Socialstyrelsen får medge myndigheter

Utredningens förslag: Socialstyrelsen får besluta att medge en myndighet eller offentlig vårdgivare tillgång till uppgifter i HOSP-registret genom direktåtkomst eller annat elektroniskt utläm-nande. Socialstyrelsen får också besluta att medge en privat vård-givare tillgång till uppgifter i registret genom annat elektroniskt utlämnande än direktåtkomst.

Om Socialstyrelsen fattat ett beslut om att ge elektronisk till-gång, är Socialstyrelsen skyldig att ge den tillgång som beslutats.

Avvägning mellan behov och integritetsrisker

Socialstyrelsen föreslog i remissyttrandet över delbetänkandet Bättre behörighetskontroll – Ändringar i förordningen (2006:196) om register över hälso- och sjukvårdspersonal (SOU 2012:42) att det i HOSP-förordningen skulle anges att Socialstyrelsen får medge direktåtkomst för myndigheter som har ett behov av uppgifter i sin verksamhet och vars syfte med användningen av uppgifterna överensstämmer med ändamålen som anges i 4 och 5 §§ i förordningen. Skälet till detta uppgav Socialstyrelsen vara att man identifierat att fler myndigheter än de i betänkandet föreslagna kan behöva direktåtkomst till HOSP-registret.

Det kan enligt utredningens mening finnas flera fördelar med en sådan ordning. Myndighetsbeslut kan ändras enklare och smidigare än föreskrifter i förordning eller lag. En övergång till en ökad digi-talisering är också i linje med Sveriges digidigi-taliseringsstrategi.⁴ Reger-ingen har som övergripande mål att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter vilket kan antas leda till en ökad digitalisering av statsförvaltningen. Det kan därför förväntas att allteftersom statsförvaltningen digitaliseras kommer fler myndigheter att behöva smidig elektronisk tillgång till uppgifterna i för-ordningen. Beslut om elektronisk tillgång för myndigheter till HOSP-registret kan därför komma att behöva fattas relativt ofta. Utredningen

4 Se t.ex. regeringens digitaliseringsstrategi, För ett hållbart digitaliserat Sverige – en digitaliserings-strategi, diarienummer: N2017/03643/D.

anser därför att en reglering genom myndighetsbeslut är att föredra framför den nuvarande ordningen med reglering i förordning.

Eftersom olika myndigheter har behov av elektronisk tillgång till olika uppgifter för olika ändamål, är det en fördel för integritets-skyddet om besluten kan vara detaljerade. Detaljerade beslut ger då möjlighet att se till att ingen myndighet får elektronisk tillgång till större mängd uppgifter än vad myndigheten har behov av. Detta är i linje med principen om uppgiftsminimering i dataskyddsförord-ningen som anger att uppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (artikel 5.1 c). Ju fler detaljer som behöver fastslås, desto mer lämp-ligt är det med myndighetsbeslut i stället för en förordning. Utred-ningen anser även av denna anledning att myndighetsbeslut är att föredra framför den nuvarande ordningen med reglering i förordning.

Utredningen gör dessutom i avsnitt 8.2 bedömningen att ut-lämnande av uppgifter från HOSP-registret i första hand bör ske genom annat elektroniskt utlämnande än direktåtkomst. Om en möjlighet för Socialstyrelsen att besluta om direktåtkomst eller annat elektroniskt utlämnande införs, skulle detta ge möjlighet för Socialstyrelsen att anpassa den elektroniska tillgången till upp-gifterna i registret utifrån respektive mottagares behov även i detta avseende. Det blir då enklare att se till att en myndighet, även beträffande formen för tillgången, inte får mer omfattande tillgång än vad som är nödvändigt.

Som utredningen redogör för i avsnitt 8.2.2 bör direktåtkomst bara tillåtas om behovet av just direktåtkomst överväger de särskilda integritetsrisker i förhållande till annan elektronisk tillgång som direktåtkomst innebär. Även tillgång genom annat elektroniskt utlämnande än direktåtkomst, som även den ger sammanställnings-möjligheter och sammanställnings-möjligheter till enkel spridning av uppgifter, är för-knippad med vissa integritetsrisker.

Enligt utredningens bedömning är de flesta uppgifterna i HOSP-registret inte särskilt integritetskänsliga. Det är som utredningen ser det egentligen bara uppgifterna i registret om återkallelse av legiti-mation, prövotid och begränsning av förskrivningsrätt som kan betecknas som integritetskänsliga eftersom de kan indikera att en person misskött sig eller åtminstone inte fullt ut har klarat sitt yrkes-ansvar. Även uppgiften om folkbokföringsort i vissa fall kan vara

integritetskänslig. Det får därför förutsättas att behovet av elek-tronisk tillgång till dessa uppgifter granskas särskilt noga.

Socialstyrelsens möjligheter att besluta om elektronisk tillgång till uppgifter i HOSP-registret skulle begränsas av de uttömmande ändamål för behandlingen som slås fast i HOSP-förordningen. Elek-tronisk tillgång för andra ändamål än de uttryckligen angivna skulle således inte vara tillåten. Därigenom har regeringen lagt fast en tydlig ram inom vilken Socialstyrelsen får besluta.

Att en myndighet beslutar om att medge andra myndigheter till-gång genom direktåtkomst eller annat elektronisk utlämnande till uppgifter i ett register som omfattas av sekretess i stället för att regeringen reglerar detta i en förordning kan innebära en risk för att integritetsaspekterna inte blir tillräckligt belysta. Enligt 7 kap. 2 § regeringsformen ska vid beredningen av regeringsärenden nämligen behövliga upplysningar och yttranden inhämtas från berörda myndig-heter. Detta innebär att vid beredningen i Regeringskansliet av ett ärende om en bestämmelse som tillåter viss direktåtkomst, vilket en reglering genom förordning innebär, ska yttrande från Integritets-skyddsmyndigheten hämtas in. Skyldigheten för regeringen att sam-råda med Integritetsskyddsmyndigheten följer för övrigt också av artikel 36.4 i dataskyddsförordningen. Denna risk går emellertid att motverka genom att i HOSP-förordningen föreskriva att Socialstyrel-sen ska samråda med Integritetsskyddsmyndigheten innan Social-styrelsen fattar beslut. Utredningen förslår därför i avsnitt 8.3.3 att Socialstyrelsen ska samråda med Integritetsskyddsmyndigheten innan Socialstyrelsen beslutar att medge en annan myndighet till-gång genom direktåtkomst eller annat elektroniskt utlämnande till uppgifter i HOSP-registret.

En annan nackdel med att låta en myndighet besluta om andra myndigheters tillgång genom direktåtkomst eller annat elektroniskt utlämnande till myndighetens egna uppgifter är att regeringen inte har inflytande över utformningen och detaljeringsgraden av besluten. Det blir då svårt för regeringen att säkerställa att regleringen blir tydlig och ändamålsenlig. Regeringen får också svårare att ställa krav på mottagarmyndigheternas behörighetsstyrning och åtkomstkontroll.

Dessa problem kan lösas genom att i HOSP-förordningen uppställa krav på att direktåtkomst endast får medges om inte annat elektro-niskt utlämnande är tillräckligt och på att tillgången inte får vara mer omfattande än vad den mottagande myndigheten behöver för att

utföra sina arbetsuppgifter. Det bör också i HOSP-förordningen tydligt framgå vad Socialstyrelsens beslut ska innehålla och ange för vilka ändamål som uppgifterna i registret får behandlas (lämnas ut) samt vilket ansvar som mottagarna har för behörighetsstyrning och åtkomstkontroll avseende uppgifterna. Utredningen föreslår därför i avsnitt 8.3.4, 8.3.5 och 8.3.7 sådana bestämmelser.

Med offentlig vårdgivare avses enligt patientdatalagen statlig myndighet, region och kommun i fråga om sådan hälso- och sjuk-vård som myndigheten, regionen eller kommunen har ansvar för.

I en region eller kommun finns det flera myndigheter (nämnder).

Socialstyrelsen bör av praktiska skäl kunna besluta att medge själva regionen eller kommunen, dvs. kommunala vårdgivare, elektronisk tillgång, så att det inte krävs ett beslut för varje hälso- och sjukvårds-myndighet inom regionen eller kommunen. I avsnitt 8.3.7 föreslås att Socialstyrelsen inte ska få medge elektronisk tillgång innan Socialstyrelsen har försäkrat sig om att frågorna om behörighet, åtkomstkontroll och säkerhet är lösta på ett sätt som är tillfreds-ställande ur integritetssynpunkt. I det ligger att Socialstyrelsen ska försäkra sig om att kommunala myndigheter som inte har ansvar för hälso- och sjukvård inte kan bereda sig elektronisk tillgång till upp-gifter i HOSP-registret.

I fråga om behov av elektronisk tillgång till uppgifterna i HOSP-registret för andra än myndigheter och offentliga vårdgivare, som inte kan tillgodoses genom den tillgång via internet som föreslås i kapitel 7, gör utredningen bedömningen att endast privata vård-givare har ett sådant beaktansvärt behov. Med privat vårdvård-givare avses enligt patientdatalagen annan juridisk person än statlig myndighet, region eller kommun eller enskild näringsidkare som bedriver hälso- och sjukvård. De privata vårdgivarna behöver, liksom de offentliga vårdgivarna, löpande tillgång till uppgifter för att kontrollera hälso- och sjukvårdspersonals identitet och behörighet i samband med tjänstetillsättning och under anställning eller uppdrag. De behöver också, i likhet med offentliga vårdgivare, tillgång till uppgifter om prövotid, förskrivarkod och omfattning av förskrivningsrätt, som inte kommer att vara tillgängliga via internet. Att ge offentliga vård-givare elektronisk tillgång till dessa uppgifter har ansetts falla inom ändamålen för HOSP-registret, och utredningen gör motsvarande bedömning i fråga om de privata vårdgivarnas elektroniska tillgång till sådana uppgifter för att kontrollera behörighet.