olika vårdgivare. Från ett praktiskt perspektiv skulle det krävas en stor mängd integrationer i patientjournalsystem och systemet för sammanhållen vårddokumentation för att dessa skulle kunna användas för sökning. Omfattningen av de integrationer som krävs skulle medföra höga kostnader och vara mycket tidskrävande. Data skulle dessutom behöva vara systematiserad på helt andra sätt än vad som är fallet i dag för att kunna sökas i på ett användbart sätt. Detta gäller både patientjournalsystem och systemet för sammanhållen vårddokumentation. Både patientjournalsystem och systemet för sammanhållen vårddokumentation innehåller väsentligen mycket mer hälsodata än vad
379Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
som behövs för vården av en annan patient än den som uppgifterna avser. Det är endast ett urval av patientuppgifter som behövs för att tjäna syftet med sökning. Hälsodata ska inte användas i större omfattning än vad som behövs. Att tillåta sökning i befintliga informationsmängder skulle enligt utredningens mening medföra ett alltför stort integritetsintrång som inte går att motivera utifrån det behov som finns inom hälso- och sjukvården. Utifrån hur befintliga patientjournalsystem samt sammanhållen vårddokumentation är uppbyggt finns det inga praktiska möjligheter att ställa krav på urval av uppgifter eller pseudonymisering. För sammanhållen vårddokumentation finns å andra sidan andra skyddsåtgärder, såsom samtycke från patienten, vilka inte är möjliga att applicera vid personuppgiftsbehandling som rör annan patient än den som vårdas (se angående samtycke, avsnitt 14.10.). Utredningen gör bedömningen att systemet som föreskrivs i SVOD varken ur juridisk eller teknisk synvinkel är möjlig att tillämpa för ändamålet vård av annan patient än den som uppgifterna avser. Regionala och nationella kvalitetsregister är systematiserade utifrån diagnos, vilket inte är ett ändamålsenligt sätt utifrån behovet att söka uppgifter för vården av en annan patient än den som uppgifterna avser. Kvalitetsregistren utgör ett stort antal olika uppgiftssamlingar med mycket omfattande innehåll. Att tillåta sökning i dessa mellan olika regioner skulle medföra ett betydande integritetsintrång, med tanke på omfattningen i innehållet. Utredningen har också noterat att det i direktiven till utredningen anges att det inte är inom ramen för regionala eller nationella kvalitetsregister som lösningarna bör sökas, se vidare avsnitt 2.6.1. Gemensamt för samtliga befintliga informationsmängder som utredningen har identifierat är att de innehåller stora mängder direktidentifierbara personuppgifter. Vid sökning i sådana informationsmängder för vidareanvändning av uppgifter för vården av en annan patient än den som uppgifterna avser, finns inte behov av direktidentifierbara uppgifter. En viktig skyddsåtgärd som utredningen ser det är därför pseudonymisering av uppgifterna som sökning får göras i. Detta är inte förenligt med utformningen av befintliga informationsmängder.
380Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
Federerad lösning
Utredningen har vägt mellan lösningen med att ha databaser att söka i mot att ha en federerad lösning där aktörerna skulle kunna söka direkt i regionernas befintliga system och datalager i stället för att bygga upp en ny uppgiftssamling. Flertalet aktörer som utredningen haft kontakt med har lyft att de helst velat se en sådan federerad lösning. En federerad lösning har fördelar ur ett informationssäkerhets- och därmed också integritetsperspektiv. Om data lagras centraliserat i en eller flera uppgiftssamlingar finns vissa risker. Ett exempel är om en antagonist lyckas bereda sig tillgång till en databas, så får antagonisten tillgång till samtliga uppgifter i databasen. En nackdel med en federerad lösning är dock att det ställer högre krav på interoperabilitet. En federerad lösning kräver också att det skapas teknisk funktionalitet som möjliggör federeringen. Fördelen med en ny uppgiftssamling är att det kräver mindre reglering och skulle kunna tas i bruk mycket snabbare, särskilt i den utsträckning som befintlig infrastruktur kan användas. Ledtiderna skulle då enbart bestå i beslutsprocessen och ikraftträdandetiden. En federerad lösning bedömer utredningen skulle ställa helt andra krav på författningsstöd, interoperabilitet och teknisk utveckling. Utredningens bedömning är att det skulle ta flera år och att det sannolikt är ett arbete som kommer behöva ske parallellt inom ramen för arbetet med anpassningen till Europeiska kommissionens förslag till Europaparlamentets och Rådets förordning om ett europeiskt hälsodataområde, COM(2022) 197 final av den 3 maj 2022, förkortad förslaget till EHDS. Utredningens bedömning är mot bakgrund av ovan att en federerad lösning skulle ta för lång tid, även om det sannolikt hade inneburit en smidigare och mer heltäckande lösning när den väl kom på plats. Utredningens bedömning är att den fördelen inte väger tyngre än patienternas behov som kommer vara ouppfyllda under de åren som lösningen utvecklas. Därutöver bedömer utredningen att en sådan federerad lösning bör ta sikte på att lösa en större del av hälso- och sjukvårdens informationsförsörjningsbehov än bara precisionsmedicinens. Sannolikt kommer även arbetet med EHDS innebära att en federerad lösning i någon form kommer behöva tas fram. Detta skulle eventuellt kunna göra databaserna mindre relevanta om det gick att hämta data direkt från vårdgivarnas datalager utan att gå via en databas. Utredningens bedömning är dock att en sådan lösning är väldigt många
381Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
år bort och om det någonsin kommer på plats så bedömer utredningen att mycket av det arbete som görs med att ta fram databaserna kommer gå att återanvända när en sådan lösning tas fram. Därav bedömer utredningen att det bästa alternativet är att det får tillskapas nya uppgiftssamlingar för vidareanvändning för vårdändamål, se avsnitt 13.3.3. Sammantaget ser utredningen flera mycket negativa aspekter i att utforma regelverket avseende vidareanvändning för vårdändamål utifrån sökning i befintliga informationsmängder, även inbegripet federerade lösningar.
13.3.3 Nya uppgiftssamlingar
Utifrån utredningens slutsats att det finns betydande negativa aspekter förknippade med sökning i befintliga informationsmängder, se avsnitt 13.2.1. Utifrån detta har utredningen övervägt om det är lämpligt att skapa nya uppgiftssamlingar avseende vidareanvändning för vårdändamål. Att skapa nya uppgiftssamlingar kan ses som integritetskänsligt i sig. Det handlar i aktuellt fall dessutom om hälsodata som i många fall kommer att utgöras av personuppgifter om hälsa. Personuppgifter som hälsa är känsliga personuppgifter enligt EU:s dataskyddsförordning. För att kunna möta de behov som finns avseende sökning, behöver informationsmängderna som sökning görs i, innehålla uppgifter från olika vårdgivare. Detta anses vanligtvis också vara mer integritetskänsligt än att personuppgifter behandlas inom en vårdgivare. Sammantaget finns ett antal omständigheter som gör att den nya uppgiftssamlingen är av mycket integritetskänslig art. Utredning konstaterar dock att en ny samling inte kommer att innehålla vårddata som inte redan finns lagrade hos vårdgivare. Det är alltså inte fråga om ny insamling av känsliga personuppgifter, utan om vidareanvändning av befintlig vårddokumentation, se vidare avsnitt 13.8. Utredningen ser ett antal fördelar med att skapa nya uppgiftssamlingar för vidareanvändning för vårdändamål. Skapande av nya uppgiftssamlingar kan ske utifrån det behov som finns avseende vilken hälsodata som ingår i samlingen. Ett relevant urval av data kan göras utifrån syfte med uppgiftssamlingen. Av detta följer att hälsodata lättare kan minimeras. Utifrån att behoven är sådana att direktåtkomst till datamängden behöver tillåtas för att sökningar
382Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
ska kunna ske på ett praktiskt användbart sätt inom hälso- och sjukvården, anser utredningen att en avgränsning av hälsodata som sökning tillåts i är en förutsättning ur integritetssynpunkt. Skapandet av nya uppgiftsamlingar där central behandling av personuppgifter sker, medför också en möjlighet till tydligt utpekande av ansvar för uppgiftssamlingen. Integritetshöjande åtgärder kan anpassas utifrån behov och risker med den nya uppgiftsamlingen. Vidare ger nya uppgiftssamlingar också förutsättningar för behandling av personuppgifter oberoende av om detta sker inom en myndighet, mellan myndigheter inom en vårdgivare eller mellan vårdgivare. Utredningen har identifierat ett behov av andra ”gränssnitt” än vad dagens reglering är uppbyggd utifrån, se avsnitt 14.4.5. Utifrån en ny uppgiftssamling är det enligt utredningens mening enklare att skapa mer träffsäkra regler utifrån både behov och integritetsskydd.
13.3.4 Vad som menas med ”databas”
Utredningen har valt begreppet databas för de nya uppgiftssamlingar som ska tillåtas för vidareanvändning för vårdändamålet. Utredningen uppfattar att databas är ett etablerat begrepp för uppgiftsamlingar av olika slag både i praktiska och juridiska sammanhang. Utredningen utvecklar nedan vad som menas med databas och beskriver vissa juridiska sammanhang där begreppet används. Utredningen förklarar i avsnitt 14.2 vad som avses med precisionsmedicinsk databas. Från ett praktiskt perspektiv utgörs en databas av data som är samlade, ordnade, sökbara och skilda från specifika program (applikationer). Grundtanken gällande databaser är att separera data från de program som använder dem. På så sätt görs det enklare att underhålla datamängden och det gör också att flera program kan använda samma data. Det finns flera fördelar med att lagra data i en databas. Ett sådant exempel är att en ändring bara behöver göras i databasen och då visar den rätt informationen i de applikationer som visar upp data från databasen. Utöver detta så kan en databas användas för att avgränsa datamängder från varandra vilket ibland kan vara önskvärt av olika skäl så som att en del av en organisation behöver lagra en delmängd av en större databas. Av detta följer att en ”databas” också kan vara en avgränsad del av en större databas.
383Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
Utredningen har tittat på hur begreppet databas används i olika juridiska sammanhang. Det saknas en enhetlig legaldefinition, men begreppet finns i gällande rätt. Nedan följer några exempel på databas i rättsliga sammanhang. Enligt 1 kap. 2 § yttrandefrihetsgrundlagen definieras databas som en samling av information lagrad för automatiserad behandling. I 2 kap. lag om behandling av personuppgifter i Skatteverkets folkbokföringsverksamhet finns bestämmelser om folkbokföringsdatabasen. Enligt 2 kap. 1 § ska det i folkbokföringsverksamhet finnas en samling personuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 1 kap. 4 § samma lag angivna ändamålen. Av 2 a kap. 1 § framgår att det i folkbokföringsverksamhet även ska finnas en samling personuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för de i 1 kap. 4 a § angivna ändamålen (analys- och urvalsdatabas). I denna reglering används alltså begreppet databas i meningen samling av personuppgifter kopplat till vissa ändamål. I utredningen om en långsiktig reglering av forskningsdatabaser förekommer begreppet ”forskningsdatabas”. Begreppet används för att beskriva en uppgiftssamling som har funktionen att tillhandahålla underlag för tilltänkta men ännu ej definierade forskningsprojekt. 3 Den föreslagna lagens tillämpningsområde anges till behandling av personuppgifter i verksamhet med sådana forskningsdatabaser där insamling och registrering av personuppgifter görs i register eller annan samling med personuppgifter genom registrerades frivilliga medverkan och där forskningsdatabasernas syfte att skapa underlag för flera framtida forskningsprojekt är av särskilt vetenskapligt värde för forskningen i ett långsiktigt perspektiv. I dessa förslag ställs till exempel inte krav på att uppgifterna ska vara sökbara eller skilda från specifika program, jämför den praktiska beskrivningen ovan.
13.3.5 Databas som begrepp för den nya samlingen
av personuppgifter
Utredningen konstaterar att den praktiska och juridiska innebörden skiljer sig något åt. Den definition eller betydelse som databas har i juridiska sammanhang är något bredare än den praktiska innebörden.
3 En långsiktig reglering av forskningsdatabaser, Dnr U2022/04089, s. 91.
384Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
Gemensamt är dock att det handlar om en samling av data (eller uppgifter). Utredningen tar fasta på denna grundläggande likhet i hur begreppet används både praktisk och juridiskt. En samling av data kan vara en databas i den praktiska mening som anges ovan (sökbart och så vidare). I praktiken skulle samlingen av data även kunna ligga i exempelvis ett datalager eller i en datasjö (se kapitel 3 för innebörden av dessa begrepp). I praktiken är det alltså själva uppgiftssamlingen som avses och att denna är avgränsad för att begränsa tillgången som är det viktiga. Vilken praktisk lösning som är den mest lämpliga lämnar utredningen upp till aktörerna att bestämma, så länge som inrättande och förande av databas är förenligt med övriga regler. Utredningen ser inte att den tekniska lösningen i sig har någon betydelse juridiskt sett, så länge det är en teknisk lösning som är att likställa med en databas. Exempelvis skulle en datasjö kunna användas för att lättare hantera bilddata, vilket skulle kunna vara relevant. Utredningen ser inte att en utökad funktionalitet för att underlätta jämförelse av data som är lagrade i olika medier ändrar själva personuppgiftsbehandlingen. En textsträng som beskriver en bild eller själva bilden i sig bedömer utredningen inte har någon betydelse inom ramen för den precisionsmedicinska databasen. Utredningen bedömer att detta också gör lagstiftningen mer flexibel i förhållande till den tekniska utvecklingen, utan att göra avkall på integritetsskyddet. Trots att den tekniska lösningen kan vara något annat än en databas i praktisk mening anser utredningen att databas är det mest lämpliga begreppet för de nya uppgiftssamlingarna. Andra begrepp som utredningen övervägt är register och patientdataindex. Register kan vara flera olika saker, från en processor i en dator till en innehållsförteckning i en bok. Ett register kan vara en förteckning över data som hålls strukturerat och därmed sökbart. Vanligen är därmed även registret en databas. Registret kan innehålla personuppgifter, men behöver inte göra det. Register definieras i artikel 4.6 i dataskyddsförordningen som en ”strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden”. Enligt den svenska modellen för författningsreglering av register är viss registerföring särskilt reglerad i så kallade registerförfattningar.
385Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
Utredningens bedömning är att en databas för vidareanvändning av personuppgifter för vårdändamål kan vara ett register i dataskyddsförordningens mening. Dataskyddsförordningens definition är dock betydligt bredare än den betydelse det ofta har för praktiker, se avsnitt 3.3. Utredningens bedömning är att register i dess praktiska innebörd är för specifikt och skulle riskera att leda tankarna till en avgränsning av användningen på ett sätt som inte bedömts som ändamålsenligt, exempelvis om databasen behöver innehålla bilder. Vad gäller patientdataindex så bedömer utredningen att begreppet inte är lika etablerat som databas och att det finns en risk för att det uppstår olika tolkningar av vad ett patientdataindex är. Lagstiftningen och området innehåller redan många begrepp som är svårtolkade och utredningen har försökt att inte lägga till nya begrepp om det inte varit nödvändigt.
13.4 Den övergripande modellen
I detta avsnitt beskrivs övergripande utredningens modell för vidareanvändning av personuppgifter för vårdändamål. Modellen baserar sig på de praktiska behov av sökning och utfall som har redogjorts för i avsnitt 13.2.1 och 13.2.4. Den utgår också ifrån utredningens val av databas som navet för vidareanvändningen, se avsnitt 13.3. Utredningen föreslår att namnet på en databas som används för vården av en annan patient än den som uppgifterna avser benämns precisionsmedicinsk databas, se avsnitt 14.2. Utredningen har ritat upp en bild av hur den övergripande modellen och de fyra stegen kan se ut i en precisionsmedicinsk databas. Utredningen har valt att illustrera exemplet med en samverkansregion. Vilka som ska få inrätta och föra en precisionsmedicinsk databas förtydligas i avsnitt 13.5.3.
386Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
Figur 13.5 Principskiss över steg 1 – 4 med exempel på precisionsmedicinsk
databas i Samverkansregion Mellansverige
Steg 1: Vårdgivare gör urval och tillgängliggörande av vissa patientuppgifter Steg 2: Regional myndighet inom hälso- och sjukvården för en precisionsmedicinsk databas Steg 4: Regional myndighet inom hälso- och sjukvården begär kompletterande Steg 3: Direktåtkomst eller personuppgifter från annat elektroniskt utlämnande patientjournal hos till regional myndighet inom vårdgivare hälso- och sjukvården Steg 3: Sökning inom den specialiserade regionala hälso- och sjukvården Källa : Utredningens illustration. Kartan: https://www.xn--sjukvrdsregionmellan-0zb.se/ (Hämtat 2023-09-13).
13.4.1 Urval och tillgängliggörande till precisionsmedicinsk
databas (steg 1)
Alla vårdgivare ska ges möjlighet att tillgängliggöra personuppgifter till en precisionsmedicinsk databas som hos vårdgivaren behandlas enligt 2 kap. 4 § första stycket 1–2 PDL. Urval och tillgängliggörande får endast ske av de uppgifter som behövs för att skapa underlag för vården av en annan patient än den som uppgifterna avser. Tillgängliggörande får ske genom elektroniskt utlämnande. Utredningens förslag i denna del finns i avsnitt 14.6.
13.4.2 Inrättande och förande av precisionsmedicinsk
databas (steg 2)
Inrättande och förande av precisionsmedicinsk databas ska vara förbehållet regionala myndigheter inom hälso- och sjukvården. Syftet med behandling av personuppgifter i en precisionsmedicinsk databas är att skapa ett underlag för behandling av personuppgifter för vården
387Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
av en annan patient än den som uppgifterna avser. Vilka databaser som ska vara tillåtna ska fastställas i förordning. Från ett praktiskt perspektiv är poängen med en precisionsmedicinsk databas att samla en relevant informationsmängd för sökningar efter relevant hälsodata för vården av en annan patient än den som informationen avser, se avsnitt 13.2.4. Utredningens förslag om regler avseende inrättande och förande av precisionsmedicinsk databas finns i avsnitt 13.7 och 14.7. Utredningen överväganden avseende tillskapandet av nya informationsmängder finns i avsnitt 13.3.
13.4.3 Tillgång till personuppgifter i precisionsmedicinsk
databas för sökning (steg 3)
Personal inom den regionala specialiserade vården ska kunna söka i den precisionsmedicinska databasen efter relevanta patientfall och använda dessa uppgifter i vården av en patient. Om det visar sig att det finns relevanta data om andra patienter så behöver den som söker ta ställning till om informationen räcker för de behov som hen har. Om informationen är tillräcklig kan informationen användas som beslutsstöd för att vårda den enskilda patienten. Tillgång till personuppgifter i den precisionsmedicinska databasen ska få ges genom direktåtkomst eller annat elektroniskt utlämnande till regional myndighet inom hälso- och sjukvården. Det ska gälla särskilda villkor för behörighet och befogenhet att ta del av uppgifter i databasen. Utredningens förslag i denna del finns i avsnitt 14.8.
13.4.4 Begäran om kompletterande personuppgifter
från patientjournal (steg 4)
Om det behövs mer information om patienterna vars data sökts fram i en precisionsmedicinsk databas, ska myndigheten som gjort sökningen kunna vända sig direkt till den vårdgivare som tillgängliggjort uppgifter till databasen med en så kallad begäran om kompletterande personuppgifter från patientjournal för den eller de relevanta patienterna. Begäran om kompletterande personuppgifter från patientjournal ska kunna ske efter att sökning har gjorts i en precisionsmedicinsk
388Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
databas och vara villkorat av att kompletterande uppgifter kan antas ha betydelse för vården av patienten. Utredningens förslag i denna del finns i avsnitt 14.9.
13.5 Hur bör en precisionsmedicinsk
databas få inrättas?
Utredningen har hitintills beskrivit varför utredningen bedömer att en databas är en lämplig lösning för att möjliggöra vidareanvändning för vårdändamålet. I detta avsnitt kommer utredningen redogöra för hur en sådan eller sådana databaser bör få inrättas.
13.5.1 Aspekter på inrättandet av en databas
för vidareanvändning för vårdändamål
Det finns ett antal aspekter som utredningen anser bör beaktas vid valet av ordning för inrättande av databas för vidareanvändning av personuppgifter för vårdändamål. Det finns här motstående intressen som behöver vägas mot varandra. Några sådana är skyddet för den personliga integriteten, användbarheten eller praktisk genomförbarhet. Utredningen kommer i detta avsnitt redogöra för de intressen som utredningen bedömt varit mest centrala och vad de innebär. Bedömningen av vilka dessa är har utredningen gjort själv, men utredningen har framför allt försökt väga in de intressen som regeringen ger uttryck för som extra viktiga i utredningens direktiv.
Statlig styrning och kostnadseffektivitet
Även om staten inte har ansvar för hälso- och sjukvården finns det behov av statlig styrning inom vissa områden. Några sådana exempel är att skapa en jämlik vård i hela landet, ett annat är ansvaret för normgivningen. Hälsodataområdet är ett komplext område och det finns i dag många lokala lösningar som gör att det är svårt att få till en jämlik hälso- och sjukvård, men också ett sammanhängande system för hela hälso- och sjukvården. Utredningen upplever att det dels finns en ökad vilja att få till en ökad statlig styrning på hälso- och sjukvårdsområdet av flera olika skäl. En mer jämlik vård, en mer resurs-
389Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
effektiv vård, en mer konkurrenskraftig life science-sektor, ökade krav från bland annat EU är bara några av de anledningar som talar för en mer enhetlig styrning av hälso- och sjukvården (se bland annat prop. 2023/24:1 Utgiftsområde 9, s. 45). Utredningen har därför valt att i sitt arbete i den mån det gått försökt lämna förslag som går i den riktningen, är kostnadseffektiva, men samtidigt bevarar det kommunala självstyret i så stor utsträckning som möjligt.
Integritet och ändamålsglidning
Många databaser kan i sig vara en risk ur ett integritetsperspektiv. Samtidigt kan större mängder data samlade också ses som integritetskänsligt. Utredningen bedömer att regeringen i direktiven varit tydliga med vikten av den personliga integriteten. Att göra en proportionalitetsbedömning är många gånger svårt, i synnerhet när det kommer till känsliga personuppgifter. Ytterligare skyddsåtgärder leder många gånger, om än inte alltid till minskad nytta för de som ska använda personuppgifterna. Skyddsåtgärderna kan också vara kostsamma eller svåra att tillämpa i praktiken. Det finns också många olika typer av skyddsåtgärder och vilka eller vilken kombination av skyddsåtgärder som bör användas behöver ofta bedömas utifrån det enskilda fallet. Utredningen har försökt hitta en balans mellan risker och skyddet för den personliga integriteten, men har i vissa fall aktivt valt att göra avkall i vissa delar där utredningen bedömt att en skyddsåtgärd inte varit proportionerlig eller där kostnaden gjort att genomförandet hade blivit praktiskt ogenomförbart.
Tidsperspektivet
I utredningens arbete med ändamålet vård har utredningens bedömning varit att en av de viktigaste aspekterna är att utredningens förslag ska börja skapa nytta så fort som möjligt. Precisionsmedicin finns redan i dag och utredningens bedömning är att Sveriges implementering halkat efter. Denna bedömning gör utredningen baserat på de kontakter utredningen haft med olika aktörer. Utredningens bedömning är att det därför är angeläget att Sverige så snart som möjligt kan implementera precisionsmedicin på ett jämlikt sett i hela landet, då tillgången till precisionsmedicin i dag är ojämlik över landet. Bäst tillgång har
390Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
de som bor i en region med ett universitetssjukhus och de som kan ingå i olika kliniska studier. I figur 13.6 nedan har utredningen försökt illustrera nyttan av olika val på lösningar som hade kunnat övervägas. Grafen visar nyttan över tid, där t 0 representerar i dag, t 1 representerar en tidsenhet längre fram i tiden. Utredningen har valt att inte definiera hur lång en sådan tidsenhet är. Syftet är i stället att illustrera hur nyttan förändras över tid och hur den förhåller sig till de olika tidsperioderna. Exempelvis kan t 1 tolkas som på kort sikt, t 2 som på medellång sikt och allt efter det är på lång sikt. Utredningen har valt den lösning som visas längst till vänster i figur 13.6. Det vill säga en lösning som ska generera nytta så snart som möjligt. Utredningen bedömer också att detta är den lösning som skulle generera störst nytta totalt. Ett alternativ till de förslag som utredningen lämnat är att Sverige skulle invänta inrättandet av en nationell datahubb och skapa en federerad lösning. Utredningens bedömning är att detta kommer behövas oaktat utredningens förslag, men att en sådan lösning endast kommer börja generera nytta på lång sikt. Under den tiden kommer många patienter både utstå lidande och i vissa fall också avlida innan dess att en lösning kommer på plats. Utredningen bedömning är att det inte är etiskt försvarbart att invänta en sådan lösning. Utredningen har också funderat på om det finns någon lösning som börjar generera större nytta redan på medellång sikt, vilket visas i mitten av de tre graferna i figur 13.6. Utredningen har dock inte kunnat identifiera någon sådan lösning som skulle vara ekonomiskt försvarbar eller praktiskt genomförbar. Det ena alternativet har i praktiken stått mellan att göra en lösning som skapar lite nytta så snart som möjligt och på sikt skapar stor nytta. Detta förslag bedömer utredningen också skapar bättre förutsättningar för staten och regionerna att påbörja arbetet med datahubbar. Det andra alternativet har varit att enbart fokusera på en nationell datahubb direkt. Att reglera upp en nationell datahubb ingår dock inte i utredningens uppdrag och utredningen bedömer inte heller att det hade varit en lämplig lösning, då det skulle innebära att patientnytta hade uteblivit fram till dess att datahubben var på plats. Utredningen bedömer vidare att tiden för inrättandet av en datahubb sannolikt inte hade kunnat påskyndas i någon större utsträckning eftersom datahubben är beroende av bland annat förslaget till EHDS. Så mot bak-
391Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
grund av allt ovan har utredningen bedömt tidsaspekten som central för utredningens vägval avseende vilka förslag som skapade mest nytta för patienterna och som leder till långsiktigt bästa lösningen för hälsodataområdet och dess aktörer.
Figur 13.6 Illustration över nyttan med olika val av lösningar
för införandet av precisionsmedicin i Sverige
Nytta Nytta Nytta Nytta Nytta Nytta Nytta
Tid Tid Tid Källa : Utredningens illustration.
13.5.2 Olika sätt att reglera inrättandet av databaser
Utifrån de aspekter som redogörs för i avsnitt 13.5.1 har utredningen övervägt olika alternativ för inrättande av databaser för vidareanvändning av personuppgifter för vårdändamålet.
Alternativ A – Reglera antal databaser i författning
Ett alternativ är att i författning ange de databaser som får finnas och vem som får föra dem. Ett exempel på reglering av en utpekad databas och vem som får föra den är lagen (2013:794) om vissa register för forskning om vad arv och miljö betyder för människors hälsa, den så kallade LifeGene-lagen. Lagen trädde i kraft den 1 december 2013 och gäller till utgången av år 2023. I Utredningen om en långsiktig reglering av forskningsdatabaser föreslås en ny lag om vissa forskningsdatabaser samt en förordning om vissa forskningsdatabaser. Lagen föreslås reglera behandling av personuppgifter i verksamhet med sådana forskningsdatabaser där insamling och registrering av personuppgifter görs i register eller annan samling med personuppgifter genom registrerades frivilliga medverkan och där forskningsdatabasernas syfte att skapa underlag för flera framtida forskningsprojekt är av särskilt vetenskapligt värde för forskningen i ett
392Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
långsiktigt perspektiv. Enligt förslaget får behandling av personuppgifter i en forskningsdatabas bara utföras i verksamhet som bedrivs av lärosäten. I förslaget till lag anges vidare att regeringen kan meddela föreskrifter, dels om vilka forskningsdatabaser som får föras, dels om vilka lärosäten som får behandla personuppgifter enligt lagen. Den utredningen lämnar även förslag till förordning som ansluter till lagen. I förslaget till förordningen finns bestämmelser om att Karolinska Institutet får föra forskningsdatabaserna LifeGene och Tvillingregistret. En fördel med denna typ av reglering är att det är tydligt vem som är ansvarig och att det finns en begränsning i antalet databaser. En begränsning av antalet databaser kan antas vara kostnadseffektivt och gynnsamt ur integritetsperspektiv. Ett utpekande av en viss databas eller aktör låser dock fast inrättandet på ett betydande sätt. Det saknas då flexibilitet och möjligheter till anpassning utifrån regionala förhållanden. En variant som ger större flexibilitet är att av författning följer det antal databaser som får finnas. Det går också att kombinera med att ange en viss utpekad databas. I stället för att ange en viss utpekad aktör kan författningen innehålla krav på vilken typ av aktör som får inrätta databas.
Alternativ B – Fritt antal databaser på regional nivå
Ett alternativ är att i lagen endast ange att regionala myndigheter inom hälso- och sjukvården får möjlighet att inrätta och föra precisionsmedicinska databaser. Detta alternativ skapar stor flexibilitet för regionerna. En sådan reglering innebär i sig ingen begränsning i antal databaser. Detta alternativ skulle innebära en låg tröskel för att inrätta en databas, vilket enligt utredningens bedömning då skulle kunna förväntas ske relativt snabbt. Fritt inrättande av databaser skulle i praktiken vara likt nationella kvalitetsregister. Av erfarenhet är det känt att det med stor sannolikhet kommer leda till låg täckningsgrad, låg kostnadseffektivitet och en stor mängd olika databaser. Utredningen bedömer att detta inte är ett lämpligt alternativ, i synnerhet inte eftersom förslaget till EHDS ställer högre krav på nationell styrning inom hälsodataområdet. Utredningen ser också att det finns en risk för att det blir svårt för regionerna att ha kontroll över alla databaser och se till att de an-
393Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
vänds på ett ändamålsenligt sätt och att ingen ändamålsglidning sker. Utredningen anser att en reglering som lämnar utrymme för ett stort antal databaser medför betydande integritetsrisker. Utredningen bedömer också att en större mängd databaser riskerar att göra att det kommer krävas mångt mycket fler integrationer mellan olika system och databaser. Det går då också att ifrågasätta vad hela poängen med lagstiftningen är, eftersom själva tanken är att skapa större upptagningsområden. En mängd små samlingar av hälsodata skulle sannolikt inte fylla en bättre funktion än vad vårdens befintliga register redan skulle kunna lösa.
Alternativ C – Tillståndsprocess
Ett alternativ kan vara att inrättande av en precisionsmedicinsk databas föregås av ett tillståndsförfarande. En jämförelse kan göras med förfarandet vid beviljande av att bedriva nationell högspecialiserad vård (se 7 kap. 5 a § hälso- och sjukvårdslag (2017:30), förkortad HSL). Liksom vid tillståndsgivning för nationell högspecialiserad vård skulle en myndighet, till exempel Socialstyrelsen, kunna vara den som prövar ansökningar och beviljar tillstånd (se 7 kap. 5 b § HSL och 2 kap. hälsooch sjukvårdsförordning (2017:80). Det alternativet skulle skapa en tydligare och starkare statlig styrning och en god översikt. Det skulle sannolikt även vara fördelaktigt utifrån ett integritetsperspektiv. Däremot är en nackdel med denna typ av reglering att den ger resultat långsammare och det kommer därför ta längre tid innan nyttan realiseras. Det skulle också innebära ökade kostnader och en, enligt utredningen, omotiverad inskränkning i det kommunala självstyret. Eftersom det skulle ta längre tid bedömer utredningen att det inte heller skulle vara ändamålsenligt då det sannolikt hade varit bättre att i så fall invänta ett inrättande av en nationell datahubb.
Alternativ D – En nationell datahubb
Ett alternativ till en precisionsmedicinsk databas är inrättandet av en nationell datahubb som erbjuder en teknisk lösning som låter regionerna federera data.
394Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
Fördelen med detta alternativ är att det är det mest flexibla och skalbara systemet som också skulle kunna användas av flest aktörer. Utredningen bedömer dock att detta alternativ också är det mest komplexa, dyra och tidskrävande alternativet. Dessutom innehåller förslaget till EHDS regler som delvis avser samma sak som ett sådant förslag, vilket gör att ett sådant förslag skulle överlappa och riskera att förekomma vad som sedermera kommer att komma, utan att kunna ta ett helhetsgrepp kring de frågorna. Detta framstår inte som lämpligt. Utredningen anser dock att det förslag som utredningen lägger fram är kompatibelt med förslaget till EHDS och att det kommer gå att bygga vidare på det senare, när EHDS trätt i kraft. Centralt är också att vidareanvändning av personuppgifter för vårdändamål är en typ av användning av hälsodata som kommer att ske vårdnära – i det dagliga patientarbetet – och i nuläget framför allt inom den regionala specialiserade vården. Det är regionerna som har ansvaret för den hälso- och sjukvård där denna typ av användning av hälsodata kommer att ske. Utifrån detta är det rimligt att den grundläggande infrastrukturen finns hos regionerna. På sikt finns dock fördelar med även en nationell datahubb, exempelvis för att fler aktörer ska kunna använda data.
13.5.3 Precisionsmedicinska databaser bör regleras
i författning och begränsas i antal
Förslag : Inrättande av databaser med samlingar av personuppgifter för vidareanvändning för vårdändamål, så kallade precisionsmedicinska databaser, ska begränsas i antal. Varje samverkansregion ska få inrätta en precisionsmedicinsk databas. Även den Nationella Genomikplattformen ska få inrätta en precisionsmedicinsk databas.
Genomgången av olika alternativ i avsnitt 13.5.2 visar att olika lösningar har olika för- och nackdelar utifrån de kriterier som utredningen har prövat. Utredningens ambition är att föreslå en lösning som sammanvägt har klart övervägande fördelar förknippande med sig. Utredningens författningsförslag utgår ifrån Alternativ A. Inrättande av databaser med samlingar av personuppgifter för vidareanvändning för ska därför begränsas i antal.
395Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
Slutsatsen av de överväganden utredningen lämnar i avsnitt 13.3 är att det finns ett behov av nya uppgiftssamlingar. Utredningen bedömer att det finns behov av fler databaser än bara en ensam nationell databas. Det finnas fördelar med en nationell datahubb. Utredningen bedömer dock att en nationell lösning skulle kräva en federerad lösning för att motiveras ur integritetssynpunkt. I avsnitt 13.3.2 beskriver utredningen varför utredningen bedömt att det i nuläget inte är en framkomlig väg. I korthet är utredningens bedömning att det kommer ta för lång tid att bygga upp en nationell datahubb och att den nationella datahubben kommer behöva byggas på med flera funktioner. Det är därför svårt att säga när en federerad lösning för precisionsmedicin hade kunnat prioriteras och genomföras. Utredningen anser dock att det behövs en begränsning av antalet databaser. Det finns fördelar med att knyta an till befintliga samverkansstrukturer. Utredningens bedömning är, i likhet med andra utredningar (SOU 2015:98, 2016:48, 2018:10 och 2021:25), att det är lämpligt att bygga vidare på indelningen samverkansregioner (tidigare sjukvårdsregioner). Vidare anser utredningen att databaserna behöver regleras i författning. Detta eftersom utredningen anser det lämpligast ur styrningsperspektiv samt utifrån de rättsliga krav som ställs på den här typen av uppgiftssamlingar enligt regeringsformen, förkortad RF (se fullständigt resonemang i avsnitt 13.7.1). På grund av den detaljeringsgrad ett begränsande i antal och lämpliga integritetsskyddande åtgärder medför anser utredningen att regleringen inte endast bör göras i lag, utan även genom kompletterande bestämmelser i förordning, se vidare resonemang om uppdelningen i lag och förordning under rubriken ”Krävs lagform för närmare bestämmelser om precisionsmedicinska databaser enligt grundlagen”.
Fördel med begränsning i antal för statlig
styrning och kostnadseffektivitet
Ur ett statligt styrningsperspektiv är det en fördel med att fåtal databaser eftersom det innebär att regionerna behöver arbeta tillsammans och ta fram lösningar som fungerar över regiongränser och att det därmed inte uppstår omotiverade lokala lösningar. Detta gör i sin tur att staten kan ha en tydligare styrning gentemot regionerna som enligt utredningen också underlättar för förutsäg-
396Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
barheten och långsiktigheten för staten, regionerna och patienterna. Det är också långt mycket enklare att ha överblick över sex databaser än 21 som det hade varit om varje region skulle ha en egen databas. Det är också rent praktiskt lättare samverka att samverka med sex aktörer snarare än 21. Utredningen bedömer att den samverkansregionala nivån innebär en bra balans mellan regional förankring och statlig styrning då det överlappar med den indelning som flera statliga myndigheter använder (se exempelvis civilområden, prop. 2022/23:45). Det överlappar också med indelning som regionerna använder regionala cancercentrum. Ur ett kostnadseffektivitetsperspektiv är det enligt utredningen också rimligt att centralisera databaserna till samverkansregionerna eftersom det finns tydliga skalfördelar med att enbart bekosta driften och utvecklingen av sex databaser i stället för 21 databaser. Det är inte heller säkert att små regioner skulle ha ekonomiska förutsättningar för att inrätta en databas. Vissa regioner är också förhållandevis små och det går då att ifrågasätta om patientunderlaget är tillräckligt för att uppnå den kritiska massa som krävs för att databasen ska göra någon nytta. Även om utredningen bedömer att det finns tydliga skalfördelar och att det hade varit mest kostnadseffektivt med en enda nationell databas, så har utredningen gjort bedömningen att de besparingarna inte står i proportion till de ökade riskerna, om den inte bygger på en federerad lösning. Sammanfattningsvis bedömer utredningen att den samverkansregionala nivån skapar en balans som är bra utifrån både styrningsperspektiv, kostnadseffektivitet och avseende skyddet av den personliga integriteten.
Precisionsmedicinsk databas med viss inriktning
Utredningens bedömning är att de precisionsmedicinska databaserna som upprättas inom varje samverkansregion skulle kunna bidra i arbetet med att inrätta regionala datahubbar (se avsnitt för förklaring av regionala datahubbar 19.5.4). En fråga som uppkommer är om precisionsmedicinska databaser bör ha inriktning mot en viss medicinsk frågeställning eller inte. En sådan lösning finns i exempelvis Storbritannien (se avsnitt 10.3.10).
397Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
Det finns en rad fördelar med en sådan lösning. Det skulle potentiellt kunna innebära mer specialiserade och därmed mindre uppgiftssamlingar. Det skulle dock sannolikt betyda att antalet uppgiftssamlingar också blev fler. Det skulle också leda till att ett färre antal personer skulle ha behov av att få tillgång till uppgiftssamlingarna, men det skulle också sannolikt innebära gränsdragningsproblematik och att vissa patienter som inte passar in i någon av uppgiftssamlingarna sannolikt får sämre vård. Ett ökat antal uppgiftssamlingar, i synnerhet om de är specialiserade skulle sannolikt kunna leda till större regionala variationer och lägre interoperabilitet. Ytterligare en baksida med en sådan indelning är att det skulle göra det svårare att erbjuda vård till patienter som befinner sig i två av uppgiftssamlingarna och det finns då enligt utredningen en uppenbar risk att alla och ingen blir ansvarig för patienten, med följden att patienten inte får den vård som hen skulle fått om uppgiftssamlingen var samlad. Exempelvis så skulle en specialisering kunna vara virus, en annan cancer, en tredje ärftliga sjukdomar. För en person med cancer kan det dock vara så att cancern uppstod till följd av en virusinfektion och att den kunde uppstå för att det fanns en ärftlig faktor som gjorde att patienten hade en hög risk för att utveckla den cancertypen. En annan fråga är hur dessa olika databaser skulle placeras i Sverige. Utredningens bedömning är därför att det inte är ändamålsenligt att i författning fastställa att en precisionsmedicinsk databas ska ha en viss inriktning. Sen kan det i praktiken bli så att vissa patienter som får högspecialiserad vård endast kommer att återfinnas i en av de samverkansregionala databaserna eftersom samtliga patienter behandlas på ett specifikt sjukhus. Utredningen ser dock inte att detta i praktiken skulle innebära några problem för varken hälso- och sjukvården eller patienterna.
Fördel ur tidsperspektivet
Utredningen har bedömt att tidsperspektivet är en av de viktigaste faktorerna som utredningen haft att förhålla sig till i framtagandet av utredningens förslag. Utredningen bedömer att en nationell eller en federerad lösning skulle ta för lång tid. En databas per region riskerar också att vissa regioner inte inrättar en databas för att kostnaderna
398Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
är för höga eller patientunderlaget är för litet. Detta skulle innebära en längre tid där patienter står utan rätt vård. Även ur ett tidsperspektiv har utredningen bedömt att den samverkansregionala nivån är det alternativ som minimerar tiden till dess att precisionsmedicin kan införas jämlikt i svensk hälso- och sjukvård.
Sammanfattande bedömning avseende inrättandet
av precisionsmedicinska databaser
Utredningen anser att det bästa alternativet är att antalet databaser med samlingar av personuppgifter för vidareanvändning för vårdändamål begränsas. Sammantaget finner utredningen att en precisionsmedicinsk databas per samverkansregion tillsammans med en inom den Nationella Genomikplattformen (NGP), som beskrivs mer i detalj i avsnitt 14.7.3, är de bästa alternativen utifrån de förutsättningar och behov som finns. Det är en sammanvägd bedömning av de olika alternativen som skulle kunna vara aktuella. Fri etablering av databaser riskerar att bli spretigt och sakna styrning. En ensam nationell datahubb riskerar att ta lång tid att etablera med följden att en stor del av nyttan hinner gå förlorad. Utredningen konstaterar att en precisionsmedicinsk databas per samverkansregion, tillsammans med en inom NGP, ligger i linje med arbetet med förslaget till EHDS och tanken på en nationell datahubb med tillhörande regionala datahubbar. Utredningen bedömer också att detta förslag är det som skulle skapa störst nytta på kort tid även om en federerad lösning och en nationell datahubb hade varit bättre på sikt.
13.6 Skyldighet eller frivillighet?
Förslag : Det ska vara frivilligt att inrätta en precisionsmedicinsk databas och att i övrigt vidareanvända personuppgifter för vårdändamål enligt utredningens förslag.
De regler som preciserar tillåten behandling av personuppgifter för vård av annan ska utformas på sådant sätt att det blir en möjlighet, inte en skyldighet, för vårdgivare att behandla personuppgifter för
399Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
vård av annan än den som uppgifterna avser. Det ska till exempel vara frivilligt att inrätta en precisionsmedicinsk databas och att tillgängliggöra personuppgifter till databasen. Att behandling av personuppgifter för ändamålet vård av annan än den som uppgifterna avser är frivilligt framgår av bestämmelserna genom att det anges att en viss aktör får utföra en viss behandling av personuppgifter. Till exempel anges att en vårdgivare får behandla personuppgifter för urval och tillgängliggörande till precisionsmedicinsk databas.
13.6.1 Övergripande skäl för frivillighet
Det finns olika skäl till att utredningen valt att det ska vara frivilligt att inrätta en precisionsmedicinsk databas. Det primära skälet är att detta är en så pass verksamhetsnära och specifik fråga som dessutom kommer kräva att flera regioner samverkar på ett fungerande sätt. Utredningen bedömer inte att det är statens roll att detaljstyra enskilda databaser i vården. Utredningen konstaterar dock att det finns en risk för att frivillighet kan leda till viss ojämlikhet avseende införandet av precisionsmedicinska databaser på samverkansregionalnivå. Möjligheten att vidareanvända hälsodata från flera patienter vid vården av en annan patient är vidare något som efterfrågas starkt från hälso- och sjukvården. Utredningen uppfattar att det finns ett starkt intresse och behov inom framför allt den regionala specialiserade vården att kunna använda hälsodata på detta sätt för att kunna implementera precisionsmedicin fullt ut i vården. Utredningen bedömer utifrån detta att det borde finnas ett starkt incitament att inrätta precisionsmedicinska databaser i syfte att kunna använda de nya sätten att behandla personuppgifter på, utan att det behöver utgöras av skyldigheter i lagstiftningen. En skyldighet hade även inneburit att staten hade behövt besluta om vilken av regionerna inom samverkansregionen som skulle bli ansvarig för att inrätta en precisionsmedicinsk databas, vilket är en betydande inskränkning i det kommunala självstyret. Utredningen har inte kunnat identifiera några direkta fördelar med att staten skulle ta det beslutet mer än att genomförande eventuellt skulle gå marginellt fortare. Det skulle också undvika risken att regionerna inom en samverkansregion inte kan komma överens. Utredningen bedömer dock
400Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
att den frågan bör kunna lösas utan lagstiftning. Utredningens bedömning är därför att ett krav hade inneburit en oproportionerlig inskränkning i det kommunala självstyret och därför inte är lämpligt.
13.6.2 Kostnader och finansieringsprincipen i relation
till de precisionsmedicinska databaserna
Kostnaderna för inrättande av databaserna kommer att variera beroende på en rad olika faktorer, så som ambitionsnivå, vilken infrastruktur som redan i dag finns på plats och så vidare. Utredningen bedömer att ambitionsnivån bör vara upp till regionerna att besluta om. Den kommunala finansieringsprincipen innebär att staten inte ska ålägga kommuner och landsting nya uppgifter utan att ge dem adekvat finansiering. 4 Utredningens bedömning är att det är sannolikt att förslaget till EHDS direkt eller indirekt kommer att leda till att det införs ett krav på regionerna att rent praktiskt kunna dela de personuppgifter som kommer att finnas i den precisionsmedicinska databasen oavsett om de inrättat en sådan eller inte. Utredningen ser en risk för att regionerna inte kommer vilja investera i inrättandet av precisionsmedicinska databaser om det finns en osäkerhet avseende hur långvarig nyttan kommer vara. Här är utredningens bedömning dessa strukturer bör gå att bygga vidare på i det nationella arbetet. Utredningen bedömer också att databaserna kan lägga grunden eller komplettera påbörjat arbete med regionala eller samverkansregionala datahubbar. Utredningens bedömning är därmed att det utöver patientnyttan finns ett tydligt incitament för regionerna att inrätta precisionsmedicinska databaser.
Finansieringsprincipen i förhållande till förslaget till EHDS
Ett framtida krav på att tillgängliggöra data skulle kunna innebära att finansieringsprincipen kan komma att bli tillämplig. Detta är inget som utredningen utrett eftersom det ännu inte är klart hur förslaget till EHDS kommer att se ut. Utredningen ställer sig dock frågande till om det är praktiskt genomförbart att staten bär alla kostnader som följer direkt eller indirekt av förslaget till EHDS. Utredningens bedömning
4 https://www.riksrevisionen.se/download/18.685c78e5162242160221104e/1521650321427/ RiR_2018_8_ANPASSAD.pdf.
401Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
är att förslagen kommer beröra en så betydande del av hälso- och sjukvårdens verksamhet att en full finansiering av alla följdeffekter av förslagen i praktiken skulle kunna innebära att staten tog över kostnaderna för exempelvis journalsystem och så vidare. Utredningen ser inte hur det skulle vara möjligt utan att ansvaret för hälso- och sjukvården flyttades över till staten. Här ser utredningen att det finns en uppenbar risk för en låsning i Sverige i samband med införande av EHDS såsom förslaget till reglering ser ut. Utredningen har dock inte till uppgift att reda ut denna fråga, men vill ändå lyfta problematiken, eftersom den är omfattande och indirekt berör utredningens förslag.
Finansieringsprincipen skulle inte vara ändamålsenlig
Utredningens bedömning är att krav på att inrätta en precisionsmedicinsk databas sannolikt skulle kunna göra finansieringsprincipen aktuell. Utredningens bedömning är dock att kostnaderna för att uppnå minimikraven för att tillgängliggöra de personuppgifter som utredningen föreslår är låg och att regionerna delvis redan har delar av infrastrukturen på plats. Att förslaget är frivilligt beror därmed inte på att utredningen vill att kostnaderna hamnar på regionerna i stället för på staten. Utredningens bedömning är att det är bättre att regionerna själva får lägga ambitionsnivån för databaserna och integrera det med övriga initiativ de har. Här kan exempelvis biobanker, centrum för hälsodata eller andra regionala initiativ som rör hälsodata eller precisionsmedicin nämnas. Om staten skulle införa ett krav ser utredningen snarare att det finns en risk för att regionerna tvingas ta fram ännu ett system som löper parallellt med befintliga system. Finansieringsprincipen har därför inte varit ett tungt vägande skäl för utredningens val avseende om inrättandet ska vara ett krav eller en frivillighet. Det är snarare det kommunala självstyret som varit det tyngsta skälet. Utredningens bedömning är vidare att det inte finns något som hindrar att staten och regionerna kommer överens om att samfinansiera utvecklingen ändå. Om detta görs bör dock arbetet med nationella kvalitetsregister beaktas. En blandning av medel är sällan önskvärd eftersom det enligt utredningen skapar ett otydligt ansvarutkrävande.
402Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
Placering och kostnader för inrättandet
av en precisionsmedicinsk databas
Utredningens förslag innebär att det endast är en regional myndighet inom hälso- och sjukvården inom respektive samverkansregion som får inrätta och föra en precisionsmedicinsk databas. Utredningen noterar att varje samverkansregion har ett universitetssjukhus, förutom Samverkansregion Mellansverige som har två (Örebro och Uppsala). Utredningen har i sitt arbete uppfattat att det framför allt är vid universitetssjukhusen som precisionsmedicin utförs. Det kan därför bli naturligt att de samverkansregionala precisionsmedicinska databaserna inrättas inom en region som har ett universitetssjukhus. Utredningen bedömer dock att regionerna bäst själva kan komma överens om var den samverkansregionala precisionsmedicinska databasen ska ligga och lämnar därför detta öppet i förslagen till reglering. Vad gäller kostnaderna för inrättandet så har utredningen bedömt att det bästa är att överlämna den frågan till regionerna att själva komma överens sinsemellan, eftersom det kan finnas regionala skillnader som gör att olika samverkansregioner väljer att samfinansiera databasen på olika sätt. Utredningen har utgått ifrån att regionerna gemensamt betalar för inrättandet och utveckling utifrån en fördelning de tycker är lämplig, vilket exempelvis skulle kunna vara befolkningsmängd. Driften av databasen skulle kunna finansieras genom exempelvis att regioner betalar för att få använda databasen, antingen genom fast kostnad eller baserat på användning.
Sammanfattad bedömning
Sammanfattningsvis gör utredningen bedömning att klart övervägande skäl talar för att det ska vara frivilligt att inrätta precisionsmedicinska databaser och att i övrigt vidareanvända hälsodata för vårdändamål enligt utredningens föreslagna regler. Utredningen ser en risk för att precisionsmedicinvården kan komma att bli ojämlik under perioder, allt eftersom regionerna eventuellt etablerar de samverkansregionala databaserna i olika takt. Utredningen ser det dock inte som sannolikt att någon samverkansregion helt skulle avstå från att inrätta en precisionsmedicinsk databas. Utredningen utgår vidare från att den NGP kommer att användas som precisionsmedicinsk databas om detta blir tillåtet. Även om någon av samverkans-
403Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
regionerna mot förmodan inte skulle inrätta en precisionsmedicinsk databas kommer NGP sannolikt finnas som ett alternativ. Utredningen bedömer också att det inom en snar framtid efter att betänkandet publiceras kommer bli känt vilka samverkansregioner som bestämt sig för att inrätta en precisionsmedicinsk databas. Skulle det då visa sig att regionerna avstår på grund av ekonomiska skäl, är det inget som skulle kräva andra regler än de som utredningen föreslår. Om det skulle visa sig att ekonomin utgör ett hinder mot inrättande av precisionsmedicinsk databas, har staten alltid möjlighet att bidra med finansiering.
13.7 Reglering av vidareanvändning för vårdändamål
Förslag: Det ska införas en reglering för vidareanvändning av personuppgifter för vården av en annan patient än den som uppgifterna avser.
I avsnitt 2.6.3 framgår att utredningens författningsförslag avser vidareanvändning av personuppgifter. De nya samlingar av vårddata som utredningen föreslår ska vara möjlig i databaser utgörs i många fall av personuppgifter enligt EU:s dataskyddsförordning. Regleringen behöver därför utgå ifrån att det är personuppgifter som vidareanvänds. Vidare är det uppgifter som omfattas av sekretess, se vidare avsnitt 17.1. Ovan har framgått att det för vidareanvändning av hälsodata för vårdändamål behövs nya uppgiftssamlingar där sökning kan ske. De behov som finns avseende delning av personuppgifter och möjliga skyddsåtgärder skiljer sig både lagtekniskt och materiellt från hur patientuppgifter i dag är reglerade i PDL och SVOD. Utredningen anser att det behövs en reglering som sätter en struktur och gränser för hur vidareanvändning för vårdändamål ska kunna ske som är anpassad utifrån de behov och möjligheter till skyddsåtgärder som är specifika för vidareanvändning av personuppgifter för vården av en annan patient än den som uppgifterna avser. Regleringen ska bygga på den modell som framgår avsnitt 13.4. Centralt för utredningens förslag är inrättandet av så kallade precisionsmedicinska databaser, se avsnitt 13.5.
404Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
13.7.1 På vilken normgivningsnivå ska regleringen ske?
Förslag : Reglering av vidareanvändning av personuppgifter för vården av en annan patient än den som uppgifterna avser ska ske i lag med kompletterande bestämmelser i förordning i vilka regeringen meddelar föreskrifter om precisionsmedicinska databaser.
Bedömning: Bestämmelsen i 2 kap. 6 § andra stycket RF utgör inte ett hinder mot närmare reglering i förordning avseende precisionsmedicinska databaser.
Rättsliga utgångspunkter
Normgivningsmakten är enligt 8 kap. regeringsformen, förkortad RF, fördelad mellan riksdagen och regeringen. Med normgivningsmakten avses rätten att besluta rättsregler, det vill säga sådana regler som är bindande för enskilda och myndigheter och som gäller generellt. Dessa regler kallas i RF för föreskrifter. Fördelningen av normgivningsmakten mellan riksdagen och regeringen bygger på principen att de centrala delarna av normgivningen ska ligga hos riksdagen (se Ds 2014:1 s. 9).
Riksdagens normgivningsområde
Det område där i första hand riksdagen har normgivningskompetensen kallas för riksdagens normgivningsområde eller det primära lagområdet. Detta område regleras huvudsakligen i 8 kap. 2 § RF. I 8 kap. 2 § första stycket 2 RF anges att föreskrifter ska meddelas genom lag om de avser förhållandet mellan enskilda och det allmänna under förutsättning att föreskrifterna gäller skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden. Med ”ingrepp” åsyftas sådana åtgärder från normgivarens sida som allmänt anses innebära inskränkningar i enskildas dittillsvarande handlingsfrihet, möjligheter att förfoga över egendom etcetera (prop. 1973:90 s. 210). Inrättande av personregister har inte ansetts hänförligt till bestämmelser som kräver stöd i lag eller annan författning (se bland annat KU 1979/80:3y). I 8 kap. 2 § första stycket 3 RF anges att föreskrifter ska meddelas genom lag om de avser grunderna för kommunernas organisation och
405Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
verksamhetsformer och för den kommunala beskattningen samt kommunernas befogenheter i övrigt och deras åligganden. Den delen av det primära lagområdet där riksdagen inte kan bemyndiga regeringen att meddela föreskrifter, det vill säga inte kan delegera, brukar kallas det obligatoriska lagområdet. Den delen av det primära lagområdet där riksdagen genom delegering kan överlåta delar av sin normgivningskompetens till regeringen brukar kallas för det delegeringsbara området (se Ds 2014:1 s. 10). Detta område regleras i 8 kap. 3–5 §§ RF. Av 8 kap. 3 § RF framgår att riksdagen, med vissa undantag, kan bemyndiga regeringen att meddela föreskrifter enligt 2 § första stycket 2 och 3 RF. I samband med att riksdagen bemyndigar regeringen att meddela föreskrifter i ett ämne kan riksdagen tillåta att regeringen i sin tur överlåter hela eller delar av denna normgivningskompetens till en förvaltningsmyndighet (se 8 kap. 10 § RF). Detta kallas subdelegering (Ds 2014:1 s. 10).
Regeringens normgivningsområde
I 8 kap. 7 § RF finns de huvudsakliga bestämmelserna om det område där regeringen utan delegering från riksdagen får meddela föreskrifter, det vill säga regeringens primärområde. Hit hör föreskrifter om verkställighet av lag samt föreskrifter som inte enligt grundlag ska meddelas av riksdagen, den så kallade restkompetensen. Med verkställighetsföreskrifter avses i första hand tillämpningsföreskrifter av administrativt slag. Dessutom avses föreskrifter som i materiellt hänseende ”fyller ut” en lag, även om lagen i och för sig skulle befinna sig inom det obligatoriska lagområdet. En förutsättning är att den lagbestämmelse som ska kompletteras är så detaljerad att regleringen inte tillförs något väsentligt nytt genom den av regeringen beslutade föreskriften. I verkställighetsföreskrifter får det inte ingå sådant som kan uppfattas som en ny skyldighet för enskilda eller som ett nytt ingrepp i enskildas personliga eller ekonomiska förhållanden (se Ds 2014:1 s. 11 och prop. 1973:90 s. 211). Till restkompetensen hör sådana offentligrättsliga föreskrifter som inte rör förhållandet mellan enskilda och det allmänna utan avser de statliga myndigheternas organisation, arbetsuppgifter och inre verksamhetsformer. Till restkompetensen hör också sådana föreskrifter som vis-
406Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
serligen rör förhållandet mellan enskilda och det allmänna men som ur den enskildes synpunkt inte är betungande utan gynnande eller neutrala. Av 8 kap. 11 § RF framgår att regeringen får delegera normgivningsmakten inom sitt primärområde till en myndighet under regeringen.
Grundläggande fri- och rättigheter
I 8 kap. 2 § andra stycket RF anges att det av andra bestämmelser i RF och av annan grundlag följer att föreskrifter av visst innehåll ska meddelas genom lag. En sådan bestämmelse finns i 2 kap RF. Enligt 2 kap. 6 § andra stycket RF är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Det skydd för den personliga integriteten som grundlagsbestämmelsen innebär är inte absolut, utan kan under vissa förutsättningar begränsas med hänsyn till andra motstående intressen. En sådan begränsning får dock endast ske genom lag (se 2 kap. 20 § första stycket 2 RF). En närmare beskrivning av dessa bestämmelser finns i avsnitt 7.1.2 (Integritetsskydd som en grundläggande mänsklig rättighet).
Reglering i lag
Utredningen föreslår att den grundläggande regleringen avseende behandling av personuppgifter för vården av en annan patient än den som uppgifter avser, sker i lag. Behandling av personuppgifter för vård av annan än den som uppgifterna avser kommer att kunna ske utan samtycke. Behandlingen kommer inte avse nyinsamling av uppgifter från de registrerade, utan kommer att avse vidareanvändning av redan insamlade uppgifter hos vårdgivare. Nya samlingar av uppgifter kommer dock att tillåtas i form av precisionsmedicinska databaser. De uppgifter som samlas i databasen avser känsliga personuppgifter om hälsa, däribland genetiska uppgifter. Uppgifterna kommer tillgängliggöras till den myndighet som för databasen, antingen från en annan myndighet eller avskiljas för ändamålet inom den myndighet som för databasen. Tillgång till uppgiftssamlingen i en precisionsmedicinsk databas kommer att kunna ges till regionala myndigheter inom hälsooch sjukvården och användas inom den specialiserade vården i vård
407Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
av enskilda patienter. Även om det är fråga om ett urval av uppgifter kan komma att bli fråga om en inte obetydlig mängd uppgifter. Utredningen anser att behandling av personuppgifter för vård av annan patient än den som uppgifterna avser enligt utredningen förslag kommer innebära ett betydande intrång i den personliga integriteten. Uppgifterna i en precisionsmedicinsk databas kan avse exempelvis genförändring, ålder, kön och behandlingsutfall. Utöver uppgifterna i databasen, kommer det vara möjligt att begära kompletterande personuppgifter från patientjournaler. Utredningen gör bedömningen att de uppgifter som kan tillgängliggöras enligt föreslagna regler innebär en kartläggning av en enskilds personliga förhållanden. Utredningen föreslår att det ska vara möjligt för enskilda att motsätta sig tillgängliggörande av personuppgifter till en precisionsmedicinsk databas. Det kommer också att finnas en skyldighet för vårdgivare att informera om vad personuppgiftsbehandling i precisionsmedicinsk databas och kompletterande uppgifter från patientjournal innebär. Dessa förhållanden medför dock enligt utredningen bedömning inte att intrånget i den personliga integriteten sker med samtycke. Det följer alltså av 2 kap. 6 § andra stycket och 2 kap. 20 § RF att de regler som utredning föreslår som medför intrång i den personliga integriteten ska meddelas i lag. Utredningen noterar också att konstitutionsutskottet i flera lagstiftningsärenden som rört myndigheters behandling av personuppgifter framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag och att regeringen vid åtskilliga tillfällen har instämt i denna bedömning (se prop. 2009/10 s. 183). Utifrån ovanstående gör utredningen bedömningen att regler om ändamålet, urval och tillgängliggörande, möjligheten att inrätta och föra precisionsmedicinsk databas, tillgången till uppgifterna i databasen samt möjligheten att begära kompletterande personuppgifter från patientjournal ska meddelas i lag. Dessa regler utgör också den rättsliga grunden för behandling av personuppgifter för det nya ändamålet, se avsnitt 14. Vidare ska även regler om behörighet och befogenhet att behandla personuppgifter för ändamålet vård av annan än den som uppgifterna avser meddelas i lag.
408Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
Kompletterande reglering i förordning
avseende precisionsmedicinsk databas
I avsnitt 13.6 har utredningen övervägt olika ordningar för inrättande av precisionsmedicinsk databas. Utredningen har kommit fram till att antalet databaser bör bestämmas i författning. Utredningen anser att den lämpligaste ordningen är bestämmelser i PDL som kompletteras av regler i förordning. Utredningen har övervägt om samtliga regler bör finnas i lagform. Som framgår nedan gör utredningen bedömningen att det inte är nödvändigt utifrån kraven i 2 kap. RF. En fördel med att ha samtliga regler i lag är att de finns samlade, vilket skapar en bättre överblick. Utredningen konstaterar dock att reglerna i lagen skulle behöva vara relativt detaljerade och att det skulle bli en omfattande reglering. Den detaljnivå som reglerna behöver ha passar enligt utredningens bedömning bättre i förordningsform. En fördel med att dela upp reglerna i lag respektive förordning är också att de förhållanden som bestäms i förordningen enklare kan ändras eller upphävas. Som framgår ovan ser utredningen framför sig att det framöver kommer att ske en utveckling på området, bland annat i och med när förslaget till EHDS antas. Utifrån det kan ändringar kring till exempel antalet databaser och till vilka databaser som tillgängliggörande ska kunna få ske behöva göras. Utredningen ser därmed en fördel i att placera generella bestämmelser i lag och bestämmelser som har koppling till antalet databaser i förordningsform.
Krävs lagform för närmare bestämmelser om
precisionsmedicinska databaser enligt grundlagen?
Utredningen gör bedömningen att varken 2 kap. 6 § andra stycket RF eller 8 kap. 2 § första stycket 2–3 RF utgör hinder mot att meddela närmare föreskrifter om precisionsmedicinska databaser i förordning. Utredningen resonemang i dessa delar följer nedan.
409Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
2 kap. 6 § andra stycket RF
Skyddet för den personliga integriteten som följer av 2 kap. 6 § medför krav på att delar av den reglering som utredning föreslår meddelas i lag. För att tydliggöra regelverket närmare i detalj föreslår utredning en ordning där närmre föreskrifter kopplade till inrättande och förandet av precisionsmedicinska databaser meddelas i förordning. Reglerna i förordningen ska avse inom vilka samverkansregioner som precisionsmedicinska databaser får inrättas och föras samt att det inom Nationella Genomikplattformen får föras en precisionsmedicinsk databas. Vidare kommer det i förordningen att föreskrivas begränsningar kopplat till vilken eller vilka precisionsmedicinska databaser som vårdgivare får göra urval och tillgängliggörandet till. Det kommer även att föreskrivas till vilken eller vilka databaser som regionala myndigheter inom hälso- och sjukvården får ges tillgång till. Urval och tillgängliggörande samt tillgången ska följa den samverkansregionala indelningen. Urval och tillgängliggörande samt tillgång till precisionsmedicinsk databas inom Nationell Genomikplattform ska kopplas till deltagande regioner och myndigheter inom Genomic Medicine Sweden (GMS). GMS beskrivs närmare i 14.7.3. Utredningens bedömning är att det är viktig att kunna specificera regelverket på ett sådant sätt att det blir tydligt för de aktörer som omfattas av det vad som rent konkret faktiskt gäller. Den typen av detaljerat regelverk är enligt utredningens bedömning inte lämpligt att placera i lag. Utredningen har övervägt att ha sådan detaljreglering i 6 kap. PDL men har landat i att det kapitlet skulle bli orimligt långt och alltför avvikande i förhållande till övriga PDL om det skulle utvidgas med ytterligare bestämmelser. Att i stället helt utesluta den sortens detaljerade bestämmelser är, enligt utredningens uppfattning, inte ändamålsenligt. De regler som föreskrivs i förordningen utgör inget ytterligare intrång i den personliga integriteten än vad som följer av föreslagna regler i lag. Reglerna i förordningen tar sikte på organisatoriska/geografiska förhållanden/uppdelningar kopplade till möjligheterna att behandla personuppgifter för det nya ändamålet. Reglerna innebär en begränsning och kontroll av användandet av ändamålet. Mot denna bakgrund anser utredningen att skyddet i 2 kap. 6 § andra stycket RF inte utgör hinder mot närmare reglering i förordning avseende precisionsmedicinska databaser.
410Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
8 kap. 2 § första stycket 2 och 3 RF
Som framgår ovan av de rättsliga förutsättningarna har förande av personregister inte ansetts innebära ett sådant ingrepp i enskildas personliga förhållanden som avses i 8 kap. 2 § första stycket 2 RF. Utredningen anser i linje med detta att inte heller behandling av personuppgifter i en precisionsmedicinsk databas eller vad som i övrigt blir tillåtet enligt utredningens förslag till reglering avseende behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser utgör ett sådant ingrepp. Av 8 kap. 2 § första stycket 3 följer såvitt är av intresse att föreskrifter ska meddelas genom lag om de avser den kommunala beskattningen samt kommunernas befogenheter i övrigt. Kommunernas befogenheter avser vilken verksamhet som kommunerna får bedriva. Exempel på bestämmelser som avser kommunala befogenheter är 2 kap. kommunallagen som avser kommunala angelägenheter. Av 2 kap. 1 § kommunallagen framgår att kommuner och regioner får själva ha hand om angelägenheter av allmänt intresse som har anknytning till kommunens eller regionens område eller deras medlemmar. Kommunala befogenheter finns också reglerade i lag (2009:47) om vissa kommunala befogenheter. Lagen utvidgar den kommunala kompetensen i förhållande till kommunallagens bestämmelser (se 1 kap. 1 § lag (2009:47) om vissa kommunala befogenheter). Inrättande och förande av precisionsmedicinsk databas och behandling av personuppgifter i övrigt för vården av en annan patient än den som uppgifterna avser kommer enligt utredningens förslag endast att få ske inom hälso- och sjukvården för ändamålet vård. Utredningens förslag avser inte regioners befogenheter vad avser verksamhet som får bedrivas, utan avser endast förutsättningarna för viss typ av personuppgiftsbehandling inom verksamhet som regionerna redan har ansvar för och bedriver enligt lag. Stöd för indelning i samverkansregioner följer också redan av lag. Det är utredningens bedömning att de regler som utredningen föreslår inte berör kommunernas befogenheter i den mening som avses i 8 kap. 2 § första stycket 3 RF. I avsnitt 13.5 redogörs för att de föreslagna reglerna ska vara frivilliga att tillämpa. De utgör därför inget åliggande enligt 8 kap. 2 § första stycket 3 RF.
411Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
Av ovanstående följer att normgivningsbestämmelserna i 8 kap. RF inte medför att de närmare föreskrifterna avseende de precisionsmedicinska databaserna behöver meddelas i lagform.
13.7.2 Reglerna ska föras in i patientdatalagen
och en ny kompletterande förordning
Förslag: Vidareanvändning av personuppgifter för vården av en annan patient än den som uppgifterna avser ska regleras i PDL och i en ny kompletterande förordning till PDL.
Ovan har framgått att vidareanvändning av personuppgifter för vården av en annan patient än den som uppgifterna avser ska regleras i lag. Frågan är hur den lagtekniska utformningen av de nya reglerna ska se ut. De lagar som ligger närmast till hands är sådana som rör personuppgiftsbehandling inom, eller kopplat till, de ändamål som utredningen avser att reglera. För hälso- och sjukvårdens del finns PDL och lagen (2022:913) om sammanhållen vård och omsorgsdokumentation, förkortad SVOD. Utredningens förslag om vidareanvändning av personuppgifter för vården av en annan patient än den som uppgifterna avser, rör behandling av personuppgifter som sker inom hälso- och sjukvården. Ändamålet kommer att användas inom individanpassad vård, så kallad precisionsmedicin. Vidareanvändningen kommer ske inom hälso- och sjukvården och det är vårdgivare på både datahållar- och dataanvändarsidan. PDL är kompletterande lagstiftning till EU:s dataskyddsförordning med regler som gäller vårdgivares behandling av personuppgifter inom hälso- och sjukvård. PDL avser personuppgiftsbehandling inom den individbaserade hälso- och sjukvården. Ovanstående talar enligt utredningens mening för att de nya reglerna om vidareanvändning av personuppgifter för vård av annan än den som uppgifterna avser ska föras in i PDL. PDL omfattar i dag redan flera ändamål som avser återanvändning eller vidareanvändning av personuppgifter som sker i nära samband med hälso- och sjukvården. Det är logiskt att ytterligare möjligheter till vidareanvändning som sker inom vårdgivares hälso- och sjukvårds-
412Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
verksamhet och avser den individbaserade vården fortsatt regleras i PDL. Utredningens förslag omfattar vidareanvändning av personuppgifter både inom och mellan vårdgivare. Frågan är om det utifrån detta finns anledning att placera reglerna i olika lagar, till exempel både i PDL och i SVOD. PDL reglerar i dag, efter ikraftträdandet av SVOD, huvudsakligen behandling av personuppgifter som sker inom en vårdgivare. Där finns regler om personuppgiftsbehandling även mellan myndigheter inom en vårdgivare (se 5 kap. 4 § andra stycket PDL). Det är endast reglerna om nationella och regionala kvalitetsregister i 7 kap. PDL som reglerar behandling av personuppgifter där uppgifterna samlas in från flera vårdgivare (se 7 kap. 1 § PDL) och då för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet (se 7 kap. 4 § PDL). Personuppgifter som behandlas för detta ändamål får, såvitt nu är av intresse, också behandlas för ändamålen statistik, antalsberäkning inom klinisk forskning, och forskning inom hälso- och sjukvården. Reglerna om sammanhållen journalföring som tidigare fanns i 6 kap. PDL finns i dag i SVOD. SVOD reglerar tillgängliggörande och behandling av personuppgifter för vårdändamål mellan vård- och omsorgsgivare. Utifrån detta skulle den vidareanvändning av personuppgifter för vård av annan än den som uppgifterna avser, som ska få ske mellan vårdgivare kunna regleras i SVOD. Utredningen har dock av flera skäl funnit att detta inte är lämpligt. Utredningen konstaterar att SVOD framför allt är en gemensam lag för underlättat informationsutbyte mellan hälso- och sjukvården och socialtjänsten för vård av samma patient eller omsorgstagare. Utredningens förslag kommer enbart att avse vårdgivares vidareanvändning av personuppgifter för det nya ändamålet inom hälso- och sjukvården och avser vidareanvändning från en eller flera patienter till en annan patient. SVOD skulle kompletteras med ett så pass stort antal nya bestämmelser som rör en principiellt sett annan situation (vården av en annan patient, i stället för vård av samma patient) och skulle därmed i stora delar ändra karaktär. Vidare bedömer utredningen att det från ett vårdgivar- och patientperspektiv skulle framstå som mer logiskt att samtliga situationer där personuppgiftbehandling sker för ändamålet vård av annan än den som uppgifterna avser finns samlat i en och samma lag. Detta borde enligt utredningens mening även öka transparensen i regleringen, vilket
413Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
är viktigt inte minst ur integritetshänseenden. Regleringen bedöms även blir lättare att tillämpa med en sådan konstruktion. Sammantaget gör utredningen bedömningen att det lämpligaste alternativet är att komplettera PDL med regler som avser vidareanvändning av personuppgifter för vård av annan än den som uppgifterna avser.
13.7.3 Förhållandet till European Health Data Space
I Europeiska kommissionens förslag till Europaparlamentets och Rådets förordning om ett europeiskt hälsodataområde, COM(2022) 197 final av den 3 maj 2022, förkortat förslaget till EHDS, finns en artikel (34.1.h) som räknar upp ändamål för vilka e-hälsodata kan behandlas för sekundär användning. Där framgår att tillgång till viss e-hälsodata kan ges för ett ändamål som är snarlikt utredningens författningsförslag avseende vårdändamålet. Förslaget till EHDS är vid tidpunkten för utredningens arbete fortfarande ett förslag och det är därför inte känt för utredningen hur en eventuell reglering avseende vidareanvändning för vårdändamål kommer att se ut i EHDS om och när EHDS beslutas. Utredningen finner dock anledning att utifrån det förslag som finns på ett övergripande plan kommentera hur utredningen ser på förhållandet mellan utredningens förslag till reglering av vidareanvändning för vårdändamål och föreslagen reglering i EHDS. Enligt förslaget till EHDS ges tillgången genom ett organ med ansvar för tillgång till e-hälsodata och sker efter en tillståndsprocess. Den föreslagna tidsfristen för datainnehavare att ställa de e-hälsodata till förfogande för organet med ansvar för tillgång till hälsodata är som huvudregel två månader från mottagandet av begäran från organet med ansvar för tillgång till hälsodata. Utredningen ser att förslaget till EHDS innehåller formuleringar som skulle kunna utgöra en rättslig grund för behandling av personuppgifter för ett ändamål som är snarlikt det som utredningen föreslår. Förslaget till EHDS adresserar dock inte den vårdnära datadelning som utredningens förslag avser. Ett förfarande med ansökan, tillstånd och tidsfrister omfattas inte av utredningens förslag och synes enligt utredningens uppfattning avser en mer övergripande nivå och andra situationer än de som utredningens förslag adresserar. Utredningens
414Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
förslag avser att vårdgivare ska kunna dela data för att få bättre beslutsunderlag i den dagliga vården av enskilda patienter. Utredningen har fått till sig behov från den regionala specialiserade vården som kräver snabb tillgång till sådant beslutsunderlag. Ett sådant exempel har varit läkare som beskrivit situationer med krampande barn som har en sällsynt diagnos. För att kunna hjälpa en sådan patient är det en förutsättning att snabbt kunna logga in och se om det går att ta ledning från andra liknande fall med samma diagnos. I akuta fall skulle en tillståndsprocess genom ett organ inte kunna fylla någon funktion. Utredningen uppfattar mot denna bakgrund att förslaget till EHDS och utredningens förslag avser olika nivåer av reglering. Det kan vidare konstateras att det finns ett antal frågor som behöver lösas i nationell lagstiftning, som förlaget till EHDS inte berör. En sådan fråga är sekretess. För att uppgifter ska kunna vidareanvändas för vårdändamål behöver det kunna ske utan hinder av sekretess. Utredningen lämnar sådana förslag. Utredningen lämnar också förslag avseende säkerhetsåtgärder. Som utredningen redogör för i avsnitt 2.6.2 inkluderar begreppet hälsodata i många fall sådana särskilda kategorier av känsliga personuppgifter som enligt huvudregeln är förbjudna att behandla enligt artikel 9.1 i dataskyddsförordningen, så kallade känsliga personuppgifter. När det gäller precisionsmedicin är det tydligt att känsliga personuppgifter behövs (se vidare avsnitt 14.3.3). För att behandla dessa behövs således en analys göras av vilket tillämpligt undantag i artikel 9.2 i dataskyddsförordningen som är aktuellt och huruvida samtliga villkor, exempelvis krav på tystnadsplikt för de som behandlar uppgifterna (se artikel 9.3), är uppfyllda. En sådan analys måste således ta ställning till om bestämmelserna i förslaget till EHDS reglerar detta eller om det krävs kompletterande nationell lagstiftning för att uppnå förenlighet med dataskyddsförordningens krav. En ytterligare fråga är hur de enskildas rättigheter enligt PDL och dataskyddsförordningen ska tillgodoses för olika behandlingar som genomförs med stöd av bestämmelser i förlaget till EHDS. Dessa frågor behöver hanteras inom ramen för anpassningar av gällande nationell rätt inför ett ikraftträdande. Utredningens förslag för ändamålet vården av en annan patient än den personuppgifterna avser har beaktat dessa rättigheter i sina förslag och gjort förslag på ändringar där det utredningen ansett det motiverat. Utredningen ser förslaget om precisionsmedicinska databaser på regional nivå som en grundläggande infrastruktur för att möjliggöra
415Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
en vårdnära datadelning. Som en följd av EHDS skulle en nationell infrastruktur, exempelvis en federerad lösning, kunna byggas på, se vidare avsnitt 13.3.
13.8 Behovet av en ny ändamålsbestämmelse
Bedömning : Vidareanvändning av personuppgifter för vården av en annan patient än den som uppgifterna avser omfattas inte av befintliga ändamålsbestämmelser i PDL och är inte heller möjlig med stöd av finalitetsprincipen.
Behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser, är en ny typ av personuppgiftsbehandling som inte har skett tidigare i vården. Eftersom det är fråga om en ny typ av personuppgiftsbehandling, uppstår frågan om det också finns behov av en ny ändamålsbestämmelse i PDL.
13.8.1 Befintliga ändamålsbestämmelser i patientdatalagen
Vårddokumentation
Utredningen har övervägt om personuppgiftsbehandlingen för vården av en annan patient än den som uppgifterna avser, kan anses ingå i något av de ändamål som redan finns i PDL:s ändamålsbestämmelse (se 2 kap. 4 § första stycket PDL). Det ändamål som skulle kunna vara aktuellt är ändamålet vårddokumentation (se 2 kap. 4 § första stycket 1 och 2 PDL). 5 I första och andra punkten i PDL:s ändamålsbestämning anges att personuppgifter får behandlas inom hälso- och sjukvården om det behövs för 1. att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter (punkt 1). 2. administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall (punkt 2).
5 Begreppet ”vårddokumentation” används i prop. 2007/08:126 (Patientdatalag m.m.) som benämning av punkterna 1 och 2 (se exempelvis s. 57).
416Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
Att ändamålen tas upp i två punkter och inte i en har ingen saklig betydelse. Båda punkterna tar sikte på den individinriktade patientverksamheten. I förarbetena anges att det enbart är av språkliga skäl som uppdelningen i två punkter har gjorts (prop. 2007/08:126 s. 228).
Ryms ändamålet vården av en annan patient än den som
uppgifterna avser under vårddokumentation?
Utredningen har först och främst analyserat punkternas ordalydelse. Den första punkten handlar i dess första led om ”att fullgöra de skyldigheter som anges i 3 kap.”. I 3 kap. PDL finns bestämmelser om skyldigheten att föra patientjournal. Vidare handlar punkten i dess andra led om att ”upprätta annan dokumentation som behövs i och för vården av patienter”. Detta uppfattar utredningen avser insamling och registrering av annan information än den som behövs för patientjournalföringen. När personuppgifter om en patient ska användas för vården av en annan patient, handlar det enligt utredningen inte om att fullgöra journalföringsplikt eller att annan information ”upprättas”. Det är i stället uteslutande fråga om en vidareanvändning av redan insamlade och registrerade uppgifter om en patient. Denna insamling och registrering har skett hos en vårdgivare för ändamålet vårddokumentation. Vidareanvändningen består i att dessa uppgifter används inom ramen för vården av en annan patient. Mot denna bakgrund anser utredningen att behandling av personuppgifter för vård av annan än den som uppgifterna avser inte utifrån en ordalydelsetolkning kan anses ingå i 2 kap. 4 första stycket 1 PDL. Den andra punkten handlar om ”administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall”. Ordalydelsen i denna punkt är något mer svårtolkad i förhållande till vidareanvändning av befintliga uppgifter om en patient för vården av en annan patient. Ordet ”administration” kan dock enligt utredningens mening knappast anses omfatta den medicinska användning som är aktuell avseende de personuppgifter som vidareanvänds för vård av annan patient. Utredningen har också funderat över om andra bestämmelser i PDL kan ge någon ledning i om vidareanvändning av personuppgifter för vård av annan patient än uppgifterna avser, kan anses ingå i ändamålet vårddokumentation. I sammanhanget kan 3 kap. 2 § PDL där
417Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
det anges vad syftet med en patientjournal är, vara av intresse. Syftet med att föra en patientjournal är i första hand att bidra till en god och säker vård av patienten (första stycket). Vidare är en patientjournal även en informationskälla för patienten, uppföljning och utveckling av verksamheten, tillsyn och rättsliga krav, uppgiftsskyldighet enligt lag samt forskning (andra stycket). Utredningen uppfattar när patienten nämns i detta sammanhang att det är patienten själv som avses, och inte någon annan patient. Formuleringarna kan därför enligt utredningens mening inte ge stöd för eller öka klarheten i att ändamålet i punkten 1 skulle omfatta även behandling av personuppgifter för vård av annan patient än den som uppgifterna avser. Ett annat angreppssätt är att se på vad lagstiftaren har menat ska ingå i punkterna (ändamålstolkning). I samband med att PDL infördes ansågs det av principiella skäl viktigt att uttryckligen och så uttömmande som möjligt reglera för vilka ändamål personuppgifter får behandlas i PDL. Syftet med ändamålsbestämningen i PDL är att ange en yttersta ram för när personuppgifter får samlas in och behandlas (prop. 2007/08:126 s. 56). Utgångspunkten är att endast sådan personuppgiftsbehandling som inryms i något eller några av de uppräknade ändamålen får äga rum (se dock 2 kap. 5 §) (prop. 2007/08:126 s. 227). När det gäller punkterna vårddokumentation är förarbetena sparsmakade i förklaringen av vad som ingår. Klart är att patientjournalföring omfattas. När det gäller vad som övrigt omfattas uttrycks att sådan dokumentation som faller vid sidan av skyldigheten att föra journal bör omfattas av ett ändamål som rör den individinriktade patientverksamheten alldeles oavsett dess formella status. Av den anledningen avses med ändamålen i punkterna 1 och 2 inte bara själva insamlingen och registreringen av personuppgifterna utan även den senare användning av de registrerade uppgifterna i den omfattning som behövs i patientvården eller patientadministrationen (prop. 2007/08:126 s. 57). Detta uttalande skulle kunna tala för att även en vidareanvändning av befintliga uppgifter om en patient för vården av en annan patient skulle kunna omfattas av vårddokumentationsändamålet. Uttalandet ger också uttryck för att punkterna 1–2, trots sin mer begränsade ordalydelse, bör tolkas som ett stöd för personuppgiftsbehandling för ett mer generellt vårdändamål. Ett sådant synsätt skulle öppna upp för möjligheten att tolka in även behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser.
418Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
I förarbetena uttalas också att både första och andra punkten tar sikte på den individinriktade patientverksamheten (prop. 2007/08:126 s. 228). Frågan som inställer sig här är om lagstiftaren sett något annat framför sig än behandling av personuppgifter för vården av samma patient. Inget i förarbetena ger uttryck för att lagstiftaren har avsett något annat än att personuppgifterna skulle användas för vården av samma patient. Situationen att vårdgivarna skulle ha behov av att använda uppgifter om en patient för vården av en annan patient, på det sätt som precisionsmedicinen förutsätter, var inte heller något som fanns på den tiden som förarbetena till PDL skrevs. Det behov som utredningen har i uppdrag att se över regleringen av har uppstått på senare tid och är enligt utredningens mening ingenting som lagstiftaren har förutsett eller kunnat förutse vid tidpunkten för införandet av PDL. Det är utredningens sammantagna bedömning att den behandling av personuppgifter, en form av vidareanvändning, för vård av annan patient än den som uppgifterna avser, inte kan anses rymmas inom PDL:s nuvarande ändamålsbestämmelser.
Omformulering eller tolkning av ändamålet
vårddokumentation
Utredningen har gjort bedömningen att det inte är lämpligt att lämna förslag på en generell omformulering av 2 kap. 4 § första stycket 1–2 PDL. Detta skulle kräva ett mer omfattande grepp av punkterna överlag och kräver en egen utredning. Däremot skulle utredningen kunna föreslå tillägg som motsvarar den vidareanvändning för vård som utredningen har i uppdrag att se över. En möjlig form av tillägg skulle kunna vara att i förarbeten skriva att bestämmelsen ska tolkas som ett mer generellt vårdändamål som också omfattar behandling av personuppgifter för vård av annan än den som uppgifterna avser. Mot bakgrund av den analys som utredningen presenterat ovan anser dock utredningen att detta skulle komma för långt ifrån bestämmelsens ordalydelse. Det skulle också enligt utredningen inte vara tillräckligt tydligt för de som har att tillämpa ändamålen. Utredningen gör som sagt bedömningen att den behandling av personuppgifter för vård av annan än den som uppgifterna avser, inte kan anses rymmas inom PDL:s nuvarande ändamålsbestämmelser i 2 kap. 4 § PDL. Om man kommer till annan slutsats, det vill säga att per-
419Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
sonuppgiftsbehandlingen ryms under PDL:s ändamålsbestämmelser, skulle en del av personuppgiftsbehandlingen som krävs kunna stödjas av 2 kap. 5 § PDL. I den bestämmelsen anges att personuppgifter som behandlas för ändamålen i 2 kap. 4 § PDL också får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Ett sådant uppgiftsutlämnande skulle i sådana fall kunna vara till en precisionsmedicinsk databas. Eftersom utredningen kommer till annan slutsats, utreds inte detta vidare.
13.8.2 Finalitetsprincipen
En annan variant än att tolka in behandling av personuppgifter för vård av annan patient än den som personuppgifterna avser i någon av ändamålsbestämmelserna i PDL, är att anse att det är en tillåten behandling enligt finalitetsprincipen.
Dataskyddsförordningen och PDL
Finalitetsprincipen följer av artikel 5.1 b i EU:s dataskyddsförordning och innebär att personuppgifter som har samlats för att behandlas för särskilda, uttryckligt angivna och berättigade ändamål inte får behandlas även för andra, nya ändamål, om dessa är oförenliga med de ursprungliga ändamålen. En motsvarighet till finalitetsprincipen finns i 2 kap. 5 § PDL. Där klargörs att personuppgifter som behandlas enligt 2 kap. 4 § PDL även får behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Utredningen har noterat att PDL:s bestämmelse om finalitetsprincipen är annorlunda formulerad än bestämmelsen i dataskyddsförordningen. I 2 kap. 5 § PDL uttrycks att personuppgifter ”får även behandlas för andra ändamål under förutsättningar att […], det vill säga bestämmelsen talar om när en vårdgivare får göra något. I artikel 5. b dataskyddsförordningen uttrycks att personuppgifter efter insamlandet inte får behandlas på ett sätt som är oförenligt med de ursprungliga ändamålen. Här talar bestämmelsen i stället om vad man inte får göra. Utredningen förstår dock inte det som att skillnaden i formuleringarna har tänkt att ha någon praktisk betydelse. 2 kap. 5 §
420Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
PDL har nämligen en koppling till dataskyddsförordningen. Innan dataskyddsförordningens ikraftträdande fanns i PDL en hänvisning till den tidigare gällande personuppgiftslagen (1998:204) där det framgick att personuppgifter inte fick behandlas för något ändamål som var oförenligt med det ändamål för vilket de samlades in (9 § första stycket d personuppgiftslagen). Bestämmelsen behövde anpassas i och med dataskyddsförordningens ikraftträdande och personuppgiftslagens upphörande. För att undvika oklarheter om artikel 5.1 b i EU:s dataskyddsförordning ska tillämpas eller inte ansåg regeringen att det av tydlighetsskäl fanns anledning att behålla någon form av hänvisning till finalitetsprincipen i registerförfattningar. Det ansågs dock inte finnas skäl att ange vilken artikel i dataskyddsförordningen som förtydligas i registerförfattningarna (prop. 2017/18:171 s. 89–90). I skäl 50 dataskyddsförordningen anges att när behandling av personuppgifter för andra ändamål än för vilka de ursprungligen samlades in är förenligt med det ursprungliga ändamålet krävs det inte någon annan separat rättslig grund för den ytterligare behandlingen. I dag har personuppgiftsbehandling inom hälso-och sjukvården sitt rättsliga stöd i både sektorsspecifik lagstiftning, som HSL, samt i registerförfattningen PDL. Fråga uppstår då om det behövs ett ytterligare stöd för att behandling av personuppgifter för vård av annan än den personuppgifterna avser ska anses vara i enlighet med dataskyddsförordningens krav, eller om det räcker med det som i dag följer av dessa lagar. Nedan följer utredningens bedömning om hur tillämpningen av finalitetsprincipen skulle falla ut, samt varför det finns ett behov av ytterligare rättsligt stöd för att möjliggöra behandling av personuppgifter för vård av annan än den personuppgifterna avser.
Utredningens bedömning av finalitetsprincipen
Att behandla personuppgifter för vård av annan än den som uppgifterna avser innebär i praktiken att personuppgifter som har samlats in och behandlas med stöd av ändamålet vårddokumentation (2 kap. 4 § första stycket 1–2 PDL) vidarebehandlas i syfte att vårda en annan person. Det skulle kunna tänkas att detta kan ses som en personuppgiftsbehandling där uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (jämför med finalitetsprincipen i 2 kap. 5 § PDL). Till stöd i bedömningen för vad
421Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
som anses oförenligt eller inte med det ursprungliga ändamålet anges det i artikel 6.4 i dataskyddsförordningen vissa kriterier som den personuppgiftsansvarige ska beakta. Vidare kan viss vägledning hämtas från skäl 50 i datasskyddsförordningen. Av artikel 6.4 a–e framgår att följande ska beaktas: – kopplingarna mellan de ändamål för vilka personuppgifterna samlats in och ändamålen med den avsedda ytterligare behandlingen, – det sammanhang inom vilket personuppgifterna samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige, – personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas i enlighet med artikel 9, – konsekvenserna för registrerade av den planerade fortsatta behandlingen, samt – förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.
Avseende kopplingen mellan ändamålet vård av annan patient än den som uppgifterna avser så är det övergripande syftet att ge vård, vilket också är fallet för det ändamål för vilka personuppgifterna ursprungligen samlades in (även om det gäller en annan patient). Detta skulle kunna tala för att det på ett generellt plan finns en stark koppling mellan de olika ändamålen. Ur en personuppgiftsansvarig vårdgivares perspektiv, kanske det rent utav kan ses som samma ändamål, trots att behandlingen av personuppgifter rör helt olika personer utan vetskap om varandra. Utredningen delar den uppfattning som Socialdatautredningen uttalade om att det yttersta syftet med personuppgiftsbehandling enligt PDL är att ge god vård (SOU 2017:66 s. 327). I en mer specifik situation där personuppgifter samlas in och dokumenteras för att exempelvis uppfylla dokumentationskrav i enlighet med 3 kap. PDL eller interna rutiner avseende en viss patient kan dock kopplingen mellan de olika ändamålen inte anses vara särskilt stark. Enligt utredningens mening måste även vad en patient rimligen förväntar sig vägas in i hur stark denna koppling egentligen är (se skäl 50 dataskyddsförordningen). I ett äldre beslut från Integritetsskyddsmyndigheten, ska denna hypotetiska bedömning göras utifrån vad en
422Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
patient typiskt sett skulle förvänta sig, inte en patient i ett specifikt fall (jämför DI-1369-2012, från den 14 januari 2013). Utredningen är av uppfattningen att en patient typiskt sett inte förväntar sig att hens personuppgifter som samlas in från läkare och annan vårdpersonal inom ramen för vården hen får, kommer att användas för vården av någon annan. Till viss del kan detta anses bero på att precisionsmedicin fortfarande är något relativt nytt. Oaktat detta bör det vägledande vara hur en typisk patient förväntar sig att hens personuppgifter hanteras inom vården. Till detta bör även hållas i åtanke att personuppgifterna som samlas in i en vårdsituation sker i ett sammanhang där man som patient kanske ofta befinner sig i ett utsatt läge och är i ett starkt beroendeförhållande till den personuppgiftsansvarige (jämför artikel 6.4 b). De personuppgifter som omfattas av utredningens förslag och som också behövs för att kunna implementera precisionsmedicin utgörs nästan uteslutande av så kallade känsliga personuppgifter enligt artikel 9 (jämför artikel 6.4 c). Samtliga av dessa omständigheter talar emot att behandlingen för ändamålet vård av annan än personuppgifterna avser kan anses förenligt med det ursprungliga ändamålet. I utredningens förslag finns det förvisso bestämmelser om pseudonymisering eller annat likvärdigt skydd (se avsnitt 14.6.4 och 14.9.3) Även om detta utgör en skyddsåtgärd ämnad att begränsa effekten av intrånget i den personliga integriteten, utgör det inte enligt utredningen ett sådant starkt skydd att behandling för ändamålet vård av annan än den personuppgifterna avses ska anses förenligt med det ursprungliga ändamålet (jämför artikel 6.4 e). Om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig (artikel 6.3). Som angetts i avsnitt 13.8.1 (Befintliga ändamålsbestämmelser i PDL), anser inte utredningen att den befintliga ändamålsbestämmelsen, efter en tolkning av ordalydelsen och dess ändamål, kan anses utgöra ett stöd för att behandling av personuppgifter för vård av annan än den personuppgifterna avser är tillåtet. Detta särskilt med hänsyn till uttalanden i förarbetena till PDL om att ändamålsbestämmelsen ska vara en yttersta ram för när personuppgifter får samlas in och behandlas, samt att utgångspunkten är
423Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
att endast sådan personuppgiftsbehandling som inryms i något eller några av de uppräknade ändamålen får äga rum (prop. 2007/08:126 s. 56 och s. 227). Det finns enligt utredningen inte utrymme för en sådan extensiv tolkning av finalitetsprincipen. Utredningens slutsats är på grund av det ovan anförda att behandling av personuppgifter för vård av annan än den som personuppgifterna avser inte kan anses som en tillåten behandling enligt finalitetsprincipen.
13.8.3 Samtycke enligt 2 kap. 3 § patientdatalagen
En ytterligare variant för att möjliggöra behandling av personuppgifter för vård av annan än den som personuppgifterna avser, är att titta på möjligheten att använda patienters samtycke i 2 kap. 3 § PDL. Bestämmelsen anger att behandling av personuppgifter som inte är tillåten enligt PDL ändå får ske, om den enskilde lämnat ett uttryckligt samtycke till behandlingen (2 kap. 3 § PDL). Det gäller dock inte om något annat framgår av annan lag eller förordning. I förarbetena till PDL anfördes att paragrafen kan sägas ge uttryck för principen att en enskilds uttryckliga samtycke till en viss personuppgiftsbehandling normalt ska respekteras (prop. 2007/08:126 s. 277). I sammanhanget är det relevant att reflektera över hur bestämmelsen förhåller sig till dataskyddsförordningen. I skäl 43 anges följande: För att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar.
För offentliga vårdgivare finns det alltså särskild anledning att fundera över om det råder sådan betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige myndigheten som nämns i skäl 43 i dataskyddsförordningen, att samtycket inte bör utgöra rättslig grund för behandling av personuppgifter. Inför ikraftträdande av dataskyddsförordningen bedömdes att bestämmelsen kunde behållas (prop. 2017/18:171, s. 159–160). I lagstiftningsärendet framhöll Integritetsskyddsmyndigheten (då Datainspektionen) att de registerförfattningar som innehåller bestämmelser om
424Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
samtycke som rättslig grund för behandling av personuppgifter måste analyseras noggrant, dels utifrån om samtycke överhuvudtaget kan användas med hänsyn till den situation i vilken den registrerade befinner sig i förhållande till den personuppgiftsansvarige, dels utifrån att dataskyddsförordningen inte ger stöd till medlemsstaterna att införa nationella bestämmelser om samtycke som rättslig grund. Regeringen ansåg dock, med hänvisning till artikel 6.1 a och 9.2 a samt skäl 8 i dataskyddsförordningen, att bestämmelsen i 2 kap. 3 § PDL kunde behållas (prop. 2017/18:171, s. 159–160). Även i de fall det är fråga om en myndighet så borde det, enligt regeringen, finnas utrymme för samtycke som rättslig grund. Det krävs då särskilda överväganden för att bedöma om samtycke kan utgöra stöd för behandlingen (prop. 2017/18:171, s. 87). Enligt utredningens uppfattning har möjligheten att använda samtycke i 2 kap. 3 § PDL begränsad tillämplighet i praktiken, särskilt när det gäller regionala myndigheter. I många fall borde det anses råda ojämlikhet mellan regionen och enskilda patienter så som beskrivs i skäl 43 dataskyddsförordningen. Utredningen anser därför att det inte är möjligt att grunda en behandling av personuppgifter för vård av annan än den personuppgifterna avser på samtycke enligt 2 kap. 3 § PDL. Samtycke är enligt utredningens uppfattning inte heller ett praktiskt lämpligt alternativ (se mer om detta i avsnitt 14.10 (Betydelsen av den enskildes inställning till personuppgiftsbehandlingen).
13.8.4 Närmre om uppdelningen i primära och sekundära
ändamål och EHDS förslag rörande ”personlig
hälso- och sjukvård”
Vid PDL:s införande ansågs det olämpligt att dela in ändamålen i lagen i primära och sekundära ändamål. Detta motiverades bland annat med att både primära och sekundära ändamål handlar om personuppgiftsbehandlingar som, mer eller mindre integrerat, normalt äger rum i varje vårdgivares egen verksamhet (prop. 2007/08:126 s. 56). PDL omfattar alltså både insamling och registrering av uppgifter samt den vidareanvändning som sker för de ändamål som räknas upp; detta utan att det görs någon formell skillnad mellan vad som är (ny)insamling eller vidareanvändning. I detta sammanhang bör förslaget till EHDS lyftas. Utredningen har kortfattat redogjort för förslaget i avsnitt 4.2.8. I förslaget till
425Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
EHDS finns indelningen mellan primär och sekundär användning. I artikel 34, som handlar om ändamål för vilka e-hälsodata kan behandlas för sekundär användning, anges ändamålet ”tillhandahållande av personlig hälso- och sjukvård som består i att bedöma, bibehålla eller återställa fysiska personers hälsotillstånd på grundval av andra fysiska personers hälsodata” (punkten h). Detta kan jämföras med det utredningen kallar vidareanvändning för vården av en annan patient än den som personuppgifterna avser. I förslaget till EHDS görs alltså en skillnad mellan så kallad primär användning och sekundär användning, till skillnad från PDL:s systematik. Även om PDL inte gör skillnad mellan primära och sekundära ändamål, och vidareanvändning för vården av en annan patient än den som personuppgifterna avses skulle kunna argumenteras för kan tolkas in i existerande ändamål i 2 kap. 4 § PDL, eller anses vara en behandling som inte är oförenlig med det ändamål för vilket uppgifterna samlades in, anser utredningen ändå att det finns en poäng i att särskilt synliggöra denna personuppgiftsbehandling i lagstiftningen. Det är fråga om en helt ny typ av personuppgiftsbehandling där en persons uppgifter används i vården av någon annan. En sådan ny typ av personuppgiftsbehandling anser utredningen ska framgå tydligt att den är tillåten.
13.8.5 Sammanvägd bedömning
Enligt utredningen är det viktigt i integritetshänseende att PDL:s ändamålsreglering är tydlig. Är det inte tydligt vad som ingår eller får göras enligt PDL:s ändamål är det inte förutsägbart för den enskilde, eller för de personuppgiftsansvariga inom vården, vad som får göras med den enskildes personuppgifter. Detta blir särskilt relevant eftersom personuppgiftsbehandlingen kommer inkludera känsliga personuppgifter (uppgifter om hälsa). Det finns då enligt utredningen starka skäl som talar för att man redan utifrån ordalydelsen i PDL ska kunna förstå att personuppgifter om en patient får användas i vården av en annan patient. Utredningen tycker att detta talar för att det bör tas in ett nytt ändamål som ger ett tydligt stöd för vårdgivare att behandla personuppgifter om en patient för vården av en annan patient. Ett sådant resonemang ligger också väl i linje med tidigare uttalanden från regeringen dels avseende att 2 kap. 4 § PDL ska anses utgöra en uttömmande reglering av för vilka ändamål som personuppgifter inom
426Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
PDL:s tillämpningsområde får behandlas för, dels att desto mer kännbart intrång i någons integritet som föranleds av en uppgift av allmänt intresse desto tydligare bör den rättsliga grunden vara (se prop. 2007/ 08:126 s. 56 och prop. 2017/18:105 s. 51). Utredningen anser sammantaget att det därmed finns starka skäl att införa ett tydligt och ändamålsenligt stöd i PDL för behandling av personuppgifter för vården av en annan patient än den som personuppgifterna avser.
13.9 Behovet av nya befogenhetsbestämmelser
Bedömning : Enligt 4 kap. 1 § PDL får den som arbetar hos en vårdgivare ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Utredningen gör bedömningen att bestämmelsen inte ger stöd för att den som arbetar inom hälso- och sjukvården kan del av uppgifter om en patient för ändamålet vården av en annan patient än den som uppgifterna avser.
En fråga som uppkommer är om befintlig bestämmelse om befogenhet att inom den inre sekretessen ta del av uppgifter om patienter i 4 kap. 1 § PDL ger stöd för att den som arbetar inom hälso- och sjukvården tar del av sådana uppgifter även för ändamålet vården av en annan patient än den som uppgifterna avser. Begreppen behörighet, befogenhet och inre sekretess återkommer avseende vårdändamålet i kapitel 13 och 14. Behörighet för åtkomst avser en användares faktiska möjligheter att ta del av uppgifter i exempelvis vårdgivarens journalsystem. Behörighet kan förenklat uttryckas vad en person kan göra. Med befogenhet avses vad en person får göra. Även om vårdpersonal rent praktiskt kan logga in i ett journalsystem har den inte rätt att läsa journaler fritt. Inre sekretess är en typ av befogenhetsbestämmelse och uttrycker därmed vad vårdpersonalen faktiskt får göra. I 4 kap. 1 § PDL uttrycks det genom att den som arbetar hos en vårdgivare endast får ta del av dokumenterade uppgifter om en patient om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.
427Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
Ger 4 kap. 1 § PDL stöd för att ta del av personuppgifter för
vården av en annan patient än den som uppgifterna avser?
Enligt 4 kap. 1 § gäller att den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Uttalandena i förarbetena till PDL är generellt sett sparsmakade vad gäller kommentarer till bestämmelsen. Förarbetena till PDL ger inte någon mer utförlig ledning till hur ”deltar i vården” eller ”annat skäl” i 4 kap. 1 § ska tolkas eller hur dessa formuleringar förhåller sig till ändamålsbestämmelsen i PDL (jämför prop. 2007/08:126 s. 238).
Deltar i vården
Ordalydelsen i led ett av bestämmelsen, ”får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten”, tyder enligt utredningens mening på att det är samma patient som avses. Det praktiska situation inom hälso- och sjukvården där detta tillämpas är också såvitt utredningen erfarit att personalen deltar i vården av den patient, vars uppgifter man då får ta del av i den utsträckning som det behövs för att ge patienten en god och säker vård. Vid behandling av personuppgifter för vård av en annan patient än den som uppgifterna avser blir situationen en annan. För det första är det inte alltid så att samma personal deltar i vården av de patienter vars uppgifter ska användas för vården av en annan patient. För det andra är det enligt utredningens mening oklart om formuleringen i 4 kap. 1 § PDL kan anses omfatta att personal, även om de skulle ”delta i vården” av alla inblandade patienter, får ta del av uppgifter om vissa patienter i syfte att vårda en annan patient. Formuleringen ”… dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten” [utredningens kursivering] talar enligt utredningens mening emot att så skulle vara fallet. Utredningens bedömning är att första ledet i 4 kap. 1 § PDL inte ger stöd för att personal får ta del av dokumenterade personuppgifter för vården av en annan patient än den som uppgifterna avser.
428Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
Av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården
Frågan är då om vad som menas med ”annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården”. Utredningen konstaterar att förarbetena inte ger någon konkret vägledning. Utredningen har gjort en tolkning utifrån bestämmelsens ordalydelse och systematiken i PDL. Läser man formuleringen ”annat skäl” mot ”deltar i vården” antyder det enligt utredningens mening att det som avser är annat skäl än att man deltar i vården av en patient. Utifrån detta skulle annat skäl inte kunna vara att man deltar i vården av en annan patient än den som uppgifterna avser. Utredningen har övervägt om ytterligare ledning i tolkningen av ”annat skäl” kan hämtas ur en systematisk tolkning av PDL, där 4 kap. 1 § PDL läses mot 2 kap. 4 § första stycket PDL. I förarbetena förklaras inte hur bestämmelsen i 4 kap. 1 § PDL kopplat till ändamålsbestämmelsen i 2 kap. 4 § första stycket samma lag. Enligt utredningens mening är det dock ur systematisk synvinkel logiskt att tänka sig att första ledet i 4 kap. 1 § PDL, ”deltar i vården”, kopplar till 4 kap. 2 § första stycket 1–2. När personal behandlar personuppgifter för att den deltar i vården av en patient är ändamålet vårddokumentation som behandlingen av personuppgifterna avser. Termen ”vård” förekommer också i punkterna 1–2 i ändamålsbestämmelsen. Läst mot ändamålsbestämmelsen i 2 kap. 4 § PDL är det vidare logiskt att ”annat skäl” avser arbetsuppgifter som innefattar behandling av personuppgifter enligt första stycket 3–7. Annat skäl bör även omfatta behandling av personuppgifter som följer av 2 kap. 5 § PDL. Dessa bestämmelser avser inte behandling av personuppgifter för ”vård”. Bestämmelserna avser i stället att upprätta annan dokumentation (än patientjournal) som följer av lag, förordning eller annan författning, att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten, administration, planering, uppföljning, utvärdering och tillsyn av verksamheten, att framställa statistik om hälsooch sjukvården, eller antalsberäkning inför klinisk forskning. Sammantaget gör utredningen bedömningen att grunden ”annat skäl” för att ta del av dokumenterade personuppgifter inte ger stöd för att den som arbetar hos en vårdgivare får ta del av sådana uppgifter för vården av en annan patient än den som uppgifterna avser.
429Reglering av vidareanvändning för vårdändamål – utgångspunkter och inriktning
Utredningens sammantagna tolkning av bestämmelsen i 4 kap. 1 § PDL är att den inte ger stöd för att den som arbetar hos en vårdgivare tar del av personuppgifter om en patient i syfte att använda de uppgifterna för vården av en annan patient. I vart fall är det inte tydligt att så är fallet. Det bör enligt utredningens mening finnas ett tydligt rättsligt stöd för den som arbetar i vården att ta del av uppgifter om patienten för ändamålet vården av en annan patient än den som uppgifterna avser. Utredningens förslag avseende bestämmelser om befogenhet för personal att ta de av dokumenterade uppgifter om en patient finns avsnitt 14.6.6, 14.7.5, och 14.8.5 och 14.9.5.
43114 Nya regler om vidareanvändning
av personuppgifter för
vårdändamål
14.1 Inledning
I avsnitt 2.3, finns en beskrivning av hur utredningen övergripande ser på uppdraget enligt direktiven att skapa förutsättningar för vidareanvändning av personuppgifter för patientändamål. Utredningen tolkar uppdraget som att det avser vidareanvändning för vårdändamål. Utredningen uttrycker det specifika ändamålet som behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. Av problemanalysen, kapitel 12, framgår att det finns juridiska hinder som gör att personuppgifter i dag inte kan behandlas för vården av en annan patient än den som personuppgifterna avser. Utredning anser att det behövs nya regler som ger ett rättsligt stöd för vidareanvändning av personuppgifter om patienter för vården av en annan patient. Utredningens bedömning är att det ska bland annat bli tillåtet med behandling av personuppgifter i en avgränsad uppgiftsmängd som utredningen kallar precisionsmedicinsk databas, för vården av en annan patient än den som uppgifterna avser. Behovet av personuppgiftsbehandling för vården av en annan patient än den som uppgifterna avser finns inom den så kallade precisionsmedicinen. Vad precisionsmedicin är beskrivs i avsnitt 11.4.1. I kapitel 13 finns utredningens överväganden kring utgångspunkter och inriktning för reglering av vidareanvändning för vårdändamål. Där framgår att reglerna ska vara frivilliga att använda. Utredningen gör bedömningen att utgångspunkten är en reglering i lag och att reglerna ska placeras i patientdatalagen (2008:355), förkortad PDL. Vidare anser utredningen att vissa kompletterande regler ska finnas i en ny förordning som ansluter till föreslagna regler i PDL.
432Nya regler om vidareanvändning av personuppgifter för vårdändamål
I avsnitt 13.8 kommer utredningen fram till att det saknas stöd i PDL för behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. Utredningens förslag om ett nytt ändamål i PDL samt frågor kopplade till detta finns i avsnitt 14.4. Den övergripande modellen som utredningen föreslår presenteras i avsnitt 13.4. Modellen återkommer i mer juridisk tappning i avsnitt 14.4.5. Utredningens detaljerade överväganden och förslag kopplade till modellen finns i avsnitt 14.6–14.9. I kapitel 13 har övergripande redogjorts för databas som nav för behandlingen av personuppgifter presenterats, se avsnitt 13.3. I avsnitt 14.2 finns utredningens överväganden och förslag om precisionsmedicinsk databas. För att utredningens förslag på nya regler kring vidareanvändning ska kunna tillämpas, behöver ändringar ske i offentlighets- och sekretesslagen (2009:400), förkortad OSL. Utredningen föreslår en sekretessbrytande grund och en regel om absolut sekretess, se avsnitt 17.1–17.2.
14.2 Precisionsmedicinsk databas
Förslag : Det ska införas bestämmelser som tillåter behandling av personuppgifter i precisionsmedicinsk databas för ändamålet vården av en annan patient än den som uppgifterna avser. Med precisionsmedicinsk databas avses en samling av personuppgifter som inrättas särskilt för ändamålet vården av en annan patient än den som uppgifterna avser. En precisionsmedicinsk databas syftar till att skapa underlag för vården av en annan patient än den som uppgifterna avser.
Av avsnitt 13.3 framgår att nya uppgiftssamlingar i form av databaser ska vara navet för behandling av personuppgifter för vården av annan patient än den som uppgifterna avser. För en sådan samling av uppgifter har utredningen valt att använda begreppet ”precisionsmedicinsk databas”. Vad som menas med databas redogörs för i avsnitt 13.3.4. Det som gör att en databas är att anse som en precisionsmedicinsk databas är att de uppgifter som samlas i databasen finns där för ändamålet vården av en annan patient än den som uppgifterna avser. Uppgifter i en precisionsmedicinsk databas får inte behandlas för några andra ändamål, se avsnitt 14.4.3.
433Nya regler om vidareanvändning av personuppgifter för vårdändamål
För att uppnå det juridiskt relevanta att avgränsa en informationsmängd som bara får användas för ändamålet vården av en annan patient än den som uppgifterna avser kan olika tekniska lösningar användas, se avsnitt 13.3.5. Det avgörande är inte vilken teknisk lösning som används, utan att reglerna om ändamål med mera följs.
14.2.1 Syftet med en precisionsmedicinsk databas
Syftet med en precisionsmedicinsk databas ska vara att skapa underlag för vården av en annan patient än den som uppgifterna avser. Betydelsen av vård framgår av avsnitt 14.4.1. En sådan databas ska skapa förutsättningar för behörig vårdpersonal i den regionala specialiserade sjukvården att söka i en relevant uppgiftssamling för att hitta information som kan vara av betydelse för vård av patienter. Hur sökprocessen rent praktiskt är tänkt att gå till beskrivs i ett antal steg i avsnitt 13.2.4. Syftet med databasen är viktigt i relation till bestämmelserna om urval och tillgängliggörande till precisionsmedicinsk databas. Syftet med databasen begränsar vilka uppgifter som det finns behov av att tillgängliggöra, se avsnitt 14.6.2. En precisionsmedicinsk databas får endast användas för vårdändamål. Syftet får inte vara andra ändamål, till exempel forskning. Anledningen till att en precisionsmedicinsk databas inte får användas för ändamålet forskning beror på att utredningen ser en risk med att det indirekt skulle kunna utgöra en forskningsdatabas. Utredningen föreslår att finalitetsprincipen inte ska gälla för personuppgifter i en precisionsmedicinsk databas, se avsnitt 14.4.3.
434Nya regler om vidareanvändning av personuppgifter för vårdändamål
14.3 Rättslig grund och stöd för behandling
av känsliga personuppgifter
Bedömning : Den rättsliga grunden i EU:s dataskyddsförordning för behandlingen av personuppgifter för vården av en annan patient än den som uppgifterna avser är att behandlingen är nödvändig för att fullgöra en arbetsuppgift av allmänt intresse enligt artikel 6.1 e. Bestämmelser i hälso- och sjukvårdslagen (2017:30) tillsammans med utredningens förslagna bestämmelser i 6 kap. PDL medför att det allmänna intresset är fastställt i nationell rätt.
För att en personuppgiftsbehandling ska vara laglig krävs det att den har en rättslig grund i enlighet med artikel 6.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad dataskyddsförordningen. Som redogörs för i avsnitt 14.3.1 och 14.3.2 anser utredningen att den rättsliga grunden i enlighet med artikel 6.1 dataskyddsförordningen utgörs av uppgift av allmänt intresse. Uppgiften av allmänt intresse regleras i detta fall av nationell rätt. I enlighet med artikel 6.3 dataskyddsförordningen kommer den rättsliga grunden i aktuellt fall bestå av både existerande lagar och av utredningens förslagna bestämmelser i PDL. En förutsättning för att införa bestämmelser som ger möjlighet att behandla personuppgifter genom precisionsmedicinsk databas i syfte att vårda någon annan patient än den personuppgifterna avser, är att det är förenligt med dataskyddsförordningen. Som redogjorts för i kapitel 7 är inte samtycke en lämplig grund när det råder betydande ojämlikhet mellan parterna (se även skäl 42 och 43 i dataskyddsförordningen). Eftersom ändamålet är vård anser utredningen att det främst är alternativen uppgift av allmänt intresse eller rättslig förpliktelse som kan aktualiseras som rättslig grund enligt artikel 6 dataskyddsförordningen.
435Nya regler om vidareanvändning av personuppgifter för vårdändamål
14.3.1 Om den rättsliga grunden uppgift av allmänt
intresse och hälso- och sjukvård
En behandling av personuppgifter är laglig om den är nödvändig för att utföra en arbetsuppgift av allmänt intresse (artikel 6.1 e dataskyddsförordningen). Grunden för behandlingen ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Av skäl 45 till dataskyddsförordningen framgår att hälso- och sjukvårdsändamål, såsom folkhälsa och socialt skydd och förvaltning av hälso- och sjukvårdstjänster inbegrips i allmänintresset. Vidare framgår att dataskyddsförordningen inte medför något krav på en särskild lag för varje enskild behandling. Det kan räcka med en lag som grund för flera behandlingar som bygger på ett allmänt intresse. Den största delen av den behandling av personuppgifter som sker i enlighet med de ändamål som räknas upp i PDL avser dokumentation i en patientjournal och kan därmed anses ha stöd i artikel 6.1 c dataskyddsförordningen, rättslig förpliktelse (se prop. 2007/08:126 s. 34 och SOU 2017:66 s. 326). Utredningen är dock av uppfattningen att de krav som finns på vårdgivare att bedriva en god vård i enlighet med 5 kap. 1 § hälso- och sjukvårdslagen (2017:30), förkortad HSL, ger stöd för bedömningen att det yttersta syftet med personuppgiftsbehandling enligt PDL är just att kunna ge en god vård (jämför SOU 2017:66 s. 327). Bestämmelserna i HSL utgör oftast inte rättsliga förpliktelser i dataskyddsförordningens mening. Detta får anses följa av att syftet enligt artikel 6.3 andra stycket första meningen, ska fastställas i det rättsliga stöd som den rättsliga förpliktelsen vilar på (se även prop. 2017/18:105 s. 54). Utredningens bedömning är att behandling av personuppgifter enligt PDL anses nödvändig för att kunna ge god vård och därmed utföra en arbetsuppgift av allmänt intresse i enlighet med artikel 6.1 e i dataskyddsförordningen. Socialdataskyddsutredningen uttalade att redan det förhållandet att det enligt lag är en rättslig skyldighet för det allmänna att bedriva hälso- och sjukvård, visar att det är en arbetsuppgift av allmänt intresse (jämför SOU 2017:66 s. 327). Utredningen anser följaktligen att för uppgiften att tillhandahålla vård täcks av den rättsliga grunden uppgift av allmänt intresse i dataskyddsförordningen. Det finns flera bestämmelser i befintlig sektorsspecifik lagstiftning som får anses uppnå kraven på en tillåten nationell
436Nya regler om vidareanvändning av personuppgifter för vårdändamål
reglering enligt artikel 6.3 och kan anses fastställa grunden för den aktuella uppgiften av allmänt intresse – att ge vård. Behandlingen är vidare nödvändig på det sätt som avses i dataskyddsförordningen, den utförligare bedömningen återfinns i avsnitt 13.2.1 och 13.3.1.
14.3.2 Kraven på den rättsliga grunden
Som framgår av skäl 41 och artikel 6.3 i dataskyddsförordningen behöver en rättslig grund vara tydlig och precis. Tillämpningen av den rättsliga grunden ska även vara förutsebar för personer som omfattas av den. Enligt artikel 6.3 står det även klart att den nationella rätt som ska utgöra rättslig grund för en personuppgiftsbehandling måste vara proportionerlig (se bland annat C-623-/17, Privacy International dom av den 6 oktober 2020, punkt 68 med däri angiven rättspraxis). Enligt utredningens bedömning kan inte PDL i sin nuvarande utformning eller annan nationell lagstiftning uppfylla dessa krav med avseende på den behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser och inrättandet av precisionsmedicinska databaser (se även artikel 9.4 där det anges att medlemsstater får införa ytterligare villkor, även begränsningar, för behandlingen av genetiska, biometriska eller uppgifter om hälsa). I enlighet med de överväganden som utredningen gjort i avsnitt 13.7 samt avsnitt 13.8 anser utredningen därför att det behövs ny lagstiftning och särskilda bestämmelser för att kunna uppnå dessa krav. I det aktuella sammanhanget rör det sig om uppgifter inom hälsooch sjukvården från patienter som kan befinna sig i ett utsatt läge och dessutom i en beroendesituation gentemot den personuppgiftsansvariga. Utredningens bedömning är att den rättsliga grunden för den personuppgiftsbehandling som sker till följd av att precisionsmedicinska databaser införs måste vara så precis och tydlig som möjligt (se prop. 2017/18:105 s. 51). Från de registrerades perspektiv är förutsebarhet ett av de främsta skälen för ny reglering (för utförligare resonemang om detta se avsnitt 13.8.2). Vidare anser utredningen det befogat med särskilda skyddsåtgärder (de särskilda övervägandena för detta återfinns i avsnitt 14.6–14.8). I relation till de personuppgiftsansvariga är det av yttersta vikt att de som är ansvariga för behandlingarna har klart för
437Nya regler om vidareanvändning av personuppgifter för vårdändamål
sig vilka skyldigheter som följer av att de ska få behandla personuppgifter som härstammar från en annan patient vid vården av en annan än den personuppgifterna avser. Till följd av detta har utredningen ansett det befogat med en särskild bestämmelse om personuppgiftsansvar, se vidare under 14.5.2. Utredningen har även ansett det befogat med bestämmelser som reglerar urval och tillgängliggörande av personuppgifter till en precisionsmedicins databas, se vidare under 14.6. Utredningen har vidare valt att införa begränsningar i vem som får föra en precisionsmedicinsk databas, se under 14.7.2 och 14.7.3. Utredningen har reglerat för vilka ändamål behandling av personuppgifter i en precisionsmedicinsk databas får ske och hur åtkomst till en precisionsmedicinsk databas får utformas, se vidare under 14.7.4 respektive 14.8. I ovan nämnda avsnitt redogörs de närmare överväganden som gör att utredningen anser att de föreslagna bestämmelserna utgör tillräckligt för att uppnå kraven på en laglig och rättvis behandling, samt uppnå ett mål av allmänt intresse och vara proportionerliga (se även avsnitt 14.15) i enlighet med artikel 6.3 dataskyddsförordningen.
14.3.3 Rättsligt stöd för behandling
av känsliga personuppgifter
Förslag: Det rättsliga stödet för behandling av känsliga personuppgifter ska anges i en särskild bestämmelse i 6 kap. PDL.
Bedömning: Vårdgivare får behandla känsliga personuppgifter för vården av en annan patient än den som uppgifterna avser med stöd av artikel 9.2 h i EU:s dataskyddsförordning och enligt en särskild bestämmelse som införs i 6 kap. PDL.
Behandling av känsliga personuppgifter är enligt huvudregeln i artikel 9.1 förbjuden, men får enligt artikel 9.2 h i dataskyddsförordningen ske om den är nödvändig av skäl som hör samman med bland annat tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och deras system. Utredningens föreslagna bestämmelser är tänkta att placeras i ett eget kapitel i PDL. I 1 kap. 3 § PDL definieras vilken verksamhet som
438Nya regler om vidareanvändning av personuppgifter för vårdändamål
avses med hälso- och sjukvård enligt PDL. Den verksamhet som omfattas av de föreslagna bestämmelserna hör, enligt utredningens bedömning, samman med medicinska diagnoser och utgör tillhandahållande av hälso- och sjukvård på det sätt som avses i artikel 9.2. h i dataskyddsförordningen. I precisionsmedicinska databaser är det kategorierna uppgifter om hälsa och genetiska uppgifter, som ska få behandlas för vården av annan än den personuppgifterna avser och därmed omfattas av de föreslagna bestämmelserna. Enligt utredningens bedömning gör inte artikel 9.2 h någon åtskillnad på om de känsliga personuppgifterna som ska behandlas härstammar från en patient och sedan behandlas för vården av en annan patient. Det väsentliga är att personuppgifter omfattas av de skäl som anges i artikel 9.2 h och att förutsättningen i artikel 9.3 om tystnadsplikt är uppfyllt. 1 Den nationella rätten som kommer att reglera behandlingen återfinns i PDL och kravet på tystnadsplikt enligt artikel 9.3 i dataskyddsförordningen är uppfyllt eftersom sekretess gäller inom hälso- och sjukvården enligt 25 kap. OSL. Utredningen har även föreslagit en ytterligare sekretessbestämmelse för behandlingen av känsliga personuppgifter i en precisionsmedicinsk databas, se avsnitt 17.2. För personal inom privat hälso- och sjukvård finns bestämmelser om tystnadsplikt i 6 kap. patientsäkerhetslagen (2010:659), förkortad PSL. Sammanfattningsvis gör utredningen bedömningen att behandlingen av känsliga personuppgifter i enlighet med de föreslagna bestämmelserna kan ske med stöd av artikel 9.2 h i dataskyddsförordningen. Utredningens bedömning är att det bör finnas en särskild bestämmelse som anger med stöd av vilket undantag i artikel 9.2 personuppgifterna får behandlas. Utredningen föreslår därför en ny bestämmelse i kapitel 6 PDL som anger att känsliga personuppgifter får behandlas med stöd av artikel 9.2 h samt påminner om kravet på tystnadsplikt enligt artikel 9.3 dataskyddsförordningen (se även SOU 2017:66 s. 310).
1 Jämför EDPB Document on response to the request from the European Commission for clarifications on the consistent application of the GDPR, focusing on health research, antaget den 2 februari 2021, s. 7 p. 22.
439Nya regler om vidareanvändning av personuppgifter för vårdändamål
14.4 Ett nytt ändamål för personuppgiftsbehandling
för vården av en annan patient än den som
personuppgifterna avser
14.4.1 En ny ändamålsbestämmelse
Förslag: I PDL ska en ny ändamålsbestämmelse införas. Ändamålet ska avse behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. I stället för vad som anges i 2 kap. 4–5 §§ PDL gäller att personuppgifter, under de förutsättningar som anges i 6 kap. PDL, får behandlas inom hälso- och sjukvården om det behövs för vården av en annan patient än den som uppgifterna avser.
