Hälsodata- och vårdregister
Betänkande 1997/98:SoU23
Socialutskottets betänkande
1997/98:SOU23
Hälsodata- och vårdregister
Innehåll
1997/98 SoU23
Sammanfattning
I betänkandet behandlas regeringens proposition 1997/98:108 Hälsodata- och vårdregister och tolv motionsyrkanden som väckts med anledning av propositionen. I propositionen föreslås två nya lagar som skall reglera IT-användningen inom hälso- och sjukvården, nämligen lag om hälsodataregister och lag om vårdregister. Den förstnämnda lagen innehåller bestämmelser om de personregister som förs av centrala statliga förvaltningsmyndigheter inom hälso- och sjukvårdens område, för närvarande Socialstyrelsen, Läkemedelsverket och Smittskyddsinstitutet. Registren skall få föras för framställning av stati- stik, för uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård samt för forskning och epidemiologiska undersökningar. Lagen om vård-register gäller automatiserad behandling av personuppgifter inom såväl den offentliga som den privata vården. Vårdregister skall få föras i och för vården av patienter och för den ekonomiadministration som föranleds av vård i enskilda fall. Vårdregister skall även få föras för framställning av statistik, för uppföljning, utvärdering, kvalitetssäkring och administration på verksamhetsområdet samt för uppgiftslämnande som föreskrivs i lag eller förordning. Lagarna innehåller bl.a. bestämmelser om vilka uppgifter som registren får innehålla samt regler om samkörning, direktåtkomst, sekretess, rättelse och skadestånd. Automatiserad behandling av personuppgifter i ett hälso-dataregister eller vårdregister skall enligt propositionen få ske oavsett den enskildes inställning därtill. Den enskilde skall inte heller ha rätt att få uppgifter som behandlats på ett lagligt sätt strukna ur ett sådant register. Lagarna föreslås träda i kraft den 24 oktober 1998. Utskottet ställer sig bakom regeringens förslag och avstyrker samtliga motioner. Till betänkandet har fogats tio reservationer (m, fp, v, mp).
Propositionen
I proposition 1997/98:108 Hälsodata- och vårdregister föreslår regeringen (Socialdepartementet) - efter hörande av Lagrådet - att riksdagen antar i propositionen framlagda förslag till 1. lag om hälsodataregister 2. lag om vårdregister 3. lag om upphävande av lagen (1991:425) om viss uppgiftsskyldighet inom hälso- och sjukvården 4. lag om upphävande av kungörelsen (1957:632) om cancerregister. Lagförslagen fogas till betänkandet som bilaga.
Motionerna
1997/98:So15 av Gullan Lindblad m.fl. (m) vari yrkas 1. att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om avvägning mellan det offentligas behov av register och den enskildes rätt till integritet, 2. att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om samtycke att ingå i ett hälsodata- respektive vårdregister, 3. att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om rätten att få uppgifter strukna ur ett hälsodata- respektive vårdregister, 4. att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om samtycke vid samkörning av register, 5. att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om avidentifiering av personuppgifter i hälsodata- respektive vårdregister. 1997/98:So16 av Stig Sandström m.fl. (v) vari yrkas 1. att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om behovet av en särskild nivå när det gäller ansvaret för personuppgifter, 2. att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om att den som efter delegation har ansvar för personuppgifter skall ha utbildning i datalagstiftningen. 1997/98:So17 av Thomas Julin m.fl. (mp) vari yrkas 1. att riksdagen avslår proposition 1997/98:108, 2. att riksdagen begär att regeringen återkommer med nytt lagförslag som stärker patientens rätt och integritet när det gäller hälsodata- och vårdregister. 1997/98:So18 av Barbro Westerholm och Kerstin Heinemann (fp) vari yrkas 1. att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om begreppet informerat samtycke i stället för endast samtycke, 2. att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om lagreglering av alla hälsoregister, 3. att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om forskningsetisk granskning av projekt där individbaserade hälsodataregister används.
Utskottet
Bakgrund och nuvarande förhållanden Regeringen uttalade i proposition 1990/91:60 om offentlighet, integritet och ADB att vissa register hos Socialstyrelsen, landstingen, kommunerna och Riksförsäkringsverket på sikt borde regleras i särskilda registerlagar. En sådan reglering skulle ses som ett led i en allmän strävan att stärka skyddet för de registrerades integritet i samband med nödvändig registrering av känsliga personuppgifter i vissa myndighetsregister. Konstitutionsutskottet betonade i sitt betänkande 1990/91:KU11 vikten av att en sådan författningsreglering kom till stånd. Riksdagen har därefter antagit registerförfattningar på bl.a socialförsäkringsområdet. För att fullfölja statsmakternas intentioner när det gäller personregister inom hälso- och sjukvården tillsatte regeringen 1993 en kommitté med uppdrag att utreda och lägga fram förslag till författningsreglering på området (Hälsodatakommittén). Kommittén överlämnade i september 1995 betänkandet Hälsodataregister Vårdregister (SOU 1995:95).
Personregister inom hälso- och sjukvården Inom hälso- och sjukvården finns fyra kategorier personregister, dvs. register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling och som innehåller personuppgift som kan hänföras till den som avses med uppgiften. Registrering av personuppgifter med IT (informationsteknik) används för det första i det direkta vårdarbetet, dels för att skapa underlag för diagnostik och behandling av enskilda patienter, dels för olika administrativa rutiner. Den tekniska utvecklingen på informationsteknikområdet har lett till att hälso- och sjukvården i växande omfattning utnyttjar IT i vårdarbetet samt i arbetet med planering, utvärdering och uppföljning. I dag använder nästan samtliga vårdenheter, vårdgivare och laboratorier datorer. För det andra förs hos de centrala myndigheterna Socialstyrelsen, Läkemedelsverket och Smittskyddsinstitutet rikstäckande register som är avsedda för statistik och forskning. De övriga två kategorierna av personregister utgörs dels av s.k. kvalitetsregister, dvs. register som förs på regional eller lokal nivå i syfte att underlätta kvalitetskontroll inom hälso- och sjukvården, dels av forskningsregister som enskilda forskare eller institutioner inrättar eller för inom ramen för särskilda forskningsprojekt.
