Behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys (SOU 2018:52)

Relevanta dokument
Regionala etikprövningsnämnden i Uppsala

Myndighetsdatalag (SOU 2015:39)

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Datainspektionen lämnar följande synpunkter.

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

Yttrande över betänkandet Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning

Behandling av personuppgifter vid Myndigheten för vårdoch omsorgsanalys

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Sekretesspolicy

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Snabbare lagföring (Ds 2018:9)

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Taxi och samåkning i dag, i morgon och i övermorgon (SOU 2016:86)

Hur står det till med den personliga integriteten? (SOU 2016:41)

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter och anpassningar av författningar inom Socialdepartementets verksamhetsområde

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

Rätt att forska Långsiktig reglering av forskningsdatabaser

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

8.6.2 Forskningsdatabaslagens territoriella tillämpningsområde (1 kap. 7 )

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

Kommittédirektiv. Personuppgiftsbehandling inom den arbetsmarknadspolitiska verksamheten och i tillsynsverksamheten över denna. Dir.

JURIDIKEN SOM MÖJLIGGÖR REGISTERBASERAD FORSKNING

EU:s dataskyddsförordning

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

För kvalitet Med gemensamt ansvar (SOU 2015:17)

Betänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

GDPR och den svenska lagstiftningen för behandling av personuppgifter för forskningsändamål

Stockholm den 12 december 2018 R-2018/1679. Till Försvarsdepartementet. Fö2018/00999/RS

Hemlig dataavläsning ett viktigt verktyg i kampen mot allvarlig brottslighet (SOU 2017:89)

Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI

Brottsdatalag kompletterande lagstiftning (SOU 2017:74)

Svensk författningssamling

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

SOU 2015:84 Organdonation En livsviktig verksamhet

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Lag (2001:185) om behandling av uppgifter i Tullverkets verksamhet

Svensk författningssamling

Personuppgiftsbehandling för forskningsändamål

Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91)

Dnr A2018/01209/ARM. Kompletterande promemoria till betänkandet Behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap (SOU 2018:45)

Sanktionsavgifter på trygghetsområdet (SOU 2011:3)

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Fortsatt giltighet av lagen om vissa register för forskning om vad arv och miljö betyder för människors hälsa

Kommittédirektiv. Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt. Dir. 2017:42

Ersättning för höga sjuklönekostnader

Personuppgiftslagen baseras på det s.k. dataskyddsdirektivet (95/46/EG). Inom EU har det beslutats att detta direktiv ska ersättas av


Stockholm den 9 november 2017 R-2017/1875. Till Utrikesdepartementet UD2017/15958/HI

Svensk författningssamling

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

Sammanfattning Riksdagens ombudsmän, JO, har beretts tillfälle att lämna synpunkter i rubricerat ärende.

GDPR. Ulrika Harnesk 17 oktober 2018

Mer tydlighet och aktivitet i sjuk- och aktivitetsersättningen (Ds 2016:5)

Personuppgiftsbehandling i forskning

Ökad trygghet för studerande som blir sjuka (SOU 2018:9)

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Socialstyrelsens yttrande över betänkandet Myndighetsdatalag (SOU 2015:39)

Yttrande över betänkandet Saknad! Uppmärksamma elevers frånvaro och agera (SOU 2016:94)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Etikprövningslagen. Reglering efter 2:a världskriget. Lagar som reglerar forskning i Sverige.

Anpassningar av registerförfattningar på arbetsmarknadsområdet. Susanne Södersten (Arbetsmarknadsdepartementet)

Skyldigheten att lämna registerutdrag blir mindre betungande

Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet

Tillsyn över Polisen (SOU 2013:42)

YTTRANDE. Dnr S2015/06260/FS

Regeringens proposition 2017/18:112

PERSONUPPGIFTSBITRÄDESAVTAL

Datalagring och integritet (SOU 2015:31)

Nästa steg på vägen mot en mer jämlik hälsa förslag för ett långsiktigt arbete för en god och jämlik hälsa (SOU 2017:47)

Beslag och husrannsakan ett regelverk för dagens behov (SOU 2017:100)

Sammanfattningsvis gör ISF följande bedömning av förslagen:

Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)

Datainspektionen informerar

Yttrande över promemorian Konkurrensskadelag (Ds 2015:50) (N2015/04860/KSR)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) registrering av icke kyrkotillhöriga barn

