Bilaga 2: Juridisk utredning av Samverkansytan

Relevanta dokument
Från: Kent Sangmyr och Charlene Holmström Datum: 9 maj 2012 Angående: Utredning angående regelverket kring vårdens intyg till Försäkringskassan

Viktigt förtydligande angående användningen av fråga-svarsfunktionen

Bilaga 1. Preliminär juridisk rapport

Juridiska frågor och svar om försäkringsmedicinska utredningar rörande personuppgiftsbehandling och dokumentation

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Sekretess: En väg till ökad konkurrens och bättre upphandlingar, eller en irritationskälla för alla vid offentlig upphandling.

Yttrande i Förvaltningsrätten i Stockholms mål

Förklaringar till Nationellt regelverk för enskilds direktåtkomst till journalinformation

Sekretess inom missbruksoch beroendevården. Pär Ödman Förbundsjurist Sveriges Kommuner och Landsting

Svensk författningssamling

Rätt information på rätt plats i rätt tid, SOU 2014:23

Remiss SOU 2014:23: Rätt information på rätt plats och i rätt tid

2 kap. 3 och 5 kap. 4 patientdatalagen (2008:355) Högsta förvaltningsdomstolen meddelade den 4 december 2017 följande dom (mål nr ).

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

DEN TUDELADE VÄLFÄRDSSTATEN

DOM Meddelad i Stockholm

Bakgrund. RÄTTSPROMEMORIA Version: Sid 1/6. Tel

Tillsyn enligt personuppgiftslagen (1998:204) - E-Hälsomyndighetens tjänst Hälsa För Mig

OFFENTLIGHET OCH SEKRETESS

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Regelverk för digital utomlänsfakturering

PERSONUPPGIFTSBITRÄDESAVTAL

Modellavtal 2. Personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Svensk författningssamling

Användandet av E-faktura inom den Summariska processen

Betänkandet SOU 2014:39 Så enkelt som möjligt för så många som möjligt Bättre juridiska förutsättningar för samverkan och service

Datainspektionen lämnar följande synpunkter.

Yttrande över betänkandet Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning

1. Bakgrund. 2. Parter. 3. Definitioner

Kvalitetsregister. Tårtbitar och beslutsstöd. Per Bergstrand personuppgiftsombud Region Skåne

8.6.2 Forskningsdatabaslagens territoriella tillämpningsområde (1 kap. 7 )

REGISTERFORSKNING OCH GRUNDLÄGGANDE JURIDIK FÖR KVALITETSREGISTER. Manólis Nymark, jurist, SKL

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Informationshanteringsutredningens slutbetänkande Myndighetsdatalag (SOU 2015:39)

Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Stockholm den 14 september 2017

STADSLEDNINGSKONTORET JURIDISKA AVDELNINGEN SIDAN 1. och sekretess. September 2012

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Avtal om Kundens användning av Svevac Bilaga 3 - Instruktioner gällande behandling av personuppgifter

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

Svevac - Beskrivning och tjänstespecifika villkor

Vilka uppgifter kan landsting lämna ut vid fakturering för utomlänsvård?

Personuppgiftsansvar för behandling av personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Användandet av E-faktura inom verksamheten betalningsföreläggande

Yttrande över slutbetänkandet Myndighetsdatalagen (SOU 2015:39)

Rättsligt yttrande. Utredning

Kvalitetsregister & Integritetsskydd. Patrik Sundström, jurist SKL

Riktlinjer för dataskydd

SOU 2015:84 Organdonation En livsviktig verksamhet

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

mellan myndigheter samt mellan myndigheter och företag principer för användning av e-legitimationer och utformning av åtkomstkontroll.

Dataskyddsförordningen - GDPR

4 Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig behandlingen.

PERSONUPPGIFTSBITRÄDESAVTAL

Sekretess, lagar och datormiljö

Dataskyddsförordningen, GDPR

PUL OCH DATASKYDDSFÖRORDNINGEN

Dokumenthantering - legala förutsättningar och interna beslut

Svensk författningssamling

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Personuppgiftsbehandling Dataskydd

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Kvalitetsregisterdag

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

24 kap. 8 offentlighets- och sekretesslagen (2009:400)

Personuppgiftsbiträdesavtal

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Tillgängliggörande av tillsynsrapporter på internet i enlighet med 2015 års budget

Hälso- och sjukvårdsjuridik inom demensvården -

Juridiken kring tillgång och användning av medicinsk information: till hjälp eller något som stjälper?

