VÅRDEPISODERSÄTTNINGSSYSTEM
Behandling av personuppgifter för beräkning av individbaserad
vårdepisodersättning
En författningsanalys På uppdrag av IVBAR
Manólis Nymark
2013-03-27
IVBAR Juridik 2013-03-28
M. Nymark
1
Innehåll
I. Sammanfattning ........................................................................................... 5
II. Författningsanalysens slutsatser i punktform ................................................ 8 III. Författningsanalysens innehåll ............................................................... 17
1 Författningsanalysens bakgrund och syfte .................................................. 18 1.1 Nationell samverkan för utveckling av diagnosspecifika beskrivnings-
och ersättningssystem .................................................................................... 18 1.2 Författningsanalysen – en juridisk riskanalys ...................................... 20
1.3 Författningsanalysens uppdrag och avgränsningar .............................. 21 1.4 Författningsanalysens syfte................................................................. 23
1.5 Författningsanalysens utredningsmål .................................................. 24 1.6 Metod ................................................................................................. 25
2 Hantering av personuppgifter inom hälso- och sjukvården och
socialförsäkringens administration m.m. ............................................................ 26
2.1 Hälso- och sjukvårdslagen .................................................................. 26 2.2 Lagen om valfrihetssystem ................................................................. 27
2.3 Patientsäkerhetslagen ......................................................................... 28 2.4 Personuppgiftslagen ........................................................................... 28
2.5 Journalföring och informationshantering ............................................ 30 2.5.1 Tillåten användning av personuppgifter enligt patientdatalagen ...... 30
2.5.2 Sammanhållen journalföring ........................................................... 32 2.5.3 Socialstyrelsens föreskrifter ............................................................ 33
2.6 Bestämmelser om sekretess och tystnadsplikt ..................................... 33 2.6.1 Offentlighets- och sekretesslagen .................................................... 34
2.6.2 Allmänna bestämmelser om sekretess enligt OSL ........................... 34 2.6.3 Sekretess inom den offentliga hälso- och sjukvården ...................... 35
2.6.4 Sekretessbrytande bestämmelser och bestämmelser om undantag från
sekretess inom den offentliga hälso- och sjukvården................................... 36
2.6.5 Tystnadsplikt inom den enskilda hälso- och sjukvården .................. 38 2.6.6 Sekretess inom socialförsäkringens administration ......................... 39
2.6.7 Statistiksekretess ............................................................................ 42 2.6.8 Offentlighets- och sekretessförordningen (2009:641) ...................... 51
2.6.9 Statistiksekretessen och EU-rätten .................................................. 51 2.6.10 Utlämnande av personuppgifter – 21 kap. 7 § OSL ..................... 52
2.7 Kvalitetsregister ................................................................................. 54 2.7.1 Innehåll och användningsområden .................................................. 54
2.7.2 Personuppgifter i kvalitetsregistren ................................................. 55 2.8 Hälsodataregister ................................................................................ 58
2.8.1 Personuppgifter i hälsodataregister ................................................. 59 2.8.2 Mer om hälsodataregisterlagens ändamål ........................................ 59
2.8.3 Samkörning .................................................................................... 61 2.9 Läkemedelsregistret............................................................................ 61
2.10 Läkemedelsförteckningen ................................................................... 64 2.11 Receptregistret ................................................................................... 65
2.11.1 Inledning .................................................................................... 65
2.11.2 Receptregisterlagens förhållande till personuppgiftslagen ........... 66
IVBAR Juridik 2013-03-28
M. Nymark
2
2.11.3 Den enskildes inställning till personuppgiftsbehandling .............. 66 2.11.4 Receptregistrets ändamål ............................................................ 66
2.11.5 Personuppgiftsbehandling för andra ändamål .............................. 69 2.11.6 Registerinnehåll .......................................................................... 70
2.11.7 Sökbegrepp ................................................................................. 71 2.11.8 Utlämnande av uppgifter på medium för automatisk
databehandling ........................................................................................... 71 2.11.9 Direktåtkomst ............................................................................. 72
2.11.10 Uppgiftsskyldigheter för Apotekens Service AB ......................... 72 2.11.11 Gallring ...................................................................................... 74
2.11.12 Information ................................................................................. 74 2.11.13 Tystnadsplikt .............................................................................. 75
2.11.14 Behörighetstilldelning och åtkomstkontroll ................................. 75 2.11.15 Bemyndiganden .......................................................................... 75
2.12 Socialförsäkringsdatabasen ................................................................. 75 2.13 Lagen om den officiella statistiken ..................................................... 77
2.13.1 Inledning .................................................................................... 77 2.13.2 Regelverket på statistikområdet .................................................. 78
2.13.3 Begreppet statistik ...................................................................... 79 2.13.4 Tillämpningsområde m.m. .......................................................... 81
2.13.5 Uppgiftsskydd m.m. ................................................................... 81 2.13.6 Uppgiftsskyldighet...................................................................... 82
2.13.7 Behandling av personuppgifter ................................................... 83 2.13.8 Utlämnande av uppgifter i vissa fall ............................................ 83
2.13.9 Gallring ...................................................................................... 84 2.13.10 Tvångsmedel m.m. ..................................................................... 84
2.13.11 Förordningen (2001:100) om den officiella statistiken ................ 85 2.13.12 SCB:s föreskrifter ....................................................................... 87
3 Vårdepisodbaserade ersättningssystem m.m. .............................................. 88 3.1 Fritt vårdval........................................................................................ 88
3.2 Ersättningssystem för vårdproducenter ............................................... 88 3.3 Värdebaserad vård .............................................................................. 91
3.4 Vårdepisodersättningssystem .............................................................. 92 3.5 Vårdepisodersättningssystem i världen ............................................... 94
3.6 Utveckling av vårdepisodersättningssystem ........................................ 95 4 IVBAR:s modell för vårdepisodersättning och däri förekommande
databehandlingar ................................................................................................ 96 4.1 Inledning ............................................................................................ 96
4.2 Vårdepisodens livscykel ..................................................................... 96 4.3 Vårdepisodersättningen ...................................................................... 97
4.4 Hur ett ersättningsärende uppstår och förekommande databehandlingar
98
5 Bedömning .............................................................................................. 103 5.1 Inledning .......................................................................................... 103
5.2 Sjukvårdshuvudmannens rättsliga möjligheter att behandla
patientuppgifter för att bestämma vårdepisodbaserad ersättning ................... 104
5.2.1 Sjukvårdshuvudmannens behandling av patientuppgifter inom den
egna förvaltningen för ekonomiadministrativa ändamål m.m. ................... 105
5.2.2 Sjukvårdshuvudmannens behandling av patientuppgifter som härrör
från andra vårdgivare för ekonomiadministrativa ändamål m.m. ............... 106
IVBAR Juridik 2013-03-28
M. Nymark
3
5.2.3 Sekretess och tystnadsplikt mellan nämnder i ett landsting och mellan
vårdgivare ................................................................................................ 107
5.2.4 Valfrihet och konkurrens i hälso- och sjukvården hämmas av gällande
bestämmelser om sekretess och tystnadsplikt ........................................... 111
5.3 Sjukvårdshuvudmannens rättsliga möjligheter att med stöd av uppgifter
ur kvalitetsregister följa upp, ekonomiskt ersätta och styra offentliga och privata
vårdproducenter ........................................................................................... 113 5.3.1 Får en sjukvårdshuvudman använda uppgifter i ett regionalt eller
nationellt kvalitetsregister för att följa upp, ekonomiskt ersätta och styra
utförare av offentligt finansierad hälso- och sjukvård med hjälp av ett
ersättningssystem? ................................................................................... 114 5.3.2 Sjukvårdshuvudmannens rättsliga möjligheter att använda uppgifter i
ett regionalt eller nationellt kvalitetsregister för att följa upp, ekonomiskt
ersätta och styra offentligt finansierad hälso- och sjukvård med hjälp av ett
ersättningssystem? ................................................................................... 115 5.3.3 Sjukvårdshuvudmannens får ha direktåtkomst till egna vårdenheters
rapporterade patientuppgifter i ett regionalt eller nationellt kvalitetsregister?
117
5.3.4 En sjukvårdshuvudman får inte ha direktåtkomst till patientuppgifter
som ett privat vårdbolag rapporterat till ett kvalitetsregister? .................... 118
5.3.5 IVBAR får behandla personuppgifter i ett kvalitetsregister för en
vårdgivares räkning? ................................................................................ 119
5.3.6 Kvalitetsregisteruppgifter som har inrapporterats av privata
vårdgivare som bedriver offentligt finansierad vård kan inte användas av
sjukvårdshuvudmannen för att följa upp och stimulera kvaliteten genom
ersättningssystem ..................................................................................... 120
5.4 Sjukvårdshuvudmannens rättsliga möjligheter att få ta del av
läkemedelsuppgifter i nationella informationskällor på läkemedelsområdet för
att följa upp, ekonomiskt ersätta och styra offentliga och privata
vårdproducenter ........................................................................................... 120
5.4.1 Inledning ...................................................................................... 120 5.4.2 Förskrivning av läkemedel och recept ........................................... 121
5.4.3 Ordination och ordinationsorsak ................................................... 124 5.4.4 En sjukvårdshuvudman varken kan eller får använda personuppgifter
i läkemedelsförteckningen och läkemedelsregistret för att följa upp,
ekonomiskt ersätta och styra utförare av offentligt finansierad hälso- och
sjukvård ................................................................................................... 125 5.4.5 En sjukvårdshuvudman får använda uppgifter i receptregistret för att
bl.a. följa upp, ekonomiskt ersätta och styra utförare av offentligt finansierad
hälso- och sjukvård .................................................................................. 127
5.5 Sjukvårdshuvudmannens rättsliga möjligheter att få ta del av uppgift om
förmåner i socialförsäkringsdatabasen för att följa upp, ekonomiskt ersätta och
styra offentliga och privata vårdproducenter................................................. 128 5.5.1 Inledning ...................................................................................... 128
5.5.2 Sjukvårdshuvudmannens rättsliga möjligheter att få ta del av uppgift
om förmåner i socialförsäkringsdatabasen för att följa upp, ekonomiskt
ersätta och styra offentliga och privata vårdproducenter ........................... 130 5.6 Sjukvårdshuvudmannens rättsliga möjligheter att få ta del av
befolkningsdata från SCB för att följa upp, ekonomiskt ersätta och styra
offentliga och privata vårdproducenter ......................................................... 133
IVBAR Juridik 2013-03-28
M. Nymark
4
5.6.1 Inledning ...................................................................................... 133 5.6.2 Medger statistiksekretessen att ett landsting kan begära och få
socioekonimiska uppgifter ur SCB:s befolkningsregister för att bestämma en
vårdepisodersättning? ............................................................................... 134
6 Avslutande synpunkter och slutsatser ....................................................... 136 6.1 Sjukvården måste skifta fokus från produktivitet till effektivitet ....... 136
6.2 Uppföljning och utvärdering av hälso- och sjukvården måste ske från ett
effektivitetsperspektiv .................................................................................. 136
6.3 Dagens ersättningssystem främjar produktivitet, inte effektivitet ...... 137 6.4 Beskrivnings- och ersättningssystemen måste utvecklas parallellt ..... 138
6.5 Vårdepisodbaserade ersättningssystem ............................................. 138 6.6 Sverige har goda förutsättningar för värdebaserad vård..................... 139
6.7 Identifierade författningsbehov för vårdepisodbaserad ersättning ...... 139 6.7.1 En författningsreglerad uppgiftsskyldighet behövs för SCB .......... 140
6.7.2 En författningsreglerad uppgiftsskyldighet behövs för
Försäkringskassan .................................................................................... 140
6.7.3 En författningsreglerad uppgiftsskyldighet behövs för främst privata
vårdgivare ................................................................................................ 141
6.7.4 En sekretessbrytande bestämmelse behövs för att landstinget och
andra vårdgivare ska kunna ta del av samtliga vårdgivares registeruppgifter
kring en och samma patient i ett kvalitetsregister...................................... 142 6.7.5 Vilka uppgifter får ett landsting ta del av och använda idag för att
beräkna en vårdepisodersättning? ............................................................. 142 6.7.6 Juridiska ”fallgropar” och lösningar .............................................. 143
6.8 Integritetsskyddet i personuppgiftsbehandlingen............................... 144 6.8.1 Pseudonymisering ........................................................................ 144
6.8.2 Användare på olika nivåer ............................................................ 145
IVBAR Juridik 2013-03-28
M. Nymark
5
I. Sammanfattning
I detta dokument presenteras en författningsanalys av behandling av
personuppgifter för beräkning av individbaserad vårdepisodersättning.
Författningsanalysen har genomförts på uppdrag av Institute for Value-Based
Reimbursement (IVBAR).
En författningsanalys kan beskrivas som en process för att identifiera eller
hantera risker. Behandling av personuppgifter regleras i personuppgiftslagen
(1998:204) samt i ett flertal olika registerförfattningar beroende på huvudman
eller verksamhet. Den som behandlar personuppgifter i strid med gällande rätt
riskerar skadestånd eller i vissa fall böter eller fängelse. Mot den bakgrunden är en
juridisk riskanalys nödvändig för att slå fast om en helt eller delvis automatiserad
behandling är laglig eller inte.
Analysen har bedrivits inom ramen för en förstudie om diagnosbaserade
beskrivnings- och ersättningssystem inom hälso- och sjukvården som finansieras
av Socialdepartementet. När förstudien är avslutad är avser VBAR att påbörja ett
forsknings- och utvecklingsarbete (FoU-arbete) som bl.a. ska syfta till att
identifiera minst sex diagnosområden för utveckling av nya beskrivnings- och
ersättningssystem samt stödja ett införande av dessa i medverkande landsting.
Parallellt med projektet ska IVBAR bedriva forskningsstudier om både
organisatoriska effekter av projektet samt effekter på kostnader och utfall.
Det övergripande syftet med FoU-arbetet är att underlätta för landstingen att
få bättre kontroll över hälso- och sjukvård som utförs av både egna förvaltningar
och andra vårdgivare med offentligt finansierade medel samt att skapa
ersättningssystem som stimulerar effektivitetsutvecklingen i hälso- och
sjukvården, dvs. förbättrar hälsoutfallet och minimerar resursåtgången.
De övergripande frågeställningar som författningsanalysen söker besvara är
dels vilka rättsregler som är tillämpliga på IVBAR:s modell för
vårdepisodersättningssystem, dels vilka begränsningar det finns i gällande rätt för
behandling av personuppgifter som planeras inom ramen för modellen. Analysen
ska vidare identifiera behov av nytt författningsstöd.
Författningsanalysen ger vid handen att ett landsting har stöd i gällande rätt
att på central nivå sambearbeta personuppgifter från egna förvaltningar och
nämnder för att bestämma en individbaserad vårdepisodersättning.
Personuppgiftsbehandlingen kräver inte patientens samtycke. Landstinget får även
för samma ändamål behandla sådana personuppgifter i ett kvalitetsregister som
man själv en gång har registrerat, liksom personuppgifter från kommunala
vårdbolag där landstinget har ett väsentligt inflytande. Sådan behandling får ske
utan patientens samtycke. Vidare får landstinget också behandla personuppgifter
som regelbundet lämnas ut av Apotekens Service AB till landstingen för
ändamålet medicinsk och ekonomisk uppföljning. Inte heller i detta fall krävs den
registrerades samtycke för utlämnandet.
Beträffande andra aktörer som förfogar över relevanta uppgifter för en
vårdepisodersättning har författningsanalysen identifierat ett flertal rättsliga
IVBAR Juridik 2013-03-28
M. Nymark
6
begränsningar eller hinder. Rättsliga begränsningar föreligger när ett landsting
önskar att få ta del av individrelaterade uppgifter som finns hos en annan
vårdgivare, t.ex. en privat vårdutförare. Begränsningen beror på att det råder
sekretess/tystnadsplikt mellan vårdgivare, och ett utlämnande av hälsorelaterade
uppgifter kräver patientens samtycke. Begränsningar har också identifierats i
Försäkringskassans och Statistiska Centralbyråns (SCB) sekretessbestämmelser
som reglerar deras förutsättningar att lämna ut uppgifter. Dessa aktörer är mer
eller mindre förhindrade att lämna ut personuppgifter relevanta för landstingets
uppföljnings- och beräkningsbehov med anledning av vårdepisodbaserad
ersättning. Begränsningar finns även när ett landsting önskar att få ta del av
personuppgifter om en patient i ett kvalitetsregister som har registrerats av en
privat vårdgivare, trots att den vården finansieras av landstinget.
För småskaliga försök med vårdepisodbaserade ersättningssystem kan de
rättsliga begränsningar som rör sekretess/tystnadsplikt mellan landstinget och
Försäkringskassan undanröjas genom att landstinget eller en annan aktör inhämtar
patientens samtycke för att få ta del av önskvärda personuppgifter och sedan
sambearbeta dem. I förlängningen krävs dock nya författningar om
uppgiftsskyldighet och sekretessgenombrott för att kunna automatisera ett
utlämnande av efterfrågade uppgifter till landstinget.
En av de mer angelägna åtgärderna på författningsområdet är att undanröja
den sekretess/tystnadsplikt för patientuppgifter som råder mellan landstinget och
en privat vårdgivare som bedriver sjukvård på uppdrag av landstinget. Varje gång
ett landsting möjliggör för en privat vårdproducent att bedriva hälso- och sjukvård
med offentlig finansiering reses automatiskt en tystnadspliktsgräns mellan dessa
verksamheter. Tystnadspliktsgränsen skulle inte finnas om landstinget själv skulle
utföra verksamheten; en gräns som försvinner om landstinget i ett senare skede
återtar driften av verksamheten. Samma problematik föreligger när ett landsting
önskar att få ta del av patientuppgifter som registrerats i ett kvalitetsregister av en
annan vårdgivare som bedriver vård på uppdrag av det landstinget. Regeringens
strävan mot allt större valfrihet och konkurrens i hälso- och sjukvården genom
bl.a. reformen om vårdvalssystem inom primärvården främjas inte alls i nuläget av
gällande bestämmelser om sekretess/tystnadsplikt .
Utredningen om rätt information i vård och omsorg (dir. 2011:111) ser för
närvarande över regelverket för informationsutbyte och personuppgiftsbehandling
inom och mellan hälso- och sjukvård och socialtjänst. Utredningen har ett brett
mandat och är lämplig mottagare av författningsanalysens förslag till
författningsändringar. Utredningen ska slutföra sitt uppdrag senast den 1
december 2013.
En sammanfattning i punktform av författningsanalysen och behoven av
författningsändringar redovisas nedan. Förslagen till författningsförändringar är
riktade till Socialdepartementet som ett underlag för vidare utredningsarbete inom
området.
IVBAR Juridik 2013-03-28
M. Nymark
7
Analysen är skriven för jurister, personuppgiftsansvariga,
utvecklingsansvariga, chefer, beslutsfattare m.fl. med intresse av de juridiska
villkoren kring utbyte av och behandling av personuppgifter för
vårdepisodbaserad ersättning.
IVBAR Juridik 2013-03-28
M. Nymark
8
II. Författningsanalysens slutsatser i punktform
Angående landstingets möjligheter att använda egna patientuppgifter samt
patientuppgifter hos kommunala vårdbolag på individnivå för att beräkna
vårdepisodbaserad ersättning och följa upp hälsoutfall
a) Ett landsting får med stöd av patientdatalagen (2008:355) maskinellt behandla
patientuppgifter på central nivå från olika verksamheter och nämnder som
bedriver hälso- och sjukvård för att kunna dels beräkna (prediktera) en
individuell och diagnosbaserad vårdepisodersättning åt en privat vårdgivare
som bedriver offentligt finansierad hälso- och sjukvård på uppdrag av
landstinget (vårdproducent), dels följa upp hälsoutfallet och vårdkostnaden
för varje patient hos vårdproducenten för att justera vårdepisodersättningen,
förutsatt att de grundläggande kraven i 9 § personuppgiftslagen är uppfyllda
vid personuppgiftsbehandlingen. Personuppgiftsbehandlingen kräver inte
patientens samtycke. Landstinget behöver inte heller vid behandlingen beakta
att vissa uppgifter i journalsystemet kan vara spärrade av patienten.
b) Enligt 25 kap. 11 § första punkten offentlighets- och sekretesslagen
(2009:400) hindrar inte sekretess att uppgifter som normalt omfattas av hälso-
och sjukvårdssekretess lämnas från en nämnd som bedriver hälso- och
sjukvård till en annan sådan nämnd i samma landsting. Med stöd av den
bestämmelsen får således en nämnd i ett landsting lämna ut patientuppgifter
till exempelvis landstingsstyrelsens beställarorganisation för att den ska
kunna bestämma en vårdepisodersättning åt en vårdproducent. Eftersom
beställarorganisationen i detta fall genom vårdepisodersättningen bl.a. styr
och kontrollerar vårdproducenternas verksamhet genom att bestämma den
individuella ersättningen per patient, får landstingsstyrelsen i dessa delar
anses bedriva hälso- och sjukvård. Även ett kommunalt bolag vari landstinget
har ett väsentligt inflytande får med stöd av den sekretessbrytande
bestämmelsen lämna ut patientuppgifter till landstingets beställarorganisation
för samma syfte.
c) Även om ingen sekretess gäller mellan hälso- och sjukvårdsnämnder i samma
landsting eller kommun, liksom patientspärrar inte hindrar ekonomisk eller
annan verksamhetsuppföljning, måste en patients uttryckliga önskemål om att
uppgifter om honom eller henne inte fritt ska lämnas till en annan nämnd
inom landstinget normalt respekteras på motsvarande sätt som gäller t.ex.
mellan olika kliniker inom en myndighet. Detta hänger samman med kravet i
hälso- och sjukvårdslagen att patientens självbestämmande och integritet ska
respekteras av en vårdgivare. Alla erbjudanden om hälso- och sjukvård,
IVBAR Juridik 2013-03-28
M. Nymark
9
bortsett från tvångsvård enligt särskilt lagstöd, är frivilliga erbjudanden för
patienten.
d) Ett landsting bör av integritetsskäl i möjligaste utsträckning pseudonymisera
sina behandlade patientuppgifter på central nivå. Pseudonymisering av
personuppgifter innebär att en identifierande (”öppen”) personuppgift (namn
och personnummer) ersätts med en pseudonym, som inte kan hänföras till
personen utan tillgång till översättningsmekanismen mellan personuppgift
och pseudonym. Pseudonymisering ska inte förväxlas med avidentifiering,
som innebär alla uppgifter som direkt eller indirekt kan härledas till person
utplånas och aldrig kan återskapas. Avidentifiering är inte aktuellt för
vårdepisodbaserade ersättning eftersom det omöjliggör sambearbetning av
data från flera vårdenheter och vårdgivare.
Angående landstingets möjligheter att använda patientuppgifter på individnivå
hos privata och offentliga vårdproducenter för att beräkna vårdepisodbaserad
ersättning till dessa och följa upp hälsoutfall hos dem
e) Mellan en privat eller offentlig vårdproducent och landstinget råder
sekretess/tystnadsplikt. Här kan inte åberopas några sekretessbrytande
bestämmelser för att främja ett informationsutbyte mellan landstinget och en
privat/offentlig vårdgivare. En privat/offentlig vårdproducent som bedriver
sjukvård på uppdrag av landstinget kan således endast lämna ut
patientuppgifter till landstinget (t.ex. för vård och behandling eller för att
landstinget ska kunna följa upp hälsoutfallet hos en patient som är föremål för
vård hos en vårdproducent) med stöd av patientens samtycke. Motsvarande
gäller om en vårdproducent har anlitat landstinget som personuppgiftsbiträde.
Vårdproducentens patientuppgifter anses här i juridisk mening inte utlämnade
till landstinget, trots att landstinget behandlar dem för vårdgivarens räkning i
landstingets egna informationssystem. Vårdproducentens patientuppgifter ska
i dessa fall hållas logiskt åtskilda från landstingets motsvarande uppgifter, och
utlämnande till landstinget för bestämmande av t.ex. vårdepisodersättning
eller uppföljning av hälsoutfall hos vårdproducenten kan endast ske med stöd
av patientens samtycke.
f) Varje gång ett landsting möjliggör för en privat eller offentlig vårdproducent
att bedriva hälso- och sjukvård med offentlig finansiering reses automatiskt
en sekretess- och tystnadspliktsgräns i förhållande till den verksamheten.
Sekretessgränsen skulle inte finnas om landstinget själv skulle utföra
verksamheten; en gräns som försvinner om landstinget i ett senare skede
återtar driften av verksamheten. Regeringens strävan mot allt större valfrihet
och konkurrens i hälso- och sjukvården genom bl.a. reformen om
vårdvalssystem inom primärvården främjas inte alls av gällande
IVBAR Juridik 2013-03-28
M. Nymark
10
integritetslagstiftning. Det är främst bestämmelserna om tystnadsplikt i
patientsäkerhetslagen (2010:659) och sekretess i offentlighets- och
sekretesslagen som hämmar utvecklingen av vårdepisodbaserade
ersättningssystem och innebär betydande problem för landstingets
informationsinhämtning. Problemen accentueras ju fler valfrihetssystem och
privata aktörer som etableras inom landstingets ansvarsområde. Det finns
således ett identifierat behov av en ny bestämmelse om en skyldighet för
privata och offentliga vårdgivare att lämna ut relevanta patientuppgifter till
landstinget för ändamålet kontroll och styrning (för att åstadkomma bästa
möjliga hälsoutfall med lägsta möjliga resursförbrukning) så att de politiska
initiativen kring ökad mångfald, större valfrihet för invånarna och tydligare
fokus på folkhälsa och prevention ska kunna slå igenom.
g) Ett sätt att lösa sekretesshindret är att landstinget eller vårdproducenterna vid
den första vårdkontakten med patienten inhämtar ett samtycke från patienten
som medger landstinget att ta del av de enskilda vårdproducenternas
personuppgifter om patienten och sambearbeta dessa för att bestämma en
vårdepisodbaserad ersättning till vårdproducenten. Samtycket ska föregås av
information om syftet med samtycket och dess räckvidd samt helst under
vilken period samtycket är giltigt. Lösningen motsvarar de generalfullmakter
som försäkringsbolag använder sig av för att ta del av patientjournaler vid
t.ex. vid en utredning av försäkringsfall. Samtyckeshanteringen är lämplig för
begränsade försöksverksamheter och rekommenderas inte som en allmän
modell för informationsutbyte för att fastställa en vårdepisodbaserad
ersättning.
Angående landstingets möjligheter att använda kvalitetsregisteruppgifter på
individnivå för att beräkna vårdepisodbaserad ersättning och följa upp hälsoutfall
både beträffande egna patienter och vårdproducenters patienter.
h) Bestämmelser om regionala och nationella kvalitetsregister finns i 7 kapitlet
patientdatalagen. Övervägande skäl talar för att ett landstings beräkning av
ersättning till en vårdproducent med hjälp av uppgifter ur ett regionalt eller
nationellt kvalitetsregister är ett legitimt ändamål som ryms inom det primära
ändamålet för att få behandla personuppgifter i ett sådant register
(”systematiskt och fortlöpande utveckla och säkra vårdens kvalitet”).
Anledningen är att ersättningen är ett styr- och kontrollinstrument för
landstinget för att åstadkomma bästa möjliga hälsoutfall med lägsta möjliga
resursförbrukning hos en vårdproducent. Det är emellertid huvudmannen för
kvalitetsregistret som självständigt beslutar om utlämnande av
kvalitetsregisteruppgifter för ett sådant ändamål. Landstingets behandling av
mottagna uppgifter har stöd i patientdatalagen, om de lämnas ut från ett
kvalitetsregister.
IVBAR Juridik 2013-03-28
M. Nymark
11
i) Landstingets beställarorganisation, normalt tillhörande landstingsstyrelsen,
får enbart ha direktåtkomst till de uppgifter som egna förvaltningar/nämnder
har rapporterat till ett regionalt eller nationellt kvalitetsregister. Däremot får
landstinget enligt patientdatalagen inte ha direktåtkomst till andra landstings
eller privata vårdgivares inrapporterade patientuppgifter i registret. Samma
begränsning gäller för alla vårdgivare som rapporterar uppgifter till ett
kvalitetsregister. I ett landsting där vårdcentralen eller något av sjukhusen
drivs i privat regi med offentlig finansiering saknar alltså landstinget
möjligheter till en effektiv och ändamålsenlig kvalitetssäkring, t.ex. i form av
en vårdepisodbaserade ersättning. Offentlighets- och sekretesslagen reser
tillsammans med patientdatalagen hinder för t.ex. det finansierande
landstinget att hantera patientuppgifter över vårdgivargränser för detta
ändamål. Motsvarande problem gör sig även gällande i exempelvis
rikssjukvården och i äldreomsorgen. Det finns således ett identifierat behov
av en sekretessbrytande bestämmelse som tillåter ett regionalt eller nationellt
kvalitetsregister att lämna ut relevanta patientuppgifter som registrerats av de
privata vårdproducenterna inom ett län till ett landsting så att de politiska
initiativen kring ökad mångfald, större valfrihet för invånarna och tydligare
fokus på folkhälsa och prevention ska kunna slå igenom.
j) Ett sätt att lösa sekretesshindret är att huvudmannen för kvalitetsregistret på
uppdrag av landstinget inhämtar vederbörligt samtycke från patienten som
bör innefatta ett medgivande för huvudmannen för registret att lämna ut
uppgifterna till landstinget och sambearbetas med andra vårdgivares samt
landstingets ”egna” patientuppgifter för att bestämma en
vårdepisodersättning.
k) Uppgifter i ett regionalt eller nationellt kvalitetsregister får också lämnas ut
på andra sätt till ett landsting eller annan rapporterande vårdgivare, t.ex. på
papper, CD-skiva eller filöverföring via nätverk, för kvalitetsregisterändamål
(7 kap. 4 och 5 §§ patientdatalagen). Utlämnande i dessa former får dock ske
först efter en sedvanlig menprövning enligt 25 kap. 1 § offentlighets- och
sekretesslagen, dvs. det ska stå klart att ett utlämnande till mottagaren inte
innebär men eller skada för patienten eller närstående. Risken för men eller
skada minskar givetvis om uppgifterna som efterfrågas saknar namn eller
personnummer. Utlämnande till andra än myndigheter kan göras med
sekretessförbehåll som inskränker mottagarens rätt att nyttja eller lämna
uppgifterna vidare. Uppgifter kan alltid lämnas ut med den registrerades
samtycke. Det är huvudmannen för kvalitetsregistret som beslutar
självständigt om utlämnande av kvalitetsregisteruppgifter.
IVBAR Juridik 2013-03-28
M. Nymark
12
l) Mellan ett landsting och ett kommunalt vårdbolag där landstinget har ett
väsentlig inflytande råder inte sekretess enligt offentlighets- och
sekretesslagen. Landstinget får dock inte ha direktåtkomst till vårdbolagets
rapporterade uppgifter i ett regionalt eller nationellt kvalitetsregister. Inget
hindrar dock att ett kommunalt vårdbolag, vilket har fått uppgifter från ett
kvalitetsregister som avser den egna verksamheten enligt ett beslut om
utlämnande av huvudmannen för registret, lämnar ut dem (utan hinder av
sekretess) till landstinget för vidare bearbetning på central nivå för
kvalitetsregisterändamål (7 kap. 4 och 5 §§ patientdatalagen).
Angående landstingets möjligheter att använda läkemedelsuppgifter på
individnivå för att beräkna vårdepisodbaserad ersättning och följa upp hälsoutfall
m) Författningsanalysen har gett vid handen att aktuella författningar som
reglerar Socialstyrelsens läkemedelsregister och den nationella
läkemedelsförteckningen inte medger att ett landsting får ta del av och
använda uppgifterna i dessa register för att följa upp, ekonomiskt ersätta och
styra vårdproducenter som bedriver offentligt finansierad vård på uppdrag av
landstinget. Enligt 6 § punkt 5 lagen (1996:1156) om receptregister får
receptregistret emellertid användas för registrering och redovisning till
landstingen av uppgifter för ekonomisk och medicinsk uppföljning samt för
framställning av statistik. Sådana uppgifter från Apoteken Service AB får
landstinget också med stöd av patientdatalagen således lagligen behandla om
det är nödvändigt för att följa upp, ekonomiskt ersätta och styra en
vårdproducent som bedriver offentligt finansierad hälso- och sjukvård på
uppdrag av landstinget. Behandlingen får innefatta bl.a. uppgift om
förskrivningsorsak. En väsentlig förutsättning för behandlingen är enligt
lagen om receptregister att uppgifter om patientens identitet som lämnas ut till
landstinget ska vara krypterade vid utlämnandet. Krypteringen ska bestå hos
landstinget.
n) Bevarandetiden för uppgifter i receptregistret är emellertid kort. Uppgifter
som kan hänföras till enskilda personer ska tas bort ur registret under den
tredje månaden efter den under vilken de registrerades. Om uppgiften behöver
bevaras antingen som underlag för tillämpningen av bestämmelserna om
läkemedelsförmåner vid köp av läkemedel m.m. eller för registrering av
recept och blanketter som används för flera uttag, samt registrering av
dosrecept och elektroniska recept, ska uppgifterna bevaras i 15 månader och
därefter utplånas, dock under förutsättning att den enskilde samtyckt till att
dennes personuppgifter får behandlas för nu nämnda ändamål.
o) Enligt 10 § lagen om receptregister får uppgifter ur receptregistret som
lämnas ut i enlighet med registerändamålen i lagen, lämnas ut på medium för
IVBAR Juridik 2013-03-28
M. Nymark
13
automatiserad databehandling. Sådant utlämnande kan avse exempelvis
utlämnande genom e-post, diskett, cd-rom eller över nätverk. Utmärkande för
sådant utlämnande är att den som gör utlämnandet vid varje
överföringstillfälle vidtar någon manuell aktivitet som kan jämställas med ett
beslut om överföring och en sekretessprövning avseende den information som
mottagaren får del av.
Angående landstingets möjligheter att använda uppgifter om förmåner enligt
sjukförsäkringen på individnivå för att beräkna vårdepisodbaserad ersättning och
följa upp hälsoutfall
p) Bestämmelser om Försäkringskassans uppgifter finns i förordningen
(2009:1174) med instruktion för Försäkringskassan. Enligt 4 § får
Försäkringskassan utföra datorbearbetningar på uppdrag av myndigheter och
enskilda samt tillhandahålla tjänster inom områdena systemutveckling,
statistik, statistiskt metodstöd och efterbehandling av postförsändelser. Detta
gäller endast uppdrag eller tjänster som får anses förenliga med myndighetens
uppgifter och verksamhetsområde.
q) Skulle ett landsting mottaga personuppgifter om förmåner enligt
socialförsäkringsbalken (2010:110) från Försäkringskassan, torde landstinget
med stöd av patientdatalagens och personuppgiftslagens (1998:204)
bestämmelser kunna behandla uppgifterna även för att beräkna en
vårdepisodbaserad ersättning åt en vårdproducent, om uppgifterna är
nödvändiga för detta ändamål. Landstingets behandling av den försäkrades
uppgifter för ett sådant ändamål torde inte anses oförenlig med det
ursprungliga ändamålet, dvs. behandling för ändamålet förmåner enligt
socialförsäkringsbalken, eftersom den allmänna hälso- och sjukvården är en
viktig aktör för att minska sjukskrivningskostnaderna i samhället. Vidare får
ett landsting behandla patientuppgifter för bl.a. ekonomiadministrativa
ändamål.
r) Författningsanalysen har inte kunnat identifiera en författningsbestämmelse
om uppgiftsskyldighet för Försäkringskassan som tillfredsställer ett
landstings eventuella behov av uppgifter om förmåner enligt
socialförsäkringsbalken för att fastställa en individbaserad
vårdepisodersättning åt en vårdproducent. Uppgifter i
socialförsäkringsdatabasen om sjukskrivning m.m. omfattas av sekretess. En
begäran om utfående av uppgifter från Försäkringskassan måste
sekretessprövas. Det finns ett visst utrymme för Försäkringskassan att med
stöd av den s.k. generalklausulen i offentlighets- och sekretesslagen (10 kap.
27 §) lämna ut en sekretessbelagd uppgift till en myndighet, t.ex. en nämnd
inom landstinget som ansvarar för sjukvård, om det är uppenbart att intresset
IVBAR Juridik 2013-03-28
M. Nymark
14
av att uppgiften lämnas har företräde framför det intresse som sekretessen ska
skydda. Denna intresseavvägning kan bara Försäkringskassan göra och inte
någon annan. IVBAR rekommenderas att inleda en dialog med
Försäkringskassan för att identifiera de rättsliga förutsättningarna för ett
landsting att få uppgifter från kassan för nu nämnda ändamål. Föreligger
hinder för Försäkringskassan att lämna ut uppgifter om förmåner enligt
socialförsäkringsbalken, krävs en författningsbestämmelse om
uppgiftsskyldighet för kassan för att den lagligen ska kunna lämna ut berörda
uppgifter för nu nämnda ändamål.
s) En annan rättslig begränsning vid utlämnande av uppgifter från
socialförsäkringsdatabasen utan stöd i en bestämmelse om uppgiftsskyldighet
är bestämmelserna i 114 kap. SFB som reglerar personuppgiftsbehandling
inom socialförsäkringens administration. Eftersom Försäkringskassan inte har
en skyldighet i lag att lämna ut uppgifter om förmåner enligt sjukförsäkringen
till ett landsting, och socialförsäkringsbalkens ändamålsbestämningar inte
anger vårdepisodersättning eller andra ersättningssystem som legitima
ändamål för vilka den försäkrades uppgifter får behandlas, är kassan
förhindrad att lämna ut uppgifterna på medium för automatiserad behandling
(114 kap. 24 § socialförsäkringsbalken). Enligt uppgift från
Försäkringskassan måste kassan inför varje större IT-utvecklingsprojekt
begära ändring i förordningen (2003:766) om behandling av personuppgifter
på socialförsäkringens administration för att kunna bygga elektroniska
lösningar för informationsöverföring. Försäkringskassan har initierat ett
lagstiftningsärende för att undanröja begränsningen om utlämnandet på
medium för automatiserad behandling som finns i 114 kap.
socialförsäkringsbalken. Lagstiftningsärendet bör följas upp.
Angående landstingets möjligheter att använda befolkningsuppgifter på
individnivå för att beräkna vårdepisodbaserad ersättning och följa upp hälsoutfall
t) Befolkningsuppgifter finns hos Statistiska centralbyrån (SCB). Uppgifterna
skyddas av statistiksekretessen i 24 kap. 8 § offentlighets- och
sekretesslagen. Föremålet för statistiksekretessen är uppgifter som avser en
enskild persons personliga eller ekonomiska förhållanden och som kan
hänföras till denne. Skyddet gäller inte enbart sådana uppgifter som innehåller
identitetsbeteckningar, som namn och personnummer, på en enskild utan även
uppgifter som överhuvudtaget kan – direkt eller indirekt – hänföras till en viss
enskild. Statistiksekretessen är absolut, dvs. de uppgifter som omfattas av
bestämmelsen kan inte ens lämnas ut efter en skadeprövning. Sekretessen
motiveras av den stora mängd register som förs hos SCB och att
statistikkvaliteten kan bli dålig om inte den enskilde uppgiftslämnaren är
säker på att hans uppgifter inte lämnas ut. Generalklausulen i 10 kap. 27 §
offentlighets- och sekretesslagen är inte är tillämplig på statistiksekretessen.
IVBAR Juridik 2013-03-28
M. Nymark
15
u) Uppgifter som omfattas av statistiksekretessen kan dock enligt 10 kap. 28 §
offentlighets- och sekretesslagen lämnas ut till en annan myndighet, om en
skyldighet att lämna ut uppgifterna följer av lag eller förordning.
Författningsanalysen har inte gett vid handen att det skulle finnas en
uppgiftsskyldighet för SCB att lämna ut befolkningsuppgifter på individnivå
till ett landsting för att bestämma en vårdepisodersättning till en
vårdproducent. Inte heller är undantagssituationerna i 24 kap. 8 § tillämpliga.
Ett av undantagen, utlämnande för statistikändamål, aktualiseras endast när
mottagaren själv omfattas av statistiksekretessen. För att mottagaren ska
kunna åberopa statistiksekretessen får statistikverksamheten inte vara
begränsad bara till driftstatistik eller statistik som framställs för att användas
som underlag för beslut i ett visst ärende. Ett landsting kan alltså inte, trots en
avgränsad statistikverksamhet, räkna med att SCB lämnar ut
befolkningsuppgifter om enskilda individer då ju syftet med användningen är
att använda dessa som underlag för beslut i ett visst ärende, dvs. ett beslut
om ersättning för vård och behandling avseende en patient. Anledningen till
denna begränsning vid utlämnande för statistikändamål är att i statistisk
verksamhet saknar den enskilda uppgiften intresse. Det är den samlade bilden
som ska belysas, aldrig någon enskild persons förhållanden. Om SCB:s
befolkningsuppgifter på individnivå ska kunna användas av ett landsting för
att beräkna en vårdepisodersättning per patient, krävs en ny
författningsbestämmelse om uppgiftsskyldighet för SCB för nu nämnda syfte.
Angående landstingets möjligheter att anlita ett personuppgiftsbiträde som för
landstingets räkning behandlar personuppgifter för att beräkna
vårdepisodbaserad ersättning och följa upp hälsoutfall
v) IVBAR får med stöd av ett personuppgiftsbiträdesavtal som tecknas med
landstinget eller annan vårdgivare behandla personuppgifter i samma
omfattning som uppdragsgivaren, såvida denne inte instruerar om annat. Det
är inte ovanligt att ett landsting i samband med att viss vårdverksamhet läggs
ut på entreprenad även tecknar ett personuppgiftsbiträdesavtal med
vårdproducenten. Avtalskonstruktionen utgår från att landstinget agerar
personuppgiftsbiträde åt vårdproducenten, t.ex. en privat vårdgivare. IVBAR
kan teckna ett underbiträdesavtal med landstinget och således kunna behandla
även dessa vårdgivares personuppgifter, förutsatt att de har i sitt
personuppgiftsbiträdesavtal med landstinget medgivit att landstinget får
teckna avtal i sin tur med ett underbiträde.
w) Om landstinget tecknar flera personuppgiftsbiträdesavtal med olika
vårdgivare, vilka innebär t.ex. att vårdproducenterna journalför i landstingets
centrala journalsystem, så ska vårdproducenternas journaluppgifter hållas
IVBAR Juridik 2013-03-28
M. Nymark
16
logiskt avskilda från varandra samt landstingets ”egna” patientuppgifter.
Anledningen är att personuppgifterna hos varje enskild vårdproducent inte är
utlämnade i juridisk mening till landstinget, utan alltjämt i producentens
förvar. Ett personuppgiftsbiträde åt landstinget som får i uppdrag av
landstinget att beräkna vårdepisodersättningen åt de privata
vårdproducenterna får således inte använda vårdproducenternas
personuppgifter utan kan endast använda uppgifter från landstingets egna
förvaltningar och nämnder, liksom personuppgifter som finns bevarade hos
kommunala vårdbolag där landstinget har ett väsentligt inflytande, och då
först sedan det kommunala vårdbolaget har lämnat ut begärda uppgifter till
landstinget. Vårdproducenterna å sin sida är i princip förhindrade at lämna ut
sina uppgifter till landstinget/personuppgiftsbiträdet utan ett uttryckligt
samtycke från patienten.
Slut på sammanfattningen.
IVBAR Juridik 2013-03-28
M. Nymark
17
III. Författningsanalysens innehåll
Avsnitt 1 i författningsanalysen innehåller en redogörelse för bakgrunden till
uppdraget samt en presentation av författningsanalysens mål och avgränsningar
samt metoden för analysen. Avsnitt 2 beskriver gällande rätt. I avsnitt 3 lämnas
en redogörelse för värdebaserade ersättningssystem, varav större delen av
avsnittet ägnas åt vårdepisodersättningssystem. I avsnitt 4 beskrivs IVBAR:s
modell för vårdepisodbaserad ersättning. Avsnitt 5 innehåller själva
författningsanalysen. Avslutande synpunkter lämnas i avsnitt 6.
IVBAR Juridik 2013-03-28
M. Nymark
18
1 Författningsanalysens bakgrund och syfte
Detta kapitel omfattar en genomgång av bakgrunden till författningsanalysen och
en presentation av författningsanalysens uppdrag och avgränsningar samt metoden
för analysen.
1.1 Nationell samverkan för utveckling av diagnosspecifika beskrivnings-
och ersättningssystem
Socialdepartementet tillsatte den 1 januari 2012 en nationell vårdvalssamordnare
med målsättningen att under perioden 2012-2014 öka landstingens frivilliga
tillämpning av vårdval inom specialistvården samt att bidra till en
vidareutveckling av det obligatoriska1 vårdvalet inom primärvården. Regeringen
har vidare avsatt 360 miljoner kronor för att stimulera vårdval i specialistvården,
den så kallade stimulanspengen.
I regeringens satsning för att påskynda utvecklingen av vårdval och för att
åstadkomma önskade positiva effekter av ett valfrihetssystem inom vården är
vidareutvecklingen av hälso- och sjukvårdens ersättningssystem central och
prioriterad. Som ett led i den övergripande satsningen på vårdval har
Socialdepartementet, genom den nationella vårdvalssamordnaren, beslutat att
under 2013-14 driva ett nationellt forsknings- och utvecklingsarbete (FoU-arbetet)
tillsammans med landstingen för att utveckla diagnosspecifika beskrivnings- och
ersättningssystem inom primär- och specialistvården (dnr S2012/2373/FS)...
Med diagnosspecifika beskrivningssystem avses system som möjliggör
longitudinell analys och jämförelse mellan vårdgivare och landsting av
effektivitet, dvs. graden av måluppfyllelse i relation till resursanvändning. Med
diagnosspecifika ersättningssystem menas värdebaserade ersättningssystem, s.k.
vårdepisodersättningssystem. Det är ersättningssystem som är anpassade för en
viss diagnos och individbaserade. De är jämförelsevis mer avancerade än många
andra ersättningssystem. Systemen består ofta av olika komponenter som
tillsammans avgör den slutliga ersättningen till en vårdgivare. I huvudsak består
en vårdepisodersättning av en individanpassad, fast ersättning som ska täcka
merparten av all vård, inklusive komplikationskostnader2, för en specifik
behandling. Nivån på den fasta ersättningen justeras också i möjligaste mån till
den enskilda patientens hälsoutfall. Teorin bakom vårdepisodersättningssystem är
1 Enligt 5 § 2 stycket hälso- och sjukvårdslagen (1982:763) är det obligatoriskt för landsting att
införa vårdvalssystem som ger allmänheten rätt att välja privat eller offentligt driven vårdcentral,
och alla vårdgivare som uppfyller landstingens krav ska ha rätt att etablera verksamhet inom
primärvården med offentlig ersättning. Genomförande av valfrihetssystem inom primärvården ska
ske enligt bestämmelserna i lagen (2008:962) om valfrihetssystem (LOV). För kommuner
föreligger inget obligatorium att införa valfrihetssystem för vård-, stöd- och omsorgstjänster.
Valfrihetssystem är ett alternativ till offentlig upphandling. 2 Se t.ex. Stockholms läns landsting, Uppföljningsrapport vårdval höft- och knäprotesoperationer,
mars 2012 s. 4.
IVBAR Juridik 2013-03-28
M. Nymark
19
att de stimulerar vårdgivare att reducera icke värdeskapande aktiviteter samt att
skapa en mer integrerad vårdkedja samtidigt som fokus på komplikationer och
hälsoutfall ökar.
I syfte att stimulera vårdepisodersättningssystem i den allmänna hälso- och
sjukvården har Socialdepartementet genom Regeringskansliet genomfört en
upphandling av FoU-tjänster och genomförandestöd (dnr S2012/8356/FS).
Upphandlingen avser dels utveckling av sex vårdepisodersättningssystem, dels
förberedande åtgärder.
Av Socialdepartementets förfrågningsunderlag framgår att ett flertal länder
har infört eller studerar möjligheten att införa vårdepisodersättningssystem.
Sverige har – enligt Socialdepartementet – bättre förutsättningar än många andra
länder att införa sådana ersättningssystem genom väl utbyggda IT-system och god
tillgång till patientdata. Enligt Socialdepartementet kan
vårdepisodersättningssystem tillämpas inom ramen för landstingens och
regionernas befintliga vårdstruktur inom primär- och specialiserad vård, men kan
också användas för att underlätta en övergång till vårdval inom specialistvård.
Enligt förfrågningsunderlaget ska vinnande anbudsgivare (leverantören) knyta
till sig landsting som önskar delta i projektet och involvera företrädare för
medicinska specialistföreningar och kvalitetsregister. Leverantören ska också
enligt förfrågningsunderlaget involvera dels Statistiska centralbyrån när det gäller
förutsättningarna att tillgängliggöra socioekonomisk data för individjustering av
ersättning och förväntade hälsoutfall, dels Försäkringskassan när det gäller
förutsättningarna att tillgängliggöra information om sjukskrivning för vårdgivaren
samt knyta den utfallsbaserade ersättningen till förändring i arbetsförmåga.
I förfrågningsunderlag framhålls att vårdepisodersättningssystemen med
tillhörande IT-stöd förväntas behandla känsliga personuppgifter om enskildas
hälsa, ”bl.a. på grund av sambearbetning av patientuppgifter från olika källor för
att beräkna ersättningen”. Enligt förfrågningsunderlaget ska leverantören därför
genomföra ”ett analysarbete som syftar till att undersöka hur risker för den
personliga integriteten kan minimeras”.
Upphandlingen omfattar en förstudie som syftar till att hitta lämpliga
diagnoser för diagnosspecifika beskrivnings- och ersättningssystem. Förstudien
innefattar även den juridiska analysen samt överenskommelser med intresserade
landsting, medicinska specialistföreningar och kvalitetsregister. Förstudien
bedrivs i skrivande stund och förväntas vara avslutad i mars 2013. När förstudien
är avslutad är inriktningen enligt Socialdepartementet att under perioden som
FoU-arbetet bedrivs besluta om minst sex diagnosområden för utveckling av nya
beskrivnings- och ersättningssystem samt att stödja implementering av dessa i
deltagande landsting. Dessutom ska de två beskrivnings- och ersättningssystem
som Stockholms läns landsting har utvecklat inom områdena
höft/knäproteskirurgi och ryggkirurgi utvecklas vidare. Parallellt med projektet
ska forskning bedrivas för att studera både organisatoriska effekter av projektet
IVBAR Juridik 2013-03-28
M. Nymark
20
samt effekter på kostnader och utfall. Detta kommer att ske i samarbete med
Karolinska Institutet och andra intresserade svenska universitet.
Målsättningen är, anför Socialdepartementet, att inom de vårdområden där de
nya ersättningssystemen implementerats, åstadkomma mätbara och för
sjukvårdssystemet signifikanta effekter i termer av både lägre kostnader på
patientnivå och förbättrade hälsoutfall. Dessutom, fortsätter departementet, ska
gemensamma definitioner av vårdepisoder och framtagna s.k. prediktionsmodeller
(av latinet praedictio, förutsäga) skapa förutsättningar för nationella jämförelser
av hälsoutfall och resursåtgång bland landets vårdgivare som inte är möjliga idag.
. Ytterligare en målsättning enligt departementet är att sprida kunskap kring
värdebaserade ersättningssystem till deltagande landsting och regioner.
Socialdepartementet uppger att parallellt med projektet ska forskning bedrivas för
att studera både organisatoriska effekter av projektet samt effekter på kostnader
och utfall.
