Information om vårdregisterlagen

Transkript

1 Datainspektionen informerar Datainspektionen informerar Information om vårdregisterlagen 51

2 Ändringar i PuL Observera att innehållet i den här skriften inte är anpassat till de ändringar i PuL som trädde i kraft den 1 januari Ändringar förs in i nästa upplaga. Här följer en kortfattad beskrivning av vad förändringarna i PuL innebär. PuL innehåller numera två olika regelsystem. Som tidigare innehåller lagen ett antal detaljerade hanteringsregler (närmare 50 paragrafer), till exempel grundläggande krav som ska vara uppfyllda då personuppgifter behandlas, bestämmelser om vad som är tillåten behandling och om skyldighet att informera de registrerade. Dessa regler gäller för behandling av personuppgifter i strukturerat material som traditionella dataregister, databaser och ärende- och dokumenthanteringssystem. För behandling av personuppgifter i ostrukturerat material som löpande text och ljud och bild gäller en helt ny och förenklad reglering. Den 1 januari 2007 infördes dessa lättnader i PuL. De innebär att många av hanteringsreglerna inte längre behöver tillämpas på viss hantering av personuppgifter i ett ostrukturerat material. Syftet är att underlätta vardaglig hantering av personuppgifter som inte medför integritetsrisker. Lättnaderna gäller för vardaglig ostrukturerad behandling av personuppgifter som löpande text i ordbehandlingssystem, löpande text på Internet, ljud- och bildupptagningar och korrespondens per e-post. Undantaget kan också omfatta enkla strukturer som klasslistor och listor över anställda om inte materialet ingår i eller ska infogas i en databas med en personuppgiftsanknuten struktur, till exempel ett ärendehanteringssystem. Den förenklade regleringen innebär att vardaglig ostrukturerad behandling i princip får utföras fritt så länge man inte kränker den uppgifterna avser. Kränkande behandling är således fortfarande otilllåten. För att avgöra om en behandling är kränkande måste man göra en samlad bedömning av hur känsliga uppgifterna är, i vilket samman- Forts.

3 hang de förekommer, för vilket syfte de behandlas, vilken spridning de har fått eller riskerar att få, samt vad behandlingen kan leda till. Man får således göra en avvägning i det enskilda fallet där den registrerades intresse av en fredad, privat sfär vägs mot andra motstående intressen. Vid behandling av personuppgifter i regelrätta register eller andra samlingar av personuppgifter som är ordnade så att det ska bli enklare att söka efter eller sammanställa personuppgifter, till exempel databaser eller stora dokument- och ärendehanteringssystem gäller fortfarande hanteringsreglerna för alla personuppgifter i systemet. Frågor och svar om vad ändringarna i PuL innebär finns på Besöksadress: Fleminggatan 14, Plan 9 Postadress: Box 8114, Stockholm Tfn: Fax: E-post: datainspektionen@datainspektionen.se Webbplats:

4 Innehåll Förkortningar... 4 Inledning... 5 När ska vårdregisterlagen börja tillämpas?... 6 Vad är ett vårdregister?... 7 Personuppgiftsansvaret... 9 Vem ska tillämpa vårdregisterlagen? Vad menas med behandling av personuppgifter? Vad menas med personuppgift? Vilka personuppgifter får ett vårdregister innehålla? Får personuppgifter i vårdregister samköras? Vilka personuppgifter får inte användas som sökbegrepp? Vem får ha direktåtkomst till personuppgifterna? När får personuppgifter lämnas ut på IT-medium? När ska personuppgifter i ett vårdregister gallras? Vilken information ska lämnas till patienterna? Vilken sekretess gäller för personuppgifter? När ska och får personuppgifter rättas? Vad kan hända om någon bryter mot vårdregisterlagen? Hur ska personuppgifter i vårdregister skyddas? Har patienten rätt att vägra registrering? Hur får patienterna veta vad som finns registrerat? Vårdregisterlagen Personuppgiftslagen

5 Den 24 oktober 1998 kom en ny lag som vid sidan av personuppgiftslagen (PuL) reglerar hur personuppgifter får behandlas med hjälp av IT inom hälso- och sjukvården. Lagen kallas vårdregisterlagen. Syftet med den här skriften är att förklara vilken behandling av personuppgifter lagen gäller för och att ge exempel på hur reglerna bör tillämpas. Informationen ska inte uppfattas som bindande föreskrifter. Skriften riktar sig framförallt till vårdgivare, men även de registrerade patienterna kan ha nytta av informationen för att kunna ta till vara sina intressen. Vårdregisterlagen och PuL i nuvarande lydelse finns tryckta i slutet av skriften. Stockholm i juli

6 FÖRKORTNINGAR BrB Brottsbalken PjL Patientjournallagen PuF Personuppgiftsförordningen PuL Personuppgiftslagen SekrL Sekretesslagen VrL Vårdregisterlagen 4

7 Inledning Informationen inom hälso- och sjukvården är ofta av känslig eller t.o.m. mycket känslig natur. Vårdregisterlagen (VrL) har tillkommit för att säkerställa patientens rätt till integritet i vårdarbetet samtidigt som effektiviteten inte blir eftersatt. Det ska finnas en balans mellan patientens rätt till en personlig sfär och ett berättigat krav på effektivitet och säkerhet i vården genom en rationell datahantering. VrL är bara är en del av regleringen av informationshanteringen inom hälso- och sjukvården. Patientjournallagen (1985:562), lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område och sekretesslagen (1980:100) innehåller också mycket viktiga bestämmelser om hur patientinformation får behandlas och dessa regler måste man alltid ha i minnet när man planerar sin ITverksamhet. Som exempel kan nämnas att sekretessreglerna måste kunna iakttas vid samkörningar även om samkörningen är tillåten enligt VrL. VrL är en speciallagstiftning i förhållande till PuL. Om behandlingen av personuppgifter till någon del inte regleras av VrL, gäller bestämmelserna i PuL. Så är fallet bl.a. avseende de säkerhetsåtgärder som ska skydda uppgifterna i vårdregistret från påverkan av obehöriga. Datainspektionen har tillsynsansvar för VrL och PuL. En behandling av personuppgifter som sker med stöd av VrL behöver inte anmälas till Datainspektionen. (3 3 p. PuF) 5

