Yttrande Diarienr 1(7) 2016-09-15 1082-2016 Ert diarienr 4.1.1-14967/2016 Socialstyrelsen via e post Remiss avseende förslag till Socialstyrelsens föreskrifter och allmänna råd om ordination och hantering av läkemedel i hälso- och sjukvården m.m. Datainspektionen har granskat förslaget huvudsakligen utifrån myndighetens uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Sammanfattning Datainspektionen anser att Socialstyrelsens konsekvensutredning är bristfällig och att den riskerar att leda till felaktiga slutsatser. När det gäller innehållet i föreslagna föreskrifter och allmänna råd om ordination och hantering av läkemedel i hälso och sjukvården avstyrker Datainspektionen förslaget i vissa delar och lämnar också vissa synpunkter på förslaget, se nedan. Inom överskådlig tid behöver Socialstyrelsen göra en översyn av föreskrifter och allmänna råd som är förknippade med behandling av personuppgifter. Skälet är att EUs dataskyddsförordning ska börja tillämpas den 25 maj 2018. Synpunkter på konsekvensutredningen Socialstyrelsen utgår i konsekvensutredningen från ett författningsförslag som inte är genomfört. Datainspektionen anser att Socialstyrelsen istället borde ha utgått från gällande rätt i konsekvensutredningen och översiktligt ha redogjort för vilka möjligheter exempelvis vårdgivare har att genom elektronisk åtkomst och direktåtkomst ta del av uppgifter om patienters läkemedel och köp av läkemedel enligt patientdatalagen (2008:355), lagen om receptregister (1996:1156) och lagen om läkemedelsförteckning (2005:258). Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Telefon: 08-657 61 00
Datainspektionen 2016-09-15 Diarienr 1082-2016 2 (7) När detta inte har skett finns det enligt Datainspektionen en risk för att konsekvensutredningen bidrar till felaktiga slutsatser, som i sin tur kan leda till att dataskyddet på området inte blir fullgott. Socialstyrelsen har även angett vad som ska uppnås med förslaget. Vikten av ett fullgott dataskydd har dock inte berörts av Socialstyrelsen. Det borde enligt Datainspektionen vara naturligt att en konsekvensutredning som förknippas med behandling av omfattande och mycket integritetskänsliga personuppgifter har som en, av flera, utgångspunkter att ett fullgott dataskydd ska upprätthållas. I förslaget till föreskrifter (11 kap. 1 och 17 samt det allmänna rådet till 11 kap. 5 ) förekommer formuleringen... om hinder inte möter enligt patientdatalagen... alternativt lagen om läkemedelsförteckning. Datainspektionen avstyrker de aktuella lydelserna och föreslår istället lydelsen om det sker i överensstämmelse med. Dataskyddsreglerna anger vad som ska beaktas vid behandling av personuppgifter. Varje vårdgivare behöver därför medvetandegöra sina medarbetare om de möjligheter som finns att behandla personuppgifter i den dagliga löpande verksamheten. Inom hälsooch sjukvården är detta särskilt viktigt eftersom medarbetarna behöver komma åt patientinformationen för att upprätthålla patientsäkerheten. Exempelvis patientdatalagen ger vårdgivarna möjligheter att behandla personuppgifter, både inom en vårdgivare (4 kap. patientdatalagen) och mellan olika vårdgivare genom sammanhållen journalföring (6 kap. patientdatalagen). Ett exempel på något som kan feltolkas sett till möjligheterna att behandla personuppgifter enligt patientdatalagen är när konsekvensutredningen refererar till begreppet sammanhållen journaldata (sidan 11). Datainspektionen konstaterar att sammanhållen journaldata inte är ett begrepp i vare sig patientdatalagen eller annan registerförfattning på området. Det kan därför vara svårt att förstå vad Socialstyrelsen avser. Däremot är sammanhållen journalföring, som regleras i 6 kap. patientdatalagen, en möjlighet för olika vårdgivare att samarbeta och ge varandra direktåtkomst till var och ens vårddokumentation, till exempel journalförda personuppgifter om läkemedel, under de förutsättningar som framgår av 6 kap. patientdatalagen. Elektronisk åtkomst inom en vårdgivare regleras av 4 kap. patientdatalagen.