Det övergripande syftet med FoU-arbetet är att underlätta för landstingen att
få bättre kontroll över utförd hälso- och sjukvård samt att skapa ersättningssystem
som stimulerar effektivitetsutvecklingen i hälso- och sjukvården, dvs. förbättrar
hälsoutfallet och minimerar resursåtgången. Vinnande anbudsgivare, IVBAR (The
Institute for Valued-Based Reimbusement), har den 29 november 2012 tecknat
avtal om FoU-tjänsten med Regeringskansliet. IVBAR, som tidigare arbetat med
ersättningssystem tillsammans med Stockholms läns landsting, koordinerar
således FoU-arbetet. Bolaget kommer även att ansvara för metodik samt kvalitet
och kvantitativ analys. Åtgärder inom det första förberedande steget ska
återrapporteras till regeringen senast den 31 mars 2013.
1.2 Författningsanalysen – en juridisk riskanalys
En författningsanalys kan i flera avseenden beskrivas som en process för att
identifiera eller hantera risker. Behandling av personuppgifter regleras i
personuppgiftslagen (1998:204) samt i ett flertal olika registerförfattningar
beroende på huvudman eller verksamhet. Den som behandlar personuppgifter i
strid med gällande rätt riskerar skadestånd eller i vissa fall böter eller fängelse.
Mot den bakgrunden är en juridisk riskanalys nödvändig för att kunna undersöka
om en tjänst eller lösning som innefattar behandling av personuppgifter följer
gällande rätt eller inte.
En författningsanalys motiveras också av andra skäl. Rättsreglerna förutsätter
ofta att någon form av juridisk riskanalys genomförs. Inte minst mot bakgrund av
att författningar lätt kan halka efter samhällsutvecklingen. Rättsreglerna måste
också normalt sett också åtlydas även under en pilotdrift eller testverksamhet som
innefattar personuppgifter. Rättsreglernas auktoritativa natur innebär vidare att
juridiken i sig kan utgöra en risk i det att underlåtenhet att beakta det juridiska
regelverket i utvecklingsfasen kan medföra negativa konsekvenser vid en
kommersialisering eller bred implementering av lösningen eller innovationen.
IVBAR Juridik 2013-03-28
M. Nymark
21
Genom en författningsanalys identifieras således risker, vilka kan reduceras
eller elimineras genom tekniska och funktionella ändringar i den grundläggande
modellen samt olika slag av överenskommelser och avtal mellan berörda
personuppgiftsansvariga och registrerade.
De övergripande frågeställningar som analysen söker besvara är dels vilka
rättsregler som är tillämpliga på IVBAR:s modell för
vårdepisodersättningssystem, dels vilka begränsningar för behandling av
personuppgifter som planeras inom ramen för systemet finns i gällande rätt.
Promemorian behandlar även sekretess- och tystnadsplikt vid utlämnande av
personuppgifter mellan berörda aktörer.
1.3 Författningsanalysens uppdrag och avgränsningar
Föreliggande författningsanalys utgör del av de föreberedelser som ska föregå
FoU-arbetet med att ta fram sex vårdepisodersättningssystem. Enligt avtalet ska
”ett analysarbete [genomföras] som syftar till att undersöka hur risker för den
personliga integriteten kan minimeras”.
Diagnosspecifika ersättningssystem inom ramen för en sjukvårdshuvudmans
verksamhet kommer emellertid att kräva sambearbetning av personuppgifter från
ett flertal olika personregister. Sambearbetning förväntas ske för att kunna
beräkna ett individbaserat paketpris inklusive komplikationsgaranti som erbjuds
en vårdgivare per patient och vårdepisod. Sambearbetning kommer också att
behöva göras för att efter genomförd vårdåtgärd kunna betala till vårdgivaren en
individbaserad och rörlig ersättning beroende på hur utfallet av åtgärden blev.
Relevanta data för dessa beräkningar finns i både journalsystem och andra
patientadministrativa system som innehåller uppgift om besök, vårdproduktion,
priser m.m. Även regionala och nationella kvalitetsregister är nödvändiga
kunskapskällor för beräkningarna.
Eftersom forskning3 visar att socioekonomiska förhållanden såsom
exempelvis akademisk utbildning, ålder och utlandsfödda kan ha en signifikant
påverkan på enskilda patienters vårdbehov och hälsoutfall, måste dessa faktorer
tas i beaktande vid vårdanalys och beräkning av ersättning till vårdgivare enligt ett
diagnosbaserat vårdepisodersättningssystem. Individuella faktorer såsom inkomst,
utbildning, härkomst och civilstånd kommer att innebära att priset för samma
behandling kan variera från individ till individ
Andra viktiga kostnader som sjukskrivning, sjuk- och aktivitetsersättning,
hemtjänst och anhörigvård av instanser utanför hälso- och sjukvården måste också
beaktas vid beräkning av vårdepisodersättning. Därför behöver ett landsting
3 Se t.ex. Kristina Sundquist m.fl, Neighborhood Socioeconomic Environment and Incidence of
Coronary heart Disease: A follow-up study of 25319 woman and Men in Sweden, American
Journal of Epidemiology 2004 April 1;159(7):655-62 samt Marianne Malmströms
doktorsavhandling Care Need Index, Social Deprivation and Health. Epidemiological Studies in
Swedish Health Care, Malmö universitetssjukhus, 2000, ISBN: 91-628-3864-4.
IVBAR Juridik 2013-03-28
M. Nymark
22
uppgifter från personregister utanför hälso- och sjukvården. Behovet omfattar bl.a.
uppgifter från Statistiska centralbyrån (SCB) beträffande socioekonomiska
förhållanden och Försäkringskassan när det gäller information om sjukskrivning
och möjligheten att knyta den utfallsbaserade ersättningen till förändring i
arbetsförmåga.
Som framgår rör det sig om komplexa sambearbetningar av personuppgifter
ur olika personregister som förvaltas av olika aktörer, mellan vilka det råder
sekretess enligt offentlighets- och sekretesslagen (2009:400). Flertalet uppgifter är
dessutom s.k. känsliga personuppgifter, t.ex. uppgift om hälsa (se 13 §
personuppgiftslagen). Privata vårdgivare omfattas dessutom av en tystnadsplikt
enligt patientsäkerhetslagen (2010:659). Vidare gäller särskilda registerlagar för
berörda aktörers personuppgiftsbehandlingar, vilka bl.a. reglerar formen eller
sättet för elektroniskt utlämnande till olika mottagare. Ur juridisk synvinkel är den
personuppgiftsbehandling som krävs för att stödja en vårdepisodersättningsmodell
inte helt oproblematisk, och regelverket är inte anpassat för detta ändamål.
På grund av det anförda har IVBAR genomfört en författningsanalys.
Resultatet presenteras i denna rapport.
Analysens huvudfrågeställning har varit om hälso- och
sjukvårdslagstiftningen och i förekommande fall annan lagstiftning stöder en
generisk modell för diagnosbaserade beskrivnings- och ersättningssystem för att
främja en värdebaserad hälso- och sjukvård och ökad valfrihet. I det fall analysen
visar att gällande rätt inte stöder en realisering av en sådan modell, har uppdraget
varit att föreslå alternativa lösningar, i första hand i form av förändringar i teknisk
specifikation, i andra hand förändringar i modellen, i tredje hand förslag till
författningsändringar på en övergripande nivå.
Författningsanalysen har inte som målsättning att utvärdera de
hälsoekonomiska effekterna av en övergång till ett vårdepisodbaserat
ersättningssystem i svensk hälso- och sjukvård. Som redovisas ovan ska dessa
frågor utredas i steg 2 i föreliggande FoU-arbete. Inte heller de rättspolitiska
överväganden som talar för eller emot etableringen av ett värdebaserat
ersättningssystem ur ett hälsoekonomiskt perspektiv är en fråga för denna analys.
Utgångspunkten för författningsanalysen är beställarorganisationen på ett
landsting och dess möjligheter att med stöd av gällande rätt samt med beaktande
av organisatoriska förhållanden, t.ex. privata vårdgivare som bedriver offentligt
finansierad vård på uppdrag av landstinget, kunna behandla personuppgifter inom
ramen för ett vårdersättningsepisodsystem. Det är en rimlig utgångspunkt med
hänsyn till att landstingen är huvudmän för den offentligt finansierade vården.
Förutom den offentligt finansierade hälso- och sjukvården förekommer privat
finansierad hälso- och sjukvård. De främsta finansiärerna och beställarna av privat
finansierad vårdproduktion är försäkringsbolagen. Teorierna bakom
vårdepisodersättningssystem är även av intresse för privata beställare och
finansiärer av sjukvård. Föreliggande författningsanalys tar emellertid inte i
IVBAR Juridik 2013-03-28
M. Nymark
23
beaktande de juridiska spörsmål som aktualiseras när privata rättssubjekt
behandlar personuppgifter inom ramen för ett vårdepisodersättningssystem.
1.4 Författningsanalysens syfte
Författningsanalysen ska resultera i en kartläggning av vad som idag är möjligt
enligt gällande rätt för en försöksverksamhet som innefattar dels ett generiskt
vårdepisodersättningssystem, dels relevanta IT-lösningar till stöd för ett sådant
system hos ett (1) landsting, varvid följande förutsättningar och utgångspunkter
har tagits i beaktande.
a) Ett unikt vårdepisodnummer för varje patient som behandlas i ett
vårdepisodersättningssystem.
b) Vid vårdhändelse en beräkning baserad på en befintlig prediktionsformel
för att skatta individens förväntade hälsoutfall, komplikationer och
resursåtgång. För att genomföra detta krävs följande data:
i. Patientinformation såsom ålder och kön från landstingets datalager
ii. Vårdkonsumtionsdata från vårdtillfället samt historisk från
landstingets datalager
iii. Information om patientens sjukdom från kvalitetsregister
iv. Information om historisk läkemedelskonsumtion
v. Socioekonomisk data från SCB.
vi. Sjukskrivningsinformation från Försäkringskassans
socialförsäkringsdatabas
c) Uppföljning av patientens faktiska hälsoutfall, komplikationer och
resursåtgång över tid. Data hämtas då från samma datakällor som ovan,
dock ej från SCB.
d) Predicerade respektive faktiska värden presenteras för vårdproducent och
beställare på aggregerad nivå – ej individdata.
e) Komplikationer som behandlas vid vårdproducent presenteras
anonymiserat eller pseudonymiserat för vårdgivaren och beställaren.
f) Ett regelverk som måste vara lätt att tillämpa för såväl huvudmannen som
brukaren.
g) Reformen om obligatoriskt valfrihetssystem inom primärvården (5 § 2
stycket hälso- och sjukvårdslagen).
IVBAR Juridik 2013-03-28
M. Nymark
24
h) Kompensatoriska metoder och val av tekniska lösningar för att reducera
eller eliminera hantering av rena individuppgifter i alla led av behandling
av uppgifter inom ramen för ett vårdepisodersättningssystem.
i) Att beakta personuppgiftslagen (1998:204) och annan relevant
registerlagstiftning.
j) Beakta tidigare projekt med beröringspunkter till vårdepisodbaserade
ersättningssystem, t.ex. försöksverksamheten med episodbaserad
ersättning i vårdval för höft- och knäprotesoperationer i Stockholm
läns landsting tillsammans med Svenska höftprotesregistret.
1.5 Författningsanalysens utredningsmål
Författningsanalysen har tagit i beaktande följande utredningsmål och
frågeställningar.
a) Beskriva i vilken utsträckning en beställarorganisation i ett landsting enligt
gällande rätt kan behandla, helt eller delvis automatiserat, känsliga
personuppgifter om enskilda patienters hälsa som förekommer i egna
informationssystem för att följa upp vårdproduktion och beräkna
ersättningar.
b) Utreda om gällande rätt medger utlämnande av personuppgifter ur följande
personregister till landstingets beställarorganisation för
prediktionsberäkningar och individuell uppföljning:
1. Kvalitetsregister
2. Socialstyrelsens läkemedelsregister
3. Receptregistret
4. SCB:s folkbokföringsdatabaser
5. Socialförsäkringsdatabasen
c) Utreda i vilken utsträckning gällande rätt medger att vårdenheter under en
nämnd samt privata vårdgivare som bedriver hälso- och sjukvård enligt
uppdragsavtal med landstinget kan lämna ut patientuppgifter till
landstinget om hälsoutfall från enskilda behandlingar.
d) Identifiera kollisioner i lagstiftningen mellan intresset av ett
vårdepisodbaserat ersättningssystem och andra intressen i lagstiftningen.
e) Identifiera och dokumentera om föreslagna IT-lösningar inom projektet
stöds av gällande rätt
IVBAR Juridik 2013-03-28
M. Nymark
25
f) Identifiera och dokumentera bestämmelser om uppgiftsskyldighet samt
sekretessrelaterade hinder beträffande personuppgifter om hälsa.
2. Identifiera och dokumentera personuppgiftsansvaret för aktuella
personuppgiftsbehandlingar.
1.6 Metod
Analysen har bedrivits med kvalitativa metoder. Dessa har i huvudsak bestått av
litteratur-, författnings- och rättsfallsstudier samt kunskaps- och
erfarenhetsutbyte med projektledningen för FoU-arbetet.
IVBAR Juridik 2013-03-28
M. Nymark
26
2 Hantering av personuppgifter inom hälso- och
sjukvården och socialförsäkringens administration
m.m. I detta avsnitt redovisas gällande rätt i fråga om helt eller delvis automatiserad
behandling av personuppgifter i hälso- och sjukvården. Även
personuppgiftsbehandling inom socialförsäkringens administration samt officiell
statistik behandlas. Här redovisas också författningar som indirekt är av betydelse
för hälso- och sjukvårdens informationshantering, t.ex. hälso- och sjukvårdslag
och patientsäkerhetslagen. I avsnittet lämnas slutligen en redogörelse för aktuella
bestämmelser om sekretess och tystnadsplikt.
2.1 Hälso- och sjukvårdslagen
Hälso- och sjukvårdslagen (1982:763; HSL) innehåller de grundläggande reglerna
för all hälso- och sjukvård. Den anger mål för hälso- och sjukvården och krav på
god vård samt reglerar landstingens och kommunernas ansvar för olika delar av
hälso- och sjukvården.
Enligt HSL ansvarar landsting och kommuner för den allmänna hälso- och
sjukvården. HSL är en målinriktad ramlag. Det innebär att lagen ger landsting och
kommuner viss frihet att utforma vård- och omsorgsinsatser efter regionala och
lokala behov. Landsting och kommuner får t.ex. sluta avtal med varandra eller
med privata aktörer om att utföra vissa uppgifter som annars ligger på deras
ansvar (3 § tredje stycket resp. 18 § femte stycket HSL).
Med hälso- och sjukvård avses enligt lagen åtgärder för att medicinskt
förebygga, utreda och behandla sjukdomar och skador (1 §). Begreppet hälso- och
sjukvård omfattar sålunda dels de sjukdomsförebyggande åtgärderna, dels den
egentliga sjukvården. Sjukdomsförebyggande åtgärder kan avse både
miljöinriktade och individinriktade åtgärder.
Till individinriktade förebyggande åtgärder räknas bl.a. åtgärder för att
uppspåra hälsoproblem. Som exempel nämns i förarbetena allmänna och riktade
hälsokontroller, vaccinationer, hälsoupplysning samt mödra- och barnhälsovård.
Hälso- och sjukvård omfattar bl.a. åtgärder med anledning av kroppsfel och
barnsbörd. Abort och sterilisering anses också rymmas i begreppet hälso- och
sjukvård (prop. 1981/82:97 s. 110 f.).
I lagen anges vidare att till hälso- och sjukvården hör även sjuktransporter
samt att ta hand om avlidna. I fråga om tandvård finns särskilda bestämmelser.
Hälso- och sjukvården ska enligt lagen bedrivas så att den uppfyller kraven på
en god vård (2 a §). Detta innebär att den ska särskilt vara av god kvalitet med god
hygienisk standard och tillgodose patientens behov av trygghet i vården och
behandlingen, vara lätt tillgänglig, bygga på respekt för patientens
självbestämmande och integritet samt främja goda kontakter mellan patienten och
IVBAR Juridik 2013-03-28
M. Nymark
27
hälso- och sjukvårdspersonalen. Lagen föreskriver också att kvaliteten i
verksamheten systematiskt och fortlöpande ska utvecklas och säkras (31 §) samt att
vården ska bedrivas kostnadseffektivt (28 §).
Vården och behandlingen ska så långt det är möjligt utformas och genomföras
i samråd med patienten (2 a §). Patienten ska ges individuellt anpassad
information om sitt hälsotillstånd och om de metoder för undersökning, vård och
behandling som finns. Om informationen inte kan lämnas till patienten, ska den i
stället lämnas till en närstående till patienten (2 b §).
Lagen innehåller vidare bestämmelser om bl.a. landstingets och kommunens
ansvar för hälso- och sjukvård och om ledningen av hälso- och sjukvård.
2.2 Lagen om valfrihetssystem
Lagen (2008:962) om valfrihetssystem (LOV) ger kommuner och landsting
möjlighet att överlåta valet av utförare av stöd-, vård- och omsorgstjänster till
hjälpmedelsanvändaren eller patienten. Valfrihetssystem är ett alternativ till
offentlig upphandling. Bestämmelser om offentlig upphandling finns i lagen
(2007:1091) om offentlig upphandling.
LOV bygger alltså inte på EU:s upphandlingsdirektiv på det sätt som lagen
om offentlig upphandling gör, utan är en lag som meddelats enbart på nationella
överväganden. Anledningen är att lagstiftaren bedömt att tjänstekontrakt inom
ramen för valfrihetssystem är s.k. tjänstekoncessioner och därför inte omfattas av
det klassiska upphandlingsdirektivet eller försörjningsdirektivet. Med koncession
avses situationer när en myndighet överlåter till tredje man det totala eller partiella
ansvaret för en ekonomisk verksamhet som myndigheten normalt har ansvaret för,
förutsatt att den tredje mannen tar på sig riskerna med driften.
LOV omfattar således bara tjänster (tjänstekoncessioner), inte varor. Inte
heller omfattas alla tjänster, enbart tjänster på hälso- och sjukvårdsområdet och
socialtjänstområdet, dvs. tjänster som är upptagna som B-tjänster i lagen om
offentlig upphandling (se ovan), dock med undantag för barn- och
ungdomsomsorg. Den myndighet som vill tillämpa lagen måste annonsera
löpande på en hemsida som Kammarkollegiet ansvarar för. Alla leverantörer som
uppfyller de krav som den upphandlande myndigheten ställt upp ska godkännas
och kontrakt ska sedan tecknas. Det ska också finnas ett ickevalsalternativ för
enskild som inte kan eller vill välja utförare.
Utöver bestämmelserna i LOV finns det även annan lagstiftning som påverkar
när LOV får eller ska tillämpas. T.ex. är det frivilligt för kommuner att införa
valfrihetssystem (enligt LOV) men obligatoriskt enligt 5 § 2 stycket HSL för
landsting att införa vårdvalssystem som ger allmänheten rätt att välja privat eller
offentligt driven vårdcentral, och alla vårdgivare som uppfyller landstingens krav
ska ha rätt att etablera verksamhet inom primärvården med offentlig ersättning.
Genomförande av valfrihetssystem inom primärvården ska ske enligt
bestämmelserna i LOV.
IVBAR Juridik 2013-03-28
M. Nymark
28
2.3 Patientsäkerhetslagen
Patientsäkerhetslagen (2010:659) syftar till att främja hög patientsäkerhet
inom hälso- och sjukvård och därmed jämförlig verksamhet. I lagen finns bl.a.
bestämmelser om patientsäkerhetsarbete, behörighetsfrågor, skyldigheter för
hälso- och sjukvårdspersonal och tillsyn.
Enligt lagen är en vårdgivare skyldig att bedriva ett systematiskt
patientsäkerhetsarbete och ska planera, leda och kontrollera verksamheten på ett
sätt som leder till att kravet på god vård i HSL upprätthålls. Vårdgivaren ska vidta
de åtgärder som behövs för att förebygga att patienter drabbas av vårdskador och
utreda händelser i verksamheten som medfört eller hade kunnat medföra en
vårdskada. Patienterna och deras närstående ska ges möjlighet att delta i
patientsäkerhetsarbetet.
Hälso- och sjukvårdspersonalen ska utföra sitt arbete i överensstämmelse
med vetenskap och beprövad erfarenhet. En patient ska ges sakkunnig och
omsorgsfull hälso- och sjukvård som uppfyller dessa krav. Vården ska så långt
som möjligt utformas och genomföras i samråd med patienten som ska visas
omtanke och respekt. Den som tillhör hälso- och sjukvårdspersonalen bär själv
ansvaret för hur han eller hon fullgör sina arbetsuppgifter.
När det finns flera behandlingsalternativ som står i överensstämmelse
med vetenskap och beprövad erfarenhet ska den som har ansvaret för hälso- och
sjukvården av en patient medverka till att patienten ges möjlighet att välja det
alternativ som han eller hon föredrar.
Patientsäkerhetslagen innehåller bestämmelser om tystnadsplikt för personal
verksam inom den enskilda hälso- och sjukvården. En redogörelse för de
bestämmelserna finns i avsnitt 2.7.5.
2.4 Personuppgiftslagen
Bestämmelser om behandling av personuppgifter finns i personuppgiftslagen
(PUL). Syftet med lagen är att skydda människor mot att deras personliga
integritet kränks genom behandling av personuppgifter. Med personuppgifter
avses enligt PUL uppgifter som direkt eller indirekt kan hänföras till fysiskt
levande personer. Det innebär att även bilder, föremål eller t.o.m. krypterade
uppgifter kan utgöra personuppgifter, såvida de kan spåras eller kopplas till en
individ. Det saknar betydelse om den personuppgiftsansvarige saknar rimliga
möjligheter att bakåtidentifiera uppgifterna – kan vem som helst direkt eller
indirekt hänföra uppgifterna till en fysisk person är det enligt svensk
rättsuppfattning personuppgifter.
Utgångspunkten i PUL är att alla former av behandlingar av personuppgifter
som på något sätt är strukturerade är förbjudna. Lagen tillåter emellertid en
IVBAR Juridik 2013-03-28
M. Nymark
29
juridisk eller fysisk person, en personuppgiftsansvarig, att i vissa fall få behandla
personuppgifter.
Om den registrerade lämnar sitt samtycke till någon att behandla dennes
personuppgifter rör det sig om en tillåten behandling, förutsatt att den registrerade
har fått relevant information om behandlingen, förstått informationen och lämnat
ett frivilligt samtycke. Kan den registrerade inte förstå informationen är en
behandling baserad på samtycke inte laglig, om inte en legal ställföreträdare (en
förordnad god man eller förvaltare för en vuxen person eller en vårdnadshavare
för ett barn) i stället kan informeras och lämna samtycke.
När det gäller samtycke till behandling av s.k. känsliga personuppgifter ska
samtycket dessutom vara ”uttryckligt”. Med känsliga personuppgifter avses bl.a.
uppgifter om enskildas hälsa (13 §).
Behandling av personuppgifter i ostrukturerad form, t.ex. i e-post eller på en
Facebook-sida, är också tillåten enligt PUL förutsatt att behandlingen inte är
kränkande för de personer vars personuppgifter behandlas.
Utöver samtycke och ostrukturerade personuppgifter räknar lagen upp
fallsituationer som tillåter en personuppgiftsansvarig att behandla personuppgifter,
manuellt eller maskinellt, utan den registrerades samtycke. Fallsituationerna faller
in i två kategorier, dels fallsituationer för känsliga personuppgifter, dels
fallsituationer för övriga personuppgifter. Av exempelvis 18 § PUL framgår att en
personuppgiftsansvarig får behandla känsliga personuppgifter om hälsa för hälso-
och sjukvårdsändamål utan den registrerades samtycke. Därutöver innehåller
lagen bl.a. bestämmelser om grundläggande krav på behandling av
personuppgifter (9 §) som alltid måste vara uppfyllda, oavsett om behandlingen
grundas på den registrerades samtycke eller en fallsituation.
Enligt 31 § ska den personuppgiftsansvarige också vidta lämpliga tekniska
och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. När
det gäller säkerheten kan den registrerade dock inte samtycka till en undermålig
eller sämre säkerhet än vad som är lämpligt med hänsyn till förhållandena och de
uppgifter som behandlas.4
Om man behandlar personuppgifter när det inte är lagligt, är sanktionen
skadestånd till den registrerade för den kränkning av den personliga integriteten
som den olagliga behandlingen av personuppgifter har orsakat. Det är bara den
registrerade själv som har rätt till sådant så kallat allmänt eller ideellt skadestånd
och inte dennes anhöriga.
PUL är emellertid subsidiär i förhållande till annan författning, dvs. om det i
en annan lag eller i en förordning finns bestämmelser som avviker från lagen, ska
de bestämmelserna gälla (2 §). Som exempel härpå kan nämnas
uppgiftsskyldighet i lagar och förordningar och arkivlagen såvitt beträffar
myndigheter.
4 Article 29 Data Protection Working Party, Opinion 15/2011 on the definition of consent
(01197/11/EN, WP187), s. 34.
IVBAR Juridik 2013-03-28
M. Nymark
30
2.5 Journalföring och informationshantering
Personuppgifter som behandlas inom hälso- och sjukvården är typiskt sett av
känslig eller mycket känslig natur. Registerförfattningar, författningar som
närmare reglerar personuppgiftsbehandlingen i verksamhetsspecifika och
datoriserade myndighetsregister, har funnits i många år. Med tiden, och genom
den tekniska utvecklingen, har frågor om människors personliga integritet kommit
alltmer i fokus. Vid början av 1990-talet intensifierades utfärdandet av
registerförfattningar till följd av en politisk debatt om integritetsriskerna med
registrering av ömtåliga personuppgifter. Regeringen och Konstitutionsutskottet
framhöll, i ett i dessa sammanhang ofta citerat uttalande, att målsättningen är att
myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll
ska regleras särskilt i lag.5 I samband med utskottsbehandlingen av förslaget till
personuppgiftslag uttalade Konstitutionsutskottet att det saknades anledning att
frångå denna målsättning.6
Den 1 juli 2008 trädde patientdatalagen (PDL) i kraft och ersatte
patientjournallagen och vårdregisterlagen.7 I och med patientdatalagen fick hälso-
och sjukvården, tandvården, smittskyddet samt viss annan medicinsk verksamhet
en sammanhållen och verksamhetsanpassad reglering för behandling av
personuppgifter m.m. Lagen kompletterar personuppgiftslagen, dvs. den ersätter
vissa av personuppgiftslagens bestämmelser, men hänvisar i andra delar till den.
Patientdatalagen gäller för alla vårdgivare oavsett huvudmannaskap och reglerar
bl.a. sådana frågor som skyldigheten att föra patientjournal, inre sekretess och
elektronisk åtkomst till uppgifter i en vårdgivares verksamhet samt utlämnande av
uppgifter och handlingar genom direktåtkomst8 eller på annat elektroniskt sätt.
2.5.1 Tillåten användning av personuppgifter enligt patientdatalagen
I 2 kap. 4 § PDL anges för vilka ändamål som personuppgifter får samlas in och
även i övrigt behandlas inom hälso- och sjukvården. Ändamålen är följande:
1. patientjournalföring och annan dokumentation som behövs i och för
vården av patienter,
2. annan dokumentation som behövs för administration som rör patienter och
som syftar till att bereda vård i enskilda fall eller som annars föranleds av
vård i enskilda fall,
5 Prop. 1990/91:60 s. 58 och bet. 1990/91:KU11 s. 11. 6 Bet. 1997/98:KU18 s. 43. 7 Prop. 2007/08:126 8 Direktåtkomst innebär (enligt E-delegationens definition) ’möjlighet att på egen hand söka och ta
del av uppgifter i register och databaser, som inte är allmänt tillgängliga, utan att kunna påverka
innehållet’. I patientdatalagen avses med direktåtkomst en speciell form av elektroniskt
utlämnande av personuppgifter till mottagare utanför en vårdgivares organisation (se vidare SOU
2006:82 s. 217).
IVBAR Juridik 2013-03-28
M. Nymark
31
3. upprättande av annan dokumentation som följer av lag, förordning eller
annan författning,
4. systematisk och fortlöpande utveckling och säkring av hälso- och
sjukvårdens kvalitet,
5. administration, planering, uppföljning, utvärdering och tillsyn av hälso-
och sjukvårdsverksamheten, eller
6. framställning av statistik rörande hälso- och sjukvård.
Dessutom får personuppgifter som behandlas för ändamål enligt punkterna 1–
6 behandlas för att fullgöra uppgiftslämnande i överensstämmelse med lag eller
förordning. I övrigt gäller den s.k. finalitetsprincipen i 9 § första stycket d och
andra stycket personuppgiftslagen för behandling av insamlade personuppgifter
för ett nytt ändamål9.
Av tradition har lagstiftaren valt att dela in ändamålsbestämningarna i
primära och sekundära ändamål. Med primära ändamål avses normalt registrering
av personuppgifter för den personuppgiftsansvariges operativa verksamheter,
medan sekundära ändamål reglerar efterföljande behandling av redan registrerade
personuppgifter för andra ändamål. Som exempel på sekundära
ändamålsbestämningar kan nämnas systematisk uppföljning, utvärdering,
arkivering och forskning. Patientdatalagen saknar en indelning i primära och
sekundära ändamål. Förklaringen är att personuppgiftsbehandlingar för primära
och sekundära ändamål äger mer eller mindre rum integrerat i varje vårdgivares
verksamhet. Regeringen anförde i förarbetena till patientdatalagen att den inte såg
en risk för ett försämrat integritetsskydd att även sådana ändamål som i dag faller
vid sidan av den individinriktade verksamheten, dvs. linjeverksamheten, får vara
primära.10
Enligt regeringen handlar det i allt väsentligt om en efterkommande
användning av uppgifter som härrör från den individinriktade verksamheten. Detta
överensstämmer med strävandena inom hälso- och sjukvården att förbättra och
effektivisera verksamheten bl.a. genom att skapa en ändamålsenlig och enhetlig
vårddokumentation som minskar det administrativa merarbetet samt höjer
kvaliteten.
En vårdgivare får således registrera patientuppgifter, därefter behandla dessa
för patientadministrativa ändamål eller systematisk uppföljning samt
”återanvända” dem i den individbaserade patientvården på nytt i den omfattning
som behövs. Denna ”crossover” av användning av patientuppgifter för olika
ändamål är fullt tillåten inom en vårdgivares verksamhet och kräver inte
patientens samtycke.
Patientdatalagen förbjuder således inte en vårdgivare att basera sin
verksamhetsuppföljning på individuppgifter. Vårdgivaren behöver inte heller
beakta eventuella spärrade journaluppgifter i sin verksamhetsuppföljning. En
9 Finalitetsprincipen innebär att personuppgifter inte får behandlas för något ändamål som är
oförenligt med det för vilket uppgifterna samlades in. Behandling av personuppgifter för
historiska, statistiska eller vetenskapliga ändamål ska inte anses som oförenlig med de ändamål för
vilka uppgifterna samlades in. 10 Prop. 2007/08:126 s. 56.
IVBAR Juridik 2013-03-28
M. Nymark
32
omfattande behandling av personuppgifter för olika ändamål ökar emellertid
risken för en otillbörlig spridning av individuppgifter. En risk- och hotanalys ur
ett informationssäkerhetsperspektiv torde således ge vid handen att
kompensatoriska åtgärder bör vidtas för att reducera eller eliminera obehörigt
röjande. En sådan åtgärd som bör vidtas är att begränsa antalet användare till ett
informationsobjekt eller en informationskälla. En annan kompensatorisk
säkerhetsmekanism är att utesluta namn och fullständiga personnummer då
personuppgifter behandlas för ändamålen kvalitetssäkring eller annan
verksamhetsuppföljning, i vart fall under delar av bearbetningen.
2.5.2 Sammanhållen journalföring
I 6 kap. PDL finns bestämmelser om s.k. sammanhållen journalföring.
Regleringen innebär att vårdgivare under vissa förutsättningar kan få
direktåtkomst till varandras elektroniska journalhandlingar och andra
personuppgifter. En väsentlig förutsättning för direktåtkomst är dock att
uppgifterna behövs för individuell vård och behandling eller utfärdande av intyg.
Direktåtkomst för andra ändamål, t.ex. systematisk uppföljning eller utvärdering,
är inte tillåtet enligt lagen.
Om vårdgivarna använder sammanhållen journalföring kan vårdgivare och
patient få en samlad bild av patientens vårddokumentation, oavsett hur många
eller vilka vårdgivare patienten har. Bestämmelserna om sammanhållen
journalföring medger vårdgivare att också skapa patientöversikter av olika slag,
som innehåller ”bara vissa grundfakta om patienter, t.ex. identitetsuppgifter om
patienten, patientens primärvårdskontakt på hemorten, provbunden diagnostik,
förskrivna läkemedel, diagnoser och remissvar från röntgen.” 11
Bestämmelserna om sammanhållen journalföring innebär inte några
inskränkningar i förhållande till de möjligheter som i övrigt finns till överföring,
elektroniskt, brevledes eller per fax, av journalhandlingar eller andra
personuppgifter mellan vårdgivare, t.ex. för vård och behandling. De krav som
uppställs för den sammanhållna journalföringen är helt knutna till att utlämnandet
sker genom direktåtkomst. För informationsutbyte på andra sätt gäller i princip
samma regler som före patientdatalagens ikraftträdande.
Patientdatalagen kräver inte att en vårdgivare ska inhämta ett uttryckligt
samtycke från patienten om att uppgifter om honom eller henne får göras
tillgängliga för andra vårdgivare genom sammanhållen journalföring. Lagen
bygger alltså på en s.k. opt out-modell eller, om man så vill, en ordning i vilket ett
förmodat samtycke gäller för att personuppgifter görs tillgängliga för andra
vårdgivare. Patienten har emellertid en rätt att motsätta sig att uppgifter om
honom eller henne görs tillgängliga i en sammanhållen journal. Därför har en
vårdgivare en skyldighet att informera patienten i ett tidigt skede om innebörden
av sammanhållen journalföring och dennes möjlighet att spärra hela eller delar av
11 Prop. 2007/08:126 s. 248; se även s. 106.
IVBAR Juridik 2013-03-28
M. Nymark
33
patientjournalen för andra vårdgivare som ingår i den aktuella sammanhållna
journalföringen12
. Om det hos en annan vårdgivare blir aktuellt för hälso- och
sjukvårdspersonal att ta del av uppgifterna i den sammanhållna journalföringen,
krävs dock patientens samtycke för åtkomst (opt-in).
Bestämmelserna om sammanhållen journalföring är utformade så att de
skapar förutsättningarna för att kunna införa ett gemensamt system för en
sammanhållen elektronisk journal, men föreskriver inget tvång för vårdgivarna att
införa ett sådant system.13
Regeringen var inte beredd att gå så långt att man ville
föreslå en obligatorisk elektronisk journal, bl.a. med hänvisning till bristen på
tekniska förutsättningar samt att journal på mindre kliniker alltjämt fördes
manuellt på papper.
2.5.3 Socialstyrelsens föreskrifter
Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och
journalföring i hälso- och sjukvården är de föreskrifter som är kopplade till
patientdatalagen. De kompletterar också föreskrifterna (SOSFS 2011:9) om
ledningssystem för systematiskt kvalitetsarbete i hälso- och sjukvården och
föreskrifterna (SOSFS 2008:1) om användning av medicintekniska produkter i
hälso- och sjukvården vad gäller regler för användning av informationssystem i
hälso- och sjukvården. Socialstyrelsen har även utarbetat en handbok till SOSFS
2008:14, informationshantering och journalföring till stöd för vårdgivare,
verksamhetschefer, medicinskt ansvariga sjuksköterskor och hälso- och
sjukvårdspersonal som ska tillämpa föreskrifterna.
2.6 Bestämmelser om sekretess och tystnadsplikt
I det följande lämnas en redovisning för bestämmelser om sekretess och
tystnadsplikt inom hälso- och sjukvård samt socialförsäkringens administration.
Den s.k. statistiksekretessen berörs också. Bestämmelser om sekretess och
tystnadsplikt inom hälso- och sjukvård finns i offentlighets- och sekretesslagen
(2009:400) respektive patientsäkerhetslagen (2010:659). Motsvarande
bestämmelser på socialförsäkringens område finns i huvudsak i offentlighets- och
sekretesslagen. Bestämmelser om sekretess och tystnadsplikt enligt offentlighets-
och sekretesslagen är tillämplig på myndigheter, t.ex. nämnder i ett landsting, och
patientsäkerhetslagens bestämmelser om tystnadsplikt är tillämplig på hälso- och
sjukvårdspersonal som är verksamma i enskild hälso- och sjukvård.
Statistiksekretessen regleras i offentlighets- och sekretesslagen.
12 Vårdnadshavaren till ett barn kan dock inte spärra uppgifter om barnet (6 kap. 2 § 4 stycket). 13 Prop. 2007/08:126 s. 35.
IVBAR Juridik 2013-03-28
M. Nymark
34
2.6.1 Offentlighets- och sekretesslagen
Sekretesslagen (1980:100) ersattes den 30 juni 2009 av offentlighets- och
sekretesslagen14
. Skillnaden mellan lagarna är i huvudsak redaktionell. OSL utgör
en omarbetning av sekretesslagen i syfte att göra regleringen mer lättförståelig och
lättillämpad. I det följande redovisas de aspekter av OSL som är tillämpliga på
personuppgifter inom hälso- och sjukvård. Därefter följer en redogörelse för
sekretess inom socialförsäkringens administration.
2.6.2 Allmänna bestämmelser om sekretess enligt OSL
Sekretess definieras som ett förbud att röja en uppgift, vare sig det sker muntligen,
genom utlämnande av en allmän handling eller på något annat sätt (3 kap. 1 §). En
bestämmelse om sekretess medför således både tystnadsplikt för de personer som
har en skyldighet att följa bestämmelsen och handlingssekretess för de handlingar
som omfattas av bestämmelsen.
När det gäller sekretessens styrka är det normala att den bestäms med hjälp av
s.k. skaderekvisit. Man skiljer i detta avseende mellan rakt och omvänt
skaderekvisit. Vid rakt skaderekvisit är utgångspunkten att uppgifterna är
offentliga och att sekretess endast gäller om det kan antas att viss skada uppstår
om uppgifterna lämnas ut. Vid omvänt skaderekvisitet är utgångspunkten den
motsatta, dvs. att uppgifterna omfattas av sekretess. Vid omvänt skaderekvisit får
uppgifterna således bara lämnas ut om det står klart att detta kan ske utan att viss
skada uppstår. Sekretessen enligt en bestämmelse kan även vara absolut, vilket
innebär att de uppgifter som omfattas av bestämmelsen ska hemlighållas utan
någon skadeprövning.
Alla myndigheter ska iaktta ett förbud att röja eller utnyttja en uppgift som
omfattas av sekretess enligt offentlighets- och sekretesslagen eller annan
författning som lagen hänvisar till (2 kap. 1 § första stycket). Med myndigheter
jämställs även aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där
kommuner eller landsting utövar ett rättsligt bestämmande inflytande (2 kap. 3 §).
Sekretess ska också iakttas av en person som genom det allmännas räkning deltar i
en myndighets verksamhet på grund av anställning eller uppdrag hos
myndigheten, på grund av tjänsteplikt eller på annan liknande grund (2 kap. 1 §
andra stycket).
Enligt 4 kap. 1 § OSL ska en myndighet ta hänsyn till rätten att ta del av
allmänna handlingar när den organiserar hanteringen av sådana handlingar och vid
övrig hantering av allmänna handlingar. Bestämmelsen ger uttryck för att
myndigheter ska ha en god offentlighetsstruktur, bl.a. att allmänna handlingar ska
skiljas från andra handlingar för att underlätta för den enskilde att begära ut en
allmän handling. Bestämmelsen är vidare teknikneutral och ska således beaktas av
14 Prop. 2008/09:150.
IVBAR Juridik 2013-03-28
M. Nymark
35
myndigheter även när den använder sig av olika slags informationsstöd för
hantering av elektroniska allmänna handlingar.
En myndighet ska på begäran av en enskild eller av en myndighet lämna
uppgift ur en allmän handling som förvaras hos myndigheten, om inte uppgiften
är sekretessbelagd eller det skulle hindra arbetets behöriga gång (6 kap. 4 - 5 §§).
Sekretess gäller i förhållande till såväl enskilda (fysiska eller juridiska personer)
som andra myndigheter. Uppgifter som skyddas av sekretess får inte lämnas från
en myndighet till en enskild eller annan myndighet utan stöd i offentlighets- och
sekretesslagen. Enligt 8 kap. 2 § OSL gäller sekretess i vissa fall även inom en
myndighet. Enligt bestämmelsen får en sekretessbelagd uppgift inte röjas för en
annan verksamhetsgren inom samma myndighet, om verksamhetsgrenarna är att
betrakta som självständiga i förhållande till varandra.
Om en uppgift i en allmän handling inte får lämnas ut på grund av att den
omfattas av en sekretessbestämmelse, får detta markeras med en anteckning i
handlingen. I anteckningen ska tillämplig sekretessbestämmelse anges (2 kap. 16
§ TF). Närmare bestämmelser om s.k. sekretessmarkering finns i 5 kap. 5 § OSL.
Av OSL:s bestämmelser följer att om flera sekretessbestämmelser är tillämpliga
på en uppgift, ska den bestämmelse som har det starkaste sekretesskyddet
tillämpas (7 kap. 3 §).
2.6.3 Sekretess inom den offentliga hälso- och sjukvården
Enligt 25 kap. 1 § första stycket OSL gäller sekretess inom hälso- och sjukvården
och annan medicinsk verksamhet för uppgift om en enskilds hälsotillstånd eller
andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan
att den enskilde eller någon närstående till denne lider men (omvänt skaderekvisit,
se ovan). Med uttrycket ”annan medicinsk verksamhet” åsyftas verksamhet som
inte primärt har vård- eller behandlingssyfte. Som exempel nämns i bestämmelsen
verksamhet som bedrivs vid Rättsmedicinalverket. Abort, insemination,
sterilisering och åtgärder mot smittsamma sjukdomar är andra exempel på
verksamheter som omfattas av s.k. hälso- och sjukvårdssekretess.
Sekretessen gäller dock inte bl.a. beslut i ärende enligt lagstiftningen om
psykiatrisk tvångsvård eller rättspsykiatrisk vård om beslutet avser
frihetsberövande åtgärd samt beslut enligt smittskyddslagen (2004:168), om
beslutet avser frihetsberövande åtgärd (se 21 kap. 10 § för en uttömmande
beskrivning av alla undantag från sekretessen). Utanför bestämmelsen faller
vidare verksamhet vid sjukhus och andra liknande inrättningar som bedrivs av
enskilda (enskild hälso- och sjukvård). För sådan verksamhet gäller i stället
bestämmelser om tystnadsplikt i patientsäkerhetslagen (2009:659), som behandlas
närmare nedan. Se även avsnitt 2.3.
Enligt 25 kap. 2 § första stycket OSL gäller sekretess hos en myndighet som
bedriver hälso- och sjukvårdsverksamhet även för uppgift om en enskilds
personliga förhållanden som gjorts tillgänglig av en annan vårdgivare enligt
IVBAR Juridik 2013-03-28
M. Nymark
36
bestämmelserna om sammanhållen journalföring i patientdatalagen (2008:355),
om förutsättningar enligt 6 kap. 3 eller 4 § samma lag för att myndigheten ska få
behandla uppgiften inte är uppfyllda.
Sekretessen enligt bl.a. 25 kap. 1 § OSL gäller också i förhållande till den
vård- eller behandlingsbehövande själv för uppgift om hans eller hennes
hälsotillstånd, om det med hänsyn till ändamålet med vården eller behandlingen är
av synnerlig vikt att uppgiften inte lämnas till honom eller henne (25 kap. 6 §).
Enligt 21 kap. 7 § OSL gäller sekretess för en personuppgift, om det kan antas
att ett utlämnande skulle medföra att uppgiften behandlas i strid med
personuppgiftslagen (1998:204)15
. Med personuppgifter förstås alla slags
information som direkt eller indirekt kan hänföras till en fysisk person som är i
livet. Skaderekvisitet är utformat så att det i princip krävs en begäran om
massuttag för att bestämmelsen ska bli tillämplig. Sekretessen gäller således med
ett rakt skaderekvisit och innebär en presumtion för att personuppgifterna är
offentliga, såvida inte annan sekretessbestämmelse är tillämplig.
Sekretessbestämmelsen berörs närmare i avsnitt 2.7.10.
I verksamhet som är begränsad till enbart teknisk bearbetning eller teknisk
lagring för någon annans räkning av personuppgifter som avses i
personuppgiftslagen gäller sekretess för uppgift om en enskilds personliga eller
ekonomiska förhållanden (40 kap. 5 §). Sekretessen aktualiseras bl.a. hos s.k.
personuppgiftsbiträden. Sekretessen är absolut, dvs. allmänhetens rätt till insyn i
sådan verksamhet är helt beskuren.
2.6.4 Sekretessbrytande bestämmelser och bestämmelser om undantag från
sekretess inom den offentliga hälso- och sjukvården
I offentlighets- och sekretesslagen finns särskilda undantagsbestämmelser som
innebär att en uppgift får lämnas ut trots att sekretess gäller för uppgiften. Dessa
bestämmelser berörs i det följande.
OSL innehåller undantagsbestämmelser som innebär att en uppgift får lämnas
ut trots att sekretess gäller för uppgiften. Med stöd av bestämmelserna kan
myndigheter under vissa förutsättningar utbyta hemliga uppgifter med varandra.
Dessutom kan uppgifter utbytas med stöd av bestämmelserna i brottsbalken om
nöd och skyldighet att avslöja brott, vilka bestämmelser bryter sekretessen. Någon
möjlighet att utlämna uppgifter med förbehåll mellan myndigheter föreligger inte,
däremot till enskild.
Sekretessbrytande bestämmelser till förmån för myndigheter och enskilda
finns i OSL:s 10 kapitel. Ytterligare sekretessbrytande bestämmelser och
bestämmelser om undantag från sekretess finns i anslutning till berörda
sekretessbestämmelser i avdelningarna IV–VI i lagen. Här behandlas endast
15 Bestämmelsen har i flera sammanhang utsatts för kritik, bl.a. av JO. E-offentlighetskommittén
har bedömt att det inte i nuläget är lämpligt att avskaffa sekretessbestämmelsen, men funnit
anledning att föreslå en förtydligande i lagtexten (SOU 2010:4, dir. 2008:26).
IVBAR Juridik 2013-03-28
M. Nymark
37
sekretessbrytande bestämmelser som kan aktualiseras i den offentliga hälso- och
sjukvården.
Sekretess till skydd för en enskild gäller inte i förhållande till den enskilde
själv, om inte annat anges i OSL. Vidare kan en enskild helt eller delvis häva
sekretess som gäller till skydd för honom eller henne, om inte annat anges i
offentlighets- och sekretesslagen (12 kap. 1 – 2 §§). Sekretess hindrar inte heller
att en enskild eller en myndighet som är part i ett mål eller ärende hos domstol
eller annan myndighet och som på grund av sin partsställning har rätt till insyn i
handläggningen, tar del av en handling eller annat material i målet eller ärendet
(10 kap. 3 §; partsinsynsrätt).
Enligt 10 kap. 2 § OSL hindrar inte sekretess att en uppgift lämnas till en
enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande
myndigheten ska kunna fullgöra sin verksamhet.
Om en myndighet enligt lag eller förordning är skyldig att lämna uppgifter till
en annan myndighet, viker enligt 10 kap. 28 § första stycket OSL sekretesskyddet.
Sekretess kan även brytas med stöd av den s.k. generalklausulen (10 kap. 27 §).
Enligt generalklausulen får en sekretessbelagd uppgift lämnas till en myndighet,
om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det
intresse som sekretessen ska skyddas. Generalklausulen kan emellertid inte
åberopas i fråga om alla sekretessbestämmelser. T.ex. kan generalklausulen inte
åberopas beträffande sekretess enligt 25 kap. 1 §. Generalklausulen kan inte heller
åberopas om utlämnandet strider mot lag eller förordning eller föreskrift som har
meddelats med stöd av personuppgiftslagen.
Sekretessbrytande bestämmelser som är specifika för den offentliga hälso-
och sjukvården finns i 25 kap. OSL (11–14 §§) (därutöver finns särskilda
bestämmelser om uppgiftsskyldighet för hälso- och sjukvårdspersonalen i 6 kap.
15 § patientsäkerhetslagen samt för vårdgivare i exempelvis lagen [1998:543] om
hälsodataregister). Dessa sekretessbrytande bestämmelser tillåter i princip
utlämnande av uppgifter om en enskilds hälsotillstånd m.m. från en myndighet,
exempelvis en nämnd, till en annan över organisatoriska gränser utan krav på att
en prövning av frågan om utlämnande ska behöva göras i varje enskilt fall.
Därmed kan vissa rutinmässiga informationsutbyten – genom olika former av
elektronisk åtkomst – helt eller delvis automatiseras. I det följande berörs tre av
dessa sekretessbrytande bestämmelser.
De två första sekretessbrytande bestämmelserna finns i 25 kap. 11 § första och
andra punkten OSL. Enligt dessa bestämmelser hindrar inte sekretess att en
uppgift lämnas från en myndighet inom hälso- och sjukvården till en annan sådan
myndighet i samma kommun eller landsting. Att sekretessen enligt 25 kap. 1 §
inte hindrar att en uppgift lämnas från en myndighet inom hälso- och sjukvården i
en kommun eller ett landsting till en annan sådan myndighet i samma kommun
eller landsting innebär att uppgifter för vilka det gäller sekretess fritt kan lämnas
mellan hälso- och sjukvårdsmyndigheter inom en kommun eller ett landsting.
Kommunala företag som avses i 2 kap. 3 § OSL, dvs. bolag, föreningar och
IVBAR Juridik 2013-03-28
M. Nymark
38
stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande
inflytande, är i detta sammanhang att jämställa med myndigheter. Det framgår av
den sistnämnda paragrafen i OSL. Enligt denna paragraf är det således möjligt att
utan hinder av sekretess lämna uppgifter mellan ett kommunalt bolag i vilket ett
landsting äger mer än 50 procent av aktierna och den nämnd eller de nämnder i
landstinget som fullgör landstingets uppgifter när det gäller hälso- och sjukvård.
Undantaget från sekretessen gör det möjligt för ett landsting att fritt välja sin
organisation utan hänsyn till att sekretess i princip råder mellan myndigheter.
Regeln innebär också för ett landsting att det utan hinder av sekretess kan följa
upp alla delar av sin hälso- och sjukvårdsverksamhet.16
Undantaget från sekretess
gäller däremot inte i förhållande till gemensamma nämnder inom vård- och
omsorgsområdet, jfr lagen (2003:192) om gemensam nämnd inom vård- och
omsorgsområdet, eller i förhållande till kommunalförbund, som är en särskild,
offentligrättslig juridisk person för samarbete mellan kommuner.
Den tredje sekretessbrytande bestämmelsen finns i 25 kap. 11 § OSL. Enligt
den bestämmelsen hindrar inte sekretess enligt 25 kap. 1 § OSL att uppgifter
utlämnas till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen
(fjärde punkten). Sekretessbrytande bestämmelser om hälsodataregister finns i
lagen om hälsodataregister, se vidare avsnitt 2.9.
2.6.5 Tystnadsplikt inom den enskilda hälso- och sjukvården
Eftersom enskilda vårdgivare inte är myndigheter, omfattas de inte av OSL:s
bestämmelser om sekretess. Lagstiftaren har i stället valt att skydda enskildas
uppgifter om hälsa som förekommer i den enskilda vården genom att särreglera
frågan på individnivå. Bestämmelser om tystnadsplikt inom enskild hälso- och
sjukvård finns i patientsäkerhetslagen. Enligt 6 kap. 12 § får den som tillhör eller
har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och
sjukvården inte obehörigen röja vad han eller hon i sin verksamhet har fått veta
om en enskilds hälsotillstånd eller andra personliga förhållanden. Som obehörigt
röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag
eller förordning. Tystnadsplikt som gäller för en uppgift om en patients
hälsotillstånd gäller även i förhållande till patienten själv, om det med hänsyn till
ändamålet med hälso- och sjukvården är av synnerlig vikt att uppgiften inte
lämnas till patienten. Patientsäkerhetslagen innehåller även bestämmelser som
ålägger hälso- och sjukvårdspersonal, både inom offentlig och enskild
verksamhet, en skyldighet att i vissa situationer utlämna uppgift om enskilds
hälsotillstånd eller röja patients identitet och vistelse på sjukvårdsinrättning (se 6
kap. 15 §).
16 Prop. 2007/08:126 s. 270.
IVBAR Juridik 2013-03-28
M. Nymark
39
2.6.6 Sekretess inom socialförsäkringens administration
Det intresse som främst ska skyddas på socialförsäkringsområdet är enskildas
(försäkrades) integritet. Uppgifter om enskilda i socialförsäkringsärenden finns i
flera olika bestämmelser, främst skyddas uppgifterna genom den så kallade
socialförsäkringssekretessen i 28 kap. 1 § OSL.
Enligt 28 kap. 1 § OSL gäller sekretess hos Försäkringskassan,
Pensionsmyndigheten och domstol för uppgift om en enskilds hälsotillstånd eller
andra personliga förhållanden, om det kan antas att den enskilde eller någon
närstående till denne lider men om uppgiften röjs och uppgiften förekommer i
ärende enligt lagstiftningen om
1. allmän försäkring,
2. allmän pension,
3. arbetsskadeförsäkring,
4. handikappersättning och vårdbidrag,
5. statligt tandvårdsstöd,
6. läkarvårdsersättning,
7. ersättning för sjukgymnastik,
8. jämställdhetsbonus,
9. annan ekonomisk förmån för enskild, eller
10. särskild sjukförsäkringsavgift.
Enligt andra stycket i paragrafen gäller motsvarande sekretess hos en annan
myndighet som har till uppgift att handlägga ärenden enligt den lagstiftning som
anges i första stycket. För en myndighet som anges i 14 § gäller dock
bestämmelserna där.
Av tredje stycket framgår att sekretess gäller hos Försäkringskassan och
Pensionsmyndigheten även i verksamhet som avser registrering av enskilda för
uppgift om en enskilds personliga förhållanden som myndigheten fått från
Migrationsverket, om det kan antas att den enskilde eller någon närstående till
denne lider men om uppgiften röjs.
Första och andra styckena gäller inte om annat följer av 28 kap. 3 §. För
uppgift i en allmän handling gäller sekretessen i högst sjuttio år.
Vem skyddas av socialförsäkringssekretess?
Bestämmelsen om socialförsäkringssekretess innebär bland annat att sekretess kan
gälla hos Försäkringskassan i olika slag av ärenden om förmåner och ersättningar.
Sekretessen skyddar uppgift om någons hälsotillstånd eller andra personliga
förhållanden, om det kan antas att den som uppgiften rör eller någon som står
honom eller henne nära lider men om uppgiften lämnas ut (se nedan).
Med den enskildes närstående avses dennes man eller hustru, registrerad partner,
sambo och nära släktingar. Som nära släktingar räknas den inre familjekretsen
IVBAR Juridik 2013-03-28
M. Nymark
40
såsom föräldrar, barn eller syskon. Men det kan även handla om en nära vän eller
en före detta man, hustru eller registrerad partner.
Vilka uppgifter omfattas av socialförsäkringssekretess?
Sekretessen skyddar uppgifter om någons hälsotillstånd eller andra personliga
förhållanden. I princip omfattar uttrycket personliga förhållanden alla uppgifter
som kan hänföras till den enskilde och kan gälla allt från uppgift om civilstånd
och adress till arbetsförmåga och medicinsk diagnos. Även ekonomiska
förhållanden som exempelvis sjukpenninggrundande inkomst och sjukpenning
faller under begreppet personliga förhållanden.
Vad för slags sekretess råder?
Sekretessen är rak, dvs. utgångspunkten vid en menprövning är att uppgiften är
offentlig enligt tryckfrihetsförordningens bestämmelser om handlingsoffentlighet
(se avsnitt 2.7.2 om rakt och omvänt skaderekvisit). Uppgift om namn, ålder,
personnummer, civilstånd, yrke, arbetsgivare och adress är i regel inte
sekretessbelagda enligt socialförsäkringssekretessen. Dock kan en adressuppgift
till en vårdinrättning emellertid omfattas av sekretess, se vidare nedan. Uppgift
om arbetsgivare till inkassobyrå har ansets också omfattas av sekretess, se nedan.
Även en normalt sett harmlös uppgift dock kan avslöja något ofördelaktigt om
den enskilde. Det kan antas medföra men om till exempel en adressuppgift lämnas
ut om det av den uppgiften framgår att han eller hon är intagen för vård på ett hem
för alkoholmissbrukare, ett psykiatriskt sjukhus, ett särskilt ungdomshem eller
någon liknande vårdinrättning. Uppgifter om den enskildes yrke och arbetsgivare
är i regel inte sekretessbelagda.
Uppgifter till exempelvis en inkassobyrå om en enskilds arbetsgivare eller
sjukpenninggrundande inkomst är oftast till men för honom eller henne själv och
får därför inte lämnas ut. Försäkringskassan får heller inte lämna ut
sammanställningar av sjukperioder till arbetsgivare som överväger att anställa en
person.
Sekretess mot den försäkrade själv
Enligt 28 kap. 2 § OSL gäller sekretessen enligt 1 § första och andra styckena i
förhållande till en vård- eller behandlingsbehövande själv för uppgift om hans
eller hennes hälsotillstånd, om det med hänsyn till ändamålet med vården eller
behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne.
Bestämmelsen motsvarar 25 kap. 6 § i OSL som avser sekretess mot den enskilde
själv avseende hälsorelaterade uppgifter i hälso- och sjukvården (se ovan).
Övriga sekretessbestämmelser inom socialförsäkringens administration
IVBAR Juridik 2013-03-28
M. Nymark
41
Av 28 kap. 6 § OSL framgår att sekretessen enligt 28 kap. 1 § inte hindrar att
uppgift lämnas till en enskild enligt vad som föreskrivs i ”lagstiftningen om
allmän försäkring, allmän pension, handikappersättning och vårdbidrag, sjuklön,
statligt tandvårdsstöd eller särskild sjukförsäkringsavgift.”
Enligt 27 kap. 1 § OSL gäller sekretess i verksamhet som avser bestämmande
av skatt eller fastställande av underlag för bestämmande av skatt eller som avser
fastighetstaxering för uppgift om en enskilds personliga eller ekonomiska
förhållanden. Enligt andra stycket 3 punkten gäller sekretess vidare hos
Försäkringskassan för uppgift om en enskilds personliga eller ekonomiska
förhållanden som Skatteverket har lämnat i ett ärende om särskild
sjukförsäkringsavgift.
Sekretessbrytande bestämmelser och uppgiftsskyldighet
Trots att en uppgift i många fall är sekretessbelagd hos Försäkringskassan kan den
i vissa situationer ändå lämnas ut. Det beror på att det finns en rad olika
bestämmelser som bryter sekretess. Ofta grundar sig detta på att det finns en
uppgiftsskyldighet för en viss myndighet och att uppgiften behövs för ett visst
syfte. T.ex. framgår det av OSL:s bestämmelser att sekretess inte utgör hinder mot
att en uppgift lämnas ut om det är nödvändigt för att den myndighet som lämnar
uppgiften ska kunna fullgöra sin verksamhet (se avsnitt 2.7.4). Exempelvis kan
Försäkringskassan behöva lämna ut sekretessbelagda uppgifter till en utomstående
medicinsk expert för att få in ett yttrande som Försäkringskassan har begärt. Fler
uppgifter än nödvändigt får inte lämnas ut.
Om det framgår av en lag eller förordning att uppgifter ska lämnas ut till en
annan myndighet ska dessa uppgifter lämnas ut oavsett sekretess. Detta bygger
ofta på att det finns en begäran. Sådana undantag från sekretessen bestämmelser
finns till exempel i 110 kap. 39-42 §§ socialförsäkringsbalken (FSB) och
socialtjänstlagen (2001:453). I 110 kap. 31 – 38 §§ finns även uppgiftsskyldighet
för andra än parter i ärenden som handläggs enligt SFB, t.ex. banker, arbetsgivare,
myndigheter m.fl.
I förordningen (1980:995) om skyldighet för Försäkringskassan att lämna
uppgifter till andra myndigheter finns vissa myndigheter uppräknade, till exempel
socialnämnd. Dessa myndigheter har rätt att på begäran bland annat få uppgifter
om enskildas ekonomiska förhållanden om uppgifterna behövs i ärenden där.
Försäkringskassan får bland annat lämna ut uppgifter till en arbetsgivare om
denne behöver uppgifter för samordning med ersättning. Det handlar vanligtvis
om belopps- och tidsuppgifter som denne är i behov av för att kunna reglera
arbetstagarens lön eller semester. Dessutom får Försäkringskassan lämna sådana
uppgifter till exempelvis Statens tjänstepensionsverk, en arbetslöshetskassa eller
en annan försäkringsinrättning som behövs för att man där ska kunna samordna
ersättningar.
IVBAR Juridik 2013-03-28
M. Nymark
42
Försäkringskassan får också lämna ut en uppgift till en arbetsgivare om vad
som framkommit vid sjukkontroll under en sjuklöneperiod enligt sjuklönelagen.
Uppgiften får endast lämnas ut om den behövs för att arbetsgivaren ska kunna ta
ställning till arbetstagarens rätt till sjuklön under sjuklöneperioden.
Enligt den s.k. generalklausulen i OSL (10 kap. 27 §, se avsnitt 2.7.4) har
Försäkringskassan möjlighet att lämna ut uppgifter till annan myndighet om det är
uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse
som sekretessen ska skydda.
Den enskilde kan alltid lämna samtycke till att sekretessbelagda uppgifter som
rör honom eller henne lämnas ut. Det gäller både utlämnande till andra
myndigheter och till enskilda. Detta kan vara aktuellt vid så kallade
avstämningsmöten inom sjukförsäkringen.
Enligt OSL krävs inget skriftligt samtycke utan det går bra med muntligt.
Ibland behövs inte något uttryckligt samtycke utan det räcker att det framgår på
annat sätt (så kallat konkludent samtycke). Det är viktigt att den enskilde är
införstådd med vad han eller hon samtyckt till och till vem samtycket ges. Ett
samtycke är frivilligt och kan tas tillbaka. Om en person med stöd av fullmakt
begär att få ut uppgifter från Försäkringskassan för någon annans räkning är det
Försäkringskassans uppgift att kontrollera att fullmakten är giltig och vad den
omfattar.
Trots sekretessen lämnas uppgifter om enskilda i stor utsträckning ut till andra
myndigheter med stöd av bestämmelser om uppgiftsskyldighet som främst
återfinns i förordningen (1980:995) om skyldighet för Försäkringskassan att
lämna uppgifter till andra myndigheter. Försäkringskassan tar också emot många
uppgifter från andra myndigheter. Avsikten med informationsutbytet är att minska
risken för felaktiga utbetalningar.
2.6.7 Statistiksekretess
Statistiksekretessen regleras i offentlighets- och sekretesslagen. Sekretessen har i
olika sammanhang uppfattats som svårtillämpad17
. I det följande lämnas en
redogörelse först för gällande rätt avseende statistiksekretess. Därefter behandlas
EU-rätten inom området.
Den s.k. statistiksekretessen regleras i 24 kap. 8 § OSL. Där anges att
sekretess gäller i sådan särskild verksamhet hos en myndighet som avser
framställning av statistik för uppgift som avser en enskilds personliga eller
ekonomiska förhållanden och som kan hänföras till den enskilde.
Bestämmelsens räckvidd är angiven så att sekretess gäller för uppgifterna
oavsett varifrån de härrör eller hur de har kommit till myndigheten. Det avgörande
är den verksamhet som uppgifterna förekommer i och inte ändamålet med
uppgifterna. Innebörden av detta blir att en uppgift hos en och samma myndighet
17 SOU 2012:83 s. 357.
IVBAR Juridik 2013-03-28
M. Nymark
43
kan vara offentlig om den behandlas inom en handläggande avdelning, men
sekretessreglerad inom en avdelning som framställer statistik.18
Vidare anges i den
berörda paragrafen att statistiksekretessen även gäller för annan jämförbar
undersökning som utförs av Riksrevisionen eller riksdagsförvaltningen19
eller av
myndigheter under regeringen förutsatt att regeringen har föreskrivit om det.
Regeringen har med stöd av bestämmelsen meddelat föreskrifter om sekretess
i 7 § offentlighets- och sekretessförordningen (2009:641). De undersökningar som
här avses kan dock många gånger sekretesskyddas även enligt 30 kap. 23 § OSL20
och 30 kap. 27 § OSL21
.
Som framgått ovan är föremålet för sekretessen uppgifter som avser en
enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den
enskilde. Skyddet gäller inte enbart sådana uppgifter som innehåller
identitetsbeteckningar, som namn och personnummer, på en enskild utan även
uppgifter som överhuvudtaget kan – direkt eller indirekt – hänföras till en viss
enskild.22
Vad gäller sekretessens styrka gäller enligt huvudregeln att sekretessen är
absolut, dvs. de uppgifter som omfattas av bestämmelsen kan inte ens lämnas ut
efter en skadeprövning. I paragrafen anges dock några undantag från regeln om
absolut sekretess. Det handlar till att börja med om uppgifter som behövs för
forsknings- och statistikändamål och uppgifter som inte genom namn eller
liknande är direkt hänförliga till den enskilde. Vidare handlar det om uppgifter
som avser en avliden och som rör dödsorsak eller dödsdatum, om uppgiften
behövs i ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen
(2008:355). I dessa undantagsfall gäller ett omvänt skaderekvisit, dvs.
utgångspunkten är att uppgifterna omfattas av sekretess men att de får lämnas ut
om det står klart att det kan ske utan att den enskilde eller någon närstående till
denne lider skada eller men.
I paragrafens andra stycke anges för hur lång tid sekretessen gäller. För
uppgifter i allmänna handlingar handlar det om högst 70 år, om uppgiften angår
enskildas personliga förhållanden, och annars högst 20 år. 24 kap. 8 § OSL
motsvarar 9 kap. 4 § i tidigare gällande sekretesslag (SekrL). Grunden till dagens
paragraf fanns redan vid införandet av SekrL. Därmed är motiven till denna
fortfarande av intresse och hänvisas också till i förarbetena till OSL. Där
framhölls att det i fråga om statistikuppgifter föreligger en intressekonflikt mellan
önskemålet om allmän insyn i statistiskt primärmaterial och hänsynen till den
enskildes integritet. Ett skäl för att ha en långtgående sekretess var att
offentlighetsintresset var förhållandevis svagt medan integritetsintresset var
18 Prop. 1979/80:2 med förslag till sekretesslag m.m., Del A, s. 262. 19 24 kap. 8 § första stycket andra meningen OSL. 20 Regeringen får meddela föreskrifter om sekretess för vissa uppgifter i statlig tillsynsverksamhet
m.m. 21 Regler om sekretess i verksamhet som består i tillsyn eller stödverksamhet som annan än statlig
myndighet bedriver med avseende på näringslivet. Paragrafen är till skillnad från 23 § direkt
tillämplig och alltså inte utformad så att det för sekretess krävs föreskrifter av regeringen. 22 Prop. 1979/80:2, Del A, s. 262.
IVBAR Juridik 2013-03-28
M. Nymark
44
påtagligt. Detta motiverades av den stora mängd register som fördes hos
Statistiska centralbyrån (SCB) och att statistikkvaliteten kan bli dålig om inte den
enskilde uppgiftslämnaren är säker på att hans uppgifter inte kommer ut. Många
register kan var för sig innehålla uppgifter om den enskilde som är ganska
harmlösa, men en sammanställning av sådana uppgifter kan vara
integritetskänslig. Även praktiska skäl ansågs tala för en förhållandevis
långtgående statistiksekretess. Som exempel nämndes att SCB samlar in uppgifter
dels direkt från enskilda, dels från myndigheter hos vilka uppgifterna kan vara
offentliga eller sekretessbelagda. Att i ett register där sådana uppgifter blandas
skilja mellan olika källor och sekretessregler var knappast möjligt. Mot denna
bakgrund ställdes i princip inget skaderekvisit upp när det gäller
statistiksekretessen.23
Ett register som förs hos en statistikansvarig myndighet, men med ett annat
syfte än för statistiska ändamål, faller inte under 24 kap. 8 § OSL:s
tillämpningsområde. Det ska också nämnas att generalklausulen i 10 kap. 27 §
OSL inte är tillämplig i fråga om 24 kap. 8 § OSL.24
Uppgifter som omfattas av
statistiksekretess kan dock enligt 10 kap. 28 § OSL lämnas ut till en annan
myndighet, om skyldighet att lämna uppgifterna följer av lag eller förordning.
Denna uppgiftsplikt finns vanligtvis i de författningar som styr den verksamhet
som genererar uppgiften.
Ett problem med gällande rätt anses vara svårigheten att tillämpa
statistiksekretessparagrafens begrepp, och att olika begrepp används för samma
metod att insamla och bearbeta statistik. Nedan följer en genomgång av de olika
begreppen i statistiksekretessparagrafen.
”Särskild verksamhet”
Begreppet särskild verksamhet används i paragrafen för att avgöra när uppgifter
om enskilds personliga och ekonomiska förhållanden, som kan hänföras till den
enskilde, är skyddade av statistiksekretess. För de statistikansvariga
myndigheterna säkerställs att statistiksekretessen gäller genom regleringen i 10 §
förordningen om den officiella statistiken som stadgar att verksamheten för
framställning av statistik ska vara organiserad så att den är avgränsad från
myndighetens verksamhet i övrigt.
Med särskild verksamhet åsyftas således myndigheternas egen produktion av
statistik samt uppgiftsinsamling till annan myndighets statistikproduktion.
Däremot omfattas inte statistik som framställs för att användas som underlag för
ett beslut i ett särskilt ärende hos en myndighet, utan enligt förarbetena ska det
vara fråga om en mera allmänt utredande verksamhet utan anknytning till något
23 Prop. 1979/80:2, Del A, s. 261 f. 24 I 10 kap. 27 § OSL stadgas att en sekretessbelagd uppgift får lämnas till en myndighet, om
det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som
sekretessen ska skydda. I paragrafen anges dock uttryckligen att den inte gäller i fråga om
sekretess enligt 24 kap. 8 § OSL.
IVBAR Juridik 2013-03-28
M. Nymark
45
särskilt ärende. Framtagandet av officiell statistik hos de statistikansvariga
myndigheterna är en typisk sådan verksamhet. Motsvarande framställning av
statistik kan förekomma också hos andra myndigheter. Utmärkande är att
verksamheten är organiserad som en egen enhet eller liknande. Det är sådan
verksamhet som avses med uttrycket ”myndigheters särskilda verksamhet för att
framställa statistik”.25
Redan av detta uttalande framgår att det inte krävs att verksamheten är
organiserad som en egen enhet. Detta blev än tydligare i och med ett
regeringsuttalande några år senare. Problemet då var att SCB inte lämnade ut vissa
uppgifter till kommuner för framställning av statistik med argumentet att det
framstod som tveksamt att uppgifterna skyddades av statistiksekretess hos
kommunerna. Regeringen uttalade då att statistiksekretess gäller i verksamhet hos
myndighet som avser framställning av statistik och hänvisade till de ovan nämnda
förarbetena. Regeringen anförde vidare att även de kommuner som saknade egen
statistikenhet torde uppfylla förutsättningarna för att statistiksekretessen skulle
vara tillämplig om deras verksamhet med framställning av statistik ändå är
avgränsad från annan verksamhet, i första hand sådan som avser ”enskilda
ärenden”.26
Utöver de beskrivna förarbetsuttalandena saknas närmare anvisningar för hur
en sådan särskild verksamhet ska se ut eller vara organiserad. En bedömning får
därför göras i varje enskilt fall. I praktiken blir det upp till varje myndighet att
bedöma huruvida deras verksamhet är sådan särskild verksamhet som avser
framställning av statistik.
Frågan om vad som ska avses med ett ”särskilt ärende” kommenteras inte i
förarbetena. Begreppet ärende används även i annan lagstiftning. I kommentaren
till OSL27
sägs att begreppet ärende har samma innebörd i OSL som i
förvaltningslagen (1986:223). I förvaltningslagen anges i 1 § att lagen gäller
förvaltningsmyndigheternas handläggning av ärenden och domstolarnas
handläggning av förvaltningsärenden. Begreppet ärende diskuteras bl.a. i
kommentaren till förvaltningslagen28
samt i Förvaltningslagsutredningens
betänkande29
. Där konstateras att varken lagen eller förarbetena innehåller någon
definition av begreppet, men att det ligger i lagstiftarens sätt att resonera att man
med handläggning av ärenden syftat på myndigheternas beslutande verksamhet.
I kommentaren sägs att så som lagen är uppbyggd framstår det som naturligt
att till ”ärenden” hänföra främst sådana mellanhavanden med enskilda som
mynnar ut i någon form av beslut från myndighetens sida. Även lagens inriktning
25 Prop. 1979/80:2, s. 262. 26 Prop. 1981/82:186 om ändring i sekretesslagen, s. 39 f. 27 Lenberg m.fl., Offentlighets- och sekretesslagen – En kommentar (1 jan. 2011 Zeteo),
kommentaren till 3 kap. 1 §. 28 Hellners T och Malmqvist B, Förvaltningslagen – Med kommentarer, Version den 31 maj
2010 (tredje upplagan). 29 En ny förvaltningslag, SOU 2010:29.
IVBAR Juridik 2013-03-28
M. Nymark
46
på att värna om den enskildes rättssäkerhet talar för ett sådant synsätt. Begreppet
ärende i 2 kap. TF har samma innebörd som i förvaltningslagen.
I Förvaltningslagsutredningens betänkande diskuteras innebörden av
begreppet ärende i relation till begreppet beslut. De två begreppen är, menade
man, nära knutna till varandra. Förenklat uttryckt gäller det att skilja fall då en
myndighet beslutar att göra något från då den bara gör något. Handläggningen av
ett ärende är alltså typiskt sett ett förstadium till vidtagande av faktiska åtgärder,
men sådana kan naturligtvis i olika sammanhang företas utan att föregås av någon
särskild ärendebehandling, som utmynnar i ett beslut.
Det finns inte någon invändningsfri definition av beslutsbegreppet. Under
beteckningen döljer sig en mängd olika företeelser. En gemensam nämnare är
emellertid att ett beslut innefattar ett uttalande, varigenom myndigheten vill
påverka andra förvaltningsorgans eller enskildas handlande. Genom detta
uttalande klargör myndigheten hur den anser att en viss fråga bör lösas.
Förvaltningslagsutredningen avstod från att lämna förslag till definition av
begreppet ärende och anförde bl.a. att begreppet svårligen lämpar sig för
omsättning i en legaldefinition. Behovet av en legaldefinition kunde också enligt
utredningen starkt ifrågasättas. Att skilja mellan faktiskt handlande och
ärendehandläggning vållar i praktiken knappast några allvarligare problem,
anförde utredningen och avslutade diskussionen genom att hävda att de påstådda
svårigheterna framstod som överdrivna.30
De statistikansvariga myndigheternas statistikverksamhet omfattas otvetydigt
av statistiksekretess. Problemen med att tillämpa paragrafen uppstår i stället när
det gäller myndigheter som inte är statistikansvariga. Här verkar den springande
punkten vara att uppgiften ska finnas i en sådan särskild verksamhet som avser
framställning av statistik, vilket inte alltid är helt klart i praktiken. Viss
vägledning kan hämtas i det som framgår av förordningen om den officiella
statistiken, dvs. att verksamheten för framställning av statistik ska vara så
organiserad att den är avgränsad från myndighetens verksamhet i övrigt. Detta
borde kunna användas som riktmärke även när det gäller andra myndigheter.
Även de förarbetsuttalanden som säger att det inte ska röra sig om ren driftstatistik
eller statistik som framställs för att användas som underlag för beslut i ett visst
ärende kan vara till hjälp.
I samband med att man stärkte skyddet för statistiksekretessen, genom att
undanta statistiksekretessen från generalklausulens tillämpningsområde, gjordes i
förarbetena vissa uttalanden som kan förklara varför man valde att låta
statistiksekretessen vara knuten till det sammanhang där uppgifterna finns i stället
för till den metod som har använts för att samla in eller bearbeta dem. De ger även
en förklaring till varför statistik som framställs för att användas som underlag i ett
enskilt ärende inte omfattas av statistiksekretessen. I förarbetena till lagändringen
framfördes att det var utomordentligt viktigt att tillgodose både uppgiftslämnarnas
30 Ib. 97 ff.
IVBAR Juridik 2013-03-28
M. Nymark
47
intresse av personligt skydd och samhällets intresse av fullgod statistisk
information. Detta krävde att uppgifter som samlades in för statistiska ändamål
inte användes i administrativ verksamhet. I statistisk verksamhet saknade den
enskilda uppgiften intresse. Där var det den samlade bilden som skulle belysas,
aldrig någon enskild persons förhållanden. För att den enskilde skulle kunna
lämna uppgifter till statistiken i trygghet om att de användes bara för framställning
av statistiska tabeller, diagram och dylikt där den enskilde uppgiftslämnaren inte
kunde identifieras krävdes att de åtnjöt ett förstärkt sekretesskydd och omgärdades
av stränga säkerhetsanordningar. I den administrativa verksamheten däremot var
det just den enskilda uppgiften som var av intresse. Den skulle i regel utgöra
underlag för beslut som rörde den som uppgiften gällde.31
Annan jämförbar undersökning
Utöver för sådan särskild verksamhet hos en myndighet som avser framställning
av statistik, gäller statistiksekretessen som framgått även för ”annan jämförbar
undersökning” som utförs av Riksrevisionen eller riksdagsförvaltningen eller, i
den utsträckning regeringen meddelar föreskrifter om det, av någon annan
myndighet. Att Riksrevisionen och riksdagsförvaltningen uttryckligen anges i
lagen beror på att dessa till skillnad från flertalet andra statliga myndigheter
sorterar under riksdagen och inte under regeringen. En sådan myndighet kan inte
vara beroende av regeringsbeslut för att få sekretesskydd för uppgifter i sina
undersökningar.
Begreppet annan jämförbar undersökning verkar inkludera både statistiska
undersökningar som framställs utanför en sådan särskilt avgränsad verksamhet
som avses i första stycket och undersökningar som inte sker för statistiska
ändamål.32
I ett regeringsbeslut från år 200833
ansåg regeringen att den
undersökning som SCB hade utfört inte omfattades av statistiksekretess. Det finns
dessutom undersökningar som av regeringen getts skydd enligt 7 § OSF trots att
det inte rör sig om statistisk framställning i traditionell mening. Det tyder på
att de undersökningar som sekretessbeläggs enligt OSF kan vara av olika slag.
När det gäller regeringens rätt att meddela föreskrifter sägs att anledningen till
att man har nämnt även annan med statistik jämförbar undersökning är att sådana
inte alltid kan sägas ske för statistiska ändamål. I förarbetena nämns som exempel
undersökningar som har till syfte att belysa flygsäkerhetsrisker, trivseln i arbetet
och inställningen till överordnade eller konstruktionen av mätinstrument inom
psykologi och andra beteendevetenskaper. Även kriminologiska undersökningar
för forskningsändamål och enkäter som görs av kommittéer nämns. Även av andra
skäl ansågs det lämpligt att för sekretess i det enskilda fallet kräva regeringens
31 Prop. 1984/85:133, s. 6 f. 32 SOU 2012:83 s. 348. 33 Regeringsbeslut från Socialdepartementet, 2008-06-18, S2008/2799/RS.
IVBAR Juridik 2013-03-28
M. Nymark
48
förordnande. Ett var att sekretessen genom detta bedömdes bli förhållandevis
begränsad.34
Forskningsändamål
Huvudregeln när det gäller statistiksekretessen är som nämnts tidigare att
sekretessen är absolut, dvs. de uppgifter som omfattas av bestämmelsen kan inte
ens lämnas ut efter en skadeprövning. I syfte att tillgodose forskningens behov av
mikrodata35
har dock ett undantag införts för forskningsändamål. Lämnas
uppgifter till en myndighet i dess forskningsverksamhet överförs sekretessen dit,
om uppgifterna inte där redan omfattas av en annan sekretessbestämmelse till
skydd för samma intresse.36
När undantaget för forskning tillkom betonades i förarbetena att det var
väsentligt för bl.a. forskningen om yrkessjukdomar att kunna ta del av uppgifter
som lämnats till statistiken.37
Någon mer utförlig definition av vad som avses med
forskningsändamål angavs dock inte i förarbetena. Vid införandet av undantaget
för statistikändamål, vilket beskrivs nedan, framfördes i motiven att det var avsett
att tillämpas mycket restriktivt, så som hade varit fallet med den näraliggande
bestämmelsen om forskningsändamål. Även i praxis har utlämnande för
forskningsändamål tillämpats jämförelsevis restriktivt. Här kan nämnas Högsta
förvaltningsdomstolens (f.d. Regeringsrättens) dom i RÅ 1992 not. 456 där en
utredare med uppdrag från Statens jordbruksverk hos SCB begärde att få ut en
förteckning av målnummer och respektive tingsrätt avseende brotten djurplågeri
och brott mot djurskyddslagen. SCB avslog begäran med hänvisning till
statistiksekretessen. Detta då det ändamål som uppgifterna begärdes ut för snarare
bedömdes vara att hänföra till ett bestämt utredningsuppdrag än vetenskapligt
studium och att undantag för forskningsändamål därmed inte ansågs uppfyllt.
I RÅ 2004 ref. 9 drog Högsta förvaltningsdomstolen paralleller till annan
lagstiftning när den skulle avgöra huruvida det kunde anses att vissa uppgifter
som begärdes ut var avsedda att användas för forskningsändamål. Högsta
förvaltningsdomstolen angav i skälen att då det inte har preciserats i lagtexten,
eller förarbetena, vad som avses med forskningsändamål får ledning för
fastställande av begreppets innebörd sökas på annat håll. I 2 § lagen (2003:460)
om etikprövning av forskning som avser människor ges en definition av vad som
avses med forskning enligt den lagen. I förarbetena till den bestämmelsen anförs
att avgränsningen bl.a. bygger på OECD:s riktlinjer. Även i 3 § lagen (1998:543)
om hälsodataregister, som handlar om för vilka ändamål personuppgifter får
behandlas, görs en skillnad mellan uppföljning, utvärdering och kvalitetssäkring
34 Prop. 1979/80:2, Del A, s. 262 f. 35 Data om enskilda objekt, t.ex. företag, individer och händelser, som ligger till grund för statistik,
och som kan aggregeras till statistik på ett flexibelt sätt. Definitionen hämtad från SOU 2012:83 s.
104. 36 Jfr 11 kap. 3 och 8 §§ OSL. Jfr också bilagan till OSL av vilken det framgår att privata
högskolor ska jämställas med myndigheter vid tillämpningen av lagen. 37 Prop. 1979/80:2, Del A, s. 264.
IVBAR Juridik 2013-03-28
M. Nymark
49
av hälso- och sjukvård å ena sidan och forskning och epidemiologiska
undersökningar å den andra. Ett påpekande om att begreppet forskning inte får
förväxlas med uppföljning, utvärdering eller kvalitetssäkring görs också i
förarbetena till lagen (2001:454) om behandling av personuppgifter inom
socialtjänsten38
. Den åtskillnad som sålunda i olika sammanhang görs mellan
forskning å ena sidan och uppföljning, utvärdering och kvalitetssäkring å andra
sidan bör enligt Högsta förvaltningsdomstolens mening upprätthållas även vid
tillämpning av den nu aktuella bestämmelsen i sekretesslagen.
Det erinras att enligt 2 § etikprövningslagen definieras forskning, efter en
lagändring år 2008, som vetenskapligt experimentellt eller teoretiskt arbete för att
inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte
sådant arbete som utförs inom ramen för högskoleutbildning på grund- eller
avancerad nivå.
Statistikändamål
Som beskrivits ovan utgör utlämnande av uppgifter som behövs för
forskningsändamål ett undantag från huvudregeln. Ett annat undantag utgör
utlämnande av uppgift som behövs för statistikändamål. Sådan uppgift får lämnas
ut enligt samma förutsättningar som gäller för forskningsändamål. När detta
undantag infördes betonades i motiven att det främst gällde uppgifter i mindre
känsliga register och att möjligheten till utlämnande borde tillämpas mycket
restriktivt, så som hade varit fallet med den närliggande bestämmelsen om
utlämnande för forskningsändamål.
Beträffande undantaget från statistiksekretessen för statistikändamål kan
nämnas att lagrådet, i samband med att undantaget skulle införas i sekretesslagen,
påpekade att det av lagtexten borde framgå att möjligheten till
sekretessgenombrott för statistikändamål endast var avsedd att tillämpas i fråga
om utlämnande för den officiella statistiken. Regeringen ansåg dock inte att ett
förtydligande i lagtexten var lämpligt, eftersom det skulle försvåra
framställningen av statistikansvariga myndigheters s.k. övriga statistik som inte
omfattades av regleringen av den officiella statistiken. Regeringen påpekade
vidare att utlämnande i realiteten endast bör komma i fråga till myndigheter som
själva tillämpar statistiksekretess. Då blir skyddet för uppgifter som lämnats ut
lika gott som hos den utlämnande myndigheten.39
Regeringens uttalande tyder på att undantaget för statistikändamål teoretiskt
skulle kunna omfatta all slags statistik, men att det i praktiken endast blir
tillämpligt beträffande statistikansvariga myndigheters statistik. Tanken skulle då
kanske kunna vara att en skadeprövning enligt det föreskrivna omvända
skaderekvisitet leder till att uppgifter bara kan lämnas ut, om uppgifterna skyddas
38 Prop. 2000/01:80, s. 138. 39 Prop. 1994/95:200 s. 28, 38 och 57.
IVBAR Juridik 2013-03-28
M. Nymark
50
av en lika stark sekretess hos mottagaren som hos utlämnaren, nämligen en
absolut sekretess med som högst motsvarande undantag.
En statistikansvarig myndighet har rätt att få de uppgifter som behövs för
framställning av officiell statistik från andra myndigheter. Detta framgår av 6 §
förordningen om den officiella statistiken. Det är den myndighet som begär att få
ut uppgifterna som bedömer behovet. När det gäller en statistikansvarig
myndighets framställning av s.k. övrig statistik omfattas denna inte av
bestämmelsen i 6 §.
Här ska också nämnas att det finns en definition av begreppet ”användning för
statistiska ändamål” i artikel 3 i EU:s statistikförordning40
. Användning för
statistiska ändamål definieras där som användning uteslutande för att utveckla och
framställa statistiska resultat och analyser.
Uppgifter som inte är direkt hänförliga till den enskilde
Från statistiksekretessens huvudregel om absolut sekretess undantas också
uppgifter, som inte genom namn, annan identitetsbeteckning eller därmed
jämförbart förhållande är direkt hänförliga till den enskilde. Med ”därmed
jämförbart förhållande” åsyftas bilnummer, telefonnummer, anställningsnummer,
fastighetsbeteckning osv. Däremot avses i och för sig inte uppgifter som genom
s.k. bakvägsidentifiering kan hänföras till en viss person. Begreppet enskild
omfattar också avliden. Vid massuttag av statistiska uppgifter bör skaderekvisitet
tillämpas på samma sätt som när det är fråga om massuttag av annan
sekretessbelagd information.41
I förarbetena till en ändring som rörde
anpassningen till EU:s förordning om gemenskapsstatistik diskuterade lagrådet
undantagets förenlighet med förordningen42
.
Undantaget för sådana uppgifter som inte är direkt hänförliga till den enskilde
har enligt förarbetena tillkommit med tanke på behovet av detaljerad statistik.43
Bakgrunden torde vara att det krävs ett stort antal uppgifter som inte egentligen är
hänförliga till den enskilde för att framställa detaljerad statistik, men att det vore
40 Det grundläggande EU-regelverket om statistik är förordningen nr 223/2009 om europeisk
statistik. Förordningen är bindande och direkt tillämplig i alla medlemsstater. Syftet med
förordningen är att stärka samarbetet och samordningen mellan de myndigheter som
medverkar till att utveckla, framställa och sprida europeisk statistik. Inom EU pågår för närvarande
ett arbete med att se över denna. Den 17 april 2012 antog kommissionen ett förslag till förordning
om ändring i EU:s statistikförordning, KOM (2012) 167 slutlig. Samtliga medlemsstater gavs före
slutet av maj tillfälle att lämna synpunkter på förslaget. Kommissionens förslag skickades på bred remiss i Sverige, bl.a. till samtliga statistikansvariga myndigheter. Regeringen tog efter
remissomgången fram en promemoria med Sveriges preliminära ståndpunkt (Faktapromemoria
2011/12:FPM144 Förordning om europeisk statistik. Finansdepartementet 2012-05-23). Enligt
denna stödjer regeringen inriktningen i förslaget, men bedömer att vissa delar kan behöva
modifieras eftersom de rör centrala principer för den svenska statsförvaltningen. En första
diskussion rörande kommissionens förslag skedde i slutet av juni 2012. Förslaget har under våren
och hösten 2012 behandlats i Europaparlamentet och rådet. Behandlingen var ännu inte avslutad
när denna författningsanalys slutfördes. 41 Prop. 1979/80:2 Del A, s. 263. 42 Prop. 2000/01:27, s. 99. 43 Prop. 1979/80:2 Del A, sid. 264.
IVBAR Juridik 2013-03-28
M. Nymark
51
att dra statistiksekretessen för långt att låta sådana uppgifter omfattas av absolut
sekretess.
2.6.8 Offentlighets- och sekretessförordningen (2009:641)
Som redovisats ovan så skyddas vissa statistiska undersökningar av sekretess först
om regeringen meddelar föreskrifter om det. Sådana föreskrifter meddelar
regeringen enligt 7 § OSF i vilken stadgas följande:
”Sekretess gäller hos följande myndigheter avseende de undersökningar som
anges nedan för uppgifter som avser en enskilds personliga eller ekonomiska
förhållanden och som kan hänföras till den enskilde. Föreskrifterna i 24 kap. 8 §
första stycket tredje meningen och andra stycket offentlighets- och sekretesslagen
(2009:400) gäller, om inte en längre gående begränsning i sekretessen anges i det
följande.”
Som framgår ovan gäller statistiksekretess enligt huvudregeln i 24 kap. 8 §
OSL i sådan särskild verksamhet hos en myndighet som avser framställning av
statistik. Uppgifter i en annan jämförbar undersökning skyddas som huvudregel
först efter regeringsbeslut. Regeringen har med stöd av denna bestämmelse
meddelat föreskrifter om sekretess i OSF. Sekretess gäller alltså enligt 7 § OSF
hos de myndigheter som räknas upp i paragrafen avseende de undersökningar som
anges där, för uppgifter som avser en enskilds personliga eller ekonomiska
förhållanden och som kan hänföras till den enskilde. Innebörden blir att
regeringen måste fatta beslut och ändra i 7 § OSF för varje undersökning där den
anser att sekretess ska gälla enligt denna bestämmelse. Om t.ex. en statlig
utredning önskar göra en statistisk undersökning krävs det alltså att regeringen gör
en ändring i 7 § OSF för att de uppgifter som i sådant avseende begärs in ska
skyddas av sekretess.
Det finns dock vissa myndigheter där den undersökning som anges görs
regelbundet. Det är t.o.m. så att beskrivningen kan vara hämtad från myndighetens
instruktion. Om så är fallet behöver inte denna myndighet söka hos regeringen
varje gång undersökningen ska genomföras. Här får man utgå från beskrivningen
av den angivna undersökningen och vad som kan tolkas in i denna.
Det är också viktigt att betona att sekretessen skapas inom ramen för
undersökningen. Sekretessen gäller alltså inte för något annat än det som sker
inom denna ram.
Som framgått av analysen av begreppet annan jämförbar undersökning är
denna uppdelning inte alla gånger helt klar. De undersökningar som faller under
begreppet är ibland av samma slag som sådana som skyddas enligt huvudregeln
när de framställs i en särskilt avgränsad verksamhet.
2.6.9 Statistiksekretessen och EU-rätten
IVBAR Juridik 2013-03-28
M. Nymark
52
Det kan konstateras att det även inom EU råder ett starkt skydd för statistiken. Det
finns inget som tyder på att detta kommer att ändras, utan trenden är snarare att
reglerna kring statistiken stramas upp44
. Den svenska sekretessregleringen anses
vara väl i överensstämmelse med EU-rättens45
. Det fanns tidigare flera undantag
från den absoluta sekretessen. Dessa upphörde emellertid genom en lagändring
som trädde i kraft i april 2001 och som syftade till att anpassa bestämmelserna till
EU:s då gällande statistikförordning.
Enligt EU-rätten gäller att konfidentiella uppgifter bara får användas för
statistiska och vetenskapliga ändamål (artiklarna 20 och 23 i EU:s
statistikförordning). Eventuella förändringar i den svenska statistiksekretessen ska
givetvis vara förenliga med EU-regleringen.
Artikel 2 i EU:s statistikförordning anger vissa statistiska principer enligt
vilka den europeiska statistiken ska framställas och spridas. En av dessa är
statistisk konfidentialitet, som innebär att sekretesskydd ska gälla för
konfidentiella uppgifter om enskilda statistiska objekt som erhålls direkt för
statistiska ändamål eller indirekt från administrativa eller andra källor. Det ska
också finnas ett förbud mot att använda uppgifterna för annat än statistiska
ändamål och att olagligen röja dem. Även inom EU-rätten finns dock ett undantag
när det gäller utlämnande för vetenskapliga syften.
2.6.10 Utlämnande av personuppgifter – 21 kap. 7 § OSL
Denna sekretessbestämmelse har berörts i avsnitt 2.6.3. För de fortsatta
övervägandena i författningsanalysen kan även regleringen om utlämnande av
personuppgifter vara av intresse. Om uppgifter som omfattas av statistiksekretess
begärs utlämnade, och de även innefattar personuppgifter, aktualiseras förutom 24
kap. 8 § även 21 kap. 7 § OSL.
Av 21 kap. 7 § OSL följer att sekretess gäller för personuppgift, om det kan
antas att ett utlämnande skulle medföra att uppgiften behandlas i strid med
personuppgiftslagen (PUL). Paragrafen innehåller alltså ett förbud att lämna ut
personuppgifter om det kan antas att mottagaren kommer att behandla uppgifterna
i strid med PUL. Bestämmelsen är tillämplig hos sådana myndigheter som är
personuppgiftsansvariga eller som annars har tillgång till personuppgifter.
Uttrycket personuppgift har samma innebörd som i PUL. Bedömningen tar
inte sikte på om myndighetens utlämnande som sådant skulle strida mot PUL,
utan om det kan antas att uppgifterna efter utlämnandet kommer att behandlas i
strid med PUL. Risk för sådan skada som anges i bestämmelsen torde i praktiken
aktualiseras vid s.k. massuttag (dvs. begäran om att från ett register få ut uppgifter
om ett stort antal personer) eller vid uttag av selekterade uppgifter (dvs. begäran
44 SOU 2012:83 s. 355. 45 Ib.
IVBAR Juridik 2013-03-28
M. Nymark
53
att få ut uppgifter om ett urval av personer med vissa karakteristika, t.ex. inkomst,
språktillhörighet eller politisk tillhörighet).
Av förarbetena till PUL står det klart att offentlighetsprincipen har ett
obetingat företräde framför den s.k. finalitetsprincipen (9 § första stycket d PUL)46
och övriga bestämmelser i PUL.47
Detta har klarlagts genom 8 § första stycket
PUL. En myndighet kan följaktligen i en situation då enskild med stöd av
tryckfrihetsförordningens bestämmelser begär allmänna handlingar inte vägra att
lämna ut personuppgifter med stöd av 21 kap. 7 § OSL därför att utlämnandet
eller den efterföljande behandlingen skulle vara oförenligt med det ändamål för
vilket uppgifterna samlades in. Vid tillämpningen av sekretessbestämmelsen ska
man alltså bortse från myndighetens ursprungliga ändamål med bestämmelsen.
Skaderekvisitet i bestämmelsen är rakt. Normalt ska då sekretessfrågan
bedömas med utgångspunkt i den uppgift som ska lämnas ut och inte vad som kan
tänkas ske i det enskilda fallet efter utlämning. Bara om det finns särskild
anledning till det får en myndighet börja efterforska syftet hos den som begär att
få ut uppgifterna.48
Det raka skaderekvisitet i 21 kap. 7 § OSL är dock speciellt i förhållande till
de flesta andra sådana rekvisit i lagen. Av de ursprungliga förarbetena till
motsvarande äldre bestämmelse sades att det naturligtvis skulle bli svårt för den
registeransvarige att avgöra om det förelåg risk för att en uppgift som begärdes
utlämnad skulle användas på ett otillbörligt sätt. Enligt förarbetena förelåg dock
anledning till försiktighet främst vid en begäran om massuttag eller selekterade
uppgifter. En sådan begäran borde, ansåg man, alltid utgöra anledning att närmare
utreda hur det var avsett att uppgifterna skulle användas och först vid en
godtagbar förklaring skulle det övervägas att lämna ut uppgifterna.49
Även i förarbetena till SekrL har det framhållits att konstruktionen med
skaderekvisit innebär att frågan om vem som begär en uppgift eller ändamålet
med begäran kan få betydelse när sekretessfrågan ska avgöras. Där framhölls att
detta bland annat kan visa sig vid massuttag. Vid dessa kan den som ska lämna ut
en uppgift inte bilda sig en uppfattning om den särskilda skaderisk som kan vara
förbunden med en enskild uppgift. Utlämnaren har emellertid i dessa situationer
enligt förarbetena alltid kännedom om beställarens identitet och oftast också om
dennes avsikt med uppgifterna. Dessa kunskaper i förening med en bedömning av
den skaderisk som typiskt sett är förbunden med uppgifter av det slag som avses
med beställningen bör, enligt förarbetena, i de allra flesta fall ge fullt tillräckligt
underlag för bedömningen av om sekretessreglerna ska anses hindra ett
utlämnande eller inte.50
46 Med finalitetsprincipen avses det som anges i 9 § första stycket d PUL, dvs. att personuppgifter
inte får behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in. 47 Prop. 1997/98:44, s. 43–48. 48 Prop. 1979/80:2, Del A, s. 80 f. 49 Prop. 1973:33, s. 140. 50 Prop. 1979/80:2, Del A, s. 81 f.
IVBAR Juridik 2013-03-28
M. Nymark
54
2.7 Kvalitetsregister
Patientdatalagens 7 kapitel reglerar de nationella och regionala kvalitetsregistren.
Ett kvalitetsregister är i grund och botten en samling av personuppgifter som ska
användas för att analysera och utvärdera hälso- och sjukvård och tandvård.
Behandlingen av relevanta uppgifter ska syfta till att utveckla, förbättra och
effektivisera vårdverksamhet. Behandlingen kan också syfta till att utjämna de
skillnader som finns avseende kvalitet och säkerhet mellan olika vårdgivare i
landet.
Registren innehåller data om enskilda patienter. Informationen kan bestå av
bakgrundsvariabler som ålder, vikt, diagnos och behandling samt av variabler som
avspeglar hur patienten upplever sitt tillstånd. Ibland bidrar patienten med data. I
dag finns det över 70 kvalitetsregister som har finansiellt stöd. Utöver dessa finns
det många nationella, regionala och lokala register som inte får finansiering från
beslutsgruppen för nationella kvalitetsregister, men som används för att följa och
utvärdera sjukvårdens resultat.
Informationen i de regionala och nationella kvalitetsregistren finns normalt
inte strukturerad någon annanstans. Elektroniska journalsystem erbjuder inte
möjligheter att följa resultat och processvariabler för en viss grupp av patienter på
det sätt som kvalitetsregister gör. Av det skälet är de nationella kvalitetsregistren
också en unik tillgång för klinisk forskning. Med kvalitetsregister kan olika
behandlingsmetoder, läkemedel och processer jämföras och utvärderas, och
förbättringsarbete kan initieras, drivas och utvärderas.
Ett signum för de nationella kvalitetsregistren är att det har varit frivilligt för
vårdgivare att rapportera till registren och använda sig av dem. Det gör att nyttan
av registren för hälso- och sjukvårdspersonalen – samt krav från ledning eller
huvudmän – i stor utsträckning styr rapporteringen. De register som har skapat
nytta för hälso- och sjukvårdspersonalen genom återrapporteringssystem för en
kontinuerlig förbättring av vården, har alltså bättre förutsättningar att lyckas
uppnå en högre täckningsgrad.
2.7.1 Innehåll och användningsområden
Användningen av kvalitetsregister är normalt inriktad på resultat och processer,
inte på kostnader. Ett kvalitetsregister kan antingen innehålla resultatvariabler –
t.ex. dödlighet – eller processvariabler – t.ex. att patienten har fått en viss
behandling. Ett kvalitetsregister kan också mäta omfattningen av vården på olika
enheter. Registret kan på så vis användas för att uppskatta hur stor andel av alla
patienter med en viss sjukdom som sjukvården har fångat upp och faktiskt
behandlat. Detta kan göras genom att uppgifterna i kvalitetsregistret jämförs med
statistik över hur stor andel av befolkningen som lider av en viss sjukdom.
IVBAR Juridik 2013-03-28
M. Nymark
55
Som redovisats tidigare utvecklades de första kvalitetsregistren inom ortopedi
för knä- och höftproteser. Successivt har nya områden, vårdkedjor och
patientgrupper fått egna kvalitetsregister. Hälso- och sjukvårdspersonal använder
uppgifter i kvalitetsregister för att följa sina patienter och deras utveckling. På så
sätt kan de även jämföra sina resultat med andra enheter. På vissa områden har
återkopplingen till registrerande enheter blivit allt snabbare och registren har
t.o.m. utvecklats mot att bli verktyg i vården av enskilda patienter51
, trots att
bestämmelserna i 7 kap. PDL egentligen inte tillåter att uppgifter används för ett
sådant ändamål, se vidare nedan.
Kvalitetsregister återrapporterar inte bara resultat till vårdgivare – t.ex. en
gång per år i årsrapporter och liknande – utan uppdateras med tätare frekvens, i
vissa fall till och med i realtid. Det har också blivit vanligt att registren visar
information om klinikresultat öppet för allmänheten på registrets webbplats.
Registren skiljer sig också åt när det gäller vad som mäts. De svenska nationella
kvalitetsregistren mäter både processer och resultat för patienter, till skillnad från
register i andra länder. dvs. de redovisar vad som är slutresultatet för patientens
hälsa (resultatmått) och tar reda på vilka åtgärder som leder fram till de goda
resultaten (processmått). De senaste åren har beslutsgruppen för de nationella
kvalitetsregistren också påverkat registerorganisationerna att i större utsträckning
hämta in patienternas egna upplevelser av sin hälsa och resultatet av vården.
