Ds 2016:44 Nationell läkemedelslista

Relevanta dokument
En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Datainspektionen lämnar följande synpunkter.

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

Yttrande i Förvaltningsrätten i Stockholms mål

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Promemorian Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Remiss avseende förslag till Socialstyrelsens föreskrifter och allmänna råd om ordination och hantering av läkemedel i hälso- och sjukvården m.m.

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Remittering av betänkandet SOU 2017:66 Dataskydd inom Socialdepartementets verksamhetsområde en anpassning till EU:s dataskyddsförordning

2 kap. 3 och 5 kap. 4 patientdatalagen (2008:355) Högsta förvaltningsdomstolen meddelade den 4 december 2017 följande dom (mål nr ).

SOU 2015:84 Organdonation En livsviktig verksamhet

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Utkast till lagrådsremissen Vägtrafikdatalag

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

Remissen Läkemedelsverkets förslag till föreskrifter för Nationella medicinska informationssystem

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Svensk författningssamling

Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91)

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Hur står det till med den personliga integriteten? (SOU 2016:41)

Svensk författningssamling

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Taxi och samåkning i dag, i morgon och i övermorgon (SOU 2016:86)

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande genom direktåtkomst

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Snabbare lagföring (Ds 2018:9)

Nationell läkemedelslista

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Beslut om förteckning enligt artikel 35.4 i EU:s allmänna dataskyddsförordning 2016/679

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Nationell läkemedelslista

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Utdrag ur protokoll vid sammanträde Närvarande: F.d. justitieråden Severin Blomstrand och Annika Brickman samt justitierådet Thomas Bull

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

En anpassning till dataskyddsförordningen kreditupplysningslagen och några andra författningar

Så stärker vi den personliga integriteten SOU 2017:52

Överförmyndarförvaltningen. Information Sida 1 (7) Integritetspolicy

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

Brottsdatalag kompletterande lagstiftning (SOU 2017:74)

Riktlinjer för hantering av personuppgifter

Yttrande över remiss om nationell läkemedelslista (Ds 2016:44)

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Vissa frågor om sekretess med anledning av EU:s dataskyddsreform

Yttrande över departementspromemorian Nationell läkemedelslista (Ds 2016:44)

Koncernkontoret Enheten för juridik

Policy för behandling av personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Samråd om registrering av beslutsoförmögna i det nationella kvalitetsregistret Senior Alert

Riktlinjer för dataskydd

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Integritetspolicy för Bernhold Ortodonti

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

PERSONUPPGIFTSBITRÄDESAVTAL

En omreglerad spelmarknad (SOU 2017:30)

Remiss av SOU 2015:66 En förvaltning som håller ihop

Vården och reglerna om dataskydd

Yttrande över promemorian Införande av vissa internationella standarder i penningtvättslagen

Remiss av betänkandet 2014 års utlänningsdatalag (SOU 2015:73)

Stockholm den 12 december 2018 R-2018/1679. Till Försvarsdepartementet. Fö2018/00999/RS

Utdrag ur protokoll vid sammanträde

PUL OCH DATASKYDDSFÖRORDNINGEN

Dataskyddsförordningen i utbildningsverksamhet

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Datainspektionen informerar. Vägledningen ska tjäna som verktyg för att bedöma integritetsriskerna med ny eller ändrad lagstiftning.

Riktlinjer för personuppgiftshantering

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Dataskyddsförordningen

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

Personuppgiftsinformation för Svedala kommun

Så behandlar vi dina personuppgifter

Den nya Dataskyddsförordningen

GDPR- Seminarium 2017

Information om behandling av personuppgifter

Personuppgiftsbiträdesavtal

Personuppgiftsbehandling i forskning

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

GDPR- Vad har hänt och hur ser tillämpningen ut?

4 Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig behandlingen.

