Elektroniska former för att lämna ut personuppgifter

personuppgifter

6.6.1 Inledning

Personuppgifter kan lämnas ut på olika sätt. Traditionellt har utläm- nanden av patientuppgifter från en vårdgivare vanligen skett på papper, t.ex. via kopia av pappersjournal eller utskrift från dator. Till följd av den tekniska utvecklingen har det blivit allt vanligare att utlämnanden sker i elektronisk form. Det kan exempelvis ske via mejl, lagring på usb-minne, direktöverföring från ett datorsystem till ett annat eller att en mottagare får elektronisk tillgång till den utlämnande aktörens it-system. Informationsutbyten mellan myn- digheter sker i dag vanligen elektroniskt genom en fråga-svar-funk- 18 _{SOU 2006:82 s. 339 f.}

tion. Den tekniska utvecklingen kommer sannolikt leda till att det utvecklas ytterligare former för att överföra uppgifter i elektronisk form.

Det är värt att notera att alla former för att lämna ut personupp- gifter, elektroniska eller inte, utgör behandling av personuppgifter i dataskyddsförordningens mening. Dataskyddsförordningen gör i princip ingen åtskillnad mellan om utlämnandet av behandlade per- sonuppgifter sker elektroniskt, manuellt på papper eller muntligt. Skyddet för fysiska personer ska vara detsamma, oberoende vilken teknik som används, och den personuppgiftsansvarige ska använda lämpliga tekniska eller organisatoriska åtgärder för att säkerställa detta (jfr skäl 15 och artikel 5.1 f i dataskyddsförordningen).

Registerförfattningar innehåller ofta bestämmelser som närmare preciserar formen för hur utlämnanden i elektronisk form får gå till. Motivet för att reglera sättet för utlämnandet är att själva den elek- troniska formen kan medföra risker för otillbörliga integritetsintrång. Man har också ansett att mottagaren har större möjligheter att bearbeta den digitala informationen än om utlämnandet skett på papper.19 _{I registerförfattningar används olika begrepp för att beskriva}

elektroniska utlämnanden av personuppgifter. Följande begrepp används exempelvis i patientdatalagen.

• Utlämnande på medium för automatiserad behandling • Elektronisk åtkomst

• Direktåtkomst

Begreppsbildningen är inte entydig och det saknas legaldefinitioner för begreppen. Det finns dock viktiga distinktioner mellan begreppen som bl.a. handlar om vilken sorts sekretessprövning den utlämnande myndighet har att göra och i vilken mån mottagaren har möjlighet att självständigt bereda sig tillgång till uppgifterna. Nedan görs en över- siktlig genomgång av begreppen direktåtkomst, elektronisk åtkomst och utlämnande på medium för automatiserad behandling.

6.6.2 Direktåtkomst

Enligt förarbetena till patientdatalagen är direktåtkomst en viss form av elektroniskt utlämnande till en extern mottagare. Den som är ansvarig för informationen har inte kontroll över vilka uppgifter som en mottagare vid ett visst tillfälle tar del av (automatiserad tillgång) och mottagaren av informationen kan inte påverka innehållet i det informationssystem som informationen lämnas ut från.20 _{Ett annat}

sätt att uttrycka det är att den som behöver ta del av informationen kan bereda sig åtkomst på eget initiativ. Personuppgifterna finns potentiellt tillgängliga för den som önskar ta del dem, utan att den som gjort uppgifterna tillgängliga behöver fatta något formellt beslut om utlämnande i det enskilda fallet.21

Vid direktåtkomst anses de uppgifter som omfattas av åtkomsten och finns potentiellt tillgängliga för andra vara utlämnande i tryck- frihetsförordningens mening redan genom att åtkomst medges.22

Detta avviker från ett traditionellt utlämnande av allmänna hand- lingar som förutsätter att en sekretessprövning görs i det enskilda fallet innan uppgifterna lämnas ut.

Bestämmelser som bara medger direktåtkomst har inte i sig sekretessbrytande effekt utan de måste kombineras med särskilda sekretessbrytande regler om direktåtkomsten ska omfatta sådana uppgifter som det kan gälla sekretess för. Sådana bestämmelser har tagits in i offentlighets- och sekretesslagen (2009:400) förkortad OSL, se avsnitt 5.6. Det finns också en särskild regel om överföring av sekretess i offentlighets- och sekretesslagen vid myndigheters direktåtkomst till andra myndigheters upptagningar för automatise- rad behandling (se 11 kap. 4 § OSL).

Direktåtkomst inom hälso- och sjukvården anses vara en särskilt integritetskänslig form av elektroniskt utlämnande av person- uppgifter.23 _{Det har därför angetts i patientdatalagen att utlämnan-}

den genom direktåtkomst bara får ske i den utsträckning som medges i lag eller förordning (5 kap. 4 § PDL). Något motsvarande krav på att direktåtkomst förutsätter stöd i författning finns dock inte i socialtjänsten.

20 _{Se t.ex. prop. 2004/05:164 s. 83.} 21 _{SOU 2014:23 s. 97.}

22 _{Prop. 2007/08:126 s. 120 ff.} 23 _{Prop. 2007/08:126 s. 76.}

En lagstadgad form av direktåtkomst har förts in i 5 kap. 4 § andra stycket patientdatalagen. Om en region eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma region eller kommun.

