Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Transkript

1 Datum Diarienr Landstingsstyrelsen i Uppsala län Box Uppsala Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen Datainspektionens beslut Datainspektionen förelägger Landstingsstyrelsen i Uppsala län (Landstingsstyrelsen) att 1. upphöra att göra personuppgifter i Nationellt lungcancerregister åtkomliga över öppet nät endast genom inloggning med användarnamn och lösenord, 2. upphöra att ge vårdgivare direktåtkomst till uppgifter andra vårdgivare har lämnat till Nationellt lungcancerregister, 3. vidta åtgärder för att se till att de registrerade får den information om personuppgiftsbehandlingen i Nationellt lungcancerregister som följer av 7 kap. 3 och 8 kap. 6 patientdatalagen, 4. upphöra att behandla de registrerades namn i Nationellt lungcancerregister, 5. vidta åtgärder för att se till att personuppgifter i Nationellt lungcancerregister behandlas i enlighet med bestämmelsen om bevarande och gallring i 7 kap. 10 patientdatalagen, Datainspektionen förutsätter att Landstingsstyrelsen fullföljer sin avsikt att se till att personuppgifter i Nationellt lungcancerregister, i enlighet med 7 kap. 2 patientdatalagen, kan utplånas vid begäran från den registrerade. Vidare förutsätter Datainspektionen att Landstingsstyrelsen, i enlighet med 2 kap. 6 SOSFS 2008:14, tar fram och inför rutiner för regelbunden uppföljning av behörigheterna i Nationellt lungcancerregister. Datainspektionen förutsätter även att Landstingsstyrelsen fullföljer sin avsikt att ta fram och införa rutiner för åtkomstkontroll i Nationellt Postadress: Box 8114, Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: Webbplats: Telefax:

2 lungcancerregister i enlighet med kraven i 4 kap. 3 patientdatalagen och 2 kap. 11 SOSFS 2008:14. Ärendet avslutas, men kan komma att följas upp. Redogörelse för tillsynsärendet Den 11 november 2009 inspekterade Datainspektionen Landstingsstyrelsens personuppgiftsbehandling, som lokalt personuppgiftsansvarig, i det nationella kvalitetsregistret Nationellt lungcancerregister. Syftet med inspektionen var att kontrollera om Landstingsstyrelsen behandlar personuppgifter i Nationellt lungcancerregister i enlighet med kraven i patientdatalagen och personuppgiftslagen. Under inspektionen och i samband med efterföljande kompletteringar bl.a. följande framkommit. Nationellt lungcancerregister startade som ett regionalt register genom bildandet av Regionalt Onkologiskt Centrum (ROC) i Uppsala- Örebroregionen är Successivt kom fem andra regionala onkologiska centrum att bildas i landet och år 2002 startades gemensamt det nationella registret. Kvalitetsregistret omfattar ca registrerade, varav avser Uppsala-Örebroregionen. Registret leds av en styrgrupp bestående av representanter från samtliga regionala onkologiska centrum. Närmare uppgifter om vad som framkommit i ärendet och därmed legat till grund för Datainspektionens bedömning framgår av skälen för beslutet. Tillämpliga rättsregler m.m. Översikt Bestämmelser om hanteringen av personuppgifter i nationella kvalitetsregister finns huvudsakligen i 7 kap. patientdatalagen (2008:355). Med kvalitetsregister avses enligt 7 kap. 1 en automatiserad och strukturerad samling av personuppgifter som inrättats för ändamålet att systematiskt och fortlöpande utveckla och stärka vårdens kvalitet. Vidare följer av 7 kap. 2 att personuppgifter inte får behandlas i ett nationellt kvalitetsregister om den enskilde motsätter sig det. ). I övrigt reglerar 7 kap. bl.a. frågor om personuppgiftsansvar, kvalitetsregisters ändamål, utlämnande genom direktåtkomst, bevarande och gallring. Ytterligare bestämmelser bl.a. rörande hanteringen av personuppgifter i hälso- och sjukvården återfinns i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring. Om inte annat följer av patientdatalagen eller föreskrifter som meddelats med stöd av lagen, gäller Sida 2 av 15