Ny personuppgiftslagstiftning Ett förändrat risklandskap och möjligheter! 4 april 2017 Joacim Johannesson och Niklas Follin

Finansdepartementet. EU:s dataskyddsförordning: Anpassade regler om personuppgiftsbehandling inom skatt, tull och exekution

Förslag till ny dataskyddsförordning och dess konsekvenser för registerbaserad forskning

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitieråden Gustaf Sandström och Lena Moore samt justitierådet Anders Eka

Promemorian Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Personuppgifter i forskning riktlinje för SLSO

Rätt information på rätt plats i rätt tid, SOU 2014:23

Möjlighet att leva som andra Ny lag om stöd och service till vissa personer med funktionsnedsättning (SOU 2008:77)

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39)

6 Yttrande över betänkandet Totalförsvarsdatalag Rekryteringsmyndighete ns personuppgiftsbehandlin g (SOU 2017:97) LS

Dataskyddsförordningen

Personuppgifter i forskningen vilka regler gäller?

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

Ändringar i vissa författningar inom Finansdepartementets ansvarsområde med anledning av EU:s dataskyddsreform

Yttrande över betänkandet Ett fönster av möjligheter stärkt barnrättsperspektiv för barn i skyddat boende (SOU 2017:112)

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter vid antidopningsarbete inom idrotten. Dir. 2018:31

Transkript:

ISF1007, v1.3, 2015-11-19 REMISSVAR 1 (8) Datum Diarienr 2019-01-10 2018-0164 Er referens S2018/03893/FS Socialdepartementet 103 33 Stockholm Behandling av personuppgifter vid Myndigheten för vård- och omsorgsanalys (SOU 2018:52) Sammanfattning Inspektionen för socialförsäkringen (ISF) har granskat utredningens förslag med utgångspunkt i hur de bedöms påverka rättssäkerheten och effektiviteten inom socialförsäkringsområdet. ISF har också granskat förslagen utifrån det förhållande att frågan om registerlag för ISF för närvarande bereds i Regeringskansliet och med tanke på möjligheten att den lagen får en liknande utformning som den nu föreslagna registerlagen för Myndigheten för vård- och omsorgsanalys (Vårdanalys). ISF anser att det är angeläget att Vårdanalys får en registerlag, men har vissa synpunkter på förslagen i avsnitt 10.3, 10.4, 11.4.2, 12.2.2, 13.2, 13.3, 14.2.5, 14.3, 14.5 och 16. ISF har också vissa synpunkter på bedömningarna i avsnitt 7.2.5 och 17.3. Synpunkterna utvecklas nedan. ISF har i övrigt inga synpunkter på förslagen. Vilken oberoende instans ska göra prövningen? (10.3) ISF har inga invändningar mot förslaget att den av utredningen föreslagna prövningen av myndighetens projekt ska göras av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning eller, om den etablerade etikprövningsorganisationen inte anses lämplig, av ett annat särskilt statligt organ som är fristående från Vårdanalys. ISF vill däremot framhålla att oavsett vilken instans som ska göra prövningen är det av största vikt att dess sammansättning och hantering uppfyller vissa krav, som är av avgörande betydelse för att förfarandet ska fungera på ett bra sätt. ISF ser det som ett grundläggande krav att prövningsinstansen är sammansatt på ett sådant sätt att den har god kunskap om den typ av verksamhet som Vårdanalys bedriver och de typer av analyser som myndigheter av detta slag utför. Hänsyn bör tas till att fokus i den prövning som ska göras är en annan än vid bedömning av projekt som avser adress Box 202, 101 24 Stockholm besöksadress Fleminggatan 7 Stockholm Lilla Bommen 1 Göteborg telefon 08-58 00 15 00 e-post registrator@inspsf.se webb www.inspsf.se org.nr 202100-6248

