Datum Diarienr 2010-10-11 1606-2009 Södersjukhuset AB 118 83 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen Datainspektionens beslut Datainspektionen förelägger Södersjukhuset att 1. upphöra att lämna ut personuppgifter till det nationella kvalitetsregistret Auricula till dess det står klart vilken myndighet inom hälso- och sjukvården som är personuppgiftsansvarig för central behandling, 2. upphöra att lämna ut personuppgifter till det nationella kvalitetsregistret Auricula till dess Södersjukhuset försäkrat sig om att mottagaren behandlar personuppgifterna i enlighet med 31 personuppgiftslagen och 2 kap. 5 SOSFS 2008:14, 3. vidta åtgärder för att se till att de registrerade får den information om personuppgiftsbehandlingen i Auricula som följer av 7 kap. 3 och 8 kap. 6 patientdatalagen, 4. upphöra att behandla de registrerades namn och adress i det nationella kvalitetsregistret Auricula, och 5. ta fram och införa rutiner för sin åtkomstkontroll i Auricula i enlighet med kraven i 4 kap. 3 patientdatalagen och 2 kap. 11 SOSFS 2008:14. Vidare bedömer Datainspektionen att Södersjukhuset har förutsättningar att leva upp till kraven på behörighetsstyrning i 4 kap. 2 patientdatalagen och 2 kap. 6 SOSFS 2008:14. I dagsläget saknas dock rutiner för regelbunden uppföljning av behörigheterna. Datainspektionen förutsätter att Södersjukhuset fullföljer sin avsikt att ta fram sådana rutiner för sin åtkomst till Auricula. Ärendet avslutas, men kan komma att följas upp. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
Redogörelse för tillsynsärendet Den 17 november 2009 inspekterade Datainspektionen Södersjukhusets personuppgiftsbehandling, som lokalt personuppgiftsansvarig, i det nationella kvalitetsregistret Auricula. Syftet med inspektionen var att kontrollera om Södersjukhuset behandlar personuppgifter i Auricula i enlighet med kraven i patientdatalagen och personuppgiftslagen. Under inspektionen och i samband med efterföljande kompletteringar har bl.a. följande framkommit. Auricula är sedan är 2007 ett nationellt kvalitetsregister för förmaksflimmer och antikoagulation. Södersjukhuset hade fram till den 16 december 2009 registrerat 1517 unika patienter i Auricula. I det nationella registret som helhet fanns vid samma tidpunkt sammanlagt 35 562 patienter registrerade. Av dessa utgör antikoagulationsregistret ca 28 000. Förutom kvalitetsregistret använder Södersjukhuset ett särskilt doseringsstöd (journalsystem) för waranordinationer som är kopplat till och framtaget i samband med skapandet av Auricula. Auricula leds av en styrgrupp bestående av representanter från olika delar av landet samt två undergrupper. Uppsala Clinical Research Center, UCR, är ett s.k. nationellt kompetenscentra som stödjer ett antal olika kvalitetsregister, däribland Auricula. Närmare uppgifter om vad som framkommit i ärendet och därmed legat till grund för Datainspektionens bedömning framgår av skälen för beslutet. Tillämpliga rättsregler m.m. Översikt Bestämmelser om hanteringen av personuppgifter i nationella kvalitetsregister finns huvudsakligen i 7 kap. patientdatalagen (2008:355). Med kvalitetsregister avses enligt 7 kap. 1 en automatiserad och strukturerad samling av personuppgifter som inrättats för ändamålet att systematiskt och fortlöpande utveckla och stärka vårdens kvalitet. Vidare följer av 7 kap. 2 att personuppgifter inte får behandlas i ett nationellt kvalitetsregister om den enskilde motsätter sig det. I övrigt reglerar 7 kap. bl.a. frågor om personuppgiftsansvar, kvalitetsregisters ändamål, utlämnande genom direktåtkomst, bevarande och gallring. Ytterligare bestämmelser bl.a. rörande hanteringen av personuppgifter i hälso- och sjukvården återfinns i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring. Om inte annat följer av patientdatalagen eller föreskrifter som meddelats med stöd av lagen, gäller Sida 2 av 14
