Ds 2016:44 Nationell läkemedelslista

Transkript

1 Yttrande Diarienr 1 (13) Ert diarienr S2017/00117/FS Socialdepartementet s.registrator@regeringskansliet.se s.fs@regeringskansliet.se Ds 2016:44 Nationell läkemedelslista Sammanfattning Datainspektionen har granskat betänkandet utifrån sin uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Yttrandet är begränsat till mer övergripande frågor och frågor av väsentlig betydelse för den enskildes personliga integritet. Datainspektionen avstyrker förslaget i sin nuvarande utformning, av följande skäl. Från och med den 25 maj 2018 gäller nya EU-gemensamma regler för behandling av personuppgifter. Den nya dataskyddsförordningen ersätter då dataskyddsdirektivet och personuppgiftslagen, och blir det primära regelverket för behandling av personuppgifter. Den föreslagna lagen om nationell läkemedelslista föreslås bli tillämplig från den 1 juli Dataskyddsförordningen gäller framför svensk lag, varför de nationella reglerna måste stå i överensstämmelse med förordningen för att vara giltiga. Det krävs därför en analys av förslagets förenlighet med förordningen. Någon sådan analys har inte gjorts. Datainspektionen avstyrker förslaget huvudsakligen för att det inte har sin utgångspunkt i förordningen. Datainspektionen ifrågasätter även att väsentliga delar av förslaget om en nationell läkemedelslista är utformat utifrån vårdgivares behov av information från andra vårdgivare. Vårdgivares behandling av personuppgifter inom hälso- och sjukvården regleras av patientdatalagen. Om vårdgivare i sin egen verksamhet och mellan olika vårdgivare har behov av ytterligare eller andra behandlingar än dem som tillåts enligt patientdatalagen är det den lagen som ska ändras. I promemorian Postadress: Box 8114, Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: Telefon:

2 Datainspektionen Diarienr (13) problematiseras inte heller de konsekvenser ett fragmenterat regelverk och spretig ansvarsfördelning kan leda till. Datainspektionen konstaterar att det pågår flera olika utredningar och lagstiftningsinitiativ med anledning av dataskyddsförordningen. I det fortsatta lagstiftningsarbetet kan bl.a. dataskyddsutredningens (Ju 2016:04), socialdataskyddsutredningens (S 2016:05) och forskningsdatautredningens (U 2016:04) förslag behöva beaktas. Dataskyddsförordningens betydelse i sammanhanget Europeiska rådet beslutade den 27 april 2016 tillsammans med Europaparlamentet om en ny förordning om skydd för fysiska personer med avseende på behandling av personuppgifter. Den nya förordningen ska tillämpas från och med den 25 maj 2018 och ersätter då dataskyddsdirektivet. Dataskyddsförordningen innebär att all svensk nuvarande och kommande lagstiftning på dataskyddsområdet måste följa dataskyddsförordningen. Vid normkonflikter mellan förordningens bestämmelser och nationell lag äger förordningen, i enlighet med principen om EU-rättens företräde, företräde framför nationell rätt. Det innebär att vid nationell lagstiftning som inte överensstämmer med förordningen, ska förordningens bestämmelser tillämpas. Förordningen blir m.a.o. det primära regelverket avseende behandling av personuppgifter. Förordningen lämnar dock visst utrymme för, och påbjuder även i vissa fall, nationella regler. Det gäller bl.a. för behandling av känsliga personuppgifter, där vissa undantag från förbjudet att behandla vissa kategorier av personuppgifter framgår direkt av förordningen. Andra undantag kräver dock stöd i nationell rätt för att kunna tillämpas. Enligt skäl 8 i förordningen får medlemsstaterna införliva delar av förordningen i nationell rätt i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga. Enligt Datainspektionen är det viktigt att det tydligt framgår när en sådan bestämmelse endast utgör ett återgivande av en bestämmelse i förordningen och det är viktigt att den nationella regleringen inte förändrar innebörden.

