Artikel 29-gruppen för skydd av personuppgifter

Transkript

1 Artikel 29-gruppen för skydd av personuppgifter 00323/07/SV WP 131 Arbetsdokument om behandling av hälsorelaterade personuppgifter i elektroniska patientjournaler (EPJ) Antaget den 15 februari 2007 Artikel 29-gruppen har inrättats enligt artikel 29 i direktiv 95/46/EG. Den är ett oberoende rådgivande EU-organ för frågor som rör skydd av personuppgifter och personlig integritet. Gruppens uppgifter beskrivs i artikel 30 i direktiv 95/46/EG och i artikel 15 i direktiv 2002/58/EG. (Gruppens fullständiga namn är arbetsgruppen för skydd av enskilda med avseende på behandling av personuppgifter.) Sekretariatet för gruppen tillhandahålls av direktorat C (Civilrättsliga frågor, grundläggande rättigheter och medborgarskap) vid Europeiska kommissionens generaldirektorat för rättvisa, frihet och säkerhet, BE-1049 Bruxelles Brussel. Kontorsadress: LX-46 01/43. Webbplats:

2 SAMMANFATTNING I det här arbetsdokumentet om behandling av hälsorelaterade personuppgifter i elektroniska patientjournaler presenterar artikel 29-gruppen riktlinjer om hur regelverket för skydd av personuppgifter skall tolkas när det gäller elektroniska patientjournaler (i fortsättningen kallade EPJ). Artikel 29-gruppen lägger fast vissa allmänna principer och redogör för de förutsättningar för skydd av personuppgifter som gäller för införandet av EPJsystem och vilka skyddsmekanismer som kan passa. Först behandlas det allmänna regelverket för skydd av personuppgifter tillämpat på EPJsystem. Med utgångspunkt i det generella förbud mot behandling av hälsorelaterade personuppgifter som finns i artikel 8.1 i dataskyddsdirektivet 95/46/EG behandlas möjligheten att tillämpa undantagen enligt artikel på EPJ-system. Därvid betonas att dessa undantag måste tolkas restriktivt. Artikel 29-gruppen diskuterar också ett regelverk som passar speciellt för EPJ-system. Artikel 29-gruppen ger rekommendationer för elva områden där det tycks behövas speciella skyddsmekanismer för EPJ-systemen för att skyddet av personuppgifter om patienter och andra privatpersoner skall säkerställas: 1. Respekt för självbestämmande. 2. Identifiering och autentisering av patienter och hälso- och sjukvårdspersonal. 3. Läs- och skrivbehörighet till EPJ. 4. Användning av EPJ för andra ändamål. 5. Organisation av EPJ-systemet. 6. Kategorier av uppgifter som lagras i EPJ och sätt att presentera dem. 7. Internationell överföring av patientjournaler. 8. Datasäkerhet. 9. Öppenhet och insyn. 10. Ansvarsfrågor. 11. Funktioner för kontroll av hur data behandlas i EPJ-system. Artikel 29-gruppen uppmanar läkare, annan hälso- och sjukvårdspersonal, vårdenheter samt andra berörda personer, liksom allmänheten, att lämna synpunkter på det här arbetsdokumentet. 2 / 22

3 INNEHÅLLSFÖRTECKNING I. INLEDNING... 4 II. REGELVERKET FÖR SKYDD AV PERSONUPPGIFTER TILLÄMPAT PÅ EPJ Allmänna principer Särskilt skydd av känsliga personuppgifter Generellt förbud mot behandling av hälsorelaterade personuppgifter; undantag från detta förbud Artikel 8.2 a: Uttryckligt samtycke Artikel 8.2 c: den registrerades grundläggande intressen Artikel 8.3: Hälso- och sjukvårdspersonals behandling av hälsorelaterade personuppgifter Artikel 8.4: Undantag av hänsyn till ett viktigt allmänt intresse III. DISKUSSION OM ETT ÄNDAMÅLSENLIGT REGELVERK FÖR EPJ-SYSTEM Respekt för självbestämmande Identifiering och autentisering av patienter och hälso- och sjukvårdspersonal Läs- och skrivbehörighet till EPJ Användning av EPJ för andra ändamål Organisation av EPJ-system Kategorier av uppgifter som lagras i EPJ och sätt att presentera dem Internationell överföring av patientjournaler Datasäkerhet Öppenhet och insyn Ansvarsfrågor Funktioner för kontroll av hur data behandlas i EPJ-system IV. SLUTSATSER / 22

