Datum Diarienr 2010-05-21 1319-2009 Styrelsen för Sahlgrenska Universitetssjukhuset Torggatan 1 431 35 Mölndal Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar att Styrelsen för Sahlgrenska Universitetssjukhuset (Styrelsen) har behandlat personuppgifter i strid med 7 kap. 6 patientdatalagen. Datainspektionen förutsätter att Styrelsen vidtar åtgärder för att se till att det inte inträffar igen. Datainspektionen konstaterar att Styrelsen inte lever upp till kravet i 31 personuppgiftslagen på att vidta lämpliga säkerhetsåtgärder till skydd för de personuppgifter som behandlas i Svensk Höftprotesregistret. Datainspektionen förelägger Styrelsen att, utifrån en risk- och sårbarhetsanalys, ta fram och införa de rutiner och riktlinjer för personuppgiftsbehandlingen i Svenska Höftprotesregistret som behövs för att behandlingen av personuppgifter fortsättningsvis ska ske i enlighet med patientdatalagen. Ärendet avslutas, men kommer att följas upp. Redogörelse för tillsynsärendet Datainspektionen inledde i september 2009 tillsyn mot Styrelsen, som s.k. centralt personuppgiftsansvarig för kvalitetsregistret Svenska Höftprotesregistret. Samtidigt inleddes även tillsyn mot Regionstyrelsen för Region Skåne som centralt personuppgiftsansvarig för kvalitetsregistret Svenska Knäprotesregistret samt mot insamlingsfonden Ledfonden. Datainspektionens beslut om tillsyn föranleddes av klagomål från Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
allmänheten, där hanteringen av personuppgifter inom kvalitetsregistren ifrågasattes. I september och november 2009 ställde Datainspektionen ett antal frågor till Styrelsen rörande hanteringen av personuppgifter i Svenska Höftprotesregistret. Styrelsen förklarade sig vara centralt personuppgiftsansvarig för Svenska Höftprotesregistret. För att få ytterligare information i ärendet genomförde Datainspektionen den 10 mars 2010 en inspektion av Styrelsens personuppgiftsbehandling. Datainspektionens granskning omfattar inte tekniska säkerhetsåtgärder. Under inspektionen framkom bl.a. följande. Svenska Höftprotesregistret administreras från Registercentrum som är ett kompetenscentrum för kvalitetsregistren i Västra Götalandsregionen. Personer i registerledningen har, förutom anställning i Västra Götalandsregionen, positioner eller uppdrag i bl.a. Ledfonden och Svensk Ortopedisk Förening. Till den 19 september 2009 planerade Reumatikerförbundet, Svensk Ortopedisk Förening och Ledfonden en informationsaktivitet för patienter där varje vårdande klinik skulle ansvara för aktiviteter för sina patienter. Avsikten var att använda sig av uppgifter ur Höftprotesregistret och Svenska Knäprotesregistret för att inbjuda patienter till informationsaktiviteten. Frågan om det är möjligt att använda sig av uppgifter ur kvalitetsregistren för en sådan inbjudan bereddes i samarbete med registerledningen för Svenska Knäprotesregistret i Region Skåne. Detta resulterade i att uppgifter ur Höftprotesregistret lämnades ut till registerledningen för Svenska Knäprotesregistret i Region Skåne. Sammanlagt utlämnades en uppgiftssamling bestående av 120000 patienters personnummer till Region Skåne. Styrelsen har inte utformat några särskilda rutiner eller riktlinjer i frågor rörande hanteringen av personuppgifter, t.ex. utlämnande, i Höftprotesregistret. Tillämpliga rättsregler m.m. Bestämmelser om hanteringen av personuppgifter i nationella kvalitetsregister finns huvudsakligen i 7 kap. patientdatalagen (2008:355). I kapitlet regleras frågor bl.a. rörande definitionen av kvalitetsregister, personuppgiftsansvar, kvalitetsregisters ändamål och utlämnande genom Sida 2 av 8
