Regeringens förslag: Personuppgifter får samlas in och behandlas för det övergripande och primära syftet att systematiskt och fortlöpande ut-veckla och säkra vårdens kvalitet. Insamlade personuppgifter får därutöver även behandlas för ändamålen framställning av statistik eller forskning inom hälso- och sjukvårdsområdet. Personuppgiftsbehandling får vidare ske genom utlämnande till mottagare som ska använda upp-gifterna för något av de nämnda ändamålen. Därutöver får utlämnande ske enligt 2 kap. tryckfrihetsförordningen samt enligt sådan särskilt föreskriven uppgiftsskyldighet som föreskrivs i lag eller förordning.
Det är med ett undantag inte tillåtet att behandla personuppgifter i nationella och regionala kvalitetsregister för andra ändamål än ovan-nämnda angivna. Undantaget innebär att det ska vara möjligt att behandla personuppgifterna i kvalitetsregister för andra ändamål än de här angivna om ett särskilt och uttryckligt samtycke till det föreligger från de enskilda registrerade.
Utredningens förslag: Överensstämmer med regeringens förslag.
Remissinstanserna En majoritet av remissinstanserna har inget att anföra mot utredningens förslag.
179 Västra Götalands läns landsting och Sahlgrenska
Universitets-sjukhuset, SU, tillstyrker utredningens förslag till lagreglering av kvalitetsregister. Regionen och sjukhuset föreslår också att det ska göras möjligt att i vissa fall hämta uppgifter från ett kvalitetsregister för att användas för en enskild patients vård och behandling men påpekar samtidigt att uppgifter i ett kvalitetsregister aldrig får ersätta anteck-ningar i patientjournalen. Möjlighet till sådan uppgiftshämtning anser regionen och SU borde kunna ges utan att en sammanblandning av patientjournal och kvalitetsregister riskeras. Svenska Läkaresällskapet anser i likhet med Västra Götalands läns landsting och Sahlgrenska Universitetssjukhuset att det vore en fördel om de nationella kvalitets-registren kan integreras i journalföringen.
Läkemedelsindustriföreningen, LIF, Framhåller att olika myndigheter ställer krav på läkemedelsföretagen att ta fram data gällande säkerhet och effekt efter att ett läkemedel släppts på marknaden. LIF anser att Sverige därför bör sträva efter att vara ett föregångsland internationellt i arbetet med att kartlägga biverkningar och effekter av behandling efter läkemedels godkännande. LIF anser att Sverige genom sina nationella register, grundade på personnummer, har en unik möjlighet till läkemedelsuppföljning genom att kunna koppla ihop information i olika datakällor. För att kunna utnyttja den möjligheten till fullo anser LIF att informationen i kvalitetsregistren bör kunna samköras med informa-tionen i de hälsodataregister som förs av Socialstyrelsen. Informainforma-tionen i nationella kvalitetsregister behöver även kvalitetssäkras och nya sådana register behöver komma till stånd inom de terapiområden där det i nuläget saknas register. LIF anser därför att det är nödvändigt att det finns nationell samordning och tydlig infrastruktur när det gäller kvalitetsregistren.
Skälen för regeringens förslag Primärt ändamål
För att upprätthålla allmänhetens förtroende för nationella och regionala kvalitetsregister är det av avgörande betydelse att det av lagen klart framgår för vilka ändamål personuppgifterna i registren får användas.
Redan tidigare har framgått att det övergripande ändamålet för kvalitetsregistren ska vara kvalitetssäkring, dvs. systematisk och fortlöpande utveckling och säkring av vårdens kvalitet. Det primära syftet ska vara att följa upp medicinsk och annan kvalitet i själva vårdinsatserna. Med vård avses individinriktad patientverksamhet, dvs.
vård, undersökning och behandling inom hälso- och sjukvården. Som framgår i det följande föreslår regeringen att detta syfte också ska vara bestämmande för vilka personuppgifter som får behandlas i nationella och regionala kvalitetsregister.
Självklart måste detta primära ändamål i sin tur brytas ner i mer preciserade ändamål som är anpassade för varje särskilt register och det
medicinska specialområde eller motsvarande som avses täckas med registret.
180 Sekundära ändamål
Regeringen anser att det är befogat att redan insamlade personuppgifter, på motsvarande sätt som i dag, får behandlas också för vissa andra, sekundära ändamål, nämligen sådan statistik rörande hälso- och sjukvård som inte är en del av kvalitetssäkringsarbetet samt för forskning inom hälso- och sjukvårdsområdet. Ett ändamål är även att uppgifterna i vissa fall får lämnas ut till tredje man, i huvudsak mottagare som ska använda uppgifterna för något av de redan nämnda ändamålen. Därutöver får utlämnande av personuppgifter ske enligt 2 kap. tryckfrihetsförordningen utan att det särskilt behöver föreskrivas. Det följer av principen om grundlags företräde framför vanlig lag och anges dessutom uttryckligen i 8 § personuppgiftslagen, som också gäller vid behandling av person-uppgifter enligt den föreslagna lagen.