4 ARBETSGRUPPEN FÖR SKYDD AV ENSKILDA MED AVSEENDE PÅ BEHANDLING AV PERSONUPPGIFTER (ARTIKEL 29-GRUPPEN) HAR ANTAGIT FÖLJANDE ARBETSDOKUMENT med beaktande av Europaparlamentets och rådets direktiv 95/46/EG 1, särskilt artikel 29 och artikel 30.1 b, och med beaktande av artikel 29-gruppens arbetsordning 2, särskilt artiklarna 12 och 14. I. Inledning Syftet med det här arbetsdokumentet är att ge riktlinjer för hur man skall tolka det regelverk för skydd av personuppgifter som är tillämpligt på elektroniska patientjournalsystem (EPJsystem) och att lägga fast några allmänna principer. Vi redogör också för de förutsättningar för skydd av personuppgifter som gäller för inrättandet av rikstäckande EPJ-system, samt vilka skyddsmekanismer som kan passa. Kostnaderna för den offentliga hälso- och sjukvården ökar stadigt, och regeringarna söker nya sätt att lösa detta problem. En av de lösningar som ofta förs fram är elektroniska patientjournaler (EPJ). Andra benämningar är elektroniska hälsojournaler och datoriserade patientjournaler. Dessa benämningar har samma betydelse. I detta arbetsdokument avses med elektronisk patientjournal (i fortsättningen kallad EPJ) en utförlig patientjournal eller liknande dokumentation i elektronisk form, där uppgifter om en persons tidigare och nuvarande fysiska och psykiska hälsotillstånd är registrerade så att de är omedelbart tillgängliga för sjukvårdsinsatser och andra närbesläktade ändamål. 3 Traditionellt har patientjournalerna förts och förvarats separat av olika personalkategorier och vårdenheter, dvs. de är inte sammanförda till en enda gemensam journal. I ett EPJ-system däremot sammanförs journaler från olika källor och olika tidsperioder. EPJ kan på så sätt ge så fullständig information som möjligt om en persons tidigare och nuvarande hälsotillstånd över en lång tidsperiod, kanske för hela livstiden ( från vaggan till graven ). Med EPJ kommer all behörig hälso- och sjukvårdspersonal och behöriga vårdenheter att få tillgång till samlade hälsouppgifter online närhelst de behöver dem. EPJ anses vara ett bra sätt att åstadkomma bättre hälso- och sjukvårdskvalitet eftersom man kan skaffa sig en bättre bild av patienten, göra sjukvårdsinsatserna kostnadseffektivare för att på så sätt komma till rätta med de stegrande kostnaderna för den offentliga hälso- och sjukvårdssektorn, Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. EGT L 281, , s. 31. Texten finns på olika EU-språk på Antagen av artikel 29-gruppen vid dess tredje sammanträde den 11 september Med sjukvårdsinsatser och närbesläktade ändamål avses de ändamål som anges i artikel 8.3 i direktivet. 4 / 22

5 leverera data som behövs för kvalitetskontroll, statistik och planering i den offentliga hälso- och sjukvårdssektorn, något som också borde inverka gynnsamt på kostnadsläget. En enkätundersökning som gjordes 2005 bland europeiska tillsynsmyndigheter för behandling av personuppgifter visade att rikstäckande EPJ-system är en aktuell och prioriterad fråga i de flesta medlemsstater. Det råder dock stora skillnader när det gäller hur långt man hunnit i införandet: De flesta medlemsstater diskuterar fortfarande EPJ-system medan andra redan har infört dem, åtminstone delvis. Eftersom hälso- och sjukvårdstjänsterna blivit mer oberoende av nationsgränserna, har EUkommissionen understrukit betydelsen av e-hälsovårdstjänster och av datateknisk kompatibilitet (interoperabilitet) mellan elektroniska patientjournaler (se kommissionens meddelande E-hälsovård bättre hälso- och sjukvård för Europas medborgare: Handlingsplan för ett europeiskt område för e-hälsovård 4 ). EU finansierar projekt av betydelse för e-hälsovården, t.ex. inom EPJ och patientidentifiering (det europeiska sjukförsäkringskortet är ett exempel på det sistnämnda området). Vid genomförandet av sådana projekt måste kommissionen tillsammans med medlemsstaterna se till att alla tillämpliga