Kvalitetsregister & legala förutsättningar. Moa Malviker Wellermark, Jurist SKL, Landstingsjurist LiÖ

Sekretesspolicy

Tillsyn - äldreomsorg

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande genom direktåtkomst

Betänkandet Myndighetsdatalag (SOU 2015:39)

Dataskydd inom Socialdepartementets verksamhetsområde en anpassning till EU:s dataskyddsförordning. Lars Hedengran (Socialdepartementet)

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal

GDPR. Ulrika Harnesk 17 oktober 2018

Gäller fr o m

Vissa frågor om sekretess med anledning av EU:s dataskyddsreform

esam juridik Offentliga rummen 26 maj 2016 Johan Bålman och Per Furberg

Samtycke och dataskyddsförordningen (GDPR)

DOKUMENTTYP Riktlinje PUBLICERAD

Integritetspolicy för Bernhold Ortodonti

Riksrevisionens yttrande över betänkandet Juridik som stöd för förvaltningens digitalisering (SOU 2018:25).

GDPR och den svenska lagstiftningen för behandling av personuppgifter för forskningsändamål

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Integritetsmeddelande

HFD 2015 ref 61. Datainspektionen vidhöll sitt beslut.

Riktlinjer för hantering av personuppgifter

6 Yttrande över betänkandet Totalförsvarsdatalag Rekryteringsmyndighete ns personuppgiftsbehandlin g (SOU 2017:97) LS

Rätt information på rätt plats i rätt tid, SOU 2014:23

Rätt information på rätt plats i rätt tid (SOU 2014:23) remissvar till kommunstyrelsen

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Transkript:

Bilaga 2: Juridisk utredning av Samverkansytan

PM Till: Inera AB Från: Micaela Weije och Kent Sangmyr Datum: 24 okt 2018 Angående: Bilaga till slutrapport 1. Bakgrund Inera AB ( Inera ) har arbetat med att ta fram en lösning för hur olika aktörer kan samverka kring en sjukskriven person ( Invånaren ) i syfte att rehabilitera Invånaren inför återgång till arbete ( Samverkansytan ). Tilltänkta aktörer har varit Invånaren, privata och offentliga arbetsgivare, vårdgivare, försäkringskassan ( FK ) och företagshälsovård (gemensamt kallade Aktörer ). Utgångspunkten för Samverkansytan är att Invånaren ska kunna styra informationsdelning rörande sjukdomsorsak mellan inbjudna Aktörer. Inera har arbetat med Samverkansytan under perioden 2014-2018. När Inera startade utvecklingen av Samverkansytan var det inte bestämt vem som skulle tillhandahålla plattformen. I diskussionerna var Inera och FK aktuella alternativ. FK ändrade inställning efterhand som projektet fortlöpte vilket resulterade i att rättsliga överväganden inte längre genomfördes utifrån FK:s perspektiv. Nedanstående framställning kommer att sammanfatta centrala juridiska överväganden som har genomförts under projektets gång. Inledningsvis gås de grundläggande förutsättningarna för Ineras och FK:s tillhandahållande av Samverkansytan igenom ( Förstudien ). Sedan behandlas olika rättsliga ställningstaganden. Därefter kommer en sammanfattning av den rättsliga prövningen av Hälsa för mig, ikraftträdandet av dataskyddsförordningen, diskussion kring blockkedjor och en redogörelse för behovet av författningsstöd. 2. Förstudien Förstudien presenterades den 25 november 2016. Förstudiens syfte var att utreda huruvida s.k. eget utrymme i Tryckfrihetsförordningen ( TF ) kunde användas som grund för Samverkansytan och huruvida Aktörerna skulle kunna kommunicera med varandra. Nedan följer en sammanfattning av den juridik som Förstudien presenterade. FK:s möjlighet att tillhandahålla eget utrymme Förstudien utgick från offentlighetsprincipen vilket innebär en grundläggande rätt för svenska medborgare att ta del av allmänna handlingar. Begränsning kan endast ske genom lag. Alla medborgare har rätt att ta del av de handlingar som 2