2 (8) forskning. Istället för att väga riskerna mot det vetenskapliga värdet ska de vägas mot det samhälleliga intresset av den kunskap som projektet kan förväntas resultera i. ISF anser att detta kräver en annan sammansättning än vad Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning ska ha enligt nuvarande reglering. Det kommer i annat fall vara svårt för instansen att göra en välavvägd prövning i de enskilda fallen och att i övrigt möta myndighetens behov. Prövningsinstansen måste även ha en god tillgänglighet för Vårdanalys och hanteringen måste vara tillräckligt snabb och effektiv för att Vårdanalys verksamhet ska kunna fungera på ett tillfredsställande sätt. Enligt 8 förordningen (2003:615) om etikprövning av forskning som avser människor bör Etikprövningsmyndigheten fatta beslut inom 60 dagar från det att en fullständig ansökan har kommit in till myndigheten. ISF bedömer att detta är en alldeles för långsam handläggning. ISF:s erfarenhet är att det ofta tar många månader att få in data från exempelvis Socialstyrelsen och Statistiska centralbyrån. Detta, i kombination med två månaders handläggningstid hos Etikprövningsmyndigheten, innebär att det blir svårt för Vårdanalys att göra studier baserade på aktuella data inom rimlig tid. Det är enligt ISF:s mening av avgörande betydelse för att såväl prövningsinstansen som den myndighet som prövningen avser ska kunna fullgöra sitt uppdrag, att nu nämnda krav tillgodoses. Socialdataskyddsutredningen har inte i tillräcklig utsträckning berört dessa aspekter eller lämnat förslag för att säkerställa att instansen och förfarandet för prövning av projekten uppfyller dessa krav. Om den instans som får till uppgift att pröva Vårdanalys projekt kan anpassas så att den blir ändmålsenlig för Vårdanalys bedömer ISF att en motsvarande prövning på sikt skulle kunna vara ett lämpligt sätt att hantera även ISF:s behov av personuppgiftsbehandling. Undantag från kravet på etisk prövning vid behandling om färre än 100 personer (11.4.2 och 12.2.2) ISF har inga invändningar mot att det ska finnas en möjlighet till undantag från etikprövning vid personuppgiftsbehandling där risken för att det sker integritetsintrång generellt sett är mindre. ISF anser i likhet med utredningen att den etiska prövningen är så administrativt och kostnadsmässigt betungande att den bör reserveras för de fall av behandling av personuppgifter där det finns betydande integritetsrisker. Det är därför rimligt att det ska finnas undantag som innebär en lättnad för myndigheten. Däremot ifrågasätter ISF utredningens utgångspunkt att det främst är vid storskalig behandling som det finns sådana risker och att behandling som omfattar få registrerade innebär att risken för att det sker integritetsintrång generellt sett är mindre. Även projekt som innefattar behandling av person-

3 (8) uppgifter rörande ett fåtal personer kan innebära en hög risk för integritetsintrång under vissa förutsättningar kan risken till och med vara högre när det handlar om få personer. Ett exempel på detta skulle kunna vara en undersökning som avser personer i Sverige med en viss ovanlig sjukdom, där personuppgifter rörande samtliga dessa personer behandlas. Ett annat exempel skulle kunna vara att uppgifter om samtliga personer som har dömts för ett visst ovanligt förekommande brott behandlas. Möjligheten att bakvägsidentifiera personer i dessa fall skulle sannolikt vara betydande eftersom det handlar om små populationer. Om den grupp personer som ingår i behandlingen utgör en liten andel av en stor population minskar detta risken för integritetsintrång. Ju större population och ju mindre andel av populationen som behandlingen avser, desto mindre är risken generellt sett för integritetsintrång, förutsatt att det inte finns några andra möjligheter till att identifiera enskilda personer än genom bakvägsidentifiering. Ett undantag från etikprövning bör därför inte bygga på antal personer, utan snarare på andel av en population. Åtminstone bör antal personer inte vara den enda variabeln vid utformningen av undantaget. Behandling av andra personuppgifter i projekt som godkänts vid en etisk prövning (10.4 och 13.2) ISF har inga direkta invändningar mot förslaget att den etiska prövningen ska avse ett visst projekt, del av ett projekt eller en på liknande sätt bestämd forskning och att även andra personuppgifter än känsliga ska få behandlas i ett godkänt projekt. ISF vill samtidigt framhålla att en sådan ordning kan få oönskade konsekvenser. Huvudregeln ska enligt utredningens förslag vara att den prövande instansen ska göra en helhetsbedömning av Vårdanalys projekt. Utredningen framhåller att den totala omfattningen av behandlingen av personuppgifter inom projektet kan få betydelse vid prövningen och att personuppgifterna ofta behandlas integrerat med varandra så att det inte går att skilja ut den del som avser behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser från behandlingen av övriga personuppgifter. Denna ordning innebär enligt ISF:s bedömning inte något större problem så länge det är en typ av studie som görs inom ramen för ett visst projekt. Men Vårdanalys gör (precis som ISF) ofta flera olika delstudier inom ramen för samma projekt, och då kan regleringen leda till något märkliga resultat. Om myndigheten till exempel inom ramen för samma projekt gör både en registerstudie med känsliga personuppgifter och en intervjustudie som inte innehåller känsliga uppgifter där det inte finns någon personkoppling till registerstudien skulle båda delstudierna behöva prövas, trots att myndigheten inte skulle behöva pröva intervjustudien om den hade gjorts inom ramen för ett annat projekt. ISF anser att det kan ifrågasättas om

4 (8) detta är rimligt och anser att frågan bör uppmärksammas i den fortsatta behandlingen av utredningens förslag. Kravet på offentliggörande (14.2.5 och 14.3) ISF är tveksamma till förslaget att myndighetschefens beslut om ändamål för behandlingen och om vilka kategorier av personuppgifter som får behandlas om vilka kategorier av personer, ska offentliggöras. Med tanke på att registerlagen inte föreslås innehålla några ändamålsbeskrivningar utan att ändamålen ska bestämmas av myndighetschefen är det i och för sig inte orimligt att införa ett krav på offentliggörande, även om det är ett mer långtgående krav än vad som följer av dataskyddsförordningen 1. Samtidigt konstaterar ISF att något motsvarande krav inte gäller för forskningsprojekt som etikprövas, trots att det även för sådana projekt inte finns några författningsreglerade ändamålsbestämmelser av den karaktär som normalt finns i registerlagar. Som skäl för ett offentliggörande framhåller utredningen bland annat att det är ett sätt att bereda allmänheten möjlighet att invända mot behandlingen av personuppgifter. ISF vill framhålla att det bästa skyddet för personuppgifter ofta är att inte behandla några uppgifter som gör att ett datamaterial är direkt hänförligt till enskilda personer, exempelvis genom att inte ta in uppgifter om namn eller personnummer till myndigheten. ISF har arbetat på det sättet under de snart 10 år som myndigheteten har funnits och det har visat sig fungera mycket bra. Om Vårdanalys behandlar uppgifter som inte är direkt hänförliga till de registrerade, antingen för att uppgifterna är kodade och den så kallade kodnyckeln som knyter uppgifterna till de registrerade personerna förvaras av den organisation som har lämnat ut uppgifterna eller för att det inte finns någon nyckel utan endast viss möjlighet till bakvägsidentifiering, kan de registrerade inte göra invändningar mot behandlingarna. Det beror på att Vårdanalys enligt artikel 11 dataskyddsförordningen inte är skyldiga att inhämta information som gör att det går att knyta uppgifterna till en enskild individ. Om Vårdanalys offentliggör informationen kan det leda till att enskilda uppfattar att de har en rätt som de i praktiken inte kan utnyttja. ISF befarar också att kravet på offentliggörande inte kommer att leda till den transparens som utredningen eftersträvar. Vårdanalys kommer att behöva informera om många samtidiga behandlingar av personuppgifter eftersom myndigheten bedriver många projekt parallellt. Det kommer sannolikt också att handla om mycket information om varje projekt. Detta innebär att det riskerar att bli så mycket information som ska publiceras att den blir rörig och ogenomtränglig för den som ska ta del av informationen. 1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG.