3 dessutom personuppgiftslagens (1998:204) bestämmelser t.ex. i fråga om säkerheten vid behandling av personuppgifter enligt Personuppgiftsansvar på olika nivåer (lokalt och centralt) I 3 personuppgiftslagen definieras personuppgiftsansvarig som den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. I patientdatalagen finns sedan särskilda bestämmelser om personuppgiftsansvar inom hälso- och sjukvården. För nationella kvalitetsregisters del innebär bestämmelserna att personuppgiftsansvaret finns på olika nivåer; lokalt hos inrapporterande vårdgivare och centralt hos den aktör som ansvarar för kvalitetsregistret som helhet. Av patientdatalagens grundläggande bestämmelse i 2 kap. 6 följer att respektive privat vårdgivare och myndighet i kommun och landsting som bedriver hälso- och sjukvård, är personuppgiftsansvarig för sin egen behandling av personuppgifter, d.v.s. den hantering som sker i samband med att personuppgifter registreras och rapporteras in till det nationella kvalitetsregistret. Detta lokala personuppgiftsansvar omfattar även den hantering som sker när en befattningshavare hos vårdgivaren genom direktåtkomst tar del av vårdgivarens redan inrapporterande uppgifter. Det innebär att vårdgivaren är ansvarig för att följa patientdatalagens grundläggande bestämmelser om inre sekretess, behörighetsstyrning och åtkomstkontroll. Vidare följer av 7 kap. 7 patientdatalagen att endast myndigheter inom hälso- och sjukvården får vara personuppgiftsansvarig för central behandling av personuppgifter i ett nationellt kvalitetsregister. Detta ansvar omfattar således den behandling av personuppgifter som sker på det samlade kvalitetsregistret, d.v.s. innehållande uppgifter från samtliga inrapporterande vårdgivare. Till den centrala hanteringen hör bl.a. frågor om säkerhet, utlämnande, framställning av nationell statistik, gallring och rättelse av personuppgifter. Om den centralt personuppgiftsansvarige anlitar en extern aktör för att t.ex. ta hand om driften av ett system och hantera personuppgifter för den centralt ansvariges räkning, är denne enligt 30 personuppgiftslagen skyldig att upprätta ett personuppgiftsbiträdesavtal med den externe aktören. Skäl för beslutet Tillåten behandling Datainspektionen konstaterar att Landstingsstyrelsen saknat kännedom om vilken myndighet inom hälso- och sjukvården som är Sida 3 av 15

4 ansvarig för central behandling av personuppgifter i Nationellt lungcancerregister. Det faktum att Landstingsstyrelsen nu utgör denne aktör innebär emellertid att Datainspektionen saknar anledning att vidta ytterligare åtgärder mot Landstingsstyrelsen i denna del. En följd av att Landstingsstyrelsen förklarat sig vara centralt personuppgiftsansvarig är att detta beslut i tillämpliga delar omfattar såväl Landstingsstyrelsens lokala som centrala personuppgiftsansvar. Omständigheterna i ärendet och skälen för Datainspektionens bedömning är I ärendet har framkommit att Landstingsstyrelsen är personuppgiftsansvarig (lokalt) för sin egen hantering av personuppgifter. Vid inspektionstillfället saknades kännedom om vem som är personuppgiftsansvarig för den centrala hanteringen av uppgifter i kvalitetsregistret, men i efterföljande kompletteringar har Landstingsstyrelsen uppgett sig vara centralt personuppgiftsansvarig. Datainspektionen konstaterar att Landstingsstyrelsen under en längre tid lämnat ut känsliga personuppgifter utan att äga kännedom om vem mottagaren är och vilket juridiskt ansvar mottagaren har för omhändertagandet av personuppgifterna. Det är enligt Datainspektionen anmärkningsvärt att det saknats en tydligt utpekad aktör som centralt personuppgiftsansvarig. Konsekvenserna av att detta är bl.a. att patienterna inte fått information om vem som ansvarar för deras uppgifter. Patienten har således inte haft någon att vända sig till t.ex. med begäran om utplåning och rättelse av personuppgifter. Det har även saknats någon som kan besluta i frågor om gallring av personuppgifter i Nationellt lungcancerregister. Vidare innebär det att det inte funnits någon aktör som ansvarat för att vidta de säkerhetsåtgärder som ska omgärda och påverka förutsättningarna för åtkomst till det nationella kvalitetsregistret. Att systematiskt lämna ut känsliga personuppgifter om patienter utan att äga kännedom om vem som är mottagare av uppgifterna är inte förenligt vare sig med regleringar om offentlighet och sekretess eller med grundläggande bestämmelser i personuppgiftslagen. Den sekretessbrytande bestämmelsen till förmån för utlämnande av uppgifter till nationella kvalitetsregister som finns i 25 kap. 11 punkten 4) offentlighets- och sekretesslagen (OSL) förutsätter att utlämnandet sker i enlighet med patientdatalagens krav. Det innebär i sin tur bl.a. att utlämnandet måste ske till en myndighet inom hälso- och sjukvården. I annat fall gäller sekretess för uppgifterna enligt bestämmelsen om hälso- och sjukvårdssekretess i 25 kap. 1 OSL. Sida 4 av 15

