Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

(1)

Datum Diarienr

2010-10-11 1605-2009

Styrelsen för Karolinska Universitetssjukhuset 171 76 Stockholm

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) – Nationella kvalitetsregister, 7 kap. patientdatalagen

Datainspektionens beslut

Datainspektionen förelägger Styrelsen för Karolinska Universitetssjukhuset (Styrelsen) att

1. upphöra att lämna ut personuppgifter till SMS-registret till dess det står klart vilken myndighet inom hälso- och sjukvården som är personuppgiftsansvarig för central behandling,

2. upphöra att lämna ut personuppgifter till SMS-registret till dess Styrelsen försäkrat sig om att mottagaren behandlar

personuppgifterna i enlighet med 7 kap. 9 § patientdatalagen samt 31

§ personuppgiftslagen och 2 kap. 5 § SOSFS 2008:14,

3. upphöra att behandla personuppgifter i SMS-registret för andra ändamål än de i 7 kap. 4 och 5 §§ tillåtna, eller för vad som annars följer av 2 kap. 3 § patientdatalagen,

4. upphöra att behandla de registrerades namn i SMS-registret, och 5. ta fram och införa rutiner för sin åtkomstkontroll i SMS-registret i

enlighet med kraven i 4 kap. 3 § patientdatalagen och 2 kap. 11 § SOSFS 2008:14.

Vidare förutsätter Datainspektionen att Styrelsen vidtar åtgärder för att se till att de registrerade får den information om personuppgiftsbehandlingen i SMS-registret som följer av 7 kap. 3 § och 8 kap. 6 § patientdatalagen.

Datainspektionen förutsätter även att Styrelsen, i enlighet med 2 kap. 6 § SOSFS 2008:14, tar fram och inför rutiner för regelbunden uppföljning av sina behörigheter i SMS-registret.

Ärendet avslutas, men kan komma att följas upp.

(2)

Redogörelse för tillsynsärendet

Den 13 november 2009 inspekterade Datainspektionen Styrelsens personuppgiftsbehandling, som lokalt personuppgiftsansvarig, i det nationella kvalitetsregistret Svenska Multipel Skleros-Registret (SMS-

registret). Syftet med inspektionen var att kontrollera om Styrelsen behandlar personuppgifter i SMS-registret i enlighet med kraven i patientdatalagen och personuppgiftslagen. Under inspektionen och i samband med efterföljande kompletteringar har bl.a. följande framkommit.

SMS-registret har alltsedan år 2001 haft nationell täckning och fått finansiering som ett nationellt kvalitetsregister. År 2003 blev registret webbaserat med en central server i Halmstad. Det nationella registret innehåller ca 10 000 registrerade, varav omkring 3 000 från Stockolms län.

Registret leds av en styrgrupp bestående av representanter från fem olika delar av landet. Den ideella organisationen Svenska MS-sällskapet, kliniskt

verksamma personer över hela landet, tillsätter styrgruppen. Styrgruppen utgör på sådant sätt ett utskott inom Svenska MS-sällskapet.

Närmare uppgifter om vad som framkommit i ärendet och därmed legat till grund för Datainspektionens bedömning framgår av skälen för beslutet.

Tillämpliga rättsregler m.m.

Översikt

Bestämmelser om hanteringen av personuppgifter i nationella

kvalitetsregister finns huvudsakligen i 7 kap. patientdatalagen (2008:355).

Med kvalitetsregister avses enligt 7 kap. 1 § en automatiserad och strukturerad samling av personuppgifter som inrättats för ändamålet att systematiskt och fortlöpande utveckla och stärka vårdens kvalitet. Vidare följer av 7 kap. 2 § att personuppgifter inte får behandlas i ett nationellt kvalitetsregister om den enskilde motsätter sig det. I övrigt reglerar 7 kap. bl.a. frågor om

personuppgiftsansvar, kvalitetsregisters ändamål, utlämnande genom direktåtkomst, bevarande och gallring.

Ytterligare bestämmelser bl.a. rörande hanteringen av personuppgifter i hälso- och sjukvården återfinns i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring. Om inte annat följer av

patientdatalagen eller föreskrifter som meddelats med stöd av lagen, gäller dessutom personuppgiftslagens (1998:204) bestämmelser t.ex. i fråga om säkerheten vid behandling av personuppgifter enligt 30-32 §§.

(3)

Personuppgiftsansvar på olika nivåer (lokalt och centralt)

I 3 § personuppgiftslagen definieras personuppgiftsansvarig som ”den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter”. I patientdatalagen finns sedan särskilda bestämmelser om personuppgiftsansvar inom hälso- och sjukvården. För nationella kvalitetsregisters del innebär bestämmelserna att

personuppgiftsansvaret finns på olika nivåer; lokalt hos inrapporterande vårdgivare och centralt hos den aktör som ansvarar för kvalitetsregistret som helhet.

Av patientdatalagens grundläggande bestämmelse i 2 kap. 6 § följer att respektive privat vårdgivare och myndighet i kommun och landsting som bedriver hälso- och sjukvård, är personuppgiftsansvarig för sin egen

behandling av personuppgifter, d.v.s. den hantering som sker i samband med att personuppgifter registreras och rapporteras in till det nationella

kvalitetsregistret. Detta lokala personuppgiftsansvar omfattar även den hantering som sker när en befattningshavare hos vårdgivaren genom direktåtkomst tar del av vårdgivarens redan inrapporterande uppgifter. Det innebär att vårdgivaren är ansvarig för att följa patientdatalagens

grundläggande bestämmelser om inre sekretess, behörighetsstyrning och åtkomstkontroll.

Vidare följer av 7 kap. 7 § patientdatalagen att endast myndigheter inom hälso- och sjukvården får vara personuppgiftsansvarig för central behandling av personuppgifter i ett nationellt kvalitetsregister. Detta ansvar omfattar således den behandling av personuppgifter som sker på det samlade

kvalitetsregistret, d.v.s. innehållande uppgifter från samtliga inrapporterande vårdgivare. Till den centrala hanteringen hör bl.a. frågor om säkerhet,

utlämnande, framställning av nationell statistik, gallring och rättelse av personuppgifter. Om den centralt personuppgiftsansvarige anlitar en extern aktör för att t.ex. ta hand om driften av ett system och hantera

personuppgifter för den centralt ansvariges räkning, är denne enligt 30 § personuppgiftslagen skyldig att upprätta ett personuppgiftsbiträdesavtal med den externe aktören.

Skäl för beslutet

Tillåten behandling – utlämnande av personuppgifter

Datainspektionen konstaterar att Styrelsen, genom att lämna ut personuppgifter till SMS-registret utan att veta vilken myndighet som är personuppgiftsansvarig för den centrala behandlingen, behandlar personuppgifter i strid med det grundläggande kravet i 9 § punkten a) personuppgiftslagen. Datainspektionen förelägger därför Styrelsen att

(4)

upphöra att lämna ut personuppgifter till SMS-registret till dess det står klart vilken myndighet inom hälso- och sjukvården som är personuppgiftsansvariga för central behandling i SMS-registret.

Omständigheterna i ärendet och skälen för ovanstående bedömning är följande.

I ärendet har bl.a. framkommit att Styrelsen inte vet vem eller vilka som är personuppgiftsansvariga för den centrala behandlingen av personuppgifter i SMS-registret. Datainspektionen finner det anmärkningsvärt att det saknas en tydligt utpekad aktör som centralt personuppgiftsansvarig. Konsekvenserna av att detta är bl.a. att patienterna inte får information om vem som ansvarar för deras uppgifter. Patienten har således ingen att vända sig till t.ex. med begäran om utplåning och rättelse av personuppgifter. Det saknas även någon som kan besluta i frågor om gallring av personuppgifter i SMS-registret.

Vidare innebär det att det inte funnits någon aktör som ansvarat för att vidta de säkerhetsåtgärder som ska omgärda och påverka förutsättningarna för åtkomst till det nationella kvalitetsregistret.

Att systematiskt lämna ut känsliga personuppgifter om patienter utan veta vem som är mottagare av uppgifterna är inte förenligt vare sig med den aktuella sekretessregleringen eller med grundläggande bestämmelser i personuppgiftslagen. Den sekretessbrytande bestämmelsen till förmån för utlämnande av uppgifter till nationella kvalitetsregister som finns i 25 kap. 11

§ punkten 4) offentlighets- och sekretesslagen (OSL) förutsätter att

utlämnandet sker i enlighet med patientdatalagens krav. Det innebär i sin tur bl.a. att utlämnandet måste ske till en myndighet inom hälso- och sjukvården.

I annat fall gäller sekretess för uppgifterna enligt bestämmelsen om hälso- och sjukvårdssekretess i 25 kap. 1 § OSL. Sammantaget saknas således rättsliga förutsättningar att lämna ut uppgifter till ett nationellt

kvalitetsregister om det inte står klart att en myndighet inom hälso- och sjukvården är mottagare av uppgifterna och personuppgiftsansvarig för den centrala behandlingen. Mot denna bakgrund konstaterar Datainspektionen att Styrelsens utlämnande av personuppgifter till SMS-registret strider såväl mot hälso- och sjukvårdssekretessen i 25 kap. 1 § OSL som mot kravet i 9 § punkten a) personuppgiftslagen om att personuppgifter får behandlas bara om det är lagligt.

I ärendet har vidare framkommit att Svenska MS-sällskapet i praktiken vidtar en del åtgärder som berör den centrala hanteringen av personuppgifter. Det är exempelvis den s.k. forskningsnämnden vid Svenska MS-sällskapet som beslutar om personuppgifter ska lämnas ut från SMS-registret.

Datainspektionen finner det mycket oklart på vems uppdrag och ansvar ett

(5)

sådant utlämnande sker. Svenska MS-sällskapet kan, enligt bestämmelsen om personuppgiftsansvar i 7 kap. 7 § patientdatalagen, inte vara

personuppgiftsansvarig för central behandling. Sällskapets behandling av personuppgifter måste därför ha stöd och ske på uppdrag av den centralt personuppgiftsansvarige. Eftersom det saknas kännedom om vilken myndighet inom hälso- och sjukvården som är centralt

personuppgiftsansvarig, saknas stöd för Svenska MS-sällskapet att förfoga över frågor som rör behandlingen av personuppgifter i SMS-registret. Denna situation är otillfredsställande och visar tydligt på behovet av en

grundläggande genomlysning av det juridiska ansvaret för behandlingen av de registrerades personuppgifter.

Tillåten behandling – säkerhet och omfattning av uppgifter vid direktåtkomst Datainspektionen konstaterar att Styrelsen behandlar personuppgifter i strid med kravet i 9 § punkten a) personuppgiftslagen eftersom

Styrelsen lämnar ut personuppgifter till ett nationellt kvalitetsregister (SMS-registret) som i sin tur

a) möjliggör direktåtkomst till de mottagna uppgifterna över öppet nät endast genom inloggning med användarnamn och lösenord, samt

b) medger vårdgivare direktåtkomst till andra vårdgivares uppgifter.

Datainspektionen förelägger därför Styrelsen att upphöra att lämna ut personuppgifter till SMS-registret till dess Styrelsen försäkrat sig om att mottagaren behandlar personuppgifterna i enlighet med 7 kap. 9 § patientdatalagen samt 31 § personuppgiftslagen och 2 kap. 5 § SOSFS 2008:14.

I ärendet har framkommit att de tre, sinsemellan olika, vårdgivarna Karolinska Universitetssjukhuset, Danderyds sjukhus och Läkarhuset Odenplan har direktåtkomst till varandras inrapporterade uppgifter. Vidare har framkommit att direktåtkomst till personuppgifter i SMS-registret sker över öppet nät genom inloggning med användarnamn och lösenord.

SMS-registret är ett nationellt kvalitetsregister som innehåller

personuppgifter som vårdgivare över hela landet har rapporterat in (jfr 7 kap. 1

§ patientdatalagen). De personuppgifter som samlats in i ett nationellt kvalitetsregister är, enligt såväl offentlighets- och sekretesslagen som personuppgiftslagen, att betrakta som utlämnade från den inrapporterande

(6)

vårdgivaren till den centralt personuppgiftsansvarige myndigheten. När den inrapporterande vårdgivaren sedan nyttjar sin möjlighet, enligt 7 kap. 9 § patientdatalagen, till direktåtkomst till egna redan inrapporterade uppgifter äger ett nytt utlämnande rum. Detta innebär enligt Datainspektionen att den centralt personuppgiftsansvarige bl.a. har att svara för att utlämnandet genom direktåtkomst uppfyller de krav som följer av patientdatalagen och

personuppgiftslagen, t.ex. vad gäller omfattningen av uppgifter och säkerheten vid utlämnandet.

Av 7 kap. 9 § patientdatalagen följer att en vårdgivare får ha direktåtkomst till de uppgifter som vårdgivaren lämnat till ett nationellt kvalitetsregister. Den direktåtkomst som Karolinska Universitetssjukhuset, Danderyds sjukhus och Läkarhuset Odenplan har till varandras inrapporterade uppgifter är således olaglig. I sammanhanget ska även noteras att det av 5 kap. 4 §

patientdatalagen följer att utlämnande genom direktåtkomst till

personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning. Detta innebär bl.a. att den registrerade inte kan samtycka till en direktåtkomst som saknar lagligt stöd.

Av 31 § personuppgiftslagen följer att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de

personuppgifter som behandlas. Vid val av åtgärder ska hänsyn bl.a. tas till hur pass känsliga personuppgifterna är och vilka särskilda risker som finns med behandlingen. Bestämmelsen i 31 § personuppgiftslagen innebär enligt Datainspektionen att känsliga personuppgifter enligt personuppgiftslagen (t.ex. uppgifter om hälsa), får lämnas ut via Internet eller annat öppet nät endast till identifierade användare vars identitet är säkerställd med en teknisk funktion som asymmetrisk kryptering, exempelvis e-legitimation,

engångslösenord eller motsvarande. Vidare följer av 2 kap. 5 § SOSFS 2008:14 bl.a. att en vårdgivare som använder öppna nät för att hantera

patientuppgifter har ansvar för att det finns rutiner som säkerställer att åtkomst till patientuppgifter föregås av stark autentisering. Innebörden av ovanstående är att det inte är förenligt med varken personuppgiftslagen eller SOSFS 2008:14 att, som i SMS-registret, göra känsliga personuppgifter åtkomliga över Internet endast genom inloggning med användarnamn och lösenord.

I egenskap av personuppgiftsansvarig för sin hantering av personuppgifter i SMS-registret, ansvarar Styrelsen för att den behandling av personuppgifter som utlämnandet till det nationella kvalitetsregistret utgör är laglig. Om Styrelsen kan anta att mottagaren, i detta fall den myndighet som ansvarar för central personuppgiftsbehandling i SMS-registret, inte kommer att följa bestämmelserna i personuppgiftslagen vid den fortsatta behandlingen av

(7)

personuppgifterna, är Styrelsens utlämnande av uppgifter att betrakta som olagligt. Ett sådant utlämnande skulle nämligen strida mot det grundläggande kravet i 9 § punkten a) personuppgiftslagen om att den

personuppgiftsansvarige ska se till att personuppgifter behandlas bara om det är lagligt.

Ovanstående innebär att Styrelsen, med vetskap om de i ärendet konstaterade bristerna avseende direktåtkomst till uppgifter i SMS-registret, saknar lagligt stöd för att lämna ut personuppgifter till SMS-registret. Styrelsen ska därför upphöra att lämna ut personuppgifter till SMS-registret till dess Styrelsen försäkrat sig om att personuppgifterna behandlas på ett lagligt sätt.

Datainspektionen vill upplysningsvis informera Styrelsen om att ett lagligt utlämnande till SMS-registret möjliggörs antingen genom att de aktuella bristerna åtgärdas eller om den centralt personuppgiftsansvarige, så länge bristerna kvarstår, undandrar möjligheten till direktåtkomst för

inrapporterande vårdgivare. Detta förutsätter naturligtvis att Styrelsen äger kännedom om vilken myndighet inom hälso- och sjukvården som är centralt personuppgiftsansvarig.

Tillåten behandling – registrets användning som beslutsstöd

Datainspektionen konstaterar att Styrelsen, genom att använda uppgifter i SMS-registret som underlag och beslutsstöd i den

individinriktade vården, behandlar personuppgifter i strid med 7 kap.

6 § patientdatalagen. Datainspektionen förelägger därför Styrelsen att upphöra att behandla personuppgifter i SMS-registret för andra

ändamål än de i 7 kap. 4 och 5 §§ patientdatalagen tillåtna.

I ärendet har framkommit att SMS-registret används som beslutsstöd i den individinriktade vården, bl.a. eftersom kvalitetsregisterinformationen uppges utgöra ett bättre underlag än patientjournalen.

För att en behandling av personuppgifter i ett nationellt kvalitetsregister ska vara förenlig med patientdatalagen krävs att behandlingen sker för något av de i 7 kap. 4 och 5 §§ angivna ändamålen, d.v.s. kvalitetssäkring,

statistikframställning eller forskning. Enligt 7 kap. 6 § får personuppgifterna inte behandlas för något annat ändamål. Detta gäller så länge den

registrerade, enligt 2 kap. 3 § patientdatalagen, inte har lämnat uttryckligt samtycke till personuppgiftsbehandling för något annat ändamål än de i 7 kap. tillåtna.

(8)

I propositionen till patientdatalagen (prop. 2007/08:126 s. 180) anför regeringen följande av betydelse i sammanhanget.

”Av hänsyn till enskildas personliga integritet bör dock inga andra ändamål vara tillåtna. Det innebär att det inte är tillåtet att behandla personuppgifterna för andra ändamål även om dessa inte är oförenliga med det ändamål för vilket uppgifterna har samlats in, dvs. kvalitetssäkring. Personuppgiftslagens finalitetsprincip gäller alltså inte vid behandling av

personuppgifter i nationella eller regionala kvalitetsregister”.

Det är i nationella kvalitetsregister inte tillåtet med sådan

personuppgiftsbehandling som görs för att upprätta dokumentation, som behövs i och för vården av patienter eller för administration som rör patienter och som syftar till att ge vård i enskilda fall eller annars föranleds av vård i enskilda fall (jfr 2 kap. 4 § punkterna 1-2 och 7 kap. 4 och 5 §§

patientdatalagen). Att använda uppgifterna i SMS-registret som underlag för beslut om enskilda vårdåtgärder kan därmed inte anses ligga inom ramen för något av de i 7 kap. 4 och 5 §§ patientdatalagen tillåtna ändamålen. Inte heller har personuppgiftsbehandlingen föregåtts av de registrerades uttryckliga samtycke. Den behandling av personuppgifter som Styrelsen utför när SMS- registret används som beslutsstöd i den individinriktade vården saknar således rättsligt stöd.

Datainspektionen vill i sammanhanget förtydliga att den lokalt personuppgiftsansvariges behandling av personuppgifter genom direktåtkomst i ett nationellt kvalitetsregister alltid måste ha stöd i ändamålsbestämmelserna i 7 kap. 4 och 5 §§ patientdatalagen eller i

patientens uttryckliga samtycke. Direktåtkomsten får därmed endast ske för ändamål för vilka personuppgiftsbehandling i det nationella kvalitetsregistret är tillåten. Det innebär att det även saknas stöd för att nyttja direktåtkomst för att till en egen databas ”tanka hem” inrapporterade uppgifter och använda dem för något ändamål utöver vad som följer av ändamålsbestämmelserna eller patientens uttryckliga samtycke.

Information till registrerade

Datainspektionen bedömer att Styrelsen har förutsättningar att informera de registrerade om behandlingen av personuppgifter i SMS- registret, men konstaterar samtidigt att innehållet i informationen inte helt motsvarar kraven i 7 kap. 3 § och 8 kap. 6 § patientdatalagen.

Datainspektionen förutsätter därför att Styrelsen vidtar åtgärder för att se till att de registrerade får den information om

(9)

personuppgiftsbehandlingen i SMS-registret som följer av 7 kap. 3 § och 8 kap. 6 § patientdatalagen.

Information om personuppgiftsbehandlingen i SMS-registret ges till de registrerade genom att behandlande läkare delar ut en informationsblankett.

På blanketten lämnar patienten genom sin underskrift samtycke till

deltagande i registret. Samtycket skickas till behandlande läkare. Innehållet i blanketten framgår av bilaga 1.

Regeringen anför i propositionen (prop. 2007/08:126 s. 208) att det från integritetssynpunkt är angeläget att den registrerade får utförlig information om personuppgiftsbehandlingen. Informationen behövs för att den

registrerade ska kunna ta tillvara sina rättigheter i samband med

personuppgiftsbehandlingen. Vidare anför regeringen att informationen även är viktig för att skapa en nödvändig grund för allmänhetens förtroende för behandlingen.

För behandling av personuppgifter i nationella kvalitetsregister gäller

patientdatalagens allmänna bestämmelse om informationsskyldighet i 8 kap.

6 §. Av bestämmelsen följer att den personuppgiftsansvarige bl.a. ska se till att den registrerade får information om vem som är personuppgiftsansvarig, ändamålet med behandlingen, rätten att ta del av uppgifter enligt 26 § personuppgiftslagen, vad som gäller i fråga om bevarande och gallring, rätten till skadestånd m.m.

Utöver detta finns, i 7 kap. 3 § patientdatalagen, särskilda krav på information för nationella kvalitetsregister. Enligt bestämmelsen ska den

personuppgiftsansvarige, innan personuppgifter behandlas i ett nationellt kvalitetsregister, se till att den enskilde får information om

1. rätten att när som helst få uppgifter om sig själv utplånade i registret, 2. i vilken utsträckning personuppgifter inhämtas från någon annan

källa än från den enskilde själv eller dennes patientjournal, och 3. vilka kategorier av mottagare som personuppgifter kan komma att

lämnas ut till.

Det finns i patientdatalagen inget krav på att informationen till de registrerade ska lämnas på ett särskilt sätt, t.ex. skriftligt. I propositionen (prop. 2007/08:126 Patientdatalag m.m. s. 258) anför regeringen att det bör överlåtas åt varje personuppgiftsansvarig att bestämma hur informationen ska ges. En förutsättning är att varje personuppgiftsansvarig utarbetar rutiner för

(10)

hur informationsskyldigheten ska fullgöras. Enligt regeringen åligger det också den personuppgiftsansvarige att se till att informationen är utformad på ett sätt som kan förstås av den registrerade. När det gäller patienter som inte talar svenska bör den personuppgiftsansvarige se till att någon översätter informationen eller att det finns skriftliga informationsblanketter på flera språk.

Vidare anför regeringen (s. 249 f) följande av betydelse i sammanhanget.

”Säkra rutiner ligger i den personuppgiftsansvariges eget intresse, eftersom denne – då det gäller information till en registrerad vid personuppgiftsbehandling – anses ha bevisbördan för att obligatorisk information faktiskt har lämnats till patienten.”

Även om ovanstående uttalande lämnas i ett avsnitt som berör informationskravet vid sammanhållen journalföring är det enligt Datainspektionen gällande även vid behandling av personuppgifter i kvalitetsregister. Såväl kvalitetsregisterföringen som den sammanhållna journalföringen bygger på att patienten ska få information och ges rätt att motsätta sig personuppgiftsbehandlingen. För den personuppgiftsansvarige är det således nödvändigt att ha säkra rutiner både för att information faktiskt lämnas och att den uppfyller patientdatalagens krav på innehåll. Den personuppgiftsansvarige behöver därför tillhandahålla informationen på ett sådant sätt att den kommer samtliga registrerade till del. Det är i allmänhet inte tillräckligt att den personuppgiftsansvarige endast informerar exempelvis på Internet eller genom broschyr eller annat anslag i väntrum, om inte detta kompletteras med någon form av hänvisning till den registrerade att ta del av informationen. Eftersom hänsyn ska tas till den enskilde registrerades möjligheter att tillgodogöra sig informationen kan den

personuppgiftsansvarige även behöva olika informationsrutiner för olika kvalitetsregister.

När det gäller tillvägagångssättet för att informera de registrerade bedömer Datainspektionen att Styrelsen, genom att en informationsblankett faktiskt delas ut till patienten, har goda förutsättningar att leva upp till

informationskravet. Datainspektionen konstaterar dock att informationen om personuppgiftsbehandlingen i SMS-registret, som lämnas till de registrerade, har vissa brister. Det saknas information om att Styrelsen är

personuppgiftsansvarig för sin behandling av personuppgifter, om personuppgifter inhämtas från någon annan källa än den enskilde eller dennes patientjournal, vilka sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen, om rätten att få information om den direktåtkomst och elektroniska åtkomst som förekommit, rätten till

(11)

skadestånd vid behandling av personuppgifter i strid med patientdatalagen, vad som gäller ifråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling samt vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till.

I sammanhanget vill Datainspektionen även förtydliga att patientdatalagen inte innehåller krav på samtycke för behandling av personuppgifter i kvalitetsregister. Istället följer av 7 kap. 2 § patientdatalagen att

personuppgifter får behandlas i ett kvalitetsregister om den enskilde inte motsatt sig det (s.k. opt-out). Detta ska dock ses som ett minimikrav och innebär inget hinder för att, som Styrelsen, inhämta patienternas samtycke genom en underskriven informationsblankett. Samtidigt innebär Styrelsens lösning att det saknas förutsättningar för Styrelsen att behandla en patients personuppgifter i SMS-registret om patienten avstått från att skriva under och skicka in informationsblanketten. Det är därför viktigt för Styrelsen att ha en fungerande rutin för att följa upp om samtycke lämnas eller inte.

Personuppgifter som registreras

Datainspektionen konstaterar att Styrelsen, genom att registrera uppgifter om namn i SMS-registret, behandlar personuppgifter i strid med 7 kap. 8 § patientdatalagen. Datainspektionen förelägger

Styrelsen att upphöra med att behandla de registrerades namn i SMS- registret.

I ärendet har framkommit att Styrelsen, förutom medicinska uppgifter, bl.a.

behandlar uppgifter om namn och personnummer. Registreringen av personnummer görs för att kunna identifiera patienten och kunna köra registret mot andra register. Styrelsen har inte gjort någon särskild bedömning av behovet av att registrera patienternas namn.

Av 7 kap. 8 § patientdatalagen följer att endast uppgifter som behövs för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet får

behandlas i ett nationellt kvalitetsregister. Vidare följer att en enskilds

personnummer eller namn endast får behandlas om det inte är tillräckligt, för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet, att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde. I propositionen Patientdatalag m.m. prop.

2007/08:126 s. 261 anför regeringen att paragrafen utgår från förutsättningen att kvalitetsregister i första hand ska bygga på användningen av kodade personuppgifter eller indirekt utpekande personuppgifter, t.ex. ålder, kön och

(12)

hemort i kombination med sjukdomsrelaterade uppgifter. Regeringen anför även att behandling av personnummer kan vara tillåten om

registeruppgifterna ska samköras med andra register för

kvalitetssäkringsändamål eller att patienterna ska följas upp över lång tid.

För att det ska vara lagligt att registrera enskildas namn i kvalitetsregister krävs att det, med hänsyn till ändamålet med behandlingen, inte är tillräckligt att använda kodade uppgifter. Den personuppgiftsansvarige behöver således göra en noggrann bedömning av behovet av att registrera personuppgifter som direkt pekar ut den registrerade. Styrelsen har inte gjort någon sådan bedömning.

Gallring

Datainspektionen konstaterar att personuppgifter i SMS-registret inte gallras, men vidtar dock inga åtgärder mot Styrelsen i denna del. Det motiveras av att det är den centralt personuppgiftsansvarige som har att följa bestämmelsen om gallring i 7 kap. 10 § patientdatalagen.

I ärendet har Styrelsen framfört att uppgifter i SMS-registret inte gallras.

Något särskilt beslut om bevarande har heller inte fattats. Av 7 kap. 10 § patientdatalagen följer att personuppgifter i ett nationellt kvalitetsregister ska gallras när uppgifterna inte längre behövs för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Från detta kan dock undantag göras, t.ex.

genom beslut från arkivmyndighet i landsting eller kommun. Bestämmelsen innebär således att det krävs ett aktivt ställningstagande för att föreskriven gallring ska kunna underlåtas. Det är den myndighet som är ansvarig för central behandling av personuppgifter i det nationella kvalitetsregistret som har att iaktta bestämmelsen om gallring i 7 kap. 10 § patientdatalagen. Med hänsyn till detta vidtas inga ytterligare åtgärder mot Styrelsen i denna del.

Behörighetsstyrning

Mot bakgrund av vad som framkommit i ärendet bedömer

Datainspektionen att Styrelsen har förutsättningar att leva upp till kraven på behörighetsstyrning i 4 kap. 2 § patientdatalagen och 2 kap. 6

§ SOSFS 2008:14. I dagsläget saknas dock rutiner för regelbunden uppföljning av behörigheterna. Datainspektionen förutsätter att Styrelsen tar fram sådana rutiner för sin åtkomst till SMS-registret.

(13)

I ärendet har framkommit att tilldelning av behörigheter styrs av behov och sker lokalt genom en klinikadministratör, som även kan ta bort behörigheter.

Det finns dock ingen framtagen rutin för regelbunden uppföljning av behörigheter.

Av 4 kap. 2 § patientdatalagen följer att vårdgivaren ska bestämma villkor för tilldelning av behörigheter samt att behörigheterna ska begränsas till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter. Detta kompletteras sedan av bestämmelserna i 2 kap. 6 § Socialstyrelsens

föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. Av denna bestämmelse framgår följande.

- Det ska finnas rutiner som säkerställer att behörigheter begränsas till vad som behövs för en god och säker vård.

- Varje användare ska tilldelas en individuell behörighet.

- Beslut om tilldelning av behörighet ska föregås av en behovs- och riskanalys.

- Det ska finnas rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheterna.

Åtkomstkontroll

Datainspektionen konstaterar att Styrelsen, genom avsaknad av

rutiner för systematisk och återkommande åtkomstkontroll, inte lever upp till kraven i 4 kap. 3 § patientdatalagen och 2 kap. 11 § SOSFS 2008:14. Datainspektionen förelägger därför Styrelsen att ta fram och införa rutiner för åtkomstkontroll i SMS-registret i enlighet med kraven i 4 kap. 3 § patientdatalagen och 2 kap. 11 § SOSFS 2008:14.

I ärendet har framkommit att det finns åtkomstloggar som ger information om vilka åtgärder som vidtagits, när detta skett samt användarens och patientens identitet. Styrelsen har emellertid aldrig gjort någon åtkomstkontroll i SMS-registret och har heller ingen rutin som avser åtkomstkontroll.

Enligt 4 kap. 3 § patientdatalagen ska vårdgivare göra systematiska och återkommande kontroller av om någon obehörigen kommer åt

patientuppgifter. Detta kompletteras sedan av 2 kap. 11 § SOSFS 2008:14, där det bl.a. framgår att vårdgivaren ska ansvara för att det finns rutiner som säkerställer att

(14)

1. det av dokumentationen av åtkomsten (loggarna) framgår vilka åtgärder som har vidtagits med patientuppgifterna,

2. det av loggarna framgår vid vilken vårdenhet och vid vilken tidpunkt åtgärderna har vidtagits,

3. användarens och patientens identitet framgår av loggarna, och 4. systematiska och återkommande stickprovskontroller av loggarna

görs.

Av regeringens proposition 2007/080:126 s. 149 f framgår bl.a. följande avseende åtkomstkontroll. För att främja patientsäkerheten bör vårdgivarna åläggas att systematiskt och fortlöpande företa kontroller av om obehörig åtkomst till uppgifter om patienter förekommer. Regeringen föreslår att detta uttryckligen föreskrivs som ett krav i patientdatalagen. En sådan bestämmelse innebär inte bara att faktiska dataintrång med större säkerhet kommer att kunna beivras. Bestämmelsen bör även få en starkt avhållande verkan på personal att olovligen läsa uppgifter.

Rutinerna för åtkomstkontroll ska vara utformade på sådant sätt att de blir verkningsfulla i förhållande till den behandling av personuppgifter som sker hos vårdgivaren. En förutsättning för detta är bl.a. att berörd personal får tydlig information om logguppföljningarna och deras syfte. Vårdgivaren måste även kontinuerligt utvärdera rutinerna för åtkomstkontroll för att säkerställa att rutinerna är verkningsfulla.

Hur man överklagar

Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär.

Överklagandet ska ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt.

Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Hans-Olof Lindblom, teamledaren Erik Janzon, IT-

säkerhetsspecialisten Magnus Bergström och juristen Patrik Sundström, föredragande.

Göran Gräslund

Patrik Sundström

(15)