Kvalitetsregister & Integritetsskydd. Patrik Sundström, jurist SKL

8.6.2 Forskningsdatabaslagens territoriella tillämpningsområde (1 kap. 7 )

Dataskyddsförordningen 2018

Transkript:

Yttrande Diarienr 1 (13) 2017-04-12 73-2017 Ert diarienr S2017/00117/FS Socialdepartementet s.registrator@regeringskansliet.se s.fs@regeringskansliet.se Ds 2016:44 Nationell läkemedelslista Sammanfattning Datainspektionen har granskat betänkandet utifrån sin uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Yttrandet är begränsat till mer övergripande frågor och frågor av väsentlig betydelse för den enskildes personliga integritet. Datainspektionen avstyrker förslaget i sin nuvarande utformning, av följande skäl. Från och med den 25 maj 2018 gäller nya EU-gemensamma regler för behandling av personuppgifter. Den nya dataskyddsförordningen ersätter då dataskyddsdirektivet och personuppgiftslagen, och blir det primära regelverket för behandling av personuppgifter. Den föreslagna lagen om nationell läkemedelslista föreslås bli tillämplig från den 1 juli 2018. Dataskyddsförordningen gäller framför svensk lag, varför de nationella reglerna måste stå i överensstämmelse med förordningen för att vara giltiga. Det krävs därför en analys av förslagets förenlighet med förordningen. Någon sådan analys har inte gjorts. Datainspektionen avstyrker förslaget huvudsakligen för att det inte har sin utgångspunkt i förordningen. Datainspektionen ifrågasätter även att väsentliga delar av förslaget om en nationell läkemedelslista är utformat utifrån vårdgivares behov av information från andra vårdgivare. Vårdgivares behandling av personuppgifter inom hälso- och sjukvården regleras av patientdatalagen. Om vårdgivare i sin egen verksamhet och mellan olika vårdgivare har behov av ytterligare eller andra behandlingar än dem som tillåts enligt patientdatalagen är det den lagen som ska ändras. I promemorian Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Telefon: 08-657 61 00

Datainspektionen 2017-04-12 Diarienr 73-2017 2 (13) problematiseras inte heller de konsekvenser ett fragmenterat regelverk och spretig ansvarsfördelning kan leda till. Datainspektionen konstaterar att det pågår flera olika utredningar och lagstiftningsinitiativ med anledning av dataskyddsförordningen. I det fortsatta lagstiftningsarbetet kan bl.a. dataskyddsutredningens (Ju 2016:04), socialdataskyddsutredningens (S 2016:05) och forskningsdatautredningens (U 2016:04) förslag behöva beaktas. Dataskyddsförordningens betydelse i sammanhanget Europeiska rådet beslutade den 27 april 2016 tillsammans med Europaparlamentet om en ny förordning om skydd för fysiska personer med avseende på behandling av personuppgifter. Den nya förordningen ska tillämpas från och med den 25 maj 2018 och ersätter då dataskyddsdirektivet. Dataskyddsförordningen innebär att all svensk nuvarande och kommande lagstiftning på dataskyddsområdet måste följa dataskyddsförordningen. Vid normkonflikter mellan förordningens bestämmelser och nationell lag äger förordningen, i enlighet med principen om EU-rättens företräde, företräde framför nationell rätt. Det innebär att vid nationell lagstiftning som inte överensstämmer med förordningen, ska förordningens bestämmelser tillämpas. Förordningen blir m.a.o. det primära regelverket avseende behandling av personuppgifter. Förordningen lämnar dock visst utrymme för, och påbjuder även i vissa fall, nationella regler. Det gäller bl.a. för behandling av känsliga personuppgifter, där vissa undantag från förbjudet att behandla vissa kategorier av personuppgifter framgår direkt av förordningen. Andra undantag kräver dock stöd i nationell rätt för att kunna tillämpas. Enligt skäl 8 i förordningen får medlemsstaterna införliva delar av förordningen i nationell rätt i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga. Enligt Datainspektionen är det viktigt att det tydligt framgår när en sådan bestämmelse endast utgör ett återgivande av en bestämmelse i förordningen och det är viktigt att den nationella regleringen inte förändrar innebörden.