3 Datainspektionen Diarienr (13) Vid antagande av nationella regler om dataskydd krävs därför en noggrann analys av den föreslagna lagstiftningens förenlighet med dataskyddsförordningen. I promemorian berörs dataskyddsförordningens bestämmelser på några ställen, men någon analys av förslagens förenlighet med förordningen har inte gjorts. Redan på grund av detta avstyrker Datainspektionen förslaget. 9.1 Inledning Det anges att syftet med den nya lagen är att underlätta för berörd hälso- och sjukvårdspersonal att utföra sina uppgifter i hälso- och sjukvården, och att tillgodose patientens behov av kontinuitet och säkerhet i vården. Förslaget innebär att det skapas ett stort register med känsliga personuppgifter som samlas hos en central förvaltningsmyndighet (Ehälsomyndigheten), vilket i sig är förenat med integritetsrisker. E- hälsomyndigheten är inte heller någon aktör som ska ordinera eller expediera läkemedel, utan tillhandahåller i princip en tjänst för aktörerna inom området. Det skapar gränsdragningsproblematik och oklarhet vad gäller både ansvar och roller mellan E-hälsomyndigheten, vårdgivare, apotek, men ytterst också i förhållande till de registrerade. Datainspektionen konstaterar att patientjournalen är den primära informationskällan och det verktyg som är avsett för personal inom hälso- och sjukvården att användas för att ge god och säker vård. Av redogörelsen framgår tydligt att de behov och brister som idag finns när det gäller hantering av information om läkemedelsanvändning framför allt gör sig gällande inom hälso- och sjukvården, och att det i stor utsträckning rör sig om brister i hanteringen av information i patientjournalen. Vårdgivares behandling av personuppgifter inom hälso- och sjukvården är särreglerade genom patientdatalagen. I patientdatalagen regleras bland annat möjligheten för vårdgivare att få del av patientuppgifter från varandra. Det aktuella förslaget synes till stora delar vara avsett att tillgodose vårdgivares behov av att få del av patientinformation från andra vårdgivare. Hur det aktuella lagförslaget ska tillämpas i förhållande till patientdatalagen klargörs inte utan roller, ansvar och uppgifter synes flyta samman. Det är viktigt att syftet med den föreslagna regleringen klargörs i förhållande till patientdatalagens tillämpningsområde och att det inte skapas konkurrerande

4 Datainspektionen Diarienr (13) nationella bestämmelser gällande en och samma behandling. När det gäller vårdens behov av information inom vården är Datainspektionens uppfattning att det bör tillgodoses genom ändringar i patientdatalagen. Förhållande till dataskyddsförordningen I detta avsnitt följer en redogörelse för vissa av dataskyddsförordningens bestämmelser som aktualiseras av förslaget, och i ljuset av vilka analysen av förslagets förenlighet med förordningen bör ske. Redogörelsen är inte uttömmande, utan tar endast upp exempel på relevanta bestämmelser. Sammanfattningsvis krävs en analys av förslaget utifrån förordningens bestämmelser i sin helhet, exempelvis utifrån de grundläggande principerna för behandling i artikel 5, kravet på laglig grund för behandling i artikel 6, förbudet mot att behandla särskilda kategorier av uppgifter i artikel 9 och utifrån de registrerades rättigheter enligt kapitel III. Förordningen lämnar ett visst utrymme för att inskränka de rättigheter som anges i kapitel III, men ställer krav på lagstiftningens utformning och innehåll. Dessa krav framgår av artikel 23. Dessutom är det viktigt att innebörden av personuppgiftsansvaret analyseras, innefattande de skyldigheter som anges i kapitel IV. Det kan särskilt påpekas att om en typ av behandling leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige, enligt artikel 35.1 dataskyddsförordningen, före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter (konsekvensbedömning). Av artikel 35.7 framgår vad konsekvensbedömningen minst ska omfatta. Enligt artikel gäller inte kraven i artikel om behandling enligt artikel 6.1 e har en rättslig grund i en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av, reglerar den rätten den aktuella specifika behandlingsåtgärden eller serien av åtgärder i fråga och en konsekvensbedömning avseende dataskydd redan har genomförts som en del av en allmän konsekvensbedömning i samband med antagandet av den rättsliga grunden. För att kravet på konsekvensbedömning ska anses uppfyllt genom lagstiftarens försorg är det en förutsättning att den konsekvensbedömning som genomförts motsvarar förordningens krav.