8 När ska vårdregisterlagen börja tillämpas? Mellan den 24 oktober 1998 och den 30 oktober 2001 gäller två integritetsskyddslagstiftningar parallellt i Sverige, dels den äldre datalagen, dels den nyare PuL, som trädde i kraft den 24 oktober 1998 och gäller för de behandlingar av personuppgifter som påbörjades tidigast det datumet. För behandlingar som påbörjades dessförinnan gäller normalt datalagen fram till och med september På hälso- och sjukvårdens område finns dock ett viktigt undantag från denna huvudregel. När VrL trädde i kraft den 24 oktober 1998 ersatte den omedelbart datalagens reglering och de tillstånd och föreskrifter som Datainspektionen meddelat för sådana vårdregister som avses i VrL. Från och med detta datum är således de beslut Datainspektionen meddelat för exempelvis patientjournaler inte längre aktuella. Men ett personregister som inrättats före den 24 oktober 1998 och som inte omfattas av VrL, kan fortfarande regleras av datalagen och Datainspektionens tillståndsbeslut. Därför är det särskilt viktigt att alla som arbetar med IT-baserad personinformation inom vårdsektorn är uppmärksamma på vilka regler som ska tillämpas nu. 6

9 Vad är ett vårdregister? Om personuppgifter är avsedda att behandlas med hjälp av IT för något eller flera av följande ändamål är behandlingen att hänföra till ett vårdregister. (3 VrL) 1. Dokumentation av vården av patienter, 2. administration som rör patienter och som syftar till att bereda vård i enskilda fall, 3. ekonomiadministration som föranleds av vård i enskilda fall. Uppgifterna som har registrerats i ett vårdregister får även behandlas för följande ändamål. (4 VrL) 4. framställning av statistik, 5. uppföljning, utvärdering, kvalitetssäkring och administration på verksamhetsområdet, samt 6. uppgiftslämnande som föreskrivs i lag eller förordning. Ett register inom hälso- och sjukvården är således ett vårdregister om det har inrättats för administration eller dokumentation av vård i enskilda fall. T.ex. patientjournaler som förs med hjälp av IT är att betrakta som vårdregister. Uppgifterna får behandlas även för olika statistiska ändamål, men detta får inte vara huvudsyftet med registreringen om behandlingen skall betraktas som ett vårdregister. Om ett register inrättas för syften som bara faller in under ändamålen vid punkterna 4 6 är registret alltså inte ett vårdregister och VrL är inte tillämplig. 7

10 När personuppgifter från den individinriktade vården behövs för framställning av statistik eller för uppföljning, utvärdering eller kvalitetssäkring av vården får uppgifterna i ett vårdregister behandlas för att arbetet ska kunna utföras. Detta gäller också administration inom verksamhetsområdet, exempelvis vårdplanering inom en enhet eller region, och när patientuppgifter enligt lag eller förordning ska lämnas ut till exempelvis Socialstyrelsen för att ingå i Patientregistret eller för Socialstyrelsens tillsynsverksamhet enligt lagen om yrkesverksamhet på hälso- och sjukvårdens område. Journalföring, tidbokningsregister och faktureringsregister är således vårdregister men inte kvalitetssäkringsregister eller vårdkonsumtionsregister. Andra exempel på vårdregister är sådana som används inom sjukvården för receptförskrivning, hjälpmedelshantering eller återsökning av vårdgivarens arkiverade journaler. För register som behandlas framförallt för statistik eller forskning gäller datalagen och Datainspektionens tillstånd fortfarande och fram till den 30 september 2001, då personuppgiftslagens regler tar över. Har behandlingen påbörjats efter den 24 oktober 1998 gäller PuL redan nu. (Jfr även lagen [1998:543] om hälsodataregister). 8

11 Personuppgiftsansvaret Enligt definitionen i PuL avses med personuppgiftsansvarig den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. (3 PuL) Inom den offentliga sjukvården är den myndighet nämnd, styrelse eller motsvarande som ansvarar för den verksamhet vari vårdregistret förs, personuppgiftsansvarig för den behandling av personuppgifter som sker i verksamheten. Det är alltså fråga om det politiska organet, inte förvaltningen. Inom den privata sjukvården är den juridiska personen företaget personuppgiftsansvarig. Är vårdgivaren en enskild näringsidkare, t.ex. en privatpraktiserande läkare eller sjukgymnast, är han eller hon personuppgiftsansvarig. Personuppgiftsansvaret kan inte överlåtas på en fysisk person inom organisationen. Däremot kan det uppdras åt en anställd som har tillräcklig kompetens och utbildning, att utföra de arbetsuppgifter som ansvaret medför. Detta förutsätter tydliga instruktioner från den personuppgiftsansvarige i fråga om behandlingen av personuppgifter. Personuppgiftsansvaret innebär ett straff- och skadeståndssanktionerat ansvar för att behandlingen av personuppgifter sker i enlighet med gällande bestämmelser. 9