5 Sammantaget saknas således rättsliga förutsättningar att lämna ut uppgifter till ett nationellt kvalitetsregister om det inte står klart att en myndighet inom hälso- och sjukvården är mottagare av uppgifterna och personuppgiftsansvarig för den centrala behandlingen. Ett sådant utlämnande strider, förutom mot 25 kap. 1 OSL, även mot det grundläggande kravet i 9 punkten a) personuppgiftslagen om att personuppgifter får behandlas bara om det är lagligt. Eftersom Landstingsstyrelsen förklarat sig vara personuppgiftsansvarig för central behandling i Nationellt lungcancerregister vidtar Datainspektionen, inga ytterligare åtgärder mot Landstingsstyrelsen i denna del. Utlämnande genom direktåtkomst säkerhet vid behandlingen Datainspektionen konstaterar att Landstingsstyrelsen, i egenskap av personuppgiftsansvarig för central behandling i Nationellt lungcancerregister, behandlar personuppgifter i strid med kraven i 31 personuppgiftslagen och 2 kap. 5 SOSFS 2008:14. Datainspektionen förelägger därför Landstingsstyrelsen att upphöra att göra personuppgifter i Nationellt lungcancerregister åtkomliga över öppet nät endast genom inloggning med användarnamn och lösenord. Omständigheterna i ärendet och skälen för Datainspektionens bedömning är I ärendet har framkommit att inrapporterande vårdgivares åtkomst till egna redan registrerade uppgifter i huvudsak sker över Sjunet genom inloggning med användarnamn och lösenord. Sjunet är, t.ex. i likhet med Internet, att betrakta som ett öppet nät. Nationellt lungcancerregister är ett nationellt kvalitetsregister som innehåller personuppgifter som vårdgivare över hela landet har rapporterat in (jfr 7 kap. 1 patientdatalagen). De personuppgifter som samlats in i ett nationellt kvalitetsregister är, enligt såväl offentlighets- och sekretesslagen som personuppgiftslagen, att betrakta som utlämnade från den inrapporterande vårdgivaren till den centralt personuppgiftsansvarige myndigheten. När den inrapporterande vårdgivaren sedan nyttjar sin möjlighet, enligt 7 kap. 9 patientdatalagen, till direktåtkomst till egna redan inrapporterade uppgifter äger ett nytt utlämnande rum. Detta innebär enligt Datainspektionen att den centralt personuppgiftsansvarige bl.a. har att svara för att utlämnandet genom direktåtkomst uppfyller de krav på säkerhetsåtgärder som följer av patientdatalagen och personuppgiftslagen. Sida 5 av 15

