Nationella kvalitetsregister DATAINSPEKTIONENS RAPPORT 2002:1

Relevanta dokument
Personuppgiftslagen konsekvenser för mitt företag

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Personuppgiftsbehandling i forskning

PERSONUPPGIFTSLAGEN (PUL)

Personuppgiftsbehandling för forskningsändamål

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Personuppgifter. Behandling av personuppgifter

Kvalitetsregisterdag

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Personuppgiftslagen (PuL) - En kort introduktion

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Personuppgifter i forskningen vilka regler gäller?

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Svensk författningssamling

Svensk författningssamling

Kommittédirektiv. Författningsreglering av nationella kvalitetsregister inom hälso- och sjukvården, m.m. Dir. 2003:42

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Lathund Personuppgiftslagen (PuL)

riktlinje modell plan policy program regel rutin strategi taxa för behandling av personuppgifter i socialnämndens dataregister ...

Kaffemöte. lördagen den 12 november Studieförbundet Vuxenskolans lokaler Grynbodgatan 20

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Personuppgiftslagen 20 april 2010

Information till varje registrerad/anställd enligt personuppgiftslagen (PuL)

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI

Tillsyn enligt personuppgiftslagen (1998:204)

Regler för behandling av personuppgifter enligt personuppgiftslagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Kapitel 4 Behandling av personuppgifter Sida 1 av 5

Riktlinjer för hantering av personuppgifter

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter och anpassningar av författningar inom Socialdepartementets verksamhetsområde

Personuppgiftslagen PUL

Svensk författningssamling

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Vägledning för bolag. Ej gällande. Ansvaret för personuppgifter som hanteras i system för whistleblowing

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,

PM Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter

Behandling av personuppgifter vid Göteborgs universitet

Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Bilaga 1. Preliminär juridisk rapport

Rätt information på rätt plats i rätt tid, SOU 2014:23

Personuppgiftsbehandling i forsknings- och kvalitetsstudier inom hälso- och sjukvård

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Svensk författningssamling

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

4 Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig behandlingen.

Svensk författningssamling

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Datainspektionen informerar

Personuppgiftslagen baseras på det s.k. dataskyddsdirektivet (95/46/EG). Inom EU har det beslutats att detta direktiv ska ersättas av

Grundkurs i personuppgiftslagen. Grundkurs för personuppgiftsombud

Juridiska förutsättningar för datahantering. Ledningsdagarna i Uppsala

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Kommunstyrelsen. Godkänt av kommunstyrelsen , 77 Kompletterad av kommunstyrelsen , 162

Kvalitetsregister & Integritetsskydd. Patrik Sundström, jurist SKL

Datainspektionen informerar

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Personuppgiftsbiträdesavtal

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen

1. Inledning Sammanfattning 4

ORGANISATION OCH ANSVAR ENLIGT PERSONUPPGIFTSLAGEN (PUL)

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Anmälan om att en utbildningsanordnare brister i arbetet med aktiva åtgärder

Remiss SOU 2014:23: Rätt information på rätt plats och i rätt tid

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Anmälan om att en arbetsgivare brister i arbetet med aktiva åtgärder

GDPR. Ulrika Harnesk 17 oktober 2018

Omfattning och syfte Denna policy gäller för Volvo Cars-koncernens (kallad Volvo Cars eller vi ) behandling av kunders personuppgifter.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Information till registrerade enligt personuppgiftslagen

STYRDOKUMENT DATUM. Dokumenttyp Dokumentnamn Fastställd/upprättad Beslutsinstans Giltighetstid Instruktion för behandling av personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Svensk författningssamling

Svensk författningssamling

Datainspektionen lämnar följande synpunkter.

Föreningen kommer vidare att skriva avtal med sin systemleverantör. Leverantören kommer också att ta emot föreningens säkerhetskopior.

Svensk författningssamling

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

Dataskyddsförordningen

Riktlinjer för arbete med personuppgifter vid GIH

Dataskyddsförordningen

Rutin för webbpublicering av personuppgifter

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning

2 kap. 3 och 5 kap. 4 patientdatalagen (2008:355) Högsta förvaltningsdomstolen meddelade den 4 december 2017 följande dom (mål nr ).

Kvalitetsregister. Tårtbitar och beslutsstöd. Per Bergstrand personuppgiftsombud Region Skåne

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Denna policy gäller för Fordonsmäklarna (kallad Fordonsmäklarna eller "vi") behandling av kunders personuppgifter.

Personuppgiftslag (1998:204)

Personuppgifter i forskning riktlinje för SLSO

Transkript:

Nationella kvalitetsregister DATAINSPEKTIONENS RAPPORT 2002:1

Innehållsförteckning Inledning...2 Sammanfattning...3 Nationella kvalitetsregister...5 Tillämplig lagstiftning...7 Personuppgiftslagen...8 Vem är personuppgiftsansvarig?...8 När är behandling av personuppgifter tillåten?...9 Förbud mot behandling av känsliga personuppgifter...9 Information som ska lämnas självmant...11 Information som ska lämnas efter ansökan...11 Anmälningsskyldighet...12 Övrigt...12 Genomförd tillsyn... 13 Inspekterade register...13 Registeransvarig/personuppgiftsansvarig...13 Insamling av uppgifter...14 Utlämnande av uppgifter...14 Information och samtycke...15 IT-säkerhet...15 Avslutande synpunkter... 17 1