5 Datainspektionen Diarienr (13) 9.2 Registrets innehåll, 9.4 Registrets ändamål och 9.12 Bevarande och gallring I artikel 5 i dataskyddsförordningen anges bl.a. att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Vidare anges att uppgifterna inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas. När ett personuppgiftsansvar åläggs en utpekad aktör genom nationell lagstiftningsåtgärd är det centralt att en analys görs av vilken behandling av personuppgifter den ansvarige ska utföra, och att den tilltänkta behandlingen som ska utföras står i överensstämmelse med bestämmelserna i förordningen, innefattande de principer som anges i artikel 5. Den ansvarige kan till exempel inte ges i uppgift att behandla personuppgifter för ändamål som inte är berättigade med hänsyn till den ansvariges uppgifter eller verksamhet, eftersom en sådan behandling inte vore tillåten enligt artikel 5. Förslaget innebär att E-hälsomyndigheten blir personuppgiftsansvarig för uppgifterna i det nya registret. I promemorian har behovet av uppgifterna utvecklats och i stora delar beskrivits väl. Trots det saknar Datainspektionen en analys av huruvida de ändamål som för vilka E-hälsomyndigheten föreslås behandla uppgifterna uppfyller förordningens krav på att vara berättigade utifrån E-hälsomyndighetens uppgifter såsom de framgår av myndighetens instruktion, och då framför allt uppgiften att ansvara för register och itfunktioner som öppenvårdsapotek och vårdgivare behöver ha tillgång till för en patientsäker och kostnadseffektiv läkemedelshantering som anges i 1. Det kan noteras att många av ändamålen som anges i förslaget är svåra att förstå utifrån E-hälsomyndighetens uppdrag. Förutom att ändamålen måste vara berättigade så krävs en analys av om det är fråga om så kallade primära ändamål som gäller direkt för den personuppgiftsansvariges behandling eller om det som regleras är så kallade sekundära ändamål. När det exempelvis gäller ändamålet forskning så kan det konstateras att E-hälsomyndigheten inte bedriver någon forskning, varför forskning är ett sekundärt ändamål. Att det är tillåtet att vidarebehandla uppgifter för bl.a. forskning under vissa förutsättningar framgår direkt av artikel 5 b i förordningen. Även om det finns möjlighet (se skäl 8) att för tydlighetsskull införa bestämmelser i nationell

6 Datainspektionen Diarienr (13) rätt anser Datainspektionen att det är viktigt att det är tydligt att det är ett återgivande av en bestämmelse i förordningen och att innebörden inte förändras. Datainspektionen ifrågasätter att en myndighet ska ges i uppdrag att såsom personuppgiftsansvarig behandla uppgifter som inte behövs inom myndighetens egen verksamhet, utan för andra verksamheters behov. Personuppgifter ska vidare enligt artikel 5 i förordningen vara korrekta, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Även här saknar Datainspektionen en analys av förslagets överensstämmelse med förordningen. Vidare anges i artikel 5 i dataskyddsförordningen att uppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för det ändamål för vilka personuppgifterna behandlas. Det är den personuppgiftsansvariges ansvar att se till att uppgifter inte bevaras i strid med förordningen. Därför krävs en noggrann utredning av vilken bevarandetid som är nödvändig för uppgifterna i förhållande till ändamålen med behandlingen. Det är inte uteslutet att denna analys resulterar i att olika bevarandetider krävs för olika uppgifter, beroende på för vilket ändamål uppgiften behandlas. Den bevarandetid som bedöms nödvändig för ändamålen med behandlingen kan i enlighet med vad som anges i artikel 6.2 i förordningen fastställas i nationell rätt. Datainspektionen noterar att det i promemorian anges att vilket behov som finns av bevarandetid för ändamålet att ge god och säker vård kan variera beroende på olika faktorer, såsom patienttyp och sjukdomstyp, men att olika bevarandetider skulle försvåra den personuppgiftsansvariges hantering av uppgifterna. Datainspektionen konstaterar att dessa svårigheter är sammankopplade med det faktum att den avsedda behandlingen inte skulle äga rum för behov hänförliga till den ansvariges verksamhet, utan på behov kopplade till andra aktörers behov av information. Detta exempel visar också svårigheten när personansvaret åläggs någon som har en svag koppling till den behandling som ska utföras. 9.7 Rättsliga grunder för behandling av personuppgifter i registret I promemorian konstateras att behandlingen i registret kan ske med stöd av att behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt

7 Datainspektionen Diarienr (13) intresse. Det förtjänar att tilläggas att Datainspektionen delar uppfattningen att det är tveksamt om samtycke kan utgöra rättslig grund för behandling av personuppgifter i läkemedelslistan, se nedan om skäl 43 i förordningen. Enligt artikel 6 i dataskyddsförordningen får personuppgifter behandlas om behandlingen uppfyller åtminstone ett av de villkor som räknas upp i punkterna a-f. När det gäller grunderna som anges i punkterna c och e, dvs. behandling som är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse och behandling som är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning, så kan sådan behandling inte ske med direkt tillämpning av förordningen, utan en unionsrättslig eller nationell författning krävs för fastställande av grunden för behandling. Unionsrätten eller den nationella rätten ska då uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Vid lagstiftning avseende behandlingar som är nödvändiga för att fullgöra en rättslig förpliktelse, utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning ställer förordningen därmed vissa krav på lagstiftaren. För det första måste en bedömning göras av till vilken av grunderna i artikel 6 som den avsedda behandlingen är hänförlig. För det andra måste det analyseras i vilken utsträckning som behandlingen är nödvändig för att fullgöra den rättsliga förpliktelsen, arbetsuppgiften av allmänt intresse eller myndighetsutövningen. Kravet på nödvändighet utgör en ram för vilken behandling som över huvud taget kan vidtas. För det tredje behöver lagstiftaren ta ställning till vilka konsekvenser det får att, om det är fråga om behandling som är nödvändig för att fullgöra en rättslig förpliktelse, syftet med behandlingen ska fastställas i den rättsliga grunden, eller, om det är fråga om behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning, att syftet med behandlingen ska vara nödvändigt. För det fjärde behöver lagstiftaren överväga om det finns anledning att i den rättsliga grunden ange de villkor som ska gälla för den personuppgiftsansvariges behandling i enlighet med artikel 6.3, tredje meningen.

8 Datainspektionen Diarienr (13) För det femte behöver lagstiftaren säkerställa att den föreslagna lagstiftningen uppfyller ett mål av allmänt intresse, och avslutningsvis att lagstiftningen är proportionerligt mot det mål som eftersträvas. När det gäller behandling som den enskilde lämnat sitt samtycke till kan sådan behandling ske med tillämpning av förordningen, men det är då viktigt att säkerställa att samtycket uppfyller kravet på frivillighet, särskilt med beaktande av de uttalanden som görs i skäl 43. Frivillighet anses enligt skäl 43 inte föreligga när det råder betydande ojämnlikhet mellan den registrerade och den personuppgiftsansvarige. Det anges vidare att det är osannolikt om den personuppgiftsansvarige är en offentlig myndighet att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna situation omfattar. Utrymmet för myndigheter att behandla personuppgifter med stöd av samtycke enligt förordningen är således starkt begränsat. Det allmänna intresset för vilket den personuppgiftsansvariges behandling är nödvändig ska knytas till en reglerad uppgift. Det allmänna intresse för vilket E-hälsomyndigheten avses behandla personuppgifter i den nationella läkemedelslistan måste således kopplas till myndighetens uppgifter såsom de framgår av instruktionen. Det anges inte uttryckligen i promemorian vilket som är det allmänna intresset för vilket personuppgiftsbehandlingen bedöms nödvändig. För att kunna bedöma förslagets förenlighet med dataskyddsförordningen är det av vikt att det preciseras vilken arbetsuppgift av allmänt intresse som åligger E-hälsomyndigheten som avses. Det behöver dessutom säkerställas att syftet, eller ändamålet, med behandlingen är nödvändigt i förhållande till arbetsuppgiften som ska utföras och att ändamålen för myndighetens behandling är berättigade utifrån myndighetens reglerade uppgifter. Avslutningsvis måste det dessutom säkerställas att lagstiftningen i sig självt uppfyller ett mål av allmänt intresse och är proportionerlig mot det legitima mål som eftersträvas. Promemorian saknar dessa analyser och ställningstaganden. Enligt artikel 9 i dataskyddsförordningen är det förbjudet att behandla vissa särskilda kategorier av personuppgifter, bl.a. uppgifter om hälsa, sexualliv och sexuell läggning samt genetiska uppgifter. Från förbudet finns en rad