dessutom personuppgiftslagens (1998:204) bestämmelser t.ex. i fråga om säkerheten vid behandling av personuppgifter enligt 30-32. Personuppgiftsansvar på olika nivåer (lokalt och centralt) I 3 personuppgiftslagen definieras personuppgiftsansvarig som den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. I patientdatalagen finns sedan särskilda bestämmelser om personuppgiftsansvar inom hälso- och sjukvården. För nationella kvalitetsregisters del innebär bestämmelserna att personuppgiftsansvaret finns på olika nivåer; lokalt hos inrapporterande vårdgivare och centralt hos den aktör som ansvarar för kvalitetsregistret som helhet. Av patientdatalagens grundläggande bestämmelse i 2 kap. 6 följer att respektive privat vårdgivare och myndighet i kommun och landsting som bedriver hälso- och sjukvård, är personuppgiftsansvarig för sin egen behandling av personuppgifter, d.v.s. den hantering som sker i samband med att personuppgifter registreras och rapporteras in till det nationella kvalitetsregistret. Detta lokala personuppgiftsansvar omfattar även den hantering som sker när en befattningshavare hos vårdgivaren genom direktåtkomst tar del av vårdgivarens redan inrapporterande uppgifter. Det innebär att vårdgivaren är ansvarig för att följa patientdatalagens grundläggande bestämmelser om inre sekretess, behörighetsstyrning och åtkomstkontroll. Vidare följer av 7 kap. 7 patientdatalagen att endast myndigheter inom hälso- och sjukvården får vara personuppgiftsansvarig för central behandling av personuppgifter i ett nationellt kvalitetsregister. Detta ansvar omfattar således den behandling av personuppgifter som sker på det samlade kvalitetsregistret, d.v.s. innehållande uppgifter från samtliga inrapporterande vårdgivare. Till den centrala hanteringen hör bl.a. frågor om säkerhet, utlämnande, framställning av nationell statistik, gallring och rättelse av personuppgifter. Om den centralt personuppgiftsansvarige anlitar en extern aktör för att t.ex. ta hand om driften av ett system och hantera personuppgifter för den centralt ansvariges räkning, är denne enligt 30 personuppgiftslagen skyldig att upprätta ett personuppgiftsbiträdesavtal med den externe aktören. Skäl för beslutet Tillåten behandling utlämnande av personuppgifter Datainspektionen konstaterar att Södersjukhuset, genom att lämna ut personuppgifter till det nationella kvalitetsregistret Auricula utan att Sida 3 av 14
veta vilken myndighet som är personuppgiftsansvarig för den centrala behandlingen, behandlar personuppgifter i strid med grundläggande krav i 9 punkten a) personuppgiftslagen. Datainspektionen förelägger därför Södersjukhuset att upphöra att lämna ut personuppgifter till det nationella kvalitetsregistret Auricula till dess det står klart vilken myndighet inom hälso- och sjukvården som är personuppgiftsansvarig för central behandling. Omständigheterna i ärendet och skälen för Datainspektionens bedömning är följande. I ärendet har framkommit att Södersjukhuset inte vet vem eller vilka som är personuppgiftsansvarig för den centrala behandlingen av personuppgifter i Auricula. Enligt uppgift kommer Landstingstyrelsen i Uppsala län eventuellt att anges som centralt personuppgiftsansvarig, men det är i dagsläget inte förankrat i Landstingsstyrelsen. Vidare uppger Södersjukhuset att det även är nära till hands att betrakta Södersjukhuset som den centralt personuppgiftsansvarige och har i detta avseende efterfrågat Datainspektionens uppfattning. Datainspektionen finner det anmärkningsvärt att det saknas en tydligt utpekad aktör som centralt personuppgiftsansvarig. Konsekvenserna av detta är bl.a. att patienterna inte får information om vem som ansvarar för deras uppgifter. Patienten har således ingen att vända sig till t.ex. med begäran om utplåning och rättelse av personuppgifter. Det saknas även någon som kan besluta i frågor om gallring av personuppgifter i Auricula. Vidare innebär