Datainspektionen 2017-04-12 Diarienr 73-2017 3 (13) Vid antagande av nationella regler om dataskydd krävs därför en noggrann analys av den föreslagna lagstiftningens förenlighet med dataskyddsförordningen. I promemorian berörs dataskyddsförordningens bestämmelser på några ställen, men någon analys av förslagens förenlighet med förordningen har inte gjorts. Redan på grund av detta avstyrker Datainspektionen förslaget. 9.1 Inledning Det anges att syftet med den nya lagen är att underlätta för berörd hälso- och sjukvårdspersonal att utföra sina uppgifter i hälso- och sjukvården, och att tillgodose patientens behov av kontinuitet och säkerhet i vården. Förslaget innebär att det skapas ett stort register med känsliga personuppgifter som samlas hos en central förvaltningsmyndighet (Ehälsomyndigheten), vilket i sig är förenat med integritetsrisker. E- hälsomyndigheten är inte heller någon aktör som ska ordinera eller expediera läkemedel, utan tillhandahåller i princip en tjänst för aktörerna inom området. Det skapar gränsdragningsproblematik och oklarhet vad gäller både ansvar och roller mellan E-hälsomyndigheten, vårdgivare, apotek, men ytterst också i förhållande till de registrerade. Datainspektionen konstaterar att patientjournalen är den primära informationskällan och det verktyg som är avsett för personal inom hälso- och sjukvården att användas för att ge god och säker vård. Av redogörelsen framgår tydligt att de behov och brister som idag finns när det gäller hantering av information om läkemedelsanvändning framför allt gör sig gällande inom hälso- och sjukvården, och att det i stor utsträckning rör sig om brister i hanteringen av information i patientjournalen. Vårdgivares behandling av personuppgifter inom hälso- och sjukvården är särreglerade genom patientdatalagen. I patientdatalagen regleras bland annat möjligheten för vårdgivare att få del av patientuppgifter från varandra. Det aktuella förslaget synes till stora delar vara avsett att tillgodose vårdgivares behov av att få del av patientinformation från andra vårdgivare. Hur det aktuella lagförslaget ska tillämpas i förhållande till patientdatalagen klargörs inte utan roller, ansvar och uppgifter synes flyta samman. Det är viktigt att syftet med den föreslagna regleringen klargörs i förhållande till patientdatalagens tillämpningsområde och att det inte skapas konkurrerande

Datainspektionen 2017-04-12 Diarienr 73-2017 4 (13) nationella bestämmelser gällande en och samma behandling. När det gäller vårdens behov av information inom vården är Datainspektionens uppfattning att det bör tillgodoses genom ändringar i patientdatalagen. Förhållande till dataskyddsförordningen I detta avsnitt följer en redogörelse för vissa av dataskyddsförordningens bestämmelser som aktualiseras av förslaget, och i ljuset av vilka analysen av förslagets förenlighet med förordningen bör ske. Redogörelsen är inte uttömmande, utan tar endast upp exempel på relevanta bestämmelser. Sammanfattningsvis krävs en analys av förslaget utifrån förordningens bestämmelser i sin helhet, exempelvis utifrån de grundläggande principerna för behandling i artikel 5, kravet på laglig grund för behandling i artikel 6, förbudet mot att behandla särskilda kategorier av uppgifter i artikel 9 och utifrån de registrerades rättigheter enligt kapitel III. Förordningen lämnar ett visst utrymme för att inskränka de rättigheter som anges i kapitel III, men ställer krav på lagstiftningens utformning och innehåll. Dessa krav framgår av artikel 23. Dessutom är det viktigt att innebörden av personuppgiftsansvaret analyseras, innefattande de skyldigheter som anges i kapitel IV. Det kan särskilt påpekas att om en typ av behandling leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige, enligt artikel 35.1 dataskyddsförordningen, före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter (konsekvensbedömning). Av artikel 35.7 framgår vad konsekvensbedömningen minst ska omfatta. Enligt artikel 35.10 gäller inte kraven i artikel 35.1-7 om behandling enligt artikel 6.1 e har en rättslig grund i en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av, reglerar den rätten den aktuella specifika behandlingsåtgärden eller serien av åtgärder i fråga och en konsekvensbedömning avseende dataskydd redan har genomförts som en del av en allmän konsekvensbedömning i samband med antagandet av den rättsliga grunden. För att kravet på konsekvensbedömning ska anses uppfyllt genom lagstiftarens försorg är det en förutsättning att den konsekvensbedömning som genomförts motsvarar förordningens krav.

Datainspektionen 2017-04-12 Diarienr 73-2017 5 (13) 9.2 Registrets innehåll, 9.4 Registrets ändamål och 9.12 Bevarande och gallring I artikel 5 i dataskyddsförordningen anges bl.a. att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Vidare anges att uppgifterna inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas. När ett personuppgiftsansvar åläggs en utpekad aktör genom nationell lagstiftningsåtgärd är det centralt att en analys görs av vilken behandling av personuppgifter den ansvarige ska utföra, och att den tilltänkta behandlingen som ska utföras står i överensstämmelse med bestämmelserna i förordningen, innefattande de principer som anges i artikel 5. Den ansvarige kan till exempel inte ges i uppgift att behandla personuppgifter för ändamål som inte är berättigade med hänsyn till den ansvariges uppgifter eller verksamhet, eftersom en sådan behandling inte vore tillåten enligt artikel 5. Förslaget innebär att E-hälsomyndigheten blir personuppgiftsansvarig för uppgifterna i det nya registret. I promemorian har behovet av uppgifterna utvecklats och i stora delar beskrivits väl. Trots det saknar Datainspektionen en analys av huruvida de ändamål som för vilka E-hälsomyndigheten föreslås behandla uppgifterna uppfyller förordningens krav på att vara berättigade utifrån E-hälsomyndighetens uppgifter såsom de framgår av myndighetens instruktion, och då framför allt uppgiften att ansvara för register och itfunktioner som öppenvårdsapotek och vårdgivare behöver ha tillgång till för en patientsäker och kostnadseffektiv läkemedelshantering som anges i 1. Det kan noteras att många av ändamålen som anges i förslaget är svåra att förstå utifrån E-hälsomyndighetens uppdrag. Förutom att ändamålen måste vara berättigade så krävs en analys av om det är fråga om så kallade primära ändamål som gäller direkt för den personuppgiftsansvariges behandling eller om det som regleras är så kallade sekundära ändamål. När det exempelvis gäller ändamålet forskning så kan det konstateras att E-hälsomyndigheten inte bedriver någon forskning, varför forskning är ett sekundärt ändamål. Att det är tillåtet att vidarebehandla uppgifter för bl.a. forskning under vissa förutsättningar framgår direkt av artikel 5 b i förordningen. Även om det finns möjlighet (se skäl 8) att för tydlighetsskull införa bestämmelser i nationell

Datainspektionen 2017-04-12 Diarienr 73-2017 6 (13) rätt anser Datainspektionen att det är viktigt att det är tydligt att det är ett återgivande av en bestämmelse i förordningen och att innebörden inte förändras. Datainspektionen ifrågasätter att en myndighet ska ges i uppdrag att såsom personuppgiftsansvarig behandla uppgifter som inte behövs inom myndighetens egen verksamhet, utan för andra verksamheters behov. Personuppgifter ska vidare enligt artikel 5 i förordningen vara korrekta, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Även här saknar Datainspektionen en analys av förslagets överensstämmelse med förordningen. Vidare anges i artikel 5 i dataskyddsförordningen att uppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för det ändamål för vilka personuppgifterna behandlas. Det är den personuppgiftsansvariges ansvar att se till att uppgifter inte bevaras i strid med förordningen. Därför krävs en noggrann utredning av vilken bevarandetid som är nödvändig för uppgifterna i förhållande till ändamålen med behandlingen. Det är inte uteslutet att denna analys resulterar i att olika bevarandetider krävs för olika uppgifter, beroende på för vilket ändamål uppgiften behandlas. Den bevarandetid som bedöms nödvändig för ändamålen med behandlingen kan i enlighet med vad som anges i artikel 6.2 i förordningen fastställas i nationell rätt. Datainspektionen noterar att det i promemorian anges att vilket behov som finns av bevarandetid för ändamålet att ge god och säker vård kan variera beroende på olika faktorer, såsom patienttyp och sjukdomstyp, men att olika bevarandetider skulle försvåra den personuppgiftsansvariges hantering av uppgifterna. Datainspektionen konstaterar att dessa svårigheter är sammankopplade med det faktum att den avsedda behandlingen inte skulle äga rum för behov hänförliga till den ansvariges verksamhet, utan på behov kopplade till andra aktörers behov av information. Detta exempel visar också svårigheten när personansvaret åläggs någon som har en svag koppling till den behandling som ska utföras. 9.7 Rättsliga grunder för behandling av personuppgifter i registret I promemorian konstateras att behandlingen i registret kan ske med stöd av att behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt

Datainspektionen 2017-04-12 Diarienr 73-2017 7 (13) intresse. Det förtjänar att tilläggas att Datainspektionen delar uppfattningen att det är tveksamt om samtycke kan utgöra rättslig grund för behandling av personuppgifter i läkemedelslistan, se nedan om skäl 43 i förordningen. Enligt artikel 6 i dataskyddsförordningen får personuppgifter behandlas om behandlingen uppfyller åtminstone ett av de villkor som räknas upp i punkterna a-f. När det gäller grunderna som anges i punkterna c och e, dvs. behandling som är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse och behandling som är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning, så kan sådan behandling inte ske med direkt tillämpning av förordningen, utan en unionsrättslig eller nationell författning krävs för fastställande av grunden för behandling. Unionsrätten eller den nationella rätten ska då uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Vid lagstiftning avseende behandlingar som är nödvändiga för att fullgöra en rättslig förpliktelse, utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning ställer förordningen därmed vissa krav på lagstiftaren. För det första måste en bedömning göras av till vilken av grunderna i artikel 6 som den avsedda behandlingen är hänförlig. För det andra måste det analyseras i vilken utsträckning som behandlingen är nödvändig för att fullgöra den rättsliga förpliktelsen, arbetsuppgiften av allmänt intresse eller myndighetsutövningen. Kravet på nödvändighet utgör en ram för vilken behandling som över huvud taget kan vidtas. För det tredje behöver lagstiftaren ta ställning till vilka konsekvenser det får att, om det är fråga om behandling som är nödvändig för att fullgöra en rättslig förpliktelse, syftet med behandlingen ska fastställas i den rättsliga grunden, eller, om det är fråga om behandling som är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning, att syftet med behandlingen ska vara nödvändigt. För det fjärde behöver lagstiftaren överväga om det finns anledning att i den rättsliga grunden ange de villkor som ska gälla för den personuppgiftsansvariges behandling i enlighet med artikel 6.3, tredje meningen.

Datainspektionen 2017-04-12 Diarienr 73-2017 8 (13) För det femte behöver lagstiftaren säkerställa att den föreslagna lagstiftningen uppfyller ett mål av allmänt intresse, och avslutningsvis att lagstiftningen är proportionerligt mot det mål som eftersträvas. När det gäller behandling som den enskilde lämnat sitt samtycke till kan sådan behandling ske med tillämpning av förordningen, men det är då viktigt att säkerställa att samtycket uppfyller kravet på frivillighet, särskilt med beaktande av de uttalanden som görs i skäl 43. Frivillighet anses enligt skäl 43 inte föreligga när det råder betydande ojämnlikhet mellan den registrerade och den personuppgiftsansvarige. Det anges vidare att det är osannolikt om den personuppgiftsansvarige är en offentlig myndighet att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna situation omfattar. Utrymmet för myndigheter att behandla personuppgifter med stöd av samtycke enligt förordningen är således starkt begränsat. Det allmänna intresset för vilket den personuppgiftsansvariges behandling är nödvändig ska knytas till en reglerad uppgift. Det allmänna intresse för vilket E-hälsomyndigheten avses behandla personuppgifter i den nationella läkemedelslistan måste således kopplas till myndighetens uppgifter såsom de framgår av instruktionen. Det anges inte uttryckligen i promemorian vilket som är det allmänna intresset för vilket personuppgiftsbehandlingen bedöms nödvändig. För att kunna bedöma förslagets förenlighet med dataskyddsförordningen är det av vikt att det preciseras vilken arbetsuppgift av allmänt intresse som åligger E-hälsomyndigheten som avses. Det behöver dessutom säkerställas att syftet, eller ändamålet, med behandlingen är nödvändigt i förhållande till arbetsuppgiften som ska utföras och att ändamålen för myndighetens behandling är berättigade utifrån myndighetens reglerade uppgifter. Avslutningsvis måste det dessutom säkerställas att lagstiftningen i sig självt uppfyller ett mål av allmänt intresse och är proportionerlig mot det legitima mål som eftersträvas. Promemorian saknar dessa analyser och ställningstaganden. Enligt artikel 9 i dataskyddsförordningen är det förbjudet att behandla vissa särskilda kategorier av personuppgifter, bl.a. uppgifter om hälsa, sexualliv och sexuell läggning samt genetiska uppgifter. Från förbudet finns en rad

Datainspektionen 2017-04-12 Diarienr 73-2017 9 (13) undantag. Exempelvis kan behandling av uppgifter som rör hälsa vara tillåten om behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård, medicinska diagnoser, tillhandahållande av hälso- och sjukvård och behandling, på grundval av nationell rätt. Det anges i promemorian att behandling av uppgifter i registret om hälsa är nödvändig av skäl som hör samman med förebyggande och tillhandahållande av hälso- och sjukvård. Promemorian saknar en analys av tillämpligheten av undantaget från förbudet att behandla särskilda kategorier av uppgifter i 9.2 h och det saknas även en analys av hur kravet på lagstadgad tystnadsplikt i artikel 9.3 förhåller sig till förslaget. Frågan om undantag från förbjudet att behandla känsliga personuppgifter aktualiseras först efter att överväganden kring laglig grund för behandling av personuppgifter och fastställande av vilken behandling som är nödvändig med anledning av den lagliga grunden har gjorts. Dessutom måste även förordningens bestämmelser om grundläggande principer för behandling av personuppgifter alltid beaktas. Därtill kommer att både de registrerades rättigheter och den ansvariges skyldigheter ska uppfylldas, se det inledande avsnittet. 9.8.2 Samtycke för direktåtkomst Datainspektionen välkomnar förslaget att det, som en integritetshöjande åtgärd, ska krävas den registrerades samtycke för direktåtkomst till uppgifter. I sammanhanget bör dock noteras att eftersom det är frågan om en integritetshöjande åtgärd påverkar detta samtycke inte den rättsliga grunden för att behandla personuppgifterna (se avsnittet ovan). Det kan också ifrågasättas om det är lämpligt att kalla detta samtycke, av följande skäl. De uttalanden som görs i det ovan redovisade skäl 43 gäller samtycke som rättslig grund och inte samtycke som integritetshöjande åtgärd. I exempelvis en vårdsituation är det värdefullt att kunna använda samtycke som en integritetshöjande åtgärd och det vore därför olyckligt att ställa samma krav på denna form av samtycke, som ställs på ett samtycke för att det ska utgöra en giltig rättslig grund för behandling. För att det ska bli tydligt för tillämparna och de registrerade vad som gäller är det lämpligt att använda ett annat uttryck än samtycke. Datainspektionen föreslår medgivande.

Datainspektionen 2017-04-12 Diarienr 73-2017 10(13) 9.11 Personuppgiftsansvarig och 9.13 Behörighet och kontroll I det aktuella förslaget anges att E-hälsomyndigheten ska vara personuppgiftsansvarig för det nya registret. Enligt artikel 4.7 dataskyddsförordningen är den fysiska eller juridiska person, offentlig myndighet eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter personuppgiftsansvarig. Om ändamålen eller medlen för behandlingen bestäms av en medlemsstats nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i nationell rätt. Såsom framgår av den berörda artikeln lämnar dataskyddsförordningen utrymme för att personuppgiftsansvaret anges i nationell rätt. Det är dock viktigt att ett sådant angivande föregås av en noggrann analys vilka konsekvenser utpekandet får. Det är viktigt att den aktör som anges som ansvarig faktiskt har möjlighet att utöva sitt ansvar. Personuppgiftsansvaret innebär i korthet ett skadestånds- och avgiftssanktionerat ansvar för att dataskyddsförordningens bestämmelser uppfylls. Det innebär till exempel ett ansvar för att se till att behandling av personuppgifter inte sker i strid med de principer som gäller för behandling av personuppgifter, att det finns ett lagligt stöd för behandlingen och att behandlingen inte sker i större utsträckning än vad som är nödvändigt med hänsyn till det lagliga stöd som gäller för behandlingen samt att registrerades rättigheter uppfylls. Utöver dessa skyldigheter innehåller förordningen ett särskilt kapitel som reglerar en rad mer specifika skyldigheter som åligger den ansvarige. Den ansvarige har för det första en mer övergripande skyldighet att vidta tekniska och organisatoriska åtgärder för att säkerställa att förordningen följs, och även för att visa att skyldigheterna uppfylls och förordningen följs. Därefter följer specifika skyldigheter att iaktta principerna om inbyggt dataskydd och dataskydd som standard, vis a vis de personuppgiftsbiträden som anlitas, att vidta säkerhetsåtgärder och överväga och genomföra konsekvensbedömningar och anmäla personuppgiftsincidenter till tillsynsmyndigheten samt informera berörda om incidenter som inträffat. Den personuppgiftsansvarige ansvarar också, enligt artikel 5.2 för att kunna visa att förordningens grundläggande principer efterlevs.

Datainspektionen 2017-04-12 Diarienr 73-2017 11(13) Datainspektionen konstaterar att det i promemorian saknas en utveckling av vad personuppgiftsansvaret innebär för E-hälsomyndigheten konkret, med utgångspunkt i de skyldigheter som följer av dataskyddsförordningen, och en analys av vilka förutsättningar E-hälsomyndigheten har att uppfylla dessa skyldigheter. I promemorian hänvisas till ett tidigare förarbetsuttalande rörande E-hälsomyndighetens verksamhet och uppdrag, där det anges bl.a. att skälet till att E-hälsomyndigheten måste få behandla personuppgifter för olika ändamål är behovet av att kunna erbjuda en konkurrensneutral samt ur integritetssynpunkt säker överföring av personuppgifter mellan aktörer (se prop. 2015/16:143 s. 65-66). Datainspektionen ifrågasätter inte att E-hälsomyndigheten kan ha en viktig roll att fylla som länk ifråga om informationsöverföring mellan hälso- och sjukvården och öppenvårdsapoteken, men rollerna måste analyseras och klargöras bättre utifrån det ansvar som föreskrivs för att få behandla personuppgifter. Datainspektionen noterar att en del av syftet bakom förslaget är att underlätta för den enskilde att få en helhetsbild av sin läkemedelsanvändning. Datainspektionen konstaterar att det mot denna bakgrund kan finnas skäl till att ge E-hälsomyndigheten ett sammanhållande ansvar för viss information eftersom de enskilda vårdgivarna och apoteken bara kan behandla uppgifter som är relevanta i deras egen verksamhet. Datainspektionen saknar dock utveckling av den enskildes perspektiv i promemorian. 9.4.2 Registrering och administrering av uppgifter om en fullmakt samt 9.5.6. Patient och ombud I 17 första meningen förslaget till nationell läkemedelslista föreslås att patienten får ha direktåtkomst till uppgifter om sig själv. I bestämmelsens andra mening föreslås att direktåtkomst även får ges till annan fysisk person som patienten utsett genom fullmakt som finns registrerad i den nationella läkemedelslistan. Datainspektionen har inget att erinra mot att en enskild genom direktåtkomst kan ta del av personuppgifter som avser den enskilde själv om den elektroniska åtkomsten sker på ett tillräckligt säkert sätt (jämför 4 kap. 11-12 HSLF-FS 2016:40) - eller att en enskild ger fullmakt exempelvis till en

Datainspektionen 2017-04-12 Diarienr 73-2017 12(13) annan person att hämta ut medicin eller en vara som ordinerats. Datainspektionen, som delar uppfattningen som framförs i promemorian att frågan om direktåtkomst inte är oproblematisk, avstyrker dock förslaget i 17 andra meningen. Datainspektionen ifrågasätter förslaget i första hand utifrån att det inte analyserats vad fullmakten innebär i förhållande dataskyddsförordningen. I andra hand ifrågasätts om och i så fall hur det säkerställs att det är frågan om frivilligt och informerat samtycke (jfr skäl 42 och 43). Vid en begäran om utlämnande av allmänna handlingar ansvarar E- hälsomyndigheten dessutom för att följa offentlighets och sekretesslagen (2009:400) vilket innebär att det kan finnas tystnadsplikt som hindrar ett utlämnande av uppgifter från E-hälsomyndigheten. I promemorian har frågor om sekretess och möjlighet för den enskilda att bryta den inte analyserats när det gäller utlämnande genom direktåtkomst. Datainspektionen anser att fullmaktens innebörd och giltighet måste prövas utifrån såväl dataskydds- som sekretessreglerna. Dessutom är E- hälsomyndigheten som personuppgiftsansvarig ansvarig för att personuppgifter behandlas i enlighet med de grundläggande principerna för behandling av personuppgifter samt bara om det finns ett lagligt stöd och undantag från förbudet att behandla känsliga personuppgifter (artikel 5, 6 och 9 i dataskyddsförordningen), vilket gäller även när personuppgifterna behandlas vid direktåtkomst. Enligt promemorian kan anställda vid vårdenheter inneha fullmakt för enskilda vårdtagare (s. 196). Som Datainspektionen redan konstaterat måste det utredas vad fullmakten står för och hur den förhåller sig till bestämmelser om dataskydd och sekretess. Såsom angetts tidigare anges det i skäl 43 i förordningen att det är osannolikt om den personuppgiftsansvarige är en offentlig myndighet att samtycket har lämnats frivilligt. Orsaken är att det är svårt att uppnå jämlikhet mellan den registrerade och personuppgiftsansvarig. Datainspektionens uppfattning är att bedömningen om det föreligger jämlikhet eller inte måste ske utifrån den registrerades perspektiv. När det gäller vårdgivares relation till vårdtagare har vårdtagaren behov av den vård som vårdgivaren har i uppdrag att erbjuda. Om vårdgivaren är offentlig eller privat påverkar inte dessa roller. Att det finns viss valfrihet för patienten innebär inte att balansen inte är ojämnlik. Utgångspunkten måste

Datainspektionen 2017-04-12 Diarienr 73-2017 13(13) därför vara att vid personuppgiftsbehandling gällande en patient inom vården, så är det frågan om en sådan ojämnlikt förhållande att det är osannolikt att det är frågan om ett frivilligt samtycke, oavsett om det är frågan om en offentlig eller privat vårdgivare. Inom hälso- och sjukvården är dessutom elektronisk åtkomst och direktåtkomst reglerat för vårdgivare i 4 och 6 kap. patientdatalagen och i aktuellt lagförslag föreslås reglering gällande den direktåtkomst som ska få förekomma för anställda i hälso- och sjukvården. Konsekvensen av om patienten kan ge vårdpersonal fullmakt är att dessa regler kringgås. I promemorian hänvisas till en dom vid Kammarrätten i Stockholm (meddelad den 10 juni 2016, mål nr 5402-15). För fullständighetens skull vill Datainspektionen informera om att inspektionen har överklagat kammarrättens dom till Högsta förvaltningsdomstolen, som har meddelat prövningstillstånd den 21 december 2016 (mål nr 3716-16). Detta yttrande har beslutats av generaldirektören Kristina Svahn Starrsjö efter föredragning av juristen Eva Maria Broberg. Vid den slutliga handläggningen har även chefsjuristen enhetschefen Katarina Tullstedt och avdelningsdirektören Suzanne Isberg deltagit. Kristina Svahn Starrsjö Eva Maria Broberg