6 Av 31 personuppgiftslagen följer att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Vid val av åtgärder ska hänsyn bl.a. tas till hur pass känsliga personuppgifterna är och vilka särskilda risker som finns med behandlingen. Bestämmelsen i 31 personuppgiftslagen innebär enligt Datainspektionen att känsliga personuppgifter enligt personuppgiftslagen (t.ex. uppgifter om hälsa), får lämnas ut via Internet eller annat öppet nät endast till identifierade användare vars identitet är säkerställd med en teknisk funktion som asymmetrisk kryptering, exempelvis e-legitimation, engångslösenord eller motsvarande. Vidare följer av 2 kap. 5 SOSFS 2008:14 bl.a. att en vårdgivare som använder öppna nät för att hantera patientuppgifter har ansvar för att det finns rutiner som säkerställer att åtkomst till patientuppgifter föregås av stark autentisering. Innebörden av detta är att det inte är förenligt med varken personuppgiftslagen eller SOSFS 2008:14 att, som i Nationellt lungcancerregister, göra känsliga personuppgifter åtkomliga över öppet nät endast genom inloggning med användarnamn och lösenord. Landstingsstyrelsen föreläggs därför att upphöra att göra personuppgifter i Nationellt lungcancerregister åtkomliga över öppet nät endast genom inloggning med användarnamn och lösenord. Utlämnande genom direktåtkomst endast till en vårdgivares uppgifter Datainspektionen konstaterar att Landstingsstyrelsen, i egenskap av personuppgiftsansvarig för central behandling i Nationellt lungcancerregister, lämnar ut uppgifter i strid med 7 kap. 9 patientdatalagen. Datainspektionen förelägger därför Landstingsstyrelsen att upphöra att ge vårdgivare direktåtkomst till uppgifter andra vårdgivare lämnat till Nationellt lungcancerregister. Omständigheterna i ärendet och skälen för Datainspektionens bedömning är I ärendet har framkommit att vårdgivare inte endast ges direktåtkomst till uppgifter vårdgivaren lämnat till Nationellt lungcancerregister, utan även i vissa fall till uppgifter som andra vårdgivare lämnat till kvalitetsregistret. Av 7 kap. 9 patientdatalagen följer att en vårdgivare får ha direktåtkomst endast till de uppgifter som vårdgivaren lämnat till ett nationellt kvalitetsregister. Den direktåtkomst som vårdgivare har till andra vårdgivares inrapporterade uppgifter till Nationellt lungcancerregister är således olaglig. Landstingsstyrelsen föreläggs därför att upphöra med detta. I sammanhanget ska även noteras att det av 5 kap. 4 patientdatalagen följer att utlämnande genom direktåtkomst endast är tillåten i den utsträckning som anges i lag Sida 6 av 15

7 eller förordning. Detta innebär bl.a. att den registrerade inte kan samtycka till en direktåtkomst som saknar lagligt stöd. Information till registrerade Datainspektionen konstaterar att Landstingsstyrelsen, genom bristfälliga informationsinsatser om personuppgiftsbehandlingen i Nationellt lungcancerregister, behandlar personuppgifter i strid med informationskraven i 7 kap. 3 och 8 kap. 6 patientdatalagen. Datainspektionen förelägger därför Landstingsstyrelsen att vidta åtgärder för att se till att de registrerade får den information om personuppgiftsbehandlingen i Nationellt lungcancerregister som följer av 7 kap. 3 och 8 kap. 6 patientdatalagen. Omständigheterna i ärendet och skälen för Datainspektionens bedömning är Information om Nationellt lungcancerregister och den personuppgiftsbehandling som sker hos Landstingsstyrelsen ges till de registrerade genom informationsblanketter i väntrum. Det ges ingen muntlig information eller hänvisning till informationsblanketten. Landstingsstyrelsen vet inte hur många registrerade som tagit del av informationen före registrering i kvalitetsregistret. Innehållet i informationsblanketten framgår av bilaga 1. Regeringen anför i propositionen (prop. 2007/08:126 s. 208) att det från integritetssynpunkt är angeläget att den registrerade får utförlig information om personuppgiftsbehandlingen. Informationen behövs för att den registrerade ska kunna ta tillvara sina rättigheter i samband med personuppgiftsbehandlingen. Vidare anför regeringen att informationen även är viktig för att skapa en nödvändig grund för allmänhetens förtroende för behandlingen. För behandling av personuppgifter i nationella kvalitetsregister gäller patientdatalagens allmänna bestämmelse om informationsskyldighet i 8 kap. 6. Av bestämmelsen följer att den personuppgiftsansvarige bl.a. ska se till att den registrerade får information om vem som är personuppgiftsansvarig, ändamålet med behandlingen, rätten att ta del av uppgifter enligt 26 personuppgiftslagen, vad som gäller ifråga om bevarande och gallring, rätten till skadestånd m.m. Utöver detta finns, i 7 kap. 3 patientdatalagen, särskilda krav på information för nationella kvalitetsregister. Enligt bestämmelsen ska den Sida 7 av 15