anses vara förvarande och är inkomna eller upprättade hos FK (förutsatt att det inte råder sekretess enligt lag). Förstudien identifierade ett undantag till offentlighetsprincipen i 2 kap 10 TF som anger att en handling inte ses som allmän om den förvaras hos en myndighet endast som led i teknisk bearbetning eller som teknisk lagring för annans räkning, s.k. eget utrymme. Konstruktionen eget utrymme medför en rad olika krav, bland annat krav på IT-miljön och reglering av vem som ska ha tillgång till utrymmet. Personuppgiftsansvar för eget utrymme Det fanns delade meningar kring personuppgiftsansvaret för eget utrymme. ESam 1 var av uppfattningen att en myndighet som tillhandahåller eget utrymme har personuppgiftsansvar för drift och IT-säkerhet men inte för den behandling som den enskilde utför i eget utrymme. I SOU 2014:39 fastslogs vissa svårigheter med att definiera personuppgiftsansvar vid samarbetsformer, däribland togs rådighet över personuppgifterna upp. Myndigheten för samhällsskydd och beredskap ansåg att esam inte hade lyckats visa att den föreslagna tolkningen av undantaget i TF hade det rättsliga stöd som krävdes för det krävande arbetet som eget utrymme medför. Datainspektionen ( DI ) anförde att myndigheter normalt bör ha personuppgiftsansvar för alla personuppgifter i egna utrymmen, eftersom myndigheten bestämmer ändamål och medel med behandlingen. Praxis Vid tidpunkten för Förstudien fanns en begränsad praxis. Det saknades praxis från högsta förvaltningsdomstolen och vissa aspekter såsom ex. direktåtkomst belystes inte i domskäl från domar i lägre instanser. Det fanns dock två fall. Det ena fallet som togs upp var ett beslut från Förvaltningsrätten där man ansåg att patientens noteringar som tillhandahölls av Landstinget i Uppsala län kunde utgöra eget utrymme. Det andra fallet kom från Kammarrätten och där fastslogs att en CV-databas som tillhandahölls av Arbetsförmedlingen kunde betraktas som eget utrymme. Övriga krav Förstudien behandlade även övriga krav enligt PUL, såsom adekvat behandling av personuppgifter och gallringringsfrister samt arkivlagens tillämpning. Slutsats rörande FK:s tillhandahållande av Samverkansytan Slutsatsen blev att om FK kunde följa PUL:s bestämmelser, tillhandahålla tydliga interna regler för tillgång till eget utrymme samt skilja eget utrymme från FK:s 1 esam är ett medlemsdrivet program för samverkan mellan 23 myndigheter och SKL. Samarbetet syftar till att underlätta och påskynda digitaliseringen av det offentliga Sverige. 3

övriga verksamhetssystem, då kunde FK tillhandahålla Samverkansytan. 2 Slutsatsen förutsatte även att FK skulle vara beredd på att ta fullt personuppgiftsansvar. Ineras tillhandahållande av Samverkansytan För att en handling ska betraktas som allmän måste den förvaras hos en myndighet enligt 2 kap 3 TF. Även om stat eller kommun äger eller bestämmer över ett aktiebolag betraktas aktiebolaget inte som en myndighet. Offentlighetsoch sekretesslagens ( OSL ) regelverk resulterar dock i att juridiska personer kan jämställas med myndigheter i offentlighetshänseende. Förstudien diskuterade huruvida Inera omfattades av OSL. Rättsliga överväganden genomfördes med grund i både dåvarande ägandestruktur men även ett framtida förändrat ägandeskap. Den planerade förändringen i ägandeskapet medförde att OSL inte skulle tillämpas. Vid Förstudiens upprättande hade det förändrade ägandet inte genomförts. I övrigt omfattades Inera av samma rättsliga krav som FK. Kommunikation inom Samverkansytan Vid rättsliga överväganden av kommunikation mellan Invånaren och Aktörerna konstaterades det att utlämnande skulle ske genom Invånarens uttryckliga samtycke samt på medium för automatiserad behandling. Direktåtkomst kunde inte rekommenderas. Anledningen till detta var bland annat att direktåtkomst medför högre krav på förberedande åtgärder ur verksamhets- och personuppgiftsansvarsperspektiv samt att det finns en risk för att överskottsinformation uppstår vid delning. Vidare diskuterades de krav som lagen ställer för informationssäkerhet och system där känsliga personuppgifter ska sparas. Konsekvensen av utlämnande av uppgifter Förstudien konstaterade att Invånaren vid samtycket skulle informeras om konsekvensen av ett utlämnande till respektive Aktör. Nedan följer en kort kommentar för respektive Aktör. Vårdgivare För vårdgivare skulle regelverk såsom patientdatalag och patientsäkerhetslag bli tillämpliga på utlämnade uppgifter. För offentliga vårdgivare tillkommer även OSL. Arbetsgivare PUL skulle äga tillämpning på behandling av personuppgifter hos arbetsgivare. Uppgifterna skulle inte betraktas som allmänna enligt OSL:s bestämmelser då 2 Förstudien analyserade inte socialförsäkringsbalkens tillämpning. FK:s jurist Daniel Eriksson deltog under Förstudien. 4

