SOU 2015:32 Nästa fas i e-hälsoarbetet

Transkript

1 Yttrande Diarienr 1 (20) Ert diarienr S2015/2282/FS s.registrator@regeringskansliet.se s.fs@regeringskansliet.se SOU 2015:32 Nästa fas i e-hälsoarbetet Sammanfattning Datainspektionen har granskat betänkandet huvudsakligen utifrån sin uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Yttrandet är begränsat till mer övergripande frågor och frågor av väsentlig betydelse för den enskildes personliga integritet. I betänkandet lämnas bl.a. förslag till en gemensam läkemedelslista. Förslaget innebär en grundläggande förändring av det regelverk som idag gäller för behandling av personuppgifter inom läkemedelsområdet. Datainspektionen avstyrker förslaget i sin nuvarande utformning eftersom de avvägningar och integritetsskyddande åtgärder som erfordras för att behandlingen ska vara tillåten enligt grundlag och dataskyddsdirektiv i alltför stor utsträckning saknas. De integritetsavvägningar som gjordes vid införandet av receptregistret och läkemedelsförteckningen och som avspeglas i nu gällande reglering saknas helt i det aktuella förslaget om gemensam läkemedelslista. Dessutom är angivna ändamål betydligt vidare än vad som kan vara behövligt utifrån syftet med den gemensamma läkemedelslistan och det är oklart vilken roll E- hälsomyndigheten har i förhållande till ändamålet med listan. Generellt saknar betänkandet ordentliga analyser, proportionerliga och välgjorda avvägningar där alternativa metoder och mindre integritetskränkande alternativ övervägs och förslag på konkreta, särskilda integritetsskyddande åtgärder för att väga upp de förslag som lämnas i betänkandet. Framförallt görs det ingen bedömning av vad förslaget med en nationell läkemedelslista som helhet innebär för integriteten. Rätten till skydd för den enskildes personliga integritet och rätten till respekt för privatlivet är grundläggande rättigheter, som kommer till uttryck i såväl Postadress: Box 8114, Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: Telefon:

2 Datainspektionen Diarienr (20) 2 kap. 6 regeringsformen som i artikel 8 i Europakonventionen och i artikel 7 och 8 i EU:s rättighetsstadga. När det gäller automatiserad behandling av personuppgifter har dessa grundläggande rättigheter preciserats i dataskyddsdirektivet 95/46/EG. Begränsningar i skyddet för den personliga integriteten får göras endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett dem (2 kap. 21 regeringsformen). Lagstiftaren måste tydligt redovisa vilka avvägningar som gjorts vid den proportionalitetsbedömning som ska göras (prop. 2009/10:80 sid. 177). En förutsättning för att få behandla personuppgifter automatiserat är därför att de integritetsintrång som behandlingen innebär för den enskilde avvägs mot behovet av behandlingen. I den avvägningen ingår det att bedöma hur inskränkningarna i integritetsskyddet kan vägas upp på annat sätt. Ändamålet måste vara så specificerat att det är möjligt att göra denna avvägning. Den föreslagna lagen om gemensam läkemedelslista har angetts ha som syfte att ge de yrkesutövare som ordinerar, administrerar och expedierar läkemedel och andra varor tillgång till aktuella och korrekta uppgifter så att kvalitet och säkerhet vid denna verksamhet kan säkerställas. Syftet är också att patienten ska få tillgång till uppgifter om de läkemedel och andra varor som expedierats till patienten. Samtidigt anges i betänkandet att informationshanteringen i hälso- och sjukvård och socialtjänst gått från en tid när ett stort fokus låg på att uppgifter om enskilda dokumenterades, till en tid när mer och mer uppmärksamhet även riktas på hur dokumenterade uppgifter kan användas för att skapa bästa möjliga resultat för enskilda individer och för nästkommande i liknande situationer (s. 86). Utgångspunkten för en gemensam läkemedelslista bör enligt Datainspektionens mening vara att den ska innehålla sådan information som apoteken behöver från vården för att kunna fullgöra sitt uppdrag att lämna ut läkemedel som förskrivits mot recept, och den information vården behöver från apoteken för att kunna ordinera läkemedel. I förslaget synes det som om det är flera andra behov som läkemedelslistan ska uppfylla. Datainspektionen anser att det är mycket viktigt att det inte sker glidningar som innebär att de olika personuppgiftsbehandlingarna och dess grund inte kan särskiljas. Det är viktigt både för patienten, den personuppgiftsansvarige, personalen och regelgivaren att det är tydligt vilken reglering en behandling omfattas av och för vilket än-

3 Datainspektionen Diarienr (20) damål den sker. Exempelvis regleras hanteringen av personuppgifterna i patientjournalerna av patientdatalagen. Om vården har behov av ytterligare eller andra behandlingar än dem som tillåts enligt patientdatalagen är det den lagen som ska ändras. Behovet och proportionaliteten av en nationell lista för analys och kunskapsinhämtning måste prövas fristående utifrån såväl reglerna i 2 kap. 6 regeringsformen som dataskyddsdirektivet. E-hälsomyndigheten synes inte ha något primärt ändamål för sin behandling av uppgifterna i listan, men ska enligt förslaget ändå vara personuppgiftsansvarig och behandla uppgifterna för egen del. En sådan konstruktion kräver en noggrann analys eftersom det innebär att mycket känsliga personuppgifter rörande i princip samtliga landets innevånare samlas hos och behandlas av E-hälsomyndigheten utan att det, såsom förslaget ser ut, egentligen behövs för att uppfylla de primära ändamålen. Ett alternativ till detta förslag är att uppgifterna behandlas av E- hälsomyndigheten för annans räkning och att det är vårdgivarna respektive öppenvårdsapoteken som är personuppgiftsansvariga för sina egna behandlingar. Det skulle betyda att uppgifterna inte kan behandlas i sin helhet av någon eftersom det rör sig om skiljda personuppgiftsansvar. Därmed erhåller den enskilde ett betydligt bättre integritetsskydd. Utredningen föreslår även en hel del förändringar avseende organisationen inom e-hälsoområdet. Datainspektionen konstaterar att förslagen bland annat innebär väsentliga förändringar i fördelningen av uppgifterna mellan å ena sidan staten och å andra sidan kommuner och landsting. E- hälsomyndigheten ges också en mycket vid roll. Vad gäller dessa förslag saknas det genomgående analyser av vad förslagen innebär för personuppgiftsbehandling och vilka risker som finns för intrång i den personliga integriteten. 10 Förbättrad informationshantering i läkemedelsprocessen 10.2 Olika yrkesutövare behöver ha tillgång till kritisk information Syftet med den föreslagna läkemedelslistan anges vara att tillgängliggöra läkemedelsinformation för yrkesutövare och för patienten själv. Utredningen konstaterar att det är många olika professioner som är involverade i läkemedelsprocessen och som har behov av tillgång till information. Bland annat

