Bilaga 1. Preliminär juridisk rapport Sid 1/6
1. Syfte I projektets uppdrag ingår att granska och utreda de legala aspekterna av projektet Mina intyg. Syftet med den preliminära rapporten är att initialt granska och utvärdera ramarna för projektet för att identifiera vilka juridiska frågeställningar avseende utformningen av projektet som kräver närmare utredning samt identifiera eventuella problem samt åtgärder som måste vidtas i förhållande till tillämplig lagstigning vid genomförandet av projektet särskilt med beaktande av patientdatalagen (PDL), personuppgiftslagen (PUL) och offentlighet- och sekretesslagen (OSL). Rapporten har skrivits av juristerna Kent Sangmyr och Charlene. 2. Övergripande utgångspunkter för den juridiska utredningen Vårdintyg innehåller uppgifter om enskilda personer och deras hälsa. Behandling av personuppgifter regleras i såväl PUL som i PDL. De generella bestämmelserna om behandling av personuppgifter finns i PUL medan PDL innehåller särskilda bestämmelser om behandling av personuppgifter inom hälso- och sjukvården. Lagarna ska tillämpas parallellt vid hantering av vårdintyg. Enligt PUL utgör uppgifter om hälsa s.k. känsliga uppgifter och får normalt enbart behandlas om den enskilde har lämnat sitt uttryckliga samtycke till behandlingen eller om uppgifterna ska behandlas för hälso- och sjukvårds ändamål och behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälsooch sjukvård. Känsliga personuppgifter får även, utan den enskildes samtycke, behandlas för statistiska ändamål förutsatt att behandlingen är nödvändig och att samhällsintresset av behandlingen klart väger över riskerna för otillbörligt intrång i den personliga integriteten. Av förarbetena till PDL framgår att personuppgifter som primärt samlas in därför att de behövs för vårddokumentationen i hälso- och sjukvården också får lov att användas för statistiskt underlag i form av exempelvis utvärdering eller verksamhetsuppföljning på ett mer eller mindre övergripande plan inom en vårdgivares verksamhet även utan samtycke från den enskilde. Det är dock inte tillåtet att basera verksamhetsuppföljningen på personuppgifter, som direkt eller indirekt kan hänföras till en enskild person, om det är tillräckligt att avidentifierade uppgifter används istället. Utgångspunkten är således att personuppgifter som behövs för statistiska ändamål, utvärdering, uppföljning etc. ska behandlas avidentifierat. I PDL och Socialstyrelsens föreskrifter finns särskilda bestämmelser om hur känsliga personuppgifter om patienter får hanteras. Enligt bestämmelserna ska vårdgivare vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas inom hälso- och sjukvården. Om vårdgivaren använder öppna nät för att hantera personuppgifter, ska vårdgivaren ansvara för att det finns rutiner som säkerställer att överföring av personuppgifter görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna. Detta görs lämpligen med hjälp av kryptering och stark autentisering. Sid 2/6
För all hantering av personuppgifter ska det vidare finnas en personuppgiftsansvarig som är ytterst ansvarig för behandlingen. Personuppgiftsansvarig är normalt den juridiska person eller den myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till. Enligt 6 PDL är det vårdgivaren, d.v.s. den som utför hälso- och sjukvårdsbehandling, personuppgiftsansvarig för de uppgifter denne behandlar i sin verksamhet. Utöver personuppgiftsansvarig kan det också förekomma s.k. personuppgiftsbiträden som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. Biträdet kan exempelvis vara en servicebyrå eller ett företag som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige. Om den personuppgiftsansvarige anlitar ett personuppgiftsbiträde för någon del av personuppgiftshanteringen krävs ett s.k. biträdesavtal. I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet bara får behandla personuppgifterna i enlighet med instruktioner och riktlinjer från den personuppgiftsansvarige och att biträdet måste vidta de säkerhetsåtgärder som behövs för att skydda uppgifterna. Biträdet har därmed inte möjlighet att själv bestämma för vilka ändamål personuppgifterna ska behandlas. Vid behandling av personuppgifter är personuppgiftsansvarig skyldig att informera den enskilde om den behandling som sker. Informationen ska innehålla uppgifter om personuppgiftsansvarig och eventuella biträden, ändamålen med den behandling för vilka uppgifterna är avsedda och all ytterligare information som är nödvändig för att den enskilde ska kunna ta till vara sina rättigheter i samband med behandlingen. 