Detta har gjorts genom att patientrapporterade utfallsmått och hälsorelaterad
livskvalitet har inkluderats i registren, s.k. PROM (Patient-reported Outcome
Measures)
2.7.2 Personuppgifter i kvalitetsregistren
Behandling av personuppgifter i ett kvalitetsregister är baserad på principen om
självbestämmande. Enligt patientdatalagen får personuppgifter inte behandlas i ett
kvalitetsregister om den enskilde motsätter sig det. Om den enskilde motsätter sig
personuppgiftsbehandlingen sedan den påbörjats, ska personuppgifterna utplånas
ur registret så snart som möjligt.
Syftet med ett kvalitetsregister ska vara att möjliggöra jämförelse inom hälso-
och sjukvården på nationell eller regional nivå. Personuppgifter i kvalitetsregister
får därmed behandlas för ändamålet att systematiskt och fortlöpande utveckla och
säkra vårdens kvalitet. Personuppgifter som behandlas för de kvalitetssäkrande
ändamålen får också behandlas för
1. framställning av statistik,
2. forskning inom hälso- och sjukvården,
3. utlämnande till den som ska använda uppgifterna för ändamål som anges
i 7 kap. 1 och 2 eller i 4 §, och
51 SKL, Guldgruvan i hälso- och sjukvården – Översyn av de nationella kvalitetsregistren. Förslag
till gemensam satsning 2011 - 2015, 2011, s. 30.
IVBAR Juridik 2013-03-28
M. Nymark
56
4. fullgörande av någon annan uppgiftsskyldighet som följer av lag eller
förordning än den som anges i 6 kap. 5 § OSL.
Till detta kan läggas att det är frivilligt att föra ett kvalitetsregister enligt
patientdatalagen.
Det är alltså enligt dessa bestämmelser inte tillåtet att i ett nationellt eller
regionalt kvalitetsregister behandla uppgifter för ändamålet att upprätta
dokumentation som behövs i och för vården av en patient, eller för administration
som rör patienter och som syftar till att ge vård i ett enskilt fall eller som annars
föranleds av vård i ett enskilt fall. Datainspektionen har i ett tillsynsbeslut den 11
oktober 2010 kritiserat personuppgiftshanteringen i ett kvalitetsregister just på den
grunden att uppgifter användes i den individuella patientvården52
.
Datainspektionen uttalade i beslutet att det inte är tillåtet att ”tanka hem”
inrapporterade (identifierade) uppgifter och använda dem för beslut om enskilda
vårdåtgärder (som om kvalitetsregistret utgjorde en patientjournal). Detta är
endast möjligt om patienten lämnat sitt uttryckliga samtycke till åtgärden. Trots
att det inte är tillåtet att, utan samtycke, använda uppgifter i kvalitetsregistren i
patientvården har alltså flera kvalitetsregister utvecklat tekniska lösningar för att
kunna följa patientens tillstånd och andra resultat över tid53
. De kvalitetsregister
som i störst utsträckning har utvecklats i denna riktning är register som följer
patienter med en viss diagnos såsom patienter med kroniska sjukdomar som
diabetes och reumatism54
.
Inte heller får personuppgifter utbytas mellan kvalitetsregister med olika
huvudmän som centralt personuppgiftsansvariga. Det följer av bestämmelserna i
offentlighets- och sekretesslagen. Enligt 25 kap. 1 § OSL gäller sekretess inom
hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra
personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den
enskilde eller någon närstående till denne lider men. Vilka uppgifter som kan
lämnas ut från en vårdgivare till en annan efter en prövning av om den enskilde
kan lida men av utlämnandet får dock bedömas i varje enskilt fall. En sådan
prövning får dock normalt anses innebära att uppgifter från ett kvalitetsregister
inte kan lämnas ut för kvalitetssäkringsändamål utan patientens inhämtade
samtycke.
Enligt 25 kap. 11 § 4 OSL hindrar inte sekretessen att en uppgift lämnas till
ett nationellt kvalitetsregister enligt patientdatalagen. Enligt förarbetena till
bestämmelsen (prop. 2007/08:126 s. 196) syftar den till att möjliggöra den
överföring av sekretessbelagda uppgifter som sker när en vårdenhet rapporterar in
uppgifter om sina patienter till ett kvalitetsregister som hanteras centralt utanför
den rapporterande myndigheten. Det är alltså en rapportering från den som utför
vården till en centralt personuppgiftsansvarig myndighet som möjliggörs.
52 Datainspektionens beslut den 11 oktober 2010 angående Styrelsen för Karolinska
universitetssjukhusets utlämnande av uppgifter till Svenska MS-registret, dnr 1605-2009. 53 SKL, Guldgruvan i hälso- och sjukvården – Översyn av de nationella kvalitetsregistren. Förslag
till gemensam satsning 2011-2015 (2011) s. 191. 54 Ib s. 190.
IVBAR Juridik 2013-03-28
M. Nymark
57
Bestämmelsen kan däremot inte åberopas till stöd för överföring av uppgifter
mellan olika centralt personuppgiftsansvariga myndigheter för kvalitetsregister i
olika landsting eller kommuner.
Vid region- eller rikssjukvård, vilken bl.a. omfattar stora sjukdomsgrupper
som cancer, sker ofta utredning och eftervård hos en vårdgivare och det operativa
ingreppet hos en annan vårdgivare. Om en patient behandlas av flera olika
vårdgivare för samma åkomma kommer även uppgifter om patienten att
rapporteras in till kvalitetsregistret från flera olika vårdgivare. Eftersom
uppgifterna om en patient kan kopplas samman med hjälp av patientens
personnummer innebär detta i många fall inget problem i rapporteringen. Det blir
däremot, på grund av de begränsningar som patientdatalagen innebär, svårt för
vårdgivarna att använda kvalitetsregistret för att följa upp den egna verksamheten.
En vårdgivare får bara ha direktåtkomst till de uppgifter vårdgivaren själv har
lämnat. Inte ens om en patient samtycker till det kan vårdgivaren ha direktåtkomst
till uppgifter som en annan vårdgivare har lämnat till registret55
. Vårdgivaren får
inte ens ta reda på om patienten överhuvudtaget fått vård av en annan vårdgivare.
Detta innebär att vårdgivaren inte har någon möjlighet att utreda om t.ex.
komplikationer som uppstått hos patienter beror på något som vårdgivaren själv
gjort eller på vad som hänt hos andra vårdgivare. Endast med patientens samtycke
och ett beslut om utlämnande från den andra vårdgivaren är det möjligt att få
tillgång till uppgifterna.
I en översyn av de nationella kvalitetsregistren som genomfördes 2010
(Guldgruvan i hälso- och sjukvården – Förslag till gemensam satsning 2011–
2015, Sveriges Kommuner och Landsting) hävdas att den rättsliga regleringen av
kvalitetsregistren förhindrar att registren i vissa fall används på bästa sätt för
uppföljning och för patientvård. Rapporten visar att det inte är tillåtet att använda
kvalitetsregistren i den individuella patientvården, inte heller är det möjligt för
vårdgivare att få tillgång till uppgifter som andra vårdgivare lämnat till
kvalitetsregistren. Av rapporten framgår vidare att det saknas möjligheter att föra
över uppgifter från den centrala registernivån i ett kvalitetsregister till den centrala
registernivån i ett annat kvalitetsregister. I rapporten föreslås därför att en
utredning tillsätts som utreder möjligheterna dels att utvidga de tillåtna ändamålen
med personuppgiftshanteringen i kvalitetsregister så att registren även kan
användas i patientvården, dels att tillåta vårdgivare att ha direktåtkomst till andra
vårdgivares uppgifter om patienter som vårdgivaren har en vårdrelation till. Enligt
rapporten bör man också utreda möjligheterna att överföra personuppgifter mellan
kvalitetsregister under förutsättning att patienterna informerats och har en
möjlighet att säga nej.
55 Enligt 5 kap. 4 § PDL är ett utlämnande genom direktåtkomst tillåtet endast i den utsträckning
det anges i lag eller förordning. Det finns dock inte någon bestämmelse i lag eller förordning som
tillåter att en centralt personuppgiftsansvarig myndighet har direktåtkomst till uppgifter i ett
kvalitetsregister som någon annan myndighet är centralt personuppgiftsansvarig för. Ett
utlämnande med patientens samtycke är därför bara möjligt om det sker på annat sätt än genom
direktåtkomst.
IVBAR Juridik 2013-03-28
M. Nymark
58
2.8 Hälsodataregister
Ett hälsodataregister är ett register där uppgifter om enskilda individers
hälsotillstånd registreras för uppföljningsändamål. Det som framför allt skiljer
hälsodataregister från kvalitetsregister är att deltagandet i hälsodataregistret är
obligatoriskt och reglerat i lag, för både vårdgivare och patienter. I 1998 års lag
om hälsodataregister (1998:543) medges ”centrala förvaltningsmyndigheter inom
hälso- och sjukvårdens område” att föra hälsodataregister (se lagtext). Med central
förvaltningsmyndighet inom hälso- och sjukvårdens område avses myndighet som
enligt sin instruktion har ett ansvar för en eller flera verksamheter inom området.
Hälsodataregisterlagen är, liksom patientdatalagen, en speciallag som
kompletterar men inte ersätter personuppgiftslagen. Den som bedriver verksamhet
inom hälso- och sjukvården åläggs i lagen en skyldighet att lämna uppgifter till ett
hälsodataregister för de ändamål som registret har (6 §).
I dagsläget förvaltas existerande hälsodataregister på Socialstyrelsen,
Läkemedelsverket och Smittskyddsinstitutet. Socialstyrelsen är
personuppgiftansvarig för alla hälsodataregister utom två. Cancerregistret
innehåller uppgifter om allvarliga cancersjukdomar som diagnostiserats i Sverige
sedan 1958. Medicinska födelseregistret innehåller uppgifter om samtliga förloss-
ningar sedan 1973. Vidare finns uppgifter om det nyfödda barnets längd och vikt,
eventuella sjukdomar, mammans rökvanor och läkemedelsförbrukning under
graviditet. Patientregistret innehåller uppgifter om alla som vårdats på sjukhus i
sluten vård samt viss öppenvård vid sjukhus, t.ex. dagkirurgi. I patientregistret
finns bl.a. uppgifter om diagnoser och operationer. Läkemedelsregistret innehåller
uppgifter om alla läkemedel och förbrukningsartiklar som expedierats med recept
på apotek från 1999. Från 2005 finns dessa med personnummer. Registret över
kommunal hälso- och sjukvård till äldre och personer med funktionsnedsättning
innehåller uppgifter sedan 2007 om kommunala hälso- och sjukvårdinsatser till
äldre och personer med funktionsnedsättning. Det utgör bland annat underlag till
officiell statistik och forskning och har en omfattning på drygt 300 000 personer.
Tandhälsoregistret följer tandhälsan i Sverige över tid. Registret innehåller
information om tandvård inom det statliga tandvårdsstödet, tandvård till personer
med vissa sjukdomar och funktionsnedsättningar samt nödvändig tandvård.
Smittskyddsinstitutet är personuppgiftsansvarig för ett hälsodataregister.
Vaccinationsregistret innehåller uppgifter om vaccinationer i nationella
vaccinationsprogram. Registret regleras inte av hälsodatalagen utan av en egen
lagstiftning, lagen (2012:453) om register över nationella vaccinationsprogram.
Regleringen motsvarar i stort den som finns i hälsodatalagen och berörs inte
närmare i den fortsatta framställningen.
IVBAR Juridik 2013-03-28
M. Nymark
59
2.8.1 Personuppgifter i hälsodataregister
Enligt lagen om hälsodataregister får centrala förvaltningsmyndigheter utföra
automatiserad behandling av personuppgifter i hälsodataregister (enligt
personuppgiftslagen är förvaltningsmyndigheten personuppgiftsansvarig).
Personuppgifter i ett hälsodataregister får behandlas för följande ändamål:
1. framställning av statistik,
2. uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård
3. forskning och epidemiologiska undersökningar (3 §).
Samkörning av personuppgifter från dessa register får inte göras för några
andra ändamål. Ett hälsodataregister får endast innehålla sådana uppgifter som
krävs för att nämnda ändamål ska kunna uppfyllas.
Varje hälsodataregister regleras närmare i en regeringsförordning:
förordningen (2001:707) om patientregister hos Socialstyrelsen, förordningen
(2001:708) om medicinskt födelseregister hos Socialstyrelsen, förordningen
(2001:709) om cancerregister hos Socialstyrelsen, förordningen (2005:363) om
läkemedelsregister hos Socialstyrelsen, förordning (2008:194) om
tandhälsoregister hos Socialstyrelsen samt förordningen (2006:94) om register hos
Socialstyrelsen över insatser inom den kommunala hälso- och sjukvården. I dessa
specificeras ändamålen för respektive register, och föreskrivs vilka uppgifter som
registren får innehålla. Se även 4 kap. 5 § läkemedelsförordningen (2006:272).
Som ett exempel kan nämnas att personuppgifterna i läkemedelsregistret enbart
får behandlas för epidemiologiska undersökningar, forskning och framställning av
statistik inom hälso- och sjukvårdsområdet, dvs. inte uppföljning, utvärdering
eller kvalitetssäkring av läkemedelsanvändning.
Utredningen om rätt information i vård och omsorg (dir. 2011:111) har bl.a.
fått i uppdrag av regeringen att föreslå hur ändamålen för behandling av
personuppgifter i läkemedelsregistret kan anpassas till de ändamål som gäller för
övriga hälsodataregister enligt lagen om hälsodataregister. Utredningen ska
slutföra sitt uppdrag senast den 1 december 2013.
2.8.2 Mer om hälsodataregisterlagens ändamål
Framställning av statistik har varit ett viktigt motiv för tillkomsten av nuvarande
hälsodataregister. Hälsodataregistrens statistik ligger till grund för bevakningar av
hälsoläget i landet, t.ex. olika slag av övervakning av ovanliga eller lågfrekventa
sjukdomar eller biverkningar av läkemedel. Registren är nationella eftersom det
krävs ett stort statistikunderlag för en fullständig övervakning56
.
Hälsodataregister kan även användas t.ex. vid jämförelser mellan olika delar av
landet i fråga om effektivitet och produktivitet i syfte att åstadkomma en optimal
56 Prop. 1997/98:108 s. 42.
IVBAR Juridik 2013-03-28
M. Nymark
60
dimensionering av tillgängliga resurser, men även för att kunna bedöma
resursutnyttjandet och kvaliteten hos sjukvården.
Användningen av statistik från hälsodataregistren är omfattande.
Socialstyrelsen får mer än 10 000 förfrågningar om statistik per år,57
och ett flertal
interaktiva statistikdatabaser finns på Socialstyrelsens webbplats. Där redovisas
data om hälsa och sjukdomar för samtliga landsting och i vissa fall även för
kommuner. I en av dessa webbapplikationer redovisas medicinska resultat i
landstingen i form av kvalitetsindikatorer, t.ex. inom cancer-, stroke- och
hjärtinfarktsvård. Sammanfattande analyser som den regelbundet återkommande
Folkhälsorapporten används som kurslitteratur på högskolor och universitet, för
planering av verksamheten i landsting och kommuner och i den politiska debatten.
Inom området Öppna jämförelser publiceras årligen rapporter som belyser hälso-
och sjukvårdens kvalitet och effektivitet.
Ändamålet uppföljning avser, enligt förarbetena, att fortlöpande och
regelbundet mäta och beskriva behov, verksamheter och resursåtgång angivet i
termer av t.ex. behovstäckning, produktivitet och nyckeltal. Uppföljning syftar till
att ge en översiktlig bild av verksamhetens utveckling och att fungera som en
signal för avvikelser som bör beaktas. Utvärdering avser analys och värdering av
kvalitet, effektivitet och resultat hos en verksamhet i förhållande till de mål som
bestämts för denna. Kvalitetssäkring är en utvärderingsprocess där man
fortlöpande och systematiskt beskriver, mäter och värderar kvaliteten i den egna
verksamheten i relation till de mål som har lagts fast.
Hälsodataregister används i mycket hög grad som underlag för olika
forskningsstudier. Begreppet forskning är definierat i lagen (2003:460) om
etikprövning av forskning som avser människor.58
Hälsodataregister får, förutom
forskning och i motsats till kvalitetsregistren, även användas för epidemiologiska
undersökningar59
. Många sådana undersökningar sker genom framtagning av
statistik och fångas därmed upp av den särskilda ändamålsbestämmelsen om
statistikproduktion. Det kan emellertid, enligt förarbetena till lagen, också finnas
andra viktiga ändamål inom området epidemiologi, som varken utgör statistik
eller forskning. Det finns alltså ett utrymme för tolkning av lagen om
hälsodataregisters ändamålsbestämningar. Epidemiologiska undersökningar som
resulterar i andra former av redovisningar än ren statistik bör i många fall kunna
täckas av ändamålet forskning. För att undvika tillämpningsproblem genom
svårigheten att dra en exakt gräns för vad som ska avses med forskning respektive
epidemiologisk undersökning, har ändamålsbestämmelsen för hälsodataregister
57 Socialstyrelsens informationsbroschyr Hälsodataregister räddar liv och förbättrar livskvalitet
2008. 58 Lagen definierar forskning som ”vetenskapligt experimentellt eller teoretiskt arbete för att
inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete som
utförs inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå”. 59 Epidemiologi är vetenskapen om hälsoförhållanden i befolkningen och de faktorer som påverkar
eller bidrar till olika typer av ohälsa.
IVBAR Juridik 2013-03-28
M. Nymark
61
utformats så att det är tillåtet att behandla uppgifter för forskning och
epidemiologiska undersökningar.60
2.8.3 Samkörning
I 5 § hälsodataregisterlagen finns också bestämmelser om samkörning med andra
register, som kan vara antingen hälsodataregister eller register av annat slag. Med
samkörning mellan två personregister menas en maskinell bearbetning av
uppgifter i ett register tillsammans med uppgifter i ett annat register hos den
personuppgiftsansvarige eller hos annan personuppgiftsansvarig. Även annan
direkt överföring av uppgifter från ett personregister till ett annat räknas som
samkörning.
Regeringen konstaterade i förarbetena till lagen om hälsodataregister att
samkörning är från integritetssynpunkt känslig verksamhet, som dock är
nödvändig för att registren ska kunna användas på ett effektivt sätt. Möjligheten
till samkörning borde därför, enligt regeringen, regleras närmare i lagtexten.
Ändamålsbestämmelsen utgör därvid den grundläggande bestämmelsen för
integritetsskyddet vid behandlingen av uppgifter i ett hälsodataregister. Mot den
bakgrunden har möjligheten till samkörning kopplats till ändamålet med registret.
Den myndighet som är personuppgiftsansvarig för hälsodataregistret får därför,
för de ovan definierade ändamålen, hämta personuppgifter till registret från andra
register genom samkörning. Samkörning för andra ändamål än de
författningsreglerade är dock inte tillåten.
En publicerad studie genom samkörning av uppgifter i läkemedelsregistret
med operationskoder hämtade ur Socialstyrelsens patientregister har visat att man
kan använda opererade patienters antibiotikautköp under uppföljningstiden som
en indikator på möjlig postoperativ sårinfektion (eller onödig
antibiotikaförskrivning)61
, men det blir inte mer än just en indikation om ett
möjligt samband. Den maskinella samkörningen ger en mer passiv presentation av
statistik och möjliggör inga aktiva kopplingar mellan data.
Endast den personuppgiftsansvariga myndigheten får ha direktåtkomst till
personuppgifterna i ett hälsodataregister. Personuppgifter i ett hälsodataregister
får emellertid utlämnas på medium för automatiserad behandling (ADB-medium).
En förutsättning för att sådant utlämnande ska vara möjligt är att utlämnandet sker
för ett ändamål som anges i lagen.
2.9 Läkemedelsregistret
60 Prop. 1997/98:108 s. 48 ff. 61 Stridh, Surg. 2010;97:1722-9
IVBAR Juridik 2013-03-28
M. Nymark
62
Användningen av läkemedel registreras för närvarande i läkemedelsregistret
(LMR), som skapades 2005. Läkemedelsregistret är ett s.k. nationellt
hälsodataregister och regleras i lagen (1998:543) om hälsodataregister. Samtliga
hälsodataregister som Socialstyrelsen förvaltar och utvecklar bygger på principen
att personrelaterade uppgifter får samlas in utan krav på samtycke från den
registrerade. Anledningen är att existerande hälsodataregister har av lagstiftaren
bedömts ha mycket stor samhällsnytta, varför den enskildes integritetsintressen
fått ge vika. I samband med att registren inrättades gjordes en noggrann avvägning
om samhällsnyttan övervägde nackdelarna ur ett integritetsperspektiv. Det är inte
heller alltid praktiskt och ekonomiskt möjligt att inhämta samtycke alla
sammanhang.
Å andra sidan är användningsområdet för hälsodataregister begränsat till
epidemiologiska undersökningar, uppföljning, utvärdering och kvalitetssäkring,
forskning och framställning av statistik inom hälso- och sjukvårdsområdet.
Läkemedelsregistret har emellertid ett mer begränsat användningsområde. Till
skillnad från Socialstyrelsens övriga hälsodataregister får uppgifterna i registret
inte användas för uppföljning och kvalitetssäkring. Som redovisats har regeringen
i december 2011 uppdragit åt en statlig utredning att föreslå hur ändamålen för
behandling av personuppgifter i läkemedelsregistret kan anpassas till de ändamål
som gäller för övriga hälsodataregister enligt lagen om hälsodataregister (se
regeringens direktiv, 2011:111, Förbättrad tillgång till personuppgifter inom och
mellan hälso- och sjukvården och socialtjänsten m.m.).
Socialstyrelsen är personuppgiftsansvarig för läkemedelsregistret och för att
redovisa adekvat läkemedelsstatistik. De uppgifter som finns i hälsodataregistren
omfattas av sekretess enligt 24 kap 8 § offentlighets- och sekretesslagen
(2009:400). Enligt bestämmelsen är sekretessen absolut, vilket innebär att
uppgifterna inte får lämnas ut. Lagen medger däremot undantag från sekretessen
om uppgifterna behövs för forskning och statistikändamål. I dessa fall kan
uppgifter lämnas ut om det står klart att de kan röjas utan att individen som
uppgiften rör eller någon närstående lider skada eller men. Persondata lämnas
endast ut till forskningsprojekt med villkoret att det finns ett godkännande från
forskningsetisk nämnd och en beskrivning av syftet med projektet. Därefter gör
Socialstyrelsen en oberoende prövning enligt offentlighets- och sekretesslagens
bestämmelser.
Data till LMR skickas varje månad från Apotekens Service AB. Uppgifterna
som samlas härrör från apotekens expediering av recept, omkring 90 miljoner
recept per år. Av förordningen (2005:363) om läkemedelsregister hos
Socialstyrelsen framgår vilka uppgifter som får registreras. Uppgifter om den
individ som köpt ut läkemedlet får registreras: kön, ålder, folkbokföringsort och
personnummer. Det finns därmed möjlighet att på individnivå koppla
läkemedelsdata till annan information. Registret omfattar även uppgifter om
förskrivaren; yrke (läkare, tandläkare, etc.) och specialistutbildning, liksom vissa
egenskaper för förskrivarens arbetsplats som ägarform, vårdform och
IVBAR Juridik 2013-03-28
M. Nymark
63
verksamhetsinriktning. Däremot kan varken förskrivare eller arbetsplats
identifieras. Inte heller får uppgift om ordinationsorsak/förskrivningsorsak
registreras enligt förordningen.
I registret finns även information om kostnader: totalkostnad, kostnad för
läkemedelsförmånerna och patientens egenavgift. Läkemedelsregistret innehåller
däremot ingen information om läkemedel som rekvirerats för användning på
sjukhusens vårdavdelningar eller på vissa sjukhem. Delvis saknas också uppgift
om läkemedel som administrerats inom dagvård och sjukhusansluten öppenvård.
Det finns heller inte uppgifter om alla vacciner, eller de läkemedel som säljs
receptfritt. I nuläget saknar registret vidare uppgift om ordinationsorsak.
Anledningen är bestämmelserna i förordningen (2005:363) om läkemedelsregister
hos Socialstyrelsen. Enligt förordningen får registret inte innehålla uppgift om
ordinationsorsak. Detta kan vara ett problem vid uppföljning av läkemedel som
används vid olika sjukdomstillstånd.62
De största problemen vid analys och
återkoppling av läkemedelsdata är att det inte framgår för vilken diagnos
läkemedel förskrivits i öppen vård eller ordinerats i sluten vård, inte heller vem
som gjort ordinationen i sluten vård. Det innebär att det är svårt att följa
följsamheten till behandlingsrekommendationerna och därigenom kvaliteten på
läkemedelsbehandlingen.
LRM används bl.a. i Socialstyrelsens arbete med att utveckla
kvalitetsindikatorer i hälso- och sjukvården. Exempel på dessa är de indikatorer på
kvaliteten i läkemedelsanvändningen som används i arbetet med nationella
riktlinjer för hälso- och sjukvården och i de öppna jämförelser som görs
tillsammans med SKL. Läkemedelsanvändningen i befolkningen har också
beskrivits i flera av Socialstyrelsen rapporter. LMR kan även användas att följa
upp läkemedelsförskrivningar; det är möjligt att separera nyinsättningar (incidens)
från samtidiga användare (prevalens) och att studera förekomsten av
kvalitetsbrister som dubbelförskrivning, polyfarmaci (många läkemedel samtidigt)
och interaktioner (hur läkemedel påverkar varandras omsättning eller effekter i
kroppen). Dessutom är det möjligt att studera i vilken ordning läkemedlen sätts in,
med vilken dos och hur länge patienterna fortsätter att köpa ut sina läkemedel.
Flera deskriptiva studier har redan visat att registret är användbart, exempelvis
för att studera kvaliteten i förskrivningen av antibiotika, anti-astmatika,
blodtryckssänkande medel, lipidsänkare och behandlingen av äldre. Som exempel
kan nämnas en studie av uttag av antibiotika som antogs i huvudsak vara
förskrivna mot nedre urinvägsinfektion respektive luftvägsinfektioner.63
Registerstudien omfattade män och kvinnor under 18 under ett år (2006). Studien
bekräftade vad tidigare Strama-studier visat att förskrivningen av kinoloner vid
nedre urinvägsinfektion och förskrivningen av tetracykliner vid övre
luftvägsinfektion skiljer sig märkbart åt mellan landstingen. Som ett resultat av
62 Socialstyrelsen, Fyra år med läkemedelsregistret s. 7, 2009. 63 Refererad i Läkartidningen den 9 oktober 2007 nr 41.
IVBAR Juridik 2013-03-28
M. Nymark
64
studien föreslogs två nya indikatorer för att genom antibiotikaförskrivning få ett
mått på primärvårdens kvalitet.
LRM har gett nya möjligheter till säkerhetsövervakning. Det är t.ex. möjligt
att göra fördjupade undersökningar av nya misstänkta signaler om biverkningar,
som genereras från spontanrapportering. Det kan ske genom samkörning och
korsanalys av data från spontanrapporteringen av biverkningar, som registreras i
biverkningsregistret SWEDIS. Det går också att göra samkörningar med
Socialstyrelsens andra hälso- och dataregister, såsom patientregistret
(hälsodataregister) eller andra register, t.ex. Socialstyrelsens dödsorsaksregister
eller olika kvalitetsregister t.ex. RIKS-HIA och strokeregistret. Det går
exempelvis att direkt få fram antalet individer som använder ett specifikt
läkemedel. Detta är viktigt vid larmsituationer om allvarliga biverkningar av ett
läkemedel.
2.10 Läkemedelsförteckningen
Apotekens Service AB ska för de ändamål som anges i lagen (2005:258) om
läkemedelsförteckning utföra automatiserad behandling av personuppgifter i ett
särskilt register över köp av förskrivna läkemedel (läkemedelsförteckningen).
Med köp avses även förvärv av läkemedel med fullständig kostnadsreducering.
Apotekens Service AB är personuppgiftsansvarigt för läkemedelsförteckningen.
Läkemedelsförteckningens dokumentation av köp av förskrivna läkemedel får
endast användas för att åstadkomma en säker framtida förskrivning av läkemedel
för den registrerade, bereda den registrerade vård eller behandling, komplettera
den registrerades patientjournal, underlätta den kontroll som ska genomföras
innan ett läkemedel lämnas ut till den registrerade från apotek samt underlätta den
registrerades läkemedelsanvändning. Förteckningen får endast innehålla uppgifter
om inköpsdag, vara, mängd, dosering, den registrerades namn och personnummer
samt förskrivarens namn, yrke, specialitet och arbetsplats.
Läkemedelsförteckningen får således inte innehålla andra uppgifter än som
anges i lagen. Uppgift om förskrivningsorsak får således inte registreras i
förteckningen, vilket framgår av 4§ lagen om läkemedelsförteckning.
Tillgång till uppgifterna i läkemedelsförteckningen får endast med uttryckligt
samtycke från den registrerade ges till förskrivare av läkemedel, till sjuksköterska
och till farmaceut på apotek. Tillgång får ske genom direktåtkomst. Om den
registrerade inte kan lämna sitt samtycke, får uppgifterna i förteckningen lämnas
ut till förskrivare och legitimerad sjuksköterska om det är nödvändigt för att den
registrerade ska kunna få vård eller behandling som han eller hon oundgängligen
behöver, även i dessa fall genom direktåtkomst. Den registrerade har rätt att när
som helst återkalla ett lämnat samtycke.
Den registrerade får ha direktåtkomst till uppgifter om sig själv.
IVBAR Juridik 2013-03-28
M. Nymark
65
Apotekens Service AB ska se till att den registrerade får information om
behandlingen i läkemedelsförteckningen. Informationen ska innehålla
upplysningar om bl.a. vem som är personuppgiftsansvarig, vilken typ av uppgifter
som ingår i förteckningen, de tystnadsplikts- och säkerhetsbestämmelser som
gäller för förteckningen samt att registreringen inte är frivillig.
I lagen ställs krav på säkerheten kring behandlingen av registrerade
personuppgifter. Apotekens Service AB ska bestämma villkor för tilldelning av
behörighet för åtkomst till helt eller delvis automatiskt behandlade uppgifter om
kunder. Behörigheten ska begränsas till vad som behövs för att den som arbetar
hos Apotekens Service AB ska kunna fullgöra sina arbetsuppgifter där.
Regeringen, eller den myndighet som regeringen bestämmer, får meddela
föreskrifter om tilldelning av behörighet för åtkomst till helt eller delvis
automatiskt behandlade uppgifter.
Apotekens Service AB ska vidare se till att åtkomst till helt eller delvis
automatiskt behandlade uppgifter om kunder, dokumenteras så att de kan
kontrolleras. Bolaget ska systematiskt och återkommande kontrollera om någon
obehörigen kommer åt sådana uppgifter. Regeringen, eller den myndighet som
regeringen bestämmer, får meddela föreskrifter om dokumentation och kontroll.
Uppgifter ska tas bort ur förteckningen under den femtonde månaden efter
den månad de registrerades.
Enligt förordningen (2009:626) om läkemedelsförteckning får
Datainspektionen meddela föreskrifter om dels tilldelning av behörighet för
åtkomst till uppgifter om kunder, om uppgifterna helt eller delvis behandlas
automatiskt enligt lagen om läkemedelsförteckning, dels dokumentation och
kontroll av åtkomst till uppgifter i förteckningen, om uppgifterna helt eller delvis
behandlas automatiskt enligt lagen om läkemedelsförteckning. Datainspektionen
har emellertid inte utfärdat några föreskrifter med stöd av bemyndigandet.
2.11 Receptregistret
2.11.1 Inledning
Överförandet av kostnadsansvaret för läkemedelsförmånen från staten till
landstingen genom läkemedelsreformen år 1997 innebar att Apoteket AB, i stället
för att som tidigare fakturera staten en gång per månad för hela kostnaden för
läkemedelsförmånen, ska fakturera samtliga landsting för de läkemedelsförmåner
som berättigade personer bosatta inom respektive område utnyttjat. För att
möjliggöra den informationsöverföring från Apoteket AB till landstingen som
därvid krävs skapades ett nytt personregister hos Apoteket AB, receptregistret.
Detta register regleras i lagen (1996:1156) om receptregister (receptregisterlagen).
IVBAR Juridik 2013-03-28
M. Nymark
66
I lagens förarbeten anges att det är receptexpedieringen som är grunden för
registreringen i receptregistret (prop. 1996/97:27 s. 123).
Enligt 1 § receptregisterlagen får Apoteket AB för vissa ändamål med hjälp
av automatisk databehandling föra ett receptregister över förskrivningar av
läkemedel och andra varor som omfattas av läkemedelsförmånslagen.
Receptregisterlagen är således inte tillämplig vid Apoteket AB:s registrering av
förskrivna läkemedel och andra varor som inte omfattas av
läkemedelsförmånslagen. Apotekens Service AB är personuppgiftsansvarig för
receptregistret.
Vad som sägs om landsting i receptregisterlagen gäller också landstingsfria
kommuner (2 §). När begreppet patient används i lagen åsyftas enligt förarbetena
den för vilken läkemedel e.d. förskrivs (a.a. prop. s. 125).
2.11.2 Receptregisterlagens förhållande till personuppgiftslagen
I paragrafen anges förhållandet mellan personuppgiftslagen (1998:204) och
receptregisterlagen på så sätt att personuppgiftslagen gäller vid behandling av
personuppgifter i receptregistret, om inget annat sägs i receptregisterlagen eller i
föreskrifter som meddelats med stöd av denna lag. Receptregisterlagen innehåller
således enbart de särbestämmelser och förtydliganden som det bedömts föreligga
behov av. I övrigt ska personuppgiftslagen tillämpas. Följaktligen kan åtskilliga
bestämmelser i personuppgiftslagen bli tillämpliga vid personuppgiftsbehandling i
receptregistret. Det innebär exempelvis att de begrepp som används i
receptregisterlagen har den innebörd som framgår av definitioner i 3 §
personuppgiftslagen.
2.11.3 Den enskildes inställning till personuppgiftsbehandling
Enligt paragrafen får som huvudregel personuppgiftsbehandling, som är tillåten
enligt receptregisterlagen, utföras även om den enskilde motsätter sig den.
Bestämmelsen ska ses mot bakgrund av artikel 14 a i EU:s dataskyddsdirektiv,
som föreskriver att den enskilde åtminstone i vissa fall ska garanteras en rätt att
motsätta sig en personuppgiftsbehandling, om inte annat föreskrivs i nationell
lagstiftning. Behandling av personuppgifter som inte är tillåten enligt denna lag
får ändå utföras, om den enskilde har lämnat ett uttryckligt samtycke till
behandlingen.
2.11.4 Receptregistrets ändamål
Som framgått tillkom receptregistret för att i första hand användas som underlag
för faktureringen från Apoteket AB till landstingen för deras respektive del av
IVBAR Juridik 2013-03-28
M. Nymark
67
kostnaderna för läkemedelsförmånerna. Samtidigt skulle enligt förarbetena
registret användas för att samla in och vidarebefordra information från recepten
för landstingens ekonomiska uppföljning och planering och även för
läkemedelskommittéernas, förskrivarnas, Socialstyrelsens och Läkemedelsverkets
medicinska uppföljning och kvalitetssäkringsarbete (prop. 1996/97:27 s. 98). I 3 §
första stycket receptregisterlagen anges i tio punkter de ändamål för vilka
receptregistret får användas. Enligt förarbetena är regleringen uttömmande (a.a.
prop. s. 124).
Ändamålen är väsentligen att samla in uppgifter för att sedan redovisa olika
urval av uppgifter vidare till olika mottagare, som i sin tur använder uppgifterna
på olika sätt.
Receptregistret får enligt punkt 1 – som nämnts – användas för expediering av
läkemedel och andra varor som förskrivits.
Enligt punkt 2 får receptregistret användas för registrering av underlaget för
tillämpningen av bestämmelserna om läkemedelsförmåner vid köp av läkemedel
m.m. Här ges en möjlighet till registrering och löpande sammanräkning av en
patients inköpssummor, så att den enskilde inte själv behöver samla kvitton för att
kunna utnyttja högkostnadsskyddet. Registreringen ses enligt förarbetena till
receptregisterlagen som en service som apoteken erbjuder recept kunderna (a.a.
prop. s. 94). Som framgår nedan är användningen av receptregistret för detta
ändamål avsedd att komma till stånd endast beträffande dem som själva önskar
det.
Enligt punkt 3 får receptregistret användas för den debitering som ska ske till
landstingen avseende betalningen för läkemedel m.m. till den del som inte betalas
av den enskilde själv. Eftersom denna debitering ska ske till den
sjukvårdshuvudman som patienten hör till, krävs enligt förarbetena för detta
registerändamål en databehandling som sorterar läkemedelsköp efter patienternas
hemortslandsting (a.a. prop. s. 94). Som framgår nedan är redovisningen av
information för detta ändamål begränsad. Redovisningen får således innehålla
uppgifter om inköpsdag, kostnad, kostnadsreducering och patientens
personnummer, men inte om vilket läkemedel som hämtats ut.
Punkt 4 tillåter att receptregistret används för ekonomisk uppföljning och
framställning av statistik hos Apoteket AB. Som framgår nedan får dock inga
uppgifter som kan hänföras till en enskild person redovisas.
Enligt punkt 5 får receptregistret användas för registrering och redovisning till
landstingen av uppgifter för ekonomisk och medicinsk uppföljning samt för
framställning av statistik. Tidigare fick landstingen nöja sig med uppgifter ur
receptregistret för enbart ekonomisk uppföljning. Inga uppgifter som kunde
hänföras till någon enskild patient fick då redovisas. Enligt en lagändring som
trädde i kraft den 1 juli 2010 (se prop. 2009/10:138) får numera landstingen
använda uppgifter ur receptregistret för medicinsk uppföljning på individnivå. Vid
utlämnande av uppgifter för de ändamål som avses i punkt 5 ska uppgifter om
patientens identitet vara krypterade på ett sådant sätt att dennes identitet skyddas
IVBAR Juridik 2013-03-28
M. Nymark
68
(se 14 § receptregisterlagen). Förskrivningsorsak får redovisas. I 4 kap. 6 § andra
stycket PDL finns bestämmelser om att detta skydd för patientens identitet ska
bestå hos landstingen.
Receptregistret får enligt punkt 6 användas för registrering och redovisning
till förskrivare, till verksamhetschefer enligt hälso- och sjukvårdslagen och till
läkemedelskommittéer enligt lagen (1996:1157) om läkemedelskommittéer av
uppgifter för medicinsk uppföljning, utvärdering och kvalitetssäkring i hälso- och
sjukvården. Som framgår nedan får uppgifter som kan hänföras till en enskild
förskrivare lämnas endast till samma förskrivare och till verksamhetschefen vid
den enhet vid vilken förskrivaren tjänstgör. Förskrivningsorsak får också
redovisas. (I läkemedelssammanhang avses med förskrivningsorsak skäl som
förskrivaren anger på receptet och i patientjournalen för förskrivning av
läkemedel till en viss patient, se Socialstyrelsens termbank.) I övrigt får inga
uppgifter som kan hänföras till en enskild person redovisas.
Ändamålsbestämmelsen innebär att förskrivare och verksamhetschefer kan få
rapporter om förskrivarens förskrivningsmönster, s.k. förskrivarprofiler. För att en
enskild förskrivares förskrivning ska kunna följas upp krävs dock att denne har
angett sin förskrivarkod på receptet. Uppgiften är numera obligatorisk vid
förskrivning av alla läkemedel.
Enligt punkt 7 får receptregistret – efter en lagändring som trädde i kraft den 1
juli 2005 – användas för registrering och redovisning till Socialstyrelsen av
uppgifter för epidemiologiska undersökningar, forskning och framställning av
statistik inom hälso- och sjukvårdsområdet. Lagändringen – som föranleddes av
inrättandet av ett läkemedelsregister i form av ett hälsodataregister hos
Socialstyrelsen – innebär att de uppgifter som redovisas till Socialstyrelsen, till
skillnad från tidigare, inte får användas för medicinsk uppföljning, utvärdering
och kvalitetssäkring. Vidare krävs inte längre den berörda personens samtycke för
redovisning av uppgifter som kan hänföras till en enskild person. Slutligen får
förskrivningsorsak inte längre redovisas till Socialstyrelsen. Sistnämnda ändring
tillkom på grund av att det ännu inte tagits fram några koder för
förskrivningsorsak (se prop. 2004/05:70 s. 45). Uppgifterna som redovisas ur
receptregistret tas in i Socialstyrelsens läkemedelsregister. Läkemedelsregistret
innehåller även uppgifter om läkemedel och andra varor som inte omfattas av
läkemedelsförmånslagen.
Receptregistret får enligt punkt 8 – efter tidigare nämnda lagändring –
användas för registrering av dosrecept, elektroniska recept och recept för flera
uttag. Lagändringen innebär att recept för flera uttag, till skillnad från tidigare,
kan sparas elektroniskt på apoteket under receptets hela giltighetstid. Som framgår
nedan förutsätter användningen av receptregistret även för detta ändamål den
enskildes samtycke.
Enligt punkt 9 får receptregistret användas för registrering och redovisning till
Socialstyrelsen av uppgifter om enskild läkares eller tandläkares förskrivning av
IVBAR Juridik 2013-03-28
M. Nymark
69
narkotiskt läkemedel, för styrelsens tillsyn över hälso- och sjukvårdspersonal
enligt patientsäkerhetslagen.
Slutligen får receptregistret enligt punkt 10 användas för registrering och
redovisning av uppgifter för Tandvårds- och läkemedelsförmånsverkets tillsyn
över utbyte av läkemedel enligt 21 § lagen (2002:160) om läkemedelsförmåner
m.m.
Som framgår nedan får inga uppgifter som kan hänföras till en enskild patient
redovisas. Enligt punkt 5 ska uppgifter om patientens identitet som utlämnas till
landstingen vara krypterade vid utlämnandet. I andra till och med fjärde styckena
preciseras gränserna för registeranvändningen enligt de olika ändamålen. Enligt
förarbetena till receptregisterlagen sker detta främst med avseende på den från
integritetssynpunkt väsentliga frågan huruvida enskilda personers identitet får
registreras och/eller redovisas. Utgångspunkten är att så får ske endast i den mån
det är nödvändigt för att respektive ändamål ska kunna tillgodoses (prop.
1996/97:27 s. 124 f.). Användningen av receptregistret för registrering av
underlaget för tillämpningen av bestämmelserna om läkemedelsförmåner vid köp
av läkemedel m.m. samt för registrering av dosrecept och recept för flera uttag
(punkt 2 och 8) förutsätter att patienten har lämnat sitt samtycke. Som exempel
kan nämnas den s.k. högkostnadsdatabasen. För att den enskilde inte själv ska
behöva samla kvitton för att kunna utnyttja högkostnadsskyddet har Apoteket AB
infört ett system med registrering och automatisk sammanräkning av en patients
inköpssummor i högkostnadsdatabasen. Registrering i databasen kräver den
enskildes samtycke. Det är Apotekens Service som ansvarar för registrering och
lagring av uppgifter i Högkostnadsdatabasen.
När det gäller redovisning av information från receptregistret gäller också
vissa begränsningar. Vid redovisningen enligt punkt 3 till landstingen för
debitering av läkemedel får uppgifter som kan hänföras till en enskild person inte
omfatta annat än inköpsdag, kostnad, kostnadsreducering och patientens
personnummer. Redovisningen får alltså inte innehålla uppgifter om det köpta
läkemedlet. Personnumret ska möjliggöra för sjukvårdshuvudmännen att
kontrollera att de patienter som omfattas av en räkning är bosatta i landstinget.
För de ändamål som anges i punkterna 4, 6 och 10 får inga uppgifter redovisas
som kan hänföras till en enskild person. Ändamålen enligt punkt 5 får inte, med
undantag för utlämnande av uppgifter enligt 14 § (krypteringskravet), omfatta
några åtgärder som innebär att uppgifter som kan hänföras till någon enskild
patient redovisas. Uppgifter som kan hänföras till en enskild förskrivare får dock
lämnas för de ändamål som anges i punkt 6 till samma förskrivare och till
verksamhetschefen vid den enhet vid vilken förskrivaren tjänstgör samt till
Socialstyrelsen för de ändamål som anges i punkt 9. Förskrivningsorsak får
redovisas endast för de ändamål som avses i punkt 5 och 6.
2.11.5 Personuppgiftsbehandling för andra ändamål
IVBAR Juridik 2013-03-28
M. Nymark
70
I 7 § klargörs genom en uttrycklig hänvisning till personuppgiftslagen att den s.k.
finalitetsprincipen gäller även vid personuppgiftsbehandling enligt
receptregisterlagen. Att finalitetsprincipen är tillämplig innebär att
personuppgifter som redan finns i receptregistret får behandlas för andra ändamål
än dem för vilka de har samlats in under förutsättning att de nya ändamålen är
förenliga med de tidigare ändamålen. Genom hänvisningen klargörs vidare att
insamlade personuppgifter också får behandlas för historiska, statistiska eller
vetenskapliga ändamål. Behandling får även ske för forskningsändamål av
tidigare insamlade personuppgifter utan att det behöver anges som ett särskilt
ändamål. Även om sådan personuppgiftsbehandling är tillåten gäller dock lagen
(2003:460) om etikprövning av forskning som avser människor och den lagens
krav på etikprövning. Personuppgiftsbehandling inom forskningsprojekt regleras
av personuppgiftslagen.
2.11.6 Registerinnehåll
Receptregistret får enligt 8 § receptregisterlagen i den utsträckning det är
nödvändigt för registerändamålen innehålla vissa uppgifter som kan hänföras till
enskilda personer, nämligen; inköpsdag, vara, mängd, dosering, kostnad och
kostnadsreducering enligt läkemedelsförmånslagen. Patientens namn,
personnummer och folkbokföringsort samt postnumret i patientens bostadsadress
får också registreras. Vidare får uppgift om förskrivarens namn, yrke, specialitet,
arbetsplats och arbetsplatskod samt, såvitt avser läkares eller tandläkares
förskrivning av narkotiskt läkemedel, förskrivarkod föras till registret. När
patientens samtycke till registreringen har inhämtats får uppgift härom också
registreras. Dessutom får administrativa uppgifter registreras. Slutligen får
registret – om det är nödvändigt – innehålla uppgift om förskrivningsorsak. Sådan
uppgift ska anges med kod. Förskrivningsorsak får dock enligt
receptregisterlagen endast lämnas ut till landsting [i krypterad form] för
ekonomisk och medicinsk uppföljning respektive statistikframställning samt
till förskrivare, verksamhetschefer och läkemedelskommittéer för medicinsk
uppföljning, utvärdering och kvalitetssäkring i hälso- och sjukvården (6 §
första stycket punkterna 5 och 6). Vidare bevaras bl.a. uppgift om
förskrivningsorsak inte någon längre tid i receptregistret. En sådan uppgift ska
tas bort ur registret under den tredje månaden efter den under vilken de
registrerades. Om uppgiften behöver bevaras antingen som underlag för
tillämpningen av bestämmelserna om läkemedelsförmåner vid köp av
läkemedel m.m. eller för registrering av recept och blanketter som används för
flera uttag, samt registrering av dosrecept och elektroniska recept (6 § första
stycket 2 eller 8) ska uppgifterna bevaras i 15 månader och därefter utplånas,
dock under förutsättning att den enskilde samtyckt till att dennes
personuppgifter får behandlas för nu nämnda ändamål (6 § andra stycket).
IVBAR Juridik 2013-03-28
M. Nymark
71
För uppgifter som inte går att hänföra till någon viss person gäller inga
särskilda restriktioner enligt receptregisterlagen.
Registrering av dosrecept och recept för flera uttag elektroniskt förutsätter
exempelvis uppgifter om antal resterande uttag, antal förpackningar per uttag,
apotekets noteringar på receptet (t.ex. om kontakt som tagits med förskrivaren)
och expeditionsintervall. Sådana uppgifter torde få registreras med stöd av
punkten 6 (administrativa uppgifter ) i 4 § receptregisterlagen.
2.11.7 Sökbegrepp
Enligt 6 § receptregisterlagen får patienters identitet användas som sökbegrepp
endast för registrering av underlaget för tillämpningen av bestämmelserna om
läkemedelsförmåner vid köp av läkemedel m.m. samt för registrering av dosrecept
och recept för flera uttag (6 § första stycket punkt 2 och 8).
Förskrivares identitet får användas som sökbegrepp endast för registrering och
redovisning till förskrivaren och dennes verksamhetschef av uppgifter för
medicinsk uppföljning, utvärdering och kvalitetssäkring i hälso- och sjukvården
(punkt 6 i samma lag- rum) samt för registrering och redovisning till
Socialstyrelsen av uppgifter om förskrivningar av narkotiskt läkemedel för
styrelsens tillsynsverksamhet (punkt 9 i samma lagrum).
Kod för förskrivningsorsak får inte användas som sökbegrepp.
2.11.8 Utlämnande av uppgifter på medium för automatisk databehandling
Enligt 10 § receptregisterlagen får uppgifter ur receptregistret som lämnas ut i
enlighet med registerändamålen i 6 § lämnas ut på medium för automatiserad
databehandling. Paragrafen tar sikte på utlämnande på medium för automatiserad
behandling. Sådant utlämnande kan avse utlämnande genom e-post, diskett, cd-
rom eller över nätverk för att bara ta några exempel. Utmärkande för sådant
utlämnande är att den som gör utlämnandet vid varje överföringstillfälle vidtar
någon manuell aktivitet som kan jämställas med ett beslut om överföring och en
sekretessprövning avseende den information som mottagaren får del av.
Utlämnande av personuppgifter på medium för automatiserad behandling är
en form av behandling av personuppgifter enligt 3 § personuppgiftslagen som är
tillåten förutsatt att utlämnandet sker i enlighet med de ändamål som är bestämda
för personuppgiftsbehandlingen och att kraven på en god informationssäkerhet
upprätthålls. Direktåtkomst har ansetts vara en så integritetskänslig form av
elektroniskt utlämnande att det anges i lagen när det får förekomma, se 11 §.
När det gäller annat elektroniskt utlämnande på medium för automatiserad
behandling finns däremot inga begränsningar i receptregisterlagen. Av
tydlighetsskäl föreskrivs i förevarande paragraf att en personuppgift kan lämnas ut
på medium för automatiserad behandling under förutsättning att personuppgiften
IVBAR Juridik 2013-03-28
M. Nymark
72
får lämnas ut. Det sistnämnda villkoret syftar på att uppgiften inte kan lämnas ut
om sekretess gäller för uppgiften. Möjligheten att lämna ut en personuppgift på
medium för automatiserad behandling innebär således inte att sekretessen bryts.
2.11.9 Direktåtkomst
I 11 § regleras vilka yrkesutövare samt för vilka ändamål dessa får ha en
direktåtkomst till uppgifter i receptregistret. Till att börja med får expedierande
personal på ett öppenvårdsapotek ha direktåtkomst till receptregistret för ett flertal
ändamål som anges i 6 §. För att över huvud taget kunna expediera läkemedel (6 §
första stycket punkt 1) får apotekspersonalen ha direktåtkomst till receptregistret.
