Datum Diarienr 2010-05-21 1318-2009 Regionstyrelsen Region Skåne 291 89 Kristianstad Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar att Regionstyrelsen för Region Skåne (Regionstyrelsen) har behandlat personuppgifter i strid med 7 kap. 6 patientdatalagen. Datainspektionen förutsätter att Regionstyrelsen vidtar åtgärder för att se till att det inte inträffar igen. Datainspektionen konstaterar att Regionstyrelsen inte lever upp till kravet i 31 personuppgiftslagen på att vidta lämpliga säkerhetsåtgärder till skydd för de personuppgifter som behandlas i Svenska Knäprotesregistret. Datainspektionen förelägger Regionstyrelsen att, utifrån en risk- och sårbarhetsanalys, ta fram och införa de rutiner och riktlinjer för personuppgiftsbehandlingen i Svenska Knäprotesregistret som behövs för att behandlingen av personuppgifter fortsättningsvis ska ske i enlighet med patientdatalagen. Ärendet avslutas, men kommer att följas upp. Redogörelse för tillsynsärendet Datainspektionen inledde i september 2009 tillsyn mot Regionstyrelsen, som s.k. centralt personuppgiftsansvarig för kvalitetsregistret Svenska Knäprotesregistret. Samtidigt inleddes även tillsyn mot Styrelsen för Sahlgrenska Universitetssjukhuset som centralt personuppgiftsansvarig för kvalitetsregistret Svenska Höftprotesregistret samt mot insamlingsfonden Ledfonden. Datainspektionens beslut om tillsyn föranleddes av klagomål från allmänheten, där hanteringen av personuppgifter inom kvalitetsregistren ifrågasattes. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
I september och november 2009 ställde Datainspektionen ett antal frågor till Regionstyrelsen rörande hanteringen av personuppgifter i Svenska Knäprotesregistret. Regionstyrelsen förklarade sig vara centralt personuppgiftsansvarig för Svenska Knäprotesregistret. För att få ytterligare information i ärendet genomförde Datainspektionen den 11 mars 2010 en inspektion av Regionstyrelsens personuppgiftsbehandling. Datainspektionens granskning i detta ärende omfattar inte tekniska säkerhetsåtgärder. Under inspektionen framkom bl.a. följande. Svenska Knäprotesregistret administreras hos Nationellt kompetenscentrum (NKO). Personer i registerledningen har, förutom anställning i Region Skåne, positioner eller uppdrag i bl.a. Ledfonden. Som en åtgärd för att bättre nå ut med information till protespatienter planerade Svensk Ortopedisk Förening sedan ett par år tillbaka att hålla ett öppet hus runt om i landet. Resultaten och nyttan med protesregistren skulle då särskilt uppmärksammas. För att bjuda in till mötena skulle uppgifter ur Svenska Höftprotesregistret och Svenska Knäprotesregistret användas. Av praktiska skäl skulle uttagen och sammanställningen ske centralt med klinikerna i landet som ansvariga. Något beslut från landets verksamhetschefer i ortopedi om att ta ut personuppgifter ur Svenska Knäprotesregistret har dock inte fattats. Under hösten 2009 beslöt registerledningen för Svenska Knäprotesregistret, som då hade fått personnummer från Svenska Höftprotesregistret utlämnade till sig, att ta ut registrerade patienters personnummer ur Knäprotesregistret och slå samman dessa med uppgifterna från Höftprotesregistret. Filerna med personnummer rensades sedan så att de endast skulle innehålla personer som var i livet. Därefter kompletterades uppgiftsmängden med namn och adressuppgifter från PAR och översändes sedan till ett företag som ombesörjde kuvertering och utskick. Det adresserade utskicket innehöll en inbjudan från Svensk Ortopedisk Förening och ett meddelande från insamlingsfonden Ledfonden. Som adresskälla angavs Svensk Ortopedisk Förening. Utskicket gick till ca 118 00 personer registrerade antingen i Svenska Knäprotesregistret eller i Svenska Höftprotesregistret. Utskicket administrerades och finansierades av Region Skåne. Sida 2 av 8