Inledning Inom hälso- och sjukvården förs sedan 1970-talet s.k. nationella kvalitetsregister. Ett stort antal har tillkommit under senare år och i dag finns det ett 50-tal. Registren innehåller många känsliga personuppgifter. Datainspektionen har under den tid datalagen gällde meddelat flera tillstånd för nationella kvalitetsregister. Vid tidigare inspektion av registren har Datainspektionen funnit vissa brister när det gäller skyddet för personuppgifterna i registren. Datainspektionen startade därför ett projekt för att dels undersöka hur datalagstillstånden efterlevdes, dels bedöma vad som gäller för behandlingen av personuppgifter i registren sedan personuppgiftslagen (PuL) trädde ikraft fullt ut den 1 oktober 2001 och tillstånden upphörde att gälla. Inom ramen för projektet har Datainspektionen inspekterat tio av de nationella kvalitetsregistren. Inspektionerna har skett dels för att kontrollera hur de tillstånd som meddelades enligt datalagen efterlevdes, dels för att utreda vilka uppgifter som behandlas och hur dessa behandlas i syfte att kunna bedöma vad som gäller när personuppgiftslagen i stället är tillämplig. Datainspektionens bedömning av rättsläget är att behandlingen av personuppgifter som sker i de nationella kvalitetsregistren är förenlig med PuL:s regler och att de känsliga uppgifter som behandlas inom ramen för registren (i första hand uppgifter om hälsa) kan behandlas utan samtycke från de registrerade. Datainspektionen anser dock av flera skäl att det finns behov av att reglera personuppgiftsbehandlingen i de nationella kvalitetsregistren i en särskild registerförfattning, vilket Datainspektionen kommer att framföra till regeringen. Stockholm i januari 2002 2

Sammanfattning Eftersom de nationella kvalitetsregistren har olika syften, varierar deras innehåll och omfattning. Ett övergripande syfte med registren är dock att öka kunskapen om medicinska åtgärder och ingrepp för att därmed göra det möjligt att förbättra kvaliteten inom svensk hälso- och sjukvård. Antalet personer som omfattas av rapporteringen till registren och hur många enheter/sjukhus som deltar varierar. Enheterna lämnar patientdata till registren, t.ex. personnummer och diagnos. Vidare rapporteras normalt vilka åtgärder som vidtas och vilka effekter de har på hälsotillståndet. Det innebär att registren innehåller känsliga personuppgifter. Uppgifterna sammanställs och resultaten återrapporteras till de deltagande klinikerna i avidentifierad form. Man gör också sammanställningar för att jämföra resultaten med riksgenomsnittet. De avidentifierade uppgifterna presenteras även i bl.a. årsrapporter. Datainspektionen har inspekterat tio av de nationella kvalitetsregistren för att kontrollera hur dataskyddsreglerna efterlevs. Två centrala frågor har varit om informationsskyldigheten enligt datalagen och personuppgiftslagen (PuL) uppfylls och om samtycke har inhämtats från de registrerade på ett korrekt sätt. Inspektionerna har i flera fall visat att informationsskyldigheten inte uppfylls. Tillstånd enligt datalagen som ställer krav på samtycke följdes endast i begränsad omfattning. När det gäller behandling enligt PuL råder det hos personuppgiftsansvariga viss osäkerhet om det är nödvändigt att inhämta patienternas samtycke för att få behandla känsliga uppgifter. Inspektionerna har också visat att en del av dem som arbetar med behandlingen av personuppgifter i de nationella kvalitetsregistren är osäkra på vem som är registeransvarig/personuppgiftsansvarig, vilket kan medföra olägenheter för de registrerade. De vet t.ex. inte vem de skall vända sig till om uppgifterna om dem i registren är felaktiga. Datainspektionen har bedömt att den behandling av personuppgifter även de känsliga som sker inom ramen för de nationella kvalitetsregistren har stöd i PuL även om den sker utan samtycke från de registrerade. Med hänsyn till att det övergripande syftet med registren är att förbättra kvaliteten på individnivå inom svensk hälso- och sjukvård har Datainspektionen ansett att behandlingen av personuppgifter som sker i registren är en arbetsuppgift av allmänt intresse och dessutom nödvändig för vård och behandling. De känsliga personuppgifterna i kvalitetsregistren kan därför med stöd av 18 kap 1 stycket PuL behandlas utan samtycke från de registrerade. 3

Det är dock en stor mängd integritetskänsliga uppgifter som hanteras under lång tid i registren. Datainspektionen anser därför att regeringen bör överväga en registerlagstiftning som särskilt reglerar behandlingen av personuppgifter i de nationella kvalitetsregistren. En sådan reglering bör innehålla bestämmelser om personuppgiftsansvar, ändamål, vilken typ av uppgifter som får behandlas, åtkomst och bevarande. Datainspektionen har för avsikt att skriva till regeringen och påpeka behovet av en särreglering. 4