4 Datainspektionen Diarienr (20) anges att behörig personal i hälso- och sjukvården och på apoteken i realtid behöver ha tillgång till personuppgifter om den enskilde och om de insatser i form av ordination av läkemedel och olika former av behandlingar, m.m. som den enskilde tidigare fått. Utredningens analys av yrkesutövares behov av tillgång till läkemedelsinformation utgår helt från ordinatören. Datainspektionen ifrågasätter om den utgångspunkten är riktig, mot bakgrund av att en övervägande del av den information som utredningen beskriver att ordinatören har behov av redan finns i patientjournalen. Såsom framhålls i betänkandet är patientjournalen den primära informationskällan för den som deltar i vården av en patient, och i journalen ska alla uppgifter som behövs för en god och säker vård av patienten antecknas, vari ingår uppgifter om ordinationer. Datainspektionen anser även att den problembild som målas upp av utredningen avseende konsekvenserna av möjligheten att spärra information mellan vårdenheter är missvisande. Regeringen har uttryckt att uppgifter bör lagras i olika skikt så att mer känsliga uppgifter kräver aktiva val och annars inte är lika åtkomliga för personalen som mindre känsliga uppgifter (prop 2007/08:126 s 149 och 240). En fördel med aktiva val, dvs. att passera tekniska trösklar, är att det underlättar för den personuppgiftsansvarige att göra återkommande och systematiska logguppföljningar genom att det blir en typ av omständighet som kan utgöra underlag för uttag och kontroll av loggar. Såsom utredningen konstaterar utgör inte kravet på aktivt val ett absolut hinder för vårdgivaren att skapa en intern samlad läkemedelslista, utan det enda som krävs är att den som vill läsa informationen bekräftar sin behörighet Förslag till justeringar i befintlig lagstiftning Utredningen föreslår att den som har legitimation för yrke inom hälso- och sjukvården ska få ha direktåtkomst till uppgifter om recept i receptregistret. Idag får sådan personal endast ha direktåtkomst till dosrecept i receptregistret, och vid sådan direktåtkomst krävs patientens samtycke. Redan registreringen av uppgifter om dosrecept i receptregistret kräver patientens samtycke. I betänkandet förs inte några resonemang kring införandet av en bestämmelse om krav på samtycke för hälso- och sjukvårdspersonals direktåtkomst till uppgifter i receptregistret. Datainspektionen konstaterar att för direktåtkomst till uppgifter såväl i läkemedelsförteckningen som inom ramen för samman-

5 Datainspektionen Diarienr (20) hållen journalföring krävs den registrerades samtycke. Den enskildes integritet ges därmed ett sämre skydd enligt förslaget än enligt nu gällande reglering, utan att det motiveras i betänkandet. Enligt förslaget ska all legitimerad personal inom hälso- och sjukvården få ha direktåtkomst till samtliga recept i receptregistret, inte bara dosrecept. Registret öppnas därmed upp för direktåtkomst till en bred krets av användare vilket medför en markant ökning av risken för obehörig spridning av patientuppgifter. Datainspektionen ifrågasätter inte att det kan finnas behov av att ge fler personalkategorier direktåtkomst till fler uppgifter i receptregistret än vad som gäller idag. Datainspektionen anser dock att ett sådant förslag måste föregås av en analys av vilka uppgifter som behövs av vilka personalkategorier och vilka konsekvenser en vald lösning kan få för den personliga integriteten, samt en noggrant redovisad proportionalitetsbedömning. Mot bakgrund av den bristande utredningen kan Datainspektionen inte tillstyrka det nu aktuella förslaget att personal inom hälso- och sjukvården ska få ha direktåtkomst till uppgifter i receptregistret En ny gemensam informationskälla för säkerhet och kvalitet i hela läkemedelsprocessen Förslag till en ny lag om en gemensam läkemedelslista, och Inledande bestämmelser i den nya lagen Utredningen föreslår att E-hälsomyndigheten i egenskap av personuppgiftsansvarig ska föra ett nationellt register över ordinationer av läkemedel och andra varor som ska expedieras på öppenvårdsapotek, samt över uppgifter om expediering av dessa läkemedel. E-hälsomyndigheten har inte i uppdrag att vare sig ordinera eller expediera läkemedel, utan uppgiftssamlingens syfte är att tillgodose andra aktörers behov. Datainspektionen ifrågasätter den föreslagna konstruktionen där E- hälsomyndigheten, som saknar egna behov av personuppgifterna och självständiga ändamål för personuppgiftsbehandlingen, tilldelas rollen som personuppgiftsansvarig. Istället bör i det fortsatta lagstiftningsarbetet övervägas om E-hälsomyndigheten kan agera som personuppgiftsbiträde och enbart behandla uppgifter på uppdrag av vårdgivare och tillståndshavare.