utlämnande sker till privata arbetsgivare. Om utlämnande skulle ske till en offentlig arbetsgivare ägde även OSL tillämpning. FK PUL, OSL och arkivlagen skulle äga tillämpning på behandling av personuppgifter hos FK. Socialförsäkringsbalkens 114 kap och förordning (2003:766) om behandling av personuppgifter inom socialförsäkringens administration innehöll vidare reglering av behandling av personuppgifter hos FK. Slutsats Förstudien kom till följande sammanfattande slutsats. Samverkansytan skulle inte tillämpa direktåtkomst. Stöd för utlämnande på medium för automatiserad behandling fanns, men det förutsatte att Invånaren lämnade sitt uttryckliga informerade samtycke. Då ett utlämnande innebar informationsutbyte av känsliga uppgifter skulle, bland annat, en hög säkerhetsnivå krävas. Juridisk möjlighet att upprätta en gemensam rehabplan Förstudien behandlade önskemål om en gemensam rehabplan för alla Aktörer. För att detta skulle ske krävdes utlämnande för automatiserad behandling och inhämtande av Invånarens samtycke. Vidare diskuterades problematiken kring samtycke som juridisk förutsättning för informationsdelning och Aktörernas gemensamma syn. 3. Rättsliga diskussioner Under projektets gång har rättsliga diskussioner förekommit i form av workshops, skriftlig korrespondens och telefonmöten. Centrala punkter som har diskuterats är konstruktionen av eget utrymme vilket är att betrakta som juridisk nysnö. Manólis Nymark 3 har diskuterat behovet av en författningsreglering i offentlig verksamhet genom sin medverkan i Digitaliseringsrättsutredningen 4. Utredningen presenterades våren 2018 men resulterade inte i förslag till författning för reglering av eget utrymme.. En annan viktig diskussion rörde problematiken med att en arbetsgivare skulle få tillgång till information om sjuka arbetstagare. Ett samtycke måste lämnas frivilligt för att vara giltigt. Frivillighetskravet är problematiskt att uppfylla mot bakgrund av den beroendeställning en arbetstagare har i förhållande till sin arbetsgivare. Vidare rörde utlämnandet uppgift om hälsa vilket medför högre krav. Projektet har även konstaterat att tillhandahållaren av Samverkansytan måste hantera den IT-plattform som arbetsgivare ska använda vid tillgång till 3 Manólis Nymark arbetar som jurist för Inera men har även andra uppdrag i sin roll som konsult. 4 Juridik som stöd för förvaltningens digitalisering SOU 2018:25. 5

Samverkansytan. Tillhandahållaren av IT-plattformen kommer att agera som personuppgiftsbiträde och respektive arbetsgivare kommer vara personuppgiftsansvarig. En sådan konstruktion skulle endast vara praktiskt möjlig att genomföra med hjälp av digital hantering av personuppgiftsbiträdesavtal. 4. Hälsa för mig E-hälsomyndigheten ( EHM ) har utvecklat en e-tjänst som heter Hälsa för mig, som syftade till aktiv informationsdelning mellan olika intressenter där individen skulle styra delningen. DI granskade Hälsa för mig och det resulterade i ett beslut med stark kritik. EHM besvarade kritiken vilket medförde en rättslig prövning i förvaltningsrätten. 5 Då Hälsa för mig hade ett antal likheter med Samverkansytan följdes den rättsliga prövningen av projektets jurister. Kritiken bestod framförallt av följande. 1.) Lagstöd skulle eventuellt krävas för Hälsa för mig med anledning av att ett stort antal känsliga uppgifter kunde komma att behandlas i tjänsten. 2.) Det var inte tillräckligt att en individ lämnat ett samtycke för att bryta sekretessen enligt 40 kap 5 OSL. Enligt DI skulle individen lämna ett uppdrag till EHM för att sekretessen skulle brytas. 3.) DI ansåg att personuppgifterna inte fick ägas av användaren. Enligt DI var det EHM som hade fullt personuppgiftsansvar för Hälsa för mig. 4.) DI uttalade sig även om samtycken i anställningsförhållanden med hänvisning till potentiella utlämnanden av information. En arbetsgivare kan som regel inte stödja sig på samtycke vad gäller behandling av arbetstagarens personuppgifter. Förvaltningsrätten gick på DI:s linje. Det kunde konstateras att en stor del av den kritik som DI riktade skulle vara tillämplig även på Samverkansytan, möjligen med undantag för bestämmelsen i OSL då den är avhängig på vilken Aktör som skulle tillhandahålla Samverkansytan. 5. Dataskyddsförordningen Kraven på IT-system och behandling av personuppgifter ökade med dataskyddsförordningens ikraftträdande den 25 maj 2018. Av dataskyddsförordningen framgår bland annat krav på separata samtycken för olika ändamål. En rad olika förändringar har skett i andra lagstiftningar med 5 DI granskade inte säkerhet eller frågor gällande personuppgiftsbiträde. DI har redogjort för övergripande rättsliga aspekter. DI har inte granskat tjänsten utifrån dataskyddsförordningen utan personuppgiftslagen. 6