bestämmelser om skydd av personuppgifter följs och att det vid behov införs system som garanterar konfidentialitet och säkerhet för sådana uppgifter 5. Med EPJ blir hälsouppgifterna säkrare och kvalitativt bättre än med traditionella patientjournaler. När det gäller skyddet av personuppgifter är det viktigt att betona att man med EPJ-systemen inte bara kan behandla mer personuppgifter t.ex. i nya sammanhang eller genom sammanställning av uppgifter från flera källor men också göra dem mer lättillgängliga för en större krets av användare än tidigare. Det bör också framhållas att informationen i EPJ-system kan vara av intresse inte bara för hälso- och sjukvårdspersonal den kan också vara intressant för utomstående som försäkringsbolag och polismyndigheter. EPJ-systemen innebär alltså nya risker: Genom att befintliga patientjournaler från olika källor sammanställs blir känslig information lättare tillgänglig och sprids till en större krets. Det ökar också möjligheterna till missbruk betydligt. För merparten av projekt kommer de här riskerna för missbruk att bli verklighet först när systemen är införda i full skala. Men man måste ändå vara medveten om riskerna redan nu, på ett stadium då de flesta existerande modellerna bara tillämpas delvis eller i begränsad omfattning, t.ex. enbart för en begränsad mängd hälsouppgifter eller begränsat till sjukhus i en viss region. Det är nämligen bara en tidsfråga innan systemen kommer att vara heltäckande. II. Regelverket för skydd av personuppgifter tillämpat på EPJ All behandling av personuppgifter i EPJ-system måste följa bestämmelserna om skydd av personuppgifter. Vi vill understryka att de grundläggande bestämmelser som är tillämpliga på EPJ framgår av skäl 2 i ingressen till direktiv 95/46/EG. Det sägs där att systemen för databehandling av uppgifter är till för människornas skull. Oavsett fysiska personers medborgarskap eller hemvist måste systemen respektera dessa personers grundläggande frioch rättigheter särskilt rätten till privatlivet och bidra till ekonomiska och sociala framsteg, handelns utveckling och enskilda personers välfärd. Den grundläggande rätten till skydd av personuppgifter grundar sig huvudsakligen på artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (EKMR) och artikel 8 i Europeiska unionens stadga om de grundläggande 4 5 KOM(2004) 356 slutlig. Se t.ex. artikel 5.5 i Europaparlamentets och rådets beslut 1786/2002/EG. 5 / 22

6 rättigheterna 6. Närmare bestämmelser finns bl.a. i EU:s dataskyddsdirektiv 95/46/EG (i fortsättningen kallat direktivet) och i direktiv 2002/58 7, samt i nationella lagbestämmelser i de medlemsstater som genomfört dessa direktiv. All behandling av personuppgifter i EPJ måste också uppfylla bestämmelserna i Europarådets konvention 108 om skydd för enskilda vid automatisk databehandling av personuppgifter (ETS 108) och det tilläggsprotokoll till Europarådets konvention 108 som rör tillsynsmyndigheter och gränsöverskridande flöden av personuppgifter (ETS 181). När det gäller EPJ vill vi speciellt hänvisa till Europarådets rekommendation nr R(97) 5 av den 13 februari 1997 om skydd av hälsouppgifter [Council of Europe Recommendation No. R(97) 5 on the protection of medical data]. Vi hänvisar också till de rekommendationer som ges i arbetsdokumentet om tillgång online till elektroniska patientjournaler (Working Document on Online Availability of Electronic Health Records) från den internationella arbetsgruppen för skydd av personuppgifter inom telekommunikation (International Working Group on Data Protection in Telecommunications) Allmänna principer Registeransvariga som sammanställer uppgifter i EPJ-system måste således följa alla allmänna principer som gäller för skydd av personuppgifter. (Översättarens anmärkning: I den svenska personuppgiftslagen [SFS 1998:204] används termen personuppgiftsansvarig, men