direktåtkomst. Ytterligare bestämmelser bl.a. rörande hanteringen av personuppgifter i hälso- och sjukvården återfinns i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring. Om inte annat följer av patientdatalagen eller föreskrifter som meddelats med stöd av lagen, gäller personuppgiftslagens (1998:204) bestämmelser t.ex. ifråga om säkerheten vid behandling av personuppgifter enligt 30-32. Personuppgiftsansvar m.m. I 3 personuppgiftslagen definieras personuppgiftsansvarig som den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter Vidare anges i 2 kap. 6 patientdatalagen bl.a. att en vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför och att varje myndighet som i landsting och kommun bedriver hälso- och sjukvård är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Dessutom följer av 7 kap. 7 patientdatalagen att endast myndigheter inom hälso- och sjukvården får vara personuppgiftsansvarig för central behandling av personuppgifter i ett nationellt kvalitetsregister. Svenska Höftprotesregistret är ett nationellt kvalitetsregister som innehåller personuppgifter som vårdgivare över hela landet har rapporterat in (jfr 7 kap. 1 patientdatalagen). De personuppgifter som samlats in i ett nationellt kvalitetsregister är, enligt såväl offentlighets- och sekretesslagen som personuppgiftslagen, att betrakta som utlämnade från den inrapporterande vårdenheten till den centralt personuppgiftsansvarige myndigheten, i detta fall Styrelsen. Styrelsen är således personuppgiftsansvarig för den centrala hanteringen av uppgifter i kvalitetsregistret (jfr 2 kap. 6 och 7 kap. 7 patientdatalagen). Till den centrala hanteringen hör bl.a. frågor om säkerhet, utlämnande, framställning av nationell statistik och rättelse av personuppgifter. I sammanhanget vill Datainspektionen förtydliga att Styrelsen, i egenskap av centralt personuppgiftsansvarig för Svenska Höftprotesregistret, är den ende aktör som har rättsliga förutsättningar att bestämma i frågor som rör hanteringen av personuppgifter i det samlade nationella kvalitetsregistret. Såväl Svensk Ortopedisk Förening som respektive inrapporterande vårdgivare saknar rättsligt stöd att förfoga över frågor som rör personuppgiftshanteringen i det nationella kvalitetsregistret. Svensk Ortopedisk Förening saknar sådana förutsättningar helt och hållet, medan inrapporterande vårdgivare med stöd av 7 kap. 9 patientdatalagen har möjlighet att bereda sig tillgång till de personuppgifter vårdgivaren tidigare lämnat ut till Styrelsen. Vid sådan direktåtkomst är den inrapporterande vårdgivaren personuppgiftsansvarig för Sida 3 av 8
den behandling av personuppgifter som sker (se mer om detta under rubriken Utlämnande av personuppgifter nedan). Tillåten behandling av personuppgifter i kvalitetsregister Av 7 kap. 4, patientdatalagen följer att personuppgifter i nationella kvalitetsregister får samlas in och behandlas för det primära ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Insamlade personuppgifter får, enligt 5 samma kapitel, därutöver även behandlas för ändamålen framställning av statistik eller forskning inom hälso- och sjukvårdsområdet. Personuppgiftsbehandling får vidare ske genom utlämnande till mottagare som ska använda uppgifterna till något av de nämnda ändamålen. Dessutom får utlämnande ske enligt 2 kap. tryckfrihetsförordningen samt för att fullgöra sådan uppgiftsskyldighet som följer av lag eller förordning. Av 7 kap. 6 följer vidare att det inte är tillåtet att behandla personuppgifter i nationella kvalitetsregister för andra ändamål än ovan angivna. Det ska dock noteras att den enskilde registrerade, enligt 2 kap. 3 patientdatalagen, har möjlighet att lämna uttryckligt samtycke till en personuppgiftsbehandling för andra ändamål än de i 7 kap. tillåtna. I propositionen till patientdatalagen (prop. 2007/08:126) anför regeringen följande av betydelse i sammanhanget (s. 180). Av hänsyn till enskildas personliga integritet bör dock inga andra ändamål vara tillåtna. Det innebär att det inte är tillåtet att behandla personuppgifterna för andra ändamål även om dessa inte är oförenliga med det ändamål för vilket uppgifterna har samlats in, dvs. kvalitetssäkring. Personuppgiftslagens finalitetsprincip gäller alltså inte vid behandling av personuppgifter i nationella eller regionala kvalitetsregister. Utlämnande av patientuppgifter Personuppgifter i kvalitetsregister får behandlas för att med stöd av 2 kap. tryckfrihetsförordningen tillgodose en enskilds begäran om utlämnande av allmän handling. Det följer av principen om grundlags företräde framför vanlig lag och anges dessutom uttryckligen i 8 personuppgiftslagen, som också gäller vid behandling av personuppgifter enligt patientdatalagen. I patientdatautredningens huvudbetänkande Patientdatalag (SOU 2006:82) anförs att ett sådant utlämnande på grund av sekretess normalt inte kan ske till annan än den berörde registrerade (s.445). Är det inte fråga om ett utlämnande enligt 2 kap. tryckfrihetsförordningen är en personuppgiftsbehandling som saknar stöd i ändamålsbestämmelserna i 2 Sida 4 av 8