anledning av antagandet av dataskyddsförordningen. Det finns fortfarande många osäkerheter kring den praktiska tillämpningen. Den rättsliga prövningen av Hälsa för mig pågick vid dataskyddsförordningens ikraftträdande. Då den rättsliga prövningen hade stor betydelse för Samverkansytan, beslutades att stoppa vidareutveckling och att nya rättsutredningar inte skulle genomföras. 6. Blockkedjor Eftersom den rättsliga prövningen av Hälsa för mig resulterade i ett negativt utfall började projektet undersöka alternativ för Samverkansytan. Projektet tog fram ett förslag om informationsöverföring genom blockkedjor för att möjliggöra en pilot för Samverkansytan. Rapporten skulle användas som underlag för en diskussion med DI och Post-och Telestyrelsen ( PTS ). Diskussionen fördes främst utifrån dataskyddsförordningen men även utifrån annan möjlig tillämplig lagstiftning. PTS lyfte inte några särskilda legala hinder för vidare utveckling medan DI var av uppfattningen att personuppgiftsansvar skulle åläggas en eller flera Aktörer. Projektet har diskuterat om det så kallade privatundantaget kunde vara tillämpligt på Samverkansytan. Privatundantaget möjliggör behandling av personuppgifter för privat bruk och skulle resultera i att dataskyddsförordningen inte äger tillämpning. DI öppnade dock inte upp för en sådan tolkning. 7. Behov av lagstöd i framtiden Under projektets gång har ett flertal större juridiska förändringar skett såsom den rättsliga prövningen av Hälsa för mig samt dataskyddsförordningens ikraftträdande. Vidare kan det konstateras att det finns andra juridiska utmaningar såsom den legala grunden för eget utrymme, om juridiska personer ska ha åtkomst till utrymmet eller om utrymmet får användas som utlämnandeyta av uppgifter till tredje part. Projektet har konstaterat att ett direkt lagstöd är en nödvändighet för förverkligandet av Samverkansytan. Advokatfirman Delphi har fått i uppdrag att identifiera centrala områden där författningsstöd kan komma att krävas. Nedan följer en beskrivning av de centrala förändringar som vi bedömer behöver genomföras. 8. Personuppgiftsansvar Samverkansytan kan komma att behandla ett stort antal särskilda kategorier av personuppgifter ( Känsliga personuppgifter ) då ytan är tilltänkt som en plattform för att utbyta information om Invånarens hälsa. För att motverka oklarheter och arbetet med att inhämta åtskilliga samtycken bör konkret lagstöd införas. Dataskyddsförordningen ger ett generellt dataskydd för all behandling av personuppgifter. Det finns dock ett flertal områden där dataskydd kan regleras i 7

nationell rätt. Genom att införa en särskild lag inom ramen för vad dataskyddsförordningen tillåter kan behandling av personuppgifter regleras. Hädanefter kommer en sådan särskild lag benämnas Samverkanslag. Som utgångspunkt ska inte Känsliga personuppgifter behandlas, art. 9.1 dataskyddsförordningen. Ett flertal undantag anges i lagstiftningen. Möjliga undantag som anges i art. 9 är följande. 1.) Uttryckligt samtycke i art. 9.2.a. Detta gäller utom i de fall då EU-rätt eller nationell rätt föreskriver ett förbud. 2.) Rättsligt stöd i EU-rätt, nationell rätt eller genom avtal med yrkesverksamma på området då behandling av personuppgifter hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömning av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system. Undantaget i art. 9.2.h gäller endast då uppgifter behandlas av en individ med tystnadsplikt som regleras i enlighet med art. 9. Nyss nämnda undantag har nämnts mot bakgrund av att det måste finnas en öppning i dataskyddsförordningen för att införa författningsstöd för personuppgiftsbehandling. En Samverkanslag bör utse en Aktör som personuppgiftsansvarig. Det finns ett flertal registerförfattningar och lagar som reglerar personuppgiftsansvar för olika juridiska personer och behandlingar. Motivet till detta har ofta varit att lagstiftaren har velat undvika oklarheter i ansvaret för att skydda de registrerade, som exempel kan nämnas patientdatalagen ( PDL ) där vårdgivaren pekas ut som personuppgiftsansvarig eller lagen (2005:258) om läkemedelsförteckning där EHM pekas ut som personuppgiftsansvarig. En central fråga i sammanhanget är att bestämma vilken Aktör som skulle betraktas som personuppgiftsansvarig och avgöra om det finns eventuella svårigheter med att fastställa det i lag. Potentiella Aktörer som har diskuterats är FK, EHM, Arbetsmiljöverket eller en part som styrs av stat, landsting eller kommun ( SKL-aktör ). 6 Om en SKL-aktör ska vara personuppgiftsansvarig skulle detta kunna ske på samma sätt som SOS Alarm har utpekats i Lag (1981:1104) om verksamheten hos vissa regionala alarmeringscentraler d.v.s. efter avtal med staten. Valet av personuppgiftsansvarig kommer även ha en inverkan på hur bestämmelserna om sekretess regleras. Offentlighet och sekretess kommer att behandlas i punkt 10. 6 Det har tillkommit aktörer vid diskussion om vilken juridisk person som möjligen kan tillhandahålla Samverkansytan. 8

9. Personuppgiftsbehandling I de författningar där en juridisk person utpekas som personuppgiftsansvarig brukar det även finnas regleringar om för vilka ändamål personuppgiftsbehandlingar får företas. PDL föreskriver att personuppgifter får behandlas inom hälso- och sjukvården för sex olika ändamål. 7 Syftet med att reglera ändamålen i författning är att tydliggöra gränserna för användningsområden. I 2 kap 5 PDL finns en reglering om att personuppgifter som får behandlas för de ändamål som anges i PDL även får behandlas för att fullgöra uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning. 8 Tanken bakom Samverkansytan är relativt lik en vårdgivares verksamhet på det sättet att personuppgifter som behandlas i hälso- och sjukvård ofta lämnas ut till andra parter. Ibland sker detta med anledning av den utlämnande vårdgivarens verksamhet, men ofta på begäran av mottagaren. En registerförfattning som reglerar för vilka specifika ändamål en mottagande myndighet eller ett mottagande bolag får behandla personuppgifter minskar möjligheten att få bestämma hur personuppgifter behandlas. Nymarks kommentar till 2 kap 5 PDL anger att ett samtycke som har lämnats i enlighet med gällande regelverk i dataskyddsförordningen borde medföra att en mottagande part kan behandla personuppgifter utanför de ändamål som anges i lag. Om lagstiftningen endast skulle medge behandling för vissa ändamål och inte öppna upp för att individen själv kan påverka skulle detta kunna anses vara i strid med individens självbestämmanderätt. De betydande faktorerna är om behandlingen är tillåten utifrån gällande dataskyddsprinciper och dataskyddsförordningen. 9 En Samverkanslag ska ange bestämda ändamål för vilka personuppgifter kan behandlas. För att undvika missförstånd borde författningen reglera under vilka omständigheter en individ kan lämna sitt samtycke. Då Samverkansytan kommer att innehålla Känsliga personuppgifter ska samtycket vara uttryckligt. Ett samtycke ska vanligen inte betraktas som frivilligt om den personuppgiftsansvarige är en offentlig myndighet eftersom det kan råda betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige. Vidare bör den behandling som krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning ha en grund i lag. 10 De Aktörer som ansluts till Samverkansytan och som utgör myndigheter, ex. FK, ska därmed ha ett uttryckligt stöd i författning för att begära in och behandla personuppgifter. Ett samtycke kommer endast att kunna användas som legal grund i de fall den mottagande Aktören inte är en myndighet och det inte finns 7 2 kap 4 PDL. 8 Lagkommentar Zeteo, Nordstedts Juridik, 2 kap 5 PDL, M. Nymark, publicerad 2018-07-04. 9 Lagkommentar Zeteo, Nordstedts Juridik, 2 kap 5 PDL, M. Nymark, publicerad 2018-07-04. 10 Europaparlamentets och rådets förordning (EU) 2016/679, ingress p. 43-45. 9