Datainspektionen 2016-09-15 Diarienr 1082-2016 3 (7) Socialstyrelsen uppger i konsekvensutredningen att personal inom den sociala omsorgen och hemtjänsten berörs av föreskriftsförslaget (s. 8). Datainspektionen ställer sig frågande till denna uppgift eftersom patientdatalagen inte omfattar verksamhet enligt socialtjänstlagen, jämför med 1 kap. 1 första stycket första meningen och definitionen av hälso och sjukvård i 1 kap 3 patientdatalagen. Inte heller lagen om receptregister och lagen om läkemedelsförteckning är aktuella för verksamheter som bedrivs enligt socialtjänstlagen. När det gäller avsnittet i konsekventutredningen som rör surfplattor och annan mobil utrustning (s. 30 31) vill Datainspektionen framhålla följande. Det är alltid den personuppgiftsansvariga vårdgivaren som ska ta ställning till vilken utrustning de anställda ska använda eftersom det är vårdgivaren som ska ge medarbetarna instruktioner om behandlingen av pers0nuppgifterna enligt 30 första stycket personuppgiftslagen. Instruktionerna behöver vara så tydliga att otillåten personuppgiftsbehandling inte sker. Det är också den personuppgiftsansvariga vårdgivaren som ansvarar för att det finns verkningsfulla rutiner för exempelvis behörighetsstyrning och åtkomstkontroll enligt 4 kap. 2 och 3 patientdatalagen samt att överföring i öppet nät sker i enlighet med 2 kap. 5 SOSFS 2008:14, oavsett vilken itutrustning som används. Detta innebär att det sett till dataskyddsbestämmelserna i praktiken inte finns utrymme för enskilda initiativ bland medarbetare att börja använda surfplattor och annan mobil utrustning för hantering av personuppgifter. Synpunkter på föreskriftsförslaget om ordination och hantering av läkemedel i hälso- och sjukvården 4 kap. Ledningssystem Enligt 4 kap. 3 ska vårdgivaren säkerställa att läkemedelshanteringen regelbundet genomgår en extern farmaceutisk kvalitetskontroll. Det saknas vägledning kring hur den externa farmaceutiska kvalitetskontrollen ska gå till, till exempel om den som utför kontrollen behöver ta del av journalinformation och på vilket sätt detta ska ske i
Datainspektionen 2016-09-15 Diarienr 1082-2016 4 (7) överensstämmelse med 4,5 och 6 kap. patientdatalagen. Frågor om sekretess och tystnadsplikt gör sig också gällande. 6 kap. Ordination av läkemedel Av 6 kap. 10 framgår att en läkemedelsordination ska dokumenteras på ett strukturerat och enhetligt sätt i patientjournalen och det anges vilka personuppgifter som ska dokumenteras i 6 kap. 11. Av det allmänna rådet till 11 framgår att ordinationsorsak bör anges genom användning av Socialstyrelsens nationella källa för ordinationsorsak. Datainspektionen har tidigare i ett remissyttrande uppmärksammat att det är oklart vilka personuppgifter som kan ingå i en ordination (remissyttrande avseende SOU 2015:32 Nästa fas i e hälsoarbetet, Datainspektionens ärende 1236 2015, hela yttrandet finns tillgängligt på Datainspektionens webbplats http://www.datainspektionen.se/documents/remissvar/2015 10 26 nasta fasehalsoarbete.pdf Datainspektionen har lämnat följande synpunkter. [ ] Enligt förslaget ska E hälsomyndigheten föra ett register över ordinationer av läkemedel. Av betänkandet framgår inte vilken information som kan ingå i en ordination. Receptregistret är enligt portalparagrafen i lagen om receptregister ett register över förskrivningar. Begreppet ordination förekommer varken i lagen om receptregister eller i lagen om läkemedelsförteckning. Datainspektionen saknar en motivering till denna förändring och efterfrågar en analys av vad förändringen kan innebära för den personliga integriteten. I den mån en ordination innefattar information som omfattas av journalföringsplikten och som det saknas behov av hos öppenvårdsapoteken, anser inspektionen att det inte är lämpligt att sådan information ska ingå i en gemensam läkemedelslista. [ ] [ ] Vad en ordination ska eller kan innehålla är emellertid inte något som anges. Den begränsning av vilka uppgifter som kan komma att tillföras listan som den sekretessbrytande bestämmelsen innebär kan inte anses väga upp ett alltför vitt angivet ändamål för behandlingen. [ ]
Datainspektionen 2016-09-15 Diarienr 1082-2016 5 (7) Det ovan sagda innebär att det är angeläget att det finns en samsyn kring vilka personuppgifter som ingår i en ordination, vilket Datainspektionen också uppfattar som en viktig patientsäkerhetsfråga. Det är också viktigt att vara medveten om att mottagare av personuppgifter som rör ordinationer ska följa de grundläggande kraven i 9 första stycket personuppgiftslagen. Den personuppgiftsansvariga ska exempelvis se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålet med behandlingen samt att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen. Det är bland annat det som avses i exemplet ovan. Det är inte förenligt med de grundläggande reglerna om dataskydd att ge öppenvårdsapoteken tillgång till mer information än de har behov av. 8 kap. Iordningställande och administrering...osv I 8 kap. 1 föreskriftsförslaget används uttrycket samlad information och att uppgifter ska finnas samlade. Det är mot bakgrund av främst 4 och 6 kap. patientdatalagen oklart vad Socialstyrelsen menar med samlad information och samlade uppgifter. Datainspektionen avstyrker förslaget och föreslår att ordet samlad tas bort i underrubriken och att sista stycket tas bort. 9 kap. Delegering av...osv. Enligt 9 kap. 2 föreskriftsförslaget ska viss hälso och sjukvårdspersonal kunna delegera vissa arbetsuppgifter gällande läkemedel. Här vill Datainspektionen peka på den åtskillnad mellan behandling av personuppgifter inom hälso och sjukvården respektive socialtjänsten som återspeglas i patientdatalagen samt lagen (2001:454) och förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten. Mot denna bakgrund bör Socialstyrelsen tydliggöra för vårdgivarna vad som avses med delegering.
Datainspektionen 2016-09-15 Diarienr 1082-2016 6 (7) 11 kap. Läkemedelsgenomgångar Se även synpunkterna om 11 kap. som framgår ovan under rubriken Synpunkter på konsekvensutredningen på sidan 2. I 11 kap. 17 föreslås en föreskrift om överföring av information vid utskrivning. Det framgår inte vad som i föreskriften avses med överföring och att överföra. Mot denna bakgrund avstyrker Datainspektionen den föreslagna lydelsen. Möjligheterna att enligt patientdatalagen ta del av vårddokumentation om en patient kan kort beskrivas enligt följande. Om en personuppgift får lämnas ut, får det enligt 5 kap. 6 patientdatalagen ske på medium för automatiserad behandling. Formuleringen att personuppgiften får lämnas ut syftar på att uppgiften inte kan lämnas ut om sekretess gäller för den (prop. 2007/08:126 Patientdatalag m.m. s. 247). Om olika vårdgivare samarbetar enligt bestämmelserna om sammanhållen journalföring i 6 kap. patientdatalagen kan en vårdgivare genom direktåtkomst ta del av en annan vårdgivares vårddokumentation under förutsättning att bestämmelserna följts gällande förutsättningarna för såväl tillgängliggörandet av som direktåtkomsten till vårddokumentationen. Syftet med sammanhållen journalföring är att underlätta informationshanteringen i hälso 0ch sjukvården mellan olika vårdgivare. Inom en vårdgivare gäller förutsättningarna enligt 4 kap. patientdatalagen för behandling av personuppgifter enligt patientdatalagen. 13 kap. 1 undantagsbestämmelse Socialstyrelsen har inte mandat att bevilja undantag från dataskyddsbestämmelserna i exempelvis patientdatalagen och personuppgiftslagen, som införlivar det så kallade dataskyddsdirektivet (95/46/EG). Datainspektionen motsätter sig därför att Socialstyrelsen ska ha en generell möjlighet att medge undantag från bestämmelserna i föreskrifterna eftersom de är förknippade med behandling av personuppgifter i stor utsträckning.
Datainspektionen 2016-09-15 Diarienr 1082-2016 7 (7) Dataskyddsförordningen Datainspektionen vill erinra om att den nya dataskyddsförordningen ska börja tillämpas den 24 maj 2018. Dataskyddsförordning blir direkt tillämplig i Sverige och personuppgiftslagen kommer att upphävas. Nya lagförslag måste vara förenliga med förordningen. Det finns ett begränsat utrymme att lagstifta på nationell nivå. I vissa fall finns det krav på nationell reglering för att en viss behandling ska vara tillåten. När det gäller behandling av personuppgifter inom Socialdepartementets verksamhetsområde kommer det att ske en översyn i enlighet med ett kommittédirektiv som regeringen har beslutat http://www.regeringen.se/contentassets/ef9f33eb227540b6bc8c54c004d5bc77 /dataskyddsforordningen behandling av personuppgifter och anpassningarav forfattningar inom socialdepartementets verksamhetsomrade.pdf Ovanstående innebär också att Socialstyrelsen inom överskådlig tid behöver se över föreskrifter som är förknippade med behandling av personuppgifter. Detta yttrande har beslutats av enhetschefen Katarina Tullstedt efter föredragning av avdelningsdirektören Suzanne Isberg. Katarina Tullstedt Suzanne Isberg