kap. 3 och 7 kap. 4-6 patientdatalagen otillåten. I propositionen till patientdatalagen anges exempelvis följande av betydelse i sammanhanget (prop. 2007/08:126 s. 180). Av hänsyn till enskildas integritet bör personuppgifter få lämnas ut till tredje man bara om mottagaren ska använda uppgifterna för att själv bedriva kvalitetssäkring av hälso- och sjukvård, för forskning inom hälso- och sjukvårdsområdet eller för att framställa statistik. Ovanstående förutsättningar gäller oavsett om ett utlämnande sker från den centralt personuppgiftsansvariga myndigheten eller om inrapporterande vårdgivare först bereder sig direktåtkomst till egna uppgifter för att sedan lämna ut dem. Detta eftersom vårdgivarens direktåtkomst till egna uppgifter i sig är ett utlämnande (från Styrelsen) som kräver stöd i patientdatalagens ändamålsbestämmelser. Direktåtkomsten får därmed endast ske för ändamål för vilka personuppgiftsbehandling i det nationella kvalitetsregistret är tillåtet. När det gäller vilka befattningshavare som får ha åtkomst till personuppgifter gäller patientdatalagens allmänna bestämmelser om inre sekretess och tilldelning av behörighet för elektronisk åtkomst till patientuppgifter. Av dessa bestämmelser följer att endast den som behöver tillgång till personuppgifter i ett nationellt kvalitetsregister för att utföra arbete för ändamål för vilka registret är tillåtet, får ha åtkomst till sådana uppgifter (se regeringens proposition, 2007/08:126 s. 192). Noteras kan även att det i 4 kap. 7 och 8 SOSFS 2008:14 finns bestämmelser om utlämnande av patientuppgifter. Även om bestämmelserna primärt torde ha utformats med uppgifter i patientjournalen för ögonen, ger de ett tydligt besked om vikten av rutiner för utlämnande av uppgifter från en vårdgivares verksamhet. Det bör särskilt nämnas att det enligt 4 kap. 7 andra stycket ska framgå av rutinerna för hantering av patientuppgifter vem, eller vilka, som har rätt att på vårdgivarens uppdrag fatta beslut om ett utlämnande. Enligt 4 kap. 8 ska den person som lämnar ut patientuppgifter dessutom försäkra sig om att endast rätt mottagare tar emot uppgifterna. Säkerhet vid behandlingen För att upprätthålla ett starkt integritetsskydd för den stora mängd känsliga personuppgifter om människors hälsa som finns i ett nationellt kvalitetsregister kan krävas ett antal olika säkerhetsåtgärder. Enligt 30 personuppgiftslagen får de personer som arbetar under den personuppgiftsansvariges ledning bara behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige. Av det följer bl.a. att var och en som arbetar med personuppgifter ska veta för vilka ändamål uppgifterna får behandlas. Sida 5 av 8
Vidare följer av 31 personuppgiftslagen att den personuppgiftsansvarige, i detta fall Styrelsen, ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Vid val av åtgärder ska hänsyn bl.a. tas till hur pass känsliga personuppgifterna är och vilka särskilda risker som finns med behandlingen. Utan införande av lämpliga säkerhetsåtgärder, som exempelvis rutiner och riktlinjer för hanteringen av personuppgifter, har den personuppgiftsansvarige väsentligt försämrat sina möjligheter att leva upp till lagstiftningens krav. Detta får anses särskilt viktigt med tanke på de nationella kvalitetsregistrens karaktär som frivilliga och professionsdrivna initiativ, i många fall utan tydlig organisatorisk förankring på vårdgivarnivå. Behovet av tydlig styrning genom information och riktlinjer torde dessutom vara särskilt stort eftersom den rättsliga regleringen av nationella kvalitetsregister är relativt ny. Upplysningsvis ska även nämnas att 2 kap. 19 SOSFS 2008:14 uttryckligen ålägger verksamhetschefen ett ansvar för att hälso- och sjukvårdspersonalen och andra befattningshavare är informerade om