12 Vem ska tillämpa vårdregisterlagen? Den som bedriver vård får behandla personuppgifter med hjälp av IT och ska följa vårdregisterlagens bestämmelser om registreringen är att betrakta som ett vårdregister. Med vård avses i lagen vård enligt hälso- och sjukvårdslagen, tandvårdslagen, lagen om psykiatrisk tvångsvård och lagen om rättspsykiatrisk vård samt smittskydd enligt smittskyddslagen. Begreppet vård omfattar såväl sjukdomsförebyggande åtgärder (allmänna och riktade hälsokontroller) som egentlig sjukvård. Även undersökningar omfattas av vårdbegreppet, som t.ex. synundersökningar inför körkortsprov och blodprovstagning som begärts av polisen. (1 VrL) VrL gäller även i verksamhet med sjuktransporter, i blodgivningsverksamhet och hos optiker liksom inom företagshälsovård, skolhälsovård samt hälso- och sjukvård inom kriminalvården och försvaret. Det har ingen betydelse om det är en privat eller offentlig vårdgivare eller i vilken organisationsform vården bedrivs. Däremot gäller VrL inte sådan verksamhet som avses i 4 kap. lagen om yrkesverksamhet på hälsooch sjukvårdens område. 10

13 Vad menas med behandling av personuppgifter? Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter är en behandling av personuppgifter, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering (spärrning), utplåning eller förstöring. Arkivering är också en form av behandling. ( 3 PuL) I stort sett allting man gör med en personuppgift med hjälp av IT i ett vårdregister faller alltså under vårdregisterlagens bestämmelser. Det behöver inte vara fråga om ett register som är strukturerat i t.ex. bokstavsordning eller efter personnummer. Vad menas med personuppgift? Enligt personuppgiftslagens definition är en personuppgift all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Man måste kunna identifiera personen som uppgifterna rör på något sätt, men identifikationen behöver inte vara fullständig i datorn. En person är identifierbar om han eller hon kan identifieras direkt eller indirekt, t.ex. genom hänvisning till en eller flera faktorer som är specifika för hans eller hennes identitet. Det räcker med att man har ett löpnummer, journalnummer eller annan kod registrerad i datorn, 11

14 om informationen kan individanknytas genom andra uppgifter som finns t.ex. på papper. Krypterade uppgifter är att betrakta som personuppgifter så länge någon kan göra dem läsbara och därmed identifiera individer. (3 PuL) 12 Vilka personuppgifter får ett vårdregister innehålla? Ett vårdregister får innehålla sådana uppgifter som enligt lag eller annan författning ska antecknas i en patientjournal, jämför patientjournallagen och Socialstyrelsens föreskrifter och allmänna råd (SOSFS 1993:29). Dessutom får vårdregister tillföras andra uppgifter som antecknas i och för vården. Exempel på detta kan vara anteckningar som görs av undersköterskor eller noteringar i samband med analyser av prover som görs på medicinska serviceenheter. (5 VrL) Personuppgifter för patientadministration som behövs för vård av den enskilde patienten får också ingå i ett vårdregister. Det kan röra sig om väntelistor eller fristående sammanställningar av patientens tidigare kontakter med vården. Även anteckningar för ekonomiadministration med anledning av enskilda vårdfall får tillföras ett vårdregister. Det gäller dels fakturering och reskontrafunktioner gentemot patienten men även exempelvis interndebiteringar och debiteringar mellan olika vårdgivare. Eftersom det är av mycket stor vikt att patienter inte förväxlas och att det inte råder någon tvekan om

15 vilken patient en uppgift avser, är det tillåtet att registrera personnummer i ett vårdregister. (22 PuL) Får personuppgifter i vårdregister samköras? Med begreppet samkörning avses att personuppgifter inhämtas från någon annan behandling av personuppgifter, antingen inom den personuppgiftsansvariges organisation eller från någon annan personuppgiftsansvarig. (6 VrL) Personuppgifter om en patient får lämnas ut till och hämtas från andra vårdregister om det behövs för vården av samma patient eller för administration som föranleds av den aktuella vården. Det kan röra exempelvis analysresultat och remissvar eller debitering och fakturering. Självklart måste bestämmelserna om sekretess och tystnadsplikt i bl.a. sekretesslagen och lagen om yrkesverksamhet på hälso- och sjukvårdens område kunna iakttas för att en samkörning ska få genomföras, dvs. uppgifterna får inte lämnas ut utan sedvanlig sekretessprövning. (12 VrL) Vidare får patientens folkbokföringsadress hämtas genom samkörning. Dessa uppgifter kan exempelvis komma från landstingets/kommunens befolkningsregister, SPAR (Statens person- och adressregister) eller det statliga aviseringsregistret. 13

16 Vilka personuppgifter får inte användas som sökbegrepp? Följande uppgifter får inte användas som sökbegrepp i ett vårdregister: uppgifter om ras eller etniskt ursprung, religiös eller filosofisk övertygelse, medlemskap i fackförening, sexualliv, lagöverträdelser eller misstanke om lagöverträdelser, straffprocessuella tvångsmedel eller administrativa frihetsberövanden, att någon fått ekonomisk hjälp eller vård inom socialtjänsten eller varit föremål för åtgärd enligt utlänningslagen. Det är dock tillåtet att använda uppgift om att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård. (7 VrL) Denna regel finns för att undvika integritetskränkande urval och sammanställningar. Vem får ha direktåtkomst till personuppgifterna? Endast den person som behöver personuppgifterna för att kunna utföra sitt arbete får ha direktåtkomst till uppgifter i ett vårdregister. Personuppgifterna ska behövas för något av de ändamål som vårdregistret får användas för. Åtkomsten ska begränsas till vad som behövs för att arbetet skall kunna utföras. (8 VrL) 14