Vidare får de direktåtkomst till registret för registrering av underlaget för
tillämpningen av bestämmelserna om läkemedelsförmåner vid köp av läkemedel
m.m. (6 § första stycket punkten 2). Slutligen får apotekspersonalen ha
direktåtkomst till dosrecept, elektroniska recept och recept för flera uttag (6 §
första stycket punkten 8).
Som framgår av 6 § andra stycket förutsätter behandling av personuppgifter
för de två sista fallen av direktåtkomst (registrering av uppgifter om
läkemedelsförmåner samt dosrecept och recept för flera uttag, dock inte
elektroniska recept) den enskildes samtycke.
Av paragrafen framgår vidare att den som har legitimation för yrke inom
hälso- och sjukvården får ha direktåtkomst till uppgifter om dosrecept. Återigen
erinras om att Apotekens Service AB får registrera och behandla sådana uppgifter
endast under förutsättning att den enskilde har samtyckt till behandlingen (se 6 §
andra stycket).
Slutligen framgår det av paragrafen att den enskilde får ha direktåtkomst till
uppgifter om sig själv.
2.11.10 Uppgiftsskyldigheter för Apotekens Service AB
I 12 – 18 §§ finns ett flertal bestämmelser som lägger en skyldighet på Apotekens
Service AB att lämna ut uppgifter från receptregistret till olika aktörer på
läkemedelsområdet.
Skyldighet att lämna uppgifter till öppenvårdsapoteken
Enligt 12 § ska Apotekens Service AB, för de ändamål som anges i 6 § första
stycket 1, 2 respektive 8 (se föregående avsnitt om direktåtkomst), till
öppenvårdsapoteken lämna ut underlag för expediering av läkemedel och andra
varor som förskrivits. Apotekens Service AB ska vidare lämna ut underlag för
tillämpningen av bestämmelserna om läkemedelsförmåner vid köp av läkemedel
IVBAR Juridik 2013-03-28
M. Nymark
73
m.m. respektive uppgifter om dosrecept, recept för flera uttag och elektroniska
recept.
Skyldighet att lämna uppgifter till hälso- och sjukvårdspersonalen
Bestämmelser om direktåtkomst har inte sekretessbrytande effekt i sig utan de
måste - om andra myndigheter eller enskilda ska kunna medges direktåtkomst till
sekretessbelagda uppgifter - kombineras med särskilda sekretessbrytande regler.
Av det skälet kompletteras bestämmelser om direktåtkomst i 11 §
receptregisterlagen med bestämmelser om uppgiftsskyldighet i 13 §. Enligt
paragrafen ska Apotekens Service AB lämna ut uppgifter om dosrecept till den
som har legitimation för yrke inom hälso- och sjukvården och som i sin
verksamhet inom vården har behov av sådana uppgifter.
Skyldighet att lämna uppgifter till landstingen
Enligt 14 § ska Apotekens Service AB, för de ändamål som avses i 6 § första
stycket punkterna 3 och 5 (debitering till landstingen respektive registrering och
redovisning till landstingen av uppgifter för ekonomisk och medicinsk
uppföljning samt för framställning av statistik), till det landsting som enligt 22 §
lagen (2002:160) om läkemedelsförmåner m.m. ska ersätta kostnaderna för
läkemedelsförmåner, lämna ut uppgifter om uttag av förskrivna läkemedel och
andra varor som omfattas av nämnda lag. Även uppgift om förskrivningsorsak får
utlämnas (6 § fjärde stycket). I det senare fallet, dvs. utlämnande av uppgifter till
landstingen för bl.a. medicinsk och ekonomisk uppföljning ska uppgifter om
patientens identitet vara krypterade på ett sådant sätt att dennes identitet skyddas.
För att säkerställa att krypteringen består när uppgifterna motas och registreras av
landstingen, finns en bestämmelse i PDL, 4 kap. 6 § andra stycket, som erinrar om
detta skydd för patientens identitet.
Skyldighet att lämna uppgifter till förskrivare och verksamhetschef
Enligt 15 § ska Apotekens Service AB, till den förskrivare som gjort
förskrivningen och till verksamhetschefen vid den enhet där förskrivaren
tjänstgör, lämna sådan redovisning av uppgifter som avses i 6 § första stycket
punkten 6 (uppgifter för medicinsk uppföljning, utvärdering och kvalitetssäkring i
hälso- och sjukvården). Även uppgift om förskrivningsorsak får utlämnas (6 §
fjärde stycket).
Skyldighet att lämna uppgifter till Socialstyrelsen
Enligt 16 § ska Apotekens Service AB, för de ändamål som anges i 6 § första
stycket punkten 7 (registrering och redovisning till Socialstyrelsen av uppgifter
IVBAR Juridik 2013-03-28
M. Nymark
74
för epidemiologiska undersökningar, forskning och framställning av statistik inom
hälso- och sjukvårdsområdet), lämna ut uppgifter om inköpsdag, vara, mängd,
dosering, kostnad och kostnadsreducering enligt lagen läkemedelsförmåner m.m.,
patientens personnummer och folkbokföringsort samt förskrivarens yrke,
specialitet och arbetsplatskod. Uppgift om förskrivningsorsak får inte utlämnas (6
§ fjärde stycket).
Enligt 17 § ska Apotekens Service AB ska, för de ändamål som anges i 6 §
första stycket punkten 9 (enskild läkares eller tandläkares förskrivning av
narkotiskt läkemedel eller annat särskilt läkemedel, för styrelsens tillsyn över
hälso- och sjukvårdspersonal enligt patientsäkerhetslagen), till Socialstyrelsen
lämna ut uppgifter om en enskild läkares eller tandläkares förskrivning av
narkotiskt läkemedel eller annat särskilt läkemedel.
Skyldighet att lämna uppgifter till Tandvårds- och läkemedelsförmånsverket
Enligt 18 § Apotekens Service AB, för det ändamål som avses i 6 § första stycket
punkten 10 (tillsyn över utbyte av läkemedel), till Tandvårds- och
läkemedelsförmånsverket lämna ut administrativa uppgifter, uppgifter om
inköpsdag, vara, mängd, kostnad och kostnadsreducering enligt lagen (2002:160)
om läkemedelsförmåner m.m. redovisade per öppenvårdsapotek.
2.11.11 Gallring
Enligt 19 § receptregisterlagen ska uppgifter som kan hänföras till enskilda
personer och som bevarats för registrering av underlaget för tillämpningen av
bestämmelserna om läkemedelsförmåner vid köp av läkemedel m.m. eller för
registrering av dosrecept, elektroniska recept och recept för flera uttag tas bort ur
registret under den femtonde månaden efter den under vilken de registrerades.
Uppgifter som kan hänföras till enskilda personer ska i övrigt tas bort ur registret
under den tredje månaden efter den under vilken de registrerades.
2.11.12 Information
I 20 § receptregisterlagen åläggs Apotekens Service AB att på lämpligt sätt lämna
patienter och förskrivare information om receptregistret. Informationen ska
redovisa ändamålen med registret och vilka uppgifter registret får innehålla samt
ge upplysning om de tystnadsplikts- och säkerhetsbestämmelser som gäller för
registret, rätten att få information och rättelse enligt personuppgiftslagen, de
bestämmelser om samtycke som gäller enligt 6 § andra stycket, och de
begränsningar i fråga om sambearbetning, sökbegrepp och bevarande av uppgifter
som gäller för registret.
IVBAR Juridik 2013-03-28
M. Nymark
75
2.11.13 Tystnadsplikt
Enligt 21 § får den som arbetar eller har arbetat inom Apotekens Service AB inte
obehörigen röja eller utnyttja vad han eller hon i sin verksamhet har fått veta om
en enskilds hälsotillstånd eller personliga förhållanden, enskilds affärs- eller
driftsförhållanden eller sådan metod för kryptering som avses i 14 § andra stycket.
Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som
följer av lag eller förordning.
2.11.14 Behörighetstilldelning och åtkomstkontroll
Apotekens Service AB ska i egenskap av personuppgiftsansvarig bestämma
villkor för tilldelning av behörighet för åtkomst till helt eller delvis automatiskt
behandlade uppgifter om patienter. Det framgår av 22 §. Behörigheten ska
begränsas till vad som behövs för att den som arbetar hos Apotekens Service AB
ska kunna fullgöra sina arbetsuppgifter där.
Apotekens Service AB ska vidare se till att olika användares åtkomst till helt
eller delvis automatiskt behandlade uppgifter om patienter, dokumenteras så att de
kan kontrolleras i efterhand. Bolaget ska systematiskt och återkommande
kontrollera om någon obehörigen kommer åt sådana uppgifter (loggranskning).
Regeringen, eller den myndighet som regeringen bestämmer, får meddela
föreskrifter om tilldelning av behörighet för åtkomst till helt eller delvis
automatiskt behandlade uppgifter samt dokumentation och kontroll beträffande
åtkomstkontroll.
2.11.15 Bemyndiganden
I 26 § receptregisterlagen finns ett bemyndigande – utöver andra bemyndiganden
insprängda i några av paragraferna i lagen – av vilken framgår att regeringen eller
den myndighet regeringen bestämmer får meddela föreskrifter om koder för
förskrivningsorsak enligt 8 §. Några sådana föreskrifter har ännu inte meddelats.
2.12 Socialförsäkringsdatabasen
Inom socialförsäkringens administration hanteras stora mängder uppgifter om
nästan hela Sveriges befolkning. Uppgifter som lämnas till Försäkringskassan
behandlas i register som används för att handlägga socialförsäkringsförmåner. Det
finns ett tjugotal s.k. socialförsäkringsregister som Försäkringskassan ansvarar
för, vilka tillsammans utgör socialförsäkringsdatabasen. Många av dessa
uppgifter är s.k. känsliga personuppgifter om exempelvis hälsa. Det har därför
IVBAR Juridik 2013-03-28
M. Nymark
76
ansetts finnas ett särskilt behov av skydd mot sådan användning av
individrelaterad information som kan utgöra otillbörliga intrång i den personliga
integriteten. För Försäkringskassans och Premiepensionsmyndighetens
verksamhet finns därför bestämmelser om personuppgiftsbehandling i 114 kap.
socialförsäkringsbalken (FSB). Bestämmelserna fanns tidigare samlade i en lag,
lagen (2003:763) om behandling av personuppgifter inom socialförsäkringens
administration.
Bestämmelserna i 114 kap. är en särreglering i förhållande till
personuppgiftslagen och medger att Försäkringskassan behandlar personuppgifter
även mot den enskildes vilja. Integritetsskyddskommitten kritiserade
personuppgiftsregleringen på socialförsäkringens område, bl.a. uppdelningen av
ändamålen i primära ändamål, vilka tillgodoser Försäkringskassans egna behov,
och sekundära ändamål, vilka tillgodoser andra myndigheters behov (SOU
2007:397) . Eftersom Försäkringskassans uppgiftsskyldighet är mycket vidsträckt,
ansåg kommittén att denna reglering medför att det är svårt för den enskilde att
överblicka hur uppgifterna om honom eller henne kan komma att användas.64
Kommittén konstaterar vidare att 114 kapitlet FSB saknar bestämmelser om inre
sekretess till skillnad från registerförfattningar på socialtjänstens område, liksom
inom hälso- och sjukvården. I allmänna uttalanden i förarbetena till offentlighets-
och sekretesslagen anges det visserligen att det är självklart att uppgifter som
omfattas av sekretess får lämnas mellan befattningshavare hos en myndighet i den
utsträckning som är normal och behövlig för ett ärendes handläggning eller för
verksamhetens bedrivande i övrigt och att denna möjlighet utnyttjas med omdöme
(jfr prop. 1981/82:186 s. 38). Avsaknaden av en uttrycklig reglering av frågan
lämnar emellertid – enligt kommittén – öppet för mer personligt präglade
ställningstaganden till frågan om uppgiftsutbyte kan ske. Kommittén anser att en
uttrycklig reglering av den inre sekretessen skulle bättre kunna förhindra att
uppgifter om den enskilde, utan lagstöd, sprids inom Försäkringskassan för andra
ändamål än för vilket myndigheten har erhållit uppgiften.
I förordning (1980:995) om skyldighet för Försäkringskassan och
Pensionsmyndigheten att lämna uppgifter till andra myndigheter finns ytterligare
bestämmelser om personuppgiftsbehandling i socialförsäkringens administration,
bl.a. vad för slags uppgifter som får registreras och direktåtkomst för olika
myndigheter till socialförsäkringsdatabasen. Bl.a. får ”arbetsförmåga” och
”diagnos” registreras. Det finns inga närmare kommentarer om innebörden av
dessa begrepp eftersom förordningar saknar förarbeten till vägledning för tolkning
av förordningsbestämmelserna.
Av SFB 114:6 framgår att personuppgiftslagen gäller, om inte annat framgår
av 114 kap. SFB eller föreskrifter som meddelas med stöd av det kapitlet.
Fördelarna med denna författningsteknik är att sekundära behandlingar av
personuppgifter som inte är reglerade i SFB ändå är tillåtna behandlingar, såvida
de inte är oförenliga med de ändamål som personuppgifterna registrerades för.
64 SOU 2007:397.
IVBAR Juridik 2013-03-28
M. Nymark
77
I SFB 114:18 finns en bestämmelse som föreskriver att direktåtkomst till
uppgifter i ”socialförsäkringsdatabasen” är tillåten endast i den utsträckning som
anges i lag eller förordning. I förordningen (2003:766) om behandling av
personuppgifter inom socialförsäkringens administration anges i vilka situationer
direktåtkomst är tillåten. Det finns dock ingen bestämmelse i författningarna
rörande socialförsäkringen som tillåter en vårdgivare att få direktåtkomst till
Försäkringskassans uppgifter om enskild. Regeringen har emellertid
bemyndigande att besluta en sådan bestämmelse i förordningen (2003:766) om
behandling av personuppgifter inom socialförsäkringens administration. En
bestämmelse om direktåtkomst är i sig inte sekretessbrytande. Därför måste även
övervägas bestämmelser som bryter socialförsäkringssekretessen enligt 28 kap. 1
§ OSL. I förordningen anges också för vilka ändamål Försäkringskassan får
behandla personuppgifter.
Som regel brukar man inte reglera känsliga personuppgifter särskilt i
registerförfattningar. Patientdatalagen är ett sådant exempel. I 114 kap. SFB har
man dock valt att särskilt reglera Försäkringskassans och Pensionsmyndighetens
behandling av känsliga personuppgifter. I SFB 114:11 framgår att
Försäkringskassan får behandla känsliga personuppgifter som rör ”hälsa” för ett
flertal olika ändamål som framgår av 7, 8 och 9 §§ i samma kapitel.
Därutöver föreskriver ibland registerförfattningar begränsningar när det gäller
utlämnande på medium för automatiserad behandling Sådana finns också i 114
kap. SFB. Enligt SFB 114:24 får personuppgifter i socialförsäkringsdatabasen
lämnas ut på medium för automatiserad behandling endast om det behövs för
något av de ändamål som anges i 8 och 9 §§. Enligt SFB 114:9 andra punkten får
Försäkringskassan behandla personuppgifter som behandlas för ändamål som
anges i 7 § för att tillhandahålla information utanför den egna myndigheten på
grund av sådant medgivande att lämna ut uppgifter som följer av särskilda
bestämmelser i lag eller förordning. Här avses samtycke enligt OSL. I
förordningen om behandling av personuppgifter inom socialförsäkringens
administration regleras bl.a. i vilka situationer utlämnade på medium för
automatiserad behandling till vårdgivare är tillåten. Enligt 4 a § förordningen får
för handläggning av ärenden om sjukpenning, sjukersättning och
aktivitetsersättning uppgift om namn, personnummer eller samordningsnummer,
ärendebeteckning, hälsotillstånd och arbetsförmåga i socialförsäkringsdatabasen
lämnas ut på medium för automatiserad behandling till vårdgivare.
2.13 Lagen om den officiella statistiken
2.13.1 Inledning
IVBAR Juridik 2013-03-28
M. Nymark
78
I samband med den statistikreform, som trädde i kraft i mitten av 1990-talet,
fördelades ansvaret för den officiella statistiken på 25 statliga myndigheter. Den 1
juli 1994 överfördes därmed stora delar av ansvaret för den officiella statistiken
inom avgränsade sektorsområden från i huvudsak Statistiska centralbyrån (SCB)
till 24 andra statliga myndigheter. SCB fortsatte att ansvara för
sektorsövergripande statistik medan andra myndigheter fick ansvaret för den
statistik som låg inom deras verksamhetsområde. Från den 1 januari 2012 finns 27
statistikansvariga myndigheter.
Ett av huvudsyftena med statistikreformen 1994 var att öka användarnas
inflytande över statistiken. Man förväntade sig att reformen skulle leda till att
statistiken blev mer relevant för användarna, att statistiksystemet blev mer
flexibelt och att statistikproduktionen blev mer effektiv.
SCB hade redan tidigare, enligt sin instruktion, haft ansvar för samordning
och bevakning av den officiella statistiken. För att stärka samordningen och
överblicken över systemet föreslog utredningen att ett råd för Sveriges officiella
statistik skulle inrättas. Ett sådant råd för den officiella statistiken inrättades vid
SCB år 2002.
De 27 myndigheter som är ansvariga för officiell statistik i Sverige bildar
tillsammans ett nätverk. Varje myndighet publicerar sin statistik på den egna
webbplatsen. Statistiska centralbyrån (SCB) ansvarar för officiell statistik och
annan statlig statistik. Från SCB:s webbplats nås all officiell statistik på de olika
webbplatserna via länkar. Allmänheten kan också nå all officiell statistik från de
andra myndigheternas statistiksidor.
Den statliga statistiken består av officiell statistik och övrig statistik. För den
officiella statistiken finns ett särskilt regelverk. Även övrig statlig statistik kan,
under förutsättning att statistiken är framställd av staten – i dess olika skepnader –
och har ett vidare syfte än att utgöra rent intern driftstatistik, omfattas av en del av
detta regelverk.
En stor del av den statistik som framställs i dag är registerbaserad. Det finns
också ett stort antal registerförfattningar som reglerar användningen av viktiga
register inom den offentliga sektorn. Sådana registerförfattningar kan innehålla
regler som kompletterar eller t.o.m. avviker från de allmänt giltiga reglerna i
personuppgiftslagen (PUL).
SCB är, som tidigare konstaterats, den största statistikproducenten. SCB:s
uppgifter och verksamhet regleras främst i förordning (2007:762) med instruktion
för Statistiska centralbyrån
2.13.2 Regelverket på statistikområdet
Det grundläggande regelverket för den officiella statistiken är lagen (2001:99)
om den officiella statistiken. Lagen kompletteras av förordningen (2001:100) om
den officiella statistiken. Även PUL är tillämplig vid framställning av statistik i
IVBAR Juridik 2013-03-28
M. Nymark
79
den mån det inte finns avvikande bestämmelser i lagen om den officiella
statistiken.
En annan viktig del av regleringen avser skyddet för uppgifter som används
vid framställning av statistik. I detta fall finns de huvudsakliga reglerna inte i
lagen om den officiella statistiken utan i offentlighets- och sekretesslagen
(2009:400), OSL. Bestämmelsen om statistiksekretess finns i 24 kap. 8 § OSL, se
avsnitt 2.7.7. Denna bestämmelse kompletteras av 7 § offentlighets- och
sekretessförordningen (2009:641), OSF, se avsnitt 2.7.7 och 2.7.8.
Statistiksekretessen är en viktig del av tillgängligheten till statistiken.
Det finns kompletterande föreskrifter som rör den officiella statistiken i
SCB:s föreskrifter och allmänna råd för offentliggörande m.m. av officiell statistik
(SCBFS 2002:16).
Lagen om den officiella statistiken trädde i kraft den 1 april 2001, varvid vissa
EU-anpassningar gjordes samt en anpassning till personuppgiftslagen.65
2.13.3 Begreppet statistik
Begreppet statistik definieras inte vare sig i lagen om den officiella statisktiken
eller förordningen om den officiella statistiken. Det finns ingen legaldefinition av
begreppet statistik heller i annan författning. I det förslag till lag om officiell
statistik som först lades fram fanns en sådan definition, nämligen en beteckning
för numeriska sammanställningar av elementära observationer som kan hänföras
till händelser, flöden eller tillstånd. Denna mötte dock kritik från lagrådet som
menade att begreppet statistik är svårdefinierbart och att det saknades behov av att
ange en definition av begreppet i lagen.66
Med statistik kan avses en viss form av
information, nämligen sifferuppgifter som beskriver en företeelse eller en
verksamhet. Statistik kan också avse metoder för att samla in, bearbeta och
analysera statistiska material.67
Därtill är statistik benämningen på en vetenskaplig
disciplin.
Statistik om olika samhällsområden är en mycket viktig informationskälla i en
demokrati och tillgången till statistik kan ses som en rättighet för alla medborgare.
Den officiella statistiken ger en övergripande bild av samhället och ökar
medborgarnas möjlighet till insyn. Statistiken används också som grund för
politiska beslut, för den allmänna debatten, för forskning, för utvärdering m.m.
Stor enighet råder om vikten av att det produceras statistik som belyser olika
aspekter av samhället och som kan användas för ovan nämnda syften.
Statistiken ska vara pålitlig, dvs. objektiv och saklig samt även i övrigt av god
kvalitet. Objektiva mått på samhällsförhållanden och deras utveckling – av det
slag som ges genom den officiella statistiken – ses av de flesta som en självklarhet
65 Prop. 2000/01:27, En ny statistiklagstiftning, s. 1. 66 Prop. 2000/01:27. Det ursprungliga lagförslaget, inklusive förslaget till definition av begreppet
statistik, lämnades i Statistikregelgruppens rapport Statistikens regler (Ds 1999:75). 67 Beskrivningen av de två betydelserna av begreppet statistik har hämtats från SCB:s hemsida.
IVBAR Juridik 2013-03-28
M. Nymark
80
i en modern demokrati. Man brukar tala om statistisk information som en genuin
samhällelig nyttighet. Statistik i betydelsen sifferbaserad information kan
redovisas i form av exempelvis absoluta tal, frekvenstal, proportionerade tal,
medeltal, i tabeller med tidsserier eller med andra jämförelsetal och illustreras ofta
även i diagram eller figurer.
”Data” är ett väsentligt begrepp i statistiksammanhang. Uppbyggnaden av ett
statistiskt system kräver tre olika typer av data68
:
Makrodata: Det som kallas ”statistik” i dagligt tal, dvs. aggregerade data om
populationer och klasser av objekt, t.ex. summor, frekvenser och
medelvärden.
Mikrodata: Data om enskilda objekt, t.ex. företag, individer och händelser,
som ligger till grund för statistik, och som kan aggregeras till statistik på ett
flexibelt sätt.
Metadata: Rent språkligt betyder detta ”data om data” eller information om
data. Det handlar om data som definierar och beskriver mikrodata och
makrodata. Normalt används metadata eller metainformation för att beskriva
innehållet och/eller strukturen för en viss datasamling, t.ex. ett statistiskt
material, ur något perspektiv. Härigenom kan användaren avgöra hur
användbara de olika datamaterialen är.69
Statistik kan tas fram med olika syften. På mer övergripande nivå är det vanligt
att – med avseende på huvudfunktion – skilja på två typer av statistik:
Statistik med ett i huvudsak internt syfte för den organisation statistiken
berör. För sådan statistik är huvudfunktionen att utgöra en del av en
informationsprocess för styrning av verksamheter, innefattande planering, beslut,
uppföljning, analys och utvärdering. Den här typen av statistik kallas ofta
driftstatistik, verksamhetsstatistik, operativ statistik eller instrumentell statistik,
eftersom den främst avser att ge information av mera internt intresse för den
organisation som tar fram den och om mera snävt avgränsade verksamheter.
Statistik med ett allmäninformativt syfte. Den här typen av statistik
har till huvudfunktion att ge eller ingå som delar i en allmän beskrivning
av förhållanden, dvs. att vara mer allmäninformativ. Den officiella statistiken,
som enligt lagen om den officiella statistiken, ska finnas för ”allmän information,
utredningsverksamhet och forskning”, torde vara det tydligaste exemplet på
statistik med en allmäninformativ funktion.
68 Definitionerna har hämtats från Sundgren, B. (1999): Ökad tillgänglighet till Sveriges officiella
statistik. Appendix till SOU 1999:96. Kompletterande information har också hämtats från
Wikipedia. 69 Data och information av liknande slag som metadata kan i olika sammanhang även benämnas
t.ex. referensdata.
IVBAR Juridik 2013-03-28
M. Nymark
81
2.13.4 Tillämpningsområde m.m.
Det är regeringen som beslutar inom vilka områden det ska finnas officiell
statistik och vilka myndigheter som ska ansvara för denna, s.k. statistikansvariga
myndigheter (1 § andra stycket). Vilka områden som omfattas och vilka
myndigheter som är ansvariga framgår dock först av bilagan till förordningen om
den officiella statistiken.
Föreskrifter om den officiella statistiken omfattas av regeringens s.k.
restkompetens70
och det krävs därför inte något direkt bemyndigande till
regeringen för att den ska få fatta beslut om föreskrifter inom detta område.
Lagtexten innehåller endast en erinran om att föreskrifter kan meddelas av
regeringen.
Enligt lagen ska de bestämmelser som reglerar behandling av personuppgifter
tillämpas vid all framställning av statistik hos en statistikansvarig myndighet och
inte enbart vid framställning av officiell statistik (1 § tredje stycket). Bakgrunden
till att lagen har getts en vidare tillämpning än enbart den officiella statistiken är
enligt motiven omsorg om den enskilde. Det anses betydelsefullt för den enskilde
att samma regler gäller inom samma verksamhetsområde. Enligt den aktuella
propositionen skulle det vara orimligt att uppgifter om en enskild skulle falla
under olika regler hos samma myndighet enbart på grund av att uppgifterna i det
ena fallet skulle användas för officiell statistik och i det andra för annan statistik.
För myndigheter som inte är statistikansvariga myndigheter gäller vid
personuppgiftsbehandling reglerna i PUL utan den särreglering som finns i lagen
om den officiella statistiken. PUL gäller vid framställningen av statistik så länge
det inte finns någon avvikande bestämmelse i lagen om den officiella statistiken
(2 §). Det innebär att de beteckningar och definitioner som förekommer i PUL har
motsvarande betydelse när det gäller den officiella statistiken.
I lagens 3 § anges de krav på kvalitet som gäller för den officiella statistiken.
När officiell statistik görs tillgänglig ska den enligt 4 § i lagen vara försedd
med beteckningen ”Sveriges officiella statistik” eller med symbolen för Sveriges
officiella statistik, vilken framgår av en bilaga till lagen.
2.13.5 Uppgiftsskydd m.m.
Uppgiftsskyddet regleras i 5–6 §§ i lagen. Den officiella statistiken ska framställas
och offentliggöras med beaktande av behovet av skydd för fysiska och juridiska
personers intressen (5 § första stycket). I 5 § andra och tredje stycket finns
hänvisningar till OSL och PUL. Hänvisningarna fyller en viktig
upplysningsfunktion och erinrar om att bestämmelserna om statistiksekretess finns
70 Regeringen har rätt att besluta normer som inte är speciellt reglerade i grundlag, denna
behörighet brukar kallas för restkompetensen.
IVBAR Juridik 2013-03-28
M. Nymark
82
i OSL och att bestämmelserna om skydd mot kränkning av enskilds personliga
integritet genom behandling av personuppgifter finns i PUL.71
Lagen innehåller också ett förbud mot s.k. bakvägsidentifiering (6 §). Det
innebär att uppgifter i den officiella statistiken inte får sammanföras med andra
uppgifter i syfte att utröna en enskilds identitet. Förbudet mot
bakvägsidentifiering är straffsanktionerat genom 26 § i lagen där det stadgas
ansvar för olovlig identifiering.
2.13.6 Uppgiftsskyldighet
Uppgiftsskyldigheten är en viktig del av statistiklagstiftningen. Bestämmelser om
uppgiftsskyldighet finns i 7–13 §§ i lagen. Där anges vilka som enligt lagen är
uppgiftsskyldiga och för vilka uppgifter. Normalt fastläggs inte
uppgiftsskyldigheten på EU-nivå utan faller enligt den s.k. subsidiaritetsprincipen
på den nationella lagstiftningen. Uppgiftsskyldigheten i lagen gäller näringsidkare
(7–9 §§), olika organisationer, bl.a. vissa stiftelser, (10 §) samt kommuner och
landsting (11 §). Enskilda, i egenskap av privatpersoner, omfattas inte av lagens
uppgiftsskyldighet. Det finns endast ett fall på statistikområdet där privatpersoner
har ålagts uppgiftsskyldighet, nämligen då folk- och bostadsräkningar har
genomförts. Numera görs folk- och bostadsräkningar dock med registerdata som
grund.
Näringsidkare ska för den officiella statistiken lämna uppgifter om namn och
person- eller organisationsnummer för den som bedriver verksamheten,
produktion av varor och tillhandahållande av tjänster, förbrukning av varor och
anlitande av tjänster, antalet anställda, deras sysselsättning, löner och yrken samt
vakanser, lagerhållning, investeringar, beställningar, köp, försäljningar och
leveranser av varor och tjänster, priser för varor och tjänster, intäkter och
kostnader, import och export, energiåtgång, tillgångar och skulder, sparande samt
kapital-, kredit- och valutaförhållanden, omfattning av upplåtelse och nyttjanderätt
samt miljöskyddskostnader (7 §). Vissa typer av näringsidkare ska utöver
uppgifterna i 7 § även lämna vissa andra kompletterande uppgifter (8 och 9 §§).
För stiftelser, ideella föreningar och registrerade trossamfund som inte
bedriver näringsverksamhet, samt för kommuner och landsting är däremot
upplysningsplikten mindre omfattande och sker genom hänvisning till relevanta
punkter i 7 § (10 och 11 §§).
Uppräkningen av vilka uppgifter som omfattas av uppgiftsskyldighet i ovan
nämnda bestämmelser är enligt motiven uttömmande. Dock framhålls att det
ligger i sakens natur att uppgifterna i vissa fall behöver kopplas till någon
ytterligare uppgift för att vara användbara som underlag till statistiken. Ett sådant
exempel är uppgift om sysselsättning, löner och yrken där kopplingen till den
anställde är nödvändig. En annan typ av uppgifter som också måste kunna
71 Prop. 2000/01:27, En ny statistiklagstiftning, s. 68.
IVBAR Juridik 2013-03-28
M. Nymark
83
efterfrågas, men som inte anges uttryckligen, är adress, telefonnummer,
faxnummer, e-postadress, osv. till den uppgiftsskyldige. Inte något av dessa fall
har ansetts behöva specificeras i lagen eftersom de är en förutsättning för att syftet
med den ska kunna uppnås.
Statliga myndigheters uppgiftslämnande regleras i förordningen om den
officiella statistiken, eftersom myndigheter under regeringen styrs av regeringen
själv.
2.13.7 Behandling av personuppgifter
Statistikansvariga myndigheter har en generell rätt, utan samtycke från de
registrerade, att behandla personuppgifter för framställning av statistik (14 §). Den
yttre gränsen för den tillåtna behandlingen är just framställande av statistik. För
sådan behandling är myndigheten personuppgiftsansvarig enligt PUL. Ansvaret
följer principen att ansvaret för elektroniskt lagrad information ska ligga hos den
myndighet som ansvarar för den statistik för vilken behandlingen utförs.
Statistikansvarig myndighets behandling av personuppgifter får enligt tredje
stycket i samma bestämmelse omfatta personnummer.
Det finns undantag från den generella rätten för en statistikansvarig
myndighet att behandla personuppgifter (15 §). Dessa undantag gäller dels för
känsliga personuppgifter (13 § PUL) och dels för uppgifter om lagöverträdelser
m.m. (21 § PUL). I motiven uttalade regeringen att det knappast låter sig göras att
inhämta samtycke från enskilda för behandling av känsliga uppgifter annat än i
speciella fall. Därför har i stället angetts att sådana uppgifter får behandlas först
om det följer av föreskrifter som regeringen har meddelat. Regeringen tar då för
varje särskilt fall ställning genom en vägning av samhällsintresset av den
statistiska behandlingen mot risken för intrång i den enskildes personliga
integritet.72
2.13.8 Utlämnande av uppgifter i vissa fall
I 16–18 §§ i lagen finns bestämmelser om utlämnande av uppgifter i vissa fall.
Dessa bestämmelser gör det möjligt för den som har tagit emot ett avidentifierat
material från en statistikansvarig myndighet att för longitudinella73
och liknande
studier kunna föra på nya uppgifter genom ett till personnumret, eller liknande,
knutet löpnummer. Detta sker genom att en statistikansvarig myndighet i samband
med utlämnandet av uppgifter, som inte direkt kan hänföras till en enskild, förser
uppgifterna med en beteckning som hos den statistikansvariga myndigheten kan
kopplas till personnummer eller liknande (16 §). Genom detta förfarande
72 Prop. 2000/01:27, s. 70. 73 Med detta avses mätning av utvecklingen över tiden av en och samma företeelse.
IVBAR Juridik 2013-03-28
M. Nymark
84
möjliggörs en senare komplettering av uppgifterna. En sådan åtgärd får vidtas
endast om den som uppgifterna lämnas ut till ska använda dessa för forskning
eller statistik och har ett särskilt behov av att komplettera uppgifterna. I motiven
framhålls att myndigheten i varje enskilt fall ingående ska pröva om förfarandet
ska tillåtas med hänsyn till samtliga relevanta faktorer.
Enligt den aktuella propositionen ska metoden kunna användas vid
longitudinella och liknande studier så länge samhällets behov av studien är väl
dokumenterat. Den ska endast tillåtas under förutsättning att sekretess- och
integritetsskyddet vidmakthålls på samma nivå som hos den utlämnande
myndigheten. Om det kan ske utan påvisbara nackdelar ur kvalitativ synvinkel bör
det utlämnade materialet bestå av ett urval av personer. Regeringen betonade här
att den förutsatte att Datainspektionen skulle se som sin uppgift att följa
utvecklingen av denna typ av ärenden och vid behov föreslå erforderliga åtgärder i
syfte att stärka integritetsskyddet.
Utformningen av bestämmelserna i 16–18 §§ avser, enligt motiven, att skapa
en säker metod för att kunna komplettera material som i sig inte ska kunna
hänföras till enskilda individer eller företag. Här ska också nämnas att det i 6 § i
lagen finns ett förbud mot just olovlig identifiering. Preciseringen av ändamålet
för användningen är utformad för att säkerställa att uppgifterna blir omfattade av
den s.k. statistiksekretessen. Det ankommer på den utlämnande myndigheten att
bevaka att statistiksekretessen blir tillämplig hos mottagaren.74
2.13.9 Gallring
I 19 § i lagen finns bestämmelser om gallring. Huvudregeln är att personuppgifter
ska gallras hos de statistikansvariga myndigheterna när uppgifterna inte längre
behövs för sitt ändamål. I andra stycket anges att regeringen eller den myndighet
som regeringen bestämmer får föreskriva om undantag från denna skyldighet.
2.13.10 Tvångsmedel m.m.
Lagen innehåller i övrigt bestämmelser om tvångsmedel 20–22 §§) I 23 §
hänvisas till PUL:s bestämmelser om rättelse och skadestånd. I lagen finns också
bestämmelser om straffansvar. Det är t.ex. straffbelagt att bryta mot 6 § som gäller
s.k. bakvägsidentifiering. Den som gör det döms för olovlig identifiering till böter
eller fängelse i högst ett år (26 §). Detta gäller dock endast om gärningen inte är
belagd med straff i brottsbalken eller PUL. I ringa fall döms inte till ansvar.
Regler om förbud mot bakvägsidentifiering har funnits sedan år 1992 och
fördes över till nu gällande lag. Lagrådet hade invändningar mot att bestämmelsen
skulle föras över till lagen om den officiella statistiken och menade att det inte var
74 Prop. 2000/01:27, s. 52 och 70 f.
IVBAR Juridik 2013-03-28
M. Nymark
85
givet hur bestämmelsen skulle ses i förhållande till andra lagbestämmelser. Som
exempel angavs möjligheten att utnyttja uppgifterna i den officiella statistiken för
bevisning i rättegång. Ett annat problem var, enligt lagrådet, att uppgifter i den
officiella statistiken skulle kunna avse objekt varav det egentligen endast finns ett
enda i landet, t.ex. en viss typ av industri. Den som i ett sådant fall gör en
sammankoppling kan knappast straffas för olovlig identifiering när sambandet står
klart för nästan vem som helst. Lagrådet menade, mot denna bakgrund, att
bestämmelserna inte borde överföras utan mera ingående överväganden om
kriminaliseringens räckvidd.
Regeringen anger i motiven att det för skyddet av enskildas integritet är
nödvändigt att det även i framtiden finns ett förbud mot s.k. bakvägsidentifiering.
Regeringen menar att även om det av lagrådet beskrivna problemet i princip inte
ska kunna uppkomma om skyddskraven75
iakttas tydliggör påpekandet en viktig
aspekt på frågan och visar på vikten av att kriminaliseringen inte får stå i strid mot
det allmänna rättsmedvetandet. För att en olovlig identifiering ska framstå som
straffvärd bör krävas någon form av manipulativt beteende eller andra klart
klandervärda åtgärder. Genom lagen om den officiella statistiken ändrades därför
straffbestämmelsen så att ansvar inte utdöms i ringa fall
2.13.11 Förordningen (2001:100) om den officiella statistiken
Förordningen om den officiella statistiken innehåller kompletterande föreskrifter
till lagen om den officiella statistiken (1 §) och trädde i kraft samtidigt som denna.
Området den officiella statistiken tillhör regeringens restkompetens och det krävs
därför, som nämnts, inget särskilt bemyndigade för att regeringen ska få meddela
föreskrifter om denna. I lagen om den officiella statistiken finns därför endast en
erinran om att det är regeringen som beslutar om vad som är officiell statistik och
vilka myndigheter som ansvarar för den officiella statistiken (statistikansvariga
myndigheter). Detta gör regeringen genom att i en bilaga till förordningen lista de
områden som omfattas av den officiella statistiken och vilka myndigheter som är
statistikansvariga myndigheter (2 §). Regeringen har sedan bemyndigat de
statistikansvariga myndigheterna att besluta om statistikens innehåll och
omfattning inom sitt statistikområde, om inte något annat följer av ett särskilt
beslut av regeringen (2 § andra stycket). Innebörden av detta är att den
statistikansvariga myndigheten t.ex. själv bestämmer vilka objekt och variabler
som ska ingå i statistiken, vilka statistiska mått som ska användas, osv. Sådana
beslut fattas av respektive statistikansvarig myndighet, efter samråd med viktiga
användare och mot bakgrund av de krav på statistiken som finns i EU-
lagstiftningen.
I 4–6 §§ i förordningen finns vissa bestämmelser som reglerar insamling av
uppgifter. Där sägs att uppgifter för den officiella statistiken ska samlas in på ett
75 T.ex. att det alltid finns minst tre enheter i en tabellcell.
IVBAR Juridik 2013-03-28
M. Nymark
86
sådant sätt att uppgiftslämnandet blir så enkelt som möjligt (4 §). Regeringen har
också gett de statistikansvariga myndigheterna rätt att besluta om ytterligare
föreskrifter om verkställighet av uppgiftsskyldigheten i 7–11 §§ lagen om den
officiella statistiken (5 §).
Statliga myndigheter ska lämna uppgifter för den officiella statistiken. För att
tillförsäkra statistikmyndigheterna kontinuerlig tillgång till de uppgifter som
används för den officiella statistiken finns en bestämmelse om detta i
förordningen. I 6 § stadgas att en statlig myndighet ska lämna de uppgifter som
behövs för den officiella statistiken till statistikansvariga myndigheter.
Uppgifterna ska lämnas vid den tidpunkt och på det sätt som myndigheterna
kommer överens om.
I 7 § ställs krav på att en statistikansvarig myndighet ska lämna viss i
paragrafen uppräknad information när den samlar in uppgifter för den officiella
statistiken från någon annan än en statlig myndighet. Information som ska lämnas
är bl.a. ändamålet med uppgiftssamlandet, vem som samlar in och på vems
uppdrag, vilka bestämmelser om sekretess som blir gällande osv. Myndigheten
ska vidare upplysa om att uppgiftslämnandet är frivilligt om så är fallet, samt på
lämpligt sätt lämna information om eventuella påföljder som kan bli aktuella om
uppgiftsskyldighet föreligger och inte fullgörs.
I 15 § lagen om den officiella statistiken anges att vissa uppgifter endast får
behandlas för statlig statistik om det följer av föreskrifter som regeringen lämnar.
I 8 § förordningen hänvisar regeringen till bilagan till förordningen om den
officiella statistiken och uppger att det där anges när sådana personuppgifter får
behandlas. I förordningen anges också att uppgifter som behandlas för
framställning av officiell statistik även får behandlas för framställning av annan
statistik och forskning. Detta gäller dock endast om ändamålet med behandlingen
inte är oförenligt med det ändamål för vilket uppgifterna samlades in (9 §).
En statistikansvarig myndighets verksamhet för framställning av statistik ska
vara organiserad så att den är avgränsad från myndighetens verksamhet i övrigt
(10 §). Denna bestämmelse har tillkommit i syfte att säkerställa ett starkt
uppgiftsskydd. Genom bestämmelsen tillses att statistiksekretessen gäller hos
samtliga statistikansvariga myndigheter.
I 12 § regleras gallring. Innan en statistikansvarig myndighet gallrar uppgifter
enligt 19 § första stycket lagen om den officiella statistiken ska den underrätta
Riksarkivet. Bestämmelser som rör den officiella statistikens tillgänglighet finns i
13 och 14 §§. Här framgår bl.a. att statistikansvariga myndigheter ska
dokumentera, kvalitetsdeklarera och utan avgift offentliggöra den officiella
statistiken. Den ska dessutom hållas allmänt tillgänglig i elektronisk form genom
ett allmänt nätverk. SCB får meddela närmare föreskrifter, men först efter att ha
hört samtliga statistikansvariga myndigheter. Om inte särskilda skäl finns emot
det, ska individbaserad officiell statistik vara uppdelad efter kön. I bilagan till
förordningen om den officiella statistiken anges vad som är officiell statistik, vilka
myndigheter som är officiella statistikmyndigheter (för närvarande 27 stycken)
IVBAR Juridik 2013-03-28
M. Nymark
87
samt när det är tillåtet att behandla känsliga personuppgifter och uppgifter om
lagöverträdelser m.m.
2.13.12 SCB:s föreskrifter
SCB har, som framgått ovan, rätt att meddela vissa föreskrifter om tillgänglighet,
även om denna rätt i praktiken har utnyttjats restriktivt. Av 13 § förordningen om
den officiella statistiken framgår att SCB får meddela närmare föreskrifter efter att
ha hört samtliga statistikansvariga myndigheter. Att SCB ska höra de andra
myndigheterna innebär inte att man måste vara överens för att SCB ska kunna
meddela föreskrifter. Det är endast SCB som har rätten att meddela föreskrifter.
Föreskrifter är bindande, det vill säga att de är rättsregler som bestämmer
enskildas och myndigheters handlande.
SCB har även lämnat vissa allmänna råd. Allmänna råd är generella
rekommendationer om tillämpningen av en författning. Rekommendationerna
anger hur de myndigheter som berörs av regleringen kan eller bör handla i ett visst
hänseende, men är inte bindande. SCB har även meddelat en del föreskrifter med
stöd av 5 § förordningen om den officiella statistiken. I denna paragraf
bemyndigas de statistikansvariga myndigheterna att meddela ytterligare
föreskrifter om verkställigheten av 7–11 §§ lagen om den officiella statistiken,
dvs. när det gäller uppgiftsskyldigheten. Dessa föreskrifter är dock av mindre
intresse för det regelverk som påverkar systemet för den officiella statistiken.
SCB har beslutat föreskrifter om offentliggörande av officiell statistik (SCB-
FS 2002:16). Dessa föreskrifter är meddelade med stöd av 13 § förordningen om
den officiella statistiken. Enligt föreskrifterna ska de statistikansvariga
myndigheterna upprätta aktuella beskrivningar av statistiken (1 §). Dessa ska
innehålla en kvalitetsdeklaration och allmänna uppgifter om statistiken och
offentliggöras samtidigt med den officiella statistiken. Här stadgas också att
officiell statistik ska dokumenteras i sådan omfattning att framtida användning av
bevarade datamaterial underlättas (2 §). I föreskrifterna anges även att det hos de
statistikansvariga myndigheterna ska finnas en årlig publiceringsplan som löpande
uppdateras (6 §). Till föreskrifterna har SCB publicerat allmänna råd.
IVBAR Juridik 2013-03-28
M. Nymark
88
3 Vårdepisodbaserade ersättningssystem m.m.
I detta avsnitt lämnas en redogörelse för det fria vårdvalets betydelse för
värdebaserad vård och värdebaserade ersättningssystem, bl.a. vårdepisodbaserade
ersättningssystem. Avsnittet beskriver bakgrunden till värdebaserade
ersättningssystem samt praktiska erfarenheter.
3.1 Fritt vårdval
Privatisering och konkurrensutsättning av offentlig verksamhet har varit en
intensivt debatterad fråga den senaste tiden. En central del av debatten har
fokuserat på frågan om vinstintresse medför incitament som gör att kvaliteten blir
lidande. Debatten handlar också om huruvida konkurrensutsättning och
privatisering av offentlig verksamhet, däribland vårdsektorn, har lett till
samhälleliga vinster eller inte.76
Hälso- och sjukvården har på senare tid genomgått omfattande förändringar.
Införandet av valfrihet i primärvården (fritt vårdval) är en av de mest
betydelsefulla och största reformerna under de senaste decennierna. Som
redovisats är sjukvårdshuvudmännen enligt 5 § andra stycket HSL skyldiga att
organisera primärvården så att alla som är bosatta inom landstinget kan välja
utförare av hälso- och sjukvårdstjänster (vårdvalssystem). Landstinget får enligt
bestämmelsen inte begränsa den enskildes val till ett visst geografiskt område
inom landstinget. Enligt tredje stycket i samma paragraf ska vårdvalssystemet
utformas så att alla utförare behandlas lika, om det inte finns skäl för annat.
Ersättningen från landstinget till utförare inom ett vårdvalssystem ska följa den
enskildes val av utförare. Av fjärde stycket framgår att gomförande av ett
valfrihetssystem inom primärvården ska ske enligt bestämmelserna i lagen
(2008:962) om valfrihetssystem (LOV).
Landstinget Halland var först i Sverige med att introducera en vårdvalsmodell
2007 följt av Västmanlands Landsting och Landstinget Stockholm 2008. Detta
skedde före LOV:s ikraftträdande den 1 januari 2009, och sedan dess har alltså
alla landsting och regioner infört fritt vårdval inom sin öppenvårdsverksamhet.
3.2 Ersättningssystem för vårdproducenter
76 Se t.ex. Konkurrensens konsekvenser. Vad händer med svensk välfärd? Anders Anell m.fl.,
SNS-förlag, 2011.
IVBAR Juridik 2013-03-28
M. Nymark
89
Tanken med vårdvalet är att främja konkurrens inom vårdsektorn, och därmed
ökad kvalitet och minskade kostnader. Även om det i huvudsak är privata
vårdgivare som tillhandahåller vården inom primärvården är dock hälso- och
sjukvården alltjämt offentligt finansierad. Pengarna följer patienten, vilket betyder
att vårdproducenterna inom primärvården huvudsakligen ersätts av landstinget
eller regionen på basis av var individerna listar sig.
Det fria vårdvalet har öppnat fördämningarna till olika vårdersättningssystem.
Systemen varierar mellan de olika regionerna och landstingen och bygger på olika
principer. Syftet med de olika modellerna är att hitta ett styrmedel som kan
påverka vårdproducenternas beteende77
. Det medför både önskade och oönskade
effekter. Nedan nämns några modeller78
för ersättningssystem som används i
hälso- och sjukvården och vilka effekter de – i teorin – har på vårdproduktionen.
Det ska dock framhållas att sjukvårdshuvudmännens vårdersättningssystem i
praktiken ofta är en blandform av flera modeller.
Fee for service är en åtgärdsbaserad ersättningsform. Vårdproducenten får
ersättning i efterskott för det antal vårdåtgärder som har utförts. Modellen har
kritiserats för att den kan leda till att vårdproducenten utför så många åtgärder
som möjligt, dvs. den är ett incitament till att öka produktionen. Detta kan ske
genom att producenterna utnyttjar sitt informationsövertag gentemot
konsumenterna för att påverka deras efterfrågan av vårdkonsumtion till en
högre, onödig nivå. Ersättningssystemet anses vidare ge dålig
kostnadskontroll för finansiären beträffande kostnader per åtgärd eller för
mängden utförda åtgärder.
I förväg fastställd ersättning per åtgärd. Modellen liknar Fee for service med
den skillnaden att priset för ersättningen fastställs i förväg. Modellen anses ge
incitament till antingen hög produktivitet eller låg produktionskostnad.
Risken med modellen är emellertid att vissa behandlingar kan felberäknas
med resultat att vissa åtgärder blir mycket lönsamma medan andra blir
olönsamma och får till följd att vårdproducenten väljer ut antingen lönsamma
åtgärder eller lönsamma patienter.
Ersättning per produktgrupp innebär att man delar in vårdåtgärder i olika
produktgrupper. Tanken är att på så sätt minska skillnaden i lönsamhet mellan
olika åtgärder och dessutom öka kontrollen jämfört med i förväg fastställd
ersättning per åtgärd. Den mest kända metoden för att klassificera produkter
är DRG – diagnosrelaterade grupper. Patienter delas in i grupper som internt
ska vara så homogena som möjligt med avseende på sjukdomsdiagnoser och
resursförbrukning.
77 Jacobsson, F., Monetära ersättningsprinciper i hälso- och sjukvård. CMT Rapport 2007:2.
Linköpings Universitet 2007 s. 39. 78 Uppgifterna är hämtad från anfört arbete i föregående fotnot.
IVBAR Juridik 2013-03-28
M. Nymark
90
Målrelaterad ersättning. Denna modell är till skillnad från de tidigare
kopplad till resultatet istället för till patienten eller processen. Ersättningen
utgår ofta som en i förväg fastställd bonus när förutbestämda mål har
uppnåtts. Det är då en rörlig och prospektiv ersättning. Det anses att detta
skapar incitament till hög produktion, låga produktionskostnader och
framförallt till hög vårdkvalitet inom det område som ersättningen riktas mot.
Ersättningen kan struktureras på många olika sätt och då kan incitamenten
styras mot olika områden, varav högre kvalitet är ett. Nackdelen med
målersättningsmetoden är att den ger minskade incitament till aktivitet inom
de områden som ersättningen inte riktas mot. Eftersom hälsa hos
befolkningen är svårt att mäta ersätts vårdproducenterna istället för olika
delmål som är mätbara. På grund av dessa mätproblem brukar den
resultatbaserade ersättningen bara utgöra en liten del av den totala
ersättningen.
Kapitationsbaserad ersättning innebär att vårdproducenterna ersätts per
patient. Vårdproducenten ersätts alltså inte för någon extra åtgärd om
patienterna söker mer vård. Detta för att skapa drivkrafter för arbete med
preventiva åtgärder som gör att patienterna blir mindre kostsamma. Modellen
anses också ge incitament att minimera kostnaderna för produktionen. En
annan fördel med ersättningsmodellen är att den ger god kostnadskontroll
eftersom det är en prospektiv ersättning. Finansiären vet i förväg vad
kostnaderna för vården kommer att bli. Dessutom anses modellen
lättadministrerad. En nackdel är att den skapar incitament för
vårdproducenten att försöka undvika resurskrävande individer eller att
vidareremittera kostsamma patienter och i stället locka till sig de patienter
som är minst benägna att efterfråga kostsam vård, s.k. cream-skimming.
Traditionellt anslag är en fast ersättning som baseras på organisationens
behov av resurser. Det är en blandning av prospektiv och retrospektiv
ersättning eftersom organisationens behov till stor del baseras på tidigare års
budget. Eftersom vårdproducenterna inte är beroende av sina patienter för
inkomsten leder det inte till några incitament att förbättra kvaliteten och
servicen eller till att öka produktionen. Fördelen med anslagsfinansiering är
god kostnadskontroll. Det finns inte heller någon risk för cream-skimming.
Eftersom anslaget baseras på tidigare års resultat kan det tänkas att
kostsamma patienter och åtgärder visserligen ger sämre resultat det aktuella
året, men samtidigt genererar högre anslag nästföljande år. Att dra ner på
kostnaderna genom att välja bort vissa patienter kan straffa sig genom
minskade anslag framtida år.
IVBAR Juridik 2013-03-28
M. Nymark
91
3.3 Värdebaserad vård
Det fria vårdvalet är inte unikt för Sverige. Det övergripande målet för varje
nationellt sjukvårdssystem är att maximera hälsan för sin population med de
begränsade medel som finns tillgängliga. I de flesta OECD-länder ökar dock
kostnaderna för sjukvård snabbare än BNP, vilket inte är en långsiktigt hållbar
utveckling. Denna kostnadsökning kan delvis förklaras med att nya och dyrare
behandlingstekniker utvecklas samt att medelåldern och andelen äldre ökat under
de senaste decennierna. Samtidigt är variationen inom både kvalitet och kostnader
mellan olika länder, regioner och producenter större än inom de flesta andra
sektorer. Detta tyder på att det finns stor potential att öka kvaliteten och samtidigt
minska kostnaderna i sjukvården, dvs. att skapa värdebaserad vård.
Begreppet värdebaserad vård formulerades bl.a. i boken Redefining Health
Care – Creating Value-based Competition on Results.79
Författarna, Porter och
Teisberg, argumenterar att ett möjligt skäl till att sjukvården inte har samma
produktivitets- och kvalitetsutveckling som övriga sektorer är att vårdgivare enligt
tradition oftast är organiserade kring medicinska specialiteter och inte kring
sjukdomar och behandlingar, samt att ersättning och vinst för behandlingar
traditionellt varit baserat på de aktiviteter som varit inkluderade i behandlingen
och inte på behandlingsresultat. Detta har enligt Porter och Teisberg inneburit
svårigheter för vårdgivare att koordinera och kontinuerligt utveckla sina
behandlingsprocesser för att åstadkomma bästa möjliga hälsoutfall med lägsta
möjliga resursförbrukning. De benämner detta värdebaserad vård.
Porter och Teisberg förespråkar ett flertal strategier för att kontinuerligt öka
det patientvärde som produceras. Bland dessa kan nämnas
patientomhändertagande organiserat efter sjukdomstillstånd i stället för efter
specialitet eller vårdnivå; att mäta hälsoutfall i större utsträckning och organisera
vården utifrån detta; konkurrens baserad på faktiska hälsoresultat i stället för på
kostnad. Porter och Teisberg framhåller vidare som en nyckelfaktor för ökat
patientvärde stödjande IT-system där mätning av vårdens totala resultat och
kostnader över tid lätt kan åskådliggöras. Det är nödvändigt anser de för att
möjliggöra integrerad vård samt uppföljning och utvärdering av vårdcykelns totala
resultat och kostnader. Sådana system kan ge samtliga aktörer i vårdkedjan en bild
av patientens hela sjukdomscykel samt bättre förståelse för vikten av integration
och idéer om omorganisationer som skulle kunna öka patientvärdet.
Det har i debatten om värdebaserad vård hävdats att Sverige har goda
förutsättningar att välja ut relevanta delar av Porters och Teisbergs modell och
anpassa dem till svenska förhållanden.80
79 Porter ME, Teisberg EO, Redefining health care: creating valuebased competition on results.
Boston, Massachusetts: Harvard Business School Press 2006. 80 Höglund m.fl., Värdebaserad vård – strategi för effektivare svensk sjukvård, Läkartidningen nr
47, 2012.
IVBAR Juridik 2013-03-28
M. Nymark
92
3.4 Vårdepisodersättningssystem
Som framgått har utformningen av ersättningssystem stor påverkan på hur vården
struktureras och utförs. De två vanligaste modellerna internationellt sett som
ligger till grund för ersättning till vårdproducenter är Fee-for-service, där
vårdgivaren får ersättning för de aktiviteter de utför, och kapitationsersättning, där
vårdgivaren får en fast ersättning per individ och tidsenhet (avsnitt 3.2). Enligt
IVBAR har båda dessa modeller svagheter. Fee-for-service, har visat sig skapa
incitament som kan leda till överkonsumtion, och kapitationsersättning har visat
sig skapa incitament som kan leda till underkonsumtion av vård. De två
modellerna kombineras vanligen för att i möjligaste mån motverka dessa effekter.
DRG-ersättning (avsnitt 3.2) är en typ av Fee-for-service som innebär att patienter
med likartad diagnos och resursförbrukning grupperas i en och samma grupp.
Ersättning kan då baseras på dessa grupper istället för alla ingående komponenter
och ersättas med ett paketpris. Detta introducerades på 80-talet i USA och
används idag i flertalet sjukvårdssystem runt om i världen och ofta med goda
resultat på resursförbrukning.
En vidareutveckling av DRG-ersättningssystemen är vårdepisodbaserade
ersättningssystem (engelska Bundled Payment81
). I Sverige har episodbaserad
ersättning använts i vårdval för höft- och knäprotesoperationer i Stockholm läns
landsting tillsammans med Svenska höftprotesregistret. En preliminär analys av
erfarenheterna från Stockholm rapporterar kostnadsbesparingar och förbättrad
kvalitet,82
dvs. bättre koordinering av vårdkedjan, lägre kostnader genom bättre
resursutnyttjande och vårdgivare som i än större utsträckning fokuserar på
hälsoutfall och att undvika komplikationer. Vidare kunde konstateras att 98 % av
patienterna var nöjda, att deras valfrihet hade ökat samt att de efter vårdvalets
införande inte längre behövde vänta på operation. Kostnaden per operation för
Stockholms läns landsting minskade också med 17%.
Vårdepisodbaserade ersättningssystem (VES) innebär att man överger dagens
ersättning för enskilda komponenter i en behandling (labbprov, besök, operation
etc.) och i stället betalar ett paketpris för all vård som ett visst sjukdomstillstånd
kräver. Kännetecknande för dessa modeller är att vårdproducenten också får betalt
för att ta ansvar för komplikationer som uppträder i samband med behandlingen
och som potentiellt hade kunnat undvikas.
Vårdepisodersättningssystem är mer avancerade än andra ersättningssystem
och ställer högre krav på beställaren av vård, men kan skapa betydligt bättre
förutsättningar än nuvarande ersättningssystem för att driva värdeutvecklingen i
sjukvårdssystem. Principen för vårdepisodersättning bygger på en eller flera av
följande komponenter:
81 Även benämnt (eng.) Episode-based payment, Episode payment, Episode-of-care payment, Case
rate, Evidence-based case rate, Global bundled payment, Global payment, Package pricing eller
Packaged Pricing. 82 Wohlin J. m.fl., Uppföljningsrapport vårdval höft- och knäprotesoperationer 2012, Stockholms
läns landsting 2012.
IVBAR Juridik 2013-03-28
M. Nymark
93
Paketpris: Grundkomponenten i vårdepisodersättningen är att
vårdproducenten erhåller ett case-mix-justerat (anpassat efter
patientegenskaper och vårdbehov) paketpris för hela vårdkedjan. Detta
möjliggör för vårdproducenten att minska s.k. icke-värdeskapande aktiviteter
samt att skapa en mer integrerad vårdkedja.
Komplikationsgaranti: Genom att ge vårdproducenten finansiellt ansvar för
potentiellt undvikbara komplikationer skapas incitament för denne att
fokusera på och investera i att reducera dessa. Lägre komplikationsfrekvens
innebär bättre hälsoutfall och lägre kostnader. Vårdgivaren erhåller en case-
mix-justerad ersättning som ska täcka den förväntade
komplikationskostnaden.
Utfallsbaserad (rörlig) ersättning: Genom att basera en stor del av
ersättningen på case-mix-justerat patientrapporterat utfall (eller andra
utfallsmått utöver komplikationer) skapas incitament för vårdgivaren att
kontinuerligt investera i att förbättra hälsoutfallet.
I det ovan refererade verket Redefining Health Care – Creating Value-based
Competition on Results betonar författarna Porter och Teisberg konkurrens –
baserad på patientvärde – som en lösning på alla problem. Lockelsen för
vårdgivare att förbättra värdet, snarare än volymen, antas vara enligt författarna
fler intäktsgivande patienter. Genom det fria vårdvalet har Sverige skapat en god
grogrund för god tillgänglighet och värdeskapande konkurrens. Men tesen att
valfrihet i kombination med konkurrens skapar bättre vårdvärde ställer enligt
IVBAR höga krav på patientens kompetens att välja den vårdgivare som levererar
bäst hälsa. Det kräver att patienten/konsumenten kan ta del av relevant
information och mer användarvänligt presenterade gränssnitt som möjliggör
meningsfulla jämförelser och val för denne. IVBAR:s uppfattning är att detta kan
åstadkommas genom att publicera information om vårdgivarna, deras case-mix-
justerade resultat och väntetider. Då kan produktionsvolymer styras mot de
vårdgivare som har bäst hälsoutfall och mest nöjda patienter.
Vårdepisodersättningssystem förutsätter en noggrann och systematisk
uppföljning av hälsoutfall, och de komponenter som beskrivs ovan kompletterar
varandra för att säkerställa att effektivitetsvinster inte sker på bekostnad av
hälsovinster.
För närvarande pågår ett samarbete mellan Stockholms läns landsting och
IVBAR kring utveckling av ett nytt vårdepisodersättningssystem för ryggkirurgi.
Det nya systemet, som ska vara färdigutvecklat i september 2012 och tas i drift i
mars 2013, innehåller fler behandlingar än projektet Vårdval höft och
knäproteskirurgi, och kommer också att vara mer avancerat i termer av
utfallsbaserad ersättning och case-mix-justering.
IVBAR Juridik 2013-03-28
M. Nymark
94
3.5 Vårdepisodersättningssystem i världen
Det finns ett stort internationellt intresse för vårdepisodersättningssystem, men få
exempel på storskaligt implementerade system. De flesta systemen finns i USA.
Det första dokumenterade vårdepisodersättningssystemet implementerades
1984 och innebar en fast ersättning för hjärtkirurgi vilket ledde till nästan en
halvering av kostnaden med bibehållna resultat.83
Mellan 1987 och 1989 ersattes
ett sjukhus i Michigan (Ingham Regional Medical Center) med fast ersättning och
två års komplikationsgaranti vilket ledde till en 40% kostnadsminskning för
beställaren och en 40% intäktsökning för vårdgivaren.84
I en större studie på
kranskärlsoperationer som Medicare85
genomförde mellan 1996-1997
konstaterades en minskad kostnad med $ 43.3 miljoner (11.5%) och att den
riskjusterade dödligheten samtidigt minskade under testperioden. De negativa
aspekterna av försöket utgjordes av svårigheter i administration av systemet.
Under 2000-talet har de två amerikanska ersättningssystemen ProvenCare
inom Geisinger Health System och Prometheus Payment, utvecklat av
organisationen HC3i (Health Care Incentives Improvement Institute86
), fått
uppmärksamhet. ProvenCare visade att 117 patienter som genomgått
kranskärlsoperation inom ramen för vårdepisodersättningen mellan 2006-2007
hade kortare vårdtid, större sannolikhet att skrivas ut till hemmet och mindre
sannolikhet att återinskrivas jämfört med de 137 patienter som ersattes
traditionellt.87
Efter 2007 har ProvenCare-programmet utvidgats till att innefatta
höftproteskirurgi, kataraktkirurgi, koronarangioplastik, obesitaskiururgi
(överviktsbehandling, t.ex. magsäcksoperation), ländryggskirurgi och perinatal
omvårdnad. HC3i har från 2007 utvecklat ett flertal vårdepisodersättningssystem
och principer för ersättning av dessa inom akut och elektiv vård (ingrepp och
kroniska sjukdomar). Dessa testas för närvarande i tre piloter.
I Holland infördes 2010 ett vårdepisodersättningssystem för diabetesvård.
Preliminär analys visar att vårdepisodersättningssystemet förbättrade hur vården
var koordinerad och organiserad samt att den ledde till bättre samarbete mellan
involverade vårdgivare och bättre följsamhet till riktlinjer.
83 Edmonds C. m.fl., "CardioVascular Care Providers. A pioneer in bundled services, shared risk,
and single payment". Texas Heart Institute Journal 22 (1): 72–6. PMC 325213. PMID 7787473,
1995. 84 Johnson LL .fl., "An alternative health-care reimbursement system -- application of arthroscopy
and financial warranty: results of a 2-year pilot study" (http:// www. arthroscopyjournal. org/
article/ S0749-8063(05)80200-2/ abstract). Arthroscopy 10 (4): 462–70; discussion 471–2.
doi:10.1016/S0749-8063(05)80200-2. PMID 7945644, 1994. 85 Medicare är en nationell sjukvårdsförsäkring i USA som administreras av en federal myndighet.
Sjukförsäkringen omfattar bl.a. personer äldre än 65 år och ungdomar med funktionshinder. 86 HC3i är en amerikansk icke vinstdrivande organisation som arbetar med kvalitetssystem och
ersättningssystem i hälso- och sjukvård, se www.hc3i.org. 87 Casale AS m.fl., "'ProvenCareSM: a provider-driven pay-for-performance program for acute
episodic cardiac surgical care" (http:/ / www. geisinger.org/ provencare/ as_pc. pdf). Ann Surg 246
(4): 613-21; discussion 621-3. doi:10.1097/SLA.0b013e318155a996. PMID 17893498, 2007.
IVBAR Juridik 2013-03-28
M. Nymark
95
Som en konsekvens av de goda exemplen genomfördes i USA under 2010,
inom ramen för den större sjukvårdsreformen, en förändring i lagstiftningen för att
införa vårdepisodersättning inom ramen för Medicare. Reformen inleds med en
pilot 2013 för att därefter förmodligen expandera från 2016. Arbetet leds av
Center for Medicare and Medicaid Innovation (CMS). De amerikanska
modellerna kommer med stor sannolikhet att vara mer avancerade än Vårdval höft
och knäprotesoperationer i termer av case-mix-justering. Ersättningssystemet
inom ryggkirurgi som Stockholms läns landsting och IVBAR i samarbete med
Svensk Ryggkirurgisk Förening för närvarande utvecklar kommer emellertid att
vara mer avancerat både i termer av case-mix-justering och tillämpning av
utfallsbaserad ersättning, vilket de amerikanska systemen saknar.
3.6 Utveckling av vårdepisodersättningssystem
Beställarorganisationer som framgångsrikt kan lyckas utforma, implementera och
följa upp vårdepisodbaserade ersättningssystem kommer med stor sannolikhet att
belönas med bättre hälsoutfall och lägre kostnader. Hanteringen av sådana
ersättningssystem är dock resurskrävande eftersom ett ersättningssystem behöver
utvecklas för varje behandlingsområde. Arbetet inkluderar normalt bl.a.
kartläggning, definition och analys av vårdprocesser, utfallsmått och
komplikationsrisker. Baserat på detta utvecklas case-mix-justerade
ersättningsmodeller. För att validera systemet måste simuleringsmodeller
utvecklas som tillämpas på historisk data. Därtill krävs utveckling av metoder och
strategier för utvärdering.
Att utveckla och driva vårdepisodersättningssystem sker enligt IVBAR:s
erfarenhet med fördel i en för ändamålet specialiserad multidisciplinär grupp.
Gruppen bör ha goda kunskaper om hur vårdepisodersättningssystem skall
utformas samt kunskap inom medicin, hälsoekonomi, statistik, databashantering
och sjukvårdsmanagement. Gruppen behöver också stöd inom juridik och inom de
medicinska specialistområden för vilka vårdepisodersättningssystemen utformas.
IVBAR Juridik 2013-03-28
M. Nymark
96
4 IVBAR:s modell för vårdepisodersättning och däri
förekommande databehandlingar
4.1 Inledning
I det följande lämnas en beskrivning av IVBAR:s lösning för helt eller delvis
automatiserad behandling av personuppgifter och planerade databehandlingar för
att en sjukvårdshuvudman ska kunna beräkna vårdepisodbaserad ersättning till
vårdproducenter. Helt eller delvis automatiserade behandlingar av personuppgifter
behöver göras för att kunna beräkna ett individbaserat paketpris inklusive en
komplikationsgaranti som erbjuds en vårdproducent per patient och vårdepisod.
Behandlingar av personuppgifter kommer också att behöva göras för att efter
genomförd vårdåtgärd kunna betala till vårdproducenten en individbaserad och
rörlig ersättning beroende på hur utfallet av åtgärden blir. Relevanta data för dessa
beräkningar finns i både journalsystem och andra patientadministrativa system
som innehåller uppgift om besök, vårdproduktion, priser m.m. Även regionala och
nationella kvalitetsregister är nödvändiga kunskapskällor för beräkningarna samt
socioekonomiska data hos Försäkringskassan och SCB.
Sambearbetning av data för vårdepisodbaserad ersättning kommer att ske i ett
av IVBAR:s analysverktyg, vilket fortsättningsvis benämns VES-analysverktyget.
I avsnittet lämnas en beskrivning av vårdepisodersättningens livscykel, data,
behandlingar och informationskällor.
4.2 Vårdepisodens livscykel
Som redovisats tidigare består vårdepisodersättningen av flera ersättningar som
avser att täcka kostnaderna för olika skeden i en vårdprocess/vårdepisod för en (1)
enskild patient. Givetvis skiljer sig vårdprocesserna åt beroende på
sjukdomstillstånd och vårdproducent. Till stöd för den fortsatta framställningen
används därför fortsättningsvis en generisk vårdepisod för en ryggpatient i
Stockholms län. Vårdepisoden för ryggkirurgi finns beskriven i bilaga 1.
Förenklat har vårdepisoden följande steg och i nämnd ordning:
Vårdepisodens generiska steg:
1. Patientens första vårdkontakt med vårdproducenten
2. Vårdgivarens diagnos (sjukdomsorsak, t.ex. spinal stenos, diskgeneration
etc.)
3. Vårdgivarens beslut om behandling – terapibeslut, t.ex. steloperation
4. Primär operation
IVBAR Juridik 2013-03-28
M. Nymark
97
5. Vårdtid på sjukhus
6. Sjukskrivning och egenvård
7. Uthämtning av förskrivna läkemedel
8. Eventuellt - en komplikation uppstår som kräver åtgärd, t.ex. sekundär
operation (recidiv diskbråck, likvorläckage etc.)
9. Återbesök
10. Uppföljning över kortare eller längre tid för det systematiska
kvalitetsarbetet (t.ex. 2 år)
Vårdepisoden innehåller tio steg. I den beskrivna vårdepisoden saknas emellertid
ett ytterligare steg som är nödvändigt för beräkning av det paketpris som
huvudmannen erbjuder vårdproducenten, nämligen patientens tidigare
vårdkonsumtion (historiska vårdkonsumtion). Det rör sig här om uppgifter om
patientens tidigare resursåtgång av vårdtjänster, komplikationer m.m. som ligger
till grund för paketpriset. Man kan säga att detta steg finns både före och efter
vårdepisoden; den sluter och påbörjar vårdepisodens livscykel. Patientens tidigare
vårdkonsumtion ligger till grund för patientens förväntade utfall och hans eller
hennes förväntade vårdkostnader.
4.3 Vårdepisodersättningen
IVBAR:s vårdepisodersättningssystem består i huvudsak av tre komponenter:
1. Paketpris för hela vårdkedjan - grundkomponenten i
vårdepisodersättningen. Anpassat efter patientegenskaper och
vårdbehov.
2. Komplikationsgaranti – täcker kostnader för erfarenhetsmässiga
komplikationer, men inte mer! Inkluderas paketpriset.
3. Hälsoutfallsbaserad ersättning – ju bättre patienten blir, desto mer i
ersättning.
Paketpriset inklusive komplikationsgaranti ska täcka vårdproducentens kostnader i
steg 1 t.o.m. 9 i den ovan beskrivna vårdepisoden för ryggkirurgi som utgör
exempel för den fortsatta framställningen. Observera dock att
komplikationsgarantin bara avser förutsebara eller förväntade komplikationer,
t.ex. en reoperation. Syftet är att vårdproducenten ska ”trimma” rutinerna därför
att denne inte kan förvänta sig att erhålla ersättningen för en andra reoperation.
Vårdproducenten har helt enkelt inte råd att göra fel vilket torde utgöra incitament
för dessa att satsa extra mycket på att förbättra sina processer. I förlängningen
leder det – enligt IVBAR - till högre patienttillfredsställelse och mer vård per
krona. Målet med vårdepisodbaserade ersättningssystem är ju att i högre
utsträckning koppla ersättningen till resultat. Det ska också tilläggas att den
IVBAR Juridik 2013-03-28
M. Nymark
98
individuella ersättningen har beräknats även med beaktande av patientens
historiska vårdkonsumtion (se ovan).
Beräkningen av vårdepisodersättningen, dvs. ersättningen till
vårdproducenten, kräver ständiga justeringar allteftersom operationsmetoder, nya
komplikationer, omvårdnad, läkemedel, demografiska förhållanden och andra
parametrar förändras över tid. Dessa parametrar i form av makrodata (dvs.
”statistik” om olika företeelser på aggregerad nivå) finns i olika databaser och
register spridda på olika samhällsaktörer (se nedan). Eftersom ersättningen är
”skräddarsydd” för varje patient, krävs även mikrodata (data om enskilda objekt,
t.ex. patienter och händelser). Även dessa uppgifter finns i olika
informationskällor, hos sjukvårdshuvudmannen men också hos t.ex.
Försäkringskassan vad gäller sjukskrivningsdagar m.m. Beräkningen av
ersättningen (prispaketet + utfall) kan också struktureras på följande övergripande
sätt (se bilaga 1):
1. Prediktionsberäkningar88
av ersättningsnivå på historiska data om den
patient som är föremål för vård; ersättning betalas till vårdproducenten
2. Patientens vårdkonsumtion följs över tid under vårdepisoden; hälsoutfall
mäts och ligger till grund för den utfallsbaserade ersättningen. Detta blir
sedermera historiska data enligt 1.
3. Ny vårdepisod (ny sjukdom) varvid ersättningen grundas på 1. ovan osv.
4.4 Hur ett ersättningsärende uppstår och förekommande
databehandlingar
I det föregående har beskrivits vårdepisodersättningsmodellens livscykel och
modellens ersättningskomponenter. Av framställningen har också framgått hur
ersättningen beräknas; att den bygger i hög grad på mikrodata, alltså
personuppgifter om den behandlade patienten, både före, under och efter
vårdepisoden.
IVBAR:s verktyg för att beräkna ersättning och följa patientens
vårdkonsumtion, VES-analysverktyget, innehåller också algoritmer som är
baserade på formler framtagna i forskningssammanhang för att predicera
behandlingskostnader och predicerade komplikationskostnader m.m. Man kan i
enkla termer här tala om ”räknesnurror”, vilka sedan är avsedda att
”programmeras” med uppgifter på individnivå från hälso- och sjukvården,
socialförsäkringens administration och befolkningsdata, allt detta för att skatta
utfall och resursåtgång och därmed även beräkna en så vederhäftigt ersättning som
möjligt till vårdproducenten. Det är dessa ”räknesnurror” som indexerar (höjer
eller sänker) ersättningen med utgångspunkt patientens kön, ålder, utbildning,
88 Prediktion, prediktion (lat. praedi´ctio 'förutsägelse', 'profetia', av praedi´co 'förutsäga',
'profetera'), inom sannolikhetsteorin uppskattning av ett kommande utfall.
IVBAR Juridik 2013-03-28
M. Nymark
99
medborgarskap m.m. Som redovisats finns det forskning som visar att t.ex. äldre
personer konsumerar mer vård än yngre människor. Med beaktande av sådana och
andra parametrar räknas en ersättning ut av VES-analysverktyget.
Som framgår rör det sig om komplexa sambearbetningar av personuppgifter
och andra data ur olika dataregister som förvaltas av olika aktörer. I det närmaste
följer en beskrivning av de data som IVBAR anser nödvändiga för beräkning av
vårdepisodbaserad ersättning före, under och efter en vårdepisod. Det erinras att
det är denna modell för behandlingar av data och informationskällor som är
föremål för författningsanalysen (se avsnitt 5). Den är inte satt i drift, alltså
förekommer inte nu beskrivna insamlingar av data och andra sambearbetningar.
Modellen och dess databehandlingar finns även beskriven i bilaga 1.
A. Hur ett vårdepisodersättningsärende startar?
Ett ärende för utbetalning av vårdepisodersättning börjar inte med patientens
första vårdbesök hos vårdproducenten. Inte heller initierar vårdproducentens
diagnos av patientens sjukdomstillstånd ett ersättningsärende i VES-
analysverktyget. Det är först när vårdproducenten genomför en specifik
vårdåtgärd som ett ersättningsärende skapas i VES-analysverktyget. Ett
ersättningsärende ”triggas” när VES-analysverktyget upptäcker en
förprogrammerad kombination av diagnos- och åtgärdskod (primär klassificering),
varvid ett unikt VES-nummer skapas för patienten.
Var diagnos- och åtgärdskoder dokumenteras av vårdproducenten kan variera
mellan vårdgivare. Det kan ske i journalsystemet eller i patientadministrativa
system som enkom har till ändamål att löpande ”bokföra” ekonomiadministrativa
uppgifter rörande vårdgivarens vårdkonsumtion. Som exempel på ett sådant
system kan nämnas GVR i Stockholms läns landsting. GVR (Gemensamt
vårdregister) är inte ett journalsystem i vanlig mening. GVR är beställarens, dvs.
landstingsledningens gemensamma vårdregister med verksamhets- och
prestationsinformation samt diagnoser, åtgärder och kontaktorsaker.
Informationen är individbaserad. Information från GVR används av landstinget
bl.a. annat för framtagande av underlag för utbetalning och uppföljning av vården
till vårdgivare som enligt uppdrag bedriver hälso- och sjukvård på landstingets
vägnar.
Normalt förpliktar sig en vårdproducent enligt avtal med landstinget eller
berörd sjukvårdsförvaltning att utlämna efterfrågade patientuppgifter en
filöverföring av data en gång per dygn till GVR. På Uppdragsguiden (som är
landstingets portal för vårdproducenterna) redovisas de informationsobjekt som
vårdgivaren ska rapportera till GVR för öppen vård. Vårdgivaren ska rapportera i
enlighet med de tidsintervall, de dataformat och det elektroniska
kommunikationsstöd samt med definitioner på informationsobjekten som anges på
där.
IVBAR Juridik 2013-03-28
M. Nymark
100
Normalt tecknas också ett personuppgiftsbiträdesavtal mellan
vårdproducenten och landstinget beträffande de centrala lagringslösningar samt
säkerhetslösningar som landstinget ställer krav på vårdproducenten att ansluta sig
till och behandla patientuppgifter.89
Juridiskt blir landstinget
personuppgiftsbiträde åt alla vårdproducenter man tecknar avtal med. Med
personuppgiftsbiträde avses en juridisk eller fysisk person som behandlar
personuppgifter för någon annans räkning. Normalt ska den
personuppgiftsansvarige (vårdproducenten) meddela instruktioner till biträdet
(landstinget) om säkerheten för behandlingen av personuppgifter samt andra
frågor, men i detta fall är det uppenbarligen biträdet som ställer krav på den
personuppgiftsansvarige. Lösningen är dock vanlig i varje landsting och region.
Det erinras att en privat vårdgivares patientuppgifter omfattas av tystnadsplikt
enligt bestämmelser i patientsäkerhetslagen. Denna tystnadsplikt är lika sträng
som den som råder för patientuppgifter i den allmänna hälso- och sjukvården (25
kap. 1 § offentlighets- och sekretesslagen). Normalt kan inte en vårdgivare lämna
ut patientuppgifter till en annan vårdgivare för ändamålet
uppföljning/ekonomiadministration utan patientens uttryckliga samtycke. Hur den
stränga sekretess för patientuppgifter som råder mellan Stockholms läns landsting
och enskilda vårdgivare som bedriver vård på uppdrag av landstinget hanteras är
oklart, men är inte föremål för analys i föreliggande rättsutredning.
B. Beställaren utför prediktionsberäkningar, ersättning utgår till vårdproducenten
När ett VES-ärende har registretas i VES-analysverktyget beräknar
analysverktyget automatiskt med stöd av patientens data från olika datakällor ett
belopp för vårdersättning. Även sjukvårdshuvudmannens utbetalning av beloppet
till vårdproducenten sker automatiserat; ett belopp som ska täcka dennes
vårdkostnader för vårdepisoden, från det första besöket till ett sista återbesöket
och allt däremellan. Detta paketpris inkluderar också en komplikationsgaranti (se
ovan).
Paketpriset utgör också ett betydelsefullt underlag för framtida uppföljning,
liksom beställarens benchmarking90
av olika vårdproducenter.
Enligt uppgift måste ersättningen baseras på den enskilda, behandlade
patientens personuppgifter. I huvudsak rör det sig om historiska uppgifter för att
beräkna (predicera) bl.a. patientens
Resursåtgång (predicerad behandlingskostnad)
komplikationsrisk (predicerad komplikationskostnad) och
hälsoutfall (predicerat hälsoutfall)
Processmått (predicerade processmått)
89 Se t.ex. punkt 8.9 i SLL:s Allmänna villkor för uppdragsavtal version 1,3 2011-10-21 90 Benchmarking är en term inom framför allt företagsekonomin med betydelsen att man
utvärderar sin verksamhet kvantitativt i förhållande till dem som man uppfattar bete sig bäst inom
respektive verksamhetsområde.
IVBAR Juridik 2013-03-28
M. Nymark
101
Nedan redovisas exempel på – enligt IVBAR – personuppgifter samt datakällor
som är nödvändiga för att kunna beräkna ett individuellt paketpris för en (1)
patient och vårdepisod:
1. Tidigare vård och behandling -Journalsystem
-Patientadministrativa system
-Kvalitetsregister
- Patienten själv (PROM)91
2. Tidigare medicinering Läkemedelsregistret (Socialstyrelsens hälsodataregister)
3. Tidigare sjukskrivning Socialförsäkringsdatabasen
(Försäkringskassan)
4. Socioekonomiska uppgifter - Civilstånd - Inkomstnivå - Födelseland - Utbildning - (m.fl.)
Befolkningsdatabaser (SCB)
Observera att såvitt beträffar patientuppgifter om individuell vård och behandling
ur patientjournalsystem och andra patientadministrativa system dessa kan finnas
spridda hos olika vårdgivare för en och samma patient. I Stockholms läns
landsting kan detta mycket väl vara fallet eftersom en större del av både den
öppna och slutna vården bedrivs på entreprenad, medan i Uppsala större delen av
t.ex. den slutna vården är samlad under en och samma nämnd och bedrivs av
landstinget själv. Det erinras också att viss högspecialiserad vård bedrivs enligt
beslut av Socialstyrelsen på vissa fåtal platser (rikssjukvård). Fritt vårdval samt
vårdgarantier kan i sig innebära att patienter vidareremitteras över
sjukvårdshuvudmännens ansvarsområden, varvid journaldokumentationen blir
splittrad hos flera vårdgivare.
C. Patientens vårdkonsumtion och andra utfallsmått följs under och efter avslutad
behandling
Vårdepisodersättningssystemet bygger på komplexa beräkningar och kräver
”finjusteringar” över tid. Det är inte säkert att det förväntade utfallet/den
förväntade kostnaden som låg till grund för paketpriset stämmer. Av det skälet är
det enligt IVBAR nödvändigt att följa patientens faktiska vårdkonsumtion och
vårdproducentens faktiska kostnader över tid, helst under två år från tidpunkten
då VES-ärendet initierades i VES-analysverktyget. Skälet till att följa patientens
91 Patient-reported Outcome Measures. Patientens egna upplevelser av den vård de får är ett sätt att
mäta vårdkvalitet.
IVBAR Juridik 2013-03-28
M. Nymark
102
faktiska vårdkonsumtion är att IVBAR:s vårdepisodbaserade ersättningssystem
innefattar också en rörlig ersättning baserad på hälsoutfallet. Denna ersättning har
påverkan på paketpriset. Om patienten blir klart förbättrad efter behandling
utfaller en ytterligare ersättning. Blir patientens tillstånd oförändrat eller t.o.m.
sämre riskerar vårdgivaren ett avdrag på det tidigare erhållna paketpriset för
vårdepisoden.
För att kunna beräkna/justera paketpriset under och efter behandling krävs
följande uppgifter från angivna datakällor:
1. Faktiskt utfall av vård och behandling
över tid
-Journalsystem
-Patientadministrativa system
-Kvalitetsregister
- Patienten själv (PROM)92
- Socialförsäkringsdatabasen
(Försäkringskassan)
2. Vårdproduktion hos en annan
vårdgivare
-Journalsystem
-Patientadministrativa system
3. Felaktigt utbetalad vårdproduktion -Journalsystem
-Patientadministrativa system
92 Patient-reported Outcome Measures. Patientens egna upplevelser av den vård de får är ett sätt att
mäta vårdkvalitet.b
IVBAR Juridik 2013-03-28
M. Nymark
103
5 Bedömning
5.1 Inledning
I detta avsnitt övervägs i vilken utsträckning gällande rätt medger att en
sjukvårdshuvudman, ett landsting, får behandla personuppgifter om personliga
förhållanden och hälsa med syfte att bestämma en individuell
vårdepisodersättning. Det kan röra sig om personuppgiftsbehandlingar för att
bestämma ersättningen för en vårdproducent som bedriver hälso- och sjukvård på
entreprenad åt huvudmannen med stöd av lagen om valfrihetssystem (LOV). Det
kan också handla om personuppgiftsbehandlingar för att bestämma ersättning till
huvudmannens egna vårdinrättningar och enheter enligt en beställar- och
utförarmodell. I det förstnämnda fallet måste sjukvårdshuvudmannen kunna ta del
av patientuppgifter hos en annan vårdgivare för att kunna bestämma en
vårdepisodersättning före, under och efter behandlingen. Av särskilt intresse för
detta informationsutbyte är den sjukvårdssekretess som normalt råder mellan
vårdgivare. I det andra fallet avser personuppgiftsbehandlingen patientuppgifter
inom huvudmannens verksamhet, varvid sekretess som normalt råder mellan
nämnder också är av intresse för framställningen.
Utgångspunkten är IVBARS:s analysverktyg för vårdepisodbaserad
ersättning, VES-analysverktyget. Analysverktyget spelar dock en mindre roll i
sammanhanget. Analysverktyget är ett verktyg för databehandling av
personuppgifter. Vad som är av betydelse för den fortsatta bedömningen är de
ändamål för vilka personuppgifter behandlas, vad för slags uppgifter det rör sig
om samt vem som avser att behandla personuppgifterna.
Det är också av mindre betydelse i sammanhanget att IVBAR avser göra
vederbörliga behandlingar av personuppgifter för sjukvårdshuvudmännens eller
för andra vårdgivares räkning. IVBAR agerar här som utförare av
personuppgiftsbehandlingar. Om behandlingen som IVBAR utför för landstingets
räkning enligt landstingets instruktioner saknar stöd i gällande rätt, är det
landstinget i egenskap av personuppgiftsansvarig som riskerar att drabbas av ett
förbud mot fortsatt behandling meddelat av Datainspektionen eller ett
skadeståndskrav från registrerad. Det är alltså sjukvårdshuvudmännens och
enskilda vårdgivares lagliga förutsättningar att behandla personuppgifter för
ändamålet vårdepisodbaserad ersättning som ska prövas, inte IVBAR:s
behandling åt huvudmannen eller vårdgivaren enligt uppdrag eftersom IVBAR i
detta läge faktiskt inte bestämmer över ändamålen med och medlen för
behandlingen.
Det finns anledning att inledningsvis erinra om två förhållanden som spelar en
inte obetydlig roll i sammanhanget. Det ena är att sjukvårdshuvudmännen enligt 5
§ andra stycket HSL är skyldiga att organisera primärvården så att alla som är
bosatta inom landstinget kan välja utförare av hälso- och sjukvårdstjänster
IVBAR Juridik 2013-03-28
M. Nymark
104
(vårdvalssystem). Landstinget får enligt bestämmelsen inte begränsa den enskildes
val till ett visst geografiskt område inom landstinget. Enligt tredje stycket i samma
paragraf ska vårdvalssystemet utformas så att alla utförare behandlas lika, om det
inte finns skäl för annat. Ersättningen från landstinget till utförare inom ett
vårdvalssystem ska följa den enskildes val av utförare. Av fjärde stycket framgår
att genomförande av ett valfrihetssystem inom primärvården ska ske enligt
bestämmelserna i lagen (2009:962) om valfrihetssystem. Det står landstingen fritt
att även tillämpa LOV inom den slutna hälso- och sjukvården, dvs. sjukhusbunden
hälso- och sjukvård.
Att landstinget tvingas att lägga ut hälso- och sjukvården på privata utförare
som uppfyller kriterierna för landstingets vårdvalssystem innebär att vårdgivaren
inte kan direkt styra och kontrollera vårdkvaliteten i enlighet med HSL:s och
patientsäkerhetslagens krav. Det andra väsentliga förhållandet hänger samman
med ändringar som infördes i HSL 1997 och som medförde krav på att
sjukvårdhuvudmännen och andra vårdgivare följer upp verksamheten. Bl.a.
föreskrevs att ledningen av hälso- och sjukvård skall vara organiserad så att den
tillgodoser hög patientsäkerhet och god kvalitet i vården samt främjar
kostnadseffektivitet (28 §). Det sistnämnda kravet motiverades bl.a. med att hälso-
och sjukvården till övervägande del är finansierad med allmänna medel, vilket
medför att krav kan ställas på att medlen används på bästa möjliga sätt (prop.
1995/96:176 s. 56 f.). Vidare infördes en skyldighet för alla vårdgivare att
systematiskt och fortlöpande utveckla och säkra hälso- och sjukvårdens kvalitet,
dvs. att bedriva kvalitetssäkring (31 §).
Beskrivnings- och ersättningssystemen fungerar här i stort som indirekta styr-
och kontrollinstrument för landstinget för att åstadkomma bästa möjliga
hälsoutfall med lägsta möjliga resursförbrukning hos en utförare som bedriver
hälso- och sjukvård på uppdrag av landstinget. Det är en viktig omständighet vid
en prövning av lagenligheten av behandling av personuppgifter för ändamålet
vårdepisodbaserad ersättning.
Bedömningen inleds med granskning av sjukvårdshuvudmannens rättsliga
förutsättningar att behandla patientuppgifter i egna system för ändamålet
vårdepisodbaserad ersättning för att sedan övergå till att överväga huvudmannens
möjligheter att med stöd av gällande rätt sambearbeta sådana uppgifter med
uppgifter hos andra aktörer, t.ex. SCB och Försäkringskassan. Bestämmelser om
sekretes och tystnadsplikt övervägs i anslutning till varje slag av
personuppgiftsbehandling som är föremål för bedömning.
5.2 Sjukvårdshuvudmannens rättsliga möjligheter att behandla
patientuppgifter för att bestämma vårdepisodbaserad ersättning
IVBAR Juridik 2013-03-28
M. Nymark
105
5.2.1 Sjukvårdshuvudmannens behandling av patientuppgifter inom den egna förvaltningen för ekonomiadministrativa ändamål m.m.
I det avsnitt övervägs i vilken utsträckning en sjukvårdshuvudmans äger rätt att på
central nivå maskinellt behandla patientuppgifter i den egna verksamheten som är
nödvändig för ekonomiadministrativa ändamål, t.ex. för att fastställa ersättning till
vårdenheter och följa upp deras kostnader inom ramen för en beställar- och
utförarorganisation.
På behandling av personuppgifter inom hälso- och sjukvården är
patientdatalagen (2008:335) tillämplig. Enligt 1 kap. 1 § patientdatalagen (PDL)
är emellertid lagen bara tillämplig på vårdgivares behandling av personuppgifter
inom hälso- och sjukvården. Med vårdgivare avses enligt 1 kap. 3 § PDL statlig
myndighet, landsting och kommun i fråga om sådan hälso- och sjukvård som
myndigheten, landstinget eller kommunen har ansvar för (offentlig vårdgivare)
samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och
sjukvård (privat vårdgivare).
Enligt 2 kap. 4 § PDL första stycket 2 får en vårdgivare behandla
personuppgifter om det behövs för administration som rör patienter och som
syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda
fall. Av förarbetena framgår att bestämmelsen avser sådan dokumentation som
faller vid sidan av skyldigheten att föra journal, t.ex. patientrelaterad
ekonomiadministration som annan administration som behövs för eller föranleds
av vård i enskilda fall (prop. 2007/08:126 s. 57 och 228). Det rör sig således om
uppgifter som mycket väl kan förekomma i andra system än journalsystemet.
Därför avses enligt förarbetena med detta ändamål inte bara själva insamlingen
och registreringen av personuppgifterna utan även senare användning av de
registrerade uppgifterna i den omfattning som behövs i patientvården eller
patientadministrationen. Behandling av personuppgifter som är nödvändiga för att
beräkna eller följa upp kostnader hänförliga till individuell vård och behandling är
således en tillåten behandling av personuppgifter enligt patientdatalagen, förutsatt
att de grundläggande kraven i 9 § personuppgiftslagen är uppfyllda, bl.a. kravet att
bara relevanta personuppgifter i förhållande till ändamålet får behandlas.
Enligt 2 kap. 4 § första stycket 5 och 6 PDL får en vårdgivare behandla
personuppgifter om det är nödvändigt för administration, planering, uppföljning,
utvärdering och tillsyn av verksamheten eller för att framställa statistik om hälso-
och sjukvården. Det följer av 28 § HSL att ledningen av hälso- och sjukvård ska
vara organiserad så att den tillgodoser hög patientsäkerhet och god kvalitet i
vården samt främja kostnadseffektivitet. Genom dessa bestämmelser finns det
således ett författningsreglerat krav på vårdgivare inom hälso- och sjukvården att
fortlöpande följa upp och utvärdera verksamheten. Enligt Socialstyrelsens
föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för
systematiskt kvalitetsarbete ska vårdgivare ha ändamålsenliga kvalitetssystem för
bl.a. egenkontroll i sin verksamhet.
IVBAR Juridik 2013-03-28
M. Nymark
106
Uppföljning, utvärdering och planering kan ske i många former och med olika
metoder. Behandling för sådana ändamål utesluter inte enligt patientdatalagen
användning av individuppgifter. Inget hindrar heller att personuppgifter som
samlats in och behandlas för det primära ändamålet vårddokumentation också
behandlas för dessa ändamål som ett slags sekundärt ändamål. Mot bakgrund av
det anförda är ett landstings behandling av personuppgifter om exempelvis
vårdåtgärder och kostnader hänförliga till sådana åtgärder, liksom budgetering av
utgifter och inkomster för hälso- och sjukvård en tillåten behandling enligt
patientdatalagen, förutsatt att personuppgiftslagens grundläggande krav i 9 § är
uppfyllda.
En vårdgivare får alltså enligt patientdatalagen registrera personuppgifter,
därefter behandla dessa för patientadministrativa ändamål eller systematisk
uppföljning samt ”återanvända” dem i den individbaserade patientvården på nytt i
den omfattning som behövs. Denna ”crossover” av användning av personuppgifter
för olika ändamål är fullt tillåten inom en (1) vårdgivares verksamhet, oavsett om
det rör sig om ett landsting eller en mindre privat klinik, och kräver inte patientens
samtycke enligt patientdatalagen. Vårdgivaren behöver inte heller beakta i t.ex.
sin verksamhetsuppföljning att vissa uppgifter i journalen kan vara spärrade av
patienten.
5.2.2 Sjukvårdshuvudmannens behandling av patientuppgifter som härrör från andra vårdgivare för ekonomiadministrativa ändamål m.m.
I föregående stycke konstateras att en sjukvårdshuvudman, ett landsting eller en
region, på central nivå, t.ex. i landstingsstaben, får maskinellt behandla
patientuppgifter som härrör från de olika förvaltningarna i organisationen för en
mängd olika sekundära ändamål, bl.a. uppföljning, utvärdering, planering,
administration och statistik. Sjukvårdshuvudmannen behöver inte patientens
samtycke för sådana personuppgiftsbehandlingar, men huvudmannen bör i så stor
utsträckning som möjligt givetvis avhålla sig från att använda individbaserade
uppgifter. Men det finns inget uttryckligt förbud i patientdatalagen att använda
uppgifter på individnivå, dvs. namn och personnummer.
Faktum är att patientdatalagen inte begränsar en vårdgivare från att behandla
”egna” patientuppgifter tillsammans med uppgifter från en annan vårdgivare för
exempelvis ändamålet ekonomiadministration, förutsatt att behandlingen är
nödvändig för vårdgivarens verksamhet samt att uppgifterna är relevanta för
ändamålet. Det är inte en ovanlig företeelse egentligen när man betänker all den
administration som följer av att patienter remitteras eller vidareremitteras mellan
olika vårdgivare. Till följd härav uppstår ekonomiska transaktioner mellan
berörda vårdgivare, vilka ekonomiadministrativa uppgifter sammanställs och
bearbetas på central nivå hos envar vårdgivare.
Sammanfattningsvis får således en sjukvårdshuvudman – på central nivå –
IVBAR Juridik 2013-03-28
M. Nymark
107
med stöd av patientdatalagen behandla patientuppgifter som härrör från andra
vårdgivare för ekonomiadministrativa ändamål, t.ex. för att beräkna en
vårdepisodbaserad ersättning före, under och efter en behandling av en patient,
utan att behöva inhämta patientens samtycke. Behandlingen ska dock vara
nödvändig med utgångspunkt från krav i hälso- och sjukvårdslagstiftningen, t.ex.
kravet på en god och säker vård samt kostnadseffektivitet i hälso- och sjukvården.
Vidare får sjukvårdshuvudmannen enbart behandla relevanta uppgifter för
ändamålet.
5.2.3 Sekretess och tystnadsplikt mellan nämnder i ett landsting och mellan vårdgivare
Det råder ingen sekretess mellan nämnder i ett landsting
Enligt 3 kap. 3 § kommunallagen (1991:900) ska fullmäktige tillsätta de nämnder
som utöver styrelsen behövs för att fullgöra kommunens eller landstingets
uppgifter enligt särskilda författningar och för verksamheten i övrigt. En nämnd är
enligt regeringsformen en förvaltningsmyndighet.
Enligt 8 kap. 2 § offentlighets- och sekretesslagen (OSL) gäller sekretess
mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som
självständiga i förhållande till varandra. Ur sekretessynpunkt utgör
verksamhetsuppföljning, planering m.m. inom en myndighet dock inte egna
verksamhetsgrenar som är självständiga i förhållande till linjeverksamheten inom
samma myndighet på det sätt som avses i 8 kap. 2 § OSL. Denna tolkning
tydliggörs i förarbetena till lagen (2005:787) om behandling av personuppgifter i
Tullverkets brottsbekämpande verksamhet, där regeringen framhöll att planering,
uppföljning och utvärdering av verksamheten i fråga måste anses vara en så
integrerad del av själva verksamheten att de inte kan ses som en fristående
aktiviteter. Att personuppgifter, som får behandlas för vissa angivna ändamål i
den föreslagna regleringen för Tullverkets behandling av personuppgifter i
brottsbekämpande verksamhet, även får behandlas för planering m.m. är – enligt
regeringen – så självklart att det inte behöver anges som eget ändamål.93
Däremot finns det enligt huvudregeln i 8 kap. 1 § OSL en sekretessgräns
mellan olika nämnder i ett landsting eller i en kommun eftersom de ju är att
betrakta som olika myndigheter. Vidare kan viss hälso- och sjukvård ha
bolagiserats i sådana kommunala företag som avses i 2 kap. 3 § OSL. Enligt
huvudregeln gäller sekretess inte bara mellan olika nämnders vårdinrättningar
utan även mellan nämndernas och kommunala företags vårdinrättningar. De kan
alltså inte utbyta uppgifter utan en föregående sekretessprövning. Utrymmet för
utlämnande av patientuppgifter mot bakgrunden av att den starka hälso- och
93 Prop. 2004/05:164 s. 66.
IVBAR Juridik 2013-03-28
M. Nymark
108
sjukvårdssekretessen (25 kap. 1 § OSL) innebär emellertid att utlämnande kan ske
enbart med patientens medgivande.
Numera utgör dock sekretessgränsen mellan nämnder inget hinder för
verksamhetsuppföljning på central nivå genom gemensam behandling av
personuppgifter som härrör från olika nämnder och kommunala företags
verksamheter hos ett och samma landsting. Enligt 25 kap. 11 § första och andra
punkten OSL hindrar inte sekretess att uppgifter som normalt omfattas av hälso-
och sjukvårdssekretess lämnas från en myndighet som bedriver hälso- och
sjukvårdsverksamhet till en annan sådan myndighet i samma landsting eller
kommun. Dessa sekretessbrytande bestämmelser föreslogs ursprungligen av
Patientdatautredningen (SOU 2006:82) med anledning av att den frihet landsting
och kommuner har att organisera sin verksamhet hade inneburit komplexa
organisationer som skapat ”hårda” sekretessgränser mellan förvaltningarna som
förhindrade informationsutbyte, vilket inte var syftet med denna frihet enligt
kommunallagens bestämmelser.
Det råder inte heller sekretess mellan en nämnd i ett landsting och ett kommunalt
vårdbolag
Av 2 kap. 3 § OSL följer även att kommunala företag, dvs. bolag, föreningar och
stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande
inflytande, är att jämställa med myndigheter.94
Med stöd av den sekretessbrytande
bestämmelsen i 25 kap. 11 § första punkten OSL är det således bl.a. möjligt att
utan hinder av sekretess lämna ut uppgifter från ett kommunalt bolag i vilket ett
landsting äger mer än 50 procent av aktierna till den nämnd eller de nämnder i
landstinget som fullgör landstingets uppgifter när det gäller hälso- och sjukvård.
Exempelvis kan olika journal- och patientadministrativa system som finns
utspridda i landstinget samköras även om något system hör till ett
landstingskommunalt företag så länge syftet är verksamhetsuppföljning. Det
sagda förutsätter förstås att patientdatalagens och personuppgiftslagens övriga
bestämmelser följs, t.ex. att uppgifter som kan härledas till en patient bara får
användas om det verkligen behövs för att göra uppföljningen ändamålsenlig (se
ovan). Det torde sakna betydelse om det närmare syftet med att följa upp
verksamheten tar sikte på t.ex. den medicinska kvaliteten i vården eller på
verksamhetens kostnadseffektivitet.95
Undantaget från sekretess enligt 25 kap. 11 § första och andra punkten OSL
gäller däremot inte i förhållande till gemensamma nämnder inom vård- och
omsorgsområdet, jfr lagen (2003:192) om gemensam nämnd inom vård- och
omsorgsområdet, eller i förhållande till kommunalförbund, som är en särskild,
offentligrättslig juridisk person för samarbete mellan kommuner.
94 Se prop. 2007/08:126 s. 270. 96 Jfr prop. 1981/82:186 s. 38, prop. 1988/89:67 s. 11, prop. 1990/91:14 s. 85 och prop.
1990/91:111 s. 24.
IVBAR Juridik 2013-03-28
M. Nymark
109
Gällande rätt tillåter inte i dagsläget att en privat vårdgivare (där landstinget
inte har aktiemajoritet) lämnar ut patientuppgifter till ett landsting. Ett utlämnande
av hälsorelaterade personuppgifter kräver patientens samtycke. Detta krav gäller
även om den privata vårdgivaren bedriver vård på uppdrag av landstinget. Även
det omvända gäller, dvs. en vårdenhet inom landstinget får inte lämna ut
hälsorelaterade personuppgifter till en privat vårdgivare. Det följer av
ordalydelsen i 25 kap. 11 § första och andra punkten OSL samt bestämmelserna
om tystnadsplikt i 6 kap. 12 – 14 §§ patientsäkerhetslagen.
Inre sekretess i form av patientspärrar enligt patientdatalagen begränsar inte
utbyte av uppgifter inom en vårdgivare för central verksamhetsuppföljning
Utöver sekretessgränsen mellan självständiga verksamhetsgrenar finns det i dag
inte någon regel i sekretesslagen som hindrar att uppgifter utbyts inom en
myndighet. I allmänhet har det ansetts vara självklart att uppgifter som omfattas
av sekretess får lämnas mellan befattningshavare hos en myndighet i den
utsträckning som är normal och behövlig för ett ärendes handläggning eller för
verksamhetens bedrivande i övrigt. Därutöver har det ansetts närmast vara en etisk
fråga i vilken utsträckning hemliga uppgifter kan röjas inom en myndighet eller en
verksamhetsgren. Det har förutsatts att möjligheten att utbyta uppgifter inom en
myndighet eller verksamhetsgren utnyttjas med omdöme.96
Det är denna form av
begränsning som brukar betecknas som den inre sekretessen. Den inre sekretessen
är inte reglerad i OSL. Däremot regleras den normalt i registerförfattningar, bl.a.
när det gäller direktåtkomst. Det är brukligt att ange kretsen av personer som får
använda direktåtkomst och under vilka förutsättningar. Se 4 kapitlet i
patientdatalagen som har rubriken Grundläggande bestämmelser om inre sekretess
[…].
Det bör för tydlighetens skull framhållas igen att patienten inte har rätt att
begränsa en (1) vårdgivares användning av uppgifter om honom eller henne själv
för verksamhetsuppföljning som motsvarar den rätt som patienten enligt
patientdatalagen har att kunna spärra uppgifter från åtkomlighet för en större krets
av hälso- och sjukvårdpersonal för ändamålet vård och behandling. I detta fall
anser lagstiftaren att det allmännas intresse väger tyngre än den enskildes intresse
av största möjliga integritetsskydd. Av patientdatalagens bestämmelser om
patientens möjlighet att begränsa elektronisk åtkomst (spärra) framgår klart att
begränsningen enbart får avse individuell vård och behandling (4 kap. 4 §). Inte
nyttjande av elektronisk åtkomst för t.ex. ändamålet verksamhetsuppföljning eller
kvalitetssäkring.
Patientens önskemål om utlämnande av journaluppgifter ska respekteras
96 Jfr prop. 1981/82:186 s. 38, prop. 1988/89:67 s. 11, prop. 1990/91:14 s. 85 och prop.
1990/91:111 s. 24.
IVBAR Juridik 2013-03-28
M. Nymark
110
Även om ingen sekretess gäller mellan hälso- och sjukvårdsmyndigheter i samma
landsting eller kommun, liksom spärrar inte hindrar verksamhetsuppföljning
genom elektronisk åtkomst, måste en patients uttryckliga önskemål om att
uppgifter om honom eller henne inte fritt ska lämnas till en annan myndighet inom
kommunen eller landstinget normalt respekteras på motsvarande sätt som gäller
t.ex. mellan olika kliniker inom en myndighet.97
Detta hänger samman med kravet
i HSL att patientens självbestämmande och integritet ska respekteras av en
vårdgivare. Alla erbjudanden om hälso- och sjukvård, bortsett från tvångsvård
enligt särskilt lagstöd, är frivilliga erbjudanden för patienten.
Patientuppgifter i förvar hos en privat vårdgivare anses inte utlämnade till ett
landsting när landstinget behandlar dem för vårdgivarens räkning
Det förekommer att landstinget behandlar med stöd av ett
personuppgiftsbiträdesavtal patientuppgifter för privata vårdgivares räkning.
Parterna kan träffa överenskommelser, t.ex. inom ramen för landstingens och
regionernas valfrihetssystem, att vårdentreprenören får nyttja landstingets journal-
och patientadministrativa system för att förenkla exempelvis distribution mellan
landstinget och den privata vårdutföraren av elektroniska remisser eller annan
elektronisk kommunikation. Frågan är om den privata vårdgivaren i dessa fall i
juridisk mening har lämnat ut patientuppgifter till landstinget, och därmed brutit
mot den starka hälso- och sjukvårdssekretess som normalt råder för uppgifterna.
Handlingar hos myndigheter omfattas av tryckfrihetsförordningens (förkortad
TF) bestämmelser om bl.a. handlingsoffentlighet. Handlingsoffentligheten syftar
till att främja insyn i den offentliga förvaltningen samt ett fritt meningsutbyte. En
handling hos en myndighet är offentlig, dvs. allmän, om den är förvarad hos
myndigheten och är att anse som inkommen till eller upprättad hos myndigheten.
Bestämmelser om allmänna handlingar finns i 2 kap. TF. Med handling enligt TF
förstås framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas
eller på annat sätt uppfattas endast med tekniskt hjälpmedel. Enligt 2 kap. 7 § TF
är bl.a. diarium eller journal som förs löpande hos en myndighet en allmän
handling.
En kommunal nämnd är en förvaltningsmyndighet. Som regel blir alla
handlingar som inkommer till nämnden allmänna handlingar enligt TF. Det gäller
även elektroniska handlingar som inkommer till myndigheten. Frågan är om de
handlingar som privata vårdgivare inom ramen för ett nyttjande av landstingets
journalsystem med automatik blir det allmännas ”egendom” enligt TF och kan
begäras utlämnade av vem som helst.
Av tryckfrihetsförordningen följer emellertid att handlingar som kommer in
till eller finns hos en myndighet endast för teknisk bearbetning eller teknisk
lagring för någon annans räkning är inte allmänna handlingar hos den
myndigheten (2 kap 6 § 3 stycket och 2 kap 10 § 1 stycket TF). De privata
97 Se prop. 2007/08:126 s. 166.
IVBAR Juridik 2013-03-28
M. Nymark
111
vårdgivarnas patientuppgifter blir således inte enligt nämnda
undantagsbestämmelser i TF allmänna handlingar genom ett
personuppgiftsbiträdesavtal, trots att de lämnas ut till nämnden. Det innebär att
nämnden inte behöver beakta arkivlagens bestämmelser för uppgifterna. Inte
heller behöver nämnden pröva en begäran från enskild om att få ta del av
uppgifterna med stöd av TF eftersom de inte anses förvarade hos myndigheten,
utan anses alltjämt förvarade hos de privata vårdgivarna. Uppgifterna har så att
säga i rättslig mening egentligen aldrig lämnats ut till nämnden. I motsvarande
mån varken kan eller får nämnden använda de privata vårdgivarnas
patientuppgifter. För att det alls ska vara möjligt krävs att de privata vårdgivarna
lämnar ut uppgifterna. Som regel krävs patientens samtycke, såvida det rör sig om
individbaserade hälsorelaterade uppgifter. Harmlösa, administrativa uppgifter
däremot som saknar hälsouppgifter torde kunna lämnas ut efter en menprövning.
5.2.4 Valfrihet och konkurrens i hälso- och sjukvården hämmas av gällande
bestämmelser om sekretess och tystnadsplikt
De verksamheter som bedriver sjukvård behöver alla ha tillgång till rätt
information om invånarna, för att kunna ge bästa möjliga vård i varje situation.
Sjukvårdshuvudmannen som har ansvar för befolkningen i området och
finansierar verksamheterna, oavsett om de drivs i offentlig eller i privat regi,
behöver ha tillgång till rätt uppgifter för att kunna kartlägga befolkningens hälsa
och behov av insatser men även för att kvalitetssäkra verksamheten och dess olika
processer alldeles oavsett om individens vårdprocess har passerat offentliga och
privata aktörer.
Dagens regelverk utgår ifrån organisatoriska gränser. Varje gång ett landsting
eller en kommun möjliggör för en privat aktör att bedriva hälso- och sjukvård med
offentlig finansiering reses automatiskt en sekretessgräns i förhållande till den
verksamheten; en gräns som inte finns om huvudmannen själv skulle utföra
verksamheten; en gräns som försvinner om huvudmannen i ett senare skede återtar
driften av verksamheten. Sjukvårdshuvudmannens anlitande av privata aktörer
medför även att olika regler för informationshantering ska tillämpas i förhållande
till den privata verksamheten och den verksamhet som huvudmannen själv utför.
Det finns ett antal negativa konsekvenser av detta, både för individinriktad
verksamhet och för kvalitetsutveckling. För individen blir bilden även
svårförståelig och på sikt kan det även ifrågasättas om patienten kan använda sin
rätt att välja vård och vara garanterad en säker sådan.
Problembilden kompliceras av att sjukvårdshuvudmännen har en skyldighet
enligt 5 § HSL en att organisera primärvården så att alla som är bosatta inom
landstinget kan välja utförare av hälso- och sjukvårdstjänster samt få tillgång till
och välja en fast läkarkontakt. Dylika vårdvalssystem eller patientvalssystem kan
även tillämpas inom andra verksamheter än primärvården med stöd av lagen om
valfrihetssystem. Sett till landet som helhet kan nämnas att antalet vårdcentraler
IVBAR Juridik 2013-03-28
M. Nymark
112
som drivs av privata utförare har mer än fördubblats efter vårdvalsreformen 2009.
Det har skett dels genom att nya vårdcentraler har etablerats men framför allt
genom att vårdcentraler som tidigare drivits i offentlig regi numera drivs i privat
regi. Av det totala antalet vårdcentraler drivs nästan hälften av privata utförare.
Den största utvecklingen har skett efter 2009. Siffror från Myndigheten för
tillväxtpolitiska utvärderingar och analyser visar att antalet vårdcentraler innan
vårdvalet infördes var 1022 och av dem drevs 288 i privat regi. År 2011 finns det
1213 vårdcentraler i landet och av dem drivs nu 602 i privat regi. Privatiseringen
av primärvården har därmed gått i en väldig takt mellan 2009 och 2011.
Statsmaktens strävan mot allt större valfrihet och konkurrens i hälso- och
sjukvården genom bl.a. reformen med vårdvalssystem inom primärvården främjas
dock inte av gällande sekretessbestämmelser när det gäller
sjukvårdshuvudmannens möjligheter att styra och kontrollera vårdproducentens
drift av offentligt finansierad vård.
Det rådande regelverk för således med sig att möjligheterna till en effektiv
och säker informationshantering är mycket beroende av hur hälso- och sjukvården
har organiserat sig. Ett landsting eller en kommun med få privata aktörer har idag
väsentligt bättre förutsättningar till en ändamålsenlig informationshantering än
landsting och kommuner med många privata aktörer i den offentligt finansierade
verksamheten. Som exempel kan nämnas Linköpings kommun där hälso- och
sjukvården till stor del utförs i privat regi, t.ex. 70 % i äldreomsorgen och 50 %
inom psykiatrin. På den kommunala sidan har mångfalden även ökat i takt med
växlingar av hemsjukvården och införande av valfrihetssystem. Det bidrar till att
hindra utvecklingen mot en jämlik vård.
De huvudsakliga begränsningarna finns i både offentlighets- och
sekretesslagens och patientsäkerhetslagens bestämmelser. Dessa bestämmelser
ligger alltså inte i linje med de politiska initiativen kring ökad mångfald, större
valfrihet för invånarna och tydligare fokus på folkhälsa och prevention. Men
begränsningarna finns även i patientdatalagens bestämmelser om kvalitetsregister
som behandlas i avsnitt 5.3. Även om det inte utvecklas här, kan kort nämnas att
dagens regelverk medför konsekvenser för sjukvårdshuvudmännens möjligheter
att skapa bättre resultat för patienter i vårdprocesser över vårdgivargränser genom
användning av regionala och nationella kvalitetsregister. För ett landsting som
t.ex. Norrbotten, där patientens resa börjar på vårdcentralen i Kiruna och fortsätter
till länsdelssjukhuset i Gällivare för att sedan avslutas på länssjukhuset i
Sunderbyn, finns möjligheter att i ett kvalitetsregister följa och kvalitetssäkra
patientens väg genom vårdsystemet. Detta eftersom såväl vårdcentralen som
sjukhusen drivs av landstinget. För ett landsting där vårdcentralen eller något av
sjukhusen drivs i privat regi med offentlig finansiering saknas dock landstinget
möjligheter till en effektiv och ändamålsenlig kvalitetssäkring, t.ex. i form av en
vårdepisodbaserade ersättning. Offentlighets- och sekretesslagstiftningen och
patientsäkerhetslagen reser tillsammans med patientdatalagen hinder för t.ex. det
finansierade landstinget att hantera patientuppgifter över vårdgivargränser för
IVBAR Juridik 2013-03-28
M. Nymark
113
detta ändamål. Motsvarande problem gör sig även gällande i exempelvis
rikssjukvården och i äldreomsorgen.
Under 2011 presenterade Riksrevisionen sin rapport Rätt information vid rätt
tillfälle inom vård och omsorg – samverkan utan verkan?(RiR 2011:19). I
rapporten granskas de statliga insatserna som gjorts för att vårdpersonal ska ha
tillgång till all relevant patientinformation vid rätt tillfälle. Riksrevisionen anför i
granskningen att vårdens organisering har kommit att bli avgörande för
informationsutbytet. Bl.a. följande framförs.
”Regeringen har som ambition att öka andelen privata aktörer inom vård och
omsorg. Med flera aktörer blir det allt viktigare att säkerställa ett effektivt utbyte av
information över organisationsgränserna. Det har i granskningen framkommit att
organiseringen får konsekvenser för hanteringen av patientinformation. Granskningen
visar att det i ett landsting med få vårdgivare är enklare att få tillgång till
patientinformation då patientdatalagen ställer hårdare krav vid informationsutbyte mellan
olika vårdgivare än inom en vårdgivare.”
Mot den bakgrunden rekommenderade Riksrevisionen regeringen att analysera de
konsekvenser som det ökade antalet privata vårdgivare får för målet att behörig
personal ska ha rätt information vid rätt tillfälle och överväga om det behövs
någon ytterligare författningsreglering.
På grund av det anförda och vid en sammantagen bedömning konstateras att
offentlighets- och sekretesslagens bestämmelser hämmar utvecklingen av
vårdepisodbaserade ersättningssystem och innebär betydande problem för
sjukvårdshuvudmannen att kunna bestämma en ersättning med hjälp av
vårdproducenters patientadministrativa uppgifter. Problemen accentueras ju fler
valfrihetssystem och privata aktörer som etableras inom sjukvårdshuvudmannens
ansvarsområde. Statsmaktens främjande och stimulering av valfrihet och
ersättningssystem går inte i takt med gällande sekretessbestämmelser. Det finns
således ett identifierat behov av en reformerad sekretesslagstiftning på hälso- och
sjukvårdens område som går i takt med nämnda reformer.
Utredningen om rätt information i vård och omsorg bör snarast underrättas om
identifierade problem eftersom utredningens direktiv rymmer ett mandat att
adressera och föreslå ändringar på aktuellt sekretessområde (dir 2011:111).
5.3 Sjukvårdshuvudmannens rättsliga möjligheter att med stöd av
uppgifter ur kvalitetsregister följa upp, ekonomiskt ersätta och styra
offentliga och privata vårdproducenter
Nationella kvalitetsregister bygger på att personuppgifter om patienter samlas in
från flera vårdgivare och möjliggör jämförelser inom hälso- och sjukvården på
nationell nivå. Registreringen är frivillig för både vårdgivare och patienter.
IVBAR Juridik 2013-03-28
M. Nymark
114
Kvalitetsregister regleras av patientdatalagen (2008:355), som bland annat
innehåller bestämmelser om information till patienter, vad uppgifter får användas
till, vem som ansvarar för uppgifterna, hur länge uppgifter får sparas och vilken
tillgång vårdgivare får ha till sina egna uppgifter. I dagsläget finns omkring 70-80
nationella kvalitetsregister.
Regionala och nationella kvalitetsregister är nödvändiga kunskapskällor för
beräkning av ett vårdepisodbaserat paketpris. Kvalitetsregister behövs för att en
sjukvårdshuvudman ska kunna med hjälp av IVBARS:s analysverktyg för
vårdepisodersättning, VES-analysverktyget, beräkna bl.a. resursåtgång,
komplikationsrisk, hälsoutfall och processmått för varje enskild patient. Patientens
egen rapportering av hälsoutfallet, liksom vårdgivarens rapportering om
resultatmått, behövs också för att justera den hälsoutfallsbaserade ersättningen
som utbetalas efter genomförd vårdåtgärd.
Frågan är om en huvudman för ett regionalt eller nationellt kvalitetsregister
får lämna ut personuppgifter till en sjukvårdshuvudman för beräkning av en
individbaserad vårdepisodersättning till en vårdproducent, t.ex. en privat
vårdgivare, som utför offentligt finansierad hälso- och sjukvård på huvudmannens
vägnar?
I detta avsnitt granskas frågan om utlämnande av uppgifter ur kvalitetsregister
för att bestämma vårdepisodersättning med utgångspunkt från gällande rätt. I
framställningen övervägs inledningsvis i vilken utsträckning personuppgifter i ett
regionalt eller nationellt kvalitetsregister får behandlas helt eller delvis
automatiserat för individbaserade vårdepisodersättningar. Därefter analyseras
utlämnande av personuppgifter från ett kvalitetsregister till en sjukvårdshuvudman
med beaktande av gällande bestämmelser om sekretess och tystnadsplikt.
5.3.1 Får en sjukvårdshuvudman använda uppgifter i ett regionalt eller
nationellt kvalitetsregister för att följa upp, ekonomiskt ersätta och styra
utförare av offentligt finansierad hälso- och sjukvård med hjälp av ett ersättningssystem?
Som förklarats tidigare i framställningen innebär vårdepisodbaserad ersättning att
landstingets beställarorganisation behöver beräkna ett paketpris för en
vårdproducent inom ramen för exempelvis ett patientvalssystem. Ersättningen till
vårdproducenten är anpassad till patienten ifråga. Det finns även en rörlig del i
paketpriset som justeras beroende på hälsoutfallet efter en behandlingsåtgärd, t.ex.
en operation. Både när det gäller att fastställa paketpriset och att justera priset i
efterhand beroende på hälsoutfall, behöver sjukvårdshuvudmannen uppgifter om
patienten. Sjukdomshistorik finns normalt i landstingets journalsystem eller
patientadministrativa system. Som framgått av föregående avsnitt kan sådana
uppgifter lämnas ut mellan de olika förvaltningarna inom ett landsting utan hinder
av sekretess förr ekonomiadministrativa ändamål i enlighet med patientdatalagen.
IVBAR Juridik 2013-03-28
M. Nymark
115
Patientuppgifter kan också utväxlas mellan en landstingsnämnd och ett
kommunalt bolag som bedriver vård om landstinget har ett väsentligt inflytande i
bolagets verksamhet.
När det dock gäller de privata vårdgivare som etablerar sig inom ramen för ett
vårdvalssystem, får dessa inte lämna patientuppgifter till sjukvårdshuvudmannen
utan patientens medgivande (se avsnitt 5.2.4). Det saknar betydelse att de bedriver
vård på uppdrag av landstinget.
5.3.2 Sjukvårdshuvudmannens rättsliga möjligheter att använda uppgifter i ett
regionalt eller nationellt kvalitetsregister för att följa upp, ekonomiskt
ersätta och styra offentligt finansierad hälso- och sjukvård med hjälp av
ett ersättningssystem?
Enligt patientdatalagen får personuppgifter i kvalitetsregister behandlas för det
primära ändamålet att ”systematiskt och fortlöpande utveckla och säkra vårdens
kvalitet”. Det primära syftet med regionala och nationella kvalitetsregister är
således att följa upp medicinsk och annan kvalitet i själva vårdinsatserna. Med
vård avses enligt förarbetena individinriktad patientverksamhet, dvs. vård,
undersökning och behandling inom hälso- och sjukvården.
Begreppet kvalitet förekommer i flertalet författningar inom hälso- och
sjukvården. Kvalitetsarbete, kvalitetsutveckling och kvalitetssäkring är exempel
på några vanligt förekommande uttryck. Begreppen förekommer även i
registerförfattningar. Förutom patientdatalagen kan nämnas lagen (1998:543) om
hälsodataregister. Enligt 3 § får personuppgifter i ett hälsodataregister behandlas
för uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård.
Av 2 kap. 1 § Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2009:11)
om ledningssystem för systematiskt kvalitetsarbete framgår att med kvalitet menas
i författningen ”att en verksamhet uppfyller de krav och mål som gäller för
verksamheten enligt lagar och andra föreskrifter om hälso- och sjukvård,
socialtjänst och stöd och service till vissa funktionshindrade och beslut som har
meddelats med stöd av sådana föreskrifter.” I förarbetena till hälsodatalagen anges
att kvalitetssäkring är en utvärderingsprocess i vilken man fortlöpande och
systematiskt beskriver, mäter och värderar kvaliteten i den egna verksamheten i
relation till de mål som har lagts fast (prop. 1997/98:108 s. 50). Kvalitetssäkring
eller kvalitetsutveckling innefattar alltså alltid någon form av uppföljning eller
utvärdering samt en metod och kvalitetsmått. Det finns inga tydliga
gränsdragningar mellan exempelvis kvalitetsarbete och verksamhetsuppföljning.
Dessa är överlappande (prop. 2007/08:126 s. 58).
Fråga är om beräkning av vårdepisodbaserad ersättning till en vårdproducent
ryms inom det primära ändamålet för kvalitetsregister, dvs. om personuppgifter i
ett kvalitetsregister får lagenligt lämnas ut av huvudmannen för ett
kvalitetsregister till ett landsting för beräkning av sådan ersättning.
IVBAR Juridik 2013-03-28
M. Nymark
116
Verksamhetsuppföljning i olika former har bedrivits av
sjukvårdshuvudmännen, dvs. landstingen och kommunerna, och andra vårdgivare
sedan länge, såväl på övergripande ledningsnivå som på verksamhetsnivå. År
1997 infördes emellertid ändringar i HSL som medförde krav på att
sjukvårdhuvudmännen och andra vårdgivare följer upp verksamheten. Bl.a.
föreskrevs att ledningen av hälso- och sjukvård skall vara organiserad så att den
tillgodoser hög patientsäkerhet och god kvalitet i vården samt främjar
kostnadseffektivitet (28 §). Det sistnämnda kravet motiverades bl.a. med att hälso-
och sjukvården till övervägande del är finansierad med allmänna medel, vilket
medför att krav kan ställas på att medlen används på bästa möjliga sätt (prop.
1995/96:176 s. 56 f.). Vidare infördes en skyldighet för alla vårdgivare att
systematiskt och fortlöpande utveckla och säkra hälso- och sjukvårdens kvalitet,
dvs. att bedriva kvalitetssäkring (31 §).
I SKL:s översyn av kvalitetsregister förespråkas en ökad användning av
nationella kvalitetsregister för politiska beslut, stimulering till förbättringsarbete
och ökad transparensen av vården för medborgarna (Guldgruvan i hälso- och
sjukvården – Förslag till gemensam satsning 2011–2015, Sveriges Kommuner
och Landsting, 2010, s. 26). Enligt SKL är ett av användningsområdena för
nationella kvalitetsregister bl.a. ersättningssystem (a.a. s. 260).
Som redovisats i avsnitt 1 är ersättningssystemen inom hälso- och sjukvården
ett styr- och kontrollverktyg för en beställare av hälso- och sjukvård i en situation
då hälso- och sjukvården produceras av någon annan, t.ex. en privat vårdgivare.
Syftet med vårdepisodbaserade ersättningssystem är att förmå vårdproducenten att
koordinera och kontinuerligt utveckla sina behandlingsprocesser för att
åstadkomma bästa möjliga hälsoutfall med lägsta möjliga resursförbrukning.
Inom primärvården har sjukvårdshuvudmännen enligt 5 § HSL en skyldighet att
främja konkurrens genom ett vårdvalssystem. Landstinget ska utforma
vårdvalssystemet så att alla utförare behandlas lika, om det inte finns skäl för
något annat. Ersättningen från landstinget till utförare inom ett vårdvalssystem ska
följa den enskildes val av utförare.
På grund av det anförda talar övervägande skäl för att användning av
kvalitetsregister för att beräkna en ersättning inom ramen för ett ersättningssystem
i hälso- och sjukvården generellt ryms inom det primära ändamålet för behandling
av personuppgifter i ett regionalt eller nationellt kvalitetsregister. Den
gemensamma nämnaren för sjukvårdshuvudmännens olika ersättningssystem är
att de ska gynna en hög kvalitet i den offentligt finansierade hälso- och sjukvården
till en så låg kostnad som möjligt. Enligt förarbetena till patientdatalagen finns
inget hinder mot att uppgifter om vårdens kostnadseffektivitet i form av
kostnader, nyckeltal och liknande behandlas parallellt med uppgifter om
behandlingsresultat m.m. i ett regionalt eller nationellt kvalitetsregister (prop.
2007/08:126 s. 185). Det framstår som rimligt mot bakgrund av kravet i 28 § HSL
att sjukvårdshuvudmännen måste ha ekonomiska styrmodeller för
vårdentreprenörerna som säkerställer de krav i lagstiftningen som ställs på dem
IVBAR Juridik 2013-03-28
M. Nymark
117
själva. Hade de själva utfört vården inom t.ex. primärvården i egenregi skulle de
utan tvekan få använda kvalitetsregisteruppgifter för att följa upp och säkra
kvaliteten i den individuella vården i verksamheten.
5.3.3 Sjukvårdshuvudmannens får ha direktåtkomst till egna vårdenheters
rapporterade patientuppgifter i ett regionalt eller nationellt
kvalitetsregister?
För uppgifterna i ett kvalitetsregister gäller samma sekretessbestämmelser som
hos en vårdgivare, dvs. sekretess enligt 25 kap. 1 § OSL (se avsnitt 5.2).
(Bestämmelserna om tystnadsplikt i patientsäkerhetslagen blir aldrig tillämpliga
då enbart myndigheter får vara huvudman för ett regionalt eller nationellt
kvalitetsregister.) I sammanhanget kan nämnas att det i förarbetena till den
upphävda vårdregisterlagen anges att sekretessen enligt 25 kap. 1 § OSL gäller
inom den offentligt bedrivna hälso- och sjukvården oavsett om uppgifterna finns i
ett vårdregister eller behandlas för bl.a. kvalitetssäkring (prop. 1997/98:108 s. 78).
Förhållandet åberopades därvid som stöd för att tillåta elektroniskt utlämnande av
uppgifter från vårdregister till bl.a. en mottagare som skulle använda uppgifterna
för kvalitetssäkring av hälso- och sjukvård.
Av 7 kap. 9 § patientdatalagen framgår att en ”vårdgivare får ha direktåtkomst
enbart till de uppgifter som vårdgivaren lämnat till ett nationellt eller regionalt
kvalitetsregister.” Med direktåtkomst menas vanligtvis att någon har direkt
tillgång till någons databaser eller register och på egen hand kan söka efter
information, dock utan att kunna påverka innehållet i databasen eller registret.
Begreppet brukar också anses innefatta att den som är ansvarig för databasen eller
registret inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst
tillfälle tar del av (prop. 2004/05:164 s. 83).98
Bestämmelsen i paragrafen innebär således att en nämnd i ett landsting som
ansvarar för hälso- och sjukvård får enbart har direktåtkomst till de uppgifter som
nämnden har rapporterat. Motsvarande gäller för beställarorganisationen i ett
landsting eller en region. Enligt 25 kap. 11 § första stycket 1 och 2 OSL hindrar
inte hälso- och sjukvårdssekretessen (enligt 25 kap. 1 § OSL) att en uppgift
lämnas från en myndighet inom hälso- och sjukvården till en annan sådan
myndighet i samma kommun eller landsting. Det innebär att
beställarorganisationen, som ju är företrädare för ”vårdgivaren”, normalt en
förvaltning under landstingsstyrelsen som är en kommunal nämnd, får ha
direktåtkomst till alla i förvaltningen inrapporterade patientuppgifter i ett regionalt
98 Från integritetssynpunkt har det ansetts angeläget att frågor om tillgång till uppgifter genom
direktåtkomst särskilt regleras i registerlagstiftningen (prop. 2000/01:129 s. 74, prop. 2001/02:144
s. 35 f. och prop. 2005/06:52 s. 8). Direktåtkomst och andra former av elektroniskt utlämnande av
uppgifter är föremål för översyn av Utredningen om integritet, effektivitet och öppenhet i en
modern statsförvaltning (dir. 2011:86).
IVBAR Juridik 2013-03-28
M. Nymark
118
eller nationellt kvalitetsregister, t.ex. landstingskommunala nämnder inom
landstinget som ansvarar för hälso- och sjukvård.
Förutom direktåtkomst kan personuppgifter i ett regionalt eller nationellt
kvalitetsregister alltid lämnas ut på andra sätt, t.ex. via pappersutskrifter från dator
som postas eller sänds per telefax. Utlämnande kan också göras i elektronisk
form, dvs. på medium för automatiserad behandling. Den elektroniska formen
inrymmer i sig ett stort antal variationer, t.ex. användning av e-post, lagring på
diskett eller cd-rom, överföring från ett datorsystem till ett annat via tele-nätet
eller annat nätverk. Inget hindrar således att huvudmannen för kvalitetsregistret
lämnar ut patientuppgifter i kvalitetsregistret till en rapporterande vårdgivare, t.ex.
en landstingsnämnd eller landstingets beställarorganisation, i en annan form än
direktåtkomst. Det får dock ske först efter en sedvanlig menprövning enligt 25
kap. 1 § offentlighets- och sekretesslagen, dvs. det ska stå klart att ett utlämnande
inte innebär med eller skada för patienten eller närstående. (Vidare får utlämnande
endast ske för kvalitetsregisterändamålen i 7 kap. 4 och 5 §§ patientdatalagen.)
Risken för men eller skada minskar givetvis om uppgifterna som efterfrågas
saknar namn eller personnummer. Utlämnande till andra än myndigheter kan
göras med sekretessförbehåll som inskränker mottagarens rätt att nyttja eller
lämna uppgifterna vidare. Utlämnande av kan alltid ske med den registrerades
samtycke.
5.3.4 En sjukvårdshuvudman får inte ha direktåtkomst till patientuppgifter som ett privat vårdbolag rapporterat till ett kvalitetsregister?
Mellan vårdgivare, oavsett om de är offentliga eller privata, råder
sekretess/tystnadsplikt. Utbyte av patientuppgifter mellan vårdgivare förutsätter
normalt samtycke av patienten. En sjukvårdshuvudman får därför inte ha
direktåtkomst till patientuppgifter som rapporterats av en annan vårdgivare, t.ex.
utförare av offentlig finansierad sjukvård med vilka landstinget har tecknat
uppdragsavtal. Inte heller får huvudmannen för ett kvalitetsregister lämna ut
patientuppgifter i registret på annat sätt utan en menprövning, oavsett om
uppgifterna begärs av den vårdgivare som har rapporterat uppgifterna eller av
annan vårdgivare.
En särskild fråga är om en sjukvårdshuvudman, ett landsting, får ha
direktåtkomst till uppgifter i ett kvalitetsregister som ett kommunalt vårdbolag har
rapporterat till registret. Som redovisats tidigare råder inte sekretess mellan en
kommunal nämnd och ett kommunalt bolag vari landstinget eller kommunen har
ett väsentligt inflytande, t.ex. aktiemajoritet. Trots att det inte råder sekretess
mellan två sådana entiteter enligt OSL, får emellertid sjukvårdshuvudmannen inte
ta del av ett sådant vårdbolags inrapporterade patientuppgifter till ett
kvalitetsregister genom direktåtkomst. Det följer av ordalydelsen i 7 kap. 9 §
patientdatalagen, nämligen att ”en vårdgivare får ha direktåtkomst enbart till de
IVBAR Juridik 2013-03-28
M. Nymark
119
uppgifter som vårdgivaren lämnat till ett nationellt eller regionalt
kvalitetsregister” (se avsnitt 4.2).
Inget hindrar dock att ett kommunalt vårdbolag, vilket har fått uppgifter från
ett kvalitetsregister som avser den egna verksamheten enligt ett beslut om
utlämnande av huvudmannen för registret, lämnar ut dem utan hinder av sekretess
till landstinget för vidare bearbetning på central nivå för kvalitetsregisterändamål
(ändamålen finns angivna i 7 kap. 4 och 5 §§ patientdatalagen).
5.3.5 IVBAR får behandla personuppgifter i ett kvalitetsregister för en
vårdgivares räkning?
IVBAR saknar lagstöd för att självständigt behandla patientuppgifter för
ändamålet vårdepisodbaserat ersättning. En vårdgivare äger däremot behandla
patientuppgifter för sådana ändamål med stöd av patientdatalagen (se 2 kap. 4 §
första stycket 4 och 5). För att IVBAR ska kunna behandla patientuppgifter inom
ramen för patientdatalagens legitima ändamål för en vårdgivares räkning, en
privat vårdgivare eller en nämnd inom ett landsting, måste IVBAR teckna ett
personuppgiftsbiträdesavtal med vårdgivaren eller nämnden i fråga. Bestämmelser
härom finns i 30 § PUL. I det avtalet ska det särskilt föreskrivas att
personuppgiftsbiträdet får behandla personuppgifterna bara i enlighet med
instruktioner från den personuppgiftsansvarige och att personuppgiftsbiträdet är
skyldigt att vidta de åtgärder som avses i 31 § första stycket PUL. Den paragrafen
innehåller bestämmelser om säkerheten vid behandling av personuppgifter.
Genom ett sådant avtal agerar IVBAR personuppgiftsbiträde åt vårdgivaren.
IVBAR behöver inte nödvändigtvis behandla vårdgivarens personuppgifter i
dennes system utan kan göra det i egna system.
Med stöd av ett personuppgiftsbiträdesavtal kan således IVBAR t.ex. erhålla
direktåtkomst till ett kvalitetsregister och i övrigt behandla personuppgifter för
vårdgivarens räkning med stöd av patientdatalagens bestämmelser. IVBAR får
således behandla personuppgifter för de ändamål som en vårdgivare får behandla
uppgifterna enligt patientdatalagen, t.ex. kvalitetssäkring, administration, statistik
eller beräkning av vårdepisodbaserad ersättning. Behandlingen får ske på central
nivå hos vårdgivaren. Tecknas sådant avtal med en privat vårdgivare bör
vårdgivaren teckna en tystnadspliktförbindelse med IVBAR och dess
medarbetare.
IVBAR kan teckna personuppgiftsbiträdesavtal med flera vårdgivare, men ska
då hålla varje vårdgivares personuppgifter logiskt åtskilda från varandra i nätverk,
servrar och andra lagringsmedier. Inte heller får IVBAR sambearbeta
personuppgifterna från olika vårdgivare som man är personuppgiftsbiträde åt.
Anledning är, som framhållits, att det råder sekretess mellan vårdgivare, och att
det normalt krävs ett samtycke från patienten att samköra flera vårdgivares
patientuppgifter. Undantaget är kommunala vårdbolag, vilkas personuppgifter kan
IVBAR Juridik 2013-03-28
M. Nymark
120
få sambearbetas med en nämnds personuppgifter såvida berört landsting har ett
väsentligt inflytande i bolaget.
5.3.6 Kvalitetsregisteruppgifter som har inrapporterats av privata vårdgivare
som bedriver offentligt finansierad vård kan inte användas av
sjukvårdshuvudmannen för att följa upp och stimulera kvaliteten genom ersättningssystem
På grund av det anförda och vid en sammantagen bedömning saknar ett landsting
rättslig möjlighet till en effektiv och ändamålsenlig uppföljning och styrning av
privata vårdgivare med hjälp av kvalitetsregisteruppgifter, trots att vårdgivarna
bedriver vård som är offentligt finansierad. Det är offentlighets- och
sekretesslagstiftningen som tillsammans med patientdatalagen reser hinder för
t.ex. det finansierande landstinget att hantera patientuppgifter över
vårdgivargränser för detta ändamål. Kvalitetsregisteruppgifter innehåller bl.a.
uppgifter om patientens hälsoutfall som är av värde för sjukvårdshuvudmannen
för att justera – efter en behandlingsåtgärd – en vårdepisodbaserad ersättning.
Bestämmelserna i detta fall om informationsutbyte och sekretess främjat inte en
utvidgad användning av vårdepisodbaserade ersättningssystem.
Utredningen om rätt information i vård och omsorg bör snarast underrättas om
identifierade problem eftersom utredningens direktiv rymmer ett mandat att
adressera och föreslå ändringar på aktuellt rättsområde (dir 2011:111).
5.4 Sjukvårdshuvudmannens rättsliga möjligheter att få ta del av
läkemedelsuppgifter i nationella informationskällor på
läkemedelsområdet för att följa upp, ekonomiskt ersätta och styra
offentliga och privata vårdproducenter
5.4.1 Inledning
Enligt IVBAR är läkemedelsuppgifter nödvändiga för att bestämma ett
vårdepisodbaserat prispaket till en vårdproducent. Läkemedelsuppgifter är också
relevanta för den justering av prispaketet som kan komma att ske i efterhand.
Vårdepisodbaserade ersättningssystem behandlas närmare i avsnitt 3.
Läkemedelsuppgifterna måste vara individbaserade, dvs. avse en specifik patient.
Som exempel kan nämnas uppgift huruvida patienten har ordinerats antidepressiva
läkemedel, en omständighet som påverkar prispaketet till en vårdproducent som
ska behandla patienten. Läkemedelsuppgifter är också nödvändiga på grund av att
vårdgivare inom den öppna hälso- och sjukvården enligt IVBAR ordinerar
läkemedel utan stöd i en diagnos. Genom slutledning kan en uppgift om ett
IVBAR Juridik 2013-03-28
M. Nymark
121
förskrivet läkemedel ge en fingervisning om patientens sjukdomshistoria, vilken
ligger till grund för bestämning av en vårdepisodbaserad ersättning.
Läkemedelsrelaterade patientuppgifter förfogar sjukvårdshuvudmannen
givetvis över i den patientjournal som förvaltas av huvudmannen själv. I vilken
utsträckning huvudmannen kan behandla sådana personuppgifter har berörts i
avsnitt 5.2. Beträffande e-dosrecept (se avsnitt 5.4.2) dokumenterar många
vårdgivare idag sina förskrivningar enbart i den Nationella ordinationsdatabasen
(NOD) där sjukvårdshuvudmannen och andra vårdgivare förfogar över en egen
logisk lagringsyta som utgör en journalhandling. Apotekens Service AB behandlar
personuppgifterna med stöd av ett personuppgiftsbiträdesavtal som tecknats med
ansluten vårdgivare.
I det följande övervägs i vilken utsträckning en sjukvårdshuvudman äger utfå
och behandla läkemedelsrelaterade personuppgifter ur nationella kunskapskällor
på området: läkemedelsförteckningen, läkemedelsregistret och receptregistret.
Registren har beskrivits tidigare i framställningen. Det erinras att uppgifter om
läkemedel kan utgöra känsliga personuppgifter eftersom de indirekt kan hänföras
till sjukdomar hos enskilda.
Avsnittet inleds med en redogörelse för förskrivning, recept och
ordinationsbegreppet. Därefter övervägs en sjukvårdshuvudmans rättsliga
möjligheter att erhålla uppgifter från registren och behandla dessa för att
bestämma en individuell vårdepisodbaserad ersättning.
5.4.2 Förskrivning av läkemedel och recept
Med förskrivning avses enligt Socialstyrelsens termbank utfärdande av recept,
livsmedelsanvisning, hjälpmedelskort eller dosrecept. Bestämmelser om
förskrivningsrätt avseende läkemedel finns i Läkemedelsverkets föreskrifter
(LVFS 2009:13; ändrad genom LVFS 2010:16 och 2011:14) om förordnande och
utlämnande av läkemedel och teknisk sprit, de s.k. receptföreskrifterna. Av 2 kap.
3 § i dessa receptföreskrifter framgår att läkare som har legitimation för yrket eller
som har ett särskilt förordnande att utöva yrket är behörig att förordna läkemedel
för behandling av människa. Bestämmelser om legitimation och andra
behörighetsfrågor finns i patientsäkerhetslagen (2010:659) och
patientsäkerhetsförordningen (2010:1369).
Av tradition har legitimerade läkare i Sverige i huvudsak en fri
förskrivningsrätt av läkemedel. Förskrivningen måste dock ske med iakttagande
av bestämmelserna i 6 kap. patientsäkerhetslagen. Bland dessa kan nämnas att den
som tillhör hälso- och sjukvårdspersonalen ska utföra sitt arbete i överens
stämmelse med vetenskap och beprövad erfarenhet. Av
patientsäkerhetsförordningen framgår vidare att den som tillhör hälso- och
sjukvårdspersonalen ska på ett betryggande sätt förvara, hantera och i
förekommande fall dela ut läkemedel som han eller hon har hand om (7 kap. 1 §).
IVBAR Juridik 2013-03-28
M. Nymark
122
Enligt Läkemedelsverkets receptföreskrifter (LVFS 2009:13) avses med ett
recept en förskrivning av läkemedel eller teknisk sprit för enskild användare. Av
Socialstyrelsens termbank framgår att med recept menas en handling, utfärdad av
en förskrivare, som innebär auktorisation för apotek att expediera en viss
läkemedelsprodukt, en extemporeberedning99
eller teknisk sprit till en viss person.
Det finns olika former av recept. Alla formerna berörs i Läkemedelsverkets
receptföreskrifter. E-recept är en anvisning från en förskrivare till ett apotek som
utlämnas i elektronisk form enligt ett fastställt och strukturerat format som
regleras närmare i Läkemedelsverkets receptföreskrifter. Itererat recept är ett
recept som är avsett att expedieras mer än en gång. Dosrecept är enligt
Läkemedelsverkets receptföreskrifter ett recept som används vid förskrivning av
läkemedel till patient som får dosdispenserade läkemedel (1 kap. 3 §), dvs. uttag
av läkemedel ur tillverkarens originalförpackning som fördelas av
apotekspersonal i doser enligt förskrivares anvisningar för att användas vid varje
doseringstillfälle av en enskild patient.
Frågan om huruvida det krävs recept för utlämnande av ett visst läkemedel,
dvs. om läkemedlet är receptbelagt eller receptfritt, avgörs av Läkemedelsverket,
bl.a. i samband med att godkännande för försäljning av läkemedlet beslutas (se 8 g
§ läkemedelslagen [1992:859]). Även sådana läkemedel för vilka det inte krävs
recept för utlämnande kan i och för sig förskrivas på recept. Även andra varor än
läkemedel kan förskrivas, t.ex. vissa förbrukningsartiklar och vissa livsmedel för
särskilda näringsändamål till barn, s.k. prisnedsatta livsmedel (se 6 – 8 §§ lagen
[2002:687] om läkemedelsförmåner m.m. [läkemedelsförmånsförordningen]).
Förbrukningsartiklar för stomiopererade och förbrukningsartiklar som behövs för
att tillföra kroppen ett läkemedel eller för egenkontroll av medicinering (t.ex.
injektionssprutor, kanyler och teststickor) förskrivs på hjälpmedelskort.
Prisnedsatta livsmedel till barn under 16 år förskrivs på livsmedelsanvisningar.
Enligt 3 kap. 9 § receptföreskrifterna ska förskrivare, med undantag för
veterinärer, ange en förskrivarkod för att receptet ska kunna expedieras. Sedan
den 1 oktober 2010 krävs en förskrivarkod för alla recept.
Alla som har en arbetsplats och är behöriga att förskriva läkemedel har
därutöver rätt att få en arbetsplatskod (4 § läkemedelsförmånsförordningen), dvs.
en kod som identifierar den arbetsplats som förskrivaren tjänstgör vid. Det är
landstinget som beslutar om utformning och fördelning av arbetsplatskod för den
som har sin arbetsplats inom landstingets område.
Vid utfärdande av ett recept ska en förskrivare enligt receptföreskrifterna
iaktta vissa skyldigheter. En förskrivare ska vid utlämnande av läkemedel lämna
de anvisningar som är nödvändiga för att patienten respektive djurägaren ska
kunna använda läkemedlet på rätt sätt (2 kap. 15 §). Vidare ska förskrivare vid
förskrivning och utlämnande av läkemedel som kan påverka reaktionsförmågan
99 Läkemedel som tillverkas på apotek för tillfället för viss patient, se 1 kap. 3 §
Läkemedelsverkets receptföreskrifter (LVFS 2009:13).
IVBAR Juridik 2013-03-28
M. Nymark
123
och därmed förmågan att uppträda som trafikant eller utföra riskfyllt eller
precisionskrävande arbete, upplysa patienten särskilt om detta.
Av Läkemedelsverkets receptföreskrifter framgår vilka uppgifter som ska
finnas i ett recept. Vissa uppgifter är obligatoriska, andra frivilliga. Patientens
personnummer och patientens namn ska anges. Avsaknad av personnummer är
inget hinder för ett apotek att expediera ett läkemedel, men personnummer behövs
för att läkemedelskostnaden, utöver patientens egenavgift, ska kunna debiteras rätt
landsting. Vid avsaknad av personnummer ska födelsedatum anges. Ett recept
måste därutöver innehålla uppgift om läkemedlets namn, läkemedelsform (till
exempel tabletter eller orala droppar), läkemedlets styrka (anges ofta i milligram)
samt mängd och dosering.
Enligt 3 kap. 3 § receptföreskrifterna ska uppgift om användning, ändamål
och behandlingstid lämnas på receptet. Uppgift om ändamål syftar till att
underlätta för apotekspersonal att kontrolla och minska risken för förväxlingar av
läkemedel.100
Vidare får patienter med flera läkemedel lättare att avgöra vad
läkemedlet ska användas mot. Med användning menas sådana anvisningar som
behövs för att patienten ska kunna använda sitt läkemedel på rätt sätt.
Föreskrifterna i denna del är meddelade av Läkemedelsverket med stöd av
bemyndigande i 10 kap. 4 a § och 5 § läkemedelsförordningen (”vad som ska
gälla vid förordnande och utlämnande av ett läkemedel eller teknisk sprit”
respektive ” meddela de ytterligare föreskrifter som behövs för att skydda
människors eller djurs hälsa eller miljön”).
På receptet ska också anges hur många gånger receptet får användas och
ibland anges även hur lång tid det måste vara mellan uttagen. Receptet ska
undertecknas egenhändigt av förskrivaren och utfärdandedatum ska anges.
Namnteckningen kan inte kompletteras per telefon. Förskrivaren ansvarar med sin
namnteckning personligen för att receptet är riktigt. I recepthuvudet finns en
förtryckt rad där frivilliga upplysningar kan lämnas, t ex om språk eller
startförpackning.
Receptet kan utfärdas elektroniskt, skriftligt, per telefon eller fax. Ett recept
kan gälla högst ett år. Elektroniska recept, s.k. e-recept, skickas direkt från
receptutfärdaren till apoteket. Dessa recept har samma giltighet, som recept
utfärdade på blankett och kan sparas på apoteket under hela dess giltighet. Av de
recept som idag expedieras på apotek görs över 90% utifrån ett elektroniskt
underlag. Det finns också möjlighet att omvandla ett pappersrecept till
elektroniskt recept som då sparas på apoteket. Telefonrecept är recept som
receptutfärdaren ringer in till apoteket. Sådana recept gäller endast för ett
expeditionstillfälle inom 1 månad. Telefaxrecept är recept som receptutfärdaren
faxar in till apoteket. Även telefaxrecepten gäller för ett expeditionstillfälle inom
1 månad.
100 Läkemedelsverkets läkemedelshandbok 2011-2012 s. 1425.
IVBAR Juridik 2013-03-28
M. Nymark
124
För recept på s.k. särskilda läkemedel (narkotiska läkemedel, anabola
steroider, tillväxthormon och vissa andra läkemedel som Läkemedelsverket
bestämt) gäller särskilda regler, och en särskild receptblankett måste användas.
Dosreceptet är ett recept som upptar patientens alla ordinerade läkemedel och
ersätter alla andra recept. Bestämmelser om dosrecept finns i Läkemedelsverkets
receptföreskrifter (LVFS 2009:13). En dospatient är en patient som har träffat en
överenskommelse med ett apotek och en förskrivare att få läkemedel
dosdispenserade. Alla personer med förskrivningsrätt har möjlighet att förskriva
dosrecept till sina patienter. Dosrecept innebär att patientens läkemedel förpackas
av apotekspersonal i dospåsar. Enligt lagen 6 § andra stycket första meningen
(1996:1156) lagen om receptregister kräver en registrering av dosrecept i
receptregistret patientens samtycke. Sedan några år tillbaka är apoteksmarknaden
avreglerad. För att alla apotek, på lika villkor, ska kunna expediera samt för att
möjliggöra att produktionen av dosförpackade läkemedel konkurrensutsätts,
utvecklas ett nationellt dosregister av Apotekens Service AB, ett statligt bolag
med uppgift att svara för centrala informationskällor på läkemedelsområdet. Alla
dosrecept som idag finns i register kopplade till respektive dosapotek ska flyttas
över till det nationella dosregistret. Med dosrecept på plats i ett nationellt
dosregistret är plattformen också lagd för utvecklingen av en nationell
ordinationsdatabas (NOD) som ska innehålla alla läkemedelsordinationer i
öppenvården. Här kommer uppgifter att finnas om alla patienters
läkemedelsanvändning, inklusive dospatienterna. Regeringen har givit CeHis
(Centrum för e-hälsa i samhället) uppdraget att utveckla NOD.
5.4.3 Ordination och ordinationsorsak
Ett recept är ett utflöde av en s.k. ordination. I Socialstyrelsens termbank förklaras
att en ordination är ett ”beslut av behörig hälso- och sjukvårdspersonal att patient
ska bli föremål för hälso- och sjukvårdsåtgärd.” Som exempel på ordinationer
nämner Socialstyrelsen förutom behandling med läkemedel även andra typer av
behandlingar såsom diet och fysisk aktivitet. Ordination är ett begrepp med nära
koppling till läkemedelsområdet (jfr begreppet ”läkemedelsordination”), men
faktum är att det är ett betydligt vidare begrepp än så. En ordination, dvs. ett
beslut om en individinriktad hälso- och sjukvårdsbehandling, sker av en orsak, en
ordinationsorsak. Begreppet är föremål för ett termarbete på Socialstyrelsen.
Styrelsen föreslår att en ordinationsorsak är ett skäl till en ordination som en
ordinatör anger. Ordinationsorsak ska inte förväxlas med indikation. T.ex. sätts
läkemedel in på indikationen astma medan ordinationsorsaken är att lösa segt
slem.