En ny ändamålsbestämmelse i PDL
Utredningen har i avsnitt 13.8 bedömt att behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser inte omfattas av befintliga ändamålsbestämmelser i 2 kap. 4 § PDL. Utredningen föreslår därför att det i PDL ska införas en ny ändamålsbestämmelse.
Hur ska det nya ändamålet formuleras?
Utredningen har övervägt olika sätt att formulera det nya ändamålet. I utredningens direktiv förekommer formuleringar som ”att skapa förutsättningar för sekundäranvändning av hälsodata för patientändamål”, och ”personuppgifter eller andra data från flera individer ska kunna användas för vård och behandling av andra enskilda individer”. Ett sätt att formulera ändamålet är att konkret beskriva den behandling av personuppgifter som sker från en eller flera patienter till en annan. En sådan formulering skulle kunna vara ”behandling av personuppgifter inom hälso- och sjukvården för vården av en annan patient än den som uppgifterna avser”. Ett annat sätt att formulera ändamålet är att tydligare synliggöra att det handlar om vidareanvändning i kliniskt syfte. Utifrån detta skulle ändamålet kunna formuleras ”klinisk vidareanvändning av per-
440Nya regler om vidareanvändning av personuppgifter för vårdändamål
sonuppgifter inom hälso- och sjukvården” eller kort ”klinisk vidareanvändning”. Ett ytterligare alternativ är att hämta inspiration från förslaget till EHDS. Där formuleras ändamålet som ”tillhandahållande av personlig hälso- och sjukvård som består i att bedöma, bibehålla eller återställa fysiska personers hälsotillstånd på grundval av andra fysiska personers hälsodata” (se artikel 34.1.h i förslag till EHDS). Kort skulle det kunna formuleras som ”personlig hälso- och sjukvård”. Denna formulering har mer fokus på det medicinska syftet. De ovan nämnda formuleringarna ”klinisk vidareanvändning av personuppgifter inom hälso- och sjukvården” och ”personlig hälsooch sjukvård” kräver enligt utredningens mening en förklarande formulering. Det är också så artikel 34.1.h i förslaget till EHDS är formulerad. Med ”klinisk vidareanvändning” eller ”personlig hälsooch sjukvård” skulle avses behandling av personuppgifter inom hälsooch sjukvården för vården av en annan patient än den som uppgifterna avser. Utredningen anser att det är tydligast att direkt i lagen formulera den behandling av personuppgifter som faktiskt sker. Utredningen har därmed valt formuleringen behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser.
B etydelsen av ”vård”
Det nya ändamålet gäller personuppgiftsbehandling för vården av annan patient än den som personuppgifterna avser. Utredningens uppfattning är att, innebörden av vad vård är, inte bör skilja sig från vad som gäller enligt PDL i dag. I förarbetena till PDL anges att utgångspunkten ska vara att PDL koncentreras till att omfatta personuppgiftsbehandling i den individinriktade patientvården inom hälso- och sjukvården. Till denna kärnverksamhet hör åtgärder för att förebygga, utreda och behandla sjukdomar och skador hos enskilda. Vidare anges att PDL ska vara tillämplig för personuppgiftsbehandling i all individinriktad patientverksamhet som innefattar vård, undersökning eller behandling. Det betyder att även sådan individinriktad patientvård som inte inryms i begreppet hälso- och sjukvård enligt HSL omfattas av PDL (prop. 2007/08:126 s. 49).
441Nya regler om vidareanvändning av personuppgifter för vårdändamål
Begreppet vård används i PDL:s ändamålskatalog i första och andra punkten (så kallad vårddokumentation). I första punkten anges att personuppgifter får behandlas inom hälso- och sjukvården om det behövs för att fullgöra de skyldigheter som anges i 3 kap. (förande av patientjournal) och upprätta annan dokumentation som behövs i och för vården av patienter. I andra punkten anges att personuppgifter får behandlas inom hälso- och sjukvården om det behövs för administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall (2 kap. 4 § första stycket PDL). Även för den ändamålsbestämmelse som utredningen föreslår, avses vård i samma avseende som begreppet används i PDL i övrigt. Skillnaden ligger i att personuppgifter från en patient kan användas i vården av en annan patient än den som personuppgifterna avser, och inte i vårdbegreppet som sådant.
Det nya ändamålet gäller i stället för 2 kap. 4 – 5 §§ PDL
Utredningen gör bedömningen att befintliga ändamålsbestämmelser i PDL inte omfattar behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser, se avsnitt 13.8. Av tydlighetsskäl bör det uttryckligen framgå av ändamålsbestämmelsen i kapitel 6 att den bestämmelsen gäller i stället för ändamål enligt 2 kap. 4–5 §§ PDL. Utredningen noterar att en liknande lagteknisk konstruktion finns i 7 kap. 4 § PDL med avseende på ändamål vid behandling av personuppgifter i nationella eller regionala kvalitetsregister.
442Nya regler om vidareanvändning av personuppgifter för vårdändamål
14.4.2 Vidareanvändning av personuppgifter
som behandlas enligt 2 kap. 4 § första
stycket 1 och 2 patientdatalagen
Förslag: Vidareanvändning för ändamålet behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser ska omfatta personuppgifter som vårdgivare behandlar enligt 2 kap. 4 § första stycket 1 och 2 PDL.
Bedömning: Behandling av personuppgifter som sker för vården av annan patient än den som uppgifterna avser innebär en vidareanvändning av uppgifter som redan har samlats in av en vårdgivare inom hälso- och sjukvården.
Det nya ändamålet tar sikte på vidareanvändning av personuppgifter som samlats in och registrerats hos en vårdgivare. Den vidareanvändningen bör kopplas till ett eller flera befintliga ändamål i PDL. Hur kopplingen utformas bör utgå från behovet av vidareanvändning. Det ska också utformas så att praktiska tillämpningssvårigheter inte uppkommer. De uppgifter som behövs vid vården av en annan patient än den som uppgifterna avser, utgörs av vissa typer av uppgifter som finns i patientjournalen. Utifrån detta bör en koppling finnas mellan möjligheten till vidareanvändning för det nya ändamålet och personuppgifter som vårdgivare behandlar enligt 2 kap. 4 § första stycket 1 PDL. Det är enligt utredningens mening inte lika tydligt att behovet av vidareanvändning även omfattar personuppgiftsbehandling för administration enligt punkten 2 i 2 kap. 4 § första stycket PDL. Det behov som finns avser primärt rent medicinska uppgifter om patienten. Det kan dock inte uteslutas att någon uppgift som behöver tillgängliggöras för ändamålet behandlas enligt punkten 2. Utredningen noterar också att punkterna 1 och 2 ofta omnämns tillsammans som vårddokumentation och att det sällan i praktiken finns anledning för vårdgivare att fundera över om en behandling av personuppgifter sker enligt första eller andra punkten i bestämmelsen. En sådan uppdelning skulle därför riskera att skapa tillämpningssvårigheter. I lag (2022:913) om sammanhållen vård- och omsorgsdokumentation, förkortad SVOD, som också avser vidareanvändning för vårdändamål, är bestämmelserna utformade så att tillgängliggörande av
443Nya regler om vidareanvändning av personuppgifter för vårdändamål
personuppgifter till andra vård- och omsorgsgivare får ske avseende personuppgifter som vårdgivare behandlar enligt båda punkterna. Sammantaget gör utredningen bedömningen att vidareanvändning för vården av en annan patient än den som uppgifterna avser, bör omfatta personuppgifter som vårdgivare behandlar enligt 2 kap. 4 § första stycket 1–2 PDL. Det är de uppgifter som behandlas för vårddokumentation och som behövs för ändamålet vården av en annan patient än den som uppgifterna avser som ska får behandlas för ändamålet.
Begreppet vidareanvändning används inte i lagtexten
Ovan har konstaterats att behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser, handlar om vidareanvändning av personuppgifter som tidigare ha samlats in och registrerats hos vårdgivare. Vidareanvändning av insamlade personuppgifter förekommer redan i dag i stor omfattning hos vårdgivare. Ovan har konstaterats att även senare användning av de registrerade uppgifterna omfattas av ändamålet vårddokumentation. Detta är enligt utredningens mening en form av vidareanvändning av personuppgifter. För exempelvis utveckling av verksamheten eller utförande av annan dokumentation som följer av lag, förordning eller annan författning också omfattande vidareanvändning av personuppgifter (benämnt ”återanvändning” i propositionen till PDL, se till exempel prop. 2007/08: 126, s. 57–58). I PDL görs dock ingen skillnad mellan primär- och sekundäranvändning. Avseende de ändamål som finns i PDL i dag har tidigare gjorts bedömningen att de mer eller mindre integrerat ingår i en vårdgivares verksamhet (prop. 2007/08:126 s. 45). Därav saknas anledning att göra en distinktion mellan insamling för ett visst ändamål och vidare användning för ett annat ändamål enligt 2 kap. 4 eller 5 §§ PDL. Det finns enligt utredningens uppfattning inga skäl för att se annorlunda på det nya ändamål som utredningen föreslår. Behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser, kommer att utgöra en integrerad del i den vård som ges patienten. Sådan behandling av personuppgifter avser ett arbetssätt som utvecklas inom hälso- och sjukvården inom ramen för det som kallas precisionsmedicin, se vidare avsnitt 11.4.1. Precisionsmedicin är under utveckling och tillämpas i dag i störst utsträckning hos regioner med
444Nya regler om vidareanvändning av personuppgifter för vårdändamål
universitetssjukvård. Där precisionsmedicinen tillämpas är den att betrakta som en integrerad del i verksamheten. Utvecklingen går också mot att fler och fler vårdgivare och verksamheter arbetar på detta sätt. Ett hinder mot utvecklingen är att de rättsliga förutsättningarna inte har funnits. Utifrån PDL:s systematik finner utredningen att det inte är lämpligt att i lagen formulera ändamålet som en vidareanvändning. Det är i stället bättre att mer konkret beskriva den personuppgiftsbehandling som sker, se vidare överväganden i avsnitt 14.4.5.
14.4.3 Begränsning av finalitetsprincipen
Förslag: Personuppgifter som behandlas för ändamålet vården av en annan patient än den som uppgifterna avser får inte behandlas för några andra ändamål.
Finalitetsprincipen följer av artikel 5.1 b i EU:s dataskyddsförordning och innebär att personuppgifter som har samlats för att behandlas för särskilda, uttryckligt angivna och berättigade ändamål inte får behandlas även för andra, nya ändamål, om dessa är oförenliga med de ursprungliga ändamålen. En motsvarighet till finalitetsprincipen finns i 2 kap. 5 § PDL. Där klargörs att personuppgifter som behandlas enligt 2 kap. 4 § PDL även får behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Utredningen har övervägt om finalitetsprincipen bör gälla för uppgifter som behandlas för det nya ändamålet vården av en annan patient än den som personuppgifterna avser. Utredningen har konstaterat att uppgifter i en precisionsmedicinsk databas skulle kunna vara till nytta även för ändamål som utveckling och forskning. Utredningen konstaterar att vetenskapliga ändamål är ett sådant ändamål som enligt EU:s dataskyddsförordning alltid är förenlig med det ursprungliga insamlingsändamålet. Utredningen har vägt detta mot det faktum att förutsebarheten och skyddet för den personliga integriteten skulle bli högre om finalitetsprincipen inte gällde. Utredningen konstaterar också att om en precisionsmedicinsk databas skulle få användas för forskningsändamål, skulle det i praktiken innebära att regionala myn-
445Nya regler om vidareanvändning av personuppgifter för vårdändamål
digheter inom hälso- och sjukvården tilläts föra en typ av databas som har likheter med forskningsdatabaser. Frågan om en långsiktig reglering av forskningsdatabaser är för närvarande under behandling i Regeringskansliet. Utredningen anser inte att det är lämpligt att föregripa resultatet av den behandlingen. Utredningen ser vidare en risk för att urvalet för tillgängliggörande till en precisionsmedicinsk databas kan påverkas av att uppgiftssamlingen även får användas för forskning. Utredningen anser sammantaget att det finns många frågor som behöver utredas grundligare än vad utredningen har möjlighet att göra innan uppgifter i en precisionsmedicinsk databas får användas för andra ändamål än vård. Se även vidare, avsnitt 18.2.8. Att finalitetsprincipen inte är tillämplig innebär att personuppgifter som behandlas för ändamål vården av en annan patient än den som uppgifterna avser, inte får behandlas för andra ändamål, även om uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. En jämförelse kan göras med personuppgifter i nationella och regionala kvalitetsregister. Personuppgifter i nationella och regionala kvalitetsregister får inte behandlas för några andra ändamål än de som anges i 7 kap. 4 och 5 §§ (7 kap. 6 § PDL). Detta innebär att finalitetsprincipen inte gäller vid behandling av personuppgifter i nationella och regionala kvalitetsregister. Med andra ord är det inte tillåtet att behandla dessa personuppgifter för andra ändamål även om de ändamålen inte är oförenliga med det ändamål för vilket personuppgifterna samlades in. Utredningen bedömer att det är tillåtet att begränsa finalitetsprincipens tillämplighet. Medlemsstaterna får införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i EU:s dataskyddsförordning när det gäller behandling som är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en arbetsuppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.2 i EU:s dataskyddsförordning). Den rättsliga grund för behandlingen som i dessa fall ska fastställas i den nationella rätten kan också innehålla särskilda bestämmelser för att anpassa tillämpningen av dataskyddsförordningen (artikel 6.3). I samband med anpassning av PDL till dataskyddsförordningens ikraftträdande gjordes en liknande bedömning i förhållande till att finalitetsprincipen inte gäller vid behandling av personuppgifter i nationella och regionala kvalitetsregister (se SOU 2017/66 s. 356–357 och s. 203–206 samt prop. 2017/18:171 s. 68–69).
446Nya regler om vidareanvändning av personuppgifter för vårdändamål
Konsekvensen av att finalitetsprincipen inte gäller blir exempelvis att uppgifter inte får lämnas ut från en precisionsmedicinsk databas för ändamålet forskning. Utredningen har övervägt att införa forskning som ett sekundärt ändamål (jämför vad som gäller för kvalitetsregister). Uppgifterna i en databas kommer dock vara sådana uppgifter som vårdgivare redan behandlar för ändamålet vårddokumentation (2 kap. 4 § första stycket 1–2 PDL). Utredningens uppfattning är att, om uppgifter begärs ut för forskning, ska uppgifterna lämnas ut direkt från den vårdgivare som uppgifterna ursprungligen kommer ifrån, och inte från den precisionsmedicinska databasen. Med andra ord får forskare som vill ha ut uppgifter vända sig direkt till vårdgivaren, och inte till den som har den precisionsmedicinska databasen. Det är utredningens uppfattning att det är vårdgivaren som har samlat in uppgifterna från början som är mest lämpad att göra sekretessprövningen som krävs i den situationen. Utredningens sammantagna bedömning är att finalitetsprincipen inte bör gälla för uppgifter som behandlas för ändamålet vården av en annan patient än den som uppgifterna avser. För att kringgående av begräsningen inte ska vara möjlig, bör den omfatta all behandling av personuppgifter som sker enligt det nya ändamålet.
14.4.4 Uppgiftsskyldighet som följer av lag eller förordning
Förslag: Personuppgifter som behandlas för ändamålet vården av en annan patient än den som uppgifterna avser, får också behandlas för fullgörande av någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § OSL.
Personuppgifterna får, enligt ett särskilt föreskrivet ändamål, lämnas ut för att fullgöra någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § OSL. Utredningen gör bedömningen att bestämmelsen behövs för att undanröja den konflikt som kan uppstå mellan föreslaget om ändamålsbegränsning, se avsnitt 14.4.1, och skyldigheter som kan finnas i andra lagar eller förordningar. Uppgiftsskyldighet som följer av lag eller förordning kan till exempel gälla skyldigheterna enligt offentlighetsprincipen i 2 kap. TF. I dessa
447Nya regler om vidareanvändning av personuppgifter för vårdändamål
fall har myndigheten som förvarar uppgifterna att göra en prövning av om uppgifterna omfattas av sekretess eller kan lämnas ut. Av 6 kap. 5 § OSL framgår att en myndighet på begäran av en annan myndighet ska lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. Skälen mot att tillåta utlämnande med stöd av 6 kap. 5 § OSL är att det är svårt att överblicka vilket uppgiftslämnande som en tillämpning av den bestämmelsen kan leda till.
14.4.5 Tillåten behandling av personuppgifter för ändamålet
vården av en annan patient än den som uppgifterna
avser ska preciseras
Förslag : Tillåten behandling av personuppgifter inom hälso- och sjukvården för ändamålet vården av en annan patient än den som uppgifterna avser samt villkoren för sådan behandling ska preciseras i lagstiftningen. Reglerna ska införas i kapitel 6 PDL. Rubriken till kapitel 6 PDL ska vara Vidareanvändning av patientdata för vårdändamål. Tillåten behandling av personuppgifter för ändamålet får endast avse följande: 1. Urval och tillgängliggörande av personuppgifter till precisionsmedicinsk databas. 2. Inrättande och förande av precisionsmedicinsk databas. 3. Tillgång till personuppgifter i precisionsmedicinsk databas för sökning. 4. Begäran om kompletterande personuppgifter från patientjournal.
Behandling av personuppgifter inom hälso- och sjukvården för ändamålet vården av en annan patient än den som uppgifterna är i sig brett. Ett sådant brett formulerat ändamål går inte att koppla till de behov som finns inom hälso- och sjukvården för denna typ av behandling av personuppgifter. Integritetsintrånget skulle enligt utredningens bedömning inte kunna motiveras. Ändamålet behöver preciseras till den behandlingen av personuppgifter som det finns behov av i olika delar och kopplas till olika skyddsåtgärder. En precisering
448Nya regler om vidareanvändning av personuppgifter för vårdändamål
i uttryckliga regler om tillåten behandling behövs enligt utredningens uppfattning för att den rättsliga grunden ska anses vara fastställd i nationell rätt på ett tillräckligt preciserat sätt, se avsnitt 14.3.
De fyra stegen utifrån den övergripande modellen
Utifrån de behov som utredningen har fått till sig har utredningen tagit fram den modell som översiktligt presenteras i avsnitt 13.4. Modellen innehåller fyra huvudsakliga delar: 1. Urval och tillgängliggörande av personuppgifter till precisionsmedicinsk databas (steg 1). 2. Inrättande och förande av precisionsmedicinsk databas (steg 2). 3. Tillgång till personuppgifter i precisionsmedicinsk databas (steg 3). 4. Begäran och tillgängliggörande kompletterande personuppgifter från patientjournal (steg 4).
Steg 1–4 ska förenas med villkor som är anpassade utifrån behoven av personuppgiftsbehandlingen och integritetsskydd i varje steg.
Steg 1 – Urval och tillgängliggörande av personuppgifter till precisionsmedicinsk databas
Utredningen föreslår regler som innebär att vårdgivare får göra urval av uppgifter som behövs för att skapa underlag för behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. Utredningens förslag i denna del finns i avsnitt 14.6.
Steg 2 – Inrättande och förande av precisionsmedicinsk databas
Utredningen föreslår regler som innebär att precisionsmedicinska databaser får inrättas och föras. Det är endast regionala myndigheter inom hälso- och sjukvården som får inrätta och föra precisionsmedicinska databaser, se avsnitt 14.7.2 och som får vara ansvariga för central behandling av personuppgifter i sådan databas, se avsnitt 14.5.2. Precisionsmedicinska databaser ska enligt utredningens förslag få inrättas och föras i varje samverkansregion enligt 3 kap. 1 § hälso- och
449Nya regler om vidareanvändning av personuppgifter för vårdändamål
sjukvårdsförordningen (2017:80), förkortad HSF. Utöver det ska en särskild precisionsmedicinsk databas få inrättas och föras inom Nationella Genomikplattformen, förkortad NGP. Utredningens förslag till regler avseende inrättande och förande av precisionsmedicinsk databas finns i avsnitt 14.7.
Steg 3 – Tillgång till personuppgifter i precisionsmedicinsk databas för sökning
Utredningen föreslår regler om tillgång till precisionsmedicinsk databas för sökning i databasen. Reglerna avser direktåtkomst eller annat elektroniskt utlämnade, villkor för tilldelning av behörighet samt en befogenhetsregel. Utredningens förslag avseende tillgång till precisionsmedicinsk databas finns i avsnitt 14.8.
Steg 4 – Begäran om kompletterande personuppgifter från patientjournal
Utredningen föreslår att det utöver sökning i precisionsmedicinsk databas ska vara tillåtet att begära kompletterande personuppgifter från patientjournal för vården av en annan patient än den som uppgifterna avser. Utredning lämnar förslag på regler avseende villkor för begäran om kompletterande personuppgifter. Utredningens förslag avseende begäran om kompletterande personuppgifter från patientjournal finns i avsnitt 14.9.
Avvägningen mellan specifika lösningar
och en enhetlig lagstiftning
Utredningen har i sitt arbete identifierat den motsättning som kan finnas mellan att skapa specifika lösningar och regler för ett visst ändamål och intresset av en enhetlig lagstiftning där liknande regler, begreppsanvändning med mera används i så stor utsträckning som möjligt. Utredning har övervägt i vilken utsträckning befintliga generella regler, strukturer och begrepp i PDL kan användas även för ändamålet vården av en annan patient än den som uppgifterna avser. Eftersom utredningens förslag omfattar personuppgiftsbehandling både
450Nya regler om vidareanvändning av personuppgifter för vårdändamål
inom och mellan myndigheter och vårdgivare, har utredningen i olika delar hämtat inspiration från både regler i PDL och SVOD. Utredningen har även jämfört med den lagtekniska strukturen och begreppsanvändningen som finns i 7 kap. PDL för regionala och nationella kvalitetsregister. Vissa regler i PDL kan också rakt av tillämpas även vid behandling av personuppgifter för det nya ändamålet.
Precisering av ändamålet i stället för utgångspunkt
i myndighetsgränser
Utredningen föreslår ett nytt angreppssätt i det att systematiken i det föreslagna 6 kap. PDL inte tar sin utgångspunkt i om vidareanvändningen sker inom eller mellan en myndighet och vårdgivare. Utredningens förslag till systematik tar i stället som utgångspunkt i modellen med steg 1–4. Vidareanvändning av personuppgifter kan i respektive steg ske antingen inom en myndighet eller mellan olika myndigheter. Preciseringen av tillåtna behandlingar syftar till att ange den yttersta ram inom vilken behandling av personuppgifter får ske för ändamålet vården av en annan patient än den som uppgifterna avser. Det är fråga om behandling av känsliga personuppgifter som är mycket integritetskänsliga. Utredningen konstaterar att ju mer integritetskänsliga uppgifter som behandlas är, desto högre grad av precision i ändamålsbestämning krävs. Utredningen gör bedömningen att ändamålet behöver var väl preciserat för att väga upp integritetsintrånget och för att det ska vara förutsebart för den enskilde vilken typ av behandling av personuppgifter som kan komma i fråga inom ramen för ändamålet. Det övergripande syftet med att dela upp ändamålet i olika steg är att få en så träffsäker och så välanpassad reglering som möjligt. Regleringen ska kunna tillåta den behandling av personuppgifter som möter behovet, samtidigt som integritetsintrånget ska vara proportionerligt. Det är genom att identifiera tillåtna behandlingar, anpassa behörighetskrav, tillåta den form av tillgängliggörande som behövs och kan motiveras i varje steg och samtidigt differentiera vad som är tillåtet för olika aktörer och typ av verksamhet inom hälso- och sjukvården, med mera som behov och integritetsintrång enligt utredningens mening kan balanseras. Traditionellt anses datadelning över myndighets- eller vårdgivargränser vara mer integritetskänsligt än inom en vårdgivare eller inom en myndighet. Sekretesslagstiftningen utgår från myndighets- eller
451Nya regler om vidareanvändning av personuppgifter för vårdändamål
verksamhetsgränser. Utredningen konstaterar dock att det i många fall kan vara minst lika integritetskänsligt att dela data inom en stor organisation som mellan två mindre. Utredningen anser att integritetsintrånget principiellt sett får anses lika stort om personuppgifter används för vården av en annan patient än den som uppgifterna avser inom exempelvis ett regionsjukhus (universitetssjukhus) som mellan två olika regionsjukhus (universitetssjukhus). Integritetsintrånget är framför allt förknippat med att personuppgifter över huvud taget används på det sättet och inte om det sker över organisationsgränser eller inte. Utredningens ingång i arbete med att skapa regler för vidareanvändning för vårdändamål har varit att datadelning ska kunna ske både inom och mellan vårdgivare och med en tydlig precisering av det tillåtna ändamålet. Utredningen bedömer att detta angreppssätt ligger i linje med vad regeringen har uttalat i Data – en underutnyttjad resurs för Sverige: en strategi för ökad tillgång till data för bland annat artificiell intelligens och digital innovation. I strategin anges bland annat att det finns anledning att utreda om regelverk och policy för datadelning kan göras mer ändamålsenlig utifrån ett växande behov av att utveckla individcentrerad service och vård samt för att kunna möta alltmer komplexa samhällsutmaningar. Det lyfts också att varken enskildas behov av vård och service eller samhällsutmaningar definieras 2 av organisationsgränser (s. 9). Den modell som utredningen föreslår innebär relativt sett detaljerade regler. Det framträder framför allt vid en jämförelse med hur PDL i övrigt är utformad. Utredningens förslag kan uppfattas som en ”särlösning” som adderar komplexitet till dagens redan komplicerade regelverk. Utredningen gör dock den övergripande bedömningen att regleringen av ändamålet vården av annan än den som personuppgifterna avser, för att möta de behov som finns och samtidigt utgöra ett proportionerligt intrång i den personliga integriteten, behöver vara utformad på ett specifikt sätt som inte fullt ut har någon motsvarighet i lagstiftningen som finns i dag. Utredningen har dock i största möjliga mån tagit inspiration från och använt systematik, formuleringar och begrepp som förekommer i befintlig reglering av personuppgiftsbehandling inom hälso- och sjukvården.
2 https://www.regeringen.se/contentassets/459769c805ce4c99861d29fad92bea64/data--enunderutnyttjad-resurs-for-sverige-en-strategi-for-okad-tillgang-av-data-for-bl.a.-artificiellintelligens-och-digital-innovation (hämtat 2023-06-12).
452Nya regler om vidareanvändning av personuppgifter för vårdändamål
Behovet av regler i ett eget kapitel i PDL
Utredningen har övervägt om reglerna kan bakas in, i vart fall i delar, i övriga PDL. Utredningens bedömning är dock att det inte är en ändamålsenlig lösning och föreslår därför att reglerna om behandling av personuppgifter för vården av annan än den som uppgifterna avser placeras i ett eget kapitel i PDL. Utredningens förslag är till en del likt regionala och nationella kvalitetsregister som regleras i ett eget kapitel i PDL. För att reglerna ska kunna ta utgångspunkt i utredningens förslag till övergripande modell och tillåtna behandlingar krävs utrymme för en anpassad systematik som inte kan uppnås på annat sätt än genom ett eget kapitel. Utredning anser också att det är enklare att ha alla regler för ändamålet samlade på ett ställe. I de fall utredningen gör bedömningen att allmänna regler i PDL är tillämpliga anges det i överväganden och författningskommentar. I de fall det är motiverat med en hänvisning föreslår utredningen en sådan. Sedan reglerna om sammanhållen journalföring flyttats till SVOD finns inga regler i 6 kap. PDL. Utredningen anser att de föreslagna reglerna om personuppgiftsbehandling för ändamålet vården av en annan patient än den som uppgifterna avser lämpligen kan placeras i 6 kap. PDL. Kapitlet föreslås få rubriken Vidareanvändning av patientdata för vårdändamål. Utredningen konstaterar att begreppet patientdata saknar en definition i PDL men att utredningen av lagtekniska skäl behöver ta hänsyn till befintliga namn på författningar, se vidare resonemang i 2.6.3. Det blir utifrån detta logiskt att även rubriken till kapitel 6 PDL följer samma begreppsvändning.
453Nya regler om vidareanvändning av personuppgifter för vårdändamål
14.4.6 Skyldighet att dokumentera att vidareanvändning
har skett
Bedömning : Den dokumentationsskyldighet som följer av 3 kap. 11 § PDL gäller vid utlämnande till en precisionsmedicinsk databas samt vid utlämnande till följd av en begäran om kompletterande uppgifter från patientjournal.
Om en avskrift eller kopia av en journalhandling har lämnats ut till någon, ska det dokumenteras i patientjournalen vem som fått den enligt 3 kap. 11 § PDL. Enligt samma bestämmelse klargörs att denna skyldighet inte gäller vid direktåtkomst. I steg 1, urval och tillgängliggörande till en precisionsmedicinsk databas, samt i steg 4, begäran om kompletterande personuppgifter från patientjournal, kan tillgängliggörandet från den personuppgiftsansvariga vårdgivaren gå till på sådant sätt att det är att ses som ett utlämnande. Bestämmelsen i 3 kap. 11 § PDL infördes för att motsvara den skyldighet som fanns i 7 § andra stycket patientjournallagen (1985:562) (se prop. 2007/08:126 s. 235). I förarbetena till bestämmelsen i patientjournallagen anförde regeringen att kravet på dokumentering av när ett utlämnande sker och till vem, följde av den utökade möjlighet till förstöring av journalhandlingar till handlingar som även förvarades utanför hälso- och sjukvården och att det därför behövdes en sådan dokumentationsskyldighet för att kunna öka spårbarheten (prop. 1984/85:189 s.43–44). Utredningen har ansett det är av stor vikt för den personliga integriteten och för proportionaliteten i de föreslagna åtgärderna att en patient ska kunna motsätta sig tillgängliggörande till en precisionsmedicinsk databas (se avsnitt 14.10). Om en patient inte motsatt sig kan alltså relevanta uppgifter som finns om hen tillgängliggöras till en precisionsmedicinsk databas (se 14.6). I enlighet med artikel 13.1 e dataskyddsförordningen finns en skyldighet för vårdgivare att till en patient lämna information om vem som är mottagare av personuppgifterna. Artikel 13 gör ingen åtskillnad på om mottagare fått del av uppgifterna via en uppgiftsskyldighet eller via den personuppgiftsansvariges fria val (jämför 8 kap. 6 § 1 PDL). För att det skydd som ges en enskild, genom möjligheten att motsätta sig tillgängliggörande, ska få fullt genomslag bör utlämnanden
454Nya regler om vidareanvändning av personuppgifter för vårdändamål
till en precisionsmedicinsk databas samt vid utlämnande till följd av en begäran om kompletterande uppgifter från patientjournal, dokumenteras i enlighet med 3 kap. 11 § PDL. Likaså bör det vara en förutsättning att 3 kap. 11 § PDL tillämpas i dessa situationer, för att den regionala myndigheten som bedriver hälso- och sjukvård ska kunna uppfylla sina skyldigheter enligt dataskyddsförordningen.
14.4.7 Information enligt 8 kap. 5 § patientdatalagen
Förslag: En regional myndighet inom hälso- och sjukvården ska vara undantagen från skyldigheten att på begäran av patient lämna information om den elektroniska åtkomst som förekommit i anledning av förande av en precisionsmedicinsk databas eller behandling av kompletterande personuppgifter från patientjournal. En regional myndighet inom hälso- och sjukvården ska vara undantagen från skyldigheten att på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst som förekommit i anledning av tillgång till en precisionsmedicinsk databas.
Bedömning : Skyldighet att lämna information enligt 8 kap. 5 § PDL gäller för vårdgivares tillgängliggörande av personuppgifter till en precisionsmedicinsk databas samt tillgängliggörande av kompletterande personuppgifter från patientjournal.
Enligt 8 kap. 5 § PDL ska en vårdgivare på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst till uppgifter om patienten som förekommit. Av förarbetena till bestämmelsen framgår att kravet innebär att det exempelvis tydligt bör framgå när och från vilken enhet inom hälso- och sjukvården åtkomst har skett (prop. 2007/08:126 s. 265). I 4 kap. 10 § i Socialstyrelsens föreskrifter och allmänna råd (HSLF- FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården, förkortad HSLF-FS 2016:40, konkretiseras den information som ska lämnas enligt 8 kap. 5 § PDL. Föreskriften anger att det av informationen ska framgå från vilken vårdenhet samt vid vilken tidpunkt någon har tagit del av uppgifterna. Informationen
455Nya regler om vidareanvändning av personuppgifter för vårdändamål
ska vara utformad så att patienten kan bedöma om åtkomsten har varit befogad eller inte. Utredningen har funnit anledning att analysera på vilket sätt skyldigheten att lämna information i 8 kap. 5 § PDL kan bli tillämplig kopplat till utredningens förslag om tillåten behandling för ändamålet vården av en annan patient än den som uppgifterna avser och överväga om det behövs undantag från bestämmelsen. Utredningens bedömning i dessa frågor följer nedan.
Informationsskyldighetens tillämplighet
Utredningen gör bedömningen att skyldigheten att lämna information blir tillämplig på den elektroniska åtkomst som kan förekomma i anledning av urval och tillgängliggörande till en precisionsmedicinsk databas (steg 1), se avsnitt 14.6. Skyldigheten att lämna information kan också bli tillämplig vid elektronisk åtkomst till uppgifter i precisionsmedicinsk databas som sker inom den regionala myndighet som för databasen (steg 2), se avsnitt 14.7.4 och 14.7.5. Vidare kan skyldighet att informera om direktåtkomst och elektronisk åtkomst aktualiseras med koppling till tillgång till precisionsmedicinsk databas genom direktåtkomst eller annat elektroniskt utlämnande (steg 3), se avsnitt 14.8. Slutligen kan skyldigheten att lämna information uppkomma avseende den elektroniska åtkomst som kan förekomma i anledning av en begäran om kompletterande personuppgifter från patientjournal, se avsnitt 14.9.5. Vårdgivare som tillgängliggör personuppgifter till en precisionsmedicinsk databas, respektive kompletterande personuppgifter från patientjournal, har enligt utredningens bedömning möjlighet att uppfylla den skyldighet att informera patienten som följer av 8 kap. 5 § PDL. Vårdgivare har tillgång till information om vilka patienter som tillgängliggörande har gjort för och kan svara på en sådan begäran som kan framställas enligt bestämmelsen. Utredning gör dock bedömningen att regionala myndigheter inom hälso- och sjukvården, utifrån hur utredningens förslag är utformade, inte har möjlighet att svara på en begäran enligt 8 kap. 5 § PDL med avseende på den direktåtkomst eller elektronisk åtkomst som förekommit inom myndigheten kopplat till behandling av personuppgifter
456Nya regler om vidareanvändning av personuppgifter för vårdändamål
enligt ändamålet. Utredningen ser både behov och skäl för ett undantag, vilket utvecklas i det följande.
Behov av undantag från skyldigheten att lämna information
En regional myndighet inom hälso- och sjukvården som för en precisionsmedicinsk databas har endast tillgång till pseudonymiserade uppgifter om de patienter som finns i databasen. Detsamma gäller för de regionala myndighet inom hälso- och sjukvården som har tillgång till databasen genom direktåtkomst eller annat elektronisk utlämnande och samma myndigheter när detta tar emot kompletterande personuppgifter från patientjournal. Dessa myndigheter är också ”vårdgivare” i den mening som avses i 8 kap. 5 § PDL (se 1 kap. 3 § PDL). Utifrån att dessa vårdgivare endast har tillgång till pseudonymiserade uppgifter i ovan angivna situationer är det inte praktiskt möjligt att på begära av en patient lämna den information som följer av 8 kap. 5 § PDL. Det finns inte heller någon direktåtkomst för dessa vårdgivare till tillgängliggörande vårdgivares journalsystem varför någon identifiering av patienten kan ske den vägen. Utformningen av utrednings förslag och de integritetsskyddand åtgärder som föreslås, medför alltså att skyldigheten att lämna information i 8 kap. 5 PDL med koppling till ändamålet vården av en annan patient än den som uppgifterna avser i viss utsträckning inte kan uppfyllas. Utredningen föreslår därför ett undantag. Utredningen anser att det går att motivera ur integritetshänseende och gör följande analys i detta avseende. De precisionsmedicinska databaserna kommer inte vara kopplade till de tillgängliggörande vårdgivarnas system utan utgöra avgränsade uppgiftssamlingar. En sätt för tillgängliggörande vårdgivare även kunna ge information om den åtkomst som skett till tillgängliggjorda uppgifter till databasen, hade varit att databasen var kopplad direkt till vårdgivarnas journalsystem så att vårdgivaren som tillgängliggjort skulle kunna se de sökningar som sker. I enlighet med de överväganden som utredningen gjort i avsnitt 14.6.2, där det konstateras att det skulle vara ett oskäligt stort integritetsintrång att ha en stående koppling till en precisionsmedicinsk databas, kommer tillgängliggörande till en precisionsmedicinsk databas ske vid bestämda tillfällen. Utredningen anser att detta är en viktig ordning ur integritets-
457Nya regler om vidareanvändning av personuppgifter för vårdändamål
synpunkt. En annan ordning kan inte motiveras av att det ska vara möjligt att den information som följer av 8 kap. 5 § PDL. Ett ytterligare skäl är att personuppgifterna som tillgängliggörs till en precisionsmedicinsk databas ska vara pseudonymiserade, vilket innebär att ett utfall efter en sökning inte kan kopplas till en specifik person utan att vissa tillkommande uppgifter adderas. Detsamma gäller för kompletterande personuppgifter från patientjournal. Ett sådant merarbete skulle innebära en betungande administrativ arbetsbörda för vårdgivarna utan att den kan anses ge ett stort värde för den enskilde patientens integritet eller för dennes möjligheter att utöva sitt inflytande över behandlingen. Utredningen lämnar förslag om att patienter ska kunna motsätta sig tillgängliggörande till en precisionsmedicinsk databas samt att viss specifik information ska lämnas till patienten, se avsnitt 14.10. Utredningen anser att dessa förslag också kompenserar för det undantag som utredning föreslår med avseende på information enligt 8 kap. 5 § PDL. Utredningen anser att det framför allt är information kopplat till tillgängliggörande av personuppgifter till en precisionsmedicinsk databas som ur ett integritetsperspektiv är viktigast. Med tanke på att patienten ges möjlighet att motsätta sig att personuppgifter om hen görs tillgängliga till en precisionsmedicinsk databas och att ett tillgängliggörande av personuppgifter till en precisionsmedicinsk databas inte får ske förrän den patienten fått möjlighet att ta ställning till om hen vill motsätta sig ett tillgängliggörande eller inte kan det därför anses särskilt viktigt för den enskilde att kunna kontrollera den behandling som sker i samband med ett tillgängliggörande till en precisionsmedicinsk databas. Utredningen konstaterar även att skyldigheten att lämna information som följer av artiklarna 13 och 14 i dataskyddsförordningen gäller, se 8 kap. 6 § PDL. Sammanfattningsvis är utredningen av uppfattningen att den skyldighet som följer av 8 kap. 5 § PDL inte ska gälla för direktåtkomst eller elektronisk åtkomst i anledning av att regionala myndigheter för precisionsmedicinsk databas, har tillgång till en sådan databas genom direktåtkomst eller annat elektroniskt utlämnande, eller behandlar kompletterande personuppgifter från patientjournal.
458Nya regler om vidareanvändning av personuppgifter för vårdändamål
14.4.8 Undantag från ändamålet
Förslag : Verksamhet enligt tandvårdslagen (1985:125) och lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar ska undantas.
Hälso- och sjukvård – verksamheter enligt olika lagar
I PDL definieras hälso- och sjukvård enligt en uppräkning av ett antal lagar (se 1 kap. 3 § PDL). Enligt definitionen omfattar lagen verksamhet som avses i • hälso- och sjukvårdslagen (2017:30), • tandvårdslagen (1985:125), förkortad tandvårdslagen, • lagen (1991:1128) om psykiatrisk tvångsvård, förkortad LPT, • lagen (1991:1129) om rättspsykiatrisk vård, förkortad LRV, • smittskyddslagen (2004:168), • lagen (1972:119) om fastställande av könstillhörighet i vissa fall, • lagen (2006:351) om genetisk integritet m.m., • lagen (2018:744) om försäkringsmedicinska utredningar, • lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter, • lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar och • den upphävda lagen (1944:133) om kastrering, förkortad kastreringslagen. Utredningen föreslår ett nytt ändamål för behandling av personuppgifter inom hälso- och sjukvården. Utredningen anser att utgångspunkten bör vara att den definition som finns i PDL av hälso- och sjukvård ska gälla även för det nya ändamålet. Utgångspunkten är alltså att verksamhet enligt de lagar som räknas upp i PDL:s definition av hälso- och sjukvård ska omfattas av möjligheten att behandla personuppgifter för det nya ändamålet. Utredningen anser vidare att om
459Nya regler om vidareanvändning av personuppgifter för vårdändamål
ett undantag avseende viss verksamhet ska ske, behöver det omfatta samtliga tillåtna behandlingar för det nya ändamålet som utredningen föreslår. Det skulle enligt utredningens mening medföra en för hög grad av komplexitet i lagstiftningen om undantag avseende viss verksamhet endast gjorde för vissa av de tillåtna behandlingarna, se avsnitt 14.4.5. Begräsningar i möjligheterna att använda det nya ändamålet sker i stället på andra sätt, till exempel genom att det endast är tillåtet att tillgängliggöra det uppgifter som behövs för ändamålet, begränsning av vilka aktörer som får tillgång till att söka i en precisionsmedicinsk databas och regler om behörighetstilldelning. Frågan är om finns anledning att generellt undanta någon eller några av dessa verksamheter hos vårdgivare från möjligheten till behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. Utredningen har identifierat två möjliga anledningar till att generellt undanta viss verksamhet. Den ena är att viss verksamhet inte har behov av att behandla personuppgifter för det nya ändamålet. Den andra är att det inte skulle vara etiskt försvarbart att verksamheten omfattas av det nya ändamålet. I bedömningen av om ett generellt undantag ska införas behöver också intresset av enhetlighet i lagstiftningen och att undantag inte bör skapa tillämpningssvårigheter.
Undantag på grund av att behov saknas
I utredningens arbete har frågan ett generellt undantag på grund av att behov saknas aktualiserats i förhållande till tandvården. I de kontakter som utredningen har haft med företrädare för tandvården har inte framkommit något behov av vidareanvändning för vårdändamålet på det sätt som aktörer som lyder under HSL har lyft. Utredningen uppfattar att arbetssättet inom tandvården inte omfattar ett precisionsmedicinskt angreppssätt. Detta talar enligt utredningens mening för att helt undanta verksamhet enligt tandvårdslagen från möjligheterna att behandla personuppgifter för ändamålet vården av en annan patient än den som uppgifterna avser. Den tandvård som bedrivs av regioner, folktandvården, är organisatoriskt skild från hälso- och sjukvård enligt HSL. I fem regioner bedrivs den regionala tandvården i bolagsform 3 . Utredningen gör där-
3 https://www.tlv.se/tandvard/tandvardsmarknaden.html (hämtat 2023-09-11).
460Nya regler om vidareanvändning av personuppgifter för vårdändamål
med bedömningen att ett undantag för tandvårdslagen inte borde riskera att skapa tvärsnitt inom organisatoriska enheter som kan medföra tillämpningssvårigheter om verksamhet enligt tandvårdslagen inte omfattas. PDL omfattar verksamhet enligt lagen (2021:363) om estetiska och kirurgiska ingrepp och estetiska injektionsbehandlingar. Syftet med denna lag är att stärka skyddet för den enskildes liv och hälsa vid estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar (1 §). Från den lagens tillämpningsområde undantas kirurgiska ingrepp och injektionsbehandlingar om de bland annat utgör hälso- och sjukvård enligt HSL. Verksamhet enligt denna lag utgör inte en integrerad del av hälso- och sjukvården. De behov av vidareanvändning för vården av en annan patient än den som personuppgifterna avser har inte heller någon koppling till denna typ av verksamhet. Utifrån detta bedömer utredningen att verksamhet enligt lagen (2021:363) om estetiska och kirurgiska ingrepp och estetiska injektionsbehandlingar kan undantas. Det kan enligt utredningens mening framstå som obehövligt att ta med kastreringslagen. Ingen verksamhet bedrivs längre enligt den lagen och utredningen kan inte se att den typen av personuppgifter som kan bli aktuell för vidareanvändning för vården av en annan patient avser information som finns lagrad hos vårdgivare utifrån verksamhet som har bedrivits enligt den upphävda lagen. Utredningen konstaterar dock att lagen finns med i definitionen av hälso- och sjukvård i SVOD (1 kap. 1 § SVOD). Anledningen till detta är att regeringen bedömde att sammanhållen vård- och omsorgsdokumentation kan innebära hantering av personuppgifter i verksamhet som avses i kastreringslagen (prop. 2021/22:177, s. 57). Utredningen kan inte se att motsvarande behov finns för vidareanvändning av personuppgifter för vården av en annan patient än den som uppgifterna avser. I utredningens förslag till ny lag om vidareanvändning av personuppgifter för klinisk forskning behöver enligt utredningens mening definitionen av hälso- och sjukvård omfatta även kastreringslagen. Enhetlighetsskäl talar för att den inte ska undantas från ändamålet vården av annan patient än den som uppgifterna avser. Utredningen har inte identifierat att det skulle medföra något ytterligare integritetsintrång om lagen skulle omfattas av det nya ändamålet. Utredningen anser mot denna bakgrund att kastreringslagen inte bör undantas.
461Nya regler om vidareanvändning av personuppgifter för vårdändamål
Utredningen har även övervägt om undantag bör göras för verksamhet enligt lag (2018:744) om försäkringsmedicinska utredningar. Med en försäkringsmedicinsk utredning avses en medicinsk undersökning som syftar till ett utlåtande som kan ligga till grund när Försäkringskassan ska ta ställning till en försäkrads rätt till ersättning eller andra förmåner enligt socialförsäkringsbalken (se prop. 2017/ 18:224 s. 16). Utredningen gör bedömningen att personuppgifter som behandlas i verksamhet enligt lagen sannolikt inte är relevanta att behandla för ändamålet vården av en annan patient än den som uppgifterna avser. Utredningen kan dock inte utesluta att så är fallet och att ett undantag för verksamhet enligt lagen kan medföra tillämpningsproblem. Utredningen föreslår därför inte ett undantag för verksamhet enligt lag (2018:744) om försäkringsmedicinska utredningar.
Undantag på grund av etiska aspekter
Särskilda etiska aspekter avseende vidareanvändning av personuppgifter aktualiseras för patienter som vårdas mot sin vilja enligt LPT och LRV. En principiell aspekt som aktualiseras för LPT och LRV är att vård kan ges utan samtycke från den enskilda individen. Särskilda tvångsåtgärder kan också utföras mot individen som vårdas. Personuppgifter i sådan verksamhet kan därmed uppkomma inom ramen för situationer som den enskilde inte själv samtyckt att delta eller medverka i. Att tillgängliggöra personuppgifter som tillkommit under sådana förhållanden för nya ändamål bör enligt utredningens mening övervägas särskilt. Utredningen har i kontakt med företrädare för hälso- och sjukvården fått beskrivningar och exempel av vilken typ av uppgifter som typiskt sett skulle behöva tillgängliggöras för det nya ändamålet, se vidare avsnitt 14.6. Utredningen gör bedömningen att den typ av uppgifter som typiskt sett behöver tillgängliggöras för vården av en annan patient än den som uppgifterna avser inte är sådana uppgifter som genereras i någon särskild omfattning till följd av vård enligt LPT och LRV. Det är inte heller inom den psykiatriska tvångvården som utredningen har fått till sig de största behoven av tillgång till personuppgifter om andra patienter. Däremot konstaterar utredningen att patienter som vårdas enligt LPT eller LRV också kan vårdas för somatiska sjukdomar, exempelvis
462Nya regler om vidareanvändning av personuppgifter för vårdändamål
cancer, enligt HSL. Inom ramen för patientens somatiska vård kan det finnas anledning att både tillgängliggöra och behandla personuppgifter för det nya ändamålet. Att uppnå detta, samtidigt som ett undantag finns för verksamhet enligt LPT eller LRV från ändamålet skulle möjligen vara teoretiskt möjligt, men riskerar enligt utredningens mening att skapa tillämpningssvårigheter. Det är förvisso så att vårdgivare behöver ha klart för sig enligt vilken lagstiftning själva vården ges. Det gäller dock inte personuppgiftsbehandling på så sätt att en skiljelinje behöver dras mellan personuppgifter som uppkommer i den ena eller andra typen av vård. Att i detta avseende göra skillnad på, å ena sidan, vård enligt HSL, och å andra sidan vård enligt LPT eller LRV skulle medföra en ny typ av gränsdragning inom vårdgivares verksamhet. Utredningen anser inte att det är lämpligt. Det finns enligt utredningens mening inte heller anledning att göra skillnad på denna situation jämfört om patienten bara hade vårdats under HSL. De utmaningar som finns kopplat till att personer som vårdas enligt LPT eller LRV kan ha svårigheter att ta ställning berörs i avsnitt 14.10.7.
Sammanfattande överväganden
Som anförts ovan, anser utredningen att utgångspunkten bör vara att verksamhet enligt befintlig definition av hälso- och sjukvård i PDL ska gälla även för behandling av personuppgifter enligt det nya ändamålet. Generellt bör enhetlighet i lagstiftningen eftersträvas. Det finns dock även ett intresse av att lagstiftningen är anpassad till det som den är avsedd för. Finns inte behov av att behandla personuppgifter på ett visst sätt inom en viss verksamhet talar det för att verksamheten helt ska undantas. Utredningen anser att verksamhet enligt tandvårdslagen och lagen (2021: 363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar av skäl som angetts ovan bör undantas. Detta ligger även i linje med utredningens förslag avseende verksamhet som omfattas av den föreslagna lagen om vidareanvändning av personuppgifter för klinisk forskning, se avsnitt 16.4.3. Utredningen anser inte att någon ytterligare verksamhet bör undantas. De etiska aspekter som finns avseende behandling av personuppgifter för det nya ändamålet kopplat till tvångsvård enligt LPT och LRV omhändertas enligt utredningens bedömning bättre genom andra regler
463Nya regler om vidareanvändning av personuppgifter för vårdändamål
än genom att helt undanta verksamheten från tillämpningsområdet. Utredningen anser att värdet av att tillåta behandling av personuppgifter för det nya ändamålet väger tyngre än att inte göra det. Utredningen konstaterar samtidigt att detta är svåra frågor där det finns utmaningar i att hitta tillfredställande lösningar, se vidare avsnitt 14.10.7.
14.4.9 Inre sekretess
Förslag: Vid behandling av personuppgifter som behövs för ändamålet vården av en annan patient än den som uppgifterna avser, gäller särskilda bestämmelser om inre sekretess i stället för vad som anges i 4 kap. 1 § PDL.
Utredningen gör bedömningen att den inre sekretessen som följer av 4 kap. 1 § PDL inte ger stöd för att den som arbetar inom hälsooch sjukvården kan ta del av personuppgifter i vården av en annan patient än den som uppgifterna avser. Bedömningen att 4 kap. 1 § PDL inte är tillämplig redogörs för i avsnitt 13.9. I stället för bestämmelsen om inre sekretess i 4 kap. 1 § föreslår utredningen särskilda bestämmelser om befogenhet som behövs för när vårdpersonal tar del av personuppgifter i en precisionsmedicinsk databas. Utredningens överväganden om dessa bestämmelser återfinns i 14.6.6, 14.7.5, 14.8.5 och 14.9.5. Utredningen anser att detta av tydlighetsskäl bör framgå av lagtexten.
14.5 Personuppgiftsansvar
Förslag: Endast en regional myndighet inom hälso- och sjukvården får vara personuppgiftsansvarig för central behandling av personuppgifter i en precisionsmedicinsk databas.
Bedömning : För övrig behandling av personuppgifter för ändamålet vården av en annan patient än den som uppgifterna avser gäller allmänna regler om personuppgiftsansvar i 2 kap. 6 § PDL.
464Nya regler om vidareanvändning av personuppgifter för vårdändamål
14.5.1 Allmänt om personuppgiftsansvar
Personuppgiftsansvarig är, enligt definitionen i artikel 4 i EU:s dataskyddsförordning, en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Definitionen av begreppet personuppgiftsansvarig och vad ansvaret innebär berörs närmare i kapitel 7 (Dataskydd). Den personuppgiftsansvarige ska bland annat genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter sker i enlighet med dataskyddsförordningen. Av definitionen i artikel 4 i EU:s dataskyddsförordning framgår att om ändamålen och medlen för behandlingen bestäms av EU-rätten eller medlemsstaternas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i EUrätten eller i medlemsstaternas nationella rätt. Det är alltså tillåtet enligt dataskyddsförordningen att i nationell lagstiftning ange vem som är personuppgiftsansvarig för en viss behandling av personuppgifter (se artikel 6.2 och 6.3 samt skäl 45 i dataskyddsförordningen). Ett exempel där personuppgiftsansvaret särskilt pekas ut i lag är PDL. I 2 kap. 6 § PDL finns en generell bestämmelse om vårdgivares personuppgiftsansvar. Enligt bestämmelsen är en vårdgivare personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I en region eller en kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Ett annat exempel i PDL där personuppgiftsansvar regleras är 7 kap. 7 § PDL. Enligt bestämmelsen, som handlar om personuppgiftsansvar för nationellt eller regionalt kvalitetsregister, anges att endast myndigheter inom hälso- och sjukvården får vara personuppgiftsansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister. Vidare får regeringen eller den myndighet som regeringen bestämmer besluta om undantag från det nyss sagda. I övrigt hänvisar bestämmelsen till PDL:s generella bestämmelse om vårdgivares personuppgiftsansvar i 2 kap. 6 §. I SVOD regleras personuppgiftsansvaret i 4 kap. 1 §. Bestämmelsen anger att en vårdgivare eller en omsorgsgivare är personuppgiftsansvarig för behandling av personuppgifter enligt lagen. I en region eller i en kommun är varje myndighet som bedriver hälso- och sjukvård
465Nya regler om vidareanvändning av personuppgifter för vårdändamål
personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Vidare anges att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vem som ska ha personuppgiftsansvar för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen vård- och omsorgsdokumentation. I förarbetena till PDL, där föregångaren till sammanhållen vård och omsorgsdokumentation – sammanhållen journalföring – reglerades innan SVOD, angavs att det vore olämpligt att i lagtexten peka ut personuppgiftsansvar eftersom vårdgivarna själva fick bestämma hur sammanhållen journal skulle utformas (prop. 2007/ 08:126 s. 134). Samma skäl ansågs kvarstå vid införandet av SVOD (prop. 2021/22:177 s. 133).
14.5.2 Personuppgiftsansvar för central behandling
i en precisionsmedicinsk databas
Inrättande och förande av precisionsmedicinsk databas kommer att bygga på samarbete mellan regionala myndigheter inom hälso- och sjukvården. I en precisionsmedicinsk databas kommer personuppgifter från flera vårdgivare att kunna samlas. I fråga om förande av precisionsmedicinsk databas uppkommer därför frågan om det finns anledning att föreslå någon särreglering av personuppgiftsansvaret, eller om den allmänna bestämmelsen i 2 kap. 6 § PDL ska gälla.
Bör personuppgiftsansvaret särregleras?
Ovan har konstaterats att det i 2 kap. 6 § PDL finns en generell bestämmelse om vårdgivares personuppgiftsansvar. Ett alternativ är att låta personuppgiftsansvaret för förande av precisionsmedicinskdatabas regleras av denna bestämmelse. Ett annat alternativ är att införa en särreglering för denna personuppgiftsbehandling. Utredningens bedömning är att det vore otydligt att låta personuppgiftsansvaret för förande av en precisionsmedicinsk databas regleras av 2 kap. 6 § PDL. Att i stället ha en särreglering skulle vara önskvärt från integritetssynpunkt, eftersom det då skapar en större tydlighet för de samarbetande regionala myndigheterna, för de vårdgivare som tillgängliggör uppgifter till databasen och för de registrerade. Det motverkar också att bedömningarna av hur personupp-
466Nya regler om vidareanvändning av personuppgifter för vårdändamål
giftsansvar för en precisionsmedicinsk databas riskerar att skilja sig mellan de olika samverkansregionerna, något som kan vara förvirrande för registrerade. Utredningen har därför gjort bedömningen att det skapas en bättre helhet och en tydligare tillämpning om möjligheten att i lagstiftning reglera personuppgiftsansvaret utnyttjas.
Hur bör en särreglering utformas?
Utredningen har övervägt hur en särreglering av personuppgiftsansvar kan se ut. Utredningen har jämfört med reglerna om personuppgiftsansvar för nationella och regionala kvalitetsregister i 7 kap. PDL. Enligt 7 kap. 7 § första stycket PDL får endast myndigheter inom hälso- och sjukvården vara personuppgiftsansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister. Denna regel är inte ett direkt utpekade av vem som ska vara personuppgiftsansvarig (se prop. 2007/08:126, s. 183). Däremot avgränsas vilken typ av aktör som kan vara ansvarig för central behandling av personuppgifter i ett kvalitetsregister. På motsvarande sätt föreslår utredningen att endast regionala myndigheter ska få inrätta och föra precisionsmedicinsk databas, se avsnitt 14.7. I en precisionsmedicinsk databas kommer personuppgifter från olika vårdgivare eller regionala myndigheter som bedriver hälsooch sjukvård kunna samlas. Förande av den precisionsmedicinska databasen kommer medföra en liknande form av central behandling av personuppgifter som den som finns för kvalitetsregister. Utredningen anser därför att en liknande reglering av personuppgiftsansvaret som gäller för nationella och regionala kvalitetsregister är lämplig, nämligen att endast en regional myndighet inom hälso- och sjukvården får vara personuppgiftsansvarig för central behandling av personuppgifter i en precisionsmedicinsk databas. En fråga som uppkommer är vilken detaljeringsgrad en regel om utpekat personuppgiftsansvarig kan och bör ha. Ett alternativ kan vara att direkt i lag peka ut vilken myndighet inom en samverkansregion som ska få vara personuppgiftsansvarig för en precisionsmedicinsk databas.
467Nya regler om vidareanvändning av personuppgifter för vårdändamål
I de lagregler som utredningen föreslår för inrättande och förande av precisionsmedicinsk databas, preciseras dock inte vilka regionala myndigheter som kommer att få inrätta och föra databas. Enligt utredningens förslag kommer det endast regleras att en regional myndighet inom hälso- och sjukvården per sådan samverkansregion för hälsooch sjukvård som anges i 3 kap. 1 § HSF får inrätta och föra precisionsmedicinsk databas, se avsnitt 14.7. Därtill föreslås att en regional myndighet inom hälso- och sjukvården som ingår i Genomic Medicine Sweden, förkortad GMS, få inrätta och föra precisionsmedicinsk databas inom NGP, se vidare 14.6.4 och 14.7.3. Enligt förslaget kommer det inte att fastställas vilken regional myndighet inom hälsooch sjukvården som inrättar de precisionsmedicinska databaserna. Som en följd av att det inte fastställs vilka regional myndighet inom hälso- och sjukvården som inrättar de precisionsmedicinska databaserna, är det inte möjligt att i lag ange vilken myndighet som kommer att vara ansvarig för central behandling av personuppgifter i en precisionsmedicinsk databas. Ett sådant utpekande skulle också enligt utredningens mening vara en för oflexibel lösning. Frågan om vilken regional myndighet som ska vara ansvarig för central behandling av personuppgifter i en precisionsmedicinsk databas kommer därmed följa den som inrättar och för databasen.
Gemensamt personuppgiftsansvar
Utredningen har också övervägt om personuppgiftsansvaret för behandling av personuppgifter i precisionsmedicinsk databas i lag bör pekas ut till ett gemensamt ansvar för de myndigheter i en samverkansregion som samarbetar kring en precisionsmedicinsk databas. I EU:s dataskyddsförordning finns en särskild bestämmelse som definierar vad som kännetecknar ett gemensamt personuppgiftsansvar (artikel 26). Avgörande är om de faktiska omständigheterna är sådana att det i praktiken är två eller fler personuppgiftsansvariga som gemensamt fastställer ändamålen med den aktuella personuppgiftsbehandlingen. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar genom ett inbördes arrangemang, om inte skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av.
468Nya regler om vidareanvändning av personuppgifter för vårdändamål
Enligt utredningens mening finns vissa omständigheter som talar för att det skulle kunna röra sig om ett gemensamt personuppgiftsansvar mellan de regionala myndigheter som samarbetar kring en viss precisionsmedicinsk databas. Främsta skälen för ett sådant synsätt skulle vara att de regionala myndigheterna behöver enas om hur behandlingen i en precisionsmedicinsk databas ska gå till och att de personuppgiftsbehandlingar som föranleds av att inrätta och föra en sådan databas skulle kunna anses så pass kopplade till varandra att de kan anses vara odelbara. 4 Förhållandena kring en precisionsmedicinsk databas går även att se på så sätt att de regionala myndigheterna som inrättar en databas gör det för det gemensamma syftet att kunna erbjuda de patienter som omfattas av respektive regions ansvar för att erbjuda hälso- och sjukvård (se 8 kap. 1 § HSL) tillgång till precisionsmedicinsk vård och att det gynnar samtliga av dem, även om den regionala myndighet som för databasen skulle ha ett större inflytande över hur databasen inrättas eller utformas. 5 Det finns även omständigheter som talar mot att det skulle kunna röra sig om ett gemensamt personuppgiftsansvar. I sammanhanget anser utredningen att det är av betydelse att de föreslagna ändringarna i PDL kommer att reglera ändamålet med en precisionsmedicinsk databas, liksom att flera villkor för hur den får föras kommer att följa av lag. Dessa omständigheter talar för att parternas utrymme att bestämma över behandlingen är beskuren. Detta anser utredningen medför att skälen för ett gemensamt personuppgiftsansvar i detta hänseende väger mindre. Utredningen anser också att det är fördelaktigt att det finns ett tydligt övergripande ansvar för central behandling i precisionsmedicinska databaser för att skapa en tydlighet gentemot registrerade. Personuppgiftsansvaret för en precisionsmedicinsk databas ska således inte i lagen bestämmas till ett gemensamt personuppgiftsansvar.
4 Se EDPB, Riktlinjer 07/2020 angående begreppen personuppgiftsansvarig och personuppgiftsbiträde i GDPR s. 19, p. 54–55. Jämför med engelskans ord inseperable eller inextricably linked. 5 Jämför EDPB, Riktlinjer 07/2020 angående begreppen personuppgiftsansvarig och personuppgiftsbiträde i GDPR s. 23, p. 63–65.
469Nya regler om vidareanvändning av personuppgifter för vårdändamål
Innebörden av personuppgiftsansvar för central
behandling i precisionsmedicinsk databas
Den personuppgiftsbehandling som följer av det centrala ansvaret är central organisering, lagring eller annan central behandling. Hit hör också till exempel ansvaret för säkerhetsfrågor och ansvaret för att felaktiga uppgifter i registret rättas ser vidare 14.7.4.
14.5.3 Personuppgiftsansvar i övrigt
Utredningen föreslår att personuppgiftsansvar för övrig tillåten behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser ska följa 2 kap. 6 § PDL. Av bestämmelsen följer att en vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I en region är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Detta innebär att den vårdgivare som gör urval och tillgängliggör uppgifter till en precisionsmedicinsk databas är personuppgiftsansvarig för den behandlingen. Likaså är den regionala myndighet som använder den precisionsmedicinska databasen i vården av patienter personuppgiftsansvarig för denna behandling. Skälen till att den allmänna regeln i 2 kap. 6 § PDL om personuppgiftsansvar ska gälla är att det är rimligt att vårdgivarna och de regionala myndigheterna själva bär ansvaret för den personuppgiftshantering som de själva utför i samband med urval och tillgängliggörande till en precisionsmedicinsk databas samt när de använder uppgifter i databasen i vården. Den personuppgiftshanteringen har den som är centralt ansvarig normalt inga möjligheter att närmare kontrollera.
14.5.4 Generella krav på informationssäkerhet
Bedömning: De krav på informationssäkerhet som ställs på personuppgiftsansvariga inom vården i HSLF-FS 2016:40 gäller för behandling av personuppgifter som sker enligt ändamålet vården av en annan patient än den som uppgifterna avser.
470Nya regler om vidareanvändning av personuppgifter för vårdändamål
Av dataskyddsförordningen följer allmänna krav på informationssäkerhet vid behandling av personuppgifter som görs inom hälso- och sjukvården (artikel 32–34 i dataskyddsförordningen). I HSLF-FS 2016:40, finns flera detaljerade bestämmelser som gäller i alla de verksamheter som omfattas av PDL:s tillämpningsområde (1 kap. 1 §). Bestämmelserna ställer bland annat krav på informationssäkerhetsarbetet, säkerhetskopior, hur hantering av personuppgifter ska hanteras i öppna nät och autentisering. De olika stegen med urval och tillgängliggörande (avsnitt 14.6), inrättande och förande av en precisionsmedicinsk databas (avsnitt 14.7), tillgång till personuppgifter i en precisionsmedicinsk databas (avsnitt 14.8), samt kompletterande personuppgifter från patientjournal faller alla inom föreskrifternas tillämpningsområde (avsnitt 14.9) (se 1 kap. 1 § HSLF-FS 2016:40). Vid det tillgängliggörande som sker i steg 1 (urval och tillgängliggörande till en precisionsmedicinsk databas) samt när en vårdgivare eventuellt ska tillgängliggöra kompletterande personuppgifter från patientjournal (steg 4), finns det inget krav på att dessa måste göras genom automatiserade system. Den personuppgiftsansvariga vårdgivaren kan välja hur den vill göra. För det fall det inte görs genom helt eller delvis automatiserade system kan det vara så att vissa av föreskrifternas bestämmelser om exempelvis behörighetsstyrning inte blir tillämpliga (se 1 kap. 2 § HSLF-FS 2016:40). Utredningen ser dock framför sig att då det i steg 1 kan komma att röra sig om ett stort antal personuppgifter, att det troligaste är att det i princip alltid kommer göras med hjälp av automatiserade system. Oavsett hur tillgängliggörandet sker kommer kraven på säkerhet i PDL och dataskyddsförordningen att gälla (1 kap. 4 § och artikel 2.1 dataskyddsförordningen).
471Nya regler om vidareanvändning av personuppgifter för vårdändamål
14.6 Urval och tillgängliggörande av personuppgifter
till precisionsmedicinsk databas
Förslag : Vårdgivare får behandla personuppgifter för urval och tillgängliggörande till en precisionsmedicinsk databas. Urval och tillgängliggörande får endast ske av uppgifter som behövs för att skapa underlag för vården av en annan patient än den som uppgifterna avser. Vårdgivare som omfattas av en samverkansregion får endast tillgängliggöra personuppgifter till den precisionsmedicinska databas som finns i vårdgivarens samverkansregion. Vårdgivare som inte omfattas av en samverkansregion, men som bedriver hälso- och sjukvård med en region som huvudman, får tillgängliggöra personuppgifter till den samverkansregionala databas som huvudmannen omfattas av. Vårdgivare som ingår i GMS får tillgängliggöra personuppgifter till den precisionsmedicinska databasen inom NGP.
Bedömning : Utredningen lämnar inget författningsförslag om vilken samverkansregional databas som övriga vårdgivare får tillgängliggörande uppgifter till. Av 5 kap. 6 § PDL följer att ett tillgängliggörande som innebär ett utlämnande får ske genom ett elektroniskt utlämnande. Tillgängliggörande ska inte få ske genom direktåtkomst.
Steg 1 i utredningen modell för behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser är urval och tillgängliggörande av personuppgifter till precisionsmedicinsk databas. I detta avsnitt finns utredningens överväganden kring steg 1.
14.6.1 Alla vårdgivare omfattas av möjligheten till urval
och tillgängliggörande till precisionsmedicinsk databas
Nedan beskrivs vilka typer av personuppgifter som typiskt sett behövs för syftet med en precisionsmedicinsk databas. Dessa typer av uppgifter kan uppkomma hos olika vårdgivare, på olika vårdnivåer et cetera. Utredningen föreställer sig att precisionsmedicinska databaser inte har någon specifik inriktning mot ett medicinskt fält, utan att de ska kunna innehålla relevanta personuppgifter för vården av en
472Nya regler om vidareanvändning av personuppgifter för vårdändamål
annan patient utifrån olika medicinska perspektiv. Särskilt de samverkansregionala databaserna ska kunna anta ett brett perspektiv. Utredningen anser att det inte bör spela någon roll var i sjukvårdssystemet som en relevant uppgift uppkommer. Det är behovet av uppgiften som ska styra om den får tillgängliggöras för det nya ändamålet eller inte. Alla vårdgivare bör därför ha rättsliga möjligheter att bidra med personuppgifter till en precisionsmedicinsk databas. Således ska urval och tillgängliggörande till precisionsmedicinsk databas kunna ske från alla vårdgivare. Det som är relevant att avgränsa är i stället vilka uppgifter som ska tillgängliggöras och skyddsåtgärder avseende detta. Utredningen konstaterar dock att det i praktiken är så att vissa typer av uppgifter som är relevanta för det nya ändamålet typiskt sett finns hos framför allt vissa vårdgivare. Ett sådant exempel är uppgift om genvariation, som framför allt genereras inom den regionalt bedrivna specialiserade vården. Det kan således i praktiken vara så att vissa vårdgivare har större volymer relevanta uppgifter än andra. Utifrån att reglerna är frivilliga, se avsnitt 13.5, är upp till de berörda aktörerna att bestämma vilka vårdgivare som i praktiken ska tillgängliggöra uppgifter till en precisionsmedicinsk databas. Det ska framhållas att utredningen lämnar förslag som på annat sätt begränsar användningsområdet för ändamålet, såsom begränsningar avseende tillgången till precisionsmedicinsk databas och möjligheten att motsätta sig att tillgängliggörande av personuppgifter sker. Detta är enligt utredningens mening ett lämpligare och mer träffsäkert sätt att reglera ändamålet.
Särskilt om begreppsanvändningen
Utredningens förslag innebär att begreppet vårdgivare används kopplat till urval och tillgängliggörande samt kompletterande personuppgifter från patientjournal, se avsnitt 14.9. Det är alltså vårdgivare som enligt utredningens förslag har möjlighet att tillgängliggöra personuppgifter för vården av en annan patient än den som uppgifterna avser. Vårdgivare har den betydelse som följer av definitionen 1 kap. 3 § PDL. Vårdgivare omfattar statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person
473Nya regler om vidareanvändning av personuppgifter för vårdändamål
eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare). I praktiken ser inte utredningen att det kommer vara aktuellt för statlig eller kommunal hälso- och sjukvård att tillgängliggöra personuppgifter till en precisionsmedicinsk databas. Utredningens förslag om inrättande och förande av precisionsmedicinsk databas bygger också på att detta är en angelägenhet inom den regionala hälso- och sjukvården. Utredningen föreslår inte heller att statliga eller kommunala vårdgivare omfattas av föreslaget till sekretessbrytande bestämmelse, se avsnitt 17.1. Att undanta statliga och kommunala aktörer från definitionen sav vårdgivare framstår dock inte som ändamålsenligt. Vårdgivarbegreppet är ett väl etablerat begrepp inom hälsooch sjukvården. Det kan skapa osäkerhet och otydlighet att införa ett nytt begrepp i PDL som endast omfattar vissa vårdgivare. Frågan om avgränsning av vårdgivarbegreppet har också uppkommit kopplat till utredningens förslag till ny lag om vidareanvändning av personuppgifter för klinisk forskning, se avsnitt 16.3.3. Utredningen har konsekvent valt att använda ett myndighetsbegrepp i situationer där inte alla vårdgivare enligt definitionen i PDL ska omfattas av en bestämmelse. Utredningen har dock i sitt arbete med utformningen av de regler som föreslås noterat att det svårligen går att hitta en begreppsanvändning som är träffsäker utifrån det utredningen avser att reglera samtidigt som det blir tydlighet och enhetligt. Utredningen har försökt hitta en så god balans mellan dessa hänsyn som möjligt. För det nya vårdändamålet använder utredningen även begreppet regional myndighet inom hälso- och sjukvården. Detta är ett snävare begrepp än vårdgivare. Det är endast en regional myndighet inom hälso- och sjukvården som får inrätta och föra precisionsmedicinsk databas och som får vara ansvarig för central behandling av personuppgifter i precisionsmedicinsk databas. Tillgång till precisionsmedicinsk databas genom direktåtkomst eller annat elektroniskt utlämnande får vidare endast ske till en regional myndighet inom hälso- och sjukvården. Nackdelen som är förknippad med att använda olika begrepp motiverar enligt utredningens bedömning inte att färre aktörer ges möjlighet att tillgängliggöra uppgifter för det nya ändamålet. Det finns även starka skäl för begränsningarna som kopplar till regional myndighet inom hälso- och sjukvården, se avsnitt 14.7.2 och 14.8.2. Användandet av olika begrepp blir därför en nödvändighet. Utred-
474Nya regler om vidareanvändning av personuppgifter för vårdändamål
ningen konstaterar samtidigt att det redan i dag finns både begreppen vårdgivare och regional myndighet i PDL.
14.6.2 Urval och tillgängliggörande
Urval och tillgängliggörande är tillåtet avseende personuppgifter som behandlas enligt 2 kap. 4 § första stycket 1–2 PDL, det vill säga av vårddokumentation. Avseende avgränsningen till 2 kap. 4 § första stycket 1–2 PDL, se avsnitt 14.4.2. Utifrån de behov som utredningen har fått till sig har utredningen gjort bedömningen att det är tillräckligt med en begränsad mängd personuppgifter att söka i. Av detta följer att inte alla personuppgifter som vårdgivare behandlar som vårddokumentation behövs för syftet med en precisionsmedicinsk databas. Det ska alltså ske ett urval av uppgifter som tillgängliggörs. Urvalet ska avse de personuppgifter som behövs för att skapa underlag för vården av en annan patient än den som uppgifterna avser. Bedömningen av vilka uppgifter som behövs ska göras utifrån medicinsk synvinkel, se avsnitt 14.6.3. Eftersom en precisionsmedicinsk databas kommer att innehålla känsliga personuppgifter är det särskilt viktigt att urval av personuppgifter som görs med största noggrannhet. Urval innebär att relevanta personuppgifter för ändamålet avgränsas på något sätt. Hur detta sker är inte något som utredningen anser kan eller bör regleras. Det bör vara upp till inblandade aktörer att välja det sätt som passar bäst i förhållande till den aktuella precisionsmedicinska databasen. Urval kan enligt utredningens uppfattning ske med både manuella åtgärder och automatiskt. Utredningens bedömning är det krävs samverkan mellan de regioner som tillhör en samverkansregion att komma överens om urval och upplägget i övrigt avseende tillgängliggörande till en precisionsmedicinsk databas. Formellt ansvarig för urvalet är dock den vårdgivare som är personuppgiftsansvarig för tillgängliggörandet, se om personuppgiftsansvar i avsnitt 14.5.3. Kravet på pseudonymisering ska tillämpas på de uppgifter som ingår i urvalet innan tillgängliggörande får ske, se vidare avsnitt 14.6.5.
475Nya regler om vidareanvändning av personuppgifter för vårdändamål
Tillgängliggörande kan ske både mellan och inom myndigheter
I avsnitt 14.4.5 har utredningen beskrivit att den tagit utgångspunkt i steg 1–4 avseende tillåtna behandlingar för ändamålet vården av en annan patient än den som uppgifterna avser. Detta innebär att reglerna inte utgår ifrån myndighetsgränser. Regleringen måste därför i varje steg ta höjd för att aktuell behandling av personuppgifter för ändamålet sker inom myndigheter, mellan myndigheter inom samma vårdgivare och även mellan olika vårdgivare ur både sekretessmässigt och dataskyddshänseende (se vidare avsnitt 14.3 och avsnitten 17.1–17.2). Begreppet tillgängliggörande omfattar samtliga nu nämnda situationer. Ett tillgängliggörande omfattar således när det är fråga om ett utlämnande över vårdgivar- eller myndighetsgräns. Ett tillgängliggörande omfattar även när personuppgifter inom den myndighet som för en precisionsmedicinsk databas ska tillföra databasen uppgifter som härrör från behandling enligt 2 kap. 4 § första stycket 1–2 PDL. I praktiken handlar det enligt utredningens uppfattning om att uppgifter kopieras och på något sätt tillförs den precisionsmedicinska databasen. Inom den myndighet som för databasen handlar det om att byta ändamål och rättslig grund för personuppgiftsbehandlingen, inte om ett utlämnande. Utredningen noterar att begreppet tillgängliggörande används i situationer som endast innefattar ett utlämnande (jämför 2 kap. SVOD). Utredningen anser dock att tillgängliggörande inte behöver vara likalydande med ett utlämnande. Att begreppet får omfatta båda situationerna medför en enklare begreppsanvändning, vilket är en fördel. Utredningen föreslår därför att begreppet tillgängliggörande används som begrepp för när personuppgifter tillförs en precisionsmedicinsk databas, oavsett om detta sker över en myndighetsgräns eller inte. När tillgängliggörandet är ett utlämnande, ska det få ske elektroniskt, se under rubriken ”Tillgängliggörande ska kunna ske i elektronisk form”. I dessa situationer uppkommer också frågor rörande sekretess. Utredningens förslag avseende sekretessbrytande grund kopplat till ändamålet vården av en annan patient än den som uppgifterna avser finns i avsnitt 17.1.
476Nya regler om vidareanvändning av personuppgifter för vårdändamål
Tillgängliggörande ska kunna ske i elektronisk form
Tillgängliggörande till precisionsmedicinsk databas ska kunna ske i elektronisk form. När tillgängliggörandet sker inom en myndighet finns inga särskilda regler som rör formen för hur personuppgifterna ska tillföras den precisionsmedicinska databasen. Det står myndigheten principiellt fritt att använda de tekniska lösningar den finner lämpligt, utifrån att relevanta krav på informationssäkerhet och dataskydd följs (se avsnitt 14.5.4). Det centrala utifrån utredningens förslag är att de tekniska lösningarna ska stödja kraven på urval av personuppgifter som följer av föreslagna bestämmelser. När tillgängliggörandet är ett utlämnande aktualiseras 5 kap. 6 § PDL. Av denna bestämmelse följer att om en personuppgift får lämnas ut, kan det ske på medium för automatiserad behandling. Utredningen redogör för bestämmelsens innebörd i avsnitt 7.5.6. Enligt förarbetena till PDL är direktåtkomst en viss form av elektroniskt utlämnande till en extern mottagare. Den som är ansvarig för informationen har inte kontroll över vilka uppgifter som en mottagare vid ett visst tillfälle tar del av (automatiserad tillgång) och mottagaren av informationen kan inte påverka innehållet i det informationssystem som informationen lämnas ut från (prop. 2007/08:126 s. 74). Den elektroniska formen omfattar i sig ett stort antal variationer, till exempel användning av e-post, lagring på cd-rom, direktöverföring från ett datorsystem till ett annat via telenätet eller att en mottagare ges elektronisk tillgång till det utlämnande organets datorsystem (prop. 2007/08:126 s. 73). Begreppet ”på medium för automatiserad behandling”, likväl som exemplen i förarbetena kan framstå som ålderdomliga. Begreppet i lagtexten tar dock endast sikte på den elektroniska formen för utlämnandet och exemplen i förarbetena är också just bara exempel. Varken formuleringen i lagtexten eller exemplen i förarbetena utesluter enligt utredningens uppfattning att när det talas om ”elektroniskt utlämnande”, att detta kan ske även med mer modern teknik. Avgörande från juridisk synvinkel är att den teknik som används inte medför att utlämnandet ses som en direktåtkomst. Detta eftersom det vid direktåtkomst finns vissa särskilda rättsliga frågor som måste lösas innan just den formen av tillgängliggörande används se vidare under rubriken ”Varför inte direktåtkomst”.
477Nya regler om vidareanvändning av personuppgifter för vårdändamål
Utredningens bedömning är att det följer av 5 kap. 6 § PDL att utlämnande kan ske genom ett annat utlämnande än direktåtkomst, förutsatt att sekretess inte hindrar det. Utredningens förslag avseende sekretessbrytande bestämmelse finns i avsnitt 17.1.
Varför tillgängliggörande till precisionsmedicinsk
databas inte ska få göras genom direktåtkomst
Det som enligt utredningens mening bör vara tillåtet är tillgängliggörande på annat elektroniskt sätt än genom direktåtkomst. Ovan har framgått att utlämnande kan ske redan följer av 5 kap. 6 § PDL. Utredningen konstaterar saknas en legaldefinition av begreppet direktåtkomst. Utredningen konstaterar att begreppet har berörts i många lagstiftningsarbeten och att det förekommer i ett stort antal författningar. I PDL och SVOD finns bestämmelser om direktåtkomst (se till exempel 5 kap. 4 §, 7 kap. 9 § PDL och 2 kap. 1 § SVOD). I propositionen till SVOD anges att med ”direktåtkomst” avses vanligtvis att någon har direkt tillgång till någon annans register eller databas och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i registret eller databasen. I begreppet ligger också att den som är personuppgiftsansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av (prop. 2021/22:177 s. 46). Förutom den viktiga juridiska skillnaden att det vid elektroniskt utlämnande måste göras en sekretessprövning vid varje enskilt utlämnandetillfälle brukar även informationen avse en avgränsad informationsmängd som är anpassad för ett specifikt utlämnande. Vid direktåtkomst sker generellt sett ingen avgränsning av information vid varje tillfälle som mottagaren tar del av uppgifter. Direktåtkomsten begränsas i stället av de villkor som är uppställda för den aktuella rätten att få åtkomst till uppgifter genom direktåtkomst. Exempelvis styrs direktåtkomsten enligt SVOD av de förutsättningar som måste föreligga enligt 2 kap. 1–2 §§SVOD. En ytterligare dimension av vad som brukar avses med direktåtkomst framgår av HFD 2015 ref. 61. Av avgörandet framgår att för att ett elektroniskt utlämnande ska anses utgöra direktåtkomst krävs det att den aktuella upptagningen anses förvarad hos mottagaren på det sätt som avses i 2 kap. 6 § första stycket TF, det vill säga att upptagningen är tillgänglig för mottagaren med tekniskt hjälpmedel
478Nya regler om vidareanvändning av personuppgifter för vårdändamål
som mottagaren själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt. I förarbetena till SVOD har det anförts att skillnaden mellan direktåtkomst och annat elektroniskt utlämnande i praktiken inte behöver vara särskilt stor (jämför HFD 2015 ref. 61 och prop. 2021/22:177 s. 78). Ett exempel på annat elektroniskt utlämnande är en elektronisk så kallad fråga-svar-funktion (prop. 2021/22:177 s. 78). En konsekvens av att information som är åtkomlig via direktåtkomst ses som en allmän handling hos den myndigheten som har rätt till direktåtkomst är att uppgifterna blir potentiellt tillgängliga på fler ställen. Ju fler myndigheter som har direktåtkomst till uppgifter hos någon annan myndighet, desto fler ställen kommer uppgifterna finnas på och kommer i den mån de inte omfattas av sekretess, då utgöra handlingar som allmänheten kan få ta del av. Sekretesskyddet, men även i viss mån integritetsskyddet i allmänhet, blir således beroende av vad för typ av sekretess uppgifterna kommer omfattas av hos den mottagande myndigheten, se vidare avsnitt 17.3. Ett förlorat sekretesskydd kan kompenseras med andra typer av sekretessbestämmelser som till exempel bestämmelser om överföring av sekretess. I 11 kap. 4 § OSL föreskrivs att om en myndighet hos en annan myndighet har elektronisk tillgång till en upptagning för automatiserad behandling och en uppgift i denna upptagning är sekretessreglerad, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Bestämmelsen motiveras av att en myndighet vid direktåtkomst regelmässigt får teknisk tillgång till fler uppgifter än de uppgifter som omfattas av myndighetens rätt att ta del av uppgifter (jämför prop. 2007/08:160 s. 73). Ur ett dataskyddsperspektiv har åtkomst i form av direktåtkomst ansetts utgöra en särskilt integritetskänslig åtkomstform (se till exempel prop. 2021/22:177 s. 78). Den ökade integritetskänsligheten kan anses bestå dels av att personuppgifter i elektronisk form lättare kan bearbetas, dels att den personuppgiftsansvarige inte har samma typ av kontroll över vilka personuppgifter den mottagande parten tar del av eller vid vilken tidpunkt (jämför prop. 2007/08:126 s. 73–76). Enligt utredningens uppfattning är det av största vikt att ett tillgängliggörande till precisionsmedicinsk databas är avgränsat och inte omfattar mer uppgifter än vad som behövs ur medicinsk synvinkel för syftet med databasen (se utförligare överväganden i avsnitt 14.6.3). Uppgifter utöver detta ska inte vara tillåtet att tillgängliggöra. Detta
479Nya regler om vidareanvändning av personuppgifter för vårdändamål
anser utredningen är viktigt ur integritetshänseende. Det beror på att det dels inte kan anses finnas ett behov av det, dels för att det rör sig om uppgifter som utgör känsliga personuppgifter enligt artikel 9 i dataskyddsförordningen. Att tillgängliggöra en mer omfattande mängd känsliga personuppgifter än vad som kan motiveras utifrån ändamålet med en precisionsmedicinsk databas kan inte anses förenligt med dataskyddsförordningens regler om vare sig uppgiftminimering eller kraven på proportionalitet. Eftersom databasen enligt utredningens mening inte ha ska ha ”stående tillgång” till alla personuppgifter som vårdgivare behandlar enligt 2 kap. 4 § första stycket 1–2 PDL, är direktåtkomst inte ett lämpligt sätt att tillgängliggöra uppgifter till en precisionsmedicinsk databas på. De tekniska lösningar som används för tillgängliggörandet behöver vara anpassade i förhållande till detta.
Förhållandet till uppgiftsutlämnande 6 kap. 5 § OSL
Enligt 6 kap. 5 § OSL ska en myndighet på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång. En fråga som bör belysas är om denna bestämmelse kan bli tillämplig på vårdgivares tillgängliggörande av personuppgifter till en precisionsmedicinsk databas. Om 6 kap. 5 § OSL är tillämplig skulle det innebära att möjligheten att behandla personuppgifter för tillgängliggörande till precisionsmedicinsk databas kan bli en skyldighet att lämna ut uppgifter. Utredningen gör följande överväganden i denna fråga. Syftet med en precisionsmedicinsk databas är att samla personuppgifter för vården av en annan patient än den som uppgifterna avser och göra de sökbara för användning i vården av en annan patient än den uppgifterna avser. En viktig del i detta är att tillhandahålla ett underlag så att det ska gå hitta relevanta uppgifter att göra sökningar på (se vidare avsnitt 13.2 och 13.4) Det är ofta inte känt för den myndighet som för den precisionsmedicinska databasen eller för de myndigheter som har tillgång till den vilka personuppgifter som finns hos vårdgivare som är av relevans för vården av en annan patient än den som uppgifterna avser. Kännedomen är i vart fall typiskt sett inte av sådan precision att en begäran enligt 6 kap. 5 § OSL kan formuleras.
480Nya regler om vidareanvändning av personuppgifter för vårdändamål
Utredningen gör mot denna bakgrund bedömningen att det sällan kommer bli möjligt för den regionala myndigheten inom hälso- och sjukvården som för en precisionsmedicinsk databas att kunna precisera en begäran om uppgiftslämnande enligt 6 kap. 5 § OSL. Utredningens bedömning är därmed att bestämmelsen i 6 kap. 5 § OSL inte medför att tillgängliggörande i steg 1 enligt utredningens förslag (se avsnitt 13.4 för redovisning av de olika stegen), bör medföra skyldigheter för myndigheter att tillgängliggöra uppgifter till en precisionsmedicinsk databas.
14.6.3 Vilka uppgifter ska omfattas?
I detta avsnitt kommer utredningen redogöra för bedömningar av personuppgifter som behövs för att skapa ett underlag och göras sökbara i en precisionsmedicinsk databas, samt resonemang kring hur dessa ska begränsas och preciseras
De personuppgifter som behövs för att skapa underlag
för ändamålet ska få tillgängliggöras
Urval och tillgängliggörande av personuppgifter ska enligt utredningens förslag vara begränsat till vad som behövs för att skapa underlag för vården av en annan patient än den som uppgifterna avser. Det ska inte vara tillåtet att tillgängliggöra hela patientjournaler eller stora delar av en patientjournal. I stället ska ett urval av relevanta typer av uppgifter för sökning i precisionsmedicinsk databas göras. Utredningen anser att utgångspunkten för vilka uppgifter som ska vara tillåtet att tillgängliggöra till en precisionsmedicins databas måste utgå ifrån behovet av uppgifter för vården av en annan patient än den som uppgifterna avser. Utredningen konstaterar att personuppgifter får behandlas inom hälso- och sjukvården för de ändamål som finns i 2 kap. 4 § första stycket PDL om det behövs. I 2 kap. 4 § anges att en vårdgivare får behandla endast sådana personuppgifter som behövs för de ändamål som anges i den paragrafen. I linje med detta anser utredningen att en lämplig och tillräcklig reglering av det nya ändamålet utgörs av ett behovskriterium i lagstiftningen. Utredningen redogör nedan för den typ av uppgifter, som utredningen i kontakt
481Nya regler om vidareanvändning av personuppgifter för vårdändamål
med företrädare för hälso- och sjukvården, har fått till sig behövs för ändamålet. Utredningen föreslår alltså ett behovskriterium. Utredningen har dock även prövat ett antal olika sätt att närmre precisera de uppgifter som får tillgängliggöras. Utredningen ser att en närmre precisering, om den är möjlig, skulle kunna skapa en ökad tydlighet i lagstiftningen. Utredningen har dock mött stora svårigheter i försöken att närmare precisera typen av uppgifter. Utredningen redogör nedan för de alternativ som utredningen har prövat och varför utredningen inte anser att dessa är en framkomlig väg.
Exempel på personuppgifter som behövs för sökning
I utredningens direktiv anges exempel på uppgiftstyper kopplat till vården av annan patient än den som uppgifterna avser. Där räknas kön, ålder, bakgrunden till att undersökningen utfördes, klinisk bedömning, andra bakomliggande hälsotillstånd hos patienten, klinik som utfört undersökning och tolkning av fynd upp. Utredningen har varit i kontakt med aktörer som arbetar med precisionsmedicin för att få kunskap om de uppgifter som professionen anser behövs för sökning i en precisionsmedicinsk databas. Exempel som framkommit i dessa kontakter är fenotypdata så som kön, ålder, diagnoser, men också andra datamängder så som genvariant, virustyp och data avseende sekvensering av virus. Det kan även vara typ och val av behandling och behandlingsutfall, då allt från biomarkörer, patientrapporterat utfall som komplikationer eller långtidseffekter av behandlingen. Även vissa radiologiska bilder är användbara för att jämföra patientfall och behandlingar vid liknande bildfynd. Utifrån detta gör utredningen bedömningen att den uppräkning som görs i direktiven snarare utgör exempel på typ av personuppgifter som totalt sett kan vara relevant att ta del av i vården av ett enskilt fall, inte endast det som behövs för sökning i en precisionsmedicinsk databas. Utredningens bedömning är därför att personuppgifter som ska få tillgängliggöras till databasen bör vara mer avgränsad.
482Nya regler om vidareanvändning av personuppgifter för vårdändamål
Särskilt om känsliga personuppgifter
De uppgifter som behöver tillgängliggöras utgör särskilda kategorier av personuppgifter enligt EU:s dataskyddsförordning, så kallade känsliga personuppgifter. Känsliga personuppgifter är bland annat uppgifter om hälsa. Även genetiska uppgifter är känsliga personuppgifter. Inom hälso- och sjukvården får även genetiska uppgifter betraktas som uppgifter om hälsa. Härvid kan även den definition som finns av genetiska uppgifter beaktas, se artikel 4.13 i EU:s dataskyddsförordning. I definitionen anges att alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av biologiskt prov från den fysiska personen i fråga utgör genetiska uppgifter enligt förordningen. I sammanhanget kan även noteras att genetiska uppgifter som behandlas för precisionsmedicinska syften kan indirekt avslöja att den vars genetiska uppgifter kommer ifrån troligtvis har en viss etnicitet. I artikel 9.1 dataskyddsförordningen räknas personuppgifter som avslöjar etniskt ursprung som sådan särskild kategori av personuppgift som omfattas av förbudet att behandlas enligt huvudregeln. Eftersom detta endast är indirekt konsekvens av att genetiska uppgifter kan komma att behandlas i en precisionsmedicinsk databas anser inte utredningen att det är en kategori som särskilt skulle behöva anges i en generisk formulering utan att den får anses inkluderas i det vidare begreppet hälsa.
Samtliga uppgifter som tillgängliggörs ska vara sökbara
Syftet med en precisionsmedicinsk databas är att utgöra underlag för vården av en annan patient än den som uppgifterna avser. De uppgifter som tillgängliggörs ska endast behövas för detta syfte. Poängen med databasen är att samla relevanta personuppgifter för sökning. Som utgångspunkt anser utredningen därför att alla typer av uppgifter som tillgängliggörs ska vara sökbara. Det är endast uppgifter som är av medicinskt intresse att söka på som är relevanta att ha i en precisionsmedicinsk databas. det innebär att endast uppgifter som kan behöva sökas fram för ändamålet ska tillgängliggöras. Uppgifter om hälsa får tillgängliggöras, göras sökbara och sökas efter, men inte andra typer av känsliga personuppgifter, se vidare avsnitt 14.8.5 om sökbegrepp.
483Nya regler om vidareanvändning av personuppgifter för vårdändamål
Utredningens försök att närmre precisera
de uppgifter som ska få tillgängliggöras
Utredningen har övervägt olika sätt att närmre precisera vilka uppgifter som ska få ingå i urval och tillgänggörande. Ett sätt är att i lagtext försöka räkna upp typer eller kategorier av uppgifter som ska få tillgängliggöras. Redan i momentet att hitta formuleringar som inbegriper de uppgifter som i dag finns behov av att tillgängliggöra mötte utredning stora utmaningar. En uppräkning skulle behöva innehålla ålder, kön, diagnos, virustyp och behandlingsutfall. Vad som är svårare att ringa in är den typ av biologiska uppgifter som också behövs. Här avses bland annat så kallade omiker. Uppräkningen tenderade redan här att bli väldigt lång och innehålla medicinska termer som inte är lämpliga för lagtext och lagtolkning. Utredningen gör bedömningen att den typ av uppräkning som skulle tjäna någon klargörande funktion, skulle vara så detaljerad att det är främmande att ha i lagtext. Det finns också en överhängande risk att uppräkningen inte blir uttömmande. Det skulle förvisso vara ett alternativ att ha en exemplifierande uppräkning. Ur transparenshänseende får det dock anses vara av begränsat värde. En exemplifierande uppräkning är enligt utredningens uppfattning mer lämplig att ha i en författningskommentar. En ytterligare aspekt som utredningen har identifierat är att vad som behöver kunna tillgängliggöras kommer att variera över tid. Utifrån att precisionsmedicinen, som styrs av forskningens framsteg, utvecklas mycket snabbt kommer också behovet av uppgifter förändras förhållandevis snabbt. Vad som är relevant information att tillgängliggöra till en precisionsmedicinsk databas utifrån vetenskap och beprövad erfarenhet ändras fort. Det ligger i forskningens natur att vi inte vet vilka personuppgifter som kommer att behövas för morgondagens vård. Det är av nu nämnda skäl inte möjligt att i lag reglera detta i detalj. Regeringen har fört liknande resonemang i exempelvis prop. 2022/23:41 s. 45 där regeringen anger att: Det är enligt regeringens uppfattning inte möjligt att i nuläget förutse den exakta omfattningen av samtliga slags uppgifter som kommer att behandlas i analys- och urvalsdatabasen. Vilka slags uppgifter som kan behövas kan också variera, bl.a. beroende på vilka riskanalyser som tas fram. I alla lägen kommer det dock enbart röra sig om sådana uppgifter som behövs för analys och urval.
484Nya regler om vidareanvändning av personuppgifter för vårdändamål
Propositionen avser ett annat område och innehåller förslag om att få behandla personuppgifter för folkbokföringsverksamheten, men utredningen anser att slutsatsen är applicerbar även för utredningens förslag. Utredningen har även övervägt om en precisering av uppgifter i stället skulle kunna ske på ett lämpligt sätt på en lägre normgivningsnivå än lag. Utredningen har gjort en jämförelse med regleringen av hälsodataregister, där uppgifter först räknas upp i förordning och sedan kompletteras med ytterligare detaljerade uppräkningar i föreskrifter. En fördel med lägre normgivningsnivå är att mer detaljerade uppräkningar är möjligt samt att en ändring av till exempel föreskrifter normalt sett går snabbare än en ändring av lagtext. Hälsodataregister har dock helt andra syften och är inte jämförbart med behandling av personuppgifter som ska ske vårdnära. Även om det går snabbare att ändra föreskrifter, finns en tröghet i detta som skulle vara negativ för vården. En statlig myndighet, exempelvis Socialstyrelsen, skulle behöva ha ansvaret för att uppdatera föreskrifterna. Detta skulle enligt utredningens bedömning behöva ske i samråd med den medicinska professionen. I praktiken skulle det därför ändå i stor utsträckning vara en bedömning från den medicinska professionen som avgör vilka uppgifter som får tillgängliggöras. Den administrativa process och insyn från en statlig myndighet som skulle föregå en ändring av föreskrifterna skulle kunna medföra ett visst ökat integritetsskydd. Utredningen anser dock inte att nyttan skulle bli speciellt stor och inte heller överväga den administrativa börda som förfarandet skulle medföra för alla inblandade aktörer. Dessutom skulle ett sådant förfarande förlänga processen ytterligare med att få ett heltäckande regelverk på plats och syftet med regelverket inte komma patienterna till del lika fort. Ett tillräckligt integritetsskydd kan enligt utredningen mening uppnås på andra sätt (se vidare avsnitt 14.15). Utifrån de svårigheter som finns med att ha en preciserad uppräkning, har utredningen övervägt om det är möjligt att hitta en lämplig formulering av generiskt slag. En möjlig sådan formulering skulle kunna vara uppgifter om hälsa enligt artikel 9.2 i EU:s dataskyddsförordning. Uppgifter om hälsa definieras i EU:s dataskyddsförordning som uppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus (artikel 4.15). Vidare anges följande i skäl 35. Personuppgifter om hälsa bör innefatta alla de upp-
485Nya regler om vidareanvändning av personuppgifter för vårdändamål
gifter som hänför sig till en registrerad persons hälsotillstånd som ger information om den enskildes tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd. Detta inbegriper uppgifter om den fysiska personen som insamlats i samband med registrering för eller tillhandahållande av hälso- och sjukvårdstjänster till den fysiska personen enligt Europaparlamentets och rådets direktiv 2011/24/EU. Sådana uppgifter kan utgöras av ett nummer, en symbol eller ett kännetecken som den fysiska personen tilldelats för att identifiera denne för hälso- och sjukvårdsändamål, uppgifter som härrör från tester eller undersökning av en kroppsdel eller kroppssubstans, däribland genetiska uppgifter och biologiska prov, och andra uppgifter om exempelvis sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling eller den enskildes fysiologiska eller biomedicinska tillstånd, oberoende av källan, exempelvis från en läkare eller från annan sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitrotest. I skäl 63 i dataskyddsförordningen anges som exempel på uppgifter om hälsa uppgifter i läkarjournaler så som diagnoser, undersökningsresultat, bedömningar av behandlande läkare och eventuella vårdbehandlingar eller interventioner. Utifrån ovan får förstås att uppgifter om hälsa kan tolkas brett. Det är också så utredningen uppfattar praxis på området. Fördelen med detta är att de variabler som över tid behöver tillgängliggöras för syftet med en precisionsmedicinsk databas enligt utredningens bedömning har stora möjligheter att omfattas. Däremot är begreppet uppgifter om hälsa inte särskilt begränsande i sig. Poängen med att ange ”uppgifter om hälsa” skulle framför allt vara att tydligare i lagtexten synliggöra vad det är fråga om för uppgifter. En ytterligare funktion skulle vara att uttryckligen utesluta andra känsliga uppgifter, så till vida de inte också räknas som uppgift om hälsa (se ovan avseende genetiska uppgifter). Dessa förhållanden synliggörs dock på andra sätt. Utredningen föreslår en uttrycklig bestämmelse som avser behandling av känsliga personuppgifter, se avsnitt 14.3.3. Utredningen ser utifrån detta ingen poäng med att också ange uppgifter om hälsa i bestämmelsen om tillgängliggörande.
486Nya regler om vidareanvändning av personuppgifter för vårdändamål
14.6.4 Vilken eller vilka precisionsmedicinska databaser
som tillgängliggörande får göras till
Utredningen föreslår en geografisk uppdelning avseende inrättande och förandet av precisionsmedicinska databaser, se avsnitt 14.7.3. Sex precisionsmedicinska databaser ska få inrättas och föras i respektive samverkansregion. Utöver detta ska en särskild precisionsmedicinsk databas få inrättas och föras inom NGP. Tillgängliggörande av personuppgifter till precisionsmedicinsk databas ska ske utifrån utredningens förslag avseende inrättande och förande av precisionsmedicinska databaser. Utredningen redogör i det följande för innebörden av detta. Föreslagen reglering finns i utredningens förslag till förordning.
Tillgängliggörande till samverkansregional
precisionsmedicinsk databas
Tillgängliggörande till samverkansregional precisionsmedicinsk databas kan delas upp mellan vårdgivare som omfattas av en samverkansregion och vårdgivare som inte gör det. Bland de vårdgivare som inte omfattas av en samverkansregion har utredningen valt att lämna ett specifikt förslag på reglering avseende privata aktörer med huvudsakligen offentlig finansiering. För övriga kategorier vårdgivare gör utredningen bedömningen att det inte i praktiken kommer vara aktuellt att tillgängliggöra personuppgifter till precisionsmedicinsk databas. I syfte att regleringen ska vara heltäckande lämnar utredningen dock ett förslag som även omfattar dessa.
Vårdgivare som omfattas av en samverkansregion
De vårdgivare som omfattas av en samverkansregion utgörs av de regioner eller kommuner som ingår i respektive samverkansregion enligt 3 kap. 1 § HSF. Vårdgivare som omfattas av en samverkansregion får tillgängliggöra personuppgifter till den precisionsmedicinska databas som förs av den samverkansregion som vårdgivaren omfattas av. Det är inte tillåtet för vårdgivare att tillgängliggöra personuppgifter till en samverkansregional precisionsmedicinsk databas som finns i någon annan samverkansregion än den som vårdgivaren omfattas av.
487Nya regler om vidareanvändning av personuppgifter för vårdändamål
Genom att tillgängliggörande endast får ske till den samverkansregionala databas som finns i den samverkansregion som vårdgivaren ingår i, begränsas omfattningen av personuppgifter som ingår i databasen. Utifrån samverkansregionernas storlek kan ändå databaserna få en sådan volym uppgifter att de är användbara för sitt syfte. Utredningen gör bedömningen att detta är en rimlig avvägning mellan behoven av större möjligheter till datadelning och intressen av integritetsskydd.
Privata vårdgivare med regionen som huvudman
För vårdgivare som inte ingår i en samverkansregion behövs också en reglering med avseende på vilken eller vilka precisionsmedicinska databaser som tillgängliggörande ska få ske till. Utredningen har övervägt olika alternativt. För vårdgivare som får offentlig finansiering eller har uppdrag från en region, går det att koppla tillgängliggörandet till den precisionsmedicinska databas som finns i finansiärens eller huvudmannens samverkansregion. I praktiken berör detta privata vårdgivare med uppdrag/finansiering från en eller flera regioner. Utredningen har övervägt om kopplingen ska knytas till huvudmannaskapet eller finansieringen. Utredningen anser att det är tydligare och medför minst tillämpningssvårigheter att knyta kopplingen till huvudmannaskapet. Finansiering kan snabbt ändras över tid, vilket gör det till ett mer instabilt kriterium. Samtidigt konstaterar utredningen att huvudmannaskapet endast kan avse en mycket liten del av en vårdgivares verksamhet. I de fallen kommer det dock enligt utredningens mening sannolikt inte bli fråga om att tillämpa reglerna. Över huvud taget gör utredningen den bedömningen att de regler som utredningen nu föreslår avseende datadelning för vården av annan än den som uppgifterna avser framför allt kommer att börja tillämpas inom offentlig driven vård. Det framstår som mest sannolikt att privata vårdgivare inte kommer att börja tillämpa ändamålet, i vart fall inte i någon större omfattning, förrän en helt nationell infrastruktur finns på plats, se kapitel 19–21. Utöver detta bedömer utredningen också att vilket val utredningen gör i denna del enbart marginellt, om ens alls, skulle kunna påverka de som använder den precisionsmedicinska databasen eller de patienter som blir behandlade till följd av användandet av databaserna.
488Nya regler om vidareanvändning av personuppgifter för vårdändamål
Tillgängliggörande får ske till den eller de precisionsmedicinska databaser som huvudmannen omfattas av. Detta innebär att tillgängliggörande i teorin kan ske till mer än en databas. Utredningen gör dock bedömningen att detta i så fall kommer utgöra en mycket liten mängd personuppgifter. Utredningen ser det inte motiverat att reglera detta på en ytterligare detaljnivå, utan anser att det är mest lämpligt att överlämna åt de berörda aktörerna att hantera dessa situationer på ett praktiskt lämpligt sätt.
Övriga vårdgivare
Vad beträffar övriga vårdgivare (statliga och kommunala vårdgivare samt privata vårdgivare som inte omfattas enligt ovan), är det utredningens bedömning att det är mycket osannolikt att de ens kommer blir aktuella för tillgängliggörande av personuppgifter. Avseende övriga vårdgivare som är myndigheter föreslår utredningen inte heller någon sekretessbrytande grund, se avsnitt 17.1. Om regleringen ska vara formellt sett fullständig i den meningen att samtliga vårdgivare omfattas, skulle förordningen behöva innehålla en regel för övriga vårdgivare. Enligt utredningens mening skulle den i så fall lämpligen föreskriva att tillgängliggörande får ske till samverkansregional databas enligt överenskommelse med den regionala myndigheten inom hälso- och sjukvården som för databasen. Utredningen anser dock att detta är en i praktiken obehövlig reglering som dessutom inte är logisk till följd att utformningen av förslagen sekretessbrytande grund. Utredningen lämnar därför inget förslag till sådan reglering.
Tillgängliggörande till särskild precisionsmedicinsk databas
inom den Nationella Genomikplattformen
NGP är en it-infrastruktur som etablerats av GMS. För en beskrivning av NGP och GMS, se avsnitt 14.7.3. Det är enligt utredningens bedömning rimligt att det endast är de vårdgivare som ingår i GMS som ska tillgängliggöra personuppgifter till den precisionsmedicinska databasen som får föras inom den NGP. Samtliga regioner med universitetssjukvård ingår i GMS. Det innebär att samtliga regionsjukhus (universitetssjukhus) ingår i GMS. Det
489Nya regler om vidareanvändning av personuppgifter för vårdändamål
är på dessa sjukhus som bland annat patienter med bland annat sällsynta diagnoser vårdas. Ett område där nationell delning av personuppgifter är avgörande för att uppnå medicinsk nytta är genetisk diagnostik kopplad till nedärvda sjukdomar. För att få en korrekt diagnostik behöver sekvensering (genanalys) av till exempel alla tekniskt korrekta genvarianter och alla tolkade genvarianter kunna delas. Anledningen till detta är att genförändringar kan vara så ovanliga att en samling av personuppgifter inom endast en samverkansregion inte är tillräcklig. Detta är fallet vid så kallade sällsynta diagnoser. Var och en av diagnoserna är så ovanlig att det behövs en nationell datadelning. Behovet uppstår även när det gäller både bildbehandling och mikrobiologi. När det är fråga om sällsynta fall behöver upptagningsområdet vara större för att det ska finnas relevant jämförelsedata. Att få information om hur patienter med samma bildresultat har behandlats eller hur liknande patienters laboratoriedata ser ut, ger möjligheter att jämföra på ett sätt som möjliggör god precisionsmedicin. Ett annat område där de personuppgifter från patienter som finns i hela landet behöver kunna delas avser personuppgifter kopplade till cancer (icke nedärvda sjukdomar). Själva cancerformen kan i och för sig vara vanlig, men kombinationer av form och förändringar i genomet kan vara ovanliga. Utifrån kombinationerna av form och förändringar bildas undergrupper till en cancerform. Vissa undergrupper är att betrakta som ovanliga. För dessa ovanliga undergrupper finns behov av att dela data nationellt. Patienter med sällsynta diagnoser eller cancer med målinriktad behandling får regelmässigt vård på något av landets regionsjukhus (universitetssjukhus). Till exempel sker då gensekvensering för dessa patientgrupper på universitetssjukhusen. Där finns eller genereras den relevanta typen av information. Detta blir enligt utredningens bedömning ”nationellt” i den mening att all relevant information som finns i landet som fångas upp av GMS kommer då att kunna användas i vården av de patienter som behöver det. De personuppgifter som behöver kunna delas bredare än på samverkansregional nivå finns således hos regionsjukhusen (universitetssjukhusen). För dessa personuppgifter kan det alltså finnas några få runtom i landet. Det innebär att det inte skulle ge tillräckligt med underlag om det finns en eller två fall i varje samverkansregion. I stället öppnar NGP för möjligheten att samla dessa fall på ett ställe och på så sätt öka chanserna att utgöra ett tillräckligt underlag som
490Nya regler om vidareanvändning av personuppgifter för vårdändamål
behandlande vårdpersonal kan vara behjälpta av. Utredningen gör bedömningen att tillgängliggörande av de vårdgivare som ingår i GMS tillgodoser de behov av datadelning som finns för GMS. Att aktuella vårdgivare ingår i GMS bekräftar också i sig att det är mellan just dessa som behovet av viss datadelning finns för att uppnå syftet att fullt ut implementera precisionsmedicin. Det är samtidigt en rimlig avvägning att endast de vårdgivare som ingår i GMS är de som får tillgängliggöra uppgifter till den precisionsmedicinska databas som får föras där. Utredningen har inte uppfattat att det skulle vara avgörande för användbarheten att även andra vårdgivare får tillgängliggöra personuppgifter till den precisionsmedicinska databasen inom NGP. I förlängningen skulle det kunna finnas en nytta av helt nationell datadelning för vården av annan patient än den som personuppgifterna avser. Detta får dock enligt utredningens mening utredas och etableras kopplat till en nationell datahubb, se kapitel 19–21.
När behov inte längre finns ska uppgifter sluta tillgängliggöras
Kravet på att personuppgifter som tillgängliggörs till en precisionsmedicinsk databas behövs för att skapa underlag för vården av en annan patient än den som uppgifterna avser innebär först och främst att endast personuppgifter som bedöms behövs får tillgängliggöras, se avsnitt 14.6.3. Det är en medicinsk bedömning som enligt utredningens mening ska ligga till grund för vilka uppgifter som behövs för att skapa underlag för vården av en annan patient än den som uppgifterna avser. Kravet på att uppgifterna ska behövas som underlag för vården av en annan patient än den som uppgifterna avser medför också att tillgängliggörande av en viss typ av uppgift ska upphöra om den inte längre behövs. Detta behöver prövas kontinuerligt av vårdgivare som tillgängliggör uppgifter. Prövningen ska utgå ifrån en medicinsk bedömning. Har det exempelvis visat sig att en viss typ av uppgift inte längre är relevant vid sökning ska den inte längre tillgängliggöras. Utredningen ser framför sig att samråd kring denna typ av frågor kan behöva ske mellan de regionala myndigheter som samverkar avseende en precisionsmedicinsk databas och med de vårdgivare som tillgängliggör uppgifter till databasen.
491Nya regler om vidareanvändning av personuppgifter för vårdändamål
14.6.5 Pseudonymisering eller annat likvärdigt skydd
Förslag : Tillgängliggörande till en precisionsmedicinsk databas får endast avse personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt.
Vad innebär pseudonymisering eller likvärdigt skydd?
Med begreppet pseudonymisering avses enligt artikel 4.5 i dataskyddsförordningen att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används. Dessa kompletterande uppgifter ska, enligt nyss nämnda bestämmelse, förvaras separat och vara föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person. I artikel 32.1 i dataskyddsförordningen anges vidare att den personuppgiftsansvarige, med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet bland annat pseudonymisering. Tillämpningen av pseudonymisering av personuppgifter kan minska riskerna för de registrerade som berörs och hjälpa personuppgiftsansvariga att fullgöra sina skyldigheter i fråga om dataskydd (se skäl 28 dataskyddsförordningen). Som alternativ till pseudonymisering med kodnyckel kan det finnas andra skyddsåtgärder som uppfyller samma syfte, det vill säga att se till att de personuppgifter som tillgängliggörs inte kan sammankopplas med de registrerades identiteter. Därmed kan ett likvärdigt eller till och med bättre skydd ges än vid pseudonymisering med kodnyckel. Exempel på sådana åtgärder är olika typer av kryptering eller generalisering (utredningen har beskrivit generalisering i avsnitt 3.7.1 (Generalisering av data).
492Nya regler om vidareanvändning av personuppgifter för vårdändamål
Vad innebär kravet i praktiken?
I praktiken kommer pseudonymisering fungera på så vis att det i stället för identifierbara personuppgifter i en precisionsmedicinsk databas finns en beteckning hos vårdgivaren som tillgängliggör uppgifter som kan kopplas till den enskildes personnummer eller motsvarande identitetsbeteckning. Uppgifter som möjliggör identifiering ska alltså förvaras separat hos den tillgängliggörande vårdgivaren, och en så kallad kodnyckel kan användas för att ersätta direkta identifierare såsom personnummer eller namn. För regionala myndigheter inom hälso- och sjukvården som kommer använda personuppgifter i en precisionsmedicinsk databas i vården av en patient kommer direkta identifierare att vara ointressant. Det är inte uppgifter om exempelvis namn eller personnummer som är relevanta att använda i vården av en annan patient. Ett krav på pseudonymisering eller likvärdigt skydd för de personuppgifter som tillgängliggörs till en precisionsmedicinsk databas kommer mot den bakgrunden fungera bra sett till syftet med en precisionsmedicinsk databas.
En integritetsskyddande åtgärd
Vetskapen hos en registrerad om att dennes personuppgifter som finns i en precisionsmedicinsk databas inte kommer vara direkt identifierbara, kan förväntas bidra till en ökad känsla av trygghet kring den behandling av personuppgifter som sker i databasen. Nämnda trygghet kan dessutom tänkas öka benägenheten hos enskilda att låta vården tillgängliggöra insamlade personuppgifter om dem i en sådan databas, vilket kan leda till att färre patienter känner behov av att använda möjligheten till så kallad opt-out (möjlighet att motsätta sig att behandling av personuppgifter sker). Se mer om detta i avsnitt 14.10.5 (Möjlighet att motsätta sig urval och tillgängliggörande till precisionsmedicinsk databas). Kravet på att personuppgifter som tillgängliggörs till en precisionsmedicinsk databas ska vara pseudonymiserade eller skyddade på likvärdigt sätt, är därför enligt utredningens mening ägnat att, dels minska oro för integritetsrisker hos de registrerade, dels underlätta för de personuppgiftsansvariga att bedriva verksamheten med databaserna och fullgöra sina skyldigheter i fråga om dataskydd. Kravet är alltså
493Nya regler om vidareanvändning av personuppgifter för vårdändamål
en skyddsåtgärd för att värna de registrerades integritet. Skyddsåtgärden minskar risk för onödigt intrång i de registrerades integritet som skulle kunna uppstå om det i stället var fråga om direkt identifierbara uppgifter. Mot denna bakgrund gör utredningen bedömningen att tillgängliggörande till en precisionsmedicinsk databas endast får ske av personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt.
Risk att den enskilde ändå kan identifieras
Även om tillgängliggörande till en precisionsmedicinsk databas endast får ske av personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt, det vill säga den enskilde inte är direkt identifierbar, finns en risk att en registrerad ändå kan identifieras i vissa fall. Så kan vara fallet om det är fråga om en sällsynt sjukdom som bara få registrerade har. Huruvida någon kan identifieras eller inte beror också på vad för annan information vårdpersonalen i den regionala myndigheten inom hälso- och sjukvården kan och får söka fram i den precisionsmedicinska databasen. Utredningens uppfattning är att uppgifterna i sådana fall är pseudonymiserade, men att det finns en sannolikhet att någon kan bli identifierbar trots detta. Utredningen anser att det är en risk som inte helt kan elimineras med kravet på pseudonymisering eller likvärdigt skydd. Denna risk vägs dock upp mot att den enskilde har möjlighet att välja att dennes personuppgifter inte ska tillgängliggöras till en precisionsmedicinsk databas genom en möjlighet att motsätta sig detta, så kallad opt-out. Den vägs också upp av andra skyddsåtgärder så som att det kommer finnas vissa krav på behörighetstilldelning. Intresset av att personuppgifterna ändå kan tillgängliggöras får anses väga tyngre, och uppvägas av nyss nämnda andra skyddsåtgärder, att risken får accepteras.
Kryptering
Utredningen har övervägt att införa ett krav på att uppgifter ska vara krypterade. Det finns olika typer av kryptering som kan användas för att skydda personuppgifter. Eftersom utredningen ställer krav på pseudonymisering eller likvärdigt skydd, har utredningen inte sett att det finns behov av att ställa specifika krav i form av någon typ av
494Nya regler om vidareanvändning av personuppgifter för vårdändamål
kryptering. Utredningens bedömning är att för den typ av data som kommer finnas i de precisionsmedicinska databaserna skulle det inte innebära något större ytterligare skydd med envägskryptering i praktiken utöver att använda pseudonymisering. Eftersom kryptering generellt är dyrare än pseudonymisering ser utredningen inte att ett sådant krav skulle vara proportionerligt i förhållande till nyttan. Vissa typer av kryptering kan däremot användas för att få till ett likvärdigt skydd som pseudonymisering ger. Envägskryptering för att kryptera personnummer i stället för att använda löpnummer skulle kunna användas som ett likvärdigt skydd förutsatt att den vårdgivare som tillgängliggör uppgifter är ensam om att ha tillgång till kodnyckeln.
14.6.6 Behörighet, befogenhet och kontroll
Förslag : Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient om han eller hon behöver det för sitt arbete med urval och tillgängliggörande till precisionsmedicinsk databas. En bestämmelse som upplyser om att reglerna i 4 kap. 2 och 3 §§ PDL gäller vid urval och tillgängliggörande till precisionsmedicinsk databas ska införas i 6 kap. PDL.
Bedömning : De allmänna reglerna om behörighet i 4 kap. 2 § PDL samt föreskrifter som har meddelats med stöd av 4 kap. 2 § tredje stycket PDL gäller. Den elektroniska åtkomst som sker till följd av att urval och tillgängliggörande till en precisionsmedicinsk databas omfattas av bestämmelsen i 4 kap. 3 § PDL samt föreskrifter som har meddelats med stöd av 4 kap. 3 § andra stycket PDL.
Om behörighet för urval och tillgängliggörande
till en precisionsmedicinsk databas
I avsnitt 13.3 har utredningen på ett övergripande plan redogjort för vilka personuppgiftsbehandlingar som föranleds av utredningens förslag om att precisionsmedicinska databaser kan inrättas. Av beskrivningen framgår att urval och tillgängliggörande ska ske från en vårdgivare. I ett första skede måste således ett urval av de relevanta personupp-
495Nya regler om vidareanvändning av personuppgifter för vårdändamål
gifterna från berörda patienter göras inom en vårdgivares organisation, för att sedan kunna tillgängliggöras till aktuell databas. Vilka personuppgifter som får tillgängliggöras och därmed får omfattas av urvalet framgår av avsnitt 14.6.3. Utredningen har för momenten att urskilja och tillgängliggöra personuppgifter jämfört med hur regleringen för nationella och regionala kvalitetsregister ser ut. Utredningen är av uppfattningen att tillgängliggörande till en precisionsmedicinsk databas, i detta syfte, kan likställas med den inrapportering som sker till nationella och regionala kvalitetsregister. I 7 kap. PDL finns inga särskilda bestämmelser som reglerar tillgängliggörandet av personuppgifter till ett nationellt eller regionalt kvalitetsregister. Detta följer av att man har ett så kallat uppdelat personuppgiftsansvar. Med det uppdelade personuppgiftsansvaret följer att den vårdgivare som tillgängliggör personuppgifter till ett nationellt eller regionalt kvalitetsregister är personuppgiftsansvarig enligt den allmänna regeln i 2 kap. 6 § PDL för den behandling det innebär (se prop. 2007/08:126 s. 183). Av de skäl som angetts ovan, se avsnitt 14.5.2 och 14.5.3, anser utredningen att det även för personuppgiftsansvaret i relation till en precisionsmedicinsk databas är lämpligast med en lösning där det talas om ett uppdelat personuppgiftsansvar. Det vill säga där de vårdgivare som tillgängliggör och nyttjar databasen alltjämt är personuppgiftsansvariga för den behandling det innebär och den regionala myndighet inom hälso- och sjukvården som för databasen får bära personuppgiftsansvaret för den centrala behandling som sker i en precisionsmedicinsk databas. I 4 kap. 2 § PDL fastställs en vårdgivares skyldighet att bestämma villkoren för behörighet för de som ingår i vårdgivarens organisation. I bestämmelsen anges att behörigheten ska begränsas till vad som behövs för att den enskilde medarbetaren ska kunna utföra sina arbetsuppgifter inom hälso- och sjukvården. Bestämmelsen gäller för all vårdgivares verksamhet (se prop. 2007/08:126 s. 239 och prop. 2021/22:177 s. 142). Utredningen bedömer att 4 kap. 2 § PDL därför kan tillämpas vid urval och tillgängliggörande till en precisionsmedicinsk databas. Nästa fråga är om det är lämpligt att använda samma behörighetsregel för detta moment. Med behörighet för åtkomst avses en användares faktiska möjligheter att ta del av uppgifter i exempelvis vårdgivarens journalsystem. Behörighetsstyrning är samlingsbegreppet för de organisatoriska, administrativa och tekniska åtgärder som vidtas för att anpassa och
496Nya regler om vidareanvändning av personuppgifter för vårdändamål
begränsa behörigheten efter användarens behov för att kunna utföra sitt arbete. Utredningen anser inte att den hantering av känsliga personuppgifter som måste ske med anledning av ett tillgängliggörande till en precisionsmedicinsk databas motiverar en särskild regel om behörighet. Det finns åtskilliga situationer där känsliga personuppgifter inom hälso- och sjukvården behandlas för att fullgöra olika typer av uppgiftslämnande som följer utav lag och förordning. Även om ett tillgängliggörande i förevarande fall innebär en anpassning utifrån vad den precisionsmedicinska databasen ska avse anser inte utredningen att själva urskiljandet och tillgängliggörandet utgör en särskilt integritetskänslig behandling (jämför prop. 2007/08:126 s. 57). I enlighet med vad regeringen uttalat vid flera olika tillfällen avseende 4 kap. 2 § PDL, är det förstås av stor betydelse att de behovs- och riskanalyser som ska ligga till grund för behörighetstilldelningen är så träffsäkra som möjligt avseende vilka som lämpligast är att ha en sådan behörighet och vad behörigheten bör innefatta (se prop. 200//08:126 s. 149 och prop. 2021/22:177 s. 142 f.). Däremot anser utredningen att behörigheten att få söka i precisionsmedicinska databasen och begära kompletterande personuppgifter från patientjournal bör regleras särskilt av olika skäl (se vidare under avsnitt 14.8.3 och 14.9.4). Sammanfattningsvis anser utredningen därför att den nuvarande bestämmelsen i 4 kap. 2 § PDL kan och bör tillämpas för urval och tillgängliggörande till en precisionsmedicinsk databas.