det att det inte funnits någon aktör som ansvarat för att vidta de säkerhetsåtgärder som ska omgärda och påverka förutsättningarna för åtkomst till det nationella kvalitetsregistret. Att systematiskt lämna ut känsliga personuppgifter om patienter utan att äga kännedom om vem som är mottagare av uppgifterna är inte förenligt vare sig med regleringar om offentlighet och sekretess eller med grundläggande bestämmelser i personuppgiftslagen. Den sekretessbrytande bestämmelsen till förmån för utlämnande av uppgifter till nationella kvalitetsregister som finns i 25 kap. 11 punkten 4) offentlighets- och sekretesslagen (OSL) förutsätter att utlämnandet sker i enlighet med patientdatalagens krav. Det innebär i sin tur bl.a. att utlämnandet måste ske till en myndighet inom hälso- och sjukvården. I annat fall gäller sekretess för uppgifterna enligt bestämmelsen om hälso- och sjukvårdssekretess i 25 kap. 1 OSL. Sammantaget saknas således rättsliga förutsättningar att lämna ut uppgifter till ett nationellt kvalitetsregister om det inte står klart att en myndighet inom hälso- och sjukvården är mottagare av uppgifterna och Sida 4 av 14
personuppgiftsansvarig för den centrala behandlingen. Mot denna bakgrund konstateras att Södersjukhusets utlämnande av personuppgifter till det nationella kvalitetsregistret Auricula strider såväl mot hälso- och sjukvårdssekretessen i 25 kap. 1 OSL som mot kravet i 9 punkten a) personuppgiftslagen om att personuppgifter får behandlas bara om det är lagligt. Tillåten behandling säkerhet vid direktåtkomst Datainspektionen konstaterar att Södersjukhuset behandlar personuppgifter i strid med kravet i 9 punkten a) personuppgiftslagen, eftersom Södersjukhuset lämnar ut personuppgifter till ett nationellt kvalitetsregister (Auricula) som i sin tur möjliggör direktåtkomst till de mottagna uppgifterna över öppet nät endast genom inloggning med användarnamn och lösenord. Datainspektionen förelägger därför Södersjukhuset att upphöra att lämna ut personuppgifter till det nationella kvalitetsregistret Auricula till dess Södersjukhuset försäkrat sig om att mottagaren behandlar personuppgifterna i enlighet med 31 personuppgiftslagen och 2 kap. 5 SOSFS 2008:14. Omständigheterna i ärendet och skälen för ovanstående bedömning är följande. I ärendet har framkommit att inrapporterande vårdgivares åtkomst till egna redan registrerade uppgifter sker i Sjunet genom inloggning med användarnamn och lösenord. Sjunet är, t.ex. i likhet med Internet, att betrakta som ett öppet nät. Vidare har framkommit att ambitionen är att inloggningen i framtiden kommer att ske genom s.k. stark autentisering. Auricula är ett nationellt kvalitetsregister som innehåller personuppgifter som vårdgivare över hela landet har rapporterat in (jfr 7 kap. 1 patientdatalagen). De personuppgifter som samlats in i ett nationellt kvalitetsregister är, enligt såväl offentlighets- och sekretesslagen som personuppgiftslagen, att betrakta som utlämnade från den inrapporterande vårdgivaren till den centralt personuppgiftsansvarige myndigheten. När den inrapporterande vårdgivaren sedan nyttjar sin möjlighet, enligt 7 kap. 9 patientdatalagen, till direktåtkomst till egna redan inrapporterade uppgifter äger ett nytt utlämnande rum. Detta innebär enligt Datainspektionen att den centralt personuppgiftsansvarige bl.a. har att svara för att utlämnandet genom direktåtkomst uppfyller de krav på säkerhetsåtgärder som följer av patientdatalagen och personuppgiftslagen. Sida 5 av 14