de bestämmelser som gäller för hantering av patientuppgifter. Skäl för beslutet I ärendet har framkommit att Styrelsen, från Svenska Höftprotesregistret, har lämnat ut en uppgiftssamling bestående av 120000 registrerade personnummer till registerledningen för Svenska Knäprotesregistret hos Region Skåne. Vidare har framgått att syftet med utlämnandet var att bjuda in människor till en informationsaktivitet som skulle arrangeras av Reumatikerförbundet, Svensk Ortopedisk Förening och Ledfonden. För att ett utlämnande av personuppgifter, som inte grundar sig på 2 kap. tryckfrihetsförordningen eller uppgiftsskyldighet i lag eller förordning, från ett kvalitetsregister ska vara förenligt med patientdatalagen krävs att mottagaren ska använda uppgifterna för något av de i 7 kap. 4 och 5 angivna ändamålen, d.v.s. kvalitetssäkring, statistikframställning eller forskning. Enligt 7 kap. 6 får personuppgifterna inte behandlas för något annat ändamål. Detta gäller så länge den registrerade, enligt 2 kap. 3 patientdatalagen, inte har lämnat uttryckligt samtycke till personuppgiftsbehandling för något annat ändamål än de i 7 kap. tillåtna. Att lämna ut personuppgifterna i syfte att mottagaren ska använda uppgifterna för att bjuda in till den aktuella informationsaktiviteten kan inte anses ligga inom ramen för något av de i 7 kap. tillåtna ändamålen. Vidare är det inte fråga om ett utlämnande av personuppgifter grundat på 2 kap. Sida 6 av 8
tryckfrihetsförordningen. Utlämnandet har inte heller föregåtts av ett uttryckligt samtycke från de registrerade. Den behandling av personuppgifter som Styrelsen utfört genom utlämnandet av uppgifter till Region Skåne saknar således rättsligt stöd. Mot bakgrund av ovanstående konstaterar Datainspektionen att Styrelsen, genom att ha lämnat ut personuppgifter från Svenska Höftprotesregistret för ett otillåtet ändamål, har behandlat personuppgifter i strid med 7 kap. 6 patientdatalagen. Datainspektionen förutsätter att Styrelsen vidtar åtgärder för att se till att det inte inträffar igen. I ärendet har vidare framkommit att Styrelsen inte har tagit fram några särskilda rutiner för hur personuppgifter ska hanteras inom Svenska Höftprotesregistret. Det har även framkommit att personer i registerledningen för Svenska Höftprotesregistret, förutom anställning i Västra Götalandsregionen, har positioner eller uppdrag i bl.a. Ledfonden och Svensk Ortopedisk Förening. Av 31 personuppgiftslagen följer att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. För att identifiera det närmare behovet av åtgärder behöver den personuppgiftsansvarige göra en risk- och sårbarhetsanalys. En sådan analys kan t.ex. ligga till grund för införande av rutiner och riktlinjer, nya arbetssätt, förändringar i organisationen m.m. Datainspektionen anser att den centralt personuppgiftsansvarige, för att kunna upprätthålla de registrerades integritetsskydd samt i övrigt ha reella möjligheter att se till att personuppgifter hanteras i enlighet med lagstiftningens krav, åtminstone behöver ta fram riktlinjer och införa rutiner för hanteringen av personuppgifter i kvalitetsregistret. Inte minst är detta viktigt för det fall de personer som har tillgång till uppgifter i registret även innehar positioner i externa organisationer eller sammanslutningar med intressen kopplade till det nationella kvalitetsregistret. Mot bakgrund av ovanstående konstaterar Datainspektionen att Styrelsen inte lever upp till kravet i 31 personuppgiftslagen på att vidta lämpliga organisatoriska säkerhetsåtgärder. Datainspektionen förelägger därför Styrelsen att, utifrån en risk- och sårbarhetsanalys, ta fram och införa de rutiner och riktlinjer för personuppgiftsbehandlingen i Svenska Höftprotesregistret som behövs för att behandlingen av personuppgifter fortsättningsvis sker i enlighet med patientdatalagen. Sida 7 av 8
Hur man överklagar Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet ska ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Hans-Olof Lindblom, teamledaren Suzanne Isberg, ITsäkerhetsspecialisten Magnus Bergström samt juristen Patrik Sundström, föredragande. Göran Gräslund Patrik Sundström Sida 8 av 8