Nationella kvalitetsregister De första nationella kvalitetsregistren startades i slutet av 1970-talet. Under 1990-talet tillkom ett stort antal och i dag finns enligt uppgift omkring 50 register. Någon klar definition av vad som är ett nationellt kvalitetsregister finns inte. Syftet är att öka kunskapen om medicinska åtgärder och ingrepp och därmed göra det möjligt att förbättra kvaliteten inom svensk hälso- och sjukvård. Många av dem var från början lokala eller regionala. För att få statliga medel för utveckling och drift krävs att syftet med verksamheten är att bedriva en nationell uppföljning av kvaliteten i vården. Registren behöver dock inte vara helt rikstäckande. De nationella kvalitetsregistrens framväxt under senare år ska ses mot bakgrund av samhällets och sjukvårdens snabba förändring och de ökade kraven på patientorientering, effektivisering, uppföljning och kvalitet. Sedan 1997 finns också bestämmelser om kvalitetssäkring och kvalitetsutveckling i hälsooch sjukvårdslagen 1, som föreskriver att kvaliteten i verksamheten systematiskt och fortlöpande ska utvecklas och säkras ( 31). De nationella kvalitetsregistren anses vara en viktig del av vårdens kvalitetsarbete. Kravet på kvalitetssäkring och kvalitetsutveckling har medfört att personal inom olika landsting på eget initiativ har startat kvalitetsregister. Normalt är det en styrelse eller nämnd inom det landsting där personuppgifterna samlas in som är registeransvarig/personuppgiftsansvarig. Det är alltså inte Socialstyrelsen eller någon annan förvaltningsmyndighet som är ansvarig. Den som ansvarar för ett nationellt kvalitetsregister verkar för att andra enheter/sjukhus som ger samma typ av vård och behandling rapporterar till registret. Några exempel på nationella kvalitetsregister som förs i dag är: Nationellt prostatacancerregister, Nationellt diabetesregister, RIKSÄT Nationellt kvalitetsregister för ätstörningsbehandling, Svenska hjärtkirurgiregistret och Svenskt hörselbarnsregister. Registren har olika syften och därför varierar också innehållet och omfattningen av dem. Vanligtvis innehåller registren dock bl.a. följande uppgifter: Patientdata (personnummer, ålder, kön, diagnos, etc.) Åtgärder (t.ex. operationer) Effektdata (uppgifter som på något sätt mäter resultatet av insatsen) Variabler som beskriver komplikationer 1 SFS 1982:763 5

Effekter på hälsan, både när det gäller medicinska förhållanden och livskvalitet Sammanställningar av resultaten Det är inte bara registrens innehåll och omfattning som varierar, utan också hur länge de förs. Det finns exempel på register som har förts i över 20 år. Förutom att visa hur kvaliteten varierar över tiden, gör kvalitetsregistren det möjligt för en klinik att jämföra sig med andra kliniker. Resultat presenteras också i årsrapporter och andra sammanställningar som ger en överblick av utvecklingen i landet som helhet. Rapporteringen från registren är ett stöd för det lokala kvalitetssäkringsarbetet och utgör en redovisning av sjukvårdens resultat för patienterna. För patienterna gör registren nytta på flera sätt. De används som underlag för beslut om behandlingsmetod för den enskilde patienten eftersom registerdata gör det möjligt att utvärdera olika behandlingsmetoder. Registren gör det vidare möjligt dels att implementera forskningsresultat snabbare, dels att ge patienterna ett likvärdigt omhändertagande oberoende av geografi eller vårdgivare. Även om syftena med kvalitetsregistren kan variera något synes ett viktigt syfte vara att utjämna de skillnader som finns i hälso- och sjukvården när det gäller utbud, tillgänglighet, kliniska resultat och långsiktig patientnytta. Socialstyrelsen bevakar att hälso- och sjukvården har ändamålsenliga kvalitetssystem. Landstingsförbundet och Socialstyrelsen samverkar på central nivå och lämnar stöd, ekonomiskt och på andra sätt, för att skapa och utveckla de nationella kvalitetsregistren. I detta arbete medverkar också Svenska Läkaresällskapet. Socialstyrelsen sköter det administrativa arbetet på central nivå. 6

Tillämplig lagstiftning I de nationella kvalitetsregistren samlas uppgifter som är hänförliga till enskilda individer. Uppgifterna bearbetas och återrapporteras i form av statistik. Det rör sig därför om behandling av personuppgifter. Tidigare gällde datalagen 2 för nationella kvalitetsregister där behandling av personuppgifter hade påbörjats före den 24 oktober 1998. De tillstånd med föreskrifter som meddelades med stöd av datalagen skulle följas t.o.m. den 30 september 2001. Från detta datum upphörde tillstånden att gälla och personuppgiftslagen trädde ikraft fullt ut. I de gamla datalagstillstånden meddelade Datainspektionen föreskrifter om ändamålet med registret. Normalt meddelade inspektionen också föreskrifter om vilka uppgifter registret fick innehålla, att den registeransvarige skulle se till att enskilda personer inte avslöjades i statistiska redovisningar, att information skulle lämnas till de registrerade om ett antal punkter, bl.a. att registreringen var frivillig. Det senare innebar att samtycke måste inhämtas från den enskilde. Vidare meddelade Datainspektionen föreskrifter om IT-säkerhet. Behandling av personuppgifter inom hälso- och sjukvården är idag reglerad såväl i personuppgiftslagen som i lagen om hälsodataregister och vårdregisterlagen. Personuppgiftslagen är dock bara tillämplig om det inte finns avvikande bestämmelser i en annan lag eller förordning och är alltså subsidiär i förhållande till andra författningar. Lagen om hälsodataregister 3 omfattar automatiserad behandling av personuppgifter inom hälso- och sjukvården som utförs av en central förvaltningsmyndighet. Central förvaltningsmyndighet definieras i lagen som en myndighet vilken enligt instruktion eller andra bestämmelser har ett ansvar för en eller flera verksamheter inom området, t.ex. Socialstyrelsen, Läkemedelsverket och Smittskyddsinstitutet. Eftersom det normala är att sjukvårdshuvudmännen är personuppgiftsansvariga för de nationella kvalitetsregistren är lagen om hälsodataregister inte tillämplig på dessa register även om syftet med dem delvis är detsamma som för hälsodataregister. Lagen om vårdregister 4 är enligt förarbetena 5 inte tillämplig när ett register förs enbart för ändamålet kvalitetssäkring. Ovanstående innebär att det för närvarande inte finns någon särskild registerförfattning som gäller för nationella kvalitetsregister utan att personuppgiftslagen 6 (PuL) gäller. 2 SFS 1973:289 3 SFS 1998:543 4 SFS 1998:544 5 SOU 1995:95 Hälsodataregister Vårdregister s. 219. 6 SFS 1998:204 7