Av 31 personuppgiftslagen följer att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Vid val av åtgärder ska hänsyn bl.a. tas till hur pass känsliga personuppgifterna är och vilka särskilda risker som finns med behandlingen. Bestämmelsen i 31 personuppgiftslagen innebär enligt Datainspektionen att känsliga personuppgifter enligt personuppgiftslagen (t.ex. uppgifter om hälsa), får lämnas ut via Internet eller annat öppet nät endast till identifierade användare vars identitet är säkerställd med en teknisk funktion som asymmetrisk kryptering, exempelvis e-legitimation, engångslösenord eller motsvarande. Vidare följer av 2 kap. 5 SOSFS 2008:14 bl.a. att en vårdgivare som använder öppna nät för att hantera patientuppgifter har ansvar för att det finns rutiner som säkerställer att åtkomst till patientuppgifter föregås av stark autentisering. Innebörden av ovanstående är att det inte är förenligt med varken personuppgiftslagen eller SOSFS 2008:14 att, som i Auricula, göra känsliga personuppgifter åtkomliga över Sjunet endast genom inloggning med användarnamn och lösenord. I egenskap av personuppgiftsansvarig för sin hantering av personuppgifter i Auricula, ansvarar Södersjukhuset för att den behandling av personuppgifter som utlämnandet till det nationella kvalitetsregistret utgör är laglig. Om Södersjukhuset kan anta att mottagaren, i detta fall den myndighet som ansvarar för central personuppgiftsbehandling i Auricula, inte kommer att följa bestämmelserna i personuppgiftslagen vid den fortsatta behandlingen av personuppgifterna, är Södersjukhusets utlämnande av uppgifter att betrakta som olagligt. Ett sådant utlämnande skulle nämligen strida mot det grundläggande kravet i 9 punkten a) personuppgiftslagen om att den personuppgiftsansvarige ska se till att personuppgifter behandlas bara om det är lagligt. Ovanstående innebär att Södersjukhuset, med vetskap om de i ärendet konstaterade bristerna avseende direktåtkomst till uppgifter i Auricula, saknar lagligt stöd för att lämna ut personuppgifter till kvalitetsregistret. Södersjukhuset ska därför upphöra att lämna ut personuppgifter till det nationella kvalitetsregistret Auricula till dess Södersjukhuset försäkrat sig om att personuppgifterna behandlas på ett lagligt sätt. Datainspektionen vill upplysningsvis informera Södersjukhuset om att ett lagligt utlämnande till Auricula möjliggörs antingen genom att de aktuella bristerna åtgärdas eller om den centralt personuppgiftsansvarige, så länge bristerna kvarstår, undandrar möjligheten till direktåtkomst för inrapporterande vårdgivare. Detta förutsätter naturligtvis att Södersjukhuset äger kännedom om vilken myndighet inom hälso- och sjukvården som är centralt personuppgiftsansvarig. Sida 6 av 14
Information till registrerade Datainspektionen konstaterar att Södersjukhuset, genom bristfälliga informationsinsatser om personuppgiftsbehandlingen i Auricula, behandlar personuppgifter i strid med informationskraven i 7 kap. 3 och 8 kap. 6 patientdatalagen. Datainspektionen förelägger därför Södersjukhuset att vidta åtgärder för att se till att de registrerade får den information om personuppgiftsbehandlingen i Auricula som följer av 7 kap. 3 och 8 kap. 6 patientdatalagen. Omständigheterna i ärendet och skälen för ovanstående bedömning är följande. Information om Auricula och den personuppgiftsbehandling som sker hos Södersjukhuset ges till de registrerade genom en mindre affisch på väggen i väntrum och bredvid kassan på vårdavdelningen. Det finns även planer på att informera på Internet. Det ges ingen muntlig information om personuppgiftsbehandlingen. Innehållet i informationsaffischen framgår av bilaga 1. Regeringen anför i propositionen (prop. 2007/08:126 s. 208) att det från integritetssynpunkt är angeläget att den registrerade får utförlig information om personuppgiftsbehandlingen. Informationen behövs för att den registrerade ska kunna ta tillvara sina rättigheter i samband med personuppgiftsbehandlingen. Vidare anför regeringen att informationen även är viktig för att skapa en nödvändig grund för allmänhetens förtroende för behandlingen. För behandling av personuppgifter i nationella kvalitetsregister gäller patientdatalagens allmänna bestämmelse om informationsskyldighet i 8 kap. 6. Av bestämmelsen följer att den personuppgiftsansvarige