Regelrådet är ett särskilt beslutsorgan inom Tillväxtverket vars ledamöter utses av regeringen. Regelrådet ansvarar för sina egna beslut. Regelrådets uppgifter är att granska och yttra sig över kvaliteten på konsekvensutredningar till författningsförslag som kan få effekter av betydelse för företag. Socialstyrelsen 106 30 Stockholm Yttrande över Socialstyrelsens förslag till föreskrifter om behandling av personuppgifter och journalföring i hälsooch sjukvården Regelrådets ställningstagande Regelrådet finner att konsekvensutredningen inte uppfyller kraven i 6 och 7 förordningen (2007:1244) om konsekvensutredning vid regelgivning. Remissen innehåller även förslag till allmänna råd, vilka inte omfattas av Regelrådets granskning. Innehållet i förslaget Föreskriftsförslaget innehåller bestämmelser som ska tillämpas då vårdgivare behandlar patienters personuppgifter i verksamhet som omfattas av 1 kap. 1 patientdatalagen (2008:355). Föreskriftsförslaget innehåller regler om ledningssystem, informationssäkerhetspolicy, informationssystem samt om åtkomst till uppgifter om patienter. Vidare föreslås regler om patientjournalens struktur och innehåll och hantering av personuppgifter. Det föreslås att förskriften ska träda i kraft den 1 mars 2016. I och med ikraftträdandet upphävs föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. Skälen för Regelrådets ställningstagande Syftet med förslaget I konsekvensutredningen beskrivs historiken och vad som har förevarit inom Socialstyrelsens tillsyn av vårdgivares styrning av hanteringen av patienters personuppgifter i automatiserade system. Det uppges att man i sådan tillsyn funnit olika sorters brister i vårdgivares hantering av informationssystem. I konsekvensutredningen redogörs även för en rapport som handlar om olika typer av störningar i ITsystem som har inträffat inom svensk sjukvård. Vidare framgår att Riksrevisionen i sin rapport Rätt information vid rätt tillfälle inom vård och omsorg samverkan utan verkan har konstaterat att vägledningen för att tillämpa patientdatalagen varit otillräcklig och rekommenderade därför Socialstyrelsen att efter samråd med Datainspektionen utarbeta tydligare och mer heltäckande föreskrifter och riktlinjer för den praktiska tillämpningen av patientdatalagen. Enligt Regelrådet är beskrivningen av syftet med förslaget och vad förslagsställaren vill uppnå godtagbar. Postadress Webbplats E-post 1/5
Alternativa lösningar och effekter av om ingen reglering kommer till stånd I konsekvensutredningen anges, som framgår ovan, att förslagsställarens tillsyn och analys av vårdgivarnas arbete med informationssäkerhet har visat på stora brister beträffande styrning och ledning av informationssäkerhetsarbetet, vilket enligt förslagsställaren bekräftats av Riksrevisionens ovan nämnda rapport. I konsekvensutredningen anges vidare att förslagsställaren därför bedömer de föreslagna föreskrifterna som en viktig förutsättning för att komma till rätta med de beskrivna bristerna. En utebliven reglering uppges ha negativa effekter för patient- och informationssäkerheten. Ovan nämnda redogörelse avser enligt Regelrådet svaret på frågan om vilka effekter som kan uppstå om någon reglering inte kommer till stånd. Däremot saknas en beskrivning av alternativa lösningar i konsekvensutredningen, vilket enligt Regelrådet är en brist i redovisningen. Enligt Regelrådets bedömning är därför beskrivningen av alternativa lösningar bristfällig. Beskrivningen av effekter om någon reglering inte kommer till stånd är enligt Regelrådet godtagbar. Förslagets överenstämmelse med EU-rätten I konsekvensutredningen anges att Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) har genomförts i svensk rätt genom personuppgiftslagen (1998:204) och ett antal särregleringar i förhållande till denna lag, bland annat patientdatalagen. Vidare anges att förslaget till föreskrifter inte begränsar det fria flödet av personuppgifter mer än vad direktivet och nu gällande svensk rätt reglerar och bedöms därför inte få någon EU-rättslig påverkan. Enligt Regelrådet är den allra sista delen i förslagställarens redovisning om att förslaget inte bedöms få någon EU-rättslig påverkan något otydlig eftersom det är det omvända förhållandet som ska utredas enligt 6 6 p. förordningen (2007:1244) om konsekvensutredning vid regelgivning. Av förslagsställarens övriga resonemang kan Regelrådet dock förstå att det är detta som förslagsställaren egentligen åsyftar. Enligt Regelrådets bedömning är beskrivningen av förslagets överensstämmelse med EU-rätten godtagbar. Särskild hänsyn till tidpunkt för ikraftträdande och behov av speciella informationsinsatser I konsekvensutredningen anges att avsikten är att författningen ska träda i kraft den 1 maj 2016. Vidare anges att arbete pågår med ett meddelandeblad som förklarar föreskrifterna och de allmänna råden samt stödjer tillämpningen av detsamma. Därutöver anges att ytterligare informationsinsatser planeras i anslutning till publicering av föreskrift och meddelandeblad. Som framgår ovan anges i konsekvensutredningen endast när förslagsställaren tänker sig att författningen ska träda i kraft. En beskrivning av om särskilda hänsyn behöver tas till tidpunkten för ikraftträdande bör utgöras av en utförligare redogörelse än endast en uppgift om tidpunkten när författningen föreslås träda i kraft. Enligt Regelrådets bedömning är beskrivningen av om särskilda hänsyn behöver tas till tidpunkten för ikraftträdande därför bristfällig. Enligt Regelrådets bedömning är beskrivningen av behovet av speciella informationsinsatser godtagbar. Postadress Webbplats E-post 2/5
Berörda företag utifrån antal, storlek och bransch I konsekvensutredningen anges att det totala antalet privata vårdgivare uppgår till ca 17 675 vårdbolag, baserat på utdrag från Inspektionen för vård och omsorgs vårdgivarregister. Likaså framgår vilken bransch som berörs av förslaget. I konsekvensutredningen saknas däremot en beskrivning av storleken på de företag som berörs av förslaget, vilket enligt Regelrådets bedömning är en brist i redovisningen. Enligt Regelrådets bedömning är beskrivningen av antal berörda företag och bransch godtagbar. Beskrivningen av berörda företags storlek är av ovan nämnda skäl bristfällig. Påverkan på berörda företags kostnader, tidsåtgång och verksamhet Administrativa kostnader I konsekvensutredningen anger förslagsställaren vilken lönekostnad man har utgått från i beräkningen av de administrativa kostnaderna. Vidare framgår att förslagsställaren har använt en fiktiv vårdgivare med förutsättningarna 25-30 miljoner kronor i omsättning, 15-20 anställda samt medelhög risk och komplexitet i sin verksamhet. Därefter redogör förslagsställaren för de administrativa kostnader som kan uppstå till följd av förslaget, kapitel för kapitel, i den föreslagna föreskriften. Avsnittet avslutas sedan med en tabell där det framgår administrativa kostnader hänförliga till respektive kapitel i föreskriftsförslaget. De sammanlagda uppskattade administrativa kostnaderna år 1 uppges uppgå till 182 400 kr. De uppskattade administrativa kostnaderna per år därefter uppges uppgå till 47 600 kr. Det framgår av konsekvensutredningen att av dessa tillhör kostnader hänförliga till kapitel 5 potentiella kostnader till följd av ett allmänt råd till 2 i kapitlet. Som anges ovan omfattas inte allmänna råd av Regelrådets granskning. Enligt Regelrådets bedömning är förslagsställarens beskrivning av de administrativa kostnaderna utförlig och Regelrådet anser därför beskrivningen godtagbar. Andra kostnader och förändringar i företagens verksamhet Av konsekvensutredningen kan man förstå att andra kostnader potentiellt skulle kunna uppstå till följd av utbildning i termer och klassifikationer. Förslagsställaren har räknat på tiden och lönekostnaden för dem som potentiellt skulle behöva gå en sådan utbildning utifrån det fiktiva företaget. Ett medskick till förslagsställaren i denna del är att även beakta kostnaden för själva utbildningen (utbildningsarrangörens pris för utbildningen, eventuell resa till platsen för utbildningen, etc.) vilket i detta avseende blir en annan kostnad. Som framgår ovan hänför sig dock de möjliga kostnaderna för utbildning i detta fall till allmänna råd vilka inte omfattas av Regelrådets granskning, varför Regelrådet inte lämnar något omdöme om konsekvensutredningen i denna del. Vad gäller behov av förändringar i företagens verksamhet framgår av konsekvensutredningen att de föreslagna föreskrifterna enligt förslagsställaren innehåller få nya krav på vårdgivarna jämfört med nu gällande bestämmelser. De nya bestämmelserna uppges istället utgöra förtydliganden och ibland även något mer detaljerade krav. Enligt Regelrådet framgår det dock inte på ett tydligt sätt i konsekvensutredningen huruvida berörda företag behöver vidta förändringar i sin verksamhet, vilket är en brist i redovisningen. Regelrådet avstår från att lämna ett omdöme om förslagsställarens beskrivning av andra kostnader som kan uppstå till följd av förslaget, då de andra kostnader som omnämns är en följd av föreslagna allmänna råd som inte omfattas av Regelrådets granskning. Vad gäller behovet av förändringar i företagens verksamhet anser Regelrådet beskrivningen av ovan nämnda skäl bristfällig. Postadress Webbplats E-post 3/5
Påverkan på konkurrensförhållandena för berörda företag I konsekvensutredningen anges att de föreskrifter som föreslås riktar sig både mot offentliga och privata vårdgivare oavsett storlek. Förslagsställaren bedömer att förslaget inte medför någon påverkan på konkurrensförhållandena. Regelrådet vill i detta avseende framhålla att det faktum att en regel ska tillämpas lika för samtliga aktörer, inte medför att samtliga aktörer påverkas lika. Vad gäller exempelvis investeringskostnader påverkar sådana ett litet företag mer än ett större företag. Enligt Regelrådets bedömning är beskrivningen av förslagets påverkan på konkurrensförhållandena för berörda företag därför bristfällig. Regleringens påverkan på företagen i andra avseenden I konsekvensutredningen anges att de föreslagna föreskrifterna innehåller få nya krav på vårdgivarna jämfört med nu gällande bestämmelser. De nya bestämmelserna anges utgöra förtydliganden och ibland något mer detaljerade krav. Dessa skrivningar kan enligt förslagsställaren förhoppningsvis underlätta för vårdgivarna och ge dem mer stöd för att kunna uppfylla det grundläggande ansvar som de har för hantering av personuppgifter. Enligt Regelrådets bedömning är beskrivningen av regleringens påverkan på företagen i andra avseenden godtagbar. Särskilda hänsyn till små företag vid reglernas utformning I konsekvensutredningen anges att i förslaget till nya föreskrifter lämnas stora delar av nu gällande föreskrifter (SOSFS 2008:14) oförändrade. Vidare uppges att vårdgivarna redan idag är bundna av föreskrifter (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete. Det uppges därför inte vara någon helt ny plattform för informationssäkerhetsarbetet som ska utvecklas i och med förslaget. I konsekvensutredningen anges att mindre företag ofta bedriver sin verksamhet inom färre vårdområden vilket kan minska kostnaderna eftersom det i så fall krävs anpassningsåtgärder av färre processer. För mindre företag uppges det dessutom finnas anledning att anta att de förtydliganden och preciserade krav som förslaget innefattar kan vara ett värdefullt stöd genom att de förtydligar och ger vägledning för hur patientdatalagens krav kan omsättas i verksamheten. Vidare anges att det införs en ny bestämmelse som möjliggör för Socialstyrelsen att kunna medge undantag om det finns särskilda skäl. Förslagsställaren bedömer därför att förändringarna inte medför sådana ändringar som gör att det krävs några särskilda hänsyn till små företag. Enligt Regelrådets bedömning är beskrivningen av om särskilda hänsyn behöver tas till små företag vid reglernas utformning godtagbar. Sammantagen bedömning Som framgår ovan beskrivs vissa avsnitt i förslagsställarens konsekvensutredning på ett godtagbart sätt enligt Regelrådets bedömning. Dock finns det ett flertal brister i konsekvensutredningen, avseende beskrivningen av alternativa lösningar, om särskilda hänsyn behöver tas till tidpunkten för ikraftträdande, berörda företags storlek, behov av förändringar i företagens verksamhet samt förslagets påverkan på konkurrensförhållanden för berörda företag. Postadress Webbplats E-post 4/5
Vid en sammantagen bedömning finner därför Regelrådet att konsekvensutredningen inte uppfyller kraven enligt 6 och 7 förordningen (2007:1244) om konsekvensutredning vid regelgivning. Regelrådet behandlade ärendet vid sammanträde den 8 oktober 2015. I beslutet deltog Pernilla Lundqvist, ordförande, Lennart Palm, Leif Melin, Eleonor Kristoffersson och Samuel Engblom. Ärendet föredrogs av Katarina Garinder. Pernilla Lundqvist Ordförande Katarina Garinder Föredragande Postadress Webbplats E-post 5/5