Personuppgiftslagen Fr.o.m. den 1 oktober 2001 gäller personuppgiftslagen för alla nationella kvalitetsregister oavsett när behandlingen av personuppgifter påbörjades eftersom övergångsbestämmelserna till datalagen då upphörde att gälla. Personuppgiftslagen grundar sig på ett EG-direktiv från 1995 7 (nedan dataskyddsdirektivet). Sverige är skyldig att följa dataskyddsdirektivet och får inte ha en lagstiftning som är strängare eller mildare än vad direktivet medger. Innebörden av dataskyddsdirektivet bestämmer därför till stor del innebörden av den svenska lagstiftningen. Personuppgiftslagen bygger på den restriktiva tekniken att först förbjuda all behandling av personuppgifter och sedan räkna upp de fall där behandling är tillåten trots förbudet. För att behandlingen av personuppgifter i de nationella kvalitetsregistren skall vara lagenlig krävs därför att det finns stöd i PuL. Ett speciellt problem när det gäller kvalitetsregister inom hälso- och sjukvård är att dessa i stora delar innehåller uppgifter om enskilda personers hälsa. Sådana personuppgifter betecknas i PuL som s.k. känsliga uppgifter och för dem gäller ett särskilt starkt integritetsskydd. I princip råder det förbud mot att behandla känsliga uppgifter utan samtycke från de registrerade. Det finns dock vissa undantag från förbudet. Nedan följer en genomgång av vilka bestämmelser i PuL som aktualiseras när det gäller behandling av personuppgifter i nationella kvalitetsregister och en utredning av om personuppgiftsbehandlingen i dessa register har stöd i PuL. Vem är personuppgiftsansvarig? Enligt 3 PuL är den personuppgiftsansvarig som själv eller tillsammans med andra bestämmer ändamålen och medlen för personuppgiftsbehandlingen. Den som är personuppgiftsansvarig har ett skadeståndssanktionerat ansvar för att behandlingen av personuppgifter sker i enlighet med lagen. Som huvudregel kan därför bara fysiska personer, juridiska personer, utländska filialer eller myndigheter betraktas som personuppgiftsansvariga, inte några andra organ som saknar rättskapacitet och därför inte kan dömas att betala skadestånd. När en juridisk person eller en myndighet bedriver en viss behandling av personuppgifter är den juridiska personen som sådan eller myndigheten som sådan att anse som personuppgiftsansvarig även om verksamheten bedrivs i filialer eller andra organisatoriska enheter. När det gäller de nationella kvalitetsregistren är det vanligaste att personuppgiftsansvaret ligger hos sjukvårdshuvudmännen, dvs. styrelsen eller nämnden inom det landsting som står för verksamheten och inte hos den organisatoriska 7 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. 8

enhet som står för insamlingen och administrationen av uppgifterna. Det är dock de faktiska omständigheterna i det enskilda fallet som avgör vem som är personuppgiftsansvarig. Man måste därför i varje enskilt fall ställa sig frågan vem som faktiskt bestämmer över behandlingen. Om två eller flera gemensamt bestämmer över en viss behandling är de personuppgiftsansvariga tillsammans. När är behandling av personuppgifter tillåten? För att behandling av personuppgifter över huvud taget skall vara tillåten enligt PuL krävs att den registrerade antingen har lämnat sitt samtycke till behandlingen eller att behandlingen är nödvändig för någon av de situationer som räknas upp i lagen. Behandlingen är bl.a. tillåten om den är nödvändig för att en arbetsuppgift av allmänt intresse ska kunna utföras, eller ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. (10 PuL) De nationella kvalitetsregistren syftar normalt sett till att förbättra kvaliteten i hälso- och sjukvården, vilket Datainspektionen anser är en arbetsuppgift av allmänt intresse. Den behandling av personuppgifter som sker i registren är därför i de flesta fall att bedöma som nödvändig för att en arbetsuppgift av allmänt intresse ska kunna utföras och därför tillåten på denna grund. Eftersom kvalitetsregistren innehåller uppgifter som betecknas som känsliga måste dock dessutom något av undantagen från förbudet mot behandling av sådana känsliga uppgifter vara uppfyllt. Förbud mot behandling av känsliga personuppgifter Som nämnts ovan är det oundvikligt att känsliga personuppgifter behandlas i de nationella kvalitetsregistren eftersom uppgifter om enskildas hälsa kan sägas vara en grundsten i registren. Enligt huvudregeln i PuL är det förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening. Det är också förbjudet att behandla personuppgifter som rör hälsa eller sexualliv. Sådana uppgifter betecknas som känsliga. (13 PuL) Eftersom behandlingen av personuppgifter i nationella kvalitetsregister omfattar känsliga personuppgifter (hälsa) måste något av undantagen i PuL vara uppfyllt för att behandlingen ska vara tillåten. De undantag som är av intresse finns i 15, 18 och 19 PuL. 9