Om befogenhet att ta del av personuppgifter
för urval och tillgängliggörande
I avsnitt 13.9 redogör utredningen för sin analys av varför 4 kap. 1 § PDL inte kan anses tillämplig på situationen när en arbetstagare hos en vårdgivare ska hantera personuppgifter för ändamålet vården av annan. Av analysen framgår att det enligt utredningens mening inte kan anses vara fråga om en åtkomst som ses som ett ”deltagande i vården” av den personuppgifterna härrör från. Det som snarare skulle kunna ligga närmare till hands är att när det i bestämmelsen anges att en arbetstagare hos en vårdgivare får ta del av uppgifter för att den ”av annat skäl behöver det för sitt arbete inom hälso- och sjukvården”. Som konstateras i ovan nämnda avsnitt får detta uttryck ses som en
497Nya regler om vidareanvändning av personuppgifter för vårdändamål
hänvisning till arbete som är kopplat till de ändamål som anges i 2 kap. 4 § punkten 3–7 PDL. Då 4 kap. 1 § PDL inte kan anses tillämplig bedömer utredningen att det behövs en särskild befogenhetsregel. Föreslagen bestämmelse ska tydliggöra att de medarbetare hos en vårdgivare som behöver ta del av personuppgifter för urval och tillgängliggörande till en precisionsmedicinsk databas, också kan göra det. I takt med att tekniken utvecklas och att hälso- och sjukvården alltmer nyttjar de tekniska möjligheter som finns i dag kan det inte uteslutas att urval och tillgängliggörande till en precisionsmedicinsk databas görs rent maskinellt. I en sådan situation skulle behandlingen inte behöva stödja sig på den föreslagna befogenhetsbestämmelsen. Det skulle då enligt utredningens bedömning vara tillräckligt att det var tillåtet att behandla personuppgifter för ändamålet vården av en annan än den uppgifterna avser, vilket också skapas i och med det nya 6 kapitlet i PDL.
Om kontroll av den elektroniska åtkomst
som sker för urval och tillgängliggörande
I 4 kap. 3 § PDL finns krav på att en vårdgivare ska dokumentera och kontrollera den åtkomst som sker till de uppgifter om patienter som förs helt eller delvis automatiserat. De frågor som uppstår är om det vid urval och tillgängliggörande till en precisionsmedicinsk databas behövs en särskild regel om kontroll av den åtkomst som föranletts med anledning av det eller om den befintliga bestämmelsen kan anses tillämpbar och om den utgör ett tillräckligt krav för att uppnå det önskade syftet. Vid införandet av 4 kap. 3 § PDL anfördes att det med bestämmelsen ville tydliggöra vårdgivarens ansvar att kontrollera och följa upp den behörighetstilldelning och på så vis lättare kunna beivra eventuell obehörig åtkomst som skett (prop. 2007/08:126 s. 149 f.). I det skede när det rör sig om urval och tillgängliggörande till en precisionsmedicinsk databas anser utredningen att den behandlingen till stor del kan jämställas med den hantering som sker i dag för att tillgodose olika uppgiftslämnande, även i de fall då tillgängliggörandet innebär ett utlämnande i TF:s mening. Eftersom 4 kap. 3 § PDL gäller alla personuppgifter som hos en vårdgivare behandlas på automatiserad väg, ska det även gälla för
498Nya regler om vidareanvändning av personuppgifter för vårdändamål
kontroll av elektronisk åtkomst samt direktåtkomst för en precisionsmedicinsk databas (jämför prop. 2007/08:126 s. 149 och s. 183, prop. 2021/22:77 s. 145).
14.7 Inrättande och förande av precisionsmedicinsk
databas
Förslag : Endast en regional myndighet inom hälso- och sjukvården får inrätta och föra precisionsmedicinsk databas. En precisionsmedicinsk databas får inrättas och föras i var och en av de samverkansregioner som anges i 3 kap. 1 § hälso- och sjukvårdsförordningen (2017:80). En precisionsmedicinsk databas som inrättas och förs inom ramen för samverkansregionalt samarbete kallas för samverkansregional precisionsmedicinsk databas. Därutöver får en precisionsmedicinsk databas inrättas och föras inom den NGP.
Steg 2 i utredningens modell för behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser består av inrättande och förande av precisionsmedicinsk databas. I avsnitt 13.6 finns utredningens överväganden kring hur precisionsmedicinska databaser ska få inrättas. Utredningens förslag innebär att det endast får finnas ett visst antal precisionsmediciniska databaser. Databaserna ska inrättas på regional nivå och det är endast en regional myndighet inom hälso- och sjukvården som får inrätta och föra precisionsmedicinsk databas. Det ska vara frivilligt att inrätta och föra en precisionsmedicinsk databas. I detta avsnitt finns utredningens närmare överväganden kring inrättande och förande av precisionsmedicinsk databas.
14.7.1 Behovet av en generell bestämmelse om inrättande
och förande av precisionsmedicinsk databas
Utredningen har i avsnitt 11.3 beskrivit precisionsmedicin. Kortfattat avser precisionsmedicin diagnostiska metoder och individanpassad utredning, prevention och behandling av sjukdom, applicerade på individnivå eller på delar av befolkningen. En av grundstenarna för precisionsmedicin är att kunna dela data från många individer för att ge rätt
499Nya regler om vidareanvändning av personuppgifter för vårdändamål
behandling till rätt patient. Precisionsmedicin bygger på avancerad analys av hälsodata, till exempel genetiska data. I dag hanteras denna typ av data av flera olika fragmenterade system, främst vid regionsjukhusen. För att maximera nyttan av den genetiska data som genereras inom hälso- och sjukvården behöver det finnas en möjlighet att dela denna data mellan vårdgivare. En sådan behandling av hälsodata går även i linje med det ökade nyttjandet och användningsområdena för denna typ av data. Angelägenheten att använda hälsodata genom delning belyses som en av åtta punkter i regeringens nationella life science- 6 strategi från 2019 . För att skapa ny kunskap som kan förändra processer, organisationer och system till det bättre och för att på både kort och lång sikt skapa en bättre och mer jämlik vård finns som ovan beskrivits inom precisionsmedicinen ett stort behov av att öka förmågan och möjligheterna att använda insamlade data och således utnyttja den samlade hälsodataresursen. Detta gäller inte enbart för den patient vars uppgifter har samlats in för vårddokumentation utan även för andra patienter. Vårdpersonal kan för vården av en patient vara i behov av jämförbara hälsodata från en annan patient med liknande symptom etcetera. Tillgången till sådana patientdata är kritisk för att framför allt patienter med sällsynta diagnoser ska få tillgång till jämlik och god vård över hela landet. Precisionsmedicin är framtidens sjukvård och innebär att med rätt resurser kunna möjliggöra för den specialiserade vården att kunna ge rätt insatser till varje enskild patient i rätt tid. Utredningen har konstaterat att det ökade behovet att kunna vidareanvända patientuppgifter har uppstått på senare tid. Den moderna hälso- och sjukvården med flera olika parallella aktörer ställer stora krav på nya arbetssätt och samverkan över organisationsgränser. Parallella organisationer i sjukvården med såväl statliga, kommunala, regionala och privata aktörer är faktorer som utgör svårigheter för införandet av precisionsmedicin på en jämlik nivå och som gagnar hälso- och sjukvårdens mål om god hälsa och en vård på lika villkor för hela befolkningen. Samtidigt innebär hälso- och sjukvårdens organisation numera en tydlig inriktning mot att precisionsmedicin är en naturlig del i moderniseringen av svensk hälso- och sjukvård och kommer på sikt att vara en modell som är en naturlig del av såväl den nära vården som den högspecialiserade hälso- och sjukvården. Av denna anledning krävs
6 Regeringskansliet, En nationell strategi för life science, 2019, N2019/03157, s. 17.
500Nya regler om vidareanvändning av personuppgifter för vårdändamål
arbetssätt som gör det möjligt att dela information för vidareanvändning, samtidigt som patientens integritet bevaras. Med beaktande av hälso- och sjukvårdens organisation och struktur med den specialiserade vården förlagd till regionerna är det naturligt att det endast är de regionala myndigheterna som ska få inrätta och föra precisionsmedicinska databaser. Regionerna har såväl kopplingen mellan avancerad diagnostik och individanpassad behandling och därmed bättre möjlighet att erbjuda en mer träffsäker behandling med användande av precisionsmedicin. Sammantaget anser utredningen att en särskild reglering avseende vem som får inrätta och föra en precisionsmedicinsk databas ska införas. Utredningen anser att det finns särskild anledning att endast en regional myndighet inom hälso- och sjukvården får inrätta och föra precisionsmedicinsk databas. Regleringen ska preciseras genom ytterligare bestämmelser i förordning.
14.7.2 Regional myndighet inom hälso- och sjukvården
Utredningen föreslår att endast regionala myndigheter inom hälsooch sjukvården ska få ansvara för precisionsmedicinska databaser. Det är endast sådan myndighet som ska få inrätta och föra precisionsmedicinsk databas samt vara personuppgiftsansvarig för central behandling av personuppgifter i sådan databas (se avsnitt 14.5.1). Genom att specifikt reglera att endast en regional myndighet inom hälso- och sjukvården får inrätta och föra en precisionsmedicinsk databas är förslaget även förenligt med utredningens förslag om reglering av personuppgiftsansvaret. I detta avsnitt berörs närmre vad som menas med regional myndighet inom hälso- och sjukvården och varför endast sådana aktörer ska tillåtas att inrätta och föra precisionsmedicinska databaser.
Endast regional offentlig verksamhet
Utredningen anser att det endast ska vara inom offentlig verksamhet som en precisionsmedicinsk databas ska får inrättas och föras. Att samtliga aktörer i hälso- och sjukvården skulle få möjlighet att inrätta och föra en precisionsmedicinsk databas skulle leda till bland annat integritetssänkande som ekonomiska konsekvenser, se vidare av-
501Nya regler om vidareanvändning av personuppgifter för vårdändamål
snitt 13.6. En spridning av de precisionsmedicinska databaserna till samtliga vårdgivare skulle inte gå i linje med var precisionsmedicin bedrivs. Begreppet ”nivåstrukturering” används ofta i allmän bemärkelse inom hälso- och sjukvården och avser främst en form av arbetsfördelning inom vården. Termerna koncentration, centralisering, decentralisering och regionalisering är nära förknippade med begreppet nivåstrukturering. Dessa termer beskriver i sjukvårdssammanhang vanligen en förskjutning av ansvar för ett tillstånd eller åtgärd mellan olika vårdnivåer såsom riksnivån med den nationella högspecialiserade sjukvården, regionsjukvården med universitetssjukvården och den lokala nivån med länssjukvården. Nivåstruktureringen kan även ske mellan olika vårdgivare (prop. 2017/18:40 s. 11). Utredningen anser att liksom exempelvis den nationella högspecialiserade vården är nivåstrukturerad till regioner, så bör även regleringen av vilka vårdgivare som får inrätta och föra precisionsmedicinska databaser vara. Utredningen har jämfört med hur regleringen avseende regionala och nationella kvalitetsregister är utformad. Enligt 7 kap. 7 § första stycket PDL får endast myndigheter inom hälso- och sjukvården vara personuppgiftsansvariga för central behandling av personuppgifter i ett kvalitetsregister. Utredningen konstaterar att samtliga offentliga vårdgivare skulle omfattas om formuleringen ”myndighet inom hälsooch sjukvården” användes, det vill säga även kommunala och statliga myndigheter som bedriver hälso- och sjukvård (jämför definitionen av vårdgivare i 1 kap. 3 § PDL). Utredningen ser förvisso inte att det i praktiken skulle komma att bli aktuellt att en kommunal eller statlig myndighet inrättar eller för en precisionsmedicinsk databas. Samtidigt ser utredningen flera skäl som talar för en begränsning till ”regional” myndighet. Det är inom den regionala hälso- och sjukvården de största behoven av behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser finns. Utredningen anser att det i lagtexten tydligt bör framgå att det endast är regionala myndigheter som får inrätta och föra precisionsmedicinsk databas. Med regional myndighet avses en myndighet i en region. Myndigheter i en region kan vara nämnder eller styrelser. En region kan utgöras av en enda myndighet, vilket medför att regionen som juridisk person sammanfaller med myndigheten. Detta ser dock olika ut i olika regioner, se vidare nedan. En regional myndighet inom hälso- och sjukvården är även vårdgivare eller en del av en vårdgivare enligt 1 kap. 3 § PDL.
502Nya regler om vidareanvändning av personuppgifter för vårdändamål
Begreppet regional myndighet används även i den nya lagen om viss vidareanvändning av personuppgifter för klinisk forskning som utredningen föreslår, se avsnitt 16.3.3. I grunden har begreppen samma innebörd. En skillnad är att i den nya lagen jämställs kommunala företag enligt 2 kap. 3 § OSL med myndighet. Kommunala företag omfattas inte av begreppet regional myndighet inom hälso- och sjukvården enligt utredningens förslag till regler i 6 kap. PDL. Utredningen föreslår även att det i förordning beslutas om att precisionsmedicinska databaser ska få inrättas och föras inom regional verksamhet, se vidare i avsnitt 14.7.3. Utredningen anser även att det blir tydligare om den regionala avgränsningen också framgår av lagen. Samma formulering, ”regional myndighet”, används då också i 6 kap. PDL som i utredningens förslag till ny lag om viss vidareanvändning av personuppgifter för klinisk forskning, se kapitel 16. I den nya lagen används av enhetlighetsskäl utifrån benämningen av aktörer i den lagen formuleringen regional myndighet ”som bedriver” hälso- och sjukvård. Utredningen anser att det har samma innebörd som ”inom” hälso- och sjukvården.
Endast inom hälso- och sjukvården
Utredningens förslag innebär att en ny reglering införs som innebär att endast en regional myndighet inom hälso- och sjukvården får inrätta och föra precisionsmedicinsk databas. Att verksamheten är ”inom hälso- och sjukvården” är ett begrepp som sedan tidigare återfinns bland annat i portalparagrafen i PDL, 1 kap. 1 § PDL. Lagens tillämplighet gäller för personuppgiftsbehandling inom hälsooch sjukvården. Av författningskommentaren till 1 kap. 1 § PDL (prop. 2007/08:126 s. 222) framkommer att begreppet till en början innebär att personuppgiftsbehandlingen är tillämplig i en vårdgivares så kallade kärnverksamhet det vill säga då vårdgivaren tillhandahåller hälso- och sjukvård respektive tandvård åt patienter. Verksamheterna är inte närmare specificerade och inte heller vårdgivarens driftsform, det vill säga PDL är tillämplig i såväl offentligt som enskilt bedriven verksamhet och oavsett verksamhetsform. Någon kommentar om myndighetsindelning inom hälso- och sjukvårdsverksamheten finns inte, utan beroende på den aktuella vårdgivarens eventuella organisation är vårdgivaren en myndighet eller flera.
503Nya regler om vidareanvändning av personuppgifter för vårdändamål
Regioner har enligt kommunallagen (2017:725) en stor frihet att själva bestämma sin organisation. Regioner kan därmed vara organiserade på olika sätt och är också det. En del regioner är en enda myndighet, medan andra regioner inbegriper flera myndigheter. Det kan även vara så att det är flera myndigheter inom en region som bedriver hälso- och sjukvård. Nuvarande organisationsstrukturer kan också ändras i framtiden. Hur en region organisatoriskt ska inrätta och föra en precisionsmedicinsk databas ska enligt utredningens mening vara upp till regionen att bestämma, dock med motsvarande begränsning som gäller för nationella och regionala kvalitetsregister i det att det ska vara ”inom hälsooch sjukvården”. Personuppgiftsbehandling för den rent administrativa verksamheten utan direkt koppling till patientverksamheten – till exempel personaladministration – faller dock utanför lagens tillämpningsområde. Detsamma gäller forskning, såvida det inte är fråga om en vårdgivares så kallade patientnära eller kliniska forskning som innefattar patientjournalföring eller annan dokumentation som hör till vården. CPUA för kvalitetsregister kan variera. I många fall ligger ansvaret på regionstyrelser, men det kan också vara enskilda sjukhusmyndigheter. 7 Utredningen bedömer att det är av vikt att det är en regional myndighet inom just hälso- och sjukvården som får inrätta och föra precisionsmedicinsk databas. Det måste också innefatta myndigheter inom en region som har i uppdrag att fullgöra regionens ansvar som sjukvårdshuvudman eller vårdgivare Utredningen anser dock inte att en myndighet vars uppdrag inte avser hälso- och sjukvården ska få inrätta och föra en precisionsmedicinsk databas. Myndighet som bedriver annan typ av verksamhet än hälso- och sjukvård eller stöd till annan typ av verksamhet inom regioner, exempelvis en fastighetsförvaltande myndighet som tillhandahåller lokaler till hälso- och sjukvården ska inte anses omfattas av förslaget att få inrätta och föra en precisionsmedicinsk databas. Denna inskränkning torde enligt utredningen vara mer teoretiskt, då det inte kan anses sannolikt att vara aktuellt i praktiken. En sådan vid tolkning av begreppet ”inom hälso- och sjukvården” framstår enligt utredningen
7 Se till exempel uppgift om centralt personuppgiftsansvarig för kvalitetsregister inom cancerområdet, https://cancercentrum.se/samverkan/vara-uppdrag/kunskapsstyrning/kvalitetsregister/ registrerades-rattigheter/kontaktuppgifter-cpua/.
504Nya regler om vidareanvändning av personuppgifter för vårdändamål
inte som lämplig även om dessa uppdrag kan anses avse regionens ansvar som sjukvårdshuvudman eller vårdgivare. Däremot är det utredningens uppfattning att verksamhet inom en regional myndighet som har som uppdrag att stödja verksamhet inom hälso- och sjukvården, exempelvis genom att inom en regional myndighet tillhandahålla sådan infrastruktur som behövs för att inrätta och föra en precisionsmedicinsk databas, till exempel en it-förvaltning, ska få inrätta och föra en precisionsmedicinsk databas. Sammanfattningsvis anser utredningen att den bedömning som gjorts ligger i linje med den reglering som tillämpas för kvalitetsregister som förs ”inom hälso- och sjukvården”. Då tolkningarna är förenliga anser utredningen att det är möjligt och mest enhetligt att använda samma formuleringar inom PDL.
14.7.3 Den Nationella Genomikplattformen och
precisionsmedicinsk databas i varje samverkansregion
Utredningen har förslagit att det ska få inrättas och föras precisionsmedicinska databaser i regionala myndigheter. Regionerna ansvarar för uppgifter som är gemensamma för stora geografiska områden och som ofta kräver stora ekonomiska resurser. Förutsättningarna att bedriva en god och effektiv hälso- och sjukvård varierar mellan dagens 21 regionala sjukvårdshuvudmän. Möjligheten att bedriva en god och effektiv vård, samt forskning och utveckling av hög kvalitet, förutsätter ofta högre patientvolymer och mer resurser än vad som är fallet för varje enskild sjukvårdshuvudman. Samtidigt finns ett nationellt intresse av att kunna tillvarata och vidareutveckla NGP som redan i dag finns och används för forskning kopplat till precisionsmedicin.
Samverkansregionala precisionsmedicinska databaser
För hälso- och sjukvård som berör flera regioner har regeringen enligt 6 kap. 1 § 1 punkten HSL, möjlighet att föreskriva om att landet ska delas in i så kallade ”samverkansregioner” för den hälso- och sjukvård som berör flera regioner. Bestämmelsen i 7 kap. 8 § HSL anger också att regioner i frågor om hälso- och sjukvård som berör flera regioner, ska regionerna samverka. Av 3 kap. 1 § HSF framgår att landet har delats in i sex samverkansregioner för sådan hälso- och sjuk-
505Nya regler om vidareanvändning av personuppgifter för vårdändamål
vård som berör flera regioner: Stockholmsregionen, Linköpingsregionen, Lund/Malmöregionen, Göteborgsregionen, Uppsala/Örebroregionen och Umeåregionen. Befolkningsunderlagen i samverkansregionerna varierar kraftigt, alltifrån cirka 2,5 miljoner invånare i Stockholmsregionen till cirka 900 000 invånare i Umeåregionen. Samverkansregionerna är administrativa enheter och syftar till att möjliggöra samverkan kring regionsjukvård samt kring övergripande frågor som rör styrning med kunskap i de regioner som ingår i samverkansregionen. Samverkansregionerna benämndes tidigare, och gör ibland fortfarande att, för sjukvårdsregioner. I varje samverkansregion finns en samverkansnämnd, som består av politiker från aktuella sjukvårdshuvudmän. Nämnden är det huvudsakliga forumet för samverkan i regionen och har bland annat till uppgift att samordna den högspecialiserade vården. Samverkansnämnden fattar rådgivande beslut. Besluten fastställs därefter i vart och ett av de ingående regionerna. Samverkansnämnderna var från början en relativt homogen funktion, men ser i dag mer olika ut vad gäller utformning och ansvar. I Umeåregionen och Linköpingsregionen har exempelvis de ingående regionerna valt att utveckla samverkansnämnden och skapa en plattform med ett tydligare beslutsmandat. I Umeåregionen har samverkansnämnden omvandlats till ett regionförbund, som är ett kommunalförbund med de ingående regionerna som medlemmar. I Linköpingsregionen har i stället en regionsjukvårdsnämnd inrättats, med placering i Region Östergötlands linjeorganisation. Särskilda avtal reglerar ansvar och uppgifter för samverkans- och regionsjukvårdsnämnder samt för regionförbund. Den verksamhet som huvudsakligen bedrivs inom samverkansregionerna är så kallad regionsjukvård (även kallad utomlänsvård), utveckling och utbildning, regionala medicinska råd eller motsvarande, samt solidariskt finansierade verksamheter, som regionala cancercentrum. I avtalen inom samverkansregionerna anges även att universitetssjukhusen ska ses som en gemensam regional angelägenhet och att en grundläggande uppgift för samverkansregionen är att komma överens om prislistan för regionsjukvården (prop. 2017/18:40 s. 8). Det finns tre nivåer i den svenska sjukhusvården – länsdelssjukhus, länssjukhus och regionsjukhus eller så kallade universitetssjukhus. I Sverige finns ett tjugotal länssjukhus och ett fyrtiotal länsdelssjukhus. Länssjukhusen har de flesta typer av specialistmottagningar och
506Nya regler om vidareanvändning av personuppgifter för vårdändamål
avancerad medicinsk utrustning som täcker de flesta sjukhusområden. Länsdelssjukhusen är enklare och har ett urval av mottagningar. Begreppet universitetssjukhus är inte närmare definierat. Universitetssjukhus kännetecknas av att ett sjukhus som förutom sjukvård också bedriver medicinsk forskning och utbildning av olika yrkesgrupper inom sjukvård, exempelvis läkare och sjuksköterskor. I Sverige finns, sedan universitetssjukhusen i Malmö och Lund bildat en gemensam enhet år 2010, sju universitetssjukhus. Varje universitetssjukhus innehar även rollen som regionsjukhus i en av de sex sjukvårdsregionerna. Med regionsjukhus avses ett sjukhus med resurser för länsdels-, läns-, region- och i vissa fall rikssjukvård. Sällsynta och komplicerade sjukdomar och skador behandlas vid regionsjukhusen, liksom sjukdomar och skador som kräver mer omfattande eller avancerad behandling, ofta efter remiss från länssjukvården. En stor andel av remitteringarna är av akut karaktär. Vid regionsjukhusen sker även diagnostik i en betydande omfattning dels efter att patienten remitterats dit, dels genom analys av insända prover. Det finns sju sjukhus i Sverige som kategoriseras som regionsjukhus. I varje sjukvårdsregion finns således minst ett regionsjukhus. Som ovan nämnt räknar sig samtliga som universitetssjukhus. Regionsjukhusen enskilt svarar för en betydande andel av hela rikets sjukhusvård (cirka 28 procent) mätt i vårdtillfällen i slutenvård. I vissa regioner kan det finnas vårdenheter utanför regionsjukhusen som bedriver högspecialiserad riks- och regionsjukvård, exempelvis viss thoraxkirurgi. Sådana regionkliniker har liksom regionsjukhusen hela sjukvårdsregionen som sitt upptagningsområde och bedriver liksom regionsjukhusen forskning och utvecklingsarbete. Sjukhusbenämningarna tar inte enbart sikte på den hälso- och sjukvård som bedrivs, utan lika mycket på indelningen av sjukhusens upptagningsområden. Det finns inga exakta och gemensamma uppdragsbeskrivningar för de olika nivåerna. I stället avgör, i linje med det kommunala självstyret, respektive region själva hur de ska styra och organisera vården. Den högspecialiserade vården utgör en begränsad del av det totala vårdutbudet och utförs i huvudsak på regionsjukhusen (universitetssjukhusen). Precisionsmedicin bygger på avancerad analys av hälsodata, till exempel genetiska data. I dag hanteras denna typ av data av flera olika fragmenterade system, främst vid universitetssjukhusen. Med beakt-
507Nya regler om vidareanvändning av personuppgifter för vårdändamål
ande av ovanstående resonemang kring den nivåstrukturering som finns i hälso- och sjukvården, den kommunala kompetensen som medför att landets regioner har indelat sig i varierande antal myndigheter samt det faktum att det sedan länge redan finns en indelning i strukturella grupperingar för samverkan i form av samverkansregioner, ser utredningen det som motiverat att hänföra inrättandet och förandet av de precisionsmedicinska databaserna till samverkansregionerna. Sammanlagt skulle landet därmed kunna få sammanlagt sju precisionsmedicinska databaser varav en ska föras inom NGP och resterande sex i respektive samverkansregion i landet. En sådan ytterligare differentiering och renodling av de precisionsmedicinska databaserna i landet skulle även ha en ytterligare integritetshöjande effekt. Utredningen föreslår att endast en regional myndighet inom hälsooch sjukvården får inrätta och föra en precisionsmedicinsk databas samt att regeringen med stöd av 8 kap. 7 § regeringsformen får meddela föreskrifter om vilka precisionsmedicinska databaser som får föras enligt den föreslagna lagen. Som ytterligare precisering föreslår utredningen att regeringen i förordning meddelar att endast en regional myndighet inom hälso- och sjukvården i var och en av de sex samverkansregionerna enligt 3 kap. 1 § HSF får inrätta och föra en precisionsmedicinsk databas. Angående personuppgiftsbehandlingen i sådan databas, se avsnitt 14.5.2. Utredningen anser sammanfattningsvis att en ytterligare avgränsning avseende de precisionsmedicinska databaserna behövs och är motiverad. Utredningen föreslår att av de regionala myndigheter som får inrätta och föra de precisionsmedicinska databaserna ska avgränsas ytterligare genom att koppla de regionala precisionsmedicinska databaserna till samverkanregionerna för att på så sätt kunna tillgodose kapacitet, integritetsskydd och ansvar för databaserna.
Precisionsmedicinsk databas inom den Nationella
Genomikplattformen
GMS är en nationell satsning inom precisionsmedicin som består av de sju regionerna med universitetssjukvård (Region Skåne, Västra Götalandsregionen, Region Östergötland, Region Örebro, Region Stockholm, Region Uppsala och Region Västerbotten) och de sju universiteten med medicinska fakulteter (Lunds universitet, Göteborgs universitet, Linköpings universitet, Örebro universitet, Karolinska
508Nya regler om vidareanvändning av personuppgifter för vårdändamål
institutet, Uppsala universitet och Umeå universitet). De regioner som ingår i GMS deltar på vissa håll med olika myndigheter. Det kan i praktiken innebära att både enskilda sjukhusförvaltningar och andra myndigheter, såsom en it-förvaltning, är involverade och bidrar i arbetet med GMS. Samtliga förvaltningar som arbetar med GMS inom sin respektive region får anses vara regionala myndigheter som ingår i GMS. GMS har byggt upp en nationell it-infrastruktur, NGP, för att underlätta datadelning mellan GMS parter. Syftet med etableringen av plattformen har varit att på ett smidigt sätt möjliggöra datadelning som krävs för vård, forskning och utveckling av precisionsmedicin. Eftersom det i dag inte är möjligt att dela data för ändamålet vården av en annan patient än den personuppgifterna avser mellan vårdgivarna som ingår i GMS så har plattformen endast börjat användas för ändamålet forskning. Samarbetet inom GMS är grundat på olika typer av avtal som samtliga i GMS ingående parter undertecknat. NGP har tre huvudsakliga funktioner: 1. lagra genomik- och hälsodata enligt överenskomna standarder, 2. söka och dela data på nationell nivå, 3. analysera data för att identifiera kliniskt relevanta genetiska för- 8 ändringar.
Infrastrukturen möjliggör också framtida delning av genomikdata med nationella kvalitetsregister, journalsystem och industrin samt med internationella aktörer. Detta är något som kan aktualiseras först när rättsliga möjligheter finns på plats. Nedan följer en översikt av den NGP:s möjligheter i dag (helifyllda pilar) och funktioner som är tänkta att utvecklas framöver (streckade pilar).
8 https://genomicmedicine.se/2023/05/03/varfor-behovs-en-nationell-genomikplattform/ (Hämtat 2023-08-17).
509Nya regler om vidareanvändning av personuppgifter för vårdändamål
Figur 14.1 Översikt av Nationella Genomikplattformens
möjligheter i dag och framöver
Källa : https://genomicmedicine.se/wp-content/uploads/2023/04/Nationella-Genomikplattformendigital-broschyr.pdf (hämtat 2023-08-17).
NGP driftas i dag från Västra Götalandsregionen. GMS stödjer införandet av precisionsmedicin inom vården och på så sätt stärks även svensk forskning och innovation för att utveckla morgondagens diagnostik och behandlingar inom hälso- och sjukvården. Ytterst handlar NGP om att förbättra hälsan i befolkningen och att stärka patientens ställning och möjlighet att bidra till sin vård och behandling. Potentialen med NGP begränsas eftersom det i dagsläget inte finns rättsligt stöd för personuppgiftsbehandling för vården av en annan patient än den personuppgifterna avser, något som GMS flera gånger har påtalat behovet av. Datadelning mellan regioner är en förutsättning för implementeringen av precisionsmedicin i hälso- och sjukvården. För att kunna göra korrekta bedömningar behövs det, enligt GMS, dels tillgång till genomikdata från andra patienter och då oftast också från andra regioner, dels mer kunskap om respektive patient såsom uppgifter om kön, ålder, bakgrunden till att undersökningen utfördes, klinisk bedömning, andra bakomliggande hälsotillstånd hos patienten, klinik som utfört undersökning och tolkning
510Nya regler om vidareanvändning av personuppgifter för vårdändamål
av fynd. Tillgången till sådana uppgifter är enligt GMS kritisk för att framför allt patienter med sällsynta diagnoser ska få tillgång till jämlik och god vård över hela landet. Utredningen gör bedömningen att GMS får anses ha ett rättmätigt behov av att även få vidareanvända uppgifterna i NGP för vården av annan patient än den som uppgifterna avser. För att fullt ut kunna implementera precisionsmedicin krävs datadelning som innefattar alla landets regionsjukhus och har mer av en ”nationell” karaktär. Vid till exempel sällsynta diagnoser eller undergrupper av olika cancerformer som innebär små patientgrupper, räcker det inte med delning inom en samverkansregion. De relevanta data som finns om patienter med sällsynta sjukdomar eller som tillhör små patientgrupper finns oftast samlade hos landets regionsjukhus, eftersom det är där som dessa patientgrupper vårdas. En precisionsmedicinsk databas syftar till att skapa underlag för att förebygga, utreda eller behandla sjukdomar och skador hos en annan patient än den som uppgifterna avser. NGP finns, rent juridiskt, i dag hos regionstyrelsen inom Västra Götalandsregionen. Ett alternativ skulle därför vara att i förordningen peka ut regionstyrelsen i Västra Götalandsregionen som den regionala myndighet som får föra den precisionsmedicinska databasen inom NGP. Därmed kan det anses naturligt att låta Västra Götalandsregionen få det utpekade ansvaret för den nationella regionala precisionsmedicinska databasen. Regionstyrelsen skulle då vara centralt personuppgiftsansvarig för NGP. Utredningen anser dock inte att det är en lämplig lösning. Även om det inte är sannolikt att NGP skulle flyttas skulle ett utpekande i förordningen låsa fast förandet av databasen i en lösning som inte är flexibel och som kan visa sig inte vara ändamålsenlig över tiden (för liknande resonemang, se angående nationella och regionala kvalitetsregister i prop. 2007/08:126, s. 183). Det bör således lämnas till de myndigheter som samarbetar inom ramen för GMS att bestämma hos vilken regional myndighet inom hälso- och sjukvården som den precisionsmedicinska databasen ska föras. Utredningen uttrycker det som att den precisionsmedicinska databasen får föras ”inom” Nationell Genomikplattform. Utredningen syftar då på NGP som en generell it-infrastruktur som innefattar olika tekniska lösningar, där precisionsmedicinsk databas kan utgöra en av funktionerna.
511Nya regler om vidareanvändning av personuppgifter för vårdändamål
Sammantaget föreslår utredningen att det i förslag till förordning om precisionsmedicinsk databas införs en reglering om att det även får inrättas och föras en precisionsmedicinsk databas inom NGP.
14.7.4 Tillåten behandling av personuppgifter
i precisionsmedicinsk databas
Förslag : Regional myndighet inom hälso- och sjukvården som för precisionsmedicinsk databas får endast behandla de personuppgifter som behövs för syftet med databasen.
Tillåten behandling av personuppgifter i precisionsmedicinsk databas bör regleras. Den regionala myndighet som för databas behöver ha tillåtelse att behandla personuppgifter i syfte att föra databasen och i egenskap av ansvarig för central behandling av personuppgifter i databasen. Utredningen har övervägt om en uppräkning av tillåtna personuppgifter ska göras i lagen eller om det ska vara en mer allmänt formulerad bestämmelse. För ändamålet som helhet samt avseende tillgängliggörande till precisionsmedicinsk databas föreslår utredningen en bestämmelse med ett behovskriterium, se avsnitt 14.4.2 och 14.6.3. Vid en jämförelse med regleringen av nationella och regionala kvalitetsregister kan följande konstateras. Av 7 kap. 8 § första stycket PDL följer att endast sådana personuppgifter som behövs för ändamål som anges i 4 § får behandlas i ett nationellt eller regionalt kvalitetsregister. En enskilds personnummer eller namn får enligt bestämmelsens andra stycket behandlas i ett nationellt eller regionalt kvalitetsregister endast om det inte är tillräckligt för ändamål som anges i 4 § att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde. I 7 kap. 8 1 tredje stycket regleras att uppgifter om hälsa får behandlas i nationella och regionala kvalitetsregister. Vidare följer av bestämmelsen att andra känsliga personuppgifter får behandlas i nationella och regionala kvalitetsregister endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det. Utredningen anser att regleringen även i denna del ska formuleras utifrån ett behovskriterium. Det låter sig svårligen preciseras vilka uppgifter som behöver behandlas för förandet av den precisionsmedi-
512Nya regler om vidareanvändning av personuppgifter för vårdändamål
cinska databasen. Däremot är det enligt utredningens mening för brett att koppla behovet i denna del till hela ändamålet. Det är endast de personuppgifter som behöver behandlas för syftet med databasen som ska omfattas av bestämmelsen. Även om en uppräkning eller annan precisering av vilka uppgifter som behöver behandlas för syftet med databasen inte låter sig göras, ser utredningen ett värde i att beskriva vad det kan vara fråga om. Först och främst avser det behandling av de personuppgifter som tillgängliggörs till databasen. Dessa ska lagras och kan även behöva behandlas på annat sätt. Exempelvis ska uppgifter utplånas i händelse av att en patient, efter att ett tillgängliggörande har skett, motsätter sig detta, se avsnitt 14.10.5. Tillgängliggörande sker av pseudonymiserade uppgifter. Behandling av exempelvis namn och personnummer behövs enligt utredningens mening inte för syftet med databasen. Däremot kommer uppgift om vårdgivare och löpnummer eller motsvarande för patienterna att finns i databasen. Den regionala myndighet som för databasen utgör vidare en länk mellan de vårdgivare som tillgängliggör uppgifter och den myndighet som önskar begära kompletterande uppgifter från patientjournal, se avsnitt 14.9.
14.7.5 Behörighet, befogenhet och kontroll hos myndigheten
som för precisionsmedicinsk databas
Förslag : Den som arbetar hos en regional myndighet inom hälsooch sjukvården som för en precisionsmedicinsk databas får ta del av personuppgifter i databasen endast om han heller hon behöver uppgifterna för sitt arbete med databasen. En bestämmelse som upplyser om att reglerna i 4 kap. 2 och 3 §§ PDL gäller vid förande av precisionsmedicinsk databas ska införas i 6 kap. PDL.
Bedömning: De allmänna reglerna om behörighet i 4 kap. 2 § PDL samt föreskrifter som har meddelats med stöd av 4 kap. 2 § tredje stycket PDL gäller. Den allmänna regeln om kontroll av elektronisk åtkomst i 4 kap. 3 § PDL samt föreskrifter som meddelats med stöd av 4 kap. 3 § andra stycket gäller för förandet av en precisionsmedicinsk databas.
513Nya regler om vidareanvändning av personuppgifter för vårdändamål
Den regionala myndighet som utses till centralt personuppgiftsansvarig och därmed får föra en precisionsmedicinsk databas behöver kunna tilldela medarbetare behörighet för åtkomst till personuppgifter i databasen för att kunna hantera eventuella säkerhetsfrågor, utplåna uppgifter (se avsnitt 14.10.5) och exempelvis hantera utlämnande enligt uppgiftsskyldighet enligt lag eller förordning (se vidare avsnitt 14.4.4). I 4 kap. 2 § PDL fastställs en vårdgivares skyldighet att bestämma villkoren för behörighet för de som ingår i vårdgivarens organisation. I bestämmelsen anges att behörigheten ska begränsas till vad som behövs för att den enskilde medarbetaren ska kunna utföra sina arbetsuppgifter inom hälso- och sjukvården. Bestämmelsen gäller för all vårdgivares verksamhet (se prop. 2007/08:126 s. 239 och prop. 2021/22:177 s. 142). PDL gäller för den individinriktade patientvården inom hälsooch sjukvården. Med hälso- och sjukvården avses åtgärder för att förebygga, utreda och behandla sjukdomar och skador hos enskilda oavsett om det sker inom ramen för verksamhet som styrs av HSL eller sådan annan lagstiftning som uppges i 1 kap. 3 § PDL (prop. 2007/08:126 s. 49). Förandet av en precisionsmedicinsk databas för ändamålet vården av en annan patient än den som uppgifterna avser sådan individinriktad patientvård som regleras av HSL och förandet av databasen bör därmed ses som arbetsuppgifter inom hälso- och sjukvården. Av detta följer att 4 kap. 2 § PDL bör kunna tillämpas för tilldelandet av behörigheter inom en central personuppgiftsansvarigs organisation. Åtkomsten till databasen av medarbetare i vårdsyfte regleras dock i en annan bestämmelse se 6 kap. 17 § PDL i utredningens förslag. Av de skäl som angetts i avsnitt 13.9 har utredningen dock inte ansett att behandla personuppgifter för ändamålet vården av en annan patient än den uppgifterna avser ryms inom ordalydelsen eller systematiken av 4 kap. 1 § PDL. Härvid har utredningen gjort bedömningen att led ett av bestämmelsen, ”får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten”, tyder på att det är samma patient som avses. Vidare anser utredningen att uttrycket ”annat skäl” i bestämmelsen ska läsas mot ändamålsbestämmelsen i 2 kap. 4 § PDL och då rimligen avser arbetsuppgifter som innefattar behandling av personuppgifter enligt första stycket punkterna 3–7. Det bör även omfatta behandling av personuppgifter som följer av 2 kap. 5 § PDL. Dessa bestämmelser avser inte behandling av personuppgifter för ”vård”.
514Nya regler om vidareanvändning av personuppgifter för vårdändamål
Då 4 kap. 1 § PDL inte kan anses tillämplig bedömer utredningen att det behövs en särskild befogenhetsregel som också tydliggör att de medarbetare som arbetar hos en centralt personuppgiftsansvarig ska inte samtliga ha tillgång till uppgifterna i databasen. Endast de som utifrån sina arbetsuppgifter med förandet av databasen ska ha åtkomst till databasen för det, och de medarbetare som har behov av tillgång till personuppgifterna i den precisionsmedicinska databasen i syfte att kunna vårda patienter, kommer göra det med stöd av en annan bestämmelse.
Om kontroll av den elektroniska åtkomst som sker inom
ramen för förandet av en precisionsmedicinsk databas
I 4 kap. 3 § PDL finns krav på att en vårdgivare ska dokumentera och kontrollera den åtkomst som sker till de uppgifter om patienter som förs helt eller delvis automatiserat. De frågor som uppstår är om det vid urval och tillgängliggörande till en precisionsmedicinsk databas behövs en särskild regel om kontroll av den åtkomst som föranletts med anledning av det eller om den befintliga bestämmelsen kan anses tillämpbar och om den utgör ett tillräckligt krav för att uppnå det önskade syftet. Vid införandet av 4 kap. 3 § PDL anfördes att det med bestämmelsen avsågs tydliggöra vårdgivarens ansvar att kontrollera och följa upp behörighetstilldelning och på så vis lättare kunna beivra eventuell obehörig åtkomst som skett (prop. 2007/08:126 s. 149 f.). I det skede när det rör sig om urval och tillgängliggörande till en precisionsmedicinsk databas anser utredningen att den behandlingen till stor del kan jämställas med den hantering som sker i dag för att tillgodose olika uppgiftslämnande, även i de fall då tillgängliggörandet innebär ett utlämnande i TF:s mening. Eftersom 4 kap. 3 § PDL gäller alla personuppgifter som hos en vårdgivare behandlas på automatiserad väg, ska det även gälla för kontroll av elektronisk åtkomst samt direktåtkomst för en precisionsmedicinsk databas (jämför prop. 2007/08:126 s. 149 och s. 183, prop. 2021/22:77 s. 145).
515Nya regler om vidareanvändning av personuppgifter för vårdändamål
14.7.6 Uppgifter i en precisionsmedicinsk databas
kan vara allmänna handlingar
En fråga som uppkommer är om personuppgifter i en precisionsmedicinsk databas kan utgöra allmänna handlingar hos, dels en regional myndighet inom hälso- och sjukvården som för en precisionsmedicinsk databas, dels en myndighet som genom direktåtkomst har tillgång till uppgifter i databasen, se vidare om direktåtkomst i avsnitt 14.8.2. Utredning gör följande överväganden i denna fråga. En handling är allmän, om den förvaras hos en myndighet och enligt 2 kap. 9 eller 10 §§ tryckfrihetsförordningen (1949:105), förkortad TF, är att anse som inkommen eller upprättad hos en myndighet (2 kap. 4 § TF). Med handling avses en framställning i skrift eller bild samt en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt (2 kap. 3 § TF). Personuppgifter som tillgängliggörs till en precisionsmedicinsk databas kommer enligt utredningens bedömning utgöras av upptagningar enligt 2 kap. 3 § TF. Vårdgivare får tillgängliggöra personuppgifter till en precisionsmedicinsk databas, se avsnitt 14.6. Tillgängliggörandet av personuppgifter kommer enligt utredningens bedömning typiskt sett medföra att en eller flera upptagningar anses inkomna hos den myndighet som för den precisionsmedicinska databasen. Tillgång till personuppgifter genom direktåtkomst eller annat elektroniskt utlämnande medför också enligt utredningens mening att en eller flera upptagningar anses inkomna hos den myndighet som har tillgången. En upptagning anses förvarad hos en myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt (2 kap. 6 § TF). Utredningen gör bedömningen att förande av precisionsmedicinsk databas, samt de centrala personuppgiftsansvar är förknippat med det, kommer att kunna innebära inrättande av sådana tekniska lösningar som medför att upptagningar i databasen är tillgängliga för den myndighet som för databasen på sådant sätt att upptagningen anses förvarad i den mening som avses i bestämmelsen. Utredningen gör även bedömning att direktåtkomst till en precisionsmedicinsk databas innebär att upptagningar i databasen också kan anses vara förvarade hos de myndigheter som har direktåtkomst till databasen (jämför prop. 2021/22:177 s. 97).
516Nya regler om vidareanvändning av personuppgifter för vårdändamål
Utredningen finner i sammanhanget anledning att beröra frågan om personuppgifter i en precisionsmedicinsk databas kan utgöra så kallade potentiella handlingar och om den så kallade begränsningsregeln i 2 kap 7 § TF kan vara tillämplig.
Potentiella handlingar och begränsningsregeln
I 2 kap 3 § TF anges att med handling avses en framställning i skrift eller bild samt en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt. Ur förvaringshänseende görs en åtskillnad mellan elektroniska handlingar och handlingar som utgör sammanställningar av uppgifter ur en upptagning för automatiserad behandling, så kallade potentiella handlingar. Någon legaldefinition av begreppen finns inte. Med färdig elektronisk handling avses enligt förarbetena sådana elektroniska handlingar där utställaren – myndigheten eller den som lämnat in handlingen till myndigheten – har gett den ett bestämt, fixerat innehåll som går att återskapa gång på gång. Som typiska exempel på färdiga elektroniska handlingar nämns e-brev, promemorior, protokoll och beslut i elektronisk form (prop. 2001/02:70 s. 20). En ytterligare inskränkning i fråga om förvaringskriteriet föreskrivs i 2 kap. 7 § TF och innebär att en sammanställning av uppgifter ur en upptagning för automatiserad behandling inte anses förvarad hos myndigheten om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Endast begränsningar i lag eller förordning, till exempel förbud i så kallade registerförfattningar för en myndighet att använda vissa sökbegrepp eller att ta fram sammanställningar genom samkörning mellan olika register, är relevanta. Färdiga elektroniska handlingar omfattas inte av bestämmelsen 2 kap. 7 § TF. Sådana handlingar är alltid att anse som förvarade hos en myndighet även om de innehåller personuppgifter och även om det i lag eller förordning finns förbud för myndigheten att använda vissa sökbegrepp vid sökning efter handlingarna (prop. 2001/02:70, s. 38). I en precisionsmedicinsk databas kan enligt utredningens bedömning finnas både färdiga elektroniska handlingar och så kallade potentiella handlingar. Exempel på en färdig elektronisk handling kan vara uppgifter om en viss patient som kopplats till ett löpnummer. Ett
517Nya regler om vidareanvändning av personuppgifter för vårdändamål
exempel på potentiell handling kan enligt utredningens mening vara utfallet av en specifik sökning i en precisionsmedicinsk databas. Om uppgifter i en precisionsmedicinsk databas är färdiga elektroniska handlingar kan enligt utredningens mening inte sägas generellt, utan beror på hur databasen är utformad och hur uppgifterna i den systematiseras. Om uppgifterna inte kan anses vara färdiga elektroniska handlingar, bör de enligt utredningen mening typiskt sett vara potentiella handling som de myndigheter som har tillgång till databasen skulle kunna sammanställa med i vart fall rutinbetonade åtgärder (jämför 2 kap. 6 § andra stycket TF). Mot bakgrund av kravet på pseudonymisering eller likvärdigt skydd för uppgifter i en precisionsmedicinsk databas, kommer dock uppgifterna inte vara tillgängliga för myndigheterna exempelvis utifrån sökning på personnummer eller namn. Detta innebär att inte går att sammanställa uppgifter i en precisionsmedicinsk databas utifrån den typen av kriterier och att det därmed inte heller är en förvarad handling hos myndigheterna. Utredningen föreslår villkor för behandling av personuppgifter i en precisionsmedicinsk databas som görs tillgängliga genom direktåtkomst eller annat elektroniskt utlämnande, se avsnitt 14.8.5. utredningens förslag om villkor är inte en sådan begränsning som avses i 2 kap. 7 § PDL (jämför prop. 2021/2022: 177, s. 98). Den allmänna bestämmelsen om sökbegränsningar i 2 kap. 7 § PDL är dock även tillämplig på uppgifter i en precisionsmedicinsk databas, se avsnitt 14.8.6.
14.8 Tillgång till personuppgifter
i precisionsmedicinsk databas
Förslag : Endast en regional myndighet inom hälso- och sjukvården får ges tillgång till en precisionsmedicinsk databas. Tillgång till personuppgifter i en precisionsmedicinsk databas får ges genom direktåtkomst eller annat elektroniskt utlämnande. Till samverkansregionala precisionsmedicinska databaser, får endast regionala myndigheter inom den samverkansregion där en samverkansregional precisionsmedicinsk databas förs ges tillgång. Till precisionsmedicinsk databas inom NGP får endast regionala myndigheter som ingår i GMS ges tillgång.
518Nya regler om vidareanvändning av personuppgifter för vårdändamål
Tillgången till personuppgifter i en precisionsmedicinsk databas ska utgå från var de största behoven av sådan tillgång finns. För att integritetsintrånget ska vara proportionerlig krävs att avgränsningar görs både avseende vilka aktörer som kan ges tillgång och vilka personer som inom aktörerna kan få behörighet att behandla personuppgifter i databasen. Frågor uppkommer också kring hur tillgången ska ges samt villkoren för behandling av personuppgifter i ett specifikt fall. I detta avsnitt finns utredningens överväganden och förslag i dessa frågor.
14.8.1 Behoven av tillgång till personuppgifter i databasen
I avsnitt 11.2.1, finns en beskrivning av precisionsmedicin. Precisionsmedicin syftar till att ge vård och behandling utifrån den enskilde patientens unika förutsättningar. Förenklat kan sägas att precisionsmedicin går ut på att ta reda på så mycket som möjligt om en specifik patient för att kunna ställa en så exakt diagnos som möjligt. Först då kan bästa möjliga behandlingen sättas in. Medfödda sällsynta sjukdomar, cancer och infektionssjukdomar är i dag de vanligaste områdena där den regionala specialiserade sjukvården använder sig av precisionsmedicin och skräddarsydda behandlingar efter patientens individuella förutsättningar. Till exempel kan genetisk profil eller specifika biomarkörer användas som hjälp för att förstå hur de individuella förutsättningarna ser ut. I dag är det till exempel tekniskt möjligt att undersöka hela arvsmassan vilket ger enorma mängder information att basera medicinska beslut på. När sådan information finns tillgänglig om andra patienter, som har samma eller liknande individuella förutsättningar, kan den informationen utgöra ett mycket värdefullt underlag för hälso- och sjukvårdens bedömningar. För att till exempel kunna jämföra olika intressanta fynd vid en genanalys utgör personuppgifter från andra patienter en viktig källa. Behandling av personuppgifter för ändamålet vården av annan patient än den personuppgifterna avser, är därför nödvändig inom precisionsmedicinen, för att kunna ta tillvara den kunskap som finns och individanpassa vården. De områden som detta förekommer inom är som tidigare nämnts bland annat vid utredning av sällsynta diagnoser och vid cancerdiagnostik. En gen- eller genomsekvensering är en avancerad och i dag förhållandevis kostsam åtgärd som främst förekommer inom den regio-
519Nya regler om vidareanvändning av personuppgifter för vårdändamål
nalt bedrivna specialiserade sjukvården. Detta kan ändras över tid allt eftersom precisionsmedicinen blir billigare och mer rutinartad. Utredningens bedömning är dock att vården av denna typ inte i närtid kommer bedrivas i exempelvis primärvården där allmänläkare på ett enkelt sätt kan fatta beslut baserat på genetiska data. När och om tekniken och vården blir mogen för det, kommer sannolikt regelverket ses över när dataförsörjningsbehoven sannolikt se annorlunda ut. Det är också rimligt att anta att tekniken och infrastrukturen för datadelning då också utvecklats och skapat nya förutsättningar. Behovet av att få tillgång till den precisionsmedicinska databasen är mot denna bakgrund enligt utredningens bedömning starkast inom den regionalt bedrivna specialiserade sjukvården. Det är exempelvis där som patienter med sällsynta diagnoser och olika cancerformer vårdas, där professionen i dag ser ett konkret värde i att jämföra data mellan patienter. Vad avser sällsynta diagnoser kopplat till gensekvensering, behöver vården till exempel kunna dela sekvensering av alla tekniskt korrekta varianter och alla tolkade varianter för att få en korrekt diagnostik. På cancerområdet kan nämnas behovet av att dela form och färg av genomet som är ovanliga. Detta är tillämpningar som utredningen uppfattar är aktuell inom den regionala specialiserade vården. Utifrån att det främst är inom den regionala specialiserade vården som behovet av sökning finns, har utredningen övervägt om tillgång endast ska få ges till regional myndighet inom den specialiserade hälso- och sjukvården. Utredningen anser dock inte att det är en lämplig lösning. Det skulle addera ytterligare ett sätt att uttrycka aktörerna på (utöver vårdgivare och regional myndighet inom hälso- och sjukvården). Om en begränsning görs skulle det också innebära att en tolkning behöver göras av vilka regionala myndigheter som omfattas. Utredningen anser att det blir onödigt komplicerat. Det väsentliga är enligt utrednings uppfattning att det är personal vid en regional myndighet inom hälso- och sjukvården som får ges tillgång. I detta sammanhang ska också ses utredningen förslag om särskild regel för tilldelning av behörighet till precisionsmedicinsk databas. Det ska endast vara den som arbetar inom den regionala specialiserade vården som ska kunna ges behörighet till precisionsmedicinsk databas. Detta krav tar sikte på att göra tillgången mer träffsäker i förhållande till de behov som är starkast. Utredningen anser att detta är ett mer ändamålsenligt
520Nya regler om vidareanvändning av personuppgifter för vårdändamål
sätt att göra begränsningen än att ytterligare snäva in aktören som får ges tillgång. Utanför den krets av aktörer som utredningens förslag avser finns myndigheter som bedriver primärvård, hälso- och sjukvård i kommunal regi och privata vårdgivare. Vad avser privata vårdgivares tillgång till personuppgifter i precisionsmedicinsk databas anser utredningen att det lämpligen utreds särskilt och tillsammans med andra frågor som rör privata vårdgivares vidareanvändning av hälsodata, se avsnitt 2.6.2. Även om uppgifter om andra patienter kan ha ett visst värde i vård som bedrivs även av andra aktörer än inom den regionalt bedrivna specialiserade sjukvården, gör utredningen bedömningen att det behovet inte väger så tungt att integritetsintrånget kan motiveras. I sammanhanget ska noteras att det utredningen lämnar förslag på är direktåtkomst till detaljerade personuppgifter om andra patienter. Det finns andra former av beslutsstöd som baserar sig på exempelvis aggregerade hälsodata från patienter som kan vara mer lämpliga att använda i annan hälso- och sjukvård.
14.8.2 Tillgång till personuppgifter genom direktåtkomst
eller annat elektroniskt utlämnande
Utredningen har i avsnitt 14.6.2 beskrivit vad direktåtkomst och annat elektronisk utlämnande innebär.
Behovet av direktåtkomst eller annat elektroniskt utlämnande
Tillgång till personuppgifter i en samverkansregional precisionsmedicinsk databas kan innebära att ett utlämnande av personuppgifter behöver ske från den regionala myndighet som för den precisionsmedicinska databasen till de andra regionala myndigheterna inom samverkansregionen som ska ha tillgång till databasen. Det är först fråga om utlämnande mellan myndigheter inom olika vårdgivare. Beroende på hur den region som för databasen är organiserad kan det även vara fråga om utlämnande mellan myndigheter inom den regionen. Tillgång till personuppgifter i den precisionsmedicinska databasen inom NGP kommer också behöva ske genom utlämnande till de regionala myndigheter som ingår i GMS. Syftet med en precisionsmedicinsk databas är att utgöra underlag för behandling av personuppgifter vid vården av en annan patient än
521Nya regler om vidareanvändning av personuppgifter för vårdändamål
den som uppgifterna avser. Praktiskt kommer databasen användas för att söka i efter relevant hälsodata, se avsnitt 13.2. I vissa situationer, till exempel inom cancerdiagnostik, kan det räcka med de uppgifter som finns i databasen för att åstadkomma den individanpassning av vården som är målet med användandet av databasen. Ibland kan sökningen i databasen vara en första ingång till en bredare utredning, till exempel vid sjukdomar med stark ärftlighet. För att precisionsmedicin ska kunna tillämpas i den kliniska vardagen, krävs en stående tillgång till den datamängd som relevant att göra sökningar i. Den som eftersöker information vet inte om någon relevant information finns eller vad den i så fall består i. Det kan vara en eller flera variabler i databasen som visar sig vara av värde för vården av patienten. Sökning kan behöva vara en iterativ process där ett visst utfall vid en sökning ger grund för nästa sökning. Utifrån detta och syftet med databasen är det inte tillräckligt att endast medge att ett avgränsat elektroniskt utlämnande sker. Tillgång genom direktåtkomst behöver därför vara tillåtet.
Behovet av en regel som tillåter direktåtkomst
eller annat elektroniskt utlämnande
Utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning (5 kap. 4 § PDL). Det behövs därmed en uttrycklig regel som tillåter direktåtkomst till precisionsmedicinsk databas, som täcker de situationer när tillgången är ett utlämnande. Utredningen har utifrån ett vårdgivar-/myndighetsperspektiv identifierat tre typsituationer där tillgång till precisionsmedicinsk databas kan ges: 1. Från en regional myndighet inom en vårdgivare till en regional myndighet inom en annan vårdgivare, 2. Från en regional myndighet till en annan regional myndighet inom samma vårdgivare eller 3. Inom samma regionala myndighet.
Dessa tre situationer redogörs för nedan. I typsituation 3 är det inte fråga om ett utlämnande, utan här gäller endast utredningens före-
522Nya regler om vidareanvändning av personuppgifter för vårdändamål
slagna regler om behörighet och villkor för sökning i databas, se avsnitt 14.8.3 och 14.8.4.
Mellan myndigheter hos olika vårdgivare
Tillgång till en precisionsmedicinsk databas ska kunna ges från en regional myndighet inom en vårdgivare till en regional myndighet inom en annan vårdgivare. Ett exempel på detta är att Karolinska universitetssjukhuset ska kunna ges tillgång till den precisionsmedicinska databasen inom NGP om den förs hos regionstyrelsen i Västra Götalandsregionen. Regler som tillåter direktåtkomst i en sådan situation finns i dag endast i SVOD. För att en myndighet inom en annan vårdgivare än den som för databasen ska kunna söka i den behöver direktåtkomst vara tillåtet över vårdgivargränser. Det finns i dag ingen sådan bestämmelse som kan tillämpas vid ändamålet vården av en annan patient än den som uppgifterna avser.
Mellan myndigheter inom en vårdgivare
Tillgång till en precisionsmedicinsk databas ska också kunna ges från en myndighet inom en region till en annan myndighet inom samma region. Regionen är en vårdgivare. I en sådan situation ges alltså tillgången mellan myndigheter inom en vårdgivare. Enligt 5 kap. 4 § andra stycket PDL gäller att om en region eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma region eller kommun. Utredningen gör bedömningen att regeln ger stöd för direktåtkomst i den situationen där en precisionsmedicinsk databas förs inom en regional myndighet och tillgång ska ges till en annan myndighet inom den regionen. Regeln avser dock endast ”direktåtkomst”. Utredningens föreslagna regler omfattar även ”annat elektroniskt utlämnade”. Utredningen konstaterar att utredningens förslag delvis överlappar med bestämmelsen i 5 kap. 4 § andra stycket PDL. Utredningen anser dock att det är motiverat med en regel om tillgång genom direktåtkomst eller annat elektroniskt utlämnande som gäller generellt för ändamålet vården av en annan patient än den som uppgifterna
523Nya regler om vidareanvändning av personuppgifter för vårdändamål
avser. Det blir tydligare om en samlad reglering finns i kapitel 6 PDL. Mot denna bakgrund anser utredningen att även utlämnande som ske mellan myndigheter i samma region ska omfattas av regeln om tillgång till precisionsmedicinsk databas.
Förhållandet till 5 kap. 6 § PDL
Utredningen föreslår en fullständig reglering av det utlämnande som får ske, det vill säga både direktåtkomst och annat elektroniskt utlämnande. Utredningen konstaterar att det delvis kan anses överlappa med regleringen i 5 kap. 6 § PDL som redan tillåter utlämnande på medium för automatiserad behandling. Utredningen anser dock att det av tydlighetskäl behövs en samlad bestämmelse som reglerar formerna för utlämnande kopplat till ändamålet vården av en annan patient än den som uppgifterna avser.
14.8.3 Till vilken eller vilka precisionsmedicinska
databaser ska tillgång ges?
Tillgång till precisionsmedicinsk databas ska följa reglerna som gäller för inrättande och förande av precisionsmedicinsk databas. Inrättande och förande av precisionsmedicinsk databas får ske inom var och en av de sex samverkansregionerna enligt 3 kap. 1 § HSF. Tillgång till en precisionsmedicinsk databas i en samverkansregion får följaktligen ges till de regionala myndigheter som omfattas av den samverkansregion där databasen förs. Exempelvis får tillgång till en precisionsmedicinsk databas som förs inom samverkansregion Mellansverige endast ges till de regionala myndigheter inom hälso- och sjukvården som omfattas av den samverkansregionen. Tillgång till den precisionsmedicinska databasen i samverkansregion Mellansverige får inte ges till regionala myndigheter inom exempelvis samverkansregion Syd. Vad avser precisionsmedicinsk databas inom NGP har utredningen gjort följande överväganden. I den precisionsmedicinska databasen inom NGP ges möjlighet att dela personuppgifter mellan regioner som bedriver universitetssjukvård. De personuppgifter som behöver delas är sådana där samlingen behöver omfatta ett bredare geografiskt urval än en samverkansregion. Spridningen sker då mellan större geografiska områden. Utredningen anser att det av integritetsskäl endast bör
524Nya regler om vidareanvändning av personuppgifter för vårdändamål
vara de regionala myndigheter inom ingår i GMS som kan ges tillgång till den precisionsmedicinska databasen inom NGP. Det är också där som de största behoven finns av tillgång till de personuppgifter som samlas där. Endast de regionala myndigheter som ingår i GMS får alltså enligt utredningens förslag ges tillgång till personuppgifter som behandlas i den precisionsmedicinska databasen inom NGP.
14.8.4 Behörighet för tillgång till precisionsmedicinsk databas
Förslag : När en regional myndighet inom hälso- och sjukvården bestämmer villkor för tilldelning av behörighet enligt 4 kap. 2 § PDL, får behörighet till en precisionsmedicinsk databas endast tilldelas den som arbetar i den specialiserade vården och som behöver åtkomsten för sitt arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter.
Utredningen föreslår en särskild bestämmelse som gäller vid tilldelning av behörighet till en precisionsmedicinsk databas. Bestämmelsen kompletterar 4 kap. 2 § första stycket PDL. Utredningens överväganden följer nedan.
Det behövs en särskild bestämmelse om behörighet
För att ytterligare snäva in åtkomsten till personuppgifterna föreslår utredningen en särskild bestämmelse om behörighet som är specifikt anpassad för ändamålet. Utredningen har övervägt behovet av en särskild bestämmelse. Det hade kunnat tänkas att ingen särskild bestämmelse om behörighet föreslogs och att enbart regeln i 4 kap. 2 § första stycket PDL skulle gälla. I den bestämmelsen anges att en vårdgivare ska bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat och att denna behörighet ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Utredningen anser att denna regel är för generell sett till det behov som finns att få behörighet till en precisionsmedicinsk databas. Utredningens uppfattning är att det främst är i den specialiserade hälso- och sjukvården
525Nya regler om vidareanvändning av personuppgifter för vårdändamål
som behovet av att söka i en precisionsmedicinsk databas finns och att regeln i 4 kap. 2 § första stycket PDL är för bred i detta sammanhang. Behovet beskrivs mer utförligt i avsnitt 14.8.1. Behovet av att söka i precisionsmedicinsk databas är alltså knutet till den specialiserade vården. Med anledning av detta anser därför utredningen att det i 6 kap. PDL tydliggörs att utöver de ställningstaganden som följer av 4 kap. 2 § första stycket PDL och 4 kap. 2 § i HSLF-FS 2016:40 som den aktuella personuppgiftsansvarige gör, får tilldelning av behörighet, endast ges till en person som arbetar i den specialiserade vården och som behöver åtkomsten för sitt arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter. Utredningen anser att detta är det lämpligaste sättet att ge uttryck för att 4 kap. 2 § PDL alltjämt ska tillämpas, dock med den begränsning i vilka som kan få behörighet till precisionsmedicinsk databas. Nedan följer en redogörelse för utredningens syn på innebörden av begreppet specialiserade vården. Att det är särskilt motiverat med en begränsning av vilka som ska ges behörighet till en precisionsmedicinsk databas följer av att det rör sig om en ny samling av en stor mängd känsliga personuppgifter, som berörda medarbetare inte skulle fått tillgång till annars och att utredningen i 6 kap. PDL ämnar reglera tillgången på ett så heltäckande sätt som möjligt. Utredningen anser att det är av största vikt att förtroendet för precisionsmedicinska databaser upprätthålls genom att bland annat minska riskerna för obehörig åtkomst (se vidare under avsnitt 14.6.6). Utredningen anser att föreslaget tillägg till 4 kap. 2 § första stycket PDL är en viktig integritetsskyddande åtgärd.
Betydelsen av den specialiserade vården
Behörigheten ska, som ovan beskrivet, kopplas till att någon arbetar inom den specialiserade vården. Fråga uppstår då vad som menas med att någon arbetar inom den specialiserade vården. Begreppet specialiserade vården är inte definierat i lag. Begreppet förekommer däremot i lag, exempelvis kopplat till regleringen om vårdgaranti i 9 kap. 1 § 3 HSL och motsvarande reglering i 2 kap. 3 § 3 patientlagen (2014:851). I förarbetena till dessa regleringar definieras inte den specialiserade vården specifikt eller på något entydigt sätt, utan snarare beskrivs framväxten av den specialiserade vården
526Nya regler om vidareanvändning av personuppgifter för vårdändamål
(se exempelvis redogörelsen om expansionen av sjukvården och den specialiserade vården i SOU 2019:29 s. 46 ff.). Begreppet ingår även som en del av begreppet nationell högspecialiserad vård, definierad i 2 kap. 7 § HSL. Specialiserad vård är enligt Socialstyrelsens termbank sådan hälsooch sjukvårdsverksamhet som kräver mer specialiserade åtgärder än 9 vad som kan ges i primärvård (termstatus rekommenderad). Termen specialistvård förekommer inte i Socialstyrelsens termbank. Begreppet specialistvård är inte uttryckligen definierad i någon författning. Däremot förekommer begreppen specialistkompetens och specialisttjänstgöring dock som begrepp i kontext med person, se till exempel i 4 kap. 3 § HSL och 10 kap. 5 § HSL som beteckning för att personen arbetar i den specialiserade vården. Däremot är begreppet primärvård definierat i HSL. I 2 kap. 6 § HSL anges att med primärvård avses hälso- och sjukvårdsverksamhet där öppen vård ges utan avgränsning när det gäller sjukdomar, ålder eller patientgrupper. Primärvården svarar för behovet av sådana åtgärder i form av medicinsk bedömning och behandling, omvårdnad, förebyggande arbete och rehabilitering som inte kräver särskilda medicinska eller tekniska resurser eller någon annan särskild kompetens. Paragrafen sågs nyligen över för att moderniseras och anpassas till de strukturella förändringar som skett på hälso- och sjukvårdsområdet (prop. 2019/20:164 s. 69). Begreppen specialiserad vård och specialistvård synes enligt utredningen ha i princip samma innebörd som båda syftar till att vara den vård som ges om inte primärvård ges och det inte är fråga om den nationella högspecialiserade vården. Specialistvården omnämns vanligen som en beskrivande term av den faktiska vård som den specialiserade vården utför. Utredningens uppfattning är även att den specialiserade vården är motsatsvis den vårdnivå som anges i definitionen av primärvård i enligt 2 kap. 6 § HSL. Motsatstolkningen ligger därmed även i linje med den förklaring som finns för den specialiserade vården i Socialstyrelsens termbank och begreppet stämmer lagtekniskt överens med begreppets användning i HSL. Till ledning av vad som utgör den spe-
9 Socialstyrelsens termbank, https://termbank.socialstyrelsen.se/#results, (hämtad 2023-09-29). Termbanken innehåller begrepp för fackområdet vård och omsorg. Begreppen har analyserats enligt terminologilärans metoder och principer och förankrats i bred remiss till kommuner, regioner, myndigheter och andra organisationer.
527Nya regler om vidareanvändning av personuppgifter för vårdändamål
cialiserade vården i utredningens lagförslag kan därför förarbetena till 2 kap. 6 § HSL användas. Enligt förarbetena till 2 kap. 6 § HSL står primärvården för en bred kompetens som kan tillgodose den enskilda individens allra flesta vårdbehov. Primärvård kännetecknas av att verksamheten är beroende av flera olika generalistkompetenser som samverkar kring patienten och definieras därför utifrån generalistens breda kompetens. Den allmänmedicinska specialistkompetensen är därför central, även om det samtidigt krävs en mängd andra generalistkompetenser (prop. 2019/20:164 s. 69–70). I förarbetena anges också att primärvården ska svara för befolkningens behov av grundläggande vård och behandling med mera. Detta ska ske utan avgränsning vad gäller sjukdomar, ålder eller patientgrupper. I primärvården ska det således inte finnas särskilda specialiteter för olika sjukdomar eller kroppsdelar (prop. 2019/20:164 s. 70 och prop. 1994/95:195 s. 80–81). I 2 kap. 6 § HSL anges att primärvården inte kräver särskilda medicinska eller tekniska resurser eller någon annan särskild kompetens. Med särskilda medicinska resurser avses enligt förarbetena annan kompetens än specialistkompetens i allmänmedicin eller likvärdig specialitet, såsom geriatrik eller barn- och ungdomsmedicin. Med särskilda tekniska resurser avses exempelvis särskilt avancerad eller kostsam utrustning som brukar koncentreras till exempelvis sjukhusen. Vad som avses med uttrycket annan särskild kompetens kan vara att det tar sikte på till exempel om viss teknisk utrustning kräver särskild kompetens som inte finns i primärvården eller om det krävs ett sådant sammansatt kompetensteam av yrkeskategorier som inte finns tillgängliga i primärvården (prop. 2019/20:164 s. 71). Tidigare definition av primärvård hade ett sjukhusperspektiv. I praktiken kom sjukhusbyggnaden ofta att avgöra var gränsen mellan primärvård och annan specialiserad vård gick. Detta ansågs inte ligga i linje med hur primärvård i dag bedrivs och gränsdragningen kopplas därför inte längre till sjukhusbyggnaden (prop. 2019/20:164 s. 69). Det finns enligt utredningen en poäng i att inte försöka definiera den ”specialiserade vården” i förhållande till utredningens lagförslag. Detta för att inte introducera en definition som inte stämmer överens med hur begreppet tolkas i ljuset av skillnaden mellan primärvård och den specialiserade vård. Innebörden av den specialiserade vården som utförs ska därför tolkas motsatsvis den primärvård som definieras i 2 kap. 6 § HSL.
528Nya regler om vidareanvändning av personuppgifter för vårdändamål
I förordning (2001:707) om patientregister hos Socialstyrelsen finns i en bestämmelse som reglerar när personuppgifter får behandlas i patientregister (4 §). Bestämmelsens andra punkt anger att sådana personuppgifter får behandlas som rör patienter som behandlats av läkare inom den öppna vården som inte är primärvård. Det skulle kunna tänkas att utredningen kan formulera sin bestämmelse på liknande sätt och i stället för att använda termen ”specialiserade vården”, använder negationen ”som inte är primärvård”. Lagtekniskt skulle detta vara enhetligt med övrig lagstiftning eftersom begreppet specialiserade vården inte är legaldefinierat. Utredningen anser dock att detta är en onödigt krånglig formulering och har därför valt att använda den i HSL befintliga termen specialiserade vården. Utredningen konstaterar att vad som anses utgöra specialiserade vården i viss mån kan innefatta en bedömning. Detta anser dock utredningen är ett sådant bedömningsutrymme som kan och bör ges till hälso- och sjukvården inom ramen för det ansvar som finns avseende organisation och verksamhet. I många fall borde det dock enligt utredningens mening stå klart vilka personer som får tilldelas behörighet för elektronisk åtkomst till en precisionsmedicinsk databas. Utredningen har fått ett antal mycket konkreta exempel på yrkeskategorier och verksamheter inom regionsjukhusen där de stora behoven finns. Kriteriet att den som kan få behörighet ska arbeta inom den specialiserade vården ska även ses tillsammans med att personen behöver åtkomsten för sitt arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter. Dessa kriterier får enligt utredningens mening tillsammans skapa den vägledning och avgränsning som är motiverad. Av avsnitt 14.6 framgår att endast de personuppgifter som behövs för vården av en annan patient än den som uppgifterna avser får tillgängliggöras till en precisionsmedicinsk databas. Det urval som görs får konsekvens för vilken personal och i vilka situation som det blir aktuellt att söka i en precisionsmedicinsk databas. Utifrån de exempel som utredning har fått till sig vad avser typen av uppgifter, gör utredningen bedömningen att det typiskt sett endast är viss personal inom den specialiserade hälso- och sjukvården kan ha användning för uppgifterna. Annorlunda uttryckt behövs det en viss specialiserad kompetens för att uppgifterna ska kunna användas i vården av en patient.
529Nya regler om vidareanvändning av personuppgifter för vårdändamål
Behörigheten ska inte begränsas till vissa personalkategorier
Utredningen har övervägt om det är möjligt att i PDL eller på lägre normgivningsnivå ange mer preciserat, utöver att någon ska arbeta i specialiserade sjukvården, vilken typ av personal inom hälso- och sjukvården som ska kunna tilldelas behörighet att söka i precisionsmedicinsk databas. Så skulle exempelvis kunna ske genom att ytterligare ringa in en viss personalkrets eller personalkategori. Utredningen har övervägt om det är möjligt att ringa in den personalkrets eller liknande som ska kunna tilldelas behörighet. Kan det till exempel vara möjligt att begränsa möjligheten att tilldela behörighet till vissa personalkategorier. Utredningen har övervägt om det är möjligt att i lagen eller längre normgivningsnivå ange mer preciserat vilken typ av personal inom hälso- och sjukvården som ska kunna få behörighet att söka i precisionsmedicinsk databas. Ett sätt skulle kunna vara att knyta möjligheten att tilldela behörighet till personal med viss legitimation. Detta skulle till exempel kunna fungera för läkare, där vissa relevanta yrkeskategorier med bevis om specialistkompetens skulle kunna förtecknas. Utredningen har dock fått till sig att även andra yrkeskategorier än legitimerade sådana har en central roll inom precisionsmedicinen. Till dessa yrkesgrupper hör till exempel sjukhusgenetiker och bioinformatiker. Detta är personer med naturvetenskaplig utbildningsbakgrund som saknar legitimation eller möjlighet till bevis om specialistkompetens (jämför 4 kap. 8 § PSL). Det är enligt utredningens bedömning svårare att i lagstiftning, som ett kriterium för tilldelning av behörighet, formulera yrkeskategorier utifrån utbildningsbakgrund. En förteckning av en viss personalkategori skulle också närma sig frågan om vem som får göra vad inom hälso- och sjukvården. Detta regleras av PSL, patientsäkerhetsförordningen (2010:1369) och Socialstyrelsens förskrifter och allmänna råd, bland annat HSLF-FS 2022:20. Utredningens bedömning är att det inte på ett ändamålsenligt sätt går att ange mer precist vilken personal som ska kunna tilldelas behörighet till precisionsmedicinsk databas. Det är arbetsuppgifterna som bör styra och det bestäms utifrån andra regler. Tilldelning av behörighet ska på så sätt följa det regelverket och i övrigt de beslut som fattas i hälso- och sjukvårdsverksamheten med avseende på arbetsuppgifter. Ytterligare en modell som har lyfts till utredningen är att skapa en särskild yrkesfunktion kopplat till behörighet till precisions-
530Nya regler om vidareanvändning av personuppgifter för vårdändamål
medicinsk databas och att bara denna yrkesgrupp får söka i en precisionsmedicinsk databas. Detta finns beträffande så kallade transplantationskoordinatorer. En transplantationskoordinator är en sjuksköterska som ansvarar för den samordnande funktionen mellan intensivvård och transplantation vid en donationsprocess. Enligt 8 § i Socialstyrelsens föreskrifter (SOSFS 2012:14) om hantering av mänskliga organ avsedda för transplantation, ska den vårdgivare som ansvarar för transplantationsverksamhet säkerställa att det dygnet runt finns tillgång till minst en transplantationskoordinator som ska 1. lokalisera möjliga mottagare av ett organ, 2. koordinera tillvaratagandet och transplantationen av ett organ och 3. upprätta en tillvarataganderapport enligt 7 kap. 10 § i samma föreskrifter. Bland arbetsuppgifterna finns att göra kontroll i donationsregistret. 10 Att koppla rätten att söka i en precisionsmedicinsk databas till en viss skapad yrkeskategori skulle förvisso innebära en tydlig avgränsning av personkretsen, vilket är en fördel ur transparenshänseende. Den kontroll som en transplantationskoordinator gör i donationsregistret, eller de uppgifter som en transplantationskoordinator har i övrigt, är dock enligt utredningens uppfattning inte jämförbara med de analyser och bedömningar som behöver göras vid sökning och utfall i en precisionsmedicinsk databas. Som ovan har redogjorts för är det kompetens från ett antal olika yrkesutövare som är relevant, exakt vilka är beroende av aktuellt patientfall och hur verksamheten är organiserad. Utredningen anser att det är viktigt av transparensskäl att de som faktiskt tar del av uppgifterna och gör bedömningarna också är de som har möjlighet att få behörighet att söka. Det finns annars en risk att en snävare krets som har behörigheten enligt den särskilda yrkeskategorin gör sökningen, och annan personal de facto tar del av uppgifterna och gör bedömningarna. Av integritetsskäl är det en fördel med en snäv krets behöriga. Utredningen anser dock att det vore olyckligt om personuppgiftsbehandling för ändamålet öppnas upp, men att reglerna utformas så att inte relevant personal får söka och ta del av uppgifterna. Målet med en bättre och mer jämlik vård kommer då inte att uppnås. Risken för kringgående av reglerna bör även beaktas. Utredningen anser att den regel om tilldelning av behörighet som före-
10 För ytterligare beskrivning av en transplantationskoordinators roll och uppgifter, se SOU 2015:84.
531Nya regler om vidareanvändning av personuppgifter för vårdändamål
slås, tillsammans med övriga integritetshöjande åtgärder är tillräckliga för att tillgodose integritetsintresset.
Betydelsen av att ”förebygga, utreda eller behandla
sjukdomar och skador hos patienter”
Som ovan konstaterat behöver arbetsuppgifter kopplade till precisionsmedicinsk vård utföras av olika yrkeskategorier inom hälso- och sjukvården. Tilldelning av behörighet behöver kunna ske på ett ändamålsenligt sätt utifrån detta. Ändamålet för en precisionsmedicinsk databas omfattar dock endast ”vården” av en patient. Detta får enligt utredningens bedömning den följden att behörigheten bör tilldelas endast utifrån att den ska användas i vården av en patient, inte inom hälso- och sjukvården generellt, det vill säga för ändamål enligt 2 kap. 4–5 §§ PDL). Behovet av att söka i en precisionsmedicinsk databas bör endast vara kopplat till vårdändamål. Utredningen har utifrån detta föreslagit att tilldelning av behörighet ska ske utifrån personens behov för sitt ”arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter”. Denna formulering är mer begränsad än den i 4 kap. 2 § PDL, som anger behörighet begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Utredningen att den föreslagna formuleringen bättre knyter an till syftet och ändamålet med en precisionsmedicinsk databas och ytterligare förstärker det förhållande att en sådan databas endast får användas för vårdändamål. Utredningen har övervägt om endast ”vården” är ett lämpligare begrepp. Utredningen använder begreppet vården kopplat till ändamålet. Avseende regler som mer direkt kopplar till sökning i databasen använder utredningen den lite längre och mer konkreta formuleringen inom hälso- och sjukvården. Det begreppet återfinns också i SVOD. Se även överväganden till villkor för sökning i precisionsmedicinsk databas, se avsnitt 14.8.5.
532Nya regler om vidareanvändning av personuppgifter för vårdändamål
Behörighetstilldelning följer tillgången
till en precisionsmedicinsk databas
Vilken precisionsmedicinsk databas någon som arbetar inom den specialiserade sjukvården kan få tillgång till hänger också ihop med vilken eller vilka precisionsmedicinska databaser den regionala myndighet som personen arbetar hos har tillgång till. Detta kan vara en samverkansregional precisionsmedicinsk databas, eller den precisionsmedicinska databasen som får föras inom NGP, se mer om vilka databaser som ska få finnas i avsnitt 14.7.3. Utredningen har i avsnitt 14.7.2 beskrivit att det är regionala myndigheter inom hälso- och sjukvården som kan inrätta och föra precisionsmedicinska databaser. Det kan falla sig så att samma regionala myndighet inom hälso- och sjukvården som tilldelar behörighet att söka i precisionsmedicinsk databas, också är den myndighet som har inrättat och för den precisionsmedicinska databasen.
14.8.5 Villkor för behandling av personuppgifter
i precisionsmedicinsk databas och inre sekretess
Förslag : En regional myndighet inom hälso- och sjukvården får behandla personuppgifter som en annan myndighet som för precisionsmedicinsk databas har gjort tillgängliga om 1. någon som arbetar hos myndigheten och har behörighet till precisionsmedicinsk databas deltar i vården av en patient, och 2. uppgifterna kan ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten. Den som arbetar hos en myndighet som för precisionsmedicinsk databas och har behörighet till precisionsmedicinsk databas får ta del av personuppgifter i databasen om han eller hon 1. deltar i vården av en patient, och 2. uppgifterna kan ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten.
533Nya regler om vidareanvändning av personuppgifter för vårdändamål
Det behövs en bestämmelse som reglerar villkoren för att söka i precisionsmedicinsk databas när tillgång ges genom direktåtkomst. Det behövs även en bestämmelse om befogenhet att söka i precisionsmedicinsk databas när tillgången endast ges inom den myndighet som för den precisionsmedicinska databasen (inre sekretess). På grund av de formella skillnader som finns mellan dessa två situationer, behöver bestämmelserna vara något olika formulerade. De bör dock i materiellt hänseende vara likalydande på så sätt att sökning i precisionsmedicinsk databas får ske under samma villkor oberoende av om tillgången till databasen sker internt inom en myndighet eller över en myndighetsgräns. Detta går i linje med utredningens generella överväganden om utformningen av regleringen, se avsnitt 14.4.5.
Den lagtekniska utformningen av bestämmelserna
Utredningen har gjort bedömningen att det saknas stöd i 4 kap. 1 § PDL för den som arbetar hos en vårdgivare att ta del av dokumenterade personuppgifter om en annan patient än den man deltar i vården av, se avsnitt 13.9. För tillgång mellan regionala myndigheter hos olika vårdgivare finns över huvud taget ingen bestämmelse som är tillämplig för ändamålet vården av annan patient än den som uppgifterna avser. Det behövs därför dels en bestämmelse med villkor för när annan regional myndighet inom hälso- och sjukvården får behandla personuppgifter i en precisionsmedicinsk databas, dels en bestämmelse som ger stöd för den som har tilldelats behörighet till en precisionsmedicinsk databas att ta del av uppgifter i databasen om den finns inom myndigheten. Utredningen har i utformningen av den föreslagna bestämmelsen tagit inspiration från 4 kap. 1 § PDL och 3 kap. 1 § SVOD. Ett nödvändigt element är att personen som ska ta del av uppgifter i en precisionsmedicinsk databas deltar i vården av en patient. Exempel på när en person deltar i vården är vid patientbesök. Utredningen konstaterar att personen deltar i vården av en patient när hen bidrar med sin kompetens i vården av patienten, till exempel vid konsultationer (se Göta hovrätts dom den 14 april 2022 i mål nr B 1446-21 samt SOU 2014:23, s. 370). Det andra elementet är att uppgifterna i databasen kan ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten. Denna formulering har utred-
534Nya regler om vidareanvändning av personuppgifter för vårdändamål
ningen hämtat från SVOD, men tagit bort kriteriet ”antas”. Anledningen till detta är följande. Den som söker i databasen vet inte alltid om det ens finns uppgifter i databasen som har betydelse för vården av patienten. Själva syftet med sökningen kan vara att ta reda på om det över huvud taget finns relevant information. Det kan också vara så att den som behandlar personuppgifter i databasen har en uppfattning om att det kan finnas uppgifter som är relevanta, men inte i vilken omfattning eller hur betydelsefulla de kan vara. För att en precisionsmedicinsk databas ska kunna användas för sitt syfte, kan inte kraven för sökning vara för höga. Ett för högt ställt krav på betydelsen för vården av patienten kan få till följd att den precisionsmedicinska databasen inte kan användas för sitt syfte. Samtidigt behöver det finnas kriterier som ramar in situationerna när en behandling av personuppgifter får ske. En lämplig avvägning är enligt utredningens bedömning ett krav på att uppgifterna i databasen kan ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten. Detta är ett lågt ställt beviskrav. Utifrån att den som söker i vart fall initialt inte alltid vet om det finns uppgifter av relevans, anser utredningen att ett krav som innefattar ett sådant antagande är ett för högt krav (se 3 kap. 1 § SVOD). I utredningens föreslagna formulering ligger dock att en bedömning ska göras av att den typen av uppgifter som finns i databasen kan vara av värde för behandlingen av patienten. Utredningen konstaterar vidare att det är en medicinsk bedömning som ska avgöra frågan om när det kan ha betydelse att behandla uppgifter i en precisionsmedicinsk databas. Den medicinska bedömningen ska baseras på vetenskap och beprövad erfarenhet. Uppgifterna ska ha betydelse för att inom hälso- och sjukvården förebygga, utreda, behandla sjukdomar och skador. Det är för vård och behandling av patienten som uppgifterna ska användas, vilket utöver det generella ändamålet bör uttryckas som ett krav vid behandlingen av personuppgifter i en precisionsmedicinsk databas. Utredningen har övervägt vilken formulering som är lämplig att använda. Endast ”vården”, såsom anges för syftet med databasen, skulle kunna vara ett alternativ. Den längre och mer konkretiserade formuleringen som utredningen föreslår är emellertid samma formulering som gäller enligt 3 kap. 1 § SVOD vid behandling av uppgifter i sammanhållen vårdoch omsorgsdokumentation. Utredningen finner det lämpligt att använda samma formulering som i SVOD. I förarbetena till SVOD anges
535Nya regler om vidareanvändning av personuppgifter för vårdändamål
kravet innebär att en vårdgivare som deltar i ett system med sammanhållen vård- och omsorgsdokumentation inte får använda sin tillgång till andra vårdgivares eller omsorgsgivares uppgifter för andra syften än vård och behandling (prop. 2021/22: 177, s. 205). Avseende behandling av personuppgifter i precisionsmedicinsk databas innebär kravet att en regional myndighet inte får använda tillgången till databasen för andra syften än vård och behandling. Utredningen har utgått ifrån definitionen av hälso- och sjukvård i PDL med två undantag, se avsitt 14.4.7. Det är alltså hälso- och sjukvård i den meningen som avses.
Ingen begränsning i antalet sökningar
Utredning har i kontakt med professionen som arbetar inom precisionsmedicin och fått beskrivet för sig hur en precisionsmedicinsk databas skulle användas. Utredningen beskriver i avsnitt 13.2.4 den praktiska gången vid sökning för vårdändamål. Utredningen anser att reglerna om villkor och befogenhet är utformade på ett sådant sätt att det är praktiskt användbart på det sätt som där beskrivs. Ett konkret exempel skulle kunna vara följande. En sjukhusgenetiker gör en sökning på en genförändring. Den kan leda till ett relevant utfall direkt. Någon mer sökning behöver då inte göras. Oftare förutses dock en form av ”iterativ process”. Det kan exempelvis handla om att man söker på diagnos. Första sökningen ger för många träffar för att resultatet ska vara medicinsk relevant för vården av patienten. Då kan exempelvis ytterligare ett sökfilter läggas till sökningen för att få ett mer avgränsat utfall som kan vara mer relevant. Beroende på hur utfallet blir kan processen fortsätta. Utredningen har identifierat att ett sätt att begränsa integritetsintrånget som följer av databasen är att begränsa antalet sökningar som varje person får göra vid ett tillfälle. Detta är dock av praktiska skäl varken lämpligt eller rimligt. Nedan följer ett par exempel som visar på varför en sökbegränsning inte bör införas i databasen. Om det är första gången en person söker i en datamängd så kan det vara svårt att på förhand veta vilken information som går att få ut ur databasen. Även om det finns en metadatakatalog som beskriver viken typ av personuppgifter som ingår, vet den som söker i databasen inte på förhand exempelvis hur många patienter det finns med en viss
536Nya regler om vidareanvändning av personuppgifter för vårdändamål
diagnos. Detta är hela anledningen till att sökningen ibland görs. I praktiken skulle en sökbegränsning innebära att patient som hade en läkare som var mindre van vid att söka i databasen fick sämre vård, eftersom nyare användare av databasen sannolikt behöver använda sig av fler sökningar än vana användare. Exempelvis kan vana användare veta sedan tidigare sökningar eller utifrån sin allmänna erfarenhet, att det saknas data avseende behandlingsutfall för en specifik patientgrupp och avstår därför från att söka på den informationen. Ett system med sökbegränsningar skulle också kunna skapa betydande etisk stress bland användarna, utifrån att mindre ”bra” sökningar i databasen kan komma att leda till att deras patient inte får den vård den ska ha. Ett annat exempel är svårare fall eller där osäkerheten kring vilken patientgrupp som är en relevant jämförelsegrupp för den patient som vårdas är större än normalt. Patienten som vårdas i dessa fall har sannolikt större behov av att personuppgifter från andra patienter kan användas i vården av hen, eftersom bristen på kunskap om deras diagnos ofta också innebär att de inte kan få lika bra behandling jämfört med personer som har vanligare diagnoser. I dessa fall skulle en sökbegränsning innebära att patienter som har en sjukdom som är svårare att hitta relevant information om får sämre behandling. Slutligen så är det också praktiskt svårt att fastställa en relevant sökbegränsning. Om sökningen begränsas per läkare i kombination med per patient kommer det leda till att patienten bör söka sig till flera olika läkare. Om avgränsningen görs enbart per patient är det sannolikt att patienter med mer komplexa behov kommer missgynnas. Om avgränsningen görs per läkare kommer patienter med mindre komplexa behov missgynnas eftersom en läkare kan ha slut på sökningar den dagen de ska behandlas. Situationen skulle kunna liknas vid att söka efter kläder på en hemsida. Om du ska köpa strumpor kanske ”svart” är en tillräcklig sökterm som genererar ett hanterbart och relevant utfall. Medan samma sökterm för exempelvis klänningar behöver kompletteras med ytterligare söktermer för att begränsa urvalet. Detta kan också skilja sig åt från vilken hemsida du söker på. Mer rutinerade kunder kommer då veta vilka hemsidor och exempelvis vilka märken som kräver mer eller mindre detaljerade söktermer, medan nyare kunder kommer ha svårt att hitta det de letar efter om de bara får tillgång till ett begränsat antal sökningar. Utredningens sammantagna bedömning är därför att det inte är lämpligt att avgränsa antalet sökningar i databasen, eftersom en sådan
537Nya regler om vidareanvändning av personuppgifter för vårdändamål
avgränsning i flera fall skulle kunna leda till omotiverade skillnader mellan patienternas möjlighet att få en god vård.
Ingen precisering av i vilka situationer sökning får ske
Utredningen har övervägt om villkoren för tillgång till personuppgifter kan avgränsas med ett kriterium som tar sikte på den situation i vilken tillgången bör ges. Detta skulle möjligen kunna fungera om behovet av behandlingen av personuppgifterna rörande andra patienter i vårdprocessen uppkommer i en viss situation, skede eller liknande som går att precisera. Utredningen har lyft denna fråga med den medicinska professionen. Möjligheten att ha ett specificerat kriterium avseende situation kopplar till när det är medicinskt motiverat att få precisionsmedicinsk vård. Detta är en medicinsk bedömning som diskuteras både i Sverige och internationellt. Utredningen har erfarit att det finns arbeten i andra länder, forskning och så vidare som har adresserat denna fråga. Utredning uppfattar att detta är en fråga i förändring. Det finns olika synsätt på hur det ska bestämmas om en patient ska erbjudas utredning och behandling inom precisionsmedicin eller inte. Det diskuteras även vilka så kallade inklusionskriterier som ska gälla. Det kan till exempel handla om typ av besvär eller om det finns behov av ytterligare underlag för medicinska bedömningar. Det kan vidare avse mindre allvarliga fall, som blir allvarliga om inget görs. Kan också vara allvarligt från början. Utredningen gör bedömningen att det inte är möjligt att ha ett villkor i lagen som utgår ifrån att behandlingen av andra patienters personuppgifter sker i en viss situation. Det skulle i praktiken innebära att den lagstiftning som utredningen föreslår indirekt styr den medicinska professionens bedömningar om när en patient ska utredas och behandlas inom precisionsmedicinen. Detta är inte en juridisk fråga som man kan definiera i lagstiftning, utan en medicinsk bedömning. Utredningen lämnar därför inte förslag på att sökning i precisionsmedicinsk databas endast får göras i vissa situationer.
538Nya regler om vidareanvändning av personuppgifter för vårdändamål
14.8.6 Sökbegrepp
Bedömning : I 2 kap. 8 § PDL finns allmänna regler om tillåtna sökbegrepp. Ingen särreglering behövs avseende sökbegrepp vid tillgång till personuppgifter i precisionsmedicinsk databas.
Enligt 2 kap. 8 § första stycket PDL får känsliga personuppgifter eller uppgifter om lagöverträdelser som avses i 7 § inte användas som sökbegrepp. Trots detta förbud är det enligt bestämmelsens andra stycke tillåtet att som sökbegrepp använda uppgifter om hälsa. I avsnitt 14.6.3 redogör utredningen för exempel på uppgifter som typiskt sett kan komma att bli aktuella för tillgängliggörande till en precisionsmedicinsk databas. Det kan avse kön, ålder, diagnoser, genvariant eller virustyp. De uppgifter som tillgängliggörs blir föremål för sökning. Som sökbegrepp får då utifrån regleringen i 2 kap. 8 § PDL endast användas känsliga personuppgifter i form av uppgifter om hälsa. Utifrån de exempel som utredningen har fått till sig, gör utredningen bedömningen att det inte synes finnas behov av att som sökbegrepp använda andra känsliga personuppgifter än sådana som är uppgifter om hälsa. Det finns enligt utredningens bedömning inte anledning att införa en särreglering med avseende på sökbegrepp för sökning i precisionsmedicinsk databas. Vid sökning i precisionsmedicinsk databas gäller således regleringen i 2 kap. 8 § PDL.
14.8.7 Hantering av tillgängliggjorda uppgifter
vid patientjournalföring
I 3 kap. PDL finns bestämmelser om skyldighet att föra patientjournal. Syftet med journalen är att bidra till en god och säker vård av patienten, men den är också en informationskälla i olika avseenden (jämför 3 kap. 2 § PDL). Journalen ska innehålla de uppgifter som behövs för en god och säker vård av patienten. Det finns också bestämmelser om att en patientjournal alltid ska innehålla vissa uppgifter om uppgifterna finns tillgängliga (3 kap. 6 § PDL). Ytterligare bestämmelser om patientjournals innehåll finns också i HSLF-FS 2016:40 (se 5 kap.).
539Nya regler om vidareanvändning av personuppgifter för vårdändamål
Då utredningens lagförslag möjliggör att en patients personuppgifter kan användas i vården av en annan patient, uppstår frågan vad skyldigheten att föra patientjournal innebär i dessa fall. Journalen ska innehålla de uppgifter som behövs för en god och säker vård av patienten. Det kan då finnas ett behov att det framgår i journalen att en annan patients uppgifter har använts i vården. Den som för patientjournal måste då ta hänsyn till att sekretess gäller mellan patienter. Med andra ord kan det inte antecknas information som gör att uppgifter om en patient röjs i en annan patients journal. Utredningens uppfattning är att lämpliga avvägningar mellan vad som behöver antecknas för att uppfylla journalföringsplikten, och vad som inte kan antecknas på grund av sekretessen, behöver göras i varje enskilt fall. Redan i dag gör hälso- och sjukvården liknande bedömningar när det exempelvis handlar om sekretess mellan patient och närstående. Ytterligare en situation som kan uppstå är att den patient man vårdar frågar efter, eller begär ut uppgifter om annan patient som har använts. I den mån patienten frågar muntligen kan vårdpersonalen informera och tillmötesgå patientens frågor i den mån det går utan att bryta sekretessen. Om det handlar om en begäran om att få ut allmän handling får en sedvanlig sekretessprövning ske.
540Nya regler om vidareanvändning av personuppgifter för vårdändamål
14.9 Begäran om kompletterande personuppgifter
från patientjournal
Förslag : En regional myndighet inom hälso- och sjukvården som har tillgång till en precisionsmedicinsk databas får, hos en vårdgivare som har tillgängliggjort personuppgifter till den databasen, begära de kompletterande personuppgifter från den patientjournal som kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser. Om de kompletterande personuppgifterna ska tillgängliggöras inom samma myndighet får en intern begäran göras, om uppgifterna kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser. En vårdgivare får tillgängliggöra de personuppgifter som omfattas av en begäran om kompletterande personuppgifter. Tillgängliggörande av kompletterande personuppgifter får endast ske till en regional myndighet inom hälso- och sjukvården som har tillgång till den precisionsmedicinska databasen som vårdgivaren tillgängliggjort uppgifter till. En regional myndighet inom hälso- och sjukvården får, utöver den behandling av personuppgifter som sker genom tillgång till en precisionsmedicinsk databas, endast behandla de kompletterande uppgifter om en patient som behövs för vården av en annan patient än de som uppgifterna avser.
Bedömning : Av 5 kap. 6 § PDL följer att ett tillgängliggörande som innebär ett utlämnande får ske genom ett elektroniskt utlämnande. Tillgängliggörande ska inte få ske genom direktåtkomst.
I detta avsnitt nedan följer utredningens överväganden och förslag avseende Steg 4 i den övergripande modellen (se avsnitt 13.3). Utredningen kallar Steg 4 för Begäran av kompletterande personuppgifter från patientjournal. Syftet med en precisionsmedicinsk databas är att utgöra underlag för att hitta relevanta personuppgifter för vården av en annan patient än den som personuppgifterna avser. Utifrån det utfall som behörig vårdpersonal fått i en precisionsmedicinsk databas efter sökning och urval, kan det i vissa fall finnas behov av mer information om de patie-
541Nya regler om vidareanvändning av personuppgifter för vårdändamål
nterna än det som finns i den precisionsmedicinska databasen, utöver utfallen. Mer information handlar då om kompletterande personuppgifter från en eller flera patientjournaler för att använda i vården av en annan patient än den personuppgifterna avser. Det rör sig då om specifik information som den behandlande personalen behöver i det enskilda fallet och kan alltså inte tillgodoses av de kategorier av uppgifter som finns i den precisionsmedicinska databasen som vårdpersonalen har tillgång till. Kompletterande personuppgifter behövs då från patientjournalen. Den vanligaste situationen som utredningen fått till sig om när behovet av kompletterande uppgifter aktualiseras är vid behandlingen av patienter som tillhör en liten patientgrupp. Vanligen rör det sig om sällsynta hälsotillstånd. I fallet av sällsynta hälsotillstånd kommer antalet möjliga utfall i en precisionsmedicinsk databas oftast vara få. Till exempel består sällsynta hälsotillstånd av flera tusen olika sjukdomar vilket gör det viktigt att söka ytterligare detaljerad information om vård, eventuella behandlingar och uppföljningar. Cancer är ett annat exempel som i sin tur består av hundratals olika diagnoser. Inom varje diagnos kan man sedan dela in i ytterligare undergrupper. Enbart lymfom består av över 80 olika diagnoser. Gemensamt för dessa sällsynta hälsotillstånd är att patientgrupperna är små. Det är därför den behandlande personal kan behöva kompletterande uppgifter för att kunna ge adekvat vård i det enskilda fallet. Utredningens förslag bygger på följande praktiska gång: 1. En regional myndighet begär kompletterande personuppgifter från patientjournal hos den vårdgivare som har tillgängliggjort. 2. Vårdgivaren tillgängliggör kompletterande personuppgifter från patientjournalen. 3. Den regionala myndigheten behandlar de kompletterande personuppgifterna.
Utredningens överväganden till förslag avseende led 1–3 redogörs för i avsnitt 14.9.1–14.9.3. I avsnitt 14.9.4 finns utredningens överväganden och förslag avseende om pseudonymisering eller annat likvärdigt skydd för kompletterande uppgifter. I avsnitt 14.9.5 finns utredningens överväganden, förslag och bedömningar om behörighet, befogenhet och kontroll.
542Nya regler om vidareanvändning av personuppgifter för vårdändamål
Utredningen har övervägt den övergripande lagtekniska utformningen av de regler som förslås avseende kompletterande personuppgifter från patientjournal. Utredningens förslag till förordning avser regler kopplade till precisionsmedicinsk databas. Förfarandet med utgångspunkt i en begäran om kompletterande personuppgifter, steg 4, är fristående i förhållande till de behandlingar som ryms inom steg 1–3 i utredningens övergripande modell, se 13.4. Utredningen gör därför bedömningen att det mest lämpliga är att reglerna i steg 4 placeras i 6 kap. PDL.
14.9.1 Begäran om kompletterande personuppgifter
En utgångspunkt för den ytterligare behandlingen av personuppgifter som ska få ske, är att alltså att den ska ske först efter att sökning har gjorts i en precisionsmedicinsk databas. En begäran om kompletterande personuppgifter från patientjournal får göras när vårdpersonal gjort bedömningen att det finns ett behov av kompletterande personuppgifter för vården av den patient som personalen deltar i vården av. Det är endast den regionala myndighet som har tillgång till en precisionsmedicinsk databas som kan göra bedömningen av om det behövs kompletterande uppgifter. Det är inte möjligt för den vårdgivare som ska tillgängliggöra uppgifter att göra den bedömningen. Utredningen förslår därför att begäran måste villkoras av en sådan bedömning. Den regionala myndighet som gör begäran om kompletterande uppgifter behöver precisera vilka uppgifter om en patient som den önskar ta del av. Patienten är inte direkt identifierbar, utan har ett pseudonym. Begäran ska göras hos den vårdgivare som har tillgängliggjort personuppgifter till en precisionsmedicinsk databas. För att kompletterande personuppgifter ska kunna begäras, behöver den som ska göra begäran kännedom om vilken vårdgivare som har tillgängliggjort uppgifterna samt vilken pseudonym (löpnummer eller motsvarande) som patienten har. Detta är information som myndigheten som för den precisionsmedicinska databasen kan bistå med. Pseudonymiseringen kvarstår även i detta steg, se avsnitt 14.9.4. Utredningen har övervägt det förhållande att begäran endast kan göras hos den vårdgivare som har tillgängliggjort uppgifter till den precisionsmedicinska databasen. Det kan potentiellt finnas uppgifter om patienten hos andra vårdgivare som kan vara av relevans för vår-
543Nya regler om vidareanvändning av personuppgifter för vårdändamål
den av patienten. Att möjliggöra begäran hos fler vårdgivare skulle dock innebära att patienten behöver identifieras och kunna kopplas till fler vårdgivare. Detta innebär ett väsentligt ökat integritetsintrång som utredningen inte anser går att motivera. Begäran villkoras av att kompletterande personuppgifter kan antas ha betydelse för vården. Till skillnad från när sökning i en precisionsmedicinsk databas sker, se ovan avsnitt 14.8.5, bedömer utredningen att en begäran om kompletterande uppgifter endast ska få göras efter en bedömning att de kompletterande uppgifter som begärs kan antas ha betydelse för vården. I detta skede föreställer sig utredningen att vårdpersonalen, utifrån det utfall som blivit vid sökning i den precisionsmedicinska databasen, har en uppfattning om vilka ytterligare uppgifter som behövs för vården av patienten. Det ska alltså utifrån utfallet och kännedomen om patienten som vårdas, gå att precisera en begäran om kompletterande uppgifter. Vidare krävs ett aktivt ställningstagande kring att uppgifterna som begärs kan antas ha betydelse för vården. Det ska på goda grunder kunna antas att uppgifterna har någon betydelse i vården av patienten. Detta är ett något högre krav än för sökning i databasen, jämför avsnitt 14.8.5. Rekvisitet är detsamma som finns i 3 kap. 1 § SVOD. Vilka uppgifter som kan komma att behövas i det enskilda fallet går inte att standardisera på det sätt som är möjligt för tillgängliggörandet till precisionsmedicinsk databas. Vilka uppgifter det rör sig om i de enskilda fallen kommer bli en bedömningsfråga för den berörda vårdpersonalen. Behovet av kompletterande personuppgifter från patientjournal kan också uppstå inom en myndighet som för den precisionsmedicinska databasen. För att rättslig grund för behandling av personuppgifter ska finnas i den situationen, föreslår utredningen en särskild befogenhetsregel, se avsnitt 14.9.5.
Förhållande till 6 kap. 5 § OSL och allmänna regler
om begäran av uppgiftsutlämnande
Enligt allmänna regler kan en begäran om utfående av uppgift från allmänna handlingar göras hos vilken myndighet som helst, jämför 6 kap. 4 § OSL, dock inte av uppgift som omfattas av sekretess. Enligt 6 kap. 5 § OSL gäller dock en uppgiftsskyldighet som inte begränsas av att det måste röra sig om en allmän handling hos den tillfrågade myndig-
544Nya regler om vidareanvändning av personuppgifter för vårdändamål
heten. I stället anges att en myndighet ”ska på begäran av en annan myndighet lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång”. Bestämmelsen anses utgöra en precisering av den allmänna samverkansskyldigheten som gäller för myndigheter enligt 8 § förvaltningslagen (2017:900) och syftar bland annat till att underlätta för myndigheter 11 att fullgöra sin verksamhet. I teorin skulle således en begäran om kompletterande uppgifter och eventuellt tillgängliggörande kunna göras med stöd av 6 kap. 5 § OSL. Den sekretessbrytande bestämmelse som utredningen lämnat förslag på är dock kopplad till de förutsättningar som anges i 6 kap. PDL, avsnitt 17.1. De uppgifter som kan lämnas ut med stöd av ovan nämnda bestämmelse är i sådana fall endast sådana som inte omfattas av sekretess enligt 25 kap. 1 § OSL. Till detta behöver även beaktas att i enlighet med de överväganden som utredningen gjort i avsnitt 13.9 och 14.3 behöver den som ska behandla personuppgifter för vården av annan än den uppgifterna avser, ett rättsligt stöd för att behandlingen ska anses förenlig med dataskyddsförordningens krav på rättslig grund enligt artikel 6. Sådant rättsligt stöd finns endast om villkoren i 6 kap. PDL är uppfyllda.
Begäran av kompletterande uppgifter
från patientjournal inom en myndighet
Utredningen har haft att överväga hur en begäran och tillgängliggörande av kompletterande personuppgifter ska ske inom en myndighet. Intern begäran och tillgängliggörande aktualiseras när de kompletterande personuppgifterna finns inom samma myndighet som behovet av att använda uppgifterna finns. En av utredningens utgångspunkter är att det principiellt sett är samma integritetsintrång oavsett om personuppgifter behandlas för vården av en annan patient inom eller mellan myndigheter, se avsnitt 14.4.5. Utredningens uppfattning är därför att villkoren för behandling av personuppgifter inom och mellan myndigheter ska vara så lika som möjligt. Utredningens uppfattning är därför att en medarbetare inom den myndighet som tillgängliggjort personuppgifter till en precisionsmedicinsk databas endast ska få ta del av uppgifterna
11 Se Alfvén Nickson, Offentlighet- och sekretesslag (2009:400), 6 kap. 5 §, Karnov (JUNO) (besökt 2023-09-25).
545Nya regler om vidareanvändning av personuppgifter för vårdändamål
om villkoren för begäran och tillgängliggörande som utredningen föreslår ska gälla mellan myndighet är uppfyllda. Det ska alltså inte vara möjligt för den medarbetare som behöver kompletterande personuppgifter från patientjournal att använda sin vanliga behörighet till patientjournalsystemet för att på egen hand bereda sig åtkomst till de kompletterande uppgifter som behövs. För att detta ska vara tydligt behövs enligt utredningens mening en uttrycklig formulering om detta i lagtexten. Av skäl som angetts i avsnitt 14.6.5 kommer uppgifterna som tillgängliggörs till en precisionsmedicinsk databas vara pseudonymiserade eller skyddade på likvärdigt sätt. Detta innebär i praktiken att det i stället för identifierbara personuppgifter i en precisionsmedicinsk databas finns en beteckning (ett löpnummer eller motsvarande) hos vårdgivaren som tillgängliggör uppgifter som kan kopplas till patientens personnummer eller motsvarande identitetsbeteckning. Uppgifter som möjliggör identifiering ska alltså förvaras separat hos den tillgängliggörande vårdgivaren, och en så kallad kodnyckel eller motsvarande kan användas för att ersätta direkta identifierare såsom personnummer eller namn. Den medarbetare som har behörighet och befogenhet att söka i en precisionsmedicinsk databas kommer därför som utgångspunkt inte kunna veta vem uppgifterna hör till och kan därmed inte heller med hjälp av sin egen vanliga behörighet till patientjournalsystem söka fram mer information om patienten från hens patientjournal. Om behörig personal arbetar inom den myndighet som också är den vårdgivare som medarbetaren ska vända sig till med en begäran om kompletterande uppgifter är frågan under vilka förutsättningar och i vilken ordning detta ska kunna ske. Utifrån de principiella resonemangen ovan, anser utredningen att det även internt ska göras en preciserad begäran som föregås av en bedömning att kompletterande uppgifter kan antas ha betydelse för vården av patienten. Det kommer att behövas en intern ordning för hur en sådan begäran ska framställas och handläggas. Till följd av begäran får uppgifter inom den inre sekretessen lämnas inom myndigheten till den vårdpersonal som vårdar patienten 12 , se vidare om befogenhet i avsnitt 14.9.5.
12 Jämför Karlsson Rikard, Sekretess inom en myndighet – en analys av självständighetsrekvisitet i 8 kap. 2 § OSL, Förvaltningsrättslig tidskrift 2016, s. 547.
546Nya regler om vidareanvändning av personuppgifter för vårdändamål
14.9.2 Tillgängliggörande av kompletterande personuppgifter
Utredningen föreslår att tillgängliggörande får ske av de uppgifter som omfattas av en begäran av kompletterande personuppgifter. En vårdgivare som mottar en begäran om kompletterande uppgifter kan inte göra någon närmare bedömning av vilka uppgifter som behövs (se ovan i avsnitt 14.9.1). Utredningen anser att ett generellt stöd i 6 kap. PDL behöver finnas som medger vårdgivare att tillgängliggöra de personuppgifter som omfattas av en begäran. För att ett sådant tillgängliggörande ska kunna ske till en myndighet som har tillgång till en databas, det vill säga en regional myndighet inom hälso- och sjukvården, behöver vårdgivaren som tar emot en sådan begäran dock förvissa sig om vissa omständigheter. Det främsta är att begäran görs av en sådan regional myndighet inom hälso- och sjukvården som har tillgång till den precisionsmedicinska databas som vårdgivaren tillgängliggjort uppgifter till. Med detta avser utredningen att en vårdgivare på Gotland, i de fall det rör sig om en precisionsmedicinsk databas inom en samverkansregion, inte kommer kunna lämna ut kompletterande personuppgifter till en regional myndighet inom hälso- och sjukvården i Skåne, eftersom den regionala myndigheten inte har tillgång till den precisionsmedicinska databas som vårdgivaren tillgängliggjort sina personuppgifter till i steg 1 (urval och tillgängliggörande), se vidare avsnitt 14.7.3. Tillgängliggörandet ska alltså följa den indelning mellan olika precisionsmedicinska databaser som utredningen förslår. Utifrån att möjligheten att göra begäran är kopplad till uppgift om vårdgivaren och rätt pseudonym i databasen ser utredningen inte heller att något annat skulle vara praktiskt möjligt. Utredningen anser dock att det bör finnas en uttrycklig regel som fastställer sambandet mellan tillgängliggörande till precisionsmedicinsk databas och tillgängliggörande av kompletterande uppgifter. Av de föreslagna reglerna om ändamålet framgår att det endast är de personuppgifter som behandlas hos vårdgivaren för ändamålen i 2 kap. 4 § första stycket 1–2 PDL som får behandlas för vården av en annan patient än den som uppgifterna avser. Detta gäller likaså vid ett tillgängliggörande av kompletterande personuppgifter från patientjournal. Som anförts ovan ska uppgifterna vid ett tillgängliggörande i steg 4 också vara pseudonymiserade eller skyddade på annat likvärdigt sätt, se avsnitt 14.9.4.
547Nya regler om vidareanvändning av personuppgifter för vårdändamål
Även om det ankommer på den begärande myndigheten att precisera vilka uppgifter den behöver, har vårdgivaren som mottar en sådan begäran alltjämt en skyldighet att inte tillgängliggöra uppgifter om omfattningen på uppgifterna i begäran tycks vara helt ogrundad. Likaså har vårdgivaren för det fall den är en offentlig vårdgivare att tillämpa 21 kap. 7 § OSL. I enlighet med de överväganden som utredningen gjort i avsnitt 17.1.4 har en sekretessbrytande grund i OSL föreslagits med anledning av möjligheten till att begära kompletterande personuppgifter från patientjournal. För det fall ett tillgängliggörande av kompletterande uppgifter ska göras av en privat vårdgivare, se utredningens resonemang kring obehörighetsrekvisitet i PSL avsnitt 17.1.5.
Tillgängliggörande får ske i elektronisk form
Vid elektroniskt utlämnande enligt 5 kap. 6 § PDL fattas ett beslut i varje enskilt fall om uppgifterna kan lämnas ut eller om de omfattas av sekretess. Som regel lämnas informationen ut i en form som medför att mottagaren kan bearbeta den. Det står utlämnande myndigheter principiellt fritt att använda de tekniska lösningar den finner lämpligt, givetvis efter beaktande av de säkerhetskrav som ställs bland annat utifrån dataskyddsförordningen, PDL och HSLF-FS 2016:40. Utredningen har i detta sammanhang övervägt om begreppet tillgängliggöra räcker, eller om begreppet behöver förtydligas på något sätt för att skapa tydlighet gentemot tillgängliggörande till precisionsmedicinsk databas i steg 1, se avsnitt 14.6.2. Utredningen har övervägt formuleringen tillgängliggöra genom att lämna. Utredningen använder begreppet tillgängliggörande i meningen att personuppgifter görs åtkomliga för en annan myndighet eller inom en myndighet. Eftersom ett tillgängliggörande för tankarna till ett att en uppgift görs tillgänglig i elektronisk form och endast blir synligt för mottagaren finns det en risk för att enbart begreppet tillgängliggörande i steg 4 uppfattas som mer snävt än vad som motsvarar vad som faktiskt händer. Ett tillgängliggörande kan även utgöra ett utlämnande TF eller ett uppgiftslämnande enligt 6 kap. 5 § OSL. Utredningens uppfattning är att det som avses snarare är att en uppgift faktiskt tas emot för att behandlas hos mottagaren. Skrivningen behöver dock ta höjd för möjligheten att myndigheterna rent tekniskt utvecklar
548Nya regler om vidareanvändning av personuppgifter för vårdändamål
möjligheter att tillgängliggöra uppgifter som inte nödvändigtvis lämnar den myndigheten där uppgiften ursprungligen fanns eller att mottagande myndighet direkt behandlar uppgifterna Sammanfattningsvis har utredningen gjort bedömningen att det mest tydliga alternativet för vad som faktiskt avses är att endast begreppet tillgängliggöra, eftersom tillgängliggörande även kan utgöras av ett utlämnande enligt TF eller ett uppgiftslämnande enligt OSL. Det finns också en fördel med att använda samma begrepp som i steg 1, då det skapar enhetlighet i lagstiftningen. Det centrala utifrån utredningens förslag är att de tekniska lösningarna ska stödja kraven på att ett sådant tillgängliggörande av kompletterande personuppgifter inte blir för omfattande utan följer de begränsningar som följer av föreslagna bestämmelser. Utredningens bedömning är att det följer av 5 kap. 6 § PDL att utlämnande kan ske genom ett annat utlämnande än direktåtkomst, förutsatt att sekretess inte hindrar det. Utredningens förslag avseende sekretessbrytande bestämmelse finns i avsnitt 17.1.
Tillgängliggörande inom en myndighet
Utredningen lämna förslag som innebär att en begäran om kompletterande personuppgifter inom en myndighet ska ske på samma villkor som en begäran över myndighetsgränser, se ovan avsnitt 14.9.1. Begreppet tillgängliggörande avser både den externa och interna situationen. Det ska enligt utredningens mening inte vara tillåtet för de medarbetare som ska använda uppgifterna i vården av en patient att själva bereda sig tillgång till dessa genom sin vanliga inloggning till patientjournalsystem. Det behöver finnas en intern ordning för begäran och tillgängliggörande. Den interna ordningen utesluter inte enligt utredningens mening att de kompletterande personuppgifterna tillgängliggörs elektroniskt. En sådan ordning kan enligt utredningens bedömning basera sig på tilldelning av behörighet enligt 4 kap. 2 § PDL, men kan inte avse den allmänna behörighet som tilldelas till patientjournalsystem. Personuppgifterna som tillgängliggörs behöver avgränsas utifrån den begäran som görs och som endast får avse de kompletterande uppgifter som kan antas behövas för vården av en annan patient än den som uppgifterna avser.
549Nya regler om vidareanvändning av personuppgifter för vårdändamål
Förslag avseende befogenhet för att ta del av personuppgifter för tillgängliggörande och mottagande finns i avsnitt 14.9.5.
14.9.3 Behandling av mottagna personuppgifter
Den regionala myndighet som gjort en begäran och fått tillgång till personuppgifter från vårdgivaren, behöver ha rättsligt stöd för att behandla dessa. Utredningen föreslår en bestämmelse om detta. Behandling avser exempelvis mottagande, användande i vården och eventuellt journalföring beträffande den patient som vårdas. Redan begäran av personuppgifter är villkorad av att uppgifterna ska antas ha betydelse för vården av en annan patient än den som uppgifterna avser. Att behandling av personuppgifter aldrig får ske utöver vad som är nödvändigt bör enligt utredningens konsekvensenligt framgå av själva bestämmelsen. Utredningen föreslår därför att behandling endast ska få ske, av de kompletterande personuppgifter om en patient som behövs för vården av en annan patient än de som uppgifterna avser. Från ett praktiskt perspektiv, finns det enligt utredningens mening en risk för att behandling av personuppgifter i form av användande av utfallet av en sökning i precisionsmedicinsk databas och behandling av kompletterande uppgifter flyter ihop. För att tydliggöra att behandling av kompletterande uppgifter juridiskt sett är en tillkommande behandling föreslår utredningen att det i bestämmelsen uttryckligen anges att denna behandling får ske utöver tillgång till precisionsmedicinsk databas.
14.9.4 Pseudonymisering eller annat likvärdigt skydd
Förslag : Tillgängliggörande av kompletterande uppgifter från patientjournal ska endast avse personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt.
Vad innebär pseudonymisering eller likvärdigt skydd?
Utredningen har beskrivit vad som avses med pseudonymisering enligt dataskyddsförordningen ovan i avsnitt 14.6.5. Även när kompletterande personuppgifter begärs från patientjournal ska personuppgifter
550Nya regler om vidareanvändning av personuppgifter för vårdändamål
pseudonymiseras eller skyddas på likvärdigt sätt. Som beskrivet ovan i avsnitt 14.6.5 kan det finnas alternativ till pseudonymisering med kodnyckel som uppfyller samma syfte, det vill säga att se till att de personuppgifter som tillgängliggörs inte kan sammankopplas med de registrerades identiteter. Därmed kan ett likvärdigt eller till och med bättre skydd ges än vid pseudonymisering med kodnyckel. Exempel på sådana åtgärder är olika typer av generalisering (utredningen har beskrivit generalisering i avsnitt 3.6.1).
Vad innebär kravet i praktiken?
Utifrån ett utfall vid sökning i en precisionsmedicinsk databas, kan en regional myndighet inom hälso- och sjukvården, under vissa förutsättningar, vända sig till den eller de vårdgivare som har tillgängliggjort uppgifterna med en begäran om att få ta del av kompletterande personuppgifter från patientjournaler. Utredningen bedömer att den som begär ytterligare uppgifter inte behöver ta del av direkt identifierbara uppgifter såsom namn och personnummer. Det är inte uppgifter om exempelvis namn eller personnummer som kommer vara intressanta att använda i vården av någon annan. Den vårdgivare som får begäran om att lämna kompletterande uppgifter behöver alltså se till att ta bort direkt identifierbara uppgifter, innan de kompletterande uppgifterna tillgängliggörs.
En integritetsskyddande åtgärd
Kravet på att tillgängliggörande av kompletterande uppgifter från patientjournal endast ska avse personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt, får sägas vara ägnat att dels minska oro för integritetsriskerna hos de registrerade, dels hjälpa de personuppgiftsansvariga att fullgöra sina skyldigheter i fråga om dataskydd. Vetskapen hos en registrerad om att dennes personuppgifter inte kommer vara direkt identifierbara, kan förväntas bidra till en ökad känsla av trygghet kring den behandling av personuppgifter som sker. Kravet hjälper också personuppgiftsansvariga att uppfylla sina skyldigheter enligt dataskyddsförordningen att vidta lämpliga åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken (jämför art. 32.1 dataskyddsförordningen).
551Nya regler om vidareanvändning av personuppgifter för vårdändamål
Risk att den enskilde ändå kan identifieras
Även om uppgifter ska pseudonymiseras eller skyddas på likvärdigt sätt, finns en risk att en registrerad i vissa fall ändå kan identifieras av den hälso- och sjukvårdspersonal som personuppgifterna tillgängliggörs till. Så kan vara fallet om det är fråga om en sällsynt sjukdom som bara få registrerade har. Huruvida någon kan identifieras eller inte beror också på vad för annan information den regionala myndighet inom hälso- och sjukvården uppgifterna tillgängliggörs till har. Det kan alltså då, även om direkta identifierare har tagits bort, finnas en risk att hälso- och sjukvårdspersonalen vet vem personen är. Utredningens uppfattning är att uppgifterna i sådana fall är pseudonymiserade, men att det finns en sannolikhet att någon kan bli identifierbar trots detta. Utredningen anser att det är en risk som inte helt kan minimeras. Denna risk vägs dock upp mot att den enskilde har möjlighet att välja att dennes personuppgifter inte ska få tillgängliggöras till en precisionsmedicinsk databas genom en möjlighet att motsätta sig detta, så kallad opt-out. Intresset av att personuppgifterna ändå kan tillgängliggöras får anses väga tyngre, och uppvägas av nyss nämnda andra skyddsåtgärder, att risken får accepteras.
Kryptering
I avsnitt 14.6.5 redogör utredningen för vad som kan anses vara likvärdigt skydd till pseudonymisering enligt förslagen och varför förslagen inte omfattar ett krav på kryptering.
552Nya regler om vidareanvändning av personuppgifter för vårdändamål
14.9.5 Behörighet, befogenhet och kontroll
Förslag : Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient om han eller hon behöver det för sitt arbete med begäran om kompletterande personuppgifter från patientjournal. Den som har behörighet till precisionsmedicinsk databas får ta del av kompletterande personuppgifter från en patientjournal, som kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser, om han eller hon 1. deltar i vården av en patient, och 2. uppgifterna kan antas ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten. En bestämmelse som upplyser om att reglerna i 4 kap. 2 och 3 §§ PDL gäller vid begäran om kompletterande uppgifter från patientjournal ska införas i 6 kap. PDL.
Bedömning : De allmänna reglerna om behörighet i 4 kap. 2 § PDL samt föreskrifter som har meddelats med stöd av 4 kap. 2 § tredje stycket PDL gäller. Den allmänna regeln om kontroll av elektronisk åtkomst i 4 kap. 3 § PDL samt föreskrifter som meddelats med stöd av 4 kap. 3 § andra stycket gäller vid tillgängliggörande av kompletterande personuppgifter.
Om behörighet och befogenhet för tillgängliggörande
i enlighet med en begäran om kompletterande personuppgifter
från patientjournal
Utredningen noterar att begäran och tillgängliggörande av kompletterande uppgifter från patientjournal i administrativt hänseende liknar uppgiftslämnande som sker med stöd av 2 kap. 5 § PDL. Ur det perspektivet skulle det därför kunna argumenteras för att 4 kap. 1 § PDL är tillämplig på sådan behandling som sker hos den vårdgivare som får en begäran om kompletterande personuppgifter från patientjournal. I övriga steg i utredningens förslag till modell (avsnitt 14.4.5) har dock utredningen lämnat förslag på en särskild befogenhetsregel
553Nya regler om vidareanvändning av personuppgifter för vårdändamål
som bygger på utredningens bedömning i avsnitt 13.9, se avsnitt 14.6.6, 14.7.5 och 14.8.5. Även om 4 kap. 1 § PDL kan anses ge stöd åt den administrativa hanteringen vid tillgängliggörande av kompletterande personuppgifter, anser utredningen att det är lämpligare att införa en särskild befogenhetsbestämmelse även för detta moment. Anledningen till detta är att utredningen anser att det finns fördelar med att ha en så pass enhetlig och fullständig reglering av ändamålet som möjligt. Som redogjorts för i avsnitt 13.9 anser inte utredningen att 2 kap. 5 § PDL typiskt sett avser behandling av personuppgifter för vårdändamål. Det föreslagna förfarandet i steg 4 med tillgängliggörande av kompletterande personuppgifter genomförs för syftet att ge vård, närmare bestämt för vården av en annan patient än den uppgifterna avser. Av enhetlighet- och tydlighetsskäl bör därför en särskild befogenhetsbestämmelse finnas i 6 kap. PDL. Bestämmelsen bygger på hur 4 kap. 1 § PDL är utformad och anger att "den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient om han eller hon behöver det för att tillgängliggöra kompletterande personuppgifter från patientjournal”. Som redogjorts för i avsnitt 14.6.6 fastställs i 4 kap. 2 § PDL en vårdgivares skyldighet att bestämma villkoren för behörighet för de som ingår i vårdgivarens organisation. I bestämmelsen anges att behörigheten ska begränsas till vad som behövs för att den enskilde medarbetaren ska kunna utföra sina arbetsuppgifter inom hälso- och sjukvården. Med behörighet för åtkomst avser en användares faktiska möjligheter att ta del av uppgifter i exempelvis vårdgivarens journalsystem. Behörighetsstyrning är samlingsbegreppet för de organisatoriska, administrativa och tekniska åtgärder som vidtas för att anpassa och begränsa behörigheten efter användarens behov för att kunna utföra sitt arbete. Av ovan anförda skäl anser utredningen att den nuvarande bestämmelsen i 4 kap. 2 § PDL kan och bör tillämpas vid ett tillgängliggörande av kompletterande uppgifter från patientjournal. För utredningens bedömning avseende kontrollen av den åtkomst som sker med anledning av en begäran om kompletterande personuppgifter från patientjournal se under rubriken ”Om kontroll av elektronisk åtkomst vid tillgängliggörande efter en begäran om kompletterande personuppgifter”.
554Nya regler om vidareanvändning av personuppgifter för vårdändamål
Om befogenhet att ta del av kompletterande
personuppgifter från patientjournal
I avsnitt 13.9 redogör utredningen för sin analys av varför 4 kap. 1 § PDL inte kan anses tillämplig på situationen när den som arbetar hos en vårdgivare ska ta del av personuppgifter för ändamålet vården av en annan patient än den som uppgifterna avser. Av analysen framgår att det enligt utredningens mening inte kan anses vara fråga om en åtkomst som ses som ett ”deltagande i vården” av den personuppgifterna härrör från. Det som snarare skulle kunna ligga närmare till hands är att när det i bestämmelsen anges att en personal hos en vårdgivare får ta del av uppgifter för att den ”av annat skäl behöver det för sitt arbete inom hälso- och sjukvården”. Som konstateras i ovan nämnda avsnitt får detta uttryck ses som en hänvisning till arbete som är kopplat till de ändamål som anges i 2 kap. 4 § 3–7 PDL. Då 4 kap. 1 § PDL inte kan anses tillämplig för den behandlande personal som ska använda någon annans personuppgifter i vården av den patient de har framför sig bedömer utredningen att det behövs en särskild befogenhetsregel. Föreslagen bestämmelse ska tydliggöra att endast de som har behörighet till en precisionsmedicinsk databas och uppfyller villkoren ska ha befogenhet att ta del av kompletterande uppgifter som tillgängliggörs. Utredningens förslag hämtar inspiration från bestämmelsen i 4 kap. § PDL och 3 kap. 1 § SVOD. Villkoren är att personen i fråga: 1. deltar i vården av en patient, och 2. uppgifterna kan antas ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten.
Kriterierna i 1–2 ovan är desamma som utredningens förslag till villkor och befogenhet kopplat till tillgång till precisionsmedicinsk databas, se ovan avsnitt 14.8.5. Utredningen anser att förutsättningarna på mottagarsidan bör vara desamma oavsett om personuppgifterna kommer från den precisionsmedicinska databasen, som genom ett tillgängliggörande av kompletterande information. Utredningens överväganden avseende betydelsen av ”deltar i vården” framgår av avsnitt 14.8.5. De överväganden som görs i samma avsnitt avseende
555Nya regler om vidareanvändning av personuppgifter för vårdändamål
formuleringen i punkten 2 ovan, har samma tillämplighet på kompletterande uppgifter.
Om kontroll av elektronisk åtkomst vid tillgängliggörande
efter en begäran om kompletterande uppgifter
I 4 kap. 3 § PDL finns krav på att en vårdgivare ska dokumentera och kontrollera den åtkomst som sker till de uppgifter om patienter som förs helt eller delvis automatiserat. De frågor som uppstår är om det vid tillgängliggörande och mottagande av kompletterande personuppgifter behövs en särskild regel om kontroll av den åtkomst som föranletts med anledning av det eller om den befintliga bestämmelsen kan anses tillämpbar och om den utgör ett tillräckligt krav för att uppnå det önskade syftet. Vid införandet av 4 kap. 3 § PDL anfördes att bestämmelsen avsåg tydliggöra vårdgivarens ansvar att kontrollera och följa upp behörighetstilldelningen och på så vis lättare kunna beivra eventuell obehörig åtkomst som skett (se prop. 2007/08:126 s. 149 f.). Eftersom 4 kap. 3 § PDL gäller alla personuppgifter som hos en vårdgivare behandlas på automatiserad väg, gäller den även för kontroll av den eventuella elektronisk åtkomst som sker vid tillgängliggörande och mottagande av kompletterande personuppgifter (jämför prop. 2007/08:126 s. 149 och s. 183, prop. 2021/22:77 s. 145).
14.10 Betydelsen av den enskildes inställning
till personuppgiftsbehandlingen
14.10.1 Den enskildes inställnings betydelse
för integritetsskyddet
Redan den omständighet att uppgifter är potentiellt tillgängliga för hälso- och sjukvården kan av olika anledningar uppfattas som skrämmande av den enskilde. Av betydelse för integritetsskyddet har därför att en enskild har möjlighet att få gehör för sin inställning till att dennes personuppgifter görs tillgängliga på olika sätt. Detta är en av de faktorer som påverkar om en personuppgiftsbehandling uppfattas som ett integritetsintrång eller inte. Generellt inom vården gäller att per-
556Nya regler om vidareanvändning av personuppgifter för vårdändamål
sonuppgifter får behandlas av vårdgivare oavsett den enskildes inställning (2 kap. 2 § PDL), men det finns undantag (se avsnitt 14.10.3). Det kan antas att de registrerade har lättare att acceptera de föreslagna reglerna om de har möjlighet att påverka tillgängliggörandet av sina personuppgifter. Utredningen har därför funderat över möjligheten för den enskilde att själv bestämma över om dennes personuppgifter kan tillgängliggöras till en precisionsmedicinsk databas, och på vilket sätt detta skulle kunna göras. Det kan också tänkas att en avvägning resulterar i att det allmännas intresse av personuppgiftsbehandlingarna i precisionsmedicinska databaser väger tyngre än den enskildes intresse av medbestämmande.
14.10.2 Former för frivillig medverkan
De former för frivillig medverkan som utredningen ser kan aktualiseras är aktivt samtycke till behandling av personuppgifter eller en möjlighet att motsätta sig att behandling av personuppgifter sker. Ett aktivt samtycke skulle vara ett samtycke som utgör en integritetshöjande åtgärd, se bilaga 3, avsnitt 1.6. Det integritetshöjande samtycket skulle vara uppställt som ett villkor i PDL för att personuppgiftsbehandling ska få ske i ett visst led eller för att en viss behandling ska få utföras. Alternativt skulle enskilda kunna få möjlighet att motsätta sig behandling (så kallad opt-out). För att detta alternativ ska ha effekt, behöver enskilda få möjligheten att motsätta sig innan behandlingen sker. Det behövs då ett villkor i PDL om att enskilda ska ha fått den möjligheten innan en viss personuppgiftsbehandling påbörjas. Kopplat till samtycke eller opt-out krävs att enskilda informeras om den tilltänkta behandlingen före behandlingen sker. Detta för att de ska kunna fatta ett välgrundat beslut i frågan om personuppgiftsbehandlingen. Utredningens överväganden kopplat till information finns i avsnitt 14.10.8.
557Nya regler om vidareanvändning av personuppgifter för vårdändamål
14.10.3 Rättsläget för frivillig medverkan
vid personuppgiftsbehandling inom
hälso- och sjukvården
För att kunna göra en avvägning av om, och i så fall hur, den enskildes inställning ska kunna tillmätas betydelse i de regler utredningen föreslår, har utredningen haft anledning att se om det finns andra situationer inom hälso- och sjukvården där den enskilde måste samtycka eller kan motsätta sig viss personuppgiftsbehandling. Behandling av personuppgifter som är tillåten enligt PDL får utföras även om den enskilde motsätter sig den (2 kap. 2 § PDL). Detta är alltså utgångspunkten i PDL. Det gäller dock inte i de fall som anges i 4 kap. 4 §, 7 kap. 2 § eller om något annat framgår av annan lag eller förordning. • I 4 kap. 4 § PDL finns bestämmelser om att en patient har möjlighet att begränsa hälso- och sjukvårdspersonalens elektroniska åtkomst till uppgifter om patienten. • I 7 kap. 2 § PDL föreskrivs att en patient kan motsätta sig att uppgifter om patienten behandlas i ett nationellt eller regionalt kvalitetsregister.
Behandling av personuppgifter som inte är tillåten enligt PDL får ändå ske, om den enskilde lämnat ett uttryckligt samtycke till behandlingen (2 kap. 3 § PDL). Det gäller dock inte om något annat framgår av annan lag eller förordning. Enligt utredningens uppfattning har denna bestämmelse begränsad tillämplighet i praktiken, särskilt när det gäller offentliga myndigheter (se mer om detta i avsnitt 13.8.3). I SVOD gäller något annat än att behandling av personuppgifter får utföras även om den enskilde motsätter sig den (jämför 2 kap. 2 § PDL). I lagen framgår att en patient på olika sätt kan bestämma om uppgifter om denne ska vara tillgängliga vid sammanhållen vård- och omsorgsdokumentation. Bestämmelserna gäller tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till andra vårdgivares uppgifter om patienter. Om en patient motsätter sig det, får uppgifter om patienten inte göras tillgängliga för andra vårdgivare. I sådant fall ska uppgifterna genast spärras av vårdgivaren (2 kap. 3 § SVOD). Vidare ställer lagen upp vissa krav som behöver vara uppfyllda för att en vårdgivare ska få behandla uppgifter som en annan vårdgivare gjort tillgängliga. Ett av kraven är att patienten har samtyckt (3 kap. 1 § SVOD).
558Nya regler om vidareanvändning av personuppgifter för vårdändamål
Det finns alltså vissa situationer där den enskilde kan motsätta sig personuppgiftsbehandling inom hälso- och sjukvården. Detta är dock undantag. Som huvudregel gäller ovan nämnda bestämmelse i 2 kap. 2 § PDL, nämligen att behandling av personuppgifter som är tillåten enligt PDL får utföras även om den enskilde motsätter sig den (prop. 2007/08:126, s. 64). En patient kan till exempel inte motsätta sig att det förs patientjournal eller att personuppgifter används för utveckling eller uppföljning av vården inom en vårdgivare. Det finns ändock, som framgår, ovan olika sorters behandling av personuppgifter, där man som en integritetsstärkande åtgärd kräver att den enskilde inte motsätter sig, alternativt aktivt samtycker till, behandlingen för att denna ska få ske.
14.10.4 Hur skulle den enskildes inställning
till personuppgiftsbehandling kunna
tillmätas betydelse?
Som nämnts ovan ser utredningen att de former för frivillig medverkan som kan aktualiseras är aktivt samtycke till behandling av personuppgifter eller en möjlighet att motsätta sig att behandling av personuppgifter sker (så kallad opt-out). En fråga är också om ett samtycke eller ett motsättande kan avse vissa personuppgifter, till exempel en viss diagnos, eller om den enskildes inställning ska gälla generellt för alla personuppgifter. Ytterligare fråga för övervägande är i vilka led den enskildes inställning skulle kunna tillmätas betydelse, det vill säga när ett samtycke eller ett motsättande ska kunna ske. Nedan redogörs för utredningens överväganden i dessa avseenden.
Samtycke eller motsättande för alla eller bara för vissa uppgifter
En möjlig modell skulle kunna vara att den enskilde samtycker till eller motsätter sig att hens personuppgifter över huvud taget behandlas för ändamålet vården av annan än den som uppgifterna avser. Med andra ord skulle ett samtycke eller motsättande avse samtliga uppgifter. En annan modell skulle kunna vara att den enskilde samtycker till eller motsätter sig behandling av vissa typer av uppgifter, till exempel en viss diagnos eller uppgifter från en viss typ av klinik. En kategorisering av personuppgifter skulle troligtvis då behöva göras för att
559Nya regler om vidareanvändning av personuppgifter för vårdändamål
den enskilde skulle kunna ta ställning till vad denne vill och inte vill dela. Utredningens uppfattning är att detta skulle bli för praktiskt svårt och resurskrävande för att vara ett bra alternativ. Utredningen bedömer därför att ett samtycke eller ett motsättande behöver avse alla personuppgifter som finns om en viss person. Samtycket eller motsättandet ska alltså inte kunna avse enbart vissa personuppgifter som den enskilde själv kan välja.
Urval och tillgängliggörande till precisionsmedicinsk databas
Den enskilde skulle kunna samtycka till eller motsätta sig att personuppgifter hos vårdgivare behandlas i syfte att tillgängliggöra uppgifter till en precisionsmedicinsk databas. Med andra ord skulle hänsyn kunna tas till den enskildes inställning innan uppgifter görs tillgängliga till en precisionsmedicinsk databas. Ett samtycke innan tillgängliggörande till en precisionsmedicinsk databas skulle kunna inhämtas när en patient söker vård. Detta skulle dock innebära att uppgifterna i en precisionsmedicinsk databas blir begränsad eftersom många kanske inte har kontinuerlig kontakt med hälso- och sjukvården för att samtycket ska kunna inhämtas. Detta blir särskilt relevant för patienters uppgifter som redan samlats in men där hälso- och sjukvården inte längre har någon pågående kontakt med patienten i fråga. Ett sådant exempel kan vara personer som har genomgått utredningar och behandlingar inom hälso- och vården och senare blivit friskförklarade. Med en variant där samtycke ska inhämtas när en patient söker vård, skulle hälso- och sjukvården gå miste om mycket historiska data. Det går också att tänka sig att hälso- och sjukvården går ut med information och ber personer samtycka till ett tillgängliggörande till precisionsmedicinska databaser. Ett sådant förfarande skulle dock förmodligen innebära att många inte tar sig tiden att samtycka. Vidare skulle det kräva mycket resurser av hälsooch sjukvården för att hantera alla samtycken. Utredningen anser därför att detta inte är ett tillfredsställande alternativ. Ett alternativ till samtycke är att enskilda får möjlighet att motsätta sig att deras personuppgifter görs tillgängliga till en precisionsmedicinsk databas (en så kallad opt-out-lösning). På så sätt ger man den enskilde inflytande om den önskar, men hälso- och sjukvården behöver inte hantera samtycken. I stället får hälso- och sjukvården hantera
560Nya regler om vidareanvändning av personuppgifter för vårdändamål
motsättande, vilket inte bör vara lika resurskrävande som att hantera samtycken. Ett motsättande skulle då innebära att enskildas personuppgifter inte alls görs tillgängliga till en precisionsmedicinsk databas, alternativt om de redan har gjorts tillgängliga, tas bort ur databasen. Om den enskilde ska ges möjlighet till inflytande, anser utredningen detta vara ett genomförbart alternativ.
Behandling (sökning) av personuppgifter
som tillgängliggjorts (i databasen)
Utredningen har övervägt om den enskilde ska kunna motsätta sig eller samtycka till den behandling av personuppgifter som sker genom att sökning görs i databasen efter relevanta fall. Detta skulle innebära att hälso- och sjukvården på något sätt behöver kontakta patienter som finns i en precisionsmedicinsk databas innan en sökning görs på deras uppgifter. Utredningen har svårt att se att detta är ett alternativ som skulle fungera i praktiken. Den som söker i databasen vet troligen inte vilka uppgifter om patienter som kommer att visa sig vid en sökning, vilket gör det svårt att inhämta ett samtycke eller att en patient ska kunna motsätta sig innan en sökning. Utredningen anser därför att detta inte är ett lämpligt alternativ.
Innan användning
Ett annat alternativ är att hälso- och sjukvården ger enskilda möjlighet att samtycka efter att deras personuppgifter visats som del av ett utfall vid sökning i databasen, men innan uppgifterna används i vården av en annan patient. Detta skulle innebära att hälso- och sjukvården kontaktar patienter som de får träff på. Detta skulle bli resurskrävande. Många skulle förmodligen också tycka att det var onödigt att bli kontaktade av hälso- och sjukvården av denna anledning och i vissa fall även upplevas integritetskränkande att exempelvis bli påmind om en diagnos. De som inte vill bidra med sina personuppgifter skulle dessutom troligtvis inte ens vilja finnas med i den precisionsmedicinska databasen alls. En ytterligare aspekt att ta hänsyn till är att personuppgifter som skulle kunna användas i pseudonymiserat format om ett samtycke inte krävs, inte längre kan vara pseudonymiserade om den enskilde ska kontaktas innan användning. Något som får betydelse
561Nya regler om vidareanvändning av personuppgifter för vårdändamål
för integritetsskyddet. Utredningen ser därför inte att detta är ett lämpligt alternativ.
Kompletterande information från patientjournal
I vissa fall kanske inte informationen i en precisionsmedicinsk databas räcker, och vårdpersonalen som ska använda uppgifterna vill ha kompletterande information från patientjournal från den vårdgivare som har tillgängliggjort uppgifterna till den precisionsmedicinska databasen. I detta led skulle kunna tänkas att den enskilde ges möjlighet att samtycka till att kompletterande uppgifter från patientjournal lämnas ut. Hälso- och sjukvården behöver då kontakta patienter innan kompletterande information görs tillgänglig. Precis som för andra alternativ ovan skulle förmodligen många tycka att det var onödigt att bli kontaktade av hälso- och sjukvården av denna anledning. De som inte vill bidra med sina personuppgifter skulle också troligtvis inte vilja finnas med i den precisionsmedicinska databasen alls. Det går också att ställa sig frågan om det är etiskt försvarbart att kontakta patienter med en sådan fråga. Att få frågan kan uppfattas som mer integritetskränkande än att uppgifterna bara delas mellan vårdgivare i hälso- och sjukvården.
Slutsats
Efter en genomgång av alternativen ovan har utredningen kommit till följande slutsatser. En enskilds inställning till personuppgiftsbehandling behöver avse alla personuppgifter som finns om denna person. Samtycket eller motsättandet ska alltså inte enbart kunna avse vissa personuppgifter som den enskilde själv kan välja. En enskilds inställning till personuppgiftsbehandling kan tas hänsyn till i olika led. Utredningen anser att enskildas inställning bör beaktas innan ett tillgängliggörande till en precisionsmedicinsk databas sker. Vidare anser utredningen att det mest lämpliga alternativet är att en enskilds inställning beaktas med en så kallad opt-out lösning, det vill säga att enskild ges möjlighet att motsätta sig (till skillnad från ett aktivt samtycke).
562Nya regler om vidareanvändning av personuppgifter för vårdändamål
Det går dock att tänka sig att den enskildes inställning inte ska beaktas alls. Utredningens bedömning av detta följer i avsnitt 14.10.5.
14.10.5 Möjlighet att motsätta sig urval och tillgängliggörande
till precisionsmedicinsk databas
Förslag : Den enskilde ska kunna motsätta sig att personuppgifter om denne görs tillgängliga till en precisionsmedicinsk databas. Om en patient motsätter sig det får uppgifter om patienten inte tillgängliggöras till en precisionsmedicinsk databas. Om patienten motsätter sig tillgängliggörande efter att behandlingen påbörjats, ska uppgifterna utplånas ur databasen så snart som möjligt.
Den enskilde ska kunna motsätta sig ett tillgängliggörande
till precisionsmedicinsk databas
Ett sätt att beskriva begreppet personlig integritet i samband med informationshantering är att den enskilde ska kunna kontrollera spridningen av uppgifter om sig själv eller ha en rätt att bestämma vilka uppgifter om sig själv som han eller hon vill dela med sig till andra. Utredningen har därför funderat hur ett tillfredsställande integritetsskydd bör konstrueras och i vad mån detta skydd bör ta sig uttryck i den enskildes frivilliga medverkan (se särskilt föregående avsnitt där olika sätt att ta hänsyn till den enskildes inställning diskuteras). Denna avvägning har resulterat i att utredningen anser att den enskilde ska ha möjlighet att välja om denne vill att hens personuppgifter tillgängliggörs till en precisionsmedicinsk databas. Det mest lämpliga sättet att göra detta är enligt utredningen att den enskilde ges möjlighet att motsätta sig att personuppgifter om denne görs tillgängliga till en precisionsmedicinsk databas, en så kallad opt-out-lösning. Hur utredningen har kommit till denna slutsats utvecklas nedan. Möjligheten för den enskilde att själv ha inflytande över hur dennes personuppgifter behandlas är en av de faktorer som påverkar om en behandling uppfattas som ett integritetsintrång eller inte. Det kan antas att de registrerade har lättare att acceptera reglerna om de har möjlighet att motsätta sig behandling. Detta bidrar också till att den
563Nya regler om vidareanvändning av personuppgifter för vårdändamål
enskilde har mer kontroll över användningen av sina personuppgifter och i förlängningen känner sig respekterad. Frågan om den enskilde möjlighet till inflytande är alltså viktig ur ett integritetsperspektiv. Utredningens förslag innebär att personuppgifter, oftast av känslig natur, ska kunna tillgängliggöras till en precisionsmedicinsk databas från flera olika vårdgivare. Det handlar alltså om känsliga personuppgifter som kan komma att behandlas utanför den myndighet där personuppgifterna ursprungligen dokumenterades. Det kommer därmed medföra en spridning av personuppgifterna över vad som annars skulle skyddas av sekretessgränser. Detta medför att behandlingen kan uppfattas som särskilt integritetskänslig. Utredningen menar därför att det är en viktig del av integritetsskyddet att den enskilde har möjlighet att själv bestämma över tillgängliggörandet. Detta ligger också i linje med grundprincipen i hälso- och sjukvårdslagstiftningen för patientens självbestämmande och integritet. Dessa omständigheter talar enligt utredningen för att det finns skäl att införa en möjlighet för den enskilde att motsätta sig personuppgiftsbehandlingen. Den enskildes möjlighet till opt-out ska dock ställas emot den precisionsmedicinska databasens viktiga syfte som är att kunna använda personuppgifterna för vården av någon annan. I förlängningen kan detta innebära att liv räddas. Ska då den enskilde ha möjlighet att motsätta sig behandling? Är det rätt att låta invånarna ha en sådan makt att kunna förvägra andra människor möjligheten till vård som kan handla om liv och död? Här står två viktiga intressen emot varandra. Det finns också anledning att fundera över vad som ingår i samhällskontraktet. Vilken makt ska tillskrivas en enskild och vilken makt ska i stället ligga hos någon annan? Har den enskilde en moralisk skyldighet att bidra med sina personuppgifter? En ytterligare aspekt är att samma person som motsätter sig behandling av dennes personuppgifter, kan få vård baserat på någon annans personuppgifter i en situation där denne behöver det. Något som kan tyckas orättvist. På andra sidan om detta finns alltså den enskildes intresse att ha inflytande över hur dennes personuppgifter används. Att en persons personuppgifter används i vården för denne själv tycker nog de flesta är självklart. Att personuppgifterna ska användas i vården för någon annan är inte lika självklart. När den enskilde söker vård har denne dessutom som utgångspunkt inte möjlighet att styra över hur personuppgifter som samlas in i samband med detta används av hälso- och sjukvården. Huvudregeln är nämligen att behandling av personupp-
564Nya regler om vidareanvändning av personuppgifter för vårdändamål
gifter som är tillåten enligt PDL får utföras även om den enskilde motsätter sig den (se särskilt om detta i ovan i avsnitt 14.10.3.I en precisionsmedicinsk databas ska dessa personuppgifter, som den enskilde alltså inte har haft möjlighet att motsätta sig insamlingen och registrering av, vidareanvändas i vården av någon annan. Risken om den enskilde inte har möjlighet att motsätta sig är att den enskilde tappar förtroendet för hälso- och sjukvården och undviker att söka vård i rädsla för hur personuppgifterna kommer att användas. Något som kan tala emot en lösning med opt out är att underlaget till precisionsmedicinska databaser riskerar att inte bli tillräckligt stort, om alltför många väljer att inte medverka. Mot detta intresse ska dock vägas skyddet av patienternas personliga integritet. Utredningen har funderat över ovan aspekter. Utredningens uppfattning är att de flesta individer kommer vilja bidra med sina personuppgifter, men att det finns ett antal individer som inte kommer vilja det. Det kommer dock troligtvis endast röra sig om en liten minoritet patienter. Det är också denna uppfattning patientföreningar som utredningen har varit i kontakt med ger uttryck för. Det fåtal patienter som motsätter sig att delta bör därför inte få några påtagliga effekter på de precisionsmedicinska databaserna. Utredningen anser vid en avvägning därför att patienternas intresse av självbestämmande och integritet har företräde framför intresset av kompletta precisionsmedicinska databaser. För att tillgodose integritetsintresset anser utredningen att en möjlighet till opt-out är en rimlig lösning. På så sätt ges den enskilde en möjlighet att delta frivilligt. En annan omständighet som kan tala mot en lösning med opt-out är att det kan komma att krävas komplicerade tekniska lösningar för att hantera patienters motsättande. Utredningen konstaterar dock att det redan i dag krävs komplexa tekniska lösningar vid behandling av personuppgifter inom vården till följd av befintliga regelverk som ställer krav på att kunna hantera stora mängder känslig information med bland annat opt-out. Utredningen anser inte att eventuella tekniska svårigheter är en tillräckligt tungt vägande faktor för att avstå från att föreslå en konstruktion med opt-out. Vid en sammanvägd avvägning mellan att den enskildes ska kunna motsätta sig och inte, gör utredningen bedömningen att den enskilde ska kunna motsätta sig. Detta är enligt utredningen en lämplig avvägning mellan den enskildes inflytande över hur dennes personuppgifter tillgängliggörs till en precisionsmedicinsk databas och en ända-
565Nya regler om vidareanvändning av personuppgifter för vårdändamål
målsenlig reglering som uppfyller det tänkta syftet. Patienten ska alltså ha en möjlighet att motsätta sig tillgängliggörande av uppgifter till en precisionsmedicinsk databas. Bestämmelsen uppställer alltså inte något krav på att patienten ska lämna ett uttryckligt samtycke till att uppgifterna om honom eller henne får göras tillgängliga i en precisionsmedicinsk databas. Detta ger uttryck för en så kallad opt-out-modell, eller en ordning i vilket ett tyst samtycke gäller. Om den enskilde motsätter sig innebär detta att uppgifterna på den enskildes begäran inte får tillgängliggöras till en precisionsmedicinsk databas. Om patienten motsätter sig tillgängliggörande efter att behandlingen påbörjats, ska uppgifterna utplånas ur databasen så snart som möjligt.
14.10.6 Barn och deras vårdnadshavare
Bedömning: Det bör inte finnas några särskilda bestämmelser för barn. Det innebär att barnets vårdnadshavare som regel kan motsätta sig att barnets personuppgifter görs tillgängliga till en precisionsmedicinsk databas. I likhet med vad som gäller i övrigt inom hälso- och sjukvården ska allt större hänsyn tas till barnets önskemål utifrån barnets ålder och mognad. Barn som har tillräcklig ålder och mognad kan självt motsätta sig tillgängliggörande.
Utredningens bedömning
Med barn avses den som är under 18 år. Vårdnaden om ett barn består till dess att barnet fyller 18 år. Vårdnadshavaren har rätt och skyldighet att bestämma i frågor som rör barnets personliga angelägenheter. Vårdnadshavaren ska i takt med barnets stigande ålder och utveckling ta allt större hänsyn till barnets synpunkter och önskemål (6 kap. 11 § föräldrabalken). För uppgifter om ett barn gäller sekretess som utgångspunkt även i förhållande till dennes vårdnadshavare. Sekretessen gäller dock inte i förhållande till vårdnadshavaren i den utsträckning denne enligt 6 kap. 11 § föräldrabalken har rätt och skyldighet att bestämma i frågor som rör den underåriges personliga angelägenheter, såvida det inte kan antas att den underårige lider betydande men om uppgiften röjs för vårdnadshavaren, eller det annars anges i OSL (12 kap. 3 § första
566Nya regler om vidareanvändning av personuppgifter för vårdändamål
stycket OSL). Om sekretess inte gäller i förhållande till vårdnadshavaren, förfogar denne ensam eller, beroende på den underåriges ålder och mognad, tillsammans med den underårige över sekretessen till skydd för den underårige (12 kap. 3 § andra stycket OSL). Det betyder att en vårdnadshavare, när det gäller yngre barn, i regel får ha full insyn i barnets uppgifter i exempelvis en patientjournal och att vårdnadshavaren ensam kan häva den sekretess som annars gäller för uppgifterna om barnet. Med barnets stigande ålder och mognad kan sedan vårdnadshavaren besluta tillsammans med barnet. Slutligen, särskilt när det gäller äldre barn som närmar sig 18-årsåldern, kan barnet självt disponera över sina uppgifter utan att vårdnadshavaren har rätt att ta del av dessa och häva den sekretess som gäller till skydd för barnet. I viss lagstiftning på hälso- och sjukvårdsområdet finns det särskilda bestämmelser för barn. I SVOD finns en särskild bestämmelse som anger att vårdnadshavare inte får spärra uppgifter om barn från tillgänglighet i ett system med sammanhållen vård- och omsorgsdokumentation (2 kap. 3 § andra stycket SVOD). I det fallet tar den särskilda bestämmelsen över i förhållande till föräldrabalkens regler som annars ger vårdnadshavaren rätt att bestämma i frågor som rör den underåriges personliga angelägenheter, vilket typiskt sett omfattar uppgifter i barnets patientjournal. Motivet till den särskilda regeln för sammanhållen vård- och omsorgsdokumentation är att ge vårdpersonal möjlighet att upptäcka barn som far illa och att kunna bedöma om det behöver göras en orosanmälan enligt socialtjänstlagen för att barnet ska få erforderligt skydd (prop. 2021/22:177 s. 94). Utredningen gör bedömningen att det inte finns några sådana skyddsintressen för barn när det gäller personuppgiftsbehandling i precisionsmedicinsk databas. Intresset av att ett barns uppgifter ingår i en precisionsmedicinsk databas handlar inte om att skydda barnet från missförhållanden som utövas av vårdnadshavaren eller att kunna fullgöra någon lagstadgad anmälningsplikt. För behandling i en precisionsmedicinsk databas handlar det i stället om ett allmänt intresse av att kunna använda personuppgifter i vården av någon annan. Utredningen noterar också att det inte finns någon särreglering för barn när det gäller nationella och regionala kvalitetsregister (7 kap. PDL). Avseende kvalitetsregister allmänna principer om vårdnadshavares rätt och skyldighet att bestämma i frågor som rör barnets personliga angelägenheter, och att allt större hänsyn ska tas till barnets önskemål utifrån barnets ålder och mognad.
567Nya regler om vidareanvändning av personuppgifter för vårdändamål
Med hänsyn till ovan redogörelse gör utredningen bedömningen att det för tillgängliggörande till precisionsmedicinsk databas inte ska finnas några särskilda bestämmelser för barn. Det innebär att barnets vårdnadshavare som regel kan motsätta sig att barnets personuppgifter görs tillgängliga till en precisionsmedicinsk databas. I likhet med vad som gäller i övrigt inom hälso- och sjukvården ska allt större hänsyn tas till barnets önskemål utifrån barnets ålder och mognad. Det barn som har tillräcklig ålder och mognad kan självt motsätta sig behandlingen. Utredningen anser att denna bedömning är förenlig med det särskilda skydd för uppgifter om barn som kommer till uttryck i skäl 38 till dataskyddsförordningen. Enligt skäl 38 till dataskyddsförordningen förtjänar barns personuppgifter särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. I sammanhanget bör nämnas att Förenta nationernas konvention om barnets rättigheter, förkortad barnkonventionen, som sedan den 1 januari 2020 gäller som svensk lag (lagen [2018:1197] om Förenta nationernas konvention om barnets rättigheter). Lagen innebär ett förtydligande av att rättstillämparna i samtliga mål och ärenden ska tolka svenska bestämmelser i förhållande till barnkonventionen. Enligt artikel 12 ska konventionsstaterna tillförsäkra det barn som är i stånd att bilda egna åsikter rätten att fritt uttrycka dessa i alla frågor som rör barnet. Barnets åsikter ska tillmätas betydelse i förhållande till barnets ålder och mognad. Av artikel 5 följer bland annat att konventionsstaterna ska respektera det ansvar och de rättigheter och skyldigheter som tillkommer till exempel föräldrar eller vårdnadshavare eller andra personer som har juridiskt ansvar för barnet, att på ett sätt som står i överensstämmelse med den fortlöpande utvecklingen av barnets förmåga ge lämplig ledning och råd då barnet utövar de rättigheter som erkänns i konventionen. Utredningens bedömning står, enligt utredningens uppfattning, i överensstämmelse med det som anges i artikel 5 och artikel 12 om att i takt med barnets stigande ålder och mognad ska allt större hänsyn tas till barnets åsikter, önskemål och vilja. Utredningen anser att det inte heller finns skäl att införa någon specifik åldersgräns för när ett barn självt ska få motsätta sig att personuppgifter görs tillgängliga till precisionsmedicinsk databas. Utredningen anser att det framstår som mest lämpligt att barns självbestäm-
568Nya regler om vidareanvändning av personuppgifter för vårdändamål
mande respekteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården.
Skäl som talar för att det inte ska vara möjligt
att motsätta sig att barns uppgifter görs tillgängliga
till precisionsmedicinsk databas
Utredningen har landat i bedömningen att det inte bör finnas några särskilda bestämmelser för barn och att barnets vårdnadshavare som regel kan motsätta sig att barnets personuppgifter görs tillgängliga till en precisionsmedicinsk databas. Utredningen har dock övervägt alternativet att barnets vårdnadshavare inte ska kunna ha den rätten att motsätta sig sådan personuppgiftsbehandling. Argument som skulle tala för ett sådant förhållningssätt är att barn är extra skyddsvärda. Det finns anledning att se etiska aspekter i att ge enskilda vårdnadshavare en rätt att motsätta sig sådan personuppgiftsbehandling om nyttan sätts i relation till integritetsskyddet. Om uppgifter från ett barn potentiellt skulle kunna ge behandlande vårdpersonalen rätt information för att sätta in rätt behandling och minska lidande för ett annat barn är det sannolikt så att det, enligt utredningens bedömning, går att argumentera för att nyttan står i proportion till integritetsintrånget. Det kanske till och med kan handla om att rädda liv, då behöver frågan ställas om det är rimligt att kunna motsätta sig sådan behandling. Det går sannolikt även att resonera om att det kommer finnas färre uppgifter om just barn varför just dessa blir extra värdefulla att kunna ta del av. Utredningen har dock landat i att möjligheten att motsätta sig är en viktig ventil för författningsförslaget ska tas vidare och anses vara tillräckligt anpassat för att säkerställa enskildas integritet. Utredningen har därför, trots resonemanget ovan, ansett att samma regler ska gälla för barn som för vuxna.
569Nya regler om vidareanvändning av personuppgifter för vårdändamål
14.10.7 Personer som inte endast tillfälligt
saknar förmåga att ta ställning
Förslag: En vårdgivare får tillgängliggöra uppgifter om en person som inte endast tillfälligt saknar förmåga att ta ställning till behandling i en precisionsmedicinsk databas, om 1. personens inställning till sådan behandling av personuppgifter så långt som möjligt har klarlagts, och 2. det inte finns anledning att anta att personen skulle ha motsatt sig behandlingen av personuppgifterna.
Ovan har utredningen konstaterat att personer ska ha möjlighet att motsätta sig urval och tillgängliggörande till precisionsmedicinsk databas (se avsnitt 14.10.5). Detta förutsätter att personen har förmåga att ta del av information om, och ta ställning till, ett tillgängliggörande. Fråga uppstår då vad som ska gälla för personer som inte endast tillfälligt saknar förmåga att ta ställning. Utredningen anser att frågan om vad som ska gälla för personer som inte endast tillfälligt saknar förmåga att ta ställning är en del av en större fråga om dessa personers ställning inom vård generellt. Samtidigt kan frågan om dessa personers roll generellt inom vård naturligtvis inte lösas inom ramen för utredningens uppdrag. Utredningen konstaterar att det för kvalitetsregister finns bestämmelse i 7 kap. 2 a § PDL som anger att för enskild som inte endast tillfälligt saknar förmåga att ta ställning får personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister, om hans eller hennes inställning till sådan personuppgiftsbehandling så långt som möjligt klarlagts, och det inte finns anledning att anta att han eller hon skulle ha motsatt sig personuppgiftsbehandlingen. Bestämmelsen fanns inte vid PDL:s införande utan har införts senare (se prop. 2013/14:202, Förbättrad informationshantering avseende vissa patienter inom hälso- och sjukvården). Liknande reglering gäller vid sammanhållen vård- och omsorgsdokumentation (se 2 kap. 6 § SVOD). I den nyligen införda biobankslagen (2023:38) finns en bestämmelse som är annorlunda utformad. Där anges att ett prov får samlas in till och bevaras i en biobank för provgivarens vård eller behandling även om provgivaren på grund av sjukdom, psykisk störning, försvagat hälsotillstånd eller något annat liknande förhållande inte kan ta ställning till frågan om hanteringen
570Nya regler om vidareanvändning av personuppgifter för vårdändamål
av provet (4 kap. 8 §). Motiveringen bakom denna regel är att det är av stor vikt att biobankslagstiftningen inte medför att beslutsoförmögna går miste om vård och behandling (prop. 2021/22:257 s. 142). Frågan om beslutsoförmögnas roll inom vård har behandlats i flera statliga utredningar. Utredningen om beslutsoförmögna personers ställning i vård, omsorg och forskning (SOU 2015:80) föreslår en ny lag om stöd och hjälp till vuxna vid ställningstaganden till hälso- och sjukvård och omsorg, med bestämmelser om företrädare för vuxna personer som inte har förmåga att i olika situationer själva ta ställning i frågor som gäller deras hälso- och sjukvård och omsorg. Betänkandet har ännu inte lett till några författningsändringar, vilket visar på komplexiteten i dessa frågor. Utredningen konstaterar att det hade varit önskvärt om en helhetslösning inom vården kunnat åstadkommas för personer som inte kan ta ställning, som utredningens lagförslag kunnat utgöra en del av. Mot bakgrund av att det i dag inte finns några sådana lösningar, behöver utredningen ta ställning till vad som ändå ska gälla för dessa personer i förhållande till precisionsmedicinska databaser. Utredningen anser att det ska finnas förutsättningar att inkludera personuppgifter om personer som inte endast tillfälligt saknar förmåga att ta ställning i precisionsmedicinska databaser. Att helt exkludera dessa personer kan leda till att vissa patientgrupper inte får tillgång till vård med stöd av precisionsmedicinska databaser, vilket vore olyckligt. Utredningen anser att det framstår som mest lämpligt att dessa personers självbestämmande hanteras på motsvarande sätt som i kvalitetsregister och i sammanhållen vård- och omsorgsdokumentation. Att införa ännu en reglering som skiljer sig åt från dessa regler i utformning finner utredningen mindre lämpligt, även om utredningen också kan konstatera att bestämmelsen inte är helt tillfredsställande. Detta eftersom vårdgivaren inte alltid har den kontakt med patienten som krävs för att den föreslagna regleringen ska fungera optimalt. Med hänsyn till ovan redogörelse föreslår utredningen att vårdgivare får tillgängliggöra uppgifter om personer som inte endast tillfälligt saknar förmåga att ta ställning till behandling i en precisionsmedicinsk databas, om personens inställning till sådan behandling av personuppgifter så långt som möjligt har klarlagts, och det inte finns anledning att anta att personen skulle ha motsatt sig behandlingen av personuppgifterna.
571Nya regler om vidareanvändning av personuppgifter för vårdändamål
14.10.8 Information om möjligheten att motsätta sig
tillgängliggörande till en precisionsmedicinsk databas
Förslag : Innan personuppgifter görs tillgängliga i en precisionsmedicinsk databas ska den som är personuppgiftsansvarig informera den enskilde om vad personuppgiftsbehandling i precisionsmedicinsk databas innebär, vad behandling av kompletterande personuppgifter från patientjournal innebär och möjligheten att motsätta sig att uppgifter görs tillgängliga till en precisionsmedicinsk databas.
Att den enskilde ska ges viss information bygger på respekten för den enskildes självbestämmande och integritet. Att den enskilde har fått klar, tydlig och korrekt information är en förutsättning för att den enskilde ska kunna fatta ett välgrundat beslut i frågan om personuppgifterna bör få göras tillgängliga till en precisionsmedicinsk databas. Rätten till information och individens möjlighet att därmed tillvarata sin rätt att motsätta sig personuppgiftsbehandlingen är ett viktigt led i skyddet av den personliga integriteten. Det bör därför finnas bestämmelse som slår fast att den enskilde, innan uppgifter görs tillgängliga till en precisionsmedicinsk databas, ska informeras om vad personuppgiftsbehandling i precisionsmedicinsk databas innebär, vad behandling av kompletterande personuppgifter från patientjournal innebär och möjligheten att motsätta sig att uppgifter görs tillgängliga till en precisionsmedicinsk databas. Hur informationen ska lämnas överlåts åt de personuppgiftsansvariga att bestämma. Det är viktigt att de personuppgiftsansvariga utarbetar rutiner för hur informationsskyldigheten ska fullgöras. Säkra rutiner ligger i den personuppgiftsansvarigas eget intresse, så att de kan visa att faktisk information har lämnats till den enskilde. Den information som ska lämnas enligt utredningens förslag ska uppfylla kraven i dataskyddsförordningen på information till den enskilde. Av artikel 12 i dataskyddsförordningen följer bland annat att sådan information ska tillhandahållas i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. Informationen ska tillhandahållas skriftligt, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Av artikel 13 i dataskyddsförordningen följer att om personuppgifter samlas in från den registrerade, ska den personuppgiftsansvarige,
572Nya regler om vidareanvändning av personuppgifter för vårdändamål
när personuppgifterna erhålls, till den registrerade lämna viss information om bland annat ändamål och rättslig grund för behandlingen, lagringstid, uppgift om den registrerades rätt till tillgång, rättelse, radering, begränsning av behandling, invändning mot behandling och rätten att återkalla ett eventuellt samtycke. Artikel 14 i dataskyddsförordningen reglerar den information som ska tillhandahållas om personuppgifterna har erhållits från någon annan än den registrerade. Den personuppgiftsansvarige är således redan enligt EU:s dataskyddsförordning skyldiga att lämna viss information till den registrerade. Utredningen gör bedömningen att det inte strider mot dataskyddsförordningen att ställa upp ytterligare krav på att den enskilde blir informerad för att personuppgifterna ska få behandlas på ett visst sätt. Enligt artikel 6.2 och 6.3 i dataskyddsförordningen är det tillåtet med sådana särskilda bestämmelser när det gäller personuppgifter som behandlas med stöd av artikel 6.1 e (för att utföra en uppgift av allmänt intresse) i dataskyddsförordningen, vilket det här är fråga om (se avsnitt 14.3). Det är således förenligt med dataskyddsförordningen att ställa upp särskilda krav på information som förutsättning för att personuppgifter ska få behandlas.
14.11 Bevarande och gallring
Förslag : Personuppgifter i en precisionsmedicinsk databas ska gallras när de inte längre behövs för ändamålen med databasen. Personuppgifter i en precisionsmedicinsk databas som ska utplånas till följd av att patienten motsatt sig tillgängliggörande sedan uppgifterna tillgängliggjorts får gallras. När en handling i en precisionsmedicinsk databas är tillgänglig för flera regionala myndigheter gäller skyldigheten att bevara den endast för den myndighet som för databasen.
Utredningen ser behov av bestämmelser som rör bevarande och gallring av personuppgifter i en precisionsmedicinsk databas. Utredningen föreslår en generell regel om gallring av personuppgifter i precisionsmedicinisk databas, se avsnitt 14.11.1. Vidare föreslår utredningen en bestämmelse om gallring som avser uppgifter som enligt utredningens förslag till regler i 6 kap. PDL ska utplånas ur en precisionsmedicinsk databas, se avsnitt 14.11.1. Slutligen föreslår utredningen en bestäm-
573Nya regler om vidareanvändning av personuppgifter för vårdändamål
melse som rör ansvar för arkivbildningen där uppgifter i en precisionsmedicinsk databas är tillgängliga för flera myndigheter, se avsnitt 14.11.2.
14.11.1 Gallring i precisionsmedicinsk databas
Utredningen ser behov av att reglera två situationer där gallring av uppgifter i precisionsmedicinsk databas får ske. Den ena är när uppgifter inte längre behövs för ändamålet med databasen. Den andra är när uppgifterna ska utplånas till följd av att patienten, sedan uppgifterna har tillgängliggjorts, motsatt sig tillgängliggörande.
Gallring för att uppgifterna inte längre behövs för ändamålet
Lagring av personuppgifter är en form av behandling av personuppgifter enligt EU:s dataskyddsförordning. Huvudregeln i artikel 5.1 e i EU:s dataskyddsförordning är att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Denna utgångspunkt får anses vara ett uttryck för resultatet av avvägningen mellan integritetsskyddsintresset och det informationsbehov som uppgifterna ska tillgodose. När en personuppgift inte längre behöver behandlas för de ursprungliga ändamålen ska uppgiften raderas eller avidentifieras. Med avidentifiering menas att alla möjligheter att identifiera en person tas bort. Särskilda regler gäller enligt EU:s dataskyddsförordning om personuppgifter behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Om personuppgifter behandlas enbart för dessa ändamål, får de bland annat lagras under längre perioder i enlighet med kraven i artikel 89.1 i EU:s dataskyddsförordning och under förutsättning att lämpliga tekniska och organisatoriska åtgärder vidtas. Regleringen i EU:s dataskyddsförordning gäller inte i den utsträckning att det skulle hindra en myndighet att arkivera och bevara allmänna handlingar. Handlingsoffentligheten har företräde framför EU:s dataskyddsförordning, vilket innebär att personuppgifter i allmänna handlingar inte ska gallras enligt bestämmelser i dataskyddsförordningen. Av 3 § arkivlagen (1990:782), förkortad arkivlagen, framgår
574Nya regler om vidareanvändning av personuppgifter för vårdändamål
att en myndighets arkiv, som bland annat består av de allmänna handlingarna från myndighetens verksamhet, ska bevaras. Huvudprincipen enligt arkivlagstiftningen är således att allmänna handlingar ska bevaras. Enligt bestämmelsen ska myndigheternas arkiv bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen samt forskningens behov. Det följer dock av 10 § arkivlagen att allmänna handlingar under vissa förutsättningar får gallras. När det gäller gallring är arkivlagens bestämmelser subsidiära i förhållande till annan lagstiftning. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning, har de bestämmelserna företräde (10 § tredje stycket arkivlagen). En bestämmelse om gallring innebär alltså inte bara att uppgiften inte längre får behandlas i dataskyddsförordningens mening, utan även att arkivrättslig gallring ska ske. Om det i författningar som rör myndigheters behandling av personuppgifter inte finns några särskilda regler om gallring, ska således arkivlagens bestämmelser om bevarande som huvudprincip tillämpas. Regeringen har bedömt att bestämmelser i registerförfattningar, som innebär att personuppgifter ska eller får bevaras under viss tid alternativt gallras efter en viss tid eller när de inte längre är nödvändiga för de ändamål för vilka de behandlas, är sådana nationella bestämmelser om lagringstid som är tillåtna enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning när behandlingen grundar sig på en rättslig förpliktelse, en uppgift av allmänt intresse eller som ett led i myndighetsutövning. Den rättsliga grunden för de precisionsmedicinska databaserna är uppgift av allmänt intresse enligt artikel 6.1 e i EU:s dataskyddsförordning. Enligt 3 kap. 17 § PDL ska en journalhandling bevaras i minst tio år efter det att den sista uppgiften fördes in i handlingen. I patientjournallagen (1985:562), som upphävdes år 2008 när PDL trädde i kraft, gällde som huvudregel för journalhandlingar en bevarandetid på minst tre år efter det att den sista uppgiften fördes in i handlingen. Uppgifterna i en precisionsmedicinsk databas utgör dock inte sådan journalhandling att PDL:s reglering i 3 kap. 17 § blir tillämplig. Utredningens bedömning är därför att en särskild bestämmelse om lagringstid är förenlig med dataskyddsförordningen och kan införas i lagen. Principen att gallring ska ske motiveras i första hand av integritetsskäl. Behovet av gallringsbestämmelser måste således avgöras genom en avvägning mellan å ena sidan intresset av skydd för den
575Nya regler om vidareanvändning av personuppgifter för vårdändamål
personliga integriteten och å andra sidan intresset av offentlighet och insyn i myndigheternas verksamhet. Bevarandetidens längd ska motiveras utifrån de ändamål som den precisionsmedicinska databasen avser att tillgodose och med beaktande av integritetsskyddsintresset. Den tid under vilken personuppgifter bevaras bör inte vara längre än vad som behövs för att de ändamål som den aktuella personuppgiftsbehandlingen syftar till ska kunna uppnås. Vid lagringen av uppgifter i de precisionsmedicinska databaserna kommer känsliga personuppgifter att behandlas om patienters hälsa. Behandlingen kan komma att omfatta många patienter. Utredningens bedömning är därför att en bestämmelse om vilken bevarandetid som ska gälla för uppgifterna som behandlas i de precisionsmedicinska databaserna i samverkansregionerna och GMS enligt PDL ska införas. Bevarandetidens längd ska motiveras utifrån de ändamål som lagen avser att tillgodose och med beaktande av integritetsskyddsintresset. Gallring är en oåterkallelig åtgärd som kan ha återverkningar bland annat på uppgifternas användbarhet för forskningsändamål. För att tydligare skilja mellan arkivrättsliga regler och regler om skydd för personuppgifter bör begreppet gallring enbart användas i den betydelse det har i arkivlagstiftningen. När syftet som i detta fall är att skydda den personliga integriteten bör regleringen därför i stället ange den yttersta gränsen för hur länge personuppgifterna får behandlas. Sådan bestämmelse bör därför formuleras så att de anger den längsta tid som personuppgifter får behandlas. Frågan om olika bevarandetider i samband med behandling av patientuppgifter utan att vara journalhandlingar, har lyfts tidigare inom ramen för andra lagstiftningsärenden, bland annat i förarbetena till lagen (2018:1212) om nationell läkemedelslista (prop. 2017/18:223) och i delbetänkande av Utredningen om E-recept inom EES (SOU 2021:102). Det framhålls då att en konstruktion med olika bevarandetider skulle försvåra den personuppgiftsansvariges hantering av uppgifterna och även för den enskilde att bilda sig en uppfattning om vad den verkliga bevarandetiden är. En sådan lösning är därför utifrån ett integritetshänseende inte ändamålsenlig. Avseende regleringen om bevarandetid i lagen om nationell läkemedelslista gjorde regeringen bedömningen att den tid om fem år som föreslagits i departementspromemorian var välavvägd för att ändamålen med personuppgiftsbehandlingen i den nationella läkemedelslistan skulle uppnås. Vid bedömningen av vilken bevarandetid som var lämplig ansågs syftet
576Nya regler om vidareanvändning av personuppgifter för vårdändamål
med dessa ändamål vara vägledande. Regeringen bedömde då att fem år var välavvägd för ändamålen med personuppgiftsbehandlingen i den nationella läkemedelslistan. Vad gäller de i PDL föreslagna ändamålen kan det precis som i förarbetena till den nationella läkemedelslistan diskuteras om det är lämpligt med olika bevarandetider för de olika ändamålen. Syftet är i vissa avseenden liknande som i PDL, bland annat genom användandet av patientuppgifter för vård. Syftet med en precisionsmedicinsk databas är dock inte att skapa ett register med fullständig information om patienten, utan att tillgängliggöra ett samlat underlag för behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. Utredningen bedömer mot denna bakgrund att bevarandetiden för uppgifterna i de precisionsmedicinska databaserna inte bör följa regleringen i 3 kap. 17 § PDL, utan uppgifterna ska i stället bevaras så länge syftet med databaserna är uppfyllt och därefter gallras när uppgifterna inte längre behövs för ändamålen med databasen.
Gallring för att uppgifterna ska utplånas
Enligt utredningens förslag ska patienten få information om vad personuppgiftsbehandling i precisionsmedicinsk databas innebär och ha möjlighet att motsätta sig tillgängliggörande av uppgifter till sådan databas. Motsätter sig patienten ska tillgängliggörande inte ske. I den situation att patienten motsätter sig efter att tillgängliggörande har skett, ska uppgifterna i den precisionsmedicinska databasen utplånas. Uppgifter i en precisionsmedicinsk databas kan vara allmänna handlingar som omfattas av arkivlagens regler om bevarande. För att ett utplånande inte ska hamna i strid med arkivlagens bestämmelser krävs en regel om att gallring av uppgifter är tillåten i den aktuella situationen. En regel om gallring får inte stå i strid med intresset av bevarande av allmänna handlingar. Utredningen konstaterar att de uppgifter som finns i en precisionsmedicinsk databas är uppgifter som vårdgivare behandlar enligt 2 kap. 4 § första stycket 1–2 PDL och som vidareanvänds för vården av en annan patient än den som uppgifterna avser. Uppgifter som utplånas finns därmed bevarade som journalhandlingar hos den vårdgivare som tillgängliggjort uppgifterna. Intresset av bevarande får därigenom anses tillgodosett.
577Nya regler om vidareanvändning av personuppgifter för vårdändamål
14.11.2 Ansvar för bevarande när handlingar
är tillgängliga för flera myndigheter
Huvudregeln enligt arkivlagen är att allmänna handlingar ska bevaras. En myndighets arkiv bildas i huvudsak av de allmänna handlingarna från myndighetens verksamhet. I 2 a § arkivlagen föreskrivs att det som enligt den lagen gäller för kommunala myndigheters arkiv även ska gälla för arkiv hos sådana juridiska personer som avses i 2 kap. 3 § OSL, det vill säga sådana bolag, föreningar och stiftelser där kommuner eller regioner utövar ett rättsligt bestämmande inflytande. För elektronisk information gäller till en början en undantagsregel som är av särskilt intresse i fråga om tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande. Upptagningar för automatisk behandling som är tillgängliga för flera myndigheter så att de utgör allmänna handlingar hos alla dessa myndigheter, ska dock bilda arkiv endast hos en av myndigheterna, i första hand den myndighet som svarar för huvuddelen av upptagningen (3 § första stycket andra meningen arkivlagen). Undantaget är nödvändigt eftersom en upptagning för automatiserad behandling som är tillgänglig för flera myndigheter på så sätt att de till exempel kan läsa innehållet, anses förvarad hos och inkommen till samtliga myndigheter som kan läsa den (se 2 kap. 6 och 9 §§ TF). Upptagningen är därmed allmän handling hos samtliga myndigheter som kan ta del av den (se prop. 1989/90:72 bilaga 1, s. 30 och 68). I denna situation ska samma upptagning inte bevaras och bilda arkiv hos alla myndigheterna. De myndigheter som inte ansvarar för upptagningen kan därmed normalt gallra den. Om en myndighet använder uppgifter ur upptagningen i sin verksamhet, så kan dessa omfattas av dokumentationsskyldighet och ingå i myndighetens arkiv. När det gäller gallring är arkivlagens bestämmelser subsidiära i förhållande till annan lagstiftning. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning, har de bestämmelserna företräde (10 § tredje stycket arkivlagen). En bestämmelse om gallring innebär alltså inte bara att uppgiften inte längre får behandlas i dataskyddsförordningens mening, utan även att arkivrättslig gallring ska ske. Om det i författningar som rör myndigheters behandling av personuppgifter inte finns några särskilda regler
578Nya regler om vidareanvändning av personuppgifter för vårdändamål
om gallring, ska således arkivlagens bestämmelser om bevarande som huvudprincip tillämpas. Bestämmelser om bevarande och gallring av patientjournaler inom hälso- och sjukvården och dokumentation inom socialtjänsten finns i olika författningar. Av 3 kap. 17 § PDL följer att en journalhandling ska bevaras minst tio år efter det att den sista uppgiften fördes in i handlingen. I vissa fall får regeringen eller den myndighet som regeringen bestämmer föreskriva om längre bevarandetid. Enligt gallringsföreskrifter inom den regionala inom hälso- och sjukvården gäller ofta evig bevarandetid för patientjournaler. Utredningens förslag om tillgång till personuppgifter i precisionsmedicinsk databas innebär att handlingar kan anses inkomna och förvarade hos den regionala myndigheter inom hälso- och sjukvården som har tillgång till en databas och därmed utgöra allmänna handlingar hos den myndigheten, se avsnitt 14.7.6. Tillgång får enligt utredningens förslag ges genom direktåtkomst eller annat elektroniskt utlämnande. Tillgång till en precisionsmedicinsk databas bör inte medföra en omfattande utökning av arkivbildningen hos de myndigheter som ges tillgång. Samtidigt bör inte heller bevarande av allmänna handlingar försämras. Utredningen konstaterar att de uppgifter som tillgängliggörs enligt utredningens förslag ingår i arkivbildningen, dels hos de vårdgivare som tillgängliggör uppgifter till den precisionsmedicinska databasen, dels hos den myndighet som för databasen. För att intresset av bevarande av allmänna handlingar ska tillgodoses behöver inte uppgifter i en precisionsmedicinsk databas, endast av de skälet att de är tillgängliga, även ingår i arkivbildningen hos de myndigheter som ges tillgång till en sådan databas. Detta bör uttryckas i en särskild bestämmelse i 6 kap. PDL. I de fall uppgifter laddas ner eller på annat sätt tillförs dokumentationen hos den myndighet som har tillgång till databasen ingår uppgifterna i den myndighetens arkivbildning (jämför prop. 2021/22: 177, s. 156).
579Nya regler om vidareanvändning av personuppgifter för vårdändamål
14.12 Ytterligare föreskrifter om precisionsmedicinska
databaser och bemyndiganden
Förslag : Det ska i 6 kap. PDL införas en bestämmelse som upplyser om att regeringen med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om precisionsmedicinska databaser. Regeringen ska med stöd av 8 kap. 7 § regeringsformen bemyndiga Socialstyrelsen att meddela närmare föreskrifter om tilldelning av behörighet till precisionsmedicinsk databas.
Bedömning: I anledning av förslagen reglering i 6 kap. PDL kan HSLF-FS 2016:40 behöva ändras.
Utredningen förslår, dels att det i 6 kap. PDL ska finns en generell bestämmelse som upplyser om att regeringen med stöd av den så kallade restkompetensen i 8 kap. 7 § regeringsformen kan meddela föreskrifter om precisionsmedicinska databaser, se vidare avsnitt 14.12.1. Utredning föreslår även en bestämmelse om att regeringen bemyndigar Socialstyrelsen att meddela närmare föreskrifter om tilldelning av behörighet till precisionsmedicinsk databas, se vidare avsnitt 14.12.2. Vidare konstaterar utredningen att, utan behov av förändring i patientdataförordningen (2008:360), HSLF-FS 2016:40 kan behöva ändras i anledning av utredningens förslag till reglering i 6 kap. PDL.
14.12.1 Ytterligare föreskrifter i förordning
om precisionsmedicinsk databas
Utredningen föreslår att vissa förhållanden rörande precisionsmedicinsk databas regleras i en ny förordning vid namn Förordning om vidareanvändning av patientdata i precisionsmedicinsk databas. De förhållanden som utredningen förslår ska regleras i förordningen avser förslag i avsnitt 14.6 om tillgängliggörande till precisionsmedicinsk databas, avsnitt 14.7 om inrättande och förande av precisionsmedicinsk databas och avsnitt 14.8 om tillgång till precisionsmedicinsk databas. Utredningen har övervägt om en upplysningsbestämmelse avseende regeringens möjlighet att meddela föreskrifter bör placeras vid varje bestämmelse i kapitel 6 som kopplar till utredningens förslag
580Nya regler om vidareanvändning av personuppgifter för vårdändamål
till förordning, eller annars där utredningen ser att det kan bli aktuellt med normgivning på lägre nivå än lag. Utifrån att utredningens förslag till förordning ansluter till flera delar av föreslagna regler i kapitel 6 PDL, anser utredningen att det är lämpligast att ha en upplysningsbestämmelse i slutet av kapitlet med en generell formulering. Utredningen föreslår därför en bestämmelse som upplyser om att regeringen med stöd av 8 kap. 7 § regeringsformen kan meddela föreskrifter om precisionsmedicinska databaser. Utredningen sammanfattar i det följande vilka huvudsakliga förhållanden som utredningen föreslår att regeringen, med stöd av 8 kap. 7 § regeringsformen, ska besluta om i den nya förordningen. I förordningen ska det finnas bestämmelser om inrättande och förande av precisionsmedicinisk databas, se avsnitt 14.7.1. En precisionsmedicinsk databas får inrättas och föras i var och en av de samverkansregioner som anges i 3 kap. 1 § HSF. En precisionsmedicinsk databas som inrättas och förs inom ramen för samverkansregionalt samarbete kallas för samverkansregional precisionsmedicinsk databas. Därutöver får en precisionsmedicinsk databas inrättas och föras inom NGP. Bestämmelserna kopplar till föreslagen regel i 6 kap. 10 §. I förordningen ska det finna bestämmelser om urval och tillgängliggörande av personuppgifter till en precisionsmedicinsk databas, se avsnitt 14.6. Vårdgivare som omfattas av en samverkansregion får endast tillgängliggöra personuppgifter till den precisionsmedicinska databas som finns i vårdgivarens samverkansregion. Vårdgivare som inte omfattas av en samverkansregion, men som bedriver hälso- och sjukvård med en region som huvudman, får tillgängliggöra personuppgifter till den samverkansregionala databas som huvudmannen omfattas av. Övriga vårdgivare får tillgängliggöra personuppgifter till samverkansregional precisionsmedicinsk databas efter överenskommelse med den regionala myndighet som för databasen. Bestämmelserna kopplar till föreslagen regel i 6 kap. 13 § PDL. I förordningen ska det finna bestämmelser om tillgång till personuppgifter till precisionsmedicinsk databas, se avsnitt 14.8. Till samverkansregionala precisionsmedicinska databaser får endast regionala myndigheter inom den samverkansregion där en samverkansregional precisionsmedicinsk databas förs, ges tillgång. Till precisionsmedicinsk databas inom NGP, får endast regionala myndigheter som ingår i GMS ges tillgång. Bestämmelserna kopplar till föreslagen regel i 6 kap. 16 § PDL.
581Nya regler om vidareanvändning av personuppgifter för vårdändamål
14.12.2 Bemyndigande till Socialstyrelsen avseende
närmare föreskrifter om tilldelning av behörighet
till precisionsmedicinsk databas
Utredningen föreslår att regeringen med stöd av 8 kap. 7 § regeringsformen ska bemyndiga Socialstyrelsen att meddela föreskrifter om tilldelning av behörighet till precisionsmedicinsk databas. Enligt utredningens förslag ska 2 § 1 i patientdataförordningen (2008:360) ändras så att den även omfattar tilldelning av behörighet för åtkomst till precisionsmedicinsk databas. Med stöd av bemyndigandet kan Socialstyrelsen, i den utsträckning det behövs, göra ändringar i HSLF-FS 2016:40 som avser utredningens förslag om tilldelning av behörighet för åtkomst till precisionsmedicinsk databas, se avsnitt 14.8.4.
14.12.3 Eventuella ytterligare ändringar i HSLF-FS 2016:40
Utöver föreslagen ändring i patientdataförordningen avseende tilldelning av behörighet, se avsnitt 14.12.2, har utredningen inte identifierat något behov av ändring i patientdataförordningen för att Socialstyrelsen ska kunna göra eventuellt behövliga ändringar i HSLF-FS 2016:40 med anledning av utredningens förslag till reglering i kap. 6 PDL. Utredningen noterar att exempelvis 3 § i patientdataförordningen redan omfattar eventuella bestämmelser i 6 kap. PDL. Ändringar i HSLF- FS 2016:40 i fråga om säkerhetsåtgärder vid helt eller delvis automatiserad behandling av personuppgifter som kan behövas i anledning av utredningens förslag till nya regler i 6 kap. PDL kan således göras utan ändring i patientdataförordningen. Utredningen konstaterar att det kan finnas behov av en översyn och eventuellt ändringar i HSLF- FS 2016:40 om utredningens förslag till regler i 6 kap. PDL införs.
582Nya regler om vidareanvändning av personuppgifter för vårdändamål
14.13 Följdändringar
Förslag : Av 2 kap. 2 § PDL ska det framgå att behandling av personuppgifter inte får ske om den enskilde motsätter sig det enligt 6 kap. 2 § PDL. I 2 kap. 4 § andra stycket PDL ska det upplysas om att det i 6 kap. 5 § finns särskilda bestämmelser om behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. I 2 kap. 6 § PDL ska det upplysas om att det i 6 kap. finns särskilda bestämmelser om personuppgiftsansvar. I 4 kap. 1 § PDL ska det upplysas om att det i 6 kap. PDL finns särskilda bestämmelser om inre sekretess vid behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. I 4 kap. 2 § ska det upplysas om att det i 6 kap. PDL finns ytterligare bestämmelser som gäller vid tilldelning av behörighet till en precisionsmedicinsk databas. I 5 kap. 4 § PDL ska det upplysas om att det finns ytterligare bestämmelser om direktåtkomst och annat elektroniskt utlämnande i 6 kap. PDL. I 8 kap. 6 § andra stycket PDL ska det upplysas om att det i 6 kap. finns ytterligare bestämmelser om vilken information som ska lämnas i vissa fall. I 8 kap. 7 § PDL ska det upplysas om att det i 6 kap. PDL finns förskrifter om rättigheter för den enskilde.
I anledning av utredningens förslag om regler avseende precisionsmedicinska databaser och behandling i övrigt av personuppgifter för vården av en annan patient än den som uppgifterna avser, behöver vissa följdändringar göras i PDL. Enligt 2 kap. 2 § PDL får behandling av personuppgifter som är tillåten enligt lagen utföras även om den enskilde motsätter sig den. Detta gäller dock inte i de fall som anges i vissa bestämmer som räknas upp i paragrafen. Den enskilde kan enligt utredningens förslag motsätta sig tillgängliggörande av personuppgifter till en precisionsmedicinsk databas. Därför ska även 6 kap. 2 § vara med i den uppräkning som görs i bestämmelsen.
583Nya regler om vidareanvändning av personuppgifter för vårdändamål
I 2 kap. 4 § PDL första stycket finns en uppräkning av ändamål som personuppgifter får behandlas för inom hälso- och sjukvården. av bestämmelsen andra stycket finns en upplysning om att det i 7 kap. 4 och 5 §§ finns särskilda bestämmelser om ändamålen med behandling av personuppgifter i nationella och regionala kvalitetsregister. Utredningen föreslår införande av särskilda bestämmelser för behandling av personuppgifter för ändamålet vården av en annan patient än den som uppgifterna avser. Det bör därför göras ett tillägg i 2 kap. 4 § andra stycket som upplyser om detta. I 2 kap. 6 § PDL finns bestämmelser om personuppgiftsansvar. Med anledning av utredningens förslag om personuppgiftsansvar för central behandling av personuppgifter i precisionsmedicinsk databas, bör bestämmelsen kompletteras med en upplysning om att det i 6 kap. PDL finns särskilda bestämmelser om personuppgiftsansvar. I 4 kap. 1 § PDL finns en bestämmelse om befogenhet att ta del av uppgifter om en patient inom den så kallade inre sekretessen. Utredningen föreslår bestämmelser om befogenhet att ta del av uppgifter om en patient för ändamålet vården av en annan patient än den som uppgifterna avser. Det bör i 4 kap. 1 § upplysas om att särskilda bestämmelser om inre sekretess finns i kapitel 6. Enligt 4 kap. 2 § PDL ska en vårdgivare bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat. Sådan behörighet ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Utredningen föreslår att när en regional myndighet inom hälso- och sjukvården bestämmer villkor för tilldelning av behörighet enligt 4 kap. 2 § PDL, får behörighet till en precisionsmedicinsk databas endast tilldelas den som arbetar i den specialiserade vården och behöver åtkomsten för sitt arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter. I 4 kap. 2 § PDL bör det upplysas om bestämmelsen i 6 kap. som rör tilldelning av behörighet till en precisionsmedicinsk databas. I 5 kap. 4 § PDL finns bestämmelser om direktåtkomst och annat elektroniskt utlämnande. I anledning av utredningens förslag om tillgång till personuppgifter i precisionsmedicinsk databas genom direktåtkomst eller annat elektroniskt utlämnande, bör bestämmelsen kompletteras med en upplysning om att det i 6 kap. 16 § finns ytterligare bestämmelser om direktåtkomst och annat elektroniskt utlämnande.
584Nya regler om vidareanvändning av personuppgifter för vårdändamål
I 8 kap. 6 § PDL finns en bestämmelse om information. I anledning av utredningens förslag om information till patienten innan personuppgifter tillgängliggörs till en precisionsmedicinsk databas, bör bestämmelsen kompletteras med en upplysning om att det finns ytterligare bestämmelser om information i 6 kap. 4 §. I 8 kap. 7 § PDL finns en bestämmelse om anges andra rättigheter för den enskilde. I anledning av utredningens förslag om patientens rätt att få information samt möjligheten för patienten att motsätta sig tillgängliggörande av personuppgifter till en precisionsmedicinsk databas, bör bestämmelsen kompletteras med en upplysning om de bestämmelser som reglerar detta.
14.14 Ikraftträdande och övergångsbestämmelser
Förslag : De föreslagna reglerna ska träda i kraft 1 januari 2025.
Bedömning : Det behövs inga övergångsbestämmelser.
Utredningens förslag till regler om vidareanvändning av personuppgifter för vården av en annan patient än den som uppgifterna avser är frivilliga möjligheter för vårdgivare att behandla personuppgifter för det nya ändamålet. Det är frivilligt för regionala myndigheter inom hälso- och sjukvården att inrätta och föra precisionsmedicinsk databas. Några obligatoriska skyldigheter som kräver förberedelser föreslås inte. Däremot kommer det finnas behov av åtgärder för att de regler utredningen föreslår ska kunna tillämpas fullt ut. Det behöver bland annat inrättas precisionsmedicinska databaser i de olika samverkansregionerna. Detta kan ta olika lång tid beroende på varje samverkansregions förutsättningar. Utredningen konstaterar att NGP har bäst förutsättningar att börja tillämpa reglerna utifrån att en infrastruktur för aktuell typ av vidareanvändning redan finns. En fråga är om de olika förutsättningarna bör påverka tidpunkten för ikraftträdandet i senare riktning. Utredningen anser inte att så bör ske. Ett ikraftträdande kan snarare vara ett incitament till att få nödvändig infrastruktur på plats. Det borde också finnas ett intresse hos regionala myndigheter att så skyndsamt som möjligt genomföra åtgärder som gör att reglerna kan tillämpas till nytta för både patienter och vårdgivare.
585Nya regler om vidareanvändning av personuppgifter för vårdändamål
Utredningen överlämnar detta betänkande i november 2023. Lagförslagen syftar till att möjliggöra behandling av personuppgifter för att precisionsmedicinen ska kunna implementeras fullt ut i Sverige. Det framstår som mycket angeläget att ändringarna kan träda i kraft relativt snart, framför allt för att de fördelar som datadelningen innebär ska kunna komma patienter till godo. Utredningen anser att det framstår som rimligt att de föreslagna reglerna i 6 kap. PDL samt den föreslagna förordningen om precisionsmedicinsk databas kan träda i kraft den 1 januari 2025. Detsamma gäller de ändringar som föreslås i annan lagstiftning, se avsnitt 14.12 om ändring i patientdataförordningen (2008:360), avsnitt 14.13 avseende följdändringar i PDL och avsnitt 17.1,17.2 och 17.5 avseende ändringar i OSL. Utredningens förslag avser nya regler som kan börja tillämpas på behandling av personuppgifter från och med att de träder i kraft. Utredningen ser inget behov av övergångsbestämmelser.
14.15 En avvägning mellan behov
och risker avseende förslagen
på ändringar i patientdatalagen
14.15.1 Inledning
Som beskrivits i avsnitt 11.4.1 är precisionsmedicin ett relativt nytt begrepp som blir allt viktigare inom hälso- och sjukvården. Enligt utredningen kan det generellt anses innebära att prevention, behandling, diagnostik och uppföljning skräddarsys efter den enskilde patientens unika förutsättningar. Det kan göras genom olika metoder där ett vanligt sätt är att analysera den genetiska profilen hos en individ. För att kunna arbeta med ett precisionsmedicinskt arbetssätt krävs att det går att hitta relevanta hälsodata. För att data ska gå att använda krävs att behörig personal både har tillgång till relevanta hälsodata samt kan göra urval för att få fram den information som behövs för det enskilda fallet (se avsnitt 13.2).
586Nya regler om vidareanvändning av personuppgifter för vårdändamål
14.15.2 Sammanfattning av behoven
Som redogjorts för i problemanalysen, avsnitt 12.2.1, är nuvarande regelverk som styr hälso- och sjukvården inte anpassat efter dagens förutsättningar. PDL är därför inte utformad efter de behov som precisionsmedicinen har. Behandling av personuppgifter från en eller flera patienter för vården av en annan patient än uppgifterna avser, är i dag inte ett uttryckligt tillåtet ändamål i PDL. För att vårdpersonal i ett enskilt fall ska få behandla personuppgifter för vårdändamål krävs att personalen deltar i vården av den patient vars uppgifter behandlas. Behovet av att ta del av andra patienters personuppgifter, som personalen inte deltar i vården av, genom att till exempel jämföra olika analyser eller bildbehandlingar, saknar ett tydligt rättsligt stöd i dagens lagstiftning. Om personuppgifter ska delas mellan vårdgivare, till exempel mellan två regioner, finns det dessutom sekretessgränser att ta hänsyn till (för utförligare beskrivning se avsnitt 12.2.2). Från vårdpersonalen är det starkt efterfrågat att kunna söka bland relevanta personuppgifter, både inom och mellan olika vårdgivare. För att kunna erbjuda jämlik vård behöver tillgången till relevant hälsodata också bli mer jämlik. I vissa fall kan det kan räcka med uppgifter från några regioner för att få tillräckligt med underlag att söka i. I andra situationer finns det så få patientfall att all relevant data som finns i Sverige behöver kunna samlas för att ge tillräckligt underlag att söka i (se vidare avsnitt 13.3.1). I avsnitt 13.2.4 redogör utredningen genom en utförlig beskrivning av vad som faktiskt behövs för vården av annan. I det avsnittet finns även klargörande illustrationer. I avsnitt 13.4 och avsnitt 14.4.5 beskrivs den övergripande modellen med de olika steg som följer av förslagen (avsnitt 14.4.5 innehåller även vissa juridiska utgångspunkter). Steg 1 innefattar urval och tillgängliggörande till precisionsmedicinsk databas. Steg 2 handlar om inrättande och förande av precisionsmedicinsk databas. Steg 3 aktualiserar tillgång till personuppgifter i precisionsmedicinsk databas för sökning. Det tredje steget innebär att sökning ska kunna utföras för att se om det över huvud taget finns relevant hälsodata om andra patienter för vården av den aktuella patienten. Rent praktiskt påminner denna typ av sökning om den som görs för antalsberäkningar inför klinisk forskning. Sökningen går ut på att ta reda på om något utfall finns och i så fall hur mycket relevant
587Nya regler om vidareanvändning av personuppgifter för vårdändamål
information som ett första utfall ger. Namn eller personnummer är typiskt sett inte relevant (se vidare under rubriken ”Föreslagna integritetstärkande åtgärder” där det framgår att alla uppgifter i en precisionsmedicinsk databas ska vara pseudonymiserade), utan det intressanta är om en sökning över huvud taget leder till ett utfall. Efter att sökningen är genomförd finns det två möjliga utfall; antingen finns det relevanta personuppgifter om andra patienter eller så finns det inte relevanta personuppgifter om andra patienter. Om utfallet resulterar i att det finns relevant data om andra patienter behöver den som behandlande personalen som söker ta ställning till om informationen räcker för vården av den enskilde. Om informationen är tillräcklig, kan informationen användas som beslutsstöd för att vårda patienten. I vissa situationer är informationen dock inte tillräcklig. Det kan då finnas behov av kompletterande information till den informationsmängd som sökts fram. Denna del utgörs av steg 4 i den övergripande modellen i avsnitt 13.4. Detta är ett delmoment som inte sker som en sökfunktion i den precisionsmedicinska databasen utan är reglerat som en begäran om kompletterande personuppgifter från patientjournal, se avsnitt 14.9.
Varför kan inte de nationella kvalitetsregistren fylla behovet?
I kapitel 2 har utredningen redogjort för den begränsning som följer av utredningens direktiv i förhållande till nationella och regionala kvalitetsregister, att regeringen bedömt att behoven inte kan tillgodoses inom den befintliga regleringen i 7 kap. PDL. Anledningarna till att nationella och regionala kvalitetsregister inte kan ses som lämpliga underlag för vården av annan än den personuppgifterna avser är flera. Ur ett medicinskt perspektiv bör det framhållas att regionala och nationella kvalitetsregister är systematiserade utifrån diagnos, vilket inte är ett ändamålsenligt sätt utifrån behoven som ovan beskrivits (se vidare avsnitt 13.3.2). Ur ett juridiskt perspektiv bör det beaktas att nationella och regionala kvalitetsregister kan innehålla stora mängder direkt identifierbara personuppgifter (se 7 kap. 8 § stycke 2 PDL). Vid sökning för vidareanvändning av uppgifter för vården av en annan patient än den som uppgifterna avser finns inte behov av direkt identifierbara uppgifter.
588Nya regler om vidareanvändning av personuppgifter för vårdändamål
Det är enligt utredningens mening därför inte proportionerligt att få söka i dessa känsliga uppgifter med direkt identifierbara personuppgifter när det inte behövs. En viktig skyddsåtgärd som utredningen föreslagit är pseudonymisering av de uppgifter som ska finnas i en precisionsmedicinsk databas. Vidare kan det antas att flertalet människor inte har exakt kunskap om i vilka nationella eller regionala kvalitetsregister de förekommer i, eller i så fall exakt vilka personuppgifter som finns om dem däri. Att införa en reglering som skulle innebära sökning i dessa register utan att de enskilda som berörs har någon reell överblick om de påverkas eller inte kan ur integritetshänseende inte ses som något önskvärt. En annan rättslig begränsning med de nationella och regionala kvalitetsregistren är att de inrättas för syftet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet (7 kap. 4 § PDL). Ytterligare en aspekt är att när en vårdgivare exempelvis vill ha ut uppgifter från ett nationellt kvalitetsregister görs detta genom ett utlämnande, såvida inte det är till vårdgivarens egna uppgifter då direktåtkomst är möjligt. Utlämnandeförfaranden med tillhörande sekretessprövningar kan inte ses som ändamålsenligt för den process utredningen anser behövs för vården av annan patient än den personuppgifterna avser. Andra skäl är av politisk och ekonomisk karaktär och redogörs för i kapitel 18. Sammanfattningsvis anser utredningen att de nationella och regionala kvalitetsregistren inte kan eller bör utgöra de uppgiftssamlingar som fyller behoven av precisionsmedicin.
14.15.3 Specifika integritetsrisker med förslaget om inrättande
av precisionsmedicinska databaser
Risker utifrån inrättande och förande
av en precisionsmedicinsk databas
Utredningens förslag går ut på att det ska finnas en möjlighet att inom den regionala hälso- och sjukvården att inrätta och föra precisionsmedicinska databaser där det ska kunna samlas personuppgifter för vården av en annan patient än den uppgifterna avser. Det är endast regionala myndigheter inom hälso- och sjukvården som får inrätta och föra precisionsmedicinsk databas.
589Nya regler om vidareanvändning av personuppgifter för vårdändamål
Uppgifter om hälsa och genetiska uppgifter utgör båda kategorier av känsliga personuppgifter enligt dataskyddsförordningens definition. De precisionsmedicinska databaserna kommer utgöra nya sammanställningar av känsliga personuppgifter. I kapitel 13 redogör utredningen för skälen till att utredningen ansett det lämpligt med möjligheten att införa precisionsmedicinska databaser inom samverkansregioner samt en inom NGP. NGP är en it-infrastruktur som GMS har etablerat. Syftet med etableringen av NGP var att tekniskt möjliggöra datadelning på ett smidigt sätt som krävs för vård, forskning och utveckling av precisionsmedicin. Eftersom det i dag inte är möjligt att dela data för vården av annan patient än den personuppgifterna mellan vårdgivarna som ingår i GMS så har plattformen endast börjat användas för ändamålet forskning (för ytterligare beskrivning se avsnitt 13.7.3). Utredningen föreslår även att en förordning ansluter till de föreslagna bestämmelserna i 6 kap. PDL för att mer detaljerat kunna reglera vidareanvändning av personuppgifter i precisionsmedicinska databaser (se avsnitt 13.7.2). Bland annat framgår att endast en sådan regional myndighet inom hälso- och sjukvården som omfattas av en av de sex samverkansregioner får inrätta och föra en precisionsmedicinsk databas. Utöver dessa sex får även NGP inrätta och föra en precisionsmedicinsk databas. I förordningen kommer det även att föreskrivas begränsningar kopplat till vilken eller vilka precisionsmedicinska databaser som vårdgivare får göra urval och tillgängliggörandet till, samt till vilken eller vilka databaser som regionala myndigheter inom hälsooch sjukvården får ges tillgång. Urval och tillgängliggörande samt tillgången ska alltså följa den samverkansregionala indelningen (se vidare avsnitt 14.6.4). För den precisionsmedicinska databasen som får inrättas inom NGP gäller att endast regionala myndigheter som ingår i GMS får tillgängliggöra uppgifter till den databasen och ges tillgång till den för sökning. En särskild risk som aktualiseras med införandet av en precisionsmedicinsk databas är att utredningen valt angreppssättet att tillgången till personuppgifterna ska följa med ändamålet och inte begränsas av organisationsgränser. I samband med det blir det alltid en risk att fler personer får tillgång till uppgifter de annars inte hade fått. Inom hälsooch sjukvården har det ansetts motiverat av integritetsskäl att även ha begränsningar av vårdpersonalens befogenheter (se avsnitt 7.5.5 för ytterligare beskrivning av inre sekretess). För att ett precisionsmedi-
590Nya regler om vidareanvändning av personuppgifter för vårdändamål
cinskt arbetssätt ska kunna fungera som del av det dagliga arbetet behövs egna regler för inre sekretess avseende detta ändamål (se vidare under rubriken ”Föreslagna integritetsstärkande åtgärder”). Beroende på om det rör sig om en samverkansregional databas eller den precisionsmedicinska databasen inom NGP, kommer omfattningen av uppgiftssamlingen i realiteten att variera. Samtliga precisionsmedicinska databaser kommer innehålla stora mängder personuppgifter av känslig natur som hålls potentiellt tillgängliga för aktörer som den enskilde inte har någon vårdrelation med, vilket kan uppfattas som ett integritetsintrång samt en integritetsrisk i sig. En generell utgångspunkt är, att ju större informationsmängder som finns samlade elektroniskt så att personuppgifter kan sökas och sammanställas på ett allt enklare sätt, desto mer ökar möjligheterna till kontroll över och kartläggning av enskilda. Som en följd av detta ökar också risken för att enskild drabbas av oacceptabla intrång i sin personliga sfär. För att möjliggöra en precisionsmedicinsmedicinsk databas ska ett urval av de personuppgifter som behövs göras, från de uppgifter en vårdgivare behandlarenligt 2 kap. 4 § första stycket 1–2 PDL, för att skapa underlag för vården av en annan patient än den som uppgifterna avser. Bedömningen av vilka uppgifter som behövs ska göras utifrån medicinsk synvinkel, se avsnitt 14.6.3. Urval kan enligt utredningens uppfattning ske med både manuella åtgärder och automatiskt. Det formella ansvaret för att tillgängliggörandet omfattar de uppgifter som behövs ligger dock på den vårdgivare som är personuppgiftsansvarig för tillgängliggörandet. Sammanfattningsvis har förslagen avseende precisionsmedicinsk databas inte närmare preciserat vilka uppgifter som ska få finnas i en precisionsmedicinsk databas. I stället har utredningen ansett att utgångspunkten för vilka uppgifter som ska vara tillåtet att tillgängliggöra till en precisionsmedicinsk databas måste utgå ifrån behovet av uppgifter för vården av en annan patient än den som uppgifterna avser (se vidare avsnitt 14.6.3). En potentiell risk är att ändamålet inte är tillräckligt snävt angett för att skapa en tydlig reglering. I förlängningen skulle det kunna medföra att de vårdgivare som enligt förslagen är som personuppgiftsansvariga för den behandling som urval och tillgängliggörandet innebär kanske inte har klart för sig vilka uppgifter som får tillföras och tillför uppgifter som inte bör finnas i en precisionsmedicinsk databas.
591Nya regler om vidareanvändning av personuppgifter för vårdändamål
Risker utifrån att tillgång till en precisionsmedicinsk
databas ges genom direktåtkomst
I förslaget om precisionsmedicinska databaser har utredningen ansett det nödvändigt att åtkomsten till den precisionsmedicinska databasen behöver göras i formen av direktåtkomst. För att precisionsmedicin ska kunna bli en integrerad del i vården, krävs att sökning kan ske inom ramen för det löpande arbetet inom hälso- och sjukvården. Det finns vidare behov av att kunna utföra upprepade sökningar. I akuta skeden finns inte tid för administrativa utlämnandeprocesser. Dessa behov kräver enligt utredningens bedömning att direktåtkomst till uppgifterna är tillåtet (se vidare avsnitt 13.3.1 och 14.8.2). Möjligheten att införa ytterligare en direktåtkomst i vårdsyfte mellan olika personuppgiftsansvariga inom hälso- och vården innebär att informationen potentiellt kan förmedlas till en betydligt större krets av personer än tidigare, eftersom fler användare kommer att kunna ta del av patienternas personuppgifter. Därmed ökar också risken att personer som inte har rätt till det tar del av uppgifterna eller att uppgifterna sprids utanför den tillåtna kretsen. I det hänseendet utgör förslaget inte bara en integritetsrisk utan även ett potentiellt brott mot sekretessen. Som anförts ovan utgör uppgifter om hälsa och genetiska uppgifter sådana kategorier av känsliga personuppgifter som avses i artikel 9.1 i dataskyddsförordningen. I sammanhanget med en ökad risk av obehörig åtkomst bör det därför särskilt beaktas att informationen i de precisionsmedicinska databaserna kommer bestå av känsliga personuppgifter. De sätt som finns att förhindra att personer som inte har rätt till det tar del av uppgifter är att begränsa tillgången på uppgifter och kontrollera åtkomsten, till exempel genom loggning och tekniska åtgärder. Sådana åtgärder kan antas minska risken för att personer som inte har rätt till det tar del av uppgifter, men risken elimineras inte helt och hållet. Det är även viktigt att den personuppgiftsansvarige ger medarbetarna instruktioner för behandlingen av personuppgifter. Ytterligare en risk med direktåtkomst och annat elektroniskt utlämnande som kan bli aktuell i dessa sammanhang är att personuppgifter kan få en större spridning. Det kan således skapas fler oförutsedda sammanställningar av känsliga personuppgifter som de enskilda inte kan överblicka.
592Nya regler om vidareanvändning av personuppgifter för vårdändamål
Risker som följer av att en begäran om kompletterande
personuppgifter från patientjournal möjliggörs
Som redogjorts för tidigare kan det i vissa situationer vara så att den information som kan erhållas genom sökning och utfall i en precisionsmedicinsk databas inte är tillräcklig utan kompletterande uppgifter behövs. En sådan situation leder till att steg 4 i den övergripande modellen i avsnitt 13.4 aktualiseras. Behovet i den situationen består i att behörig personal behöver kunna ta del av kompletterande uppgifter. Sådan information kan fås efter begäran om kompletterande personuppgifter från patientjournal som kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser. Detta är ett delmoment som inte sker som en sökfunktion i den precisionsmedicinska databasen utan således är reglerat som ett utlämnande efter en specifik begäran. Den vanligaste situationen som utredningen fått till sig om när behovet av kompletterande uppgifter aktualiseras, är vid behandlingen av patienter som tillhör en liten patientgrupp. Vanligen rör det sig om sällsynta hälsotillstånd. I fallet av sällsynta hälsotillstånd kommer antalet möjliga utfall i en precisionsmedicinsk databas oftast vara få. Till exempel består sällsynta hälsotillstånd av flera tusen olika sjukdomar vilket gör det viktigt att söka ytterligare detaljerad information om vård, eventuella behandlingar och uppföljningar. Cancer är ett annat exempel som i sin tur består av hundratals olika diagnoser. Inom varje diagnos kan man sedan dela in i ytterligare undergrupper. Enbart lymfom består av över 80 olika diagnoser, vilket medför att det inte finns så mycket uppgifter inom varje undergrupp. Gemensamt för dessa sällsynta hälsotillstånd är att patientgrupperna är små. I steg 4 har utredningen gjort bedömningen att den personuppgiftsbehandling som behöver regleras är den som sker vid ett tillgängliggörande av dessa kompletterande personuppgifter från aktuella patientjournaler, samt den efterföljande behandlingen som sker hos den regionala myndigheten inom hälso- och sjukvården som begärt uppgifterna (se vidare avsnitt 14.9). Riskerna som aktualiseras vid en begäran om kompletterande uppgifter från patientjournal liknar de risker som i övrigt aktualiseras med att vidareanvändning för vården av en annan patient än den personuppgifterna avser tillåts, och de specifika risker som följer av införandet av en precisionsmedicinsk databas. Det innebär att personal som den
593Nya regler om vidareanvändning av personuppgifter för vårdändamål
enskilde inte har någon vårdrelation med får ta del av uppgifter om denne. Utredningen har föreslagit att ett utlämnande får ske efter en begäran om specifika uppgifter och att ett utlämnande får ske genom elektronisk utlämnande men inte genom direktåtkomst (se vidare avsnitt 14.9.2). För det fall att de kompletterande personuppgifterna finns inom samma regional myndighet, ska personalen inte kunna använda sin vanliga behörighet till patientjournalsystem för att ta del av dem utan detta ska följa intern ordning som motsvara de villkor som gäller för begäran mellan myndigheter (se vidare avsnitt 14.9.1). Den främsta risken består i att eftersom det rör sig om små patientgrupper och den personal som har rätt att behandla kompletterande uppgifter kommer få tillgång till ytterligare uppgifter vilket kan resultera i en relativt omfattande mängd uppgifter om dessa patienter. Detta skulle även kunna medföra att dessa patienter, trots att samtliga uppgifter som behörig personal får tillgång till är pseudonymiserade, kan identifieras.
14.15.4 Föreslagna integritetsstärkande åtgärder
För att begränsa de risker och det integritetsintrång som förslaget innebär för en enskild patient har utredningen föreslagit följande åtgärder: – att personuppgifter som tillgängliggörs för ändamålet ska vara pseudonymiserade eller skyddade på likvärdigt sätt (avsnitt 14.6.5) det innebär att de personuppgifter som finns i en precisionsmedicinsk databas är pseudonymiserade eller skyddade på likvärdigt sätt, – att en patient har rätt att motsätta sig att uppgifter tillgängliggörs till en precisionsmedicinsk databas (avsnitt 14.10), – att innan personuppgifter tillgängliggörs till en precisionsmedicinsk databas ska särskild information lämnas till den enskilde (avsnitt 14.10.8), – att endast sådana uppgifter som behövs för att kunna ge vård till annan patient än den personuppgifterna avser ska få finnas i databasen (avsnitt 14.6.3), – att finalitetsprincipen inte ska gälla för personuppgifter som behandlas för ändamålet vården av en annan patient än den som personuppgifterna avser (avsnitt 14.4.4), och
594Nya regler om vidareanvändning av personuppgifter för vårdändamål
– att det finns särskilda bestämmelser om tilldelning av behörighet till precisionsmedicinsk databas och särskilda befogenhetsregler (inre sekretess) för respektive steg avseende urval och tillgängliggörande, förande av precisionsmedicinsk databas och tillgång till precisionsmedicinsk databas för sökning samt vid begäran om kompletterande uppgifter från patientjournal (avsnitt 14.6.6, 14.7.4, 14.8.5 och 14.9.5).
Av stor betydelse ur ett dataskyddsperspektiv för hur ett integritetsintrång upplevs, har om den enskilde har möjlighet att få gehör för sin inställning till att dennes personuppgifter behandlas eller inte. Generellt inom vården gäller att personuppgifter får behandlas av vårdgivare oavsett den enskildes inställning (2 kap. 2 § PDL), men det finns undantag. Det främsta integritetsskyddet i förslagen utgörs av att den enskilde patienten kan utnyttja sin rätt att motsätta sig behandlingen genom en så kallad opt-out (se vidare under avsnitt 14.10.5). För att kunna göra det måste dock den enskilde få klar och tydlig information i enlighet med artikel 12 i dataskyddsförordningen om att dennes personuppgifter kan komma att ingå i databasen och dennes möjligheter att motsätta sig behandlingen. I enlighet med detta har därför utredningen föreslagit en särskild bestämmelse om information som ska lämnas innan personuppgifter om en patient görs tillgängliga till en precisionsmedicinsk databas. Av bestämmelsen framgår att patienten ska informeras av den personuppgiftsansvariga vårdgivaren om följande: – vad personuppgiftsbehandling i precisionsmedicinsk databas innebär, – vad behandling av kompletterande personuppgifter från patientjournal innebär, och – möjligheten att motsätta sig att uppgifter görs tillgängliga till en precisionsmedicinsk databas.
Enligt utredningens förslag ska urval och tillgängliggörande vara begränsat till de personuppgifter som behövs för att skapa underlag för vården av en annan patient än den som uppgifterna avser. Det ska inte vara tillåtet att tillgängliggöra hela patientjournaler eller stora delar av en patientjournal. I stället ska ett urval av relevanta typer av uppgifter för sökning i precisionsmedicinsk databas göras. Detta moti-
595Nya regler om vidareanvändning av personuppgifter för vårdändamål
veras dels av att utredningen inte ansett att behoven för att få tillgång till alla personuppgifter som finns tillgängliga hos olika vårdgivare har klarlagts, dels att en sådan omfattande tillgång därför skulle anses oproportionerlig. En gen- eller genomsekvensering är en avancerad och i dag förhållandevis kostsam åtgärd som endast förekommer inom den regionalt bedrivna specialiserade vården. Detta kan ändras över tid allt eftersom precisionsmedicinen blir billigare och mer rutinartad. Utredningens bedömning är dock att vården av denna typ inte i närtid kommer bedrivas i exempelvis primärvården där allmänläkare på ett enkelt sätt kan fatta beslut baserat på genetiska data. Behovet av att få tillgång till den precisionsmedicinska databasen är mot denna bakgrund enligt utredningens bedömning starkast inom den regionalt bedrivna specialiserade sjukvården (se vidare avsnitt 14.8.1). Utredningen redogör i avsnitt 14.6.3 för ståndpunkten att utgångspunkten för vilka uppgifter som ska vara tillåtet att tillgängliggöra till en precisionsmedicins databas, måste utgå ifrån behovet av uppgifter för ändamålet vården av en annan patient än den som uppgifterna avser. Utredningen föreslår alltså ett behovskriterium. Utredningen föreslår vidare att personuppgifter som tillgängliggörs till en precisionsmedicinsk databas ska vara pseudonymiserade eller skyddade på likvärdigt sätt. Detta krav uppställs även vid det steg 4, tillgängliggörande av kompletterande personuppgifter från patientjournal. Kravet på att personuppgifter som tillgängliggörs till en precisionsmedicinsk databas ska vara pseudonymiserade eller skyddade på likvärdigt sätt, är ägnat att dels minska oron för integritetsrisker hos de enskilda vars personuppgifter tillgängliggörs, dels för att hjälpa de personuppgiftsansvariga att bedriva verksamheten med databaserna och fullgöra sina skyldigheter i fråga om dataskydd. Skyddsåtgärden minskar vidare risken för onödigt intrång i de registrerades integritet som annars skulle uppstå om det i stället var fråga om direkt identifierbara uppgifter. För att motverka riskerna med ökad spridning och obehörig åtkomst har utredningen ansett att det i stället för de allmänna reglerna om behörighet och befogenhet som finns i 4 kap. PDL, finns behov av vissa särskilda behörighets- och befogenhetsregler. Den särskilda regeln gäller för åtkomsten till en precisionsmedicinsk databas för sökning. I stället för bestämmelsen om inre sekretess i 4 kap. 1 § PDL föreslår
596Nya regler om vidareanvändning av personuppgifter för vårdändamål
utredningen specifika befogenhetsbestämmelser kopplade till respektive steg (se avsnitt 13.4 och 14.4.5 för redogörelse över de olika stegen). Med behörighet för åtkomst avser en användares faktiska möjligheter att ta del av uppgifter i exempelvis vårdgivarens journalsystem. Behörighetsstyrning är samlingsbegreppet för de organisatoriska, administrativa och tekniska åtgärder som vidtas för att anpassa och begränsa behörigheten efter användarens behov för att kunna utföra sitt arbete. Utredningens uppfattning är att det framför allt är i den specialiserade hälso- och sjukvården som behovet av tillgång till en precisionsmedicinsk databas finns, och att regeln i 4 kap. 2 § första stycket PDL är för bred i detta sammanhang. Av det skälet har utredningen ansett att behörighet endast ska kunna tilldelas till den som arbetar inom den specialiserade vården. Utöver det, anser utredningen att det också behöver finnas kriterier som kopplar till vilka arbetsuppgifter personen har (se vidare under avsnitt 14.8.4). Det är även dessa personer som har rätt att ta del av eventuella kompletterande uppgifter från patientjournal (se vidare avsnitt 14.9.5). För att minimera riskerna som följer av att uppgifterna i en precisionsmedicinsk databas kan utgöra allmänna handlingar hos de regionala myndigheter som har tillgång till en precisionsmedicinsk databas, har utredningen föreslagit en bestämmelse om absolut sekretess (se vidare under 17.2.1). Att finalitetsprincipen inte är tillämplig innebär att personuppgifter som behandlas för ändamål vården av en annan patient än den som uppgifterna avser, inte får behandlas för andra ändamål, även om uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in (se vidare överväganden i avsnitt 14.4.3).
14.15.5 Den sammanvägda bedömningen
av behoven och riskerna
Sammantaget finns ett antal omständigheter som gör att den nya uppgiftssamlingen är av mycket integritetskänslig art. Utredningen konstaterar dock att en ny samling inte kommer att innehålla personuppgifter som inte redan finns lagrade hos vårdgivare. Det är alltså inte fråga om en ny insamling av känsliga personuppgifter, utan om vidareanvändning av befintlig vårddokumentation, se vidare avsnitt 13.8 och 14.4.2. Utredningen har identifierat ett antal fördelar med att skapa nya uppgiftssamlingar för vidareanvändning för vårdändamål. En fördel
597Nya regler om vidareanvändning av personuppgifter för vårdändamål
är att den nya uppgiftssamlingen då skapas utifrån det behov som finns avseende vilka personuppgifter som behöver ingå i samlingen. Av detta följer att mängden personuppgifter lättare kan anpassas och minimeras. Utifrån att behoven är sådana att direktåtkomst behöver tillåtas för att sökningar ska kunna ske på ett praktiskt användbart sätt inom hälso- och sjukvården, anser utredningen att en avgränsning av den data som ska kunna ingå i en precisionsmedicinsk databas är en viktig faktor ur integritetshänseende. Utredningen har i försök att skapa ökad tydlighet i lagstiftningen och minska riskerna med förandet av precisionsmedicinska databaser prövat ett antal olika sätt att närmre precisera de uppgifter som får tillgängliggöras. Utredningen har i detta arbete dock mött stora svårigheter. I avsnitt 14.6.3 har utredningen redogjort för de alternativ som utredningen utrett i detta avseende och redogör även där varför utredningen inte ansett att de olika alternativen utgjort en framkomlig väg. I sammanhanget kan dock beaktas att i utredningens direktiv anges exempel på uppgiftstyper. Där räknas kön, ålder, bakgrunden till att undersökningen utfördes, klinisk bedömning, andra bakomliggande hälsotillstånd hos patienten, klinik som utfört undersökning och tolkning av fynd upp. Utredningen har vidare varit i kontakt med aktörer som arbetar med precisionsmedicin för att få kunskap om de uppgifter som professionen anser behövs för sökning i en precisionsmedicinsk databas. De exempel som framkommit i dessa kontakter har bland annat varit fenotypdata så som kön, ålder, diagnoser, men också andra datamängder så som genvariant, virustyp och data avseende sekvensering av virus. Utredningen har gjort bedömningen att dessa uppgiftstyper utgör alla exempel och inte nödvändigtvis är det som behövs för att genomföra en sökning. Utredningens anser därför att personuppgifter som ska få tillgängliggöras till databasen bör vara mer avgränsat, men kommer inte kunna preciseras i lag eller förordning (se vidare 14.6.3). Utredningen har dock vidtagit andra angreppsvinklar för att begränsa omfattningen på precisionsmedicinska databaser och tillhörande risker. Bland de sätt som övervägts återfinns att i lagtext försöka räkna upp typer eller kategorier av uppgifter som ska få tillgängliggöras. Uppräkningen skulle behöva innehålla ålder, kön, diagnos, virustyp och behandlingsutfall. Vad som är svårare att ringa in är den typ av biologiska uppgifter som också behövs, de så kallade omikerna. Uppräkningen
598Nya regler om vidareanvändning av personuppgifter för vårdändamål
tenderade bli väldigt lång och innehålla medicinska termer som utredningen inte anser vara lämpliga för lagtext och lagtolkning. Termerna skulle även ge lite nytta för att skapa förutsebarhet för en enskild som inte är inom professionen. Utredningen gör därmed bedömningen att den typ av uppräkning som skulle tjäna någon klargörande funktion, skulle vara så detaljerad att det är främmande att ha i lagtext. Det finns också en överhängande risk att uppräkningen inte blir uttömmande. Vidare övervägdes en exemplifierande uppräkning. Ur transparenshänseende får det dock anses vara av begränsat värde. En exemplifierande uppräkning är enligt utredningens uppfattning mer lämplig att ha i en författningskommentar. En ytterligare aspekt som är av relevans är att behovet av vilka uppgifter som behöver kunna tillgängliggöras kommer att variera över tid. Som utredningen förstått det utvecklas området med precisionsmedicin mycket snabbt, vilket medför att behovet av uppgifter förändras förhållandevis snabbt. Utredningen har därför uppfattat det som att det inte är lämpligt att i lag reglera detta i detalj utan att uppräkningen snabbt skulle bli inaktuell. Utredningen övervägde även alternativet med att en precisering av uppgifter i stället skulle göras på en lägre normgivningsnivå än lag. Utredningen gjorde en jämförelse med regleringen av hälsodataregister, där uppgifter först räknas upp i förordning och sedan kompletteras med ytterligare detaljerade uppräkningar i föreskrifter. En fördel med lägre normgivningsnivå är att mer detaljerade uppräkningar är möjligt samt att en ändring av till exempel föreskrifter normalt sett går snabbare än en ändring av lagtext. En statlig myndighet, exempelvis Socialstyrelsen, skulle behöva ha ansvaret för att uppdatera föreskrifterna. Detta skulle enligt utredningens bedömning behöva ske i samråd med den medicinska professionen. I praktiken skulle det därför ändå i stor utsträckning vara en bedömning från den medicinska professionen som avgör vilka uppgifter som får tillgängliggöras, vilket även är fallet med hur förslagen utformats slutligen (för ytterligare redogörelse se avsnitt 14.6.3). Även om detta alternativ skulle kunna anses medföra ett visst ökat integritetsskydd i form av ökad förutsebarhet, anser utredningen inte att den eventuella nyttan skulle överväga den administrativa bördan och den extra tid det skulle ta att få sådana föreskrifter på plats. I sammanhanget skulle ett sådant förfarande medföra en trögrörlighet som inte gynnar de patienter som väntar på anpassad vård. Eftersom de preci-
599Nya regler om vidareanvändning av personuppgifter för vårdändamål
sionsmedicinska databaserna enligt förslagen till en del, blir en samverkansregional angelägenhet (se avsnitt 14.7.3) ser utredningen framför sig att de aktuella regionerna inom ett sådant område kommer att få samverka fram vilka uppgifter mer precist som behövs för ändamålet och därmed vilka uppgifter som får tillgängliggörs. På samma sätt behöver de regionala myndigheter som ingår i GMS samverka kring NGP. Utredningen anser att det något bredare ändamålet och avsaknaden av en uttrycklig angivelse av vilka uppgifter som ska ingå i varje precisionsmedicinsk databas i stället får snävas in utifrån vilka som ska få tillgång till uppgifterna, särskilda behörighet och befogenhetsregler samt möjligheten för den enskilde att motsätta sig behandlingen. Därtill kommer andra integritetshöjande åtgärder. Som anförts i avsnitt 14.7.3 kommer precisionsmedicinska databaser endast få inrättas inom samverkansregionerna och inom NGP. De vårdgivare som omfattas av en samverkansregion utgörs av de regioner eller kommuner som ingår i respektive samverkansregion enligt 3 kap. 1 § HSF. Vårdgivare som omfattas av en samverkansregion får tillgängliggöra personuppgifter till den precisionsmedicinska databas som förs inom den samverkansregion som vårdgivaren omfattas av. Det är därmed inte tillåtet för vårdgivare att tillgängliggöra personuppgifter till en samverkansregional precisionsmedicinsk databas som finns i någon annan samverkansregion än den som vårdgivaren omfattas av. Tillgång till databasen får bara ges till de regionala myndigheter som ingår i samverkansregionen. Genom att tillgängliggörande endast får ske till den samverkansregionala databas som finns i den samverkansregion som vårdgivaren ingår i, begränsas omfattningen av personuppgifter som ingår i databasen. Likaså blir antalet personer som kan tänkas få tillgång till databasen begränsad, jämfört med om samtliga precisionsmedicinska databaser skulle göras till nationella sådana. Utifrån samverkansregionernas sammantagna storlek kan ändå databaserna få en sådan volym av uppgifter att de är användbara för sitt syfte. Utredningen gör därför bedömningen att detta är en rimlig avvägning mellan behoven av större möjligheter till datadelning och intresset av integritetsskydd. På samma sätt är det endast de regionala myndigheter som ingår i GMS som får ges tillgång till NGP och som även får tillföra uppgifter till NGP. Vidare har utredningen gjort bedömningen att pseudonymisering eller likvärdigt skydd är en praktiskt möjlig och lämplig skyddsåtgärd
600Nya regler om vidareanvändning av personuppgifter för vårdändamål
utifrån de behov som finns avseende vidareanvändning för vårdändamål. För att uppnå skyddet så behöver detta göras innan uppgifterna tillgängliggörs till en precisionsmedicinsk databas. Om det skulle göras efter tillgängliggörandet, skulle det innebära att den regionala myndigheten inom hälso- och sjukvården som för den samverkansregionala precisionsmedicinska databasen hade tillgång till de direkt identifierbara uppgifterna i databasen. Detta bedömer utredningen skulle innebära ett oproportionerligt intrång i den personliga integriteten som inte kan godtas. Eftersom de regionala myndigheter inom hälso- och sjukvården som kan ges tillgång till en precisionsmedicinsk databas inte behöver direkta identifierare som exempelvis namn eller personnummer, bedöms ett krav på pseudonymisering eller likvärdigt skydd för de personuppgifter som tillgängliggörs till en precisionsmedicinsk databas vara ändamålsenligt dels sett till syftet med en precisionsmedicinsk databas, dels sett till intresset av att skydda patienternas identitet. Även om tillgängliggörande till en precisionsmedicinsk databas endast får ske av personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt kommer det finnas en risk att en registrerad ändå kan identifieras i vissa fall. Så kan vara fallet om det är fråga om en sällsynt sjukdom som några få patienter har. Huruvida någon kan identifieras eller inte, beror också på vad för annan information den regionala myndighet inom hälso- och sjukvården som har tillgång till den precisionsmedicinska databasen har. Utredningens uppfattning är att uppgifterna i sådana fall ändå är att ses som pseudonymiserade, men att det finns en sannolikhet att någon kan bli identifierbar trots detta (se vidare 14.6.5). Denna risk vägs dock upp med att den enskilde har möjlighet att motsätta sig att dennes personuppgifter inte ska tillgängliggöras till en precisionsmedicinsk databas, så kallad opt-out. Den vägs också upp av andra skyddsåtgärder så som att det kommer finnas vissa krav på behörighetstilldelning. Intresset av att personuppgifterna ändå kan tillgängliggöras får anses väga tyngre och uppvägas av nyss nämnda andra skyddsåtgärder. Risken får därmed accepteras. Som anförts ovan i 14.15.3 innebär utredningens förslag att känsliga personuppgifter kan komma att behandlas utanför den myndighet där personuppgifterna ursprungligen dokumenterades och medför därmed en spridning av personuppgifterna över vad som annars skulle skyddas av sekretessgränser. Detta medför att behandlingen kan upp-
601Nya regler om vidareanvändning av personuppgifter för vårdändamål
fattas som särskilt integritetskänslig. Utredningen har härvid försökt beakta detta genom att den enskilde själv ska ha möjlighet att bestämma över tillgängliggörandet till en precisionsmedicinsk databas (steg 1, se 14.4.5). Detta ligger också i linje med grundprincipen i hälso- och sjukvårdslagstiftningen för patientens självbestämmande och integritet. Det integritetsintrång som inrättandet och användandet av precisionsmedicinska databaser i vården medför behöver ställas emot databasernas viktiga syfte; att kunna använda personuppgifterna för vården av någon annan. Nyttan som precisionsmedicinen bidrar med kan hjälpa patienter att få en diagnos eller rätt anpassad behandling och även rädda liv. För sällsynta diagnoser är möjligheten att få en diagnos en viktig förutsättning för att få tillgång till rätt vård. Att använda sig av till exempel helgenomsekvensering kan ha en avgörande roll för att fastställa sällsynta diagnoser. Rätt behandling kan i sin tur både rädda liv och minska lidande för patienterna (se även avsnitt 18.2.6). Här står två viktiga intressen emot varandra, rätten till integritet mot rätten till god vård. Det finns också anledning att fundera över vad som ingår i samhällskontraktet. Vilken makt ska tillskrivas en enskild och vilken makt ska i stället ligga hos någon annan? Har den enskilde en moralisk skyldighet att bidra med sina personuppgifter? En ytterligare aspekt är att samma person som motsätter sig behandling av dennes personuppgifter, kan få vård baserat på någon annans personuppgifter i en situation där denne behöver det. Något som kan tyckas orättvist. Utredningen har gjort bedömningen att förslagen som lämnas både ska kunna bidra till bättre anpassad vård och samtidigt tillförsäkra patienten ett gott skydd för den personliga integriteten.
Särskilt om barn och precisionsmedicinska databaser
Enligt skäl 38 och till dataskyddsförordningen förtjänar barns personuppgifter särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. Barnkonventionen gäller sedan den 1 januari 2020 som svensk lag (lagen [2018:1197] om Förenta nationernas konvention om barnets rättigheter). Lagen innebär ett förtydligande av att rättstillämparna i
602Nya regler om vidareanvändning av personuppgifter för vårdändamål
samtliga mål och ärenden ska tolka svenska bestämmelser i förhållande till barnkonventionen. Enligt artikel 12 ska konventionsstaterna tillförsäkra det barn som är i stånd att bilda egna åsikter rätten att fritt uttrycka dessa i alla frågor som rör barnet. Barnets åsikter ska tillmätas betydelse i förhållande till barnets ålder och mognad. Av artikel 5 följer att konventionsstaterna bland annat ska respektera det ansvar och de rättigheter och skyldigheter som tillkommer till exempel föräldrar eller vårdnadshavare eller andra personer som har juridiskt ansvar för barnet, att på ett sätt som står i överensstämmelse med den fortlöpande utvecklingen av barnets förmåga ge lämplig ledning och råd då barnet utövar de rättigheter som erkänns i konventionen. Intresset av att ett barns uppgifter ingår i en precisionsmedicinsk databas handlar inte om att skydda barnet från missförhållanden som utövas av vårdnadshavaren eller att kunna fullgöra någon lagstadgad anmälningsplikt. För behandling i en precisionsmedicinsk databas handlar det i stället om ett allmänt intresse av att kunna använda personuppgifter i vården av någon annan. Patienten som behöver vård och förhoppningsvis ska bli hjälpt av att vårdpersonal kan behandla en annan patients personuppgifter, kan även vara ett barn. När det gäller barns uppgifter ställs frågan om två viktiga intressen på sin spets. Skyddet av barns integritet och skyddet av barns hälsa och ibland liv. I sammanhanget bör det noteras att barn generellt tillhör en mindre patientgrupp där det finns färre fall att ta ledning ifrån. Ju färre fall det finns att jämföra med desto viktigare blir de fallen som finns att kunna utgå ifrån. Som framgår i avsnitt 14.15.5 konstaterar utredningen att det inte finns någon särreglering för barn när det gäller nationella och regionala kvalitetsregister (7 kap. PDL). Vid behandling av personuppgifter om barn i kvalitetsregister gäller allmänna principer om vårdnadshavares rätt och skyldighet att bestämma i frågor som rör barnets personliga angelägenheter, och att allt större hänsyn ska tas till barnets önskemål utifrån barnets ålder och mognad. Utredningen gör bedömningen att detsamma bör gälla för tillgängliggörande till precisionsmedicinsk databas och att det därmed inte ska finnas några särskilda bestämmelser avseende barn. Det innebär att barnets vårdnadshavare som regel kan motsätta sig att barnets personuppgifter görs tillgängliga till en precisionsmedicinsk databas. I likhet med vad som gäller i övrigt inom hälso-
603Nya regler om vidareanvändning av personuppgifter för vårdändamål
och sjukvården ska allt större hänsyn ska tas till barnets önskemål utifrån barnets ålder och mognad. Utredningen har heller inte ansett att det finns skäl att införa någon specifik åldersgräns för när ett barn självt ska få motsätta sig att personuppgifter görs tillgängliga till precisionsmedicinsk databas, utan att det framstår som mest lämpligt att barns självbestämmande respekteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården. Det barn som har tillräcklig ålder och mognad kan självt motsätta sig ett tillgängliggörande. Utredningens bedömning står, enligt utredningens uppfattning, i överensstämmelse med det som anges i artikel 5 och artikel 12 i barnkonventionen om att i takt med barnets stigande ålder och mognad ska allt större hänsyn tas till barnets åsikter, önskemål och vilja. Bedömningen får även anses uppfylla de krav som dataskyddsförordningen ställer. I sammanhanget kan vikten av att barn, vars inställning kan beaktas utifrån ålder och mognad, får informationen som omfattas av förslaget på ett sådant sätt att de kan tillgodogöra sig den, inte nog understrykas.
Slutsats
Utredningen gör den sammanvägda bedömningen att behovet av att kunna vårda en patient med stöd av en eller flera andra patienters personuppgifter väger tyngre än de potentiella risker som förslagen innebär. Förutom nyttan för de patienter som nu kan få bättre eller rätt vård, är det en nytta för samhället att kunna erbjuda individuellt anpassad vård där det krävs. Utredningen anser att förslagen i största möjliga mån begränsar intrånget på enskildas integritet och är proportionerliga. I en situation där två viktiga intressen står mot varandra och bedömningarna om vad som är mest korrekt ur ett moraliskt perspektiv kan falla olika ut beroende på vem som svarar, anser utredningen att möjligheten för den enskilde att utöva sitt inflytande är avgörande för att förslagen ska ses som genomförbara. Utredningen vill även i detta sammanhang påminna om att precisionsmedicin, så som den beskrivs i utredningen, är ett relativt nytt fenomen och att genomföra en sådan stor förändring inom hälsooch sjukvården som förslagen innebär utan en enskilds inflytande bör ses som främmande. Det innebär inte att det i framtiden inte kan
604Nya regler om vidareanvändning av personuppgifter för vårdändamål
göras andra bedömningar utifrån hur den medicinska utvecklingen och synen på datadrivna arbetssätt inom hälso- och sjukvården ser ut då.
14.15.6 Reglering i lag
Övervägandena om varför det bör regleras i lag återfinns i avsnitt 13.7 och 14.3. För att inte skapa en alltför detaljrik reglering samt mindre anpassningsbar författningslösning har utredningen ansett det lämpligt med kompletterande bestämmelser avseende precisionsmedicinska databaser i förordning. I avsnitt 13.7.1 anges de överväganden som utredningen gjort för att denna lösning.
60515 Reglering av vidareanvändning
för forskningsändamål
– utgångspunkter och inriktning
15.1 Inledning
I detta kapitel redogörs för utgångspunkter och inriktning avseende utredningens författningsförslag avseende vidareanvändning av personuppgifter för klinisk forskning. Utredningens avgränsningar finns i kapitel 2. Utredningen har övervägt olika typer av författningsförslag i syfte att underlätta tillgången till hälsodata för klinisk forskning. I avsnitt 15.2 redogörs för alternativ som utredningen har övervägt med av olika skäl valt att inte föreslå. I avsnitt 15.3 redogörs övergripande för vilken typ av förslag som utredningen lämnar. Där redogörs också för befintliga regler om utlämnande för forskningsändamål och vilken skillnad som utredningens förslag innebär samt behoven av ändrade regler ur lagtekniskt perspektiv. För en beskrivning av de praktiska behoven, se kapitel 12. Utredningens bedömning är att de regler om förenklad tillgång som föreslår är en del i en bredare kontext. Utredningen redogör för detta i avsnitt 15.4. Utredningens överväganden kring lämplig normgivningsnivå samt den övergripande lagtekniska utformningen finns i avsnitt 15.5 och 15.6. En aspekt som har aktualiseras inom ramen för utredningens arbete är gränsdragningsfrågor inom hälso- och sjukvården mellan vård och forskning, dels ur ett sekretessperspektiv, dels från ett dataskyddsperspektiv. Utredningens analys av dessa frågor berörs i avsnitt 15.7.
606Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
15.2 Olika typer av författningsförslag
Utredningen har övervägt olika typer av författningsförslag i syfte att skapa utökade möjligheter till vidareanvändning av hälsodata för forskningsändamålet. Utredningen redogör i detta avsnitt för en fristående ändring av offentlighets- och sekretesslagen (2009:400), förkortad OSL, införande av forskning som ändamål i PDL och pseudonymisering som skyddsåtgärd vid utlämnande till klinisk forskning.
15.2.1 Fristående ändring i offentlighets- och sekretesslagen
Bedömning : Utredningen anser inte att en fristående ändring av sekretesskyddet i offentlighets- och sekretesslagen går att motivera ur integritetssynpunkt. En sådan ändring förutsätter möjlighet att motsätta sig att uppgifter lämnas ut till klinisk forskning. Detta kräver ny infrastruktur, till exempel inom ramen för en nationell datahubb.
Ett alternativ för att skapa utökade möjligheter till vidareanvändning av hälsodata för forskningsändamålet skulle kunna vara att införa en bredare bestämmelse om lägre sekretesskydd för uppgifter som omfattas av hälso- och sjukvårdssekretess enligt 25 kap. 1 § OSL när dessa lämnas ut för ändamålet klinisk forskning. Exempel på en sådan typ av bestämmelse, som har ett begränsat tillämpningsområde, finns i dag i 25 kap. 11 § 5 OSL. Bestämmelsens skaderekvisit – ”om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men” – medför en presumtion för att uppgifter ska lämnas ut till forskning. Bestämmelsen möjliggör ett mer schabloniserat utlämnande till bland annat forskning mellan myndigheter inom kommuner eller regioner. Ett alternativ kan vara att införa en bestämmelse med presumtion för utlämnande med ett bredare tillämpningsområde än 25 kap. 11 § 5 OSL. Den skulle till exempel kunna omfatta all klinisk forskning som är godkänd enligt de etiska regelverk som finns för bedrivande av forskning. Dessa utgörs numera av lag (2003:460) om etikprövning avseende människor, förkortad etikprövningslagen (EPL), Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande
607Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
av direktiv 2001/20/EG, förkortad CTR, Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG, förkortad MDR, och Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitrodiagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU, förkortad IVDR. För att vara bredare i sitt tillämpningsområde avseende enklare tillgång till hälsodata för forskning, skulle bestämmelsen omfatta både forskning som föregås av samtycke till att delta i forskning och forskning som sker utan samtycke, framför allt observationsstudier och registerstudier. En fördel med en sådan bestämmelse är att mer forskning omfattas av enklare möjligheter till tillgång till hälsodata från hälso- och sjukvården. Någon form av integritetshöjande åtgärd krävs enligt utredningens mening för att kunna motivera ett sådant lägre sekretesskydd. Detta gäller framför allt forskning som den enskilde inte har vetskap om att hens uppgifter ingår i. Nedan framgår att utredningens bedömning är att krav på pseudonymisering av uppgifter som lämnas ut till klinisk forskning inte är ett lämpligt krav på skyddsåtgärd. Däremot anser utredningen att det faktum att den enskilde motsätter sig utlämnande till forskningen kunna vara en sådan skyddsåtgärd. Vid en tolkning av sekretessbestämmelsen, skulle utrymmet för motsättande kunna ligga i att det då ”kan antas” att den enskilde lider men om ett utlämnande sker. För att denna skyddsåtgärd ska kunna vara verkningsfull i praktiken, särskilt i situationer där forskning sker utan samtycke, krävs det enligt utredningens bedömning fungerande information till de registrerade och en infrastruktur som ger praktiska möjligheter att utöva rätten att motsätta sig. Utredningen gör bedömning att en sådan infrastruktur inte existerar i dag. I kapitel 19–21 beskriver dock utredningen vad en nationell datahubb kan ha för funktioner. Utredningen anser att frågan om en mer omfattande lättnad i sekretesskyddet skulle kunna övervägas vidare kopplat till fungerande infrastruktur vid en nationell datahubb. Både kraven på godkännande enligt de etiska regelverken samt möjligheten att motsätta sig behöver enligt utredningens mening vara tydligt i lagstiftningen. Utredningen har svårt att se att kravet på
608Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
transparens är uppfyllt med mindre än att dessa villkor och möjligheter uttryckligen framgår av lagtexten. En sådan bestämmelse skulle skilja sig betydligt från utformningen av befintliga sekretessbestämmelser i OSL. Från lagteknisk synvinkel anser utredningen att annan kompletterande lagstiftningen som tar sikte på integritetsskyddet är en lämpligare lösning. Det är i linje med detta som utredningen lämnar sina förslag på enklare tillgång till hälsodata för klinisk forskning. Det behöver också enligt utredningens mening noga övervägas om en regel med svagare sekretesskydd kan gälla i förhållande till privata aktörer och i så fall vilka ytterligare skyddsåtgärder som kan behövas för sådan vidareanvändning. I dag gäller att sekretessen enligt 25 kap. 1 § OSL följer med enligt 11 kap. 3 § OSL när uppgifter lämnas till myndigheter och organ som omfattas av sekretess enligt OSL, alternativt att ett starkare sekretesskydd gäller på mottagarsidan, se avsnitt 17.3. Så är inte fallet vid utlämnande till privata företag. Ur detta perspektiv anser utredningen att Europaparlamentets och Rådets förordning om ett europeiskt hälsodataområde, COM(2022) 197 final av den 3 maj 2022, förkortad förslaget till EHDS, bör inväntas. Som en följd av detta kan infrastruktur som möjliggöra säkrare datadelning bli nödvändigt att etablera i Sverige. Det kan också övervägas om lagstadgad tystnadsplikt kan och bör införas för aktörer som har etiskt godkännande enligt EPL eller motsvarande enligt CTR, MDR och IVDR, men som inte omfattas av sekretess enligt OSL.
15.2.2 Införande av forskning som ändamål i patientdatalagen
Bedömning : Det är inte lämpligt att införa forskning som ett ändamål i PDL.
PDL gäller vårdgivares behandling av personuppgifter inom hälsooch sjukvården (1 kap. 1 § PDL). Forskning som bedrivs inom hälsooch sjukvården omfattas inte av PDL:s tillämpningsområde och finns inte heller uppräknat som ändamål i lagen (jämför 2 kap. 4 § PDL). Utredningen har övervägt om det är lämpligt att införa forskning som ett ändamål i PDL. Utredningens uppfattning är att så inte är fallet. Först det första skulle PDL:s tillämpningsområde enligt utredningens bedömning behöva utvidgas om forskning infördes som ändamål i lagen på så sätt att även verksamhet inom forskning omfattades.
609Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
Detta skulle i sig vara en stor förändring av lagens grundläggande karaktär. Frågan är vidare vilka aktörer som skulle omfattas. I dag ska PDL tillämpas av vårdgivare. PDL gäller över huvud taget inte universitet eller högskolor, vilka är centrala aktörer inom den kliniska forskningen. Inom ramen för utredningens arbete med att ringa in en lämplig krets aktörer för utredningens förslag om enklare tillgång till hälsodata för klinisk forskning har utredningen förstått att det inte är lämpligt att skapa olika rättsliga förutsättningar för å ena sidan regioner som bedriver klinisk forskning och å andra sidan universitet och högskolor som bedriver klinisk forskning med avseende på tillgången till hälsodata för klinisk forskning. I linje med detta skulle även universitet och högskolor som bedriver klinisk forskning behöva omfattas av PDL med avseende på ändamålet klinisk forskning. PDL skulle då helt ändra karaktär och det skulle även framstå som främmande från de statliga myndigheternas sida. En ytterligare fråga är vilka delar av övriga PDL som skulle tilllämpas på forskningen. Hela PDL är utformad utifrån hälso- och sjukvårdens behov och förutsättningar. Dessa skiljer sig i stora delar från forskningens förutsättningar och behov. Det skulle vara ett mycket omfattande arbete att anpassa PDL:s regler efter forskningen. Detta skulle snarare innebära att klinisk forskning får en kompletterande registerförfattning, något som saknas i dag. Detta anser utredningen är en mycket stor fråga som behöver övervägas i en egen utredning. Utredningen vill framhålla att det från integritetsperspektiv inte är möjligt att motivera användande av samma behörighet och befogenhetsregler för klinisk forskning som gäller för vård, vilket är något som är efterfrågat inom hälso- och sjukvården, se vidare avsnitt 15.5.1.
15.2.3 Pseudonymisering som skyddsåtgärd
Bedömning : Utredningen gör bedömningen att ett krav på pseudonymisering eller annat likvärdigt skydd inte är en lämplig skyddsåtgärd vid vidareanvändning för klinisk forskning kopplat till utredningens författningsförslag.
610Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
Utredningen har övervägt om ett krav på pseudonymisering kan vara en möjlig skyddsåtgärd kopplat till förslagen om regler om förenklade möjligheter för vidareanvändning av hälsodata för klinisk forskning. Utredningen har lyft frågan med myndigheter och aktörer inom forskningen, som alla ser utmaningar med ett sådant krav. Det synes framför allt vara när hälsodata begärs ut eller behöver hanteras med utgångspunkt i enskilda individer. Utredningen anser att ett krav på pseudonymisering i sådana situationer inte är en lämplig skyddsåtgärd vid vidareanvändning för klinisk forskning. Utredningens övervägande i denna fråga följer nedan. Vissa utlämnande i dag sker på basis av att den som begär ut anger personnummer och det är det man söker på i sjukvårdens system. Inom den kliniska forskningen kan det också finnas behov av att ha direktidentifierbara uppgifter för att syftet med forskningen ska kunna uppfyllas. Utredningen noterar att i sammanhang där pseudonymisering övervägts kopplat till utlämnande för forskning har också förslag lämnats på undantag, se promemoria i En långsiktig reglering av forskningsdatabaser, dnr U2022/04089. Enligt utredningens bedömning riskerar ett undantag dock att urholka huvudregeln. Så har till exempel skett avseende regeln i 7 kap. 8 § andra stycket PDL avseende behandling av personnummer och namn i regionala eller nationella kvalitetsregister. Enligt bestämmelsen är utgångspunkten att kvalitetsregister inte ska innehålla namn eller personnummer, men i praktiken är detta mycket vanligt. Utredningen anser mot denna bakgrund att det inte är lämpligt med ett formellt krav som förespeglar ett skydd som inte efterlevs i praktiken. Ett krav på pseudonymisering behöver enligt utredningens mening vara verkningsfullt och endast föreskrivas där det kan tillämpas. De situationer som utredningen lämnar förslag på är inte sådana situationer. Däremot skulle pseudonymisering kunna övervägas i situationer där exempelvis den kliniska forskningen utgår ifrån hela patientgrupper eller på andra sätt avgränsade populationer. Utredningen konstaterar även att i förslaget till EHDS finns pseudonymisering av e-hälsodata med som en dataminimeringsåtgärd, om anonyma data inte är tillräckligt för att syftet med dataanvändarens behandling kan uppnås (se artikel 44). Utredningen uppfattar att tillgängliggörande av anonyma eller pseudonymiserade data enligt förslaget till EHDS tar sikte på andra situationer än de som utredningen lämnar förslag på.
611Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
15.3 Förenklad tillgång till personuppgifter
för klinisk forskning
Förslag : Författningsförslagen avseende ändamålet klinisk forskning ska avse enklare tillgång till personuppgifter från hälso- och sjukvården.
Utredningens författningsförslag avser att förenkla tillgången till personuppgifter från hälso- och sjukvården för ändamålet klinisk forskning och minska den administrativa bördan för utlämnande myndigheter. Redan i dag sker omfattande utlämnande av hälsodata från hälsooch sjukvården för klinisk forskning. Detta sker enligt allmänna regler om begäran om att få ta del av allmänna handlingar eller reglerna om uppgiftsutlämnande mellan myndigheter (se 6 kap. 5 § OSL). Uppgifter från hälso- och sjukvården omfattas som huvudregel av sekretess och en menprövning ska därför göras innan ett utlämnande kan ske. Enligt 25 kap. 1 § OSL gäller ett omvänt skaderekvisit, vilket ställer höga krav på menprövningen. Endast inom och mellan myndigheter inom samma region finns en presumtion för utlämnande (se 25 kap. 11 § 5 OSL). Avskiljande av uppgifter och menprövning är ett omfattande arbete inom de myndigheter som lämnar ut mycket hälsodata till forskning, se kapitel 12. Vidare framstår tillgången till uppgifterna för forskare, särskilt de som också är anställa inom hälso- och sjukvården, som onödigt krånglig.
15.3.1 Befintliga regler avseende formerna för utlämnande
Enligt tryckfrihetsförordningen (1949:105), förkortad TF, har den som begär ut en allmän handling som får lämnas ut, rätt att få ta del av handlingen på stället på ett sådant sätt att den kan läsas, avlyssnas eller uppfattas på annat sätt (2 kap. 15 § första stycket TF). Det finns även bestämmelser om rätt att få en kopia av handlingen (2 kap. 16 § första stycket TF). TF innehåller inga bestämmelser om digitalt utlämnande. Inte heller 6 kap. 5 § OSL som reglerar uppgiftsskyldighet mellan myndigheter innehåller några bestämmelser vad gäller formen för utlämnandet. Det finns i dessa regelverk inget som i sig hindrar att ett utlämnande sker digitalt.
612Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
Av 5 kap. 6 § PDL framgår att om en personuppgift får lämnas ut, kan det ske på medium för automatiserad behandling, så kallat ADB-utlämnande. I förarbetena anges avseende denna bestämmelse att utlämnande kan göras i elektronisk form, det vill säga på medium för automatiserad behandling eller via elektronisk kommunikation på annat sätt. Den elektroniska formen omfattar i sig ett stort antal variationer, till exempel användning av e-post, lagring på cd-rom, direktöverföring från ett datorsystem till ett annat via telenätet eller att en mottagare ges elektronisk tillgång till det utlämnande organets datorsystem (prop. 2007/08:126, s. 73). ADB-utlämnande kallas ofta numera för ett annat elektroniskt utlämnande (jämför SOU 2021:4, s. 247). ”Annat” syftar på att det elektroniska utlämnandet inte är en direktåtkomst. Enligt 5 kap. 4 § PDL är utlämnande genom direktåtkomst till personuppgifter endast tillåtet i den utsträckning som anges i lag eller förordning. Det finns i dag inga regler som tillåter utlämnande genom direktåtkomst från hälso- och sjukvården till klinisk forskning.
15.3.2 Behovet av nya regler om tillgängliggörande
Det är alltså i dag i och för sig tillåtet för vårdgivare att göra andra elektroniska utlämnanden än utlämnande genom direktåtkomst till klinisk forskning. Detta görs också till forskning, bland annat genom att uppgifter laddas ner på ett usb och lämnas ut. Denna möjlighet tar dock inte bort det stora administrativa arbete som det manuella avskiljandet av uppgifter för varje registrerad som utlämnande myndigheter gör i dag. Det innebär också informationssäkerhetsrisker att hantera känsliga data genom utlämnande på papper eller usb. Befintlig regel i PDL om ADB-utlämnande är vidare mycket knapphändig och de exempel som tas i förarbetena är gamla. Ett modernare och tydligare regelverk kring digitalt utlämnande för klinisk forskning skulle enligt utredningen skapa en större tydlighet kring vad som är tillåtet och utgöra incitament till utbyggnad av bättre it-stöd och mer enhetliga rutiner för utlämnande. Även om utvecklingen går framåt, uppfattar utredningen att de tekniska möjligheterna inte finns för att utifrån dagens patientjournalsystem avskilja exakt de personuppgifter som är relevanta för ett enskilt forskningsprojekt enbart eller ens i huvudsak på teknisk väg.
613Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
Beroende på vilka it-system och datamängder som är aktuella, krävs en inte obetydlig manuell hantering. Till detta kommer även att journalföring av medicinska och juridiska skäl inte heller görs på ett sådant sätt att personuppgifter endast med bättre tekniska lösningar skulle kunna avgränsas exakt till vad som behövs i ett specifikt forskningsprojekt. Ett exempel på detta är fritextfält i en patientjournal. Det behöver därför vara tillåtet att i digital form tillgängliggöra mer information om varje registrerad patient än vad som kommer behövas för det aktuella forskningsprojektet. Tillgång till hälsodata genom en form av direktåtkomst eller annat elektroniskt utlämnande skulle enligt utredningens mening medföra både säkrare och enklare utlämnanden av hälsodata från hälso- och sjukvården till klinisk forskning. Åtkomst till hälsodata på detta sätt skulle också förenkla för forskare. Ett regelverk som medför att menprövning inte heller behöver göras inför ett utlämnande skulle också innebära betydande förenklingar för utlämnande myndigheter. Borttagande av menprövning behöver kompenseras med andra skyddsåtgärder för den personliga integriteten. Utredningen föreslår ett antal villkor och skyddsåtgärder som ska gälla för den förenklade tillgången. I stället för att göra en menprövning inför utlämnande prövas om lagens villkor är uppfyllda, vilket utredningen bedömer är en enklare typ av prövning. Utredningen anser därför att klinisk forskning ska omfattas av nya regler om tillgängliggörande. Dessa bör avse möjlighet att tillgängliggöra personuppgifter genom begränsad direktåtkomst eller annat elektroniskt utlämnande och vara förenat med en sekretessbrytande grund, kombinerat med villkor och skyddsåtgärder för den personliga integriteten
15.3.3 Vidareanvändning enligt utredningens
förslag ska vara frivilligt
Förslag : Det ska vara frivilligt att tillämpa de föreslagna reglerna om tillgängliggörande för klinisk forskning.
Utredningen har övervägt om de föreslagna reglerna ska vara frivilliga att tillämpa eller om det ska vara en skyldighet. En skyldighet skulle inskränka det kommunala självstyret.
614Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
Utredningen anser att reglerna bör vara frivilliga för regionala myndigheter som bedriver hälso- och sjukvård. Det är främst aktörer inom hälso- och sjukvård som har efterfrågat enklare sätt att hantera utlämnande för forskning. Utredningen bedömer att det hos samtliga inblandade aktörer borde finnas ett starkt incitament att använda de föreslagna reglerna. Utredningen anser inte att det skulle vara en proportionerlig inskränkning i det kommunala självstyret att göra reglerna tvingande. En anledning till det är att det sannolikt skulle innebära ett allt för trubbigt system. Utredningens bedömning är behovet av ett förenklat utlämnande varierar mellan verksamheter inom hälso- och sjukvården. Utredningen bedömer därför att det är mer lämpligt att det blir upp till regionerna att själva göra en bedömning av när och för vilka verksamheter det förenklade utlämnande hade genererat besparingar. Reglerna bygger också på att de regionala myndigheterna och lärosätena hittar praktiska lösningar inom både forskningen och hälso- och sjukvården som fungerar för dem båda. Detta bedömer utredningen behöver få utvecklas under frivilliga former. Det finns en risk att det uppstår lokala lösningar. Utredningen ser dock inte att det skulle leda till några betydande problem och bedömer därför att en tvingande reglering och de negativa effekter de skulle föra med sig inte skulle stå i proportion till nyttan och inte heller motivera den inskränkning i det kommunala självstyret som det skulle innebära. Det går att argumentera för att göra bestämmelserna i den nya lagen tvingande för att finansieringsprincipen inte ska bli tillämplig. Utredningen har inte vägt in detta i valet mellan frivillighet och tvingande regler. Övervägandena som utredningen har tagit ställning till redogörs för ovan. Utredningen bedömer vidare att kostnaderna för att inrätta denna typ av system inte behöver vara kostsam och därför skulle det inte innebära några större kostnader för staten, vilket var ett av skälen till att utredningen inte bedömt att en eventuell vilja att undvika finansieringsprincipen var värd att beakta. Därutöver tillför regeringen miljarder till regionerna (prop. 2023/24:1 Utgiftsområde 9, s. 43) för att stötta regionernas ekonomi. Staten skulle då investera mindre om pengar skulle avsättas för att bekosta dessa system och få ut en större besparingseffekt i regionen än de medel som de avsatte. Det är dock enligt utredningen inte lämpligt att staten skulle bryta upp exempelvis sektorsbidraget och överpröva regionernas prioriteringar i så små frågor som denna. Mot bakgrund av detta har
615Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
utredningen bedömt att det inte funnits anledning att i denna del beakta finansieringsprincipen i valet av frivillig eller tvingande lagstiftning. Det kommer alltså att anges att bestämmelserna i den nya lagen ”får” tillämpas vid vidareanvändning. Vidareanvändning i generell mening kan även ske på andra sätt än genom tillämpning av den nya lagen. Utlämnande kan även ske enligt allmänna regler om begäran om allmänna handlingar eller uppgiftsutlämnande mellan myndigheter. Sker tillgängliggörande enligt lagen, gäller dock lagens villkor för detta.
15.3.4 Regler om förenklad tillgång är en del i en helhet
Utredningen är medveten om att förslagen som utredningen lämnar avseende klinisk forskning inte svarar upp mot alla de behov som finns (se kapitel 11 och 19–23). Utredningen bedömer dock att detta är ett steg av flera som behöver tas för att Sverige ska kunna göra omställningen mot en mer datadriven ekonomi (se kapitel 10). Flera av de problem som behöver lösas har utredningen bedömt kräver en nationell datahubb (se kapitel 19–22).
Förslagen går i linje med ambitionen att minska
administrationen i vården
Regeringen har en uttalad ambition om att minska administrationen i vården (prop. 2023/24:1 Utgiftsområde 9, s. 45). Problemet med ökad administration har varit känd i många år och som utredningen beskrev i sin promemoria (se Bilaga 2) så har flera reformer snarare lett till ökad administration. Både föregående och nuvarande regering har dock bara de senaste åren tillsatt en rad utredningar och tillfört reformmedel på hälsodata, vilka samtliga har goda möjligheter att minska administrationen i vården (se exempelvis Dir. 2022:98). Vissa delar av administrationen är kopplade till vårdens system och processer, exempelvis utsökning av data, vilket framför allt är kopplat till primäranvändningen. Annan administration, så som menprövning är kopplad till vidareanvändning och kommer av juridiska krav. Administrationen som uppkommer i primäranvändningssteget utreds inom ramen för Utredningen om infrastruktur för hälsodata som natio-
616Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
nellt intresse (S 2022:10) och är inget som kommer beröras i denna utredning. Utredningen har därför fokuserat på det utredningen kunnat göra för att minska administrationen för vidareanvändningen. Utredningen har utöver behovet av att minska administrationen också försökt lämna förslag som går i linje med och har synergieffekter, dels med övriga satsningar som regeringen gör, dels med de bedömningar för fortsatt utredning som utredningen gör i kapitel 19–23.
15.4 På vilken normgivningsnivå ska regleringen ske?
Förslag : Reglering av enklare tillgång till personuppgifter från hälso- och sjukvården för ändamålet klinisk forskning ska ske i lag.
15.4.1 Rättsliga utgångspunkter
Normgivningsmakten är enligt 8 kap. regeringsformen, förkortad RF, fördelad mellan riksdagen och regeringen. Med normgivningsmakten avses rätten att besluta rättsregler, det vill säga sådana regler som är bindande för enskilda och myndigheter och som gäller generellt. Dessa regler kallas i RF för föreskrifter. Fördelningen av normgivningsmakten mellan riksdagen och regeringen bygger på principen att de centrala delarna av normgivningen ska ligga hos riksdagen (se Ds 2014:1 s. 9).
Riksdagens normgivningsområde
Det område där i första hand riksdagen har normgivningskompetensen kallas för riksdagens normgivningsområde eller det primära lagområdet. Detta område regleras huvudsakligen i 8 kap. 2 § RF. I 8 kap. 2 § första stycket 2 RF anges att föreskrifter ska meddelas genom lag om de avser förhållandet mellan enskilda och det allmänna under förutsättning att föreskrifterna gäller skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden. Med ”ingrepp” åsyftas sådana åtgärder från normgivarens sida som allmänt anses innebära inskränkningar i enskildas dittills varande handlingsfrihet, möjligheter att förfoga över egendom et cetera (prop. 1973:90 s. 210). Inrättande av personregister har inte
617Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
ansetts hänförligt till bestämmelser som kräver stöd i lag eller annan författning (se bland annat KU 1979/80:3y). I 8 kap. 2 § första stycket 3 RF anges att föreskrifter ska meddelas genom lag om de avser grunderna för kommunernas organisation och verksamhetsformer och för den kommunala beskattningen samt kommunernas befogenheter i övrigt och deras åligganden. Den delen av det primära lagområdet där riksdagen inte kan bemyndiga regeringen att meddela föreskrifter, det vill säga inte kan delegera, brukar kallas det obligatoriska lagområdet. Den delen av det primära lagområdet där riksdagen genom delegering kan överlåta delar av sin normgivningskompetens till regeringen brukar kallas för det delegeringsbara området (se Ds 2014:1 s. 10). Detta område regleras i 8 kap. 3–5 §§ RF. Av 8 kap. 3 § RF framgår att riksdagen, med vissa undantag, kan bemyndiga regeringen att meddela föreskrifter enligt 2 § första stycket 2 och 3 RF. I samband med att riksdagen bemyndigar regeringen att meddela föreskrifter i ett ämne kan riksdagen tillåta att regeringen i sin tur överlåter hela eller delar av denna normgivningskompetens till en förvaltningsmyndighet (se 8 kap. 10 § RF). Detta kallas subdelegering (Ds 2014:1 s. 10).
Regeringens normgivningsområde
I 8 kap. 7 § RF finns de huvudsakliga bestämmelserna om det område där regeringen utan delegering från riksdagen får meddela föreskrifter, det vill säga regeringens primärområde. Hit hör föreskrifter om verkställighet av lag samt föreskrifter som inte enligt grundlag ska meddelas av riksdagen, den så kallade restkompetensen. Med verkställighetsföreskrifter avses i första hand tillämpningsföreskrifter av administrativt slag. Dessutom avses föreskrifter som i materiellt hänseende ”fyller ut” en lag, även om lagen i och för sig skulle befinna sig inom det obligatoriska lagområdet. En förutsättning är att den lagbestämmelse som ska kompletteras är så detaljerad att regleringen inte tillförs något väsentligt nytt genom den av regeringen beslutade föreskriften. I verkställighetsföreskrifter får det inte ingå sådant som kan uppfattas som en ny skyldighet för enskilda eller som ett nytt ingrepp i enskildas personliga eller ekonomiska förhållanden (se Ds 2014:1 s. 11 och prop. 1973:90 s. 211).
618Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
Till restkompetensen hör sådana offentligrättsliga föreskrifter som inte rör förhållandet mellan enskilda och det allmänna utan avser de statliga myndigheternas organisation, arbetsuppgifter och inre verksamhetsformer. Till restkompetensen hör också sådana föreskrifter som visserligen rör förhållandet mellan enskilda och det allmänna men som ur den enskildes synpunkt inte är betungande utan gynnande eller neutrala. Av 8 kap. 11 § RF framgår att regeringen får delegera normgivningsmakten inom sitt primärområde till en myndighet under regeringen.
Grundläggande fri- och rättigheter
I 8 kap. 2 § andra stycket RF anges att det av andra bestämmelser i RF och av annan grundlag följer att föreskrifter av visst innehåll ska meddelas genom lag. En sådan bestämmelse finns i 2 kap. RF. Enligt 2 kap. 6 § andra stycket RF är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Det skydd för den personliga integriteten som grundlagsbestämmelsen innebär är inte absolut, utan kan under vissa förutsättningar begränsas med hänsyn till andra motstående intressen. En sådan begränsning får dock endast ske genom lag (se 2 kap. 20 § första stycket 2 RF). En närmare beskrivning av dessa bestämmelser finns i avsnitt 7.1.2 (Integritetsskydd som en grundläggande mänsklig rättighet).
15.4.2 Regleringen bör ske i lag
Utredningens förslag om enklare tillgång till personuppgifter för klinisk forskning innebär att personuppgifter får göras tillgängliga genom begränsad direktåtkomst eller annat elektroniskt utlämnande. Utredningen föreslår att tillgången till personuppgifter enligt de nya reglerna får ske först efter att den registrerade har samtyckt till detta, se avsnitt 16.8.3. För barn gäller att vårdnadshavare lämnar samtycke till tillgången om vårdnadshavare också lämnar samtycke till att forskning sker på barnet. För personer som inte endast tillfälligt saknar förmåga att ta ställning gäller att lagligen utsedd ställföreträdare lämnar samtycke om denne även lämnar samtycke till forskningen. För
619Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
utrednings överväganden och förslag personer som inte kan samtycka, se avsnitt 16.8.4. Utredning gör bedömningen att de föreslagna reglerna om enklare tillgång inte kan anses vara sådan art att de utgör ett ingrepp i enskildas personliga eller ekonomiska förhållanden i den mening som avses i 8 kap. 2 § första stycket 2 RF. Utredningen föreslår att det ska vara frivilligt för regionala myndigheter inom hälso- och sjukvården att tillämpa de nya reglerna. De föreslagna reglerna utgör enligt utredningens bedömning därför inte ett åliggande i den mening som avses i 8 kap. 2 § första stycket 3 RF. Reglerna utgör inte heller en befogenhet enligt nämnda bestämmelse. Med avseende på 2 kap. 6 § andra stycket RF gör utredningen följande överväganden. Den förenklade tillgången till personuppgifter för klinisk forskning medför ett intrång i den personliga integriteten. Utifrån att de uppgifter som tillgängliggörs utgörs av journalinformation eller andra personuppgifter om den enskilde som finns inom hälso- och sjukvården och därmed kan vara av mycket känslig karaktär anser utredningen att intrånget kan vara betydande. Effekten av tillgängliggörandet är att regionala myndigheter och lärosäten som bedriver forskning får ett underlag med personuppgifter om enskilda som kan användas i forskningen. Detta kan medföra möjligheter till kartläggning av den enskildes personliga förhållanden. Intrånget sker dock inte utan den registrerades vetskap och föregås av samtycke. För personer som inte kan samtycka ges samtycke av vårdnadshavare eller lagligen utredda ställföreträdare. Utifrån detta kan det enligt utredningens mening diskuteras om de föreslagna reglerna innebär ett sådant intrång i den personliga integriteten att det faller under 2 kap. 6 andra stycket RF. Oavsett detta anser utredningen att de nya reglerna bör införas i lag enligt vad som framgår nedan. Utredningen noterar att konstitutionsutskottet i flera lagstiftningsärenden som rört myndigheters behandling av personuppgifter framhållit att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag och att regeringen vid åtskilliga tillfällen har instämt i denna bedömning (prop. 2009/10 s. 183). Utredningen gör bedömningen att förslagen avseende förenklad tillgång till personuppgifter för klinisk forskning inte avser tillskapande av register i en traditionell mening. De uttalande som regering och riksdag har gjort behöver
620Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
enligt utredningens mening dock kunna överföras till andra tekniska lösningar och kunna tjäna till ledning även där. Utredningens förslag innebär att en avgränsad uppgiftsmängd som innehåller direkt identifierbara personuppgifter får göras tillgänglig under en begränsad tidsperiod. Uppgiftsmängden kan innehålla ett mer eller mindre stort antal individer, beroende på omfattningen av forskningsprojektet och hur många som har samtyckt till att personuppgifter tillgängliggörs enligt det förenklade sättet. Tillgängliggörandet enligt utredningens förslag kan ske samtidigt för flera forskningsprojekt och kan därmed för en regional myndighet inom hälso- och sjukvården som tillämpar reglerna omfatta ett inte obetydligt antal individer. Under den tidsperiod som uppgifterna är tillgängliga kommer det vara möjligt att logga in, läsa och ladda ner de uppgifter som kan antas behövas för forskningen. En tillämpning av reglerna medför enligt utredningens uppfattning att en ny tillfällig uppgiftsmängd skapas och ges tillgång till på ett sätt som inte är tillåtet i dag. För uppgiftsmängden gäller en sekretessbrytande grund. Utredningen konstaterar vidare att det rör som känsliga personuppgifter om hälsa. I vissa fall kan det röra sig om mycket integritetskänslig information. För vissa personkategorier är det inte den registrerade själv som samtycker till tillgängliggörandet. Utredningen anser att det ligger i linje med vad regering och riksdag har uttalat att föreslagna regler införs i lag. Utredningen anser även att det är lämpligt utifrån ett förutsebarhetsperspektiv. Utredningen har även jämfört med en reglering i PDL som begränsar användandet av direktåtkomst till personuppgifter som behandlas inom hälso- och sjukvården. I bestämmelsen anges att utlämnanden genom direktåtkomst till personuppgifter endast är tillåten i den utsträckning som anges i lag eller förordning (5 kap. 4 § PDL). Bestämmelsen måste läsas i sitt sammanhang och gäller för utlämnanden av personuppgifter som görs inom PDL:s tillämpningsområde (för ytterligare beskrivning av tillämpningsområdet se avsnitt 15.6.1 och avsnitt 16.5.3). Skälet till att begränsningen fördes in var att direktåtkomst ansågs utgöra en särskild integritetskänslig form av elektroniskt utlämnande och det var därför önskvärt att det klargjordes i vilka fall direktåtkomst kunde vara tillåtet (prop. 2007/08:126 s. 76 och 244). Utredningen konstaterar att bedömningen går i linje med utredningens uppfattning om att föreslagna regler införs i lag.
621Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
15.5 Den övergripande lagtekniska utformningen
Förslag : Förenklad tillgång till personuppgifter från hälso- och sjukvården för ändamålet klinisk forskning ska regleras i en ny lag.
Ovan har framgått att reglering av förenklad tillgång till personuppgifter för ändamålet klinisk forskning ska ske i lag. Frågan är hur den lagtekniska utformningen av de nya reglerna ska se ut. Det finns olika alternativ för detta. Ett alternativ är att komplettera någon befintlig lag. Den lag som utredningen i så fall bedömer kan vara aktuell är PDL. Utredningen noterar att det för forskning inte finns någon motsvarande generell kompletterande lagstiftning till EU:s dataskyddförordning Ett annat alternativ är en helt ny lag. Utredningens överväganden kring den övergripande lagtekniska utformningen redogörs för nedan.
15.5.1 Ändring av patientdatalagen
Utredningen resonerar i avsnitt 15.2.2 generellt kring införandet av forskning som ändamål i PDL. Utredningen anser inte att det skulle vara lämpligt. Övervägandena kring PDL i detta avsnitt är kopplade till utredningens specifika författningsförslag och är mer av lagteknisk karaktär. Vissa aspekter som belyses i avsnitt 15.2.2 återkommer även nedan. Övervägandena om lämpligheten i att placera utredningens förslag om förenklade regler för vidareanvändning för klinisk forskning i PDL behöver utgå ifrån vad som är PDL:s nuvarande tillämpningsområde. PDL är tillämplig på vårdgivares behandling av personuppgifter inom hälso- och sjukvården (1 kap. 1 § PDL). Med vårdgivare avses statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare). Med hälso- och sjukvård avses verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk
622Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter, lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar samt den upphävda lagen (1944:133) om kastrering. PDL omfattar inte i dag verksamhet enligt EPL, CTR, MDR och IVDR. PDL reglerar inte personuppgiftsbehandling inom forskning, annat än när forskningen är ett led i vården, se vidare avsnitt 15.6. Den personuppgiftsbehandling som sker enligt PDL, när forskning är ett led i vården, utförs för vårdändamålet och av den personuppgiftsansvarige i egenskap av vårdgivare, inte av den personuppgiftsansvarige i egenskap av ansvarig för forskningen eller för forskningsändamålet. Personuppgiftsbehandling som endast sker i forskningssyfte regleras inte av PDL. Det är dessutom utredningens bedömning att den stora merparten av den kliniska forskning som förekommer inom samma myndighet som bedriver hälso- och sjukvård, inte är ett led i vården, se avsnitt 15.6. Utredningens förslag om vidareanvändning för klinisk forskning avser enklare tillgång till personuppgifter som finns inom hälso- och sjukvården och som där omfattas av PDL. Utredningen föreslår att tillgång till personuppgifter kan ges genom så kallad begränsad direktåtkomst eller genom att elektroniskt utlämnande, se avsnitt 16.7.2. I PDL finns i dag vissa bestämmelser om direktåtkomst. Utredningen har övervägt om det skulle vara lämpligt att införa bestämmelserna om begränsad direktåtkomst eller annat elektroniskt utlämnande av personuppgifter och tillämpningsområdet på datahållarsidan, se avsnitt 16.4, i PDL. Från datahållarperspektiv skulle det kunna finnas en viss logik i detta. Utredningen konstaterar dock att ändamålet för befintliga regler i PDL om direktåtkomst är vård. Det finns även redan i dag regler om direktåtkomst i annan lag än PDL. Enligt SVOD får vård- och omsorgsgivare, genom direktåtkomst eller annat elektroniskt utlämnande, göra personuppgifter tillgängliga för varandra. Se vidare om utredningens bedömning om den nya lagens förhållande till PDL, avsnitt 16.5.3. Vidareanvändning enligt utredningens förslag innebär, enkelt uttryckt, att det utförs personuppgiftsbehandling för ändamålet klinisk forskning av forskare i stället för ändamålet vård av hälso- och sjukvården. På dataanvändarsidan enligt utredningens förslag finns regio-
623Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
nala myndigheter som bedriver forskning samt lärosäten som bedriver forskning. Utredningen föreslår också vissa regler som gäller för dessa aktörer när de behandlar personuppgifter som tillgängliggörs av regionala myndigheter som bedriver hälso- och sjukvård. Att införa dessa regler i PDL skulle enligt utredningens bedömning innebära att PDL:s tillämpningsområde behöver utökas. PDL skulle behöva omfatta viss personuppgiftsbehandling som utförs av andra än vårdgivare, i annan verksamhet än hälso- och sjukvård. Utredningen anser av flera skäl att detta inte är lämpligt. För det första skulle helt nya aktörer i form av statliga universitet, statliga högskolor och enskilda utbildningsanordnare behöva börja tillämpa regler i PDL. Utredningen gör bedömning att detta skulle framstå som främmande för dessa aktörer. Att reglera personuppgiftsbehandling inom andra självständiga verksamhetsgrenar hos en vårdgivare ligger inte heller i linje med det grundläggande syftet med lagen som är att reglera behandling av personuppgifter i vårdgivares kärnverksamhet som avser tillhandahållande av hälso- och sjukvård inklusive tandvård åt patienter (se prop. 2007/08:126, s. 46). Att dessutom införa detaljerade regler för en viss typ av utlämnande ligger inte heller i linje med hur PDL i dag är utformad. Det finns regler om för vilka ändamål utlämnande får ske. Regler som direktåtkomst finns mellan myndigheter inom en region eller kommun som bedriver hälso- och sjukvård (jämför 5 kap. 4 § PDL) och i förhållande till enskild med avseende på vårddokumentation (5 kap. 5 § PDL). Direktåtkomst inom vårdgivare hör enligt utredningens uppfattning till primäranvändning. Det vore enligt utredningens mening väsensskilt att i PDL lägga in de detaljerade regler för utlämnande till klinisk forskning som utredningen föreslår. Det skulle också göra det ännu otydligare för forskare när PDL är tillämplig och inte, vilket redan i dag kan uppfattas som svårt i praktiken. Ett alternativ skulle då vara att ha vissa bestämmelser i PDL och andra i en ny lag. Utredningen anser inte att det är ett lämpligt alternativ, eftersom det är en klar fördel ur ett tillämparperspektiv att ha bestämmelserna samlade. Utredningens anser att det finns starka skäl som talar för att det ska vara så tydligt som möjligt. Utredningen tar också en ansats att förtydliga forskning som ett led i vården för att ytterligare skapa en tydlighet, se nedan avsnitt 15.7. Enligt utredningens bedömning finns i dag ingen lämplig lag för att placera utredningens förslag i, avseende vidareanvändning för klinisk
624Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
forskning. Även i beaktande av intresset att använda befintliga lagar i så stor utsträckning som möjligt, då ytterligare författningar i sig bidrar till ökad komplexitet, ser utredningen ingen sådan lämplig möjlighet.
Ändamålen vård och forskning behöver hållas isär
Utredningen har fått till sig önskemålet om att vårdpersonal som också forskar ska kunna använda den elektroniska åtkomsten eller direktåtkomst som finns till patientuppgifter för vårdändamål också för forskningsändamålet. Från vårdpersonalens perspektiv kan det framstå som ologiskt att ena stunden kunna logga in i patientjournalsystemet och ta del av uppgifter för vården av patienten, men andra stunden inte få göra det för forskning, trots att det handlar om samma patient och samma uppgifter. Utredningen har förståelse för att detta, från ett praktiskt perspektiv, framstår som orimligt och onödigt krångligt. Utredningen lämnar också förslag som är avsedda att förenkla tillgången för forskning. Dessa förslag bygger dock inte på att vårdpersonal får använda den elektroniska åtkomsten de har för vårdändamålet även för åtkomst i forskningssyfte. Utredningen har gjort följande överväganden kopplat till detta. Den interna behörigheten enligt 4 kap. 2 § PDL samt regelverket för sammanhållen vård- och omsorgsdokumentation är utformat för ändamålet vård. Det skulle enligt utredningens bedömning vara helt andra hänsyn som behöver beaktas om dessa regelverk också skulle användas för forskning. Det innebär att villkor för till exempel tillgängliggörande och behörighetsstyrning skulle behöva anpassas specifikt utifrån forskningsändamålet. Utredningen ser inte att det är proportionerligt att ur integritetshänseende motivera en så pass bred behörighet för forskningsändamålet som går att göra för vårdändamålet. Dessutom finns en yttre sekretessgräns mellan hälso- och sjukvårdsverksamheten och forskningsverksamheten, se avsnitt 15.7. En ytterligare aspekt är att utredningen inte anser det lämpligt att införa ändamålet forskning som ett ändamål i PDL, se avsnitt 15.2.2. Lagens tillämpningsområde är ”hälso- och sjukvården” och lagen är utformad utifrån den verksamheten. Forskning bedrivs inte på ett sätt som gör att PDL:s bestämmelser är ändamålsenliga.
625Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
Sammanfattningsvis, det som från ett praktiskt perspektiv kanske kan framstå som en ”bra och enkel” lösning på fråga om tillgång till personuppgifter för forskning, är dels enligt utredningens mening juridiskt sett inte möjligt, dels inte heller ur ett bredare perspektiv lämpligt ur ett forskningsperspektiv.
15.5.2 En ny lag
Utredningens bedömning är att det inte finns någon befintlig lag som är lämplig för de nya regler om vidareanvändning av personuppgifter för klinisk forskning som utredningen föreslår. Utredningen anser därför att det behövs en ny lag för de regler som utredningen föreslår. En fördel med ny lag är också att den kan utformas för just vidareanvändning och skulle kunna byggas på. Utgångspunkten för utredningens förslag till ny lag är vidareanvändningen och ändamålet klinisk forskning. Utredningen har gjort avgränsningar avseende vilka aktörer och ändamål som författningsförslag nu lämnas på, se avsnitt 2.6. Syftet är dock att det ska kunna gå att bygga vidare med exempelvis fler aktörer och datamängder på datahållarsidan, såsom omsorgsgivare. Utredningen ser även en möjlighet att utreda om även annan klinisk forskning än sådan som bygger på samtycke till att delta i forskningen kan få någon typ av förenklade regler. Utredningen ser då att lagstiftningen bör ta utgångspunkt i vidareanvändningen, snarare än datahållarna och dataanvändarna och deras befintliga kompletterande regelverk för personuppgiftsbehandling. En ny författning ger lagteknisk struktur som utgår från vidareanvändning. Ur detta perspektiv framstår det som mest ändamålsenligt att placera regler som rör vidareanvändning för en del av forskningen i en separat författning, som kan byggas på. Vid en sammantagen bedömning har utredningen landat i att det mest ändamålsenliga är att placera regler om vidareanvändning av personuppgifter för ändamålet klinisk forskning i en ny författning.
626Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
15.6 Forskning som ett led i vården
och patientnära forskning
Bedömning : Med forskning som ett led i vården avses forskning som utgör en del av hälso- och sjukvården eller annan medicinsk verksamhet enligt 25 kap. 1 § OSL. Forskning är ett led i vården till den del den bedrivs organisatoriskt integrerat med hälso- och sjukvårdsverksamhet och dokumentation för både vård- och forskningsändamålen sker samtidigt. Med patientnära forskning avses forskning som sker parallellt med hälso- och sjukvårdsverksamheten utan att vara organisatoriskt integrerade med varandra. Dokumentation sker vid olika tillfällen.
Utredningens förslag om nya regler för förenklad tillgång till personuppgifter för klinisk forskning avser bland annat att överbrygga de yttre sekretessgränser som finns. Yttre sekretessgränser finns mellan myndigheter både inom och mellan vårdgivare. Inom en myndighet som bedriver hälso- och sjukvård finns också en yttre sekretessgräns mellan hälso- och sjukvård och forskning, om forskningen är en självständig verksamhetsgren. Frågan om forskningen är en självständig verksamhetsgren har alltså betydelse för i vilka situationer det blir aktuellt att tillämpa de regler som utredningen lämnar förslag på. Utredningen har från aktörer också blivit uppmärksammad på att detta är en oklar rättslig fråga och att det medför tillämpningsproblem i praktiken. Utredningen har mot denna bakgrund utrett frågan närmare. En närliggande, men enligt utredningen, formellt sett annan fråga, är PDL:s tillämplighet vid så kallad patientnära forskning. Vad som menas med patientnära forskning och hur detta begrepp förhåller sig till ”forskning som ett led i vården” är också frågor som utretts.
15.6.1 De övergripande rättsliga frågeställningarna
Utredningen uppfattar att det finns två huvudsakliga rättsliga perspektiv när det handlar om vård och forskning inom en myndighet. Det ena är sekretessperspektivet som innefattar frågan om när vård och forskning är självständiga verksamhetsgrenar. Mellan självstän-
627Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
diga verksamhetsgrenar finns en ”yttre” sekretessgräns inom myndigheten. Om sekretessreglerade uppgifter ska från den ena självständiga verksamhetsgrenen till den andra, krävs ett formellt utlämnande som föregås av en sekretessprövning. Om sekretessreglerade uppgifter ska från hälso- och sjukvårdsverksamhet inom en vårdgivande myndighet till forskningsverksamhet inom samma myndighet, och dessa verksamheter utgör självständiga verksamhetsgrenar i förhållande till varandra, ska alltså en sekretessprövning göras innan ett utlämnande kan ske. Om forskningen däremot inte är en självständigverksamhetsgren i förhållande till vården, behövs inte det. Den sekretessprövning som görs när uppgifter ska lämnas från vård till forskning som är en självständig verksamhetsgren går typiskt sett ut på att pröva om ett utlämnade innebär men enligt 25 kap. 1 § OSL. Det andra huvudsakliga rättsliga perspektivet är det dataskyddsrättsliga. Från dataskyddsperspektiv gäller bland annat att en myndighet behöver hålla reda på för vilket ändamål personuppgifter behandlas. Detta gäller oavsett inom vilken eventuell självständig verksamhetsgren som behandlingen sker. Inom en vårdgivare gäller PDL som kompletterande lagstiftning till EU:s dataskyddsförordning vid vårdgivares personuppgiftsbehandling inom hälso- och sjukvården. PDL gäller inte för personuppgiftsbehandling inom forskning.
15.6.2 Vård och forskning som självständiga
verksamhetsgrenar enligt sekretesslagstiftningen
Utgångspunkten är alltså att sekretess gäller mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra (8 kap. 2 § OSL). I propositionen till PDL uttalas att den så kallade patientnära eller kliniska forskningen (se vidare nedan om dessa begrepp) hos vårdgivare inte sällan bedrivs integrerat med patientvården. Forskning respektive patientvård kan emellertid också utgöra självständiga verksamhetsgrenar i förhållande till varandra (prop. 2007/08:126, s. 50). När frågan om självständiga verksamhetsgrenar utvecklas i propositionen används formuleringen forskning som ett led i vården. Med detta avses forskning som ingår i samma verksamhetsgren som hälsooch sjukvårdsverksamheten, nedan benämnd hälso- och sjukvårds-
628Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
grenen. Forskning som inte är ett led i vården är att betrakta som en annan verksamhetsgren, nedan benämnd forskningsgrenen. Forskning som ingår i hälso- och sjukvårdsgrenen omfattas av hälso- och sjukvårdssekretessen (se prop. 2007/08:126, s. 202). Om forskningen utgör en självständig verksamhetsgren följer sekretessen med vid ett utlämnande från hälso- och sjukvårdsgrenen till forsk- 1 ningsgrenen (se 8 kap. 2 § OSL och 11 kap. 3 § första stycket OSL. Om det finns en primär sekretessbestämmelse i forskningsverksamheten tar den över, se avsnitt 8.3.4–8.3.5. En jämförelse kan göras med sekretessen i verksamhet som endast utgör hälso- och sjukvård eller annan medicinsk verksamhet. Samtliga verksamheter, som utgör hälso- och sjukvård eller annan medicinsk verksamhet, inom den offentliga sektorn har att tillämpa sekretessen enligt 25 kap. 1 § OSL. Härav följer att all hälso- och sjukvård som lyder under samma nämnd inom en region eller en kommun utgör en och samma verksamhetsgren i sekretesslagstiftningens mening (jämför prop. 2007/08:126, s. 163). I propositionen räknas ett antal lagstiftningsärenden upp. Sedan uttalas att ”Av nämnda lagstiftningsärenden framgår att om olika delar av en myndighets verksamhet har att tillämpa olika sekretessbestämmelser får de anses utgöra olika verksamhetsgrenar i sekretesslagens mening” (prop. 2007/ 08:126, s. 162). ”Först om olika delar av en myndighets verksamhet har att tillämpa olika sekretessbestämmelser finns det skäl att även ta ställning till om de olika verksamhetsgrenarna är att betrakta som självständiga i förhållande till varandra.” (Prop. 2007/08:126, s. 163.) Uttalandena i propositionen om vad som menas med forskning som ett led i vården är dock knapphändiga. De anges att när ”det gäller forskning som bedrivs inom en hälso- och sjukvårdsmyndighet måste man skilja mellan sådan forskning, som sker som ett led i vården och behandlingen av en patient, och annan forskning som bedrivs med myndigheten som huvudman. Med annan forskning avses dokumentation som enbart sker i forskningssyfte och som inte heller har någon betydelse för vården”. Vidare uttalas att ”[h]uruvida [verksamhetsgrenarna] är att betrakta som självständiga i förhållande till varandra beror dock på hur verksamheten hos myndigheten i fråga har organiserats” (prop. 2007/08:126, s. 202).
1 I propositionen hänvisas till 1 kap. 3 § andra stycket respektive 13 kap. 3 § sekretesslagen (1980:100).
629Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
I den statliga utredning som låg till grund för propositionen till PDL anges att det ”krävs att en sekretessprövning har gjorts innan uppgifterna lämnas ut och används för forskning. Detta gäller oavsett om forskningen bedrivs inom vårdgivarens egna verksamhet eller inte” (se SOU 2006:82, s. 495–496). Utredningen anger även att i de fall forskningen bedrivs integrerat med vården av patienter kommer patientdatalagen att vara tillämplig beträffande den personuppgiftsbehandling som rör vården, till exempel i fråga om journalföring (SOU 2006:82, s. 496). Det som enligt utredningens tolkning går att utläsa ur förarbetena är att frågan om självständiga verksamhetsgrenar dels har med dokumentationen att göra, dels även hur verksamheten är organiserad. Om detta är alternativa eller kumulativa faktorer anges inte. Inte heller hur de förhåller sig till varandra. På vilket sätt verksamheten ska vara organiserad för att forskningsgrenen ska anses vara självständig anges inte heller. Viss konkretisering ges i utredningen som talar om forskning som bedrivs integrerat med vården. Vilka situationer som detta konkret kan vara aktuellt i och vad det i så fall har för praktisk betydelse för informationsöverföringen från vård till forskning ger dock inte förarbetena något svar på. Utredningen delar därför den bedömning som många aktörer har lyft, att det får betraktas som rättsligt oklart vilken forskning som är ”ett led” i vården och i vilka situationer som en sekretessgräns inte finns mellan vård och forskning.
Utredningens syn på forskning som ett led i vården
Avseende frågan i vilka situationer som forskning kan vara ett led i vården, bör enligt utredningens mening utgångspunkten vara att hälsooch sjukvård och klinisk forskning (inklusive patientnära forskning) är aktiviteter som lyder under olika rättsliga regleringar. Skillnaderna i rättslig reglering finns i flera regelverk. Även i OSL görs en skillnad på sekretess inom hälso- och sjukvård och sekretess som gäller i forskningsverksamhet. Forskning som ett led i vården innebär att forsknings- och vårdverksamheten bedrivs på ett sådant sätt att forskningen ingår i hälsooch sjukvården enligt 25 kap. 1 § OSL. Den bestämmelsen reglerar sekretess till skydd för enskild i verksamhet som avser hälso- och sjukvård.
630Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
För att forskning ska kunna anses ingå i en hälso- och sjukvårdsverksamhet enligt 25 kap. 1 § OSL krävs enligt utredningens mening, vilket också antyds i propositionen till PDL, att vården och forskning i dessa fall bedrivs integrerat hos vårdgivaren (se SOU 2006:82, s. 496). En aspekt av detta är det organisatoriska sambandet mellan vården och forskningen. För att forskning ska kunna ses som ett led i vården behöver den bedrivas inom exempelvis en klinik eller annan organisatorisk enhet (avdelning, mottagning eller dylikt) som erbjuder hälso- och sjukvård och vara en integrerad del i vårdverksamheten (jämför prop. 1979/80:2 Del A, s. 121). Det bör också vara samma personal som är inblandad i vården och forskningen. Utredningen anser dock inte att den organisatoriska integreringen kan vara en tillräcklig förutsättning för att forskningen ska ses som ett led i vården. En ytterligare aspekt på integreringen är hur dokumentationen sker. Dokumentation som enbart sker i forskningssyfte, och inte samtidigt för vård, kan inte vara ett ”led i vården”, även om forskningen organisatoriskt är integrerad i vården. För att forskningen ska kunna ses som ett led vården krävs enligt utredningens mening att dokumentation sker både för vård- och forskningsändamålet parallellt och i direkt anslutning till varandra. Det är i den del som dokumentation sker för både forskning och vård som forskningen kan anses vara ett led i vården. Detta kan enligt utredningens mening rent praktiskt ske endast i situationer där dokumentation utförs för båda ändamålen samtidigt, det vill säga när vård och forskning sker momentant. I ett forskningsprojekt kan vissa delar av forskningen utgöra ett led i vården. I en interventionsstudie kan till exempel moment som provtagning och vissa analyser vara en del även i vården av patienten. Andra delar av forskningsprojektet kan ligga utanför vården. Det är bara de delar av ett forskningsprojekt som ingår på ett integrerat sätt i vården som enligt utredningens mening kan utgöra ett ”led i vården”. Vidare anser utredningen att forskning inte ”blir” ett led i vården endast av det skäl att information överförs från ett forskningsprojekt till patientjournalen. Det brister då i det organisatoriska sambandet och att forskningen inte var integrerad i den vård som gavs patienten.
631Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
Figur 15.1 Översiktsbild av när forskning kan anses vara ett led i vården
Forskning
Bedrivs forskningen integrerat med hälsooch sjukvården och sker dokumentationen momentant? Ja Nej
Forskning som Patientnära led i vården forskning
Källa: Utredningens illustration .
Följden av att forskning är ett led i vården
– rättsligt och praktiskt
När forskning är ett led i vården behövs det formellt sett inte göras någon sekretess-/menprövning och det blir formellt inget utlämnande från en verksamhetsgren till en annan om uppgifter överförs från patientjournalen till forskningsjournalen. Däremot gäller fortfarande kraven från dataskyddsrättsligt perspektiv. Detta innebär att myndigheten alltid måste veta för vilket ändamål personuppgiftsbehandling sker och bedöma om den behövs för just det ändamålet. Vad avser behörighet till elektronisk åtkomst enligt PDL ska också framhållas att den endast får ske i vårdsyfte. Även om det inte finns någon sekretessgräns, får personal inte använda inloggning i journalsystem i forskningssyfte. Frågan som inställer sig är om de rättsliga följderna har någon större praktisk betydelse. Utredning bedömer att så inte är fallet. Anledningarna till detta är följande. När forskningen är integrerad både organisatoriskt och dokumentationsmässigt, finns inget behov av att överföra information från
632Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
den ena verksamheten till den andra. Dokumentationen sker momentant och i den utsträckning som behövs för respektive ändamål. Det blir alltså i praktiken inte något behov av att överföra information från hälso- och sjukvårdsgrenen till forskningsgrenen. Ett praktiskt exempel kan vara att en individs BMI mäts och konstateras till en viss siffra. Personalen för då, direkt efter mätningen, in siffran i både journalen för vårdändamålet och i systemet eCRF (electronic Case Report Form), där forskningsuppgifter dokumenteras, för forskningsändamålet. När integreringen inte finns och forskning alltså inte är ett led i vården, blir det fråga om ett utlämnande och en sekretessprövning. Utredningen gör bedömningen att när behov uppstår av att ta del av patientinformation från hälso- och sjukvården till ett forskningsprojekt, är det ett uttryck för att det inte handlar om en integrerad situation, utan då handlar det om forskning som en självständig verksamhetsgren. Utredningen menar därför att det som utgångspunkt bör vara fråga om ett utlämnande som ska föregås av en sekretessprövning när patientuppgifter ska från hälso- och sjukvårdsgrenen, till exempel från patientjournalen, för att användas i forskningsgrenen. Utifrån detta menar utredningen vidare att det sällan aktualiseras att det är behörighets- och befogenhetsreglerna i PDL som i sig hindrar en enklare tillgång av patientuppgifter till forskning. Det skulle inte heller göra någon nämnvärd praktisk skillnad för en enklare tillgång om PDL kompletterades med regler som tillät elektronisk åtkomst i forskningssyfte, eftersom sekretessgränsen mellan vård och forskning finns. Enligt utredningens mening finns även andra skäl som talar emot att reglera forskning i PDL, se ovan avsnitt 15.2.2 och 15.5.1.
Utredningens syn på patientnära forskning
Utredningen konstaterar ovan att utgångspunkten är att hälso- och sjukvård och klinisk forskning är aktiviteter som lyder under olika rättsliga regleringar. Skillnaderna i rättslig reglering finns i flera regelverk. Även i OSL görs en skillnad på sekretess inom hälso- och sjukvård och sekretess som gäller i forskningsverksamhet. Forskning som ett led i vården innebär att forsknings- och vårdverksamheten
633Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
bedrivs på ett sådant sätt att forskningen ingår i hälso- och sjukvården enligt 25 kap. 1 § OSL. Skillnaden mellan sådan forskning, som utgörs av forskning som ett led i vården, och annan form av klinisk forskning som fortfarande kan vara patientnära forskning, är enligt utredningens bedömning just denna reglering. För att utgöra patientnära forskning måste det förstås handla om forskning som sker nära patienten. Det kan därför endast utgöras av interventionsstudier och aldrig av observationsstudier, enligt utredningens uppfattning. När inhämtandet av uppgifter och därmed dokumentationen inte sker momentant utan sker vid olika tillfällen för forskning och vård talar det för att det snarare handlar om patientnära forskning än forskning som ett led i vården. Den enskilda individen är forskningsperson och patient parallellt, men inte nödvändigtvis exakt samtidigt.
Patientnära forskning – dataskyddsrättsliga perspektivet
Den övergripande ingången från det dataskyddsrättsliga perspektivet är för vilket ändamål behandlingen av personuppgifter sker. I aktuellt sammanhang handlar det om behandling av personuppgifter som sker i forskningssyfte, vårdsyfte eller båda delar. Detta har betydelse för när PDL är tillämplig. Det är när forskningen kommer nära vården och patienter som gränsdragningen kan vara svår att göra. I detta sammanhang används i förarbetena till PDL så kallad patientnära forskning. I förarbetena förklaras inte vad som menas med patientnära forskning. I propositionen till PDL uttalas att den särskilda personuppgiftsbehandlingen som föranleds av forskningen i den patientnära forskningen inte ska regleras av PDL. Härmed avses dokumentation som enbart sker i forskningssyfte och som inte heller har någon betydelse för vården (prop. 2007/08:126, s. 51). Sådan personuppgiftsbehandling regleras enbart av allmänna dataskyddsregler, i dag EU:s dataskyddsförordning. Till den del den patientnära forskningen innefattar patientjournalföring eller annan dokumentation som hör till vården, ska den informationshanteringen dock regleras av PDL (prop. 2007/08:126, s. 51). Utredningen har försökt hitta ledning för vad som omfattas av patientnära forskning. Utredningen har också ställt frågan till aktö-
634Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
rer som utredningen har haft kontakt med. Utredningen konstaterar att det inte helt lätt att definiera begreppet. Semantiskt tyder begreppet på att forskningen sker nära en person som betecknas som patient. Patient är man inom hälso- och sjukvården. Utifrån detta skulle patientnära forskning alltså ske inom eller med koppling till hälso- och sjukvården. Detta leder in på innebörden av klinisk forskning. I propositionen används också formuleringen ”den patientnära eller kliniska forskningen”. Är då all klinisk forskning ”patientnära”? Kan till exempel en registerstudie, som inte ens patienten är medveten om, anses vara ”patientnära”? Enligt utredningens mening kan så inte vara fallet. För att behov ska uppkomma att reflektera över de frågor som uttalandet i förarbetena ovan, krävs enligt utredningens mening att man fysiskt befinner sig i en vårdoch forskningssituation samtidigt med patienten. Personalen har patienten/forskningspersonen framför sig och ställs inför bedömningen av om dokumentation ska ske för vårdändamål i patientjournalen, för forskningsändamål i eCRF eller för båda delar. Denna situation uppkommer enligt utredningens mening inte inom ramen för all klinisk forskning. Utredningens uppfattning är därmed att patientnära forskning är en del av den kliniska forskningen. Utredningen uppfattar dock att begreppet patientnära forskning är bredare än forskning som ett led i vården. Den patientnära forskningen omfattar också dokumentation som endast sker i forskningssyfte och som omfattas av annan sekretess än hälso- och sjukvårdssekretessen. En del av den patientnära forskningen kan alltså vara forskning som ett led i vården, medan andra delar inte är det.
15.6.3 Praktiska exempel
Utredningen beskriver här ett antal exempel för att illustrera utredningens uppfattning av vad som avses med forskning som ett led i vården i relation till patientnära forskning. De exempel som anges är utredningens egen tolkning av begreppen.
635Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
Exempel 1: Forskning som ett led i vården
Individen är både patient och forskningsperson samtidigt. Läkaren deltar i vården av patienten och deltar i forskningsprojektet där individen är forskningsperson. Forskningen bedrivs integrerat med hälsooch sjukvården på den mottagning där individen är patient. Individen har fått behandling genom ett nytt läkemedel som endast godkänts för klinisk läkemedelsprövning. Information om behandlingens resultat har betydelse för både vården av patienten och för forskningen. Dokumentering behöver ske för båda ändamålen och sker i stort sett momentant.
Kommentar
Vid vård av en patient ska det föras patientjournal. Journalföringsplikten gäller för uppgifter som behövs för en god och säker vård av patienten. Relevanta uppgifter om läkemedelsbehandlingen ska journalföras enligt reglerna i PDL. Dokumentation ska även ske inom ramen för forskningsprojektet. Kravet på dokumentation följer av god forskningssed och, eftersom exemplet gällde en klinisk läkemedelsprövning, Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG, förkortad CTR. Skälen för sådan dokumentation är flera. Själva forskningen och forskningsresultat behöver dokumenteras för att forskningen ska kunna bedrivas. Forskningen och forskningsresultaten måste även kunna kontrolleras. Dokumentationen kan också efterfrågas vid en utredning om en anklagelse för vetenskaplig oredlighet skulle framföras. Informationen som genereras omfattas i det här exemplet både av journalföringsplikt enligt PDL och en skyldighet att dokumentera för forskningsprojektet. Dokumentationen sker momentant för båda ändamålen. Läkemedelsbehandlingen sker som ett led i vården av patienten, det vill säga forskning som ett led i vården.
636Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
Exempel 2: Off-label
En cancerpatient har fått all behandling som finns enligt den ”ordinära” vården. Som ett sista försök att rädda livet på patienten förskrivs ett nytt läkemedel som inte är färdigtestat.
Kommentar
Patienten kan i undantagsfall inkluderas i ett forskningsprojekt, om det finns ett pågående lämpligt forskningsprojekt där villkoren matchar patientens individuella förutsättningar och då kan det vara fråga om forskning som ett led i vården. Forskningen ska då bedrivas integrerat i hälso- och sjukvården på så sätt som redogjorts för i exemplet ovan. Oftast utgörs scenariot i stället, enligt vad utredningen har fått till sig, fråga om så kallad off-labelanvändning av läkemedel. För off-label-användning gäller att dokumenterad vetenskap och beprövad erfarenhet ska ligga till grund för användning av ett godkänt läkemedel på icke-godkänd indikation. Läkemedelslagstiftningen har en skyddsmekanism som ska ge patienterna tillgång till ändamålsenliga läkemedel av god farmaceutisk kvalitet där förväntade nyttoeffekter överväger möjliga risker. Ett led av detta är att en ny indikation för ett visst läkemedel kan godkännas endast efter att företaget som ansvarar för läkemedlet ansökt om det. Ett vanligt exempel kan vara att ett visst läkemedel sätts in på barn trots att det endast finns godkänd indikation för att använda läkemedlet för vuxna. Icke-godkänd indikation innebär alltså att läkemedlet inte är godkänt för just den specifika behandlingen som avses sättas in. Behandlingen sker då på den förskrivande läkarens ansvar. Den fria förskrivningsrätten, det vill säga rätten att baserat på vetenskap och beprövad erfarenhet förskriva läkemedel utanför godkänd indikation, möjliggör för förskrivaren att ge adekvat läkemedelsbehandling till enskilda patienter även om behandlingen inte helt uppfyller produktresuméns uppsatta kriterier men förväntas ge medicinsk nytta. En sådan förskrivning innebär alltså vård och inte forskning som ett led i vården.
637Reglering av vidareanvändning för forskningsändamål – utgångspunkter och inriktning
Exempel 3 Patientnära forskning, inte led i vården
Precis som i första exemplet är individen både patient och forskningsperson samtidigt. Läkaren deltar i vården av patienten och deltar i forskningsprojektet där individen är forskningsperson. Forskningen bedrivs däremot inte integrerat med vården. Det kan till exempel handla om en patient med reumatiska besvär som blir tillfrågad om att delta i ett forskningsprojekt. Forskningsprojektet går ut på att ett nytt hjälpmedel för svårt reumatiska besvär ska testas. Patienten är intresserad och samtycker till att delta i forskningsprojektet. Ett sådant forskningsprojekt innebär en interventionsstudie där en ny medicinteknisk produkt testas. Patienten fortsätter då med sina regelbundna vårdbesök, men får utöver detta även genomföra besök för att delta i forskningsstudien. Det är möjligt att besöken rent praktiskt sker på samma klinik, men de sammanfaller inte nödvändigtvis med vården. Förhållandena kan även vara så att själva forskningsprojektet sker på en prövningsenhet, separat från reumatologiska verksamheten. Utredningens utgångspunkt har varit att patientnära innebär att det inte endast utgörs av uppgifter som samlats in om patienten inom hälso- och sjukvården utan att den på något sätt innebär att den utförs nära patientens vård i fråga. Det innebär att utredningens uppfattning är att till exempel registerbaserad forskning sällan utgörs av patientnära forskning. Informationen som genereras i forskningsprojektet omfattas som utgångspunkt endast av skyldigheten att dokumentera för forskningsprojektet. Ibland kan uppgifter ha betydelse för vården och då görs ett utlämnande från forskningen till vården. Dokumentation sker inte momentant. Det här exemplet utgörs av patientnära forskning men är inte ett led av vården.
63916 En ny lag om viss vidare-
användning av personuppgifter
för klinisk forskning
16.1 En ny lag om viss vidareanvändning
av personuppgifter för klinisk forskning
16.1.1 Inledning
Utredningen lämnar förslag på en ny reglering som avser vidareanvändning av personuppgifter för klinisk forskning. Utredningens förslag avser att adressera de problem som redogörs för i avsnitt 12.3. I avsnitt 15.3 redogörs för befintliga regler som avser utlämnande till forskning och behovet av förenklade regler. Utredningen ser förslagen på nya regler för vidareanvändning av personuppgifter för klinisk forskning som en del i en helhet av förändringar som behövs för att adressera de problem som finns kopplat till utlämnande för forskningsändamål, se vidare avsnitt 15.3.4. Utredningen gör bedömningen att den nya regleringen bör ske i lag och att det är lämpligast att reglerna placeras i en ny lag, se avsnitt 15.4 och 15.5. Den föreslagna lagen har två övergripande syften. Det ena är att skapa förenklade möjligheter till vidareanvändning av personuppgifter från hälso- och sjukvården för ändamålet klinisk forskning. Det andra är att säkerställa att registrerades personliga integritet skyddas vid vidareanvändning av personuppgifter som görs med stöd av lagen. Det finns ingen rangordning mellan syftena. Däremot uppkommer behovet av särskilda skyddsåtgärder för den personliga integriteten som en följd av de enklare åtkomstmöjligheter som föreslås enligt lagen. De förenklade möjligheterna till vidareanvändning avser regler som möjliggör en enklare tillgång till personuppgifter som finns inom hälso- och sjukvården för ändamålet klinisk forskning. Utredningens
640En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
tanke är att lagen ska kunna byggas på med fler regleringar som exempelvis ytterligare hälsodatamängder, se avsnitt 15.5.2. Den enklare tillgången utgörs av en begränsad direktåtkomst eller annat elektroniskt utlämnande i kombination med en sekretessbrytande grund. Den enklare tillgången ska förenas med villkor i lagen som ska vara uppfyllda för att begränsad direktåtkomst eller annat elektroniskt utlämnande ska få ske enligt lagen samt med bestämmelser som syftar till att skydda den enskildes personliga integritet. Med detta avses olika typer av skyddsåtgärder, såsom bestämmelser om integritetshöjande samtycke och absolut sekretess för överskottsinformation. Utredningens förlag på ändringar av sekretessregler finns i avsnitt 17.3 och 17.4.
16.1.2 Tillåtligheten av en kompletterande särreglering
Bedömning : En särreglering av vidareanvändning av personuppgifter från hälso- och sjukvården är en tillåten kompletterande nationell reglering till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av person-uppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
Vid överväganden om att införa en särreglering till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av person-uppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad EU:s dataskyddsförordning, behöver en bedömning göras av om en sådan särreglering är en tillåten kompletterande reglering till förordningen. Kompletterande nationell reglering av personuppgiftsbehandling kan endast ske i den mån EU:s dataskyddsförordning medger det, och då inom de ramar förordningen sätter. Även om dataskyddsförordningen är direkt tillämplig i medlemsstaterna, tillåts medlemsstaterna att behålla eller införa mer specifika nationella bestämmelser i olika avseenden. Ibland är också mer specifika bestämmelser nödvändiga för att förordningens bestämmelser ska kunna erhålla den önskade effekten.
641En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
Enligt artikel 6.2 och 6.3. b tillåts nationell reglering för att närmare fastställa hur förordningens bestämmelser ska tillämpas när det gäller behandling som utförs med stöd bland annat av den rättsliga grunden utförande av uppgift av allmänt intresse. Det är tillåtet att i sådan nationell reglering ha bestämmelser om bland annat de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling. Sådana bestämmelser kan även reglera vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål. De kan även regleraändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling med mera. Den nationella regleringen ska vidare uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas, enligt artikel 6.3 stycke 2. I skäl 9 anges vidare att förordningen ger medlemsstaterna handlingsutrymme att specificera sina bestämmelser. Det gäller även för behandling av känsliga personuppgifter och förordningen utesluter inte att det i den nationella rätten fastställs närmare omständigheter för specifika situationer där uppgifter behandlas. Det kan till exempel handla om mer exakta villkor för laglig behandling av personuppgifter. Dubbel- eller överreglering bör undvikas, för inte riskera att det råder oklarhet gällande förhållandet mellan dataskyddsförordningen och eventuell kompletterande nationell reglering. Kompletterande bestämmelser kan emellertid vara motiverat under vissa förutsättningar. Utgör allmänt intresse den rättsliga grunden enligt artikel 6.1 e ställer förordningen även krav på nationella bestämmelser som får till exempel precisera vilka personuppgifter som får lämnas ut och för vilket ändamål. Den föreslagna lagen ska även ange de särskilda skyddsåtgärder som är nödvändiga för att säkerställa att behandlingarna utförs på ett integritetssäkert sätt. Dessa villkor är därför inte enbart en tillåten kompletterande nationell reglering i enlighet med artikel 6.2 utan utgör även en förutsättning enligt artikel 6.3 andra stycket. Ytterligare bedömningar om de särskilda villkoren och åtgärder som utredningen anser är nödvändiga för att uppnå en integritetssäker behandling, och därmed även proportionalitet återfinns särskilt i avsnitt 16.7–16.10 och 16.13.
642En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
16.1.3 Den rättsliga grunden vid vidareanvändning
av personuppgifter enligt lagen
Bedömning : Den rättsliga grunden för personuppgiftsbehandling som sker med stöd av lagen är, enligt utredningens bedömning, behandling som är nödvändig för att fullgöra en arbetsuppgift av allmänt intresse. Av tydlighets- och integritetsskäl behövs särskilda bestämmelser som anger hur enskildas fri- och rättigheter skyddas. Lagen utgör därmed en sådan precisering av den rättsliga grunden uppgift av allmänt intresse (6.1.e) i enlighet med artikel 6.2 och artikel 6.3 i dataskyddsförordningen.
För att en personuppgiftsbehandling ska vara laglig krävs att den har en rättslig grund i enlighet med artikel 6.1 dataskyddsförordningen. Först måste det därför avgöras vilka behandlingar som kan aktualiseras. Den föreslagna lagen reglerar vidareanvändning av personuppgifter för klinisk forskning. Den efterföljande behandlingen regleras inte av föreslagen lag. Ett tillgängliggörande enligt lagen kan delas upp i två led, den ena avser själva tillgängliggörandet, genom att en regional myndighet eller lärosäte som bedriver klinisk forskning medges åtkomst till uppgifterna. Det andra ledet består i att den regionala myndigheten eller lärosätet som bedriver den kliniska forskningen använder sin åtkomst och bereder sig tillgång till de personuppgifter som omfattas av den begränsade direktåtkomsten samt tillför uppgifter till forskningen (jämför 2 kap. 6 § andra stycket patientdatalagen [2008:355], förkortad PDL, och 4 kap. 1 § andra stycket lagen [2022:913] om sammanhållen vård- och omsorgsdokumentation, förkortad SVOD) (för utförligare beskrivning av när uppgifter tillförs forskningen se avsnitt 16.9.3). 1 Båda dessa led bör enligt utredningens mening i detta fall ses som två separata behandlingar (jämför även artikel 4.2 dataskyddsförordningen där en behandling definieras som bland annat strukturering, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt). Det kan tyckas främmande att dela upp
1 Här kan jämföras med den föreslagna förordningen om European Health Data Space, kapitel 4 där man talar om ”secondary use”, förordningen beskrivs närmare i avsnitt 4.2.8 och 19.5.2. Likaså kan det jämföras med hur den finska sekundäranvändningslagen ser ut, som beskrivs närmare i avsnitt 10.4.
643En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
ett tillgängliggörande på detta sätt, särskilt när det med teknikens möjligheter kan bli ett näst intill sömlöst förfarande. En anledning till att det behöver delas upp är att det i rör sig om olika personuppgiftsansvarigas hantering (jämför prop. 2007/08:126 s. 51 f.), En annan anledning är att den efterföljande behandlingen, det vill säga bedrivandet av den kliniska forskningen, inte regleras av den föreslagna lagen. Som framgår av de överväganden som utredningen gjort i avsnitt 15.5.1 anser inte utredningen det lämpligt eller möjligt att utvidga PDL:s tillämpningsområde till att även omfatta klinisk forskning. Båda dessa behandlingar måste därför ha en rättslig grund. Nedan följer utredningens redogörelse över att den rättsliga grunden i enlighet med artikel 6.1 dataskyddsförordningen, i båda dessa fall kommer att utgöras av uppgift av allmänt intresse (artikel 6.1 e). Slutligen kommer även ett avsnitt (16.1.4) om vilket rättsligt stöd som finns för att behandla känsliga personuppgifter.
Rättslig grund för den behandling som utgörs
av tillgängliggörandet
Utredningen har begränsat datahållarna som omfattas av förslaget till regionala myndigheter som bedriver hälso- och sjukvård. En första fråga blir därför vilken rättslig grund dessa myndigheter har för ett tillgängliggörande enligt lagen. I hälso- och sjukvårdslagen (2017:30), förkortad HSL, 13 a kap. 1 § 5 anges att regioner och kommuner inom ramen för verksamhet som utgör primärvård särskilt ska möjliggöra medverkan vid genomförande av forskningsarbete. I 18 kap. 2 § HSL, anges vidare att regioner och kommuner ska medverka vid finansiering, planering och genomförande av dels kliniskt forskningsarbete på hälso- och sjukvårdens område, dels folkhälsovetenskapligt forskningsarbete. Det framgår även att regioner och kommuner ska, samverka med varandra och med berörda universitet och högskolor i den omfattning som behövs. Även om förarbetena till den senare bestämmelsen främst behandlar vikten av att regionerna och kommunerna ska bidra ekonomiskt, nämns att bestämmelsen utgör ett tydliggörande av hur viktig forskningens och utvecklingsarbetets betydelse är inom hälso- och sjukvården (prop. 1996/97:5 s. 184). I sammanhanget kan även noteras att regeringen har uttalat att 18 kap. 2 § HSL utgör en sådan lagstadgad uppgift av allmänt intresse som är en så pass tydlig och precis att den
644En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
uppfyller dataskyddsförordnigens krav på rättslig grund (prop. 2017/ 18:298 s. 49 och prop. 2022/23:31 s. 28 f.). I PDL 2 kap. 5 § anges att personuppgifter som behandlas för ändamål som anges i 2 kap. 4 § PDL även får behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I förarbetena till bestämmelsen nämns även uppgiftslämnande som sker med stöd av nuvarande 6 kap. 5 § OSL (prop. 2007/08:126 s. 59). Samtliga sådana ålägganden som följer av lag, även i den mån de är frivilliga, har av regeringen ansetts utgöra uppgifter av allmänt intresse (se prop. 2017/18:105 s. 57 f). Utredningens sammantagna bedömning är därför att uppgift av allmänt intresse är den rättsliga grund som är det mest naturliga alternativet. Uppgifter av allmänt intresse måste inte alltid regleras uttryckligen i den nationella lagstiftningen (se även under 16.1.2 och 16.7.2) och om känsliga personuppgifter (se vidare under avsnitt 16.1.4) anser utredningen det av tydlighetsskäl vara motiverat (jämför prop. 2017/18:105 s. 49 och skäl 45 i dataskyddsförordningen). Utredningen har gjort bedömningen att det av bland annat proportionalitetsskäl och tydlighetsskäl ändå behövs ett uttryckligt stöd i lagen. Utredningen har gjort den bedömningen eftersom det inte kan anses finnas stöd, enligt befintlig rätt, för att genomföra ett utlämnande av personuppgifter från vården genom en form av direktåtkomst eller annat elektroniskt utlämnande till andra myndigheter över en yttre sekretessgräns, utan att en sekretessprövning görs (se även avsnitt 15.6.1) (jämför prop. 2017/18:105 s. 51 och skäl 41 i dataskyddsförordningen). Av skälen som anförts under avsnitt 15.3 anser utredningen att det är nödvändigt med en lösning som medger att en sekretessprövning inte görs samt att ett urskiljande kan göras på en mer övergripande nivå. Behandlingen är således nödvändig på det sätt som avses i dataskyddsförordningen.
Rättslig grund för mottagandet
Mottagandet består i att den regionala myndigheten eller lärosätet som bedriver den kliniska forskningen använder sin åtkomst och bereder sig tillgång till de personuppgifter som omfattas av den begränsade direktåtkomsten samt tillför uppgifter till forskningen.
645En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
Regionala myndigheter inom hälso- och sjukvården som bedriver forskning kan, enligt utredningens mening, tillämpa bestämmelserna i 18 kap. 2 § HSL och 2 kap. 2 § 1 lag (2018:218) om kompletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen, och därmed anses ha en uppgift av allmänt intresse som uppfyller kraven i artikel 6 i dataskyddsförordningen (prop. 2017/18:298 s. 49. Se även prop. 2017/18:105 s. 57). Av högskolelagen (1992:1434) 1 kap. 2–4 §§ framgår att statliga universitet och högskolor har till uppgift att bedriva och främja forskning på olika sätt. Att detta utgör en uppgift av allmänt intresse enligt dataskyddsförordningens mening följer av att dessa statliga myndigheter ålagts just den uppgiften (se prop. 2017/18:105 s. 56 f och prop. 2017/18:298 s. 43 och s. 48). Den rättsliga grunden för mottagandet utgörs därför av uppgift av allmänt intresse för både regionala myndigheter som bedriver hälsooch sjukvård och lärosäten.
Tillämpning av undantaget till finalitetsprincipen i aktuellt fall
I artikel 5.1 b anges att personuppgifter endast får behandlas för särskilt uttryckligt angivna ändamål och att uppgifterna inte senare får behandlas för på ett sätt som är oförenligt med dessa ändamål. I samma bestämmelse anges dock att ytterligare behandling som sker för vetenskapliga eller historiska forskningsändamål som sker i enlighet med artikel 89.1 inte ska anses vara oförenliga med de ursprungliga ändamålen (se även avsnitt 7.2.3 och 7.2.4). Sådan behandling som anses ske för forskning enligt unionsrätten undantas således från den ändamålsbegränsningsprincip som fastställs i artikel 5.1 b första meningen. När en efterföljande behandling sker för ett ändamål som anses vara förenligt med det ursprungliga ändamålet behövs enligt skäl 50 ingen separat rättslig grund. I detta fall skulle det medföra att den behandling av personuppgifter som då sker för ändamålen med den kliniska forskning som omfattas av lagen, under förutsättning att kraven i artikel 89. 1 är uppfyllda, inte skulle behöva en egen rättslig grund (jämför även artikel 6.4 dataskyddsförordningen). Som utredningen redogjort för i 16.1.2 konstaterar dock utredningen att rättslig grund ändå finns och utgörs av uppgift av allmänt intresse.
646En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
Av artikel 89. 1 framgår att sådan behandling som sker för vetenskapliga eller historiska forskningsändamål måste omfattas av lämpliga skyddsåtgärder, enligt förordningen, för den registrerades rättigheter och friheter. Dessa skyddsåtgärder ska säkerställa att tekniska och organisatoriska åtgärder har införts för att särskilt se till att principen om uppgiftsminimering iakttas. Det anges vidare att sådan åtgärd får inbegripa pseudonymisering om de vetenskapliga forskningsändamålen kan uppfyllas ändå. I skäl 50 anges även att; om behandlingen är nödvändig för att fullgöra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten eller medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Av dessa skäl, har utredningen ansett det lämpligt med särskilda bestämmelser som ska utgöra sådana särskilda skyddsåtgärder (se vidare under avsnitt 16.1.4). Som utredningen redogjort för i avsnitt 15.2.3 har pseudonymisering inte ansetts vara aktuell eftersom lagen är avgränsad till klinisk forskning där deltagarna samtycker till att delta (se vidare under avsnitt 16.8.2–16.8.3). Däremot har utredningen ansett det särskilt viktigt med regler dels för behörighetsstyrningen på dataanvändarsidan, dels för att tydliggöra att endast de uppgifter som behövs för forskningen är de som får tillföras forskningen. Det här blir viktigt eftersom åtkomsten kan innebära åtkomst till viss överskottsinformation (avsnitten 16.9.2 och 16.9.3). Utredningen har även gjort bedömningen att det är viktigt att begränsa den föreslagna direktåtkomsten även på andra sätt (se vidare avsnitt 16.7.3 och 16.7.5 för närmare överväganden). Av de överväganden som utredningen gjort i avsnitten 16.1.2 och 15.5 är utredningen av den uppfattningen att sådana bestämmelser inte bör placeras i PDL utan i stället i en ny lag. Sammanfattningsvis anser utredningen att även om det i enlighet med finalitetsprincipen inte skulle behövas en särskild rättslig grund för mottagandet, behöver skyddsåtgärderna, som förutsätts enligt artikel 89.1 dataskyddsförordningen, införas i en ny lag.
647En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
16.1.4 Undantag för behandling av känsliga personuppgifter
Förslag: I lagen ska det finnas en uttrycklig regel som anger att personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) får behandlas för ändamålet klinisk forskning med stöd av artikel 9.2 j i förordningen.
Bedömning: De villkor som ställs i lagen utgör sådana särskilda och lämpliga skyddsåtgärder som uppfyller kraven i artikel 89.1 i dataskyddsförordningen.
För behandling av personuppgifter som sker med stöd av lagen bedöms artikel 9. 2 j, behandling för vetenskapliga eller historiska forskningsändamål, vara det tillämpliga undantaget som medför att behandling av känsliga personuppgifter är möjligt. Utredningen kan konstatera att förslaget rör vad som anses utgöra klinisk forskning enligt nationell rätt. Som redogjorts för i avsnitt 7.7.2, ska begreppet vetenskapliga eller historiska forskningsändamål ges en EU-rättslig innebörd. Att det rör sig om en bred innebörd framgår av skäl 159 till dataskyddsförordningen. Utredningen anser därför att förslagen om klinisk forskning även omfattas av dataskyddförordningens bestämmelser om forskning. Även om dataskyddsförordningens bestämmelser är direkt tillämpliga har utredningen gjort bedömningen att det är viktigt för att undvika osäkerhet kring det rättsliga stödet för personuppgiftsbehandlingen, att det i den föreslagna lagen finns en bestämmelse som anger vilket av undantagen i artikel 9. 2 i dataskyddsförordningen som är tillämpligt (jämför IMY:s remissvar på betänkandet Långsiktig reglering av forskningsdatabaser, IMY 2022-12298). För att undantaget i artikel 9.2 j ska vara tillämpligt förutsätts att den föreslagna nationella rätten ska vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades rättigheter och intressen. Enligt utredningens bedömning utgör följande delar i förslagen sådana lämpliga och särskilda åtgärder som säkerställer de registrerades grundläggande rättigheter och intressen, samt gör förslaget förenligt med rätten till dataskydd och de krav som ställs i artikel 89.1 dataskyddsförordningen.
648En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
– endast sådan klinisk forskning där forskningspersonerna samtyckt till att delta omfattas, – kravställning på ett integritetshöjande samtycke till att ett tillgängliggörande ska ske via den begränsade direktåtkomsten, – tillgängliggörande enligt lagen är endast möjligt till forskningsprojekt som är tillåtna enligt lag (2003:460) om etikprövning av forskning som avser människor, förkortad EPL, och förordningarna CTR 2 , MDR 3 samt IVDR 4 (se 16.3.1 för utförligare beskrivning), – tillgängliggörande får endast ske av uppgiftsmängder som kan antas ha betydelse för forskningen, – kravställning på behörighetsstyrning hos den regionala myndighet eller det lärosäte som ges åtkomst till uppgifterna, – särskilda sekretessbestämmelser, samt – tidsbegränsning för den begränsade direktåtkomsten.
För närmare redogörelse kring de olika åtgärderna se vidare avsnitt 16.8 och 16.9.
16.2 Lagens namn
Förslag: Lagens namn ska vara lag om viss vidareanvändning av personuppgifter för klinisk forskning.
I övervägandena kring lagens namn, har utredningen tagit utgångspunkt i lagens tillämpningsområde. Centralt för tillämpningsområdet är att lagen avser vidareanvändning av personuppgifter. Detta bör enligt utredningens mening framgå av lagens namn. Just vidareanvändning är också utgångspunkten för lagens struktur. Utredningen har även en tanke om att lagen ska kunna byggas på med fler aktörer och
2 Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG. 3 Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG. 4 Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitrodiagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU.
649En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
datamängder (se avsnitt 15.5.2). Det som utredningen ser skulle kunna vara aktuellt att se över som påbyggnad är fler aktörer och datamängder på datahållarsidan. Ett exempel är personuppgifter på socialtjänstens område. Datahållare skulle i så fall vara omsorgsgivare. Det som i denna modell kommer att vara konstant, är vidareanvändning av personuppgifter och sannolikt även ändamålet klinisk forskning. Utredningen har också övervägt om lagens namn bör innehålla en eller flera hänvisningar till varifrån eller till vad personuppgifter ska vidareanvändas. Det går att tänka sig olika alternativ. Namnet skulle exempelvis kunna innehålla angivelser av aktörer, typ av verksamhet eller ändamål för vidareanvändning. Kopplat till detta finns ett antal aspekter att beakta. Lagens namn bör inte vara för långt. Namnet ska helst inte heller behöva genomgå större förändringar om lagens tillämpningsområde utvidgas. Att ange aktörer på datahållar- eller dataanvändarsidan riskerar att bli väldigt långt, alternativt inte särskilt representativt. Det är i dessa avseenden som utredningen även föreställer sig att en påbyggnad skulle kunna ske, vilket i så fall skulle göra namnet mindre representativt. Lagen fokuserar uteslutande på vidareanvändning för ändamålet klinisk forskning. Utredningen anser att detta bör komma till uttryck i lagens namn. Det är inte i första hand genom fler ändamål som utredningen ser att en påbyggnad av lagen kan förväntas ske. Det skulle förvisso möjligen kunna vara aktuellt att lagen omfattar även annan forskning än klinisk forskning, men utredningen håller ändå inte detta för särskilt sannolikt, utifrån att forskning som inte har en koppling till hälso- och sjukvården behöver andra förutsättningar för bättre åtkomst till hälsodata, se kapitel 20 och 21. Sammantaget anser utredningen att det bästa alternativet är att lagens namn ger uttryck för vilket ändamålpersonuppgifterna ska användas för, det vill säga klinisk forskning. Utredningens tanke är även att de författningsförslag som utredningen lämnar är ett första steg som innebär förenklad tillgång för en del av den kliniska forskningen. Lagen är utformad så att den med fördel kan byggas på med ytterligare bestämmelser som kan möjliggöra utökad vidareanvändning av personuppgifter för annan klinisk forskning, såsom registerforskning och observationsstudier, se avsnitt 20.3. Den föreslagna lagen utgör inte en uttömmande reglering av förutsättningarna för all vidareanvändning av personuppgifter för klinisk forskning. Det finns andra lagar som också reglerar vidareanvändning Utredningen anser att det är lämpligt att detta på något sätt synliggörs
650En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
i lagens namn. Utredningen föreslår därför att ordet ”viss” placeras framför vidareanvändning i lagens namn.
16.3 Uttryck
Förslag : Med EU:s dataskyddsförordning förstås Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Med Förordning (EU) nr 536/2014 förstås Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG. Med Förordning (EU) 2017/745 förstås Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG. Med Förordning (EU) 2017/746 förstås Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitrodiagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU. Med hälso- och sjukvård ska förstås verksamhet som avses i hälsooch sjukvårdslagen (2017:30), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering. Med regional myndighet avses en myndighet i en region. Aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där en region utövar ett rättsligt bestämmande inflytande enligt 2 kap. 3 § offentlighets- och sekretesslagen (2009:400) ska vid tillämpningen av denna lag jämställas med en myndighet. Med lärosäte avses ett statligt universitet eller en statlig högskola som har rätt att utfärda examen på forskarnivå, eller en enskild
651En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400) är ett organ som jämställs med myndighet i sin forskningsverksamhet.
I lagen bör vissa begrepp definieras.
16.3.1 EU-förordningar
Utredningen finner det lämpligt att i lagen kunna hänvisa till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) med ett kortare begrepp. Så sker även i PDL och SVOD. Utredning föreslår därför att EU:s dataskyddsförordning tas in som ett särskilt uttryck i lagen. Utredningen finner det även lämpligt att i lagen kunna hänvisa till EU-förordningarna rörande forskning med kortare begrepp. Detta avser Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG, i löptext förkortad CTR, Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG, i löptext förkortad MDR och Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitrodiagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU, i löptext förkortad IVDR.
16.3.2 Hälso- och sjukvård
Lagens tillämpningsområde är, till en del, kopplad till en definition av hälso- och sjukvård, se avsnitt 16.3.1. Betydelsen av hälso- och sjukvård i lagen bör därför anges i lagen. Så sker även i PDL och SVOD. Vad som omfattas av hälso- och sjukvård enligt lagen skiljer sig något åt i förhållande till definitionen i PDL och SVOD. Den om-
652En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
fattar däremot verksamheter enligt samma lagar som utredningens förslag i 6 kap. PDL om behandling av personuppgifter för vård av en annan patient än den som uppgifterna avser. Utredningens överväganden kring vilka verksamheter som ska omfattas av begreppet hälsooch sjukvård finns i avsnitt 16.4.3. I förhållande till PDL skiljer sig definitionen åt på så sätt att tandvårdslagen (1985:125), förkortad tandvårdslagen, och lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar, inte omfattas. I förhållande till SVOD skiljer sig definitionen åt på så sätt att tandvårdslagen inte omfattas, medan lagen (2018:744) om försäkringsmedicinska utredningar omfattas.
16.3.3 Regional myndighet
Utredningen har avgränsat datahållarsidan vid vidareanvändning för klinisk forskning till regional hälso- och sjukvård, se avsnitt 2.7 och 2.8. Med regional hälso- och sjukvård avser utredningen sådan hälso- och sjukvård som regionerna bedriver i egen regi. På dataanvändarsidan finns bland annat också regioner som bedriver klinisk forskning. Utredningen ser ett behov av att definiera de regionala aktörerna på både datahållar- och dataanvändarsidan. När regioner bedriver hälso- och sjukvård eller klinisk forskning kan det ske genom förvaltningsform (nämnder eller styrelser), men också genom andra associationsformer där regionen har ett bestämmande inflytande. Det är således viktigt att definitionen knyts till regionen som offentlig aktör. Andra aktörer som bedriver hälso- och sjukvård inom en regions geografiska område (jämför 2 kap. 2 § HSL) eller som, oberoende av hemvist, har i uppdrag av en region att bedriva hälso- och sjukvård som regionen ansvarar för som sjukvårdshuvudman (jämför 15 kap. 1 § HSL) ska inte omfattas. Statliga eller kommunala aktörer ska inte heller omfattas.
653En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
Begreppet vårdgivare som utgångspunkt
för aktörerna på datahållarsidan
Utredningen har övervägt om det är lämpligt att definitionen på datahållarsidan utgår ifrån ett vårdgivarbegrepp. Enligt HSL avses med vårdgivare statlig myndighet, region, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet (2 kap. 3 § HSL). En region som bedriver hälso- och sjukvård i egen regi omfattas av detta begrepp. I PDL avses med vårdgivare statlig myndighet, region och kommun i fråga om sådan hälso- och sjukvård som myndigheten, regionen eller kommunen har ansvar för samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård. Även denna definition omfattar en region som bedriver hälso- och sjukvård i egen regi. Nu nämnda definitioner av vårdgivare skulle dock behöva avgränsas för den föreslagna lagens tillämpningsområde och ett nytt vårdgivarbegrepp introduceras i lagstiftningen för att åstadkomma den avgränsning som utredningen har gjort. Alternativ som utredningen har övervägt är ”regional vårdgivare” eller ”regioner som vårdgivare”. Utredningen anser dock att dessa formuleringar inte är helt entydiga. Regional vårdgivare skulle, förutom regionen som juridisk person eller myndighet, också kunna tänkas omfatta privata vårdgivare som utför hälso- och sjukvård på uppdrag av regionen med regional finansiering. Att introducera ännu ett vårdgivarbegrepp kan också i sig skapa otydligheter och bidra till en oenhetlig lagstiftning. Vad utredningen fått till sig från aktörer inom hälso- och sjukvården är att existerande vårdgivarbegrepp redan i dag är förknippad med tillämpningssvårigheter. När regionen bedriver klinisk forskning är den inte ”vårdgivare”. Ett vårdgivarbegrepp kan därför inte användas för att definiera regionen på dataanvändarsidan. Ett vårdgivarebegrepp på datahållarsidan skulle därför innebära att olika begrepp används för att definiera regionen på datahållar- respektive dataanvändarsidan, vilket skulle skapa otydlighet. Utredningen anser mot denna bakgrund att ett modifierat vårdgivarbegrepp inte är lämpligt att använda i den föreslagna lagen.
654En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
Ett enhetligt myndighetsbegrepp för regionen
på datahållar- och dataanvändarsidan
Utredningen har även övervägt om ett myndighetsbegrepp i stället kan vara ett bättre sätt att beskriva de aktörer som ska omfattas. Vad avser den allmänna hälso- och sjukvården är det också egentligen verksamhet inom nämnder och andra myndigheter som regleras av PDL, även om definitionen av vårdgivare i PDL formellt sett tar sikte på den juridiska personen. I propositionen till PDL anges att inom den allmänna hälso- och sjukvården hos sjukvårdshuvudmännen är det den juridiska personen regionen eller kommunen som är vårdgivare. Hos dessa vårdgivare är det dock personuppgiftsbehandlingen hos den nämnd eller annan myndighet som utövar ledningen av eller utför den faktiska hälso- och sjukvården som regleras av lagen. Exempelvis så kallade beställar- och utförarnämnder i en region eller en kommun (jämför prop. 2007/08:126 s. 50). Utredningen uppfattar av detta att även om begreppet vårdgivare i PDL formellt enligt ordalydelsen kopplar till den juridiska personen regionen, är det i praktiken de nämnder och andra myndigheter i regionen som lagens regler träffar. I en region eller kommun är det också varje myndighet som är personuppgiftsansvarig (2 kap. 6 § PDL). Att använda begreppet myndighet i den föreslagna lagen skulle därför enligt utredningens mening inte hamna i konflikt med PDL. Utredningen noterar att det i offentlighets- och sekretesslagen (2009:400), förkortad OSL, finns sekretessbrytande bestämmelser som har kopplingar till den regionala organisationen. Enligt 25 kap. 11 § 2, OSL hindrar inte sekretessen enligt 1 § att uppgift lämnas ”från en myndighet som bedriver verksamhet som avses i 1 § i en region till en annan myndighet i samma region”. Enligt förarbetena är innebörden av bestämmelsen att hälso- och sjukvårdssekretess inte hindrar att en uppgift lämnas från en myndighet som bedriver hälsooch sjukvård eller annan medicinsk verksamhet i en region till en annan sådan myndighet i samma region (se prop. 2007/08:126, s. 160). För det första ska hälso- och sjukvårdsverksamhet inom en region som juridisk person omfattas. Det följer av kommunallagen (2017:725) att fullmäktige ska tillsätta de nämnder som behövs för att fullgöra regionens uppgifter enligt lag eller annan författning och för övrig verksamhet (3 kap. 4 §). Regionerna bedriver sin verksamhet i en
655En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
eller flera nämnder eller andra myndigheter. Exempel på myndigheter kan vara både sjukhus och styrelser. Bestämmelsen i 25 kap. 11 § punkten 2 OSL tillkom i syfte att undanröja att omotiverade sekretessgränser uppkom inom en region till följd av att regionen valt att organisera sin verksamhet i till exempel flera nämnder (prop. 2007/08:126, s. 165–166). Bestämmelsens formulering tar sikte på den individinriktade hälso- och sjukvården som bedrivs i allmän regi av regioner (jämför prop. 2007/08:126 s. 160). Detta överensstämmer med den verksamhet som utredningen också avser att ringa in. Utredningen har utifrån detta övervägt om formuleringen myndighet i en region eller myndighet inom en region är lämpliga begrepp. Dessa formuleringar är enligt utredningens uppfattning tydliga, men samtidigt långa och skulle – i den omfattningen som blir aktuell – tynga lagtexten betydligt. De skulle också skilja sig mot det myndighetsbegrepp som utredningen föreslår används i förslaget om regler för vidareanvändning av personuppgifter för vårdändamål i kapitel 6 PDL (se avsnitt 14.7.2). Ett alternativ till myndighet i en region skulle kunna vara den något kortare formuleringen regional myndighet. som då kan definieras som ”myndighet i en region”. Till detta begrepp kan läggas ”som bedriver hälso- och sjukvård” eller ”som bedriver klinisk forskning” för att beskriva regionen på datahållar- respektive dataanvändarsidan. Utredningen anser att detta är ett lagtekniskt mer tilltalande alternativ. Utredningen konstaterar samtidigt att regional myndighet inte används i vare sig PDL eller OSL i dag. I OSL föreslår utredningen formuleringar som följer befintliga uttryckssätt i den lagen. Utredningen föreslår även nya regler i 6 kap. PDL avseende vidareanvändning för vårdändamål, där begreppet regional myndighet också används, se avsnitt 14.7.2. Utredningen anser att reglerna om förenklad tillgång till personuppgifter för klinisk forskning bör vara neutrala i förhållande till hur en region har valt att organisera sig, se vidare avsnitt 16.4.2. Detta innebär att kommunala företag, exempelvis ett aktiebolag, som regionen har ett rättsligt bestämmande inflytande över ska omfattas av definitionen av regional myndighet. För att förtydliga vill utredningen poängtera att det faktum att kommunala företag enligt 2 kap. 3 § OSL omfattas av definitionen regional myndighet här, innebär en skillnad mot den betydelse som
656En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
”regional myndighet” har i utredningens förslag till regler i 6 kap. PDL. Skillnaden utgörs av det faktum att med regional myndighet jämställs kommunala företag enligt 2 kap. 3 § OSL, medan så inte är fallet i utredningens förslag till regler i 6 kap. PDL. En regional myndighet är dock i sig detsamma, det vill säga att nämnder och styrelser i en region. Utredningen anser att fördelarna överväger med att använda samma begrepp för det som i grunden avser samma sak. Skillnaden tydliggörs i och med att utredningen föreslår en definition som uttryckligen anger att begreppet regional myndighet i den föreslagna lagen även omfattar kommunala företag enligt 2 kap. 3 § OSL.
16.3.4 Lärosäte
På dataanvändarsidan är utgångspunkten att klinisk forskning som bedrivs av offentliga aktörer ska omfattas, se nedan avsnitt 16.7.4. Offentliga aktörer som bedriver klinisk forskning är statliga universitet och statliga högskolor. Det är statliga universitet och statliga högskolor som har forskningsverksamhet som avses. Även enskilda utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § OSL omfattas av reglerna i tryckfrihetsförordningen (1949:105), förkortad TF, om rätten att ta del av allmänna handlingar och som vid tillämpningen av OSL jämställs med myndigheter ska ingå. Exempel på organ som omfattas av 2 kap. 4 § OSL är Stiftelsen Chalmers tekniska högskola, (all verksamhet) och Högskolan i Jönköping AB (all verksamhet), vilka också har examensrätt på forskarnivå. Utredningen anser att det är för otympligt att skiva ut statliga universitet, statliga högskolor och enskilda utbildningsanordnare löpande i lagtexten, vilket gör det lämpligt med ett definierat uttryck för detta i lagen. I förslaget till långsiktig reglering av forskningsdatabaser används begreppet lärosäte. Utredningen anser att det även är ett lämpligt begrepp i utredningens förslag till ny lag. Utredningen har även övervägt begreppet forskningshuvudman för aktörerna på dataanvändarsidan. Forskningshuvudman används dock endast avseende forskning som omfattas av EPL. Utredningens förslag avser även klinisk forskning som bedrivs enligt CTR, MDR och IVDR. Vidare avser forskningshuvudman även till exempel privata
657En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
aktörer som får etiskt godkännande enligt EPL, medan utredningens förslag endast omfattar offentliga aktörer som bedriver klinisk forskning. Utredningen anser mot denna bakgrund att begreppet forskningshuvudman inte är lämpligt som benämning för aktörerna på dataanvändarsidan. Vem eller vilka som är forskningshuvudman i ett forskningsprojekt som omfattas av EPL kan trots det nu sagda ha betydelser vid tillämpningen av de regler som utredningen föreslår. Utredningen berör detta i avsnitt 16.8.1.
16.4 Lagens tillämpningsområde och ändamålet
för vidareanvändningen
Förslag : Bestämmelserna i den föreslagna lagen får tillämpas när personuppgifter som behandlas enligt 2 kap. 4 § första stycket 1–6 patientdatalagen (2008:355) av en regional myndighet som bedriver hälso- och sjukvård, vidareanvänds av en regional myndighet eller ett lärosäte som bedriver klinisk forskning. Personuppgifter som omfattas av lagens tillämpningsområde får vidareanvändas om det behövs för ändamålet klinisk forskning. Vidareanvändning får endast ske under de förutsättningar som anges i lagen.
Den lag som utredningen föreslår tar sin utgångspunkt i vidareanvändning av personuppgifter. Det finns flera perspektiv som aktualiseras vid vidareanvändning av personuppgifter. Utredningen har identifierat följande perspektiv som relevanta: 1. Hos vilken aktör finns personuppgifterna? Med andra ord, vem är datahållaren? 2. Från vilken verksamhet hos datahållaren kommer personuppgifterna? 3. Vilka personuppgifter hos datahållaren ska omfattas? 4. Vilka aktörer ska få använda personuppgifterna? Med andra ord, vilka är dataanvändare? 5. För vilket ändamål får uppgifterna användas?
658En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
Utredningen föreslår att tillämpningsområdet omfattar 1–4 ovan och att ändamålet för vidareanvändning anges i separat bestämmelse. Utredningen anser att tillämpningsområdet först och främst behöver ringa in datahållaren, verksamheten hos datahållaren och vilka uppgifter som ska kunna omfattas av vidareanvändningen. Utöver detta har utredningen övervägt om även dataanvändarna ska anges i tillämpningsområdet. Utredningen konstaterar att även dataanvändarna utgör en del av den ram inom vilken reglerna tillämpas och att de därför också bör anges i tillämpningsområdet. Utredningen anser vidare att ändamålet för vidareanvändningen behöver anges kopplat till tillämpningsområdet. Ändamålet bör dock uttryckas i en egen bestämmelse. Utredningens övergripande avgränsningar framgår av avsnitt 2.7. Av avgränsningarna följer att det är regionala myndigheter som bedriver hälso- och sjukvård som är datahållare. Regionala myndigheter som datahållare beskrivs nedan i avsnitt 16.4.2. Den övergripande verksamhet hos regionala myndigheter som personuppgifter kommer ifrån är hälso- och sjukvård. Utredningen använder PDL:s definition av hälso- och sjukvård som utgångspunkt för sina författningsförslag. Utredningens överväganden om definitionen av hälso- och sjukvård i den föreslagna lagen finns i avsnitt 16.4.3. Utredningens överväganden kring vilka personuppgifter som ska omfattas av vidareanvändning finns i avsnitt 16.4.4. Det är regionala myndigheter och lärosäten som bedriver klinisk forskning som enligt utredningens förslag omfattas av möjligheten till enklare åtkomst till personuppgifter som finns inom hälso- och sjukvården. Aktörerna berörs i avsnitt 16.4.5. Ändamålet klinisk forskning berörs i avsnitt 16.4.6.
16.4.1 Begreppet vidareanvändning
Utredningen har i avsnitt 2.6.5 resonerat övergripande kring begreppet vidareanvändning. Där har bland annat redogjorts för varför utredningen använder begreppet vidareanvändning och inte sekundäranvändning. Utredningen har övervägt om en definition av begreppet vidareanvändning ska införas i lagen. En fördel med det skulle vara att skapa tydlighet kring begreppet. Detta bygger dock på att begreppet kan fångas på ett bra sätt i form av en definition. En definition ska vara
659En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
tillräckligt tydlig för att ge vägledning och ska samtidigt vara tillräckligt inkluderande. Utredningen har funnit det svårt att formulera en sådan definition. Utredningen har också blivit upplyst om att definitionen av ”sekundäranvändning” i den finska sekundäranvändningslagen har vållat tillämpningssvårigheter. Utredningen har mot denna bakgrund landat i att inte definiera vidareanvändning i lagen. Utredningen avser i stället att beskriva vad begreppet tar sikte på. I lagen omfattar termen vidareanvändning principiellt sett både det tillgängliggörande av personuppgifter som sker av en regional myndighet som bedriver hälso- och sjukvård och den behandling som sker av tillgängliggjorda uppgifter på dataanvändarsidan, det vill säga av regionala myndigheter och lärosäten som bedriver klinisk forskning. Den föreslagna lagen innehåller endast en begränsad reglering med avseende på behandlingen av personuppgifter på dataanvändarsidan. Lagen är en kompletterande lagstiftning till EU:s dataskyddsförordningen, se vidare nedan avsnitt 16.5.1, som reglerar vissa förhållanden avseende tillgängliggörande och behandling av personuppgifter. Tillgängliggörande berörs i avsnitt 16.7–16.8 och behandling av de personuppgifter som tillgängliggörs i avsnitt 16.9. Det lagen reglerar är användning av personuppgifter som en personuppgiftsansvarig har samlat in och registrerat för ett eller flera ändamål. Vidareanvändning av personuppgifter enligt lagen kan ses som ett slags ”återanvändning” av personuppgifter (jämför prop. 2007/ 08:126, s. 57). Begreppet vidareanvändning avser att belysa att det handlar om ytterligare behandling av personuppgifter som redan samlats in och registrerats av en personuppgiftsansvarig. Den ytterligare användningen kan ske av samma personuppgiftsansvarig eller av en annan personuppgiftsansvarig. Begreppet vidareanvändning behöver inte betyda att användningen på dataanvändarsidan sker för ett annat ändamål än det som uppgifterna behandlas för hos datahållaren. I utredningens förslag är det emellertid fallet, eftersom klinisk forskning inte är ett ändamål för behandling av personuppgifter enligt PDL. Begreppet vidareanvändning är inte kopplat till vilken som var den ”ursprungliga” behandlingen hos den personuppgiftsansvarige som tillgängliggör uppgifterna. Hos regionala myndigheter som bedriver hälso- och sjukvård görs ingen skillnad mellan primär- och sekundäranvändning med avseende på tillåtna ändamål för personuppgiftsbehandling enligt 2 kap. 4 § första stycket PDL (se prop. 2007/08:126, s. 56). Vidareanvändning sker därmed även inom den insamlande myn-
660En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
digheten, till exempel då den använder uppgifter från vårddokumentation till utveckling av kvaliteten i verksamheten. Tillämpningsområdet för lagen är därför kopplad till vilka ändamål uppgifter behandlas för enligt 2 kap. 4 § första stycket PDL oavsett hur behandlingen har sett ut tidigare, se vidare avsnitt 16.4.4.
16.4.2 Endast personuppgifter som behandlas hos
en regional myndighet som bedriver hälso- och
sjukvård ska omfattas av den föreslagna lagen
Av utredningens avgränsningar framgår att utredningens författningsförslag avseende vidareanvändning för ändamålet klinisk forskning omfattar personuppgifter som finns hos regionala myndigheter som bedriver hälso- och sjukvård. Hos myndigheter inom regioner som bedriver hälso- och sjukvård finns viktiga datamängder för klinisk forskning. Personuppgifter kan finnas inom olika myndigheter (nämnder och styrelser) i en region. Det omfattar både sådana myndigheter som erbjuder hälso- och sjukvård, såsom en sjukhusförvaltning, och myndigheter i en region som har uppdrag kopplat till regionens ansvar för hälso- och sjukvård. I utredningens förslag till regler för vidareanvändning av personuppgifter för vård av en annan patient än den som uppgifterna avser, se kapitel 14, förekommer begreppet regional myndighet ”inom hälso- och sjukvården”. Det är utredningens uppfattning att ”bedriver hälso- och sjukvård” och ”inom hälso- och sjukvården” har samma innebörd, se avsnitt 14.7.2. Hälso- och sjukvård i regional regi bedrivs typiskt sett i förvaltningsform. Detsamma gäller klinisk forskning där regioner är forskningshuvudmän eller motsvarande. Det förekommer dock att regioner bedriver hälso- och sjukvård i till exempel bolagsform. Utredningen anser att en omotiverad skillnad skulle uppstå om inte kommunala företag som en region har bestämmande inflytande över skulle omfattas av den föreslagna lagen. I syfte att ta höjd för regionernas frihet vad avser organisationsformer bör dock även aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där regioner utövar ett rättsligt bestämmande inflytande över omfattas (jämför 2 kap. 3 OSL). Syftet med detta är att skapa neutralitet i förhållande hur regionen bedriver hälso- och sjukvård och klinisk forskning i egen regi.
661En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
Utredningens förslag omfattar inte vidareanvändning av personuppgifter som finns inom kommunal eller statlig hälso- och sjukvård. Utredningens förslag omfattar inte heller vidareanvändning av personuppgifter som finns hos privata vårdgivare som inte är kommunala företag enligt 2 kap. 3 § OSL (se definitionen av regional myndighet i avsnitt 16.3.3). Med privata vårdgivare avses annan juridisk person än statlig myndighet, region och kommun eller enskild näringsidkare som bedriver hälso- och sjukvård (se 1 kap. 3 § PDL). Utanför lagens tillämpningsområde faller privata aktörer som bedriver hälso- och sjukvård på uppdrag av en sjukvårdshuvudman med offentlig finansiering och hälso- och sjukvård som är privat driven och privat finansierad. För utredningens motivering till detta, se avsnitt 2.8 och 16.7.4. I avsnitt 16.4.3 beskrivs från ett lagtekniskt perspektiv vilka verksamheter som utredningen föreslår ska omfattas av den föreslagna lagen. Det finns enligt utredningens mening också ett värde i att kort beskriva den vård som omfattas från ett mer praktiskt perspektiv. Inom regionala myndigheter som bedriver hälso- och sjukvård finns den hälso- och sjukvård som bedrivs i regional regi. De huvudsakliga delarna organisatoriskt utgörs av primärvård och sjukhusvård. Primärvård erbjuds framför allt på vårdcentraler, medan sjukhusvård erbjuds vid länsdelssjukhus, länssjukhus och regionsjukhus (universitetssjukhus). Den regionala hälso- och sjukvården omfattar både öppen- och slutenvård. Med slutenvård avses hälso- och sjukvård som ges till en patient som är intagen vid en vårdinrättning (se 2 kap. 4 § HSL). Slutenvård bedrivs vid de regionala sjukhusen. Inom den regionala hälsooch sjukvård bedrivs specialiserad vård, se vidare 14.8.4.
Behoven av personuppgifter från regionala myndigheter
som bedriver hälso- och sjukvård
I kapitel 12 beskriver utredningen problem som är kopplade till åtkomsten till personuppgifter för ändamålet klinisk forskning. För ändamålet klinisk forskning finns ett generellt behov av tillgång till personuppgifter från hälso- och sjukvården. I den utsträckning sådan tillgång går att förenkla är det gynnsamt för genomförandet av klinisk forskning. Vid genomförandet av klinisk forskning finns typisk sett behov av tillgång till personuppgifter som finns inom den regionalt bedrivna hälso- och sjukvården. Centralt är typiskt sett behovet av personuppgifter från specialiserade vården. Är det en regional myndighet
662En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
som bedriver forskningen handlar det ofta om att ta del av personuppgifter från en annan verksamhetsgren inom myndigheten. Det kan också finnas behov av att ta del av uppgifter om en patient när hen tidigare fått vård inom någon annan del av regionen, till exempel ett sjukhus i en annan del av regionen eller en vårdcentral. I dessa fall handlar det om tillgång till personuppgifter över myndighetsgränser, men inom samma region. Patienten kan också ha kommit till den specialiserade vården i en region, men vara hemmahörande i en annan region. Det kan då finns behov av tillgång till personuppgifter om patienten från hens hemregion. Lärosäten som bedriver klinisk forskning har också behov av personuppgifter från olika delar av den regionalt bedriva hälso- och sjukvården. Behoven är desamma för klinisk forskning som bedrivs av lärosäten. När lärosäten ska få tillgång till personuppgifter från regionala myndigheter som bedriver hälso- och sjukvård är det alltid fråga om ett utlämnande över en myndighetsgräns.
16.4.3 Verksamhet som ska omfattas
av lagens tillämpningsområde
Förslag : Lagen ska omfatta verksamhet som avses i hälso- och sjukvårdslagen (2017:30), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering.
Bedömning : Lagen ska inte omfatta verksamhet som avses i tandvårdslagen (1985:125) eller lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar.
Utredningen använder den definition av hälso- och sjukvård som finns i PDL, se avsnitt 2.6.1. Definitionen av hälso- och sjukvård i PDL omfattar verksamhet enligt följande lagar:
663En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
• hälso- och sjukvårdslagen (2017:30), • tandvårdslagen (1985:125), • lagen (1991:1128) om psykiatrisk tvångsvård, förkortad LPT • lagen (1991:1129) om rättspsykiatrisk vård, förkortad LRV • smittskyddslagen (2004:168), förkortad smittskyddslagen • lagen (1972:119) om fastställande av könstillhörighet i vissa fall, • lagen (2006:351) om genetisk integritet m.m., • lagen (2018:744) om försäkringsmedicinska utredningar, • lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter, • lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar, och • den upphävda lagen (1944:133) om kastrering, förkortad kastreringslagen.
Utredningen har att ta ställning till om samtliga dessa verksamheter ska omfattas av tillämpningsområdet för den föreslagna lagen, eller om definitionen av hälso- och sjukvård i lagen bör skilja sig från den som finns i PDL. PDL:s definition är formad utifrån att den lagen ska vara en kompletterande skyddslagstiftning för personuppgiftsbehandling inom hälso- och sjukvården. Den innehåller dessutom regler om journalföringsplikt som alltså blir tillämpliga på sådan verksamhet som omfattas av definitionen av hälso- och sjukvård. Den typ av uppräkning som finns i PDL liknar den som fanns i den tidigare vårdregisterlagen (som ersattes av PDL). Enligt förarbetena till vårdregisterlagen avses hänvisning till uppräknade lagar skapa tydlighet i fråga om vilken vårdverksamhet som omfattades av vårdregisterlagens tillämpningsområde. All elektronisk patientjournalföring – oavsett om den grundar sig på patientjournallagen eller annan författning – regleras av vårdregisterlagen (prop. 1997/98:108 s. 68 f.). För en lag om vidareanvändning av personuppgifter som finns inom hälso- och sjukvården för ändamålet klinisk forskning är det också viktigt att det är tydligt vilken verksamhet som omfattas av lagen.
664En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
En liknande uppräkning som den i PDL är därför lämpligt. Det är också en fördel om PDL och den föreslagna lagen har en lagtekniskt liknande utformning av bestämmelsen som definierar vad hälso- och sjukvård är. Även SVOD har en uppräkning av verksamheter i definitionen av hälso- och sjukvård (1 kap. 1 § SVOD). Den föreslagna lagen om vidareanvändning har dock inte samma syfte som PDL eller SVOD och det är därmed inte nödvändigtvis så att verksamheter enligt samma lagar bör omfattas av tillämpningsområdet. Därför bör det övervägas särskilt vilka verksamheter som bör omfattas. Utredningen har därför att ta ställning till vilka verksamheter som bör omfattas av en sådan lag. När den föreslagna lagens tillämpningsområde ska ringas in behöver hänsyn tas till olika aspekter. En central aspekt som bör styra tillämpningsområdet är de behov som finns avseende vidareanvändning för ändamålet klinisk forskning. Etiska aspekter bör vägas in. Hänsyn bör vidare tas till att avgränsningar inte ska skapa tillämpningssvårigheter, såsom svåra eller opraktiska gränsdragningsfrågor. Intresset av enhetlighet i lagstiftningen bör också beaktas.
Hälso- och sjukvårdslagen
HSL är den grundläggande lagstiftningen för hälso- och sjukvård i Sverige. Det är från verksamheter som lyder under HSL som utredningen har fått till sig de behov som utredningens förslag avser att lösa. HSL är generellt tillämplig på den hälso- och sjukvård där personuppgifter som i dag lämnas ut till klinisk forskning genereras. Den föreslagna lagen syftar till att förenkla sådant utlämnande. För att uppnå det syftet måste lagen omfatta verksamhet enligt HSL.
Tandvårdslagen
Utredningen har undersökt om det finns något behov av förenklingar eller större möjligheter till vidareanvändning av personuppgifter för klinisk forskning avseende tandvården. Utredningen har varit i kontakt med aktörer inom tandvården. Aktörerna har uppgett att det i stora drag finns fungerande processer för tillgång till den hälsodata som behövs för klinisk forskning. Tandvården har inte påtalat de problem som aktörer som lyder under HSL har lyft till utredningen. Det
665En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
har inte heller framkommit att verksamhet under HSL efterfrågar enklare tillgång till information från tandvården för ändamålet klinisk forskning. Detta talar enligt utredningens mening för att verksamhet enligt tandvårdslagen inte ska omfattas av lagens tillämpningsområde. Den tandvård som bedrivs av regioner, folktandvården, är organisatoriskt skild från hälso- och sjukvård enligt HSL. I fem regioner 5 bedrivs den regionala tandvården i bolagsform. . Utredningen gör därmed bedömningen att ett uteslutande av tandvårdslagen inte borde riskera att skapa tvärsnitt inom organisatoriska enheter. Vidare gör utredningen bedömningen att det inte bör skapa tillämpningssvårigheter om verksamhet enligt tandvårdslagen inte omfattas. Sammantaget gör utredningen bedömningen att verksamhet enligt tandvårdslagen inte ska omfattas av den föreslagna lagen.
Lagen och psykiatrisk tvångsvård och lagen
om rättspsykiatrisk vård
LPT och LRV kompletterar HSL (se vidare om dessa lagar i avsnitt 5.7.2). En principiell aspekt som aktualiseras för LPT och LRV är att vård kan ges utan samtycke från den enskilda individen. Särskilda tvångsåtgärder kan också utföras mot individen som vårdas. Personuppgifter i sådan verksamhet kan därmed uppkomma inom ramen för situationer som den enskilde inte själv samtyckt att delta eller medverka i. Utredningens förslag avseende vidareanvändning för klinisk forskning avser enklare tillgång till personuppgifter genom begränsad direktåtkomst eller annat elektroniskt utlämnande till en regional myndighet eller ett lärosäte som bedriver klinisk forskning. Här har utredningen ställt sig frågan om utredningens förslag om enklare tillgång till personuppgifter för klinisk forskning ska kunna omfatta personuppgifter som tillkommit inom ramen för vård enligt LPT eller LRV. Utredningen anser att denna fråga aktualiserar etiska aspekter. Ett synsätt kan vara att personuppgifter som tillkommit under tvångsvård eller tvångsåtgärder inte alls borde omfattas av förenklade åtkomstregler på grund av att det i sig skulle vara oetiskt att underlätta tillgång till personuppgifter kopplat till situationer som den enskilde inte samtycker till att delta i. Ett sådant synsätt skulle dock kunna uppfattas som väl kategoriskt och onyanserat. Klinisk forsk-
5 https://www.tlv.se/tandvard/tandvardsmarknaden.html (hämtat 2023-09-11).
666En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
ning förekommer redan i dag avseende individer som tvångsvårdas och med användande av personuppgifter som genereras inom ramen för sådan vård. Tvärtom kan det då argumenteras för att det är oetiskt att inte sådan, också värdefull, forskning får enklare tillgång till de personuppgifter som behövs. Patientgrupper som tvångsvårdas skulle missgynnas om inte klinisk forskning som avser dessa patientgrupper också omfattades av enklare tillgång. De etiska aspekterna skulle vidare kunna hanteras på annat sätt än genom att helt utesluta verksamhet enligt LPT och LRV från lagens tillämpningsområde. En annan ingång i frågan är att utgå från utredningens förslag om villkor för tillgängliggörande, se avsnitt 16.8. Den förenklade tillgången får endast tillämpas vid klinisk forskning som föregås av samtycke enligt den lagstiftning som reglerar forskningen i fråga. Utöver detta samtycke krävs enligt utredningens förslag även ett integritetshöjande samtycke till den förenklade åtkomsten. De personer vars uppgifter kan komma i fråga för tillgängliggörande enligt lagen har själva eller, för personer som inte är beslutskompetenta genom så kallad lagligen utsedd ställföreträdare, samtyckt till att delta i forskningen och till den förenklade tillgången till personuppgifter, se avsnitt 16.8.4. Utredningen anser att dessa krav medför att det finns skyddsbestämmelser som gör det etiskt försvarbart att lagen omfattar personuppgifter i verksamhet enligt LPT och LRV. Utredningen anser också att vikten av forskning för dessa patientgrupper bör vägas in i bedömningen. En ytterligare aspekt på att helt undanta verksamhet enligt LPT eller LRV är att det skulle kunna skapa tillämpningsproblem. Verksamhet enligt dessa lagar bedrivs mer eller mindre integrerat inom den regionala hälso- och sjukvården, tillsammans med verksamhet enligt framför allt HSL. Att vid vidareanvändning enligt lagen behöva särskilja personuppgifter som behandlas i verksamhet som omfattas av LPT eller LRV från personuppgifter som omfattas av HSL kan enligt utredningens mening vara svårt i praktiken. Sammantaget anser utredningen att verksamhet enligt LPT och LRV ska omfattas av lagens tillämpningsområde.
667En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
Övrig speciallagstiftning
Utifrån definitionen av hälso- och sjukvård i PDL har utredningen vidare att ta ställning till verksamhet enligt ett antal ytterligare speciallagar som kompletterar HSL bör omfattas. Sådan speciallagstiftning är bland annat smittskyddslagen, lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, och lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter. Verksamhet enligt HSL och dessa speciallagar bedrivs, såvitt utredningen förstår, integrerat inom regionala myndigheter som bedriver hälso- och sjukvård. Verksamhet enligt dessa speciallagar är alltså typiskt sett inte organisatoriskt åtskilda. Att inte inkludera verksamheter enligt lagar ovan som bedrivs mer integrerat organisatoriskt skulle, enligt utredningens mening, kunna riskera att skapa tillämpningsproblem och medföra att lagens syfte inte fullt ut kan realiseras. Det är inte heller så att de behov av vidareanvändning för klinisk forskning som finns inte går att koppla till verksamheter enligt dessa lagar (jämför ovan avseende tandvårdslagen). Utredningen konstaterar vidare att det inte görs någon skillnad i dag vid till exempel utlämnande till klinisk forskning utifrån vilken av nu aktuella verksamheter som behandlingen av personuppgifter förekommer i. Smittskyddslagen föreskriver möjlighet till vissa tvångsåtgärder mot patienter. Ovan har utredningen övervägt om LPT och LRV ska omfattas av tillämpningsområdet för den föreslagna lagen och funnit att så bär vara fallet, bland annat mot bakgrund av de villkor som utredningen föreslår ska gälla för tillgängliggörande enligt lagen. Utredningen anser att samma bedömning kan göras med avseende på smittskyddslagen. Verksamhet enligt smittskyddslagen, lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, och lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter bör därför omfattas av den föreslagna lagen. Det bedrivs inte längre någon verksamhet enligt den upphävda lagen (1944:133) om kastrering. Däremot kan det fortfarande förekomma personuppgifter inom hälso- och sjukvården som har samlats in i verksamhet enligt lagen. Utredningen noterar att definitionen av hälso- och sjukvård i SVOD omfattar denna upphävda lag och att
668En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
särskilda överväganden om det gjordes i propositionen till SVOD (prop. 2021/22:177, s. 57). Utredningen gör bedömningen att det inte kan uteslutas att tillgängliggörande kan komma att aktualiseras med avseende på personuppgifter som förekommit i verksamhet enligt den upphävda lagen. Det kan då skapa tillämpningsproblem om det inte omfattas av lagen tillämpningsområde. Den upphävda lagen om kastrering bör därför också omfattas av den föreslagna lagens definition av hälso- och sjukvård. PDL:s definition av hälso- och sjukvård omfattar även lagen (2021: 363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar. Bestämmelserna i den lagen tillämpas på kirurgiska ingrepp och injektionsbehandlingar som görs i syfte att förändra eller bevara utseendet på en människa och som utförs inom en yrkesmässig verksamhet (2 § första stycket). Kirurgiska ingrepp och injektionsbehandlingar omfattas inte av den föreslagna lagen om de utgör hälso- och sjukvård enligt HSL (3 §). Den föreslagna lagen avser att förenkla utlämnande av personuppgifter från verksamhet där HSL är tillämplig. Lagen är endast tillämplig när regionala myndigheter som bedriver hälso- och sjukvård lämnar ut personuppgifter. Sådan verksamhet omfattas av HSL. Utredningen ser därför inte behov av att lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar omfattas. Utredningen noterar även att definition av hälso- och sjukvård i SVOD inte omfattar denna lag (se 1 kap. 1 § SVOD). Utredningen ser inte att några tillämpningssvårigheter bör uppkomma i och med att lag (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar inte skulle omfattas. Verksamhet enligt lag (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar bör därför inte omfattas av den föreslagna lagen.
16.4.4 Personuppgifter som behandlas enligt 2 kap. 4 § första
stycket 1 – 6 patientdatalagen omfattas
Lagens tillämpningsområde behöver definieras utifrån vilka personuppgifter som ska kunna omfattas av vidareanvändning enligt lagen. Vid tidpunkten för tillgängliggörandet ska tillämpningsområdet koppla till vilka ändamål personuppgifterna behandlas för hos den regionala myndigheten som samlat in dem. Det ska inte koppla till det ursprungliga ändamålet med behandlingen, eftersom det riskerar att skapa tillämpningsproblem. PDL gör inte heller skillnad på primär- och
669En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
sekundäranvändning enligt ändamålen i 2 kap. 4 § första stycket PDL. Att göra det i förhållande till tillämpningen av den föreslagna lagen framstår därför inte som lämpligt. Tillämpningsområdet med avseende på vilka personuppgifter som ska kunna vidareanvändas bör enligt utredningens mening vara brett, dels för att inte undanta personuppgifter som kan vara relevanta för vidareanvändning, dels för att inte skapa tillämpningssvårigheter för de aktörer som ska tillgängliggöra uppgifterna. Det är inte genom denna regel som begränsningar av vidareanvändningen främst sker, utan det görs på andra sätt, till exempel genom att begränsa inblandade aktörer och andra uppställda krav för tillgängliggörandet. Den föreslagna lagen avser förenkla en del av forskningen genom förenklad åtkomst. Det innebära att sådan typ klinisk forskning redan i dag bedrivs, även om uppgifterna som behövs i forskningen inte tillgängliggörs enligt förslagen till den nya lagen. Sådan klinisk innebär ofta behandling av känsliga personuppgifter. Det är därför naturligt att den föreslagna lagen avser omfatta samma typer av uppgifter. Utredningen bedömer att relevanta personuppgifter för vidareanvändning för klinisk forskning är sådana uppgifter som behandlas för de ändamål som anges i 2 kap. 4 § första stycket punkterna 1–6. Utredningen ser dock inte att ändamålet i den nyligen tillkomna punkten 7 om antalsberäkning inför klinisk forskning ska inkluderas. Antalsberäkning inför klinisk forskning är beräkning som på förfrågan av forskare inför planerad klinisk forskning görs av hur många personer som uppfyller vissa i förväg uppställda kriterier och som därmed kan komma att omfattas av forskningen (1 kap. 3 § PDL) Detta är något som sker inför forskning, det vill säga innan ett forskningsprojekt påbörjas för att veta om det finns tillräckligt underlag för forskningen. Utredningen bedömer inte att personuppgifter som behandlas för detta ändamål är sådana som sedan kommer vara relevanta för vidareanvändning enligt utredningens förslag. Utredningen ser inte heller att sådana uppgifter som behandlas med stöd av 2 kap. 3 § PDL ska inkluderas. Bestämmelsen anger att behandling av personuppgifter som inte är tillåten enligt PDL ändå får ske, om den enskilde lämnat ett uttryckligt samtycke till behandlingen. För en mer ingående redogörelse av bestämmelsen, se avsnitt 13.8.3. Utredningens uppfattning är att möjligheten att använda samtycke i 2 kap. 3 § PDL har begränsad tillämplighet i praktiken, särskilt när det gäller offentliga vårdgivare på grund av den ojämlikhet som kan uppstå gent-
670En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
emot enskilda patienter (jämför skäl 43 i dataskyddsförordningen). Utredningens uppfattning är också att det inte är förutsägbart att inkludera behandlingar som stödjer sig på denna bestämmelse. Personuppgifter som behandlas i nationella eller regionala kvalitetsregister enligt kapitel 7 PDL ska inte heller omfattas. Det följer av att ett av kraven för att tillgång ska få ges enligt den föreslagna lagen att den registrerade har samtyckt till att delta i forskningen i enlighet med EPL, CTR, MDR eller IVDR (se avsnitt 16.8.2). Av samma anledning faller även andra uppgiftssamlingar utanför den föreslagna lagens tillämpningsområde, som till exempel precisionsmedicinska databaser som utredningen lämnar författningsförslag om (se kapitel 13–14). Både kvalitetsregister och andra uppgiftssamlingar kan innehålla information som kan vara värdefull att beforska, utredningen har dock gjort bedömningen att sådan förenklad åtkomst som den föreslagna lagen medför av integritetsskäl endast bör omfatta sådan forskning där den enskilde ger uttryck för sin vilja att vara med i forskningen (se avsnitt 16.8.2). En ytterligare anledning att uttryckligen ange de ändamål som ska omfattas av lagen är att dess tillämpningsområde inte ”automatiskt” ska utvidgas om fler punkter läggs till i 2 kap. 4 § PDL. Utredningen konstaterar till exempel att en punkt i paragrafen nyligen har lagts till som avser antalsberäkning (SFS 2023:167). En bedömning behövs av vilka ändamål som faktiskt är lämpliga att omfattas av den föreslagna lagens bestämmelser. Att inte avgränsa till utpekade ändamål skulle innebära att omfattningen inte är anpassad efter behov. Utredningen konstaterar även att utredningen om patientöversikter inom EES, SOU 2023:13, har lagt ett förslag om tillägg i 2 kap. 4 § första stycket PDL. Det blir mot denna bakgrund mer förutsebart om de punkter i 2 kap. 4 § första stycket som omfattas räknas upp i lagen. Vidareanvändning som kan ske enligt 2 kap. 5 § PDL tas i enlighet med samma resonemang inte heller med i lagens tillämpningsområde eftersom det får anses vara för oförutserbart.
16.4.5 Regional myndighet eller lärosäte
som bedriver klinisk forskning
Utredningen har avgränsat dataanvändarsidan till regionala myndigheter och lärosäten. Det är i dessa aktörers verksamhet inom klinisk forskning som vidareanvändning enligt lagen kan ske. För motivering
671En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
till utredningens övergripande avgränsningar, se avsnitt 2.6.5. Utredningens närmare överväganden kring aktörerna på dataanvändarsidan finns i avsnitt 16.7.4. Klinisk forskning i regional regi bedrivs typiskt sett i förvaltningsform. Den kan också bedrivas i till exempel bolagsform. Utredningen anser att en omotiverad skillnad skulle uppstå om inte kommunala företag som en region har bestämmande inflytande över skulle omfattas av den föreslagna lagen. I syfte att ta höjd för regionernas frihet vad avser organisationsformer bör dock även aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där regioner utövar ett rättsligt bestämmande inflytande över omfattas (jämför 2 kap. 3 OSL). Syftet med detta är att skapa neutralitet i förhållande hur regionen bedriver klinisk forskning i egen regi. Utredningen har övervägt om aktörerna på dataanvändarsidan ska anges i lagens tillämpningsområde eller inte. Vid bestämmande av tillämpningsområdet har utredningen i första hand jämfört med annan lagstiftning om personuppgiftshantering inom hälso- och sjukvården. Både i PDL och SVOD anges de relevanta aktörerna i lagarnas tillämpningsområde. En skillnad är att aktörerna inte är lika många och att tillämpningsområdet bestäms mer generellt än vad som är fallet i utredningens förslag till lag. Utredningens förslag avser emellertid en delvis ny form av lagstiftning som utgår ifrån vidareanvändning för ett visst ändamål, med olika aktörer på datahållar- respektive dataanvändarsidan. Det är dessa aktörer som har att tillämpa lagen. Det bör enligt utredningens mening vara tydligt till vilka aktörer som lagen riktar sig. Samtliga aktörer på datahållar- respektive dataanvändarsidan bör därför enligt utredningens uppfattning anges i lagens tillämpningsområde.
16.4.6 Ändamålet klinisk forskning
Lagen omfattar vidareanvändning för ändamålet klinisk forskning. Ändamålet för vidareanvändningen är centralt och bör därför anges i en särskild bestämmelse i lagen. Att ändamålet anges till klinisk forskning innebär att vidareanvändning enligt lagen inte får ske för andra ändamål. Utredningen föreslår som villkor för tillgängliggörande bland annat att forskning som är godkänd enligt EPL, CTR, MDR eller IVDR.
672En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
Detta innebär att vidareanvändning i ett enskilt fall sker i ett avgränsat forskningsprojekt. Ändamålet klinisk forskning preciseras därmed i varje enskilt fall av vidareanvändning. Det är när personuppgifter som behandlas enligt 2 kap. 4 § första stycket 1–6 PDL behövs för ändamålet klinisk forskning som lagen kan tillämpas. Ändamålet behöver också kopplas till de aktörer som finns på datahållarrespektive dataanvändarsidan, det vill säga regionala myndigheter som bedriver hälso- och sjukvård respektive regionala myndigheter eller lärosäten som bedriver klinisk forskning. Utredningen har övervägt om ändamålet bör anges i själva tillämpningsområdet för lagen. I den finska sekundäranvändningslagen anges ändamålen i bestämmelsen om lagens tillämpningsområde. Detta synes dock inte vara vanligt i svensk lagstiftning som rör behandling av personuppgifter inom det offentliga. En bestämmelse om tillämpningsområde kan inte heller vara för omfattande, eftersom det skulle göra bestämmelsen svårläst. Utredningen anser att det blir mer likt andra författningar om behandling av personuppgifter om ändamålet anges i en separat bestämmelse och att även tydlighetsskäl talar för detta.
Begreppet klinisk forskning
I utredningens direktiv anges ändamålet ”forskning”. Utredningens tolkning av ändamålet samt motiven till utredningens avgränsning till klinisk forskning framgår av avsnitt 2.4.1 och 2.6.5. Med klinisk forskning avses forskning som förutsätter vårdens strukturer och resurser. Den kliniska forskningen utgår från de behov som finns i hälso- och sjukvården och förväntas leda till patient- och samhällsnytta. Inom klinisk forskning studeras bland annat vilka besvär som människor med en viss sjukdom har, hur träffsäkert ett diagnostiskt test är och vilken behandling som är mest effektiv. Den kliniska forskningen har som mål att lösa ett ohälsoproblem eller att identifiera faktorer som leder till ökad hälsa. I den föreslagna lagen avses med klinisk forskning sådan forskning som förutsätter vårdens strukturer och resurser och som har som mål att lösa ett ohälsoproblem eller identifiera faktorer som leder till ökad hälsa. Utredningen har övervägt om klinisk forskning bör anges som ett definierat uttryck i lagen. Utredningen noterar att begreppet klinisk forskning används i 1 kap. 3 § och 2 kap. 4 § första stycket 7 PDL
673En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
kopplat till ändamålet antalsberäkning för klinisk forskning. Begreppet klinisk forskning definieras dock inte i PDL. Utredningen konstaterar att klinisk forskning som fenomen inte kan definieras på ett lagtekniskt sätt såsom hälso- och sjukvård och begreppen för de aktörer som omfattas av lagen kan. Generellt sett gäller för de ändamål som omfattas av utredningens direktiv att de svårligen kan fångas i en juridisk definition som är tydlig och precis och samtidigt tillräckligt omfattande för att fungera i praktiken, jämför utredningens tolkning av ändamålen i direktiven, avsnitt 2.6. Utredningen anser att ett lämpligare förhållningssätt är att, i förekommande fall, beskriva generellt i betänkandet, överväganden och författningskommentarer vad som avses med ändamålen. Klinisk forskning kan bedrivas enligt olika regelverk. Klinisk forskning kan bedrivas enligt EPL, CTR, MDR och IVDR. För beskrivning av dessa regelverk generellt, se kapitel 6. Utredningen föreslår villkor för tillgängliggörande som är kopplade till EPL, CTR, MDR och IVDR, se avsnitt 16.8. Förhållandet till andra närliggande begrepp Medicinsk forskning som inte är klinisk forskning omfattas inte av lagen. Detta betyder att preklinisk forskning inte omfattas. Preklinisk forskning är en grundläggande typ av forskning som inte kräver vårdens strukturer och resurser, se vidare avsnitt 6.2 (Begrepp inom medicinsk forskning). I lagstiftning förekommer begreppet forskning inom hälso- och sjukvården, se 7 kap. 5 § andra punkten PDL. Forskning inom hälsooch sjukvården omfattar klinisk forskning, men kan även avse preklinisk forskning. Vidare kan även helt annan forskning än medicinsk forskning som sker inom hälso- och sjukvården omfattas av begreppet forskning inom hälso- och sjukvården (se prop. 2007/08:126 s. 259). Klinisk forskning omfattas av termen vetenskapliga forskningsändamål i EU:s dataskyddsförordning. Med vetenskapliga forskningsändamål avses till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning (se skäl 159). Se vidare avsnitt 7.7.2.
674En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
Villkoren i lagen avgränsar i praktiken ändamålet
Utredningens förslag till villkor om samtycke till att delta i forskningen, se avsnitt 16.8.1, medför att det i praktiken framför allt är interventionsstudier som reglerna blir tillämpliga på. I interventionsstudier utsätts studiedeltagarna för någon form av intervention, till exempel ett läkemedel, en medicinteknisk produkt eller en kirurgisk metod. Interventionsstudier som inkluderar läkemedel eller medicintekniska produkter kallas även kliniska prövningar. Klinisk forskning är därför ett bredare begrepp än de forskningsprojekt som i praktiken kommer att omfattas av enklare tillgång till personuppgifter enligt författningsförslagen. Utredningen har mot denna bakgrund övervägt om ett snävare begrepp än klinisk forskning bör anges redan i lagens tillämpningsområde. Utredningen anser dock inte att det är lämpligt att använda ett annat begrepp för benämning av ändamålet. Även om det enligt utredningens bedömning är i interventionsstudier som utredningens förslag framför allt kommer att vara tillämpliga, kan det inte uteslutas att även andra typer av studier inom klinisk forskning kan uppfylla den föreslagna lagens villkor på samtycke med mera. Tvärtom är det inte heller alla interventionsstudier som kommer att omfattas, exempelvis inte sådana där forskningen kan bedrivas utan samtycke enligt lag (2003:460) om etikprövning av forskning som avser människor, förkortad EPL. Interventionsstudier skulle därför inte heller vara helt rättvisande att använda. Vidare är klinisk forskning ett vedertaget begrepp inom forskarvärlden och det har även använts i lagstiftning nyligen (2 kap. 4 § första stycket 7 PDL). Enhetlighet i lagstiftningen talar för att använda samma begrepp. Utredningens tanke är även att de författningsförslag som utredningen lämnar är ett första steg som innebär förenklad tillgång för en del av den kliniska forskningen. Det är en fördel om lagen är utformad så att den kan byggas på med ytterligare bestämmelser som kan möjliggöra utökad vidareanvändning av personuppgifter för annan klinisk forskning, såsom registerforskning och observationsstudier, se avsnitt 20.3.
675En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
16.5 Förhållandet till annan närliggande reglering
Förslag : I lagen ska det finnas en upplysning om att lagen kompletterar EU:s dataskyddsförordning. Det ska även finnas en upplysning om att lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av den föreslagna lagen.
16.5.1 EU:s dataskyddsförordning
EU:s dataskyddsförordningen är direkt tillämplig och har företräde framför nationell lagstiftning. Den föreslagna lagen kommer därför endast att innehålla bestämmelser som kompletterar eller tar över bestämmelserna i EU:s dataskyddsförordning, när det är tillåtet. För att tillämparen ska få en tydlig uppfattning av vilken reglering som är tillämplig bör den föreslagna lagen innehålla en bestämmelse med en upplysning om att EU:s dataskyddsförordning gäller. Bestämmelsen bör formuleras på samma sätt som i andra lagar som reglerar behandling av personuppgifter inom Socialdepartementets verksamhetsområde. 6 Hänvisningar till EU-rättsakter kan göras antingen statiska eller dynamiska. Med en statisk hänvisning avses att hänvisningen görs till EU-rättsakten i en viss angiven lydelse. En följd av denna hänvisningsteknik är att den nationella författningen vanligtvis behöver ändras varje gång EU-bestämmelsen ändras. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen. Lagrådet har uttalat att en konsekvensanalys bör göras vid valet av hänvisningsteknik och redovisas för var och en av de hänvisningar som görs (prop. 2015/16:156 s. 34). Vid analysen bör särskilt belysas hur det nationella regelsystemet ändras genom hänvisningen och hur ändringar av rättsakten kan komma att påverka den nationella regleringen. Det innebär att det, enligt Lagrådet, ofta finns anledning att undvika att genom definitioner koppla rättsakten i en viss angiven lydelse till olika författningsbestämmelser.
6 Prop. 2017/18:171 s. 73 f. Se t.ex. 3 § lagen (1996:1156) om receptregister, 4 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten och 1 kap. 4 § patientdatalagen (2008:355).
676En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
EU:s dataskyddsförordning är direkt tillämplig och syftet med hänvisningen är endast att upplysa om att dataskyddsförordningen gäller. Det framstår därför som mest lämpligt att hänvisningen dit görs dynamisk. Att EU:s dataskyddsförordning är direkt tillämplig innebär alltså att bestämmelserna i dataskyddsförordningen, utöver bestämmelserna i den föreslagna lagen, ska tillämpas. Exempel på bestämmelser som är generellt tillämpliga vid behandling av personuppgifter är bestämmelserna om de grundläggande principerna för behandling av personuppgifter, den registrerades rättigheter och den personuppgiftsansvariges skyldigheter att vidta säkerhetsåtgärder. Dataskyddsförordningen gäller inte för personuppgifter om avlidna, det gör dock den kompletterande lagstiftningen i PDL. Den föreslagna lagen tillåter tillgängliggörande endast till klinisk forskning som sker på personer som samtyckt till att delta i forskningen. Det kommer därmed inte bli aktuellt att lagen tillämpas på annan behandling av personuppgifter än den som följer av den.
16.5.2 Dataskyddslagen
Om en annan lag eller förordning innehåller någon bestämmelse som rör behandling av personuppgifter och som avviker från dataskyddslagen, ska den bestämmelsen tillämpas (1 kap. 6 § dataskyddslagen). Dataskyddslagen är alltså subsidiär i förhållande till annan lagstiftning som reglerar behandling av personuppgifter. I förarbetena som föregick ändringar av författningar på Socialdepartementets område i samband med att dataskyddsförordningen började tillämpas anges att den regleringsteknik som innebär att en registerförfattning gäller utöver den generella nationella regleringen av behandling av personuppgifter kan och bör behållas (prop. 2017/18:171 s. 73). Eftersom dataskyddslagen som nämnt är subsidiär, behövs egentligen ingen materiell bestämmelse i registerförfattningen för att uppnå detta. Registerförfattningarna innehåller emellertid ändå ofta en upplysning om att den generella lagen gäller, om inte annat följer av registerförfattningen eller föreskrifter som har meddelats i anslutning till författningen. I linje med de bedömningar som gjorts när sådana bestämmelser införts, är det enligt förarbetena, lämpligt att uttryckligen upplysa om att det kan finnas tillämpliga bestämmelser om be-
677En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
handling av personuppgifter i dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen, om inte annat följer av lagen eller föreskrifter som har meddelats i anslutning till den (prop. 2017/18:171 s. 73). Den föreslagna lagen ska reglera tillgängliggörande av personuppgifter för ändamålet klinisk forskning från regionala myndigheter som bedriver hälso- och sjukvård, och forskares tillgång till personuppgifterna. Tillämpningsområdet är således avgränsat i förhållande till all behandling av personuppgifter som utförs på hälso- och sjukvårdsområdet. Den föreslagna lagen bör endast innehålla de bestämmelser som är viktigast ur ett integritetsskyddsperspektiv i förhållande till dataskyddsförordningen och dataskyddslagen. Utredningen gör därför bedömningen att den ovan nämnda huvudregeln ska gälla även här, det vill säga att den föreslagna lagen ska gälla utöver den generella nationella regleringen i dataskyddslagen. Alternativet, det vill säga att i lagen heltäckande reglera vilka bestämmelser i dataskyddslagen och anknytande föreskrifter som ska gälla, framstår som mindre lämpligt, eftersom även bestämmelserna i dataskyddsförordningen ska tillämpas. Eftersom dataskyddslagen är subsidiär, krävs egentligen ingen materiell bestämmelse för att den föreslagna lagen ska gälla utöver den generella nationella regleringen i dataskyddslagen. Av tydlighetsskäl är det dock lämpligt med en bestämmelse som anger att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter enligt den föreslagna lagen, om inte annat följer av den föreslagna lagen eller föreskrifter som har meddelats med stöd av den. När dataskyddslagen är tillämplig, är också bestämmelser som regeringen meddelat i anslutning till dataskyddslagen tillämpliga. Det innebär att eventuella förordningsbestämmelser om undantag från dataskyddslagens tillämplighet gäller.
16.5.3 Patientdatalagen
PDL tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården (1 kap. 1 § PDL). PDL innehåller bestämmelser som kompletterar EU:s dataskyddsförordning vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av person-
678En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Vid sådan behandling av personuppgifter är även dataskyddslagen tillämplig, men om bestämmelserna i PDL eller föreskrifter som har meddelats i anslutning till den lagen avviker ska de senare ha företräde (se 1 kap. 4 § första och andra stycket PDL). Den föreslagna lagen reglerar tillgängliggörande av personuppgifter från en regional myndighet som bedriver hälso- och sjukvård. En sådan myndighet är, eller är del av, en vårdgivare. PDL ska gälla all personuppgiftsbehandling som sker som en del av den individinriktade patientvården. Med det avses åtgärder för att förebygga, utreda och behandla sjukdomar och skador hos enskilda oberoende av om verksamheten sker enligt hälso- och sjukvårdslagen, tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168) eller någon annan lagstiftning (prop. 2007/08:126 s. 49). Enligt förarbetena är den individinriktade patientvården ett vidare begrepp än det som utgör vård enligt HSL:s definition (se prop. 2007/08:126 s. 49). PDL ska vidare gälla den personuppgiftsbehandling som vårdgivare utför (se prop. 2007/08:126 s. 50). Som framgår av förarbetena utgör ett uppgiftslämnande ”för annans räkning” och de åtgärder som föregår ett sådant utlämnande en sådan behandling som omfattas av PDL, 2 kap. 5 § PDL första meningen (se prop. 2007/08:126 s. 60). Utredningens föreslagna lag reglerar inte någon personuppgiftsbehandling som hör till patientvård eller omfattas av de verksamheter som räknas upp i PDL. Den föreslagna lagen kan därför inte anses fylla ut PDL. Utredningen har jämfört resonemanget som fördes av utredningen Informationsöverföring inom vård- och omsorg där SVOD anses komplettera PDL då den reglerar personuppgiftsbehandling som ska ske inom hälso- och sjukvården (se SOU 2021/2022:04 s. 352). När uppgifterna faller inom den föreslagna lagens tillämpningsområde behandlas de uteslutande för ändamålet klinisk forskning och för att de ska kunna användas för dokumentation i forskningssyfte (för ytterligare resonemang om utredningens syn på patientnära forskning och ändamålen i lagen se avsnitt 15.7 och 16.4) (jämför även prop. 2007/08:126 s. 51). Det kan uttryckas som att den föreslagna regleringen tar vid där PDL slutar.
679En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
16.5.4 Biobankslagen
Biobankslagen (2023:38) avser reglering av prover som samlas in till och bevaras i en biobank eller används för 1) vård, behandling eller andra medicinska ändamål i en vårdgivares verksamhet, 2) forskning, 3) produktframställning, eller 4) utbildning, kvalitetssäkring eller utvecklingsarbete inom ramen för något av de ändamål som anges i 1–3 (1 kap. 3 § biobankslagen). Utredningens förslag till lag om viss vidareanvändning av personuppgifter för klinisk forskning reglerar när personuppgifter från vården kan tillgängliggöras för ändamålet klinisk forskning på det särskilda sätt som lagen föreskriver. Som utgångspunkt reglerar alltså biobankslagen och utredningens förslag till nya lag olika saker. I biobankslagen finns ett fåtal regler som rör behandling av personuppgifter (se till exempel 7 kap. 4–7 §§ om PKU-register). Biobankslagen innehåller vidare bestämmelser om förhållandet till lagstiftning som rör behandling av personuppgifter. Av 1 kap. 7 § biobankslagen följer att vid behandling av personuppgifter enligt biobankslagen gäller bestämmelser i andra lagar om behandling av personuppgifter samt dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av lagen eller föreskrifter som har meddelats i anslutning till lagen. Biobankslagen kompletterar vidare EU:s dataskyddsförordning (1 kap. 7 § första stycket). Utgångspunkten är därmed att vid behandling av personuppgifter enligt biobankslagen gäller bestämmelser om personuppgiftsbehandling som finns i EU:s dataskyddsförordning, dataskyddslagen och andra lagar om behandling av personuppgifter. I den utsträckning det finns bestämmelser i biobankslagen som föreskriver annat än det som följer av dataskyddslagen och andra lagar om behandling av personuppgifter gäller bestämmelserna i biobankslagen. Andra lagar om personuppgiftsbehandling kan exempelvis avse PDL. I propositionen till biobankslagen konstateras att eftersom den föreslagna biobankslagen kommer att ha få bestämmelser som direkt reglerar personuppgiftsbehandling i samband med hanteringen av prover kommer sådan behandling i många fall att regleras i annan lag, i fråga om hälso- och sjukvård framför allt i PDL (se prop. 2021/22: 257 s. 220). Någon ytterligare vägledning kring vad ”andra lagar” kan avse finns inte i propositionen till biobankslagen (jämför även författningskommentaren, prop. 2021/22:257 s. 256–257).
680En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
Utredningens förslag till ny lag om viss vidareanvändning av personuppgifter för klinisk forskning avser bestämmelser om behandling i form av tillgängliggörande och mottagande av personuppgifter för ändamålet klinisk forskning. Utredningens bedömning är att lagen kompletterar EU:s dataskyddsförordning, se avsnitt 16.5.1. Däremot skiljer sig den föreslagna lagen till sin karaktär i förhållande till exempelvis PDL. Den reglerar förutsättningarna för utlämnande (tillgängliggörande) av personuppgifter, mottagandet och vissa förhållanden rörande behandlingen av de utlämnade uppgifterna på dataanvändarsidan. Den utgör därmed inte en generell kompletterande reglering av behandling av personuppgifter hos vissa aktörer eller i viss verksamhet såsom är fallet med PDL. I avsaknad av en begränsning i vilken typ av andra lagar med bestämmelser om personuppgiftsbehandling som avses i 1 kap. 7 § andra stycket biobankslagen, anser utredningen att förslaget till lag om vidare av personuppgifter för klinisk forskning skulle kunna vara en sådan annan lag. I situationer där personuppgifter lämnas ut till klinisk forskning som en följd av en tillämpning av biobankslagen, skulle således bestämmelserna i den föreslagna lagen principiellt sett kunna tillämpas, om inte annat följer av biobankslagen eller föreskrifter som är meddelade med i anslutning till biobankslagen. Tillgängliggörande av prover och uppgifter för klinisk forskning skulle enligt utredningen kunna vara en sådan situation där en tillämpning av utredningens förslag till lag om vidareanvändning av personuppgifter för klinisk forskning kan aktualiseras.
16.6 Personuppgiftsansvar enligt den föreslagna lagen
Förslag: Den regionala myndighet eller det lärosäte som bedriver klinisk forskning och som ges tillgång till personuppgifter är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten eller lärosätet utför med stöd av lagen. En regional myndighet som bedriver hälso- och sjukvård är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför med stöd av lagen.
Bedömning: Personuppgiftsansvar för den personuppgiftsbehandling som sker i övrigt inom forskningen regleras av EU:s dataskyddsförordning.
681En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
16.6.1 Personuppgiftsansvar för regional myndighet
som bedriver hälso- och sjukvård
I avsnitt 16.5.3 har utredningen redogjort för sin bedömning att när en regional myndighet som bedriver hälso- och sjukvård tillgängliggör personuppgifter i enlighet med den föreslagna lagen faller detta utanför PDL:s tillämpningsområde. Uppgifterna har dock samlats in inom ramen för hälso- och sjukvårdsverksamhet. En regional myndighet som är personuppgiftsansvarig enligt 2 kap. 6 § PDL är också personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför med stöd av den föreslagna lagen. Myndigheten ses då som datahållare (se vidare de överväganden som utredningen gjort i avsnitt 2.6.7, samt avsnitt 16.4). Med anledning av detta finner utredningen det lämpligt att utgå från hur personuppgiftsansvaret är konstruerat i PDL. Som angetts i avsnitt 7.5.3 är det den myndighet eller nämnd som bedriver hälso- och sjukvård som är personuppgiftsansvarig för den behandling av personuppgifter som utförs (2 kap. 6 § PDL första stycket andra meningen). Därför ska den regionala myndigheten som är personuppgiftsansvarig enligt 2 kap. 6 § PDL även vara personuppgiftsansvarig för tillgängliggörandet enligt den föreslagna lagen (se även avsnitt 16.7.1). För att tydliggöra detta ska en särskild bestämmelse införas. Enligt utredningens uppfattning vore det olämpligt med en annan ordning och den föreslagna ordningen är också den som ligger mest i linje med att den personuppgiftsansvariga ska vara den som har det faktiska inflytandet över behandlingen (se artikel 4.7 dataskyddsförordningen och jämför prop. 2007/08:126 s. 61 f.). Av definitionen i artikel 4 i dataskyddsförordningen framgår att om ändamålen och medlen för behandlingen bestäms av EU-rätten eller medlemsstaternas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i EUrätten eller i medlemsstaternas nationella rätt. Det är tillåtet enligt EU:s dataskyddsförordning att i nationell lagstiftning ange vem som är personuppgiftsansvarig för en viss behandling av personuppgifter (jämför artikel 6.2 och 6.3 samt skäl 45 i dataskyddsförordningen och prop. 2017/18:171 s. 68 f).
682En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
16.6.2 Personuppgiftsansvar för regionala myndigheter
och lärosäten som bedriver klinisk forskning
Vid hantering av personuppgifter i elektronisk form omfattas varje åtgärd som vidtas, oavsett om det är fråga om insamling, registrering, lagring, sökning, bearbetning, utlämnande, radering eller någon annan åtgärd (SOU 2021:04 s. 446). Detta innebär att nyttjandet av den begränsade direktåtkomsten och därigenom möjligheten att ta del av dessa uppgifter utgör en behandling av personuppgifter enligt dataskyddsförordningen. Eftersom denna behandling inte görs som en del av hälso- och sjukvården omfattas den inte av PDL (för ytterligare resonemang om detta se avsnitt 16.5.3). Som anförts vid införandet av PDL (se prop. 2007/08:126 s. 73) anses den elektroniska formen för utlämnande medföra risker i sig för otillbörliga integritetsintrång. Där till kommer att direktåtkomst förknippas med särskilda integritetsrisker (prop. 2021/22:177 s. 78). Det handlar inte enbart om antagonistiska angrepp utifrån, utan även otillbörlig åtkomst inom en verksamhet kan få allvarliga konsekvenser om det sker digitalt på grund av att spridning kan ske på ett mer okontrollerat sätt. Det har även anförts att mottagaren också har större möjligheter att bearbeta den digitala informationen än om utlämnandet skett på papper (prop. 2007/08:126 s. 73). För en enskild är det av stor betydelse att veta vem som är personuppgiftsansvarig för de behandlingar av personuppgifter som den kommer omfattas av, eftersom det är till den en registrerad kan vända sig för utnyttjandet av sina rättigheter enligt förordningen och kompletterande lagstiftning. I dag regleras inte personuppgiftsansvaret för klinisk forskning i en egen kompletterande nationell lagstiftning till dataskyddsförordningen. Personuppgiftsansvaret följer i stället av dataskyddsförordningens regler, se artikel 4.7 i dataskyddsförordningen. Det innebär att innan en personuppgiftsbehandling påbörjas måste det stå klart för samtliga inblandade vem eller vilka som är personuppgiftsansvariga för den aktuella forskningen. Ett av villkoren för tillgängliggörande enligt lagen, som hänger ihop med personuppgiftsansvaret, är ett integritetshöjande samtycke (se vidare avsnitt 16.8.3). Ytterligare en aspekt är att för att ett samtycke, även då det rör sig om ett integritetshöjande samtycke, ska kunna anses vara informerat måste det dels framstå som tydligt vad för personuppgiftsbehandling som omfattas av samtycket, dels vem
683En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
som är ansvarig för personuppgiftsbehandlingen (jämför även uttalanden i bland annat remissvar DI-1366-2017). Utredningen har gjort bedömningen att personuppgiftsansvaret för den föreslagna direktåtkomsten måste regleras särskilt. Utredningen har i detta hänseende tittat på hur personuppgiftsansvaret reglerats avseende direktåtkomst i PDL samt SVOD (jämför 2 kap. 6 § PDL och 4 kap. 1 § SVOD, samt prop. 2007/08:126 s. 62 och prop. 2021/22:177 s. 131–133). Utredningen anser att den regionala myndighet eller det lärosäte som bedriver klinisk forskning och som ges tillgång till personuppgifter enligt lagen ska vara den personuppgiftsansvarige för den behandling som direktåtkomsten innebär. Det innebär att det är den myndigheten eller det lärosätet som ska se till att samtliga skyldigheter enligt dataskyddsförordningen uppfylls avseende denna behandling, se artikel 24 i dataskyddsförordningen. Övrig personuppgiftsbehandling inom ett forskningsprojekt regleras inte av den föreslagna lagen. Där gäller dataskyddsförordningens allmänna regler om personuppgiftsansvar.
16.6.3 Personuppgiftsansvar för informationssäkerhet
Personuppgiftsansvar innebär ett ansvar att se till att dataskyddsförordningen följs. Det innebär att även informationssäkerhet behöver beaktas av den som är personuppgiftsansvarig. Informationssäkerhet handlar om att skydda information, som att hindra informationen från att läcka ut till obehöriga, förvanskas eller förstöras. Det kan även handla om att rätt information ska finnas tillgänglig för rätt personer i rätt tid. Informationssäkerhet ska förhindra att informationen hamnar i orätta händer och missbrukas. Det är även viktigt att de registrerade vet vem eller vilka som använder deras personuppgifter och varför. Bristande informationssäkerhet kan få både allvarliga och direkta konsekvenser. Därför är det angeläget att belysa vikten av informationssäkerhet när utredningens författningsförslag ger nya möjligheter att behandla personuppgifter. När den regionala myndigheten som är ansvarig för tillgängliggörandet ger åtkomst till de relevanta uppgiftsmängderna gör den det med stöd av den föreslagna lagen och den rättsliga grund som skapats med den (se vidare om begreppet tillgängliggörande respektive om vilka uppgiftsmängder
684En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
som kan omfattas i avsnitt 16.7.1 och 16.7.5). För detta tillgängliggörande behövs det, enligt dataskyddsförordningen, finnas lämplig säkerhet (se artikel 32). Vad som utgör lämplig säkerhet ska enligt förordningen bedömas utifrån vad som utgör den senaste utvecklingen avseende säkerhet och genomförandekostnader. Det ska även bedömas utifrån behandlingens art, omfattning och sammanhang. Ändamål och riskerna för enskildas rättigheter och friheter behöver också beaktas. När personuppgifter behandlas i de verksamheter som faller inom PDL:s tillämpningsområde gäller Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården, förkortad HSLF-FS 2016:40, (se 1 kap. 1 § HSLF-FS 2016:40). När de regionala myndigheter inom hälso- och sjulvården som omfattas av den föreslagna lagen behandlar personuppgifter med stöd av lagen, är utredningen av uppfattningen att dessa föreskrifter inte gäller. Utredningen konstaterar att lämplig säkerhet i denna kontext inte skiljer sig nämnvärt från när aktuella personuppgifter behandlas inom ramen för PDL. Personuppgiftsbehandlingens art att det rör sig om känsliga personuppgifter enligt artikel 9, och att personuppgifterna kommer från myndigheter som faller under PDL:s tillämpningsområde, talar för att situationerna är liknande. Utredningen anser därför att en sådan regional myndighet som har att tillgängliggöra personuppgifter enligt den föreslagna lagen kan med fördel hämta viss ledning i HSLF-FS 2016:40 för bedömningen av vad som kan anses utgöra lämplig säkerhet i olika moment. Här återfinns bland annat regler om ledningssystem för systematiskt kvalitetsarbete, riskanalyser och detaljerad reglering om åtkomst av uppgifter om patienter. Det går även att få inspiration från hur behörigheter bör delas ut, förändras, tas bort och regelbundet följs upp. En annan viktig informationssäkerhetsaspekt kan vara vilka åtgärder som bör vidtas till skydd mot obehörig åtkomst, eller hur autentisering ska tillämpas. Andra säkerhetsaspekter som till exempel skydd mot brand och fukt behöver också ses över. Beskrivning av hur systematiska behörighetskontroller av patientuppgifter (så kallade loggkontroller) ska genomföras, hur ofta, av vem och så vidare behöver även tas höjd för vid arbetet med informationssäkerhet. Vad som slutligen utgör lämplig säkerhet i enlighet med dataskyddsförordningen när ett tillgängliggörande sker blir upp till den personuppgiftsansvariga regionala myndigheten inom hälsooch sjukvården att avgöra.
685En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
16.7 Tillgängliggörande av personuppgifter
Förslag : En regional myndighet eller ett lärosäte som bedriver klinisk forskning får ges tillgång till personuppgifter som behandlas av en regional myndighet som bedriver hälso- och sjukvård. Tillgången får ges genom en begränsad direktåtkomst eller annat elektroniskt utlämnande. När personuppgifter tillgängliggörs genom begränsad direktåtkomst, ska åtkomsten vara tidsbestämd. När den bestämda tidsperioden har löpt ut, ska den begränsade direktåtkomsten upphöra. Den regionala myndigheten inom hälso- och sjukvården kan, efter begäran, förlänga tidsperioden. Den totala tidsperioden får inte överskrida sex månader.
16.7.1 Begreppet tillgängliggörande
Lagen syftar övergripande till att förenkla möjligheterna till vidareanvändning av personuppgifter från hälso- och sjukvården för ändamålet klinisk forskning. En central aspekt i detta är att personuppgifter behöver göras tillgängliga. För att beskriva det led i vilket personuppgifter görs tillgängliga över en yttre sekretessgräns har utredningen valt att använda begreppet ”tillgängliggörande”. Ett tillgängliggörande är alltså när personuppgifter görs åtkomliga för en annan myndighet eller en annan självständig verksamhetsgren inom en myndighet. Utredningen använder också formuleringar som ”ges tillgång”, ”tillgången” eller liknande för att beskriva samma sak kopplat till vidareanvändningen av personuppgifter. I valet av begrepp för att beskriva att personuppgifter görs åtkomliga från en myndighet eller självständig verksamhetsgren har utredningen tagit intryck av närliggande lagstiftning. Utredningen konstaterar att ”tillgängliggörande” och ”ges tillgång” är begrepp som används i SVOD (se 2 kap. SVOD) kopplat till regler som avser utlämnade av personuppgifter mellan vård- och omsorgsgivare. Tillgängliggörande utgör det första ledet i en vidareanvändning, se avsnitt 16.4.1. I den del av utredningens förslag som handlar om ett nytt sjätte kapitel i PDL för behandling av personuppgifter för vård av en annan patient än den som uppgifterna avser, använder utredningen också
686En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
begreppet tillgängliggörande, se avsnitt 14.6 och 14.9. Vid tillgängliggörande till precisionsmedicinsk databas samt tillgängliggörande av kompletterande personuppgifter från patientjournal används begreppet ur datahållarens perspektiv, det vill säga den aktör som representerar ”från-sidan” vid ett tillgängliggörande (för ytterligare beskrivning av begreppet se avsnitt 2.6.7). Däremot används ”ges tillgång till”, det vill säga dataanvändarens perspektiv och ”till-sidan”, avseende tillgången som sker till personuppgifter i en precisionsmedicinsk databas. Vidare omfattar begreppet tillgängliggörande i de föreslagna reglerna i 6 kap. PDL även när uppgifter avskiljs inom en myndighet till en precisionsmedicinsk databas och när kompletterande personuppgifter görs tillgängliga inom en myndighet, se vidare avsnitt 14.6.2 och 14.9.2. Tillgängliggörandet är en behandling av personuppgifter hos den myndighet inom en region som tillgängliggör uppgifterna. Ett tillgängliggörande enligt den föreslagna lagen kan även utgöra ett utlämnande enligt TF, eller ett uppgiftslämnande enligt 6 kap. 5 § OSL. Tillgängliggörs sekretessbelagda uppgifter, vilket det enligt utredningens bedömning typiskt sett är fråga om, kan ett tillgängliggörande också utgöra ett röjande enligt OSL, se vidare kapitel 17.3. Ett tillgängliggörande kan rent praktiskt ske på olika sätt. Utredningens förslag avser dock endast digitalt tillgängliggörande i form av en så kallad begränsad direktåtkomst eller annat elektroniskt utlämnande. Formerna för tillgängliggörande redogörs för i följande avsnitt.
16.7.2 Formerna för det elektroniska tillgängliggörandet
För att skapa den förenkling som utredningen avser, behöver myndigheter inom hälso- och sjukvården kunna tillgängliggöra personuppgifter digitalt. Detta går i dag att göra endast genom annat elektroniskt utlämnande än direktåtkomst, där uppgifterna som ska ingå i utlämnandet menprövas i varje enskilt fall (se 5 kap. 6 § PDL). Utöver det behöver en tillräcklig nivå avseende informationssäkerhet säkerställas (se HSLF-FS 2016:40, se vidare 16.6.3). Myndigheten ska inte behöva göra en menprövning när utlämnande sker enligt de nya reglerna. I stället görs en bedömning av om villkoren i lagen är uppfyllda. Det är även av vikt att åtkomsten för forskarna behöver vara enklare och mer flexibel. Framför allt ser utredningen att det är motiverat när
687En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
det handlar om patientnära forskning (se utförligare beskrivning i avsnitt 15.6). Mellan myndigheter hos olika vårdgivare och mellan myndigheter inom en vårdgivare finns som utgångspunkt också yttre sekretessgränser mellan hälso- och sjukvårdsverksamhet och klinisk forskning. Det saknas regler om direktåtkomst eller annat elektroniskt utlämnande för ändamålet klinisk forskning, medan sådan åtkomst kan ske över dessa gränser för vårdändamål. Samma praktiska problem finns därmed även mellan myndigheter inom vårdgivaren som mellan vårdgivare när det kommer till utlämnande av personuppgifter till klinisk forskning. Utredningens uppfattning är att det inte alltid är motiverat med dessa gränser under förutsättning att integritets- och informationssäkerhetsaspekter kan omhändertas på ett fullgott sätt. Nedan utvecklar därför utredningen sitt resonemang om vad den föreslagna lösningen innebär.
Allmänt om innebörden av begreppen direktåtkomst och annat
elektroniskt utlämnande samt medföljande risker
Det saknas en legaldefinition av begreppet direktåtkomst. Utredning konstaterar att begreppet har berörts i många lagstiftningsarbeten och att det förekommer i ett stort antal författningar. I PDL och SVOD finns bestämmelser om direktåtkomst (se till exempel 5 kap. 4 §, 7 kap. 9 § PDL och 2 kap. 1 § SVOD). I avsnitt 7.5.6 redogörs närmare för vad som avses med direktåtkomst enligt PDL. Vanligtvis avses med begreppet direktåtkomst att någon har tillgång till någon annans register eller databas och att den på egen hand kan söka efter information, utan att kunna påverka innehållet i registret eller databasen. I begreppet ligger också att den som är personuppgiftsansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst söktillfälle tar del av (jämför prop. 2021/22:177 s. 46). I avsnitt 7.5.6 redogörs även kortfattat för HFD 2015 ref. 61. Av avgörandet framgår att för att ett elektroniskt utlämnande ska anses utgöra direktåtkomst krävs att den aktuella upptagningen anses förvarad hos mottagaren på det sätt som avses i 2 kap. 6 § första stycket TF. Det innebär att upptagningen är tillgänglig för mottagaren med tekniskt hjälpmedel som mottagaren själv utnyttjar för överföring i
688En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt (jämför även HFD 2020 not 16). En konsekvens är då att informationen utgör en allmän handling hos den myndigheten som har rätt till direktåtkomsten. Ju fler myndigheter som har direktåtkomst till uppgifter hos någon annan myndighet, desto fler ställen kommer uppgifterna finnas på och som då utgörs av allmänna handlingar. Sekretesskyddet, men även i viss mån integritetsskyddet i allmänhet, blir således beroende av vad för typ av sekretess uppgifterna kommer omfattas av hos den mottagande myndigheten, se vidare avsnitt 17.3. Ett förlorat sekretesskydd kan kompenseras med andra typer av sekretessbestämmelser som till exempel bestämmelser om överföring av sekretess. I 11 kap. 4 § OSL föreskrivs att om en myndighet hos en annan myndighet har elektronisk tillgång till en upptagning för automatiserad behandling och en uppgift i denna upptagning är sekretessreglerad, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Bestämmelsen motiveras av att en myndighet vid direktåtkomst regelmässigt får teknisk tillgång till fler uppgifter än de uppgifter som omfattas av myndighetens rätt att ta del av uppgifter (jämför prop. 2007/08:160 s. 73). Ur ett dataskyddsperspektiv har åtkomst i form av direktåtkomst ansetts utgöra en särskilt integritetskänslig åtkomstform (se till exempel prop. 2021/22:177 s. 78). Den ökade integritetskänsligheten kan anses bestå dels av att personuppgifter i elektronisk form lättare kan bearbetas, dels att den personuppgiftsansvarige inte har samma typ av kontroll över vilka personuppgifter den mottagande parten tar del av eller vid vilken tidpunkt (jämför prop. 2007/08:126 s. 73–76). I förarbetena till SVOD har det anförts att skillnaden mellan direktåtkomst och annat elektroniskt utlämnande i praktiken inte behöver vara särskilt stor (jämför HFD 2015 ref. 61 och prop. 2021/22:177 s. 78). Ett exempel på annat elektroniskt utlämnande är en elektronisk så kallad fråga-svars-funktion (prop. 2021/22:177 s. 78). Utredningen uppfattar dock att en viktig juridisk skillnad är att vid ett annat elektroniskt utlämnade än direktåtkomst, sker utlämnandet av en avgränsad informationsmängd som är anpassad för det specifika utlämnandetillfället. Då kan, åtminstone i teorin, också en sekretessprövning ske vid varje sådant utlämnandetillfälle. Vid direktåtkomst saknas som ovan nämnts möjligheten till det.
689En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
Gränsen mellan elektroniskt utlämnande och direktåtkomst kan bli oskarp i och med den tekniska utvecklingen. Utredningen finner i ljuset av detta att det snarare handlar om att identifiera vilka juridiska frågor som behöver lösas för att ett utlämnande eller utbyte av uppgifter ska kunna fungera i en viss kontext. En väsentlig poäng med att fortsätta skilja direktåtkomst som utlämnandeform från andra elektroniska former för utlämnande, är enligt utredningen att den förutsätter att relevanta sekretessfrågor är lösta på ett mer generellt plan på förhand, innan utlämnandet sker (jämför prop. 2007/08:160 s. 73).
Utgör utredningens förslag direktåtkomst?
Utredningen gör bedömningen att uppgifterna som kommer att omfattas av tillgängliggörandet, åtminstone vid det tillfälle den mottagande regionala myndigheten eller lärosätet ges tillgång till dessa, genom exempelvis inloggningsuppgifter eller tilldelas behörighet i ett system, måste anses förvarade enligt 2 kap. 6 § TF hos den regionala myndighet eller det lärosäte som tillgängliggörandet sker till. Vidare kommer de regionala myndigheterna inom hälso- och sjukvården vid tillgängliggörandet inte behöva göra en formell sekretessprövning, utan tillämpar i stället villkoren i den föreslagna lagen. Den regionala myndigheten eller lärosätet som bedriver klinisk forskning kommer inom ramen för sin behörighet kunna söka på relevanta uppgiftsmängder. Som vid andra former av direktåtkomst, kommer den regionala myndigheten eller lärosätet som bedriver klinisk forskning, själv disponera när och hur ofta åtkomst till de aktuella uppgifterna kommer att ske. Vid dessa tillfällen kommer det göras utan den tillgängliggörande myndighetens inblandning och kontroll. Eftersom ett urval sker av vilka uppgifter som görs tillgängliga, skulle det kunna argumenteras för att det i det hänseendet mest liknar en annan form av elektroniskt utlämnande än direktåtkomst. Urvalet görs dock på mängd-nivå och det kommer finnas överskottsinformation i uppgiftsmängderna. Ett möjligt scenario är att endast ett vårdtillfälle kan göras tillgängligt. Det innebär inte att all information från det vårdtillfället är relevant för forskningen. Den aspekten talar för att det rör sig en form av direktåtkomst. Ur ett sekretess- och dataskyddsperspektiv anser därför utredningen att det ses som en form av direkt-
690En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
åtkomst. Sammanfattningsvis gör utredningen bedömningen att tillgängliggörandet enligt lagen är en begränsad direktåtkomst. Utredningens uppfattning är att det av tydlighetsskäl bör framgå uttryckligen av lagen. Något annat begrepp än begränsad direktåtkomst bör bland annat av enhetlighetsskäl inte användas. Utredningens föreslagna regler om dataskydd respektive sekretess har även utformats utifrån detta (se vidare avsnitt 16.7.3, 16.8 och 16.9 som avser dataskydd samt avsnitt 17.4 som handlar om sekretess). Utredningen konstaterar att formuleringen ”direktåtkomst eller annat elektroniskt utlämnande” nyligen har använts i lagstiftningssammanhang (se 2 kap. 1 § SVOD och prop. 2021/22:177 s. 76). Syftet är att inte låsa in tillgängliggörandet i formen av en direktåtkomst om andra mer integritetsvänliga lösningar finns. Utredningen anser att dessa överväganden även har bäring på utredningens förslag. Utredning föreslår därför att samma formulering ska användas i den föreslagna lagen. Detta innebär att regionala myndigheter som bedriver hälsooch sjukvård ges möjlighet till olika tekniska lösningar som kan användas vid tillgängliggörande enligt lagen.
Närmare om vad utredningen avser med begränsad direktåtkomst
De uppgifter som den regionala myndigheten eller det lärosäte som bedriver den kliniska forskningen ges åtkomst till, är begränsade till att endast innehålla personuppgifter om de registrerade som ingår i forskningsprojektet samtyckt till att delta i forskningen och till den förenklade åtkomsten (se vidare avsnitt 16.8.2 och 16.8.3). Vidare är de personuppgifter som omfattas av tillgängliggörandet sådana uppgiftsmängder som har valts ut av den tillgängliggörande myndigheten (se avsnitt 16.7.5). Det är alltså inte fråga om att samtliga uppgifter om dessa forskningspersoner ska finnas potentiellt tillgängliga för forskning. Vidare ser utredningen framför sig att tillgängliggörandet av personuppgifter innebär att relevanta uppgifterna endast visas för den som tilldelats behörighet inom den regionala myndigheten, eller det lärosäte som bedriver den kliniska forskningen (se vidare under avsnitt 16.9.3). Att direktåtkomsten därför bör ses som begränsad anser utredningen följer av att åtkomsten är avgränsad i tillgängliga uppgifts-
691En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
mängder om ett begränsat antal personer, av vem som tilldelats behörighet för att se uppgifterna och av att åtkomsten är tidsbestämd (se under avsnitt 16.7.3). Begreppet direktåtkomst är inte definierat i lagstiftning i dag. Utredningen anser att det är ett begrepp som inte enkelt låter sig fångas i en tydlig definition. Utredningen anser mot denna bakgrund att det inte är lämpligt med en definition i lagen om vad begränsad direktåtkomst avser. Ledning i rättstillämpningen får i stället hämtas från beskrivningar av vad begreppet avser. Uppgifterna som visas ska, genom användning av tekniska begränsningar, vara avskuren på sådant sätt att den mottagande myndigheten eller lärosätet som har rätt till en begränsad direktåtkomst enligt lagen endast kan se det som omfattas av den begränsade direktåtkomsten. Utredningen lämnar inte förslag i lagen på hur ett tillgängliggörande rent tekniskt ska gå till, annat än att lagen endast omfattar utlämnande i elektronisk form. Myndigheterna inom hälso- och sjukvården som omfattas av reglerna står som nämnts ovan fria att använda de tekniska lösningar som de finner lämpligt för att åstadkomma den begränsade direktåtkomsten. Vid utvecklandet av den tekniska lösningen behöver den personuppgiftsansvariga regionala myndighet som bedriver hälso- och sjukvård ta hänsyn till samtliga relevanta regelverk, se vidare under 16.6.3. Utredningen har i figur 16.1 på ett övergripande plan försökt redogöra genom en förenklad bild av hur utredningen ser framför sig att behörighethetstilldelningen rent praktiskt skulle kunna se ut.
692En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
Figur 16.1 Illustration som visar ett exempel på hur ett behörighetssystem
skulle kunna se ut
Behörighet från region A
Användare Behörighet från regionen
Lärosäte A X Lärosäte B X Läresäte C X … X
Behörighet inom lärosäte B
Användare Behörighet från lärosätet
X Förnamn Efternamn på personen vid lärosätet som behörigheten avser. Person 2 X Person 3 X … X … X Källa: Utredningens illustration.
16.7.3 Den begränsade direktåtkomsten ska vara tidsbestämd
Som tidigare anförts (se särskilt avsnitt 16.1.2, 16.6 och 16.7.2) bör elektroniska utlämnanden av olika skäl ses som extra integritetskänsliga. I detta sammanhang bör det även beaktas att det rör sig om känsliga personuppgifter som, beroende på forskningsprojektets storlek, kan avse många registrerade och även omfatta många uppgifter om varje registrerad. Av artikel 5.1 e i dataskyddsförordningen följer att en personuppgiftsansvarig inte får lagra personuppgifter längre än vad som är nödvändigt för ändamålen de behandlas för. Det finns dock möjlighet att göra undantag för bland annat arkivändamål av allmänt intresse och vetenskapliga eller historiska ändamål. När uppgifterna tillgängliggörs med stöd av lagen görs det för ändamålet klinisk forskning. Avsikten är att förenkla tillgången för regionala myndigheter och
693En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
lärosäten som bedriver klinisk forskning. Tillgången innebär att uppgifter som behövs kan tillföras forskningen. Med anledning av att en personuppgiftsansvarig inte får lagra personuppgifter längre än vad som är nödvändigt för ändamålen de behandlas för, har utredningen gjort bedömningen att den begränsade direktåtkomsten ska vara tidsbestämd. Utredningen ser inte heller att forskningsprojekten har något behov av att ha en sådan åtkomst under en obegränsad eller längre tid. Den begränsade direktåtkomsten bör då vara tidsmässigt anpassad efter förutsättningarna i det enskilda fallet. Behovet i tid kan variera med hänsyn till omfattningen beroende på antalet forskningspersoner, vilka uppgiftsmängder som har tillgängliggjorts och vad syftet med forskningen är. Det blir upp till den regionala myndigheten som tillgängliggör uppgifterna att besluta om den aktuella tidsperioden för varje tillgängliggörande utifrån dessa omständigheter. Tidsperioden för en begränsad direktåtkomst bör bestämmas utifrån vad som behövs för det aktuella forskningsprojektet. Utredningen ser framför sig att det relativt snabbt bör kunna byggas upp en intern praxis hos regionala myndigheter inom hälso- och sjukvården kring vad som är en skälig tid utifrån dataskyddsförordningens krav för olika forskningsprojekt. Det är även tänkbart att tiden sätts utifrån viss dialog med den regionala myndighet eller det lärosäte som begärt ett tillgängliggörande. Efter att tidsperioden har löpt ut ska den begränsade direktåtkomsten upphöra. Med upphörande avses i detta fall att den regionala myndigheten eller lärosätet inte längre ska ha åtkomst till uppgifterna. Med upphörande avses i detta fall att den regionala myndigheten eller lärosätet inte längre ska ha begränsad direktåtkomst till uppgifterna. För att undvika extra administration eller att ett upphörande av åtkomsten inte sker eller glöms bort, ska en tidpunkt för upphörande vara bestämd i förväg. Ett upphörande av ett tillgängliggörande enligt lagen kan med fördel ske automatiskt utan manuell handläggning. Utredningen anser att det är lämpligt att den satta tidsperioden ska kunna förlängas efter begäran. Det kan sannolikt vara så att omständigheter inträffar, som inte alltid gått att förutspå i förväg, som gör att den bestämda tidsperioden inte räcker. Då är det rimligt att en förlängning kan begäras. En sådan begäran bör alltid motiveras för att den personuppgiftsansvariga myndigheten som bedriver hälsooch sjukvård ska kunna avgöra om skäl finns för att godkänna sådan förlängning. Utredningens bedömning är vidare att det ska finnas en
694En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
maximal tidsperiod som inte får vara för omfattande. Detta eftersom syftet med att ha en tidsbestämning annars skulle kunna gå förlorad. Utredningen har härvid beaktat vad som gäller enligt den finska sekundäranvändningslagen (se även kapitel 10) och vad som gäller enligt Europeiska kommissionens förslag till Europaparlamentets och Rådets förordning om ett europeiskt hälsodataområde, COM(2022) 197 final av den 3 maj 2022 (nedan förslaget till EHDS). Av det förslag till EHDS framgår det i artikel 46.9 att den bortre gränsen för data att finnas tillgänglig i en säker behandlingsmiljö hos en ansvarig myndighet för primär- och sekundäranvändning, är sex månader efter att ett tillgängliggörande har skett (se vidare avsnitt 19.5). Bland sekundäranvändningsändamålet enligt förslaget till EHDS finns forskning. Utredningen anser att sex månader även kan vara en lämplig total tidsperiod för en begränsad direktåtkomst enligt utredningens förslag till lag. Sex månader bör vara tillräckligt för att kunna täcka behovet av åtkomst även för omfattande projekt och fall där det krävs mer omfattande arbete i det efterföljande momentet att tillföra forskningen de uppgifter som behövs. Avseende att tillföra forskningen uppgifter, se avsnitt 16.9.3). Utredningen vill dock framhålla att tidsperioden för ett tillgängliggörande som huvudregel ska bestämmas till en kortare tidsperiod än sex månader. Det är således endast i undantagsfall det kan anses finnas skäl med en tidsperiod som motsvaras av den totala tidsperiod som fastställs i lagen. När en begäran om förlängning godkänns skulle krav kunna ställas på att den myndighet som är personuppgiftsansvarig för tillgängliggörandet motiverar skälen för godkännandet. Utredningen gör dock bedömningen att en sådan process medför en ökad administrationen som inte vägs upp av en motsvarande nytta, varför utredningen inte anser att det är lämpligt att ställa krav på en sådan aktivitet.
16.7.4 Endast en regional myndighet eller ett lärosäte
som bedriver klinisk forskning får ges tillgång
till personuppgifter
Utredningens förslag för ändamålet klinisk forskning avser tillgängliggörande till en regional myndighet, ett statligt universitet, en statlig högskola eller en enskild utbildningsanordnare som jämställs med myndighet enligt OSL. Begreppet regional myndighet berörs i avsnitt 16.3.3. För att gemensamt benämna ett statligt universitet, en
695En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
statlig högskola eller en enskild utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § OSL använder utredningen begreppet ”lärosäte”, se avsnitt 16.3.4. Andra aktörer som bedriver klinisk forskning kan inte ges tillgång till personuppgifter enligt den föreslagna lagen. Dessa aktörer kan dock, även i fortsättningen, använda allmänna regler om utlämnande av allmänna handlingar eller uppgifter enligt TF eller, för det fall de utgör myndigheter, av informationsskyldigheten enligt regleringen, 6 kap. 5 § OSL, se avsnitt 8.2. För utredningens överväganden avseende avgränsningen på dataanvändarsidan, se avsnitt 2.6.7 samt nedan ”Tillgängliggörande till forskningsprojekt med flera aktörer”. Se vidare om privata aktörers tillgång till hälsodata för forskning i kapitel 20.
Klinisk forskning som bedrivs av regioner
När utredningen använder termen klinisk forskning avses sådan forskning som förutsätter vårdens strukturer och resurser och som har som mål att lösa ett hälsoproblem eller identifiera faktorer som leder till ökad hälsa, se avsnitt 16.4.6. Eftersom den kliniska forskningen förutsätter vårdens strukturer och resurser innebär det att regioner inte sällan på ett eller annat sätt medverkar i, eller själva bedriver forskning. Den kliniska forskningen bedrivs därmed ofta i nära anslutning till hälso- och sjukvården, och ofta på regionsjukhusen (universitetssjukhusen). Regionerna har också ett enligt lag reglerat ansvar att medverka vid finansiering, planering och genomförande av klinisk forskning inom vården. Ansvaret innebär också att regioner, i den omfattning det behövs, ska samverka med varandra och med berörda universitet och högskolor (18 kap. 2 § HSL), se vidare avsnitt 6.3.2. Regioner har därmed en central roll i den kliniska forskningen. Tillgängliggörande enligt lagen får ske till en regional myndighet som bedriver forskning. Detta omfattar tillgängliggörande från hälsooch sjukvårdsverksamhet som självständig verksamhetsgren inom en myndighet, till forskningsverksamhet inom samma myndighet. Det omfattar även tillgängliggörande från hälso- och sjukvårdsverksamhet i en myndighet inom en region till forskningsverksamhet i en annan
696En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
myndighet inom samma region. Det omfattar slutligen även tillgängliggörande från hälso- och sjukvårdsverksamhet i en myndighet inom en region till forskningsverksamhet i en annan myndighet i en annan region. Utredningens förslag omfattar tillgängliggörande av personuppgifter i samtliga nu nämnda situationer.
Klinisk forskning som bedrivs av lärosäten
En stor del av den forskning i Sverige som bedrivs av offentligrättsliga aktörer utförs vid lärosäten. I 2 kap. 18 § andra stycket regeringsformen, förkortad RF, fastslås att forskningens frihet är skyddad enligt bestämmelser som meddelas i lag. Högskolelagen (1992:1434) reglerar verksamhet vid lärosäten under statligt huvudmannaskap och innehåller bestämmelser som tar avstamp i grundlagsregleringen. I 1 kap. 2 § högskolelagens anges forskning som en huvuduppgift. I 1 kap. 3 a § samma lag uppställs krav på att vetenskapens trovärdighet och god forskningssed värnas i verksamheten. I 1 kap. 6 § 2 regleras forskningens frihet, genom att allmänna principer anges för den delen av högskolornas verksamhet. Eftersom klinisk forskning kräver vårdens strukturer och resurser är hälso- och sjukvården mer eller mindre inblandad i den kliniska forskning som bedrivs av lärosäten. I vissa situationer kan det handla om nära band, till exempel genom att den forskande personalen är anställd både på lärosätet och inom hälso- och sjukvården, och forskningen sker patientnära. I andra situationer kan det handla om att hälso- och sjukvården ”bidrar” med patienter och informationsunderlag, men att själva forskningen inte sker inom hälso- och sjukvårdens organisation utan på lärosätet. Utredningen anser att en förutsättning för att lärosäten ska kunna omfattas av möjligheten till enklare tillgång till personuppgifter enligt lagen är att ett fullgott sekretesskydd kan garanteras på dataanvändarsidan. Utredningens förslag omfattar därför endast lärosäten som omfattas av OSL. Därmed inkluderas även de enskilda utbildningsanordnare med tillstånd att utfärda examen på forskarnivå som är organ som enligt 2 kap. 4 § OSL jämställs med myndighet i sin forskningsverksamhet. För utredningens överväganden kring sekretessfrågor kopplade till ändamålet klinisk forskning, se avsnitt 17.3 och 17.4.
697En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
Varför ska regioner och högskolor omfattas av förenklad
tillgång till personuppgifter inom hälso- och sjukvården?
Det finns redan i dag särskilda sekretessregler som underlättar vissa utlämnanden från hälso- och sjukvården till klinisk forskning (se 11 kap. 3 § och 25 kap. 11 § 5 OSL). I praktiken förekommer också utlämnande av personuppgifter i stor omfattning till klinisk forskning. Däremot är självahanteringen kring utlämnande opraktisk och utdaterad i flera avseenden. Några av de praktiska problem som utredningen har fått till sig är att utlämnandena kräver en omfattande och tidskrävande manuell sammanställning av uppgifter som ofta utförs av administrativ personal hos den utlämnande myndigheten. Detta leder till långa ledtider som i sin tur medför fördröjning i forskningsprojekten. Utöver det sker utlämnandena fortfarande ibland på papper, trots att uppgifterna hanteras digitalt både före och efter utlämnandet, se vidare kapitel 12 (Problemanalys). Utredningen ser att det därför finns ett behov av regler som möjliggör ett enklare och mer modernt sätt att tillgängliggöra personuppgifter till klinisk forskning. Utredningens förslag om regler för enklare tillgång till personuppgifter är ett sätt att underlätta tillgången. Det finns dock också andra åtgärder än regelförändringar som kan förenkla vidareanvändning av personuppgifter för klinisk forskning, se vidare avsnitt 15.3.4. En stor del av den kliniska forskningen med nära koppling till hälso- och sjukvården bedrivs av regionala myndigheter och lärosäten. Stora delar av de volymerna av utlämnanden som sker i dag enligt befintliga regler sker till därför dessa aktörer. Behoven av enklare tillgång och minskad administration är därför kopplade till regionerna och lärosätena när de utför klinisk forskning. Det är också hos regionala myndigheter, framför allt genom regionsjukhusen (universitetssjukhusen), som en stor del av den patientnära kliniska forskningen sker. Ibland bedrivs forskningen enbart av den regionala myndigheten, men ofta sker den tillsammans med lärosäten. I sådan forskning sker ofta vård och forskning parallellt. Detta ger inte sällan upphov till situationen att en person, i rollen som vårdpersonal och för ändamålet vård, kan ta del av uppgifter om en patient. När samma person sedan behöver samma uppgifter för sin roll som forskare, behöver det ske genom en krånglig administrativ process, se avsnitt 12.3.2. Utredningen ser att det finns ett stort behov av att förenkla den processen. Samtidigt behöver tillgången till känsliga per-
698En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
sonuppgifter som finns inom hälso- och sjukvårdsverksamhet för klinisk forskning alltjämt ske på ett kontrollerat sätt. En tillämpning av utredningens föreslagna regler förutsätter en viss beslutsprocess och tillgängliggörandet får endast ske om vissa villkor är uppfyllda, se avsnitt 16.8. Utredningen har övervägt om det för att uppnå syftena med förslagen skulle räcka att endast regionala myndigheter omfattas av möjligheterna till tillgång enligt den föreslagna lagen. I många fall där ett lärosäte är forskningshuvudman eller motsvarande borde en regional myndighet vara involverad på ett sådant sätt i den kliniska forskningen att forskningen anses bedrivas i vart fall även hos den regionala myndigheten och inte enbart hos lärosätet. Aktörer inom forskningen har dock påtalat för utredningen att viktig klinisk forskning skulle uteslutas från de förenklade möjligheterna till tillgång om förslagen endast omfattar regionala myndigheter. Det är i praktiken många faktorer som påverkar vem eller vilka som anges som forskningshuvudman eller motsvarande för ett forskningsprojekt (se vidare avsnitt nedan). Att låta reglerna endast omfatta regionala myndigheter som bedriver forskning kan medföra att en skillnad görs mellan klinisk forskning som i praktiken bedrivs på mycket likartade sätt. Utredningen anser att det är mer ändamålsenligt att ställa andra krav på när bestämmelserna får tillämpas, än att göra en skillnad mellan regionala myndigheter och lärosäten. Det viktiga ur integritetsskyddssynpunkt är att tillgängliggörandet endast får ske till aktörer som omfattas av OSL och att den enklare tillgången endast får ske efter samtycke från den registrerade, se avsnitt 16.8.3. Detta garanterar ett tillräckligt integritetsskydd även i förhållande till lärosäten som dataanvändare. Utredningen anser därför att även lärosäten ska omfattas av förslagen om enklare tillgång till personuppgifter för ändamålet klinisk forskning.
Tillgängliggörande till forskningsprojekt med flera aktörer
Ovan har framgått att tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande endast får ske till en regional myndighet eller ett lärosäte. Detta betyder att utlämnandet av personuppgifter sker till en regional myndighet eller ett lärosäte. Det är vanligt att klinisk forskning sker i samarbete mellan flera olika aktörer. Det förekommer att regionala myndigheter och läro-
699En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
säten samarbetar i kliniska forskningsprojekt. Det förekommer även att regionala myndigheter och lärosäten tillsammans eller var för sig samarbetar med andra aktörer i kliniska forskningsprojekt. Exempelvis kan samarbete ske mellan en regional myndighet och ett privat företag inom ramen för ett kliniskt forskningsprojekt. I en sådan situation kan ett tillgängliggörande, för det fall förutsättningarna enligt lagen är uppfyllda, ske till den regionala myndigheten. Det finns alltså inget som hindrar att fler aktörer är involverade i forskningen, än den eller de som har möjlighet att ges tillgång till personuppgifter enligt utredningens förslag om enklare tillgång. Andra aktörer kan vara både svenska och utländska. Indirekt kan därmed även andra aktörer än de som själva tillgängliggörandet sker till dra nytta av utredningens förslag till enklare tillgång till personuppgifter, utifrån att det utgör en förenkling för forskningsprojektet som helhet. Utredningen föreslår vidare ett fåtal bestämmelser som rör den regionala myndighetens behandling av tillgängliggjorda personuppgifter, se avsnitt 16.9. Hur personuppgifterna i övrigt hanteras och eventuellt delas till andra aktörer inom forskningsprojektet regleras inte av utredningens lagförslag. Detta är ingen skillnad mot nu gällande ordning. När utlämnande sker enligt allmänna regler i dag sker det också typiskt sett till en offentlig aktör i forskningsprojektet. Hur utlämnad information sedan hanteras är en fråga för forskningsprojektet. Utredningens förslag innebär ingen skillnad i det avseendet. Vad utredningen förstått anser regionala myndigheter inom hälsooch sjukvården att möjligheterna till utlämnande av personuppgifter från hälso- och sjukvården direkt till privata företag som bedriver klinisk forskning är relativt begränsade i dag. Utlämnande sker typiskt sett till en offentlig aktör som omfattas av OSL och uppgifterna slussas sedan vidare inom forskningsprojektet i avidentifierad form. Denna ordning kan även tillämpas kopplat till utredningens förslag. I ett forskningsprojekt där exempelvis privata aktörer samarbetar med en regional myndighet eller ett lärosäte, kan den offentliga aktören ges tillgång till personuppgifter enligt utredningens förslag. Därefter kan den privata aktören efter avidentifiering och enligt den ordning som i övrigt tillämpas för personuppgiftshantering inom projektet, ta del av uppgifterna.
700En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
16.7.5 Urval av uppgiftsmängder vid tillgängliggörande
Förslag : Tillgång får endast avse uppgiftsmängder som kan antas ha betydelse för forskningen.
Som beskrivits i kapitel 12 och avsnitt 15.3 är urvalet och menprövningen av samtliga relevanta personuppgifter en betungande administrativ process. Ett av syftena med lagen är att förenkla tillgången till personuppgifter vid klinisk forskning (se vidare avsnitt 16.1). För att uppnå detta har utredningen föreslagit elektroniskt tillgängliggörande i form av en så kallad begränsad direktåtkomst eller genom annat elektronisk utlämnande (för närmare beskrivning om vad som avses med det se avsnitt 16.7.2 och 16.7.3), vilket innebär att de uppgifter som kommer att lämnas ut genom det föreslagna förfarandet inte kommer att menprövas. I stället tillämpas villkoren i den föreslagna lagen. Enligt dataskyddsförordningen har varje personuppgiftsansvarig en skyldighet att uppgiftsminimera vid de behandlingar som de är ansvariga för (artikel 5.1 c). Med uppgiftsminimering avses att personuppgifterna som ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål som personuppgifterna behandlas för (för en utförligare beskrivning se avsnitt 7.2.2). En personuppgiftsansvarig som får en begäran om att få ta del av uppgifter i enlighet med lagen behöver därför enligt dataskyddsförordningen se till att kraven på uppgiftsminimering är tillgodosedda inför tillgängliggörandet. Vid behandling för bland annat vetenskapliga forskningsändamål, ska det finnas skyddsåtgärder för att se till att principen om uppgiftsminimering iakttas (artikel 89.1 i dataskyddsförordningen). Det finns därför ett behov av en särskild bestämmelse som särskilt tar sikte på principen vid tillämpning av lagen. Den personuppgiftsansvariga får enligt lagen tillgängliggöra de uppgiftsmängder som kan antas ha betydelse för forskningen utifrån vad det aktuella forskningsprojektet eller del av projektet har som vetenskaplig frågeställning (jämför 6 § EPL och prop. 2002/03:50 s. 113). Vad som avses med uppgiftsmängder som kan antas ha betydelse för forskningen får tolkas utifrån vilka uppgiftsmängder som finns hos den aktuella regionala myndigheten som bedriver hälso- och sjukvård och utifrån syftet med forskningen. Det ska enligt utredningens mening finnas ett bedömningsutrymme för den regionala myndighet som till-
701En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
gängliggör uppgifter. Även praktiska faktorer såsom vad som med rimliga manuella eller tekniska åtgärder går att avskilja ska kunna beaktas. För att illustrera hur utredningen ser på den bedömning som den regionala myndigheten som bedriver hälso- och sjukvård har att göra kan följande exempel tas. Ponera att i ett forskningsprojekt har ett hundratal personer som samtyckt till att delta i ett forskningsprojekt där den vetenskapliga frågeställningen rör hjärtsvikt. Då ska den regionala myndighet inom hälso- och sjukvården som är ansvarig för tillgängliggörandet enligt den föreslagna lagen endast omfatta de uppgifter som vid en övergripande bedömning antas ha betydelse för just den frågeställningen. Uppgifter som handlar om patientens vård som inte alls kopplar till hjärtsvikten bör därför inte omfattas av tillgängliggörandet. Däremot ska till exempel uppgifter från ett vårdtillfälle kunna göras tillgängliga om informationen från vårdtillfället generellt sett är av relevans för forskningsprojektet, även om inte exakt alla dokumenterade uppgifter från det vårdtillfället kan antas ha betydelse för forskningen. Det är alltså fråga om ett mer schematiskt urval av relevanta uppgiftsmängder avseende de personer som samtyckt till att delta i forskningen, samt lämnat det integritetshöjande samtycke som regleras av lagen, till skillnad från en menprövning av varje uppgift som ska omfattas av utlämnande i förhållande till respektive person. För att kompensera för det integritetsintrång som blir följden av detta mer övergripande urvalet har utredningen föreslagit en regel om absolut sekretess för överskottsinformation inom ramen för den begränsade direktåtkomsten (se vidare avsnitt 17.4.).
Särskilt om urvalet inom en organisation
Hur urvalet ska se ut rent tekniskt reglerar inte den föreslagna lagen. Den åtkomst som möjliggörs enligt den föreslagna lagen behöver hållas tekniskt separerad från de övriga åtkomstmöjligheter som den aktuella medarbetaren tilldelats. Det ska inte heller kunna finnas några möjligheter att tillföra uppgifter som inte uppfyller samtliga villkor i lagen. Utredningen anser även att en sådan teknisk begränsning är en viktig faktor för att upprätthålla förtroendet från de som deltar i forskningen för att deras samtycke inte kan ”missbrukas”. Likaså är det ur ett dataskyddsrättsligt perspektiv viktigt att gränserna mellan
702En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
de olika personuppgiftsansvariga inom hälso- och sjukvården respektive forskningen, upprätthålls.
16.8 Villkoren för tillgängliggörande
Utredningen ser behov av att lagen uppställer särskilda villkor för att ett tillgängliggörande ska få ske. Det är enligt utredningens bedömning vid tillgängliggörandet som integritetsskyddade regler har mest effekt. Det är av flera skäl mindre lämpligt att ha detaljerade regler på dataanvändarsidan när ändamålet för vidareanvändningen är forskning. Dels har det sämre effekt på integritetsskyddet, dels omfattas inte forskning i dag av någon generell kompletterande personuppgiftslagstiftning, se vidare avsnitt 16.9.1.
16.8.1 Forskning som personuppgifterna ska användas i
Förslag : Tillgängliggörande får endast avse personuppgifter som ska användas i – forskning som har godkänts av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning enligt EPL, – en klinisk läkemedelsprövning som har beviljats eller anses ha beviljats tillstånd i enlighet med förordning (EU) nr 536/2014, – en klinisk prövning som får påbörjas eller genomföras i enlighet med bestämmelser i förordning (EU) 2017/745 eller enligt lagen (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter eller föreskrifter meddelade i anslutning till den lagen, eller – en prestandastudie som får påbörjas eller genomföras i enlighet med bestämmelser i förordning (EU) 2017/746.
Tillgängliggörande av personuppgifter till forskningsprojekt innefattar vissa risker för de registrerades personliga integritet. Ett naturligt och i sammanhanget lämpligt sätt att säkerställa att de registrerades känsliga personuppgifter hanteras säkert är att föreskriva krav på att tillgängliggörande endast får ske till sådana forskningsprojekt som
703En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
har etikgodkännande eller motsvarande. Utredningens utvecklar sina överväganden i det följande.
Forskning enligt etikprövningslagen
EPL tillämpas bland annat på forskning som innefattar behandling av känsliga personuppgifter (3 §). De personuppgifter som, genom utredningens förslag kommer vara föremål för tillgängliggörande, är uppgifter om hälsa. Sådana personuppgifter anses som känsliga personuppgifter. Den forskning som omfattas av etikprövningslagen får inte utföras utan ett etikgodkännande (6 §). Med begreppet att utföra forskning avses själva genomförandefasen, det vill säga att forskningen påbörjas genom att forskningspersoner rekryteras och material samlas in, att konkreta försök utförs och att den kunskap som kommer fram analyseras och bearbetas (prop. 2002/03:50 s. 114, 115 och 195). Att material samlas in för forskning ingår alltså i utförandet av forskningen, för vilken det ska finnas ett etikgodkännande. I 7–11 §§ EPL anges de allmänna utgångspunkter som gäller vid etikprövningen. Syftet med bestämmelserna är att skydda både människovärdet i stort och den enskilde forskningspersonens välbefinnande (prop. 2002/03:50 s. 196). Enligt EPL får forskning bara godkännas om den kan utföras med respekt för människovärdet. Mänskliga rättigheter och grundläggande friheter ska alltid beaktas vid etikprövningen samtidigt som hänsyn ska tas till intresset av att ny kunskap kan utvecklas genom forskning. Människors välfärd ska ges företräde framför samhällets och vetenskapens behov. Vidare gäller för godkännande att de risker som forskningen kan medföra för forskningspersoners hälsa, säkerhet och personliga integritet uppvägs av dess vetenskapliga värde. Forskning får inte heller godkännas om det förväntade resultatet kan uppnås på ett annat sätt som innebär mindre risker för forskningspersoners hälsa, säkerhet och personliga integritet. Behandling av sådana personuppgifter som avses i 3 § får dessutom godkännas bara om den är nödvändig för att forskningen ska kunna utföras. Det ställs också krav på vetenskaplig kompetens hos forskaren. Det sagda framgår av 7–11 §§ EPL. Utredningens bedömning är att en förutsättning för ett tillgängliggörande av personuppgifter enligt utredningens förslag ska vara att
704En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
forskningshuvudmannen har ett etikgodkännande enligt EPL (eller motsvarande enligt EU-förordningarna vilket utvecklas nedan). Detta blir ett extra skydd där tillgängliggörande bara sker till de forskningsprojekt som får utföras enligt de forskningsspecifika bestämmelserna. På så sätt omgärdas de känsliga personuppgifterna av ett integritetsskydd när uppgifterna tillgängliggörs för forskning. Detta anser utredningen är ett naturligt och i sammanhanget lämpligt sätt att säkerställa att de registrerades känsliga personuppgifter hanteras säkert även vid den fortsatta behandlingen i forskningsprojekten. Detta anknyter också till bestämmelserna i EU:s dataskyddsförordning. Att uppställa krav på etikgodkännande bedöms av utredningen vara en sådan i nationell rätt fastställd och lämplig åtgärd som artikel 9.2 j i EU:s dataskyddsförordning kräver vid nödvändig behandling av känsliga personuppgifter för forskningsändamål. Av ovan följer att den regionala myndighet som bedriver hälsooch sjukvård som tillgängliggör personuppgifter enligt den föreslagna lagen behöver utföra någon form av administrativ granskning där det kontrolleras att etikgodkännande för aktuell forskning finns. Förfarandet medför att forskare måste bifoga etikgodkännande vid begäran om tillgång till personuppgifter enligt den föreslagna lagen. Detta likt så som redan sker i dag vid en begäran om utlämnande av personuppgifter för forskning (jämför 21 kap. 7 § första stycket 3 OSL). I praktiken innebär det att en regional myndighet eller lärosäte som bedriver klinisk forskning, och vill ha tillgång enligt den föreslagna lagen, som utgångspunkt behöver vara angiven som forskningshuvudman på etikgodkännandet.
Forskning enligt EU-förordningarna
Till följd av den anpassning av svensk rätt som gjorts till sammanlagt tre EU-förordningar, CTR, MDR och IVDR, bedömer utredningen att det måste finnas alternativa krav för tillgängliggörande av personuppgifter för forskning som lyder under de förordningarna. Detta eftersom EPL inte tillämpas på kliniska prövningar eller prestandastudier som omfattas av CTR, MDR eller IVDR (4 a och 4 b §§ EPL). För sådana kliniska prövningar eller prestandastudier följer en annan ordning. Däremot ges Etikprövningsmyndigheten alltid möjlighet att etiskt granska ansökningar om att få genomföra en klinisk
705En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
läkemedelsprövning, en klinisk prövning eller en prestandastudie och avge yttrande härom. För de tre förordningarna gäller i Sverige en ordning där Etikprövningsmyndigheten genomför en etisk granskning och redovisar denna i ett yttrande till Läkemedelsverket. Läkemedelsverket är den myndighet regeringen har utsett för att pröva frågor om tillstånd (se 2 och 3 §§ lagen [2018:1091] med kompletterande bestämmelser om etisk granskning till EU:s förordning om kliniska prövningar av humanläkemedel, 7 kap. 7 § läkemedelslagen [2015:315], 4 § lagen [2021:603] med kompletterande bestämmelser om etisk granskning till EU:s förordningar om medicintekniska produkter, 24 a § EPL samt 2 kap. 4 § lagen [2021:600] med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter). I vissa fall fattar dock Etikprövningsmyndigheten beslutet (se 5 § tredje stycket lagen [2021:603] med kompletterande bestämmelser om etisk granskning till EU:s förordningar om medicintekniska produkter). Utredningen har valt att formulera kraven för EU-förordningarna så att begreppen som används i EU-förordningarna speglas i bestämmelsen. Här kan också göras jämförelse med 5 kap. 10 § i nya biobankslagen (2023:38) där liknande formuleringar används. Den bestämmelsen handlar om krav för att ett prov ska få skickas för forskning. När det gäller den föreslagna bestämmelsens betydelse som skyddsåtgärd, gör utredningen samma bedömning för forskning som utförs enligt EU-förordningarna, som för forskning som utförs enligt EPL. Bedömningen innebär att bestämmelsen blir ett extra skydd där tillgängliggörande bara sker till de forskningsprojekt som får utföras enligt de forskningsspecifika reglerna. Den regionala myndighet som bedriver hälso- och sjukvård och tillgängliggör personuppgifter enligt den föreslagna lagen, behöver utföra någon form av administrativ granskning. En sådan granskning innebär en kontroll av att den regionala myndighet eller det lärosäte som bedriver klinisk forskning och som begär tillgång till personuppgifter enligt den föreslagna lagen, som utgångspunkt är angiven som sponsor eller prövningsställe för den etiska granskning som har skett.
706En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
16.8.2 Krav på samtycke till att delta i forskningen
Förslag: Tillgängliggörande av personuppgifter får endast ske om den registrerade har samtyckt till att delta i forskningen. Kravet på samtycke till att delta i forskningen är också uppfyllt om vårdnadshavare samtycker till forskning på barn enligt 18 § i EPL. Kravet på samtycke till att delta i forskningen är också uppfyllt om lagligen utsedd ställföreträdare samtycker till forskning på barn enligt artikel 32 i CTR, artikel 65 i MDR eller artikel 61 i IVDR. Kravet på samtycke till att delta i forskningen är även uppfyllt om lagligen utsedd ställföreträdare samtycker till forskning på en person som inte är beslutskompetent enligt artikel 31 i CTR, artikel 64 i MDR eller artikel 60 i IVDR.
Bedömning: Samråd enligt 22 § EPL innebär inte att kravet på samtycke till att delta i forskningen är uppfyllt.
En integritetshöjande åtgärd för utredningens författningsförslag är att det bara är sådan forskning där enskilda samtycker till att delta i forskningen som kan bli föremål för utredningens förslag. Ett krav för att få förenklad tillgång till personuppgifter är således att den forskning som tillgång ges till, är sådan som den registrerade har samtyckt till att delta i enlighet med EPL, CTR, MDR eller IVDR. Kravet på samtycke till forskningen har stark koppling till ytterligare ett samtycke som den föreslagna lagen ställer krav på. Det andra samtycket avser ett integritetshöjande samtycke som den registrerade ska lämna för att möjliggöra att personuppgifter tillgängliggörs genom direktåtkomst eller annat elektroniskt utlämnande, se avsnitt 16.8.3. Utredningens förslag skiljer sig från hur utlämnande till forskning kan ske enligt allmänna regler, där forskare efter en menprövning kan få tillgång till sekretessbelagda uppgifter från hälso- och sjukvården. I sådana fall har den utlämnande myndigheten avskilt uppgifterna och gjort en sekretessprövning innan utlämnande sker. Framför allt anser utredningen att hänsyn måste tas till att det oftast rör sig om känsliga personuppgifter och att det troligtvis kommer finnas överskottsinformation. Utredningen kan inte se att sådant integritetsintrång kan motiveras utan att den enskilde fått ge sin inställning till har lämnat sam-
707En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
tycke. Därför ställer utredningen krav på samtycken i den föreslagna lagen. Kravet på samtycke till att delta i forskningen får till följd att sådan forskning som sker utan den registrerades samtycke inte omfattas av utredningens förslag. Konsekvensen av detta är att det framför allt är interventionsstudier som omfattas av den enklare tillgången till personuppgifter från hälso- och sjukvården. Utredningen anser dock att det av integritetsskäl är motiverat att endast sådan forskning där den enskilde ger uttryck för sin vilja att vara med i forskningen bör omfattas av förslagen. För forskning som sker utan samtycke står ett vanligt utlämnande som redan är möjligt i dag till förfogande. Utredningens lagförslag hindrar alltså inte att uppgifter lämnas ut på sätt som är möjligt redan i dag. Utredningen har varit i kontakt med Etikprövningsmyndigheten och konstaterar att i vissa fall förenas Etikprövningsmyndighetens beslut om godkännande med särskilda villkor om informerat samtycke, även om EPLs bestämmelser om information och samtycke (16–22 §§) inte träffar forskningen. Bestämmelserna i EPL om information och samtycke (16–22 §§) gäller för forskning som avses i 4 § 1–3 EPL (se 13 § EPL). Det krävs alltså enligt lagen inget samtycke om forskningen inte är forskning som 1) innebär ett fysiskt ingrepp på en forskningsperson, 2) utförs enligt en metod som syftar till att påverka forskningspersonen fysiskt eller psykiskt eller som innebär en uppenbar risk att skada forskningspersonen fysiskt eller psykiskt, eller 3) avser studier på biologiskt material som har tagits från en levande människa och kan härledas till denna människa. I vissa fall, där lagen alltså egentligen inte kräver det, förenar dock Etikprövningsmyndigheten sitt beslut om etikgodkännande med särskilda villkor om informerat samtycke. Utredningens uppfattning är att sådana forskningsprojekt kan utnyttja utredningens lagförslag på tillgängliggörande av personuppgifter, det vill säga kravet på samtycke till forskningen är i sådana fall uppfyllda.
708En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
Barn och deras vårdnadshavare
Ovan har utredningen föreslagit att tillgängliggörande av personuppgifter endast får ske om den registrerade har samtyckt till att delta i forskningen. I vissa fall kan individen inte själv samtycka. Så är ofta fallet för barn, åtminstone för yngre barn. Utredningen bedömer att i de fall någon annan samtycker i barnets ställe enligt forskningsreglerna (EPL, CTR, MDR och IVDR), är kravet på samtycke från den registrerade för att tillgängliggörande av personuppgifter enligt lagförslaget ska få ske, uppfyllt. I vissa fall anses barnet ha nått en sådan ålder och mognad att denne själv kan samtycka. Då är kravet också uppfyllt. Om forskningen regleras av EPL gäller specifika regler i den lagen om barns samtycke till forskningen. Om forskningspersonen har fyllt 15, men inte 18 år och inser vad forskningen innebär för hans eller hennes del, ska han eller hon själv informeras om och samtycka till forskningen. I fall där barnet har fyllt 15 år men saknar förmåga att inse vad forskningen innebär för hans eller hennes del när forskningspersonen inte har fyllt 18 år, ska vårdnadshavarna informeras om och samtycka till forskningen. Oavsett ska forskningspersonen själv, så långt det är möjligt, informeras om forskningen. Trots vårdnadshavarnas samtycke får forskningen inte utföras om en forskningsperson som är under 15 år inser vad den innebär för hans eller hennes del och motsätter sig att den utförs. Detta framgår av 18 § EPL. En sådan situation får till följd att om vårdnadshavare samtycker till forskningen men barnet själv motsätter sig att forskningen utförs kan villkoret för att samtycka till att delta i forskningen inte anses uppfyllt. Om forskningen regleras av CTR, MDR eller IVDR gäller specifika regler där om barns samtycke till forskningen. I CTR finns särskilda bestämmelser om kliniska prövningar på underåriga (artikel 32). Liknande bestämmelser finns också i MDR och IVDR (artikel 65 MDR och artikel 61 IVDR). Bland annat anges att den underåriges lagligen utsedda ställföreträdare ska ha gett sitt informerade samtycke. För svensk del är vårdnadshavarna de lagligen utsedda ställföreträdarna. En underårig försöksperson som har fyllt 15 år ska också själv ge sitt informerade samtycke till att delta i prövningen, under förutsättning att den underårige inser vad prövningen innebär för honom eller henne (7 kap. 3 § läkemedelslagen [2015:315] och 2 kap. 2 § lag [2021:600]
709En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter).
Försökspersoner som inte är beslutskompetenta
Ovan har utredningen föreslagit att tillgängliggörande av personuppgifter endast får ske om den registrerade har samtyckt till att delta i forskningen. I vissa fall kan individen inte själv samtycka. Utredningen bedömer att i de fall någon annan samtycker i personens ställe enligt forskningsreglerna, är kravet på samtycke från den registrerade för att tillgängliggörande av personuppgifter enligt lagförslaget ska få ske, uppfyllt. I CTR, MDR och IVDR finns särskilda bestämmelser om kliniska prövningar på försökspersoner som inte är beslutskompetenta. För alla tre förordningar anges att en lagligen utsedd ställföreträdare ger informerat samtycke (artikel 31 CTR, artikel 64 MDR och artikel 60 IVDR). För svenska förhållanden är den lagligen utsedda ställföreträdaren en god man eller förvaltare enligt 11 kap. 4 § eller 7 § föräldrabalken med behörighet att sörja för den enskildes person (7 kap. 3 § läkemedelslagen [2015:315] och 2 kap. 1 § lag [2021:600] med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter). Utredningen har hämtat inspiration i 7 kap. 3 § läkemedelslagen och i 2 kap. 1 § lag (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter vid formuleringen av utredningens lagförslag. I EPL gäller dock en annan ordning jämfört med de nyss nämnda EU-förordningarna. Där är det i stället fråga om forskning utan samtycke, men med samråd av vissa personer. Reglerna om när forskning kan utföras utan samtycke om sjukdom, psykisk störning, försvagat hälsotillstånd eller något annat liknande förhållande hos forskningspersonen hindrar att hans eller hennes mening inhämtas finns i 20–22 §§ EPL. Forskningen kan i sådana fall utföras utan samtycke om 1) forskningen kan förväntas ge en kunskap som inte är möjlig att få genom forskning med samtycke, och 2) forskningen kan förväntas leda till direkt nytta för forskningspersonen. Även om inte forskningen kan förväntas leda till direkt nytta för forskningspersonen (nyss nämnda villkor två), får forskningen utföras om (i) syftet är att bidra till ett resultat som kan vara till nytta för forskningspersonen eller någon
710En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
annan som lider av samma eller liknande sjukdom eller störning, och (ii) forskningen innebär en obetydlig risk för skada och ett obetydligt obehag för forskningspersonen. Det sagda framgår av 21 § EPL. Forskningspersonen ska i sådana fall så långt som möjligt informeras personligen om forskningen. Samråd ska också ske med forskningspersonens närmaste anhöriga och med god man eller förvaltare om frågan ingår i dennes uppdrag. Om forskningspersonen i någon form ger uttryck för att inte vilja delta eller om någon av dem som samråd har skett med motsätter sig utförandet, får forskningen inte utföras. Detta framgår av 22 § EPL. I dessa fall anser inte utredningen att det i juridisk mening går att hävda att ett aktivt samtycke har getts. Praktiskt förstår dock utredningen att ett samtycke och samråd kan tyckas vara väldigt lika. Utredningen har dock landar i att samråd enligt 22 § EPL innebär att kravet på samtycke till att delta i forskningen juridiskt sett inte är uppfyllt.
16.8.3 Integritetshöjande samtycke och information
Förslag : Tillgängliggörandet av personuppgifter för klinisk forskning får endast ske om den registrerade samtyckt till tillgängliggörandet genom begränsad direktåtkomst eller annat elektronisk utlämnande. Innan samtycke lämnas ska den registrerade, utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning, informeras om vad begränsad direktåtkomst eller annat elektroniskt utlämnade enligt lagen innebär och rätten att återkalla ett samtycke till att uppgifter görs tillgängliga. Om den registrerade återkallar sitt samtycke ska tillgängliggörandet upphöra så snart som möjligt.
Bedömning : Samtycket är en integritetshöjande åtgärd.
Ett integritetshöjande samtycke krävs för tillgängliggörande
Ett sätt att beskriva begreppet personlig integritet i samband med informationshantering är att den enskilde ska kunna kontrollera spridningen av uppgifter om sig själv eller ha en rätt att bestämma vilka
711En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
uppgifter om sig själv som han eller hon vill dela med sig till andra. Utredningen har därför övervägt hur ett tillfredsställande integritetsskydd bör konstrueras och i vad mån detta skydd bör ta sig uttryck i den registrerades frivilliga medverkan. I avsnitt 16.8.2 har konstaterats att ett krav för att tillgång ska få ges enligt den föreslagna lagen är att den registrerade har samtyckt till att delta i forskningen, vilket får en effekt på vilken forskning som kan omfattas av den föreslagna lagen. Utöver detta anser utredningen att ett samtycke också krävs för själva personuppgiftsbehandlingen som tillgängliggörandet innebär. Utredningen anser alltså att den registrerade aktivt behöver ta ställning till om denne vill att hens personuppgifter tillgängliggörs på det sätt som föreslås i lagen. Samtycket som ska lämnas avseende tillgängliggörandet ska vara ett så kallat integritetshöjande samtycke. Hur utredningen har kommit till denna slutsats utvecklas nedan. Möjligheten för den registrerade att själv bestämma är en av de faktorer som påverkar om en behandling uppfattas som ett integritetsintrång eller inte. Frågan om den registrerades möjlighet till inflytande är alltså viktig ur ett integritetsperspektiv. Personuppgifterna som behandlas i klinisk forskning är ofta av känslig natur. I förslaget möjliggörs en begränsad direktåtkomst eller annat elektroniskt utlämnande. Direktåtkomst kommer med vissa integritetsrisker. Dels medför direktåtkomsten att viss överskottsinformation kan förekomma, det vill säga uppgifter som tillgängliggörs till forskaren men som kanske inte behövs för forskningen. Dels innebär en direktåtkomst att det inte görs någon föregående menprövning i det enskilda fallet (för fullständig redogörelse över formerna för tillgängliggörande se avsnitt 16.7.2. Detta medför att behandlingen kan uppfattas som särskilt integritetskänslig. Dessa omständigheter talar för att det finns skäl att införa krav på ett informerat och uttryckligt samtycke från den enskilde för att personuppgifter ska få tillgängliggöras enligt den föreslagna lagen. Samtidigt måste kravet på ett samtycke vara möjligt att tillämpa i praktiken. Ett av syftena med den föreslagna lagen är att skapa förenklade möjligheter till vidareanvändning av personuppgifter från hälso- och sjukvården. Kravet på samtycke skulle kunna medföra att det finns risk att det önskade syftet inte uppnås om det är praktiskt svårt att tillämpa i praktiken. Utredningens tanke är att samtycket lämpligen kan inhämtas i samband med att personen också sam-
712En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
tycker till forskningen enligt de forskningsspecifika reglerna (även om samtycket inte nödvändigtvis måste inhämtas då). Det bör, enligt utredningens bedömning, inte vara något praktiskt problem att också be om samtycke till den enklare tillgången som den föreslagna lagen möjliggör, utöver samtycket till själva forskningen. Utredningen anser dock att det bör lämnas öppet exakt hur och av vem som samtycket inhämtas. Det bör vara upp till regionala myndigheter och lärosäten att kunna utforma praktiska rutiner för detta som också ska kunna anpassas utifrån förutsättningarna i de enskilda fallen. Om en forskningsperson inte vill samtycka till det förenklade utlämningsförfarandet, kan den regionala myndigheten eller lärosätet som bedriver den kliniska forskningen begära åtkomst till uppgifter i enlighet med en ”vanlig” begäran om utlämnande. Detta måste den enskilde informeras om, se vidare under rubriken ”Information som ska lämnas enligt den föreslagna lagen”. Vid en avvägning mellan att den registrerades samtycke ska inhämtas och inte, gör utredningen bedömningen att de övriga integritetsstärkande åtgärder som utredningen föreslår inte kompenserar för det eventuella integritetsintrång det skulle innebära att i lagen inte ställa krav på ett aktivt ställningstagande i form av ett integritetshöjande samtycke. Detta är enligt utredningen en lämplig avvägning mellan den registrerades inflytande över hur dennes personuppgifter tillgängliggörs för forskaren och en ändamålsenlig reglering som är praktiskt tillämpbar och som inte skapar för stort merarbete i forskningsverksamheten.
Samtycket är en integritetshöjande åtgärd
I avsnitt 16.1.3 har utredningen bedömt att personuppgiftsbehandlingen som utförs vid tillgängliggörandet utgör en uppgift av allmänt intresse och att detta är den rättsliga grunden för behandlingen. Behandlingen av personuppgifter ska dessutom vara sådan som den registrerade medverkar och samtycker till. Ett sådant samtycke utgör däremot inte den rättsliga grunden enligt dataskyddsförordningen. Tanken med den föreslagna regleringen bygger i stället på att de registrerades samtycken ses som en sådan lämplig och särskild åtgärd i regleringen för att säkerställa den enskildes grundläggande rättigheter och intressen, samt skapa proportionalitet enligt dataskyddsförordningen. Samtycket utgör alltså i detta sammanhang enbart en integ-
713En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
ritetshöjande åtgärd som manifesterar den registrerades frivilliga medverkan, och inte en rättslig grund enligt artikel 6.1 i EU:s dataskyddsförordning (jämför även prop. 2017/18:223 s. 127). Samtycket utgör inte heller det tillämpliga undantaget enligt artikel 9.2 a i EU:s dataskyddsförordning för att få behandla känsliga personuppgifter. Vidare ska samtycket inte ses som ett samtycke för att häva sekretessen.
Kraven på det integritetshöjande samtycket
En fråga är vilka krav som ska ställas för villkoret på samtycke till behandling av personuppgifter enligt den föreslagna lagen ska anses uppfyllt. Utredningens uppfattning är att samtycket ska uppfylla samma krav som följer av EU:s dataskyddsförordning. Ett samtycke är varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne (artikel 4.11 i dataskyddsförordningen). Kravet på att samtycket ska vara frivilligt ger uttryck för att den enskilde verkligen ska ha ett val. Det kan konstateras att de aktörer som kan få tillgång till personuppgifter med stöd av den föreslagna lagen är myndigheter eller aktörer som enligt 2 kap. 3 § OSL jämställs med myndigheter (jämför skäl 43 i dataskyddsförordnigen). Det ojämlika förhållandet som potentiellt råder mellan en forskningsdeltagare och den regionala myndigheten eller lärosätet som bedriver den kliniska forskningen kan medföra att frivilligheten i ett lämnat samtycke kan ifrågasättas. EPDB har i en vägledning gjort ett uttalande om samtycken i förhållande till CTR och dataskyddsförordningen. Samtycke kan vara ett, av flera alternativ, som kan utgöra en rättslig grund enligt dataskyddsförordningen för personuppgiftsbehandling som följer av forskningen. 7 EDPB anger även samtycke som avser dataskyddet enligt dataskyddsförordningen är inte samma sak som det informerade samtycket som ska lämnas enligt CTR, och som avser att skydda en enskilds kroppsliga integritet och värdighet. 8 Vidare anges
7 Opinion 3/2019 concerning the Questions and Answers on the interplay between the Clinical Trials Regulation (CTR) and the General Data Protection regulation (GDPR) (art.70.1.b), antagen 23 januari 2019, s. 5 p. 14. 8 Opinion 3/2019 concerning the Questions and Answers on the interplay between the Clinical Trials Regulation (CTR) and the General Data Protection regulation (GDPR) (art.70.1.b), antagen 23 januari 2019, s. 5 p. 15–16. Jämför Helsingforsdeklarationen från 1964 om etiska principer för läkare och andra som medverkar vid medicinsk forskning, artikel 25.
714En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
att för att ett samtycke ska anses vara frivilligt behöver det finnas ett riktigt val och möjlighet att utöva kontroll över personuppgiftsbehandlingen för den enskilde. 9 Som tidigare konstaterats är samtycket i detta sammanhang inte den rättsliga grunden för behandling av personuppgifterna, utan en integritetshöjande åtgärd. Enligt utredningen befinner sig inte den registrerade i en sådan betydande ojämlikhet eller beroendeställning till myndigheten i detta avseende att den registrerades samtycke till formen för utlämnande inte kan anses frivilligt lämnat i dataskyddsförordningens mening. Utredningen anser att det finns ett riktigt val, eftersom uppgifterna kan lämnas ut på ”vanligt sätt” om den forskningsdeltagaren inte vill samtycka till det förenklade tillgängliggörandet. Ytterligare stöd för att detta integritetshöjande samtycke ger den enskilde kontroll följer av utredningen föreslår en bestämmelse som anger att för det fall en enskild återkallar sitt samtycke ska tillgängliggörandet upphöra (se vidare under rubriken ”Återkallelse av samtycke”). Att inte ställa krav på frivillighet avseende det integritetshöjande samtycket skulle i utredningens mening medföra att det inte fyllde lika stor nytta som en integritetshöjande åtgärd. I information avseende och vid inhämtandet av det integritetshöjande samtycket är det av största vikt att den enskilde inte känner sig tvingad till att lämnas sitt medgivande eller att den upplever att den skulle hamna i en sämre situation i forskningsprojektet om ett integritetshöjande samtycke inte lämnas. En registrerad kan som huvudregel inte lämna ett giltigt generellt samtycke till behandling av personuppgifter som inte är preciserad till något eller några ändamål. Forskningsprojektet behöver därför precisera för vilka ändamål samtycket ges. Det följer av kravet på att samtycket ska vara specifikt. Att samtycket ska vara otvetydigt innebär att det inte får råda någon tvekan om att den registrerade godtar behandlingen av personuppgifterna. Det är därför lämpligt att samtycket dokumenteras. Det är även lämpligt för att forskningsprojektet ska kunna bevisa att den registrerade har samtyckt till behandlingen. Samtycket ska också föregås av att den registrerade får information om vad han eller hon har samtyckt till.
9 Opinion 3/2019 concerning the Questions and Answers on the interplay between the Clinical Trials Regulation (CTR) and the General Data Protection regulation (GDPR) (art.70.1.b), antagen 23 januari 2019, s. 5 p. 17.
715En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
Återkallelse av samtycke
Den registrerade ska ha rätt att återkalla sitt samtycke. Om den registrerade återkallar sitt samtycke ska tillgängliggörandet upphöra så snart som möjligt. Återkallandet har ingen effekt med avseende personuppgifter som redan har tillförts forskningen. Sådana uppgifter får behandlas i forskningen enligt de regler som gäller för detta inom den aktuella forskningen.
Information
Samtycket ska föregås av att den registrerade får information om vad begränsad direktåtkomst eller annat elektroniskt utlämnade enligt lagen innebär. Det ska även föregås av information om rätten att återkalla ett samtycke till att uppgifter görs tillgängliga. Det är viktigt att den registrerade får information så att denne kan avgöra vilka integritetsrisker som är förknippade med tillgängliggörandet. Detta är en förutsättning för att den registrerade ska kunna fatta ett välgrundat beslut i frågan om dennes personuppgifter ska få göras tillgängliga på sättet som den föreslagna lagen föreskriver. Informationen kan lämpligen ges i samband med att personen informeras om forskningsprojektet. Informationen ska vidare innehålla en upplysning om att ett lämnat samtycke gäller för hela den aktuella perioden som kan bli aktuellt enligt lagen och därmed även vid en eventuell begäran om förlängning att ges tillgång till uppgifterna. I övrigt gäller också bestämmelserna i EU:s dataskyddsförordning för personuppgiftsbehandlingen generellt som syftar till att säkerställa den registrerades rätt till information (se artikel 13 och 14). Utredningen gör bedömningen att det inte strider mot EU:s dataskyddsförordning att ställa upp ytterligare krav på att den enskilde blir informerad för att personuppgifterna ska få behandlas på ett visst sätt. Enligt artikel 6.2 och 6.3 i EU:s dataskyddsförordning är det tillåtet med sådana särskilda bestämmelser när det gäller personuppgifter som behandlas med stöd av artikel 6.1 e (för att utföra en uppgift av allmänt intresse), vilket det här är fråga om (se avsnitt 16.1.3). Det är således förenligt med EU:s dataskyddsförordning att i den föreslagna lagen ställa upp särskilda krav på information som förutsättning för att personuppgifter ska få behandlas.
716En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
Information om den direktåtkomst eller elektroniska åtkomst som har förekommit
I PDL finns i 8 kap. 5 § krav på att vårdgivare, efter begäran av en enskild, ska lämna information om den direktåtkomst eller den elektroniska åtkomst till uppgifter om patienten som förekommit. Den rätt till information som följer av bestämmelsen utgör en viktig del i att upprätthålla integritetsskyddet vid personuppgiftsbehandling inom hälso- och sjukvården på så vis att den enskilde själv med hjälp av den informationen själv ska kunna bilda sig en uppfattning om ett åtkomsttillfälle varit befogad eller inte (jämför prop. 2007/08:126 s. 150 och s. 265). Enligt förarbetena och HSLF-FS 2016:40, ska det till exempel tydligt framgå när och från vilken enhet inom hälso- och sjukvården en åtkomst har skett (se prop. 2007/08:126 s. 265 och 4 kap. 10 § HSLF-FS 2016:40). Frågan blir därmed om en liknande bestämmelse behöver finnas i den föreslagna lagen för att upprätthålla ett adekvat skydd för den personliga integriteten. I detta hänseende bör följande beaktas. Det finns ett krav på ett integritetshöjande samtycke för att åtkomst till uppgifterna ska kunna vara möjligt enligt den föreslagna lagen. Vidare ska åtkomsten vara tidsbestämd (se vidare under avsnitt 16.7.3), vilket den enskilde också ska informeras om. Slutligen ska det även göras ett urval av vilka uppgiftsmängder som ska tillgängliggöras, det vill säga minimera mängden överskottsinformation (se vidare avsnitt 16.7.5). Till detta kommer att ett tillgängliggörande enligt lagen endast sker till en utpekad regional myndighet eller ett lärosäte som bedriver klinisk forskning (se avsnitt 16.7.4). Enligt utredningens uppfattning utgörs det integritetskänsliga i behandlingen framför allt av att forskningsutförarna får ta del av överskottsinformation och får uppgifterna elektroniskt. Eftersom den enskilde samtyckt till att formen av tillgängliggörande och det sker till en på förhand utpekad aktör kan inte åtkomsten via exempelvis den begränsade direktåtkomsten anses vara obefogad. I vårdsammanhang ser det annorlunda ut eftersom det inte i förväg kan säga vilka enheter eller kliniker som kan komma behöva ta del av uppgifter om en patient. Utredningen ser vidare inte att den enskilde har särskilt stort intresse av att få veta exakt när behörig personalen från forskningsprojektet tar del av uppgifterna eller vem i personalen. För ett sådant fall skulle även de anställda inom forskningsprojektets integritet be-
717En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
höva beaktas. Enligt 8 kap. 5 § PDL ska inte uppgifter om vilken enskild medarbetare som haft åtkomst behöva lämnas (se prop. 2007/08:126 s. 150). Av betydelse i sammanhanget är också den rätt till tillgång och information som en enskild har rätt till enligt artikel 15 i dataskyddsförordningen som gäller vid behandlingen. Även om artikel 15 inte anses ha samma syfte som 8 kap. 5 § PDL anser utredningen att den utgör ett viktigt komplement i just detta hänseende. Sammantaget anser därför utredningen att en särskild bestämmelse om informationsplikt över den åtkomst som sker med stöd av den föreslagna lagen inte behövs.
16.8.4 Integritetshöjande samtycke när den
registrerade inte kan samtycka
Förslag: Tillgängliggörande av personuppgifter för klinisk forskning på barn där vårdnadshavaren samtycker till forskningen får endast ske om vårdnadshavaren också samtycker till tillgängliggörandet. Tillgängliggörande av personuppgifter för klinisk forskning på en person som inte är beslutskompetent där lagligen utsedd ställföreträdare samtycker till forskningen får endast ske om den lagligen utsedda ställföreträdaren också samtycker till tillgängliggörandet. Innan samtycke lämnas ska vårdnadshavare eller lagligen utsedd ställföreträdare, utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskyddsförordning, informeras om vad begränsad direktåtkomst eller annat elektroniskt utlämnade enligt lagen innebär och rätten att återkalla ett samtycke till att uppgifter görs tillgängliga. Om vårdnadshavare eller lagligen utsedd ställföreträdare återkallar sitt samtycke ska tillgängliggörandet upphöra så snart som möjligt.
Barn och deras vårdnadshavare
Den föreslagna regleringen med inhämtande av ett integritetshöjande samtycke förutsätter att den enskilde kan ta ställning och ge uttryck för sin vilja. Barn kan inte alltid göra detta. Frågan uppstår då om
718En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
barn kan lämna informerat samtycke, och i så fall hur. Det ter sig självklart att väldigt små barn inte har den mognad som krävs för att förstå vad ett samtycke till tillgängliggörande enligt den föreslagna lagen innebär. Med stigande ålder och mognad är dock inte frågan lika självklar. Ytterligare en fråga är om någon annan, exempelvis barnets vårdnadshavare, kan lämna samtycke åt sitt barn. Utredningen har gjort en jämförelse med andra rättsliga regleringar och studerat hur regler om samtycke, när individen är ett barn, kan se ut. Detta har bland annat inkluderat de regler som gäller i hälsooch sjukvården för samtycke till vård och även samtycke kopplat till system för sammanhållen vård- och omsorgsdokumentation i SVOD. Vidare har utredningen studerat bestämmelserna i EU:s dataskyddsförordning om barns samtycke. Det som dock framstår som mest närliggande att göra jämförelser med enligt utredningen, är dock de forskningsspecifika reglerna. Detta eftersom tillgängliggörandet sker för ändamålet klinisk forskning. Om barnet har nått en sådan ålder och mognad att hen själv kan samtycka till själva forskningen, eller om någon annan kan samtycka i barnets ställe, anser utredningen att ett integritetshöjande samtycke till tillgängliggörandet enligt den föreslagna lagen borde kunna lämnas på samma sätt. Om forskningen regleras av EPL gäller specifika regler i den lagen om barns samtycke till forskningen. Om forskningspersonen har fyllt 15, men inte 18 år och inser vad forskningen innebär för hans eller hennes del, ska han eller hon själv informeras om och samtycka till forskningen. I andra fall när forskningspersonen inte har fyllt 18 år, ska vårdnadshavarna informeras om och samtycka till forskningen. Forskningspersonen själv ska dock så långt möjligt informeras om forskningen. Trots vårdnadshavarnas samtycke får forskningen inte utföras om en forskningsperson som är under 15 år inser vad den innebär för hans eller hennes del och motsätter sig att den utförs. Detta framgår av 18 § EPL. Om forskningen regleras av CTR, MDR eller IVDR gäller specifika regler där om barns samtycke till forskningen. I CTR finns särskilda bestämmelser om kliniska prövningar på underåriga (artikel 32). Liknande bestämmelser finns också i MDR och IVDR (artikel 65 MDR och artikel 61 IVDR). Bland annat anges att den underåriges lagligen utsedda ställföreträdare ska ha gett sitt informerade samtycke. För svensk del är vårdnadshavarna de lagligen utsedda ställföreträdarna. En underårig försöksperson som har fyllt 15 år ska också själv
719En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
ge sitt informerade samtycke till att delta i prövningen, under förutsättning att den underårige inser vad prövningen innebär för honom eller henne (7 kap. 3 § läkemedelslagen [2015:315] och 2 kap. 2 § lag [2021:600] med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter). Utredningen anser att om barnet kan samtycka till själva forskningen enligt de nyss nämnda forskningsspecifika reglerna som forskningen lyder under, ska barnet också kunna lämna det integritetshöjande samtycket till tillgängliggörandet enligt utredningens föreslagna lag. I de fall det i stället är vårdnadshavarna som kan samtycka till själva forskningen, kan vårdnadshavarna också lämna det integritetshöjande samtycket. På samma sätt som angetts tidigare avseende information, gäller även i dessa situationer att innan samtycke lämnas ska vårdnadshavare informeras om vad begränsad direktåtkomst eller annat elektroniskt utlämnade enligt lagen innebär och rätten att återkalla ett samtycke till att uppgifter görs tillgängliga.
Försökspersoner som inte är beslutskompetenta
Som ovan konstaterat, kräver den föreslagna regleringen med inhämtande av ett integritetshöjande samtycke, att den enskilde kan ta ställning och ge uttryck för sin vilja. I klinisk forskning kan dock forskas på uppgifter om personer som av en eller annan anledning saknar möjlighet att ta ställning och ge uttryck för sin vilja. Fråga uppstår då hur ett integritetshöjande samtycke ska hanteras i sådana fall. Utredningen har sett över hur regler om samtycke ser ut i olika rättsliga regleringar när den enskilde själv saknar möjlighet att ge uttryck för sin vilja. Detta har bland annat innefattat regler i föräldrabalken om god man eller förvaltare. Det har också inkluderat de regler som gäller i hälso- och sjukvården för samtycke till vård och även samtycke till sammanhållen vård- och omsorgsdokumentation. Det ligger dock enligt utredningens bedömning närmast till hands att göra de forskningsspecifika reglerna. Detta eftersom tillgängliggörandet sker för ändamålet klinisk forskning. Detta går också i linje med vad som ovan har konstaterats om barns integritetshöjande samtycke. Om någon annan enligt forskningsreglerna kan samtycka till forskningen i personens ställe, anser utredningen att ett integritetshöjande samtycke
720En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
till tillgängliggörandet enligt den föreslagna lagen bör kunna lämnas på samma sätt. I CTR, MDR och IVDR finns särskilda bestämmelser om kliniska prövningar på försökspersoner som inte är beslutskompetenta. För alla tre förordningar anges att en lagligen utsedd ställföreträdare ger informerat samtycke (artikel 31 CTR, artikel 64 MDR och artikel 60 IVDR). För svenska förhållanden är den lagligen utsedda ställföreträdaren en god man eller förvaltare enligt 11 kap. 4 § eller 7 § föräldrabalken med behörighet att sörja för den enskildes person (7 kap. 3 § läkemedelslagen [2015:315] och 2 kap. 1 § lag [2021:600] med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter). I dessa fall anser utredningen att den lagligen utsedda ställföreträdaren också kan ge det integritetshöjande samtycket till tillgängliggörandet enligt den föreslagna lagen. Utredningen har hämtat inspiration i 7 kap. 3 § läkemedelslagen och i 2 kap. 1 § lag (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter vid formuleringen av utredningens lagförslag. Som redogjorts för ovan gäller även här att innan samtycke lämnas ska lagligen utsedd ställföreträdare informeras om vad begränsad direktåtkomst eller annat elektroniskt utlämnade enligt lagen innebär och rätten att återkalla ett samtycke till att uppgifter görs tillgängliga. Som ovan konstaterats (se 16.8.2 under rubriken ”Personer som inte endast tillfälligt saknar förmåga att ta ställning”), faller den forskning som sker utan samtycke till forskningen enligt EPL, men med samråd från forskningspersonens närmaste anhöriga och med god man eller förvaltare om frågan ingår i dennes uppdrag (jämför 20–22 §§ EPL), utanför utredningens lagförslag. Det är därför inte relevant med ett integritetshöjande samtycke i sådana fall.
16.9 Behandling av personuppgifter
som gjorts tillgängliga
Den föreslagna lagen avser viss vidareanvändning av personuppgifter för klinisk forskning. Vidareanvändning enligt lagen avser dels tillgängliggörande, dels behandling av personuppgifter på dataanvändarsidan koppat till tillgängliggörandet. Utredningen har i föregående avsnitt redogjort för utredningens lagförslag när det gäller själva tillgängliggörandet, se avsnitt 16.8. I detta avsnitt finns utredningens
721En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
överväganden och förslag avseende behandling av personuppgifter av regionala myndigheter eller lärosäten som bedriver klinisk forskning som getts tillgång till personuppgifter enligt lagen. Med andra ord avser detta avsnitt dataanvändarsidan, för behandling av personuppgifter på som görs tillgängliga genom begränsad direktåtkomst eller annat elektroniskt utlämnande.
16.9.1 Begränsad kompletterande reglering
på dataanvändarsidan
Vid behandling av personuppgifter inom forskning gäller dataskyddsförordningen. Det finns ingen nationell lag som reglerar personuppgiftsbehandling på forskningsområdet i allmänhet. Se mer om dataskydd inom forskningsområdet i avsnitt 7.7. Utredningen föreslår vissa regleringar kopplade till behandling av personuppgifter för en regional myndighet eller ett lärosäte som bedriver klinisk forskning och som ges tillgång till personuppgifter enligt förslagen. Exempelvis regleras personuppgiftsansvaret för dessa aktörers behandling av personuppgifter som sker enligt den föreslagna lagen, se avsnitt 16.6.2. För efterföljande personuppgiftsbehandling ska dataskyddsförordningen dock gälla, se avsnitt 16.6. Utredningen föreslår även regler som gäller tilldelning av behörighet för elektronisk åtkomst, se avsnitt 16.9.2. Gemensamt för reglerna som utredningen föreslår, på dataanvändarsidan, är att de gäller i anslutning till tillgängliggörandet enligt lagen. Utredningen föreslår alltså inte någon särskild reglering av personuppgiftsansvaret för personuppgiftshantering i den kliniska forskningen. Den efterföljande personuppgiftsbehandlingen i den kliniska forskningen regleras i stället, precis som i dag, av de allmänna reglerna i dataskyddsförordningen. Anledningen till detta utvecklas nedan. Då personuppgiftsbehandling i klinisk forskning i dag regleras av dataskyddsförordningens allmänna regler, anser inte utredningen att det är lämpligt att föreslå detaljerade regler för den kliniska forskningen som omfattas av den föreslagna lagen, bara för att sättet för ett utlämnande eller tillgängliggörande enligt utredningens förslag regleras. Reglerna för den efterföljande personuppgiftshanteringen i den kliniska forskningen skulle då skilja sig om forskare begär ut uppgifter på sätt som redan är möjligt i dag, jämfört med den enklare tillgången enligt utredningens förslag. Det blir, enligt utredningen, onödigt kom-
722En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
plicerat och inte motiverat. Vidare rör utredningens lagförslag bara ett led i forskningen (själva tillgängliggörandet av personuppgifter) och inte vad som händer med uppgifterna därefter. Det vore därför ologiskt att reglera personuppgiftshanteringen för efterkommande behandling när lagen i övrigt inte berör detta skede i forskningen. Utredningens lagförslag avser därför viss begränsad kompletterande reglering på dataanvändarsidan, som rör själva tillgängliggörandet. För annan personuppgiftsbehandling i andra skeenden i forskningen föreslås inga regleringar.
16.9.2 Behörighetsstyrning
Förslag: En regional myndighet eller ett lärosäte som bedriver klinisk forskning ska bestämma villkor för tilldelning av behörighet inom den egna organisationen för åtkomst till de personuppgifter som gjorts tillgängliga med stöd av lagen. Sådan behörighet ska begränsas till vad som behövs för att den behörige ska kunna fullgöra sina arbetsuppgifter inom forskningen.
Som anförs i avsnitt 16.7.2 utgör elektronisk åtkomst till personuppgifter en särskilt integritetskänslig form av åtkomst. Utredningen har gjort bedömningen att det behöver finnas en reglering på dataanvändarsidan av vilka inom ett forskningsprojekt som ska få den begränsade direktåtkomsten för att den föreslagna formen av åtkomst ska kunna motiveras ur ett integritetsperspektiv. Med behörighet för åtkomst avses en användares faktiska möjligheter att ta del av uppgifter i olika system. Behörighetsstyrning är samlingsbegreppet för de organisatoriska, administrativa och tekniska åtgärder som vidtas för att anpassa och begränsa behörigheten efter användarens behov för att kunna utföra sitt arbete (för ytterligare beskrivning se avsnitt 7.5.5). Inom regionala myndigheter som bedriver hälso- och sjukvård regleras behörighetsreglerna av PDL. Utredningen anser att det behövs en motsvarande bestämmelse i den föreslagna lagen. I praktiken innebär villkoren ett ansvar att göra en aktiv och individuell behovsprövning inför tilldelning av behörigheten. Behörigheten ska således begränsas till vad som behövs för att den behörige ska kunna fullgöra sina arbetsuppgifter inom forskningen.
723En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
Artikel 32 i EU:s dataskyddsförordning förutsätter lämplig säkerhet för personuppgifterna. Detta medför att kraven på lämplig säkerhet måste anpassas utifrån bland annat behandlingens karaktär, omfattning och sammanhang. Detta skulle tala för att en naturlig del i säkerhetsarbetet för forskningsprojektet skulle utgöras av att analysera vilka i projektet som skulle ha ett behov av att ta del av personuppgifterna i direkt identifierbar form för att kunna utföra sina arbetsuppgifter. Det behövs även en analys av vilka risker som skulle kunna följa av att låta alla inom forskningsprojektet få åtkomstbehörighet till personuppgifterna. Efter en avvägning av de behov och risker som gjorts skulle sedan den personuppgiftsansvariga för forskningen tilldela behörigheter (jämför prop. 2017/18:171 s. 138). Utredningen konstaterar därför att dataskyddsförordningen redan ställer krav på lämplig säkerhet. Utredningen bedömer dock att den regleringen inte är tillräckligt tydlig eller precis. (se även 16.6.3). Av tydlighetsskäl för både de personuppgiftsansvariga och de enskilda som deltar i forskningen anser därför utredningen att det bör införas en bestämmelse i den föreslagna lagen.
724En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
16.9.3 Endast personuppgifterna som behövs
för forskningen får tillföras forskningen
Förslag : En regional myndighet eller ett lärosäte som har getts tillgång till personuppgifter får endast tillföra forskningen de personuppgifter som behövs för – forskning som har godkänts av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning enligt EPL, – en klinisk läkemedelsprövning som har beviljats eller anses ha beviljats tillstånd i enlighet med förordning (EU) nr 536/2014, – en klinisk prövning som får påbörjas eller genomföras i enlighet med bestämmelser i förordning (EU) 2017/745 eller enligt lagen (2021:600) med kompletterande bestämmelser till EU:s förordningar om medicintekniska produkter eller föreskrifter meddelade i anslutning till den lagen, eller – en prestandastudie som får påbörjas eller genomföras i enlighet med bestämmelser i förordning (EU) 2017/746.
De uppgifter som den regionala myndigheten eller det lärosäte som bedriver den kliniska forskningen har getts åtkomst till, är begränsad till att endast innehålla personuppgifter om de registrerade som ingår i forskningsprojektet och som har samtyckt till, dels att delta i forskningen, dels till att tillgång ges genom direktåtkomst eller annat elektroniskt utlämnande. Utredningens förslag medför dock att viss överskottsinformation kan förekomma, det vill säga uppgifter som tillgängliggörs till forskare men som kanske inte behövs för forskningen. Detta medför, i utredningens mening, att det behöver regleras vad som får kopieras, laddas ner eller på annat sätt tillföras forskningen. Överskottsinformation kan aktualiseras om att all information från ett specifikt vårdtillfälle görs tillgängligt. Dokumentation från ett sådant vårdtillfälle kan i huvudsak innehålla uppgifter som behövs för forskningen. Det går dock inte att ta för givet att alla uppgifter som dokumenterats i samband med vårdtillfället kan anses ha betydelse för forskningen. Sådana uppgifter som dokumenterats i samband med ett vårdtillfälle och som inte behövs för forskningen utgörs då av så kallad överskottsinformation.
725En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
Endast de uppgifter som behövs ska därefter få behandlas i själva forskningsprojektet. Detta medför att en regional myndighet eller ett lärosäte som bedriver klinisk forskning och som har getts tillgång till personuppgifter behöver göra en bedömning i det enskilda fallet vilka uppgifter som ska tillföras forskningen. Från integritetssynpunkt är det väsentligt att inte andra personuppgifter än vad som är befogat utifrån forskningsprojektet tillförs forskningen. Utredningen har därför valt att uttrycka detta i lagförslaget genom att använda termen ”behövs”. Att närmare än så specificera vilka personuppgifter som får tillföras forskningen skulle, i utredningens mening försvåra lagens tillämpning. Detta ska därför styras av en bedömning i det enskilda fallet där endast de personuppgifter som behövs för forskningen behandlas efter ett tillgängliggörande. Vad som rent faktisk kan anses behövas kan vara svårt att exemplifiera. Utredningens bedömning är att ledning bör kunna hämtas från vad och vilka uppgifter det enskilda forskningsprojektet fått godkänt för att behandla enligt EPL, CTR, MDR eller IVDR. Utredningen anser att denna ordning är godtagbar utifrån integritetssynpunkt, inte minst mot bakgrund av att uppgifterna som inte behövs för forskningen omfattas av absolut sekretess som är ägnad att förhindra obehörig spridning (se avsnitt 17.4). Om en regional myndighet eller ett lärosäte som har getts tillgång till personuppgifter tillför forskningen andra uppgifter än de som behövs för forskningen bryter myndigheten eller lärosätet mot den absoluta sekretessen som gäller för dessa uppgifter. Det kan också noteras att dataskyddsförordningens grundläggande krav på uppgiftsminimering gäller, det vill säga att personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (artikel 5.1.c dataskyddsförordningen). Om en regional myndighet eller ett lärosäte som har getts tillgång till personuppgifter tillför forskningen andra uppgifter än de som behövs för forskningen bryter myndigheten eller lärosätet kan innebära ett brott mot dataskyddsförordningen.
726En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
16.10 Bevarande och gallring
Förslag: När en handling är tillgänglig för en regional myndighet som bedriver hälso- och sjukvård och en regional myndighet eller ett lärosäte som bedriver klinisk forskning gäller skyldigheten att bevara handlingen endast för den regionala myndighet inom hälso- och sjukvården som har tillgängliggjort handlingen.
Huvudregeln enligt arkivlagen (1990:782) är att allmänna handlingar ska bevaras. En myndighets arkiv bildas i huvudsak av de allmänna handlingarna från myndighetens verksamhet. I 2 a § arkivlagen föreskrivs att det som enligt den lagen gäller för kommunala myndigheters arkiv även ska gälla för arkiv hos sådana juridiska personer som avses i 2 kap. 3 § OSL, det vill säga sådana bolag, föreningar och stiftelser där kommuner eller regioner utövar ett rättsligt bestämmande inflytande. För elektronisk information gäller till en början en undantagsregel som är av särskilt intresse i fråga om tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande. Upptagningar för automatisk behandling som är tillgängliga för flera myndigheter så att de utgör allmänna handlingar hos alla dessa myndigheter, ska dock bilda arkiv endast hos en av myndigheterna, i första hand den myndighet som svarar för huvuddelen av upptagningen (3 § första stycket andra meningen arkivlagen). Undantaget är nödvändigt eftersom en upptagning för automatiserad behandling som är tillgänglig för flera myndigheter på så sätt att de till exempel kan läsa innehållet, anses förvarad hos och inkommen till samtliga myndigheter som kan läsa den (se 2 kap. 6 och 9 §§ TF). Upptagningen är därmed allmän handling hos samtliga myndigheter som kan ta del av den (se prop. 1989/90:72, bilaga 1, s. 30 och 68. I denna situation ska samma upptagning inte bevaras och bilda arkiv hos alla myndigheterna. De myndigheter som inte ansvarar för upptagningen kan därmed normalt gallra den. Om en myndighet använder uppgifter ur upptagningen i sin verksamhet, så kan dessa omfattas av dokumentationsskyldighet och ingå i myndighetens arkiv. När det gäller gallring är arkivlagens bestämmelser subsidiära i förhållande till annan lagstiftning. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning, har de bestämmelserna företräde (10 § tredje stycket arkivlagen).
727En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
En bestämmelse om gallring innebär alltså inte bara att uppgiften inte längre får behandlas i dataskyddsförordningens mening, utan även att arkivrättslig gallring ska ske. Om det i författningar som rör myndigheters behandling av personuppgifter inte finns några särskilda regler om gallring, ska således arkivlagens bestämmelser om bevarande som huvudprincip tillämpas. Bestämmelser om bevarande och gallring av patientjournaler inom hälso- och sjukvården regleras i PDL. Av 3 kap. 17 § PDL följer att en journalhandling ska bevaras minst tio år efter det att den sista uppgiften fördes in i handlingen. Enligt gallringsföreskrifter inom den regionala inom hälso- och sjukvården gäller dock ofta evig bevarandetid för patientjournaler. För personuppgifter inom hälso- och sjukvården som inte ingår i journalhandlingar finns ingen särreglering i PDL. För sådana personuppgifter som ingår i allmänna handlingar gäller därför endast allmänna regler i arkivlagen och interna gallringsföreskrifter. Inom forskning som bedrivs hos statliga myndigheter gäller arkivlagen för den forskningsdokumentation som är allmänna handlingar. Det kan finnas gallringsföreskrifter hos myndigheten som medför att forskningsdokumentation kan ska gallras. Riksarkivet har utfärdat föreskrifter och allmänna råd om gallring av handlingar i statliga myndigheters forskningsverksamhet, RA-FS 1999:1. Utredningens definition av lärosäte omfattar enskilda utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400) jämställs med myndighet. I 2 § arkivlagen anges att det som enligt denna lag gäller för statliga myndigheters arkiv ska gälla även för arkiv hos sådana organ som avses i 2 kap. 4 § första meningen offentlighets- och sekretesslagen (2009:400) till den del arkivet härrör från den verksamhet som avses i bilagan till offentlighets- och sekretesslagen. För enskilda utbildningsanordnare som omfattas av definitionen av lärosäte, se avsnitt 16.3.4, gäller i arkivhänseende således samma regler som för myndigheter. I artikel 58 i CTR föreskrivs en arkiveringsskyldighet för sponsorn och prövare på 25 år med avseende på den så kallade prövningspärmen, såvida inte en längre arkiveringsperiod följer av andra delar av unionsrätten. Försökspersonernas patientjournaler ska dock arkiveras i enlighet med nationell rätt. I MDR och IVDR finna inga spe-
728En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
cifika regler om arkivering. Arkivering i forskning som omfattas av dessa regelverk sker enligt de regler som gäller för den verksamhet som prövaren tillhör. 10 Utredningens förslag till begränsad direktåtkomst innebär att handlingar kan anses inkomna till och förvarade hos den regionala myndighet eller lärosäte som bedriver forskning och därmed bli allmänna handlingar i den mening som avses i 2 kap. TF (se 2 kap. 6 § TF och avsnitt 16.7.2). Utredningens förslag innebär vidare att den regionala myndighet eller det lärosäte som bedriver klinisk forskning får tillföra forskningen de personuppgifter som behövs för forskningen. För eventuell överskottsinformation som har tillgängliggjorts gäller enligt utredningens förslag absolut sekretess, se avsnitt 17.4. Enligt utredningens förslag ska den begränsade direktåtkomsten vara tidsbestämd. Den begränsade direktåtkomsten kommer alltså att upphöra vid en viss bestämd tidpunkt. De personuppgifter som omfattats av den begränsade direktåtkomsten kommer då inte längre att vara tillgängliga för den regionala myndigheten eller lärosätet som bedriver klinisk forskning, från regionala myndigheter som bedriver hälso- och sjukvård.
16.10.1 Uppgifter som tillförs forskningen
De personuppgifter som den regionala myndigheten eller lärosätet som bedriver klinisk forskning har tillfört forskningen kommer vara fortsatt tillgängliga hos dessa myndigheter inom forskningsprojektet. Med avseende på personuppgifter som tillförs forskningen gör utredningen bedömningen att de allmänna regler om bevarande och gallring som gäller i forskningen blir tillämpliga. Detta inbegriper även regler om arkivering i CTR. I den utsträckning personuppgifterna är allmänna handlingar bildar de arkiv hos den regionala myndigheten eller lärosätet som bedriver forskning. Forskningsprojektet har att förhålla sig till de regler om bevarande och gallring som gäller inom den myndighet som forskningen bedrivs och eventuella specifika arkiveringsregler för den forskning som bedrivs.
10 Se https://kliniskastudier.se/forskningsprocessen/arkivering (hämtat 2023-09-19).
729En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
16.10.2 Uppgifter som inte tillförs forskningen
Uppgifter som tillgängliggörs genom begränsad direktåtkomst, men som inte tillförs forskningen, kommer under den begränsade tidsperiod som tillgången ges att kunna anses som inkomna och förvarade hos den regionala myndigheter eller lärosätet som bedriver forskningen. När den begränsade direktåtkomsten upphör finns inte uppgifterna längre tillgängliga för den regionala myndigheter eller lärosätet som bedriver forskningen. Frågan är hur detta förhåller sig till arkivlagens bestämmelser och om en särreglering behövs i den föreslagna lagen. Tillgängliggörande genom begränsad direktåtkomst bör enligt utredningens uppfattning inte medföra mer omfattande arkivbildning inom ramen för forskningen än vad som är motiverat utifrån forskningens behov. Samtidigt bör inte heller bevarande av allmänna handlingar försämras. Utredningen konstaterar att de uppgifter som tillgängliggörs enligt utredningens förslag till ny lag ingår i arkivbildningen hos den regionala myndighet inom hälso- och sjukvården som tillgängliggör uppgifterna. De uppgifter som tillförs forskningen ingår i arkivbildningen hos den regionala myndighet eller lärosäte som bedriver forskningen. Regionala myndigheter och lärosäten har ansvar för sin egen dokumentation. Regionala myndigheter eller lärosäten som bedriver klinisk forskning ska dock inte ha ansvar för att bevara eller gallra handlingar enbart av den anledning att uppgifter i dessa har gjort tillgängliga för myndigheten enligt utredningens förslag. Utredningen föreslår därför en regel som föreskriver detta. Utredningen gör bedömningen att en begränsad direktåtkomst eller annat elektroniskt utlämnande enligt utredningens förslag typisk sett inte medför att endast potentiella handlingar görs tillgängliga. Även om så skulle vara fallet, behövs inte någon särskild regel om gallring för sådana handlingar (jämför prop. 2021/22: 177 s. 155). Arkiveringsregeln i CTR omfattar prövningspärmen. Utredningen gör bedömningen att det endast är uppgifter som tillförs forskningen som ingår i prövningspärmen. Utredningens förslag till regel avseende uppgifter som inte tillförs forskningen står därför inte i strid med skyldigheterna enligt CTR.
730En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
16.10.3 Potentiella handlingar och begränsningsregeln
I 2 kap 3 § TF anges att med handling avses en framställning i skrift eller bild samt en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt. Ur förvaringshänseende görs en åtskillnad mellan elektroniska handlingar och handlingar som utgör sammanställningar av uppgifter ur en upptagning för automatiserad behandling, så kallade potentiella handlingar. Någon legal definition av begreppen finns inte. Med färdig elektronisk handling avses enligt förarbetena sådana elektroniska handlingar där utställaren – myndigheten eller den som lämnat in handlingen till myndigheten – har gett den ett bestämt, fixerat innehåll som går att återskapa gång på gång. Som typiska exempel på färdiga elektroniska handlingar nämns e-brev, promemorior, protokoll och beslut i elektronisk form (prop. 2001/02:70 s. 20). En ytterligare inskränkning i fråga om förvaringskriteriet föreskrivs i 2 kap. 7 § TF och innebär att en sammanställning av uppgifter ur en upptagning för automatiserad behandling inte anses förvarad hos myndigheten om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Endast begränsningar i lag eller förordning, till exempel förbud i så kallade registerförfattningar för en myndighet att använda vissa sökbegrepp eller att ta fram sammanställningar genom samkörning mellan olika register, är relevanta. Färdiga elektroniska handlingar omfattas inte av bestämmelsen 2 kap. 7 § TF. Sådana handlingar är alltid att anse som förvarade hos en myndighet även om de innehåller personuppgifter och även om det i lag eller förordning finns förbud för myndigheten att använda vissa sökbegrepp vid sökning efter handlingarna (prop. 2001/02:70, s. 38). Om tillgängliggjorda personuppgifter enligt utredningens förslag kan utgöra potentiella handlingar hos de regionala myndigheter eller lärosäten som får tillgång till uppgifterna beror på hur tillgängliggörandet går till. Utredningen gör bedömningen att uppgifterna som kommer att omfattas av tillgängliggörandet, åtminstone vid det tillfälle den mottagande regionala myndigheten eller lärosätet ges tillgång till dessa, genom exempelvis inloggningsuppgifter eller tilldelas behörighet i ett system, måste anses förvarade enligt 2 kap. 6 § TF hos den regionala myndighet eller det lärosäte som tillgängliggörandet sker till. Utredningens bedömning är dock att en begränsad direktåtkomst till
731En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
personuppgifter enligt den föreslagna lagen typiskt sett inte innebär att personuppgifterna endast är potentiellt tillgängliga. Ett tillgängliggörande får i stället normalt sett anses omfatta färdiga handlingar. Utredningen gör denna bedömning mot bakgrund av att de uppgifter som tillgängliggörs avser ett urval av uppgiftsmängder kopplade till bestämda individer. Ett sådant urval borde i normalfallet anses vara ett sådant bestämt, fixerat innehåll som går att återskapa gång på gång. Utredningens föreslår en bestämmelse om att regionala myndigheter och lärosäten som bedriver forskning endast får tillföra forskningen de personuppgifter som kan antas ha betydelse för forskningen, se avsnitt 16.9.3. Detta villkor utgör enligt utredningens bedömning inte en sådan begränsning som innebär att undantaget i 2 kap. 7 § TF är tillämpligt (jämför prop. 2021/2022: 177 s. 98).
16.11 Följdändringar
Med anledning av den föreslagna lagen finns det enligt utredningen mening behov av att i PDL införa bestämmelser som upplyser om den föreslagna lagen om viss vidareanvändning av personuppgifter för klinisk forskning samt vissa regler i den föreslagna lagen.
16.11.1 Förhållande till annan dataskyddsreglering
Förslag : I PDL ska det införas en upplysning om att det i lag om viss vidareanvändning av personuppgifter för klinisk forskning finns bestämmelser om tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande av personuppgifter från hälso- och sjukvården.
I 1 kap. 4 § PDL finns bestämmelser om lagens förhållande till annan dataskyddslagreglering. I första stycket anges att PDL kompletterar EU:s dataskyddsförordning, vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Av andra stycket framgår att vid sådan behandling av personuppgifter som avses i första stycket
732En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
gäller dataskyddslagen, om inte annat följer av PDL eller föreskrifter som är meddelande i anslutning till PDL. Av bestämmelsens tredje stycke följer att i SVOD finns ytterligare bestämmelser om vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I avsnitt 16.5.3 redogör utredningen för sin syn på den föreslagna lagens förhållande till PDL. Utredningen anser inte att den föreslagna lagen kompletterar PDL eller innehåller ytterligare bestämmelser om vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Utredningens uppfattning är att den föreslagna lagen tar vid där PDL:s tillämpningsområde slutar. Bestämmelserna i den föreslagna lagen reglerar dock en viss form av utlämnande av personuppgifter från verksamhet som ingår i hälso- och sjukvården i den mening som avses i PDL. Utredningen anser att det i PDL bör införas en bestämmelse som upplyser om detta. Bestämmelsen bör placeras i ett nytt fjärde stycke i 1 kap. 4 § PDL.
16.11.2 Direktåtkomst eller annat elektroniskt utlämnande
Förslag : I PDL ska det införas en upplysning om att det i lagen om viss vidareanvändning av personuppgifter för klinisk forskning finns bestämmelser om begränsad direktåtkomst och annat elektroniskt utlämnande.
I 5 kap. 4 § första stycket PDL anges att utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning. Av bestämmelsens andra stycke framgår att om en region eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma region eller kommun. I 5 kap. 4 § tredje stycket finns en upplysning om att det i 5 §, 7 kap. 9 § och i SVOD finns ytterligare bestämmelser om direktåtkomst och annat elektroniskt utlämnande. I utredningens nya lag finns bestämmelser som möjliggör att tillgång ges genom begränsad direktåtkomst eller annat elektroniskt utlämnande till personuppgifter som finns inom hälso- och sjukvården. Utredningen anser att det i PDL bör införas en bestämmelse som upplyser om detta. Bestämmelsen bör placeras i 5 kap. 4 § tredje stycket PDL.
733En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
16.12 Ikraftträdande och övergångsbestämmelser
Förslag : Den föreslagna lagen om viss vidareanvändning av personuppgifter för klinisk forskning samt ändringar i andra lagar som föranleds av den lagen ska träda i kraft den 1 januari 2025.
Bedömning: Det behövs inga övergångsbestämmelser.
Utredningens förslag till ny lag om vidareanvändning av personuppgifter för klinisk forskning avser frivilliga möjligheter till förenklad tillgång till personuppgifter för klinisk forskning. Regionala myndigheter inom hälso- och sjukvården kan välja att tillämpa de bestämmelserna efter att lagen har trätt i kraft. Några obligatoriska skyldigheter som kräver förberedelser föreslås inte. Däremot skulle det kunna uppkomma ett tryck på regionala myndigheter som bedriver hälso- och sjukvård att anpassning av it-system behövs. Utredningen gör samtidigt bedömningen att det borde finnas ett intresse hos datahållanade myndigheter att så skyndsamt som möjligt genomföra sådana anpassningar, eftersom de förenklade reglerna innebär en lägre administrativ börda för tillgängliggörande myndigheter. Utredningen överlämnar detta betänkande i november 2023. Lagförslagen syftar till att förenkla tillgången till personuppgifter för klinisk forskning. Föreslagna regler innebär förenklingar och minskad administrativ börda för inblandade aktörer och kan gynna genomförande av viktig forskning. Det framstår som angeläget att ändringarna kan träda i kraft relativt snart, bland annat för att skapa incitament för regionala myndigheter som bedriver hälso- och sjukvård samt regionala myndigheter och lärosäten som bedriver forskning att börja tillämpa bestämmelserna. Utredningen anser att det framstår som rimligt att den föreslagna lagen om viss vidareanvändning av personuppgifter för klinisk forskning kan träda i kraft den 1 januari 2025. Detsamma gäller de ändringar som föreslås i annan lagstiftning, se avsnitt 16.11 avseende följdändringar i PDL och avsnitt 17.3, 17.4 och 17.5 avseende ändringar OSL. Utredningens förslag avser en ny lag som kan börja tillämpas på utlämnande för klinisk forskning från och med att den träder i kraft. Utredningen ser inget behov av övergångsbestämmelser.
734En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
16.13 En avvägning mellan behov och risker
16.13.1 Inledning
Flera tidigare utredningar, däribland Registerforskningsutredningen (SOU 2014:45) och Forskningsdatautredningen har i slutbetänkandet Rätt att forska – långsiktig reglering av forskningsdatabaser (SOU 2018:36) konstaterat att den politiska utgångspunkten är att forskning är något värdefullt för vårt samhälle. Det framgår även av regeringens tidigare forskningspropositioner. Utredningen konstaterar att en reglering av personuppgiftsbehandling inom forskningen måste vara ändamålsenlig och uppfylla forskningens behov. Samtidigt måste en sådan reglering innefatta ett gott skydd för den personliga integriteten. Vid införandet av eventuell ny lagstiftning på området måste det därför göras en avvägning mellan å ena sidan forskningens behov av tillgång till personuppgifter och, å andra sidan, forskningspersonernas rätt till personlig integritet. Även om det kan uppfattas som ett motsatsförhållande vid en första anblick är det intressen som i högsta grad sammanfaller. För både forskarna och samhället i stort är det av största vikt att allmänheten hyser ett stort förtroende för forskningsprocessens alla led. Som också konstaterats i Långsiktig reglering av forskningsdatabaser, kan även forskarnas och individernas intressen sammanfalla på andra sätt. Exempelvis vid forskning om sjukdomars uppkomst och utveckling, där både de enskilda individerna och samhället kan tjäna på att forskning leder till medel som kan lindra eller bota sådana sjukdomar, men även vid forskning som syftar till ökad förståelse för samhällsutvecklingen i stort (se en Långsiktig reglering av databaser, Dnr U2022/04089, s. 108). Av central betydelse för att upprätthålla ett starkt förtroende för forskningen är, enligt utredningens mening, öppenhet kring hur personuppgifter används och möjligheten till inflytande för den vars personuppgifter ska behandlas.
16.13.2 Sammanfattning av behoven
Utredningen har fått till sig att ett av det finns ett stort behov av att förenkla åtkomsten till personuppgifter för ändamålet klinisk forskning. Forskning är som huvudregel en självständig verksamhetsgren vilket medför att det ur sekretessperspektiv finns en sekretessgräns
735En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
mellan vårdverksamheten och forskningsverksamheten, även om båda verksamheterna sker på samma klinik med samma personal (se vidare avsnitt 12.3). Uppgifter som behövs för forskningen måste då begäras ut och utlämnande måste föregås av en så kallad menprövning. Det här innebär en administrativ process som tar tid och resurser för vården. Utredningen har fått till sig att det hos många vårdgivare endast ges tillgång till sådana uppgifter som begärts ut först efter att verksamhetschefen har fattat ett beslut om utlämnande. Ett sådan beslut om utlämnande innebär inte att det är tillåtet att ta del av journaluppgifterna genom att logga in i regionens journalsystem utan att den som begärt ut uppgifterna kan få dem utlämnade Det är i och för sig tillåtet för vårdgivare att göra andra elektroniska utlämnanden än utlämnande genom direktåtkomst. Detta görs också till forskning, bland annat genom att uppgifter laddas ner på ett usb-minne och lämnas ut. Denna möjlighet tar dock inte bort det stora administrativa arbete som det manuella avskiljandet av uppgifter för varje registrerad som utlämnande myndigheter gör i dag (se vidare avsnitt 15.3). Förutom den administrativa börda som utlämnandeprocessen innebär medför det även att det blir långa ledtider för den aktuella forskningen, som i sin tur kan innebära fördröjning av angelägen forskning. Det kan även leda till att menprövningar hos olika vårdgivare resulterar i olika utfall och bidrar till ett underlag som inte blir representativt. Ett annat upplevt problem är att omfattande utlämnanden sker på papper i stället för digitalt, detta trots att uppgifterna hanteras digitalt både före och efter utlämnandet.
16.13.3 Specifika integritetsrisker med förslaget om begränsad
direktåtkomst och annat elektroniskt utlämnande för
ändamålet klinisk forskning
De aktörer som omfattas av den föreslagna lagens möjligheter utgörs av regionala myndigheter eller ett lärosäte som bedriver klinisk forskning. De mer generella riskerna med elektroniska utlämnanden och särskilt i form av direktåtkomst återfinns i avsnitt 16.7.2. Möjligheten att införa direktåtkomst eller annat elektroniskt utlämnande för en regional myndighet, eller ett lärosäte, som bedriver klinisk forskning innebär att informationen potentiellt kan förmedlas till en större krets av personer än tidigare, eftersom fler användare
736En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
kommer att kunna ta del av patienternas personuppgifter. Därmed ökar också risken att personer som inte har rätt till det tar del av uppgifterna eller att uppgifterna sprids utanför den tillåtna kretsen. I det hänseendet utgör förslaget inte bara en integritetsrisk utan även ett potentiellt brott mot sekretessen. Till detta bör även särskilt beaktas att urvalet av personuppgifter ska göras på mängdnivå för de aktuella forskningsprojekten, även del av så kallad överskottsinformation. Sådan överskottsinformation skulle normalt sett inte tillgängliggöras för regionala myndigheter eller lärosäten som bedriver klinisk forskning om tillgängliggörandet i stället gjordes genom ett utlämnande enligt allmänna regler. Åtkomsten till överskottsinformationen utgör även den en risk för obehörigt röjande och otillbörlig spridning. De sätt som finns att förhindra att personer som inte har rätt till det tar del av uppgifter är att begränsa tillgången på uppgifter och kontrollera åtkomsten, till exempel genom loggning och tekniska åtgärder. Sådana åtgärder torde minska risken för att personer som inte har rätt till det tar del av uppgifter, men risken elimineras inte helt och hållet. Det är även viktigt att den personuppgiftsansvarige ger medarbetarna instruktioner för behandlingen av personuppgifter. Ytterligare en riskfaktor är att det är fråga om behandling av känsliga personuppgifter. Uppgifter om hälsa och genetiska uppgifter utgör båda kategorier av känsliga personuppgifter enligt dataskyddsförordningens definition. Begreppet hälsa innefattar inte endast uppgifter om psykisk och fysisk hälsa, utan även uppgifter om mediciner, hjälpmedel och socialt välbefinnande. Beroende på hur omfattande det aktuella forskningsprojektet är, kan det röra sig om relativt stora mängder personuppgifter av känslig natur som hålls potentiellt tillgängliga för en aktör utanför vården, vilket kan uppfattas som en integritetsrisk. Den regionala myndigheten, eller lärosätet, som bedriver den kliniska forskningen kan potentiellt också ha getts tillgång till uppgifter hos flera olika regionala myndigheter som bedriver hälso- och sjukvård samtidigt. En generell utgångspunkt är, som anges i avsnitt 16.7.2, att ju större informationsmängder som finns samlade elektroniskt så att personuppgifter kan sökas och sammanställas på ett allt enklare sätt, desto mer ökar möjligheterna till kontroll över och kartläggning av enskilda. Som en följd av detta ökar också risken för att enskild drabbas av oacceptabla intrång i sin personliga sfär.
737En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
Ytterligare en risk med direktåtkomst och annat elektroniskt utlämnande som kan bli aktuell i dessa sammanhang är att personuppgifter kan få en större spridning, eftersom de på ett lättare sätt kan laddas ner och lagras hos den regionala myndigheten eller lärosätet som bedriver klinisk forskning och som getts tillgång, även om det inte finns något behov av sådan lagring. Sådan hantering av personuppgifter kan stå i strid sekretesslagstiftningen och med dataskyddsförordningens princip om uppgiftsminimering (artikel 5.1 c) (se även avsnitt 16.13.5 och 16.9.2). En annan omständighet som är relevant i detta sammanhang är att många patienter kanske inte känner till vad som finns dokumenterat om dem i hälso- och sjukvårdens informationssystem. Detta kan göra det svårt för dem att bedöma vilken information som den personuppgiftsansvariga myndigheten som bedriver den kliniska forskningen kommer att kunna ta del av vid ett tillgängliggörande enligt lagen.
16.13.4 Föreslagna integritetsstärkande åtgärder
Avvägningen mellan de risker ett förenklat åtkomstförfarande för klinisk forskning kan innebära, och den nytta det för med sig, påverkas av vilka integritetsstärkande åtgärder som kan vidtas för att förhindra och försvåra intrång i den personliga integriteten. Utredningen har försökt begränsa de potentiella riskerna och säkerställa de registrerades grundläggande rättigheter och intressen, samt de krav som ställs i artikel 89.1 dataskyddsförordningen genom följande åtgärder: – krav på ett integritetshöjande samtycke till att den begränsade direktåtkomsten får användas (avsnitt 16.8.3), – att endast sådan forskning där den registrerade (forskningspersonen) samtyckt till forskningen kan omfattas av lagen (avsnitt 16.8.2), – en särskild bestämmelse om information (avsnitt 16.8.3), – att ett tillgängliggörande enligt lagen endast är möjligt till forskningsprojekt som är tillåtna enligt EPL och förordningarna MDR, CTR, IVDR (se 16.3.1 för utförligare beskrivning), – att ett tillgängliggörande endast får ske av det urval av uppgiftsmängder som kan antas ha betydelse för forskningen (avsnitt 16.7.5),
738En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
– krav på behörighetsstyrning hos den regionala myndighet eller det lärosäte som bedriver forskningen (avsnitt 16.9.2), – att endast de personuppgifter som behövs för forskningen får tillföras forskningen (avsnitt 16.9.3), – bestämmelse om absolut sekretess för den överskottsinformation som kommer att finnas vid tillgängliggörandet, samt – att åtkomsten via en begränsad direktåtkomst kommer vara tidsbestämd (avsnitt 16.7.3)
Den registrerades möjlighet till inflytande över behandlingen av personuppgifter har av utredningen ansett vara av central betydelse för om den behandlingen som omfattas av lagen uppfattas som en integritetskränkning eller inte. Därför har utredningen inte enbart avgränsat lagens tillämpningsområde till att avse sådan klinisk forskning där den registrerade har samtyckt till att delta i forskningen i enlighet med EPL, CTR, MDR eller IVDR (se vidare 16.8.2), utan även satt som villkor att det ska finnas ett integritetshöjande samtycke till att personuppgifterna tillgängliggörs i enlighet med lagen. Enligt dataskyddsförordningen är barns personuppgifter extra skyddsvärda och i bedömning av riskerna med en särskild behandling måste det särskilt beaktas när det rör sig om barn eller andra sårbara fysiska personer (skäl 38 och skäl 75). Utredningen har inte föreslagit några undantag för lagens tillämpning för barn, utan i stället försökt beakta de särskilda förutsättningar som kan gälla för dem. I lagen anges därför att om barnet har nått en sådan ålder och mognad att den själv kan samtycka till själva forskningen, eller om någon annan kan samtycka i barnets ställe, anser utredningen att ett integritetshöjande samtycke till tillgängliggörandet enligt den föreslagna lagen borde kunna lämnas på samma sätt (se avsnitt 16.8.4). Dessutom gäller att om vårdnadshavare har samtyckt till forskning men barnet själv motsätter sig forskningen, anses inte villkoret på samtycke till forskningen uppfyllt. En särskild ordning har även föreslagits för personer med en lagligt utsedd ställföreträdare. Skulle en registrerad ändra sig och återkalla sitt integritetshöjande samtycke, har utredningen föreslagit att tillgängliggörandet avseende dennes personuppgifter ska upphöra. En förutsättning för att en enskild ska kunna lämna det integritetshöjande samtycket är att hen erhållit korrekt information och
739En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
på ett sådant sätt att den kan tillgodogöra sig detta. Med anledning av detta har utredningen föreslagit en bestämmelse som anger att samtycket ska föregås av att den registrerade får information om vad begränsad direktåtkomst eller annat elektroniskt utlämnade enligt lagen innebär, samt rätten att återkalla ett samtycke till att uppgifter görs tillgängliga (se även 16.8.3). Förutom bestämmelser som ger den registrerade inflytande över behandlingen av personuppgifter, innehåller utredningens förslag ytterligare bestämmelser med syfte att stärka skyddet för den personliga integriteten. En sådan bestämmelse är att det vid ett tillgängliggörande i form av en begränsad direktåtkomst, ska åtkomsten upphöra efter en viss i förväg beslutad tid. Tidsperioden ska sättas utifrån hur lång tid det kan behövas för att tillföra de relevanta uppgifterna till forskningen. Genom att göra åtkomstsmöjligheten tidsbestämd begränsas även de identifierade riskerna som kommer med tillgängliggörandet. Vid upphörandet av den begränsade direktåtkomsten upphör riskerna för de registrerade som omfattades. Av denna anledning har även utredningen ansett det nödvändigt att sätta en bortre gräns om sex månader. Utan en bortre gräns skulle en regional myndighet, eller ett lärosäte, som bedriver klinisk forskning åtminstone i teorin kunna få sin åtkomst förlängd i oändlighet. En sådan ordning skulle medföra att det tänkta skyddet av utredningens förslag om en tidsgräns bli illusoriskt. Utöver detta är kravet på urval av uppgiftsmängder ett sätt att begränsa riskerna för de forskningsdeltagare som lämnat sitt samtycke. Genom att sätta som en förutsättning för tillgängliggörandet att de uppgiftsmängder som ska omfattas måste begränsas till dem som kan antas ha betydelse för forskningen, vill utredningen säkerställa att principen om uppgiftsminimering iakttas. Detta trots att ett förenklat och effektivare förfarande eftersträvas (jämför artikel 89.1 i dataskyddsförordningen). Med rekvisitet ”kan antas ha betydelse för forskningen”, avses att någon form av ställningstagande eller bedömning måste göras utifrån vad det aktuella forskningsprojektet eller del av projektet har som vetenskaplig frågeställning. Då bedömningen avser personuppgiftsmängder blir urskiljandet ändå enligt utredningens bedömning mer effektiv än den ordning som gäller i dag. Alternativet hade kunnat vara att låta samtliga personuppgifter som finns om en forskningsdeltagare hos den aktuella datahållaren omfattas av tillgäng-
740En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
liggörandet. En sådan lösning har inte utredningen ansett vara befogad utifrån de risker som finns (för fullständig redogörelse i avsnitt16.7.5). Vidare är behörighetsstyrning ett av de vanligaste sätten att motverka obehörig åtkomst och okontrollerad spridning. I lagen har det därför ansetts nödvändigt med en reglering på dataanvändarsidan avseende vilka personer inom ett forskningsprojekt som ska kunna tilldelas behörighet och få ta del av personuppgifter genom den begränsade direktåtkomsten, och därmed se de känsliga personuppgifterna i klartext och även kunna se den så kallade överskottsinformationen. Behörigheten ska enligt förslaget begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom forskningen (se vidare under avsnitt 16.9.3). Från integritetssynpunkt är det även väsentligt att inte andra personuppgifter än vad som är befogat utifrån forskningsprojektet rent faktiskt tillförs forskningen. Utredningen har därför ansett det befogat med en sådan bestämmelse. Att i lagen specificera vilka personuppgifter som får tillföras forskningen skulle innebära tillämpningsproblem och försvåra lagens tillämpning. Det får därför styras av en bedömning i det enskilda fallet där endast de personuppgifter som behövs för forskningen är det som tillförs. Utredningen anser att denna ordning är godtagbar utifrån integritetssynpunkt, inte minst mot bakgrund av att uppgifterna som inte behövs för forskningen omfattas av en absolut sekretess som är ägnad att förhindra obehörig spridning (se avsnitt 16.9.3 och avsnitt 17.4).
16.13.5 Den sammanvägda bedömningen
av behoven och riskerna
Svårigheterna kring hur regelverket ser ut för de regionala myndigheter och lärosäten när de bedriver klinisk forskning kan i förlängningen leda till att viss forskning inte genomförs alls, eller att forskning avgränsas på olika sätt för att minimera behovet av olika utlämnandeprocesser. Med att viss forskning inte genomförs alls avses i detta fall att den som är ansvarig för forskningen i stället väljer att genomföra en annan typ av forskning som exempelvis en registerstudie, vilket bland annat innebär att man inte behöver den enskilde patientens samtycke och att resultatet av forskningen blir av en annan karaktär. Syftet med den föreslagna lagen är att skapa förenklade möjligheter till vidareanvändning av personuppgifter från hälso- och sjukvården
741En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
för ändamålet klinisk forskning och samtidigt säkerställa att registrerades personliga integritet skyddas vid den vidareanvändning som görs med stöd av lagen. I det hänseendet är en aspekt på den hantering som sker i dag, trots att det görs i syfte att upprätthålla ett gott skydd för de registrerades integritet, att det ibland medför andra risker ur ett integritetshänseende. Det kan röra sig om att många olika personer måste involveras för ett manuellt utlämnande. Det kan även röra sig om att uppgifter lämnas ut i former som i sin tur kanske inte förvaras eller skyddas på lämpligt sätt (se exempelvis beslut från Integritetsskyddsmyndigheten, dnr IMY-2022-1290, som avsåg hanteringen av ett okrypterat usbminne där personuppgifter från ett kvalitetsregister förvarades och dnr DI-2019-9457 där uppgifter mejlades till forskare i okrypterat format). Utredningen har konstaterat att integritetsriskerna kan antas vara större när känslig information tillgängliggörs elektroniskt så att de är tillgängliga för mer än ett fåtal personer och dessutom kan tillföras andra system i form av forskningsdokumentation. Det är därför särskilt viktigt att sådan behandling av personuppgifter omgärdas av integritetsskyddande regler. Nyttan av snabbare och enklare tillgång till personuppgifter måste vägas mot de risker för integritetsintrång som ett sådant förfarande kan innebära. Som nämnts ovan utgör åtkomsten, särskilt med hänsyn till överskottsinformationen, en risk för obehörigt röjande och en otillbörlig spridning. I det hänseendet utgör förslaget inte bara en integritetsrisk utan även ett potentiellt brott mot sekretessen. Inom vården finns i dag tydliga riktlinjer, rutiner och utbildningar för att säkerställa att personalen behandlar eventuell överskottsinformation på rätt sätt och är van vid tystnadsplikt och sekretess. Utredningens förslag innebär dock även att anställda vid lärosäten kommer få tillgång till viss överskottsinformation. Utredningen har gjort bedömningen att den föreslagna bestämmelsen om behörighetsstyrning och absolut sekretess utgör sådana åtgärder som medför att riskerna blir avsevärt mindre. Här utgörs också en central del i integritetsskyddet de samtycken som de aktuella forskningspersonerna lämnat, dels till att delta i forskningsprojektet, dels det integritetshöjande samtycket som lämnats avseende formen för tillgängliggörandet. Dessa samtycken utgör på så vis skäl till att
742En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
de risker som följer med ett tillgängliggörande enligt lagen ändå kan ses som acceptabel. Utredningen vill härvid understryka vikten av att den information som lämnas till de som ska delta i forskningen är klar och tydlig och anpassad efter forskningsdeltagarnas varierade förutsättningar att tillgodogöra sig sådan information. I sammanhanget är det även relevant att de personer som kommer komma i kontakt med uppgifterna både på datahållarsidan respektive dataanvändarsidan enligt utredningens uppfattning bör vara utbildade i sekretessfrågor samt har vana att hantera just dessa uppgifter redan i dag. Som utredningen redogjort för ovan sker utlämnande av dessa uppgifter redan i dag, dock inte på det sätt som lagen reglerar. I övrigt gäller att otillåten behandling eller spridning kommer att utgöra ett brott om dataintrång, se 4 kap. 9 c § alternativt ett brott mot tystnadsplikten 20 kap. 3 § brottsbalken. Vidare anser utredningen att förutsättningen att den begränsade direktåtkomsten tidsbestäms utgör ett viktigt verktyg i att begränsa de potentiella riskerna. Slutligen vill även utredningen påminna om ett resonemang som regeringen lyfte fram vid införandet av PDL när det gällde åtkomst till personuppgifter inom amen för den sammanhållna journalföringen i hälso- och sjukvården för forskning. Regeringen ansåg det inte försvarbart att öppna upp den sammanhållna journalföringen med direktåtkomst för forskning eftersom enskilda skulle få behålla rätten att själva bestämma om deras personuppgifter skulle ingå i forskning eller inte (se prop. 2007/08:126 s. 205). Det är därmed av största vikt att den regionala myndighet, eller det lärosäte, som bedriver klinisk forskning tekniskt inte kan få tillgång till någon annan patient än den som samtyckt i enlighet med lagen. De avgränsningar och krav som utredningen gett förslag på avseende integritetshöjande samtycken och att samtycke till aktuella forskningen finns, bör enligt utredningens uppfattning ligga i linje med detta uttalande. Det bör också påpekas att den föreslagna regleringen som möjliggör det förenklade tillgängliggörandet innebär en möjlighet för datahållarna inom vården respektive dataanvändarna att hantera utlämnanden på det sättet. Lagen innehåller således vissa grundläggande bestämmelser. Ett elektroniskt utlämnande, särskilt genom direktåtkomst, innebär vissa integritetsrisker, men enligt utredningens bedömning kan de föreslagna integritetsstärkande åtgärderna eliminera, eller i vart fall
743En ny lag om viss vidareanvändning av personuppgifter för klinisk forskning
effektivt motverka dessa risker. Utredningens samlade bedömning är att den föreslagna lagen får anses proportionerlig eftersom utredningens förslag om direktåtkomst eller annan elektronisk åtkomst för klinisk forskning som bedrivs av en regional myndighet eller ett lärosäte är förenat med de särskilda krav på den enskildes samtycke och andra villkor som uppställs i lagen.
16.13.6 Reglering i lag
I avsnitt 15.4.2, 16.1.2 och 16.1.4 redogörs för skälen ur ett integritetsperspektiv om varför den åtkomst som omfattas av förlaget bör regleras i lag.
74517 Ändring av sekretessregler
Av principen om handlingsoffentlighet följer att var och en har rätt att ta del av allmänna handlingar. Begränsning av handlingsoffentligheten får som utgångspunkt endast ske i särskild lag och med hänsyn till vissa angivna intressen (se 2 kap. 2 § Tryckfrihetsförordningen 1949:105, förkortad TF). Offentlighets och sekretesslagen (2009:400), förkortad OSL, utgör en sådan särskild lag. I kapitel 8 redogör utredningen för relevant gällande rätt avseende offentlighet, sekretess och tystnadsplikt. I OSL finns regler om sekretess till skydd för enskildas personliga och ekonomiska förhållanden. Inom hälso- och sjukvård gäller sekretess enligt 25 kap. 1 § OSL för uppgifter som rör enskildas personliga förhållanden. Sekretess innebär både handlingssekretess och tystnadsplikt. Regler om tystnadsplikt finns även i hälso- och sjukvård som bedrivs av privata aktörer, så kallad enskild hälso- och sjukvård (se 6 kap. 12 § patientsäkerhetslagen (2010:659), förkortad PSL. Sekretess och tystnadsplikt för personliga förhållanden är även en viktig del i integritetsskyddet. Sekretess och tystnadsplikt hindrar dock vidareanvändning av personuppgifter för angelägna ändamål. Utredningens förslag om en ny lag om vidareanvändning av personuppgifter för klinisk forskning samt utredningens förslag om ändringar i patientdatalagen (2008:335), förkortad PDL, avser tillgängliggörande av sekretessreglerade uppgifter över yttre sekretessgränser inom och mellan myndigheter som bedriver hälso- och sjukvård och från privata vårdgivare. För att tillgängliggörande ska kunna ske enligt de föreslagna reglerna krävs ändringar i OSL. Särskilda aspekter från sekretessynpunkt aktualiseras i de delar förslagen avser direktåtkomst. En bedömning behöver även göras i förhållande till regler om tystnadsplikt i PSL. I detta kapitel finns utredningens förslag och bedömningar av frågor
746Ändring av sekretessregler
rörande sekretess och tystnadsplikt med koppling till förslagen i kapitel 14 och 16. I avsnitt 17.1 finns överväganden och förslag till en sekretessbrytande bestämmelse som möjliggör tillgängliggörande av personuppgifter mellan myndigheter i olika regioner för ändamålet vården av en annan patient än den som uppgifterna avser. I avsnitt 17.2 finns överväganden och förslag till en bestämmelse om absolut sekretess för uppgifter som myndighet ges tillgång till i en precisionsmedicinsk databas. I avsnitt 17.3 finns överväganden och förslag till en sekretessbrytande bestämmelse för tillgängliggörande av personuppgifter enligt utredningens förslag till ny lag om viss vidareanvändning för klinisk forskning. I avsnitt 17.4 finns överväganden och förslag till en bestämmelse om absolut sekretess för uppgifter som inte får tillföras forskningen.
17.1 Sekretessbrytande bestämmelse för
tillgängliggörande av personuppgifter
för vården av en annan patient
än den som uppgifterna avser
Förslag : En ny sekretessbrytande bestämmelse ska föras in i OSL med innebörden att sekretess enligt 25 kap. 1 § OSL inte hindrar att uppgifter lämnas från en myndighet som bedriver verksamhet inom hälso- och sjukvård i en region till en annan sådan myndighet i en annan region enligt det som föreskrivs i 6 kap. PDL.
Bedömning : Den sekretessbrytande bestämmelsen i 25 kap. 11 § 2 OSL är tillämplig vid utlämnande från en myndighet som bedriver verksamhet inom hälso- och sjukvård i en region till en annan sådan myndighet i samma region även när behandling av personuppgifter sker för vården av en annan patient än den som uppgifterna avser. Någon särreglering behövs inte för privata vårdgivare.
747Ändring av sekretessregler
17.1.1 Behovet av en sekretessbrytande bestämmelse
Uppgifter inom offentligt bedriven hälso- och sjukvård omfattas av OSL. Inom hälso- och sjukvården gäller som huvudregel sekretess för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (25 kap. 1 § OSL). Sekretess gäller alltså med ett omvänt skaderekvisit, det vill säga att det finns en presumtion för att uppgifterna inte ska lämnas ut. Sekretess gäller som huvudregel både i förhållande till enskilda och andra myndigheter (8 kap. 1 § OSL). Sekretess kan även gälla mellan olika verksamhetsgrenar inom en myndighet, när dessa är att betrakta som självständiga i förhållande till varandra (8 kap. 2 § OSL). Om en myndighet eller en enskild begär att en allmän handling som innehåller en uppgift som skyddas av sekretess ska lämnas ut, ska begäran prövas av den myndighet som förvarar handlingen (2 kap. 17 § TF). Vid ett omvänt skaderekvisit är, som anges ovan, sekretess huvudregel. Enligt förarbetena till den tidigare sekretesslagen (1980:100) har den som ska tillämpa ett omvänt skaderekvisit i praktiken ett begränsat utrymme för sin bedömning (prop. 1979/80:2 Del A s. 82, SOU 2003:99 s. 132). För att kunna bedöma om en uppgift omfattas av sekretess vid tillämpningen av ett omvänt skaderekvisit måste hänsyn tas till samtliga omständigheter i det enskilda fallet. Många gånger måste handläggaren ta reda på mottagarens identitet och avsikter för att kunna avgöra om uppgifterna ska lämnas ut. Utredningen föreslår att personuppgifter som behandlas av vårdgivare enligt 2 kap. 4 § första stycket 1–2 PDL, ska få behandlas för ändamålet vården av en annan patient än den som personuppgifterna avser. Detta är uppgifter som inom den offentligt bedrivna hälsooch sjukvården omfattas av sekretess enligt 25 kap. 1 § OSL. Sådana personuppgifter ska få tillgängliggöras till en regional myndighet inom hälso- och sjukvården som för en precisionsmedicinsk databas (steg 1 i utredningens modell, se avsnitt 13.3.). Regionala myndigheter inom hälso- och sjukvården ska vidare, genom direktåtkomst eller annat elektroniskt utlämnande, kunna ges tillgång till de uppgifter som lagras i en precisionsmedicinsk databas (steg 3). Därutöver ska vårdgivare efter begäran av de kompletterande personuppgifter från den patientjournal som kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser, få tillgängliggöra de person-
748Ändring av sekretessregler
uppgifter som omfattas av en sådan begäran (steg 4). Tillgängliggörande i steg 1, 3 och 4 får ske mellan myndigheter inom hälso- och sjukvården, men har ingen sekretessbrytande effekt i sig. Tillgängliggörande mellan myndighet kommer kunna bli aktuellt både kopplat till samverkansregional precisionsmedicinska databaser och den precisionsmedicinska databasen som för föras inom den Nationella Genomikplattformen, se utredningens förslag om inrättande och förande av precisionsmedicinska databaser i avsnitt 14.7.3. I den utsträckning tillgängliggörande sker mellan myndigheter kommer uppgifterna i samtliga steg ovan att anses utlämnade respektive inkomna i TF:s och OSL:s mening.
Behovet utifrån kraven på prövning i varje enskilt fall
Utan någon särskild reglering innebär de ovan redovisade bestämmelserna om sekretessprövning och sekretessgränser mellan myndigheter att den myndighet som tillgängliggör personuppgifter för ändamålet vården av en annan patient än den som uppgifterna avser, ska göra en sekretessprövning i varje enskilt fall av tillgängliggörande av uppgifter. Vid sekretess enligt 25 kap. 1 § ska myndigheten vid en så kallad menprövning bedöma om uppgiften kan hänföras till en enskild och om det innebär skada och men för den enskilde eller dennes närstående om uppgiften lämnas ut. Vid denna prövning ska samtliga omständigheter i det enskilda fallet beaktas, såsom mottagarens identitet och avsikter. Om prövningen resulterar i slutsatsen att den uppgift som begärs ut är sekretessbelagd, får uppgiften inte lämnas ut. Sekretessbestämmelserna i 25 kap. 1 § OSL innebär alltså att den myndighet som förvarar en uppgift ska göra en menprövning i det enskilda fallet vid varje begäran om att uppgiften ska lämnas ut (se 6 kap. 4–5 §§ OSL). De föreslagna reglerna om tillgängliggörande till precisionsmedicinsk databas förutsätter dock rutinmässigt och löpande utlämnande av vissa typer av personuppgifter. Direktåtkomst eller annat elektroniskt utlämnande av personuppgifter i en precisionsmedicinsk databas innebär att den myndighet som för databasen inte har kontroll över vilka myndigheter som vid varje givet tillfälle tar del av uppgifter. Det går heller inte att på förhand avgränsa ett utlämnande av uppgifter på så sätt som förutsätts vid menprövning enligt beskrivning ovan. Kravet på sekretessprövning i varje enskilt fall skulle
749Ändring av sekretessregler
därmed utgöra ett hinder mot behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser när det avser tillgängliggörande av personuppgifter till precisionsmedicinsk databas hos annan myndighet och tillgång genom direktåtkomst eller annat elektroniskt utlämnande. Vid tillgängliggörande av kompletterande uppgifter förutsätter utredningens förslag att ett avgränsat utlämnande sker efter en prövning i varje enskilt fall. Detta medför att en sekretessbrytande bestämmelse inte behövs i denna del utifrån kravet på att en prövning ska göras i varje enskilt fall.
Behovet utifrån att utlämnande endast kan ske om det står klart
att den enskilde eller någon närstående inte lider men
Utredningen föreslår att ett urval av de personuppgifter som behövs för ändamålet vården av en annan patient än den som uppgifterna avser ska ske, se avsnitt 14.6. Utredningens förslag innebär att endast vissa typer av personuppgifter ska få tillgängliggöras till en precisionsmedicinsk databas. Vidare föreslår utredningen att tillgängliggörande till en precisionsmedicinsk databas endast får ske av uppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt. Detsamma gäller för tillgängliggörande av kompletterande personuppgifter från patientjournal. Frågan är om urvalet och pseudonymiseringen kan medföra att uppgifterna är avidentifierade i sekretesshänseende och att ett röjande alltså inte sker vid de utlämnanden som sker avseende behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser.
Rättsliga utgångspunkter avseende avidentifiering i sekretesshänseende
I förarbetena till den tidigare sekretesslagen (1980:100) anges att det krävs att uppgifterna är hänförliga till en viss individ för att en enskild person ska lida skada eller men. Det innebär att det i allmänhet bör vara möjligt att lämna ut så kallade avidentifierade uppgifter utan att risk för skada eller men uppkommer. I enstaka fall kan det emellertid tänkas att en avidentifiering inte är tillräcklig för att hindra att sambandet mellan individen och uppgiften spåras. Frågan om en sådan
750Ändring av sekretessregler
risk föreligger får bedömas efter omständigheterna i det enskilda fallet (se prop. 1979/80:2 Del A s. 84). För att uppgifter ska anses vara avidentifierade ska en enskild inte kunna identifieras vare sig utifrån de uppgifter som lämnas ut eller med hjälp av annan tillgänglig information, så kallad pusselläggning, (se bland annat Kammarrätten i Stockholms dom den 20 augusti 2020 i mål nr 4876-20). Av JO:s beslut den 4 juni 2019, dnr 6794-2017 och 6864-2017 följer att en noggrann sekretessprövning behöver göras även om pseudonymiserade uppgifter lämnas ut. För en mer utförlig beskrivning de rättsliga utgångspunkterna avseende avidentifiering, bland annat avseende förhållandet till begreppet anonymisering, se avsnitt 7.3.1.
Utredningens bedömning
Utredningen gör bedömningen att personuppgifterna genom urvalet och pseudonymisering eller likvärdigt skydd i många fall kan komma att vara avidentifierade sekretessmässigt, vilket innebär att röjande inte sker. Exempelvis är det typiskt sett inte möjligt att identifiera en person utifrån uppgift om kön, genvariant och behandlingsutfall, se vidare avsnitt 14.6.3. Det går emellertid enligt utredningens mening inte att utesluta att ett röjande sker och detta kan vara fallet i samtliga steg som tillgängliggörande förekommer. Utredningen bedömer risken för röjande vid urval och tillgängliggörande till precisionsmedicinsk databas som liten. Utifrån uppgift om till exempel ålder och kön samt diagnos eller ett visst provsvar går det normalt sett inte att identifiera en enskild patient. Med ökat antal uppgifter, ökar risken dock generellt sett. Finns det endast ett fåtal patientfall med exempelvis en viss ovanlig genförändring eller sällsynt diagnos, blir risken för identifiering större. Kombinationen av uppgifter kan också vara sådan, även om det är ett fåtal uppgifter per person, att ett röjande inte kan uteslutas. Det går alltså inte att utesluta att tillgängliggörandet av uppgifter till en precisionsmedicinsk databas kan medföra identifieringsmöjligheter, utifrån att det kan finnas väldigt få patienter med vissa karaktäristika Utredningens uppfattning är dock att detta inte innebär att kravet på pseudonymisering i sig inte är uppfyllt, se avsnitt 14.6.5 och 14.9.4.
751Ändring av sekretessregler
Som har framgått ovan kommer det inte vara praktiskt möjligt att göra en menprövning i varje enskilt fall. Ett fungerande system bygger därför på att det finns en sekretessbrytande grund för tillgängliggörande till en precisionsmedicinsk databas. Sökning i en precisionsmedicinsk databas sker bland det urval av uppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt som har tillgängliggjorts till databasen. Som utgångspunkt är de enskilda patienterna inte möjliga att identifiera utifrån en sådan sökning. Samma principiella risker som berörts ovan i förhållande till sällsynta fall finns även här. I sökningssituationen tillkommer den omständighet att den som söker kan ha kunskap om information som, tillsammans med sökresultatet, innebär att hen kan identifiera en patient. Detta är en situation som regleringen behöver ta höjd för. Vad slutligen avser begäran om kompletterande personuppgifter från patientjournal bedömer utredning att risken för identifiering av patienten generellt sett ökar. I detta steg kan det bli fråga om så pass många och detaljerade uppgifter om en patient att en identifiering i många fall kan vara möjlig.
Innebörden av men
Uttrycket men i sekretesslagstiftningen har en mycket vid innebörd. Av förarbetena framgår följande avseende innebörden av men. I första hand åsyftas sådana skador som att någon blir utsatt för andras missaktning, om hens personliga förhållanden blir kända. Redan den omständigheten att vissa personer känner till en för någon enskild känslig uppgift kan i många fall anses vara tillräckligt för att medföra men. Utgångspunkten för en bedömning av om men föreligger måste således vara den berörda personens egen upplevelse. Bedömningen måste självfallet i viss utsträckning kunna korrigeras på grundval av gängse värderingar i samhället. Enbart det förhållandet att en person tycker att det i största allmänhet är obehagligt att andra vet var han bor kan till exempel inte anses innebära men i här avsedd bemärkelse (se prop. 1979/80:2 Del A s. 83). Uppgifter ska som regel kunna lämnas ut från vårdpersonal till vårdpersonal som ett led i vården utan att risk för men uppkommer. Det kan enligt förarbetena dock inte komma i fråga att lämna ut uppgifter till vårdpersonal som begär att få dem för att fullgöra uppdrag
752Ändring av sekretessregler
som hen har fått från annan än patienten själv, till exempel att lämna utlåtande rörande patienten till myndighet. I sådana fall bör uppgifterna lämnas ut endast om patienten samtycker till det (se prop. 1979/80:2 Del A, s. 168). Även om ett utlämnande enligt det föreslagna ändamålet sker som ett led i vården, finns det enligt utredningens uppfattning en principiellt viktig skillnad när fråga är om vården av en annan patient än den som uppgifterna avser. Detta liknar mer det exempel som anges i förarbetena att uppdraget kommer från annan än patienten själv. I de fall som det trots urval och pseudonymisering eller likvärdigt skydd av uppgifter går att identifiera en enskild patient, gör utredningen bedömningen att men enligt 25 kap. 1 § OSL inte kan uteslutas. Det kan med andra ord, enligt utredningens mening, inte uteslutas att men föreligger vid ett utlämnande av identifierbara uppgifter för vården av en annan patient än den som uppgifterna avser. Ett sådant utlämnande skulle då innebära ett otillåtet röjande av sekretessbelagda uppgifter i strid med 25 kap. 1 § OSL, för det fall det inte fanns en sekretessbrytande grund.
Behovet av sekretessbrytande bestämmelse finns när
tillgängliggörande sker till annan myndighet
Utredningens förslag innebär att tillgängliggörande får ske i tre steg: 1) till en regional myndighet inom hälso- och sjukvården som för precisionsmedicinsk databas, 2) från en precisionsmedicinsk databas till en regional myndighet inom hälso- och sjukvården, och 3) avseende kompletterande personuppgifter från patientjournal, också till en till en regional inom hälso- och sjukvården. Ur sekretesshänseende är det av betydelse att identifiera över vilken typ av sekretessgräns som uppgifterna ska kunna tillgängliggöras. Inom en myndighet finns ingen sekretessgräns, förutom mellan självständiga verksamhetsgrenar. Tillgängliggörande av uppgifter för vården av en annan patient än den som uppgifterna avser sker inom hälso- och sjukvårdsverksamhet. Detta anses var samma verksamhetsgren inom en myndighet och någon sekretessgräns uppkommer därför inte inom en myndighet med koppling till behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser (se prop. 2008/09:150, s. 360). Det finns således inte behov av regler som bryter sekretess inom en myndighet. Däremot har utredningen föreslagit regler om behörighet och befogenhet som begränsar
753Ändring av sekretessregler
den interna spridningen av uppgifterna, se avsnitt 14.6.6, 14.7.5, 14.8.4, 14.8.5 och 14.9.5. När tillgängliggörande sker mellan myndigheter i en region är det fråga om ett utlämnade. Så är även fallet vid tillgängliggörande mellan myndigheter i olika regioner. I dessa situationer behövs en sekretessbrytande grund.
17.1.2 Finns det någon tillämplig sekretessbrytande
bestämmelse?
Som huvudregel gäller alltså sekretess även mellan myndigheter (8 kap. 1 § OSL). Det har dock ansetts att sekretessregleringen inte bör hindra myndigheterna från att utväxla uppgifter i de fall intresset av att uppgifterna lämnas ut bör ha företräde framför det intresse som sekretessen ska skydda. Därför har ett antal sekretessbrytande bestämmelser och undantag från sekretessen införts i OSL. När en ny sekretessbrytande bestämmelse är under övervägande bör man alltid undersöka om det redan finns en tillämplig sekretessbrytande bestämmelse.
Sekretessbrytande bestämmelse mellan
myndigheter inom en region
Av 25 kap. 11 § 2 OSL följer att sekretess enligt 1 § samma kapitel inte hindrar att uppgift lämnas från en myndighet som bedriver verksamhet som avses i 1 § i en region till en annan sådan myndighet i samma region. Bestämmelsen gör det möjligt för kommuner och regioner att fritt välja sin organisation i nämnder och styrelser utan hänsyn till att sekretess i princip råder mellan myndigheter. Bestämmelsen innebär att det finns en sekretessbrytande grund mellan myndigheter inom en region som bedriver hälso- och sjukvård. Behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser förekommer inom hälso- och sjukvårdsverksamhet. Det är uppgifter som behandlas enligt 2 kap. 4 § första stycket 1–2 PDL som omfattas av tillåten vidarebehandling för ändamålet vården av en annan patient än den som uppgifterna avser. Utredningen gör mot denna bakgrund bedömningen att 11 kap. 25 § 2 OSL är tillämplig i de situationer som tillgängliggörande enligt ändamålet
754Ändring av sekretessregler
sker från en myndighet som bedriver verksamhet inom hälso- och sjukvård i en region till en annan sådan myndighet i samma region. Bestämmelsen är dock inte tillämplig i den situation tillgängliggörande sker från en myndighet som bedriver verksamhet inom hälso- och sjukvård till en annan sådan myndighet i en annan region.
Andra befintliga sekretessbrytande bestämmelser
Ovan har framgått att det i 25 kap. 11 § 2 OSL finns en sekretessbrytande bestämmelse som är tillämplig inom en region mellan myndigheter som bedriver hälso- och sjukvård. Den är däremot inte tillämplig mellan myndigheter i olika regioner. Frågan är om det finns andra befintliga sekretessbrytande bestämmelser som är tillämpliga i denna situation. Att sekretess inte hindrar att en uppgift lämnas till en annan enskild eller till en myndighet, om den enskilde samtycker till det, följer av 12 kap. och gäller med de begränsningar som anges där (se 10 kap. 1 OSL). Enligt 12 kap. 2 § OSL kan en enskild helt eller delvis häva sekretess som gäller till skydd för honom eller henne, om inte annat anges i denna lag. Utredningen gör dock bedömningen att samtycke till att bryta sekretessen inte är en vare sig möjlig eller lämplig lösning kopplat till den modell som utredningen föreslår för behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. Tillgängliggörande till precisionsmedicinsk databas behöver kunna ske rutinmässigt och även av historiska uppgifter. Det är då inte praktiskt möjligt att inhämta samtycke från de enskilda. Vid sökning i precisionsmedicinsk databas vet inte den som söker vem personuppgifter som behandlas och det är därmed omöjligt att be om samtycke. Samtycke skulle vidare omöjliggöra att sökning i en precisionsmedicinsk databas kan ske integrerat i vården. Generellt gäller också att samtycke skulle så i strid med den integritetsskyddande åtgärden i form av pseudonymisering eller likvärdigt skydd. Att bli tillfrågas om samtycke kan också utgöra ett större integritetsintrång än att inte bli tillfrågas, se avsnitt 14.10. Utredningen föreslår en generell möjlighet för registrerade att motsätta sig tillgängliggörande till precisionsmedicinsk databas. Detta är enligt utredningens bedömning en lämplig och samtidigt det möjliga sätt som finns för att be-
755Ändring av sekretessregler
akta den enskildes inställning till personuppgiftsbehandlingen, se avsnitt 14.10.5. Enligt 10 kap. 2 § OSL hindrar inte sekretess att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Bestämmelsen ska tillämpas restriktivt, och det räcker till exempel inte med att myndighetens verksamhet blir mindre effektiv om uppgifterna inte lämnas ut (se prop. 1979/80:2 Del A s. 465). Utredningen gör bedömning att utlämnande av uppgifter för vården av en annan patient än den som uppgifterna avser inte är nödvändigt för den utlämnande myndigheten i den mening som avses i bestämmelsen. Den så kallade generalklausulen i 10 kap. 27 § OSL är inte tillämplig på sekretess enligt 25 kap. 1 § OSL. utredningen har ovan redogjort för att personuppgifter som ska tillgängliggöras omfattas av sekretess enligt 25 kap. 1 § OSL. Det är därmed inte möjligt att stödja ett tillgängliggörande av personuppgifter på 10 kap. 27 § OSL. Utredningen har inte heller i övrigt funnit någon tillämplig sekretessbrytande bestämmelse i OSL.
17.1.3 Är det lämpligt med en sekretessbrytande grund?
Utredningen föreslår att behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser ska införas som ändamål i PDL. Vissa tillåtna behandling av personuppgifter enligt ändamålet ska preciseras i 6 kap. PDL. Reglerna syftar till att möjliggöra ett precisionsmedicinskt arbetssätt inom hälso- och sjukvården som kommer vara till stor nytta för patienter. För en beskrivning av precisionsmedicin, se avsnitt 11.4.1. För att de nyttor som precisionsmedicinen kan medföra ska kunna realiseras behöver tillgängliggörande av personuppgifter kunna ske över myndighetsgränser, se kapitel 12, avsnitt 14.6.4, 14.7.1, 14.8.2 och 14.9.2. Behov finns även att tillgängliggöra personuppgifter mellan regionala myndigheter inom hälso- och sjukvården i olika regioner. Utredningens förslag om inrättande och förande av precisionsmedicinska databaser inom varje samverkansregion förutsätter att regionala myndigheter inom samverkansregionerna kan dela personuppgifter mellan varandra. Likaså innebär utredningens förslag om inrättande och förande av precisionsmedicinsk databas inom Nationell Genomikplattform behov av att
756Ändring av sekretessregler
dela personuppgifter mellan flera regionala myndigheter. För att en sekretessbrytande regel ska kunna motiveras behövs integritetsstärkande åtgärder som kompenserar för det uteblivna sekretesskyddet. Det är viktigt att säkerställa integritetsskyddet för den enskilde. Det är också viktigt att förtroendet för hälso- och sjukvårdens hantering av känsliga uppgifter upprätthålls. En sekretessbrytande bestämmelse kan i sig tänkas leda till ett sämre integritetsskydd för enskilda och att allmänhetens förtroende för hälso- och sjukvårdens hantering av personuppgifter skadas. En sammantagen bedömning behöver dock göras utifrån de integritetsstärkande åtgärder som utredningen föreslår. Föreslagna integritetsstärkande åtgärder avser för det första en precisering av vilka behandlingar som är tillåtna för ändamålet vården av en annan patient än den som uppgifterna avser. Vidare sker ett urval och tillgängliggörande till en precisionsmedicinsk databas av uppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt. Sökning av relevanta patientfall och annan information för ändamålet får endast ske i en sådan databas och efter särskild behörighetstilldelning samt särskilda villkor för befogenhet att söka i ett enskilt fall. Begäran av kompletterande personuppgifter från patientjournal får endast ske om uppgifterna kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser. Utredningen föreslår även en möjlighet för enskilda att motsätta sig tillgängliggörande av personuppgifter till precisionsmedicinsk databas. Den enskildes personuppgifter får då inte behandlas enligt det nya ändamålet. Utredningen anser att dessa åtgärder, tillsammans med förslaget om absolut sekretess för uppgifter i precisionsmedicinsk databas (se nedan avsnitt 17.2) utgör ett tillräckligt skydd för de enskildas integritet och för att allmänhetens förtroende för hälso- och sjukvårdens hantering av personuppgifter inte ska ta skada. En ytterligare viktig faktor för bedömningen av lämpligheten av en sekretessbrytande bestämmelse är hur sekretesskyddet ser ut hos mottagande myndigheter. När det gäller sekretesskyddet för uppgifterna hos de mottagande myndigheter kan det konstateras att, som anges ovan, sekretess gäller med ett omvänt skaderekvisit för uppgift om enskilds hälsotillstånd och andra personliga förhållanden inom hälso- och sjukvården (25 kap. 1 § OSL). Samma starka sekretess gäller därmed för uppgifterna både hos den utlämnande och den mottagande hälso- och sjukvårdsmyndigheten (utlämnande från privata vårdgivare berörs i avsnitt 16.3.6).
757Ändring av sekretessregler
Vad avser sekretesskyddet på mottagarsidan konstaterar utredningen att medföljande sekretess enligt 11 kap. 4 § OSL inte blir tillämplig vid tillgängliggörande genom direktåtkomst eller annat elektroniskt utlämnande kopplat till precisionsmedicinsk databas, eftersom den enligt 11 kap. 8 § OSL blir utkonkurrerad av 25 kap. 1 § OSL som primär sekretess. Utredningen gör bedömningen att de föreslagna åtgärderna som syftar till att stärka patientens personliga integritet och det existerande sekretesskyddet för uppgifter om enskildas personliga förhållanden inom hälso- och sjukvård innebär tillräcklig kompensation för det minskade integritetsskydd som en sekretessbrytande bestämmelse kan innebära. Mot bakgrund av syftet med behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser, det vill säga en bättre och mer patientanpassad vård till stor nytta för patienter, menar utredningen att övervägande skäl talar för att införa sekretessbrytande bestämmelser för att möjliggöra utlämnande av uppgifter från en myndighet som bedriver hälso- och sjukvård i en region till en annan sådan myndighet inom en annan region enligt föreslagna reglerna för behandling av personuppgifter vården av en annan patient än den som uppgifterna avser.
17.1.4 Utformningen av en sekretessbrytande bestämmelse
Utredningens förslag avseende tillgängliggörande till en precisionsmedicinsk databas omfattar ”vårdgivare”. Det är dock endast vårdgivare som är myndigheter i en region som bedriver verksamhet inom hälsooch sjukvård som behöver omfattas av en sekretessbrytande bestämmelse. Statliga och kommunala vårdgivare behöver inte omfattas, se avsnitt 14.6.1. Utredningen anser därför att den sekretessbrytande bestämmelsen ska utformas utifrån detta. Det är endast regionala myndigheter inom hälso- och sjukvården som får inrätta och föra precisionsmedicinsk databas, se avsnitt 14.7.2. Tillgång till personuppgifter i precisionsmedicinsk databas får endast ges till regional myndighet inom hälso- och sjukvård. Detsamma gäller för tillgängliggörande av kompletterande personuppgifter från patientjournal. Frågan är hur den sekretessbrytande bestämmelsen utifrån detta bör utformas på mottagarsidan.
758Ändring av sekretessregler
Ett alternativ är att dela upp bestämmelsen i olika delar som avser respektive tillgängliggörande och mottagare. Detta framstår dock enligt utredningens mening som onödigt krångligt och svårt att tillämpa. Ett annat mer tilltalande alternativ är att endast ange ”en annan sådan myndighet i en annan region”, det vill säga en annan myndighet som bedriver hälso- och sjukvård. Termen ”regional myndighet” som utredningen använder i förslagen till regler i 6 kap. PDL, bör i bestämmelsen i OSL ersättas med ”myndighet i en region” för att passa bättre med övriga bestämmelser i OSL. Innebörden är dock enligt utredningens mening densamma. Vidare görs en hänvisning till de föreslagna reglerna i 6 kap. PDL. Genom hänvisningen gäller de begränsningar som följer av dessa regler. Bestämmelsen bör placeras i 25 kap. 11 § 5 OSL.
17.1.5 Utlämnande från privata vårdgivare
För hälso- och sjukvård som bedrivs av privata vårdgivare gäller regler om tystnadsplikt enligt 6 kap. 12–14 §§ PSL. Där anges bland annat att den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda (privata) hälso- och sjukvården inte obehörigen får röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. Tystnadsplikt innebär alltså att uppgifter inte obehörigen får lämnas ut utanför tystnadspliktsgränsen. När det gäller tolkningen av obehörighetsrekvisitet anges i förarbetena till bestämmelserna om tystnadsplikt på hälso- och sjukvårdsområdet att det ter sig naturligt att söka viss ledning i de skaderekvisit som finns i motsvarande bestämmelse i den dåvarande sekretesslagen. Enligt förarbetena ska det därmed vara en nära överensstämmelse mellan tystnadsplikten för offentliga funktionärer och tystnadsplikten för hälso- och sjukvårdspersonal i privat tjänst (prop. 1980/81:28 s. 23). I förarbetena till PDL konstateras att ståndpunkten är att den enskilde ska åtnjuta samma skydd för sin personliga integritet oavsett om han eller hon får vård av en offentlig eller privat vårdgivare (prop. 2007/08:126 s. 46.). Vid bedömningen av om tystnadsplikten får brytas kan därför vägledning hämtas i den offentliga sekretessregleringen. I avsnitt 17.1 före-
759Ändring av sekretessregler
slår utredningen en bestämmelse som bryter sekretessen vid utlämnande av uppgifter från en myndighet som bedriver verksamhet inom hälso- och sjukvård i en region till en annan sådan myndighet i en annan region enligt det som föreskrivs i 6 kap. PDL. Utredningen gör även bedömningen att befintlig sekretessbrytande bestämmelse i 25 kap. 11 § 2 OSL är tillämplig vid utlämnande från en myndighet i en region som bedriver verksamhet inom hälso- och sjukvård till en annan sådan myndighet i samma region. Utredningen förslag och bedömning i dessa delar bör enligt utredningens mening kunna tjäna till ledning för tolkningen av obehörighetsrekvisitet i 6 kap. 12–14 §§ PSL Utredningen konstaterar att en liknande bedömning gjordes vid införandet av SVOD (jämför prop. 2021/22:177 s. 156–157). Utredningens uppfattning är således att en privat vårdgivare kan tillgängliggöra personuppgifter till en precisionsmedicinsk databas samt tillgängliggöra kompletterande personuppgifter från patientjournal utan att detta anses vara ett obehörigt röjande enligt PSL. Någon ändring i PSL behöver således inte göras för att den som omfattas av de nämnda tystnadspliktsreglerna ska kunna lämna uppgifter i samma utsträckning som motsvarande personalkategorier inom den offentliga sektorn.
760Ändring av sekretessregler
17.2 Sekretess för uppgift om personliga förhållanden
i precisionsmedicinsk databas
Förslag : Absolut sekretess ska gälla hos en myndighet i en region som bedriver verksamhet inom hälso- och sjukvård för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig av en annan myndighet i en region som för precisionsmedicinsk databas enligt 6 kap. PDL om inte förutsättningarna enligt 6 kap. 18 § samma lag för att myndigheten ska få behandla uppgiften är uppfyllda. Om de förutsättningar som anges i första stycket är uppfyllda eller myndigheten har behandlat uppgiften enligt 6 kap. 18 § tidigare, gäller sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Sekretessen gäller inte om annat följer av vissa bestämmelser som avser anmälningar eller av bestämmelsen med undantag från sekretess. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Bedömning : Enligt 25 kap. 18 § andra stycket OSL inskränker den tystnadsplikt som följer av den absoluta sekretessen rätten att meddela och offentliggöra uppgifter.
17.2.1 Behovet av sekretessbestämmelser
En precisionsmedicinsk databas ska finnas i en regions hälso- och sjukvårdsverksamhet. Utredningen gör bedömningen att uppgifter i databasen omfattas av sekretess enligt 25 kap. 1 § OSL. Personuppgifter i databasen får tillgängliggöras genom direktåtkomst eller annat elektroniskt utlämnande (se vidare avsnitt 14.8.2). En myndighets tillgång till uppgifterna kommer kunna medföra att uppgifterna är att anse som inkomna handlingar och förvarade hos den myndigheten enligt 2 kap. 6 och 9 §§ TF. De kommer därmed kunna utgöra allmänna handlingar hos den myndighet som har tillgång till en precisionsmedicinsk databas (jämför prop. 2021/22:177 s. 97), se även avsnitt 14.7.6.
761Ändring av sekretessregler
För att en myndighet ska få behandla personuppgifter i precisionsmedicinsk databas gäller vissa villkor. Villkoren är att någon som arbetar hos myndigheten och har behörighet till precisionsmedicinsk databas deltar i vården av en patient, samt att uppgifterna kan ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten (se avsnitt 14.8.5).
Behovet av en bestämmelse om absolut sekretess
Utredningen har övervägt om sekretesskyddet för uppgifter som inte får behandlas enligt villkoren bör omfattas av ett starkare sekretesskydd än det som följer av 25 kap. 1 § OSL. Utredningen har jämfört med vad som gäller för uppgifter som tillgängliggörs enligt SVOD. För uppgifter som inte får behandlas av vård- eller omsorgsgivare, eller som tidigare inte har behandlats av vård- eller omsorgsgivaren, gäller absolut sekretess enligt 25 kap. 2 § första stycket OSL. Motsvarande sekretess gällde enligt tidigare regler om sammanhållen journalföring. I förarbetena till de bestämmelserna uttalades att syftet med den absoluta sekretessen är att en vårdgivare, som enligt PDL saknar befogenhet att ta del av ospärrade uppgifter som en annan vårdgivare gjort tillgängliga för vårdgivaren, inte ska behöva ta del av dessa uppgifter för att kunna avgöra sekretessfrågan om uppgifterna begärs ut (se prop. 2007/08:126 s. 270). Utredningen gör bedömningen att samma principiella situation kan uppkomma inom ramen för tillgängliggörande genom direktåtkomst eller annat elektroniskt utlämnande avseende uppgifter i en precisionsmedicinsk databas. Om behandling av personuppgifter enbart i anledning av en begäran om utfående av allmänna handlingar i databasen ska förhindras, bör en motsvarande bestämmelse om absolut sekretess införas även avseende precisionsmedicinsk databas. En sådan bestämmelse har även en integritetshöjande effekt. Vissa praktiska skillnader finns dock mellan det uppgifter som tillgängliggörs enligt SVOD och i en precisionsmedicinsk databas. Utifrån kravet på pseudonymisering eller likvärdigt skydd av uppgifter går det inte utifrån en begäran om utfående av uppgifter att söka på namn eller personnummer. Den som har rätt att söka kommer i många fall inte kunna söka fram uppgifter om en person som är identifierbar. Det kommer därför att vara svårare att precisera en be-
762Ändring av sekretessregler
gäran om utfående av uppgifter. Däremot kan en begäran om att få ut uppgifter från en precisionsmedicinsk databas utgå ifrån de uppgifter som finns i databasen, till exempel en viss diagnos eller kombination av uppgifter. Det går enligt utredningens mening inte att utesluta att en tillräcklig grad av precisering klan åstadkommas på så sätt att en begäran kan medföra skyldighet att behandla personuppgifter i databasen. Behandling av personuppgifter enbart i syfte att hantera en sådan begäran, när förutsättningarna för att söka i databasen inte är uppfyllda, bör inte vara tillåtet.
Sekretess när förutsättningarna för behandling är uppfyllda
Kopplat till villkoren för att behandla personuppgifter som tillgängliggjorts enligt SVOD finns en bestämmelse om sekretess i 25 kap. 2 § andra stycket OSL. Den föreskriver att om de förutsättningar som anges i första stycket är uppfyllda eller myndigheten har behandlat uppgiften enligt 3 kap. 1, 3, 5 eller 6 § SVOD tidigare, gäller sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Sekretessen gäller inte om annat följer av 7, 8 eller 10 § eller 26 kap. 6 §. Någon närmre förklaring till bestämmelsen finns inte i förarbetena till SVOD. Utredningen kontstarera att en motsvarande bestämmelse fanns även kopplat till tidigare regler om sammanhållen journalföring. I förarbetena till den bestämmelsen uttalas, med referens till förutsättningarna för vårdgivare att ta del av de uppgifter som tillgängliggjorts, att ”om sådana förutsättningar föreligger eller myndigheten tidigare har behandlat uppgiften med stöd av nämnda bestämmelser gäller enligt tredje stycket andra meningen sekretess – i likhet med vad som gäller enligt första stycket – med ett omvänt skaderekvisit” (prop. 2007/08:126 s. 269). Hänvisningarna till stycken i citatet avser gamla sekretesslagen. I praktiken innebär detta att för uppgifter som vårdgivare får ta del av, eller som vårdgivaren tidigare fått ta del av i systemet för sammanhållen journalföring, gäller samma sekretess som enligt nuvarande 25 kap. 1 § OSL. Utredning har övervägt om en liknade bestämmelse behövs kopplat till precisionsmedicinsk databas. I förarbetena till bestämmelserna om sammanhållen journalföring och SVOD saknas resonemang om behovet av bestämmelsen i förhållande till den sekretess som gene-
763Ändring av sekretessregler
rellt sett gäller enligt 25 kap. 1 § OSL. Det framstår enligt utredningens mening som oklart om 25 kap. 2 § andra stycket OSL finns utifrån att någon sekretess för uppgifterna annars inte skulle finnas alls, eller som bestämmelsen snarare har tillkommit av tydlighetsskäl. Utredningen konstaterar dock att en sådan bestämmelse under alla förhållanden innebär ett förtydligande av vilken sekretess som gäller vid tillåten behandling av personuppgifter och att det finns en fördel med en samlad bestämmelse som avser sekretesskyddet kopplat till tillgång genom direktåtkomst eller annat elektroniskt utlämnande till personuppgifter i precisionsmedicinsk databas. Av dessa skäl och då samma systematik i lagstiftningen bör upprätthållas även med avseende på sekretessregleringen av uppgifter i en precisionsmedicinsk databas, anser utredning att det är lämpligt med en sådan förtydligande bestämmelse även avseende behandling av personuppgifter som sker när förutsättningarna enligt 6 kap. PDL är uppfyllda. För uppgifter ur en precisionsmedicinsk databas som dokumenteras i patientens journal, se vidare avsnitt 14.8.7, gäller sekretess enligt 25 kap. 1 § OSL.
17.2.2 Finns det en tillämplig sekretessgrund?
Sekretess gäller inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (25 kap. 1 OSL). Behandling av personuppgifter för ändamålet vården av en annan patient än den som uppgifterna avser omfattar uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden inom hälso- och sjukvården. Sekretess enligt 25 kap. 1 § OSL gäller således vid urval och tillgängliggörande av personuppgifter till precisionsmedicinsk databas, för uppgifter i precisionsmedicinsk databas samt för de ytterligare personuppgifter som tillgängliggörs efter begäran. Det finns inte någon befintlig bestämmelse om starkare sekretess när förutsättningarna att ta del av uppgifter i precisionsmedicinsk databas inte är uppfyllda. Det finns inte heller någon befintlig förtydligande bestämmelse om vilken sekretess som gäller när sådana förutsättningar är uppfyllda, eller myndigheten tidigare har behandlat uppgiften.
764Ändring av sekretessregler
17.2.3 Behövs en ny sekretessbestämmelse?
I avsnitt 17.2.1 har utredningen gjort bedömningen att det finns ett behov av absolut sekretess för uppgifter som inte får behandlas på grund av att villkoren i 6 kap. inte är uppfyllda. Utredningen har också konstaterat att hälso- och sjukvårdssekretess gäller generellt sett vid behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. Det finns ingen befintlig sekretessbestämmelse som föreskriver absolut sekretess för uppgifter som tillgängliggörs i en precisionsmedicinsk databas, men för vilka förutsättningarna för behandling inte är uppfyllda. Utredningen behöver därför föreslå en sådan bestämmelse.
17.2.4 Intresseavvägning
Utredningen redogör i avsnitt 8.2 för rätten att ta del av allmänna handlingar och offentlighetsprincipen samt dess bakomliggande syften. Utredningen har också i samma avsnitt redogjort för varför en intresseavvägning mellan behovet av sekretess, och intresset av att insynen i en offentlig verksamhet inte begränsas, behöver göras när en ny sekretessbestämmelse införs. Frågan i detta fall är hur stort allmänintresset av insyn är när det gäller uppgift om personliga förhållanden i precisionsmedicinsk databas, för vilka villkoren för behandling av den myndighet som ges tillgång till uppgifterna inte är uppfyllda. Det kan konstateras att det rör sig om uppgifter om enskilds personliga förhållanden inom hälso- och sjukvården, det vill säga uppgifter som ofta är av mycket känslig karaktär. För sådana uppgifter gäller enligt nuvarande regler sekretess med ett omvänt skaderekvisit. Detta innebär att utgångspunkten vid en begäran om utlämnande, är att uppgifterna inte ska lämnas ut. Det är tydligt att det finns ett behov av ett starkt skydd för uppgifterna, både i förhållande till allmänheten och mellan de myndigheter inom den regionalt bedrivna hälso- och sjukvården som har tillgång till samma precisionsmedicinska databas. Det kan konstateras att allmänheten kan ha ett intresse och behov av insyn i hälso- och sjukvårdsverksamhet. Medierna och enskilda bör ha möjlighet att granska den verksamhet som omfattas av den föreslagna lagstiftningen. Det är av vikt att verksamheten kan granskas, både med hänsyn till att patienter får god vård samt för att kontrollera att allmänna medel används på det mest ändamålsenliga sättet.
765Ändring av sekretessregler
Den föreslagna regleringen innebär en begränsning i förhållande till vad som annars skulle gälla på så sätt att den myndighet som ska pröva en begäran om utlämnande av allmänna handlingar, inte ska behöva ta del av personuppgifter om en patient som myndigheten inte har behov av för vården av en annan patient. Den föreslagna regleringen innebär dock att uppgifter om en patient, på samma sätt som i dag, kommer att omfattas av ett omvänt skaderekvisit hos den eller de vårdgivare som har tillfört uppgifterna till den precisionsmedicinska databasen. Allmänhetens möjlighet till insyn, som alltså redan i dag är liten, kommer i praktiken inte att bli mindre än enligt nuvarande reglering. För mediernas rapportering och allmänhetens insyn i verksamheten har det därför ingen betydelse att rätten att ta del av allmänna handlingar inskränks på det föreslagna sättet. Vid en avvägning bedömer utredningen att behovet av skydd för uppgifter i den precisionsmedicinska databasen väger tyngre än behovet av insyn i verksamheten, och att en sekretessbestämmelse med den föreslagna lydelsen bör införas.
17.2.5 Utformning av sekretessbestämmelserna
Med hänsyn till att sekretess är ett undantag från huvudregeln om offentlighet ska en sekretessbestämmelse utformas så att handlingsoffentligheten inte begränsas mer än vad som är nödvändigt för att uppfylla syftet med bestämmelsen. Bestämmelsens tillämpningsområde bestäms av föremålet för sekretessen, sekretessens räckvidd och styrka.
Sekretessregleringens föremål och räckvidd
Med sekretessens föremål avses vilka uppgifter som ska kunna hemlighållas med stöd av den föreslagna sekretessbestämmelsen. Som framgår av ovan finns det ett behov av att skydda uppgift om enskildas personliga förhållande vid tillgängliggörande av personuppgifter i precisionsmedicinsk databas. Med uppgift om enskilds personliga förhållanden avses till exempel uppgift om psykisk och fysisk hälsa och ekonomi, men också mindre integritetskänsliga uppgifter, såsom någons adress (prop. 1979/08:2 del A s. 84). Det kan vara svårt att i förväg närmare ange vilka uppgifter om enskildas personliga förhållanden som är skyddsvärda. En till synes harmlös uppgift kan i
766Ändring av sekretessregler
kombination med andra uppgifter sammantaget innebära att den enskilde lider men om uppgiften röjs. Sekretessen i den föreslagna bestämmelsen bör därför omfatta samtliga uppgifter om en enskilds personliga förhållanden som gjorts tillgängliga för en myndighet som har tillgång till uppgifter i en precisionsmedicinsk databas. När det gäller frågan om sekretessregleringens räckvidd behöver bestämmelsen i vart fall formuleras så att den gäller hos den typ av myndighet som kan ges tillgång till precisionsmedicinsk databas. Detta är regionala myndigheter inom hälso- och sjukvården. I OSL används i stället formuleringen ”myndighet i en region som bedriver verksamhet enligt 1 §”, det vill sägs hälso- och sjukvård. Utredningen anser att en liknande formulering av enhetlighetsskäl bör användas även avseende föreslagen sekretessbestämmelsen. Utredningens uppfattning är att ”regional myndighet” och ”myndighet […] i en region” har samma innebörd. För att syftet med bestämmelsen ska uppnås behöver den absoluta sekretessen gälla mellan myndigheter i olika regioner. Detta motsvarar det som gäller enligt SVOD. Utredningens förslag avser även tillgängliggörande mellan myndigheter i samma region. Frågan är om den absoluta sekretessen ska gälla även i den situationen. Utredningens konstaterar att det i dag inte finns någon bestämmelse om absolut sekretess mellan hälso- och sjukvårdsmyndigheter i samma region. Myndigheter inom en region får ha direktåtkomst och det finns sekretessbrytande grund (5 kap. 4 § andra stycket PDL och 25 kap. 11 § 2 OSL). Det finns ingen bestämmelse om absolut sekretess för information som personal inte får ta del av enligt 4 kap. 1 § PDL. Utifrån detta kan det vara ologiskt att införa det kopplat till precisionsmedicinsk databas. Samma information som finns i databasen kan myndigheten redan ha tillgång till via direktåtkomst till annan myndighets journalsystem. Den omfattas då av sekretess med omvänt skaderekvisit enligt 25 kap. 1 § OSL. Å andra sidan är syftet med den absoluta sekretessen att en myndighet inte ska behandla personuppgifter i en precisionsmedicinsk databas enbart på grund av att dessa är tillgängliggjorda genom direktåtkomst och att myndigheten fått en begäran om utlämnande av allmän handling. Detta syfte gör sig principiellt sett gällande även mellan myndigheter i samma region. En precisionsmedicinsk databas utgörs också en typ av uppgiftssamling som enligt utredningens mening kan motivera ett högre integritetsskydd. I linje med detta borde även
767Ändring av sekretessregler
uppgifter som tillgängliggörs mellan myndigheter in en region omfattas av absolut sekretess. Förslaget avseende direktåtkomst till precisionsmedicinsk databas är vidare snävare än tillåten direktåtkomst enligt 5 kap. 4 § andra stycket PDL. Utredningen föreslår även striktare behörighetsregler och villkor för behandling av personuppgifter i precisionsmedicinsk databas. Dessa förhållanden skulle kunna motivera en strängare ordning även sekretessmässigt. Vid en sammanväg bedömning anser utredningen att den absoluta sekretessen bör omfatta tillgängliggörande även mellan myndigheter i samma region.
Uppgifter som myndigheter har tagit del av tidigare
Av 25 kap. 2 § andra stycket OSL följer att sekretess med omvänt skaderekvisit gäller bland annat för uppgifter som myndigheten har behandlat tidigare enligt 3 kap. 1, 3, 5 eller 6 §§ SVOD. Den absoluta sekretessen gäller alltså inte för sådana uppgifter. Regleringen innebär att en myndighet som har haft en vårdrelation till en patient och därvid behandlat uppgifter i ett system för sammanhållen vård- och omsorgsdokumentation, kan ta del av dessa även senare, för det fall en begäran om utfående av allmän handling riktas mot myndigheten. En bestämmelse om absolut sekretess ska inte var mer långtgående än nödvändigt. Syftet med den absoluta sekretessen är att en regional myndighet inom hälso- och sjukvården, som har tillgång till en precisionsmedicinsk databas, inte enbart i anledning av en begäran om utfående av allmän handling ska behandla uppgifter i en precisionsmedicinsk databas. Behandlas uppgifterna enligt föreslagna 6 kap. 18 § PDL gäller sekretess med omvänt skaderekvisit. Det framstår därmed som logiskt att sekretess med samma styrka ska gälla även i senare skede, det vill säga om uppgifterna tidigare har behandlats. Utredningen anser därav samt av lagsystematiska skäl att det är lämpligt att motsvarande gäller för uppgifter som tillgängliggörs från en precisionsmedicinsk databas och som en regional myndighet tidigare har behandlat enligt föreslagna villkor. Det innebär att för uppgifter som en regional myndighet inom hälso- och sjukvården har behandlat tidigare enligt 6 kap. 18 § PDL, gäller sekretess om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.
768Ändring av sekretessregler
Anmälningar och undantag från sekretess
Sekretess enligt 25 kap. 1 § OSL gäller inte enligt bestämmelsens andra stycke om annat följer av 7, 8 eller 10 § eller 26 kap. 6 §. Enligt 25 kap. 2 § andra stycket OSL gäller sekretessen enligt bestämmelsen om inte annat följer av 7, 8 eller 10 § eller 26 kap. 6 §. I den utsträckning sekretess gäller med omvänt skaderekvisit för uppgifter som en myndighet har tillgång till i en precisionsmedicinsk databas, bör motsvarande avvikande regler gälla.
Sekretessens styrka
Nästa fråga utredningen har att ta ställning till är vilken styrka sekretessen bör ha. Huvudregeln när en ny sekretessbestämmelse ska utformas är att det inte ska gälla mer sekretess än vad som är nödvändigt för att skydda de intressen som har föranlett bestämmelsen. Ett av syftena med den föreslagna bestämmelsen är att en mottagande myndighet, som inte får ta del av uppgifter i en precisionsmedicinsk databas, inte ska behöva ta del av uppgifter om den enskilde bara för att pröva en begäran om utlämnande av allmänna handlingar. För att uppnå syftet krävs det att sekretessen är absolut, det vill säga att någon sekretessprövning inte ska göras vid begäran om utlämnande av handlingen.
Placeringen av sekretessbestämmelsen
Sekretessen enligt den föreslagna bestämmelsen gäller hos en myndighet som bedriver hälso- och sjukvård. Bestämmelsen bör därför lämpligen placeras i 25 kap. OSL. Utredningen gör bedömningen att bestämmelsen beteckning bör vara 2 a §. Bestämmelsen ska ha rubriken Precisionsmedicinsk databas.
Sekretesstiden
I sekretessbestämmelser anges regelmässigt för hur lång tid sekretessen ska gälla. Det är skyddsintresset som avgör hur lång sekretesstiden bör vara. När det gäller uppgifter om enskildas personliga förhållanden bestäms ofta sekretesstiden till 70 år (se bland annat 25 kap. OSL).
769Ändring av sekretessregler
Bakgrunden till det är att sekretessen som utgångspunkt bör gälla under större delen av den enskildes livstid (prop. 1979/80:2 Del A s. 460 och 493 f). Det finns inte skäl för att här frångå denna ordning. Utredningen föreslår därför att en tidsgräns på 70 år ska gälla i den nya sekretessbestämmelsen.
17.2.6 Rätten att meddela och offentliggöra uppgifter
Av 1 kap. 1, 2 och 7 §§ TF och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen, förkortad YGL, framgår att var och en har rätt att meddela och offentliggöra uppgifter i vilket ämne som helst i tryckt eller därmed jämställd skrift eller i radioprogram, film, tekniska upptagningar eller därmed jämställt medium. Denna rätt att meddela och offentliggöra uppgifter kan begränsas genom bestämmelser om sekretess. Med sekretess avses både förbud att röja en uppgift muntligen (tystnadsplikt) och genom utlämnande av en allmän handling (handlingssekretess). Enligt huvudregeln har rätten att meddela och offentliggöra uppgifter företräde framför tystnadsplikten. Vissa undantag från denna huvudregel, det vill säga situationer där tystnadsplikten har företräde, regleras direkt i TF och YGL. Av 7 kap. 20 § första stycket 2 och 22 § första stycket 3 och andra stycket TF samt 5 kap. 1 § och 4 § första stycket 3 och andra stycket YGL framgår vidare att det inte är tillåtet att med stöd av rätten att meddela och offentliggöra uppgifter uppsåtligen åsidosätta en tystnadsplikt i de fall som anges i en särskild lag. Den särskilda lag som avses är OSL. Särskilda bestämmelser om rätten att meddela och offentliggöra uppgifter och tystnadsplikt finns i 13 kap. OSL, i slutet av varje kapitel i lagens fjärde–sjätte avdelningar och i lagens sjunde avdelning. Rätten att meddela och offentliggöra uppgifter har dock aldrig företräde framför handlingssekretessen (7 kap. 20 § 1 och 22 § första stycket 2 och andra stycket TF samt 5 kap. 1 § och 4 § första stycket 2 och andra stycket YGL). Utredningen föreslår en sekretessbestämmelse som innebär att absolut sekretess ska gälla hos en myndighet i en region som bedriver verksamhet inom hälso- och sjukvård för uppgift om en enskilds personliga förhållanden som gjorts tillgängliga av en myndighet som för precisionsmedicinsk databas enligt 6 kap. PDL om inte förutsättningarna enligt 6 kap. samma lag för att myndigheten ska få behandla
770Ändring av sekretessregler
uppgiften är uppfyllda. Det rör sig om uppgifter som en patient lämnat till hälso- och sjukvården i förtroende (se även resonemang i avsnitt 17.4.5). Av 25 kap. 18 § andra stycket OSL framgår att den tystnadsplikt som i dag följer av 1–5 §§ samma kapitel inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställighet av beslut om omhändertagande eller beslut om vård utan samtycke. Utredningen bedömer att det saknas skäl att avvika från denna ordning i fråga om tystnadsplikt och meddelarfrihet som gäller i övrigt i hälso- och sjukvården. Utredningen anser därför att den tystnadsplikt som följer av den föreslagna sekretessbestämmelsen ska inskränka rätten att meddela och offentliggöra uppgifter. Utredningen föreslår att den nya sekretessbestämmelsen placeras i en ny 2 a § i 25 kap. Bestämmelsen i 25 kap. 18 § andra stycket OSL omfattar tystnadsplikt en enligt 1–5 §§ i 25 kap. Någon ändring av 25 kap. 18 § OSL krävs därför inte, eftersom den föreslagna bestämmelsen redan omfattas av hänvisningen i bestämmelsens andra stycke.
17.3 Sekretessbrytande bestämmelse för
tillgängliggörande enligt förslaget om ny lag
om viss vidareanvändning av personuppgifter
för klinisk forskning
Förslag : En ny sekretessbrytande bestämmelse ska föras in i OSL med innebörden att sekretess inte hindrar att uppgifter lämnas från en myndighet som bedriver verksamhet inom hälso- och sjukvård i en region till en myndighet enligt det som föreskrivs i lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning.
Bedömning: Föreslagen sekretessbrytande bestämmelse omfattar också den situationen att mottagaren är en självständig verksamhetsgren inom samma myndighet som bedriver klinisk forskning.
771Ändring av sekretessregler
17.3.1 Behovet av en sekretessbrytande bestämmelse
Uppgifter inom offentligt bedriven hälso- och sjukvård omfattas av OSL. Inom hälso- och sjukvården gäller som huvudregel sekretess för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (25 kap. 1 § OSL). Sekretess gäller alltså med ett omvänt skaderekvisit, det vill säga det finns en presumtion för att uppgifterna inte ska lämnas ut. Sekretess gäller som huvudregel både i förhållande till enskilda och andra myndigheter (8 kap. 1 § OSL). Nämnder inom en kommun eller region anses som egna myndigheter. Detta innebär att sekretess gäller mellan en nämnd inom en region som bedriver hälso- och sjukvård och en annan nämnd inom en region som bedriver forskning (med eller utan hälso- och sjukvårdsverksamhet utöver forskningen). Sekretess kan även gälla mellan olika verksamhetsgrenar inom en myndighet, när dessa är att betrakta som självständiga i förhållande till varandra (8 kap. 2 § OSL). Det innebär att sekretess gäller mellan hälso- och sjukvård och klinisk forskning, om dessa bedrivs som självständiga verksamhetsgrenar inom en myndighet inom en region. Forskning som bedrivs av en vårdgivande myndighet som ett led i vården och behandlingen av en patient anses ingå i myndighetens hälso- och sjukvårdsverksamhet. Annan forskning betraktas dock i regel som en självständig verksamhetsgren, vilket innebär att sekretess gäller inom myndigheten mellan sådan forskningsverksamhet och hälso- och sjukvårdsverksamheten. I kapitel 15 har utredningen redogjort för när forskning kan ses som ett led i vården och när så inte är fallet. Sammantaget är det utredningens bedömning att det i många fall, när uppgifter från hälso- och sjukvården ska tillföras forskningen, inte är fråga om en situation där forskningen kan anses vara ett led i vården av en patient. När fråga är om tillgång till personuppgifter från hälso- och sjukvårdsverksamhet inom en myndighet till forskningsverksamhet inom samma myndighet, är avsikten att utredningens föreslagna regler om enklare tillgång ska tillämpas när dessa verksamheter är självständiga i förhållande till varandra. I den situationen finns en sekretessgräns som behöver hanteras i lagstiftningen. Om en myndighet eller en enskild begär att en allmän handling som innehåller en uppgift som skyddas av sekretess ska lämnas ut,
772Ändring av sekretessregler
ska begäran prövas av den myndighet som förvarar handlingen (2 kap. 17 § tryckfrihetsförordningen). Vid ett omvänt skaderekvisit är, som anges ovan, huvudregeln att sekretess föreligger. Enligt förarbetena till den tidigare gällande sekretesslagen (1980:100) har den som ska tillämpa ett omvänt skaderekvisit i praktiken ett begränsat utrymme för sin bedömning. 1 För att kunna bedöma om en uppgift omfattas av sekretess vid tillämpningen av ett omvänt skaderekvisit måste hänsyn tas till samtliga omständigheter i det enskilda fallet. Många gånger måste handläggaren ta reda på mottagarens identitet och avsikter för att kunna avgöra om uppgifterna ska lämnas ut. Utredningen föreslår att en regional myndighet eller ett lärosäte som bedriver forskning ska få ges tillgång till personuppgifter genom begränsad direktåtkomst eller annat elektroniskt utlämnande. De uppgifter som kan bli föremål för tillgängliggörande är personuppgifter som regionala myndigheter inom hälso- och sjukvården behandlar enligt 2 kap. 4 § första stycket 1–6 PDL. Uppgifterna omfattas av sekretess enligt 25 kap. 1 § OSL. Utlämnande myndighet inom hälsooch sjukvården kommer inte att ha kontroll över vilka uppgifter som mottagande myndighet tar del av vid varje enskilt tillfälle. Syftet med föreslagna regler är vidare att förenkla administrationen vid utlämnande till klinisk forskning. Befintliga bestämmelser om överföring av sekretess och, i vissa situationer, svagare skaderekvisit vid utlämnande till forskning, befriar inte utlämnande myndighet från att göra en prövning av utlämnandet i varje enskilt fall. Sammantaget skulle en prövning av utlämnande i varje enskilt fall vara ett hinder mot direktåtkomsten samt strida mot syftet med utredningens förslag. Det finns därför ett behov av en sekretessbrytande bestämmelse.
17.3.2 Finns det någon tillämplig sekretessbrytande
bestämmelse?
Som huvudregel gäller alltså sekretess även mellan myndigheter (8 kap. 1 § OSL). Det har dock ansetts att sekretessregleringen inte bör hindra myndigheterna från att utväxla uppgifter i de fall intresset av att uppgifterna lämnas ut bör ha företräde framför det intresse som sekretessen ska skydda. Därför har ett antal sekretessbrytande
1 Prop. 1979/80:2 Del A s. 82 SOU 2003:99 s. 132.
773Ändring av sekretessregler
bestämmelser och undantag från sekretessen införts i OSL. När en ny sekretessbrytande bestämmelse är under övervägande bör man alltid undersöka om det redan finns en tillämplig sekretessbrytande bestämmelse.
Samtycke till att bryta sekretessen
Av 10 kap. 1 § och 12 kap. 2 § OSL följer att sekretess till skydd för enskild inte hindrar att en uppgift lämnas till en myndighet, om den enskilde samtycke till det. Ett samtycke från den enskilde har alltså sekretessbrytande verkan. Utredningens förslag om enklare tillgång till personuppgifter för klinisk forskning är endast tillämpliga vid sådan klinisk forskning som den enskilde samtycker till att delta i. Därutöver ska den enskilde lämna ett integritetshöjande samtycke som avser själva tillgången till uppgifterna genom begränsad direktåtkomst eller annat elektroniskt utlämnande. Utredningen har mot denna bakgrund övervägt om den enskildes samtycke kan användas för att bryta sekretessen som gäller gentemot mottagande myndigheter. Ett sådant samtycket skulle i så fall vara ett samtycke till att bryta sekretessen enligt 10 kap. 1 § och 12 kap. 2 § OSL. Utredningen har dock av skäl som framgår nedan gjort bedömningen att tillgängliggörande för klinisk forskning enligt utredningens förslag inte ska bygga på samtycke till att bryta sekretessen. För en redogörelse av olika typer av samtycken inom vård och medicinsk forskning, se bilaga 3 till betänkandet. En viktig aspekt i dessa överväganden är för det första vem som inhämtar aktuella samtycken. Samtycke till att delta i forskningen inhämtas av den som bedriver forskningen, det vill säga den myndighet som tar emot uppgifterna från hälso- och sjukvården. Såsom utredningen ser framför sig den praktiska gången, kommer det i normalfallet också vara så att samma myndighet ofta samtidigt inhämtar det integritetshöjande samtycket till tillgången genom direktåtkomst eller annat elektroniskt utlämnande. Utredningens förslag låser dock inte inhämtandet av det integritetshöjande samtycket till mottagande myndighet, utan detta samtycke skulle också kunna inhämtas av den myndighet inom hälso- och sjukvården som tillgängliggör uppgifterna, se avsnitt 16.8.3. Huvudregeln vid inhämtande av samtycke till att
774Ändring av sekretessregler
bryta sekretessen är dock att utlämnande myndighet inhämtar sådant samtycke (jämför 6 kap. 4 § OSL). Det skulle kopplat till utredningens föreslagna regler vara den regionala myndighet som bedriver hälsooch sjukvård. Utredningen har förstått att förvisso i praktiken förekommer att samtycke inhämtas av den myndighet som bedriver forskningen, också i ”sekretessbrytande” syfte. Utredningen konstaterar dock att det vart fall blir en bedömning av om detta samtycke uppfyller kraven på att vara ett sekretessbrytande samtycke och att det finns en osäkerhet i att ett sådant samtycke inte inhämtas av den utlämnande myndigheten. Under alla förhållanden anser utredningen att det till grund för lagen som utredningen föreslår inte är lämpligt med en ordning som innebär att annan än den utlämnande myndigheten inhämtar samtycke till att bryta sekretessen. Ett sådant samtycke skulle i så fall alltså behöva inhämtas av utlämnande myndighet. Ett av syftena med utredningens förslag är emellertid att den administrativ börda som i dag åvilar hälso- och sjukvården anledning av utlämnande av aktuellt slag ska minska. Att bygga de nya reglernas genomslagskraft på en ytterligare administrativ börda för hälso- och sjukvården i form av inhämtande av samtycke från samtliga personer som deltar i forskning skulle vara i direkt strid med detta syfte och därmed inte lämpligt. En ordning som bygger på samtycke till att byta sekretessen skulle också enligt utredningens mening kunna leda till tillämpningssvårigheter och osäkerhet kring om sekretessen är hävd eller inte. Det framstår inte som en lämplig ordning. Utredningen har också övervägt om situationen kan vara sådan att ett så kallat tyst, presumerat samtycke, kan anses finnas. I förarbetena anges att det ibland av den enskildes beteende och förväntningar att han eller hon i viss utsträckning accepterar att en hemlig uppgift vidarebefordras. Ett samtycke får dock inte ges ett så generellt innehåll att den enskilde allmänt förklarar sig avstå från sekretessen hos en viss myndighet (prop. 1979/80:2 Del A s. 331). Ett tyst samtycke skulle, i förhållande till utredningens förslag, kunna anses finnas mot bakgrund av att samtycke lämnas till deltagande i forskningen och för själva tillgängliggörandet genom begränsad direktåtkomst eller annat elektroniskt utlämnande. Utredningens uppfattning är dock att presumerat samtycke inte kan eller bör tillämpas som en generell sekretessbrytande grund med avseende utlämnande av känsliga personuppgifter.
775Ändring av sekretessregler
Andra befintliga sekretessbrytande bestämmelser
Utredningen har även tittat på om andra sekretessbrytande bestämmelser i OSL. Den så kallade generalklausulen i 10 kap. 27 § OSL är inte tillämplig på sekretess enligt 25 kap. 1 § OSL. Utredningen har ovan redogjort för att personuppgifter som ska tillgängliggöras omfattas av sekretess enligt 25 kap. 1 § OSL. Det är därmed inte möjligt att stödja ett tillgängliggörande av personuppgifter på 10 kap. 27 § OSL Utredningen har också övervägt om bestämmelserna i 25 kap. 11 § 2 eller 5 OSL kan ge stöd för det utlämnande som sker med stöd av den föreslagna lagen. I 25 kap. 11 § 2 utgörs mottagarsidan av hälsooch sjukvårdsverksamhet. Bestämmelsen omfattar inte myndighet inom en region i dess forskningsverksamhet eller universitet, högskolor eller enskilda utbildningsanordnare. Inte heller omfattas forskningsverksamhet i en annan myndighet inom regionen, oavsett om den också bedriver hälso- och sjukvårdsverksamhet eller inte. I 25 kap. 11 § 5 OSL finns en bestämmelse som bland annat avser utlämnande till forskning, Av bestämmelsen framgår att sekretessen enligt 1 §, samma kapitel, inte hindrar att uppgift lämnas från en myndighet som bedriver verksamhet som avses i den paragrafen inom en kommun eller en region till annan sådan myndighet för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs. Bestämmelsen är utformad med ett rakt skaderekvisit, vilket innebär en presumtion för att uppgifter får lämnas ut. Detta innebär förvisso en förenkling av utlämnandeprocessen till de myndigheter som omfattas. Den undanröjer dock inte behovet av att en menprövning görs vid varje enskilt utlämnandetillfälle och motsvarar därför inte det behov och syfte som finns med reglerna om enklare tillgång till personuppgifter från hälso- och sjukvården. Som framgår av ordalydelsen är bestämmelsen vidare endast tillämplig när uppgift lämnas till en myndighet som bedriver hälso- och sjukvård eller annan medicinsk verksamhet. När uppgift lämnas till exempelvis ett lärosäte i egenskap av forskningshuvudman är det i stället 25 kap. 1 § OSL som ska tillämpas. Sammantaget konstaterar utredningen att det inte finns någon befintlig sekretessbrytande bestämmelse som är tillämplig för utred-
776Ändring av sekretessregler
ningens förslag till ny lag om viss vidareanvändning av personuppgifter för ändamålet klinisk forskning.
17.3.3 Är det lämpligt med en sekretessbrytande grund?
I kapitel 16 föreslår utredningen regler om förenklad tillgång till personuppgifter som finns hos regionala myndigheter som bedriver hälso- och sjukvård. Förslagen syftar till att förenkla administrationen vid utlämnande av personuppgifter till klinisk forskning och göra tillgången till personuppgifter enklare för forskare. Den omfattande administrativa börda som i dag tynger utlämnande myndigheter hänger till en del samman med att en menprövning behöver göras vid varje enskilt utlämnande. En sekretessbrytande bestämmelse vid utlämnande till klinisk forskning skulle förenkla för de regionala myndigheterna som bedriver hälso- och sjukvård och är en del av förutsättningarna för att utredningens förslag ska kunna få genomslag. Den administrativa bördan hänger också samman med att en avgränsning av uppgifter behöver göras. Utredningen lämnar förslag om att tillgång till personuppgifter ska kunna ske genom en begränsad form av direktåtkomst eller annat elektroniskt utlämnande. Den begränsade direktåtkomsten gör det möjligt att viss överskottsinformation, som svårligen kan avgränsas, kan få lämnas ut i syftet att minska den manuella hanteringen hos utlämnande myndighet. En aspekt av den begränsade direktåtkomsten är att det inte möjligt att göra en menprövning vid varje enskilt tillfälle som mottagande myndighet tar del av uppgifter. Utredningen konstaterar vidare att det redan i dag finns regler i OSL som innebär större möjligheter att lämna ut sekretessreglerade uppgifter till forskning, till exempel 25 kap. 11 § 5 OSL som anger ett rakt skaderekvisit vid utlämnande mellan myndigheter inom en region eller kommun för bland annat forskning. Denna bestämmelse har också tillkommit i syfte att förenkla utlämnandet till forskning i dessa situationer genom att tillåta ett mer rutinmässigt utlämnande med generell skadeprövning (se prop. 1990/91:111 s. 28–29). Av förarbetena framgår även att behoven av ändrade sekretessregler har koppling till att uppgifterna behandlas elektroniskt i databaser och register. Även om denna bestämmelse inte är direkt jämförbar med de regler som utredningen föreslår, kan det konstateras att det vid ut-
777Ändring av sekretessregler
lämnande till forskning inte främmande med sänkta trösklar i lagstiftningen för utlämnande som hänger samman med praktiska behov. Att det är möjligt med lägre trösklar för att lämna ut uppgifter till forskning hänger också samman med att sekretessen överförs enligt 11 kap. 3 § OSL, se vidare nedan under rubriken Sekretesskyddet hos mottagande myndighet.
Utredningens förslag om villkor
och integritetsstärkande åtgärder
För att en sekretessbrytande regel ska kunna motiveras behövs integritetsstärkande åtgärder som kompenserar för det uteblivna sekretesskyddet. Det är viktigt att säkerställa integritetsskyddet för den enskilde. Det är också viktigt att förtroendet för hälso- och sjukvårdens hantering av känsliga uppgifter upprätthålls. En sekretessbrytande bestämmelse kan i sig tänkas leda till ett sämre integritetsskydd för enskilda och att allmänhetens förtroende för hälso- och sjukvårdens hantering av personuppgifter skadas. En sammantagen bedömning behöver dock göras utifrån de integritetsstärkande åtgärder som utredningen föreslår. Utredningen föreslår att ett antal villkor behöver vara uppfyllda för att tillgängliggörande av personuppgifter ska få ske genom begränsad direktåtkomst eller annat elektroniskt utlämnande, se avsnitt 16.8. Tillgängliggörande får endast avse personuppgifter som ska ingå i • forskning som har godkänts av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning enligt lagen (2003:460) om etikprövning av forskning som avser människor, • en klinisk läkemedelsprövning som har beviljats eller anses ha beviljats tillstånd i enlighet med förordning (EU) nr 536/2014 2 , • en klinisk prövning som får påbörjas eller genomföras i enlighet med 3 bestämmelser i förordning (EU) 2017/745 eller enligt lagen (2021: 600) med kompletterande bestämmelser till EU:s förordningar
2 Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel och om upphävande av direktiv 2001/20/EG. 3 Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicintekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upphävande av rådets direktiv 90/385/EEG och 93/42/EEG.
778Ändring av sekretessregler
om medicintekniska produkter eller föreskrifter meddelade i anslutning till den lagen, eller • en prestandastudie som får påbörjas eller genomföras i enlighet med bestämmelser i förordning (EU) 2017/746 4 .
Vidare krävs att den registrerade har samtyckt till att delta i forskningen. Därutöver ska den begränsade direktåtkomsten vara tidsbegränsad. Tillgängliggörandet kräver slutligen att den enskilde har informerats om vad den begränsade direktåtkomst eller annat elektroniskt utlämnade för ändamålet klinisk forskning enligt den företagna lagen innebär och lämnat ett integritetshöjande samtycke till sådan åtkomst. Ett urval av uppgiftsmängder ska också göras. Utredningen anser att dessa åtgärder, tillsammans med förslaget om absolut sekretess för överskottsinformation (se nedan avsnitt 17.4) utgör ett tillräckligt skydd för de enskildas integritet och för att allmänhetens förtroende för hälso- och sjukvårdens hantering av personuppgifter inte ska ta skada. En ytterligare viktig faktor för bedömningen av lämpligheten av en sekretessbrytande bestämmelse är hur sekretesskyddet ser ut hos mottagande myndigheter, vilket redogörs för i det följande.
Sekretesskyddet hos mottagande myndigheter
Utredningen har beskrivit vilken sekretess som kan bli tillämplig på uppgifter som finns hos de aktörer om bedriver forskning efter att uppgifterna har tillgängliggjorts för ändamålet klinisk forskning enligt utredningens förslag om vidareanvändning, se avsnitt 8.3.4. En viktig faktor som har relevans för integritetsskyddet och om en sekretessbrytande bestämmelse kan motiveras, är hur sekretesskyddet ser ut hos dessa aktörer. Utredningens förslag möjliggör att en regional myndighet eller ett lärosäte kan ges tillgång till personuppgifter för ändamålet klinisk forskning. Utredningen konstaterar att det inte finns någon generell ”forskningssekretess”. Det finns i stället flera sekretessbestämmelser som
4 Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitrodiagnostik och om upphävande av direktiv 98/79/EG och kommissionens beslut 2010/227/EU.
779Ändring av sekretessregler
kan aktualiseras med avseende på uppgifter som förekommer inom forskning. Vidare blir indelningen mellan primära och sekundära sekretessbestämmelser central när det gäller forskningsverksamhet. Vilken sekretess som kommer att gälla för uppgifterna beror på förutsättningarna i varje specifikt fall. Utredningens slutsats är dock att sekretesskyddet hos en regional myndighet eller hos ett lärosäte som bedriver klinisk forskning föreskriver ett likvärdigt eller starkare sekretesskydd jämfört med det sekretesskydd som gällde i hälsooch sjukvården innan tillgängliggörandet enligt den föreslagna lagen. I många fall kommer de uppgifter som tillgängliggörs att omfattas av sekretess enligt 25 kap. 1 § OSL som sekundär sekretess efter överföring enligt 11 kap. 3 § OSL. Överföring av sekretess kan också ske enligt 11 kap. 4 § OSL (se vidare avsnitt 17.3.3). Fråga är vidare vilken eller vilka eventuella bestämmelser om primär sekretess som kan konkurrera ut den överförda sekretessen enligt 11 kap. 3 § OSL. För en regional myndighet eller ett lärosäte som bedriver klinisk forskning bedömer utredningen sammanfattningsvis att följande gäller i fråga om sekretesskydd för uppgifter som ingår i forskningen. För en utförligare beskrivning se avsnitt 8.3.4.
Sekretess enligt 24 kap. 8 § OSL
Enligt 24 kap. 8 § andra stycket OSL gäller sekretess i vissa undersökningar om regeringen meddelar föreskrifter om det. I 7 § offentlighets- och sekretessförordningen (2009:641), förkortad OSF, framgår att sekretess gäller uppgifter om enskildas personliga förhållanden hos sjukvårdsinrättningar, utbildningsanstalter och forskningsinrättningar i miljömedicinska, socialmedicinska, psykiatriska eller andra medicinska studier och hos utbildningsanstalter och forskningsinrättningar för undersökningar i sociologiska, psykologiska, pedagogiska eller andra beteendevetenskapliga eller samhällsvetenskapliga studier. Såvitt utredningen har kunnat utröna, verkar det inte vara helt klart vad som kan anses omfattas av uppräkningen i 7 § OSF. En grundförutsättning är att det är fråga om en med statistik jämförbar undersökning. Det skulle kunna ses som rimligt att medicinsk forskning där uppgifter om en population används för att dra generaliserbara slutsatser (kvantitativa studier) anses jämförliga med statistik.
780Ändring av sekretessregler
Mer tveksamt är nog undersökningar med ett mer begränsat antal individer med syfte att få fram en helhetsbeskrivning (kvalitativa studier). En ytterligare fråga är vad som avses med sjukvårdsinrättningar och forskningsinrättningar. Termen sjukvårdsinrättning används i PSL. Enligt 6 kap. 15 § 1 PSL är hälso- och sjukvårdspersonal skyldig att lämna ut uppgift om att någon vistas på en sjukvårdsinrättning i särskilda fall om det begärs av vissa myndigheter. Sjukvårdsinrättning används också i lagen (1991:1128) om psykiatrisk tvångsvård och i lagen (1991:1129) om rättspsykiatrisk vård. Termen är dock inte definierad. Enligt Socialstyrelsens termbank är sjukvårdsinrättning en organisatorisk enhet som tillhandahåller hälso- och sjukvård. Termen forskningsinrättning bedömer utredningen bör i många fall omfatta de lärosäten som träffas av utredningens förslag. Mer tveksamt är om regionala myndigheter bedriver forskning omfattas, men det kan enligt utredningens uppfattning inte helt uteslutas. Utredningen gör den sammantagna bedömningen att sekretess enligt 24 kap. 8 § andra stycket OSL bestämmelse principiellt sett skulle kunna bli tillämplig i vissa situationer där en regional myndighet eller ett lärosäte bedriver klinisk forskning. Om bestämmelsen är tillämplig gäller så kallad absolut sekretess för uppgifterna. Om uppgifter omfattas av sekretess enligt 24 kap. 8 § andra stycket behövs för forsknings- eller statistikändamål kan utjämnande ske vad som anges i 24 kap. 8 § tredje stycket OSL. Då gäller i så fall omvänt skaderekvisit, motsvarande vad som skulle ha gällt fr uppgifterna enligt 25 kap. 1 § OSL. Om forskningen hos en regional myndigheten bedrivs som ett led i vården och behandlingen av en patient, anses den ingå i en myndighets hälso- och sjukvårdsverksamhet (se vidare avsnitt 15.6). I den situationen gäller sekretess enligt 25 kap. 1 § OSL som primär sekretessbestämmelse. Enligt bestämmelsen gäller sekretess inom hälsooch sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Det är alltså fråga om ett omvänt skaderekvisit. I OSL finns också en bestämmelse om överföring av sekretess i 11 kap. 3 och 4 §§ OSL, se avsnitt nedan. Överföring av sekretess gäller även mellan självständiga verksamhetsgrenar (8 kap. 2 § OSL). Sekretessen överförs under förutsättning att uppgifterna inte redan omfattas av en primär sekretessbestämmelse till skydd för samma intresse
781Ändring av sekretessregler
hos den mottagande myndigheten (11 kap. 8 § OSL). Utredningen bedömer att bestämmelsen innebär att det sekretesskydd som gäller för uppgifterna innan tillgängliggörandet, det vill säga när uppgifterna befinner sig i hälso- och sjukvården, överförs vid tillgängliggörandet till den regionala myndighet eller det lärosäte som bedriver klinisk forskning, såvida en primär sekretessbestämmelse såsom 24 kap. 8 § OSL till skydd för samma intresse inte finns hos mottagande myndighet. Sekretess enligt 25 kap. 1 § OSL kan då alltså bli tillämplig som en sekundär sekretessbestämmelse hos myndigheten som ges tillgång till uppgifterna.
Överföring av sekretess enligt 11 kap. 3 § OSL
Om en myndighet i sin forskningsverksamhet får en sekretessreglerad uppgift från en annan myndighet blir sekretessbestämmelsen tillämplig på uppgiften även hos den mottagande myndigheten (11 kap. 3 § första stycket OSL). Detta gäller dock inte uppgift som ingår i ett beslut hos den mottagande myndigheten (11 kap. 3 § andra stycket OSL). Enligt 8 kap. 2 § OSL gäller bestämmelser om överföring av sekretess även i förhållande till självständiga verksamhetsgrenar. Bestämmelsen i 11 kap. 3 § OSL innebär att när uppgifter om enskildas personliga förhållanden lämnas ut från en myndighet som bedriver hälso- och sjukvård, överförs sekretessen enligt 25 kap. 1 § OSL till myndigheten som tar emot uppgifterna. Uppgifterna omfattas då av sekretess med omvänt skaderekvisit även hos den mottagande myndigheten som bedriver forskningen. Inom forskningen blir 25 kap 1 § OSL en sekundär sekretessbestämmelse (se betydelse av begreppet i 3 kap. 1 § OSL). I förarbetena till bestämmelsen konstateras att OSL i vissa fall tillåter att sekretessbelagda uppgifter lämnas ut för forskningsändamål i större utsträckning än för andra syften (se prop. 1979/80:2 Del A s. 318). Vidare anförs att om uppgiften därvid lämnas ut till myndighet bör sekretessen överföras dit, om uppgiften inte där redan omfattas av annan sekretessbestämmelse till skydd för samma intresse. Motsvarande bör gälla i fråga om uppgift som lämnas till myndighet för forskningsändamål med stöd av bestämmelse i lag eller förordning (prop. 1979/80:2 Del A s. 319). Uppgifter kan också lämnas ut till forskning till exempel efter en prövning av skaderekvisitet i en sek-
782Ändring av sekretessregler
retessbestämmelse, med tillämpning av generalklausulen eller på grund av dispens enligt exempelvis 10 kap. 6 § andra meningen OSL (Offentlighets- och sekretesslagen, En kommentar, JUNO version 26, kommentar till 11 kap. 3 § OSL). Utredningen har inte kunnat hitta några uttalanden i förarbeten eller kommentarer till 11 kap. 3 § OSL om hur den bestämmelsen skulle förhålla sig till en sekretessbrytande bestämmelse som avser utlämnande till forskning i vissa fall, det vill säga en sådan bestämmelse som utredningen föreslår. Utredningen har dock inte funnit något som talar emot att tillämpningen av 11 kap. 3 § OSL skulle bli annorlunda för det fall en sekretessbrytande bestämmelse införs kopplat till tillgängliggörande för klinisk forskning enligt utredningens förslag. Redan i dag gäller till exempel svagare sekretess i vissa fall (se 25 kap. 11 § 5 OSL). Syftet med överföringen av sekretess vid utlämnande till forskning torde också kunna vara att bestämmelser som medger utlämnande i större omfattning ska vara möjliga.