bl.a. ska se till att den registrerade får information om vem som är personuppgiftsansvarig, ändamålet med behandlingen, rätten att ta del av uppgifter enligt 26 personuppgiftslagen, vad som gäller i fråga om bevarande och gallring, rätten till skadestånd m.m. Utöver detta finns, i 7 kap. 3 patientdatalagen, särskilda krav på information för nationella kvalitetsregister. Enligt bestämmelsen ska den personuppgiftsansvarige, innan personuppgifter behandlas i ett nationellt kvalitetsregister, se till att den enskilde får information om 1. rätten att när som helst få uppgifter om sig själv utplånade i registret, 2. i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal, och Sida 7 av 14
3. vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till. Det finns i patientdatalagen inget krav på att informationen till de registrerade ska lämnas på ett särskilt sätt, t.ex. skriftligt. I propositionen (prop. 2007/08:126 Patientdatalag m.m. s. 258) anför regeringen att det bör överlåtas åt varje personuppgiftsansvarig att bestämma hur informationen ska ges. En förutsättning är att varje personuppgiftsansvarig utarbetar rutiner för hur informationsskyldigheten ska fullgöras. Enligt regeringen åligger det också den personuppgiftsansvarige att se till att informationen är utformad på ett sätt som kan förstås av den registrerade. När det gäller patienter som inte talar svenska bör den personuppgiftsansvarige se till att någon översätter informationen eller att det finns skriftliga informationsblanketter på flera språk. Vidare anför regeringen (s. 249 f) följande av betydelse i sammanhanget. Säkra rutiner ligger i den personuppgiftsansvariges eget intresse, eftersom denne då det gäller information till en registrerad vid personuppgiftsbehandling anses ha bevisbördan för att obligatorisk information faktiskt har lämnats till patienten. Även om ovanstående uttalande lämnas i ett avsnitt som berör informationskravet vid sammanhållen journalföring, är det enligt Datainspektionen gällande även vid behandling av personuppgifter i kvalitetsregister. Såväl kvalitetsregisterföringen som den sammanhållna journalföringen bygger på att patienten ska få information och ges rätt att motsätta sig personuppgiftsbehandlingen. För den personuppgiftsansvarige är det således nödvändigt att ha säkra rutiner både för att information faktiskt lämnas och att den uppfyller patientdatalagens krav på innehåll. Den personuppgiftsansvarige behöver därför tillhandahålla informationen på ett sådant sätt att den kommer samtliga registrerade till del. Mot den bakgrunden är det, enligt Datainspektionen, i allmänhet inte tillräckligt att den personuppgiftsansvarige endast informerar exempelvis på Internet eller genom broschyr eller annat anslag i väntrum, om inte detta kompletteras med någon form av hänvisning till den registrerade att ta del av informationen. Eftersom hänsyn ska tas till den enskilde registrerades möjligheter att tillgodogöra sig informationen, kan den personuppgiftsansvarige även behöva olika informationsrutiner för olika kvalitetsregister. Datainspektionen konstaterar att den information om personuppgiftsbehandlingen i Auricula som lämnas till de registrerade har fundamentala brister. Det framgår bl.a. felaktigt att uppgifter i Sida 8 av 14
kvalitetsregistret betraktas som en del av patientjournalen. Vidare anges att registret drivs av Sveriges hjärtläkarförening i samarbete Socialstyrelsen och Landstingsförbundet (numera SKL). Vidare informeras inte specifikt om Auricula, utan informationen rör flera nationella kvalitetsregister för hjärtsjukvård. Informationen till de registrerade är dessutom ofullständig eftersom det saknas information om att Södersjukhuset är personuppgiftsansvarig för sin behandling, att den registrerade när som helst har rätt att få uppgifterna utplånade, i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal, vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till, vilka sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen, rätten att få information om den direktåtkomst och elektroniska åtkomst som förekommit, rätten till skadestånd vid behandling av personuppgifter i strid med patientdatalagen, vad som gäller ifråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling samt rätten till rättelse av sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen. När det gäller tillvägagångssättet för att informera de registrerade anser Datainspektionens att det inte är tillräckligt endast med en mindre affisch på väggen i väntrum och bredvid kassan på vårdavdelningen. Eftersom affischen inte kompletteras med andra informationsinsatser eller ens en muntlig hänvisning till patienten att ta del av affischen, måste det tas för sannolikt att informationen på affischen inte kommer samtliga patienter till del. Mot bakgrund av ovanstående konstaterar Datainspektionen att Södersjukhusets information om personuppgiftsbehandlingen i Auricula inte lever upp till patientdatalagens krav. Personuppgifter som registreras Datainspektionen konstaterar att Södersjukhuset, genom att registrera uppgifter om namn och adress i Auricula, behandlar personuppgifter i strid med 7 kap. 8 patientdatalagen. Datainspektionen förelägger Södersjukhuset att upphöra att behandla de registrerades namn och adress i det nationella kvalitetsregistret Auricula. Omständigheterna i ärendet och skälen för ovanstående bedömning är följande. I ärendet har framkommit att Södersjukhuset, förutom hälsouppgifter, behandlar uppgifter om namn, personnummer och adress. Registreringen av personnummer görs bl.a. för att kunna köra registret mot andra register, Sida 9 av 14
medan Södersjukhuset inte har gjort någon särskild bedömning av behovet av att registrera namn och adress. Av 7 kap. 8 patientdatalagen följer att endast uppgifter som behövs för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet får behandlas i ett nationellt kvalitetsregister. Vidare följer att en enskilds personnummer eller namn endast får behandlas om det inte är tillräckligt, för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet, att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde. I propositionen Patientdatalag m.m. prop. 2007/08:126 s. 261 anför regeringen att paragrafen utgår från förutsättningen att kvalitetsregister i första hand ska bygga på användningen av kodade personuppgifter eller indirekt utpekande personuppgifter, t.ex. ålder, kön och hemort i kombination med sjukdomsrelaterade uppgifter. Regeringen anför även att behandling av personnummer kan vara tillåten om registeruppgifterna ska samköras med andra register för kvalitetssäkringsändamål eller att patienterna ska följas upp över lång tid. För att det ska vara lagligt att registrera enskildas namn och adress i kvalitetsregister krävs att det, med hänsyn till ändamålet med behandlingen, inte är tillräckligt att använda kodade uppgifter. Den personuppgiftsansvarige behöver således göra en noggrann bedömning av behovet av att registrera personuppgifter som t.ex. direkt pekar ut den registrerade. Södersjukhuset har inte gjort någon sådan bedömning. Behörighetsstyrning Datainspektionen konstaterar att Södersjukhuset har förutsättningar att leva upp till kraven på behörighetsstyrning i 4 kap. 2 patientdatalagen och 2 kap. 6 SOSFS 2008:14. I dagsläget saknas dock rutiner för regelbunden uppföljning av behörigheterna. Datainspektionen förutsätter att Södersjukhuset fullföljer sin avsikt att ta fram sådana rutiner för sin åtkomst till Auricula. Omständigheterna i ärendet och skälen för ovanstående bedömning är följande. I ärendet har framkommit att tilldelning av behörigheter i Auricula styrs av behov och sker genom lokal koordinator, som även kan ta bort/inaktivera behörigheter. I dagsläget finns ingen rutin för uppföljning av behörigheter, men Södersjukhuset har för avsikt att upprätta en sådan. Av 4 kap. 2 patientdatalagen följer att vårdgivaren ska bestämma villkor för tilldelning av behörigheter samt att behörigheterna ska begränsas till vad som Sida 10 av 14