17 När det gäller journaluppgifter framgår detta också av en regel i patientjournallagen som säger att varje journalhandling ska hanteras och förvaras så att obehöriga inte får tillgång till den. Det har dock ingen betydelse vilken enhet personen arbetar vid. Det är tillåtet att föra gemensamma patientjournaler. För att dessa regler ska kunna iakttas måste behörighetskontrollsystemen utnyttjas på ett effektivt sätt. Den personuppgiftsansvarige bör göra en bedömning för varje kategori av anställda och fastställa vilken behörighet var och en bör ha för att kunna utföra sina arbetsuppgifter. Behörighetstilldelningen bör vara ordnad så att den s.k. inre sekretessen kan iakttas. Det kan vara lämpligt att personalen under jourtid loggar in sig i systemet med en särskild användaridentitet om man måste ta fram uppgifter om en patient som man normalt inte vårdar. På detta sätt kan den personuppgiftsansvarige med hjälp av loggregister, jourscheman och besöksuppgifter kontrollera att den som har berett sig tillgång till en journaluppgift har varit behörig att göra detta. Det bör observeras att den som olovligen bereder sig tillgång till IT-baserade personuppgifter kan dömas till böter eller fängelse i högst två år för dataintrång. Så kan vara fallet om någon bereder sig tillgång till personuppgifter om en patient av ren nyfikenhet. (4 kap. 9 c BrB) 15

18 När får personuppgifter lämnas ut på IT-medium? Personuppgifter i ett vårdregister får lämnas ut på IT-medium om de ska användas för sådana syften som överensstämmer med vårdregisterlagens ändamålsbestämmelser. Det innebär att personuppgifterna kan lämnas ut på diskett, fil osv. till exempelvis andra vårdregister, för framställning av statistik, för kvalitetssäkring, utvärdering och uppföljning eller till Socialstyrelsen när det finns en författningsreglerad skyldighet att göra det. Härigenom underlättas exempelvis utbytet mellan journalregister och de medicinska serviceenheternas register, mellan journalregister och nationella kvalitetsregister och recepthanteringen mellan vårdgivare och apotek. (9 VrL) Därutöver får personuppgifter i vårdregister lämnas ut på IT-medium för forskningsverksamhet. Den personuppgiftsansvarige har då att bedöma om forskningsprojektet är av sådan kvalitet att uppgifterna bör lämnas ut. En forskningsetisk kommittés beslut kan vara till stöd för en sådan bedömning. Sekretess- och tystnadspliktreglerna måste naturligtvis först beaktas innan uppgifter lämnas ut utanför det egna sekretessområdet. (7 kap. 1 SekrL) När uppgifter från en patientjournal lämnas ut ska det antecknas i journalen vem som har fått handlingen och när den lämnats ut. Detta framgår av patientjournallagen. Där finns även regler om rätten att ta del av journalhandlingar. (7 2 st., 15 PjL) 16

19 När ska personuppgifter i ett vårdregister gallras? I Vrl finns inga särskilda bestämmelser om gallring utan endast en hänvisning till reglerna i PuL och patientjournallagen. (10 VrL) Personuppgiftslagen innehåller bl.a. en bestämmelse om att personuppgifter inte ska bevaras under längre tid än nödvändigt med hänsyn till ändamålet med behandlingen. Bestämmelsen hindrar dock inte att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av arkivmyndighet. (9 1 st. i PuL) I patientjournallagen föreskrivs att journalhandlingar ska bevaras i minst tre år efter det att den sista uppgiften fördes in i handlingen. Vissa typer av journalhandlingar ska sparas i minst tio år. (8 PjL) Socialstyrelsen får efter ansökan av patienten besluta att en journal ska förstöras helt eller delvis. (17 PjL) Det finns även andra regler om bevarande och gallring på hälso- och sjukvårdsområdet som ska beaktas, bl.a. arkivlagen. De kommunala arkivreglerna kan också bli tillämpliga liksom förordningen om förlängd bevarandetid för vissa journalhandlingar inom hälso- och sjukvården. Riksarkivet har utfärdat allmänna råd om arkivvård och gallring av patientjournaler, patientregister m.m. hos landsting och kommuner. (Jämför även sidan 20 om rättelser i bl.a. journalhandlingar.) 17

20 Vilken information ska lämnas till patienterna? Eftersom registreringen i vårdregister inte är frivillig har man infört en omfattande informationsplikt för den som för vårdregister. Det är den personuppgiftsansvarige som ska se till att de registrerade får informationen. Det är inte meningen att läkare eller annan personal i den vårdande verksamheten ska behöva ge muntlig information till alla patienter. I stället kan den personuppgiftsansvarige använda sig av broschyrer och anslag i väntrummen. Som ett komplement kan information också ges i landstingstidningen eller liknande publikationer. (11 PuL) Informationen ska vara tydligt utformad och bör vara tillgänglig på alla vårdenheter. Informationen ska innehålla följande 11 punkter. 1. Vem som är personuppgiftsansvarig, 2. ändamålet med registret, 3. vilken typ av uppgifter som ingår i registret, 4. den uppgiftsskyldighet som följer av lagen om hälsodataregister, 5. de sekretess- och säkerhetsbestämmelser som gäller för registret, 6. rätten att ta del av uppgifterna enligt 26 personuppgiftslagen, 7. rätten till rättelse av oriktiga eller missvisande uppgifter, 8. rätten till skadestånd vid behandling av personuppgifter i strid med vårdregisterlagen, 18