ett beroendeförhållande mellan individen och Aktören. Här ska särskilt beaktas att en individ står i beroende till sin arbetsgivare. Arbetsgivares rehabiliteringsskyldighet regleras bland annat i socialförsäkringsbalken, arbetsmiljölagen, föreskriften om arbetsanpassning och rehabilitering och lagen om anställningsskydd. En del av dessa regelverk syftar till preventiva åtgärder medan andra delar har till syfte att ställa krav på arbetsgivare och arbetstagare i det enskilda rehabiliteringsfallet. En vidare utredning av dessa regelverk är nödvändig för att analysera i vilken författning ändring ske för att en arbetsgivare ska få rättsligt stöd att begära ut och behandla personuppgifter från Samverkansytan. Vidare bör ytterligare juridisk utredning ske för Aktörer som utgör myndigheter, såsom ex. FK. Genom att införa en Samverkanslag inom ramen för vad dataskyddsförordningen tillåter kan man reglera vissa frågor. Som nämnt är personuppgiftsansvar och personuppgiftsbehandling två områden där lagreglering bör ske. Ytterligare områden som är bra att reglera är möjligheten till att lämna ut personuppgifter till andra Aktörer, gallringsfrister och informationskrav till de registrerade. 10. Offentlighet- och sekretess Vid utkontraktering eller samverkan mellan myndigheter uppstår frågor kring sekretess. Eftersom information om Invånarens sjukskrivning får betraktas som känslig är det viktigt att den skyddas från insyn. Om den Aktör som tillhandahåller Samverkansytan är en myndighet gäller offentlighetsprincipen som huvudregel. Offentlighetsprincipen kommer till uttryck genom TF och enligt huvudregeln ska varje svensk medborgare ha rätt att ta del av allmän handling. Rätt att ta del av allmän handling får endast begränsas genom lag. Undantaget till huvudregeln i 2 kap 10 TF, s.k. eget utrymme, har behandlats i p. 2.2. I 40 kap 5 OSL anges att sekretess gäller i verksamhet för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning för uppgift om en enskilds personliga eller ekonomiska förhållanden. Då dessa handlingar inte är att betrakta som allmänna innebär bestämmelsen en tystnadspliktbestämmelse för den personal som har tillgång till uppgifterna. Sekretessen är att betrakta som absolut. 11 Då sekretessen är absolut ska det beaktas att ett förverkligande av Samverkansytan bör medföra att en sekretessbrytande bestämmelse behöver införas i OSL. Det finns en avsaknad av närmre reglering av eget utrymme och det råder fortfarande juridisk oklarhet kring gränserna för användningsområden. Om eget utrymme inte skulle tillämpas, antingen för att den tillhandahållande Aktören inte är en myndighet eller om de behandlingar som Samverkansytan medför 11 Lagkommentar Zeteo, Nordstedts Juridik, 40 kap 5 OSL E. Lenberg, U. Geijer, A. Tansjö, publicerad 2018-05- 29. 10

faller utanför tillämpningen av eget utrymme bör det finnas ett lämpligt skydd för sekretess i OSL. I 21 kap 1 OSL stadgas sekretess för uppgifter som rör enskildas hälsa om det måste antas att den enskilde eller någon närstående till denna kommer att lida betydande men om uppgiften röjs. Bestämmelsen kan tillämpas av alla myndigheter och andra organ som ska tillämpa OSL. 12 Sekretessen i 21 kap 1 är ett s.k. rakt kvalificerat skaderekvisit. Detta innebär att sekretess gäller om det måste antas att den enskilde eller någon närstående till den enskilde kommer att lida betydande men om uppgift röjs. 13 Uppgifter som kan resultera i betydande men för individen kan bland annat vara uppgift om HIV, könsbyten eller vissa psykiska sjukdomar. Det krävs således en högre risk för att individen ska lida skada för att uppgifter ska beläggas med sekretess. Presumtionen är alltså offentlighet. En annan relevant bestämmelse är 25 kap 1 OSL som stadgar att sekretess gäller inom hälso- och sjukvård för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Bestämmelsen ger ett skydd för uppgifter som förekommer inom hälso- och sjukvård. Sekretessen inkluderar även uppgifter som rör andra personer än den enskilde om de har lämnats inom ramen för vården, ex. arbetskamrater eller närstående. Sekretessen på hälso- och sjukvårdsområdet gäller med s.k. omvänt skaderekvisit vilket medför en presumtion för sekretess. Det finns bestämmelser rörande begränsningar av sekretess i 10 kap OSL. Dessa kommer inte att behandlas i denna bilaga utan nämns endast för att skapa en förståelse för lagstiftningen. 14 Vid en jämförelse kan det konstateras att eget utrymme medger absolut sekretess, uppgifter som behandlas inom ramen för hälso- och sjukvård medger en presumtion för sekretess med möjlighet att lämna ut handling och för uppgift om hälsa är presumtionen offentlighet. OSL innehåller andra bestämmelser som bör utvärderas som exempelvis förutsättningarna för att bryta sekretess. Dessa har inte utretts i denna bilaga. För Samverkansytan ligger det nära till hands att tillämpa samma nivå av sekretess som gäller inom hälso- och sjukvård 15. Anledningen till detta är att personuppgifterna som behandlas är lika de som behandlas inom hälso- och sjukvård. 12 Det finns konkurrensbestämmelser i OSL som avgör vilken sekretessbestämmelse som ska äga företräde utifall att viss uppgift träffas av flera bestämmelser. 13 Lagkommentar Zeteo, Nordstedts Juridik, 21 kap 1 OSL, E. Lenberg, U. Geijer, A. Tansjö, publicerad 2018-05- 29. 14 Lagkommentar Zeteo, Nordstedts Juridik, 25 kap 1 OSL, E. Lenberg, U. Geijer, A. Tansjö, publicerad 2018-05-29. 15 Någon utredning för om Samverkansytans funktioner och ändamål är att betrakta som hälso- och sjukvård har inte genomförts. 11