Patientdatalagen medger vidare att en person får ges direktåt- komst till sådana uppgifter om sig själv som behandlas för ändamålet vårddokumentation (5 kap. 5 § andra stycket PDL). Sådan direktåt- komst sker i dag t.ex. genom vårdens e-tjänst Journalen via 1177 Vårdguiden.

6.6.3 Elektronisk åtkomst

I 4 kap. patientdatalagen används begreppet elektronisk åtkomst för att beskriva personalens möjligheter att inom vårdgivaren bereda sig tillgång till personuppgifter som finns elektroniskt tillgängliga inom organisationen. Medan direktåtkomst beskriver ett sätt för utläm- nande, beskriver elektronisk åtkomst uteslutande ett sätt att få till- gång till handlingar inom en organisation.24 _{Egentligen är det ingen}

skillnad i innebörden mellan direktåtkomst och elektronisk åtkomst, däremot i vilken situation de används. Båda begreppen definierar sättet eller formen för ett elektroniskt utlämnande, dvs. teknisk åt- komst till information. Elektronisk åtkomst enligt 4 kap. patient- datalagen medger dock – till skillnad från direktåtkomst – en möj- lighet att också skriva och ändra informationen.25

6.6.4 Utlämnande på medium för automatiserad behandling

I princip anses elektroniskt utlämnande som inte sker genom direkt- åtkomst göras genom utlämnande på medium för automatiserad behandling. I patientdatalagen finns en bestämmelse som anger att om en personuppgift får lämnas ut, kan det ske på medium för auto- matiserad behandling (5 kap. 6 § PDL). Den bestämmelsen är alltså inte sekretessbrytande.

24 _{Prop. 2007/08:126 s. 75.}

25 _{Manólis Nymark, Patientdatalagen, inledningen till kommentarerna om 4 kap., JUNO}

Utlämnande på medium för automatiserad behandling innebär enligt förarbetena till patientdatalagen ett elektroniskt utlämnande utan möjlighet för mottagaren att själv bereda sig tillgång till upp- gifterna. Exempel på utlämnande på medium för automatiserad be- handling är t.ex. genom användning av mejl, utlämnande på cd-rom eller genom filöverföring från ett datorsystem till ett annat. Vid denna typ av utlämnande fattas ett beslut i varje enskilt fall om upp- gifterna kan lämnas ut eller om de omfattas av sekretess. Som regel lämnas informationen ut i en form som medför att mottagaren kan bearbeta den. Bearbetningsmöjligheterna är dock inte avgörande för om det är fråga om ett utlämnande på automatiserat medium eller inte. Regeringen har anfört att de skäl som från integritetssynpunkt gör det befogat att särreglera elektronisk åtkomst och direktåtkomst väger avsevärt lättare när det handlar om utlämnande på medium för automatiserad behandling på hälso- och sjukvårdens område.26

Gränsdragningen mellan direktåtkomst och utlämnande på medium för automatiserad behandling har belysts av Högsta förvalt- ningsdomstolen i den s.k. LEFIOnline-domen (HFD 2015 ref. 61). Försäkringskassan hade gett handläggare hos socialnämnder tillgång till uppgifter ur Försäkringskassans databas LEFI Online. Informa- tionsutbytet skedde genom en fråga-svar-funktion. Frågan i målet var om socialnämndernas åtkomst till uppgifterna var att anse som direktåtkomst i socialförsäkringsbalkens mening – vilket i sådana fall ställde krav på vissa begränsningar när det gällde vilka uppgifter handläggarna fick ta del av – eller om det i stället var fråga om ut- lämnande på medium för automatiserad behandling. Högsta förvalt- ningsdomstolen tog utgångspunkt i tryckfrihetsförordningens be- stämmelser om allmänna handlingar. Av den tidigare lydelsen av 2 kap. 3 § andra stycket tryckfrihetsförordningen (nuvarande 2 kap. 6 § första stycket tryckfrihetsförordningen) framgår att en upptagning anses förvarad hos myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv ut- nyttjar för överföring i sådan form att den kan läsas, avlyssnas eller uppfattas på annat sätt. De allmänna handlingar hos en myndighet som en annan myndighet får tillgång till genom direktåtkomst utgör allmänna handlingar även hos denna myndighet.27 _{Högsta förvalt-}

ningsdomstolen ansåg att den avgränsning som på detta sätt görs av 26 _{Prop. 2007/08:126 s. 77.}

begreppet direktåtkomst enligt tryckfrihetsförordningen även kunde användas för att bestämma innehållet i begreppet direktåtkomst i socialförsäkringsbalkens mening. Det avgörande blev alltså om upp- tagningen kunde anses förvarad hos socialnämnderna i tryckfrihets- förordningens mening. I den delen gjorde Högsta förvaltningsdom- stolen följande uttalande.

Socialnämnderna kan inte på egen hand söka information i socialför- säkringsdatabasen, utan ett utlämnande genom LEFI Online förutsätter att Försäkringskassan reagerar på en begäran om att de efterfrågade uppgifterna ska lämnas ut. Försäkringskassan får därigenom anses för- foga över frågan om och i så fall vilka uppgifter som ska lämnas ut. Någon sådan teknisk tillgång till upptagningar som avses i 2 kap. 3 § andra stycket tryckfrihetsförordningen kan socialnämnderna således inte anses ha. Detta innebär att förfarandet inte är att betrakta som direktåtkomst enligt socialförsäkringsbalken.