9 Datainspektionen Diarienr (13) undantag. Exempelvis kan behandling av uppgifter som rör hälsa vara tillåten om behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård, medicinska diagnoser, tillhandahållande av hälso- och sjukvård och behandling, på grundval av nationell rätt. Det anges i promemorian att behandling av uppgifter i registret om hälsa är nödvändig av skäl som hör samman med förebyggande och tillhandahållande av hälso- och sjukvård. Promemorian saknar en analys av tillämpligheten av undantaget från förbudet att behandla särskilda kategorier av uppgifter i 9.2 h och det saknas även en analys av hur kravet på lagstadgad tystnadsplikt i artikel 9.3 förhåller sig till förslaget. Frågan om undantag från förbjudet att behandla känsliga personuppgifter aktualiseras först efter att överväganden kring laglig grund för behandling av personuppgifter och fastställande av vilken behandling som är nödvändig med anledning av den lagliga grunden har gjorts. Dessutom måste även förordningens bestämmelser om grundläggande principer för behandling av personuppgifter alltid beaktas. Därtill kommer att både de registrerades rättigheter och den ansvariges skyldigheter ska uppfylldas, se det inledande avsnittet Samtycke för direktåtkomst Datainspektionen välkomnar förslaget att det, som en integritetshöjande åtgärd, ska krävas den registrerades samtycke för direktåtkomst till uppgifter. I sammanhanget bör dock noteras att eftersom det är frågan om en integritetshöjande åtgärd påverkar detta samtycke inte den rättsliga grunden för att behandla personuppgifterna (se avsnittet ovan). Det kan också ifrågasättas om det är lämpligt att kalla detta samtycke, av följande skäl. De uttalanden som görs i det ovan redovisade skäl 43 gäller samtycke som rättslig grund och inte samtycke som integritetshöjande åtgärd. I exempelvis en vårdsituation är det värdefullt att kunna använda samtycke som en integritetshöjande åtgärd och det vore därför olyckligt att ställa samma krav på denna form av samtycke, som ställs på ett samtycke för att det ska utgöra en giltig rättslig grund för behandling. För att det ska bli tydligt för tillämparna och de registrerade vad som gäller är det lämpligt att använda ett annat uttryck än samtycke. Datainspektionen föreslår medgivande.

10 Datainspektionen Diarienr (13) 9.11 Personuppgiftsansvarig och 9.13 Behörighet och kontroll I det aktuella förslaget anges att E-hälsomyndigheten ska vara personuppgiftsansvarig för det nya registret. Enligt artikel 4.7 dataskyddsförordningen är den fysiska eller juridiska person, offentlig myndighet eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter personuppgiftsansvarig. Om ändamålen eller medlen för behandlingen bestäms av en medlemsstats nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i nationell rätt. Såsom framgår av den berörda artikeln lämnar dataskyddsförordningen utrymme för att personuppgiftsansvaret anges i nationell rätt. Det är dock viktigt att ett sådant angivande föregås av en noggrann analys vilka konsekvenser utpekandet får. Det är viktigt att den aktör som anges som ansvarig faktiskt har möjlighet att utöva sitt ansvar. Personuppgiftsansvaret innebär i korthet ett skadestånds- och avgiftssanktionerat ansvar för att dataskyddsförordningens bestämmelser uppfylls. Det innebär till exempel ett ansvar för att se till att behandling av personuppgifter inte sker i strid med de principer som gäller för behandling av personuppgifter, att det finns ett lagligt stöd för behandlingen och att behandlingen inte sker i större utsträckning än vad som är nödvändigt med hänsyn till det lagliga stöd som gäller för behandlingen samt att registrerades rättigheter uppfylls. Utöver dessa skyldigheter innehåller förordningen ett särskilt kapitel som reglerar en rad mer specifika skyldigheter som åligger den ansvarige. Den ansvarige har för det första en mer övergripande skyldighet att vidta tekniska och organisatoriska åtgärder för att säkerställa att förordningen följs, och även för att visa att skyldigheterna uppfylls och förordningen följs. Därefter följer specifika skyldigheter att iaktta principerna om inbyggt dataskydd och dataskydd som standard, vis a vis de personuppgiftsbiträden som anlitas, att vidta säkerhetsåtgärder och överväga och genomföra konsekvensbedömningar och anmäla personuppgiftsincidenter till tillsynsmyndigheten samt informera berörda om incidenter som inträffat. Den personuppgiftsansvarige ansvarar också, enligt artikel 5.2 för att kunna visa att förordningens grundläggande principer efterlevs.

11 Datainspektionen Diarienr (13) Datainspektionen konstaterar att det i promemorian saknas en utveckling av vad personuppgiftsansvaret innebär för E-hälsomyndigheten konkret, med utgångspunkt i de skyldigheter som följer av dataskyddsförordningen, och en analys av vilka förutsättningar E-hälsomyndigheten har att uppfylla dessa skyldigheter. I promemorian hänvisas till ett tidigare förarbetsuttalande rörande E-hälsomyndighetens verksamhet och uppdrag, där det anges bl.a. att skälet till att E-hälsomyndigheten måste få behandla personuppgifter för olika ändamål är behovet av att kunna erbjuda en konkurrensneutral samt ur integritetssynpunkt säker överföring av personuppgifter mellan aktörer (se prop. 2015/16:143 s ). Datainspektionen ifrågasätter inte att E-hälsomyndigheten kan ha en viktig roll att fylla som länk ifråga om informationsöverföring mellan hälso- och sjukvården och öppenvårdsapoteken, men rollerna måste analyseras och klargöras bättre utifrån det ansvar som föreskrivs för att få behandla personuppgifter. Datainspektionen noterar att en del av syftet bakom förslaget är att underlätta för den enskilde att få en helhetsbild av sin läkemedelsanvändning. Datainspektionen konstaterar att det mot denna bakgrund kan finnas skäl till att ge E-hälsomyndigheten ett sammanhållande ansvar för viss information eftersom de enskilda vårdgivarna och apoteken bara kan behandla uppgifter som är relevanta i deras egen verksamhet. Datainspektionen saknar dock utveckling av den enskildes perspektiv i promemorian Registrering och administrering av uppgifter om en fullmakt samt Patient och ombud I 17 första meningen förslaget till nationell läkemedelslista föreslås att patienten får ha direktåtkomst till uppgifter om sig själv. I bestämmelsens andra mening föreslås att direktåtkomst även får ges till annan fysisk person som patienten utsett genom fullmakt som finns registrerad i den nationella läkemedelslistan. Datainspektionen har inget att erinra mot att en enskild genom direktåtkomst kan ta del av personuppgifter som avser den enskilde själv om den elektroniska åtkomsten sker på ett tillräckligt säkert sätt (jämför 4 kap HSLF-FS 2016:40) - eller att en enskild ger fullmakt exempelvis till en

12 Datainspektionen Diarienr (13) annan person att hämta ut medicin eller en vara som ordinerats. Datainspektionen, som delar uppfattningen som framförs i promemorian att frågan om direktåtkomst inte är oproblematisk, avstyrker dock förslaget i 17 andra meningen. Datainspektionen ifrågasätter förslaget i första hand utifrån att det inte analyserats vad fullmakten innebär i förhållande dataskyddsförordningen. I andra hand ifrågasätts om och i så fall hur det säkerställs att det är frågan om frivilligt och informerat samtycke (jfr skäl 42 och 43). Vid en begäran om utlämnande av allmänna handlingar ansvarar E- hälsomyndigheten dessutom för att följa offentlighets och sekretesslagen (2009:400) vilket innebär att det kan finnas tystnadsplikt som hindrar ett utlämnande av uppgifter från E-hälsomyndigheten. I promemorian har frågor om sekretess och möjlighet för den enskilda att bryta den inte analyserats när det gäller utlämnande genom direktåtkomst. Datainspektionen anser att fullmaktens innebörd och giltighet måste prövas utifrån såväl dataskydds- som sekretessreglerna. Dessutom är E- hälsomyndigheten som personuppgiftsansvarig ansvarig för att personuppgifter behandlas i enlighet med de grundläggande principerna för behandling av personuppgifter samt bara om det finns ett lagligt stöd och undantag från förbudet att behandla känsliga personuppgifter (artikel 5, 6 och 9 i dataskyddsförordningen), vilket gäller även när personuppgifterna behandlas vid direktåtkomst. Enligt promemorian kan anställda vid vårdenheter inneha fullmakt för enskilda vårdtagare (s. 196). Som Datainspektionen redan konstaterat måste det utredas vad fullmakten står för och hur den förhåller sig till bestämmelser om dataskydd och sekretess. Såsom angetts tidigare anges det i skäl 43 i förordningen att det är osannolikt om den personuppgiftsansvarige är en offentlig myndighet att samtycket har lämnats frivilligt. Orsaken är att det är svårt att uppnå jämlikhet mellan den registrerade och personuppgiftsansvarig. Datainspektionens uppfattning är att bedömningen om det föreligger jämlikhet eller inte måste ske utifrån den registrerades perspektiv. När det gäller vårdgivares relation till vårdtagare har vårdtagaren behov av den vård som vårdgivaren har i uppdrag att erbjuda. Om vårdgivaren är offentlig eller privat påverkar inte dessa roller. Att det finns viss valfrihet för patienten innebär inte att balansen inte är ojämnlik. Utgångspunkten måste

13 Datainspektionen Diarienr (13) därför vara att vid personuppgiftsbehandling gällande en patient inom vården, så är det frågan om en sådan ojämnlikt förhållande att det är osannolikt att det är frågan om ett frivilligt samtycke, oavsett om det är frågan om en offentlig eller privat vårdgivare. Inom hälso- och sjukvården är dessutom elektronisk åtkomst och direktåtkomst reglerat för vårdgivare i 4 och 6 kap. patientdatalagen och i aktuellt lagförslag föreslås reglering gällande den direktåtkomst som ska få förekomma för anställda i hälso- och sjukvården. Konsekvensen av om patienten kan ge vårdpersonal fullmakt är att dessa regler kringgås. I promemorian hänvisas till en dom vid Kammarrätten i Stockholm (meddelad den 10 juni 2016, mål nr ). För fullständighetens skull vill Datainspektionen informera om att inspektionen har överklagat kammarrättens dom till Högsta förvaltningsdomstolen, som har meddelat prövningstillstånd den 21 december 2016 (mål nr ). Detta yttrande har beslutats av generaldirektören Kristina Svahn Starrsjö efter föredragning av juristen Eva Maria Broberg. Vid den slutliga handläggningen har även chefsjuristen enhetschefen Katarina Tullstedt och avdelningsdirektören Suzanne Isberg deltagit. Kristina Svahn Starrsjö Eva Maria Broberg