8 personuppgiftsansvarige, innan personuppgifter behandlas i ett nationellt kvalitetsregister, se till att den enskilde får information om 1. rätten att när som helst få uppgifter om sig själv utplånade i registret, 2. i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal, och 3. vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till. Det finns i patientdatalagen inget krav på att informationen till de registrerade ska lämnas på ett särskilt sätt, t.ex. skriftligt. I propositionen (prop. 2007/08:126 Patientdatalag m.m. s. 258) anför regeringen att det bör överlåtas åt varje personuppgiftsansvarig att bestämma hur informationen ska ges. En förutsättning är att varje personuppgiftsansvarig utarbetar rutiner för hur informationsskyldigheten ska fullgöras. Enligt regeringen åligger det också den personuppgiftsansvarige att se till att informationen är utformad på ett sätt som kan förstås av den registrerade. När det gäller patienter som inte talar svenska bör den personuppgiftsansvarige se till att någon översätter informationen eller att det finns skriftliga informationsblanketter på flera språk. Vidare anför regeringen (s. 249 f) följande av betydelse i sammanhanget. Säkra rutiner ligger i den personuppgiftsansvariges eget intresse, eftersom denne då det gäller information till en registrerad vid personuppgiftsbehandling anses ha bevisbördan för att obligatorisk information faktiskt har lämnats till patienten. Även om ovanstående uttalande lämnas i ett avsnitt som berör informationskravet vid sammanhållen journalföring är det enligt Datainspektionen gällande även vid behandling av personuppgifter i kvalitetsregister. Såväl kvalitetsregisterföringen som den sammanhållna journalföringen bygger på att patienten ska få information och ges rätt att motsätta sig personuppgiftsbehandlingen. För den personuppgiftsansvarige är det således nödvändigt att ha säkra rutiner både för att information faktiskt lämnas och att den uppfyller patientdatalagens krav på innehåll. Den personuppgiftsansvarige behöver därför tillhandahålla informationen på ett sådant sätt att den kommer samtliga registrerade till del. Mot den bakgrunden är det, enligt Datainspektionen, i allmänhet inte tillräckligt att den personuppgiftsansvarige endast informerar exempelvis på Internet eller genom broschyr eller annat anslag i väntrum, om inte detta kompletteras med någon form av hänvisning till den registrerade att ta del av informationen. Eftersom hänsyn ska tas till den enskilde registrerades möjligheter att Sida 8 av 15

9 tillgodogöra sig informationen kan den personuppgiftsansvarige även behöva olika informationsrutiner för olika kvalitetsregister. Datainspektionen konstaterar att den information om personuppgiftsbehandlingen i Nationellt lungcancerregister som lämnas till de registrerade har fundamentala brister. Detta eftersom det saknas information om att Landstingsstyrelsen är personuppgiftsansvarig (såväl lokalt som centralt), den registrerades rätt att när som helst få uppgifterna utplånade, i vilken utsträckning personuppgifter inhämtas från någon annan källa än den enskilde eller dennes patientjournal, vilka sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen, rätten att få information om den direktåtkomst och elektroniska åtkomst som förekommit, rätten till rättelse av sådana personuppgifter som behandlats i strid med personuppgiftslagen, rätten till skadestånd vid behandling av personuppgifter i strid med patientdatalagen, vad som gäller ifråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling samt vad som gäller ifråga om bevarande och gallring. Av informationen framgår inte heller vilket kvalitetsregister det rör, utan informationen synes snarare syfta till registrering i kvalitetsregister i allmänhet. När det gäller tillvägagångssättet för att informera de registrerade är Datainspektionens uppfattning att det inte är tillräckligt endast med en informationsblankett i väntrum. Eftersom blanketten inte kompletteras med andra informationsinsatser eller ens en muntlig hänvisning till patienten att ta del av blanketten, måste det tas för sannolikt att informationen inte kommer samtliga patienter till del. Landstingsstyrelsen föreläggs därför att vidta åtgärder för att se till att de registrerade får den information om personuppgiftsbehandlingen i Nationellt lungcancerregister som följer av 7 kap. 3 och 8 kap. 6 patientdatalagen. I sammanhanget ska förtydligas att Landstingsstyrelsen, i egenskap av personuppgiftsansvarig för central behandling, har ansvar för att korrekt information om den centrala hanteringen i registret och Landstingsstyrelsens personuppgiftsansvar för denna hantering når samtliga som registreras i Nationellt lungcancerregister. Landstingsstyrelsen behöver därför vidta informationsinsatser både för den hantering av personuppgifter som Landstingsstyrelsen gör i egenskap av inrapporterande vårdgivare och för den hantering som sker som centralt personuppgiftsansvarig. Personuppgifter som registreras Datainspektionen konstaterar att Landstingsstyrelsen, genom att registrera uppgifter om namn i Nationellt lungcancerregister, Sida 9 av 15