i den svenska översättningen av direktivet används registeransvarig för engelskans data controller.) De omfattar bl.a. följande: Principen om användningsbegränsning (ändamålsprincipen): Den här principen, som delvis uttrycks bl.a. i artikel 6.1 b i direktivet, förbjuder ytterligare behandling som är oförenlig med ändamålen för insamlingen av uppgifterna. Principen om relevans och tillförlitlighet: Enligt den här principen i direktivet skall personuppgifter ha relevans för de ändamål de samlas in de får alltså inte omfatta mer än nödvändigt. Om man ändå samlat in onödiga uppgifter måste de utplånas (artikel 6.1 c). Enligt artikel 6.1 d måste uppgifterna också vara riktiga och aktuella. Principen om tidsbegränsat bevarande: Personuppgifter får inte lagras längre än vad som är nödvändigt med hänsyn till det ändamål för vilket de samlats in eller behandlats ytterligare. Informationskrav: Enligt artikel 10 i direktivet måste registeransvariga som behandlar uppgifter i EPJ lämna viss information till personer om vilka uppgifter registreras. Det är t.ex. uppgifter om registeransvarig, ändamålen med behandlingen, mottagarna av uppgifterna och om den registrerades rätt att få tillgång till de uppgifter som rör honom. 6 Rätten till skydd av personuppgifter är inte absolut och kan begränsas om allmänintresset så kräver. Målen för allmänintresset rättfärdigar dock inte alltid ingrepp i skyddet av personuppgifter. I artikel 8 i EKMR sägs nämligen följande: Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. 7 Europaparlamentets och rådets direktiv 2002/58/EG av 12 juli 2002 om behandling av personuppgifter och skydd för privatlivet inom telekommunikationsområdet (EGT L 201, , s ). 8 Dokumentet antaget vid arbetsgruppens 39:e sammanträde i Washington D.C. den 6 7 april Se vidare 6 / 22

7 Registrerades rätt till tillgång till uppgifter: Enligt artikel 12 har en registrerad person rätt att kontrollera att uppgifterna om honom är riktiga och aktuella. Denna rätt gäller utan inskränkning även för uppgifter i EPJ-system. Skyldigheter beträffande datasäkerhet: Enligt artikel 17 skall de registeransvariga vidta åtgärder för att skydda personuppgifter från förstöring genom olyckshändelse eller otillåtna handlingar. De skall även vidta åtgärder mot otillåtet röjande av uppgifterna. Åtgärderna kan vara av organisatorisk eller teknisk karaktär. 2. Särskilt skydd av känsliga personuppgifter Behandling av hälsorelaterade personuppgifter är speciellt känslig och kräver därför särskilt skydd. Personuppgifter definieras så här i artikel 2 a i direktivet: Varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade). En identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, mentala, ekonomiska, kulturella eller sociala identitet. Definitionen av särskilda kategorier av uppgifter finns i artikel 8.1 och lyder så här: Medlemsstaterna skall förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv. En uppgift om att en person har skadat foten och är halvt sjukskriven utgör en personuppgift om hälsa i den mening som avses i artikel Det gäller också personuppgifter som har en tydlig och nära koppling till bilden av en persons hälsotillstånd. Uppgifter om intag av läkemedel, alkohol och narkotika samt genetiska data är tveklöst hälsorelaterade personuppgifter, i synnerhet om de är införda i en patientjournal. Även andra uppgifter t.ex. administrativa uppgifter som personnummer och datum för inläggning på sjukhus som finns i medicinsk dokumentation om patientvård måste betraktas som känsliga. Om de inte hade betydelse för vården av patienten skulle och borde de nämligen inte ha funnits med i patientjournalen. Medlemmarna i artikel 29-gruppen drar slutsatsen att alla uppgifter i EPJ och övrig medicinsk dokumentation bör behandlas som känsliga personuppgifter. De omfattas därför inte bara av alla de allmänna