11. Kommunikation Samverkansytan kommer att medföra ett utbyte av information mellan flera olika Aktörer, varav en del är myndigheter. Myndigheter har ett större behov av att samverka kring e-tjänster för att möjliggöra en effektiv förvaltning och erbjuda bra service till den enskilde. 16 För att möjliggöra samverkan krävs utlämnade av information mellan olika Aktörer. Som nämnts har det konstaterats att direktåtkomst ska uteslutas som metod för att lämna ut och ta emot information. 17 ESam har utvecklat en vägledning för hur uppgiftsutlämnande genom utlämnande på medium för automatiserad behandling ska ske. Vägledningen är till delvis baserad på Högsta förvaltningsdomstolens dom i LEFI Online-målet. En avgörande faktor att undersöka vid gränsdragningen mellan direktåtkomst och utlämnande på medium för automatiserad behandling är om den utlämnande myndigheten måste reagera på en begäran eller inte. Handlingen ska inte vara tillgänglig förrän en prövning har genomförts. Enligt esam kan inte begreppen förvarad och inkommen ges olika innebörd i olika förvaltningsområden. Tolkningen av tillgänglighetsrekvisitet och begreppet direktåtkomst ska därför gälla för samma tjänster som LEFI Online. Den myndighet som tillhandahåller tjänsten ska; a) bestämma tjänstens utformning och innehåll, b) behörigen ha tagit tjänsten i drift och beslutat om varje ändring i tjänsten, c) endast fått utföra formella prövningar när en uppgift begärs utlämnad, d) reagera på varje enskild begäran om uppgifter för att säkerställa att inget lämnas ut utan att en automatiserad prövning har genomförts av utlämnande myndighet, samt e) säkerställa att det finns en juridisk och faktisk kontroll över prövningar och beslut för att en mottagande myndighet inte ska styra eller påverka dem utöver att begära att uppgifter lämnas ut. ESam har inte analyserat informationssäkerhet eller nivån för personuppgiftsskydd. 18 I sammanhanget kan det även noteras att Förvaltningslagen (2017:900) numera tillåter automatiserat beslutsfattande. Några konkreta laghinder vad gäller kommunikation mellan Aktörerna 19 har inte identifierats. Däremot finns det olika riktlinjer att beakta vid utformningen av 16 Prop. 2016/17:198, s. 7. 17 Se, bland annat, esam, Elektroniskt informationsutbyte en vägledning för utlämnande i elektronisk form, Förstudien och Högsta förvaltningsdomstolens dom i det s. k. LEFI Onlinemålet (HFD 2015 ref. 61). 18 esam, Elektroniskt informationsutbyte en vägledning för utlämnande i elektronisk form. 19 Notera att sekretessen har behandlats i föregående punkt. 12

kommunikationen mellan Aktörerna. Bilagans syfte har inte varit att redogöra för dessa utan snarare att identifiera centrala områden där författningsstöd kan komma att krävas. En Samverkanslag kan möjligen fastslå att utlämnande ska ske genom medium för automatiserad behandling. 12. Kommentarer och reflektion Samverkansytan medför, precis som namnet indikerar, en samverkan mellan flera Aktörer; offentliga och privata. Det finns vanligen fler regler att beakta då offentliga Aktörer agerar. Myndigheter måste ha rättsligt stöd och agera inom ramen för sitt uppdrag. Privata Aktörer har färre regelverk att förhålla sig till men kan behöva lagstöd för att få tillgång till viss information. Ett område som är diskuterat och av stor betydelse är arbetsgivarens rätt att få tillgång till information om Invånarens sjukskrivning. Mot bakgrund av den komplexitet som medföljer vid samverkan av många Aktörer, varav några är offentliga, bör det övervägas om ett förverkligande av Samverkansytan ska ske stegvis. Följande punkter är centrala för att komma närmre ett förverkligande av Samverkansytan. Bestämma vilken Aktör som ska tillhandahålla Samverkansytan. Val av Aktör kommer att ha en påverkan på författningsreglering och är avgörande för en närmre analys av regelverken. Författningsstöd för personuppgiftsansvar och personuppgiftsbehandling som öppnar upp för behandling av Känsliga personuppgifter som hanteras inom Samverkansytan. Översyn av sekretessregelverk beroende av vilken Aktör som ska tillhandahålla Samverkansytan. Det finns inte några konkreta laghinder vad gäller kommunikation mellan Aktörerna. Det finns däremot flera olika riktlinjer att beakta vid utformning. Närmre utredning när Aktör har fastslagits kan vara nödvändig. Utökad rätt alternativt ett förtydligande för arbetsgivare att ta del av uppgifter om Invånarens hälsa förutsatt att syftet är rehabilitering. 13

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss