SOU 2015:84 Organdonation En livsviktig verksamhet

Transkript

1 Yttrande Diarienr 1 (10) Ert diarienr S2015/06250/FS Socialdepartementet Stockholm SOU 2015:84 Organdonation En livsviktig verksamhet Sammanfattning Datainspektionen har granskat förslaget främst utifrån sin uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Datainspektionens tillstyrker i allt väsentligt utredningens förslag till förordning om donationsregister men anser att förordningen bör kompletteras med ett antal av Patientdatautredningens tidigare förslag i slutbetänkandet Patientdata och läkemedel m.m. (SOU 2007:48). Datainspektionen har i huvudsak inga invändningar mot de ändringar och tillägg som föreslås i lagen (2012:263) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ. Datainspektionen ifrågasätter dock om förslagen medger att behörig personal får tillgång till och möjlighet att lämna ut nödvändiga personuppgifter till Scandiatransplants databas. Med hänsyn till att Scandiatransplant fyller en viktig samhällsfunktion inom de skandinaviska länderna är det allvarligt att de rättsliga förutsättningarna för informationsutbyte inte är bättre utredda. Datainspektionen avstyrker att det i lag (1995:831) om transplantation m.m. införs en bestämmelse som innebär att samtycke till donation ska omfatta behandling av de personuppgifter som krävs för mottagarens säkerhet. Postadress: Box 8114, Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: Telefon:

2 Datainspektionen Diarienr (10) 18 Donationsregistret 18.4 Registrets rättsliga ställning och reglering Förslag till förordning Patientdatautredningen föreslog i sitt slutbetänkande Patientdata och läkemedel m.m. (SOU 2007:48) att donationsregistret skulle regleras i en förordning. Datainspektionen föreslog i sitt remissvar (dnr ) endast ett förtydligande av tillåtna sökbegrepp och hade inte några synpunkter i övrigt. Förslaget genomfördes dock aldrig. Det förslag som nu framförs skiljer sig i vissa centrala delar från det tidigare förslaget och Datainspektionen lämnar därför följande synpunkter. Patientdatautredningen föreslog att det uttryckligen skulle framgå att uppgifter i donationsregistret inte skulle få behandlas för några andra ändamål än de som räknades upp i förordningsförslaget. Som motivering anfördes att det finns risk för att användandet av uppgifterna i donationsregistret för andra ändamål, till exempel forskning och statistik, kan ha en hämmande effekt när det gäller personers vilja att anmäla sig till registret och att det skulle kunna vara till nackdel för transplantationsverksamheten (SOU 2007:48, s. 255). Någon sådan bestämmelse finns inte med i det nuvarande förslaget. Datainspektionens uppfattning är att det tidigare förslaget bör införas. Datainspektionen anser också att det i 4 förslag till förordning, i likhet med Patientdatautredningens förslag, bör anges att donationsregistret endast får innehålla uppgifter om enskilda som anmält sig till registret eller som anmälts av vårdnadshavare. Av den nu föreslagna formuleringen framgår det inte att det endast är den enskilde själv, eller vårdnadshavare, som kan göra en anmälan till registret. Det är tveksamt om uppgifter som samlats in med stöd av vårdnadshavares samtycke kan fortsätta att behandlas med stöd av detta samtycke när den registrerade är myndig och vårdnadshavaren inte längre är behörig att samtycka för den registrerades räkning. Det bör därför övervägas om barn, som anmälts till donationsregistret av sin vårdnadshavare, bör erhålla särskild information om registreringen i samband med att barnet blir myndigt eller om en sådan anmälan bör sluta gälla i samband med att barnet blir myndigt.

3 Datainspektionen Diarienr (10) Enligt 5 förslag till förordning får Socialstyrelsen endast medge direktåtkomst till uppgifterna i donationsregistret till berörd personal vid sådana sjukhus och andra enheter där ingrepp enligt lagen (1995:831) om donation av organ och annat biologiskt material för transplantation får utföras. Datainspektionen har förstått att enskilda idag kan ta del av uppgifter om sig själva genom direktåtkomst. Om avsikten är att Socialstyrelsen ska ge enskilda direktåtkomst till uppgifter om sig själva krävs att en särskild bestämmelse införs om detta (jfr 5 kap. 5 patientdatalagen (2008:355)). I 6 förslag till förordning anges att direktåtkomst till uppgifter i donationsregistret ska vara tillåten i samband med samtyckesutredning enligt 4 a-b lagen om donation av organ och annat biologiskt material för transplantation. Det innebär att direktåtkomst till donationsregistret blir tillåten innan en person har avlidit, men efter att behandlade läkare i samråd med en annan läkare fattat beslut att inte inleda eller att inte fortsätta livsuppehållande behandling vilket är en utvidgning i förhållande till vad som gäller idag. Anledningen till förslaget är att möjliggöra fortsatta medicinska insatser för att ge bättre förutsättningar för organdonation för det fall patienten har samtyckt till det. Eftersom det inte föreslås att förordningen ska innehålla särskilda bestämmelser om information till registrerade blir bestämmelsen om information i 25 personuppgiftslagen (1998:204) tillämplig, se 2 förslag till förordning. För att ett samtycke ska vara giltigt enligt personuppgiftslagen krävs att information har lämnats om personuppgiftsbehandlingen innan samtycket inhämtas. Datainspektionen vill framhålla vikten av att information om förutsättningarna för direktåtkomst lämnas till samtliga registrerade i donationsregistret och att tydlig information utformas och tillgängliggörs för de som vill registrera sin ståndpunkt i framtiden. Patientdatautredningen föreslog att endast den registrerades personnummer skulle få användas som sökbegrepp. Datainspektionen anser att denna begränsning bör införas då det, mot bakgrund av de ändamål för vilka uppgifterna behandlas i registret, inte torde finnas anledning att använda andra sökbegrepp. Annars bör det klargöras vilka andra sökbegrepp som bör få användas och i vilket syfte. I det aktuella förslaget saknas också en bestämmelse om rättelse och skadestånd (se patientdatautredningens tidigare förslag). Bestämmelserna om rättelse och skadestånd i 28 och 48 personuppgiftslagen gäller endast

4 Datainspektionen Diarienr (10) för uppgifter som behandlats i strid med bestämmelserna i personuppgiftslagen och inte enligt annan reglering gällande behandling av personuppgifter. Att uppgifter som behandlas ska vara korrekta är ett grundläggande krav för all personuppgiftsbehandling enligt 9 personuppgiftslagen och art 6.1 Europaparlamentets och rådets direktiv 95/46/EG av de 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (nedan dataskyddsdirektivet). Rätten till rättelse är en grundläggande rättighet för den registrerade enligt art. 12 dataskyddsdirektivet. Enligt art. 23 dataskyddsdirektivet ska medlemsstaterna föreskriva att var och en som lidit skada till följd av en otillåten behandling eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av direktivet, har rätt till ersättning av den registeransvarige för den skada som han har lidit. Datainspektionens uppfattning är, mot bakgrund av kraven i dataskyddsdirektivet, att den registrerade måste ha samma möjligheter att få personuppgifter rättade och att erhålla skadestånd vid behandling av personuppgifter i strid mot förordningen om donationsregister som vid behandling i strid mot personuppgiftslagen. 20 Registrering av patientdata vid organdonation 20.3 Utredningens förslag till en ny reglering Vilken personuppgiftsbehandling omfattas av den föreslagna regleringen? Tillämpningsområdet för lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ är enligt 3 donation, kontroll, karakterisering, tillvaratagande, bevarande, transport och transplantation av mänskliga organ avsedda för transplantation. De uppgifter som enligt författningsförslaget ska registreras av vårdgivaren är uppgifter om givare och mottagare av organ, kontroller som utförts på de organ som transplanteras och de vårdgivare som skickat eller mottagit organ. Lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ tillkom för att uppfylla Europaparlamentets och Rådets direktiv 2010/45/EU av den 7 juli 2010 om kvalitets- och säkerhetsnormer för mänskliga organ avsedda för transplantation. Syftet med direktivet är att säkerställa en hög hälsoskyddsnivå för människor genom att ha kvalitets- och säkerhetsnormer för mänskliga organ avsedda för transplantation till människokroppen. En

5 Datainspektionen Diarienr (10) mottagare är, enligt art. 3 direktivet, en person som mottar ett organ som transplanteras. Det finns inte någon definition av begreppet mottagare i lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ. Enskilda som är i behov av transplantation och är uppsatta på så kallade väntelistor är således inte mottagare enligt direktivets definition och behandling av personuppgifter om dessa individer omfattas således inte av regleringen eftersom denna enbart avser givare och mottagare. Enligt förslaget till 7 a tredje stycket lag om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ får endast uppgift om mottagares identitet behandlas, utöver vissa uppgifter om donatorn. Trots detta anges i andra stycket samma paragraf i förslaget att registret får ha till ändamål att hitta lämplig mottagare. Detta innebär att bestämmelsen blir motsägelsefull. Om lagen ska omfatta även personer som är i behov av transplantation måste det regleras tydligare. En sådan reglering kräver också att det sker en analys av vilka uppgifter som behöver behandlas, skälen till detta, vilket rättsligt stöd som finns för behandlingen och vilka konsekvenser det kan få för den enskilde. Lagens förhållande till personuppgiftslagen och patientdatalagen Utredningen berör inte frågan om förhållandet mellan lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ och personuppgiftslagen respektive patientdatalagen. I vissa avsnitt tycks dock utredningen utgå ifrån att patientdatalagen är tillämplig och kompletterar lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ avseende behandling av personuppgifter. Enligt 4 lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ gäller personuppgiftslagen vid behandling av personuppgifter om inget annat följer av lagen eller föreskrifter som har meddelats med stöd av lagen. Patientdatalagen är alltså inte tillämplig på den behandling av personuppgifter som följer av lagen vilket torde innebära att vårdgivaren måste ha väl avgränsade system för hanteringen av uppgifter enligt patientdatalagen respektive nu aktuell lagstiftning. Patientdatalagen måste dock givetvis tillämpas parallellt i de delar där uppgifter omfattas av journalföringsplikten eller annars behövs inom hälso- och sjukvården enligt 2 kap. 4 patientdatalagen. Samma personuppgifter kan alltså behöva behandlas av vårdgivaren utifrån båda dessa lagar.

6 Datainspektionen Diarienr (10) Angående direktåtkomst Utredningen anger att en bestämmelse om tillåten direktåtkomst bör införas med anledning av vad som föreskrivs i 5 kap. 4 patientdatalagen. Utifrån det som sägs ovan om tillämpligheten av patientdatalagen torde dock förbudet i 5 kap. 4 inte vara tillämpligt vid vårdgivares behandling av personuppgifter som sker med stöd av lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ. Även om inte 5 kap. 4 patientdatalagen kan åberopas delar Datainspektionen utredningens uppfattning att möjligheten till direktåtkomst bör regleras i lag. Tillåtna ändamål för direktåtkomsten bör tydligt begränsas utifrån syftet med möjligheten till direktåtkomst som nämns av utredningen (se s. 481). Det bör också förtydligas vad som i detta sammanhang avses med begreppet direktåtkomst (jfr definitionen som anges i förarbetena till patientdatalagen, prop. 2007/08:126 s. 70). Det bör även övervägas om personuppgiftsansvaret bör regleras särskilt när personuppgifter behandlas genom direktåtkomst (jfr 2 kap. 6 andra stycket patientdatalagen). Särskilt om Scandiatransplant Utredningens uppdrag har bland annat varit att kartlägga uppgiftsutbytet mellan svenska vårdgivare och Scandiatransplants databas. Om det efter kartläggningen bedömdes nödvändigt skulle utredningen analysera vilka personuppgifter som hälso- och sjukvården behöver tillgång till och vilka uppgifter som behöver överföras till Scandiatransplants databas. Utredningen skulle även föreslå författningsändringar och andra åtgärder som medger att behörig personal får tillgång till och möjlighet att lämna ut nödvändiga personuppgifter till den databas Scandiatransplant för. Enligt 25 kap. 11 offentlighets- och sekretesslagen (2009:400) hindrar inte sekretess enligt 25 kap. 1 att uppgift lämnas till en enskild enligt vad som föreskrivs i lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ eller förordning som har meddelats med stöd av lagen. Enligt 3 förordningen (2012:346) om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ ska, om ett organ erbjuds ett land inom EES, den vårdgivare som ansvarar för att ta tillvara organet se till att lämna vissa uppgifter till behörig myndighet eller delegerad inrättning i det landet. Det finns ett antal kriterier för att bestämmelsen ska vara sekretessbrytande. Först och främst ska ett organ erbjudas till ett land. Utredningen redogör inte

7 Datainspektionen Diarienr (10) för vad detta innebär. Under förutsättning att ett organ får anses ha erbjudits till ett land ska uppgifterna lämnas till behörig myndighet eller delegerad inrättning i det landet. I 2 lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ finns en definition av delegerad inrättning. Det är de myndigheter eller inrättningar som anges i den förteckning som Europeiska kommissionen ska förse medlemsstaterna med enligt artikel 8 i kommissionens genomförandedirektiv 2012/25/EU av den 9 oktober om informationsförfarandena för utbyte mellan medlemsstater av mänskliga organ avsedda för transplantation. För att uppgifter ska få föras över till Scandiatransplant krävs först och främst att det finns sekretessbrytande bestämmelser som tillåter ett utlämnande. Utredningen bedömer att Scandiatransplant kan antas vara ett sådant privat rättssubjekt som avses i 25 kap. 11 offentlighets- och sekretesslagen när det anges att sekretessen enligt 25 kap. 1 offentlighets- och sekretesslagen inte hindrar att uppgift lämnas till en enskild enligt vad som föreskrivs i lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ eller förordning som har meddelats med stöd av den lagen. Scandiatransplant är emellertid inte en myndighet och inte heller, såvitt Datainspektionen kunnat utläsa, en delegerad inrättning 1 enligt artikel 8 i kommissionens genomförandedirektiv 2012/25/EU av den 9 oktober om informationsförfarandena för utbyte mellan medlemsstater av mänskliga organ avsedda för transplantation. Datainspektionen ställer sig därför tveksam till om den sekretessbrytande bestämmelsen i 3 förordningen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ som utredningen redogör för är gällande vid utlämnande till Scandiatransplant. Även om Scandiatransplant skulle utses till delegerad inrättning i Danmark torde detta endast innebära att bestämmelsen är sekretessbrytande under förutsättning att ett organ erbjuds till Danmark. Om det blir fråga om en ny behandling av personuppgifterna, måste det även finnas rättsligt stöd för utlämnandet enligt tillämpliga dataskyddsbestämmelser. Ett utlämnande är tillåtet om det är förenligt med den så kallade finalitetsprincipen. Utredningen har bedömt att Kommissionens webbplats med information om delegerade inrättningar inom EES

8 Datainspektionen Diarienr (10) informationsöverföring till Scandiatransplant är i enlighet med finalitetsprincipen då uppgifter samlas in för att möjliggöra organtransplantation och utlämnande sker för samma ändamål. Datainspektionen har ingen invändning mot denna bedömning. Även om utlämnandet är tillåtet enligt finalitetsprincipen måste också mottagarens behandling vara laglig. För att ta ställning till detta måste en utredning göras om de rättsliga förutsättningarna för behandling av personuppgifterna i Danmark. Centrala frågor i detta sammanhang är hur ansvarsförhållandet ser ut vid behandlingen av uppgifter i Scandiatransplants databas. Är Scandiatransplant ett biträde i förhållande till de svenska vårdgivarna eller är Scandiatransplant personuppgiftsansvarig för sin behandling? Det är centrala frågor som utredningen inte har berört. Om Scandiatransplant är personuppgiftsansvarig torde det vara dansk dataskyddslagstiftning som är tillämplig på föreningens behandling av uppgifter då föreningen har sitt säte i Danmark. Utredningen redogör för tillämpliga sekretessbestämmelser i de skandinaviska länderna men berör inte dataskyddsbestämmelserna. Även om dataskyddsbestämmelserna inom EU och EES i stor utsträckning är harmoniserade genom dataskyddsdirektivet finns det skillnader i hur nationella bestämmelser har utformats i de olika länderna för att implementera direktivet. Även efter dataskyddsförordningens ikraftträdande kommer det finnas utrymme för nationella särbestämmelser. Det är en stor brist att dessa frågor inte berörs och det är därför inte möjligt att utifrån betänkandet bedöma lagligheten av Scandiatransplants behandling av personuppgifter. I författningskommentaren till förslag till 7 a (s. 505) anges att det inte regleras huruvida något befintligt eller nytt register ska användas av vårdgivare för att fullgöra registreringsskyldigheten och att det innebär att vårdgivarna har frihet att använda redan tidigare tillämpade registreringsfunktioner eller att, inom de ramar som anges i 7 a, inrätta ett nytt register. Det framgår inte vad utredningen menar med redan tidigare tillämpade registreringsfunktioner. Om det är Scandiatransplant som avses måste det utredas om det är möjligt för en vårdgivare att fullgöra registreringsskyldigheten genom att registrera uppgifterna hos Scandiatransplant. Förutom hanteringen av uppgifter om aktuella och genomförda transplantationsärenden omfattar Scandiatransplants databas även uppgifter

9 Datainspektionen Diarienr (10) om personer som är i behov av transplantation genom administration av så kallade väntelistor. Detta innebär att de frågeställningar som berörs ovan i detta avsnitt även måste utredas avseende personuppgifter som behandlas om denna personkategori. Det måste således finnas sekretessbrytande bestämmelser även avseende dessa personuppgifter samt stöd för utlämnande av personuppgifterna. Som ovan nämnts reglerar lagen om kvalitets- och säkerhetsnormer vid hantering av mänskliga organ inte behandling av personuppgifter om potentiella mottagare av organ. Vårdgivarens behandling av uppgifter om dessa patienter torde regleras av patientdatalagens bestämmelser. Ett utlämnande av uppgifter måste därmed vara i enlighet med patientdatalagens bestämmelser. Samarbetet mellan de skandinaviska länderna kring transplantation, som fullgörs genom Scandiatransplant, fyller onekligen en mycket viktig samhällsfunktion. Mot bakgrund av detta är det allvarligt att de rättsliga förutsättningarna för informationsutbyte inte är klarlagda. Samtycke till personuppgiftsbehandling Enligt förslag till ny bestämmelse i lagen om transplantation m.m., 4 f, ska ett samtycke till donation av organ enligt 3-4 även omfatta samtycke till behandling av de personuppgifter som krävs för mottagares säkerhet. Datainspektionen kan konstatera att 3-4 endast är tillämpliga på donation från avlidna personer. Personuppgifter är varje uppgift som direkt eller indirekt kan knytas till en fysisk person som är i livet. Uppgifter om avlidna är alltså som huvudregel inte personuppgifter. Undantaget är om informationen kan anses avslöja uppgifter om en släkting som är i livet. Att i bestämmelsen benämna uppgifterna som personuppgifter blir därför missvisande. Om det behöver ske en behandling av personuppgifter innan patienten avlider måste det finnas en tillåtlighetsgrund för detta. Utredningen har inte analyserat om det i den aktuella situationen kan finnas någon annan rättsligt grund än samtycke för behandling av känsliga personuppgifter (jfr art. 8.3 dataskyddsdirektivet). Ett samtycke till behandling av känsliga personuppgifter måste enligt dataskyddsdirektivet vara uttryckligt, specifikt och informerat. Ett samtycke till donation av organ kan därför inte utgöra ett rättsligt stöd till den

10 Datainspektionen Diarienr (10) personuppgiftsbehandling som är nödvändig för mottagarens säkerhet enligt lagen om transplantation m.m. Datainspektionen avstyrker därför förslaget i denna del. Detta yttrande har beslutats av generaldirektören Kristina Svahn Starrsjö efter föredragning av juristen Martina Lindkvist. Vid den slutliga handläggningen har även chefsjuristen Hans-Olof Lindblom och enhetschefen Katarina Tullstedt deltagit. Kristina Svahn Starrsjö Martina Lindkvist