Rättslig reglering till skydd för den personliga integriteten Det grundläggande skyddet för den enskildes personliga integritet finns i regeringsformen. I 1 kap. 2 § tredje stycket anges att det allmänna skall värna den enskildes privatliv och familjeliv. Enligt 2 kap. 3 § skall varje medborgare i den utsträckning som närmare anges i lag skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av ADB. Den närmare reglering som åsyftas finns nu i datalagen (1973:289) och fr.o.m. den 24 oktober 1998 i personuppgiftslagen (1998:000). I 2 kap. tryckfrihetsförordningen finns bestämmelser om rätten att ta del av allmänna handlingar (offentlighetsprincipen). ADB-upptagningar räknas till handlingar i TF:s mening. En upptagning är allmän om den förvaras hos en myndighet, dvs. om den är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller uppfattas på annat sätt. Vidare krävs för att en upptagning skall vara allmän att den enligt särskilda regler är att anse som inkommen till eller upprättad hos myndigheten. I sekretesslagen (1980:100) finns bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna handlingar. Sekretessen innebär ett förbud att röja en uppgift, oberoende av hur detta sker. Sekretess inom den allmänna hälso- och sjukvården regleras i 7 kap. 1-3 §§. Huvudregeln är att sekretess gäller för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller hans närstående lider men. En landstingskommunal eller kommunal myndighet som bedriver hälso- och sjukvårds- eller annan medicinsk verksamhet får lämna uppgift till en annan sådan myndighet för forskning eller framställning av statistik eller för administration på verksamhetsområdet, förutom då det kan antas att ett röjande av uppgiften medför men för den enskilde eller hans närstående. Sekretess för uppgifter i personregister regleras i 7 kap. 16 §. Enligt paragrafens lydelse fr.o.m. den 24 oktober 1998 gäller sekretess för personuppgift om det kan antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. I 9 kap. 4 § regleras sekretess i sådan verksamhet hos myndighet som avser framställning av statistik eller annan därmed jämförbar undersökning utan samband med något enskilt ärende. Sekretessen gäller för uppgift som avser enskilds personliga eller ekonomiska förhållanden och som kan hän-föras till den enskilde. Bl.a. uppgifter som behövs för forsknings- och stati-stikändamål och uppgift som inte är direkt hänförlig till den enskilde får dock lämnas ut om det står klart att utlämnandet inte medför skada eller men för den som uppgiften rör eller honom närstående. I 14 kap. 1 § föreskrivs att sekretessen bryts om uppgiftsskyldighet följer av lag eller annan författning. Bestämmelser om tystnadsplikt för hälso- och sjukvårdspersonal inom den privata hälso- och sjukvården finns i 8-10 §§ lagen (1994:953) om åligganden för personal inom hälso- och sjukvården (åliggandelagen). Även i 6 § lagen (1996:786) om tillsyn över hälso- och sjukvården ges bestämmelser om tystnadsplikt. I proposition 1997/98:109 föreslår regeringen att bestämmelserna i princip oförändrade förs över till en ny lag om yrkesverksamhet på hälso- och sjukvårdens område. I 15-16 §§ patientjournallagen (1985:562) regleras offentlighet och sekretess för journalhandlingar inom den enskilda hälso- och sjukvården. Datalagen (1973:289), som gäller fram till den 24 oktober 1998, har till syfte att skydda den enskilde mot sådant otillbörligt intrång i den personliga inte- griteten som kan bli följden av dataregistrering. Enligt nuvarande ordning får ett personregister inrättas och föras av den som anmält sig till Datainspek- tionen och erhållit licens. För register som skall innehålla känsliga uppgifter krävs dessutom tillstånd från Datainspektionen. Undantagna från tillståndsplikt är bl.a. register vars inrättande beslutats av riksdag eller regering samt, under vissa förutsättningar, även register för vård- och behandlingsändamål. Riksdagen antog den 16 april 1998 en ny personuppgiftslag (prop. 1997/98:44, bet. KU18, rskr. 180). Lagen träder i kraft den 24 oktober 1998 och avser att ersätta datalagen. Lagen genomför Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (nedan kallat EG-direktivet). Lagen följer i huvudsak EG-direktivets text och disposition och omfattar all automatiserad behandling av personuppgifter och viss manuell behandling av personuppgifter. I lagen stadgas att om det i annan lag eller förordning finns bestämmelser som avviker från lagen, skall dessa bestämmelser gälla. Lagen reglerar när behandling av personuppgifter är tillåten och i vilka fall samtycke från den enskilde krävs. Lagen innehåller även bestämmelser om den personuppgiftsansvariges ansvar för behandlingen, t.ex. att den sker på ett lagligt och korrekt sätt, samt om behandling av personnummer, information till den registrerade, rättelse av personuppgifter, säkerheten vid behandling, anmälan till tillsynsmyndigheten, tillsynsmyndighetens befogenheter, skadestånd och straff. Internationell reglering rörande den personliga integriteten finns i det ovannämnda EG-direktivet, vars principer och riktlinjer införlivats med svensk rätt genom personuppgiftslagen. Europarådets ministerkommitté antog år 1980 en konvention till skydd för enskilda vid automatisk databehandling av personuppgifter, vilken tillträtts av Sverige. Europarådet har även antagit ett flertal rekommendationer om dataskydd, bl.a. om medicinska databaser och om skydd för personuppgifter som används för forskning och statistik. Sverige har godtagit de båda rekommendationerna och därmed i princip åtagit sig att följa dem.
Avslag på propositionen m.m.
Propositionen I propositionen föreslås två nya lagar som skall reglera IT-användningen inom hälso- och sjukvården, nämligen lag om hälsodataregister och lag om vårdregister. Regeringen föreslår att hälsodataregister även i fortsättningen skall få föras av centrala förvaltningsmyndigheter inom hälso- och sjukvårdens område. Hälsodataregister skall få föras för framställning av statistik, för uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård samt för forskning och epidemiologiska undersökningar. Vårdregister skall enligt propositionen få föras av den som bedriver vård enligt hälso- och sjukvårdslagen, tandvårdslagen, lagen om psykiatrisk tvångsvård eller lagen om rättspsykiatrisk vård samt verksamhet som avser smittskydd enligt smittskyddslagen. Lagen om vårdregister föreslås gälla såväl offentlig som privat vård. Vårdregister får föras i och för vården av patienter, för den ekonomiadministration som föranleds av vård i enskilda fall, för framställning av statistik, för uppföljning, utvärdering, kvalitetssäkring och administration på verksamhetsområdet samt för uppgiftslämnande som föreskrivs i lag eller förordning. I lagarna föreslås bl.a. bestämmelser om vad registren får innehålla samt om samkörning, direktåtkomst och utlämnande på medium för automatiserad databehandling. I lagförslagen stadgas även att om inget annat följer av de föreslagna lagarna eller av föreskrifter som meddelats med stöd härav, tillämpas personuppgiftslagen vid behandling av personuppgifter för hälsodata- eller vårdregister. Enligt regeringen skall personuppgifter få registreras i hälsodataregister eller vårdregister oberoende av den enskildes samtycke. Inte heller skall den enskilde ha rätt att få uppgifter strukna ur registren. Regeringen anför att de flesta register inom hälso- och sjukvårdens område innehåller uppgifter om enskilda personers hälsa som är av mycket känslig natur och att den enskilde ibland kan uppfatta behandlingen av personuppgifter som ett intrång i den personliga integriteten. Ett skydd för den personliga integriteten kan innebära att ha rätt till exempelvis anonymitet och distans till andra individer men även att kunna kontrollera spridningen av uppgifter eller ha rätt att själv bestämma vilka uppgifter om sig själv som man vill dela med sig till andra. Enligt propositionen kan den personliga integriteten inte vara absolut i den meningen att regler till skydd därför skall gälla och tillämpas undantagslöst eller oavsett motstående intressen. Ett visst mått av intrång måste accepteras. I stället får man bygga upp ett skydd mot sådant som bedöms utgöra ett otillbörligt intrång, anförs det. Den enskilde måste tåla vissa ingrepp, framför allt från samhällets sida, när andra intressen, som av samhället bedöms som totalt sett viktigare, kräver det. Ingrepp får dock inte vara alltför långtgående, alltför besvärande eller betungande i förhållande till de syften som intrånget skall tjäna. Varje gång det blir aktuellt att utnyttja uppgifter om en enskilds personliga förhållanden måste enligt regeringen således en avvägning göras mellan den enskildes rätt till personlig integritet och det allmännas behov av information.
Motionerna I motion So17 av Thomas Julin m.fl. (mp) yrkas att riksdagen avslår proposition 1997/98:108 (yrkande 1) samt att riksdagen begär att regeringen skall återkomma med ett nytt lagförslag som stärker patientens rätt och integritet när det gäller hälsodata och vårdregister (yrkande 2). Hälsodataregister kan enligt motionärerna användas på ett bra sätt även om materialet avidentifieras. Personnummer skall endast få användas i ett hälsodataregister om patienten samtycker därtill. Om lokal information flyttas till centrala register med bibehållna möjligheter att identifiera patienten ökar enligt motionärerna risken att information som så få som möjligt skall ta del av får en oacceptabel spridning. När det gäller vårdregister anser motionärerna att den enskildes samtycke skall krävas för att samkörning eller överföring av uppgifter till annat register skall få ske. Kraven på ökad effektivitet och teknisk utveckling får aldrig väga tynge än den enskildes rätt till en trygg och säker läkarkontakt där patienten kan känna fullt förtroende för att känsliga uppgifter inte sprids till obehöriga, anförs det. Regeringens förslag saknar enligt motionärerna respekt och skydd för den enskildes integritet. Regeringen bör därför återkomma med ett förslag som tar stor hänsyn till patientens bästa. I motion So15 av Gullan Lindblad m.fl. (m) begärs ett tillkännagivande till regeringen om en avvägning mellan det offentligas behov av register och den enskildes rätt till integritet (yrkande 1). Enligt motionärerna måste den personliga integriteten alltid värnas. Vid införandet av nya register, särskilt sådana som innehåller känsliga uppgifter som sjukdomar och sjukdoms- behandlingar, måste en noggrann avvägning ske mellan behovet av registret och risken för att den enskildes integritet gröps ur. Enligt motionärerna tar regeringen i propositionen alldeles för lätt på denna avvägning. Regeringen underskattar också risken för att känsliga uppgifter i databaserade register sprids, anförs det.