Vidare bör personuppgifter kunna lämnas ut om det följer av en särskilt föreskriven uppgiftsskyldighet som exempelvis avses i 14 kap. 1 § sekretesslagen eller 2 kap. 8 och 9 §§ lagen om yrkesverksamhet på hälso- och sjukvårdens område. Ett exempel är att uppgifter lämnas ut enligt 43 § personuppgiftslagen i samband med Datainspektionens tillsyn över personuppgiftsbehandlingen eller att uppgifter levereras till hälsodataregister via ett kvalitetsregister. Utrymmet för att lämna ut personuppgifter från kvalitetsregistren är således väsentligen mera snävt än vad som föreslagits i stort när det gäller personuppgifter inom hälso- och sjukvården där det räcker att utlämnandet sker i överensstämmelse med lag eller förordning.
Dock talar skäl mot att exempelvis tillåta utlämnande med stöd av 15 kap. 5 § sekretesslagen, som föreskriver att en myndighet på begäran av en annan myndighet ska lämna ut uppgift som den förfogar över i den mån inte hinder möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Det är nämligen svårt att överblicka vilket uppgiftsutlämnande som en tillämpning av 15 kap. 5 § sekretess-lagen kan leda till.
Av hänsyn till enskildas personliga integritet bör dock inga andra ändamål vara tillåtna. Det innebär att det inte är tillåtet att behandla personuppgifterna för andra ändamål även om dessa inte är oförenliga med det ändamål för vilket uppgifterna har samlats in, dvs.
kvalitetssäkring. Personuppgiftslagens finalitetsprincip gäller alltså inte vid behandling av personuppgifter i nationella eller regionala kvalitetsregister.
När det gäller det särskilda ändamålet statistik om hälso- och sjukvård kan anmärkas att inrapporterade data sammanställs statistiskt i de återrapporteringar m.m. som framställs i kvalitetssäkringsarbetet. Sådan statistikframställning omfattas av det primära ändamålet kvalitetssäkring.
Det särskilda statistikändamålet tillåter därutöver att personuppgifter behandlas särskilt för att framställa statistik som kan användas för andra ändamål än att förbättra vårdens kvalitet.
Det särskilda efterkommande ändamålet forskning medger att per-sonuppgifter, som samlats in för kvalitetssäkringsändamål, också ska få används i forskning inom hälso- och sjukvårdsområdet. Med forskning avses även epidemiologiska studier. Det ska dock observeras att ändamålet inte utgör något undantag från etikprövningslagen och dess krav på etikprövning då forskning innefattar behandling av känsliga personuppgifter m.m. Har den enskilde inte uttryckligen samtyckt till personuppgiftsbehandlingen för ett specifikt forskningsprojekt, krävs godkännande av etikprövningsnämnd vid all forskning avseende personuppgifter i kvalitetsregister.
181 Av hänsyn till enskildas integritet bör personuppgifter få lämnas ut till
tredje man bara om mottagaren ska använda uppgifterna för att själv bedriva kvalitetssäkring av hälso- och sjukvård, för forskning inom hälso- och sjukvårdsområdet eller för att framställa statistik.
Modellen att specifikt beskriva tillåtna utlämnanden innebär ett starkt integritetsskydd för den enskilde. Av patientdatalagen framgår tydligt när uppgifter, som är insamlade för kvalitetssäkring, kan lämnas ut till tredje man.
Viktigt att framhålla är också att det kommer att vara möjligt att behandla personuppgifterna för andra ändamål än de här nämnda, om ett särskilt och uttryckligt samtycke till det föreligger från de enskilda registrerade. Det framgår av förslag om verkan av den enskildes uttryckliga samtycke till personuppgiftsbehandling utöver den som tillåts i patientdatalagen, se avsnitt 7.4.
15.3 Personuppgiftsansvar
Regeringens förslag: För sådan personuppgiftsbehandling i nationella och regionala kvalitetsregister som sker på central nivå ska endast myndigheter inom landsting eller kommun få vara personuppgifts-ansvariga. Regeringen eller den myndighet som regeringen bestämmer ska få besluta om att även annan får vara personuppgiftsansvarig.