Överföring av sekretess enligt 11 kap. 4 § OSL
Generellt sett kan direktåtkomst innebära att uppgifter som den mottagande myndigheten inte har behov av i sin verksamhet, men ändå har potentiell tillgång till, inte skyddas av samma starka sekretess som hos den utlämnande myndigheten eller inte omfattas av någon sekretess alls. Det har därför ansetts finnas ett behov av en bestämmelse om överföring av sekretess vid direktåtkomst (se prop. 2007/08:160 s. 76). Av 11 kap. 4 § OSL följer att om en myndighet har elektronisk tillgång till en upptagning för automatiserad behandling hos en annan myndighet och en uppgift i denna upptagning är sekretessreglerad, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten. Detta gäller dock inte för uppgift som ingår i ett beslut hos den mottagande myndigheten. Denna bestämmelse om överföring av sekretess är tillämplig på uppgifter som den mottagande myndigheten har rätt att ha direktåtkomst till och sådan information som den mottagande myndigheten därutöver rent tekniskt kan få tillgång till vid direktåtkomst (se prop. 2007/08:160 s. 76). Bestämmelsen ska dock enligt 11 kap. 8 § OSL inte tillämpas på en uppgift där det finns en primär sekretessbestämmelse till skydd för samma intresse som är tillämplig på uppgiften hos den mottagande myndigheten. Sekretess som är direkt tillämplig hos den mottagande myndigheten
783Ändring av sekretessregler
har därför företräde framför överförd sekretess, oavsett om den primära sekretessen är starkare eller svagare än den överförda sekretessen. Utredningen bedömer att 11 kap. 4 § OSL skulle kunna bli tillämplig på uppgifter som tillgängliggörs genom utredningens förslag om begränsad direktåtkomst. Utredningen tolkning innebär att det sekretesskydd som gäller för uppgifterna innan tillgängliggörandet, det vill säga när uppgifterna befinner sig i hälso- och sjukvården, överförs vid tillgängliggörandet till den regionala myndighet eller lärosäte som bedriver klinisk forskning, såvida en primär sekretessbestämmelse till skydd för samma intresse inte finns hos mottagande myndighet. Detta motsvarar den överföring av sekretess som även sker när 11 kap. 3 § OSL är tillämplig. Bestämmelsen i 11 kap. 4 § liknar alltså 11 kap. 3 § i sin utformning. Enligt utredningens bedömning kan både 11 kap. 3 och 4 §§ OSL alltså bli tillämpliga vid tillgängliggörande enligt utredningens förslag om enklare tillgång till personuppgifter för klinisk forskning. 11 kap. 4 § OSL blir däremot enligt utredningens bedömning inte tillämplig vid annat elektroniskt utlämnande enligt utredningens förslag. Följden av de båda bestämmelserna blir dock densamma, det vill säga att sekretesskyddet som gällde för uppgifterna innan tillgängliggörandet överförs, såvida inte en primär sekretessbestämmelse gäller i stället.
Uppgifterna ingår typiskt sett inte i beslut
hos mottagande myndighet
Av 11 kap. 3 § andra stycket OSL följer att överföring av sekretess enligt bestämmelsens första stycke inte tillämpas på en uppgift som ingår i ett beslut hos den mottagande myndigheten. Motsvarande gäller enligt 11 kap. 4 § andra stycket OSL vid elektronisk tillgång till en upptagning för automatiserad behandling. Uppgifterna tillgängliggörs för klinisk forskning. De ingår enligt utredningens bedömning typisk sett inte i ärenden som leder till beslut hos mottagande myndigheter, utan används i så kallat faktiskt handlande i form av klinisk forskning. Den typ av beslut som utredning ser kan komma i fråga hos mottagande myndighet som rör tillgängliggjorda uppgifter, är beslut om avslag på begäran av utfående av allmän handling. I sådana beslut tas inte aktuella personuppgifter in i beslutet eftersom de inte får röjas.
784Ändring av sekretessregler
Utredningens bedömning är således att andra styckena i 11 kap. 3–4 §§ OSL inte kan antas bli tillämpliga på utlämnade uppgifter. Utredningens överväganden beträffade om så ändå skulle vara fallet finns i avsnitt 17.4.2.
Finns bestämmelser med svagare sekretesskydd än vad som följer av 25 kap. 1 § OSL
Utredningen har vidare tittat på om det kan finnas en sekretessbestämmelse som föreskriver ett svagare sekretesskydd än vad som gäller för uppgifterna inom hälso- och sjukvården. Detta får särskild relevans eftersom bestämmelserna om överföring av sekretess (11 kap. 3 och 4 §§ OSL) inte blir tillämpliga om det finns en primär sekretessbestämmelse till skydd för samma intresse hos den mottagande myndigheten (11 kap. 8 § OSL). Detta gäller även om den primära sekretessbestämmelsen föreskriver ett svagare skydd. Det skulle alltså potentiellt kunna bli så att uppgifterna efter tillgängliggörandet omfattas av ett svagare sekretesskydd än vad de omfattades av inom hälso- och sjukvården. Utredningen har dock inte kunnat identifiera någon bestämmelse med lägre sekretesskydd än omvänt skaderekvisit som skulle kunna bli tillämplig som primär sekretessbestämmelse på uppgifter som lämnas ut från hälso- och sjukvården till klinisk forskning som bedrivs av en regional myndighet eller av ett lärosäte. Den bestämmelsen som utredningen har identifierat som potentiellt tillämplig som primär sekretess föreskriver absolut sekretess, vilket alltså är en stakare sekretess än den som överförs (se ovan avseende 24 kap. 8 § OSL). Utredningen noterar också att det i förarbetena till bestämmelsen om konkurrens mellan primär och sekundär sekretess uttalas att i åtskilliga fall, bland annat enligt 11 kap. 3 och 4 §§, torde någon primär sekretessregel inte gälla för den mottagande myndigheten (prop. 1979/80:2 Del A s. 320). Utredningens slutsats är därför att sekretesskyddet hos en regional myndighet eller hos ett lärosäte som bedriver klinisk forskning föreskriver ett likvärdigt eller starkare sekretesskydd jämfört med det sekretesskydd som gäller för uppgifterna inom hälso- och sjukvården innan tillgängliggörandet enligt den föreslagna lagen. Utifrån att det finns ett likvärdigt eller starkare sekretesskydd hos mottagande myndigheter, tillsammans med vad som ovan har an-
785Ändring av sekretessregler
förts, anser utredningen att en sekretessbrytande bestämmelse är lämplig.
17.3.4 Utformningen av en sekretessbrytande bestämmelse
Utlämnande enligt utredningens förlag om vidareanvändning av personuppgifter för ändamålet klinisk forskning sker från en regional myndighet som bedriver hälso- och sjukvård. Mottagare är regionala myndigheter eller lärosäten enligt en definition som utredningen föreslår ska finnas i den nya lagen, se avsnitt 16.3. Enligt den nya lagen omfattar uttrycket lärosäte ett statligt universitet eller en statlig högskola som har rätt att utfärda examen på forskarnivå, eller en enskild utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § OSL är ett organ som jämställs med myndighet. Utlämnande får ske genom en begränsad form av direktåtkomst eller annat elektroniskt utlämnande. Frågan är hur en sekretessbrytande bestämmelse som omfattar detta bör utformas. Utredningen anser att utlämnade myndighet av tydlighetsskäl bör anges i bestämmelsen. Så görs också i de flesta av bestämmelserna i 25 kap. 11 § OSL (jämför dock 25 kap. 11 § 3 och 4 OSL). Det avgränsar också bestämmelsen i enlighet med utredningens förslag om vilka aktörer som får tillgängliggöra personuppgifter för klinisk forskning. Det är enligt utredningens bedömning lämpligt att den sekretessbrytande bestämmelsen är så tydligt avgränsad som möjligt. Vid formuleringen av den avgränsning av aktörer som får tillgängliggöra personuppgifter för klinisk forskning på ett enklare sätt, har utredningen hämtat inspiration från formuleringen i 25 kap. 11 § 2 OSL. I linje med det föreslår utredningen att den sekretessbrytande bestämmelsen också utgår från den formuleringen. Utredningen föreslår utifrån detta att utlämnande myndighet anges som ”från en myndighet som bedriver verksamhet inom hälso- och sjukvård i en region”. I lagtexten bör ”inom hälso- och sjukvården” anges med formuleringen ”som avses i 1 §”.
786Ändring av sekretessregler
Hur bör mottagarsidan anges?
Utredningen har tittat på olika typer av formuleringar av mottagarsidan i sekretessbrytande bestämmelser och utlämnande kopplat till hälso- och sjukvårdssekretess och forskning. Den sekretessbrytande bestämmelse kopplad till SVOD (25 kap. 11 § 3 OSL) anger mottagarsidan med formuleringen ”till en myndighet som bedriver verksamhet som avses i 1 §, 26 kap. 1 §, en enskild vårdgivare eller omsorgsgivare”. Utifrån detta skulle en uppräkning av mottagande aktörer göras. Det skulle fungera med ”myndighet inom en region”, men svårligen avseende lärosätena. Uttrycket ”lärosäte” finns inte i OSL och det är inte lämpligt att införa det i lagen. En uppräkning av hela den föreslagna definitionen skulle förvisso kunna göras. Detta skulle dock innebära att bestämmelsen blir omfattande och svårläst. Den sekretessbrytande bestämmelsen som avser uppgiftslämnande till nationella och regionala kvalitetsregister anger ingen mottagande aktör. I stället anges mottagarsidan med formuleringen ”till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen”. Utifrån detta skulle bestämmelsen kunna formuleras utifrån ändamålet klinisk forskning. Ändamålet är dock ingen uppgiftssamling i sig såsom ett kvalitetsregister är. Kopplat till kvalitetsregister finns också regler om personuppgiftsansvar som tydliggör aktörerna kopplade till uppgiftssamlingen (se 7 kap. 8 § och 2 kap. 6 § PDL). Utredningen gör i ljuset av detta bedömningen att en angivelse av ändamålet inte är jämförbar med den reglering som finns för kvalitetsregister samt att det skulle vara för otydligt att utforma bestämmelsen på ett sådant sätt. Utredningen har även tittat på promemorian En långsiktig reglering av forskningsdatabaser (U2022/04089). I förslaget till bestämmelse om överföring av sekretess i 24 kap. 2 b § OSL anges mottagarsidan endast med begreppet ”myndighet”. Bestämmelsen avser utlämnande framför allt till forskning. Begreppet myndighet skulle omfatta de aktörer som avses med utredningens uttryck ”lärosäte”. Om mottagarsidan anges efter ändamålet klinisk forskning eller endast de aktörer som finns på mottagarsidan för det ändamålet, behöver den sekretessbrytande bestämmelsen ändras eller en ny bestämmelse införas om den föreslagna nya lagen om viss vidareanvändning av personuppgifter för klinisk forskning ändras. Utredningen anser att det finns en fördel med att använda en formulering som kan vara
787Ändring av sekretessregler
något mer generell än så. Om alla aktörer anges blir bestämmelsen enligt utredningens mening onödigt omfattande och svårläst. Omfånget av den sekretessbrytande bestämmelsen blir inte heller större i anledning av en vidare formulering, eftersom en hänvisning görs till vad som följer av den nya lagen. I den lagen finns de aktörer uppräknade som utgör gränserna för den sekretessbrytande bestämmelsens tillämpningsområde. Nackdelen är att bestämmelsen blir mindre tydlig. Utredningen anser att övervägande skäl talar för att formulera mottagarsidan på ett mer generellt sätt. Utredning föreslår därför en sekretessbrytande bestämmelse som innebär att sekretess enligt 25 kap. 1 § OSL inte hindrar att uppgifter lämnas från en myndighet som bedriver verksamhet inom hälso- och sjukvård till en myndighet enligt det som föreskrivs i lagen (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning. Bestämmelsen bör placeras i 25 kap. 11 § 4 OSL.
Sekretessgenombrott i förhållande till självständiga verksamhetsgrenar
Utredningens förslag om enklare tillgång till personuppgifter från en myndighet inom en region som bedriver hälso- och sjukvård omfattar bland annat regionala myndigheter som mottagare av uppgifter. Det kan förekomma att den kliniska forskningen inom en region bedrivs av en annan myndighet än den hälso- och sjukvårdsmyndighet som lämnar ut uppgifterna. Det kan också förekomma att forskningen bedrivs av samma myndighet, men som en självständig verksamhetsgren. Den sekretessbrytande bestämmelse som utredningen föreslår behöver därför också vara utformad så att den omfattar situationen att tillgång genom direktåtkomst eller annat elektroniskt utlämnade ges till samma myndighet, men till en annan självständig verksamhetsgren inom den myndigheten. Ovan har konstaterats att en uppgift för vilken sekretess gäller enligt OSL inte får röjas för enskilda eller för andra myndigheter, om inte annat anges i OSL eller i lag eller förordning som OSL hänvisar till (8 kap. 1 § OSL). Vad som föreskrivs om sekretess mot andra myndigheter enligt 8 kap. 1 § OSL, gäller enligt 8 kap. 2 § OSL också mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra. Formuleringen ”om inte annat anges” syftar bland annat på sekretessbrytande
788Ändring av sekretessregler
bestämmelser som finns i OSL (se prop. 1979/80: Del A s. 121 och prop. 2008/09:150 s. 322). Sekretessbrytande bestämmelser som är tillämpliga på alla eller ett stort antal sekretessbestämmelser finns i 10 kap OSL. Sekretessbestämmelser som endast bryter sekretessen enligt en viss sekretessbestämmelse eller några få sekretessbestämmelser finns i anslutning till respektive sekretessbestämmelse i det aktuella sekretesskapitlet i lagens fjärde och femte avdelningar (se prop. 2008/09:150 s. 322). Utredningen föreslår en sekretessbrytande bestämmelse som bryter sekretessen enligt 25 kap. 1 § OSL. Utredningen föreslår att den placeras i 25 kap. 11 § 4 OSL. Om bestämmelsen utformas så att den bryter sekretessen i förhållande till en ”myndighet”, följer det av 8 kap. 1 och 2 §§ OSL att den också bryter sekretessen mellan självständiga verksamhetsgrenar. Utredningen gör därför bedömningen att en sekretessbrytande bestämmelse som avser ”myndighet” på mottagarsidan, också omfattar den situationen att mottagaren är en självständig verksamhetsgren inom samma myndighet som bedriver klinisk forskning.
17.4 Sekretess för uppgift om personliga förhållanden
inom klinisk forskning vid vidareanvändning
av personuppgifter från hälso- och sjukvården
Förslag : Absolut sekretess ska gälla hos en myndighet för uppgift om enskilds personliga förhållanden som gjorts tillgänglig av en myndighet i en region som bedriver hälso- och sjukvård enligt lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning. Detta gäller om förutsättningarna för att myndigheten ska få tillföra forskningen uppgiften inte är uppfyllda. För uppgift i en allmän handling gäller sekretessen i högst sjuttio år. Den tystnadsplikt som följer av den absoluta sekretessen inskränker rätten att meddela och offentliggöra uppgifter.
Bedömning : Uppgifter som får tillföras forskningen omfattas antingen av överförd hälso- och sjukvårdssekretess eller av en primär sekretessbestämmelse som gäller i forskningen. Det bör inte införas en särskild sekretessbestämmelse avseende uppgifter som får tillföras forskningen.
789Ändring av sekretessregler
De personuppgifter som ska tillgängliggöras enligt utredningens förlag om vidareanvändning av personuppgifter för klinisk forskning omfattas av sekretess enligt 25 kap. 1 § OSL. För att garantera ett tillräckligt integritetsskydd är sekretesskyddet efter tillgängliggörandet av avgörande betydelse. Utlämnande till forskning som sker enligt allmänna regler i dag görs efter menprövning. En viktig omständighet inom ramen för den menprövning som sker är vilket sekretesskydd som gäller efter utlämnandet. För att ett utlämnade ska kunna ske behöver utlämnande myndighet normalt sett kunna konstatera att minst ett likvärdigt sekretesskydd gäller för uppgifterna efter utlämnandet. Så är typiskt sett fallet när utlämnande sker till annan myndighet och det kan konstateras att hälso- och sjukvårdssekretessen enligt 25 kap. 1 § OSL följer med enligt 11 kap. 3 § OSL, alternativt att en primär sekretessbestämmelse gäller vilken föreskriver ett likvärdigt eller starkare sekretesskydd. För de personuppgifter som mottagande myndighet eller lärosäte får tillföra forskningen bör enligt utredningens mening ett sekretesskydd gälla som är minst likvärdigt med det skydd som gäller inom hälso- och sjukvården. Detta innebär att det för uppgifterna bör gälla sekretess med minst ett omvänt skaderekvisit. För uppgifter som inte får tillföras forskningen, men som ändå tillgängliggörs genom den begränsade direktåtkomsten bör det, enligt utredningens mening, övervägas om en absolut sekretess alltid ska gälla. Grundmotivet för en sådan bestämmelse skulle vara att sådan överskottsinformation inte hade fått lämnas ut, för det fall en sekretessbrytande bestämmelse i kombination med möjligheten till en begränsad direktåtkomst inte hade funnits. En absolut sekretess för sådana uppgifter kan då vara en lämplig integritetshöjande kompensation på mottagarsidan som skulle balansera upp det lägre skyddet för uppgifterna hos utlämnande myndighet. En bestämmelse om absolut sekretess skulle gälla som primär sekretessbestämmelse för de uppgifter som den omfattar. En absolut sekretess skulle enligt utredningens mening fylla huvudsakligen två viktiga funktioner. Den ena avser skydd mot vidare spridning inom forskningsprojektet. Den andra funktionen handlar om överskottsinformation och avser att personuppgifter som inte får till-
790Ändring av sekretessregler
föras forskningen, inte skulle behöva behandlas enbart i anledning av en begäran om att få ut en allmän handling.
Skydd mot vidare spridning inom forskningsprojektet
Tillgång till personuppgifter enligt utredningens förslag om begränsad direktåtkomst eller annat elektroniskt utlämnande får endast ske till en regional myndighet eller till ett lärosäte. Med lärosäte menas ett statligt universitet eller en statlig högskola som har rätt att utfärda examen på forskarnivå, eller en enskild utbildningsanordnare som har tillstånd att utfärda examen på forskarnivå enligt lagen (1993:792) om tillstånd att utfärda vissa examina och som enligt 2 kap. 4 § OSL är ett organ som jämställs med myndighet. Av detta följer att själva tillgängliggörande endast får ske till en aktör som omfattas av reglerna i OSL. Reglerna utgör dock inget hinder mot att det i forskningsprojektet deltar andra aktörer som inte omfattas av OSL. I förhållande till dessa gäller sekretess för uppgifterna som tillgängliggörs med antingen ett omvänt skaderekvisit eller i form av absolut sekretess om det finns en bestämmelse om det som är tillämplig inom forskningen. För uppgifter som får tillföras forskningen och som omfattas av ett omvänt skaderekvisit hindrar sekretessen i allmänhet inte att en vidare spridning inom projektet sker om uppgifterna är avidentifierade, eftersom risk för men eller skada för den enskilde som huvudregel då inte anses föreligga (se prop. 1979/80:2 Del A s. 84). Detta sker typiskt sett genom att uppgifterna pseudonymiseras. Om absolut sekretess gäller för de uppgifter som inte får tillföras forskningen, utgör det ett hinder mot vidare spridning av sådana uppgifter. Om uppgifterna omfattas av absolut sekretess uppstår därmed inget behov av någon menprövning. Absolut sekretess för överskottsinformation, skulle således utgöra ett förstärkt skydd mot vidare spridning av uppgifterna. Utredningen anser att det finns skäl för ett sådant skydd.
791Ändring av sekretessregler
Behandling av uppgifter enbart för prövning av en begäran
om att få ta del av allmänna handling
Vid tillgängliggörande av personuppgifter för klinisk forskning genom utredningens förslag om begränsad direktåtkomst eller annat elektroniskt utlämnande, kommer tillgängliggjorda uppgifter normalt sett vara inkomna och förvarande hos mottagande myndighet enligt 2 kap. 6 § tryckfrihetsförordningen, förkortad TF, (se vidare avsnitt 16.7.2). Vid en begäran om att få ut allmänna handlingar kan mottagande myndighet därmed behöva ta del av uppgifterna för att göra en sekretessprövning. En sådan sekretessprövning ska även göras för överskottsinformation som myndigheten enligt de villkor som gäller för tillgången enligt den nya lagen inte får tillföra forskningen uppgifterna. Utredningen har jämfört med vad som gäller för uppgifter som tillgängliggörs enligt SVOD. För uppgifter som inte får behandlas av vård- eller omsorgsgivare, eller som tidigare inte har behandlats av vård- eller omsorgsgivaren, gäller absolut sekretess enligt 25 kap. 2 § första stycket OSL. Motsvarande sekretess gällde enligt tidigare regler om sammanhållen journalföring. I förarbetena till de bestämmelserna uttalandes att syftet med den absoluta sekretessen är att en vårdgivare, som enligt PDL saknar befogenhet att ta del av ospärrade uppgifter som en annan vårdgivare gjort tillgängliga för vårdgivaren, inte ska behöva ta del av dessa uppgifter för att kunna avgöra sekretessfrågan om uppgifterna begärs ut (se prop. 2007/08:126 s. 270). Utredningen gör bedömningen att samma principiella situation kan uppkomma inom ramen för tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande av uppgifter med stöd av den nya lagen. Om behandling av personuppgifter, som enbart sker i anledning av en begäran om att få ut allmänna handlingar i forskningen, ska förhindras behöver en motsvarande bestämmelse om absolut sekretess gälla även avseende tillgängliggörande enligt utredningens förslag om begränsad direktåtkomst eller annat elektroniskt utlämnande av personuppgifter för klinisk forskning. Utredning anser att detta utgör ytterligare ett skäl för att en sådan bestämmelse bör gälla.
792Ändring av sekretessregler
17.4.1 Finns det en tillämplig sekretessgrund?
Utredningen gör bedömningen att personuppgifter som tillgängliggörs genom begränsad direktåtkomst eller annat elektroniskt utlämnade för ändamålet klinisk forskning efter utlämnandet omfattas av överförd sekretess enligt 11 kap. 3 § OSL eller en primär sekretessbestämmelse som gäller i forskningen. I vissa fall kan även överförd sekretess enligt 11 kap. 4 § OSL gälla. Enligt utredningens bedömning går det inte principiellt sett att utesluta att en primär sekretessbestämmelse som gäller i forskningen kan bli tillämplig på uppgifter som tillgängliggörs för ändamålet klinisk forskning enligt utredningens förslag om vidareanvändning av personuppgifter. Den bestämmelse utredningen har kunnat identifiera är 24 kap. 8 § OSL som föreskriver ett starkare sekretesskydd än den överförda sekretessen enligt ovan. Till följd av konkurrensregeln i 11 kap. 8 § skulle sekretess enligt 24 kap. 8 § OSL gälla med företräde framför överförd sekretess enligt 11 kap. 3 § eller 4 § OSL. Det är denna ordning som lagstiftaren har valt. Principiellt kan överförd sekretess bli utkonkurrerad. Utredningen gör bedömningen att det såsom lagstiftningen ser ut för närvarande inte innebär ett sämre sekretesskydd på mottagarsidan. Däremot finns ingen bestämmelse om absolut sekretess för uppgifter som inte får tillföras forskningen. Därutöver saknas en uttrycklig bestämmelse om vilken sekretess som gäller för uppgifter som inte får tillföras forskningen samt uppgifter som tidigare har behandlats enligt villkoren för behandling enligt de föreslagna reglerna om enklare tillgång till personuppgifter för klinisk forskning. Utredningens överväganden kopplade till dessa frågor följer nedan. Om absolut sekretess bör gälla för överskottsinformation vid direktåtkomst eller annat elektroniskt utlämnande, behövs en ny sekretessbestämmelse som föreskriver det.
17.4.2 Behövs nya sekretessbestämmelser?
Skyddet som följer av 11 kap. 3 § OSL eller 11 kap. 4 § OSL, alternativt en primär sekretessbestämmelse i forskningen, är tillräckligt för uppgifter som tillförs forskningen. I avsnitt 16.2.2 har utredningen redogjort för den sekretess som blir tillämplig på uppgifterna som tillgängliggörs för ändamålet klinisk
793Ändring av sekretessregler
forskning enligt utredningens förslag om enklare tillgång till personuppgifter för klinisk forskning. Den sekretess som blir tillämplig är antingen sekretess med omvänt skaderekvisit eller absolut sekretess. Detta är samma nivå eller starkare än vad som gäller för uppgifterna inom hälso- och sjukvården. Ur integritetsperspektivet gör utredningen därmed bedömningen att detta är ett tillräckligt starkt sekretesskydd.
Undantagen i 11 kap. 3 § andra stycket och 11 kap. 4 § andra stycket OSL ändrar inte bedömningen
Av 11 kap. 3 § andra stycket OSL följer att överföring av sekretess enligt bestämmelsens första stycke inte tillämpas på en uppgift som ingår i ett beslut hos den mottagande myndigheten. Motsvarande gäller enligt 11 kap. 4 § andra stycket OSL vid elektronisk tillgång till en upptagning för automatiserad behandling. Utredningen gör bedömningen att undantagen sällan bör bli tillämpliga på uppgifter som tillgängliggörs till den kliniska forskningen. Om så ändå skulle vara fallet, får den offentlighet som följer av detta anses vara motiverad. Ett sådant övervägande har redan gjorts till grund för lagstiftningen och gäller i dag vid utlämnade till forskning från hälso- och sjukvården enligt allmänna regler. Det saknas anledning att ha en annan ordning för uppgifter som får tillföras forskningen enligt de nya reglerna om enklare tillgång.
Behov av en ny bestämmelse som föreskriver absolut sekretess
för uppgifter som inte får tillföras forskningen
I avsnitt 17.4.1 har utredningen gjort bedömningen att det finns ett behov av absolut sekretess för uppgifter som inte får tillföras forskningen. Utredningen har också konstaterat att absolut sekretess kan bli tillämplig på uppgifterna inom forskningen, om det är så att en primär sekretessbestämmelse inom forskningen gäller för uppgifterna. Utgångspunkten är dock att överföring av hälso- och sjukvårdssekretessen sker och då gäller endast ett omvänt skaderekvisit. Det finns ingen befintlig sekretessbestämmelse som generellt sett föreskriver absolut sekretess för uppgifter som tillgängliggörs, men
794Ändring av sekretessregler
som inte får tillföras forskningen. Utredningen behöver därför föreslå en sådan bestämmelse.
Bör det införas en bestämmelse om sekretess för uppgifter
som får tillföras forskningen, eller som mottagande myndighet
tidigare har behandlat?
Utredningen har övervägt om det bör införas en sekretessbestämmelse som avser uppgifter som får tillföras forskningen En sådan bestämmelse skulle likna den som finns i 25 kap. 2 § andra stycket OSL och som avser behandling av personuppgifter enligt SVOD. För ändamålet vården av en annan patient än den som uppgifterna avser föreslår utredningen en motsvarande bestämmelse, se avsnitt 16.4. Utredningen konstaterar att en sådan bestämmelse skulle bli en ny primär sekretessbestämmelse hos den mottagande myndigheten. Utredningen redogör i avsnitt 8.3.4 för den sekretess som i dag gäller inom forskning. Utredningen konstaterar att det inte behövs någon ytterligare bestämmelse om sekretess, eftersom det redan finns. Det framstår inte heller som lämpligt med flera konkurrerande sekretessbestämmelser. Dessutom kan en föreslagen ny sekretessbestämmelse för uppgifter som får tillföras forskning medföra ett lägre sekretesskydd än vad som annars skulle gälla i den situationer där uppgifterna enligt befintliga bestämmelser omfattas av absolut sekretess. Utredningen anser därför inte att det är lämpligt med en sekretessbestämmelse för uppgifter som får tillföras forskningen.
Upplysning om sekretesskyddet i forskningen
En bestämmelse som anger sekretess för uppgifter som får tillföras forskningen eller har behandlats tidigare, innebär enligt utredningens bedömning, inte att något ytterligare sekretesskydd i materiellt hänseende tillförs. Utredningens bedömning är i stället att det finns tillämpliga befintliga sekretessregler för dessa uppgifter, se ovan avsnitt 17.3.2. En bestämmelse om vilken sekretess som gäller för uppgifter som får tillföras forskningen skulle därmed endast tjäna ett förtydligande syfte. För att det ska gå att ange en sekretess i en förtydligande bestämmelse behöver det stå klart vilken sekretess det är som gäller.
795Ändring av sekretessregler
Utredningen har ovan gjort bedömningen att det i många fall kommer att vara frågan om överförd hälso- och sjukvårdssekretess. Om så är fallet ska den förtydligande bestämmelsen ange ett omvänt skaderekvisit. Utredningen har dock konstaterat att den överförda sekretessen kan konkurreras ut av en primär sekretessbestämmelse som är tillämplig inom forskningen. Om det är fallet kan det bli fråga om absolut sekretess för uppgifterna i forskningen. I sådana fall bör den förtydligande bestämmelse föreskriva absolut sekretess. En förtydligande bestämmelse behöver mot denna bakgrund ta höjd för att det både kan gälla sekretess med omvänt skaderekvisit och absolut sekretess. En sådan upplysning kan förvisso i sig bidra med en form av tydlighet. Däremot bidrar den inte med en tydlighet som går ut på att slå fast vilken sekretess som gäller. Den kan därmed inte vara utformad eller ha samma funktion som 25 kap. 2 § andra stycket OSL har i förhållande till behandling av personuppgifter enligt SVOD. Detta hänger samman med att det inte finns någon generell ”forskningssekretess”, såsom det finns en hälso- och sjukvårdssekretess enligt 25 kap. 1 § OSL. Vilken sekretess som gäller för uppgifterna som tillförs forskningen måste fortfarande bedömas inom ramen för forskningen. Utredningen har mot denna bakgrund landat i att det inte fyller någon egentlig förtydligande funktion att i en bestämmelse ange en upplysning om den sekretess som kan gälla i forskningen
17.4.3 Intresseavvägning
Rätten att ta del av allmänna handlingar är ett uttryck för offentlighetsprincipen. Syftet med denna rätt är enligt 2 kap. 1 § TF att främja ett fritt meningsutbyte, en fri och allsidig upplysning och ett fritt konstnärligt skapande. Offentlighetsprincipen är en grundläggande princip i den svenska rättsordningen, och innebär att allmänheten har rätt till insyn i och tillgång till information om samhällsorganens verksamhet. Syftet med principen är bland annat att genom allmänhetens insyn i offentlig verksamhet garantera rättssäkerheten, effektiviteten i förvaltningen, effektiviteten i folkstyret och att främja allmänhetens förtroende för myndigheterna. En sekretessbestämmelse innebär en begränsning av den grundlagsfästa rätten att ta del av allmänna handlingar. När fråga uppkommer om att införa en ny sekretessbestämmelse måste det därför
796Ändring av sekretessregler
alltid göras en avvägning mellan behovet av sekretess och intresset av att insynen i en offentlig verksamhet inte begränsas. Frågan i detta fall är hur stort allmänintresset av insyn är när det gäller uppgift om personliga förhållanden inom klinisk forskning vid vidareanvändning av personuppgifter för klinisk forskning. Det kan konstateras att det rör sig om uppgifter om enskilds personliga förhållanden som kommer från hälso- och sjukvården, det vill säga uppgifter som ofta är av mycket känslig karaktär. För sådana uppgifter gäller enligt nuvarande regler sekretess med ett omvänt skaderekvisit, det vill säga utgångspunkten, vid en begäran om utlämnande från hälso- och sjukvården, är att uppgifterna inte ska lämnas ut. Det är tydligt att det finns ett behov av ett starkt skydd för uppgifterna, både i förhållande till allmänheten och till andra myndigheter. Det kan konstateras att allmänheten kan ha ett intresse och behov av insyn i forskningsverksamhet. Medierna och enskilda bör ha möjlighet att granska den verksamhet som omfattas av den föreslagna lagstiftningen. Den föreslagna regleringen innebär en begränsning i förhållande till vad som annars skulle gälla på så sätt att den myndighet inom en region eller det lärosäte som ges tillgång till personuppgifter för ändamålet klinisk forskning enligt utredningens lagförslag, som ska pröva en begäran om utlämnande av allmänna handlingar, inte ska behöva ta del av uppgifter om enskild bara för att hantera begäran. Med andra ord ska det inte krävas att den regionala myndigheten eller lärosätet tar del av fler uppgifter än vad som får tillföras forskningen för att hantera begäran. Den innebär även ett förstärkt skydd mot vidare spridning av överskottsinformation till andra aktörer inom forskningsprojektet. Den föreslagna regleringen innebär dock att uppgifter om en enskild i forskningen, på samma sätt som i dag, kommer att omfattas av sekretess hos den regionala myndigheten eller lärosätet som forskar (se mer om detta i avsnitt 17.3.3 och 17.4.2). Vidare avser den absoluta sekretessen uppgifter som mottagande myndighet, utan utredningens förslag om förenklad tillgång, inte hade haft rätt att få tillgång till och därmed inte skulle ha varit förvarade hos myndigheten. Utredningens förslag om förenklad tillgång innebär därmed att det förvaras uppgifter som allmänheten kan ha ett intresse av att ha insyn i. För mediernas rapportering och allmänhetens insyn i verksamheten kan
797Ändring av sekretessregler
det ha viss betydelse att rätten att ta del av allmänna handlingar inskränks på det föreslagna sättet. Vid en avvägning bedömer dock utredningen att behovet av skydd för uppgifterna väger tyngre än behovet av insyn i verksamheten, och att en sekretessbestämmelse med den föreslagna lydelsen bör införas.
17.4.4 Utformning av sekretessbestämmelserna
Med hänsyn till att sekretess är ett undantag från huvudregeln om offentlighet ska en sekretessbestämmelse utformas så att handlingsoffentligheten inte begränsas mer än vad som är nödvändigt för att uppfylla syftet med bestämmelsen. Bestämmelsens tillämpningsområde bestäms av föremålet för sekretessen, sekretessens räckvidd och styrka.
Sekretessregleringens föremål och räckvidd
Med sekretessens föremål avses vilka uppgifter som ska kunna hemlighållas med stöd av den föreslagna sekretessbestämmelsen. Som framgår av ovan finns det ett behov av att skydda uppgift om enskildas personliga förhållande vid tillgängliggörande av personuppgifter för klinisk forskning. Med uppgift om enskilds personliga förhållanden avses till exempel uppgift om psykisk och fysisk hälsa och ekonomi, men också mindre integritetskänsliga uppgifter, såsom någons adress (prop. 1979/08:2 del A s. 84). Det kan vara svårt att i förväg närmare ange vilka uppgifter om enskildas personliga förhållanden som är skyddsvärda. En till synes harmlös uppgift kan i kombination med andra uppgifter sammantaget innebära att den enskilde lider men om uppgiften röjs. Sekretessen i den föreslagna bestämmelsen bör därför omfatta samtliga uppgifter om en enskilds personliga förhållanden som gjorts tillgängliga för en myndighet enligt lagen (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning. När det gäller frågan om sekretessregleringens räckvidd bör sekretessbestämmelsen gälla hos samtliga myndigheter som kan vara mottagare av uppgifterna enligt den föreslagna lagen (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning. Av tydlighetsskäl föreslår utredningen att räckvidden också preciseras genom att bestämmelsen anger att den avser uppgifter som gjorts tillgängliga av en myndighet i en region som bedriver verksamhet inom hälso-
798Ändring av sekretessregler
och sjukvård. I stället för formuleringen ”regional myndighet” som används i utredningens föreslagna lag, bör i OSL anges ”myndighet i en region” eftersom det stämmer överens med andra liknande bestämmelser i OSL. Innebörden är dock enligt utredningens bedömning densamma.
Sekretessens styrka
Nästa fråga utredningen har att ta ställning till är vilken styrka sekretessen bör ha. Huvudregeln när en ny sekretessbestämmelse ska utformas är att det inte ska gälla mer sekretess än vad som är nödvändigt för att skydda de intressen som har föranlett bestämmelsen. Ett av syftena med den föreslagna bestämmelsen är att en mottagande myndighet, som inte behöver tillgängliggjorda uppgifter för sin forskning, inte ska behöva ta del av uppgifter om den enskilde bara för att pröva en begäran om utlämnande av allmänna handlingar. Vidare är syftet att stärka integritetsskyddet genom att sekretess hindrar vidare spridning av uppgifterna. För att uppnå dessa syften krävs det att sekretessen är absolut, det vill säga att någon sekretessprövning inte ska göras vid begäran om utlämnande av handlingen.
Placeringen av sekretessbestämmelsen
Sekretessen enligt den föreslagna bestämmelsen gäller hos en myndighet som bedriver forskning. Bestämmelsen bör därför lämpligen placeras i 24 kap. OSL, som innehåller bestämmelser om sekretess till skydd för enskild inom forskning och statistik. Var bestämmelsen systematiskt passar in är enligt utredningens mening inte helt uppenbart. Dock förefaller det vara logiskt att den placeras före 8 §, som bland annat avser statistik. Utredningen föreslår mot denna bakgrund att det införs en ny bestämmelse 7 b §. Bestämmelsen ska ha rubriken Vidareanvändning enligt lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning.
799Ändring av sekretessregler
Sekretesstiden
I sekretessbestämmelser anges regelmässigt för hur lång tid sekretessen ska gälla. Det är skyddsintresset som avgör hur lång sekretesstiden bör vara. När det gäller uppgifter om enskildas personliga förhållanden bestäms ofta sekretesstiden till 70 år (se bland annat 25 kap. och 24 kap. 1 och 2 §§ OSL). Bakgrunden till det är att sekretessen som utgångspunkt bör gälla under större delen av den enskildes livstid (prop. 1979/80:2 Del A s. 460 och 493 f). Det finns inte skäl för att här frångå denna ordning. Utredningen föreslår därför att en tidsgräns på 70 år ska gälla i den nya sekretessbestämmelsen.
17.4.5 Rätten att meddela och offentliggöra uppgifter
Utredningen redogör i avsnitt 17.2.6 för de rättsliga utgångspunkterna med avseende på rätten att meddela och offentliggöra uppgifter. Utredningen föreslår att en ny sekretessbestämmelse ska införas i 24 kap. OSL som gäller sekretess hos en myndighet för uppgift om enskilds personliga förhållanden som gjorts tillgängliga av en myndighet i en region som bedriver hälso- och sjukvård enligt den föreslagna lagen (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning. Bestämmelsen avser uppgifter som, enligt de föreslagna reglerna i den nya lagen, inte får tillföras forskningen. Enligt förslaget ska bestämmelsen utformas utan skaderekvisit, det vill säga absolut sekretess ska gälla. Denna omständighet, liksom det förhållandet att uppgifterna ursprungligen har lämnats till hälso- och sjukvården i förtroende, talar för att tystnadsplikten bör ha företräde framför rätten att meddela och offentliggöra uppgifter (jämför prop. 1979/80:2 Del A s. 111–112). När uppgifterna finns i hälso- och sjukvården och omfattas av sekretess inskränks rätten att meddela och offentliggöra uppgifter (25 kap. 18 § andra stycket OSL). Uppgifterna som omfattas av sekretess får inte tillföras forskningen, utan är så kallad överskottsinformation vid tillgängliggörande. Utredningen anser därför att samma ordning bör gälla för uppgifterna som inom hälso- och sjukvården. Inskränkning i rätten att meddela och offentliggöra uppgifter förekommer också inom forskning (24 kap. 9 § OSL). Mot denna bakgrund bör 24 kap. 9 § OSL ändras så att den tystnadsplikt som följer av den föreslagna sekretessbestämmelsen i 24 kap. 7 b § OSL in-
800Ändring av sekretessregler
skränker rätten att meddela och offentliggöra uppgifter. Utredningen anser att det är lämpligt att ett tillägg görs i andra stycket i 24 kap. 9 §.
17.5 Följdändringar
Förslag : I 25 kap. 7 och 10 §§ OSL ska verksamhet som anges i utredningens förslag till bestämmelse i 25 kap. 2 a § andra stycket OSL läggas till. Vissa ändringar ska göras i 10 kap. OSL för att undvika att den absoluta sekretessen hos myndigheter för uppgifter i en precisionsmedicinsk databas bryts. Detsamma gäller för uppgifter som görs tillgängliga för en myndighet enligt lag (0000:00) om vidareanvändning av personuppgifter för klinisk forskning.
I anledning av utredningens förslag om bestämmelser om absolut sekretess, behöver vissa följdändringar göras i OSL.
17.5.1 Ändringar i 25 kap. 7 och 10 §§ OSL
Enligt 25 kap. 7 § OSL gäller sekretess i verksamhet som anges i 1 §, 2 § andra stycket och 3–5 §§ för uppgift i anmälan eller utsaga av en enskild om någons hälsotillstånd eller andra personliga förhållanden, i förhållande till den som anmälan eller utsagan avser, endast om det kan antas att fara uppkommer för att den som har lämnat uppgiften eller någon närstående till denne utsätts för våld eller lider annat allvarligt men om uppgiften röjs. Enligt 25 kap. 10 § gäller inte sekretess enligt 1 §, 2 § andra stycket, 3–5 §§ och 8 a och 8 b §§ för viss i bestämmelsen uppräknade typer av beslut. Utredningen föreslår en ny bestämmelse om sekretess för uppgifter som en myndighet har tillgång till i en precisionsmedicinsk databas. Regleringen motsvara den som gäller vid sammanhållen journalföring enligt 25 kap. 2 § andra stycket OSL. Liksom vid tillgängliggörande och behandling av personuppgifter ett system för sammanhållen vårdoch omsorgsdokumentation, avser utredningens förslag om behandling av personuppgifter för ändamålet vården av en annan patient än den som uppgifterna avser, personuppgifter som vårdgivare behandlar enligt 2 kap. 4 § första stycket 1–2 PDL. Samma lagtekniska ordning
801Ändring av sekretessregler
som gäller för uppgifter inom sammanhållen vård- och omsorgsdokumentation bör därför enligt utredningens bedömning gälla för uppgifter i en precisionsmedicinsk databas. I fråga om sådana anmälningar som omfattas 25 kap. 7 § bör sekretess enligt den bestämmelsen därmed gälla i stället för sekretess enligt utredningen förslag till bestämmelse. Detsamma gäller undantag från sekretess enligt 25 kap. 10 § OSL.
17.5.2 Ändringar i 10 kap. OSL
I 10 kap. OSL finns vissa bestämmelser som föreskriver att sekretess enligt vissa i bestämmelserna uppräknade paragrafer inte hindrar att uppgifter lämnas till exempelvis Polismyndigheten. Utredningen konstaterar att ändringar gjordes i 10 kap. 19, 21, 23 och 24 §§ OSL i anledning av införandet av SVOD (se prop. 2021/ 22:177 s. 161 ff.). Syftet med ändringarna var att den absoluta sekretess som infördes inom socialtjänsten kopplat till ett system för vårdoch omsorgsdokumentation inte skulle brytas. Sedan tidigare har motsvarande bestämmelser funnits med avseende på den absoluta sekretess inom hälso- och sjukvården som finns för uppgifter i tidigare sammanhållen journalföring. Dessa gäller numera för sammanhållen vård- och omsorgsdokumentation (se prop. 2021/22:177 s. 160). Utredningen gör bedömningen att motsvarande följdändringar i 10 kap. behöver göras med avseende på utredningens förslag om absolut sekretess, dels för uppgifter i en precisionsmedicinsk databas, dels för uppgifter som tillgängliggörs enligt förslaget till lag (0000:00) om vidareanvändning av personuppgifter för klinisk forskning. Utredningen föreslår inte någon primär sekretessbestämmelse i forskning som gäller för uppgifter som får tillföras forskningen. Det finns därmed inte behov av några följdändringar i 10 kap. motsvarande de som gjorts avseende sekretess enligt 26 kap. 1 a § andra stycket OSL kopplat till utredningens förslag om sekretess i forskning.
80318 Konsekvensutredning
18.1 Inledning
Utredningen kommer i detta kapitel enbart redogöra för de konsekvenser som följer av utredningens författningsförslag. I detta kapitel redogörs primärt för mer övergripande konsekvenser. Mer direkta konsekvenser kopplat till specifika bedömningar och val som ligger till grund för utredningens förslag redogörs för i kapitel 13–17, vilket också inkluderar konsekvenserna för den personliga integriteten (se kapitel 14 för behandling av personuppgifter för vården av en annan än den personuppgifterna avser, respektive 16 avseende ny lag om viss vidarebehandling av personuppgifter för klinisk forskning).
18.2 Konsekvenser av förslaget som rör
ändamålet vården av annan patient
än den som personuppgifterna avser
I korthet innebär förslaget som rör vidareanvändning av hälsodata för ändamålet vården av en annan patient än den som personuppgifterna avser, att regionerna får inrätta en precisionsmedicinsk databas per samverkansregion samt en inom Nationella genomikplattformen, förkortad, NGP. I detta avsnitt kommer utredningen redogöra för exempelvis ekonomiska konsekvenser, påverkan på det kommunala självstyret med mera.
18.2.1 Ekonomiska konsekvenser av förslagen
Utredningens bedömning är att förslagen kommer ha en svagt positiv effekt på den ekonomiska effektiviteten. I dag läggs förhållandevis stora resurser på att hitta lösningar som är juridiskt gångbara. Om data-
804Konsekvensutredning
delningen kan göras på ett mer förutsägbart sätt skapar det också bättre förutsättningar för att skapa mer långsiktiga och skalbara lösningar då osäkerheter kring lagstiftningen gör att det finns en viss tveksamhet inför att investera stora mängder resurser i att bygga ett mer hållbart och på sikt mer konstadseffektivt system. Utöver de direkta kostnaderna så kommer även de indirekta kostnaderna för regionerna att påverkas i båda riktningar. På ena sidan kommer förslagen förhoppningsvis medföra dels att patienter snabbare kan få en diagnos, dels att patienter som i dag inte kunnat få en diagnos kan få en. Hur stor denna effekt är kommer variera över tid eftersom mer kunskap genereras kontinuerligt och förändringen kommer sannolikt inte heller vara jämn över tid. GMS bedömning att 2030 kommer provvolymen inom cancer öka från 10 000 till 75 000. För sällsynta hälsotillstånd bedömer de att antalet prover kommer öka från 4 000 till 15 000. 1 Myndigheten för vård- och omsorgsanalys bedömde i sin rapport att upp emot 200 000 personer med cancer kan bli aktuella för provtagning 2030 upp från dagens 10 000. För personer med sällsynta hälsotillstånd bedömde myndigheten att maximalt 115 000 genom- 2 sekvenseringar kommer göras 2030, upp från 6 500. Detta innebär att många fler patienter kommer kunna få hjälp både med att få en diagnos och att få en bättre behandling. Dessa bedömningar tar inte höjd för exempelvis flytande biopsier eller sekvenseringen som sker inom infektionssjukdomar. Med utredningens förslag så kommer vården kunna ta del information i stort sett i realtid, vilket utredningen bedömer inte verkar vara fallet i förslaget till EHDS. Det finns vissa områden inom precisionsmedicinen, exempelvis inom infektionssjukdomar där vårdutfallet försämras kraftigt på loppet av timmar. Att som i dag söka etikgodkännande eller som det verkar i förslaget till EHDS ansöka eller få tillgång via en annan aktör skulle sannolikt innebära betydande patientrisker. Så även om det är svårt för utredningen att svara exakt på vilka konsekvenser det kommer få att inte genomföra utredningens förslag så är utredningens bedömning att det kommer röra sig om tusentals patienter som inte får den vård de hade kunnat få. Om en patient kan få en diagnos fastställd snabbare innebär det också lägre kostnader för samhället när det krävs färre vårdbesök för att ställa en diagnos, men också lägre kostnader som kan uppstå i samband med suboptimal behandling.
1 https://genomicmedicine.se/var-verksamhet/gms-strategiplan-2021-2030/ (hämtat 2023-10-11). 2 Myndigheten för vård- och omsorgsanalys, 2021, Genvägen till ökad precision.
805Konsekvensutredning
På andra sidan kan det innebära ökade kostnader för regionerna i och med att andelen patienter som kan få en diagnos ökar, vilket sannolikt kommer öka antalet diagnostiska tester och med de kostnader som följer utav det. När allt fler patienter får möjlighet att få en diagnos kommer det också innebära att fler patienter kan få behandling, vilket sannolikt leder till ökad hälsa och välmående, men också ökade kostnader. Utvecklingen inom precisionsmedicin går snabbt framåt, vissa behandlingar är potentiellt botande. Det är i dagsläget svårt att säga vilka konsekvenser det kommer få på hälso- och sjukvårdens kostnader. I dag finns stora osäkerheter kopplat till om behandlingarna är faktiskt botande behandlingar, vad långtidseffekterna är samt för hur många sjukdomar denna diagnostik och behandling kommer bli aktuell för. Av den anledningen så är det i dag osäkert om vilka samhällsekonomiska vinster som kommer komma av dessa behandlingar. Flera av vinsterna i former av skatteintäkter som kommer av att dessa personer blir friska och kan arbeta kommer dock tillfalla staten och ofta storstadsregionerna och dess kommuner. Även om detta kan sägas om vårdkostnader generellt så är det som är speciellt med till exempel avancerade terapiläkemedel att kostnaderna för att behandla en enskild individ ofta är väldigt höga och sker vid ett och samma tillfälle. Därutöver finns det exempel, så som ärftlig transtyretinamyloidos, även kallad Skelleftesjukan, där en ärftlig sjukdom är koncentrerad till en geografisk plats. När det kommer en avancerade terapi för en sådan sjukdom kan det plötsligt uppstå ohanterligt stora kostnader för enskilda regioner och det kan då vara lämpligt att kostnaderna för detta hanteras nationellt på något vis. Finansieringen behöver inte vara statlig, men det kan vara lämpligt att dela på risken. Här vill utredningen också understryka att en särskild pott för att finansiera denna typ av behandlingar sannolikt kommer vara ineffektivt. Anledningen till denna bedömning beror på att kostnaderna för vissa läkemedel då sannolikt kommer öka när läkemedelsbranschen ser att det finns utrymme för högre betalningsvilja för vissa läkemedel. En sådan lösning skulle snedvrida den konkurrensen på marknaden. Utredningen är inte principiellt emot särbehandling då det i vissa fall kan finnas goda skäl för det. Exempelvis hanteras inte prissättningen för läkemedel med patent på samma sätt som prissättning av generika. Utredningens bedömning är däremot att det finns andra sätt som är mer lämpliga och som bör övervägas för att lösa problemet. Ett sådant
806Konsekvensutredning
exempel är att se över om exempelvis den solidariska finansieringen mellan regionerna kan utvecklas. Slutligen anser utredningen att dessa konsekvenser redan finns i dag men kommer öka vid ett införande av precisionsmedicinska databaser och de nya möjligheter dessa skapar. Det finns därför anledning att se över finansieringsfrågan eftersom det annars enligt utredningen finns en uppenbar risk för underanvändning av dessa behandlingar.
Investeringskostnader
Det är svårt att bedöma investeringskostnaderna för regionerna eftersom vissa delar av de precisionsmedicinska databaserna redan i dag finns på plats och förutsättningarna ser olika ut mellan regionerna. Därutöver så är kostnaderna direkt kopplade till ambitionsnivån för själva databasen. Att inrätta en enkel SQL-databas med grundläggande data går att göra på några timmar. Kostnaderna för att säkerställa att alla system som behöver vara kompatibla med databasen för att möjliggöra informationsutbyte, skapa ett gränssnitt för att underlätta sökning och urval samt visa upp utfall kan däremot variera kraftigt. Rent teoretiskt skulle utredningen kunnat göra en hälsoekonomisk bedömning av ungefär hur mycket pengar det hade varit rimligt att investera i en precisionsmedicinsk databas. I praktiken saknas dock mycket av den data som behövs för att göra en sådan beräkning och utredningen bedömer att ett sådant investeringsbeslut bäst lämnas åt regionerna eftersom de behöver väga de mot andra investeringar inom regionen. Utredningens utgångspunkt, i valet av vilken lösning som utredningen bedömt bäst svarar upp mot behoven inom precisionsmedicin, har varit att den direkta investeringskostnaden för en precisionsmedicinsk databas är låg i förhållande till dels nyttan av precisionsmedicinsk behandling, dels att kostnaden är låg i förhållande till den sammantagna kostnaden för precisionsmedicin. Exempelvis kan bara läkemedelskostnaden för en behandling av en enskild individ kosta flera miljoner kronor. 3 Utöver det så bedömer utredningen också att det är sannolikt att de precisionsmedicinska databaserna möjliggör för besparingar om det är så att hälso- och sjukvården i stället för att testa sig fram bland
3 Tandvårds- och läkemedelsförmånsverket, 2021, Hälsoekonomisk bedömning av Luxturna (voretigen neparvovek).
807Konsekvensutredning
olika läkemedelsbehandlingar inom exempelvis cancer i stället kan välja den bästa behandlingen för den enskilda patienten direkt, så sparar hälso- och sjukvården in såväl på läkemedelskostnader som på behandlingskostnader. En precisionsmedicinsk databas som sannolikt skulle kosta några miljoner kronor bedömer utredningen är en liten kostnad i sammanhanget. Sedan kan kostnaderna öka till att bli mer omfattande, men detta beror som sagt på om regionerna ambitionsnivå. Där till kommer att utredningen anser att Europeiska kommissionens förslag till Europaparlamentets och Rådets förordning om ett europeiskt hälsodataområde, COM(2022) 197 final av den 3 maj 2022, förkortad förslaget till EHDS, kan komma att påverka investeringskostnaderna. Eftersom förordningen fortfarande är under förhandling är det svårt att säga hur förslaget kommer påverka regionernas kostnader. Det är även värt att nämna att utredningen på sikt ser att de precisionsmedicinska databaserna kommer bli en integrerad del av det ekosystem som hälsodataområdet kommer att utgöra. Då kan det hända att det kommer behöva ske integreringar exempelvis mellan den nationella datahubben som utredningen ser framför sig och de precisionsmedicinska databaserna. Utredningen tar inte ställning till frågor som denna eftersom det behöver utredas inom ramen för anpassningen till förslaget till EHDS. Vad gäller indirekta investeringskostnader regionerna kommer stå inför är i praktiken svårt, om ens möjligt att bedöma på förhand då det beror på regionernas prioriteringar. Sammantaget bedömer dock utredningen att kostnaderna för förslagen bör kunna omhändertas inom befintligt budgetutrymme.
Fasta kostnader
De fasta kostnaderna för regionen består framför allt av driften av de precisionsmedicinska databaserna. Även här är kostnaderna starkt beroende av hur regionerna väljer att utforma databaserna. Utredningens bedömning är att regionerna redan bär flera av de fasta kostnaderna, exempelvis genom NGP. De ytterligare fasta kostnader som tillkommer bedömer utredningen att regionerna bör kunna ta inom befintliga budgetramar.
808Konsekvensutredning
Variabla kostnader
En fördel med utredningens förslag är att lösningen är skalbar och att den extra kostnaden för att lägga till ytterligare användare är låg. Den stora kostnaden kommer av att fler personer nu kommer kunna arbeta med precisionsmedicin inom hälso- och sjukvården, vilket sannolikt kommer leda till en kostnadsförskjutning inom hälso- och sjukvården när arbetssätten förändras. Utredningen ser dock ingen anledning till att de variabla kostnaderna bör öka nämnvärt, utan snarare minska till följd av att utredningen förslag gör det enklare för regionerna att arbeta med precisionsmedicin. Därmed bör snarare kostnaderna på lång sikt minska, om än marginellt.
18.2.2 Utredningens förslag i förhållande
till Nationella genomikplattformen
I dagsläget finns infrastrukturen NGP som etablerats av Genomic Medicine Sweden (GMS), se avsnitt 14.7.3 för en mer utförlig beskrivning av NGP. Syftet med etableringen av plattformen har varit att på ett smidigt sätt möjliggöra datadelning för ändamål relaterat till precisionsmedicin. Eftersom det i dag inte är möjligt att dela data för vården av en annan patient än den som personuppgifterna avser, används plattformen i dag endast för ändamålet forskning. Utredningen föreslår att det får inrättas en precisionsmedicinsk databas per samverkansregion och utöver dessa får det även inom NGP inrättas en precisionsmedicinsk databas. Utredningen ser att det finns ett behov av att arbetet med NGP och de samverkansregionala precisionsmedicinska databaserna är synkroniserat. Utredningen ser dock inte att infrastrukturerna kommer vara konkurrerande utan snarare att de kan komplettera varandra. Utredningen bedömer också att det går i linje med ambitionen om att skapa en nationell digital infrastruktur som också innehåller regionala datahubbar.
809Konsekvensutredning
18.2.3 Konsekvenser av att inrättandet av
precisionsmedicinska databaser är frivilligt
Det finns en risk att frivilligheten leder till ett ojämlikt införande mellan regionerna, vilket i sin tur skulle kunna leda till att hälso- och sjukvården inte blir jämlik. Det skulle också kunna leda till att regionerna inte kommer överens eller att de inte tycker att det är värt att investera i. Här är sammanhållen journalföring ett tydligt exempel på en frivillig lagstiftning som ännu inte är fullt ut implementerad trots att de legala förutsättningarna funnits i många år, se exempelvis E-hälsomyndighetens rapport ”Sammanhållen journalföring – Möjligheter till digital informationsförsörjning på hälsodataområdet”. 4 Utredningens bedömning är att sammanhållen journalföring är mycket mer omfattande än arbetet med en precisionsmedicinsk databas är. Utredningens bedömning är också att antalet aktörer som har relevanta data att rapportera in till databasen är betydligt färre. Utredningen bedömer också att det är rimligt att anta att en precisionsmedicinsk databas kommer fylla sin funktion även om inte alla som får väljer att rapportera in sina data till databasen. Detta baserar utredningen på att en stor del av alla data som ska finnas i de precisionsmedicinska databaserna både rapporteras in och används av samma del av vården. Detta gör att relevanta vårdgivare sannolikt har ett starkt incitament att rapportera in uppgifterna till de precisionsmedicinska databaserna. En annan risk är att en eventuell framtida tillämpning av finansieringsprincipen till följd av förslaget till EHDS skapar ett tydligt incitament för regionerna att avvakta utvecklandet av precisionsmedicinska databaser i väntan på att kostnaderna eventuellt helt eller delvis skulle kunna omfattas av finansieringsprincipen. Detta skulle dock i praktiken innebära att regionerna väljer att prioritera bort att hjälpa vissa patienter, senarelägga införande av precisionsmedicin i Sverige, vilket också skulle skada svensk forskning inom precisionsmedicin. Utredningens bedömning är att kostnaderna för en precisionsmedicinsk databas kan variera beroende på ambitionsnivå, men att kostnaderna inte bör vara så pass höga att det bör finnas någon risk att regionerna väljer att inte investera i precisionsmedicinska databaser i hopp om och att eventuellt få finansiering från staten för att
4 E-hälsomyndigheten, 2022, rapport Sammanhållen journalföring – Möjligheter till digital informationsförsörjning på hälsodataområdet.
810Konsekvensutredning
etablera dem. Utredningen bedömer därutöver att regionernas arbete inom GMS med NGP visar på att regionerna prioriterar införandet av precisionsmedicin i vården och redan i dag har delar av infrastrukturen på plats. Utredningen ser det därför inte som sannolikt att regionerna skulle avvakta med att införa precisionsmedicin till förmån för eventuell statlig finansiering.
18.2.4 Konsekvenser av att enskilda kan motsätta
sig personuppgiftsbehandlingen
Utredningen föreslår att enskilda ska kunna motsätta sig personuppgiftsbehandlingen genom att motsätta sig att deras personuppgifter får tillgängliggöras till en precisionsmedicinsk databas, även kallat opt-out. Utredningen har varit i kontakt med Findata som uppgav att 500 personer i hela Finland har motsatt sig personuppgiftsbehandling 5 för samtliga ändamål i deras sekundäranvändningslagstiftning. Utredningen ser ingen anledning till att det skulle finnas en stor skillnad mellan Sverige och Finland, även om det inte är exakt samma personuppgiftsbehandling som jämförs. Om en stor andel av en patientpopulation skulle välja att motsätta sig personuppgiftsbehandlingen som följer av förslagen så skulle det kunna få långtgående negativa effekter på precisionsmedicin i allmänhet och behandlingen av samtliga patienter som kan behandlas med stöd av data från de precisionsmedicinska databaserna. Skulle det visa sig att enskilda väljer att motsätta sig personuppgiftsbehandlingen på grund av att de inte litar på den offentliga vården att hantera deras data, anser utredningen att problemet är mycket större än det som följer av implementeringen av precisionsmedicinska databaser. Om en sådan situation skulle uppstå behöver frågan om varför enskilda väljer att motsätta sig personuppgiftsbehandlingen, adresseras enligt utredningen på annat vis än att genom att begränsa möjligheterna till att motsätta sig personuppgiftsbehandlingen.
5 Diarienummer: Komm2022/00460/S 2022:04-25.
811Konsekvensutredning
18.2.5 Konsekvenser av att vissa referenser inte kan ingå
i de precisionsmedicinska databaserna
Inom precisionsmedicin finns det ett behov av att exempelvis jämföra genuppsättning mellan patienten som undersöks och friska referenser. Patientdatalagen (2008:355), hädanefter PDL, reglerar dock personuppgiftsbehandling av enbart patienter och inte personuppgiftsbehandling av friska personer, som inte är eller har varit patienter. Utredningen har därmed bedömt att det inte är vare sig lämpligt eller möjligt att lämna författningsförslag som möjliggör för att personuppgifter från friska personer, som inte är eller har varit patienter, skulle ingå i de precisionsmedicinska databaserna. Ett sådant förslag skulle innebära ett nytt omfattande regelverk och sannolikt också innebära en stor förändring av hur svensk hälsooch sjukvård fungerar. Utredningens bedömning är att det inte går att utläsa ur utredningens direktiv att regeringen önskade en sådan översyn. Utredningen har övervägt andra lagtekniska lösningar, men bedömt att dessa skulle bli svåra att tillämpa i praktiken och sannolikt leda till än fler tillämpningssvårigheter på hälsodataområdet. Utredningen bedömer att detta är en svaghet i de föreslagna precisionsmedicinska databaserna och personuppgifter från friska referenser, som inte är eller har varit patienter, kommer tills vidare behöva hanteras på annat sätt än i de precisionsmedicinska databaserna. Utredningens bedömning är att även om det inte är en tillfredsställande lösning, så är utredningens uppfattning att utredningens förslag kommer skapa tillräcklig nytta ändå och att ytterligare datamängder eller behov kommer behöva byggas på allt eftersom.
18.2.6 Konsekvenser för patienterna
För patienterna innebär förslaget att vården kan göras mer jämlik och att regionerna kan erbjuda en bättre vård till patienterna. Det innebär också att allt fler patienter kan få en diagnos och därmed också bättre behandling. Utredningen bedömer också att förslagen skapar bättre förutsättningar för en mer sammanhållen vård för patienter med exempelvis sällsynta hälsotillstånd till följd av att regleringen för datadelning blir mer centrerad kring patientens behov snarare än att ha ett mer strikt organisationsperspektiv.
812Konsekvensutredning
Förslagen kommer dock innebära att fler personer kan ta del av patienternas känsliga personuppgifter. För utredningens bedömning av enskilda val som utredningen gjort i förhållande till den personliga integriteten se kapitel 13 och 14.
Konsekvenser för barn
När det kommer till att dela hälsodata om barn finns det ett flertal faktorer som behöver tas i beaktande i större utsträckning än när hälsodata om vuxna delas. Barn har lång förväntad livslängd och insamlade data kommer sparas under lång tid. Det gör att det är än svårare att bedöma den tekniska utvecklingen som kommer ske under barnens livstid och vad det kan innebära för exempelvis den personliga integriteten. Det kan också röra sig om bifynd som i dag inte går att hantera eller som hälso- och sjukvården inte kan bedöma konsekvenserna av. Det skapar också utmaningar kopplat till rätten att inte veta om att man bär på vissa anlag för exempelvis ärftliga sjukdomar. Därutöver är det svårare för barn att fatta beslut kopplade till sina hälsodata. Enligt barnkonventionen ska barnens inflytande påverkas av ålder och mognad. Beslut kopplade till att dela sina hälsodata kan vara svåra även för vuxna. Att dela hälsodata om barn till hälso- och sjukvården kan innebära tillgång till information för hälso- och sjukvården som kan ligga till grund för att ta fram nya behandlingar för att ge ännu bättre hälsooch sjukvård till barn i framtiden. Barn som i dag får en behandling inom hälso- och sjukvården kan tillgodogöra sig sådan kunskap som hälso- och sjukvården byggt upp genom att bland annat ta del av hälsodata från tidigare patienter som utgjorts av barn. Detta gäller även vuxna, men när det kommer till barn rör det sig oftare om små populationer, vilket gör att varje individ står för en större del av alla tillgängliga data. Utöver det är det svårt att använda begreppet samtycke när det kommer till barn. När datainsamling avseende barn direkt eller indirekt är villkorad av vårdnadshavarnas inställning uppstår en situation där särskild hänsyn behöver tas. Det blir då viktigt att ett barn får information om vilka data som samlats in med föräldrarnas medgivande
813Konsekvensutredning
och att barnen, när de uppnått sådan ålder och mognad som krävs, ges möjlighet att få sina data raderade i de fall det är möjligt. Det är inte heller alltid så att det är samma typer av data som behöver samlas in för vuxna som för barn. Barn kan exempelvis få andra biverkningar av en behandling än vad vuxna får, vilket återigen visar på vikten av möjligheten att samla in relevanta data om barn. Trots dessa konsekvenser har utredningen landat i att vårdnadshavare bör ha rätt att motsätta sig sådan personuppgiftsbehandling för sina barns data. Eftersom barnpopulationen är så liten så finns det stora vinster att göra ifall data kan delas internationellt, inte helt olikt vinsterna av att dela hälsodata kopplat till personer med sällsynta hälsotillstånd. Att dela hälsodata om barn över landsgränser är juridiskt komplext och ställer även stora krav på kontroll över vilka data delas med samt hur kontrollen över datan säkerställs och den generella skyddsnivån i mottagarlandet behöver fastställas och bemötas på olika sätt. Eftersom utredningen inte lämnar författningsförslag för internationell datadelning kommer dessa behov kvarstå och förhoppningsvis omhändertas inom ramen för EHDS. För en redogörelse över mer specifika konsekvenser och utredningens avväganden kring detta se avsnitt 14.10.6.
Konsekvenser för personer som inte endast
tillfälligt saknar förmåga att ta ställning
Utredningens bedömning är att det finns personer som inte endast tillfälligt saknar förmåga att ta ställning, som kommer att påverkas av förslagen. Utredningens bedömning rent generellt är att anpassningar görs för denna grupp i dag och att det inte är samma anpassningar som behövs för alla situationer. Så utredningen har valt att beskriva specifika konsekvenser för denna grupp i avsnitt 14.10.7.
18.2.7 Risken för ändamålsglidning
Utredningens bedömning är att förslagen avseende en precisionsmedicinsk databas skapar en risk för ändamålsglidning och att det finns en risk för att personal skulle kunna utnyttja de precisionsmedicinska databaserna för att bedriva forskning utan att ha fått ett etikgodkännande.
814Konsekvensutredning
Utredningen har gjort bedömningen att denna risk redan finns i dag och bedömer att risken för att forskning ska bedrivas under ändamålet vård är låg, om än högre inom precisionsmedicinen än inom andra delar av hälso- och sjukvården. Utredningen bedömer dock att det inte är själva konstruktionen som utredningen föreslår som ger upphov till risken för ändamålsglidning utan det precisionsmedicinska arbetssättet i sig självt som innebär en förhöjd risk. Utredningens bedömning är därför att det som konstruktionen kan göra är att minska riskerna för ändamålsglidning och att inte skapa en konstruktion som ökar riskerna. I denna del har exempelvis utredningen valt att avgränsa bort olika ändamål som personuppgifterna får användas för, däribland forskning. Utredningen skulle kunna gå längre i denna del och föreslå att det ska utföras regelbundna kontroller utöver de som redan görs. Utredningen har dock bedömt att det redan i dag finns en rad skyddsmekanismer för att skydda patienter mot att personal som bedriver forskning utan etikgodkännande och att det inte funnits anledning att föreslå parallella strukturer. Om det är så att regionerna och de statliga myndigheterna skulle bedöma att ytterligare skydd krävs kopplat till det precisionsmedicinska arbetssättet så är utredningens bedömning att det då bör utredas separat. Anledningen till det är att utredningens uppdrag är inriktad på hur precisionsmedicinen ser ut i dag och vilka behov som finns just nu, samt att möjliggöra vidareanvändning. Ett arbete med ytterligare skyddsmekanismer hade behövt ta ett större och annorlunda angreppssätt som omfattade fler aktörer, en större del av vården och med fokus på patientsäkerhet och etik. Utredningen är också medveten om att det finns en debatt kring 6 begreppet beprövad erfarenhet och vad det innebär i praktiken. Utredningen bedömer dock att det inte är utredningens roll att se över begreppet beprövad erfarenhet och att det inte heller är nödvändigt för att utredningens förslag ska kunna genomföras. Slutligen gör utredningen bedömningen att de nyttor som det precisionsmedicinska arbetssättet innebär är betydande och har stor potential. Hur stor effekten av precisionsmedicinen kommer bli är svår att förutse, men potentialen är betydande och de potentiella nyttorna och kostnadsbesparingarna bedömer utredningen vida över-
6 Se exempelvis https://lakartidningen.se/aktuellt/kultur-2/2015/12/var-erfarenhet-av-beprovaderfarenhet/ (hämtat 2023-09-21).
815Konsekvensutredning
stiger de eventuella riskerna. Utredningen bedömer också att riskerna bör gå att kunna hantera och att det bara är en fråga om att anpassa sig till den nya verkligheten som precisionsmedicinen för mig sig. Detta är inte den första systemtransformationen som vården står inför och det finns ingen anledning att tro att hälso- och sjukvården inte skulle kunna hantera den systemtransformation som precisionsmedicinen innebär.
18.2.8 Konsekvenser för forskning
Även om de precisionsmedicinska databaserna inte får användas för forskning så får de uppgifter som finns i databaserna användas för forskning när de finns hos de vårdgivare som tillgängliggörs uppgifter till databaserna. Forskare skulle därmed kunna vända sig till respektive vårdgivare för att begära ut den data som tillgängliggjorts till de precisionsmedicinska databaserna. Därmed bedömer utredningen att de negativa konsekvenserna av att forskare inte får använda data som ligger i de precisionsmedicinska databaserna inte är betydande. Utredningen är dock medveten om att det skulle kunna få konsekvenser som att användningen av den precisionsmedicinska databasen blir mer begränsad samt att det finns en risk att användningen av de precisionsmedicinska databaserna inte håller samma kvalitet som de gjort om det var tvunget att följa den vetenskapliga metoden. Urvalet och sammanställningen som sker av uppgifter i en precisionsmedicinsk databas skulle också i sig kunna vara av vetenskapligt värde. Att tillåta forskning som ett ändamål för de precisionsmedicinska databaserna, som inrättas för vårdändamål, skulle i praktiken innebära att regioner skulle få föra databaser som i stora delar påminner om en sorts forskningsdatabas. Utredningen har inte haft tid att göra den juridiska utredning som hade krävts för att forskning skulle vara ett tillåtet ändamål. Utredningen bedömer att den frågan är så pass stor att den kräver en egen utredning.
816Konsekvensutredning
18.2.9 Konsekvenser av användningen
av de precisionsmedicinska databaserna
Här finns en risk med att det i förlängningen blir att beslut bygger på utfall från de precisionsmedicinska databaserna, vilket gör att databaserna skulle börja bygga på sig själva. Denna process är inte helt olik det fenomen inom bland annat AI-träning av vissa kallas modellkollaps. Om alla börjar använda AI:n så kommer data som AI:n tränas på vara genererad av den själv, vilket kan leda till att modellen börjar prestera sämre. 7 Även Statens medicinsk-etiska råd har haft liknande resonemang kopplat till AI. Om AI-stöd används för allt fler av vårdens beslut finns risk för så kallad ”automation bias”, där personalen litar alltför mycket på automatiserade bedömningssystem och slutar leta efter evidens som bekräftar eller motsäger resultaten. Risken är särskilt stor om det är system som visat sig överlag tillförlitliga. 8
Utredningen ser dock inte att detta i praktiken borde vara något större problem för precisionsmedicinen eftersom det är osannolikt att personal tar in ny kunskap enbart från den precisionsmedicinska databasen. Tvärtom ser utredningen att enklare tillgång till mer uppdaterad kunskap för personal snarare bör minska risken för att personalen använder gamla eller ineffektiva metoder och att precisionsmedicinska databaser skulle möjliggöra att ny forskning och behandlingsriktlinjer snabbare kan spridas på ett jämlikt sätt i hela landet. Utredningens bedömning är dock att det finns en uppenbar risk för ändamålsglidning framför allt i gråzonen mellan de första två typerna av sökning och den sökning som skulle falla in under klinisk forskning. Utredningen bedömer att det inte är lämpligt att databasen används för att testa nya obeprövade behandlingsmetoder.
7 Shumailov, I., Shumaylov, Z., Zhao, Y., Gal, Y., Papernot, N., & Anderson, R. (2023). The Curse of Recursion: Training on Generated Data Makes Models Forget. arXiv preprint arxiv:2305.17493. 8 Statens medicinsk-etiska råd, 2020, Kort om Artificiell intelligens i hälso- och sjukvården Smer 2020:2, s. 5.
817Konsekvensutredning
18.2.10 Konsekvenser av ändamålsbegränsningarna
för precisionsmedicinska databaserna
Utredningen har begränsat ändamålet för de precisionsmedicinska databaserna till att endast omfatta vård. Utredningens bedömning är att det kan få negativa effekter framför allt på utveckling och innovation kopplat till precisionsmedicin, eftersom dessa ändamål ligger så nära kopplade till precisionsmedicinen. Även om forskningen också ligger nära så har forskningen goda möjligheter att få ut samma data fast från den ursprungliga datahållaren som är de vårdgivare som tillgängliggjort uppgifter till en precisionsmedicinsk databas. För forskningen innebär ändamålsbegränsningen i praktiken möjligen att det tar längre tid att få tillgång till datan. Eftersom utredningen också lämnar förslag på förenklad åtkomst för den typen av forskning så bedömer utredningen också att utredningen gjort det den kunnat för att underlätta för forskare. För utveckling och innovation finns inte samma möjligheter att använda sig av informationen, framför allt inte mellan regioner inom en samverkansregion eller mellan parterna som ingår i GMS. Utredningen ser att detta är en begränsning som kan komma att innebära ett hinder för implementeringen av precisionsmedicin i Sverige. Tyvärr har utredningen inte haft möjlighet att lämna författningsförslag avseende utveckling och innovation på grund av tidsbrist.
Konsekvenser av att privata aktörer inte kan använda
de precisionsmedicinska databaserna
Privata aktörer får enligt utredningens förslag enbart tillföra personuppgifter till databasen men inte själva använda sig av den. Utredningen bedömer att det är få privata aktörer som bedriver precisionsmedicin i Sverige i dag och att det sannolikt inte kommer hinna ändras till dess att en nationell datahubb är på plats. Utredningen kan konstatera att det därmed finns låga incitament för de privata vårdgivarna att bidra med data till den precisionsmedicinska databasen vilket skulle kunna få negativa effekter till följd av minskad täckningsgrad. Utredningens bedömning är dock att andelen privata vårdgivare som bedriver sådan specialiserad vård som genererar den data som är relevant för en precisionsmedicinsk databas är liten.
818Konsekvensutredning
För det fall regionerna ser ett behov av det står det regionen fritt att ersätta de privata vårdgivarna för att rapportera in data.
18.2.11 Samkörning av personuppgifter kommer
inte att vara möjligt
En begränsning som följer av att uppgifterna är pseudonymiserade eller skyddade på likvärdigt sätt, och att det bara är vårdgivaren som tillgängliggör uppgifterna som har tillgång till kodnyckeln som möjliggör identifiering av enskilda individer, är att det inte går att samköra data i de precisionsmedicinska databaserna. En annan begränsning är att en person skulle kunna återfinnas i datasetet flera gånger om de registrerats in till den från två olika regioner. Rent teoretiskt skulle det kunna innebära att personer som återkommer flera gånger gör att databasen inte speglar den faktiska patientpopulationen. Utredningen är även av uppfattningen att samkörning av data ändå inte bör vara aktuellt för denna typ av databas. Anledningen är att alla relevanta data ska finnas i databasen och om det hade vart möjligt att samköra datan från en precisionsmedicinsk databas med andra data skulle det innebära ett integritetsintrång som går utöver det som utredningen bedömer är proportionerligt till nyttan. Att det däremot kan finnas ett behov av att samköra denna typ av data, är en annan separat fråga. Utredningen har i det fallet bedömt att ett sådant behov kommer behöva fyllas av en nationell datahubb (se kapitel 19) i sådana fall och inte av den föreslagna typen av databas. Vad gäller att en persons data kan återfinnas flera gånger i en eller flera precisionsmedicinska databaser, bedömer utredningen det som ett problem. Sannolikheten att sådan dubbelregistrering kommer att förekomma är dock liten eftersom det skulle innebära att en person vårdas med hjälp av precisionsmedicin av två olika regioner inom samma samverkansregion parallellt. Även under antagandena att ett fåtal individer skulle förekomma två gånger och att det inte skulle gå att flagga upp, är utredningens bedömning att konsekvenserna det skulle kunna få är små. Dessa konsekvenser kan därför inte anses väga så pass tungt att det skulle motivera att uppgifter i precisionsmedicinska databaser skulle behöva vara direkt identifierbara.
819Konsekvensutredning
18.2.12 Konsekvenser för det kommunala självstyret
Utredningen bedömer att förslaget inte kommer ha några negativa konsekvenser på det kommunala självstyret eftersom förslaget enbart skapar en möjlighet för regionerna och inte ställer några krav på dem. För mer specifika konsekvenser se bland annat avsnitt 13.6.
18.2.13 Konsekvenser för brottsligheten
Utredningen ser inte att det finns några direkta konsekvenser för brottsligheten. Däremot bedömer utredningen att det indirekt finns en risk att kartläggningen som de precisionsmedicinska databaserna ändock innebär, skulle kunna användas för brottsbekämpning. Utredningen bedömer dock att det i nuläget bedöms som osannolikt att det skulle uppkomma önskemål om att använda de precisionsmedicinska databaserna för brottsbekämpande ändamål. Det är mer sannolikt att sådan data som efterfrågas får tillgängliggöras direkt från vårdgivarna där dessa uppgifter redan finns i dag.
18.2.14 Konsekvenser för sysselsättning och offentlig service
i olika delar av landet
Inrättandet av de precisionsmedicinska databaserna kommer sannolikt leda till ett ökat behov av personal med såväl it-kompetens som kompetens inom dataanalys vid de myndigheter där databaserna inrättas. Detta kommer sannolikt innebära en ökning i regionerna med universitetssjukvård. Utredningens bedömning är dock att det rör sig om ett marginellt antal nya arbetstillfällen.
18.2.15 Konsekvenser för cybersäkerhet och informationssäkerhet
Regional hälso- och sjukvård hanterar redan i dag stora mängder känsliga data. Centralisering av vissa uppgifter kan leda till en ökad risk ur både cybersäkerhets- och informationssäkerhetssynpunkt eftersom det dels innebär en ytterligare personuppgiftsbehandling som innebär att data tillgängliggörs och för att det samlar en stor mängd information, som består av känsliga personuppgifter, på samma plats. Utredningens bedömning är dock att de myndigheter som kan komma
820Konsekvensutredning
att bli aktuella för att hantera precisionsmedicinska databaser redan i dag hanterar liknande databaser och att det därför inte bör innebära någon större risk än den som redan finns i dag. Utredningen har inte tagit ställning till om den cyber- och informationssäkerhet som finns inom regionerna i dag är på en lämplig nivå, då utredningen bedömt att detta ligger utanför utredningens uppdrag.
18.2.16 Konsekvenser för företag
Utredningen bedömer att förslagen kan få negativa effekter för företag, mer specifikt privata vårdgivare. Bedömningen baseras på att privata vårdgivare inte kommer ges möjlighet att vare sig inrätta eller söka i de precisionsmedicinska databaserna, bara dela med sig av uppgifter till den. Utredningens bedömning är att ingen eller väldigt liten vård som faller inom ramen för det ändamål som utredningen ser att de precisionsmedicinska databaserna ska användas för i dag bedrivs av privata vårdgivare. Lagstiftningen gör däremot att privata vårdgivare missgynnas i förhållande till offentliga vårdgivare i de fall som de bedriver precisionsmedicinsk diagnostik. Utredningen har dock bedömt att privata företag kan komma att omfattas i framtiden när en nationell datahubb är på plats. Utredningen har i sina val för utformningen av de aktuella förslagen inte bara vägt behov och integritetsaspekter, utan även vägt mellan förslag som kan komma på plats relativt snabbt eller förslag som omfattar fler aktörer och på så vis kan anses vara mer heltäckande, men då implementering troligtvis skulle kunna ske först avsevärt längre fram i tiden. Utredningen har gjort bedömningen att det inte varit möjligt att få fram förslag som håller dataskyddsrättsligt, sekretessmässigt, samt informationssäkerhetsmässigt kombinerat med en snabb implementering och inkluderingen av privata företag. Utredningen anseräven att nyttan hade varit låg jämfört med den nytta som kommer av att regionerna ges möjlighet att arbeta med precisionsmedicinska databaser.
821Konsekvensutredning
18.2.17 Konsekvenser för jämställdheten mellan
kvinnor och män
Utredningens bedömning är att förslagen inte kommer ha någon påverkan för jämställdheten mellan kvinnor och män.
18.2.18 Konsekvenser för administrationen
och dataförsörjningen
Utredningens bedömning är att administrationen kommer att påverkas på flera olika sätt och att det är svårt att på förhand bedöma hur stora effekterna kommer bli. Utredningens bedömning är att viss administration kan komma att försvinna till följd av minskat behov av dubbelregistrering till följd av att data nu kan delas i större utsträckning. Däremot kommer sannolikt administrationen öka framför allt till följd av administreringen av när patienter motsätter sig ett tillgängliggörande och administrering av utlämnande av journalhandlingar. Detta kommer dock bero mycket på hur den tekniska lösningen utformas. Utredningen bedömer att dataförsörjningen för regionerna kommer bli bättre i och med utredningens förslag. Även om en stor del av datainsamlingen i dag redan görs så möjliggör utredningen att färre uppgifter behöver registreras flera gånger och av flera olika vårdgivare. Hur administrationen kommer påverkas på varje enskild klinik och region kommer dock bero på hur regionerna väljer att implementera de precisionsmedicinska databaserna och är därför svåra att förutse.
18.3 Konsekvenser som följer av förslagen
om en ny lag om viss vidareanvändning
av personuppgifter för klinisk forskning
I korthet innebär utredningens förslag att regionala myndigheter kommer kunna tillämpa ett förenklat utlämnande i samband med klinisk forskning som kräver samtycke. Syftet är att minska administrationen kopplade till utlämnande för klinisk forskning som kräver samtycke, vilket i stor utsträckning kommer bestå av kliniska interventionsstudier.
822Konsekvensutredning
18.3.1 Kostnadsberäkningar samt ekonomiska effektiviteten
Utredningens förslag gällande forskning kommer inte innebära några tvingande kostnader för aktörerna eftersom det är frivilligt att tillämpa de nya reglerna. Däremot kommer det uppstå kostnader för berörda aktörer om de vill nyttja de nya reglerna. Exempelvis genom att hantera de integritetshöjande samtyckena, anpassa befintliga system, skapa eller köpa in system för behörighetsstyrning, skapa nya rutiner med mera. För att lärosätena ska kunna få tillgång till uppgifter från regionala myndigheter krävs att de regionala myndigheterna har inrättat ett system för själva utlämnandet, men också för behörighetsstyrningen (se bland annat avsnitt 16.7, 16.8.5), Detta innebär att kostnaderna framför allt kommer uppstå för de regionala myndigheterna inom hälso- och sjukvården som är datahållare enligt lagen, men nyttan kommer att uppstå för både de regionala myndigheter och lärosäten som bedriver klinisk forskning. Nyttan för lärosätena består främst i att forskare får enklare och potentiellt snabbare tillgång till de personuppgifter som de behöver för sin forskning. I dagsläget kan en person vara en patients läkare på förmiddagen och på eftermiddagen vara forskare och forska på samma patients data. Personen har då information om patienten som forskaren teoretiskt egentligen inte får ha tillgång till inom ramen för sin forskning. Forskaren behöver i stället begära ut uppgifterna och vänta på att få dem utlämnande. Med utredningens förslag så minskar denna gråzon och i vissa fall kommer då lagstiftningen också spegla den personuppgiftsbehandling som faktiskt sker i praktiken, det vill säga att läkaren har tillgång till personuppgifterna i sitt minne innan de lämnats ut. Fördelen med att detta nu regleras i lag är att det då går att koppla integritetsskyddande åtgärder till den aktuella personuppgiftsbehandlingen. Det skapar också en större tydlighet och förutsägbarhet för såväl den registrerade som för forskaren. Fördelen för de regionala myndigheterna kommer framför allt från minskad administration i samband med utlämnande. Utredningen har varit i kontakt med Region Stockholm och Västra Götalandsregionen (VGR) för att försöka bedöma hur mycket resurser respektive region lägger ner på utlämnande av journaluppgifter till klinisk forskning som kräver samtycke.
823Konsekvensutredning
Att bedöma kostnaden alternativt resursbehovet för denna typ av verksamhet är svår och kostnaderna för varje enskild vårdenhet kan skilja sig mycket åt beroende på vilken verksamhet som bedrivs. Regionerna har dock försökt göra en uppskattning. I korthet kan sägas att utlämnande är resurskrävande och kan delas upp i två delar. Den ena delen är själva utlämnandet som i sig tar tid. Den andra delen är all kringverksamhet till själva utlämnandet, så som att ta fram rutiner för att få till ett enhetligt utlämnande inom regionen.
Västra Götalandsregionens bedömning av kostnaderna för
utlämnande av journalhandlingar för ändamålet forskning.
Södra Älvsborgs sjukhus uppger att de lägger cirka 2,5 dagar i veckan bara åt utlämnande vilket motsvarar en halv årsarbetskraft, det vill säga cirka 750 000 kronor per år (se avsnitt 1.7.1 i bilaga 2 för mer detaljer om kostnad per årsarbetskraft). De upplever också att antalet utlämnande ökar och därmed också kostnaderna. 9 Regionhälsan i VGR uppger att utlämnande upptar en liten del av verksamhetens tid och inte bedöms vara betungande för verksamheten. 10 Sahlgrenska Universitetssjukhuset uppgav att de har fyra heltidsanställda som arbetar med utlämnande för forskning, vilket motsvarar cirka 5,2 miljoner kronor per år. 11 NU-sjukvården, som är en del av Västra Götalandsregionen bedömer att även om forskningsutlämnande är få, knappt 10 procent av samtliga utlämnanden så innebär utlämnandena ofta mycket arbete och att det inte är ovanligt att den grupp som hanterar utlämnandet får göra stora ansträngningar för att kunna lämna ut uppgifterna. 12 NU-sjukvården har inte kunnat göra någon bedömning av exakt hur mycket tid, utlämnandena tar i anspråk. Det beror bland annat på att antalet utlämnanden varierar mycket vecka till vecka och att det snarare är utlämnandets komplexitet än antal som gör utlämnandena tidskrävande. Utredningen bedömer att deras svar bekräftar det som Södra Älvsborgs sjukhus och Sahlgrenska Universitetssjukhuset uppgav om att det tar en del resurser i anspråk.
9 Diarienummer Komm2022/00460/S 2022:04. 10 Diarienummer Komm2022/00460/S 2022:04. 11 Diarienummer Komm2022/00460/S 2022:04. 12 Diarienummer Komm2022/00460/S 2022:04.
824Konsekvensutredning
Svaren som utredningen fått in täcker inte all hälso- och sjukvård i VGR. Utredningen bedömer dock att det kan användas som ett golv för att beräkna ungefär hur stora kostnaderna är. Under antagandet att NU-sjukvården lägger ner ungefär lika mycket resurser som Södra Älvsborgs sjukhus så skulle de svarande regionala myndigheterna inom VGR lägga ner minst 6,5 miljoner kronor per år på utlämnande. Under antagandet att kostnaden för utlämnande är proportionerlig till antalet invånare i regionen så skulle det innebära att kostnaden totalt i Sverige uppgår till knappt 40 miljoner kronor årligen. Beräkningen är baserad 13 på att det bor 10,52 miljoner personer i Sverige och att det bor 1,71 miljoner personer i VGR. 14 Detta är sannolikt en underskattning av kostnaderna eftersom kostnaden sannolikt inte är proportionell till antalet medborgare utan snarare till antalet regioner och antalet regionala myndigheter. Utöver det tillkommer skillnader mellan regioner som bedriver universitetssjukvård, demografisk sammansättning med mera. Om kostnaderna skulle vara proportionerliga mot antalet regioner skulle kostnaden snarare uppgå till 136,5 miljoner kronor (VGR:s 6,5 miljoner kronor gånger 21 regioner).
Region Stockholms bedömning av kostnaderna för utlämnande
av journalhandlingar för ändamålet forskning.
Utredningen har varit i kontakt med Region Stockholm för att få en uppfattning om ungefär hur mycket resurser de lägger på utlämnande av data för klinisk forskning. Region Stockholm har angett tidsåtgången för utlämnande som involverar två eller fler verksamheter. Detta innebär att alla utlämnanden som görs enbart av en verksamhet inte omfattas av deras beräkningar. Detta får till följd att kostnadsestimeringen kommer vara lägre än vad den faktiska kostnaden är. Anledningen till att dessa inte finns med är att inga sådana uppgifter har funnits att tillgå. Totalt uppgår antalet förfrågningar till cirka 200, där antalet förfrågningar är beräknad per vårdgivare eftersom varje vårdgivare själv ansvarar för exempelvis menprövning.
13 https://www.scb.se/hitta-statistik/sverige-i-siffror/manniskorna-i-sverige/sveriges-befolkning/ (hämtat 2023-09-19). 14 https://analys.vgregion.se/verksamhetsanalys-2020/befolkning-i-vastra-gotaland/ (hämtat 2023-09-19).
825Konsekvensutredning
Antalet årsarbetare som arbetar med handläggning och sekretessprövning, exklusive tidigare nämnda utlämnanden uppgår till cirka 8. Antalet årsarbetskrafter som arbetar med datauttagen är cirka 6. 15 Detta skulle innebära en kostnad motsvarande 18,2 miljoner kronor. Om samma beräkningar görs för Region Stockholm som för VGR och under antagandet att Region Stockholm har 2,44 miljoner invånare 16 så skulle kostnaden nationellt uppgå till knappt 78 miljoner kronor. Skulle samma beräkningar göras fast där kostnaderna multiplicerades med antal regioner skulle kostnaden uppgå till drygt 382 miljoner kronor. Utredningens bedömning är att Stockholm inte är en representativ region och att dessa siffror därmed blir något högre än vad den faktiska kostnaden är. Det är dock svårt att svara på exakt hur mycket högre. Det är också svårt att bedöma hur mycket Region Stockholms kostnader faktiskt är till följd av att förfrågningar som går till enbart en verksamhet har exkluderats. Det är därmed svårt att bedöma om dessa båda faktorer tar ut varandra eller om en av dem dominerar den andra. Mot bakgrund av ovan så har utredningen valt att göra känslighetsanalysen på VGR:s data. Men noterar att spannet för Region Stockholm på 78–382 miljoner kronor ändå antyder att kostnaderna för VGR skulle kunna vara något underskattade. Men osäkerheterna kring estimaten är så pass höga att det är svårt att dra några långtgående slutsatser utöver att regionerna verkar lägga ner förhållandevis mycket resurser på utlämnanden.
Känslighetsanalys
Det är svårt att säga exakt hur mycket enklare utlämnande kommer bli med utredningens förslag och hur mycket tid det kommer spara. Utredningen har därmed gjort en känslighetsanalys i figur 18.1 som visar på besparingspotentialen. På y-axeln visas årliga besparingar nationellt till följd av minskade kostnader för utlämnande av journaluppgifter till forskare för ändamålet klinisk forskning som kräver samtycke. På x-axeln anges hur många procent av administrationen som försvinner med hjälp av utredningens förslag.
15 Komm2022/00460/S 2022:04-40. 16 https://www.regionstockholm.se/verksamhet/Regional-utveckling/statistik-och-analys /befolkning/befolkningsstatistik_per_ar/ (hämtat 2023-09-27).
826Konsekvensutredning
Figur 18.1 Utredningens bedömning av den potentiella
besparingen av utredningens förslag
Besparingspotential
160 140 120 or n 100 kro 80 er ljon 60 Mi 40 20 0 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50% 55% 60% 65% 70% 75% 80% 85% 90% 95% 100% Minska arbetsbörda kopplat till utlämnande i procent till följd av utredningens förslag
Besparingsintervall Låg Hög Utredningens bedömning Källa: Utredningens beräkningar. Not: Figuren ska tolkas med försiktighet mot bakgrund av det bristande dataunderlaget.
Det har varit svårt för utredningen att göra en bedömning av hur stor effekt utredningens förslag kommer att få. Även berörda aktörer har haft svårt att bedöma hur stor effekten kan komma att bli eftersom forskningsutlämnande ofta är komplexa och det kan vara svårt att dra generella slutsatser om hur stor hjälp utredningens förslag kommer att vara för utlämnanden som rör klinisk forskning och uppfyller kraven i lagen. Utredningen kan därför inte svara på exakt hur stor besparingen kommer att bli, men kan konstatera att den sannolikt ligger något över mitten av de två estimaten. Det vill säga över drygt 88 miljoner kronor per år. Hur stor effekten blir, är svårt att säga, men utredningen bedömer att spannet 75–100 procent inte är rimligt eftersom det skulle kräva att i stort sett all administration försvann och forskare i princip gavs
827Konsekvensutredning
obehindrad tillgång, vilket inte är vad utredningen föreslår. På samma sätt bedömer utredningen att det inte är sannolikt att administrationen minskar med mindre än 10 procent. Detta innebär att utredningens bedömning är att den reella besparingen för de regionala myndigheterna ligger någonstans mellan drygt 9 miljoner kronor och 66 miljoner kronor. Estimatet är dock behäftat med betydande osäkerhet. Utredningen bedömer att estimatet är konservativt, det vill säga lågt räknat och att besparingarna sannolikt är större än så. Utöver dessa besparingar så tillkommer besparingar för de regionala myndigheter och lärosäten som bedriver klinisk forskning och som i dag lägger ner tid på att göra forskarbeställningar och begära ut underlag. Att estimera kostnaden för detta har utredningen bedömt vara så pass komplext att det sannolikt inte går att göra någon meningsfull estimering. Detta eftersom tiden som forskare lägger ner på att begära ut forskningsdata varierar kraftigt beroende på forskningsområde, hur van forskaren är av att beställa data, hur väl forskaren känner till datakällorna, omfattningen på forskningsprojektet och så vidare.
Generaliserbarheten av utredningens estimering till följd
av att utredningen enbart analyserat två regioners kostnader
för utlämnande
Det är en svaghet i analysen att utredningen enbart inkluderar två regioner som dessutom är storstadsregioner vilket påverkar hur generaliserbara utredningens estimeringar är. Utredningen har gjort bedömningen att det inte finns någon anledning att tro att dessa regioner skiljer sig åt jämfört med andra regioner. Det finns tyvärr i dagsläget begränsat med statistik för att bedöma om detta antagande stämmer. Men det finns viss statistik och Vetenskapsrådet har hjälpt utredningen med att ta fram ett underlag som visar att region Stockholm och västra Sverige ligger nära Sverigesnittet avseende ansökningstyp hos Etikprövningsmyndigheten (se tabell nedan).
828Konsekvensutredning
Tabell 18.1 Ansökningar till Etikprövningsmyndigheten
uppdelat på typ och region
Ansökningstyp Mellan- Norra Stockholm Sydöstra Södra Västra Sverige-
sverige snitt
A: En forskningshuvudman 40 % 51 % 43 % 43 % 47% 42 % 43 % B: Flera forskningshuvudmän 7 % 7 % 6 % 11 % 6 % 6 % 7 % C: Flera forskningshuvudmän (men med patienter hos en huvudman) 7 % 4 % 8 % 7 % 6 % 7 % 7 % D: Befintliga personuppgifter 36 % 30 % 30 % 34 % 32 % 34 % 32 % E: Läkemedelsprövning 11 % 8 % 13 % 4 % 10 % 10 % 10 % Källa : Vetenskapsrådets sammanställning (2023-09-13).
Denna statistik visar dock ingen uppdelning på studietyp. I dagsläget så är den enda statistik över kliniska studier uppdelat på studietyp som utredningen kunnat hitta från samverkansregionen Mellansverige. Av deras statistik framgår att 1 045 studier under 2022 var interventionsstudier, att jämföra med 853 observationsstudier. 17 Utredningen har gjort bedömningen att det inte finns anledning att tro att regionerna inom samverkansregion Mellansverige avsevärt skulle skilja sig från övriga regioner. Även om så skulle vara fallet och att inga regionala myndigheter utöver de som finns i Region Stockholm och VGR skulle ha någon administration kopplat till utlämnande av journaluppgifter för kliniska studier som kräver samtycke så gör utredningen bedömningen att besparingen som det skulle innebära för dessa två regioner är tillräckligt stor för att motivera förslagen. Att inga andra regioner utöver de två ovan nämnda regionerna skulle ha några kostnader för utlämnande av journalhandlingar för detta ändamål bedömer dock utredningen som högst osannolikt. Även VGR gjorde bedömningen att det är högst osannolikt att inga andra regioner utöver nämnda två skulle ha några kostnader för utlämnande av journal- 18 handlingar för detta ändamål.
17 https://kliniskastudier.se/forum-mellansverige/statistik-kliniska-studier/interaktiv-statistikkliniska-studier (Hämtat 2023-09-19). 18 Möte med Västra Götalandsregionen 2023-09-15.
829Konsekvensutredning
Kostnader till följd av utredningens förslag
Om regionerna väljer att använda utredningens förslag så kommer det tillkomma kostnader för att ta fram nya rutiner, dels för själva utlämnandet. Det kommer också uppstå kostnader i samband med att regionerna tar fram system för att tillgängliggöra datan för forskning. Utredningens bedömning är att kostnaderna är svåra att bedöma eftersom de kommer bero på regionernas specifika förutsättningar vid tiden för implementering. Exempelvis har utredningen fått till sig att vissa av de nya journalsystemen har eller kommer att ha en forskningsmodul som underlättar för denna typ av utlämnande. I det fall så kommer det inte uppstå några större ytterligare kostnader för regionerna. Kostnaderna kommer då primärt bestå av att det behövs en behörighetskontroll för lärosätena. Utredningen har inte tagit ställning till huruvida lärosätena bör vara med och bekosta utvecklingen av de system som krävs utan har bedömt att det är en fråga som bäst hanteras mellan den regionala myndigheten och lärosätet. Detta beslut har utredningen tagit baserat på att regionerna är olika och har olika förutsättningar och sannolikt kommer de vilja kunna tillämpa olika lösningar beroende på hur omfattande utlämnandeprocessen är för den enskilda myndigheten. Utredningen ser heller inga hinder för att regionerna antingen bekostar det själva eller att de fakturerar lärosätena för användning av systemet eller liknande.
18.3.2 Konsekvenser av att nationella kvalitetsregister
inte omfattas av utredningens förslag
Eftersom data i nationella kvalitetsregister inhämtas med så kallad opt-out och inte samtycke så omfattas de inte av utredningens förslag. Utredningens förslag ställer krav på att den forskning som ska få dra nytta av den förenklade åtkomsten är sådan forskning som förutsätter samtycke till deltagande i forskningen (se vidare kapitel 16). Det skulle kunna lämnas förslag på förenklad vidareanvändning av data i nationella och regionala kvalitetsregister men det omfattas inte av utredningens uppdrag. Konsekvenserna blir därmed att all forskning inte kan dra nytta av förslaget.
830Konsekvensutredning
18.3.3 Konsekvenser för det kommunala självstyret
Eftersom förslagen endast skapar nya möjligheter för regionerna att tillgängliggöra data så bedömer utredningen att förslagen inte kommer ha någon direkt effekt på det kommunala självstyret. Det skulle möjligen kunna uppstå en situation där fler privata aktörer som bedriver klinisk forskning vill ha med en regional myndighet som en forskningshuvudman för att kunna nyttja den förenklade tillgången till hälsodata. Detta skulle kunna innebära en marginell kostnadsökning för kommunsektorn till följd av utredningens förslag. Utredningen bedömer att det snarare bör ses som positivt att fler aktörer vill bedriva forskning tillsammans med regionerna och att regionerna därmed får ett bredare utbud av aktörer att välja mellan för olika forskningssamarbeten. Utredningen bedömer att det inte är sannolikt att regionerna kommer börja att acceptera forskningssamarbeten där de inte är en aktiv del enbart i syftet att den andra aktören ska få enklare tillgång till hälsodata. Detta bör rimligen också kunna identifieras av Etikprövningsmyndigheten i samband med att etikprövning av aktuell forskning görs.
18.3.4 Konsekvenser cybersäkerhet och informationssäkerhet
Utredningens bedömning är att cybersäkerheten kan påverkas, men att det till stor del beror på hur regionerna väljer att utveckla systemen. Utredningen gör antagandet att regionerna har ett fungerande cybersäkerhetsskydd och tillhörande rutiner för att skydda patientdata och att de säkerställer att det finns ett adekvat säkerhetsskydd när de köper in eller utvecklar nya system. Utredningens bedömning är att förslaget gällande forskning kommer ha både positiva och negativa effekter på informationssäkerheter. Eftersom utredningens förslag enbart avser utlämnande i digital form så kommer denna typ av utlämnande inte ske på papper, vilket är fallet i vissa situationer i dag. Denna information brukar då oftast behöva göras digital igen när forskaren tar emot den. Detta gör att utredningens förslag, allt annat lika, uppnår samma utfall utan att det också finns papperskopior som ska hämtas och lämnas och som oftast behöver förvaras fysiskt. Att de i dag många gånger behöver lagras fysiskt och digitalt gör att det finns på ett ställe mer än de hade behövts, vilket ökar risken för att informationen kommer obehöriga till del.
831Konsekvensutredning
Det finns dock en risk för att ett intrång skulle kunna ske i samband med det digitala utlämnandet för de dokument som normalt sett inte lämnas ut digitalt. Utredningen bedömer dock att det redan i dag finns system för digital datadelning av exakt samma uppgifter, exempelvis för sammanhållen journalföring. Därav bedömer utredningen att det är osannolikt att digitala utlämnande för forskning skulle innebära en större informationssäkerhetsrisk än den för exempelvis sammanhållen journalföring. Åtkomsten, särskilt med hänsyn till överskottsinformationen, en risk för obehörigt röjande och en otillbörlig spridning. I det hänseendet utgör förslaget inte bara en integritetsrisk utan även ett potentiellt brott mot sekretessen (se vidare i kapitel 16 och proportionalitetsbedömningen där). Utredningen har gjort bedömningen att den föreslagna bestämmelsen om behörighetsstyrning och absolut sekretess utgör sådana åtgärder som medför att riskerna blir avsevärt mindre, eftersom det kan utgöra ett brott mot tystnadsplikt att röja sådan information. I övrigt gäller att otillåten behandling kommer att utgöra ett brott om dataintrång, se 4 kap. 9 c § brottsbalken. I sammanhanget kan det även vara relevant att de personer som kommer komma i kontakt med uppgifterna både på datahållarsidan respektive dataanvändarsidan enligt utredningens uppfattning bör vara utbildade i sekretessfrågor.
18.3.5 Konsekvenser för aktörer som bedriver forskning
Förslagen gällande förenklat utlämnande för klinisk forskning från regionala myndigheter kommer göra att regionala myndigheter och lärosäten får en fördel gentemot andra forskningshuvudmän så som privata företag. Denna fördel kan upplevas som orättvis, utredningen bedömer dock att integritetsintrånget och riskerna det skulle innebära att låta fler aktörer använda sig av de mer generösa reglerna inte står i proportion till nyttan. Utredningen bedömer i stället att om andra aktörer skulle argumentera för att få tillgång till förenklat utlämnande så bör den frågan ses över i samband eller efter inrättandet av en nationell datahubb. Utredningen har försökt hitta data över hur stor andel av alla kliniska studier som kommer omfattas av utredningens förslag. Etik-
832Konsekvensutredning
prövningsmyndigheten har ett pågående arbete med att ta fram mer detaljerad nationell statistik för kliniska studier. Tyvärr finns deras system ännu inte på plats och därmed finns inte heller några data. Utredningen har därför i stället vänt sig till Kliniska studier Sverige som hänvisade till kliniska studier i sjukvårdsregion Mellansverige som har viss statistik över kliniska studier. 19 Antalet studier som redogörs för i rapporten kan vara dubbelräknade eftersom studier som pågår i två regioner rapporteras in som två studier. I rapporten framgår att av de 2 175 studier som pågick så var 1 902 unika studier. Det bör dock noteras att dataunderlaget enbart avser 7 av 21 regioner 20 och fördelningen kan se annorlunda ut i övriga 14 regioner. Därmed bör siffrorna tolkas med viss försiktighet. Utredningen bedömer dock att dataunderlaget trots sina begränsningar ändå kan ge en tillräckligt bra bild av fördelningen av kliniska studier uppdelat per typ av studie. Antalet interventionsstudier, som alltså är den typen av studier där utredningens förslag är aktuella, stod 2022 som redogörs för ovan för cirka 48 procent av alla kliniska studier.
18.3.6 Konsekvenser för företag
Utredningens förslag gällande forskning kommer inte få några direkta effekter på företagen utöver att handläggningstiderna för datauttag eventuellt kan komma att minska något. Däremot kommer det indirekt innebära att de aktörer som omfattas av förslaget får en fördel och därmed får företagen det sämre relativt än de forskningshuvudmän eller motsvarande enligt EU-förordningarna som kan nyttja de nya reglerna. Detta gäller även privata vårdgivare som inte heller omfattas av förslaget. Utredningen bedömer dock att avgränsningen är proportionerlig och att nyttan totalt sett väger tyngre än den eventuella nackdel som företagen drabbas av. Utredningen bedömer också att merparten av den forskning som kommer vara aktuell bedrivs vid regionsjukhusen (universitetssjukhusen). Utredningens förslag avseende klinisk forskning avser snarare att tillmötesgå regionernas och lärosätenas behov och regeringens målsättning om att minska admi-
19 Kliniska Studier Sverige Forum Mellansverige, 2022, Kliniska studier i sjukvårdsregion Mellansverige 2022. 20 Region Dalarna, Region Gävleborg, Region Sörmland, Region Uppsala, Region Värmland, Region Västmanland, Region Örebro län.
833Konsekvensutredning
nistrationen i hälso- och sjukvården snarare än regeringens ambition om att öka antalet företagsinitierade kliniska studier i Sverige. Utredningen bedömer att åtgärder för att öka antalet företagsinitierade kliniska prövningar snarare finns inom arbetet med en nationell datahubb (se kapitel 19–21).
18.3.7 Konsekvenser för jämställdheten mellan
kvinnor och män
Utredningens bedömning är att förslagen inte kommer ha någon påverkan för jämställdheten mellan kvinnor och män.
18.3.8 Konsekvenser för dataförsörjningen
Utredningens bedömning är att förslaget avseende forskning kommer ha positiva effekter på forskares tillgång till data. Utredningen bedömer att de data som kan komma att bli aktuella med anledning av förslagen är data som redan samlas in och därmed kommer förslagen i sig själva inte kräva att nya datamängder samlas in. Däremot kan förslagen ha indirekta effekter på datainsamlingen då det blir lättare att forska och ta del av data, vilket kan skapa tryck på att mer data samlas in, exempelvis genom att forskningen effektiviseras och att antalet kliniska studier skulle kunna öka alternativt att fler bedömer att det är lönt att begära ut data från de regionala myndigheterna.
18.3.9 Konsekvenser av att integritetshöjande samtycke
krävs för tillgängliggörande enligt lagen
Det kommer finnas situationer där forskare inte får samtycke av samtliga forskningspersoner för att få begränsad direktåtkomst med stöd av utredningens förslag. I dessa fall kommer forskarna kunna ta del av data för vissa personer via begränsad direktåtkomst och för de som inte samtyckt kommer de behöva begära data ut enligt allmänna regler. I praktiken skulle det kunna innebära att det blir lättare att då begära ut samtliga uppgifter enligt allmänna regler, alternativt välja att inte inkludera de som inte vill tillgängliggöra sina data enligt de nya reglerna.
834Konsekvensutredning
Utredningen har inte kunnat göra en mer grundlig bedömning om hur vanligt förekommande detta kan anas komma att vara. Av de regioner och patientföreningar som utredningen lyft frågan med så verkar det som att detta skulle höra till ovanligheterna. Utredningen bedömer därför att detta sannolikt kommer bli aktuellt i ett fåtal fall och bedömer att risken för att det integritetshöjande samtycket skulle få långtgående negativa konsekvenser för individer eller forskare är små.
18.3.10 Observationsstudier omfattas inte
Utredningens förslag omfattar inte observationsstudier. Att inkludera dessa hade krävt ytterligare utredning som det inte funnits tid för. Detta är en konsekvens som kommer göra att de som bedriver observationsstudier allt annat lika kommer ha strängare regler än de som bedriver kliniska studier som kräver samtycke. Att utöka lagen till att inkludera observationsstudier skulle enligt utredningens bedömning kräva en egen utredning.
18.4 Övriga konsekvenser som rör utredningens
båda förslag
Eftersom utredningen har arbetat utifrån en målbild om ett mer sammanhållet hälsodataområde gällande organisation, styrning och lagstiftning både inom och mellan sektorer så finns det vissa konsekvenser som är gemensamma för båda utredningens förslag. Detta är konsekvenser som kommer av den förflyttning på hälsodataområdet som Sverige är inne i och där gränserna mellan exempelvis vård och forskning kan upplevas bli otydligare.
18.4.1 Konsekvenser för verksamhet som bedriver
vård, forskning, utveckling och innovation
Av direktiven framgår att det regleringen kring personuppgiftsbehandlingen i situationer där vård, forskning, utveckling och innovation bedrivs samtidigt är svår och inte i alla delar enhetlig (Dir. 2022:41 s. 4). De förslag som utredningen lämnar går i linje med det som regeringen
835Konsekvensutredning
angav i datastrategin om att personuppgiftsbehandlingen ska fokusera mer på individen och behoven snarare än organisationen. 21 Utredningens förslag berör dock enbart vård och forskning och utredningens förslag omfattar inte utveckling och innovation. Utredningens bedömning är därför att mer arbete kommer att krävas dels för vård och forskning, men framför allt för utveckling och innovation för att nå målbilden som regeringen ger uttryck för i datastrategin se redogörelsen i kapitel 19–23.
18.4.2 Konsekvenser avseende regeltätheten
när det gäller samtycken
Det finns i dag en rad olika samtycken inom vård och klinisk forskning, dessa beskrivs mer utförligt i bilaga 3. Samtycken inom vård och klinisk forskning. Utredningens förslag bidrar till att öka komplexiteten i lagstiftningen genom att lägga till ytterligare samtycken. Detta kan få negativa konsekvenser i form av att lagstiftningen blir mer komplex och därmed svårare att tillämpa. Utredningen har dock gjort bedömningen att möjligheten till att kunna samtycka vägt tyngre än eventuella vinster till följd av en mindre komplex lagstiftning. Utredningen har vidare bedömt att det inte legat inom ramen för utredningens uppdrag att se över och ensa bland samtycken i berörd lagstiftning utan att det då möjligen kan anses falla in under konkreta tillämpningssvårigheter.
21 Regeringskansliet, 2021, Data – en underutnyttjad resurs för Sverige (s. 10).
837Statens offentliga utredningar 2023
Kronologisk förteckning
1. Skärpta straff för flerfaldig brottslig- 17. En tydligare bestämmelse om hets het. Ju. mot folkgrupp. Ju. 2. En inre marknad för digitala tjänster 18. Värdet av vinden. Kompensation, – ansvarsfördelning mellan myndig- incitament och planering för heter. Fi. en hållbar fortsatt utbyggnad av 3. Nya regler om nödlidande kreditavtal vindkraften. Del 1 och 2. KN. och inkassoverksamhet. Ju. 19. Statlig forskningsfinansiering. 4. Posttjänst för hela slanten. Underlagsrapporter. U. Finansieringsmodeller för framtidens 20. Förbud mot bottentrålning i marina samhällsomfattande posttjänst. Fi. skyddade områden. LI. 5. Från delar till helhet. Tvångsvården 21. Informationsförsörjning på som en del av en sammanhållen och skolområdet. Skolverkets ansvar. U. personcentrerad vårdkedja. S. 22. Datalagring och åtkomst till 6. En lag om tilläggsskatt för företag elektronisk information. Ju. i stora koncerner. Fi. 23. Ett modernare socialförsäkringsskydd 7. På egna ben. för gravida. S. Utvecklad samverkan för individers 24. Etablering för fler – jämställda möjligetablering på arbetsmarknaden. A. heter till integration. A. 8. Arbetslivskriminalitet – arbetet 25. Kunskapskrav för permanent uppei Sverige, en bedömning av omfatt- hållstillstånd. Ju. ningen, lärdomar från Danmark och 26. Översyn av entreprenörsansvaret. A. Finland. A. 27. Kamerabevakning för ett bättre djur- 9. Ett statligt huvudmannaskap skydd. LI. för personlig assistans. Ökad likvärdighet, långsiktighet 28. Samhället mot skolattacker. U. och kvalitet. S. 29. Varje rörelse räknas – hur skapar 10. Tandvårdens stöd till våldsutsatta vi ett samhälle som främjar fysisk patienter. S. aktivitet? S. 11. Tillfälligt miljötillstånd för 30. Ett trygghetssystem för alla. Nytt samhällsviktig verksamhet regelverk för sjukpenninggrundande – för ökad försörjningsberedskap. KN. inkomst. S. 12. Förstärkt skydd för demokratin 31. Framtidens yrkeshögskola och domstolarnas oberoende. Ju. – stabil, effektiv och hållbar. U. 13. Patientöversikter inom EES och 32. Biometri – för en effektivare Sverige. S. brottsbekämpning. Ju. 14. Organisera för hållbar utveckling. 33. Ett förbättrat resegarantisystem. Fi. KN. 34. Bolag och brott – några åtgärder 15. Förnybart i tanken. Ett styrmedels- mot oseriösa företag. Ju. förslag för en stärkt bioekonomi. LI. 35. Nya regler om hållbarhetsredovisning. 16. Staten och betalningarna. Ju. Del 1 och 2. Fi. 36. Genomförande av minimilönedirektivet. A.
83837. Förstärkt skydd för den personliga 54. Centraliseringen av administrativa
integriteten. Behovet av åtgärder mot tjänster till Statens servicecenter
oskuldskontroller, oskuldsintyg och – en utvärdering. Fi.
oskuldsingrepp samt omvändelseför- 55. Vem äger fastigheten. Ju.
sök. Ju. 56. Några smittskyddsfrågor inom social- 38. Ett förstärkt konsumentskydd tjänsten och socialförsäkringen. S.
mot riskfylld kreditgivning 57. Åtgärder för tryggare och överskuldsättning. Fi. bostadsområden. Ju. 39. En inre marknad för digitala tjänster 58. Kultursamhället – utvecklad sam- – kompletteringar och ändringar i verkan mellan stat, region och svensk rätt. Fi. kommun. Ku. 40. Förbättrade möjligheter för barn att 59. Ny myndighetsstruktur för utkräva sina rättigheter enligt barnfinansiering av forskning och konventionen. S. innovation. U. 41. Förutsättningarna för en ny kollektiv- 60. Utökade möjligheter att använda avtalad arbetslöshetsförsäkring. A. preventiva tvångsmedel 2. Ju. 42. Ett modernare regelverk för legalise- 61. En säker och tillgänglig ringar, apostille och andra former av statlig e-legitimation. Fi. intyganden. UD. 62. Vi kan bättre! 43. En samordnad registerkontroll Kunskapsbaserad narkotikapolitik för upphandlande myndigheter med liv och hälsa i fokus. S. och enheter. Fi. 63. Sveriges säkerhet i etern. Ku. 44. En översyn av regleringen om frihetsberövande påföljder för unga. Ju. 64. Ett förändrat regelverk för framtidens
el- och gasnät. KN. 45. Övergångsrestriktioner – ökat förtroende för offentlig verk- 65. Bättre information om hyresbostäder.
samhet. Fi. Kartläggning av andrahands-
marknaden och ett förbättrat lägen- 46. Jakt och fiske i renbetesland. LI. hetsregister. LI. 47. En utvecklad arbetsgivardeklaration 66. För barn och unga i samhällsvård. S. – åtgärder mot missbruk av välfärdssystemen. Fi. 67. Anonyma vittnen. Ju.
48. Rätt förutsättningar för sjukskriv- 68. Som om vi aldrig funnits
ning. S. – exkludering och assimilering av
tornedalingar, kväner och lantalaiset. 49. Skyddet för EU:s finansiella intressen. Aivan ko meitä ei olis ollukhaan Ändringar och kompletteringar i svensk – eksklyteerinki ja assimileerinki rätt. Fi. tornionlaaksolaisista, kväänistä ja 50. En modell för svensk försörjnings- lantalaisista. Slutbetänkande .
beredskap. Fö. Som om vi aldrig funnits.
51. Signalspaning i försvars- Vår sanning och verklighet.
underrättelseverksamhet Aivan ko meitä ei olis ollukhaan.
– frågor med anledning Meän tottuus ja toelisuus.
av Europadomstolens dom. Fö. Intervjuberättelser .
52. Ett stärkt och samlat skydd Som om vi aldrig funnits.
av välfärdssystemen. S. Tolv tematiska forskarrapporter.
Aivan ko meitä ei olis ollukhaan. 53. En ändamålsenlig arbetsskadeförsäk- Kakstoista temattista tutkintoraporttia. ring – för bättre ekonomisk trygghet, Forskarrapporter . Ku. kunskap och rättssäkerhet. Volym 1 och 2. S. 69. Ökat informationsflöde till
brottsbekämpningen. En ny huvud-
regel. Ju.
83970. Ordning och reda – förstärkt och tillförlitlig byggkontroll. LI. 71. Speciallivsmedel till barn inom öppen hälso- och sjukvård. S. 72. En enklare hantering av vattenfrågor vid planläggning och byggande. LI. 73. Genomförandet av vaccineringen mot sjukdomen covid-19 – en utvärdering. S. 74. Förenklade förutsättningar för ett hållbart vattenbruk. LI. 75. Stärkt konstitutionell beredskap. Ju. 76. Vidareanvändning av hälsodata för vård och klinisk forskning. S.
840Statens offentliga utredningar 2023
Systematisk förteckning
Arbetsmarknadsdepartementet Skyddet för EU:s finansiella intressen. På egna ben. Ändringar och kompletteringar Utvecklad samverkan för individers i svensk rätt. [49] etablering på arbetsmarknaden. [7] Centraliseringen av administrativa tjänster Arbetslivskriminalitet – arbetet i Sverige, till Statens servicecenter en bedömning av omfattningen, – en utvärdering. [54] lärdomar från Danmark och Finland. [8] En säker och tillgänglig Etablering för fler – jämställda möjligheter statlig e-legitimation. [61] till integration. [24] Översyn av entreprenörsansvaret. [26] Försvarsdepartementet Genomförande av minimilönedirektivet. En modell för svensk försörjnings- [36] beredskap. [50] Förutsättningarna för en ny kollektiv- Signalspaning i försvarsavtalad arbetslöshetsförsäkring. [41] underrättelseverksamhet – frågor med anledning av Europadomstolens dom. [51]
Finansdepartementet
En inre marknad för digitala tjänster
Justitiedepartementet
– ansvarsfördelning mellan myndigheter. [2] Skärpta straff för flerfaldig brottslighet. [1] Posttjänst för hela slanten. Nya regler om nödlidande kreditavtal och Finansieringsmodeller för framtidens inkassoverksamhet. [3] samhällsomfattande posttjänst. [4] Förstärkt skydd för demokratin En lag om tilläggsskatt för företag i stora och domstolarnas oberoende. [12] koncerner. [6] En tydligare bestämmelse om hets mot Staten och betalningarna. Del 1 och 2. [16] folkgrupp. [17] Ett förbättrat resegarantisystem. [33] Datalagring och åtkomst till elektronisk information. [22] Ett förstärkt konsumentskydd mot riskfylld kreditgivning Kunskapskrav för permanent uppehållsoch överskuldsättning. [38] tillstånd. [25] En inre marknad för digitala tjänster - Biometri – för en effektivare kompletteringar och ändringar brottsbekämpning. [32] i svensk rätt. [39] Bolag och brott – några åtgärder En samordnad registerkontroll mot oseriösa företag. [34] för upphandlande myndigheter Nya regler om hållbarhetsredovisning. [35] och enheter. [43] Förstärkt skydd för den personliga Övergångsrestriktioner – ökat förtroende integriteten. Behovet av åtgärder för offentlig verksamhet. [45] mot oskuldskontroller, oskuldsintyg En utvecklad arbetsgivardeklaration och oskuldsingrepp samt omvändelse- – åtgärder mot missbruk av försök. [37] välfärdssystemen. [47]. En översyn av regleringen om frihetsberövande påföljder för unga. [44]
841Vem äger fastigheten. [55] Förbud mot bottentrålning i marina Åtgärder för tryggare bostadsområden. skyddade områden. [20]
[57] Kamerabevakning för ett bättre Utökade möjligheter att använda djurskydd. [27]
preventiva tvångsmedel 2. [60] Jakt och fiske i renbetesland. [46]
Anonyma vittnen. [67] Bättre information om hyresbostäder. Ökat informationsflöde till Kartläggning av andrahandsbrottsbekämpningen. En ny marknaden och ett förbättrat lägenhuvudregel. [69] hetsregister. [65]
Stärkt konstitutionell beredskap. [75] Ordning och reda – förstärkt och tillförlitlig byggkontroll. [70]
En enklare hantering av vattenfrågor vid
Klimat- och näringslivsdepartementet
planläggning och byggande. [72] Tillfälligt miljötillstånd för Förenklade förutsättningar samhällsviktig verksamhet för ett hållbart vattenbruk. [74] – för ökad försörjningsberedskap. [11]
Organisera för hållbar utveckling. [14]
Socialdepartementet
Värdet av vinden. Kompensation, incitament och planering för Från delar till helhet. Tvångsvården en hållbar fortsatt utbyggnad av som en del av en sammanhållen och vindkraften. Del 1 och 2. [18] personcentrerad vårdkedja. [5]
Ett förändrat regelverk för framtidens Ett statligt huvudmannaskap el- och gasnät. [64] för personlig assistans. Ökad likvärdighet, långsiktighet och kvalitet. [9]
Kulturdepartementet
Tandvårdens stöd till våldsutsatta Kultursamhället – utvecklad samverkan patienter. [10] mellan stat, region och kommun. [58] Patientöversikter inom EES och Sverige. Sveriges säkerhet i etern. [63] [13] Som om vi aldrig funnits Ett modernare socialförsäkringsskydd för – exkludering och assimilering av gravida. [23] tornedalingar, kväner och lantalaiset. Varje rörelse räknas – hur skapar vi ett Aivan ko meitä ei olis ollukhaan samhälle som främjar fysisk aktivitet? – eksklyteerinki ja assimileerinki [29] tornionlaaksolaisista, kväänistä ja lantalaisista. Slutbetänkande . Ett trygghetssystem för alla. Nytt Som om vi aldrig funnits. regelverk för sjukpenninggrundande Vår sanning och verklighet. inkomst. [30]
Aivan ko meitä ei olis ollukhaan. Förbättrade möjligheter för barn att Meän tottuus ja toelisuus. utkräva sina rättigheter enligt barn- Intervju berättelser . konventionen. [40] Som om vi aldrig funnits. Rätt förutsättningar för sjukskrivning. [48] Tolv tematiska forskarrapporter. Ett stärkt och samlat skydd Aivan ko meitä ei olis ollukhaan. av välfärdssystemen. [52] Kakstoista temattista tutkintoraporttia. Forskarrapporter . [68] En ändamålsenlig arbetsskadeförsäkring – för bättre ekonomisk trygghet, kunskap och rättssäkerhet. Volym 1
Landsbygds- och infrastrukturdepartementet
och 2. [53] Förnybart i tanken. Ett styrmedelsförslag Några smittskyddsfrågor inom socialför en stärkt bioekonomi. [15] tjänsten och socialförsäkringen. [56]
842Vi kan bättre! Kunskapsbaserad narkotikapolitik med liv och hälsa i fokus. [62] För barn och unga i samhällsvård. [66] Speciallivsmedel till barn inom öppen hälso- och sjukvård. [71] Genomförandet av vaccineringen mot sjukdomen covid-19 – en utvärdering. [73] Vidareanvändning av hälsodata för vård och klinisk forskning. [76]
Utbildningsdepartementet
Statlig forskningsfinansiering. Underlagsrapporter. [19] Informationsförsörjning på skolområdet. Skolverkets ansvar. [21] Samhället mot skolattacker. [28] Framtidens yrkeshögskola – stabil, effektiv och hållbar. [31] Ny myndighetsstruktur för finansiering av forskning och innovation. [59]
Utrikesdepartementet
Ett modernare regelverk för legaliseringar, apostille och andra former av intyganden. [42]