Känsliga personuppgifter får behandlas om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen (15 PuL). Ett samtycke måste vara frivilligt, särskilt och informerat, dvs. vara lämnat efter det att den registrerade har fått information om behandlingen. Samtycket ska också vara en otvetydig viljeyttring. Definitionen av begreppet samtycke innebär att ett s.k. hypotetiskt samtycke inte kan godtas hur välgrundad gissningen (hypotesen) än är om den registrerades inställning till behandlingen. Inte heller s.k. tyst samtycke kan godtas, dvs. att den registrerade informeras om en tilltänkt behandling och ges en viss frist för att motsätta sig behandlingen. Om ett uttryckligt samtycke först inhämtas kan man alltså alltid behandla känsliga personuppgifter. De nationella kvalitetsregistren bygger dock inte alltid på samtycke. Känsliga personuppgifter får dock också behandlas för hälso- och sjukvårdsändamål om behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård (18 första stycket PuL). Det är framför allt denna undantagsbestämmelse som är intressant för personuppgiftsbehandlingen i kvalitetsregistren. Uppräkningen av syften i bestämmelsen täcker i praktiken nästan all behandling av personuppgifter som förekommer inom hälso- och sjukvårdsområdet. Den svenska bestämmelsen är densamma som den som finns i dataskyddsdirektivet, artikel 8.3, och anses främst vara av informativ och förtydligande karaktär. Eftersom det övergripande syftet med registren är att förbättra kvaliteten på individnivå inom svensk hälsooch sjukvård anser Datainspektionen att behandlingen av personuppgifter som sker i kvalitetsregistren sker för hälso- och sjukvårdsändamål och är nödvändig för vård och behandling. De känsliga personuppgifterna i kvalitetsregistren kan därför med stöd av 18 kap 1 stycket PuL behandlas utan samtycke från de registrerade. Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt, får även behandla känsliga personuppgifter som omfattas av tystnadsplikten. Detsamma gäller den som är underkastad en liknande tystnadsplikt och som har fått känsliga personuppgifter från verksamhet inom hälso- och sjukvårdsområdet (18 andra stycket PuL). 8 Känsliga personuppgifter får behandlas för forsknings- och statistikändamål om behandlingen är nödvändig på sätt som sägs i 10 PuL och om samhällsintresset av det forsknings- och statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Har behandlingen av känsliga personuppgifter godkänts av en forskningsetisk kommitté ska förutsättningarna anses uppfyllda (19 PuL). Med forskning avses i första hand den verksamhet som bedrivs vid etablerade institutioner, såsom universitet och högskolor 8 Jämför prop. 1997/98:44 s. 126. 10

eller privata, väletablerade forskningsinstitut. Med statistik avses numeriska sammanställningar av elementära observationer som kan hänföras till händelser, flöden eller tillstånd och verksamhet för att göra sådana sammanställningar 9. Eftersom syftet med kvalitetsregistren främst är att göra kvalitetsuppföljningar och inte att framställa statistik eller utföra forskning blir denna bestämmelse troligen endast undantagsvis tillämplig. Information som ska lämnas självmant Oavsett om behandlingen av personuppgifter i kvalitetsregistren sker med stöd av samtycke eller på någon annan grund måste den personuppgiftsansvarige självmant lämna information till den registrerade. Om personuppgifter samlas in från personen själv ska information lämnas i samband med insamlandet (23 PuL). Samlas uppgifterna in från en annan källa ska information i stället lämnas när uppgifterna registreras (24 PuL). Informationen ska innehålla uppgifter om den personuppgiftsansvariges identitet, ändamålen med behandlingen och all övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter i samband med behandlingen. Det kan t.ex. vara information om mottagare av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse (25 PuL). Information som ska lämnas efter ansökan Den personuppgiftsansvarige ska till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter ska skriftlig information också lämnas om vilka uppgifter om den sökande som behandlas, varifrån dessa uppgifter har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut (26 PuL). Avsikten är att den personuppgiftsansvarige ska lämna ett utdrag med uppgifter från sina register eller andra samlingar av personuppgifter. När personuppgifter behandlas automatiserat ska alltså information om vilka uppgifter som behandlas lämnas genom att den registrerade får en datautskrift. 10 9 Prop. 1997/98:44 s. 127. 10 Se vidare Datainspektionens allmänna råd om information till registrerade enligt personuppgiftslagen. 11

Anmälningsskyldighet Till skillnad från datalagen ställer PuL inga krav på tillstånd för att få inrätta och föra personregister. Den personuppgiftsansvarige måste i stället själv pröva om den aktuella behandlingen av personuppgifter är tillåten. Däremot ska behandling av personuppgifter som är helt eller delvis automatiserad anmälas till Datainspektionen (36 PuL). Det finns omfattande undantag från anmälningsskyldigheten. En anmälan behöver t.ex. inte göras om den personuppgiftsansvarige har utsett och anmält ett personuppgiftsombud. En anmälan behöver inte heller göras om behandlingen sker med de registrerades samtycke. 11 Övrigt Den personuppgiftsansvarige är naturligtvis skyldig att följa övriga bestämmelser i PuL, bl.a. 22 om behandling av personnummer, 28 om rätten till rättelse, 31-32 om säkerhetsåtgärder och 33-35 om överföring av personuppgifter till tredje land. Dessutom ska den personuppgiftsansvarige följa de grundläggande kraven på behandlingen av personuppgifter i 9. Dessa krav anger bl.a. att personuppgifter inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in och att uppgifter inte får bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. 11 Anmälan om behandling av personuppgifter enligt 36 första stycket PuL samt ändring av tidigare anmälan görs på en särskild blankett som kan beställas från Datainspektionen eller hämtas på www.datainspektionen.se. Upplysningar om de undantag från anmälningsskyldigheten som följer av PuL, personuppgiftsförordningen (1998:1191) och Datainspektionens föreskrifter (DIFS 1999:3) finns på blanketten och även i informationsbladet Anmälan och förhandskontroll som kan beställas eller hämtas på webbplatsen. 12

Genomförd tillsyn För att kontrollera hur personuppgifter behandlas i de nationella kvalitetsregistren har Datainspektionen genomfört tillsyn av tio register. Dessförinnan träffade Datainspektionen representanter för Socialstyrelsen som informerade om sitt arbete med de nationella kvalitetsregistren. Vid mötet diskuterades också frågor om personuppgiftsansvar och tillämpningen av personuppgiftslagen. Inspekterade register Tillsynen har i åtta fall utförts som fältinspektioner i Göteborg, Uppsala och Örebro. I två fall har tillsynen varit s.k. skrivbordstillsyn som uppföljning av tidigare fältinspektioner. Tillsyn enligt datalagen: Epilepsikirurgisk databas (skrivbordstillsyn) Forskningsregister hjärtsjukdomar (skrivbordstillsyn) Kvalitetsregister för barnhjärtkirurgi Nationellt kvalitetsregister för barn på tillväxthormonbehandling Nationellt kvalitetsregister för Läpp-Käk-Gomspaltsbehandling Register över biverkningar vid aferesbehandling Tillsyn enligt personuppgiftslagen: RIKSÄT Nationellt kvalitetsregister för ätstörningsbehandling Svenska kateterablatioregistret Svenska Psoriasisartritregistret (SwePsA) Svenskt anestesiregister Registeransvarig/personuppgiftsansvarig Vid inspektionerna framkom att vissa som behandlar personuppgifter i nationella kvalitetsregister är osäkra på vem som är register-/personuppgiftsansvarig. Datainspektionen redogjorde vid inspektionstillfällena för den definition 12 av register-/personuppgiftsansvarig som finns i respektive lag och betonade att 12 Registeransvarig (datalagen): Den för vars verksamhet personregister förs, om han förfogar över registret. Personuppgiftsansvarig (PuL): Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. 13

det inte är den fysiska personen som arbetar med registret som är register- /personuppgiftsansvarig. Insamling av uppgifter Antalet sjukhus/enheter som rapporterar till de granskade kvalitetsregistren varierar. Det beror på att viss vård och behandling lämnas vid ett stort antal kliniker, medan specialistvård endast ges vid ett fåtal. Vanligtvis deltog 5-10 sjukhus/enheter som tillsammans rapporterade uppgifter om 100-200 patienter per år. I enstaka fall deltog 50 respektive 100 enheter och som mest rapporterades uppgifter om över 10 000 patienter per år. 13 Enheternas personal samlar in uppgifterna som rapporteras till kvalitetsregistren. Som regel fyller man i formulär som kvalitetsregistret tillhandahåller och skickar uppgifterna till den som sammanställer uppgifterna i kvalitetsregistret. Uppgifterna sänds normalt med post, men i ett fall användes Internet och i ett annat fall planerar man att använda Sjunet 14. För ett register finns planer på att registrera uppgifterna i en databas hos respektive enhet för att sedan vidarebefordra dem till kvalitetsregistret på diskett. Ett par av de granskade kvalitetsregistren inhämtar uppgifter direkt från berörda patienter. De uppgifter som rapporteras skiljer sig åt mellan de olika registren. Normalt är det uppgifter om diagnos, vidtagna åtgärder och effekter på hälsan. Vidare rapporteras patientdata, t.ex. personnummer och kön. Det innebär att de nationella kvalitetsregistren innehåller känsliga personuppgifter. Vid inspektionerna underströk Datainspektionen vikten av att vidta säkerhetsåtgärder när man skickar känsliga uppgifter. Det kan bl.a. innebära att rekommenderat brev ska användas eller att uppgifterna ska krypteras vid överföring på datamedium. Utlämnande av uppgifter I kvalitetsregistren sammanställs de rapporterade uppgifterna. De deltagande enheterna får ta del av resultaten i form av avidentifierade sammanställningar som de kan använda för att jämföra sitt eget resultat med riksgenomsnittet. Alla register som får statligt stöd ska årligen rapportera sina resultat till en beslutsgrupp. I den ingår representanter från Svenska Läkaresällskapet, Landstingsförbundet och Socialstyrelsen. Utöver detta förekommer det även att resultaten rapporteras t.ex. som tidskriftsartiklar. 13 Detta register var vid inspektionstillfället fortfarande på planeringsstadiet. Registreringen av personuppgifter skulle enligt planerna påbörjas i början av år 2001. 14 Ett nät för vissa anslutna landsting. 14