21 9. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på ITmedium, 10. vad som gäller i fråga om bevarande och gallring, samt 11. om registreringen är frivillig eller inte. Det är inte lämpligt att endast hänvisa till en paragraf i en författningstext utan informationen bör vara tydlig. Eftersom informationen ska ges om alla vårdregister där patientinformation behandlas, således även från sådana där den personuppgiftsansvarige inte kommer i direkt kontakt med patienterna (t.ex. laboratorier) kan det vara lämpligt att informationsinsatsen samordnas mellan exempelvis landstinget och den privata medicinska serviceenhet som anlitas. Vilken sekretess gäller för personuppgifter? Sekretesslagens regler och reglerna om tystnadsplikt i patientjournallagen och lagen om yrkesverksamhet på hälso- och sjukvårdens område ska naturligtvis iakttas när vårdregister behandlas. Framförallt måste den personuppgiftsansvarige hålla detta i minnet vid behörighetstilldelning och vid utlämnande av personuppgifter på IT-medium. (12 VrL, 7 kap. 1 SekrL) 19

22 När ska och får personuppgifter rättas? Personuppgiftslagens regel om rättelse har gjorts tillämplig även för vårdregister. Den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med vårdregisterlagens bestämmelser. (13 VrL) Vid rättelse av en felaktighet i en journalhandling måste alltid patientjournallagens regler iakttas. Bl.a. ska det anges när rättelsen skett och vem som har gjort den. Den ursprungliga informationen ska normalt stå kvar i läsbart skick. (6 PjL) Ordet blockera förklaras i PuL som En åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen. En blockerad uppgift får alltså inte lämnas ut till andra vårdgivare och ska inte heller ingå när uppgifter lämnas t.ex. till Socialstyrelsen. Däremot får uppgiften användas internt och den ska ingå i registerutdrag till den registrerade. Ett exempel på när en uppgift kan blockeras är när det inte är naturligt att rätta en felaktig uppgift därför att det rätta förhållandet inte kan utredas. Det kanske står klart att en uppgift om att en viss person fått sjukhusvård är felaktig, men det kan inte utredas vem som egentligen fått vården. (3 PuL) 20

23 Om en personuppgift rättas, blockeras eller utplånas ska information om åtgärden lämnas till tredje man som har fått del av den felaktiga uppgiften. Detta gäller om den registrerade begär det eller om en mera betydande skada eller olägenhet för den registrerade kan undvikas genom en sådan underrättelse. Det ligger i sakens natur att även den registrerade underrättas om åtgärden om det var han eller hon som tog initiativ till korrigeringen. (28 PuL) (Jämför även sidan 17 angående Socialstyrelsen möjlighet att besluta att en journalhandling ska förstöras). Vad kan hända om någon bryter mot vårdregisterlagens regler? Personuppgiftslagens bestämmelser om skadestånd gäller vid behandling av personuppgifter enligt vårdregisterlagen. (14 VrL) Det innebär att den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med vårdregisterlagen har orsakat. Ersättning ska inte bara utgå för person- och sakskada utan även för ren förmögenhetsskada samt för den kränkning av den personliga integriteten som behandlingen har inneburit. (48 PuL) Om den personuppgiftsansvarige kan visa att den felaktiga behandlingen inte berodde på honom, kan 21

24 skadeståndet jämkas om det inte ter sig orimligt med hänsyn till omständigheterna. Skadeståndsanspråket bör i första hand framställas till den personuppgiftsansvarige. Inom den offentliga sjukvården skall ett skadeståndsanspråk riktas mot den juridiska person som den personuppgiftsansvarige tillhör, dvs. kommunen eller landstinget (inte en nämnd/styrelse). Om parterna inte kan komma överens kan den som yrkar på ersättning ansöka om stämning i allmän domstol. Är den personuppgiftsansvarige en statlig myndighet är det dock Justitiekanslern som beslutar om ersättning ska betalas eller inte. Datainspektionen kan vid vite förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifter på något annat sätt än genom att lagra dem, om inspektionen konstaterar att behandlingen är eller kan komma att bli olaglig. (45 PuL) Hur ska personuppgifter i vårdregister skyddas? VrL innehåller inte några bestämmelser om IT-säkerhet. Därför är det bestämmelserna i PuL som reglerar de säkerhetsåtgärder som ska vidtas för att skydda personuppgifterna i ett vårdregister. I PuL anges att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. 22

25 Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av 1. de tekniska möjligheter som finns, 2. vad det skulle kosta att genomföra åtgärderna, 3. de särskilda risker som finns med behandlingen av personuppgifter, och 4. hur pass känsliga de behandlade personuppgifterna är. Säkerhetsnivån ska alltså vara adekvat med hänsyn till hur känsliga personuppgifterna är. Detta kan variera mellan olika vårdregister. Datainspektionen har meddelat allmänna råd om säkerhet för personuppgifter. Där framhålls bl.a. vikten av att göra en sårbarhetsanalys i sin organisation och att utforma säkerhetsåtgärderna därefter. (31 PuL) Mer konkret kan sägas att den personuppgiftsansvarige normalt förutsätts ställa följande krav på sina vårdregistersystem. Åtkomstskydd För att skydda de registrerade mot otillbörliga intrång i den personliga integriteten är det viktigt att personuppgifterna skyddas mot obehörig användning, påverkan, stöld och utplåning. Ett grundläggande skydd är att förse lokaler där datorutrustning och lagringsmedier förvaras med tillträdesskydd så att obehöriga inte kan komma åt personuppgifterna. Om det inte är möjligt att ordna ett tillräckligt fysiskt skydd bör uppgifterna krypteras. 23