bestämmelser om skydd av personuppgifter som finns i direktivet, utan dessutom av de särskilda bestämmelser om behandling av känsliga uppgifter som finns i artikel Generellt förbud mot behandling av hälsorelaterade personuppgifter; undantag från detta förbud Artikel 8.1 i direktivet innehåller ett generellt förbud mot behandling av hälsorelaterade personuppgifter. Det gör också artikel 6 i Europarådets konvention nr 108. Detta särskilda skydd enligt artikel 8.1 kompletterar övriga bestämmelser i direktivet, i synnerhet artiklarna 6 och 7. I artikel 7 fastställs i vilka fall behandling av uppgifter är tillåten. 9 EG-domstolen, dom av den 6 november 2003, mål nr C-101/01 Bodil Lindqvist. 7 / 22

8 Men eftersom det är viktigt att ha tillgång till uppgifter om en patient för att kunna ge rätt behandling, finns undantag från det generella förbudet. Direktivet innehåller bestämmelser om bindande undantag (artikel 8.2 och 8.3) och om ett frivilligt undantag (artikel 8.4). Alla undantag är begränsade och uttömmande och skall tolkas restriktivt. 4. Artikel 8.2 a: Uttryckligt samtycke Enligt artikel 8.2 a gäller följande: Punkt 1 gäller inte om a) den registrerade har lämnat sitt uttryckliga samtycke till en sådan behandling, utom när det enligt medlemsstatens lagstiftning anges att förbudet i punkt 1 inte kan upphävas genom den registrerades samtycke,. a) Ett villkor för att få behandla känsliga uppgifter kan således vara att den registrerade har gett sitt samtycke. 10 Som redan framhållits i våra tidigare arbetsdokument WP och WP är det viktigt att detta samtycke för att vara giltigt oavsett under vilka omständigheter det har getts måste vara uttryck för den registrerades frivilliga, särskilda och informerade viljeyttring, enligt definitionen i artikel 2 h. a.1) Samtycket måste ges frivilligt: Med frivilligt samtycke menas ett beslut som fattats av en person som är vid sina sinnens fulla bruk, utan tvång av något slag, vare sig socialt, ekonomiskt, psykologiskt eller annat. Ett samtycke som i en vårdsituation getts under hot om att en medicinsk behandling annars inte kommer att ges, eller att behandling av lägre kvalitet kommer att ges, kan inte betraktas som frivilligt. Samtycke som ges av en patient som inte har haft möjlighet att göra ett reellt val eller som har ställts inför ett fullbordat faktum kan inte anses vara giltigt. Vi anser att då en patients hälsotillstånd gör att det är absolut nödvändigt för hälsooch sjukvårdspersonal att behandla personuppgifter i ett EPJ-system är det fel att kräva att de måste inhämta samtycke. Krav på samtycke bör begränsas till fall där patienten har ett reellt fritt val, dvs. kan vägra att ge samtycke utan att lida skada. 13 a.2) Samtycket måste gälla en konkret situation: I artikel 2 h anges att samtycket måste vara en särskild viljeyttring. Det innebär att samtycket måste gälla en väldefinierad, konkret situation där man avser att behandla hälsouppgifter. Ett generellt medgivande av den registrerade, som t.ex. innebär att hans hälsouppgifter från dåtid och framtid får registreras i EPJ och därefter överföras till berörd hälso- och sjukvårdspersonal, utgör inte ett samtycke enligt definitionen i artikel 2 h. a.3) Samtycket måste vara en informerad viljeyttring: Det innebär att patienten gett sitt samtycke baserat på sin bedömning och förståelse av fakta om och följderna av en viss åtgärd. Han måste på ett tydligt och förståeligt sätt få fullständig information om 10 Att en patient har gett sitt medgivande till en viss vårdinsats innebär inte automatiskt att han gett sitt samtycke, i den mening som avses i artikel 2 h, till behandling i synnerhet röjande eller överföring av personuppgifter som registreras i samband med vårdinsatsen. 11 Artikel 29-gruppens arbetsdokument Överföring av personuppgifter till tredje land tillämpning av artiklarna 25 och 26 i EU:s dataskyddsdirektiv (WP 12, 24 juli 1998). 12 Artikel 29-gruppens arbetsdokument om en gemensam tolkning av artikel 26.1 i direktiv 95/46/EG av den 24 oktober 1995 (WP 114, 25 november 2005). 13 Se också artikel 29-gruppens Yttrande 8/2001 om behandling av personuppgifter i anställningsförhållanden (WP 84, avsnitt 10). 8 / 22

9 alla frågor av betydelse, i synnerhet de som är upptagna i artiklarna 10 och 11, t.ex. vilka slag av uppgifter som behandlas, ändamålen med behandlingen av uppgifterna, mottagarna av eventuella överföringar samt patientens rättigheter. Patienten måste också vara medveten om följderna av att inte ge samtycke till behandlingen av uppgifterna. b) Till skillnad från vad som föreskrivs i artikel 7 gäller för känsliga personuppgifter att samtycket måste vara uttryckligt. Det gäller alltså för EPJ. Det finns lösningar där behandling av uppgifter får ske såvida inte den registrerade personen uttryckligen sagt nej till detta (opt-out). Ett samtycke består då enbart i att personen inte har sagt nej, men han behöver inte uttryckligen ha sagt ja. Det uppfyller emellertid inte kravet på en uttrycklig positiv viljeyttring. I enlighet med den allmänna definitionen att samtycke förutsätter en viljeyttring, måste samtycket uttryckligen avse det förhållande att uppgifterna är känsliga. Patienten måste vara medveten om att han avstår från det speciella skyddet av uppgifterna. Skriftligt medgivande krävs dock inte. c) Vi har konstaterat att det ibland är praktiskt svårt att erhålla samtycke. Det gäller i synnerhet då det saknas direkt kontakt mellan den registeransvarige och patienten. Men vilka svårigheter som än råder måste den registeransvarige alltid kunna bevisa att han för det första har fått patientens uttryckliga samtycke och för det andra att samtycket har lämnats på basis av tillräckligt exakta upplysningar. d) Till skillnad från artikel 7 sägs i artikel 8.2 a att det i fråga om känsliga uppgifter kan finnas fall där inte ens ett uttryckligt samtycke av den registrerade gör att förbudet mot behandling av uppgifterna får upphävas. Medlemsstaterna får själva bestämma om och hur de vill detaljreglera sådana fall. 5. Artikel 8.2 c: den registrerades grundläggande intressen Behandling av känsliga personuppgifter kan berättigas om den är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke. Behandlingen av uppgifterna måste ha betydelse för ett väsentligt enskilt intresse hos den registrerade eller någon annan person. I hälso- och sjukvårdssammanhang måste den vara nödvändig för att rädda livet på någon som är oförmögen att uttrycka sin vilja. Det här undantaget får således bara tillämpas på ett fåtal fall. Det får absolut inte tillämpas för att behandla hälsorelaterade personuppgifter för andra ändamål än sjukvårdsinsatser för den aktuella patienten. Man får alltså inte använda undantaget för att med patienten som forskningsobjekt utföra allmän medicinsk forskning som inte kommer att ge resultat förrän någon gång i framtiden. 14 Exempel: En person har förlorat medvetandet efter en olycka och är oförmögen att ge sitt samtycke till att hälso- och sjukvårdspersonalen får tillgång till uppgifter om hans kända allergier. Men enligt undantaget har de rätt att se uppgifter i EPJ om den registrerades allergier, eftersom de kan visa sig ha avgörande betydelse för vilken vårdinsats som skall väljas. 14 En tolkning av en liknande bestämmelse, som finns i artikel 26.1 e och som rör överföring av uppgifter till länder utanför EU, finns i artikel 29-gruppens Arbetsdokument om en gemensam tolkning av artikel 26.1 i direktiv 95/46/EG av den 24 oktober 1995 (WP 114, 25 november 2005). 9 / 22

10 6. Artikel 8.3: Hälso- och sjukvårdspersonals behandling av hälsorelaterade personuppgifter Enligt artikel 8.3 får känsliga personuppgifter behandlas om tre villkor samtliga är uppfyllda: Behandlingen av uppgifterna måste 1) vara nödvändig, den måste 2) avse förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- eller sjukvård, och 3) uppgifterna måste behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller bestämmelser som antagits av behöriga nationella organ är underkastad tystnadsplikt eller av en annan person som är ålagd en liknande tystnadsplikt. (Översättarens anmärkning: I den svenska översättningen av direktivet skall det andra eller i artikel 8.3 bytas ut mot ett och, eftersom samtliga tre villkor måste vara uppfyllda.) a) Detta undantag omfattar enligt artikeln bara behandling av personuppgifter för bestämda ändamål, nämligen förebyggande hälso- och sjukvård, diagnoser, vård eller behandling, samt administration av sådana tjänster, t.ex. fakturering, statistik och ekonomisk redovisning. Artikel 8.3 omfattar inte sådan ytterligare behandling av uppgifterna som inte är direkt nödvändig för tillhandahållandet av de aktuella tjänsterna. Det kan vara behandling som görs i samband med medicinsk forskning, ersättning av sjukvårdskostnader via sjukförsäkring eller skadeståndsmål. Utanför tillämpningsområdet för artikel 8.3 ligger också en rad andra former för behandling av personuppgifter inom områden såsom folkhälsa och socialskydd, t.ex. för att trygga kvalitet och kostnadseffektivitet i rutiner för handläggning av ansökningar om förmåner och tjänster i sjukförsäkringssystemet, något som nämns i skäl 34 i direktivet som exempel då artikel 8.4 kan vara aktuell att tillämpa. b) Artikel 8.3 medger behandling av uppgifterna bara om den är nödvändig för de ändamål som anges i första stycket i punkt a) ovan. För EPJ betyder det och detta är viktigt att all registrering av personuppgifter i EPJ måste vara fullständigt berättigad. Att det skulle vara praktiskt att ha vissa personuppgifter i EPJ räcker inte som motivering. c) Enligt artikel 8.3 gäller också att behandlingen av känsliga personuppgifter måste göras av hälso- och sjukvårdspersonal som omfattas av yrkessekretess eller av annan personal som omfattas av en likvärdig tystnadsplikt. Läkaryrkets etiska krav på tystnadsplikt formulerades för första gången i Hippokrates' läkared 15. Den har senare stadfästs i 1948 års Genèvedeklaration som antagits av Internationella läkarförbundet (World Medical Association). Genom tystnadsplikten skyddas uppgifter som hälso- och sjukvårdsanställda får tillgång till vid vård av patienter. Uppgifterna får utnyttjas uteslutande inom ramen för vårdkontraktet mellan hälso- och sjukvårdspersonal och patient, dvs. enbart i samband med själva vårdtillfället. Detta förtrolighetsförhållande utestänger alla utomstående parter även annan hälso- och sjukvårdspersonal från tillgång till uppgifterna, såvida patienten inte har gått med på att de får föras vidare eller lagen säger annorlunda. Vi vill framhålla att yrkessekretessen måste vara fastlagd antingen i medlemsstaternas nationella lagstiftning eller av nationella yrkesorganisationer som har befogenhet att anta bindande yrkesregler på området. Knutna till dessa nationella regler måste också finnas verkningsfulla påföljder för överträdelser. Om det skulle bli nödvändigt för personer verksamma utanför hälso- och sjukvården att behandla känsliga personuppgifter måste de enligt artikel 8.3 omfattas av bindande regler som 15 Vad jag under min yrkesutövning än hör och ser bland människor av den beskaffenhet att det måhända icke bör spridas, skall jag förtiga och betrakta som osagt. (Källa: 10 / 22

11 garanterar minst samma grad av tystnadsplikt och skydd som när uppgifterna behandlas av hälso- och sjukvårdspersonal. Särskilt viktigt är att reglerna föreskriver att uppgifterna bara får användas för de ändamål som anges i artikel 8.3. Hälso- och sjukvårdspersonal med direkt ansvar för patientvård omfattas i allmänhet av lagstadgad skyldighet att dokumentera den medicinska behandling de utför (undersökningar, förskrivningar etc.) i patientjournaler. Det finns åtskilliga exempel på gällande lagbestämmelser om hälso- och sjukvårdspersonals yrkessekretess i vilka det föreskrivs att förande och användning av patientjournaler traditionellt är begränsad till att ske inom ramen för den direkta vårdrelationen mellan en patient och den hälso- och sjukvårdspersonal eller den vårdenhet han behandlas av. d) Artikel 8.3 är ett undantag från det generella förbudet mot behandling av känsliga uppgifter. Undantaget måste därför tolkas restriktivt. e) När det gäller frågan om artikel 8.3 ensam kan tjäna som rättslig grund för behandling av personuppgifter i EPJ-system anser vi att den ger stöd enbart för behandling av hälsouppgifter som är strängt begränsad till de ändamål som anges i artikeln, och under de stränga villkoren att behandlingen måste vara nödvändig och utföras av hälso- och sjukvårdspersonal som är bunden av yrkessekretess eller av någon annan person som är bunden av likvärdig tystnadsplikt. Om behandlingen av personuppgifterna i EPJ på något sätt går utöver dessa ändamål eller inte uppfyller ovannämnda villkor, kan artikel 8.3 inte tjäna som rättslig grund för behandlingen av de aktuella uppgifterna. Men även om alla nämnda förutsättningar vore uppfyllda, måste vi peka på att EPJ-systemen medför nya risker som måste motverkas med nya, kompletterande skyddsmekanismer. Riskerna har sin grund i att EPJ-systemen ger omedelbar tillgång till en sammanställd mängd av olika hälsouppgifter om en patient. Uppgifterna kan komma från olika källor t.ex. sjukhus och sjukvårdspersonal och omfatta hela livstiden. I EPJ-systemen tillhandahålls och används hälsouppgifterna i en helt annan skala än med traditionella patientjournaler, och det innebär därför ett överskridande av de gränser som hittills kännetecknat förhållandet mellan patienten och hälso- och sjukvårdspersonalen eller vårdenheten. Ur teknisk synpunkt ökar de många åtkomstpunkterna eller accesspunkterna i ett öppet nät t.ex. internet möjligheten till obehörigt uppsnappande av hälsouppgifter. Den lagstadgade tystnadsplikt som var ändamålsenlig för journaler i pappersform kan visa sig vara otillräcklig för skydd av en patients enskilda intressen när journalerna blir elektroniska och tillgängliga online. Fullt utbyggda EPJ-system tenderar att göra det lättare att få tillgång till hälsouppgifter och andra känsliga personuppgifter och att sprida dem till en större krets. Det är därför inte lätt att garantera att bara behörig hälso- och sjukvårdspersonal har tillgång till uppgifterna för berättigade ändamål som rör vården av patienter. EPJ-systemen gör att behandlingen av känsliga personuppgifter blir mer komplex och att den får direkta följder för de enskildas rättigheter. EPJ måste därför betraktas som en ny riskfaktor när det gäller skyddet av känsliga personuppgifter. Den huvudsakliga och traditionella skyddsmekanismen i artikel 8.3 förutom begränsningen i fråga om ändamål och det strikta kravet på att behandlingen av personuppgifterna måste vara nödvändig för de angivna ändamålen är hälso- och sjukvårdspersonalens tystnadsplikt beträffande hälsouppgifter om sina patienter. Det är möjligt att den bestämmelsen inte längre är tillämplig fullt ut i EPJ-världen, eftersom ett av syftena med EPJ är att personal, som inte förut deltagit i behandlingen av patienten, skall få tillgång till tidigare journaluppgifter. Behandling av personuppgifter kan i nuläget ske med stöd av artikel 8.3 som föreskriver tystnadsplikt men vi är inte övertygade om att tystnadsplikten utgör ett tillräckligt skydd i EPJ-systemen. De nya risker som EPJ innebär gör att det krävs ytterligare skyddsmekanismer utöver dem i artikel 8.3 för att åstadkomma tillräckligt skydd av personuppgifter. 11 / 22