Regionstyrelsen har inte utformat några särskilda rutiner eller riktlinjer i frågor rörande hanteringen av personuppgifter i Svenska Knäprotesregistret. Tillämpliga rättsregler m.m. Bestämmelser om hanteringen av personuppgifter i nationella kvalitetsregister finns huvudsakligen i 7 kap. patientdatalagen (2008:355). I kapitlet regleras frågor bl.a. rörande definitionen av kvalitetsregister, personuppgiftsansvar, kvalitetsregisters ändamål och utlämnande genom direktåtkomst. Ytterligare bestämmelser bl.a. rörande hanteringen av personuppgifter i hälso- och sjukvården återfinns i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring. Om inte annat följer av patientdatalagen eller föreskrifter som meddelats med stöd av lagen, gäller personuppgiftslagens (1998:204) bestämmelser t.ex. i fråga om säkerheten vid behandling av personuppgifter enligt 30-32. Personuppgiftsansvar m.m. I 3 personuppgiftslagen definieras personuppgiftsansvarig som den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Vidare anges i 2 kap. 6 patientdatalagen bl.a. att en vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför och att varje myndighet som i landsting och kommun bedriver hälso- och sjukvård är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Dessutom följer av 7 kap. 7 patientdatalagen att endast myndigheter inom hälso- och sjukvården får vara personuppgiftsansvarig för central behandling av personuppgifter i ett nationellt kvalitetsregister. Svenska Knäprotesregistret är ett nationellt kvalitetsregister som innehåller personuppgifter som vårdgivare över hela landet har rapporterat in (jfr 7 kap. 1 patientdatalagen). De personuppgifter som samlats in i ett nationellt kvalitetsregister är, enligt såväl offentlighets- och sekretesslagen som personuppgiftslagen, att betrakta som utlämnade från den inrapporterande vårdenheten till den centralt personuppgiftsansvarige myndigheten, i detta fall Regionstyrelsen. Regionstyrelsen är således personuppgiftsansvarig för den centrala hanteringen av uppgifter i kvalitetsregistret (jfr 2 kap. 6 och 7 kap. 7 patientdatalagen). Till den centrala hanteringen hör bl.a. frågor om säkerhet, utlämnande, framställning av nationell statistik och rättelse av personuppgifter. I sammanhanget vill Datainspektionen förtydliga att Regionstyrelsen, i egenskap av centralt personuppgiftsansvarig för Svenska Knäprotesregistret, är den ende aktör som har rättsliga förutsättningar att bestämma i frågor som Sida 3 av 8
rör hanteringen av personuppgifter i det samlade nationella kvalitetsregistret. Såväl Svensk Ortopedisk Förening som respektive inrapporterande vårdgivare saknar rättsligt stöd att förfoga över frågor som rör personuppgiftshanteringen i det nationella kvalitetsregistret. Svensk Ortopedisk Förening saknar sådana förutsättningar helt och hållet, medan inrapporterande vårdgivare med stöd av 7 kap. 9 patientdatalagen har möjlighet att bereda sig tillgång till de personuppgifter vårdgivaren tidigare lämnat ut till Regionstyrelsen. Vid sådan direktåtkomst är den inrapporterande vårdgivaren personuppgiftsansvarig för den behandling av personuppgifter som sker (se mer om detta under rubriken Utlämnande av personuppgifter nedan). Tillåten behandling av personuppgifter i kvalitetsregister Av 7 kap. 4, patientdatalagen följer att personuppgifter i nationella kvalitetsregister får samlas in och behandlas för det primära ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Insamlade personuppgifter får, enligt 5 samma kapitel, därutöver även behandlas för ändamålen framställning av statistik eller forskning inom hälso- och sjukvårdsområdet. Personuppgiftsbehandling får vidare ske genom utlämnande till mottagare som ska använda uppgifterna till något av de nämnda ändamålen. Dessutom får utlämnande ske enligt 2 kap. tryckfrihetsförordningen samt för att fullgöra sådan uppgiftsskyldighet som följer av lag eller förordning. Av 7 kap. 6 följer vidare att det inte är tillåtet att behandla personuppgifter i nationella kvalitetsregister för andra ändamål än ovan angivna. Det ska dock noteras att den enskilde registrerade, enligt 2 kap. 3 patientdatalagen, har möjlighet att lämna uttryckligt samtycke till en personuppgiftsbehandling för andra ändamål än de i 7 kap. tillåtna. I propositionen till patientdatalagen (prop. 2007/08:126) anför regeringen följande av betydelse i sammanhanget (s. 180). Av hänsyn till enskildas personliga integritet bör dock inga andra ändamål vara tillåtna. Det innebär att det inte är tillåtet att behandla personuppgifterna för andra ändamål även om dessa inte är oförenliga med det ändamål för vilket uppgifterna har samlats in, dvs. kvalitetssäkring. Personuppgiftslagens finalitetsprincip gäller alltså inte vid behandling av personuppgifter i nationella eller regionala kvalitetsregister. Säkerhet vid behandlingen För att upprätthålla ett starkt integritetsskydd för den stora mängd känsliga personuppgifter om människors hälsa som finns i ett nationellt kvalitetsregister kan krävas ett antal olika åtgärder. Enligt 30 Sida 4 av 8
personuppgiftslagen får de personer som arbetar under den personuppgiftsansvariges ledning bara behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige. Av det följer bl.a. att var och en som arbetar med personuppgifter ska veta för vilka ändamål uppgifterna får behandlas. Vidare följer av 31 personuppgiftslagen att den personuppgiftsansvarige, i detta fall Regionstyrelsen, ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Vid val av åtgärder ska hänsyn bl.a. tas till hur pass känsliga personuppgifterna är och vilka särskilda risker som finns med behandlingen. Utan införande av lämpliga säkerhetsåtgärder, som exempelvis rutiner och riktlinjer för hanteringen av personuppgifter, har den personuppgiftsansvarige väsentligt försämrat sina möjligheter att leva upp till lagstiftningens krav. Detta får anses särskilt viktigt med tanke på de nationella kvalitetsregistrens karaktär som frivilliga och professionsdrivna initiativ, i många fall utan tydlig organisatorisk förankring på vårdgivarnivå. Behovet av tydlig styrning genom information och riktlinjer torde dessutom vara särskilt stort eftersom den rättsliga regleringen av nationella kvalitetsregister är relativt ny. Upplysningsvis ska även nämnas att 2 kap. 19 SOSFS 2008:14 uttryckligen ålägger verksamhetschefen ett ansvar för att hälso- och sjukvårdspersonalen och andra befattningshavare är informerade om de bestämmelser som gäller för hantering av patientuppgifter. Utlämnande av personuppgifter Regionstyrelsen har i yttrande till Datainspektionen framfört önskemål om förtydligande rörande ansvar och villkor för tillgång till och utlämnande av uppgifter från kvalitetsregister. Regionstyrelsen undrar om det är lagligt att med stöd av 25 kap. 1 offentlighets- och sekretesslagen (2009:400) lämna ut uppgifter för det i ärendet aktuella ändamålet. Till ledning för Regionstyrelsens frågor i dessa delar kan följande framhållas. Personuppgifter i kvalitetsregister får behandlas för att med stöd av 2 kap. tryckfrihetsförordningen tillgodose en enskilds begäran om utlämnande av allmän handling. Det följer av principen om grundlags företräde framför vanlig lag och anges dessutom uttryckligen i 8 personuppgiftslagen, som också gäller vid behandling av personuppgifter enligt patientdatalagen. I patientdatautredningens huvudbetänkande Patientdatalag (SOU 2006:82) anförs att ett sådant utlämnande på grund av sekretess normalt inte kan ske till annan än den berörde registrerade (s.445). Sida 5 av 8
Är det inte fråga om ett utlämnande enligt 2 kap. tryckfrihetsförordningen är en personuppgiftsbehandling som saknar stöd i ändamålsbestämmelserna i 2 kap. 3 och 7 kap. 4-6 patientdatalagen otillåten. I propositionen till patientdatalagen anges exempelvis följande av betydelse i sammanhanget (prop. 2007/08:126 s. 180). Av hänsyn till enskildas integritet bör personuppgifter få lämnas ut till tredje man bara om mottagaren ska använda uppgifterna för att själv bedriva kvalitetssäkring av hälso- och sjukvård, för forskning inom hälso- och sjukvårdsområdet eller för att framställa statistik. Ovanstående förutsättningar gäller oavsett om ett utlämnande sker från den centralt personuppgiftsansvariga myndigheten eller om inrapporterande vårdgivare först bereder sig direktåtkomst till egna uppgifter för att sedan lämna ut dem. Detta eftersom vårdgivarens direktåtkomst till egna uppgifter i sig är ett utlämnande (från Regionstyrelsen) som kräver stöd i patientdatalagens ändamålsbestämmelser. Direktåtkomsten får därmed endast ske för ändamål för vilka personuppgiftsbehandling i det nationella kvalitetsregistret är tillåtet. När det gäller vilka befattningshavare som får ha åtkomst till personuppgifter gäller patientdatalagens allmänna bestämmelser om inre sekretess och tilldelning av behörighet för elektronisk åtkomst till patientuppgifter. Av dessa bestämmelser följer att endast den som behöver tillgång till personuppgifter i ett nationellt kvalitetsregister för att utföra arbete för ändamål för vilka registret är tillåtet, får ha åtkomst till sådana uppgifter (se regeringens proposition, 2007/08:126 s. 192). Noteras kan även att det i 4 kap. 7 och 8 SOSFS 2008:14 finns bestämmelser om utlämnande av patientuppgifter. Även om bestämmelserna primärt torde ha utformats med uppgifter i patientjournalen för ögonen, ger de ett tydligt besked om vikten av rutiner för utlämnande av uppgifter från en vårdgivares verksamhet. Det bör särskilt nämnas att det enligt 4 kap. 7 andra stycket ska framgå av rutinerna för hantering av patientuppgifter vem, eller vilka, som har rätt att på vårdgivarens uppdrag fatta beslut om ett utlämnande. Enligt 4 kap. 8 ska den person som lämnar ut patientuppgifter dessutom försäkra sig om att endast rätt mottagare tar emot uppgifterna. Skäl för beslutet I ärendet har framkommit att Regionstyrelsen behandlat personuppgifter både från Svenska Knäprotesregistret och från Svenska Höftprotesregistret i syfte att göra ett brevutskick med information från Svensk Ortopedisk Förening och Ledfonden. Sida 6 av 8
För att en behandling av personuppgifter från ett kvalitetsregister ska vara förenlig med patientdatalagen krävs att behandlingen sker för något av de i 7 kap. 4 och 5 angivna ändamålen, d.v.s. kvalitetssäkring, statistikframställning eller forskning. Enligt 7 kap. 6 får personuppgifterna inte behandlas för något annat ändamål. Detta gäller så länge den registrerade, enligt 2 kap. 3 patientdatalagen, inte har lämnat uttryckligt samtycke till personuppgiftsbehandling för något annat ändamål än de i 7 kap. tillåtna. Att använda uppgifterna för att administrera det aktuella utskicket kan inte anses ligga inom ramen för något av de tillåtna ändamålen i 7 kap. patientdatalagen. Inte heller har behandlingen föregåtts av de registrerades uttryckliga samtycke. Den behandling av personuppgifter som Regionstyrelsen utfört saknar således rättsligt stöd. Mot bakgrund av ovanstående konstaterar Datainspektionen att Regionstyrelsen, genom att ha använt personuppgifter i Svenska Knäprotesregistret och Svenska Höftprotesregistret för att administrera Svensk Ortopedisk Förenings och Ledfondens utskick, har behandlat personuppgifter i strid med 7 kap. 6 patientdatalagen. Datainspektionen förutsätter att Regionstyrelsen vidtar åtgärder för att se till att det inte inträffar igen. I ärendet har vidare framkommit att Regionstyrelsen inte har tagit fram några särskilda rutiner för hur personuppgifter ska hanteras inom Svenska Knäprotesregistret. Det har även framkommit att personer i registerledningen för Svenska Knäprotesregistret, förutom anställning i Region Skåne, har positioner eller uppdrag i bl.a. Ledfonden. Av 31 personuppgiftslagen följer att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. För att identifiera det närmare behovet av åtgärder behöver den personuppgiftsansvarige göra en risk- och sårbarhetsanalys. En sådan analys kan t.ex. ligga till grund för införande av rutiner och riktlinjer, nya arbetssätt, förändringar i organisationen m.m. Datainspektionen anser att den centralt personuppgiftsansvarige, för att kunna upprätthålla de registrerades integritetsskydd samt i övrigt ha reella möjligheter att se till att personuppgifter hanteras i enlighet med lagstiftningens krav, åtminstone behöver ta fram riktlinjer och införa rutiner för hanteringen av personuppgifter i kvalitetsregistret. Inte minst är detta viktigt för det fall de personer som har tillgång till uppgifter i registret även innehar positioner i externa organisationer eller sammanslutningar med intressen kopplade till det nationella kvalitetsregistret. Sida 7 av 8
Mot bakgrund av ovanstående konstaterar Datainspektionen att Regionstyrelsen inte lever upp till kravet i 31 personuppgiftslagen på att vidta lämpliga organisatoriska säkerhetsåtgärder. Datainspektionen förelägger därför Regionstyrelsen att, utifrån en risk- och sårbarhetsanalys, ta fram och införa de rutiner och riktlinjer för personuppgiftsbehandlingen i Svenska Knäprotesregistret som behövs för att behandlingen av personuppgifter fortsättningsvis ska ske i enlighet med patientdatalagen. Hur man överklagar Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet ska ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Hans-Olof Lindblom, teamledaren Suzanne Isberg, ITsäkerhetsspecialisten Magnus Bergström samt juristen Patrik Sundström, föredragande. Göran Gräslund Patrik Sundström Sida 8 av 8