6 Datainspektionen Diarienr (20) Datainspektionen efterfrågar en djupare analys av vilka behov av tillgängliggörande av information som finns utöver de som lyfts fram hos vården, hos exempelvis öppenvårdsapoteken, och mellan öppenvårdsapoteken och vården. Enligt Datainspektionens mening bör endast sådan information som det finns ett behov av över verksamhetsgränserna, mellan vård och apotek, regleras av en sådan lag som nu föreslås. Information som redan enligt befintlig lagstiftning ska finnas i en journal och som apotek inte har behov av bör såsom i dagsläget enbart regleras genom patientdatalagen. Enligt förslaget ska E-hälsomyndigheten föra ett register över ordinationer av läkemedel. Av betänkandet framgår inte vilken information som kan ingå i en ordination. Receptregistret är enligt portalparagrafen i lagen om receptregister ett register över förskrivningar. Begreppet ordination förekommer varken i lagen om receptregister eller i lagen om läkemedelsförteckning. Datainspektionen saknar en motivering till denna förändring och efterfrågar en analys av vad förändringen kan innebära för den personliga integriteten. I den mån en ordination innefattar information som omfattas av journalföringsplikten och som det saknas behov av hos öppenvårdsapoteken, anser inspektionen att det inte är lämpligt att sådan information ska ingå i en gemensam läkemedelslista Patientens inställning till personuppgiftsbehandlingen Datainspektionen konstaterar att tillgängliggörande av information i en gemensam läkemedelslista sker i två steg. I det första steget måste ställning tas till vilka uppgifter som överhuvudtaget ska föras in i registret och vad som ska krävas för registreringen. I det andra steget avgörs för vem och under vilka förutsättningar uppgifterna ska vara åtkomliga. En grundläggande förutsättning när det gäller den föreslagna läkemedelslistan är att den, eftersom det är E-hälsomyndigheten som föreslås vara personuppgiftsansvarig för registret, inte kommer att innehålla några vårdgivargränser. Det ligger därför närmast till hands att jämföra den föreslagna regleringen med vad som gäller för tillgängliggörande och åtkomst över vårdgivargränser inom ramen för sammanhållen journalföring respektive enligt lagarna om receptregister och läkemedelsförteckning. Enligt patientdatalagen har den enskilde en möjlighet att motsätta sig att uppgifter görs tillgängliga för andra vårdgivare. Konsekvensen av att en patient motsatt sig ett tillgängliggörande är att uppgifterna spärras. Endast uppgift om att det finns spärrade uppgifter och om vilken vårdgivare som spärrat

7 Datainspektionen Diarienr (20) uppgifterna får då göras tillgängliga inom sammanhållen journalföring. Under vissa förutsättningar kan en vårdgivare begära hos den vårdgivare som spärrat uppgifterna att spärren hävs. En registrerad kan inte motsätta sig att uppgifter registreras i receptregistret och läkemedelsförteckningen. Ett undantag gäller uppgifter om dosrecept, som kräver den registrerades samtycke för registrering. Enligt lagen om receptregister får legitimerad personal inom hälso- och sjukvården ha direktåtkomst till uppgifter om dosrecept. Enligt lagen om läkemedelsförteckning får förskrivare, legitimerad sjuksköterska utan behörighet att förskriva läkemedel och farmaceut ha direktåtkomst till uppgifterna i förteckningen under förutsättning att den registrerade lämnat sitt uttryckliga samtycke. Enligt patientdatalagen kräver direktåtkomst över vårdgivargränser bl.a. den registrerades samtycke. Den registrerade har således enligt nu gällande lagstiftning möjligheter att påverka både vilka uppgifter som tillgängliggörs över vårdgivargränser och kan dessutom förfoga över vilka som får ha direktåtkomst till uppgifter genom att direktåtkomst för vård- och omsorgspersonal i samtliga fall kräver den registrerades samtycke. Enligt de förslag som framförs i betänkandet kommer den enskilde sakna möjlighet att påverka vilka uppgifter som tillgängliggörs i registret och har dessutom mycket begränsade möjligheter att förfoga över vilka som genom direktåtkomst kan ta del av uppgifterna. Datainspektionen noterar att det i och för sig är positivt att det enligt förslaget ska krävas samtycke för att på öppenvårdsapotek visa uppgift om ordinationsorsak och att utredningen föreslår en möjlighet till privatmarkering. I ljuset av vilka möjligheter den enskilde enligt nu gällande lagstiftning har att förfoga över tillgång till dennes personuppgifter och hur förslaget till lag om gemensam läkemedelslista i övrigt är utformat framstår dock dessa två förslag som en i högsta grad otillräcklig åtgärd för att uppväga det ytterligare intrång i den personliga integriteten som förslaget i sin helhet innebär. Datainspektionen ifrågasätter inte att det utifrån patientsäkerhetssynpunkt kan finnas motiv för införande av en lagstiftning som ger möjlighet att behandla uppgifter om läkemedelsanvändning även utan patientens samtycke, till exempel för att förebygga risker för att läkemedel interagerar på ett sätt som är farligt för patienten eller vid förskrivning av narkotiska preparat. Uppgifter om läkemedel är dock som regel mycket integritetskänsliga till sin natur

