• No results found

Nationella kvalitetsregister DATAINSPEKTIONENS RAPPORT 2002:1

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Nationella kvalitetsregister DATAINSPEKTIONENS RAPPORT 2002:1"

Copied!
21
0
0

Loading.... (view fulltext now)

Download now ( 21 Page )

Full text

(1)

Nationella kvalitetsregister

DATAINSPEKTIONENS RAPPORT 2002:1

(2)

Innehållsförteckning

Inledning...2

Sammanfattning...3

Nationella kvalitetsregister...5

Tillämplig lagstiftning ...7

Personuppgiftslagen ... 8

Vem är personuppgiftsansvarig? ... 8

När är behandling av personuppgifter tillåten? ... 9

Förbud mot behandling av känsliga personuppgifter... 9

Information som ska lämnas självmant...11

Information som ska lämnas efter ansökan ...11

Anmälningsskyldighet ...12

Övrigt ...12

Genomförd tillsyn ... 13

Inspekterade register ...13

Registeransvarig/personuppgiftsansvarig ...13

Insamling av uppgifter ...14

Utlämnande av uppgifter...14

Information och samtycke ...15

IT-säkerhet...15

Avslutande synpunkter ... 17

(3)

Inledning

Inom hälso- och sjukvården förs sedan 1970-talet s.k. nationella kvalitets- register. Ett stort antal har tillkommit under senare år och i dag finns det ett 50-tal. Registren innehåller många känsliga personuppgifter.

Datainspektionen har under den tid datalagen gällde meddelat flera tillstånd för nationella kvalitetsregister. Vid tidigare inspektion av registren har Datainspek- tionen funnit vissa brister när det gäller skyddet för personuppgifterna i registren. Datainspektionen startade därför ett projekt för att dels undersöka hur datalagstillstånden efterlevdes, dels bedöma vad som gäller för behand- lingen av personuppgifter i registren sedan personuppgiftslagen (PuL) trädde ikraft fullt ut den 1 oktober 2001 och tillstånden upphörde att gälla. Inom ramen för projektet har Datainspektionen inspekterat tio av de nationella kvalitetsregistren. Inspektionerna har skett dels för att kontrollera hur de tillstånd som meddelades enligt datalagen efterlevdes, dels för att utreda vilka uppgifter som behandlas och hur dessa behandlas i syfte att kunna bedöma vad som gäller när personuppgiftslagen i stället är tillämplig.

Datainspektionens bedömning av rättsläget är att behandlingen av person- uppgifter som sker i de nationella kvalitetsregistren är förenlig med PuL:s regler och att de känsliga uppgifter som behandlas inom ramen för registren (i första hand uppgifter om hälsa) kan behandlas utan samtycke från de registrerade. Datainspektionen anser dock av flera skäl att det finns behov av att reglera personuppgiftsbehandlingen i de nationella kvalitetsregistren i en särskild registerförfattning, vilket Datainspektionen kommer att framföra till regeringen.

Stockholm i januari 2002

(4)

Sammanfattning

Eftersom de nationella kvalitetsregistren har olika syften, varierar deras innehåll och omfattning. Ett övergripande syfte med registren är dock att öka kunska- pen om medicinska åtgärder och ingrepp för att därmed göra det möjligt att förbättra kvaliteten inom svensk hälso- och sjukvård. Antalet personer som omfattas av rapporteringen till registren och hur många enheter/sjukhus som deltar varierar. Enheterna lämnar patientdata till registren, t.ex. personnummer och diagnos. Vidare rapporteras normalt vilka åtgärder som vidtas och vilka effekter de har på hälsotillståndet. Det innebär att registren innehåller känsliga personuppgifter.

Uppgifterna sammanställs och resultaten återrapporteras till de deltagande klinikerna i avidentifierad form. Man gör också sammanställningar för att jämföra resultaten med riksgenomsnittet. De avidentifierade uppgifterna presenteras även i bl.a. årsrapporter.

Datainspektionen har inspekterat tio av de nationella kvalitetsregistren för att kontrollera hur dataskyddsreglerna efterlevs. Två centrala frågor har varit om informationsskyldigheten enligt datalagen och personuppgiftslagen (PuL) uppfylls och om samtycke har inhämtats från de registrerade på ett korrekt sätt.

Inspektionerna har i flera fall visat att informationsskyldigheten inte uppfylls.

Tillstånd enligt datalagen som ställer krav på samtycke följdes endast i begränsad omfattning. När det gäller behandling enligt PuL råder det hos personuppgiftsansvariga viss osäkerhet om det är nödvändigt att inhämta patienternas samtycke för att få behandla känsliga uppgifter.

Inspektionerna har också visat att en del av dem som arbetar med behand- lingen av personuppgifter i de nationella kvalitetsregistren är osäkra på vem som är registeransvarig/personuppgiftsansvarig, vilket kan medföra olägen- heter för de registrerade. De vet t.ex. inte vem de skall vända sig till om uppgifterna om dem i registren är felaktiga.

Datainspektionen har bedömt att den behandling av personuppgifter – även de känsliga – som sker inom ramen för de nationella kvalitetsregistren har stöd i PuL även om den sker utan samtycke från de registrerade. Med hänsyn till att det övergripande syftet med registren är att förbättra kvaliteten på individnivå inom svensk hälso- och sjukvård har Datainspektionen ansett att behandlingen av personuppgifter som sker i registren är en arbetsuppgift av allmänt intresse och dessutom nödvändig för vård och behandling. De känsliga personuppgift- erna i kvalitetsregistren kan därför med stöd av 18 kap 1 stycket PuL behandlas utan samtycke från de registrerade.

(5)

Det är dock en stor mängd integritetskänsliga uppgifter som hanteras under lång tid i registren. Datainspektionen anser därför att regeringen bör överväga en registerlagstiftning som särskilt reglerar behandlingen av personuppgifter i de nationella kvalitetsregistren. En sådan reglering bör innehålla bestämmelser om personuppgiftsansvar, ändamål, vilken typ av uppgifter som får behandlas, åtkomst och bevarande. Datainspektionen har för avsikt att skriva till reger- ingen och påpeka behovet av en särreglering.

(6)

Nationella kvalitetsregister

De första nationella kvalitetsregistren startades i slutet av 1970-talet. Under 1990-talet tillkom ett stort antal och i dag finns enligt uppgift omkring 50 register. Någon klar definition av vad som är ett nationellt kvalitetsregister finns inte. Syftet är att öka kunskapen om medicinska åtgärder och ingrepp och därmed göra det möjligt att förbättra kvaliteten inom svensk hälso- och sjuk- vård. Många av dem var från början lokala eller regionala. För att få statliga medel för utveckling och drift krävs att syftet med verksamheten är att bedriva en nationell uppföljning av kvaliteten i vården. Registren behöver dock inte vara helt rikstäckande.

De nationella kvalitetsregistrens framväxt under senare år ska ses mot bak- grund av samhällets och sjukvårdens snabba förändring och de ökade kraven på patientorientering, effektivisering, uppföljning och kvalitet. Sedan 1997 finns också bestämmelser om kvalitetssäkring och kvalitetsutveckling i hälso- och sjukvårdslagen1, som föreskriver att kvaliteten i verksamheten systematiskt och fortlöpande ska utvecklas och säkras (§ 31). De nationella kvalitetsregistren anses vara en viktig del av vårdens kvalitetsarbete.

Kravet på kvalitetssäkring och kvalitetsutveckling har medfört att personal inom olika landsting på eget initiativ har startat kvalitetsregister. Normalt är det en styrelse eller nämnd inom det landsting där personuppgifterna samlas in som är registeransvarig/personuppgiftsansvarig. Det är alltså inte Social- styrelsen eller någon annan förvaltningsmyndighet som är ansvarig. Den som ansvarar för ett nationellt kvalitetsregister verkar för att andra enheter/sjukhus som ger samma typ av vård och behandling rapporterar till registret.

Några exempel på nationella kvalitetsregister som förs i dag är: Nationellt prostatacancerregister, Nationellt diabetesregister, RIKSÄT – Nationellt kvalitetsregister för ätstörningsbehandling, Svenska hjärtkirurgiregistret och Svenskt hörselbarnsregister.

Registren har olika syften och därför varierar också innehållet och omfattningen av dem. Vanligtvis innehåller registren dock bl.a. följande uppgifter:

• Patientdata (personnummer, ålder, kön, diagnos, etc.)

• Åtgärder (t.ex. operationer)

• Effektdata (uppgifter som på något sätt mäter resultatet av insatsen)

• Variabler som beskriver komplikationer

1 SFS 1982:763

(7)

• Effekter på hälsan, både när det gäller medicinska förhållanden och livskvalitet

• Sammanställningar av resultaten

Det är inte bara registrens innehåll och omfattning som varierar, utan också hur länge de förs. Det finns exempel på register som har förts i över 20 år.

Förutom att visa hur kvaliteten varierar över tiden, gör kvalitetsregistren det möjligt för en klinik att jämföra sig med andra kliniker. Resultat presenteras också i årsrapporter och andra sammanställningar som ger en överblick av utvecklingen i landet som helhet. Rapporteringen från registren är ett stöd för det lokala kvalitetssäkringsarbetet och utgör en redovisning av sjukvårdens resultat för patienterna. För patienterna gör registren nytta på flera sätt. De används som underlag för beslut om behandlingsmetod för den enskilde patienten eftersom registerdata gör det möjligt att utvärdera olika behandlings- metoder. Registren gör det vidare möjligt dels att implementera forsknings- resultat snabbare, dels att ge patienterna ett likvärdigt omhändertagande oberoende av geografi eller vårdgivare.

Även om syftena med kvalitetsregistren kan variera något synes ett viktigt syfte vara att utjämna de skillnader som finns i hälso- och sjukvården när det gäller utbud, tillgänglighet, kliniska resultat och långsiktig patientnytta.

Socialstyrelsen bevakar att hälso- och sjukvården har ändamålsenliga kvalitets- system. Landstingsförbundet och Socialstyrelsen samverkar på central nivå och lämnar stöd, ekonomiskt och på andra sätt, för att skapa och utveckla de nationella kvalitetsregistren. I detta arbete medverkar också Svenska Läkaresäll- skapet. Socialstyrelsen sköter det administrativa arbetet på central nivå.

(8)

Tillämplig lagstiftning

I de nationella kvalitetsregistren samlas uppgifter som är hänförliga till enskilda individer. Uppgifterna bearbetas och återrapporteras i form av statistik. Det rör sig därför om behandling av personuppgifter. Tidigare gällde datalagen2 för nationella kvalitetsregister där behandling av personuppgifter hade påbörjats före den 24 oktober 1998. De tillstånd med föreskrifter som meddelades med stöd av datalagen skulle följas t.o.m. den 30 september 2001. Från detta datum upphörde tillstånden att gälla och personuppgiftslagen trädde ikraft fullt ut.

I de gamla datalagstillstånden meddelade Datainspektionen föreskrifter om ändamålet med registret. Normalt meddelade inspektionen också föreskrifter om vilka uppgifter registret fick innehålla, att den registeransvarige skulle se till att enskilda personer inte avslöjades i statistiska redovisningar, att information skulle lämnas till de registrerade om ett antal punkter, bl.a. att registreringen var frivillig. Det senare innebar att samtycke måste inhämtas från den enskilde.

Vidare meddelade Datainspektionen föreskrifter om IT-säkerhet.

Behandling av personuppgifter inom hälso- och sjukvården är idag reglerad såväl i personuppgiftslagen som i lagen om hälsodataregister och vårdregister- lagen. Personuppgiftslagen är dock bara tillämplig om det inte finns avvikande bestämmelser i en annan lag eller förordning och är alltså subsidiär i förhåll- ande till andra författningar. Lagen om hälsodataregister3 omfattar automa- tiserad behandling av personuppgifter inom hälso- och sjukvården som utförs av en central förvaltningsmyndighet. Central förvaltningsmyndighet definieras i lagen som en myndighet vilken enligt instruktion eller andra bestämmelser har ett ansvar för en eller flera verksamheter inom området, t.ex. Socialstyrelsen, Läkemedelsverket och Smittskyddsinstitutet. Eftersom det normala är att sjukvårdshuvudmännen är personuppgiftsansvariga för de nationella kvalitets- registren är lagen om hälsodataregister inte tillämplig på dessa register även om syftet med dem delvis är detsamma som för hälsodataregister. Lagen om vård- register4 är enligt förarbetena5 inte tillämplig när ett register förs enbart för ändamålet kvalitetssäkring.

Ovanstående innebär att det för närvarande inte finns någon särskild register- författning som gäller för nationella kvalitetsregister utan att personuppgifts- lagen6 (PuL) gäller.

2 SFS 1973:289

3 SFS 1998:543

4 SFS 1998:544

5 SOU 1995:95 Hälsodataregister Vårdregister s. 219.

6 SFS 1998:204

(9)

Personuppgiftslagen

Fr.o.m. den 1 oktober 2001 gäller personuppgiftslagen för alla nationella kvalitetsregister oavsett när behandlingen av personuppgifter påbörjades eftersom övergångsbestämmelserna till datalagen då upphörde att gälla.

Personuppgiftslagen grundar sig på ett EG-direktiv från 19957 (nedan data- skyddsdirektivet). Sverige är skyldig att följa dataskyddsdirektivet och får inte ha en lagstiftning som är strängare eller mildare än vad direktivet medger.

Innebörden av dataskyddsdirektivet bestämmer därför till stor del innebörden av den svenska lagstiftningen. Personuppgiftslagen bygger på den restriktiva tekniken att först förbjuda all behandling av personuppgifter och sedan räkna upp de fall där behandling är tillåten trots förbudet. För att behandlingen av personuppgifter i de nationella kvalitetsregistren skall vara lagenlig krävs därför att det finns stöd i PuL. Ett speciellt problem när det gäller kvalitetsregister inom hälso- och sjukvård är att dessa i stora delar innehåller uppgifter om enskilda personers hälsa. Sådana personuppgifter betecknas i PuL som s.k.

känsliga uppgifter och för dem gäller ett särskilt starkt integritetsskydd.

I princip råder det förbud mot att behandla känsliga uppgifter utan samtycke från de registrerade. Det finns dock vissa undantag från förbudet.

Nedan följer en genomgång av vilka bestämmelser i PuL som aktualiseras när det gäller behandling av personuppgifter i nationella kvalitetsregister och en utredning av om personuppgiftsbehandlingen i dessa register har stöd i PuL.

Vem är personuppgiftsansvarig?

Enligt 3 § PuL är den personuppgiftsansvarig som själv eller tillsammans med andra bestämmer ändamålen och medlen för personuppgiftsbehandlingen.

Den som är personuppgiftsansvarig har ett skadeståndssanktionerat ansvar för att behandlingen av personuppgifter sker i enlighet med lagen. Som huvudregel kan därför bara fysiska personer, juridiska personer, utländska filialer eller myndigheter betraktas som personuppgiftsansvariga, inte några andra ”organ”

som saknar rättskapacitet och därför inte kan dömas att betala skadestånd. När en juridisk person eller en myndighet bedriver en viss behandling av person- uppgifter är den juridiska personen som sådan eller myndigheten som sådan att anse som personuppgiftsansvarig även om verksamheten bedrivs i filialer eller andra organisatoriska enheter.

När det gäller de nationella kvalitetsregistren är det vanligaste att personupp- giftsansvaret ligger hos sjukvårdshuvudmännen, dvs. styrelsen eller nämnden inom det landsting som står för verksamheten och inte hos den organisatoriska

7 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

(10)

enhet som står för insamlingen och administrationen av uppgifterna. Det är dock de faktiska omständigheterna i det enskilda fallet som avgör vem som är personuppgiftsansvarig. Man måste därför i varje enskilt fall ställa sig frågan vem som faktiskt bestämmer över behandlingen. Om två eller flera gemensamt bestämmer över en viss behandling är de personuppgiftsansvariga tillsammans.

När är behandling av personuppgifter tillåten?

För att behandling av personuppgifter över huvud taget skall vara tillåten enligt PuL krävs att den registrerade antingen har lämnat sitt samtycke till behand- lingen eller att behandlingen är nödvändig för någon av de situationer som räknas upp i lagen.

Behandlingen är bl.a. tillåten om den är nödvändig för att

• en arbetsuppgift av allmänt intresse ska kunna utföras, eller

• ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. (10 § PuL) De nationella kvalitetsregistren syftar normalt sett till att förbättra kvaliteten i hälso- och sjukvården, vilket Datainspektionen anser är en arbetsuppgift av allmänt intresse. Den behandling av personuppgifter som sker i registren är därför i de flesta fall att bedöma som nödvändig för att en arbetsuppgift av allmänt intresse ska kunna utföras och därför tillåten på denna grund.

Eftersom kvalitetsregistren innehåller uppgifter som betecknas som känsliga måste dock dessutom något av undantagen från förbudet mot behandling av sådana känsliga uppgifter vara uppfyllt.

Förbud mot behandling av känsliga personuppgifter

Som nämnts ovan är det oundvikligt att känsliga personuppgifter behandlas i de nationella kvalitetsregistren eftersom uppgifter om enskildas hälsa kan sägas vara en grundsten i registren. Enligt huvudregeln i PuL är det förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening.

Det är också förbjudet att behandla personuppgifter som rör hälsa eller sexualliv. Sådana uppgifter betecknas som känsliga. (13 § PuL)

Eftersom behandlingen av personuppgifter i nationella kvalitetsregister omfattar känsliga personuppgifter (hälsa) måste något av undantagen i PuL vara uppfyllt för att behandlingen ska vara tillåten. De undantag som är av intresse finns i 15, 18 och 19 §§ PuL.

(11)

• Känsliga personuppgifter får behandlas om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen (15 § PuL). Ett samtycke måste vara frivilligt, särskilt och informerat, dvs. vara lämnat efter det att den regi- strerade har fått information om behandlingen. Samtycket ska också vara en otvetydig viljeyttring. Definitionen av begreppet samtycke innebär att ett s.k. hypotetiskt samtycke inte kan godtas hur välgrundad gissningen

(hypotesen) än är om den registrerades inställning till behandlingen. Inte heller s.k. tyst samtycke kan godtas, dvs. att den registrerade informeras om en tilltänkt behandling och ges en viss frist för att motsätta sig behand- lingen. Om ett uttryckligt samtycke först inhämtas kan man alltså alltid behandla känsliga personuppgifter. De nationella kvalitetsregistren bygger dock inte alltid på samtycke.

• Känsliga personuppgifter får dock också behandlas för hälso- och sjukvårds- ändamål om behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård (18 § första stycket PuL). Det är framför allt denna undantagsbestämmelse som är intressant för personuppgiftsbehandlingen i kvalitetsregistren. Uppräkningen av syften i bestämmelsen täcker i prak- tiken nästan all behandling av personuppgifter som förekommer inom hälso- och sjukvårdsområdet. Den svenska bestämmelsen är densamma som den som finns i dataskyddsdirektivet, artikel 8.3, och anses främst vara av informativ och förtydligande karaktär. Eftersom det övergripande syftet med registren är att förbättra kvaliteten på individnivå inom svensk hälso- och sjukvård anser Datainspektionen att behandlingen av personuppgifter som sker i kvalitetsregistren sker för hälso- och sjukvårdsändamål och är nödvändig för vård och behandling. De känsliga personuppgifterna i kvalitetsregistren kan därför med stöd av 18 kap 1 stycket PuL behandlas utan samtycke från de registrerade.

• Den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt, får även behandla känsliga personuppgifter som omfattas av tystnadsplikten. Detsamma gäller den som är underkastad en liknande tystnadsplikt och som har fått känsliga personuppgifter från verksamhet inom hälso- och sjukvårdsområdet (18 § andra stycket PuL).8

• Känsliga personuppgifter får behandlas för forsknings- och statistikändamål om behandlingen är nödvändig på sätt som sägs i 10 § PuL och om samhälls- intresset av det forsknings- och statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Har behandlingen av känsliga personupp- gifter godkänts av en forskningsetisk kommitté ska förutsättningarna anses uppfyllda (19 § PuL). Med forskning avses i första hand den verksamhet som bedrivs vid etablerade institutioner, såsom universitet och högskolor

8 Jämför prop. 1997/98:44 s. 126.

(12)

eller privata, väletablerade forskningsinstitut. Med statistik avses numeriska sammanställningar av elementära observationer som kan hänföras till händelser, flöden eller tillstånd och verksamhet för att göra sådana sammanställningar9. Eftersom syftet med kvalitetsregistren främst är att göra kvalitetsuppföljningar och inte att framställa statistik eller utföra forskning blir denna bestämmelse troligen endast undantagsvis tillämplig.

Information som ska lämnas självmant

Oavsett om behandlingen av personuppgifter i kvalitetsregistren sker med stöd av samtycke eller på någon annan grund måste den personuppgiftsansvarige självmant lämna information till den registrerade.

Om personuppgifter samlas in från personen själv ska information lämnas i samband med insamlandet (23 § PuL).

Samlas uppgifterna in från en annan källa ska information i stället lämnas när uppgifterna registreras (24 § PuL).

Informationen ska innehålla uppgifter om den personuppgiftsansvariges identitet, ändamålen med behandlingen och all övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter i samband med behandlingen. Det kan t.ex. vara information om mottagare av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse (25 § PuL).

Information som ska lämnas efter ansökan

Den personuppgiftsansvarige ska till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller ej. Behandlas sådana uppgifter ska skriftlig information också lämnas om vilka uppgifter om den sökande som behandlas, varifrån dessa uppgifter har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut (26 § PuL).

Avsikten är att den personuppgiftsansvarige ska lämna ett utdrag med uppgifter från sina register eller andra samlingar av personuppgifter. När personuppgifter behandlas automatiserat ska alltså information om vilka uppgifter som behandlas lämnas genom att den registrerade får en datautskrift.10

9 Prop. 1997/98:44 s. 127.

10 Se vidare Datainspektionens allmänna råd om information till registrerade enligt personuppgiftslagen.

(13)

Anmälningsskyldighet

Till skillnad från datalagen ställer PuL inga krav på tillstånd för att få inrätta och föra personregister. Den personuppgiftsansvarige måste i stället själv pröva om den aktuella behandlingen av personuppgifter är tillåten. Däremot ska behandling av personuppgifter som är helt eller delvis automatiserad anmälas till Datainspektionen (36 § PuL).

Det finns omfattande undantag från anmälningsskyldigheten. En anmälan behöver t.ex. inte göras om den personuppgiftsansvarige har utsett och anmält ett personuppgiftsombud. En anmälan behöver inte heller göras om

behandlingen sker med de registrerades samtycke.11

Övrigt

Den personuppgiftsansvarige är naturligtvis skyldig att följa övriga bestäm- melser i PuL, bl.a. 22 § om behandling av personnummer, 28 § om rätten till rättelse, 31-32 §§ om säkerhetsåtgärder och 33-35 §§ om överföring av person- uppgifter till tredje land. Dessutom ska den personuppgiftsansvarige följa de grundläggande kraven på behandlingen av personuppgifter i 9 §. Dessa krav anger bl.a. att personuppgifter inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in och att uppgifter inte får bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.

11 Anmälan om behandling av personuppgifter enligt 36 § första stycket PuL samt ändring av tidigare anmälan görs på en särskild blankett som kan beställas från Datainspektionen eller hämtas på www.datainspektionen.se. Upplysningar om de undantag från

anmälningsskyldigheten som följer av PuL, personuppgiftsförordningen (1998:1191) och Datainspektionens föreskrifter (DIFS 1999:3) finns på blanketten och även i

informationsbladet ”Anmälan och förhandskontroll” som kan beställas eller hämtas på webbplatsen.

(14)

Genomförd tillsyn

För att kontrollera hur personuppgifter behandlas i de nationella kvalitets- registren har Datainspektionen genomfört tillsyn av tio register. Dessförinnan träffade Datainspektionen representanter för Socialstyrelsen som informerade om sitt arbete med de nationella kvalitetsregistren. Vid mötet diskuterades också frågor om personuppgiftsansvar och tillämpningen av personuppgifts- lagen.

Inspekterade register

Tillsynen har i åtta fall utförts som fältinspektioner i Göteborg, Uppsala och Örebro. I två fall har tillsynen varit s.k. skrivbordstillsyn som uppföljning av tidigare fältinspektioner.

Tillsyn enligt datalagen:

• Epilepsikirurgisk databas (skrivbordstillsyn)

• Forskningsregister hjärtsjukdomar (skrivbordstillsyn)

• Kvalitetsregister för barnhjärtkirurgi

• Nationellt kvalitetsregister för barn på tillväxthormonbehandling

• Nationellt kvalitetsregister för Läpp-Käk-Gomspaltsbehandling

• Register över biverkningar vid aferesbehandling

Tillsyn enligt personuppgiftslagen:

• RIKSÄT – Nationellt kvalitetsregister för ätstörningsbehandling

• Svenska kateterablatioregistret

• Svenska Psoriasisartritregistret (SwePsA)

• Svenskt anestesiregister

Registeransvarig/personuppgiftsansvarig

Vid inspektionerna framkom att vissa som behandlar personuppgifter i nationella kvalitetsregister är osäkra på vem som är register-/personuppgifts- ansvarig.

Datainspektionen redogjorde vid inspektionstillfällena för den definition12 av register-/personuppgiftsansvarig som finns i respektive lag och betonade att

12 Registeransvarig (datalagen): Den för vars verksamhet personregister förs, om han förfogar över registret. Personuppgiftsansvarig (PuL): Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

(15)

det inte är den fysiska personen som arbetar med registret som är register- /personuppgiftsansvarig.

Insamling av uppgifter

Antalet sjukhus/enheter som rapporterar till de granskade kvalitetsregistren varierar. Det beror på att viss vård och behandling lämnas vid ett stort antal kliniker, medan specialistvård endast ges vid ett fåtal. Vanligtvis deltog 5-10 sjukhus/enheter som tillsammans rapporterade uppgifter om 100-200 patienter per år. I enstaka fall deltog 50 respektive 100 enheter och som mest rappor- terades uppgifter om över 10 000 patienter per år.13

Enheternas personal samlar in uppgifterna som rapporteras till kvalitets- registren. Som regel fyller man i formulär som kvalitetsregistret tillhandahåller och skickar uppgifterna till den som sammanställer uppgifterna i kvalitets- registret. Uppgifterna sänds normalt med post, men i ett fall användes Internet och i ett annat fall planerar man att använda Sjunet14. För ett register finns planer på att registrera uppgifterna i en databas hos respektive enhet för att sedan vidarebefordra dem till kvalitetsregistret på diskett. Ett par av de granskade kvalitetsregistren inhämtar uppgifter direkt från berörda patienter.

De uppgifter som rapporteras skiljer sig åt mellan de olika registren. Normalt är det uppgifter om diagnos, vidtagna åtgärder och effekter på hälsan. Vidare rapporteras patientdata, t.ex. personnummer och kön. Det innebär att de nationella kvalitetsregistren innehåller känsliga personuppgifter.

Vid inspektionerna underströk Datainspektionen vikten av att vidta säkerhets- åtgärder när man skickar känsliga uppgifter. Det kan bl.a. innebära att

rekommenderat brev ska användas eller att uppgifterna ska krypteras vid överföring på datamedium.

Utlämnande av uppgifter

I kvalitetsregistren sammanställs de rapporterade uppgifterna. De deltagande enheterna får ta del av resultaten i form av avidentifierade sammanställningar som de kan använda för att jämföra sitt eget resultat med riksgenomsnittet.

Alla register som får statligt stöd ska årligen rapportera sina resultat till en beslutsgrupp. I den ingår representanter från Svenska Läkaresällskapet, Landstingsförbundet och Socialstyrelsen. Utöver detta förekommer det även att resultaten rapporteras t.ex. som tidskriftsartiklar.

13 Detta register var vid inspektionstillfället fortfarande på planeringsstadiet. Registreringen av personuppgifter skulle enligt planerna påbörjas i början av år 2001.

14 Ett nät för vissa anslutna landsting.

(16)

Endast två av de inspekterade registren samkörs idag med något annat register.

I båda fallen sker samkörning med register som Socialstyrelsen är ansvarig för.

Enligt de register-/personuppgiftsansvariga kan flera av de inspekterade kvalitetsregistren i framtiden komma att samköras med andra register.

Inspektionerna har visat att det finns register som utöver syftet att följa upp kvaliteten inom hälso- och sjukvården också används i forskningssyfte.

Information och samtycke

Två frågor som har varit centrala vid tillsynen är om den register/person- uppgiftsansvarige har lämnat den information som föreskrivs i datalagstillstånd och i PuL samt om samtycke har inhämtats från den registrerade på ett korrekt sätt. För de sex inspekterade kvalitetsregistren som förs med stöd av datalags- tillstånd föreskrivs att samtycke ska inhämtas efter att information har lämnats.

Fältinspektionerna visade att föreskrifterna följdes fullt ut endast i ett fall. I ett annat fall lämnades i stort sett fullgod information men något samtycke inhäm- tades inte. De övriga lämnade antingen inte någon information alls eller också var den information som lämnades bristfällig.

För de fyra inspekterade kvalitetsregistren, i vilka personuppgifter behandlas med stöd av PuL, gäller en långtgående skyldighet att lämna information. I två fall lämnades information som i hög grad överensstämmer med lagens krav.

De personuppgiftsansvariga för dessa register uppgav också att samtycke från dem som ska registreras är en förutsättning för behandlingen. I de övriga fallen saknades vid inspektionstillfällena utarbetad information som uppfyller lagens krav.15 Det rådde osäkerhet hos de personuppgiftsansvariga beträffande frågan om PuL kräver att samtycke inhämtas från de registrerade. De personuppgifts- ansvariga uppgav att de inte har för avsikt att inhämta samtycke om detta inte är ett krav enligt lagen.

IT-säkerhet

Vid fyra av inspektionerna granskade Datainspektionen användningen av IT.

Vid dessa inspektionstillfällen lämnades information om Datainspektionens nya allmänna råd för säkerhet, samt information om IT-säkerhetsföreskrifter enligt datalagen.

Datainspektionen anser att uppgifterna i de nationella kvalitetsregistren bör betraktas som känsliga personuppgifter även om de i vissa fall endast indirekt kan hänföras till en enskild person. Säkerhetsnivån bör vara hög när känsliga personuppgifter behandlas.

15 I dessa register hade vid inspektionstillfällena ingen registrering av personuppgifter påbörjats.

(17)

Utrustningen bör skyddas mot obehörig användning, påverkan och stöld genom typgodkända lås eller ständig uppsikt. Behörighet att behandla uppgifterna i registren bör kontrolleras med hjälp av ett tekniskt system och behörigheten till uppgifterna bör begränsas till dem som behöver uppgifterna i sitt arbete. Användaridentitet och lösenord ska vara personliga och får inte överlåtas på någon annan. Rutiner bör finnas för tilldelning och administration av behörigheter.

Åtkomst till uppgifterna bör kunna följas upp i efterhand genom en maskinell logg eller liknande maskinellt underlag om datorn används av mer än en person. Anslutning för extern datakommunikation bör skyddas, exempelvis med hjälp av kryptering.

Det är viktigt att de som behandlar personuppgifter anpassar säkerhetsåtgärd- erna efter den egna hotbilden. Organisatoriska åtgärder tillsammans med de tekniska åtgärderna bildar stommen för säkerhetsarbetet. Rutiner och regler för hantering av exempelvis säkerhetskopiering, skydd mot datavirus, utbildning av personal, hantering av behörigheter, incidenter osv. är en viktig del i säker- hetsarbetet.

(18)

Avslutande synpunkter

Antalet nationella kvalitetsregister har ökat de senaste åren. Datainspektionen bedömer att ökningen kommer att fortsätta. För att skydda den enskildes integritet är det viktigt att det finns tydliga regler för hur personuppgifter får behandlas i dessa register.

För de kvalitetsregister som påbörjades före den 24 oktober 1998 tillämpades de tillstånd med föreskrifter som meddelades med stöd av datalagen t.o.m. den 30 september 2001. Det innebar normalt att information skulle lämnas bl.a. om vem som var registeransvarig, vilka uppgifter som skulle bearbetas och att registreringen var frivillig. Det senare förutsatte att den enskilde hade lämnat sitt samtycke för att personuppgifter skulle få registreras. Vid sin tillsyn har Datainspektionen kunnat konstatera att de registeransvariga i mycket liten omfattning uppfyllde kraven på information och samtycke. Vissa av de inspek- terade registren har inte kunnat leva upp till kraven på grund av de

registrerades sjukdomstillstånd.

PuL gällde också enligt övergångsbestämmelserna för de kvalitetsregister som påbörjade sin behandling av personuppgifter fr.o.m. den 24 oktober 1998. Den 1 oktober 2001 blev PuL tillämplig för alla nationella kvalitetsregister eftersom övergångsbestämmelserna till datalagen då upphörde att gälla.

Det är den personuppgiftsansvarige som är ansvarig för att behandlingen av personuppgifter är laglig. Det råder ingen tvekan om att behandlingen av personuppgifter i nationella kvalitetsregister är tillåten enligt den grundläggande bestämmelsen i 10 § PuL. Eftersom de nationella kvalitetsregistren innehåller känsliga personuppgifter (hälsa) måste dessutom något av undantagen från för- budet mot behandling av sådana känsliga uppgifter vara uppfyllt.

Ett undantag är om de registrerade lämnar sitt samtycke. Känsliga person- uppgifter i nationella kvalitetsregister kan därför alltid behandlas med stöd av samtycke från de registrerade. Man bör dock observera att samtycket måste föregås av information till de registrerade16. Utöver undantaget för samtycke är undantagen i 18 och 19 §§ PuL av intresse. Man kan också med stöd av 18 § första stycket PuL behandla känsliga personuppgifter utan samtycke eftersom ändamålet med behandlingen i kvalitetsregistren är att förbättra kvaliteten i vård eller behandling inom hälso- och sjukvården. Även om personuppgifts- behandlingen sker utan samtycke krävs naturligtvis att de registrerade får nödvändig information.

16 Se ovan s. 11

(19)

Enligt 18 § andra stycket PuL får den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt behandla känsliga person- uppgifter som omfattas av tystnadsplikten. Datainspektionen anser att undantagets tillämpning får bero på hur verksamheten med registren är uppbyggd. Det är inte ensamt avgörande vilken tystnadsplikt som gäller för den verksamma personalen och varifrån uppgifterna hämtas.

Enligt 19 § PuL får känsliga personuppgifter behandlas för forsknings- och statistikändamål. Att behandla personuppgifter för kvalitetsuppföljning är enligt Datainspektionens bedömning normalt sett inte en behandling för forsknings- och statistikändamål. Personuppgiftsbehandlingen i de nationella kvalitetsregistren omfattas därför inte av detta undantag.

Inspektionerna inom ramen för Datainspektionens projekt har visat att det idag råder osäkerhet om det enligt PuL krävs ett samtycke för att få behandla känsliga personuppgifter i de nationella kvalitetsregistren. Det har vidare visat sig att sig att Datainspektionens föreskrifter om samtycke följdes i mycket liten omfattning. Brister har också kunnat konstateras i kvalitetsregistrens informa- tion till de registrerade och att det i vissa fall råder osäkerhet kring vem som är personuppgiftsansvarig. Datainspektionen finner att den nuvarande situationen är otillfredsställande ur integritetssynpunkt.

I förarbetena17 till lagen om hälsodataregister18 och lagen om vårdregister19 anges att kvalitetsregistren i sin nuvarande form är en särskild kategori av personregister inom hälso- och sjukvården. Det konstateras att uppgifterna i dessa register används för ändamål som ligger hälsodataregister nära. Dessa förhållanden kan tala för att kvalitetsregistren bör författningsregleras på samma sätt som hälsodata- och vårdregister. I betänkandet anges vidare att den föreslagna hälsodatalagen inte kan vara tillämplig på kvalitetsregistren med nuvarande registeransvar/personuppgiftsansvar eftersom den lagen endast ska vara tillämplig när en central förvaltningsmyndighet är ansvarig. Frågan om de nationella kvalitetsregistren lämnades utan något förslag till särskild

registerlagstiftning.

Med hänsyn till att det förekommer en omfattande behandling av mycket integritetskänsliga personuppgifter i kvalitetsregistren finns det enligt Datainspektionens uppfattning starka skäl för att låta de nationella kvalitets- registren omfattas av en särskild registerlagstiftning. I en sådan registerlag- stiftning bör det särskilt anges om behandlingen av personuppgifter får ske utan samtycke från den registrerade. Om de nationella kvalitetsregistren regleras genom en särskild registerlagstiftning ges det också möjlighet att ha

17 SOU 1995:5 Hälsodataregister Vårdregister s. 129-130.

18 SFS 1998:543

19 SFS 1998:544

(20)

tydliga bestämmelser t.ex. om vem som är personuppgiftsansvarig, vilken typ av uppgifter som får behandlas, vem som ska få ha åtkomst till uppgifterna och hur länge uppgifterna ska få bevaras. Datainspektionen har för avsikt att skriva till regeringen och påpeka behovet av en registerlagstiftning för de nationella kvalitetsregistren.

Mot bakgrund av vad som har framkommit vid tillsynen av de nationella kvalitetsregistren anser Datainspektionen också att det finns ett behov av information när det gäller tillämpningen av PuL: s bestämmelser på person- uppgiftsbehandlingen i kvalitetsregistren. För att i någon mån råda bot på detta och sprida ljus över dessa frågor har Datainspektionen för avsikt att via

Socialstyrelsen distribuera denna rapport till berörda personuppgiftsombud och personuppgiftsansvariga.

(21)

Besöksadress: Fleminggatan 14, plan 9 Postadress: Box 8114, 104 20 Stockholm Beställningar: 08-657 61 42 (telefonsvarare) E-post: datainspektionen@datainspektionen.se

Webbplats: www.datainspektionen.se

References

Download now ( PDF - 21 Page - 219.60 KB )

Related documents

VEM ANSVARAR FÖR VAD I DE NATIONELLA KVALITETSREGISTREN?

CPUA-myndigheten, genom den organisatoriska enhet eller förvaltning som utsetts av myndigheten att ansvara för kvalitetsregister, är genom lag ansvarig för ett kvalitetsregisters

Behandling av känsliga personuppgifter i testverksamhet

Den föreslagna ändringen har bakgrund i att behandlingen av biometriska data i testverksamhet kommer att behövas för att Sverige ska kunna förbereda sig för användandet av

Promemorian Behandling av känsliga personuppgifter i testverksamhet YTTRANDE

Förslaget i promemorian medför att känsliga personuppgifter får behandlas för testverksamhet inte bara av Polismyndigheten utan också av Migrationsverket och utlandsmyndigheterna

Informationssäkerhet inom ramen av GDPR - Utmaningar för personer som arbetar med känsliga personuppgifter

Denna studie syftar till att identifiera utmaningar med informationssäkerhet för personer som arbetar med känsliga personuppgifter.. Detta görs från ett

PROTOKOLL LEDNINGSFUNKTIONEN. Nationella Kvalitetsregister

Stora AU (interimistisk styrgrupp för kommunernas samverkan för kunskapsstyrning inom hälso- och sjukvården) har lämnat en förfrågan till Samverkansgruppen och Ledningsfunktionen

PROTOKOLL LEDNINGSFUNKTIONEN FÖR NATIONELLA KVALITETSREGISTER

Den Nationella stödfunktionen för kvalitetsregister och kunskapsstyrning ska publicera en uppföljning i form av en Nulägesrapport för 2019 som redovisar hur överenskommelsen om

Behandling av känsliga personuppgifter i testverksamhet enligt utlänningsdatalagen

Enligt en lagrådsremiss den 4 juni 2020 har regeringen (Justitiedepartementet) beslutat inhämta Lagrådets yttrande över förslag till lag om ändring i utlänningsdatalagen

Rutin för medverkan i nationella kvalitetsregister

Ansvarig hälso- och sjukvårdspersonal ansvarar för att muntligt informera patienten om aktuellt kvalitetsregister samt lämna dokumentet ”Bättre kvalitet i vården för dig”. Om