Utskottets bedömning Utskottet delar regeringens inställning att regler om automatiserad behandling av personuppgifter bör ges i lag, såväl när det gäller den behandling som sker hos centrala förvaltningsmyndigheter på hälso- och sjukvårdens område som den behandling som vårdgivare utför i och för vården av enskilda patienter. Flera omständigheter talar härför. Automatiserad behandling av per-sonuppgifter sker i mycket stor omfattning på båda dessa nivåer. De flesta registren innehåller uppgifter av mycket känslig natur och behandlingen av dessa kan av den enskilde uppfattas som ett intrång i den personliga integriteten. Vidare bör behandlingen få ske oavsett den enskildes inställning härtill och även för andra ändamål än vården av den enskilde patienten. Bl.a. av hänsyn till den enskildes integritet bör enligt utskottet användningen av IT inom hälso- och sjukvården regleras generellt i författning i stället för att bestämmas från fall till fall av en myndighet. Den enskilde har rätt till största möjliga skydd för sin personliga integritet. Integriteten kan dock inte skyddas undantagslöst och oavsett motstående intressen. Den enskilde måste acceptera ett visst mått av intrång när andra intressen, som av samhället bedöms som viktigare, kräver det. Ingreppen får dock, såsom betonas i propositionen, inte vara alltför långtgående, besvärande eller betungande för den enskilde i förhållande till de syften som intrånget skall tjäna. Enligt utskottet utgör regeringens förslag en lämplig avvägning mellan den enskildes rätt till personlig integritet och samhällets behov av kunskap, information och en rationell hantering av personuppgifter. För-slagen i propositionen och personuppgiftslagen tillsammans ger enligt utskottets mening ett tillfredsställande skydd mot otillbörliga intrång i den enskildes integritet. Utskottet, som återkommer till frågor om samtycke m.m. i det följande, avstyrker därmed motion So17 (mp) yrkande 1. Även motionerna So15 (m) yrkande 1 och So17 (mp) yrkande 2 avstyrks.
Avidentifiering av personuppgifter
Propositionen Avgränsningen av de ändamål för vilka personuppgifter i ett hälsodataregister eller vårdregister får behandlas är enligt regeringen av betydande vikt för skyddet av den personliga integriteten. I propositionen föreslås att uppgifter i ett hälsodataregister endast får behandlas för att framställa statistik, för att följa upp, utvärdera och kvalitetssäkra hälso- och sjukvården samt för forskning och epidemiologiska undersökningar (3 § förslaget till lag om hälso- dataregister). Samtliga dessa ändamål är av ett högt samhälleligt intresse. Ändamålsbestämmelsen anger den allmänna ramen för registrens innehåll och på vilket sätt den personuppgiftsansvarige kan använda registren. Regeringen avser att vid utfärdandet av föreskrifter för varje särskilt hälsodata-register ta ställning till om ett register skall omfatta ett eller flera av dessa ändamål och om ändamålet skall preciseras ytterligare. Enligt propositionen används nuvarande register i mycket hög grad som underlag för olika forskningsuppgifter. Registren används i detta syfte såväl av den myndighet som för registret som av andra. Personuppgifter i ett vårdregister får behandlas för dokumentation av vården eller för sådan administration som rör patienter och som syftar till att bereda vård i enskilda fall. I vårdregister får även behandlas personuppgifter för den ekonomiadministration som föranleds av vård i enskilda fall. Uppgifter som finns i ett vårdregister får dessutom behandlas för framställning av statistik, för uppföljning, utvärdering, kvalitetssäkring och administration på verksamhetsområdet samt för uppgiftslämnande som föreskrivs i lag eller förordning. Detta framgår av 3 och 4 §§ i förslaget till lag om vårdregister. Paragraferna omfattar emellertid inte användningen av vårdregister för forskningsändamål. Skälet härtill är att regeringen anser att den princip som annars gäller för vårdregister, nämligen att den personuppgiftsansvarige skall få använda registret för de ändamål som anges i lagen oavsett den registrerades inställning härtill, inte bör gälla avseende forskning. Nuvarande bestämmelser innebär att det krävs tillstånd från Datainspektionen för att inrätta och föra ett personregister för forskningsändamål. Datainspektionen föreskriver därvid vanligtvis att registrering inte får ske utan den enskildes samtycke. Erfarenheterna av denna reglering är, såvitt regeringen kunnat utröna, goda. En reglering av innehållet i ett register har liksom bestämmelserna om registerändamålen stor betydelse ur integritetssynpunkt. Enligt förslaget till 4 § lagen om hälsodataregister får ett hälsodataregister endast innehålla sådana uppgifter som behövs för att den personuppgiftsansvarige skall kunna använda registret för de ändamål som anges i 3 §. Enligt propositionen får det ankomma på regeringen att i respektive registerförordning bestämma vad som får föras in i registret. Därvid bör regeringen noggrant överväga behovet av varje särskild uppgift i registret. Regeringen är av den uppfattningen att hälsodataregister inte generellt skall föras med anonyma eller pseudonyma uppgifter. Regeringen anför som skäl härför att innehållet i hälsodataregister måste vara av hög kvalitet med hänsyn till att uppgifterna används för framställning av officiell och annan statistik, utvärdering av vården och för forskning. Det måste t.ex. vara möjligt att utesluta dubbelregistrering liksom att kunna gå tillbaka till ursprunget för en enskild uppgift i syfte att kontrollera dess riktighet eller för komplettering. Vidare är det betydelsefullt att kunna urskilja om ett antal vårdtillfällen t.ex. avser en person vid flera tillfällen eller flera personer vid ett tillfälle för var och en. Även om många projekt inom statistik och forskning i princip kan utföras med anonyma uppgifter finns projekt när person-anknytning är nödvändig, t.ex. när det gäller att koppla samman uppgifter i olika register på individnivå. Den vinst som en anonymisering kan medföra för den enskildes integritet uppväger enligt regeringens mening inte de försämringar som uppkommer avseende kvaliteten på registren och användbarheten av registren för olika ändamål. Enligt regeringens mening kan något generellt förbud mot att använda personnummer för att identifiera en person i ett hälsodataregister inte bli aktuellt. Av 22 § personuppgiftslagen framgår dock att uppgift om personnummer får behandlas utan samtycke bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Regeringen avser att i samband med utfärdande av förordningar för hälsodataregistren särskilt överväga om det föreligger behov av att använda personnummer eller ej. Ett vårdregister får enligt propositionen endast innehålla de uppgifter som skall antecknas i en patientjournal, andra uppgifter som antecknas i och för vården av patienter samt uppgifter som behövs för den ekonomiadministration som föranleds av vård i enskilda fall (5 § förslaget till lag om vårdregister). Regeringen påpekar att en förväxling av patienter kan få mycket allvarliga konsekvenser och att det därför är av mycket stor vikt att patientens identitet säkerställs på ett sådant sätt att det inte föreligger någon tvekan om vilken patient en uppgift avser. Mot denna bakgrund måste registrering av personnummer tillåtas i vårdregistren, anförs det.
Motionen I motion So15 av Gullan Lindblad m.fl. (m) begärs ett tillkännagivande till regeringen om avidentifiering av personuppgifter i hälsodata- respektive vårdregister (yrkande 5). Motionärerna anser att samtliga uppgifter som inte rör vård och behandling av en enskild patient skall avidentifieras innan de används enligt 3 § i förslaget till lag om hälsodataregister eller enligt 4 § i förslaget till lag om vårdregister. Direkta uppgifter som innebär att en enskild individ lätt kan identifieras bör tas bort. Enligt motionärernas mening behöver personer som arbetar med exempelvis forskning, utvärdering eller kvalitetssäkring av vård eller behandling inte veta exakt vilka personerna i ett register är.
Utskottets bedömning Utskottet anser att det är av stor vikt för skyddet av den enskildes integritet att en reglering nu sker av de ändamål för vilka hälsodataregister eller vårdregister får föras och av de uppgifter som registren får innehålla. Utskottet ställer sig bakom den avgränsning i dessa hänseenden som regeringen föreslår och tillstyrker 3 och 4 §§ i förslaget till lag om hälsodataregister och 3-5 §§ i förslaget till lag om vårdregister. I motion So15 (m) yrkande 5 begärs ett tillkännagivande om avidentifiering av personuppgifter vid behandling för vissa ändamål. När det gäller personnummer får sådana uppgifter enligt 22 § personuppgiftslagen behandlas utan den enskildes samtycke när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Utskottet delar regeringens bedömning att det inte bör förordnas att hälsodataregister generellt sett skall föras med anonyma eller pseudonyma uppgifter. I vissa fall måste den enskildes identitet framgå för att inte registrets kvalitet eller användbarhet skall försämras. Utskottet utgår från att regeringen, vid beslut om respektive registerförordning, noga kommer att överväga vad som får föras in i registret, bl.a. om det föreligger behov av att använda personnummer. När det gäller vårdregister är det, såsom påpekas i propositionen, av mycket stor vikt att kunna säkerställa patienternas identitet för att undvika förväxlingar av patienter. Registrering av personnummer måste därför tillåtas i vårdregistren. Vårdgivares behandling av personuppgifter för forskningsändamål omfattas över huvud taget inte av lagen om vårdregister utan av personuppgiftslagen. I personuppgiftslagen finns bestämmelser som syftar till att hindra en otillbörlig hantering av personuppgifter och som skall gälla även beträffande vårdregister och hälsodataregister. Personuppgiftsansvariga skall bl.a. se till att personuppgifter behandlas på ett lagligt och korrekt sätt och i enlighet med god sed, att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen samt att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen. Tillsynsmyndigheten har möjlighet att på olika sätt ingripa om personuppgifter skulle behandlas på ett olagligt sätt. Den personuppgiftsansvarige kan vidare åläggas att betala skadestånd till den registrerade om lagstridig behandling av person-uppgifter orsakat skada och kränkning. Utskottet vill i sammanhanget även erinra om att ett utlämnande av uppgifter i ett hälsodataregister eller vård-register skall föregås av sedvanlig prövning enligt bestämmelserna i bl.a. sekretesslagen och åliggandelagen om sekretess och tystnadsplikt. Med det sagda avstyrker utskottet motion So15 (m) yrkande 5.