För den personuppgiftsbehandling som i kvalitetsregisterrapporte-ringen vårdgivare utför, gäller patientdatalagens huvudregel om att varje myndighet inom hälso- och sjukvården eller privata vårdgivare är personuppgiftsansvarig för den personuppgiftsbehandling som den utför.
Utredningens förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag.
Västra Götalands läns landsting och Sahlgrenska Universitets-sjukhuset ser det dock som angeläget att endast myndigheter ska kunna vara personuppgiftsansvariga för personuppgiftsbehandlingen i nationella och regionala kvalitetsregister som sker på central nivå. Landstinget i Jönköping påpekar å sin sida att mycket av arbetet med kvalitetsregistren har vuxit fram i läkarnas specialistföreningar och att det här gäller att hitta former för ett fortsatt gott samarbete mellan sjukvårdshuvudmännen och specialistföreningarna. Annars riskerar man att det unika material som samla in och bearbetas kommer att förlora i kvalitet. Det är också
182 viktigt att inse att flera av registren har karaktären av både
kvalitets-register i ursprunglig bemärkelse och av vårdkvalitets-register som används som beslutsunderlag i det dagliga arbetet med enskilda patienter.
Patientjournalen och kvalitetsregistren kommer på det sättet att i någon mening växa samman och bli delar i en sammanhållen journalföring.
Landstinget anser att det kan finnas anledning att överväga om detta borde påverka den kommande lagstiftningens utformning. Landstinget Västmanland noterar att enligt 7 § får endast myndigheter inom hälso- och sjukvården vara personuppgiftsansvariga, dvs. specialistförening eller annan privaträttslig organisation tillåts inte vara det. Visserligen kan regeringen medge undantag från detta, men det innebär att en viss kontroll utförs, vilket landstinget anser är bra för de registrerade patienterna. Karolinska Institutet, KI, framhåller att genom nuvarande skrivning i lagen utestängs universiteten från möjligheten att lägga upp regionala och nationella kvalitetsregister. KI anser att det vore olyckligt med en sådan begränsning. Kvalitetsregister som byggs upp inom universiteten kan vara ett utmärkt komplement i de fall register saknas inom hälso- och sjukvården. Forskare kan bidra med sin kompetens vid uppbyggnaden av kvalitetsregister så att dessa får en utformning som är optimal utifrån både vården och forskningens behov. Att lägga upp ett regionalt eller nationellt kvalitetsregister torde kräva stora både administrativa och ekonomiska resurser. Visserligen lämnar Socialstyrelsen bidrag till kvalitetsregister inom ramen för Dagmar-överenskommelsen, men universiteten torde kunna tillföra både kompetens och resurser inom ramen för olika forskningsprojekt vid upprättandet av sådana kvalitetsregister. KI anser att det kollektiva patientintresset inte gynnas av att rätten att få vara personuppgifts-ansvarig för regionala och nationella kvalitetsregister begränsas till att gälla myndigheter inom hälso- och sjukvården. Statens beredning för medicinsk utvärdering, SBU, påpekar att det är troligt att allt fler kvalitetsregister kommer att arbeta med system där registrering i kvalitetsregistret integreras med den ordinarie journalföringen. Även för tillstånd där patienten omhändertas i en sekvens av vårdgivare bör detta vara möjligt. SBU uttrycker osäkerhet om i vad mån utredningen beaktat denna utveckling. Landstinget i Östergötland har uppfattat det så, att det är i samband med given vård som uppgifter lämnas till kvalitetsregistren.
Landstinget instämmer i utredningens bedömning att uppgifter i ett kvalitetsregister kan vara av ännu mer integritetskänsligt slag än uppgifterna i en patientjournal. Landstinget uppfattar därför att kraven på informationssäkerhet vad gäller behörighetstilldelning, inloggning, logguppföljning etc. enligt utredningen måste ligga på minst samma nivå som för patientjournaler.
Skälen för regeringens förslag: Vem som är personuppgiftsansvarig för behandling av personuppgifter i de olika nationella kvalitetsregistren är en komplex fråga. Den genomgång som utredningen gjort av de nationella kvalitetsregister som finns i dag ger ingen entydig bild av hur det förhåller sig med personuppgiftsansvaret. Vanligen anges en sjukvårdshuvudman, ett landsting, som huvudman för ett register och en viss person som registerhållare eller registeransvarig. Myndigheten, och inte enskilda kliniker eller läkare, torde i dessa fall vara att anse som personuppgiftsansvarig för registret i fråga. Ibland förekommer
emeller-tid uppgift om att det är en specialistförening, dvs. en ideell förening, som äger, driver och ansvarar för ett register. Inte sällan är det oklart om ett kvalitetsregister förs i en specialistförenings eller i en eller flera sjukvårdshuvudmäns regi.