10 behandlar personuppgifter i strid med 7 kap. 8 patientdatalagen. Datainspektionen förelägger Landstingsstyrelsen att upphöra med att behandla de registrerades namn. Omständigheterna i ärendet och skälen för Datainspektionens bedömning är I ärendet har framkommit att Landstingsstyrelsen, förutom medicinska uppgifter, bl.a. behandlar uppgifter om namn, personnummer och bostadskommun (eller län). Registreringen av personnummer görs bl.a. för att kunna identifiera patienten och kunna köra registret mot andra register. Landstingsstyrelsen har inte gjort någon särskild bedömning av behovet av att registrera patienternas namn, men uppger att det behövs för att kunna skicka ut uppföljningar. Av 7 kap. 8 patientdatalagen följer att endast uppgifter som behövs för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet får behandlas i ett nationellt kvalitetsregister. Vidare följer att en enskilds personnummer eller namn endast får behandlas om det inte är tillräckligt, för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet, att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde. I propositionen Patientdatalag m.m. prop. 2007/08:126 s. 261 anför regeringen att paragrafen utgår från förutsättningen att kvalitetsregister i första hand ska bygga på användningen av kodade personuppgifter eller indirekt utpekande personuppgifter, t.ex. ålder, kön och hemort i kombination med sjukdomsrelaterade uppgifter. Regeringen anför även att behandling av personnummer kan vara tillåten om registeruppgifterna ska samköras med andra register för kvalitetssäkringsändamål eller att patienterna ska följas upp över lång tid. För att det ska vara lagligt att registrera enskildas namn i kvalitetsregister krävs att det, med hänsyn till ändamålet med behandlingen, inte är tillräckligt att använda kodade uppgifter. Den personuppgiftsansvarige behöver således göra en noggrann bedömning av behovet av att registrera personuppgifter som direkt pekar ut den registrerade. Landstingsstyrelsen har inte gjort någon sådan bedömning, men uppger att namn registreras för att skicka ut uppföljningar. Datainspektionen bedömer att det för detta ändamål dock är tillräckligt för Landstingsstyrelsen att registrera de enskildas personnummer. Inte minst med tanke på att det uppföljande utskicket ändå inte möjliggörs genom registreringen av namn. För att nå patienten behöver Landstingsstyrelsen även, t.ex. med hjälp av registrerade personnummer, ta fram de registrerades aktuella adresser. Sida 10 av 15