Samtycke till registrering m.m.
Propositionen Enligt den undersökning som genomfördes på uppdrag av Hälsodatakommittén är allmänheten i stor utsträckning beredd att acceptera att patientjournaler och annan dokumentation inom sjukvården sker med hjälp av data, under förutsättning att den skyddas mot obehörig åtkomst. Överföring av patientuppgifter till regionala och centrala myndigheter inom hälso- och sjukvården har ett ganska stort stöd bland befolkningen. Omkring 20 % av befolkningen motsätter sig dock bestämt att sådan överföring sker. Enligt datalagen kan Datainspektionen förena ett tillstånd att inrätta och föra personregister med villkor att uppgifter får registreras endast sedan den enskilde samtyckt därtill. Enligt EG-direktivet och personuppgiftslagen ställs i princip krav på samtycke för behandling av personuppgifter i personregister. Behandling avser enligt definitionen i 3 § personuppgiftslagen varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, t.ex. insamling, registrering, bearbetning, sammanställning eller samkörning. Behandling får ske utan samtycke under vissa förutsättningar, t.ex. om behandlingen är nödvändig för ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige, eller hos den till vilken uppgifterna lämnas ut, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten (10 § f personuppgiftslagen). S.k. känsliga uppgifter (exempelvis uppgifter som rör hälsa) får enligt 18 § utan samtycke från den registrerade behandlas för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård. Vidare får den som är yrkes-mässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt alltid behandla känsliga personuppgifter som omfattas av tystnadsplikten. Detsamma gäller den som är underkastad en liknande tystnadsplikt och som har fått känsliga personuppgifter från verksamhet inom hälso- och sjukvårdsområdet. Bestämmelser om tystnadsplikt i nu berört hänseende finns i sekretesslagen, åliggandelagen och lagen om tillsyn över hälso- och sjukvården. Av 19 § personuppgiftslagen framgår att känsliga uppgifter får behandlas för forsknings- och statistikändamål om behandlingen är nödvändig på sätt som sägs i 10 § och om samhällsintresset av det projekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga inte-gritet som behandlingen kan innebära. Ett utlämnande får ske om inte något annat följer av regler om sekretess och tystnadsplikt. Uppgifter om enskildas hälsotillstånd och andra förhållanden kan tas bort ur ett personregister inom hälso- och sjukvården enligt regler i 17 § patient- journallagen. För att en patientjournal helt eller delvis skall förstöras krävs att den enskilde anför godtagbara skäl, att journalen uppenbarligen inte behövs för patientens vård och att det ur allmän synpunkt uppenbarligen inte finns skäl att bevara journalen. Regeringen anser att personuppgifter skall få registreras i hälsodataregister eller vårdregister oberoende av den enskildes samtycke. Inte heller skall den enskilde ha rätt att få uppgifter strukna ur registren. Ett införande av krav på samtycke för automatiserad behandling eller en rätt att få uppgifter strukna skulle få påtagliga konsekvenser för registerhållaren genom att hanteringen av uppgifter skulle få ske med hjälp av två olika förfaranden, ett byggt på IT för vissa patienter och ett på annan teknik än IT för andra patienter. När det gäller hälsodataregister anförs att dessa måste vara heltäckande eftersom bortfall av uppgifter beträffande vissa individer kan äventyra hela registrets användbarhet. En hantering av uppgifter med IT anses enligt regeringen ge ett betydligt bättre skydd mot åtkomst till upp-gifterna än ett traditionellt pappersbaserat system. Exempelvis kan journaler som förs manuellt i form av pappersjournaler vara lättare att komma åt och därmed mindre säkra ur integritetssynpunkt än registerbaserade journaler. Vidare sker utvecklingen av tillförlitliga behörighetskontrollsystem fort- löpande. Det förekommer inte i någon större utsträckning att enskilda begär att uppgifter tas bort ur registren och det kan därför enligt regeringen antas att endast ett fåtal personer skulle komma att utnyttja en rätt till strykning ur ett register. Teoretiskt sett kan det dock hända att en större grupp registrerade efter t.ex. en ?larmrapport? bestämmer sig för att de inte längre vill ingå i ett personregister. Konsekvensen av en strykningsrätt kan då bli att den verksamhet som registret skall utnyttjas för inte längre kan utföras på ett tillfredsställande sätt. Motivet för att låta en enskild bestämma om uppgifter om honom eller henne skall få ingå i ett hälsodataregister eller vårdregister är att skyddet för den personliga integriteten därigenom skulle förstärkas. Ett visst mått av intrång måste emellertid accepteras då det finns ett motstående intresse som väger tyngre, anförs det. När det gäller hälsodataregister anser regeringen att det samhälleliga intresset av att register grundas på ett tillförlitligt underlag får anses väga tyngre än den enskildes intresse av att kunna få stå utanför registret. Säkerhets- och integritetsaspekter kan dessutom, som nämnts, tvärtom komma att försämras av en rätt att stå utanför IT-användningen. Med samkörning menas en maskinell bearbetning av uppgifter i ett register tillsammans med uppgifter i ett annat register eller annan direkt överföring av uppgifter från ett personregister till ett annat. Genom samkörning av hälsodataregister med andra register ökar bl.a. möjligheten att finna orsaker till och förklara uppkomsten av ohälsoproblem. Enligt regeringens mening bör det med hänsyn till de vidgade möjligheter som en samkörning kan medföra inte införas något generellt förbud mot samkörning. Samkörning kan dock till följd av de känsliga uppgifter som finns i hälsodataregister vara riskfyllt ur integritetssynpunkt och rätten till samkörning bör därför regleras. Regeringen föreslår i 5 § förslaget till lag om hälsodataregister att hälsodata-register skall få tillföras personuppgifter från andra register genom samkörning endast för de ändamål för vilka hälsodataregistret får användas. Uppgifter om en patient som behövs för vård av denne samt uppgifter som behövs för den ekonomiadministration som föranleds av den aktuella vården får enligt 6 § förslaget till lag om vårdregister hämtas till ett vårdregister från andra vårdregister genom samkörning. Dessutom får uppgifter om patientens folkbokföringsadress hämtas till ett vårdregister genom samkörning även från andra personregister än vårdregister. Förslaget innebär, enligt propositionen, inte att vårdgivaren är fri att okontrollerat öka mängden uppgifter om patienten. Det är i stället enbart fråga om att med viss teknik få inhämta de uppgifter som under alla förhållanden skall tillställas vårdgivaren. Regeringen erinrar om att bestämmelserna om samkörning inte innebär att utlämnande av uppgifter får ske utan att föregås av sedvanlig prövning av vilka uppgifter som kan lämnas ut. Den enskildes integritet skyddas därvid av bestämmelserna i bl.a. sekretesslagen och åliggandelagen (10 § i förslaget till lag om hälsodataregister respektive 12 § i förslaget till lag om vårdregister).