183 I avsnitt 8 har regeringen föreslagit en grundläggande bestämmelse om
personuppgiftsansvar vid behandling av personuppgifter enligt patient-datalagen. Enligt bestämmelsen är varje myndighet inom hälso- och sjukvården eller en privat vårdgivare personuppgiftsansvarig för den behandling av personuppgifter som den utför.
Liksom vid sammanhållen journalföring, uppkommer emellertid frågor om det finns anledning att föreslå någon särreglering av person-uppgiftsansvaret för nationella och regionala kvalitetsregister med tanke på det samarbete mellan flera aktörer som kvalitetsregisterföringen innebär. En särskild fråga är också i vad mån specialistföreningar, dvs.
ideella föreningar, bör kunna ha ett personuppgiftsansvar för ett kvalitetsregister, ensamt eller delat med inrapporterande myndigheter och privata vårdgivare. I dessa frågor gör regeringen följande bedömning.
Givetvis underlättas den enskildes möjligheter att ta till vara sina rättigheter, om det direkt av lagen framgår vem han eller hon ska vända sig till med klagomål på personuppgiftsbehandlingen i ett kvali-tetsregister. Ansvaret för den stora mängden nationella eller regionala kvalitetsregister är emellertid i hög grad utspritt inom den praktiserande hälso- och sjukvården. Nya register tillkommer hela tiden och vissa läggs ibland ner. Kvalitetsregistren är dessutom organiserade på olika sätt och har många involverade aktörer som i olika skeden och på olika sätt behandlar de personuppgifter som ingår i eller ska ingå i registren. En detaljreglering av personuppgiftsansvaret ter sig mot den bakgrunden knappast möjligt. En reglering skulle dessutom riskera att låsa fast registerföringen i oflexibla organisationslösningar, som kanske inte passar för alla typer av kvalitetsregister eller som inte visar sig vara ändamålsenliga över tiden. Något direkt utpekande av vem som ska vara personuppgiftsansvarig för nationella eller regionala kvalitetsregister föreslås alltså inte.
Dock föreslås att endast en eller flera myndigheter inom landsting och kommuner, ska få driva ett nationellt eller regionalt kvalitetsregister, dvs.
administrera och hantera personuppgifterna på den centrala registernivån.
Från denna huvudregel föreslås att regeringen eller den myndighet som regeringen bestämmer ska få medge undantag och besluta om att även annan än en hälso- och sjukvårdsmyndighet får vara personuppgifts-ansvarig, t.ex. ett universitet. Huvudregeln är motiverad av att det framstår som mindre lämpligt att stora samlingar av integritetskänsliga personuppgifter samlas i enskild verksamhet utan att förutsättningarna för detta närmare övervägs och anges.
För den personuppgiftsbehandling som privata eller offentliga vård-givare utför när de samlar in och rapporterar in uppgifter till registret eller annars behandlar registrerade personuppgifter föreslås emellertid respektive vårdgivare själv vara personuppgiftsansvarig enligt patientdatalagens allmänna huvudregel om personuppgiftsansvar. Det innebär t.ex. att när en privatpraktiserande vårdgivare fyller i elektroniska blanketter för rapportering till ett kvalitetsregister, som en myndighet inom ett landsting är personuppgiftsansvarig för, är det
vårdgivaren och inte landstinget som bär personuppgiftsansvaret för att personuppgifterna hanteras korrekt och i enlighet med patientdatalagens och sekretesslagens krav. För den fortsatta centrala hanteringen av inrapporterade personuppgifter föreslås emellertid personuppgifts-ansvaret vara samlat hos en eller flera myndigheter. Till den centrala hanteringen hör t.ex. ansvaret för säkerhetsfrågor och ansvaret för att felaktiga uppgifter i registret rättas.
184 Det föreslagna uppdelade ansvaret mellan den myndighet som centralt
administrerar ett kvalitetsregister och inrapporterande vårdenheter kan hävdas vara mindre integritetsvänlig jämfört med en ordning som innebär att den centrala administratören ensam har ansvaret för all personuppgiftsbehandling som sker inom ramen för ett register.
Regeringen delar dock utredningens bedömning att det är rimligt att vårdgivarna, som är skyldiga att kvalitetssäkra sin verksamhet, enligt patientdatalagens huvudregel själva bär det formella ansvaret för den personuppgiftshantering som de själva utför i samband med register-hanteringen. Den hanteringen har vidare en central administratör normalt inga formella eller praktiska möjligheter att närmare kontrollera utöver de befogenheter som följer av personuppgiftsansvaret. Mot bakgrund av det anförda anser regeringen att övervägande skäl talar för det föreslagna uppdelade personuppgiftsansvaret.