11 Gallring Datainspektionen konstaterar att Landstingstyrelsen, i egenskap av personuppgiftsansvarig för central behandling i Nationellt lungcancerregister, behandlar personuppgifter i strid med kravet på gallring i 7 kap. 10 patientdatalagen. Datainspektionen förelägger därför Landstingsstyrelsen att vidta åtgärder för att se till att personuppgiftsbehandlingen i Nationellt lungcancerregister sker i enlighet med bestämmelsen om bevarande och gallring 7 kap. 10 patientdatalagen. Omständigheterna i ärendet och skälen för Datainspektionens bedömning är I ärendet har framkommit att uppgifter i Nationellt lungcancerregister inte gallras. Något särskilt beslut om bevarande har dock inte fattats. Av 7 kap. 10 patientdatalagen följer att personuppgifter i ett nationellt kvalitetsregister ska gallras när uppgifterna inte längre behövs för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Ansvaret för gallring i ett nationellt kvalitetsregister åligger den myndighet som är personuppgiftsansvarig för central behandling, d.v.s. Landstingsstyrelsen. Från kravet på gallring kan undantag göras, t.ex. genom beslut från arkivmyndighet i landsting eller kommun. Bestämmelsen innebär således att det krävs ett aktivt ställningstagande för att föreskriven gallring ska kunna underlåtas. Eftersom det inte finns något sådant beslut om bevarande av uppgifter i Nationellt lungcancerregister behandlar Landstingstyrelsen uppgifterna i strid med 7 kap. 10 patientdatalagen. I sammanhanget vill Datainspektionen poängtera att uppgifter som gallras i ett nationellt kvalitetsregister även ska gallras i eventuella säkerhetskopior. Bestämmelserna om gallring har därmed avgörande betydelse för möjligheten att arkivera säkerhetskopior. Det är den centralt personuppgiftsansvarige som har att iaktta dessa förutsättningar. Utplåning Datainspektionen konstaterar att Landstingstyrelsen, i egenskap av personuppgiftsansvarig för central behandling i Nationellt lungcancerregister, i dagsläget inte lever upp till kraven i 7 kap. 2 patientdatalagen. Datainspektionen förutsätter att Landstingsstyrelsen fullföljer sin avsikt att se till att personuppgifter i Nationellt lungcancerregister, i enlighet med 7 kap. 2 patientdatalagen, kan utplånas vid begäran från den registrerade. Sida 11 av 15

12 Omständigheterna i ärendet och skälen för Datainspektionens bedömning är I ärendet har framkommit att det inte är möjligt att utplåna uppgifter i Nationellt lungcancerregister, men att Landstingsstyrelsen har för avsikt att åtgärda det. Av 7 kap. 2 patientdatalagen följer att en registrerad när som helst har rätt att få uppgifter om sig själv utplånade ur ett nationellt kvalitetsregister. I propositionen Patientdatalag m.m. prop. 2007/08:126 s. 257 förtydligar regeringen att ett utplånande innebär att uppgifterna ska förstöras så att de inte kan återskapas. Det räcker således inte med att överföra informationen till pappershandlingar. Det är den myndighet som är personuppgiftsansvarig för central behandling som ansvarar för att patientens begäran om utplåning kan tillgodoses. I sammanhanget vill Datainspektionen poängtera att uppgifter som utplånas i ett nationellt kvalitetsregister även måste utplånas i eventuella säkerhetskopior. Behörighetsstyrning Mot bakgrund av vad som framkommit i ärendet bedömer Datainspektionen att Landstingsstyrelsen har förutsättningar att leva upp till kraven på behörighetsstyrning i 4 kap. 2 patientdatalagen och 2 kap. 6 SOSFS 2008:14. I dagsläget saknas dock rutiner för regelbunden uppföljning av behörigheterna. Datainspektionen förutsätter att Landstingsstyrelsen, i enlighet med 2 kap. 6 SOSFS 2008:14, tar fram och inför rutiner för regelbunden uppföljning av behörigheterna i Nationellt lungcancerregister. Landstingsstyrelsens ansvar för behörighetsstyrning omfattar både den åtkomst Landstingsstyrelsens användare har i samband med inrapportering av, och direktåtkomst till, egna uppgifter och den åtkomst Landstingsstyrelsens användare har i egenskap av personuppgiftsansvarig för central behandling. Omständigheterna i ärendet och skälen för ovanstående bedömning är Tilldelning av behörigheter styrs av behov och sker lokalt genom en klinikadministratör, som även kan ta bort behörigheter. Det finns dock ingen framtagen rutin för regelbunden uppföljning av behörigheter. Av 4 kap. 2 patientdatalagen följer att vårdgivaren ska bestämma villkor för tilldelning av behörigheter samt att behörigheterna ska begränsas till vad som Sida 12 av 15

13 behövs för att användaren ska kunna fullgöra sina arbetsuppgifter. Detta kompletteras sedan av bestämmelserna i 2 kap. 6 Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. Av denna bestämmelse framgår - Det ska finnas rutiner som säkerställer att behörigheter begränsas till vad som behövs för en god och säker vård. - Varje användare ska tilldelas en individuell behörighet. - Beslut om tilldelning av behörighet ska föregås av en behovs- och riskanalys. - Det ska finnas rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheterna. Åtkomstkontroll Datainspektionen konstaterar att Landstingsstyrelsen i dagsläget inte lever upp till kraven på åtkomstkontroll i 4 kap. 3 patientdatalagen och 2 kap. 11 SOSFS 2008:14. Med hänsyn till att Landstingsstyrelsen har för avsikt att upprätta rutiner för åtkomstkontroll vidtar Datainspektionen emellertid inga ytterligare åtgärder mot Landstingsstyrelsen i denna del. Datainspektionen förutsätter dock att Landstingsstyrelsen fullföljer sin avsikt att ta fram och införa rutiner för åtkomstkontroll i Nationellt lungcancerregister i enlighet med kraven i 4 kap. 3 patientdatalagen och 2kap. 11 SOSFS 2008:14. Landstingsstyrelsens ansvar för åtkomstkontroll omfattar både det Landstingsstyrelsens användare gör i samband med inrapportering av, och direktåtkomst till, egna uppgifter och de åtgärder Landstingsstyrelsens användare gör i egenskap av personuppgiftsansvarig för central behandling. Omständigheterna i ärendet och skälen för ovanstående bedömning är I ärendet har framkommit att det finns åtkomstloggar som ger information om vilka åtgärder som vidtagits, när detta skett, användarens och patientens identitet samt var användaren arbetar. Landstingsstyrelsen har emellertid aldrig gjort någon åtkomstkontroll i Nationellt lungcancerregister och har heller ingen rutin som avser åtkomstkontroll. Landstingsstyrelsen har för avsikt att ta fram sådana rutiner. Enligt 4 kap. 3 patientdatalagen ska vårdgivare göra systematiska och återkommande kontroller av om någon obehörigen kommer åt patientuppgifter. Detta kompletteras sedan av 2 kap. 11 SOSFS 2008:14, där Sida 13 av 15

14 det bl.a. framgår att vårdgivaren ska ansvara för att det finns rutiner som säkerställer att 1. det av dokumentationen av åtkomsten (loggarna) framgår vilka åtgärder som har vidtagits med patientuppgifterna, 2. det av loggarna framgår vid vilken vårdenhet och vid vilken tidpunkt åtgärderna har vidtagits, 3. användarens och patientens identitet framgår av loggarna, och 4. systematiska och återkommande stickprovskontroller av loggarna görs. Av regeringens proposition 2007/080:126 s. 149 f framgår bl.a. följande avseende åtkomstkontroll. För att främja patientsäkerheten bör vårdgivarna åläggas att systematiskt och fortlöpande företa kontroller av om obehörig åtkomst till uppgifter om patienter förekommer. Regeringen föreslår att detta uttryckligen föreskrivs som ett krav i patientdatalagen. En sådan bestämmelse innebär inte bara att faktiska dataintrång med större säkerhet kommer att kunna beivras. Bestämmelsen bör även få en starkt avhållande verkan på personal att olovligen läsa uppgifter. Rutinerna för åtkomstkontroll ska vara utformade på sådant sätt att de blir verkningsfulla i förhållande till den behandling av personuppgifter som sker hos vårdgivaren. En förutsättning för detta är bl.a. att berörd personal får tydlig information om logguppföljningarna och deras syfte. Vårdgivaren måste även kontinuerligt utvärdera rutinerna för åtkomstkontroll för att säkerställa att rutinerna är verkningsfulla. Hur man överklagar Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet ska ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Sida 14 av 15

15 Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Hans-Olof Lindblom, teamledaren Erik Janzon, ITsäkerhetsspecialisten Magnus Bergström och juristen Patrik Sundström, föredragande. Göran Gräslund Patrik Sundström Sida 15 av 15