26 En bärbar dator är ett begärligt stöldobjekt och risken är därför särskilt stor för att personuppgifterna blir åtkomliga för utomstående. Datorn bör därför ha en funktion som medför att den information som lagras i den alltid är krypterad. Man kan till exempel använda ett behörighetskontrollsystem som automatiskt krypterar hårddisken. I sjukhusmiljö finns det mottagningar som har arbetsplatser med terminaler påslagna för att olika slag av larm kommer automatiskt via IT-systemet. Det är viktigt att skärmarna placeras där bara personal har tillträde, exempelvis bakom en disk där patienterna inte ska vistas och med starkt begränsad möjlighet för obehöriga att ta del av informationen. Säkerhetskopia Personuppgifterna bör regelbundet överföras till säkerhetskopior. Efter ett datorhaveri, ett inbrott, en brand eller någon annan störning ska det vara möjligt att återuppta behandlingen av personuppgifterna. Detta är särskilt viktigt för journalregister, eftersom det finns ett stort behov av att anteckningarna i journalen snabbt kan tas fram vid sjukbesök. För att en säkerhetskopia inte ska beröras av en störning i datorutrymmet, bör man förvara minst en av säkerhetskopiorna på annan plats. I detta sammanhang bör också påpekas att den personuppgiftsansvarige bör testa sin säkerhetsorganisation så att det finns garantier för att rutinerna verkligen fungerar när de behövs. 24

27 Behörighetskontroll En dator med känsliga personuppgifter bör alltid ha ett skydd mot obehörig åtkomst. Så snart datorn används av mer än en person bör man dessutom reglera åtkomsten till personuppgifterna med hjälp av ett tekniskt system som kontrollerar behörigheten. Det bör finnas rutiner för tilldelningen av behörigheter. Behörighetskontrollen i systemet blir endast meningsfull om var och en som har tilldelats behörighet att ta del av uppgifter har en egen användaridentitet och ett unikt lösenord knutet till identiteten. Loggning En logg ger möjlighet att följa upp hur personuppgifterna har behandlats, t.ex. kan den användas för att utreda felaktig eller obehörig användning av personuppgifter. Därför bör loggen vara så detaljerad att den visar användaridentitet, tidpunkt för åtkomst och till vilken patients uppgifter åtkomsten skett. Loggen har också en förebyggande funktion. För att denna ska fungera är det nödvändigt att användarna känner till att en logg förs och att den kontrolleras i efterhand, både genom stickprov och när det finns indikationer på att någon obehörigen berett sig tillgång till personuppgifter. Fastställda rutiner för en sådan uppföljning bör finnas. Datakommunikation Om man ansluter sitt lokala nät till Internet krävs särskilda säkerhetsåtgärder eftersom risken ökar för obehörigt intrång i de egna datorsystemen och för 25

28 obehörig åtkomst till informationen. Därför krävs extra stor försiktighet såväl vid anslutningen till nätet som vid överföringen av personuppgifterna. Dessutom bör den trafik som kommer från det öppna nätet avskärmas från den registeransvariges övriga lokala nät och datorer med hjälp av tekniska spärrar. Det kan åstadkommas med hjälp av ett tillräckligt starkt tekniskt skydd, exempelvis i form av brandväggsutrustning. Personuppgifter i ett vårdregister bör endast lämnas ut via externa nätverk till identifierade användare vars identiteten säkerställts med en teknisk funktion som kryptering, engångslösenord eller motsvarande. Dessutom bör känsliga personuppgifter vara krypterade vid överföring. Utplåning När lagringsmedium ska användas för något annat ändamål, kasseras eller avyttras, bör man först utplåna personuppgifterna som finns lagrade. Det räcker inte med att radera filen eftersom ett sådant kommando vanligen inte raderar all information. Istället krävs omformatering av lagringsmediet eller total överskrivning så att personuppgifterna inte kan tolkas i efterhand. Om det inte går att skriva över informationen bör lagringsmedierna inte användas för något nytt ändamål eller avyttras. Då bör de i stället förstöras fysiskt. Detta gäller alla typer av fasta och löstagbara lagringsmedier. 26

29 Reparation och service Ett skriftligt avtal som reglerar vilka säkerhetsrutiner som ska tillämpas i samband med service bör slutas med den som utför service åt den personuppgiftsansvarige. I annat fall bör service endast ske under överinseende av egen personal. Servicepartnerns personal bör dessutom underteckna en skriftlig förbindelse om tystnadsplikt. Service bör ske via datakommunikation endast under förutsättning att den som utför servicen kan identifieras på ett säkert sätt. Servicepersonalen bör endast ha åtkomst till utrustningen under själva servicetillfället. Om det finns en separat serviceingång bör den vara stängd när service inte pågår. Personuppgiftsbiträde Det är inte ovanligt att den personuppgiftsansvarige får hjälp med databearbetningen av någon annan, dvs. datadriften sköts i praktiken av någon som inte är anställd inom den personuppgiftsansvariges organisation servicebyrå/outsourcing. I PuL finns det en regel om att det ska finnas ett skriftligt avtal mellan ett sådant personuppgiftsbiträde och den personuppgiftsansvarige, vari det ska framgå att personuppgiftsbiträdet bara får behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att vidta lämpliga åtgärder för att skydda personuppgifterna. (30 PuL) 27

30 Policy, ansvar och organisation Ledningen hos den personuppgiftsansvarige har alltid det övergripande ansvaret för säkerheten. För att uppnå en god informationssäkerhet är det viktigt att det finns en fastslagen policy. En IT-säkerhetspolicy och riktlinjer styr IT-säkerhetsfrågorna i organisationen. All personal bör få utbildning i säkerhetsoch integritetsfrågor. Säkerheten bör kontrolleras regelbundet och incidentrapporter bör följas upp. Säkerhetsbrister är aldrig acceptabla. Datainspektionen har därför möjlighet att meddela säkerhetsföreskrifter i enskilda fall, om det visar sig behövas. I PuL finns regler om att den personuppgiftsansvarige är skyldig att se till att personuppgiftsbiträdet verkligen vidtar nödvändiga säkerhetsåtgärder. Säker identitet För att säkerställa att personuppgifter hänförs till rätt person, bör vårdgivaren ha rutiner för att patientens identitet kontrolleras på ett tillfredsställande sätt vid vårdtillfället. Känner personalen inte igen en person till utseendet bör fotolegitimation visas. Detta är grundläggande för att datakvaliteten ska vara betryggande. 28 Har patienten rätt att vägra registrering? Vårdgivaren behöver inte inhämta patientens samtycke innan personuppgifter registreras eller på annat sätt behandlas i ett vårdregister. Detta motiveras av att vårdgivaren har en skyldighet att föra

31 patientjournal och att det skulle bli kostsamt och tidskrävande för vårdgivaren att ha två olika system för denna hantering, dels ett manuellt, dels ett ITbaserat. Hur får patienterna veta vad som finns registrerat? Förutom den allmänna information som vårdgivaren självmant ska se till att patienterna kan ta del av, har varje patient enligt PuL rätt att få ett s.k. registerutdrag som ska omfatta alla personuppgifter om honom själv som finns i vårdregistret (26 PuL). I undantagsfall kan dock vissa uppgifter vara sekretessbelagda/ omfattas av tystnadsplikt även gentemot patienten själv. (27 PuL) Registerutdrag får man efter ansökan till den personuppgiftsansvarige och det ska vara gratis en gång per kalenderår. Ansökan ska göras skriftligen och vara undertecknad av den registrerade själv. Om den personuppgiftsansvarige inte behandlar några personuppgifter om den sökande räcker det att den personuppgiftsansvarige lämnar besked, skriftligt eller muntligt, om att personuppgifter om honom eller henne inte behandlas. Men om den personuppgiftsansvarige behandlar personuppgifter om den sökande ska en skriftlig information ett registerutdrag lämnas till honom. Utdraget ska lämnas senast en månad efter det att ansökan gjordes. Finns det särskilda skäl till det får tiden dock utsträckas till fyra månader. Detta bör i sådana fall sökanden underrättas om. Det finns inget krav på att utdraget ska skickas med exempelvis rekommenderad post, men omfattar utdraget känsliga personuppgifter 29

32 30 är det att föredra. Den personuppgiftsansvarige måste vara noga med att inte godta c/o-adresser eller andra adresser där det kan vara tveksamt vem som tar emot försändelsen. Normalt ska den adress användas som finns registrerad i det aktuella vårdregistret. (26 PuL) Ett registerutdrag ska innehålla följande information. 1. vilka uppgifter om den sökande som behandlas, 2. varifrån uppgifterna har hämtats, 3. ändamålen med behandlingen, och 4. till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Informationen ska vara begriplig för den registrerade på så sätt att koder ska förklaras eller skrivas ut i klartext. Däremot behöver medicinska termer inte förklaras. Även blockerad information (se sidan 20) ska ingå i ett registerutdrag. Röntgenbilder behöver inte bifogas ett registerutdrag men information om att de finns bör ingå. Utdraget behöver inte heller innehålla information om personuppgifter som behandlas i löpande text som inte har fått sin slutliga utformning när ansökan gjordes eller som utgör minnesanteckningar eller liknande. Har sådan uppgift lämnats ut till tredje man eller behandlas de enbart för historiska, statistiska eller vetenskapliga ändamål gäller inte detta undantag. Personuppgifter i löpande text som behandlats under längre tid än ett år ska tas med i registerutdraget även om den inte har fått sin slutliga utformning. Signerade journalanteckningar anses ha fått sin slutliga utformning och ska lämnas ut i registerutdrag. Det finns bestämmelser om rätten att ta del av journalhandlingar i 15 och 16 PjL.

33 Vårdregisterlagen (SFS 1998:544) Datainspektionen informerar Lagens tillämpningsområde 1 Den som bedriver vård får utföra automatiserad behandling av personuppgifter i vårdregister. Med vård enligt denna lag avses vård enligt hälso- och sjukvårdslagen (1982:763), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård och lagen (1991:1129) om rättspsykiatrisk vård samt smittskydd enligt smittskyddslagen (1988:1472). Förhållandet till personuppgiftslagen 2 Om inget annat följer av denna lag eller föreskrifter som meddelats med stöd härav, tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter för vårdregister. Ändamål 3 Personuppgifter i ett vårdregister får behandlas för dokumentation av vården av patienter eller för sådan administration som rör patienter och som syftar till att bereda vård i enskilda fall. Behandling av personuppgifter får även utföras för den ekonomiadministration som föranleds av vård i enskilda fall. 4 Personuppgifter i ett vårdregister får, utöver vad som anges i 3, behandlas för följande ändamål: 1. framställning av statistik, 2. uppföljning, utvärdering, kvalitetssäkring och administration på verksamhetsområdet, och 3. uppgiftsutlämnande som föreskrivs i lag eller förordning. Innehåll 5 Ett vårdregister får endast innehålla de uppgifter som enligt lag eller annan författning skall antecknas i en patientjournal. Registret får dock även innehålla andra uppgifter som antecknas i och för vården av patienter samt uppgifter som behövs för sådan administration som avses i 3 andra stycket. Samkörning 6 Uppgifter om en patient som behövs för vård av denne samt uppgifter som behövs för den ekonomiadministration som föranleds av den aktuella vården får hämtas till ett vårdregister från andra vårdregister genom samkörning. Dessutom får uppgifter om patientens folkbokföringsadress hämtas till registret genom samkörning. Sökbegrepp 7 Personuppgifter som avses i 13 eller 21 personuppgiftslagen (1998:204) får inte användas som sökbegrepp i ett vårdregister. Inte heller får uppgifter om att någon fått ekonomisk hjälp eller vård inom socialtjänsten eller varit föremål för åtgärd enligt utlänningslagen (1989:529) användas som sökbegrepp. Det är trots förbudet i första stycket tillåtet att som sökbegrepp använda uppgifter om sjukdom och hälsotillstånd samt uppgifter om att någon varit föremål för 31