5 (8) Kravet på pseudonymisering (14.5) ISF ifrågasätter om det är lämpligt med ett generellt krav på att personuppgifter som behandlas i ett projekt ska pseudonymiseras, med möjlighet för myndighetschefen att för ett särskilt fall besluta om undantag från kravet i den utsträckning ändamålet med behandlingen inte kan uppnås med pseudonymiserade personuppgifter. Av dataskyddsförordningen följer att den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med förordningen. Så kallad pseudonymisering nämns som ett exempel på sådana åtgärder. Begreppet pseudonymisering finns definierat i dataskyddsförordningen och vissa uttalanden om dess innebörd har gjorts i olika sammanhang, men vad begreppet innebär i praktiken är inte helt klarlagt. Av den beskrivning av pseudonymisering som utredningen ger i avsnitt 14.5, (och som överensstämmer med den beskrivning som finns i betänkandet Personuppgiftsbehandling för forskningsändamål, SOU 2017:50, avsnitt 12.3.3) uppfattar ISF att begreppet ska förstås så att uppgifterna ska göras om på ett sådant sätt att det inte längre är möjligt att bakvägsidentifiera någon, det vill säga att det krävs mer långtgående åtgärder än endast kodning genom att byta ut personnummer mot ett löpnummer. Om uppgifterna verkligen ska vara garanterat omöjliga att använda för bakvägsidentifiering befarar vi att det ofta krävs att uppgifterna aggregeras upp på ett sådant sätt att de inte längre är användbara för den typ av analyser som Vårdanalys (och ISF) behöver kunna göra. Möjligen skulle ett alternativ kunna vara att även koda andra variabler än personnummer, så att det går att genomföra en analys med flera variabler där den som gör analysen inte kan tolka variablernas innehåll. Om möjligheten till bakvägsidentifiering helt ska undvikas skulle merparten av variablerna behöva vara kodade på detta sätt. Ett sådant förfarande framstår som mycket komplicerat, bland annat eftersom det skulle vara svårt att förutspå om variabelinnehållet ändå kan tolkas och pseudonymiseringen brytas. Och då blir frågan vad bestämmelsen om krav på pseudonymisering egentligen blir värd. Om huvudregeln snarare kommer att bli undantaget, det vill säga att myndighetschefen ständigt beslutar om undantag, blir detta inte en särskilt kraftfull skyddsåtgärd. ISF anser därför att det inte är lämpligt med ett generellt krav på psudonymisering. En av de principer som Dataskyddsförordningen bygger på är principen om ansvarsskyldighet (se artikel 5.2), vilken innebär att den personuppgiftsansvarige ska ansvara för och kunna visa att kraven i förordningen följs, bland annat kraven på lagringsminimering och konfidentialitet. Enligt dataskyddsförordningen är det, i linje härmed, upp till den personuppgiftsansvariga myndigheten att bedöma vilka tekniska och organisatoriska åtgärder som är lämpliga i det specifika fallet för att uppfylla kraven i dataskyddsförordningen och skydda den registrerades rättigheter.

6 (8) Begränsning av skyddet mot betydande intrång i den personliga integriteten (13.3 och 16) ISF har inga invändningar mot förslaget, men anser att det finns ett behov av att förtydliga hur bedömningen enligt den föreslagna bestämmelsen (7 ) ska göras. Enligt 2 kap. 6 andra stycket regeringsformen (RF) är var och en skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Utredningen föreslår en bestämmelse som innebär ett undantag från nämnda bestämmelse på så sätt att om myndigheten anser att en viss behandling strider mot bestämmelsen i RF så ska behandlingen ändå kunna ske om den godkänts av den oberoende prövningsinstansen. Det handlar då om behandling av personuppgifter som inte är känsliga men då behandlingen anses strida mot RF. Utredningen gör följande bedömning av innebörden av 2 kap. 6 andra stycket RF i detta sammanhang (s. 145): Med hänsyn till omfattningen av personuppgifterna, uppgifternas känsliga karaktär, behovet av att personuppgifterna i vissa fall sammankopplas och omständigheten att behandlingen sker utan samtycke, skulle resultatet i en del fall bli en kartläggning av enskildas personliga förhållanden och ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 andra stycket regeringsformen. Utifrån detta uttalande framstår det som oklart när det faktiskt ska anses handla om ett sådant betydande intrång att etisk prövning behöver ske. Frågan om var gränsen för betydande intrång går får betydelse för behandling av personuppgifter som inte är känsliga, och där det alltså enligt förslaget inte finns någon obligatorisk etisk prövning. Vårdanalys förutsätts i stället själv avgöra när det är frågan om ett betydande integritetsintång och då ansöka om etisk prövning. Om uppgifterna är kodade när de kommer in (och alltså inte är direkt hänförliga till en enskild individ), påverkar det då bedömningen? Om uppgifterna om varje individ är många men inte av en särskilt känslig karaktär, är det då fråga om en kartläggning som innebär ett betydande integritetsintrång enligt RF? Krävs det att uppgifter från flera register eller flera myndigheter kopplas samman för att det ska vara fråga om en kartläggning? Dessa frågor belyser att det kommer att vara en mycket svår gränsdragning att göra för såväl Vårdanalys som många andra myndigheter som arbetar med analys- eller utredningsverksamhet, och det är angeläget att lagstiftaren kan ge ytterligare vägledning i denna fråga. Det är möjligt att bestämmelsen inte skulle aktualiseras så ofta i Vårdanalys verksamhet, eftersom den mesta av den behandling som den myndigheten behöver göra sannolikt handlar om känsliga personuppgifter. ISF behandlar däremot i många av sina projekt endast personuppgifter som inte är känsliga. Om en reglering av detta slag skulle införas även för ISF, skulle frågan inställa sig om ISF skulle behöva etikpröva även vissa behandlingar där detta i dag inte behövs. Det skulle i så fall innebära att