Endast två av de inspekterade registren samkörs idag med något annat register. I båda fallen sker samkörning med register som Socialstyrelsen är ansvarig för. Enligt de register-/personuppgiftsansvariga kan flera av de inspekterade kvalitetsregistren i framtiden komma att samköras med andra register. Inspektionerna har visat att det finns register som utöver syftet att följa upp kvaliteten inom hälso- och sjukvården också används i forskningssyfte. Information och samtycke Två frågor som har varit centrala vid tillsynen är om den register/personuppgiftsansvarige har lämnat den information som föreskrivs i datalagstillstånd och i PuL samt om samtycke har inhämtats från den registrerade på ett korrekt sätt. För de sex inspekterade kvalitetsregistren som förs med stöd av datalagstillstånd föreskrivs att samtycke ska inhämtas efter att information har lämnats. Fältinspektionerna visade att föreskrifterna följdes fullt ut endast i ett fall. I ett annat fall lämnades i stort sett fullgod information men något samtycke inhämtades inte. De övriga lämnade antingen inte någon information alls eller också var den information som lämnades bristfällig. För de fyra inspekterade kvalitetsregistren, i vilka personuppgifter behandlas med stöd av PuL, gäller en långtgående skyldighet att lämna information. I två fall lämnades information som i hög grad överensstämmer med lagens krav. De personuppgiftsansvariga för dessa register uppgav också att samtycke från dem som ska registreras är en förutsättning för behandlingen. I de övriga fallen saknades vid inspektionstillfällena utarbetad information som uppfyller lagens krav. 15 Det rådde osäkerhet hos de personuppgiftsansvariga beträffande frågan om PuL kräver att samtycke inhämtas från de registrerade. De personuppgiftsansvariga uppgav att de inte har för avsikt att inhämta samtycke om detta inte är ett krav enligt lagen. IT-säkerhet Vid fyra av inspektionerna granskade Datainspektionen användningen av IT. Vid dessa inspektionstillfällen lämnades information om Datainspektionens nya allmänna råd för säkerhet, samt information om IT-säkerhetsföreskrifter enligt datalagen. Datainspektionen anser att uppgifterna i de nationella kvalitetsregistren bör betraktas som känsliga personuppgifter även om de i vissa fall endast indirekt kan hänföras till en enskild person. Säkerhetsnivån bör vara hög när känsliga personuppgifter behandlas. 15 I dessa register hade vid inspektionstillfällena ingen registrering av personuppgifter påbörjats. 15

Utrustningen bör skyddas mot obehörig användning, påverkan och stöld genom typgodkända lås eller ständig uppsikt. Behörighet att behandla uppgifterna i registren bör kontrolleras med hjälp av ett tekniskt system och behörigheten till uppgifterna bör begränsas till dem som behöver uppgifterna i sitt arbete. Användaridentitet och lösenord ska vara personliga och får inte överlåtas på någon annan. Rutiner bör finnas för tilldelning och administration av behörigheter. Åtkomst till uppgifterna bör kunna följas upp i efterhand genom en maskinell logg eller liknande maskinellt underlag om datorn används av mer än en person. Anslutning för extern datakommunikation bör skyddas, exempelvis med hjälp av kryptering. Det är viktigt att de som behandlar personuppgifter anpassar säkerhetsåtgärderna efter den egna hotbilden. Organisatoriska åtgärder tillsammans med de tekniska åtgärderna bildar stommen för säkerhetsarbetet. Rutiner och regler för hantering av exempelvis säkerhetskopiering, skydd mot datavirus, utbildning av personal, hantering av behörigheter, incidenter osv. är en viktig del i säkerhetsarbetet. 16

Avslutande synpunkter Antalet nationella kvalitetsregister har ökat de senaste åren. Datainspektionen bedömer att ökningen kommer att fortsätta. För att skydda den enskildes integritet är det viktigt att det finns tydliga regler för hur personuppgifter får behandlas i dessa register. För de kvalitetsregister som påbörjades före den 24 oktober 1998 tillämpades de tillstånd med föreskrifter som meddelades med stöd av datalagen t.o.m. den 30 september 2001. Det innebar normalt att information skulle lämnas bl.a. om vem som var registeransvarig, vilka uppgifter som skulle bearbetas och att registreringen var frivillig. Det senare förutsatte att den enskilde hade lämnat sitt samtycke för att personuppgifter skulle få registreras. Vid sin tillsyn har Datainspektionen kunnat konstatera att de registeransvariga i mycket liten omfattning uppfyllde kraven på information och samtycke. Vissa av de inspekterade registren har inte kunnat leva upp till kraven på grund av de registrerades sjukdomstillstånd. PuL gällde också enligt övergångsbestämmelserna för de kvalitetsregister som påbörjade sin behandling av personuppgifter fr.o.m. den 24 oktober 1998. Den 1 oktober 2001 blev PuL tillämplig för alla nationella kvalitetsregister eftersom övergångsbestämmelserna till datalagen då upphörde att gälla. Det är den personuppgiftsansvarige som är ansvarig för att behandlingen av personuppgifter är laglig. Det råder ingen tvekan om att behandlingen av personuppgifter i nationella kvalitetsregister är tillåten enligt den grundläggande bestämmelsen i 10 PuL. Eftersom de nationella kvalitetsregistren innehåller känsliga personuppgifter (hälsa) måste dessutom något av undantagen från förbudet mot behandling av sådana känsliga uppgifter vara uppfyllt. Ett undantag är om de registrerade lämnar sitt samtycke. Känsliga personuppgifter i nationella kvalitetsregister kan därför alltid behandlas med stöd av samtycke från de registrerade. Man bör dock observera att samtycket måste föregås av information till de registrerade 16. Utöver undantaget för samtycke är undantagen i 18 och 19 PuL av intresse. Man kan också med stöd av 18 första stycket PuL behandla känsliga personuppgifter utan samtycke eftersom ändamålet med behandlingen i kvalitetsregistren är att förbättra kvaliteten i vård eller behandling inom hälso- och sjukvården. Även om personuppgiftsbehandlingen sker utan samtycke krävs naturligtvis att de registrerade får nödvändig information. 16 Se ovan s. 11 17

Enligt 18 andra stycket PuL får den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt behandla känsliga personuppgifter som omfattas av tystnadsplikten. Datainspektionen anser att undantagets tillämpning får bero på hur verksamheten med registren är uppbyggd. Det är inte ensamt avgörande vilken tystnadsplikt som gäller för den verksamma personalen och varifrån uppgifterna hämtas. Enligt 19 PuL får känsliga personuppgifter behandlas för forsknings- och statistikändamål. Att behandla personuppgifter för kvalitetsuppföljning är enligt Datainspektionens bedömning normalt sett inte en behandling för forsknings- och statistikändamål. Personuppgiftsbehandlingen i de nationella kvalitetsregistren omfattas därför inte av detta undantag. Inspektionerna inom ramen för Datainspektionens projekt har visat att det idag råder osäkerhet om det enligt PuL krävs ett samtycke för att få behandla känsliga personuppgifter i de nationella kvalitetsregistren. Det har vidare visat sig att sig att Datainspektionens föreskrifter om samtycke följdes i mycket liten omfattning. Brister har också kunnat konstateras i kvalitetsregistrens information till de registrerade och att det i vissa fall råder osäkerhet kring vem som är personuppgiftsansvarig. Datainspektionen finner att den nuvarande situationen är otillfredsställande ur integritetssynpunkt. I förarbetena 17 till lagen om hälsodataregister 18 och lagen om vårdregister 19 anges att kvalitetsregistren i sin nuvarande form är en särskild kategori av personregister inom hälso- och sjukvården. Det konstateras att uppgifterna i dessa register används för ändamål som ligger hälsodataregister nära. Dessa förhållanden kan tala för att kvalitetsregistren bör författningsregleras på samma sätt som hälsodata- och vårdregister. I betänkandet anges vidare att den föreslagna hälsodatalagen inte kan vara tillämplig på kvalitetsregistren med nuvarande registeransvar/personuppgiftsansvar eftersom den lagen endast ska vara tillämplig när en central förvaltningsmyndighet är ansvarig. Frågan om de nationella kvalitetsregistren lämnades utan något förslag till särskild registerlagstiftning. Med hänsyn till att det förekommer en omfattande behandling av mycket integritetskänsliga personuppgifter i kvalitetsregistren finns det enligt Datainspektionens uppfattning starka skäl för att låta de nationella kvalitetsregistren omfattas av en särskild registerlagstiftning. I en sådan registerlagstiftning bör det särskilt anges om behandlingen av personuppgifter får ske utan samtycke från den registrerade. Om de nationella kvalitetsregistren regleras genom en särskild registerlagstiftning ges det också möjlighet att ha 17 SOU 1995:5 Hälsodataregister Vårdregister s. 129-130. 18 SFS 1998:543 19 SFS 1998:544 18

tydliga bestämmelser t.ex. om vem som är personuppgiftsansvarig, vilken typ av uppgifter som får behandlas, vem som ska få ha åtkomst till uppgifterna och hur länge uppgifterna ska få bevaras. Datainspektionen har för avsikt att skriva till regeringen och påpeka behovet av en registerlagstiftning för de nationella kvalitetsregistren. Mot bakgrund av vad som har framkommit vid tillsynen av de nationella kvalitetsregistren anser Datainspektionen också att det finns ett behov av information när det gäller tillämpningen av PuL: s bestämmelser på personuppgiftsbehandlingen i kvalitetsregistren. För att i någon mån råda bot på detta och sprida ljus över dessa frågor har Datainspektionen för avsikt att via Socialstyrelsen distribuera denna rapport till berörda personuppgiftsombud och personuppgiftsansvariga. 19

Besöksadress: Fleminggatan 14, plan 9 Postadress: Box 8114, 104 20 Stockholm Beställningar: 08-657 61 42 (telefonsvarare) E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Fax: 08-652 86 52 Tel: 08-657 61 00 Pris: 50 kr + moms 1

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss