Sekretessbrytande regler inom hälso och sjukvård och

och sjukvård och socialtjänst

För att sekretesskyddade uppgifter ska få överföras mellan myndig- heter krävs att det finns bestämmelser som bryter sekretessen mellan myndigheterna. Som ovan nämnts finns en generell bestämmelse i offentlighets- och sekretesslagen som bryter sekretessen när det finns en lagstadgad uppgiftsskyldighet (se avsnitt 5.3). För hälso- och sjukvårdens del finns ett antal sekretessbrytande bestämmelser i 25 kap. offentlighets- och sekretesslagen. Sekretess hindrar exem- pelvis inte att uppgift lämnas från myndighet som bedriver verksam- het som avses i 25 kap. 1 §, dvs. hälso- och sjukvård eller annan medicinsk verksamhet, till en annan sådan myndighet i samma kom- mun eller region, dvs. som ingår i samma juridiska person (25 kap. 11 § punkt 1 och 2 OSL). Bestämmelsen gör det möjligt för en region eller kommun att fritt organisera sin hälso- och sjukvård utan 8 _{Prop. 1979/80:2 Del A, s. 84.}

hänsyn till att sekretess i princip råder mellan myndigheter. Regeln medför t.ex. ökade möjligheter till verksamhetsuppföljning inom en region eller en kommun. Även kommunala företag är att jämställa med myndigheter i detta sammanhang. Därmed är det tillåtet att utan hinder av sekretess lämna uppgifter mellan ett kommunalt bolag och den eller de nämnder i regionen som fullgör regionens arbetsuppgifter när det gäller hälso- och sjukvård.9 _{Någon motsva-}

rande bestämmelse finns inte på socialtjänstens område.

Hälso- och sjukvårdssekretess hindrar inte att uppgift om en per- son, som på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till utlämnandet, lämnas ut för att han eller hon ska få nöd- vändig vård, omsorg, behandling eller annat stöd (25 kap. 13 § OSL). Under de förutsättningarna får en myndighet inom hälso- och sjuk- vården lämna ut uppgifterna till en annan sådan myndighet inom hälso- och sjukvården eller inom socialtjänsten, eller till enskild vård- givare eller en enskild verksamhet på socialtjänstens område. Bestäm- melsen möjliggör ett uppgiftsutlämnande både inom sjukvården och från sjukvården till socialtjänsten. Någon motsvarande bestämmelse finns inte på socialtjänstens område. En myndighet inom social- tjänsten kan alltså inte under motsvarande förutsättningar lämna ut uppgifter till andra myndigheter eller privata utförare inom social- tjänsten eller hälso- och sjukvården.

I 25 kap. 12 § offentlighets- och sekretesslagen finns en sekre- tessbrytande bestämmelse som ger möjlighet till uppgiftslämnande inom hälso- och sjukvården samt socialtjänsten i vissa situationer där den stränga sekretessen för dessa verksamheter har ansetts försvåra angeläget samarbete när man inte kan räkna med att få samtycke till uppgiftslämnande. De fall som avses gäller barn eller ungdomar som far illa, personer med missbruksproblem, patienter som vårdas enligt lagen om psykiatrisk tvångsvård (LPT) och lagen (1991:1129) om rättspsykiatrisk vård (LRV) samt väntade barn som behöver skydd under graviditeten. Motsvarande sekretessbrytande bestämmelse finns i 26 kap. 9 § offentlighets- och sekretesslagen i fråga om sekre- tess till skydd för personer inom socialtjänsten. Bestämmelserna möjliggör samverkan mellan socialtjänst och hälso- och sjukvård om vissa grupper av enskilda.

9 _{Eva Lenberg m.fl., Offentlighets- och sekretesslagen, kommentaren till 25 kap. 11 § offentlig-}

Det finns en sekretessbrytande bestämmelse i 25 kap. 11 § punkt 3 offentlighets- och sekretesslagen som bryter hälso- och sjukvårds- sekretessen när en uppgift lämnas till en myndighet som bedriver hälso- och sjukvård eller till en enskild vårdgivare i ett system med sammanhållen journalföring. En närmare genomgång av sekretess för uppgift som ingår i system med sammanhållen journalföring i hälso- och sjukvården görs i avsnitt 6.10. Det finns inga motsvarande bestämmelser om elektronisk direktåtkomst mellan olika verksam- heter inom socialtjänsten. Således finns inte några motsvarande sekretessbrytande bestämmelser för socialtjänstens verksamheter.

6

Patientdatalagen

6.1

Allmänt om patientdatalagen

Patientdatalagen (2008:355), förkortad PDL, reglerar vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal. Patientdatalagen trädde i kraft 2008 och ersatte dåvarande patient- journallagen (1985:562) och lagen (1998:544) om vårdregister. I för- arbetena till patientdatalagen angavs att en utgångspunkt med den nya patientdatalagen var att underlätta hanteringen av personupp- gifter inom hälso- och sjukvården samtidigt som patientsäkerheten och patientens egen möjlighet till medverkan skulle stärkas. Regel- verket anpassades för att på ett bättre sätt svara mot de nya möjlig- heter som fanns att utbyta patientinformation som lagrats elektro- niskt. Ett uttalat syfte var också att underlätta informationsutbyte mellan vårdgivare och mellan vårdgivare och patient. Det betonades samtidigt att skyddet för patientens integritet skulle vara första prioritet.1

En av de stora nyheterna med patientdatalagen var möjligheten till sammanhållen journalföring över vårdgivargränser som infördes i 6 kap. patientdatalagen. Sammanhållen journalföring gör det möjligt för olika vårdgivare att genom elektronisk direktåtkomst utbyta information om patienter. Patientdatalagen innehåller även grund- läggande bestämmelser om s.k. inre sekretess och elektronisk åt- komst i en vårdgivares verksamhet (4 kap. PDL). Därtill finns bestämmelser om skyldighet att föra patientjournal (3 kap. PDL) och om nationella och regionala kvalitetsregister (7 kap. PDL).

Patientdatalagen är en ramlagstiftning, som anger vilka grund- läggande principer som ska gälla för informationshanteringen avse- ende uppgifter om patienter inom all hälso- och sjukvård. Patient- 1 _{Prop. 2007/08:126 s. 34.}

datalagen syftar till att informationshantering inom hälso- och sjuk- vården ska vara organiserad så att den tillgodoser patientsäkerhet och god kvalitet samt främjar kostnadseffektivitet. Samtidigt ska personuppgifter utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras. Dokumenterade person- uppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem (1 kap. 2 § PDL). Kompletterande och mer detaljerade bestämmelser finns i patientdataförordningen (2008:360) och i Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF- FS 2016:40).

I det följande görs en genomgång av de bestämmelser i patient- datalagen som är av särskilt intresse för utredningens uppdrag. Sär- skilt fokus läggs på bestämmelserna om direktåtkomst genom sam- manhållen journalföring.

6.2

Patientdatalagens tillämpningsområde

Patientdatalagen är tillämplig på vårdgivares behandling av person- uppgifter, oavsett om vården bedrivs i offentlig eller enskild regi. Med offentlig vårdgivare avses statlig myndighet, region och kom- mun i fråga om sådan hälso- och sjukvård som myndigheten, regio- nen eller kommunen har ansvar för. Med privat vårdgivare avses annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (1 kap. 3 § PDL). Vårdgivare definieras på motsvarande sätt i patientsäkerhetslagen (2010:659), förkortad PSL.

Begreppet hälso- och sjukvård i patientdatalagen omfattar verk- samhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårds- lagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäk- ringsmedicinska utredningar, lagen (2019:1297) om koordinerings- insatser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering.

Patientdatalagen omfattar behandling av personuppgifter i all

individinriktad patientverksamhet som innefattar vård, undersök-

patientvård som inte ingår i begreppet hälso- och sjukvård enligt hälso- och sjukvårdslagen omfattas av patientdatalagen.2 _Patient-

datalagen är däremot inte tillämplig på den behandling av person- uppgifter som förekommer hos myndigheter som visserligen agerar inom hälso- och sjukvårdssektorn men som inte bedriver individ- inriktad patientvård, såsom Socialstyrelsen, Läkemedelsverket, Smitt- skyddsinstitutet och Hälso- och sjukvårdens ansvarsnämnd. Även verksamhet vid sjukvårdshuvudmännens läkemedelskommittéer och patientnämnder faller utanför patientdatalagens tillämpningsområde. Medicinsk forskning omfattas inte heller av patientdatalagens regel- verk. Undantaget är patientnära eller klinisk forskning hos en vård- givare som innefattar journalföring eller annan dokumentation som hör till vården. Behandling av personuppgifter i den rent administra- tiva verksamheten hos en vårdgivare faller också utanför patient- datalagens tillämpningsområde.3 _{Behandling av personuppgifter i}

verksamhet som faller utanför patientdatalagen regleras av data- skyddsförordningen, dataskyddslagen eller annan registerförfattning.

Patientdatalagen tillämpas på all helt eller delvis automatiserad behandling av personuppgifter samt manuell behandling av person- uppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sam- manställning enligt särskilda kriterier. Regleringen är således inte begränsad till särskilda datoriserade register, databaser eller andra elektroniska uppgiftssamlingar inom hälso- och sjukvården.4

6.3

Patientdatalagens förhållande

till dataskyddsförordningen

Som tidigare nämnts är dataskyddsförordningen direkt tillämplig i varje medlemsstat och har företräde framför nationell lagstiftning. Dataskyddsförordningen ger dock utrymme för kompletterande nationella bestämmelser av olika slag. Patientdatalagen är en sådan registerförfattning vars bestämmelser utgör en kompletterande natio- nell reglering på hälso- och sjukvårdens område. I patientdatalagen har 2 _{I 2 kap. 1 § hälso- och sjukvårdslagen definieras begreppet hälso- och sjukvård som åtgärder}

för att medicinskt förebygga, utreda och behandla sjukdomar och skador, sjuktransporter, och omhändertagande av avlidna. Hälso- och sjukvårdslagen omfattar inte tandvård enligt tand- vårdslagen.

3 _{Prop. 2007/08:126 s. 49 ff. och 222.} 4 _{Prop. 2007/08:126 s. 48.}

man tagit in en upplysning om att patientdatalagen kompletterar data- skyddsförordningen (1 kap. 4 § PDL). Patientdatalagen innehåller bestämmelser som särskilt gäller för vårdgivares behandling av patient- uppgifter i förhållande till annan behandling av personuppgifter.

Inför att dataskyddsförordningen skulle börja tillämpas i Sverige gjorde Socialdataskyddsutredningen en översyn av registerförfattning- arna inom Socialdepartementets verksamhetsområde. Socialdataskydds-

utredningens slutsats var att bestämmelser i registerförfattningar som

reglerar vilka typer av behandlingar och uppgifter författningen ska tillämpas på inte behövde ändras med anledning av dataskyddsförord- ningen. Dataskyddsförordningen ledde alltså inte till någon ändring av patientdatalagens tillämpningsområde.5