behövs för att användaren ska kunna fullgöra sina arbetsuppgifter. Detta kompletteras sedan av bestämmelserna i 2 kap. 6 Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. Av denna bestämmelse framgår följande. - Det ska finnas rutiner som säkerställer att behörigheter begränsas till vad som behövs för en god och säker vård. - Varje användare ska tilldelas en individuell behörighet. - Beslut om tilldelning av behörighet ska föregås av en behovs- och riskanalys. - Det ska finnas rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheterna. Åtkomstkontroll Datainspektionen konstaterar att Södersjukhuset, genom avsaknad av rutiner för systematisk och återkommande åtkomstkontroll, inte lever upp till kraven i 4 kap. 3 patientdatalagen och 2 kap. 11 SOSFS 2008:14. Datainspektionen förelägger därför Södersjukhuset att ta fram och införa rutiner för åtkomstkontroll i kvalitetsregistret Auricula i enlighet med kraven i 4 kap. 3 patientdatalagen och 2 kap. 11 SOSFS 2008:14. Omständigheterna i ärendet och skälen för ovanstående bedömning är följande. I ärendet har framkommit att det finns åtkomstloggar som ger information om vilka åtgärder som vidtagits, från vilken vårdenhet, när detta skett samt användarens och patientens identitet. Södersjukhuset har emellertid aldrig gjort någon åtkomstkontroll rörande Auricula och har heller ingen rutin som avser åtkomstkontroll i registret. Enligt 4 kap. 3 patientdatalagen ska vårdgivare göra systematiska och återkommande kontroller av om någon obehörigen kommer åt patientuppgifter. Detta kompletteras sedan av 2 kap. 11 SOSFS 2008:14, där det bl.a. framgår att vårdgivaren ska ansvara för att det finns rutiner som säkerställer att 1. det av dokumentationen av åtkomsten (loggarna) framgår vilka åtgärder som har vidtagits med patientuppgifterna, 2. det av loggarna framgår vid vilken vårdenhet och vid vilken tidpunkt åtgärderna har vidtagits, 3. användarens och patientens identitet framgår av loggarna, och 4. systematiska och återkommande stickprovskontroller av loggarna görs. Sida 11 av 14
Av regeringens proposition 2007/080:126 s. 149 f framgår bl.a. följande avseende åtkomstkontroll. För att främja patientsäkerheten bör vårdgivarna åläggas att systematiskt och fortlöpande företa kontroller av om obehörig åtkomst till uppgifter om patienter förekommer. Regeringen föreslår att detta uttryckligen föreskrivs som ett krav i patientdatalagen. En sådan bestämmelse innebär inte bara att faktiska dataintrång med större säkerhet kommer att kunna beivras. Bestämmelsen bör även få en starkt avhållande verkan på personal att olovligen läsa uppgifter. Rutinerna för åtkomstkontroll ska vara utformade på sådant sätt att de blir verkningsfulla i förhållande till den behandling av personuppgifter som sker hos vårdgivaren. En förutsättning för detta är bl.a. att berörd personal får tydlig information om logguppföljningarna och deras syfte. Vårdgivaren måste även kontinuerligt utvärdera rutinerna för åtkomstkontroll för att säkerställa att rutinerna är verkningsfulla. Gallring Datainspektionen konstaterar att personuppgifter i Auricula inte gallras, men vidtar inga åtgärder mot Södersjukhuset i denna del. Det motiveras av att det är den centralt personuppgiftsansvarige som har att följa bestämmelsen om gallring i 7 kap. 10 patientdatalagen. Omständigheterna i ärendet och skälen för ovanstående bedömning är följande. I ärendet har framkommit att uppgifter i Auricula inte gallras. Något särskilt beslut om bevarande har dock inte fattats. Av 7 kap. 10 patientdatalagen följer att personuppgifter i ett nationellt kvalitetsregister ska gallras när uppgifterna inte längre behövs för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Från detta kan dock undantag göras, t.ex. genom beslut från arkivmyndighet i landsting eller kommun. Bestämmelsen innebär således att det krävs ett aktivt ställningstagande för att föreskriven gallring ska kunna underlåtas. Det är den myndighet som är ansvarig för central behandling av personuppgifter i det nationella kvalitetsregistret som har att iaktta bestämmelsen om gallring i 7 kap. 10 patientdatalagen. Med hänsyn till detta vidtas inga ytterligare åtgärder mot Södersjukhuset i denna del. Övriga upplysningar Fråga om Södersjukhuset omfattas av begreppet myndighet i 7 kap. 7 patientdatalagen I ärendet har framkommit att Södersjukhuset i några sammanhang, bl.a. i den senaste anmälan till Sveriges Kommuner och Landsting, angetts som Sida 12 av 14
personuppgiftsansvarig och den person som utsetts till registerhållare är anställd på Södersjukhuset. Enligt Södersjukhuset är det nära till hands att betrakta Södersjukhuset som centralt personuppgiftsansvarig för Auricula. Då Södersjukhuset AB är helägt av Stockholms läns landsting och därför i bl.a. offentlighets- och sekretessammanhang är att likställa med en myndighet, undrar Södersjukhuset om man även kan omfattas av begreppet myndighet i den mening som avses i 7 kap. 7 patientdatalagen. Södersjukhuset har i denna fråga hemställt om Datainspektionens ställningstagande. När det gäller Södersjukhusets fråga gör Datainspektionen följande bedömning. Bestämmelsen i 7 kap. 7 patientdatalagen innebär att för sådan personuppgiftsbehandling i nationella kvalitetsregister som sker på central nivå ska endast myndigheter inom hälso- och sjukvården få vara personuppgiftsansvariga. Detta är enligt regeringen motiverat eftersom det är mindre lämpligt att stora samlingar integritetskänsliga personuppgifter samlas i enskild verksamhet utan att förutsättningarna för detta närmare övervägs (Prop. 2007/08:126 Patientdatalag m.m. s. 183). Regeringen, eller den myndighet regeringen bestämmer, kan därför besluta om att även annan får vara personuppgiftsansvarig. Regeringen har hittills inte meddelat möjlighet för någon myndighet att fatta ett sådant beslut. Det hindrar i och för sig inte Datainspektionen att ha en uppfattning i frågan om Södersjukhuset kan anses vara en sådan myndighet som avses i ovan nämnda paragraf. Till ledning för bedömningen kan regeringens följande uttalande i samband med den grundläggande bestämmelsen om personuppgiftsansvar i 2 kap. 6 patientdatalagen tas (prop. 2007/08:126 Patientdatalag m.m. s. 230). Enligt förevarande paragraf är det emellertid inte landstinget eller kommunen som är personuppgiftsansvarig. Istället är det den myndighet, nämnd, som behandlar personuppgifterna som är personuppgiftsansvarig. Sådan myndighet omfattar också sådana kommunala företag som avses i 1 kap. 9 sekretesslagen (1980:100), dvs. bolag, föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande. Bestämmelsen i sekretesslagen som regeringen hänvisar till ovan, återfinns nu i 2 kap. 3 offentlighets- och sekretesslagen (2009:400). Datainspektionen bedömer att Södersjukhuset, för det fall man är ett sådant aktiebolag som avses i 2 kap. 3 offentlighets- och sekretesslagen, omfattas av begreppet myndighet både i 2 kap. 6 patientdatalagen och i 7 kap. 7. Såvitt Datainspektionen kan bedöma utgör därför 7 kap. 7 patientdatalagen inget hinder för Södersjukhuset att vara personuppgiftsansvarig för central Sida 13 av 14
behandling av personuppgifter i Auricula. Det är dock i första hand en fråga för Södersjukhuset och övriga inrapporterande vårdgivare att avgöra. Hur man överklagar Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet ska ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Hans-Olof Lindblom, teamledaren Erik Janzon, ITsäkerhetsspecialisten Magnus Bergström och juristen Patrik Sundström, föredragande. Göran Gräslund Patrik Sundström Sida 14 av 14