3. Frågeställningar Vi har fått i uppdrag att utifrån de ovan nämnda utgångspunkterna identifiera vilka juridiska frågeställningar avseende projektets utformning som kräver närmare utredning. Med beaktande av det stadium projektet befinner sig på har vi preliminärt fokuserat vår utredning kring Intygstjänsten, Statistiktjänsten, Medcert samt utformningen av ett arbetsgivarintyg vid sjukfrånvaro. Vi har med utgångspunkt i detta identifierat följande frågeställningar. 3.1. Intygstjänsten Inera har presenterat tre alternativa lösningar för lagring av elektroniska vårdintyg; Lösning 1: Lagring av vårdintyg sker i Intygstjänsten, förvaltad av Inera, med patientens samtycke. Lagring sker endast av sådana intyg patienten samtyckt till. Samtycke inhämtas vid varje enskilt tillfälle. Lösning 2: Lagring av vårdintyg sker i Intygstjänsten, förvaltad av Inera, på uppdrag av vårdgivaren utan patientens samtycke. Vårdgivaren skriver personuppgiftsbiträdesavtal med Inera. Lösning 3: Lagring av vårdintyg sker på MVK på uppdrag av vårdgivaren utan patientens samtycke. Vårdgivaren skriver personuppgiftsbiträdesavtal med lokalt landsting som i sin tur har personuppgiftsbiträdesavtal med SLL som förvaltar MVK. Sid 3/6
Utifrån de tre ovan nämnda lösningar har Inera uppgett att lösning 2 är den lösning som är mest sannolik att genomföras varför utredningen i första hand ska kretsa kring denna. De övriga lösningarna ska översiktligt granskas för att utifrån ett juridiskt perspektiv utröna eventuella föroch nackdelar med respektive lösning. Med utgångspunkt i de tre lösningsförslagen har vi identifierat och fått i uppdrag att utreda följande frågor; 1. Vilka krav finns det enligt PDL och PUL vad avser lagring av personuppgifter via ITlösningar? 2. Vilken höjd på säkerhetslösningar för inloggning krävs enligt PDL och PUL för att vårdintyg ska få lagras på Intygstjänsten? Uppfyller MVK respektive Försäkringskassans Mina sidor dessa krav? 3. Vem ansvarar för patienters personuppgifter vid lagring av vårdintyg? Vad bör iakttas? 4. Vilket ansvar åvilar Inera vid anlitandet av en extern aktör för hantering av patienters personuppgifter? Vad bör iakttas? 5. Är det tillräckligt att vårdgivare upprättar personuppgiftsbiträdesavtal med de aktörer som ska förvalta Intygstjänsten? 6. Krävs personuppgiftsbiträdesavtal med Försäkringskassan p.g.a. överföring av vårdintyg från Intygstjänsten? 7. Måste patienten lämna sitt samtycke vid lagring? Hur ska i sådana fall samtycket vara utformat? 8. Finns det tillfällen då ett lämnat samtycke inte kan anses vara giltigt eller tillfällen då patienten inte förstår innebörden av tjänsten (exempelvis till följd av psykiska sjukdomar)? 9. Hur lång tid får vårdintyg lagras på Intygstjänsten enligt PDL och PUL? 10. Finns det begränsningar för överföring av vårdintyg från Intygstjänsten? Mellan vårdenheter? Mellan vårdgivare och myndighet? Mellan vårdgivare och patient? Mellan myndighet och patient? 11. Föreligger det några hinder för vårdgivare att gå in i Intygstjänsten och makulera vårdintyg som blivit felaktiga? Innan patienten tagit del av informationen? Efter att patienten tagit del av informationen? 12. Ska sekretessprövning enligt OSL ske vid all överföring av vårdintyg? 13. Måste en sekretessprövning enligt OSL göras för att patienten ska kunna få ta del av sina egna vårdintyg via MVK? 14. Krävs sekretessförbehåll vid överföring av vårdintyg? Till Försäkringskassan? Andra myndigheter? Privata aktörer? 3.2. Statistiktjänsten Inera ska utifrån de vårdintyg som lagras med hjälp av Intygstjänsten kunna hämta och sammanställa information och statistik över sjukskrivningar utifrån bl.a. sjukdom, ålder, kön, Sid 4/6
ort etc. Syftet är bl.a. att effektivisera vården och förbättra sjukskrivningsprocessen. Utgångspunkten är att all information som samlas in och sammanställs ska avidentifieras. Vi har identifierat och fått i uppdrag att utreda följande frågor; 1. I vilken omfattning kan känsliga personuppgifter såsom vårdintyg används för sammanställning av statistik? Under vilka förutsättningar? 2. Vilken nivå av avidentifiering krävs enligt lag för statistiska ändamål? Hur detaljerad får informationen vara? 3. Under vilka förutsättningar kan följande information samlas in för statistiska ändamål och/eller lämnas ut till vårdgivare/landsting/nationellt? Avidentifierat rådataelement som diagnos, ålder och kön. Avidentifierat rådataelement kopplade till en och samma sjukskrivning (t.ex. att koppla samman ovan nämnda data från första, andra och tredje intygets rådata under ett och samma sjukdomsförlopp). Avidentifierat rådataelement som via kryptering kan kopplas till helt anonyma ID-nummer. 4. Krävs samtycke från patient? Från vårdgivare? 5. Finns det några begräsningar för hur avidentifierade uppgifter får behandlas för statistiska ändamål? Var går gränsen för urval med beaktande av risken för möjlighet att identifiera enskilda personer vid för litet urval? 6. Under vilka förutsättningar kan vårdgivare/landsting följa upp avidentifierad information utifrån statistiska underlag (d.v.s. är det möjligt att koppla statistik till enskilda vårdenheter/ vårdgivare/ ärenden/ patienter)? Vilka behörighetskrav måste uppställas? 3.3. Inera Medcert Inera ska utveckla en webblösning för vårdgivare att skapa vårdintyg elektroniskt. Som utgångspunkt ska Medcert ligga inom Sjunet och inloggning ske via HSA med SITHS autentisering. Vi har identifierat och fått i uppdrag att utreda följande frågor; 1. Vilka krav finns det enligt PDL och PUL vad avser lagring av personuppgifter via ITlösningar? 2. Vilka problem kan uppstå utifrån säkerhetsaspekt vad avser autentisering och behörighet till personuppgifter om man väljer att lyfta ut Medcert från Sjunet och placera Medcert på Internet? 3.4. Arbetsgivarintyg Syftet är att utreda vilken information en arbetsgivare har rätt att kräva vid en arbetstagares sjukfrånvaro. Vi har identifierat och fått i uppdrag att utreda följande frågor; Sid 5/6
1. Vad är arbetstagaren enligt Socialförsäkringsbalken (2010:110) och lagen (1991:1047) om sjuklön skyldig att uppge i ett vårdintyg för beviljande av sjuklön? 2. I vilken omfattning kan Försäkringskassans blankett SK 7263 återanvändas vid utformningen av ett arbetsgivarintyg? 4. Centrala aspekter utifrån identifierade frågeställningar Vi har ovan i p. 3 identifierat ett flertal frågeställningar som kräver närmare utredning. Med utgångspunkt i dessa frågeställningar anser vi att de centrala aspekterna som, utifrån juridisk synpunkt, kan föranleda eventuella problem för projektets genomförande är behandlingen och lagringen av vårdintyg innehållandes känsliga personuppgifter på Intygstjänsten och Statistiktjänsten. Det är viktigt att det redan på ett tidigt stadium utreds vilka krav på bl.a. hantering, behörighet och säkerhetslösningar som PDL och PUL uppställer för behandling av personuppgifter via IT-lösningar i såväl öppna som slutna nät. Vi rekommenderar att Datainspektionen i rimlig utsträckning bör rådgöras i säkerhetsfrågor vad avser nivåer för kryptering, autentisering och identifiering för såväl MVK som Försäkringskassans Mina sidor. Enligt PUL har Datainspektionen befogenhet att meddela beslut om säkerhetsåtgärder i enskilda fall, genom vilket den personuppgiftsansvarige kan få besked om vilka åtgärder denne måste vidta för att uppfylla säkerhetskraven enligt lag. Lämpligen bör en hemställan om ett sådant beslut göras inom kort. En ytterligare central aspekt som måste iakttas är utformningen av samtycket som patienterna ska lämna vid användningen av de olika tjänsterna. Ur ett sekretessrättsligt och personuppgiftsrättsligt perspektiv är ett uttryckligt samtycke alltid att föredra vid behandling av känsliga personuppgifter. Rutiner för inhämtande av samtycke bör därför övervägas noggrant. Vad avser Statistiktjänsten är det viktigt att utreda till vilken grad vårdintyg måste avidentifieras för att undvika eventuell lagstridighet. Eftersom utgångspunkten är att avidentifierade uppgifter får behandlas för statistiska ändamål, utvärdering, uppföljning etc., även utan samtycke, bör gränserna för hur urval sker klarläggas för att minimera risken för att enskilda personer kan komma att identifieras vid ett allt för begränsat urval. Härutöver finns det, enligt uppgifter från Försäkringskassans juridiska enhet, eventuella juridiska problem med att tillgängliggöra Försäkringskassans funktion för ansökan om sjukpenning via MVK. Försäkringskassan menar, med stöd av lag, att det endast är Försäkringskassan som får handha en sådan funktion kan därmed inte överlåta tillverkningen av koden till funktionen till Inera. Vi har upptagit en kontakt med Försäkringskassans juridiska enhet i syfte att föra en dialog och finna en lösning avseende detta spörsmål. Sid 6/6