8 Datainspektionen Diarienr (20) och ett sådant register som det nu är fråga om kommer att omfatta i princip hela landets befolkning. En sådan lagstiftning måste därför föregås av en tydlig beskrivning av vilka behov som finns och en noggrann analys av hur dessa behov kan mötas på ett sätt som medför minsta möjliga intrång i den personliga integriteten. Det saknas i betänkandet Ändamål med personuppgiftsbehandlingen, och Personuppgifter som får behandlas Utredningen bedömer att de föreslagna ändamålen uppfyller dataskyddsdirektivets krav på att vara särskilda, genom att de ger tillämparen ledning för bedömningen av vilka personuppgifter som är adekvata och relevanta i förhållande till ändamålen med behandlingen. Datainspektionen delar inte den bedömningen, utan anser att ändamålen är alltför allmänt hållna och att det sammantaget med att det inte någonstans i den föreslagna lagen finns någon angivelse om vilka uppgifter som får behandlas i den gemensamma läkemedelslistan, gör det mycket svårt att förutse vilka personuppgifter som kan blir föremål för behandling och av vem. Inte heller under de avsnitt där ändamålen beskrivs eller i författningskommentaren framgår några exempel på vilka uppgifter som kan bli föremål för behandling för respektive ändamål. Därtill kommer att uppräkningen av ändamål inte är uttömmande. Exempelvis anges att personuppgifter får behandlas i listan om det är nödvändigt för att förebygga, utreda eller behandla sjukdomar och skador hos patienten samt fullgöra skyldigheter i 3 kap. patientdatalagen (2008:355) och upprätta annan dokumentation som behövs i och för vården av patienten. Eftersom det inte är angivet vilka uppgifter som får behandlas är det enbart ändamålen som begränsar uppgiftsbehandlingen. Dessa angivna ändamål innebär därför att i princip alla uppgifter i en patientjournal kan behandlas i läkemedelslistan. Det finns dock en begränsande faktor och det är den föreslagna sekretessbrytande bestämmelsen i patientdatalagen, som anger att en vårdgivare är skyldig att lämna ut uppgifter om ordinationer av läkemedel och andra varor. Vad en ordination ska eller kan innehålla är emellertid inte något som anges. Den begränsning av vilka uppgifter som kan komma att tillföras listan som den sekretessbrytande bestämmelsen innebär kan inte anses väga upp ett alltför vitt angivet ändamål för behandlingen. När det gäller de föreslagna ändamålen och E-hälsomyndighetens roll som personuppgiftsansvarig för läkemedelslistan kan dessutom följande konstateras. Det förekommer att det i registerförfattningar görs en uppdelning av än-

9 Datainspektionen Diarienr (20) damålen i primära och sekundära. De primära ändamålen ska tillgodose den behandling som behövs i myndighetens egen verksamhet medan de sekundära ändamålen tar sikte på utlämnande, eller tillgängliggörande, av uppgifter för att tillgodose andras behov. De primära ändamålen kan alltså sägas vara styrande för vilka personuppgifter som får samlas in hos myndigheten. I doktrinen har hävdats att relationen mellan de primära och de sekundära ändamålen får förstås så att behandling för att lämna ut personuppgifter till annan enligt de sekundära ändamålen bara får avse personuppgifter som myndigheten samlat in och i övrigt behandlat för sina egna primära ändamål (SOU 2015:39 Myndighetsdatalag, s 263 f). Med ett sådant synsätt ter sig den föreslagna regleringen, innebärande att E- hälsomyndigheten blir personuppgiftsansvarig för behandling för ändamål som inte har någon koppling till myndighetens egen verksamhet, som främmande. Datainspektionen noterar i sammanhanget att en uppgift för E- hälsomyndigheten att tillgängliggöra information för berörda verksamheter inte kan betraktas som ett ändamål för behandling hos E-hälsomyndigheten, utan snarare en stödfunktion för att de övriga aktörerna ska kunna uppfylla sina respektive ändamål för sin behandling av personuppgifter. Sammantaget kan konstateras att de vida ändamålen, avsaknaden av reglering av vilka uppgifter som får behandlas och att E-hälsomyndigheten ska få behandla uppgifterna självständigt, innebär att den föreslagna regleringen skapar möjlighet för en nationell lista innehållande i princip alla vårduppgifter. En sådan lista kan inte införas som en konsekvens av en lösning för hantering av information gällande förskrivningar och expedieringar mellan vårdgivare och öppenvårdsapotek. Det är en omfattande och integritetskänslig behandling som måste prövas och analyseras i sig Sökbegrepp Utredningen föreslår att samma sökbegrepp ska få användas i den nya läkemedelslistan som vad som gäller enligt patientdatalagen. Utredningen konstaterar att det är nödvändigt att uppgifter om hälsa kan användas som sökbegrepp för att syftet med registret ska kunna uppnås. Möjligheterna att använda känsliga uppgifter som sökbegrepp är idag starkt begränsade både för receptregistret och för läkemedelsförteckningen. Förskrivningsorsak får överhuvudtaget inte användas som sökbegrepp. I betänkandet görs inga överväganden kring den föreslagna regleringen av tillåtna

10 Datainspektionen Diarienr (20) sökbegrepp i ljuset av vad som gäller för receptregistret och läkemedelsförteckningen. Det förs inte några resonemang kring avvägningar med hänsyn till risken för intrång i den personliga integriteten. Datainspektionen har tidigare påpekat att såsom förslaget är utformat finns det inom den gemensamma läkemedelslistan inte några vårdgivargränser. Det finns inte heller några förslag på begränsningar avseende aktuell patientrelation eller samtycke när en vårdgivare vill behandla personuppgifter som registrerats av en annan vårdgivare. Här bör också beaktas förslagets utformning vad gäller E-hälsomyndighetens vida möjlighet att använda uppgifterna. Datainspektionen anser att förslaget avseende sökbegrepp innebär en betydande risk för intrång i den personliga integriteten Utlämnande av uppgifter till den gemensamma läkemedelslistan Utredningen föreslår att journalföringsplikten avseende uppgifter om ordination av läkemedel som ska expedieras på öppenvårdsapotek ska fullgöras genom att sådana uppgifter lämnas ut till den gemensamma läkemedelslistan. Datainspektionens uppfattning är att det är viktigt att skilja på olika behandlingar, dess syfte, vem som ansvarar för behandlingen, osv. En sådan tydlighet är viktig för alla inblandade aktörer. Datainspektionen ifrågasätter därför förslaget, som innebär inte bara en hopblandning av roller utan även av regelverk Utlämnande genom direktåtkomst, och Tillåten direktåtkomst Utredningen föreslår att E-hälsomyndigheten ska lämna ut uppgifter genom direktåtkomst till vårdgivare och tillståndshavare för ett antal av de i lagen angivna ändamålen. Uppgifterna ska vara tillgängliga under tjugofyra månader efter att de registrerades. Vidare föreslås att den som arbetar hos en vårdgivare eller en tillståndshavare får ta del av uppgifter genom direktåtkomst om han eller hon behöver uppgifterna för sitt arbete och uppgifterna ska användas för något av de tillåtna ändamålen. Datainspektionen konstaterar inledningsvis att den tiden under vilken uppgifterna föreslås vara tillgängliga för vårdgivare och tillståndshavare via direktåtkomst är längre jämfört med vad som gäller för uppgifter i receptregistret och i läkemedelsförteckningen. För uppgifter i båda dessa register kan åtkomst till uppgifter ske maximalt under femton månader från registrering. I betänkan-

11 Datainspektionen Diarienr (20) det lämnas inte någon motivering till den utsträckta tiden, annat än att den bedöms som tillräcklig. När det gäller den användarkrets som kan komma ifråga för direktåtkomst konstaterar Datainspektionen följande. Enligt förslaget ska den som arbetar hos en vårdgivare eller tillståndshavare få ha direktåtkomst till uppgifterna i registret. Potentiella användare av uppgifterna i registret uppgår därmed uppskattningsvis till fler än hundratusen personer. De enda legala begränsningar avseende omfattningen av den potentiella direktåtkomsten som framgår av den föreslagna lagen är de allmänt hållna ändamålsbestämmelserna för vilka direktåtkomst till uppgifterna får äga rum, samt att en användare endast får ta del av uppgifter som han eller hon behöver för sitt arbete. Datainspektionen anser att den potentiella spridning som patientuppgifter riskerar att få, om förslaget genomförs, är oacceptabel. Utredningen anger att för att balansera den integritetsrisk som en bättre tillgänglighet till uppgifter om en patients läkemedelsbehandling innebär så föreslås flera bestämmelser till skydd för integriteten vid behandling av personuppgifter i registret. Utredningen föreslår en bestämmelse som innebär att en personuppgiftsansvarig som har medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje användare behöver för att kunna fullgöra sina arbetsuppgifter. Vidare föreslås att direktåtkomst inte får medges innan E-hälsomyndigheten har försäkrat sig om att behörighets- och säkerhetsfrågorna är lösta på ett sätt som är tillfredsställande ur integritetssynpunkt. En grundläggande princip enligt dataskyddslagstiftningen är att anställda endast bör ha tillgång till personuppgifter som de behöver för sitt arbete. Detta överensstämmer också väl med gällande sekretessbestämmelser. De integritetsskyddande bestämmelserna som föreslås innebär inte någon förstärkning av integritetsskyddet utan tydliggör endast vad en personuppgiftsansvarig redan idag måste göra för att leva upp till grundläggande säkerhetskrav. Personuppgiftsansvariga måste exempelvis ta ställning till vilka användare som har behov av åtkomst till patientuppgifterna, och inte enbart nöja sig med vilken legitimation en viss befattningshavare har och att alla med den legitimationen ska ha samma behörighetsprofil. Personuppgiftsansvarig måste även tydliggöra för sig själva och andra hur man uppfattar att personuppgiftsansvaret eventuellt är fördelat samt se till att upprätthålla den informationssäkerhet som krävs för att skyddet för uppgifterna ska tillgodoses. Datainspektionen kan därför konstatera att det som i förslaget anges som integri-

12 Datainspektionen Diarienr (20) tetshöjande åtgärder inte är det och att det saknas åtgärder som väger upp det ökade integritetsintrång som förslaget om utökad direktåtkomst innebär Behörighetstilldelning och åtkomstkontroll hos E-hälsomyndigheten I lagförslaget saknas bestämmelser rörande för vilka ändamål E- hälsomyndigheten får behandla uppgifter i den gemensamma läkemedelslistan. Den förslagna bestämmelsen att behörighetstilldelning till användare vid E-hälsomyndigheten ska styras av vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter vid myndigheten blir därmed en intern fråga för E-hälsomyndigheten. Att E-hälsomyndigheten ges en egen möjlighet att behandla uppgifterna innebär att det skapas en stor uppgiftssamling med mycket integritetskänsliga personuppgifter som omfattar i princip hela Sveriges befolkning. Såsom angivits tidigare måste denna behandling prövas utifrån såväl reglerna i 2 kap. 6 regeringsformen som dataskyddsdirektivet. Skulle E-hälsomyndigheten istället vara personuppgiftsbiträde till vårdgivarna respektive öppenvårdsapoteken, så skulle uppgifterna kunna behandlas för de ändamål som vårdgivarna och öppenvårdsapoteken har behov av, men med betydligt mindre integritetsintrång eftersom det ur rättsligt perspektiv inte finns en samlad uppgiftsmängd (jämför förslaget om sammansatt bastjänst i SOU 2015:33 Uppgiftslämnarservice för företagen) Patientens direktåtkomst till den gemensamma läkemedelslistan I betänkandet föreslås att den enskilde själv och en annan fysisk person än den enskilde, enligt den enskildes anvisningar, ska medges direktåtkomst till uppgifter i den gemensamma läkemedelslistan. Datainspektionen har inte något emot att den enskilde får ta del av läkemedelsuppgifterna. Vad gäller förslaget att annan fysisk person kan få direktåtkomst har Datainspektionen i yttrandet över SOU 2014:23 Rätt information på rätt plats i rätt tid (dnr ) framfört att inspektionen inte anser att det är lämpligt att ge patienter möjlighet att dela ut rättigheter till andra fysiska personer att ta del av personuppgifter inom vård och omsorg genom direktåtkomst. Det finns en risk för att patienten utsätts för påtryckningar och kan känna sig tvingad att medge någon annan direktåtkomst till sina uppgifter. Även om det anges att direktåtkomst endast får medges annan fysisk person konstaterar Datainspektionen att det inte finns något som skulle hindra att uppgifter görs tillgängliga för personer som representerar olika kommersiella

13 Datainspektionen Diarienr (20) intressen, t.ex. försäkringsbolag. Även här skulle den enskilde kunna känna sig tvingad till att ge en annan person direktåtkomst till personuppgifter som härrör från vård och omsorg, t.ex. för att kunna få en viss försäkring hos ett försäkringsbolag Bevarande och gallring Utredningen föreslår att uppgifter som tillförs den gemensamma läkemedelslistan till följd av bestämmelserna om journalföringsplikt ska bevaras i minst tio år efter det att den sista uppgiften om en patient förts in i registret samt att andra uppgifter ska tas bort femton månader efter det att giltighetstiden för ordinationen har upphört. Rörande bevarande till följd av journalföringsplikt hänvisar Datainspektionen till vad som anförs i avsnitt i detta yttrande. När det gäller bevarande av andra uppgifter som tillförts registret konstaterar Datainspektionen följande. Det föreslås att dessa uppgifter ska tas bort femton månader efter det att giltighetstiden för ordinationen upphört. Eftersom en ordination är giltig under ett år blir den totala bevarandetiden tjugosju månader, eller drygt två år. Avseende bevarandetidens längd anför utredningen att det är rimligt att E-hälsomyndigheten får spara uppgifterna en viss tid efter att ordinationens giltighetstid löpt ut, och att utredningen stannar för att det är lämpligt att uppgifter ska tas bort femton månader efter att ordinationens giltighetstid löpt ut, vilket enligt utredningen motsvarar den tid som idag tillämpas för gallring av uppgifter i receptregistret. Uppgifter i läkemedelsförteckningen respektive receptregistret får enligt gällande lagstiftning bevaras maximalt femton månader efter att de registrerades. Vissa uppgifter i receptregistret ska gallras redan tre månader efter att de registrerats. Av betänkandet framgår inte vilket behov som motiverar den, i jämförelse med nu gällande lagstiftning, längre bevarandetiden. Inte heller framgår några resonemang kring om samma bevarandetid bör gälla för samtliga uppgifter eller om det finns uppgifter för vilka en annan bevarandetid kan tillämpas (såsom gäller idag enligt lagen om receptregister). Mot bakgrund av de synpunkter som nu lämnats på innehållet i den föreslagna regleringen och de allvarliga brister med vilka utredningen och de tillhörande förslagen är behäftade avstyrker Datainspektionen förslaget till lag om gemensam läkemedelslista i sin helhet.

14 Datainspektionen Diarienr (20) 7 Samverkans- och beslutsformer 7.1 En samverkansorganisation för utvecklingsarbete på e- hälsoområdet Utredningen föreslår att en ny samverkansorganisation för utvecklingsarbete på e-hälsoområdet ska införas. Datainspektionen har inte några egentliga synpunkter på förslagen om inrättande av en styrgrupp och av en koordineringsgrupp eller på förslaget att e-hälsoarbetet ska utgå från en handlingsplan. Datainspektionen kan dock konstatera att förslagen innebär att E- hälsomyndigheten kommer att få en roll inom den nya samverkansorganisationen som innebär betydande inflytande inom såväl den strategiska styrningen som normering inom e-hälsoområdet och förvaltning av register. Datainspektionen konstaterar att det är olyckligt, mot bakgrund av det omfattande och växande uppdrag som E-hälsomyndigheten nu föreslås få, att någon konsekvensutredning inte redovisades i samband med E-hälsomyndighetens inrättande. Inte heller i det förevarande betänkandet förs några problematiserande resonemang eller analyser kring E-hälsomyndighetens tilltänkta roll och uppgifter. Datainspektionen anser att detta är en brist i utredningen, som medför att det inte är möjligt att förutse vilka konsekvenser förslagen i sin helhet kan få. Datainspektionen kan därför inte tillstyrka förslagen om inrättande av en ny samverkansorganisation. 7.2 Ett nytt organ för beslut om krav på interoperabilitet Utredningen föreslår att ett särskilt beslutsorgan inrättas, som med stöd av en ny förordning ska besluta om krav på interoperabilitet vid behandling av personuppgifter i hälso- och sjukvården, på öppenvårdsapoteken och i socialtjänsten. Enligt utredningens förslag till förordning med krav på interoperabilitet, m.m. ska Samverkansnämnden besluta om standarder och interoperabilitet. Datainspektionen konstaterar att den föreslagna förordningens ordalydelse är mycket vag ifråga om vilka beslut som i praktiken kan komma att fattas av Samverkansnämnden. Utredningen uttalar dessutom att det inte kan förutses vilka eller hur många beslut nämnden kommer att fatta. Det framgår framför allt inte, för Datainspektionens vidkommande, i vilken utsträckning besluten kan komma att reglera sådan personuppgiftsbehandling som träffas av dataskyddsdirektivets bestämmelser och därmed faller under Datainspektionens

15 Datainspektionen Diarienr (20) ansvarsområde. Datainspektionen vill i anslutning härtill framhålla de krav som regeringsformen uppställer på rättighetsinskränkande föreskrifter, vad avser bl.a. proportionalitetsavvägningar. Utan närmare kunskap om beslutens tilltänkta innehåll är det svårt att få en uppfattning om vilka konsekvenser besluten kan komma att få för den personliga integriteten. Redan mot denna bakgrund kan Datainspektionen inte tillstyrka de förslag som lämnas rörande Samverkansnämndens beslutsbefogenheter. Datainspektionen konstaterar att de beslut som Samverkansnämnden föreslås fatta framstår som normerande till sin karaktär och ifrågasätter därför om det inte är frågan om normgivning. Datainspektionen är, om det är frågan om beslut, kritisk till att besluten föreslås inte vara överklagbara. Dessa beslut kan vara betungande för enskilda aktörer, genom att krav kan ställas på de informationssystem som används inom de berörda verksamheterna, och att besluten beroende på sitt innehåll skulle kunna ha mycket stor ekonomisk inverkan på en mindre aktör. Datainspektionen konstaterar avslutningsvis att det är oklart hur de beslut som Samverkansnämnden avses fatta förhåller sig till Socialstyrelsens föreskriftsrätt inom området enligt bemyndiganden i patientdatalagen och patientdataförordningen (2008:360). I betänkandet görs inte någon analys av denna fråga. Datainspektionen konstaterar därtill att flera av aktörer som avses ingå i Samverkansnämnden själva kommer att omfattas av de beslut som nämnden fattar. Datainspektionen ifrågasätter en sådan lösning eftersom dessa kan förorda lösningar som gagnar den egna verksamheten. Datainspektionen kan mot denna bakgrund inte tillstyrka de förslag om delegation och till förordning som ligger till grund för inrättande av Samverkansnämnden och dess beslutsbefogenheter. 8 Förtydligat ansvar för ändamålsenlig och säker behandling av personuppgifter I betänkandet föreslås dels att en rättslig grund för hälso- och sjukvårdshuvudmän som inte själva bedriver hälso- och sjukvård att behandla patientuppgifter enligt patientdatalagen införs i samma lag, dels införande av bemyndiganden till regeringen att meddela föreskrifter om krav på informa-

16 Datainspektionen Diarienr (20) tionssystem i hälso- och sjukvården, på öppenvårdsapoteken och i socialtjänsten. Utredningen konstaterar att det underlättar tillämpningen av hälso- och sjukvårdslagstiftningen i allmänhet att skilja mellan landstingens och kommunernas ansvar i egenskap av huvudmän för hälso- och sjukvården och deras ansvar som vårdgivare när de faktiskt bedriver hälso- och sjukvård. Vidare konstateras att landsting och kommuner som inte själva bedriver hälso- och sjukvård i egenskap av vårdgivare, utan som överlåtit denna drift till privata utförare, alltjämt har ett huvudmannaansvar och därmed ett behov av att behandla personuppgifter för att fullgöra sitt uppdrag. Mot denna bakgrund anser utredningen att patientdatalagen bör gälla även för huvudmän som inte själva bedriver hälso- och sjukvård i egenskap av vårdgivare. Datainspektionen konstaterar att patientdatalagen reglerar den personuppgiftshantering som en vårdgivare har behov av att utföra inom hälso- och sjukvård. Datainspektionen kan förstå att även sådana huvudmän som inte bedriver hälso- och sjukvård i egenskap av vårdgivare kan ha ett behov av information som kan läggas till grund för statistik och uppföljning av den verksamhet för vilken huvudmannen har ett ansvar. Den hantering som en sådan huvudman kan ha behov av att utföra utgör dock endast en liten del av den personuppgiftsbehandling som patientdatalagen reglerar. Mot bakgrund av att det enligt dataskyddsdirektivet är otillåtet att behandla fler uppgifter än vad som är nödvändigt anser Datainspektionen att patientdatalagen inte kan vara tillämplig, i vart fall inte generellt, för att reglera den personuppgiftsbehandling som en sådan huvudman har behov av att utföra. Vidare föreslås att en huvudman, genom bl.a. uppföljning av de vårdgivare som är verksamma inom huvudmannens verksamhetsområde, ska se till att kraven på ändamålsenlig och säker behandling av personuppgifter som ställs i patientdatalagen följs. Datainspektionen konstaterar att i den mån det är fråga om regler som avser behandling av personuppgifter är det den personuppgiftsansvarige som ytterst är ansvarig för behandlingen och för att självständigt se till att patientdatalagens regler följs. Den föreslagna regleringen riskerar att skapa otydlighet genom att det kan uppstå motstridigheter i regelverket. Datainspektionen anser att det är viktigt att ansvarsfrågan regleras tydligt och avstyrker därför förslaget.

17 Datainspektionen Diarienr (20) I betänkandet föreslås dessutom att det i apoteksdatalagen (2009:367) och i lagen (2001:454) om behandling av personuppgifter i socialtjänsten införs bestämmelser som innebär krav på tillståndshavaren respektive den som bedriver verksamhet inom socialtjänsten att se till att de informationssystem som innehåller personuppgifter bl.a. underlättar samverkan och utbyte av uppgifter. Datainspektionen konstaterar att det inte från öppenvårdsapoteken sker något annat informationsutbyte än med E-hälsomyndigheten, varken enligt gällande lagstiftning eller enligt den föreslagna lagen om gemensam läkemedelslista. Vidare saknas idag legala förutsättningar för informationsöverföringar från socialtjänsten till andra verksamheter. Datainspektionen konstaterar att det inom hälso- och sjukvård, apotek och socialtjänst behandlas stora mängder känsliga uppgifter i register som omfattar stora delar av befolkningen. Datainspektionen har tidigare i sitt yttrande över SOU 2014:23 Rätt information på rätt plats i rätt tid (dnr ) framhållit att det krävs noggranna analyser över vilken spridning uppgifterna riskerar att få innan en lagstiftning som innebär möjligheter till informationsöverföring mellan de olika verksamheterna införs. Datainspektionen anser att det inte är lämpligt att införa reglering som kan innebära krav på interoperabilitet mellan de olika verksamheterna innan de legala förutsättningarna för informationsöverföringar mellan de olika verksamheterna är ordentligt utredda och införda. Mot denna bakgrund avstyrker Datainspektionen de föreslagna bestämmelserna om ändamålsenlighet och interoperabilitet vid behandling av personuppgifter på öppenvårdsapotek och inom socialtjänsten, både vad avser de generella bestämmelserna rörande informationssystemen och bestämmelserna om delegationen till regeringen och samverkansnämnden att besluta om föreskrifter inom området. 9 Tillämpning av en gemensam informationsstruktur Utredningen föreslår att E-hälsomyndigheten ska få ett instruktionsenligt ansvar att förvalta de informationssystem som krävs för tillgängliggörande av en gemensam informationsstruktur för hälso- och sjukvård och socialtjänst. Datainspektionen konstaterar att det inte klart framgår huruvida och i vilken omfattning detta förvaltarskap innebär behandling av personuppgifter, genom exempelvis lagring. I betänkandet saknas en analys av hur ansvaret för

18 Datainspektionen Diarienr (20) denna förvaltning förhåller sig till de andra roller som E-hälsomyndigheten föreslås få. Datainspektionen ifrågasätter, såsom tidigare framhållits, att samma myndighet ges ansvar för att både förvaltning av informationsmängder och normerande uppgifter inom samma område. Datainspektionen avstyrker mot denna bakgrund förslaget avseende uppdelning av ansvar mellan Socialstyrelsen och E-hälsomyndigheten för den gemensamma informationsstrukturen. 11 Standarder och krav på interoperabilitet Utredningen föreslår en ny förordning om krav på interoperabilitet vid behandling av personuppgifter inom hälso- och sjukvård, öppenvårdsapoteken och socialtjänsten. Enligt förslaget ska en vårdgivare, en tillståndshavare och den som bedriver socialtjänst säkerställa att de informationssystem som används vid behandling av personuppgifter följer de beslut som Samverkansnämnden fattar med stöd av förordningen. Datainspektionen har under avsnitt 7.2 framfört synpunkter på förslaget om inrättande av Samverkansnämnden och de beslut som nämnden avses fatta. Datainspektionen avstyrker med hänvisning till vad som framförts i avsnitt 7.2 även de nu aktuella förslagen. Utredningen gör bedömningen att den föreslagna förordningen och inrättandet av Samverkansnämnden ger Datainspektionen en tydlig grund för att utöva tillsyn över hur förordningen tillämpas i de berörda verksamheterna. Den föreslagna förordningen anges innehålla krav på informationssystem i hälso- och sjukvården, på öppenvårdsapotek och i socialtjänsten vad gäller ändamålsenlighet och säkerhet vid sådan behandling av personuppgifter som regleras i vissa angivna registerförfattningar. Några krav på säkerhet anges inte utan förordningen innehåller istället ett bemyndigande för Samverkansnämnden att besluta om de standarder och krav på interoperabilitet som ska gälla inom dessa områden. De krav på säkerhet som gäller vid behandling av känsliga personuppgifter har sitt ursprung i dataskyddsdirektivet och kan enligt Datainspektionens uppfattning inte överlåtas till en partsgemensam grupp att besluta om. Det är dessutom den personuppgiftsansvarige som ansvarar för att säkerheten för uppgifterna är tillräcklig i förhållande till olika faktorer - såsom tekniska möj-

19 Datainspektionen Diarienr (20) ligheter, kostnader, de särskilda riskerna med behandlingen och hur känsliga personuppgifterna är. Datainspektionen har svårt att förstå hur den föreslagna konstruktionen förhåller sig till gällande regelverk och anser att förslaget bidrar till en otydlighet, framförallt vad avser ansvarsfrågan. Datainspektionen avstyrker därför förslaget. 12 Informationssäkerhet Utredningen föreslår att E-hälsomyndigheten ska ges i uppgift att verka för god informationssäkerhet vid behandling av personuppgifter inom hälso- och sjukvården, öppenvårdsapoteken och socialtjänsten. E-hälsomyndigheten ska genom förslaget ta över en del av Myndigheten för samhällsskydd och beredskaps (MSB) uppdrag. Som skäl för förslaget anförs att MSB har ett strategiskt verksamhetsansvar avseende informationssäkerheten inom hela samhället, och att myndigheten därför inte samtidigt bör ha ett särskilt ansvar för just hälso- och sjukvården. Att E-hälsomyndigheten ska ges den rollen motiveras utifrån myndighetens centrala roll vid utformningen av informationssystemen inom dessa områden. Datainspektionen anser tvärtom att just det skälet att MSB har ansvar att stödja och samordna arbetet med hela samhällets informationssäkerhet talar starkt för att MSB ska ha ansvaret även för så vitala delar av samhället som hälso- och sjukvård, öppenvårdsapotek och socialtjänst. Att E- hälsomyndigheten har en central position inom e-hälsan och föreslås få många olika roller talar enligt Datainspektionens mening också emot att E- hälsomyndigheten ges denna uppgift. I sammanhanget kan tilläggas att även Datainspektionen har ett ansvar för informationssäkerhet genom det tillsynsansvar som myndigheten har över behandling av personuppgifter. Mot denna bakgrund avstyrker Datainspektionen förslaget. Vidare föreslås att Socialstyrelsen, när föreskrifter meddelas med stöd av patientdataförordningen, utöver Datainspektionen även ska samråda med E- hälsomyndigheten. Förslaget motiveras enligt utredningen av alla de andra roller som E-hälsomyndigheten föreslås få. Datainspektionen efterfrågar en saklig motivering till vilket behov som finns av att Socialstyrelsen ska samverka även med E-hälsomyndigheten och vilka konsekvenser en sådan lösning får, sett mot bakgrund av de andra uppdrag som E-hälsomyndigheten ges. Datainspektionen avstyrker mot denna bakgrund det aktuella förslaget.

20 Datainspektionen Diarienr (20) Detta yttrande har beslutats av generaldirektören Kristina Svahn Starrsjö efter föredragning av juristen Eva Maria Broberg. Vid den slutliga handläggningen har även chefsjuristen Hans-Olof Lindblom, enhetschefen Katarina Tullstedt och it-säkerhetsspecialisten Magnus Bergström deltagit. Kristina Svahn Starrsjö Eva Maria Broberg