124
nationella bestämmelser om de närmare villkoren för behandlingen som gäller för både myndigheter och enskilda. Ett förbud för såväl allmänna som privata vård- och omsorgsgivare att behandla personuppgifter som redan finns i ett system med sammanhållen vård- och omsorgsdokumenta-tion, trots den enskildes samtycke till sådan behandling, är således förenligt med EU:s dataskyddsförordning, jämför Socialdataskyddsutred-ningens bedömning avseende 6 kap. 5 § patientdatalagen i SOU 2017:66 s. 348 f.
6.13 Personuppgiftsansvar vid sammanhållen vård- och omsorgsdokumentation
Regeringens förslag: Vård- eller omsorgsgivaren är person-uppgiftsansvarig för den behandling av personuppgifter som vård- eller omsorgsgivaren utför vid sammanhållen vård- och omsorgsdokumenta-tion. Personuppgiftsansvaret omfattar även sådan behandling av personuppgifter som utförs när vård- eller omsorgsgivaren genom direktåtkomst eller annat elektronisk utlämnande i ett enskilt fall bereder sig tillgång till personuppgifter hos andra vård- och omsorgs-givare.
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vem som ska ha personuppgiftsansvar för över-gripande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen vård- och omsorgsdokumentation.
Utredningens förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: Endast ett fåtal remissinstanser har lämnat syn-punkter på förslaget.
Region Kronoberg anser att den som gör uppgifterna tillgängliga i systemet även borde ha personuppgiftsansvaret för de övergripande frågorna. Det här borde framgå av lagstiftningen, snarare än regleras i efterhand.
Sveriges Kommuner och Regioner (SKR) stöder förslaget men noterar att någon föreskrift gällande personuppgiftansvar aldrig kommit till stånd, vilket fört med sig viss oklarhet beträffande ansvaret. SKR anser att ett gemensamt personuppgiftsansvar ligger nära till hands eftersom vård- och omsorgsgivarna måste samarbeta för att kunna åstadkomma en samman-hållen vård- och omsorgsdokumentation och ingen ensam part har ett eget tolkningsföreträde.
Skälen för regeringens förslag Allmänt om personuppgiftsansvar
Personuppgiftsansvarig är, enligt definitionen i artikel 4 i EU:s data-skyddsförordning, en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.
Den personuppgiftsansvarige ska bl.a. genomföra lämpliga tekniska och
125 organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen
av personuppgifter sker i enlighet med EU:s dataskyddsförordning.
Av definitionen i artikel 4 i dataskyddsförordningen framgår att om ändamålen och medlen för behandlingen bestäms av EU-rätten eller medlemsstaternas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i EU-rätten eller i medlemsstaternas nationella rätt. Det är tillåtet enligt EU:s dataskydds-förordning att i nationell lagstiftning ange vem som är personupp-giftsansvarig för en viss behandling av personuppgifter (jfr artikel 6.2 och 6.3 samt skäl 45 i dataskyddsförordningen), se SOU 2017:66 s. 213 f. och prop. 2017/18:171 s. 68 f.
Den som behandlar uppgifterna är personuppgiftsansvarig för den behandlingen som utförs
Förslaget utgår från de bestämmelser som gäller för sammanhållen journalföring i patientdatalagen vid utformningen av regleringen av sammanhållen vård- och omsorgsdokumentation. Enligt 2 kap. 6 § patient-datalagen (2008:355) är en vårdgivare personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I en region och en kommun är varje myndighet som bedriver hälso- och sjukvård personupp-giftsansvarig för den behandling av personuppgifter som myndigheten utför.
I förarbetena till patientdatalagen motiveras valet av personuppgifts-ansvarig med att personuppgiftsansvaret inom den allmänna hälso- och sjukvården ska läggas på myndighetsnivå för att uppnå en samordning mellan personuppgiftsansvaret och ansvaret för allmänna handlingar enligt tryckfrihetsförordningen (1949:105), dåvarande sekretesslagen (1980:100) och arkivlagen (1990:782). Vidare anfördes att vårdgivare och myndigheter inom ett landsting eller en kommun, ska vara personuppgifts-ansvariga för den behandling av personuppgifter som utförs av dem samt att begreppet behandling av personuppgifter infattar alla åtgärder som vidtas beträffande sådana uppgifter (3 § personuppgiftslagen). Vid hantering av personuppgifter i elektronisk form omfattas därmed varje åtgärd som vidtas av vårdgivaren i fråga om en personuppgift, vare sig det är fråga om insamling, registrering, lagring, sökning, bearbetning, utlämnande, radering eller någon annan åtgärd. I propositionen konstateras att bestämmelsen anses innebära att den vårdgivare som använder sig av sin direktåtkomst och bereder sig tillgång till andra vårdgivares uppgifter för att söka efter eller läsa vårddokumentation blir personuppgiftsansvarig för den personuppgiftsbehandling som detta innebär (prop. 2007/08:126 s.
61).
Visserligen anges i förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten 11 § att en kommunal myndighet är personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som myndigheten utför. Om behandlingen görs gemensamt för flera myndigheter inom kommunen, är varje myndighet person-uppgiftsansvarig för sin egen behandling. En enskild (privat) utförare av socialtjänst är enligt 17 § samma förordning personuppgiftsansvarig för den behandling av personuppgifter som utförs i dess verksamhet. Av tydlighetsskäl är det dock, i likhet med vad som gäller enligt
126
datalagen, lämpligt att det anges uttryckligen i den föreslagna lagen att en omsorgsgivare är personuppgiftsansvarig för den behandling av person-uppgifter som den utför vid sammanhållen vård- och omsorgs-dokumentation. Det bör också i den föreslagna lagen slås fast att person-uppgiftsansvaret omfattar även sådan behandling av personuppgifter som utförs när omsorgsgivaren genom direktåtkomst eller annat elektroniskt utlämnande i ett enskilt fall bereder sig tillgång till personuppgifter hos en annan vård- eller omsorgsgivare.
Inom socialtjänsten gäller ett uppdelat personuppgiftsansvar och enligt utredningen har det inte framkommit att det lett till några betydande tvek-samheter om vem som är personuppgiftsansvarig för en viss behandling av personuppgifter. Regeringen anser därför att det är mest lämpligt att den som har faktisk möjlighet att påverka sin egen behandling i det enskilda fallet ska vara personuppgiftsansvarig. Samma principer för personuppgiftsansvar ska gälla för såväl vårdgivare som omsorgsgivare i ett system med sammanhållen vård- och omsorgsdokumentation.
Regeringen vill påminna om att det är lämpligt att de inblandade vård- eller omsorgsgivarna avtalar om formerna för samarbetet. Uppstår fråga om vem som är personuppgiftsansvarig avseende en viss behandling av personuppgifter i systemet med sammanhållen vård- och omsorgs-dokumentation får en bedömning av de faktiska omständigheterna i det enskilda fallet göras. Eventuella avtal där personuppgiftsansvaret preciseras kan beaktas vid en sådan bedömning, men det är de faktiska omständigheterna i det enskilda fallet som är avgörande, dvs. vem eller vilka som faktiskt har utfört behandlingen av personuppgifterna.
I förarbetena till patientdatalagen anges ytterligare skäl till uppdelat personuppgiftsansvar vid sammanhållen journalföring. Eftersom vård-givarna själva fick bestämma hur sammanhållen journal skulle utformas var det olämpligt att i lagtexten peka ut personuppgiftsansvar (prop.
2007/08:126 s. 134). Samma skäl kvarstår även nu. Regeringen anför att det är olämpligt att peka ut personuppgiftsansvar då lagstiftaren inte kan fullt ut förutse hur sammanhållen vård- och omsorgsdokumentation ska utformas i praktiken. Lagförslaget syftar till att ge huvudmännen de legala förutsättningarna att upprätta sammanhållen vård- och omsorgs-dokumentation. Men huvudmännen har att själva bedöma i vilken mån de önskar ta tillvara de fördelar som den föreslagna lagen kan medföra.
Regeringen menar att huvudmännen måste ges möjlighet att väga de fördelar som den föreslagna lagen ger, med de behov och förutsättningar som finns lokalt och regionalt. Vissa remissinstanser har lyft att reglerna om personuppgiftsansvar bör ändras. Regeringen förstår att föreslagna regler om personuppgiftsansvar har en viss komplexitet. Det finns dock omedelbara fördelar att vidhålla redan befintliga regler för sammanhållen journalföring då det hunnit utvecklats en praxis på området. De erfarenheter som har gjorts tidigare kan vara en bra grund i det fortsatta utvecklingsarbetet.
Behov av föreskrifter kan komma i ett senare skede
I förarbetena till patientdatalagen anges att det både av organisatoriska skäl och av integritetshänsyn ibland kan finnas behov av en tydlig reglering av personuppgiftsansvaret för övergripande frågor. Det ansågs dock inte
127 möjligt att i förväg ange i vilka sådana fall en särreglering behövs,
eftersom det inte kunde förutses i vilken omfattning och i vilka former sammanhållen journalföring skulle utvecklas. I patientdatalagen infördes i stället en bestämmelse som ger regeringen eller den myndighet som regeringen bestämmer möjligheter att vid behov närmare reglera person-uppgiftsansvaret i övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder. Regleringen avses ta sikte på såväl generella för-hållanden som förför-hållanden vid en viss sammanhållen journalföring, se prop. 2007/08:126 s. 135. Några sådana föreskrifter har ännu inte ut-färdats.
I EU:s dataskyddsförordning ställs vissa krav på den personuppgifts-ansvarige om att bl.a. genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24). Åtgärderna ska ses över och uppdateras vid behov.
Som beskrivits ovan är det i detta skede svårt att förutse i vilken utsträck-ning möjligheten att införa sammanhållen vård- och omsorgsdokumenta-tion inom hälso- och sjukvården och vissa delar av socialtjänsten kommer att användas och i så fall hur sådana system kommer att utformas. Frågan om en viss vård- eller omsorgsgivare bör ha det övergripande ansvaret för tekniska och organisatoriska åtgärder beror bl.a. på hur samarbetet mellan de olika vård- och omsorgsgivarna kommer att se ut. Ett sådant behov kan dock komma vid ett senare skede. Regeringen, eller den myndighet som regeringen bestämmer, bör därför bemyndigas att meddela föreskrifter om vem som ska ha personuppgiftsansvar för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen vård- och omsorgsdokumentation.
Personuppgiftsansvaret om vård- eller omsorgsverksamhet upphör Frågan om personuppgiftsansvar när en vårdverksamhet upphör berörs i förarbetena till patientdatalagen. Det anges att i de fall en personuppgifts-ansvarig vårdgivare som deltar i sammamanhållen journalföring, upphör med sin verksamhet och denna verksamhet överförs till en annan vård-givare, kan den senare överta journaluppgifterna i fråga om patienterna går med på det. Likaså kan en myndighets hälso- och sjukvårdsverksamhet upphöra och övertas av en privat vårdgivare, ett enskilt organ, exempelvis på grund av bolagisering. Myndighetens journaler får då överlämnas till den privata vårdgivaren, om journalerna behövs i dennes verksamhet. Det regleras i 2 kap. 17 § tryckfrihetsförordningen och i lagen (1994:1383) om överlämnande av allmänna handlingar till andra organ än myndigheter för förvaring (se nuvarande 2 kap. 21 § tryckfrihetsförordningen och lagen [2015:602] om överlämnande av allmänna handlingar för förvaring). Även det omvända kan förekomma; att en privat verksamhet, inklusive patienter och journaler, återgår till en region eller en kommun vid upphörd entreprenad. För den fortsatta behandlingen och tillgängliggörandet i den sammanhållna journalen av övertagna journaluppgifter kommer den nye (eller nygamle) vårdgivaren (eller myndigheten) att ha motsvarande personuppgiftsansvar som den förre vårdgivaren. Det är under förut-sättning att den nye vårdgivaren också deltar i den sammanhållna journal-föringen, se prop. 2007/08:126 s. 135.
128
Det ovan beskrivna gäller i dag i de fall en offentlig eller privat vård-givare upphör med sin verksamhet, och bör gälla även när en givare som ingår i ett system med sammanhållen vård- och omsorgs-dokumentation upphör med sin verksamhet.
När det gäller omsorgsgivare kan det konstateras att det på motsvarande sätt kan förekomma att en personuppgiftsansvarig omsorgsgivare som ingår i ett system med sammanhållen vård- och omsorgsdokumentation, upphör med sin verksamhet. Att verksamheten upphör innebär i detta sammanhang att omsorgsgivaren inte längre ansvarar för eller utför sådana insatser som omfattas av den föreslagna regleringen om sammanhållen vård- och omsorgsdokumentation. Är det fråga om en privat omsorgs-givare kan t.ex. företaget som driver verksamheten gå i konkurs eller förlora en upphandling. Om verksamheten övertas av en annan privat omsorgsgivare, kan den senare omsorgsgivaren få kopior av omsorgs-dokumentationen och överta den tidigare omsorgsgivarens plats i den sammanhållna vård- och omsorgsdokumentationen. Enligt utredningen krävs att omsorgsmottagaren lämnar sitt samtycke till den avvikelsen från gällande tystnadsplikt och de övriga som ingår i systemet med samman-hållen vård- och omsorgsdokumentation godkänner eller åtminstone tolererar det. Den senare omsorgsgivaren är då i fortsättningen person-uppgiftsansvarig, medan den tidigare omsorgsgivaren inte längre får ingå i systemet med sammanhållen vård- och omsorgsdokumentation. Vidare kan en privat verksamhet återgå till offentlig verksamhet, t.ex. om kommunen inte tecknar ett nytt entreprenadavtal utan väljer att i stället bedriva verksamheten i egen regi. Den offentliga omsorgsgivaren (kommunen) som fortsätter att bedriva verksamheten är i dessa fall där-efter personuppgiftsansvarig för den fortsatta behandlingen och tillgängliggörandet i den sammanhållna vård- och omsorgsdokumenta-tionen, om den offentliga omsorgsgivaren väljer och får tillåtelse att delta i systemet med sammanhållen vård- och omsorgsdokumentation. Med omsorgsmottagarens samtycke får den offentliga omsorgsgivaren motta kopior av tidigare omsorgsdokumentation, och lägga in den i systemet med sammanhållen vård- och omsorgsdokumentation om inte omsorgs-mottagaren motsätter sig det. Kommunen är då personuppgiftsansvarig för all den dokumentation som kommunen tillfört systemet.
Det kan också inträffa att offentlig omsorgsverksamhet övergår i privat regi. Myndighetens omsorgsdokumentation får då överlämnas till den privata omsorgsgivaren, om det rör sig om allmänna handlingar och dokumentationen behövs i verksamheten, se 2 kap. 21 § tryckfrihets-förordningen och lagen om överlämnande av allmänna handlingar för förvaring. Den nya omsorgsgivaren blir då personuppgiftsansvarig för den fortsatta behandlingen och tillgängliggörandet av överlämnad dokumentation i systemet med sammanhållen vård- och omsorgs-dokumentation.
Är det i stället fråga om verksamhet som upphör helt utan att någon annan omsorgsgivare tar över, bör omsorgsdokumentation från verk-samheten inte längre ingå i systemet med sammanhållen vård- och omsorgsdokumentation. Det finns då inte längre någon omsorgsgivare som kan ansvara för och göra dokumentationen tillgänglig för de övriga vård- och omsorgsgivare som deltar i systemet med sammanhållen vård- och omsorgsdokumentation. Det är dock lämpligt om det framgår av
129 systemet att det kan finnas arkiverad omsorgsdokumentation och var man
kan få tag i den, dock utan att några personuppgifter framgår.