Motionerna I motion So15 av Gullan Lindblad m.fl. (m) begärs ett tillkännagivande av vad i motionen anförts om samtycke att ingå i ett hälsodata- respektive vårdregister (yrkande 2). Motionärernas utgångspunkt är att den enskilde patienten skall få avgöra huruvida uppgifter om honom eller henne skall få finnas på data eller på papper. Risken att den enskilde avstår från att ingå i ett dataregister måste bedömas som ganska liten. Enligt motionärerna är det den behandlande läkaren som i samtal med patienten skall komma fram till vilket alternativ som skall användas och vad som är bäst för den enskilde patienten. Motionärerna begär också ett tillkännagivande om att den enskilde skall ha rätt att i efterhand, och oavsett ett tidigare samtycke, få uppgifter strukna ur ett hälsodata- respektive vårdregister (yrkande 3). I motionen yrkas vidare ett tillkännagivande om samtycke vid samkörning av register (yrkande 4). EG- direktivet 95/46/EG förutsätter enligt motionärerna samtycke av den enskilde vid samkörning med andra register. Eftersom direktivet skall införlivas i svensk lagstiftning bör 5 § i förslaget till lag om hälsodataregister och 6 § i förslaget till lag om vårdregister kompletteras med en bestämmelse om samtycke. I motion So18 av Barbro Westerholm och Kerstin Heinemann (fp) yrkas att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om begreppet informerat samtycke i stället för endast samtycke (yrkande 1). Enligt motionärerna bör termen informerat samtycke användas när det gäller hälsodata- och vårdregister eftersom den tydligt anger att medborgaren har haft tillgång till fullständig information och även tagit del av denna information samt därvid fått klart för sig rätten att inte behöva delta med personuppgifter.
Utskottets bedömning Utskottet delar regeringens bedömning att behandling av personuppgifter skall få ske i hälsodataregister och vårdregister oavsett den enskildes inställning därtill. Den enskilde bör inte heller ha rätt att få uppgifter som behandlats på ett lagligt sätt strukna ur ett sådant register. Dessa principer står enligt utskottets mening i överensstämmelse med de undantag från kravet på samtycke till behandling av personuppgifter som stadgas i EG-direktivet och i personuppgiftslagen. Det skulle få omfattande praktiska och ekonomiska konsekvenser för registerhållaren att behöva föra både manuella och IT-baserade register, beroende av varje enskild individs vilja. Hälsodataregister skall användas för officiell och annan statistik, för utvärdering av vården och för forskning och måste vara heltäckande för att inte förlora i användbarhet. Skyddet för den enskildes integritet får här, enligt utskottets mening, stå tillbaka för samhällets intresse av kunskap och information. För övrigt ger en hantering av uppgifter med IT ett betydligt bättre skydd mot obehörig åtkomst till uppgifterna än om registrering sker manuellt. Utskottet vill erinra om att den registrerade kommer att kunna begära rättelse eller utplåning av uppgifter som behandlats i strid med de föreslagna lagarna, t.ex. felaktiga uppgifter. Vidare kommer den enskilde även fortsättningsvis att ha möjlighet att begära att en patientjournal helt eller delvis förstörs enligt bestämmelserna i patientjournallagen. Utskottet avstyrker med det anförda motionerna So15 (m) yrkandena 2 och 3 och So18 (fp) yrkande 1. För att registren inom hälso- och sjukvården skall kunna fylla sina ändamål krävs många gånger att innehållet kompletteras med uppgifter från andra register. Samkörning av hälsodataregister med andra personregister ökar möjligheten att finna orsaker till och förklara uppkomsten av ohälsoproblem. Samkörning av vårdregister innebär bl.a. att uppgifter som är relevanta för ett aktuellt vårdtillfälle, t.ex. analysresultat från laboratorier, remissvar och uppgifter som finns i andra journaler, snabbt kan inhämtas. Utlämnandet av uppgifter genom samkörning skall dock alltid föregås av en prövning enligt bestämmelserna om sekretess och tystnadsplikt. Mot bakgrund av det anförda anser utskottet att möjligheterna att samköra uppgifter i hälsodataregister och vårdregister inte bör vara beroende av den enskildes samtycke. Utskottet delar inte uppfattningen i motion So15 (m) yrkande 4 om att de föreslagna bestämmelserna om samkörning strider mot EG-direktivet 95/46/EG, vilket genomförs i Sverige genom att personuppgiftslagen träder i kraft den 24 oktober 1998. Direktivet och personuppgiftslagen tillåter under vissa förutsättningar behandling av uppgifter för hälso- och sjukvårdsändamål och för forsknings- och statistikändamål utan att den enskilde samtycker därtill. Samkörning av uppgifter jämställs därvid med övriga former av behandling. Utskottet avstyrker motion So15 (m) yrkande 4. Utskottet tillstyrker 5 § i förslaget till lag om hälsodataregister och 6 § i förslaget till lag om vårdregister. Utskottet ser positivt på att det i lagtexten erinras om de sekretessregler som skall beaktas vid en begäran om utlämnande av personuppgifter ur registren. Utskottet tillstyrker även 10 § i förslaget till lag om hälsodataregister och 12 § förslaget till lag om vårdregister.
Ansvaret för personuppgifter
Propositionen Regeringen anser att direktåtkomst, dvs. terminalåtkomst, till uppgifter i ett hälsodataregister bör förbehållas den som är personuppgiftsansvarig för registret, dvs. den centrala förvaltningsmyndighet som utför behandlingen av personuppgifterna (1 och 8 §§ förslaget till lag om hälsodataregister). Det behov som kan finnas av att flera myndigheter samutnyttjar vissa hälsodataregister bör kunna tillgodoses genom reglerna om utlämnande av uppgifter på medium för automatiserad behandling och samkörning, anförs det. När det gäller vårdregister anför regeringen att det från integritetssynpunkt är mycket angeläget att direktåtkomsten till uppgifterna inte är vidare än vad som behövs med hänsyn till de ändamål för vilka uppgifterna behandlas. Regeringen föreslår att endast den som behöver tillgång till uppgifter i ett sådant register för att kunna utföra sitt arbete skall kunna ha direktåtkomst till uppgifterna. Vidare skall uppgifterna behövas för något av de ändamål för vilka ett vårdregister får användas. Åtkomsten får endast avse de uppgifter som behövs för att arbetet skall kunna utföras (8 § förslaget till lag om vårdregister). Regeringen erinrar i propositionen om bestämmelsen i 7 § patientjournal-lagen om s.k. inre sekretess. Enligt denna bestämmelse skall varje journalhandling hanteras och förvaras så att ingen obehörig får tillgång till jour-nalen. Detta uttrycks i förarbetena (prop. 1984/85:189 s. 43) på så sätt att det vid vården av en patient på t.ex. en klinik endast är en begränsad del av personalen som behöver tillgång till patientens journal och att respekten för patientens integritet kräver att ingen utanför denna krets får tillgång till journalen. Enligt 31 § personuppgiftslagen skall den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de uppgifter som behandlas. Av 32 § samma lag framgår att tillsynsmyndigheten får besluta om vilka säkerhetsåtgärder som skall vidtas. Datainspektionen har utfärdat allmänna råd om ADB-säkerhet för personregister. Såvitt regeringen kunnat finna bedriver vidare de myndigheter som handhar nuvarande register och som kommer att ansvara för hälsodata- eller vårdregister ett aktivt arbete i syfte att vidmakthålla en hög säkerhet., bl.a. genom att ta fram egna data-skyddsprogram. Hanteringen av kontroll- och säkerhetsfrågor är enligt regeringen viktig för att upprätthålla skyddet för integritetskänsliga uppgifter om enskildas förhållanden. Ansvaret för säkerhetsfrågor åvilar främst den per- sonuppgiftsansvarige, men även övriga som i arbetet använder registret har ett ansvar för att säkerheten upprätthålls. Tillsynsmyndigheten bedriver ett mycket aktivt arbete för att en så hög grad av säkerhet som möjligt skall kunna upprätthållas. Särskilda föreskrifter om ADB-säkerhet bör enligt propositionen liksom hittills hanteras på myndighetsnivå.
Motionen I motion So16 av Stig Sandström m.fl. (v) begärs tillkännagivanden om be-hovet av en särskild nivå när det gäller ansvaret för personuppgifter (yrkan-de 1) samt om att den som efter delegation har ansvar för personuppgifter skall ha utbildning i datalagstiftningen (yrkande 2). Motionärerna vill öka kontrollen när det gäller åtkomsten av personuppgifter och föreslår därför två kontrollnivåer, en med registeransvar och en med personuppgiftsansvar. Registeransvarig kan, liksom i regeringens förslag, vara en myndighet. Personuppgiftsansvaret skall vara förknippat med ett personligt ansvar och fördelas genom delegation från styrelse eller motsvarande. De personuppgiftsansvariga skall enligt motionärerna ha utbildning i datalagstiftningen.
Utskottets bedömning Utskottet anser att rätten till direktåtkomst till personuppgifter måste begränsas av integritetsskäl. Förslaget i propositionen är enligt utskottet välavvägt. Utskottet tillstyrker därför 8 § i förslaget till lag om hälsodataregister och 8 § i förslaget till lag om vårdregister. Ansvaret för att behandlingen av personuppgifter sker på ett lagligt och korrekt sätt kommer enligt förslaget att ytterst ligga på de personuppgiftsansvariga. De myndigheter som har hand om nuvarande register inom hälso- och sjukvården bedriver enligt propositionen ett aktivt arbete för att vidmakthålla en hög säkerhet. Utskottet förutsätter att de personuppgiftsansvariga kommer att följa de bestämmelser om direktåtkomst som stadgas i aktuella lagförslag, se till att regler om sekretess och tystnadsplikt följs av anställd personal samt vidta kontroll- och säkerhetsåtgärder för att skydda de uppgifter som behandlas. Tillsynsmyndigheten kan enligt person-uppgiftslagen besluta om att den personuppgiftsansvarige skall vidta vissa säkerhetsåtgärder. Utskottet vill i detta sammanhang även erinra om tillsynsmyndighetens befogenheter att ingripa mot olaglig behandling av per-sonuppgifter och om den enskildes möjlighet att begära skadestånd. Lands-tingsförbundet kommer att anordna en konferens om personuppgiftslagen och lagen om vårdregister i september 1998 med deltagare från samtliga landsting. Utskottet förutsätter att utbildning om den nya datalagstiftningen även kommer att äga rum på lokal nivå. Utskottet anser att förslagen till lag om hälsodataregister och lag om vårdregister tillsammans med personuppgiftslagen och gällande regler om sekretess och tystnadsplikt ger ett tillräckligt skydd mot att obehöriga får direktåtkomst till register på hälso- och sjukvårdens område. Motion So16 (v) yrkandena 1 och 2 avstyrks därmed.
Författningsreglering av hälsodataregister m.m.
Propositionen m.m. Regeringen anser att särskilt viktiga och gemensamma frågor för samtliga hälsodataregister bör regleras i lag. Det kan röra frågor som enligt grund- lagen måste regleras i lag, såsom uppgiftsskyldighet till registren, samt frågor som tar direkt sikte på skyddet för den personliga integriteten, t.ex. ändamål, innehåll, inhämtande av uppgifter med hjälp av IT och gallring. Närmare föreskrifter om enskilda hälsodataregister skall meddelas av regeringen i en särskild förordning för respektive register inom de ramar som lagen ställer upp. Med denna kombination av ramlag och kompletterande föreskrifter tillgodoses enligt regeringens mening på ett tillfredsställande sätt kravet på skydd för den personliga integriteten liksom kravet på flexibilitet i regleringen av de särskilda hälsodataregistren. Av 12 § förslaget till lag om hälsodataregister följer att regeringen får meddela föreskrifter om vilka myndigheter som får föra hälsodataregister, begränsning av ändamålen, begränsningar av de uppgifter som ett hälsodataregister får innehålla, begränsningar av samkörning, uppgiftsskyldighet samt begränsningar i rätten att bevara uppgifter. Lagrådet har inte haft något att invända mot att normgivningen på det sätt som regeringen föreslår fördelas mellan föreskrifter i lag och föreskrifter i regeringsförordning. Regeringen föreslår att personuppgifter i ett hälsodataregister bör få lämnas ut på medium för automatiserad behandling endast om uppgifterna skall användas för de ändamål som anges i 3 § (9 § förslaget till lag om hälsodataregister). Bestämmelsen avser inte frågan om en upptagning får lämnas ut eller inte utan endast formen för ett eventuellt utlämnande. Regeringen anför dock, vad gäller forskning, att det är viktigt att begränsa utlämnande av uppgifter på medium för automatiserad behandling till forskningsprojekt av viss kvalitet. Det ankommer därvid på den personuppgiftsansvarige att göra denna prövning. Enligt 19 § personuppgiftslagen innebär ett godkännande av behandlingen från en forskningsetisk kommitté att förutsättningar föreligger för att lämna ut uppgifterna. Kommittén för forskningsetik (U 1997:11) har fått regeringens uppdrag att utreda etiska frågor i forskningen. I direktiven anges bl.a. att Datalagskommittén i sitt betänkande SOU 1997:39 föreslagit att Datainspektionens verksamhet skall koncentreras till tillsyn, information och rådgivning och att detta kan få till följd att kraven på de forskningsetiska kommittéerna ökar. Kommittén bör enligt direktiven därför undersöka och föreslå åtgärder som avser den forskningsetiska granskningen av projekt som innefattar användning av personnummer. Uppdraget skall redovisas senast den 1 februari 1999.
Motionen I motion So18 av Barbro Westerholm och Kerstin Heinemann (fp) begärs ett tillkännagivande av vad i motionen anförts om lagreglering av alla hälso- register (yrkande 2). I propositionen föreslås att närmare föreskrifter om enskilda hälsoregister skall meddelas av regeringen inom de ramar som lagen om hälsodataregister ställer upp. Enligt motionärerna bör alla hälsoregister regleras av riksdagen genom lag. I motionen begärs även ett tillkännagivande om forskningsetisk granskning av projekt där individbaserade hälsodataregister används (yrkande 3). Uppgifter i hälsodataregister får enligt propositionen användas bl.a. för forskning och epidemiologiska undersökningar som den personuppgiftsansvarige utför. Motionärerna påpekar att sådan forskning kan vara mycket integritetskänslig och anser därför att det måste regleras vem som har ansvar för den forskningsetiska granskningen av sådana projekt. Motionärerna nämner det uppdrag som regeringen givit Kommittén om forskningsetik.
Utskottets bedömning Utskottet delar regeringens bedömning att särskilt viktiga gemensamma frågor för samtliga hälsodataregister bör regleras i lag medan övriga frågor kan regleras genom en särskild förordning för varje register inom de ramar som lagen drar upp. I propositionen anges att ett inrättande av ett hälsodataregister skall föregås av en noggrann prövning av regeringen av ändamålet med registret och av vilka uppgifter som får behandlas i registret. Utskottet anser att såväl kravet på skydd för den personliga integriteten som kravet på flexibilitet i regleringen tillgodoses på ett tillfredsställande sätt genom regeringens förslag och delar inte uppfattningen i motion So18 (fp) yrkande 2 om att även de närmare bestämmelserna om varje hälsodataregister bör ges i lag och beslutas av riksdagen. Utskottet avstyrker motion So18 yrkande 2. Utskottet tillstyrker 12 § i förslaget till lag om hälsodataregister. Kommittén för forskningsetik har i uppdrag att bl.a. undersöka och föreslå utformningen av forskningsetisk granskning av projekt som innefattar användning av personnummer. Enligt utskottets mening bör kommitténs arbete avvaktas innan riksdagen överväger något initiativ i frågan om forskningsetisk granskning av integritetskänsliga projekt. Motion So18 (fp) yrkande 3 avstyrks därför.
Övriga lagförslag Utskottet tillstyrker förslagen till lag om hälsodataregister och lag om vårdregister i övrigt samt förslaget till lag om upphävande av lagen om viss uppgiftsskyldighet inom hälso- och sjukvården och förslaget till lag om upphävande av kungörelsen om cancerregister.
Hemställan
Utskottet hemställer 1. beträffande avslag på propositionen att riksdagen avslår motion 1997/98:So17 yrkande 1, res. 1 (mp) 2. beträffande avvägningen mellan det offentligas behov och den enskildes integritet att riksdagen avslår motionerna 1997/98:So15 yrkande 1 och 1997/98:So17 yrkande 2 res. 2 (m) res. 3 (mp) - villk. 3. beträffande ändamål och innehåll att riksdagen antar 3 och 4 §§ i regeringens förslag till lag om hälsodataregister och 3-5 §§ i regeringens förslag till lag om vårdregister, 4. beträffande avidentifiering av personuppgifter att riksdagen avslår motion 1997/98:So15 yrkande 5, res. 4 (m, mp) 5. beträffande samtycke till registrering m.m. att riksdagen avslår motionerna 1997/98:So15 yrkandena 2 och 3 samt 1997/98:So18 yrkande 1, res. 5 (m, mp) res. 6 (fp) 6. beträffande samtycke till samkörning av register att riksdagen avslår motion 1997/98:So15 yrkande 4, res. 7 (m, mp) 7. beträffande samkörning att riksdagen antar 5 § i regeringens förslag till lag om hälsodataregister och 6 § i regeringens förslag till lag om vårdregister, 8. beträffande sekretess att riksdagen antar 10 § i regeringens förslag till lag om hälsodataregister och 12 § i regeringens förslag till lag om vårdregister, 9. beträffande direktåtkomst att riksdagen antar 8 § i regeringens förslag till lag om hälsodataregister och 8 § i regeringens förslag till lag om vårdregister, 10. beträffande ansvaret för personuppgifter att riksdagen avslår motion 1997/98:So16 yrkandena 1 och 2 res. 8 (v) 11. beträffande författningsreglering av hälsodataregister att riksdagen avslår motion 1997/98:So18 yrkande 2, res. 9 (fp) 12. beträffande bemyndiganden att riksdagen antar 12 § i regeringens förslag till lag om hälsodataregister, 13. beträffande forskningsetisk granskning att riksdagen avslår motion 1997/98:So18 yrkande 3, res. 10 (fp) 14. beträffande övriga lagförslag att riksdagen antar regeringens förslag till a) lag om hälsodataregister i den mån det inte omfattas av vad utskottet anfört under tidigare moment, b) lag om vårdregister i den mån det inte omfattas av vad utskottet anfört under tidigare moment, c) lag om upphävande av lagen (1991:425) om viss uppgiftsskyldighet inom hälso- och sjukvården, d) lag om upphävande av kungörelsen (1957:632) om cancerregister.
Stockholm den 7 maj 1998
På socialutskottets vägnar
Sten Svensson
I beslutet har deltagit: Sten Svensson (m), Ingrid Andersson (s), Rinaldo Karlsson (s), Hans Karlsson (s), Christina Pettersson (s), Liselotte Wågö (m), Marianne Jönsson (s), Roland Larsson (c), Leif Carlson (m), Barbro Westerholm (fp), Mariann Ytterberg (s), Stig Sandström (v), Christin Nilsson (s), Birgitta Wichne (m), Thomas Julin (mp), Chatrine Pålsson (kd) och Elisebeht Markström (s).
Reservationer
1. Avslag på propositionen (mom. 1) Thomas Julin (mp) anser dels att den del av utskottets betänkande som på s. 8 börjar med ?Flera omständigheter? och på s. 8 slutar med ?yrkande 1? bort ha följande lydelse: Utskottet anser emellertid att det finns så många allvarliga brister i regeringens förslag att riksdagen, med bifall till motion So17 (mp) yrkande 1, bör avslå propositionen. Genom att flytta lokal information från hälso- och sjukvården till centrala register med bibehållna möjligheter att identifiera patienten, ökar enligt utskottet risken för att känsliga uppgifter som så få som möjligt skall ta del av får en oacceptabel spridning. Regeringen underskattar enligt utskottets mening den enskildes oro för detta. dels att utskottets hemställan under 1 bort ha följande lydelse: 1. beträffande avslag på propositionen att riksdagen med bifall till motion 1997/98:So17 yrkande 1 avslår proposition 1997/98:108,
2. Avvägningen mellan det offentligas behov och den enskildes integritet (mom. 2) Sten Svensson, Liselotte Wågö, Leif Carlson och Birgitta Wichne (alla m) anser dels att den del av utskottets betänkande som på s. 8 börjar med ?Även motionerna? och slutar med ?yrkande 2 avstyrks? bort ha följande lydelse: Den stora offentliga sektorn kräver en omfattande insamling av uppgifter om enskilda individer. Intresset för allt fler och allt mer omfattande kontrollregister har mer varit inriktat på det allmännas behov av personuppgifter än på den enskildes behov av integritetsskydd. Varje enskilt register har alltid kunnat försvaras med att det fyller en viktig uppgift och funktion. Enligt utskottet behövs en helhetssyn när det gäller den samlade mängden personregister och behovet av dessa samt en diskussion kring den enskildes uppfattning om intrång i den personliga integriteten. Utskottet anser att den personliga integriteten alltid måste värnas. Vid införandet av nya register, särskilt sådana som innehåller känsliga uppgifter om sjukdomar och sjukdomsbehandlingar, måste en noggrann avvägning ske mellan behovet av registret och risken för att den enskildes integritet gröps ur. Enligt utskottet tar regeringen i propositionen alldeles för lätt på denna avvägning. I propositionen anförs exempelvis att den enskildes uppfattning inte skall påverka vad som skall finnas i registret eller om samkörning skall få ske. Utskottet anser också att regeringen underskattar risken för att obehöriga får åtkomst till databaserade register med känsliga uppgifter, t.ex. att andra personer än de som har att göra med behandlingen av en patient får tillgång till dennes patientjournal på data. Vad utskottet nu anfört bör riksdagen med anledning av motion So15 (m) yrkande 1 som sin mening ge regeringen till känna. Motion So17 (mp) yrkande 2 avstyrks. dels att utskottets hemställan under 2 bort ha följande lydelse: 2. beträffande avvägningen mellan det offentligas behov och den enskildes integritet att riksdagen med anledning av motion 1997/98:So15 yrkande 1 och med avslag på motion 1997/98:So17 yrkande 2 som sin mening ger regeringen till känna vad utskottet anfört,
3. Avvägningen mellan det offentligas behov och den enskildes integritet (mom. 2) Under förutsättning av avslag på reservation 1 Thomas Julin (mp) anser dels att den del av utskottets betänkande som på s. 8 börjar med ?Även motionerna? och slutar med ?yrkande 2 avstyrks? bort ha följande lydelse: Enligt utskottets uppfattning kan hälsodataregister användas på ett bra sätt även om materialet avidentifieras. För att personnummer skall få användas i ett hälsodataregister bör krävas dels att det är av särskild vikt att patienten kan identifieras, dels att patienten samtycker till registreringen. När det gäller vårdregister bör den enskildes samtycke krävas för samkörning eller överföring av uppgifter till annat register. Kraven på ökad effektivitet och teknisk utveckling får enligt utskottet aldrig väga tyngre än den enskildes rätt till en trygg och säker läkarkontakt där patienten kan känna fullt förtroende för att känsliga uppgifter inte sprids till obehöriga. Utskottet anser att regeringen bör återkomma till riksdagen med ett förslag rörande hälsodata- och vårdregister som tar stor hänsyn till patientens bästa. Vad utskottet nu anfört bör riksdagen med anledning av motion So17 (mp) yrkande 2 ge regeringen till känna. Motion So15 (m) yrkande 1 bör avslås. dels att utskottets hemställan under 2 bort ha följande lydelse: 2. beträffande avvägningen mellan det offentligas behov och den enskildes integritet att riksdagen med anledning av motion 1997/98:So17 yrkande 2 och med avslag på motion 1997/98:So15 yrkande 1 som sin mening ger regeringen till känna vad utskottet anfört,
4. Avidentifiering av personuppgifter (mom. 4) Sten Svensson (m), Liselotte Wågö (m), Leif Carlson (m), Birgitta Wichne (m) och Thomas Julin (mp) anser dels att den del av utskottets betänkande som på s. 10 börjar med ?I motion? och slutar med ?yrkande 5? bort ha följande lydelse: Enligt utskottets mening är det inte nödvändigt för personer som arbetar med forskning, utvärdering eller kvalitetssäkring av vård eller behandling att känna till vilka de enskilda personerna i ett register är. Personuppgifter som skall behandlas för de ändamål som anges i 3 § i förslaget till lag om hälsodataregister eller enligt 4 § i förslaget till lag om vårdregister bör därför avidentifieras före behandlingen. Enligt utskottet skall därvid uppgifter som medför att en enskild individ lätt kan identifieras tas bort. Bostadsort och andra allmänna uppgifter kan dock framgå. Vad som nu anförts bör riksdagen med anledning av motion So15 (m) yrkande 5 som sin mening ge regeringen till känna. dels att utskottets hemställan under 4 bort ha följande lydelse: 4. beträffande avidentifiering av personuppgifter att riksdagen med anledning av motion 1997/98:So15 yrkande 5 som sin mening ger regeringen till känna vad utskottet anfört,
5. Samtycke till registrering m.m. (mom. 5) Sten Svensson (m), Liselotte Wågö (m), Leif Carlson (m), Birgitta Wichne (m) och Thomas Julin (mp) anser dels att den del av utskottets betänkande som på s. 13 börjar med ?Utskottet delar? och på s. 14 slutar med ?yrkande 1? bort ha följande lydelse: Utskottet anser att det är den enskilde patienten som skall avgöra huruvida uppgifter om honom eller henne skall registreras manuellt eller med hjälp av IT i ett vårdregister. Den behandlande läkaren bör hjälpa patienten att komma fram till det alternativ som är bäst i det enskilda fallet. Risken att patienten avstår från att ingå i ett dataregister är liten eftersom det trots allt kan underlätta vården. Enligt utskottet skall vidare samtycke krävas från den enskilde för att personuppgifter om honom eller henne skall få ingå i ett hälsodataregister. Ett sådant förbehåll torde inte få den följden att underlaget för hälsodataregistret blir för litet och även om så vore fallet väger integri-tetsaspekten tyngre än behovet av registret. Även i detta sammanhang skall läkaren ha en viktig och central roll vid den enskildes ställningstagande. Utskottet anser även att den enskilde skall ha rätt att kräva att uppgifter i ett register raderas, trots att han eller hon tidigare har givit sitt samtycke till registrering. Vad utskottet nu anfört med anledning av motion So15 (m) yrkandena 2 och 3 bör ges regeringen till känna. Motion So18 (fp) yrkande 1 avslås. dels att utskottets hemställan under 5 bort ha följande lydelse: 5. beträffande samtycke till registrering m.m. att riksdagen med anledning av motion 1997/98:So15 yrkandena 2 och 3 samt med avslag på motion 1997/98:So18 yrkande 1 som sin mening ger regeringen till känna vad utskottet anfört,
6. Samtycke till registrering m.m. (mom. 5) Barbro Westerholm (fp) anser dels att den del av utskottets betänkande som på s. 13 börjar med ?Utskottet delar? och på s. 14 slutar med ?yrkande 1? bort ha följande lydelse: Utskottet anser att personuppgifter i ett hälsodata- eller vårdregister får användas för annat ändamål än de som de ursprungligen var avsedda för endast om den enskilde ger sitt samtycke härtill. Den enskilde skall ha haft tillgång till och tagit del av fullständig information och därvid erinrats om sin rätt att inte behöva delta med personuppgifter. Ett sådant s.k. informerat samtycke innebär enligt utskottets mening att den enskilde får en större insikt i vad han eller hon ger sitt samtycke till. Utskottet anser att frågan om informerat samtycke borde ha tagits upp i propositionen. Vad utskottet anfört bör med anledning av motion So18 (fp) yrkande 1 ges regeringen till känna. Motion So15 (m) yrkandena 2 och 3 avstyrks. dels att utskottets hemställan under 5 bort ha följande lydelse: 5. beträffande samtycke till registrering m.m. att riksdagen med anledning av motion 1997/98:So18 yrkande 1 och med avslag på motion 1997/98:So15 yrkandena 2 och 3 som sin mening ger regeringen till känna vad utskottet anfört,
7. Samtycke till samkörning av register (mom. 6) Sten Svensson (m), Liselotte Wågö (m), Leif Carlson (m), Birgitta Wichne (m) och Thomas Julin (mp) anser dels att den del av utskottets betänkande som på s. 14 börjar med ?För att? och slutar med ?yrkande 4? bort ha följande lydelse: Enligt Europaparlamentets och rådets direktiv 95/46/EG krävs samtycke av den enskilde för att samkörning av register skall få ske. Direktivet skall enligt proposition 1997/98:44 Personuppgiftslag genomföras i svensk rätt. Mot denna bakgrund anser utskottet att 5 § i förslaget till lag om hälsodataregister och 6 § i förslaget till lag om vårdregister bör kompletteras med bestämmelser om att samkörning av register kräver den enskildes samtycke. Regeringen bör snarast återkomma till riksdagen med förslag till en sådan lagreglering. Vad utskottet nu anfört bör med anledning av motion So15 (m) yrkande 4 ges regeringen till känna. dels att utskottets hemställan under 6 bort ha följande lydelse: 6. beträffande samtycke till samkörning av register att riksdagen med anledning av motion 1997/98:15 yrkande 4 som sin mening ger regeringen till känna vad utskottet anfört,
8. Ansvaret för personuppgifter (mom. 10) Stig Sandström (v) anser dels att den del av utskottets betänkande som på s. 16 börjar med ?Ansvaret för att? och slutar med ?avstyrks därmed? bort ha följande lydelse: Enligt utskottet måste dock kontrollen öka när det gäller direktåtkomst till personuppgifter. Två kontrollnivåer bör införas, varav en med registeransvar och en med personuppgiftsansvar. Den registeransvarige kan vara en myndighet. Personuppgiftsansvaret skall vara förknippat med ett personligt ansvar och fördelas genom delegation från styrelse eller motsvarande. Person- uppgiftsansvar skall enligt utskottet endast kunna tilldelas den som har genomgått utbildning om datalagstiftningen. Detta bör riksdagen med anledning av motion So16 (v) yrkandena 1 och 2 som sin mening ge regeringen till känna. dels att utskottets hemställan under 10 bort ha följande lydelse: 10. beträffande ansvaret för personuppgifter att riksdagen med anledning av motion 1997/98:So16 yrkandena 1 och 2 som sin mening ger regeringen till känna vad utskottet anfört,
9. Författningsreglering av hälsodataregister (mom. 11) Barbro Westerholm (fp) anser dels att den del av utskottets betänkande som på s. 18 börjar med ?Utskottet delar? och slutar med ?yrkande 2? bort ha följande lydelse: Utskottet ser positivt på att de frågor som är gemensamma för alla hälsodataregister skall regleras i lagen om hälsodataregister. Däremot kan utskottet inte ställa sig bakom förslaget att de närmare föreskrifterna om de enskilda hälsodataregistren skall beslutas av regeringen genom förordningar inom de ramar som lagen ställer upp. Enligt utskottets mening bör även dessa bestämmelser ges i lag och beslutas av riksdagen. Regeringen bör snarast återkomma till riksdagen med förslag till en sådan lagreglering. Vad utskottet nu anfört bör med anledning av motion So18 (fp) yrkande 2 ges regeringen till känna. dels att utskottets hemställan under 11 bort ha följande lydelse: 11. beträffande författningsreglering av hälsodataregister att riksdagen med anledning av motion 1997/98:So18 yrkande 2 som sin mening ger regeringen till känna vad utskottet anfört,
10. Forskningsetisk granskning (mom. 13) Barbro Westerholm (fp) anser dels att den del av utskottets betänkande som på s. 18 börjar med ?Kommittén? och slutar med ?avstyrks därför? bort ha följande lydelse: Uppgifterna i hälsodataregistren får enligt propositionen användas för framställning av statistik och för att följa upp, utvärdera och kvalitetssäkra hälso- och sjukvården. Uppgifterna får även användas för forskning och epidemiologiska undersökningar. Den forskning som avses kan vara av mycket integritetskänslig karaktär. Förslaget i propositionen innebär att de centrala förvaltningsmyndigheterna själva avgör hur de egna hälsodataregistren skall användas i forskningssammanhang och till vilka projekt utlämning av uppgifter skall ske. Utskottet anser att det måste regleras vem som har ansvar för den forskningsetiska granskningen av integritetskänsliga forskningsprojekt. Regeringen har givit Kommittén för forskningsetik i uppdrag att bl.a. ge förslag rörande forskningsetisk granskning av projekt som innefattar användning av personnummer. Enligt utskottets mening borde regeringen ha avvaktat kommitténs redovisning av uppdraget innan propositionen lades fram. Vad utskottet anfört bör riksdagen med anledning av motion So18 (fp) yrkande 3 som sin mening ge regeringen till känna. dels att utskottets hemställan under 13 bort ha följande lydelse: 13. beträffande forskningsetisk granskning att riksdagen med anledning av motion 1997/98:So18 yrkande 3 som sin mening ger regeringen till känna vad utskottet anfört,
I propositionen framlagda lagförslag
1 Förslag till lag om hälsodataregister 2 Förslag till lag om vårdregister 3 Förslag till lag om upphävande av lagen (1991:425) om viss uppgiftsskyldighet inom hälso- och sjukvården
4 Förslag till lag om upphävande av kungörelsen (1957:632) om cancerregister
Innehållsförteckning
Sammanfattning......................................0 Propositionen.......................................0 Motionerna..........................................0 Utskottet...........................................0 Bakgrund och nuvarande förhållanden 0 Personregister inom hälso- och sjukvården 0 Rättslig reglering till skydd för den personliga integriteten 0 Avslag på propositionen m.m. 0 Utskottets bedömning 0 Avidentifiering av personuppgifter 0 Utskottets bedömning 0 Samtycke till registrering m.m. 0 Utskottets bedömning 0 Ansvaret för personuppgifter 0 Utskottets bedömning 0 Författningsreglering av hälsodataregister m.m. 0 Utskottets bedömning 0 Övriga lagförslag 0 Hemställan 0 Reservationer.......................................0