7 (8) ISF skulle få ett sämre läge än i dag, vilket skulle försvåra ISF:s verksamhet avsevärt. Det bör understrykas att Vårdanalys, ISF och alla andra myndigheter naturligtvis redan i dag måste se till att deras verksamhet inte strider mot RF:s bestämmelser. Prövning ska ske enligt den föreslagna 7 endast om myndigheten bedömer att behandlingen inte kan genomföras på grund av 2 kap. 6 andra stycket RF. Det får förutsättas att avsikten inte är att bestämmelsen ska innebära någon inskränkning när det gäller möjligheten att behandla personuppgifter i förhållande till nuvarande ordning. Undantaget för statistikändamål som grund för myndighetens behandling av känsliga personuppgifter (7.2.5) och utlämnande av personuppgifter med stöd av undantaget för statistikändamål (17.3) ISF noterar att utredningen i betänkandet har redovisat sin bedömning att Vårdanalys kan behandla känsliga personuppgifter med stöd av undantaget för statistikändamål. Vidare har utredningen redovisat sin bedömning att Socialstyrelsen och Statistiska centralbyrån kan lämna ut uppgifter som avser enskilds personliga och ekonomiska förhållanden till Vårdanalys med stöd av undantaget för uppgift som behövs för statistikändamål (24 kap. 8 tredje stycket offentlighets- och sekretesslagen). ISF anser att de här bedömningarna inte är självklara och vill lyfta fram att det är angeläget att det klargörs vad som gäller i dessa avseenden. Om utredningens bedömningar är korrekta kan det få stor betydelse för såväl ISF som för andra myndigheter som behöver behandla känsliga uppgifter inom ramen för olika utredningar och analyser. ISF har hittills inte ansett sig kunna åberopa undantaget för statistikändamål som grund för att behandla känsliga personuppgifter eftersom det slutliga ändamålet med behandlingen inte är att framställa statistik, utan att genomföra en analys, utredning eller granskning. Framställningen av statistik är då bara ett medel på vägen för att kunna göra analysen. Så länge det inte finns någon registerlag för ISF är det av stort intresse för ISF om undantaget för statistikändamål är tillämpligt när behandlingen utförs inom ramen för den typ av analysverksamhet som Vårdanalys och ISF bedriver. Det är också av stort intresse för ISF om myndigheten kan inhämta uppgifter från Socialstyrelsen och Statistiska centralbyrån med stöd av undantaget för uppgift som behövs för statistikändamål i offentlighets- och sekretesslagen. I sammanhanget kan nämnas att i betänkandet Inbyggd integritet inom Inspektionen för socialförsäkringen (SOU 2014:67) med förslag till registerlag för ISF, uttalade den utredaren sig i motsatt riktning i denna fråga. Där sades att om uppgifterna i och för sig ska bearbetas med statistiska metoder, men sedan i bearbetad form ska användas i ett särskilt

8 (8) ärende, kan de inte lämnas ut med stöd av undantaget för uppgifter som behövs för statistikändamål. 2 Detta yttrande har beslutats av tf. generaldirektör Catarina Eklundh Ahlgren. Hanna Westgård har varit föredragande. Vid den slutliga handläggningen har HR-ansvariga Angela Berthelsen, enhetscheferna Mats Granér, Ola Leijon och Dan Ljungberg och biträdande enhetschefen Magnus Medelberg samt administrativa chefen Marie Seijboldt deltagit. Catarina Eklundh Ahlgren Tf. Generaldirektör Hanna Westgård Jurist och utredare 2 SOU 2014:67 s. 210 212.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss