Till Förvaltningsrätten i Stockholm, avdelning 32 115 76 Stockholm forvaltningsrattenistockholm@dom.se per e-post och post Mål nr 11458-17; E-hälsomyndigheten./. Datainspektionen Med hänvisning till E-hälsomyndighetens överklagande den 10 maj 2017 och förvaltningsrättens beslut att bevilja anstånd inkommer E-hälsomyndigheten härmed med komplettering och utveckling av grunderna för överklagandet. Om inte annat anges, avser alla nedan gjorda sidhänvisningar det överklagade beslutet, dvs. Datainspektionens beslut den 21 april 2017, diarienr 2276-2016.
INNEHÅLLSFÖRTECKNING 1 Yrkande... 5 2 Bakgrund... 5 3 Tjänstens utformning m.m.... 7 4 Föreläggande 1... 9 4.1 Datainspektionens föreläggande 1 med motivering... 9 4.2 Sammanfattning av E-hälsomyndighetens grunder avseende föreläggande 1... 10 4.3 Föreläggande 1 är inte tillräckligt preciserat... 11 4.4 E-hälsomyndigheten har vidtagit de åtgärder som krävs för sådant begränsat personuppgiftsansvar som föreligger m.m.... 12 4.4.1 Omfattningen av E-hälsomyndighetens personuppgiftsansvar... 12 4.4.2 E-hälsomyndigheten har analyserat och vidtagit de åtgärder som krävs för sitt personuppgiftsansvar för administration av Konton i Hälsa för mig m.m.... 15 4.4.3 E-hälsomyndigheten har analyserat och vidtagit de åtgärder som krävs avseende ansvaret för organisatoriska och tekniska säkerhetsåtgärder... 16 4.4.4 Sammanfattning... 17 4.5 E-hälsomyndigheten har även vidtagit de åtgärder som krävs för eventuellt mer omfattande personuppgiftsansvar m.m.... 17 4.5.1 Omfattningen av E-hälsomyndighetens personuppgiftsansvar vid eventuellt mer omfattande personuppgiftsansvar m.m.... 17 4.5.2 E-hälsomyndigheten har analyserat och vidtagit de åtgärder som krävs för personuppgiftsansvar i förhållande till Användare... 19 4.5.3 E-hälsomyndigheten har analyserat och vidtagit de åtgärder som krävs för personuppgiftsansvar i förhållande till vårdgivare avseende prenumerationstjänsten... 20 4.5.4 E-hälsomyndigheten har analyserat och vidtagit de åtgärder som krävs för personuppgiftsansvar i förhållande till applikationsleverantörer... 21 4.5.5 Övriga vidtagna åtgärder enligt esams vägledning... 22 4.5.6 Sammanfattning... 23 5 Föreläggande 2... 23 5.1 Datainspektionens föreläggande 2 med motivering... 23 5.2 Sammanfattning av E-hälsomyndighetens grunder avseende föreläggande 2... 24 5.3 Föreläggande 2 är inte tillräckligt preciserat... 25 5.4 E-hälsomyndigheten har i fråga om det begränsade personuppgiftsansvaret redan sett till att det finns rättsligt stöd... 25 5.5 E-hälsomyndigheten har även vid ett eventuellt mer omfattande personuppgiftsansvar redan sett till att det finns rättsligt stöd m.m.... 26 5.5.1 Inledning... 26 5.5.2 Behandling av känsliga personuppgifter om Användaren i Kontot... 27 5.5.3 Behandling av personuppgifter om andra än Användaren i Kontot... 28 5.5.4 Behandling av känsliga personuppgifter om andra än Användaren i Kontot... 29 2
5.5.5 Sammanfattning... 30 6 Föreläggande 3... 30 6.1 Datainspektionens föreläggande 3 med motivering... 30 6.2 Inledande kommentarer och beskrivning av den för föreläggande 3 aktuella funktionaliteten... 31 6.2.1 Inledning... 31 6.2.2 Beskrivning av delningsfunktionen... 31 6.2.3 Beskrivning av funktionen för anslutning av applikationer... 32 6.3 Föreläggande 3 såvitt avser PuL... 34 6.3.1 Sammanfattning av E-hälsomyndighetens grunder avseende föreläggande 3 såvitt avser PuL... 34 6.3.2 Personuppgifter i Hälsa för mig behandlas bara om det är lagligt och korrekt enligt 9 a) och b) PuL... 34 6.3.3 Personuppgifter i Hälsa för mig behandlas bara för berättigade ändamål och inte för oförenliga ändamål enligt 9 c) och d) PuL... 36 6.3.4 Det behandlas inte fler uppgifter i Hälsa för mig än som är nödvändigt med hänsyn till ändamålen med behandlingen enligt 9 PuL f)... 39 6.3.5 Sammanfattning... 40 6.4 Föreläggande 3 såvitt avser offentlighets- och sekretesslagen... 40 6.4.1 Sammanfattning av E-hälsomyndighetens grunder avseende föreläggande 3 såvitt avser offentlighets- och sekretesslagen... 40 6.4.2 Datainspektionen har inte haft rätt att meddela ett föreläggande om sekretess enligt OSL eftersom en laglighetsprövning enligt PuL inte omfattar en prövning om en behandling kan komma att strida mot OSL... 41 6.4.3 Föreläggande 3 är inte tillräckligt preciserat... 42 6.4.4 Det har i vart fall inte funnits giltiga skäl att meddela föreläggandet eftersom E- hälsomyndigheten inte kan komma att behandla eller röja några uppgifter i strid med 40 kap. 5 OSL på sätt som påstås... 43 7 Föreläggande 4... 54 7.1 Datainspektionens föreläggande 4 med motivering... 54 7.2 Inledande kommentarer och beskrivning av prenumerationstjänsterna... 54 7.2.1 Inledning... 54 7.2.2 Beskrivning av prenumerationstjänst från vården... 55 7.2.3 Beskrivning av prenumerationstjänst via E-hälsomyndigheten.... 56 7.3 Föreläggande 4 såvitt avser PuL... 56 7.3.1 Sammanfattning av E-hälsomyndighetens grunder avseende föreläggande 4 såvitt avser PuL... 56 7.3.2 Personuppgifter i prenumerationstjänsterna behandlas på ett lagligt och korrekt sätt... 57 7.3.3 E-hälsomyndigheten har även vid ett eventuellt mer omfattande personuppgiftsansvar redan sett till att det finns rättsligt stöd m.m.... 58 7.4 Föreläggande 4 såvitt avser OSL och registerförfattningar... 60 7.4.1 Sammanfattning av E-hälsomyndighetens grunder avseende föreläggande 4 såvitt avser OSL och registerförfattningar... 60 7.4.2 Datainspektionen har inte haft rätt att meddela ett föreläggande avseende 9 a) PuL i fråga om sekretess och registerförfattningar då en laglighetsprövning enligt 3
9 a) PuL inte innefattar prövning av om en behandling kan komma att strida mot OSL eller registerförfattningar... 61 7.4.3 Föreläggande 4 är inte tillräckligt preciserat... 62 7.4.4 Det har i vart fall inte funnits giltiga skäl att meddela föreläggandet med hänsyn till att E-hälsomyndigheten inte kan komma att behandla några uppgifter i strid med OSL eller aktuella registerförfattningar m.m.... 62 8 Bevisning... 71 4
1 Yrkande 1. E-hälsomyndigheten yrkar i första hand att förvaltningsrätten ska undanröja eller upphäva Datainspektionens beslut den 21 april 2017, diarienr 2276-2016 ( Beslutet ) i dess helhet, dvs. att förvaltningsrätten ska undanröja eller upphäva samtliga beslut om förelägganden. 2. E-hälsomyndigheten yrkar i andra hand att förvaltningsrätten ska undanröja Beslutet i dess helhet och återförvisa ärendet till Datainspektionen för vidare handläggning. 2 Bakgrund 3. Regeringen har gett E-hälsomyndigheten i uppdrag att etablera en elektronisk tjänst där enskilda individer (benämns nedan Användare ) ska ges möjlighet att samla, lagra och dela uppgifter om sin hälsa i ett personligt hälsokonto (benämns nedan Kontot ). E-hälsomyndigheten ska även ge företag och organisationer möjlighet att ansluta tillämpningar och tjänster till Kontot. Den elektroniska tjänsten som helhet benämns nedan Hälsa för mig eller Tjänsten. 4. Enligt 3 förordningen med instruktion för E-hälsomyndigheten (2013:1031) ( Instruktionen ) framgår följande: Myndigheten ska tillhandahålla en elektronisk tjänst som ger enskilda personer möjlighet att i ett personligt hälsokonto kostnadsfritt lagra uppgifter om sin hälsa. Handlingar i ett personligt hälsokonto får endast förvaras hos myndigheten i form av teknisk lagring för enskilds räkning. Myndigheten ska ge tredje part möjlighet att ansluta tillämpningar och tjänster till den elektroniska tjänsten. Anslutning av tillämpningar och tjänster till en enskilds personliga hälsokonto får enbart göras med den enskildes uttryckliga samtycke. 5. Enligt budgetpropositionen för 2013 framgår att regeringen avsatte pengar för att ta fram en teknisk grundplattform för personliga hälsokonton där medborgarna kan ha samlad tillgång till information och andra tjänster som rör deras hälsa. Regeringen avsåg att genom den tekniska grundplattformen även skapa förutsättningar för offentliga vårdgivare, privata utförare och andra entreprenörer att kunna erbjuda nya 5
interaktiva tjänster och mobila plattformar. Regeringen beskrev syftet enligt följande: Ett personligt hälsokonto på nätet kommer att bli ett effektivt stöd för den enskilde vid planering, genomförande och uppföljning av livsstilsrelaterade förändringar liksom vid hälso- och sjukvårdsrelaterade händelser. 1 6. Regeringen beskrev i samma proposition hälsokontot enligt följande. Personligt hälsokonto ska kunna användas av den enskilde för att lagra egen information bl.a. om läkemedel, remisser, egen journalinformation och vaccinationer. Det personliga hälsokontot kan även innehålla en hälsodagbok där den enskilde kan föra in information om friskvård, egenvård, kostvanor etc. Slutligen kan det även vara ett sätt för den enskilde att ge dels information till vården om hälsa och biverkningar, dels omdömen som kan användas i kvalitetsregister och i uppföljning och kvalitetssäkring av vården. Tjänsten ska kunna utnyttjas av alla som så önskar. Det är den enskilde själv som kommer att besluta om vilken information som ska finnas tillgänglig på hälsokontot. 2 7. Arbetet med Hälsa för mig inleddes genom att Socialdepartementet under 2013 valde att ge uppdraget att etablera en teknisk plattform för personliga hälsokonton till Apotekens Service AB. Uppdragets omfattning och kraven för Tjänsten har beskrivits närmare i Socialdepartementets förfrågningsunderlag till Apotekens Service, se bilaga 1. 3 Uppdraget genomfördes initialt som ett samverkansprojekt med en gemensam styrgrupp ledd av Socialdepartementet. Apotekens Service AB ombildades 2014 till att bli E-hälomyndigheten och sedan ombildningen har uppdraget för Hälsa för mig reglerats genom Instruktionen. Av Socialdepartementets förfrågningsunderlag (bilaga 1) framgår bland annat att enskilda individer ska ges möjlighet att kostnadsfritt samla och lagra sin egen hälsoinformation i form av t.ex. journalinformationen och läkemedelslistan samt egna noteringar om frisk- och egenvård, att den enskilde ska ha möjlighet att själv besluta vilken information som man vill dela med personer och organisationer, t.ex. vårdgivare eller anhöriga och att grundprincipen bör vara att individen ska äga all information i det personliga hälsokontot. 1 Prop. 2012/13:1, utgiftsområde 9, s. 66. 2 Prop. 2012/13:1, utgiftsområde 9, s. 84. 3 Socialdepartementets förfrågningsunderlag till Apotekens Service AB S2012/4684/FS. 6
3 Tjänstens utformning m.m. 8. E-hälsomyndigheten har i linje med regeringens kravbeskrivning för Tjänsten utformat Hälsa för mig som ett s.k. eget utrymme. Det innebär att Kontot har utformats som en insynsskyddad elektronisk plats, där det bara är Användaren som får gå in och kan bestämma över vilken information som ska förvaras på Kontot och hur denna information sedan ska användas. Det innebär att Användaren ska kunna förfoga över Kontot och informationen som lagras på Kontot på samma sätt som om informationen hade hanterats i t.ex. Användarens egen IT-miljö eller som papper hemma hos Användaren. E-hälsomyndigheten har vid utformandet av Hälsa för mig noggrant analyserat förutsättningarna för Tjänsten som ett eget utrymme i enlighet med den juridiska vägledning för eget utrymme hos myndighet som i sin första version utarbetades av E-delegationen 4 och därefter har vidareutvecklats och uppdaterats av esamverkansprogrammet ( esam ) 5. 9. Med hänsyn till att Kontot utgör ett eget utrymme, kommer E-hälsomyndigheten inte på något sätt ha insyn i den information som Användaren väljer att lagra på Kontot och E- hälsomyndigheten kommer således inte ha möjlighet att kontrollera vilken information som Användaren väljer att lagra på Kontot. E-hälsomyndigheten kommer inte heller att på något sätt använda information som lagras på Kontot för några egna ändamål. 10. Alla funktioner i Hälsa för mig har utformats utifrån att det är Användaren själv som ska bestämma och kan välja vilken information som Användaren vill samla på Kontot och att det är Användaren själv som ska bestämma om och hur sådan information ska användas och vilka tredje parter som ska få tillgång till informationen. Allt som sker på Kontot sker således enbart på Användarens initiativ. 11. Insamling av information till Kontot kan ske genom att Användaren själv matar in information på Kontot t.ex. information om sjukdomar, vikt, vaccinationer, kost, motion och träning. Avsikten är att Användaren även ska kunna välja att ansluta s.k. prenumerationstjänster till Kontot. Det innebär att Användaren ska kunna välja att 4 SOU 2014:39, betänkande från E-delegationen samt E-delegationens Juridiska vägledning för verksamhetsutveckling inom e- förvaltningen, 2015-03-19, version 2.0. 5 Eget utrymme hos myndighet en vägledning, esam 2016. esam är en fortsättning efter E-delegationen och är ett forum för fortsatt samverkan mellan myndigheter och SKL och ska bygga vidare på de kunskaper och erfarenheter som byggts upp inom ramen för E- delegationen. 7
prenumerera och överföra information från t.ex. vården till sitt Konto såsom journalhandlingar och provsvar. Vidare är avsikten att Användaren ska kunna välja att prenumerera och överföra information från E-hälsomyndighetens register till sitt Konto, såsom information om utskrivna recept och uthämtade läkemedel. Användaren kan även välja att samla in information till Kontot via olika applikationer eller olika mätinstrument som är anslutna till en applikation. 12. Användaren kan välja att använda Kontot enbart som en lagringsplats där Användaren kan få en överblick och ha kontroll över all sin hälsoinformation på en samlad plats. Användaren kommer även att ges möjlighet, om Användaren så önskar, att dela sin information med andra Användare, t.ex. en anhörig som hjälper Användaren med olika hälso- och sjukvårdsfrågor. Vidare kommer Användaren att ges möjlighet, om Användaren så önskar, att ansluta olika applikationer till Kontot. Sådana applikationer kommer att gå igenom ett särskilt granskningsförfarande av E-hälsomyndigheten innan en Användare får möjlighet att ansluta applikationen till Kontot. Det kan exempelvis vara applikationer som tillhandahålls på webbplatser eller som applikationer i en smartphone. Olika applikationer kommer att ha olika funktioner och en Användare skulle exempelvis kunna välja att använda en applikation för att beskriva och visualisera labbsvar, en för att mäta och analysera information om blodtryck och en för att långsiktigt hantera och bearbeta information om träning och träningsresultat. 13. För att kunna erbjuda Hälsa för mig har E-hälsomyndigheten genomfört en offentlig upphandling och har ingått avtal med en leverantör avseende etablering och tillhandahållande av IT-plattformen för Hälsa för mig. 14. Tillhandahållande av ett eget utrymme för hälsoinformation innebär att det uppkommer ett flertal komplexa juridiska frågor. E-hälsomyndigheten har under åren med arbetet med Hälsa för mig noggrant analyserat uppkomna frågeställningar i syfte att kunna tillhandahålla en tjänst inom ramen för gällande lagar och regelverk. E- hälsomyndigheten har även önskat ha en dialog med Datainspektionen för att efterhöra Datainspektionens synpunkter på utformningen av Hälsa för mig. E-hälsomyndigheten välkomnade således den tillsyn som inleddes av Datainspektionen den 30 november 2016. E-hälsomyndigheten svarade den 22 december 2016 skriftligt på Datainspektionens frågor. Med hänsyn till Tjänstens och frågornas komplexitet så hade 8
E-hälsomyndigheten förväntat sig en dialog med Datainspektionen för att närmare förklara och diskutera Tjänstens utformning och av E-hälsomyndigheten genomförda analyser. Datainspektionen meddelade dock att inspektionen inte ansåg sig behöva någon ytterligare information. Då E-hälsomyndigheten hade planerat att öppna tjänsten måndagen den 24 april 2017, så erhöll E-hälsomyndigheten, efter ett flertal påstötningar, Datainspektionens beslut fredagen den 21 april 2017. Med hänsyn till beslutets karaktär har E-hälsomyndigheten valt att avvakta med att öppna Hälsa för mig för att närmare analysera Datainspektionens beslut. 15. E-hälsomyndigheten anser att Datainspektionens beslut är mycket ostrukturerat och i stora delar oklart. Datainspektionen synes i flera avseenden ha feltolkat hur Hälsa för mig kommer att fungera och de analyser som E-hälsomyndigheten har genomfört. Detta hade kunnat undvikas genom en bättre dialog från Datainspektionens sida. 16. Datainspektionen synes ha utgått från att E-hälsomyndigheten valt att skapa en tjänst där E-hälsomyndigheten kommer att samla in och sprida information utan att Användare så önskar och att detta kommer att innebära en oöverblickbar spridning av känsliga personuppgifter (s. 4). E-hälsomyndigheten anser att detta är en helt felaktig bild av Hälsa för mig. Tjänsten har i stället utformats i enlighet med grundprinciperna för ett eget utrymme på så sätt att alla aktiviteter i Kontot förutsätter en aktiv handling av den enskilda Användaren. Det är enbart den enskilda Användaren som kommer att ha full kontroll över och kan välja vilken information som Användaren samlar på sitt Konto och det är enbart Användaren som kommer att ha full kontroll över och kan välja om och i så fall hur och i vilken omfattning som Användaren vill dela med sig av sin information på Kontot till andra. Den enskilda Användaren kommer alltid att kunna överblicka vilken information som lagrats på Kontot och med vem informationen har delats och Användaren kan när som helst välja att radera sin information på Kontot eller avbryta delningen med andra. 4 Föreläggande 1 4.1 Datainspektionens föreläggande 1 med motivering 17. Datainspektionen har förelagt E-hälsomyndigheten enligt följande (vilket E- hälsomyndigheten benämner föreläggande 1 ) 9
Datainspektionen förelägger E-hälsomyndigheten att analysera sitt personuppgiftsansvar och innan personuppgifter behandlas i tjänsten Hälsa för mig se till att nödvändiga åtgärder vidtagits så att E-hälsomyndigheten kan ta ansvar för att den behandling av personuppgifter som kommer att ske i tjänsten. E-hälsomyndigheten måste också se till att informationen till de registrerade gällande personuppgiftsansvaret är korrekt. 18. Som motivering till föreläggande 1 har Datainspektionen anfört följande (s. 1 första stycket). Datainspektionen konstaterar att E-hälsomyndigheten inte beaktat att myndighetens personuppgiftsansvar avser all behandling av personuppgifter i tjänsten Hälsa för mig i enlighet med 3 personuppgiftslagen (1998:204). Det finns därmed risk för att E- hälsomyndigheten inte kommer att uppfylla sitt personuppgiftsansvar och att E- hälsomyndigheten ger fel information till de registrerade gällande personuppgiftsansvaret. 4.2 Sammanfattning av E-hälsomyndighetens grunder avseende föreläggande 1 19. E-hälsomyndigheten gör gällande att föreläggande 1 inte är tillräckligt preciserat eftersom föreläggandet inte innehåller någon som helst vägledning avseende vad E- hälsomyndigheten har att iaktta för att efterkomma föreläggandet. Redan på grund härav ska föreläggande 1 undanröjas eller upphävas. 20. För det fall förvaltningsrätten skulle finna att föreläggande 1 är tillräckligt preciserat, gör E-hälsomyndigheten gällande följande. 21. I fråga om omfattningen av E-hälsomyndighetens personuppgiftsansvar gör E- hälsomyndigheten gällande (i) att E-hälsomyndighetens personuppgiftsansvar inte omfattar Användarens behandling av personuppgifter i Kontot och (ii) att E- hälsomyndighetens personuppgiftsansvar för Hälsa för mig endast omfattar den behandling av personuppgifter som sker för att administrera Kontot och för övergripande frågor om organisatoriska och tekniska säkerhetsåtgärder. E- hälsomyndigheten har analyserat sitt personuppgiftsansvar och har, baserat på sin analys, vidtagit de åtgärder som krävs för sådant begränsat personuppgiftsansvar som föreligger för E-hälsomyndigheten. E-hälsomyndigheten kommer se till att, när Hälsa för mig väl öppnas, de registrerade erhåller korrekt information gällande 10
personuppgiftsansvaret. Förutsättningar föreligger därmed inte att förelägga E- hälsomyndigheten på sätt som Datainspektionen gjort. På grund härav ska föreläggande 1 undanröjas eller upphävas. 22. För det fall förvaltningsrätten skulle finna att E-hälsomyndighetens personuppgiftsansvar för Hälsa för mig omfattar även Användarens behandling av personuppgifter i Kontot, så gör E-hälsomyndigheten gällande att E-hälsomyndigheten (i) har analyserat även ett sådant personuppgiftsansvar och (ii) även vidtagit nödvändiga åtgärder som krävs för att uppfylla ett sådant personuppgiftsansvar. E- hälsomyndigheten kommer också, om sådant personuppgiftsansvar skulle anses föreligga, att se till att, när Hälsa för mig väl öppnas, de registrerade erhåller korrekt information gällande personuppgiftsansvaret. Förutsättningar föreligger därmed inte att förelägga E-hälsomyndigheten på sätt som Datainspektionen gjort ens för det fall att personuppgiftsansvar för Hälsa för mig skulle anses omfatta även Användarens behandling av personuppgifter i Kontot. Föreläggande 1 ska således under alla omständigheter undanröjas eller upphävas. 4.3 Föreläggande 1 är inte tillräckligt preciserat 23. Datainspektionen har i föreläggande 1 förelagt E-hälsomyndigheten att analysera sitt personuppgiftsansvar och innan personuppgifter behandlas i tjänsten Hälsa för mig se till att nödvändiga åtgärder vidtagits så att E-hälsomyndigheten kan ta ansvar för att den behandling av personuppgifter som kommer att ske i tjänsten samt att se till att informationen till de registrerade gällande personuppgiftsansvaret är korrekt. 24. Föreläggandet är mycket allmänt hållet. Föreläggandet innehåller inte någon som helst vägledning avseende vad E-hälsomyndigheten har att iaktta för att efterkomma detsamma. Datainspektionens beslutsmotivering, som även denna är ytterst oklar, kan inte heller läka den brist på tydlighet som behäftar föreläggandet. Följaktligen uppfyller inte föreläggandet, oaktat att det rör sig om ett föreläggande som inte är förenat med vite, erforderliga krav på precision. 25. Det nu sagda stöds t.ex. av Kammarrätten i Göteborgs dom den 25 oktober 2011 i mål nr 652-11. Se särskilt avseende föreläggande 4 i nu nämnda mål där såväl förvaltningsrätten som kammarrätten fann att föreläggandet inte var tillräcklig 11
preciserat eftersom det inte framgick vad den förelagda parten hade att iaktta för att efterkomma föreläggandet. Förvaltningsrätten upphävde därför föreläggande 4 och kammarrätten avslog myndighetens överklagande. 26. Föreläggande 1 ska därför redan av nu nämnda skäl undanröjas eller upphävas. 4.4 E-hälsomyndigheten har vidtagit de åtgärder som krävs för sådant begränsat personuppgiftsansvar som föreligger m.m. 4.4.1 Omfattningen av E-hälsomyndighetens personuppgiftsansvar 27. Som framhållits har E-hälsomyndigheten utformat Hälsa för mig som ett s.k. eget utrymme. Eget utrymme har utvecklats till en etablerad myndighetspraxis som idag används av flera myndigheter. Ett eget utrymme ska till sin natur vara utformat som en service till användaren där det enbart är användaren som exklusivt ska kunna förfoga över innehållet i det egna utrymme, dvs. på samma sätt som om det i stället hade hanterats i användarens egen datormiljö. 28. Frågan om i vilken utsträckning en myndighet är personuppgiftsansvarig för behandlingar av personuppgifter som sker i eget utrymme har varit föremål för diskussion under flera år. Någon motsvarighet till 2 kap. 10 tryckfrihetsförordningen ( TF ) finns inte i dataskyddslagstiftningen och följaktligen finns inte några särskilda lagregler om personuppgiftsbehandling i egna utrymmen. Enligt E-delegationen är den myndighet, som tillhandahåller ett eget utrymme åt en enskild, personuppgiftsansvarig för den drift- och säkerhetsrelaterade information som avser den enskildes eget utrymme och i övrigt för att de personuppgifter som behandlas i utrymmet är omgärdade av adekvata säkerhetsåtgärder. 6 Tillhandahållaren av eget utrymme blir emellertid enligt E-delegationen inte ansvarig för den nyttoinformation som den enskilde själv för in i sitt utrymme och sådana uppgifter som en myndighet har expedierat dit. 29. Frågan om personuppgiftsansvar för en enskilds egen personuppgiftsbehandling inom hälso- och sjukvården har även varit föremål för utredning. Enligt Utredningen om rätt information i vård och omsorg, så utgör ett personligt hälsokonto ett eget utrymme och kan definieras som en lagringsplats på nätet, där individen kan välja att för eget bruk 6 E-delegationens Juridiska Vägledning för verksamhetsutveckling inom e-förvaltningen, version 2.0. 12
lagra och i övrigt fritt hantera information som skapats av individen själv eller någon annan aktör. 7 Om individen fritt kan fatta beslut och avgöra grundläggande frågor som vilken information som ska lagras på kontot, hur de ska användas, om de ska raderas m.m., så bör denna hantering av personuppgifter anses utgöra ett led i en verksamhet av rent privat natur och därmed falla utanför personuppgiftslagens (1998:204) ( PuL ) tillämpningsområde enligt 6 PuL. 8 Tillhandahållaren av ett personligt hälsokonto kan däremot anses ha ett personuppgiftsansvar för den behandling av personuppgifter som görs för att administrera kontot och för övergripande frågor om organisatoriska och tekniska säkerhetsåtgärder. 9 30. I linje med ovan resonemang har Förvaltningsrätten i Uppsala ansett att landstinget i Uppsala inte kunde anses personuppgiftsansvarig för E-hälsotjänsten Patientens noteringar, som utformats som ett s.k. eget utrymme. 10 Patientens noteringar är en funktion i tjänsten Mina vårdkontakter och innebär en möjlighet för patienten att själv skriva en kommentar till sin patientjournal. Patientkommentarerna är separerade från journalens innehåll och lagras inte i journalsystemet utan hanteras i en separat databas som har en länk till journalen. Patienten kan själv välja om denne vill skriva en kommentar och göra en kommentar synlig för hälso- och sjukvårdspersonal. Patienten kan även själv ändra eller radera kommentaren. Förvaltningsrätten fann i nu nämnda mål att de patientkommentarer som lagras i Patientens noteringar inte var att anse som allmänna handlingar, utan att 2 kap. 10 TF var tillämplig. I och med att patientkommentarerna fritt kunde ändras och raderas av patienten var det även den enskilde som bestämde ändamålen och behandlingen av personuppgifterna. Mot bakgrund härav ansåg förvaltningsrätten att handlingarna i Patientens notering inte skulle anses som allmänna enligt TF och att något personuppgiftsansvar inte kunde finnas hos landstinget. 31. Vidare anser Datainspektionen själv att det är de faktiska omständigheterna i det enskilda fallet som avgör vem som är personuppgiftsansvarig. 11 Datainspektionen anser dessutom att avgörande för bedömningen om vem som är personuppgiftsansvarig bl.a. 7 SOU 2014:23 s. 897. 8 SOU 2014:23 s. 902. 9 SOU 2014:23 s. 903. 10 Förvaltningsrätten i Uppsala mål nr 6847-14. Förvaltningsrättens dom överklagades men Kammarrätten meddelade inte prövningstillstånd, Kammarrätten i Stockholms mål nr 1114-15. 11 Datainspektionens informationsblad om personuppgiftsansvar. 13
är varför behandlingen utförs och vem som är initiativtagare till behandlingen dvs. vilka personuppgifter som ska behandlas, vilka tredje män som ska få tillgång till de behandlade personuppgifter och när uppgifter ska raderas. 12 Datainspektionen har även tidigare indikerat att om funktionerna i en tjänst tillåter en användare att t.ex. sortera, lägga samman, vidarebefordra och radera uppgifter, så kan användaren ha ett eget personuppgiftsansvar för sådan behandling. 13 Vidare har Datainspektionen ansett att personuppgiftsansvar inte anses föreligga om ett företag inte har någon faktisk möjlighet att förfoga över insamlade personuppgifter (t.ex. genom att ändra, komplettera eller radera uppgifterna) även om företaget kan anses ha bestämt ändamål och medel för den insamling som är möjlig. 14 32. I Hälsa för mig kommer det helt och hållet att vara Användaren som bestämmer om denne överhuvud taget vill ha ett Konto. Om Användaren väljer att skapa ett Konto, så är det Användaren som själv bestämmer om, när och vilka uppgifter som ska lagras på Kontot, om och i så fall vilka tredje män som ska få tillgång till uppgifterna på Kontot och när uppgifterna på Kontot ska raderas. E-hälsomyndigheten vidtar inte någon av dessa åtgärder och denna behandling utförs inte heller för E-hälsomyndighetens räkning. Det är med andra ord enbart Användaren själv som väljer vilka uppgifter som ska lagras på Kontot, hur dessa ska användas, om de ska delas med andra, ändras eller raderas. Det är således Användaren som bestämmer ändamålen och medlen med den personuppgiftsbehandling som utförs på Kontot och som är personuppgiftsansvarig för denna behandling. 33. Att Användaren är personuppgiftsansvarig för den behandling av uppgifter som Användaren utför på sitt Konto innebär enligt 6 PuL att sådan behandling faller utanför PuL:s tillämpningsområde. Enligt 6 PuL gäller inte lagen för sådan behandling av personuppgifter som en fysisk person utför som ett led i verksamhet av helt privat natur. 15 Eftersom Hälsa för mig har utformats som ett eget utrymme, sker all behandling av personuppgifter helt på den enskildes initiativ och för rent privata 12 Datainspektionens beslut 2010-07-02, dnr 686-2010. 13 Datainspektionens yttrande 2015-04-27, dnr 111-2014. 14 Datainspektionens beslut 2002-12-16 dnr 1682-2002. Öhman, Lindblom, Personuppgiftslagen - En kommentar, fjärde upplagan, s 98. 15 Eftersom PuL syftar till att skapa ett skydd för individens privata sfär, ansågs det ologiskt om lagen i själva verket skulle tillåtas tränga in i denna sfär med myndighetskontrollerade hanteringsregler för sådant som måste betraktas som rent privata angelägenheter. Det innebär att t.ex. att enskilda för privat bruk kan föra en elektronisk dagbok eller registrera grannar och släktingar. (Prop. 1997/87:44 s. 53.) 14
angelägenheter på sådant sätt som avses enligt 6 PuL. Med hänsyn till att E- hälsomyndigheten ansvarar för och har tillsett att Kontot är omgärdat av lämpliga säkerhetsåtgärder, så urholkas inte integritetsskyddet för den enskilde och den behandling som Användaren utför på sitt Konto kan jämställas med en sådan behandling som Användaren utfört i sin egen datormiljö. 34. Det ovan anförda visar tydligt att E-hälsomyndighetens personuppgiftsansvar för Hälsa för mig endast omfattar (a) den behandling av personuppgifter som sker för att administrera Kontot och (b) övergripande frågor om organisatoriska och tekniska säkerhetsåtgärder. Det ovan anförda visar också tydligt att E-hälsomyndighetens personuppgiftsansvar inte omfattar Användarens behandling av personuppgifter i Kontot. Som framhållits överensstämmer dessa slutsatser också med de bedömningar som gjorts av E-delegationen, Utredningen om rätt information i vård och omsorg och Förvaltningsrätten i Uppsala. 4.4.2 E-hälsomyndigheten har analyserat och vidtagit de åtgärder som krävs för sitt personuppgiftsansvar för administration av Konton i Hälsa för mig m.m. 35. Vad gäller personuppgiftsansvaret för (a) i stycket närmast ovan ska följande framhållas. 36. När en Användare skapar ett Konto i Hälsa för mig så registreras Användarens inloggningsuppgifter. Autentisering kan endast ske genom tvåfaktorsautentisering med e-legitimation. Personnummer lagras och används endast för autentiseringen. För sådana drifts- och säkerhetsrelaterade personuppgifter som E-hälsomyndigheten behandlar för att administrera och tillhandahålla Användarens Konto, så är det E- hälsomyndigheten som ensamt bestämmer vilka personuppgifter som ska behandlas för detta ändamål samt hur behandlingen ska gå till. E-hälsomyndigheten är således personuppgiftsansvarig för behandlingen av sådana drifts- och säkerhetsrelaterade personuppgifter som krävs för att administrera Konton i Hälsa för mig. 37. Detta stöds även av Dataskyddsdirektivets ingresspunkt 47 där det anges att en tjänsteleverantör för en kommunikationstjänst normalt anses som personuppgiftsansvarig för de personuppgifter som fordras för att tjänsten ska kunna användas. 15
38. Som utförligt utvecklas i avsnitt 5.4 nedan avseende föreläggande 2, innebär Tjänsten att Användarna vid registrering och öppnande av Konto kommer att erhålla information om, och kan samtycka till, bl.a. den behandling av personuppgifter som krävs för att administrera Konton i Hälsa för mig. E-hälsomyndigheten har således analyserat sitt personuppgiftsansvar såvitt avser administration av Kontot i Hälsa för mig och tillsett att nödvändiga åtgärder vidtas så att E-hälsomyndigheten uppfyller för nu diskuterade personuppgiftsansvar, dvs. för behandlingen av sådana personuppgifter som krävs för att administrera Konton i Hälsa för mig. 4.4.3 E-hälsomyndigheten har analyserat och vidtagit de åtgärder som krävs avseende ansvaret för organisatoriska och tekniska säkerhetsåtgärder 39. Vad gäller personuppgiftsansvaret för (b) i stycket 34 ovan ska följande framhållas. 40. Mot bakgrund av att eget utrymme ska utformas som en insynsskyddad elektronisk plats där den enskilde själv ska kunna förfoga över informationen i utrymmet, krävs att utrymmet förses med ett tekniskt och administrativt skydd för den information som finns där. I linje med bl.a. ovan nämnda bedömningar av E-delegationen och Utredningen om rätt information i vård och omsorg, anser E-hälsomyndigheten att E- hälsomyndighetens ansvar även omfattar att se till att den information som lagras på Kontot är omgärdade av lämpliga tekniska och organisatoriska säkerhetsåtgärder. 41. Datainspektionen har anfört att Beslutet enbart omfattar mer övergripande rättsliga aspekter gällande dataskydd med hänsyn till att Tjänsten inte är i drift samt att Datainspektionen i denna tillsyn inte granskat säkerheten och inte frågor gällande användning av personuppgiftsbiträde (s. 5, fjärde stycket). Detta måste innebära att Beslutet inte innefattar något föreläggande för E-hälsomyndigheten att vidta några specifika säkerhetsåtgärder. 42. Trots detta vill E-hälsomyndigheten framhålla att E-hälsomyndigheten har vidtagit omfattande åtgärder för att säkerställa en lämplig säkerhetsnivå för Hälsa för mig, vilket bl.a. innefattar att konsekvens- och riskanalys genomförts, att intrångsdetekteringssystem har implementerats, att penetrationstester har genomförts samt att rutiner för behörighetshantering och loggning har implementerats. 16
4.4.4 Sammanfattning 43. Sammanfattningsvis framgår av ovan att E-hälsomyndigheten har analyserat sitt personuppgiftsansvar och, baserat på sin analys, vidtagit de åtgärder som krävs för sådant begränsat personuppgiftsansvar som föreligger för E-hälsomyndigheten. 44. Vidare ska upprepas att E-hälsomyndigheten kommer se till att, när Hälsa för mig väl öppnas, de registrerade erhåller korrekt information gällande personuppgiftsansvaret. 45. Förutsättningar föreligger därmed inte att förelägga E-hälsomyndigheten på sätt som Datainspektionen gjort. Föreläggande 1 ska på grund härav undanröjas eller upphävas. 4.5 E-hälsomyndigheten har även vidtagit de åtgärder som krävs för eventuellt mer omfattande personuppgiftsansvar m.m. 4.5.1 Omfattningen av E-hälsomyndighetens personuppgiftsansvar vid eventuellt mer omfattande personuppgiftsansvar m.m. 46. Datainspektionen synes inte dela bedömningen avseende omfattningen av personuppgiftsansvar för eget utrymme såsom det beskrivs ovan. Datainspektionen synes påstå att personuppgiftsansvaret antingen regleras i registerförfattning eller bestäms utifrån vem som bestämmer ändamål och medel med behandlingen och att detta normalt leder till att myndigheter har personuppgiftsansvar för all behandling av personuppgifter i egna utrymmen, dvs. även för det som av E-delegationen benämns nyttoinformation och som i Hälsa för mig utgör den information som Användaren själv väljer att spara och använda i Kontot. 47. För det fall E-hälsomyndighetens personuppgiftsansvar för Hälsa för mig skulle anses omfatta även Användarens behandling av personuppgifter i Kontot, så gör E- hälsomyndigheten (som nämnts) gällande att (i) E-hälsomyndigheten har analyserat även ett sådant mer långtgående personuppgiftsansvar och (ii) vidtagit nödvändiga åtgärder som krävs för att uppfylla ett sådant personuppgiftsansvar. 48. Syftet med E-hälsomyndighetens analys av ett mer långtgående personuppgiftsansvar har varit att E-hälsomyndigheten därigenom (trots att detta inte varit behövligt) önskat skapa lösningar som även uppfyller sådant personuppgiftsansvar som Datainspektionens påstår föreligger. 17
49. Datainspektionen anser att för de behandlingar av personuppgifter som en Användare utför på sitt Konto, så bestämmer E-hälsomyndigheten den yttre ramen för behandlingen, dvs. vad Tjänsten ska användas till, vad som är möjligt och hur det kan ske. Datainspektionen påstår vidare att detta skulle innebära att det är E- hälsomyndigheten som ytterst bestämmer ändamål och medel med Tjänsten, inklusive de behandlingar som den enskilde kan välja att göra och som sker på Användarens Konto (s.7). E-hälsomyndigheten invänder följande. 50. Eftersom Hälsa för mig utgör ett eget utrymme, kan E-hälsomyndigheten inte vidta några andra åtgärder med uppgifterna på Kontot än att tekniskt bearbeta och tekniskt lagra dem för Användarens räkning. E-hälsomyndigheten har således inte i något skede tillgång till eller kan kontrollera vilken information som Användaren väljer att hämta in, spara, radera eller lämna ut från sitt Konto. Med hänsyn till detta måste innebörden och omfattningen av E-hälsomyndighetens personuppgiftsansvar analyseras och bestämmas utifrån dessa förhållanden och begränsas till det som E-hälsomyndigheten kan råda över. Som E-hälsomyndigheten förstår Datainspektionen instämmer även inspektionen principiellt i en sådan bedömning (se s. 8 första stycket, sista meningen, där Datainspektion bl.a. hänför sig till en dom från Högsta förvaltningsdomstolen). 51. I sammanhanget ska framhållas att det av Instruktionen följer (som nämnts) att E- hälsomyndigheten ska tillhandahålla Hälsa för mig som en tjänst till enskilda personer som innebär att dessa ska ges möjlighet att lagra uppgifter om sin hälsa på ett personligt hälsokonto samt att handlingarna i de personliga hälsokontona endast får förvaras i form av teknisk bearbetning och lagring för enskilds räkning. I enlighet med Instruktionen ska E-hälsomyndigheten utforma Kontona som egna utrymmen, vilket innebär att E-hälsomyndigheten inte ska kunna råda över de uppgifter och handlingar som finns på Kontona. Vidare framgår det av Instruktionen att E-hälsomyndigheten (som nämnts) även ska ge tredje part möjlighet att ansluta tillämpningar och tjänster till Hälsa för mig om Användaren har samtyckt till detta. 52. Det ska i sammanhanget även framhållas att också Datainspektionen i några fall gett uttryck för att personuppgiftsansvaret kan variera beroende på de faktiska 18
omständigheterna. 16 Även Artikel 29 arbetsgruppen för dataskydd har ansett att det i en komplex miljö kan finnas olika scenarier med aktörer som har olika grader av självständighet och ansvar. 17 53. Datainspektionen synes ha ansett att E-hälsomyndigheten inte tillräckligt har analyserat sitt personuppgiftsansvar i förhållande till Användare (s. 8), i förhållande till vårdgivare avseende prenumerationstjänsten (s. 9) och i förhållande till applikationsleverantörer (s. 15). Nedan följer en beskrivning av sådana analyser och åtgärder som E- hälsomyndigheten har vidtagit avseende det personuppgiftsansvar som E- hälsomyndigheten kan råda över i förhållande till Användare, vårdgivare respektive applikationsleverantörer. 4.5.2 E-hälsomyndigheten har analyserat och vidtagit de åtgärder som krävs för personuppgiftsansvar i förhållande till Användare 54. E-hälsomyndigheten har i ett svar till Datainspektionen i samband med tillsynen nämnt att informationen på Kontot kommer att ägas av Användaren. Datainspektionen anser att detta ordval innebär att E-hälsomyndigheten kommit att betraktat sitt personuppgiftsansvar som mer begränsat än vad det är (s. 7). Datainspektionens tolkning är helt felaktig. Ordvalet ägas har använts av E-hälsomyndigheten eftersom detta har varit grundprincipen för utformningen av Hälsa för mig som ett eget utrymme (se Socialdepartementets upphandling av tillhandahållande av hälsokonto, bilaga 1, där det anges att grundprincipen bör vara att individen ska äga all information i det personliga hälsokontot ) samt för att beskriva hur Hälsa för mig fungerar för Användaren, dvs. att det bara är Användaren som kan bestämma över vilken information som ska förvaras på Kontot och hur denna information sedan ska användas. Detta ordval utgör dock inte någon beskrivning av personuppgiftsansvaret. E- hälsomyndigheten har därmed inte begränsat sitt personuppgiftsansvar på det sätt som Datainspektionen synes göra gällande i Beslutet. 55. För det fall E-hälsomyndighetens personuppgiftsansvar för Hälsa för mig skulle anses omfatta även Användarens behandling av personuppgifter i Kontot, så har E- hälsomyndigheten vidtagit ett antal åtgärder för att uppfylla ett sådant 16 Jfr. personuppgiftsansvar på Facebook respektive Twitter, Datainspektionens beslut 2010-07-02, dnr 685-2010. 17 Yttrande 1/2010 om begreppen registeransvarig och registerförare, WP 169. 19
personuppgiftsansvar i den utsträckning som E-hälsomyndigheten kan råda över detta. E-hälsomyndigheten kommer bland annat utforma information till Användare, avtal med applikationsleverantörer samt tekniska funktioner i Tjänsten för att tillse att de grundläggande kraven i 9 PuL uppfylls (se avsnitt 6.3 avseende föreläggande 3 nedan). Vidare kommer E-hälsomyndigheten att utforma information, avtal och tekniska funktioner i Tjänsten för att uppfylla kraven på rättsligt stöd i 10 PuL och undantag från förbudet att behandla känsliga personuppgifter i 13 PuL (se beskrivning av samtycke och funktioner för delning och applikationer under avsnitt 5.5.2 avseende föreläggande 2, avsnitt 6.3.2 avseende föreläggande 3 och avsnitt 7.3.3 avseende föreläggande 4 nedan). Därutöver kommer E-hälsomyndigheten att informera Användare om behandling av personuppgifter enligt 23-25 PuL. E- hälsomyndigheten har vidare vidtagit tekniska och organisatoriska åtgärder för att skydda informationen på Kontot enligt 30-31 PuL. För att respektera registrerades rättigheter till registerutdrag, rättelse, blockering och radering enligt 26 och 28 PuL kan E-hälsomyndigheten enbart råda över att utforma funktioner i Hälsa för mig så att Användaren själv kan utöva dessa rättigheter i Kontot. 4.5.3 E-hälsomyndigheten har analyserat och vidtagit de åtgärder som krävs för personuppgiftsansvar i förhållande till vårdgivare avseende prenumerationstjänsten 56. E-hälsomyndigheten delar Datainspektionens uppfattning att det är vårdgivaren som enligt 2 kap. 6 patientdatalagen (2008:355) är personuppgiftsansvarig för den behandling av personuppgifter som sker när personuppgifter överförs, via den tekniska lösningen vars drift sköts av Inera, till Användarens Konto i Hälsa för mig (s. 8). 57. I den mån E-hälsomyndigheten skulle anses ha ett personuppgiftsansvar över denna behandling, sträcker sig ansvaret endast till det som E-hälsomyndigheten kan råda över. Enligt E-hälsomyndigheten måste detta anses innebära att tillse att överföring av uppgifter från vårdgivarna, via den tekniska lösningen vars drift sköts av Inera, till Hälsa för mig kan ske på ett säkert sätt enligt 31 PuL (se HFD 2012 ref. 21) och att utforma tekniska funktioner i prenumerationstjänsten så att Användarens insamling av uppgifter inte är i strid med PuL. E-hälsomyndigheten har vidtagit sådana åtgärder (se beskrivning av samtycke och funktioner för prenumerationstjänst under avsnitt 7.3.3 avseende föreläggande 4 nedan). 20
4.5.4 E-hälsomyndigheten har analyserat och vidtagit de åtgärder som krävs för personuppgiftsansvar i förhållande till applikationsleverantörer 58. Datainspektionen anser att E-hälsomyndigheten har ett personuppgiftsansvar för all behandling av personuppgifter som sker i Tjänsten, även för applikationsleverantörernas tillgång till personuppgifter och att deras behandling av personuppgifter är laglig (s. 15). I den mån E-hälsomyndigheten skulle anses ha ett personuppgiftsansvar över denna behandling, får ansvaret anses sträcka sig endast till det som E-hälsomyndigheten kan råda över. Enligt E-hälsomyndigheten innebär detta att tillse att överföring av uppgifter mellan ett Konto och en applikation som tillhandahålls av en applikationsleverantör sker på ett säkert sätt enligt 31 PuL (se HFD 2012 ref. 21) och att utforma tekniska funktioner och avtal med applikationsleverantörer så att överföring av uppgifter mellan ett Konto och en applikation inte är i strid med PuL. E-hälsomyndigheten har vidtagit sådana åtgärder (se beskrivning av samtycke och funktioner för applikationer under avsnitt 6.3 avseende föreläggande 3 nedan). 59. Datainspektionens påstående om att E-hälsomyndigheten ansvarar för applikationsleverantörernas behandling av personuppgifter är laglig, har av E- hälsomyndigheten beaktats i enlighet med de grundläggande kraven i 9 PuL. Av 9 a) PuL anses följa att en personuppgiftsansvarig inte får lämna ut personuppgifter till annan om det kan antas att denne ska behandla personuppgifterna på ett sätt som inte är tillåtet enligt PuL 18. E-hälsomyndigheten har därför tillsett att applikationsleverantörer ska uppfylla vissa tekniska krav. E-hälsomyndigheten kräver även i avtal med applikationsleverantörer att dessa enbart ska behandla personuppgifter på ett sätt som är förenligt med PuL. Bland annat kräver E-hälsomyndigheten att applikationsleverantören måste inhämta samtycken från Användare för sin behandling av personuppgifter. 60. Vidare har E-hälsomyndigheten ett särskilt granskningsförfarande för applikationer för att tillse att endast sådana applikationer vars syfte är förenligt med ändamålen för Hälsa för mig får anslutas till Hälsa för mig (se avsnitt 6.2.3 avseende föreläggande 3 nedan). När personuppgifter på detta sätt har lämnats ut till en applikationsleverantör, så kan E- 18 Öhman, Lindblom, Personuppgiftslagen - En kommentar, fjärde upplagan, s.196. 21
hälsomyndigheten därutöver inte råda över den fortsatta behandlingen av personuppgifter i applikationen. E-hälsomyndighetens personuppgiftsansvar får därmed anses upphöra när personuppgifterna har lämnat Hälsa för mig för behandling i applikationen av applikationsleverantören. Det är applikationsleverantören som därefter ensamt kan bestämma hur personuppgifterna kommer att behandlas och ensamt kan ansvara gentemot Användaren för den vidare behandling av personuppgifter som sker i applikationen och av applikationsleverantören. 4.5.5 Övriga vidtagna åtgärder enligt esams vägledning 61. Såsom framgår ovan och under avsnitt 5.5 avseende föreläggande 2, avsnitt 6.3 avseende föreläggande 3 och avsnitt 7.3 avseende föreläggande 4 nedan, har E- hälsomyndigheten vidtagit ett antal åtgärder för att uppfylla sitt personuppgiftsansvar. E-hälsomyndigheten har även beaktat esams vägledning över hur en myndighet bör utöva sitt personuppgiftsansvar för eget utrymme, vilket innebär att ansvaret ska utövas på ett systematiskt och övergripande plan och får inte inkräkta på utrymmets karaktär som användarens eget 19. 62. Det innebär bland annat att E-hälsomyndigheten (i) tillhandahåller Hälsa för mig enligt Instruktionen, (ii) har utformat Hälsa för mig och instruktioner till Användaren så att det är tydligt för Användaren att utrymmet enbart får användas för att lagra hälsorelaterade uppgifter i syfte att planera, genomföra och följa upp hälso- och sjukvårdsrelaterade aktiviteter och händelser, (iii) har begränsat lagringstiden så att uppgifter raderas om Användaren avslutar sitt Konto, om Användaren missbrukar sitt Konto, om Användaren avlider eller om Användaren själv väljer att radera uppgifter på Kontot, (iv) har vidtagit lämpliga säkerhetsåtgärder för att skydda uppgifterna på Kontot bland annat genom funktioner för kontroll och behörighet vid skapande och inloggning till Kontot och att utrymmet är skyddat genom brandväggar, intrångsdetekteringssystem och liknande, (v) har tillsett att E-hälsomyndigheten inte överför personuppgifter till tredje land på ett otillåtet sätt och (vi) har tillsett att det i Hälsa för mig inte är möjligt att söka i vilka Användares utrymmen som en viss personuppgift förekommer. Ovanstående åtgärder innebär att E-hälsomyndigheten har 19 Eget utrymme hos myndighet en vägledning, esam 2016 s. 34-35. 22
säkerställt en ansvarsfull personuppgiftsbehandling utan att karaktären för Hälsa för mig som eget utrymme påverkas. 4.5.6 Sammanfattning 63. Sammanfattningsvis framgår av ovan att E-hälsomyndigheten har analyserat sitt personuppgiftsansvar och, baserat på sin analys, vidtagit de åtgärder som krävs för ett eventuellt mer omfattande personuppgiftsansvar. 64. Vidare ska upprepas att E-hälsomyndigheten kommer se till att, när Hälsa för mig väl öppnas, de registrerade erhåller korrekt information gällande personuppgiftsansvaret vid ett eventuellt mer omfattande personuppgiftsansvar. 65. Förutsättningar föreligger därmed inte att förelägga E-hälsomyndigheten på sätt som Datainspektionen gjort ens vid ett eventuellt mer omfattande personuppgiftsansvar. Föreläggande 1 ska på grund härav undanröjas eller upphävas. 5 Föreläggande 2 5.1 Datainspektionens föreläggande 2 med motivering 66. Datainspektionen har förelagt E-hälsomyndigheten enligt följande (vilket E- hälsomyndigheten benämner föreläggande 2 ) Datainspektionen förelägger E-hälsomyndigheten att, innan personuppgifter behandlas i tjänsten Hälsa för mig, se till att det finns rättsligt stöd för behandlingen och om det är frågan om känsliga personuppgifter att det finns ett giltigt undantag från förbudet mot att behandla känsliga personuppgifter. Vid bedömningen ska beaktas kravet på samtycke, dvs. att samtycke ska vara en frivillig, särskild och otvetydig viljeyttring som den registrerade personligen ger efter att ha fått information om den behandling som samtycket omfattar. 67. Som motivering till föreläggande 2 har Datainspektionen anfört följande (s. 1 tredje stycket). Datainspektionen konstaterar att E-hälsomyndigheten i tjänsten Hälsa för mig kan komma att behandla personuppgifter i strid med 10 och 13 personuppgiftslagen genom att inte ha ett rättsligt stöd för behandlingen av personuppgifter och genom att vid behandling av känsliga personuppgifter inte ha ett giltigt undantag från förbudet mot att behandla dessa. 23