34 tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård. Direktåtkomst 8 Endast den som för de ändamål som anges i 3 och 4 behöver tillgång till uppgifterna för att kunna utföra sitt arbete får ha direktåtkomst till uppgifter i ett vårdregister. Åtkomsten får endast avse de uppgifter som behövs för arbetets utförande. Utlämnande på medium för automatiserad behandling 9 Personuppgifter i ett vårdregister får lämnas ut på medium för automatiserad behandling endast om de skall användas för de ändamål som anges i 3 och 4 eller för forskningsändamål. Bevarande och gallring 10 Utöver vad som följer av personuppgiftslagen (1998:204) finns särskilda bestämmelser om bevarande och gallring i patientjournallagen (1985:562). Information 11 Den som är personuppgiftsansvarig för ett vårdregister skall se till att den registrerade får information om behandlingen. Informationen skall innehålla upplysningar om 1. vem som är personuppgiftsansvarig, 2. ändamålet med registret, 3. vilken typ av uppgifter som ingår i registret, 4. den uppgiftsskyldighet som följer av lagen (1998:543) om hälsodataregister, 5. de sekretess- och säkerhetsbestämmelser som gäller för registret, 6. rätten att ta del av uppgifter enligt 26 personuppgiftslagen (1998:204), 7. rätten till rättelse av oriktiga eller missvisande uppgifter, 8. rätten till skadestånd vid behandling av personuppgifter i strid med denna lag, 9. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling, 10. vad som gäller i fråga om bevarande och gallring, samt 11. om registreringen är frivillig eller inte. Sekretess 12 För utlämnande av personuppgifter från ett vårdregister gäller de begränsningar som följer av sekretesslagen (1980:100), patientjournallagen (1985:562) och lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Lag (2000:361). Rättelse 13 Personuppgiftslagens (1998:204) bestämmelser om den personuppgiftsansvariges skyldighet att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter och att underrätta tredje man, till vilken uppgifterna har lämnats ut, skall gälla även då personuppgifter behandlats i strid med denna lag. Detta gäller dock inte om åtgärderna skulle strida mot bestämmelserna i patientjournallagen (1985:562). Skadestånd 14 Bestämmelserna i personuppgiftslagen (1998:204) om skadestånd gäller vid behandling av personuppgifter enligt denna lag. 32

35 Personuppgiftslagen (SFS 1998:204) Allmänna bestämmelser Syftet med lagen 1 Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Avvikande bestämmelser i annan författning 2 Om det i en annan lag eller i en förordning finns bestämmelser som avviker från denna lag, skall de bestämmelserna gälla. Definitioner 3 I denna lag används följande beteckningar med nedan angiven betydelse. Beteckning Betydelse Behandling (av personuppgifter) Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Blockering (av personuppgifter) Mottagare Personuppgifter Personuppgiftsansvarig Personuppgiftsbiträde En åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihets förordningen. Den till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut för att en myndighet skall kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta, anses dock inte myndigheten som mottagare. All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Den som behandlar personuppgifter för den personuppgiftsansvariges räkning. 33

36 Personuppgiftsombud Den registrerade Samtycke Tillsynsmyndigheten Tredje land Tredje man Den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt skall se till att personuppgifter behandlas på ett korrekt och lagligt sätt. Den som en personuppgift avser. Varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Den myndighet som regeringen utser för att utöva tillsyn. En stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet. Någon annan än den registrerade, den personuppgiftsansvarige, personuppgiftsombudet, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har befogenhet att behandla personuppgifter. Tillämpningsområde Det territoriella tillämpningsområdet 4 Denna lag gäller för sådana personuppgiftsansvariga som är etablerade i Sverige. Lagen tillämpas också när den personuppgiftsansvarige är etablerad i tredje land men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Vad som nu sagts gäller dock inte om utrustningen bara används för att överföra uppgifter mellan ett tredje land och ett annat sådant land. I det fall som avses i andra stycket första meningen skall den personuppgiftsansvarige utse en företrädare för sig som är etablerad i Sverige. Vad som anges i denna lag om den personuppgiftsansvarige skall också gälla för företrädaren. Behandling av personuppgifter som omfattas av lagen 5 Denna lag gäller för sådan behandling av personuppgifter som helt eller delvis är automatiserad. Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Undantag för privat behandling av personuppgifter. 6 Denna lag gäller inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur. Förhållandet till tryck- och yttrandefriheten 7 Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. 34

37 Bestämmelserna i 9-29 och samt 45 första stycket och skall inte tillämpas på sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Förhållandet till offentlighetsprincipen 8 Bestämmelserna i denna lag tillämpas inte i den utsträckning det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen att lämna ut personuppgifter. Bestämmelserna hindrar inte heller att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. Bestämmelsen i 9 fjärde stycket gäller inte för en myndighets användning av personuppgifter i allmänna handlingar. Grundläggande krav på behandlingen av personuppgifter 9 Den personuppgiftsansvarige skall se till att a) personuppgifter behandlas bara om det är lagligt, b) personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed, c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål, d) personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in, e) de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen, f) inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen, g) de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella, h) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen, och i) personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. I fråga om första stycket d gäller dock att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in. Personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid än som sagts i första stycket i. Personuppgifterna får dock i sådana fall inte bevaras under en längre tid än vad som behövs för dessa ändamål. Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder i fråga om den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. När behandling av personuppgifter är tillåten 10 Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för att a) ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, b) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet, c) vitala intressen för den registrerade skall kunna skyddas, d) en arbetsuppgift av allmänt intresse skall kunna utföras, 35