Recept förekommer normalt inte inom den öppna och slutna hälso- och
sjukvården, alltså primärvården respektive den sjukhusbundna hälso- och
sjukvården. Här förekommer enbart ordination av läkemedel. Det framgår bl.a. av
Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2000:1) om
IVBAR Juridik 2013-03-28
M. Nymark
125
läkemedelshantering i hälso- och sjukvården. Enligt 1 kap. 1 § ska föreskrifterna
inte tillämpas på sådan läkemedelshantering som omfattas av läkemedelslagen
(1992:859) och lagen (1996:1152) om handel med läkemedel m.m. Inte heller är
föreskrifterna tillämpliga på en patient som själv har ansvaret för att hantera sina
läkemedel. Detta gäller även om patienten behöver viss praktisk hjälp (1 kap. 1 §
fjärde stycket).
Socialstyrelsen föreskriver att läkemedel som huvudregel ska ordineras
skriftligt. I undantagsfall får en ordination lämnas muntligt, t.ex. i situationer där
en patient behöver omedelbar vård. Vid sådana tillfällen ska ordinationen
dokumenteras i efterhand och signeras av förskrivaren. Vidare föreskriver
Socialstyrelsen bl.a. att inom sluten vård ska läkemedelsordinationerna föras in i
en särskild ordinationshandling. Den som ordinerar läkemedel ska med sitt
signum i ordinationshandlingen bekräfta varje ordination och ändring av tidigare
införda ordinationer. Inom annan hälso- och sjukvård än sluten vård ska den
sjuksköterska eller läkare som ansvarar för vården av en patient svara för att
aktuella läkemedelsordinationer finns samlade på ett ordinationskort eller på en
annan ordinationshandling. Kortet eller handlingen ska signeras och det ska
framgå vem som ordinerat respektive läkemedel. En läkemedelsordination ska
enligt Socialstyrelsens föreskrifter innehålla uppgifter om läkemedlets namn,
läkemedelsform, styrka, dosering, administrationssätt och tidpunkterna för
administrering.
Av föregående stycke framgår att en patients läkemedelsordinationer kan vara
splittrad på flera vårdgivare. Det är ett problem med många dimensioner vid både
individuell vård och behandling samt vid uppföljning. Den splittrade
dokumentationen ska jämföras med hanteringen av receptuppgifter, vilka finns
samlade i ett centralt personregister, det s.k. receptregistret (se avsnitt 2.11).
Målsättningen är därför inom ramen för den nationella läkemedelsstrategin att en
patients alla ordinerade läkemedel, även ordinationer som inte resulterar i ett
recept inom t.ex. den sjukhusbundna vården, ska finnas samlade i den Nationella
Ordinationsdatabasen (NOD), ett förskrivar- och expeditionsstöd om patients
ordinationer. Med tillgång till den samlade informationen om vilka läkemedel
som patienten använder och senaste rönen om produkterna kan en säkrare och
effektivare erbjudas. NOD berörs i avsnitt 5.4.2.
5.4.4 En sjukvårdshuvudman varken kan eller får använda personuppgifter i
läkemedelsförteckningen och läkemedelsregistret för att följa upp,
ekonomiskt ersätta och styra utförare av offentligt finansierad hälso- och sjukvård
Läkemedelsregistret och läkemedelsförteckningen finns beskrivna i avsnitt 2.9
och 2.10. Rättsutredningen ger vid handen att en sjukvårdshuvudman, dvs. ett
landsting, varken kan eller får behandla personuppgifter i dessa register för att
följa upp, ekonomiskt ersätta och styra utförare av offentligt finansierad vård.
IVBAR Juridik 2013-03-28
M. Nymark
126
Beträffande först läkemedelsregistret så är det ett hälsodataregister med
begränsat användningsområde. Enligt förordningen (2005:363) om
läkemedelsregister hos Socialstyrelsen får registret enbart användas för
epidemiologiska undersökningar, utvärdering, forskning och framställning av
statistik inom hälso- och sjukvårdsområdet. Det har därmed ett snävare
användningsområde än andra hälsodataregister. Det är Socialstyrelsen – inte
landstingen – som får använda läkemedelsregistret för nu nämnda ändamål. Som
redovisats har regeringen i december 2011 uppdragit åt en statlig utredning att
föreslå hur ändamålen för behandling av personuppgifter i läkemedelsregistret kan
anpassas till de ändamål som gäller för övriga hälsodataregister enligt lagen om
hälsodataregister (se regeringens direktiv, 2011:111, Förbättrad tillgång till
personuppgifter inom och mellan hälso- och sjukvården och socialtjänsten m.m.).
Socialstyrelsen är personuppgiftsansvarig för läkemedelsregistret. Uppgifter
som finns i detta och andra hälsodataregister omfattas av sekretess enligt 24 kap 8
§ offentlighets- och sekretesslagen (2009:400). Enligt bestämmelsen är
sekretessen absolut, vilket innebär att uppgifterna som regel inte får lämnas ut.
Lagen medger undantag från sekretessen, men bara om uppgifterna behövs för
forskning och statistikändamål. Ett ytterligare krav för utlämnande är att
uppgifterna kan lämnas ut om det står klart att de kan röjas utan att individen som
uppgiften rör eller någon närstående lider skada eller men. Persondata lämnas
endast ut till forskningsprojekt med villkoret att det finns ett godkännande från
forskningsetisk nämnd och en beskrivning av syftet med projektet. Därefter gör
Socialstyrelsen en oberoende prövning enligt offentlighets- och sekretesslagens
bestämmelser. Då vårdepisodbaserad ersättning förutsätter behandling av
individuppgifter för att beräkna en ersättning till en vårdproducent, och då det inte
rör sig om forskning, är utsikterna att Socialstyrelsen skulle lämna ut uppgifterna i
läkemedelsregistret så gott som obefintliga.
Apotekens Service AB ska för de ändamål som anges i lagen (2005:258) om
läkemedelsförteckning utföra automatiserad behandling av personuppgifter i ett
särskilt register över köp av förskrivna läkemedel (läkemedelsförteckningen).
Läkemedelsförteckningens dokumentation av köp av förskrivna läkemedel får
endast användas för att åstadkomma en säker framtida förskrivning av läkemedel
för den registrerade, bereda den registrerade vård eller behandling, komplettera
den registrerades patientjournal, underlätta den kontroll som ska genomföras
innan ett läkemedel lämnas ut till den registrerade från apotek samt underlätta den
registrerades läkemedelsanvändning. Det framgår klart av lagen om
läkemedelsförteckningen att läkemedelsförteckningen enbart får användas för
individuell vård och behandling, inte för t.ex. ekonomisk uppföljning,
kvalitetssäkring, statistik eller för att fastställa en vårdepisodbaserad ersättning.
IVBAR Juridik 2013-03-28
M. Nymark
127
5.4.5 En sjukvårdshuvudman får använda uppgifter i receptregistret för att bl.a.
följa upp, ekonomiskt ersätta och styra utförare av offentligt finansierad
hälso- och sjukvård
Enligt 6 § punkt 5 receptregisterlagen får receptregistret användas för registrering
och redovisning till landstingen av uppgifter för ekonomisk och medicinsk
uppföljning samt för framställning av statistik (se prop. 2009/10:138). Vid
utlämnande av uppgifter för de ändamål som avses i punkt 5 ska uppgifter om
patientens identitet vara krypterade på ett sådant sätt att dennes identitet skyddas
(se 14 § receptregisterlagen). Förskrivningsorsak får redovisas. I 4 kap. 6 § andra
stycket patientdatalagen finns bestämmelser om att detta skydd för patientens
identitet ska bestå hos landstingen.
I 7 § receptregisterlagen klargörs genom en uttrycklig hänvisning till
personuppgiftslagen att den s.k. finalitetsprincipen gäller även vid
personuppgiftsbehandling enligt receptregisterlagen. Att finalitetsprincipen är
tillämplig innebär att personuppgifter som redan finns i receptregistret får
behandlas för andra ändamål än dem för vilka de har samlats in under
förutsättning att de nya ändamålen är förenliga med de tidigare ändamålen.
Genom hänvisningen klargörs vidare att insamlade personuppgifter också får
behandlas för historiska, statistiska eller vetenskapliga ändamål. Behandling får
även ske för forskningsändamål
På grund av det anförda får således en sjukvårdshuvudman behandla
läkemedelsrelaterade uppgifter ur receptregistret, vilka lämnas ut av Apoteken
Service AB, om det är nödvändigt för att följa upp, ekonomiskt ersätta och styra
utförare av offentligt finansierad hälso- och sjukvård. Behandlingen får innefatta
bl.a. uppgift om förskrivningsorsak. En väsentlig förutsättning för behandlingen är
att uppgifter om patientens identitet som utlämnas till landstinget ska vara
krypterade vid utlämnandet. Krypteringen ska bestå hos landstinget.
I princip får alla förekommande uppgifter som finns i receptregistret lämnas
ut till landstinget för nu nämnda ändamål. Det rör sig om inköpsdag, vara, mängd,
dosering, kostnad och kostnadsreducering enligt läkemedelsförmånslagen.
patientens namn, personnummer och folkbokföringsort samt postnumret. Vidare
får uppgift om förskrivarens namn, yrke, specialitet, arbetsplats och
arbetsplatskod samt förskrivarkod lämnas ut. Även ordinationsorsak får lämnas ut.
Bevarandetiden för uppgifter i receptregistret är emellertid kort. Uppgifter
som kan hänföras till enskilda personer ska tas bort ur registret under den tredje
månaden efter den under vilken de registrerades (19 §). Om uppgiften behöver
bevaras antingen som underlag för tillämpningen av bestämmelserna om
läkemedelsförmåner vid köp av läkemedel m.m. eller för registrering av recept
och blanketter som används för flera uttag, samt registrering av dosrecept och
elektroniska recept (6 § första stycket 2 eller 8) ska uppgifterna bevaras i 15
månader och därefter utplånas, dock under förutsättning att den enskilde
samtyckt till att dennes personuppgifter får behandlas för nu nämnda ändamål
(6 § andra stycket).,
IVBAR Juridik 2013-03-28
M. Nymark
128
Enligt 10 § receptregisterlagen får uppgifter ur receptregistret som lämnas ut i
enlighet med registerändamålen i 6 § lämnas ut på medium för automatiserad
databehandling. Paragrafen tar sikte på utlämnande på medium för automatiserad
behandling. Sådant utlämnande kan avse utlämnande genom e-post, diskett, cd-
rom eller över nätverk för att bara ta några exempel. Utmärkande för sådant
utlämnande är att den som gör utlämnandet vid varje överföringstillfälle vidtar
någon manuell aktivitet som kan jämställas med ett beslut om överföring och en
sekretessprövning avseende den information som mottagaren får del av.
Mot bakgrund av det anföra får givetvis IVBAR med stöd av ett
personuppgiftsbiträdesavtal med en sjukvårdshuvudman behandla mottagna
krypterade uppgifter från Apotekens Service AB för huvudmannens räkning.
5.5 Sjukvårdshuvudmannens rättsliga möjligheter att få ta del av uppgift
om förmåner i socialförsäkringsdatabasen för att följa upp, ekonomiskt
ersätta och styra offentliga och privata vårdproducenter
5.5.1 Inledning
Socialförsäkringen är en viktig del av det svenska trygghetssystemet. Den svenska
socialförsäkringen gäller i stort sett alla som bor eller arbetar i Sverige. Den ger
ekonomiskt skydd för familjer och barn, för personer med funktionsnedsättning
samt vid sjukdom, arbetsskada och ålderdom. Genom Sveriges medlemskap i EU
kan svenska medborgare även ha rätt till socialförsäkringsförmåner i andra EU-
länder.
Socialförsäkringen administreras av Försäkringskassan och
Pensionsmyndigheten samt av Skatteverket. Försäkringskassans uppgift är att ta
hand om bidrag och ersättningar till barnfamiljer, sjuka och personer med
funktionsnedsättning. Pensionsmyndigheten har hand om pensioner och andra
stöd till äldre och efterlevande. Skatteverket ansvarar för finansieringen av
socialförsäkringen. Försäkringen finansieras i huvudsak av sociala avgifter
(arbetsgivaravgifter resp. egenavgifter) med stöd av socialavgiftslagen
(1980:980). Socialförsäkringen finansieras också med medel från statsbudgeten
samt genom särskilda betalningar från kommuner och enskilda.
Socialförsäkringen består av ett flertal delar som tillsammans utgör det
allmänna trygghetssystemet. Som exempel på de olika delarna kan nämnas
sjukförsäkringen, föräldraförsäkringen, arbetsskadeförsäkringen och
ålderspensionen. Barnbidrag, underhållsstöd och bostadsbidrag är exempel på
andra förmåner som finns inom socialförsäkringen.
Försäkringskassan (FK) är en statlig förvaltningsmyndighet som lyder direkt
under regeringen. FK är ansvarig myndighet för alla förmåner enligt
socialförsäkringen utom pensioner och andra stöd till äldre och efterlevande.
IVBAR Juridik 2013-03-28
M. Nymark
129
Beträffande myndigheter som lyder under regeringen, brukar regeringen meddela
förordningsinstruktioner av vilka framgår myndighetens uppgifter och ansvar.
Bestämmelser om FK:s närmare uppgifter finns i förordningen (2009:1174) med
instruktion för Försäkringskassan. Av 1 § framgår att FK:s huvudsakliga uppgift
är att besluta och betala ut sådana förmåner och ersättningar som myndigheten
ansvarar för. Denna uppgift framgår närmare av lag eller förordning.
I 2 § förordningen med instruktion för FK preciserar regeringen närmare
kassans uppgifter. Den ska bl.a. se till att myndighetens föreskrifter och andra
styrande dokument och rutiner är kostnadseffektiva och enkla att följa och förstå
för enskilda och företag; den ska säkerställa att felaktiga utbetalningar inte görs
och motverka bidragsbrott; den ska följa, analysera och förmedla
socialförsäkringssystemets utveckling och effekter för enskilda och samhälle inom
sitt verksamhetsområde. FK ska också ansvara för att en kvalificerad
kunskapsuppbyggnad inom sitt ansvarsområde samt stödja forskning inom
socialförsäkringsområdet. FK ska vidare vara central myndighet enligt rådets
förordning (EG) nr 4/2009 av den 18 december 2008 om domstols behörighet,
tillämplig lag, erkännande och verkställighet av domar samt samarbete i fråga om
underhållsskyldighet, och fullgöra de uppgifter som åligger den enligt
förordningen.
Enligt 4 § får FK utföra datorbearbetningar på uppdrag av myndigheter och
enskilda samt tillhandahålla tjänster inom områdena systemutveckling, statistik,
statistiskt metodstöd och efterbehandling av postförsändelser. Detta gäller endast
uppdrag eller tjänster som får anses förenliga med myndighetens uppgifter och
verksamhetsområde.
Enligt 5 § ska FK samverka med berörda myndigheter, kommuner och
landsting samt andra berörda parter för att bedriva en effektiv och rättssäker
verksamhet samt därvid särskilt verka för att felaktiga utbetalningar inte görs. FK
ska vidare samverka Arbetsförmedlingen, Arbetsmiljöverket och Socialstyrelsen i
syfte att uppnå en effektiv användning av tillgängliga resurser inom
rehabiliteringsområdet.
Inom FK handläggs enskilda ärenden på lokala och nationella
försäkringscenter. Även på kundcenter (telefonkundtjänst) sker handläggning av
enskilda ärenden. För det personliga kundmötet finns ett hundratal
myndighetsgemensamma servicekontor och ett mindre antal lokala kontor.
Servicekontoren drivs i samverkan med Skatteverket och medarbetarna utför
tjänster relaterade till såväl FK:s som Skatteverkets och Pensionsmyndighetens
verksamhet. Som komplement till servicekontoren har serviceplatser skapats där
Arbetsförmedlingen eller kommunen ger service av informativ karaktär om bland
annat FK:s tjänster.
På FK:s hemsida (www.forsakringskassan.se) finns möjligheterna till
självbetjäning av information och tjänster.
Socialförsäkringen består bl.a. av sjukförsäkringen. Till sjukförsäkringen hör
frågor om rehabilitering. Reglerna om sjukpenning och rehabilitering finns från
och med 2011 i socialförsäkringsbalken (2010:110). Balken ersätter ett trettiotal
IVBAR Juridik 2013-03-28
M. Nymark
130
av tidigare gällande socialförsäkringsförfattningar. Tillämpningsområdet omfattar
i princip samtliga socialförsäkringsförmåner som administreras av FK,
Pensionsmyndigheten och Skattemyndigheten. Bestämmelser om sjuklön regleras
dock i lagen (1991:1047) om sjuklön. Därutöver finns bestämmelser om
ersättning vid sjukdom i kollektivavtal. Som exempel på kollektivavtal kan
nämnas löne- och förmånsavtalen (ALFA och ALFA-T) som reglerar
kollektivavtalad lön under sjukfrånvaro för statligt anställd.
Bestämmelser om förmåner vid sjukdom och rehabilitering finns i 23 – 37
kap. socialförsäkringsbalken (2010:110).
5.5.2 Sjukvårdshuvudmannens rättsliga möjligheter att få ta del av uppgift om
förmåner i socialförsäkringsdatabasen för att följa upp, ekonomiskt
ersätta och styra offentliga och privata vårdproducenter
Bestämmelser om behandling av personuppgifter inom socialförsäkringens
administration finns i 114 kapitlet socialförsäkringsbalken (SFB). Kompletterande
bestämmelser finns i förordningen (2003:766) om behandling av personuppgifter
på socialförsäkringens administration och förordningen (1980:995) om skyldighet
för Försäkringskassan och Pensionsmyndigheten att lämna uppgifter till andra
myndigheter (utlämnandeförordningen).
Av intresse är om Försäkringskassan har en skyldighet att lämna ut uppgifter
om förmåner enligt socialförsäkringsbalken till ett landsting samt för vilka
ändamål i sådant fall. Av 114 kap. 9 § SFB framgår nämligen att
Försäkringskassan och Pensionsmyndigheten bl.a. får behandla personuppgifter
på grund av sådan bestämmelse om skyldighet att lämna ut uppgifter till andra
myndigheter, dvs. uppgiftsskyldighet enligt lag eller förordning. Frågan är således
om det finns en bestämmelse i författning som lägger en skyldighet på
Försäkringskassan att lämna ut uppgifter om förmåner enligt
socialförsäkringsbalken till ett landsting. Finns det en sådan uppgiftsskyldighet är
det av intresse för vilka syften uppgiftsskyldigheten gäller. Även om
uppgiftsskyldigheten avser andra ändamål än att låta landstinget fastställa en
vårdepisodersättning, kan landstinget med stöd av 2 kap. 5 § patientdatalagen
behandla mottagna uppgifter, t.ex. uppgifter som mottagits från
Försäkringskassan, för andra sekundära ändamål med stöd av 9 § första stycket d
och andra stycket personuppgiftslagen. Bestämmelsen i 9 § första stycket d ger
uttryck för den s.k. finalitetsprincipen. Den innebär att personuppgifter får
behandlas för andra ändamål än de ursprungliga, såvida de senare ändamålen inte
är oförenliga med de ursprungliga. Oförenlighetsrekvisitet är här den begränsande
faktorn.
Författningsanalysen har identifierat två relevanta bestämmelser om
uppgiftsskyldighet. Enligt 4 a § i förordningen om behandling av personuppgifter
på socialförsäkringens administration får Försäkringskassan, för handläggning av
ärenden om sjukpenning, sjukersättning och aktivitetsersättning, lämna ut uppgift
IVBAR Juridik 2013-03-28
M. Nymark
131
om namn, personnummer eller samordningsnummer, ärendebeteckning,
hälsotillstånd och arbetsförmåga i socialförsäkringsdatabasen till vårdgivare på
medium för automatiserad behandling (filöverföring på t.ex. CD-skiva eller via
nätverk). Vidare framgår det av 3 § 10 punkten utlämnandeförordningen att bl.a.
Försäkringskassan ska på begäran lämna uppgifter om enskildas adress, deras
arbetsgivares namn och adress samt enskildas ekonomiska förhållanden och den
tidsperiod en utgiven ersättning avser till bl.a. offentlig sjukvårdshuvudman när
det gäller ärenden om avgift för vård på enskild sjukvårdsinrättning, om
uppgifterna behövs i ärenden där.
Beträffande först 4 a § i förordningen om behandling av personuppgifter på
socialförsäkringens administration så är den bestämmelsen avsedd för själva
handläggningen av socialförsäkringsförmåner. Försäkringskassan får inte lämna ut
uppgifterna för andra ändamål till en vårdgivare. Som legitima
utlämnandeändamål skulle således räknas utlämnande av uppgifter till en
vårdgivare för t.ex. kartläggning av patientens arbetsförmåga,
rehabiliteringsinsatser och utfärdande av nytt läkarintyg. Att bestämma en
vårdepisodbaserad ersättning är sannolikt inte ett sådant legitimt ändamål som
avses i 4 a §. Försäkringskassan får således inte lämna ut uppgifter till ett
landsting enkom av det skälet.
Ett landsting torde dock med stöd av patientdatalagens och
personuppgiftslagens bestämmelser kunna behandla uppgifter om förmåner enligt
socialförsäkringsbalken från Försäkringskassan för att beräkna en
vårdepisodbaserad ersättning, om uppgiften är nödvändig för detta ändamål, t.ex.
en kostnadseffektiv hälso- och sjukvård enligt hälso- och sjukvårdslagen. En
vårdgivares behandling av den försäkrades uppgifter för ett sådant ändamål torde
inte anses oförenlig med det ursprungliga ändamålet, dvs. behandling för
ändamålet förmåner enligt socialförsäkringsbalken. Som redovisats får landsting
och andra vårdgivare behandla patientuppgifter för bl.a. ekonomiadministrativa
ändamål. Problemet är att Försäkringskassans utlämnande av uppgifter om den
försäkrade till t.ex. landstinget ska vara motiverad för handläggning av ett ärende
enligt sjukförsäkringen., t.ex. rehabiliteringsutredning eller kartläggning av den
försäkrades arbetsförmåga. Ett sådant behov kanske inte aktualiseras för alla
patienter/försäkrade.
Beträffande sedan bestämmelsen i 3 § utlämnandeförordningen är det oklart
vad utlämnandeskyldigheten av uppgifter avser. Vid kontakt med
Försäkringskassan har kassan förklarat att utlämnande med stöd av den
bestämmelsen är sällan förekommande. Försäkringskassan har inte kunnat
förklara vad för slags situation bestämmelsen egentligen reglerar. Det finns inte
heller några förarbeten till förordningen som kan ge vägledning om när
uppgiftsskyldigheten aktualiseras. Det sannolika syftet med uppgiftsskyldigheten
är att låta ett landsting kunna kontrollera att en privat vårdentreprenör som
bedriver hälso- och sjukvård på det allmännas vägnar och som begär ersättning för
vårdavgifter i ett enskilt fall har t.ex. genomfört rehabiliterande insatser för en
IVBAR Juridik 2013-03-28
M. Nymark
132
patient på uppdrag av Försäkringskassan. Uppgifterna lämnas endast ut på
begäran av landstinget, och begäran får endast avse det nu (sannolika) ändamålet,
inte för att bestämma en vårdepisodbaserad ersättning. Liksom med bestämmelsen
i 4 a § förordningen om behandling av personuppgifter på socialförsäkringens
administration (se föregående stycke) har bestämmelsen om uppgiftsskyldighet i 3
§ utlämnandeförordningen ett begränsat användningsområde för att fastställa en
vårdepisodbaserad ersättning.
En uppgiftsskyldighet i lag eller förordning innebär att den myndighet som
ska fullgöra skyldigheten inte behöver göra en sekretessprövning. Vidare är en
utlämnandebehandling som bygger på en uppgiftsskyldighet utan undantag alltid
en tillåten behandling enligt gällande registerförfattningar. Det finns alltså
betydande fördelar med bestämmelser om uppgiftsskyldighet.
Som konstaterats finns det inte en ändamålsenlig uppgiftsskyldighet för
Försäkringskassan som tillfredsställer sjukvårdshuvudmännens eventuella behov
av uppgifter om förmåner enligt socialförsäkringsbalken för att fastställa en
individbaserad vårdepisodersättning enligt IVBAR:s modell. Uppgifter i
socialförsäkringsdatabasen om sjukskrivning etc. omfattas av sekretess. En
begäran om utfående av uppgifter från Försäkringskassan måste sekretessprövas.
Det finns ett visst utrymme för Försäkringskassan att med stöd av den s.k.
generalklausulen i offentlighets- och sekretesslagen (10 kap. 27 §) lämna ut en
sekretessbelagd uppgift till en myndighet (t.ex. en landstingsnämnd som ansvarar
för sjukvård), om det är uppenbart att intresset av att uppgiften lämnas har
företräde framför det intresse som sekretessen ska skydda. Denna
intresseavvägning ankommer på Försäkringskassan att göra och inte någon annan.
En annan begränsning vid utlämnande av uppgifter från
socialförsäkringsdatabasen utan stöd i en bestämmelse om uppgiftsskyldighet är
bestämmelserna i 114 kap. SFB som reglerar personuppgiftsbehandling inom
socialförsäkringens administration. Det saknas nämligen i dessa situationer ett
uttryckligt stöd i SFB att lämna ut uppgifterna på medium för automatiserad
behandling. Enligt uppgift från Försäkringskassan tvingas kassan inför varje större
IT-utvecklingsprojekt begära ändring i förordningen om behandling av
personuppgifter på socialförsäkringens administration för att kunna bygga
elektroniska lösningar för informationsöverföring. Ett sådant exempel är 4 a §
som berörs ovan. Det finns enligt Försäkringskassan ett initierat
lagstiftningsärende för att undanröja begränsningen om utlämnandet på medium
för automatiserad behandling som finns i 114 kap. 24 § SFB.
Som konstaterats i det föregående får IVBAR med stöd av ett
personuppgiftsbiträdesavtal behandla uppgifter som ett landsting mottar från
Försäkringskassan.
IVBAR Juridik 2013-03-28
M. Nymark
133
5.6 Sjukvårdshuvudmannens rättsliga möjligheter att få ta del av
befolkningsdata från SCB för att följa upp, ekonomiskt ersätta och
styra offentliga och privata vårdproducenter
5.6.1 Inledning
Registrering av uppgifter om folkmängden och dess förändringar har förekommit
sedan 1720-talet. I huvudsak svarade kyrkan för bokföringen i form av
församlingsböcker, vigselbevis, födelsebevis och dödsböcker, vilka sedermera
ersattes av mantalsskrivningen. Regelbunden befolkningsstatistisk har förts sedan
1749 då det s.k. Svenska tabellverket trädde i funktion. Denna organisation för
befolkningsstatistik ersattes 1858 av Statistiska centralbyrån (SCB). Statistik över
födelser, vigslar och dödsfall grundades på de av pastorsämbetena till
länsstyrelserna aviserade uppgifterna som efter behandling på länsstyrelsen
översändes till SCB. Befolkningsstatistiken idag baseras på de uppgifter om
folkbokförda personer som Skatteverket lämnar till SCB. Statistiken redovisas
varje månad, kvartal och helår och innehåller uppgifter om folkmängd och
befolkningsförändringar, till exempel födda, döda och in- och utflyttade.
Uppgifterna redovisas bland annat efter län, kommun, kön, ålder, civilstånd,
födelseland och medborgarskapsland.
I samband med statistikreformen vid mitten av 1990-talet fördelades ansvaret
för den officiella statistiken på flera statliga myndigheter. SCB fortsätter att
ansvara för sektorsövergripande statistik medan andra myndigheter har ansvaret
för den statistik som ligger inom deras verksamhetsområde. Från den 1 januari
2012 finns 27 statistikansvariga myndigheter.
Med statistik avses en viss form av information i form av t.ex. sifferuppgifter
som beskriver en företeelse eller en verksamhet. Statistik kan tas fram med olika
syften. För den fortsatta framställningen är det relevant att skilja på två typer av
statistik: statistik med ett i huvudsak internt syfte för den organisation statistiken
berör och statistik med ett allmäninformativt syfte. Den förstnämnda statistikens
huvudfunktion är att utgöra en del av en informationsprocess för styrning av
verksamheter, innefattande planering, beslut, uppföljning, analys och utvärdering.
Den här typen av statistik kallas ofta driftstatistik, verksamhetsstatistik, operativ
statistik eller instrumentell statistik eftersom den främst avser att ge information
av mera internt intresse för den organisation som tar fram den och om mera snävt
avgränsade verksamheter. Statistik med ett allmäninformativt syfte har däremot
till huvudfunktion att ge eller ingå som delar i en allmän beskrivning av
förhållanden, dvs. att vara mer allmäninformativ. Den officiella statistiken, som
enligt lagen om den officiella statistiken, ska finnas för ”allmän information,
utredningsverksamhet och forskning”, torde vara det tydligaste exemplet på
statistik med en allmäninformativ funktion.
IVBAR Juridik 2013-03-28
M. Nymark
134
Enligt IVBAR krävs befolkningsdata vid prediktionsberäkningar av det
paketpris som ska utges till en vårdproducent vid en initierad vårdepisod. Det rör
sig om socioekonomiska personuppgifter såsom civilstånd, inkomstnivå,
födelseland och utbildning. Det är uppgifter som är nödvändiga för IVBAR:s
matematiska modell för prediktionsberäkningar, vilka påverkar prisbilden för
varje enskild patient, se vidare avsnitt 4. För vilket syfte behövs SCB:s uppgifter?
Härvidlag kan man dra paralleller till beskrivningen i föregående stycke av olika
slag av statistik. Socioekonomiska uppgifter om t.ex. civilstånd, ålder, utbildning,
inkomstnivå m.fl. är nödvändiga för att bestämma en vårdepisodbaserad ersättning
för en viss patient. Som redovisats i det föregående syftar
vårdepisodersättningssystem och andra ersättningssystem inom ramen för
valfrihetsmodeller till att styra och kontrollera vårdproducentens vårdproduktion;
att säkerställa högsta kvalitet i vården till lägsta möjliga kostnad inom länet. Mot
den bakgrunden får landstingens behov av befolkningsdata på individnivå
betraktas som internt. Det är inte fråga om en verksamhet med ett allmänt,
utåtriktat syfte.
5.6.2 Medger statistiksekretessen att ett landsting kan begära och få
socioekonimiska uppgifter ur SCB:s befolkningsregister för att bestämma en vårdepisodersättning?
För den officiella statistiken finns ett särskilt regelverk. En viktig del av
regleringen avser skyddet för uppgifter som används vid framställning av statistik.
I detta fall finns de huvudsakliga reglerna inte i lagen om den officiella statistiken
utan i offentlighets- och sekretesslagen (2009:400), OSL. Bestämmelsen om
statistiksekretess finns i 24 kap. 8 § OSL. Statistiksekretessen behandlas utförligt i
avsnitt 2.7.6. Denna bestämmelse kompletteras av 7 § offentlighets- och
sekretessförordningen (2009:641), OSF.
Som framgått ovan är föremålet för statistiksekretessen uppgifter som avser
en enskild persons personliga eller ekonomiska förhållanden och som kan
hänföras till denne. Skyddet gäller inte enbart sådana uppgifter som innehåller
identitetsbeteckningar, som namn och personnummer, på en enskild utan även
uppgifter som överhuvudtaget kan – direkt eller indirekt – hänföras till en viss
enskild.
Vad gäller sekretessens styrka så är den enligt huvudregeln absolut, dvs. de
uppgifter som omfattas av bestämmelsen kan inte ens lämnas ut efter en
skadeprövning. Sekretessen motiveras av den stora mängd register som förs hos
SCB och att statistikkvaliteten kan bli dålig om inte den enskilde
uppgiftslämnaren är säker på att hans uppgifter inte lämnas ut. Det ska också
nämnas att generalklausulen i 10 kap. 27 § OSL inte är tillämplig på
statistiksekretessen. Uppgifter som omfattas av statistiksekretess kan dock enligt
10 kap. 28 § OSL lämnas ut till en annan myndighet, om skyldighet att lämna
uppgifterna följer av lag eller förordning. Någon uppgiftsskyldighet för SCB att
IVBAR Juridik 2013-03-28
M. Nymark
135
beträffande befolkningsdata lämna ut dessa till ett landsting för att bestämma
ersättning till vårdutförare inom ramen för valfrihetssystem har inte identifierats.
Av bestämmelsen om statistiksekretess framgår några undantagssituationer
från huvudregeln som medger utlämnande av befolkningsuppgifter från SCB till
en extern mottagare. Ett undantag utgör utlämnande av uppgifter som behövs för
forskningsändamål. Ett annat undantag utgör utlämnande av uppgift som behövs
för statistikändamål. Den förstnämnda situationen, utlämnande för
forskningsändamål, kan inte åberopas av ett landsting för att löpande begära
befolkningsdata från SCB för att beräkna en vårdepisodersättning eftersom det i
detta fall inte rör sig om forskning. I den andra situationen, utlämnande för
statistikändamål, kan utlämnande endast aktualiseras när mottagaren själv
omfattas av statistiksekretessen (se avsnitt 2.6.7). En väsentlig förutsättning är att
mottagaren bedriver verksamhet för framställning av statistik och att den ska vara
så organiserad att den är avgränsad från myndighetens verksamhet i övrigt. En
ytterligare väsentlig förutsättning är att statistikverksamheten hos mottagaren inte
får avse bara driftstatistik eller statistik som framställs för att användas som
underlag för beslut i ett visst ärende. Ett landsting kan alltså, trots en avgränsad
statistikverksamhet, inte räkna med att SCB lämnar ut befolkningsuppgifter om
enskilda individer då ju syftet med användningen är att använda dessa som
underlag för beslut i ett visst ärende, dvs. ett beslut om ersättning för vård och
behandling avseende en patient. Statistik som framställs för att användas som
underlag i ett enskilt ärende anses nämligen inte omfattas av statistiksekretessen.
Anledningen till denna begränsning vid utlämnande för statistikändamål är att
i statistisk verksamhet saknar den enskilda uppgiften intresse. Det är den samlade
bilden som skulle belysas, aldrig någon enskild persons förhållanden. För att den
enskilde skulle kunna lämna uppgifter till en producent för den officiella
statistiken i trygghet om att de används bara för framställning av statistiska
tabeller, diagram och dylikt där den enskilde uppgiftslämnaren inte kan
identifieras, krävs att de åtnjuter ett förstärkt sekretesskydd och omgärdades av
stränga säkerhetsanordningar. I administrativ verksamheten däremot är det just
den enskilda uppgiften som är av intresse, t.ex. landstingets administration för att
bestämma en vårdepisodbaserad ersättning för en enskild patient. Det är i regel
den uppgiften (tillsammans med andra) som utgör underlag för beslutet om
ersättning.
IVBAR Juridik 2013-03-28
M. Nymark
136
6 Avslutande synpunkter och slutsatser
6.1 Sjukvården måste skifta fokus från produktivitet till effektivitet
Hälso- och sjukvården har genomgått en utveckling de senaste decennierna vilken
lett till längre livslängd och förbättrad livskvalitet hos befolkningen. Men i takt
med att nya behandlingsmetoder införts och att medelåldern ökat har också hälso-
och sjukvårdskostnaderna ökat. För att klara kostnadsökningen har landstingen
sedan 90-talet framgångsrikt genomfört reformer för att öka produktiviteten, dvs.
att åstadkomma så mycket sjukvård som möjligt för varje tillgänglig krona.
System för uppföljning av produktivitet och tillgänglighet har utvecklats.
Produktivitet är viktigt, men enbart hög produktivitet är ingen garanti för god
hälsa. Patienten är nämligen inte hjälpt av att få mycket vård utan bara av att få
rätt värd. Och när produktivitetskraven fortsätter att öka i takt med att kraven på
tillgänglighet ökar är risken att produktivitetsökningen sker på bekostnad av
kvalitet. Det finns därför goda anledningar att skifta fokus från produktivitet till
effektivitet.
6.2 Uppföljning och utvärdering av hälso- och sjukvården måste ske från
ett effektivitetsperspektiv
Effektivitet innefattar både produktivitet och kvalitet. Effektivitet definieras som
graden av måluppfyllelse i relation till resursanvändning. I sjukvården är det ett
mått på hur friska patienterna blir i förhållande till de samlade resurser som
samhället sätter in för att åstadkomma hälsoförbättringen. En effektiv vård är vad
som skapar ett värde för medborgarna. Utan möjligheter att kontinuerligt
analysera hälsoutfall och resursåtgång för olika patientgrupper kan varken
vårdgivare och centrala aktörer på hälso- och sjukvårdens område dra slutsatser
om hur vården kan effektiviseras. Besparingskraven riskerar då att hamna istället
på enskilda kliniker som var och en för sig bara ansvarar för delar av patientens
behandling och själva bara har begränsad eller ingen möjlighet att själva påverka
effektiviteten i systemet. Konsekvensen kan bli nedskärningar eller
anställningsstopp.
Effektiviseringen av svensk sjukvård handlar alltså inte om att enskilda
individer eller enskilda vårdenheter ska utföra sina dagliga sysslor fortare.
Effektiviseringen ligger på ett annat plan, bl.a. i form av ny teknik, nya
behandlingsmetoder och framförallt att bättre koordination av individuell vård och
behandling. För att åstadkomma detta behöver den allmänna hälso- och
sjukvården förändra hur vården ska följas upp, hur den ska ersättas och i slutändan
hur den ska organiseras. För närvarande utvecklas intressanta metoder för hur
prestationer och resultat kan mätas inom hälso- och sjukvården. Parallellt med
IVBAR Juridik 2013-03-28
M. Nymark
137
detta sker uppföljning av patienternas hälsoutfall i de svenska nationella
kvalitetsregistren. Det finns dock än så länge inga etablerade system för att
kontinuerligt mäta och följa upp effektiviteten i svensk sjukvård. Landstingens
systematiska uppföljning är idag främst inriktad på resursåtgång och
tillgänglighet. Uppföljning och utvärdering av hälso- och sjukvården måste ske
från ett effektivitetsperspektiv.
6.3 Dagens ersättningssystem främjar produktivitet, inte effektivitet
Det är numera ingen kontroversiell fråga att ersättningen för utförd hälso- och
sjukvård påverkar hur vården bedrivs. Hälso- och sjukvården styrs inte enbart av
medicinska behov eller patientsäkerhetsaspekter. Det gäller oavsett om vården
bedrivs i offentlig eller privat regi. Det går alltså inte att ekonomiskt ersätta hälso-
och sjukvård utan att samtidigt direkt eller indirekt styra den. Debatten idag
handlar snarare om hur ersättningssystem ska utformas. Ersättningssystemen är
komplexa till sin natur, och varje landsting står inför unika utmaningar som
kommer att kräva unika lösningar.
Problemet med dagens ersättningssystem är att de är utformade på ett sätt som
direkt motverkar vårdgivarnas möjligheter till att effektivisera vården.
Ersättningssystemen är utformade att säkerställa en ökad aktivitet hos en
vårdgivare, dvs. vårdgivaren ersätts enligt detaljerade prislistor för de aktiviteter
de utför utan koppling till vad de åstadkommer för resultat. De vårdgivare som
gör ett dåligt arbete och får oväntat mycket komplikationer får dessutom extra
ersättning för att behandla dessa. De vårdgivare som gör ett bra arbete, investerar i
nya tekniker och nya metoder för att minska resursförbrukningen, erhåller oftast
ingen ersättning alls för detta utan riskerar i stället att drabbas negativt
ekonomiskt genom minskade intäkter.
Vårdgivarna är vidare inte organiserade utifrån patientens behov. Vården är
av tradition organiserad utifrån medicinska discipliner. Men för många
patientgrupper krävs det att en mängd discipliner samverkar för att kunna
genomföra en behandling. Inte sällan befinner sig vårdaktörerna i olika
organisationer, på olika vårdnivåer och ibland ges vården för en och samma
patient av flera sjukvårdshuvudmän. Detta medför svårigheter i att kommunicera
effektivt och att säkerställa att insatta resurserna är väl koordinerade. I många fall
leder detta till ineffektivitet och förseningar. I värsta fall till felaktiga beslut med
utebliven eller felaktig behandling. Man måste alltså skapa förutsättningar för
vårdgivarna att i större omfattning kunna organisera sig i multidisciplinära team
utifrån våra olika patientgruppers specifika behov och att på ett effektivt sätt
kunna koordinera vården och dela information om patienten.
IVBAR Juridik 2013-03-28
M. Nymark
138
6.4 Beskrivnings- och ersättningssystemen måste utvecklas parallellt
För att klara av framtidens hälso- och sjukvård måste utvecklingsarbetet med
beskrivnings- och ersättningssystem bedrivas kombinerat och för att skapa en
incitamentsstruktur som gynnar resultat (till exempel i form av hälsovinster för
patienten) – i stället för som idag enbart prestationer (till exempel i form av
medicinska ingrepp). Här finns ett stort utrymme för att förbättra systemen och
skapa en välfungerande helhet som både åstadkommer goda resultat och hushåller
med de tillgängliga resurserna. Ersättningssystemen bör ge vårdgivarna stora
frihetsgrader för att möjliggöra innovation och införande av nya tekniker och
metoder som kan leda till minskade kostnader och förbättrade medicinska resultat.
Till detta bör även socialförsäkringssystemen knytas för att säkerställa ett effektivt
stöd till återgång i arbete.
Att mäta och följa upp hälsoutfall och kostnader i vården är inte okomplicerat.
Men genom den svenska medicinska professionens försorg finns idag väl
etablerade medicinska kvalitetsregister som samlar in medicinsk resultatdata.
Landstingen, SKL och Socialstyrelsen har arbetat målinriktat med digitalisering,
standardisering och konsolidering av vårddata under många år. Därtill har
regeringen tillsatt en utredning, Utredningen om rätt information i vård och
omsorg (dir 2011:111), för att utreda och lämna förslag till en mer sammanhållen
och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården
och socialtjänsten.
6.5 Vårdepisodbaserade ersättningssystem
Detta systemskifte har redan påbörjats. I Stockholms läns landsting (SLL) har nya
typer av diagnosspecifika ersättningssystem utvecklats av typen
vårdepisodbaserad ersättning. Vårdepisodbaserade ersättningssystem innebär att
man överger dagens ersättning för enskilda komponenter i en behandling
(labbprov, besök, operation etc.) och i stället betalar ett paketpris för all vård som
ett visst sjukdomstillstånd kräver. Principen för vårdepisodersättning beskrivs
närmare i avsnitt 3.2. Kännetecknande för dessa modeller är att vårdproducenten
också får betalt för att ta ansvar för komplikationer som uppträder i samband med
behandlingen och som potentiellt hade kunnat undvikas.
Vårdepisodersättningssystem är mer avancerade än andra ersättningssystem
och ställer högre krav på beställaren av vård, men kan skapa betydligt bättre
förutsättningar än nuvarande ersättningssystem för att driva värdeutvecklingen i
sjukvårdssystem.
En studie på ett vårdepisodbaserat ersättningssystem för höft- och
knäprotesoperationer bedrivs för närvarande av Karolinska Institutet i samarbete
med Harvard Business School och Svenska höftprotesregistret. Preliminära
opublicerade resultat visar att landstinget har kunnat sänka sina priser med ca 17%
IVBAR Juridik 2013-03-28
M. Nymark
139
per operation. Därtill har konstateras att 98% av patienterna rapporterar att är
nöjda eller mycket nöjda med hur vården bedrevs.
Socialdepartementet, Karolinska Institutet, SLL och Region Skåne har också
inlett en samverkan för att tillsammans med de nationella specialistföreningarna
och patientföreningar påbörja en gemensam utveckling av diagnosspecifika
uppföljnings- och ersättningssystem. Ytterligare ett antal landsting förväntas
ansluta till denna samverkan under våren.
6.6 Sverige har goda förutsättningar för värdebaserad vård
En utveckling mot en mer värdebaserad hälso- och sjukvård förutsätter dels
diagnosbaserade beskrivningssystem som kan kontinuerligt mäta, analysera och
jämföra effektiviteten hos vårdgivare, dvs. graden av måluppfyllelse i relation till
resursanvändning, dels diagnosbaserade ersättningssystem motsvarande
vårdepisodersättningssystem. Dessa ”komponenter” kompletterar varandra för att
säkerställa att effektivitetsvinster inte sker på bekostnad av hälsovinster.
I den allmänna debatten har framhållits att Sverige har unika förutsättningar
att genomföra dessa förändringar mot en värdebaserad hälso- och sjukvård genom
de olika nationella och regionala kunskapskällor som finns i form av
kvalitetsregister, hälsodataregister, receptregister, befolkningsregister och
socialförsäkringsregister. Dessa kunskapskällor är av värde för att både utveckla
diagnosbaserade beskrivnings- och ersättningssystem och för att på individnivå
beräkna ett paketpris till en vårdutförare för en vårdepisod.
I det tidigare refererade verket Redefining Health Care – Creating Value-
based Competition on Results (avsnitt 3.3) betonar författarna Porter och Teisberg
betydelsen av konkurrens för att främja värdebaserad vård. Genom lagen om
valfrihetssystem och de olika valfrihetsreformer som genomförts bland
landstingen inom både den öppna och slutna hälso- och sjukvården har Sverige
skapat en god grogrund för god tillgänglighet och värdeskapande konkurrens.
Men för att konkurrensen ska kunna utnyttjas för att skapa bättre vårdvärde så
behöver patienten veta vilken vårdgivare som levererar bäst hälsa. Det kräver att
patienten/konsumenten kan ta del av relevant och enkel information som gör det
möjligt för denne att göra meningsfulla jämförelser och val. Det kan åstadkommas
genom att publicera information om vårdgivarna, deras resultat och väntetider. Då
kan produktionsvolymer styras mot de vårdgivare som har bäst hälsoutfall och
mest nöjda patienter.
6.7 Identifierade författningsbehov för vårdepisodbaserad ersättning
Att Sverige har en mångfald av strukturerade och välorganiserade nationella och
regionala personregister inom hälso- och sjukvården, socialförsäkringens
IVBAR Juridik 2013-03-28
M. Nymark
140
administration och samhällslivet i övrigt har tagits till intäkt att landet ligger väl
framme för att kunna utveckla vårdepisodbaserade ersättningssystem. Det
förhåller sig emellertid så att dessa register skapats för vissa specifika ändamål
och aldrig varit avsedda att samköras utom vid forskning av olika slag.
Majoriteten av dessa nationella datalager är vidare författningsreglerade genom
s.k. registerlagar, vars syfte är att slå fast för vilka ändamål personuppgifter får
samlas in till registren och hur de sedan får användas. Registerlagarnas syfte är att
värna de registrerades integritet. Statsmakterna är väl medvetna om att
allmänhetens förtroende för de centrala datalagren är avhängigt av att de regleras
noga så att den enskilde kan kontrollera genom t.ex. registerutdrag att de används
för avsett ändamål. En användning av data i registren för andra ändamål än
avsedda, s.k. ändamålsglidning, riskerar att urholka allmänhetens förtroende till
registren och försvåra datainsamlingen.
6.7.1 En författningsreglerad uppgiftsskyldighet behövs för SCB
Det är alltså inte så enkelt att betrakta de regionala och nationella datalagren i
Sverige som ”guldgruvor” som kan ”finansiera” alla slag av registerkörningar och
sambearbetningar, bara intentionerna är goda. Det är oftast riksdagen genom sin
lagstiftningsmakt som slutligen avgör för vilka ändamål datalagren får användas.
Författningsanalysen ger vid handen att den absoluta sekretess enligt 24 kap. 8 §
offentlighets- och sekretesslagen (OSL) som råder för uppgifter i SCB:s
befolkningsregister samt Socialstyrelsens hälsodataregister idag inte medger
utlämnande av personuppgifter ur registren till ett landsting för att där användas
på individnivå för att beräkna vårdepisodbaserad ersättning och följa upp
hälsoutfall. Generalklausulen i 10 kap. 27 § OSL är inte är tillämplig på
statistiksekretessen. Socioekonomiska uppgifter om t.ex. civilstånd, ålder,
utbildning, inkomstnivå m.fl. är nödvändiga för att bestämma en
vårdepisodbaserad ersättning för en viss patient. Om SCB:s befolkningsuppgifter
på individnivå ska kunna användas av ett landsting för att beräkna en
vårdepissodersättning per patient, krävs en ny författningsbestämmelse om
uppgiftsskyldighet för SCB. Det bör givetvis övervägas närmare vilka uppgifter
som av betydelse för att beräkna en ersättning så noggrant som möjligt.
6.7.2 En författningsreglerad uppgiftsskyldighet behövs för Försäkringskassan
Socialförsäkringsdatabasen innehåller uppgifter om förmåner enligt
socialförsäkringsbalken, t.ex. sjukpenning och sjukskrivningsdagar, samt
hälsorelaterade uppgifter om försäkrade. Även dessa uppgifter är av värde för att
bestämma en så exakt ersättning som möjligt till en vårdgivare för en vårdepisod.
Personuppgifterna i socialförsäkringsdatabasen omfattas av sekretess, vilken dock
inte är lika ”stark” som sjukvårdssekretessen. Av författningsanalysen framgår att
IVBAR Juridik 2013-03-28
M. Nymark
141
Försäkringskassan inte har en skyldighet att lämna ut personuppgifter till ett
landsting för ändamålet beräkning av vårdepisodersättning. Det återstår att se om
Försäkringskassan kan lämna ut efterfrågade individuppgifter genom en
menprövning vid en begäran från ett landsting för nu nämnda ändamål. Frågan är
inte prövad. Men för att kunna automatisera ett utlämnande av nödvändiga
individuppgifter ur socialförsäkringsdatabasen till landets sjukvårdshuvudmän
krävs en tydlig författningsbestämmelse om uppgiftsskyldighet.
Ett annat alternativ är givetvis att inhämta patientens samtycke för ett
utlämnande. Det är en framkomlig väg för mindre försöksverksamheter för att
definiera ersättningsmodeller för olika diagnosgrupper, men inte en särskilt
kostnadseffektiv metod i förlängningen. Problemet med samtyckeshantering som
grund för informationsutbyte är att den kräver omfattande och kostnadsdrivande
administration. Eftersom en konsekvens av vårdepisodersättningssystemen torde
bli att patienter kan gå tillbaka till arbetslivet snabbare, minskar bördan på
socialförsäkringssystemet. Det torde därför ligga i både den enskildes och
samhällets intresse att Försäkringskassan ska lämna ut relevanta personuppgifter
till en sjukvårdshuvudman, och att intresset av att skydda den personliga
integriteten här får ge vika för det större.
6.7.3 En författningsreglerad uppgiftsskyldighet behövs för främst privata vårdgivare
Författningsanalysen visar att varje gång ett landsting möjliggör för en privat
vårdproducent att bedriva hälso- och sjukvård med offentlig finansiering reses
automatiskt en tystnadspliktsgräns i förhållande till den verksamheten.
Sekretessgränsen skulle inte finnas om landstinget själv skulle utföra
verksamheten; en gräns som försvinner om landstinget i ett senare skede återtar
driften av verksamheten. Regeringens strävan mot allt större valfrihet och
konkurrens i hälso- och sjukvården genom bl.a. reformen om vårdvalssystem
inom primärvården främjas inte alls av gällande integritetslagstiftning. Det är
främst bestämmelserna om tystnadsplikt i patientsäkerhetslagen (2010:659) som
hämmar utvecklingen av vårdepisodbaserade ersättningssystem och innebär
betydande problem för landstingets informationsinhämtning. Problemen
accentueras ju fler valfrihetssystem och privata aktörer som etableras inom
landstingets ansvarsområde. Det finns således ett identifierat behov av en ny
bestämmelse om en skyldighet för privata vårdgivare att lämna ut relevanta
patientuppgifter till landstinget för ändamålet kontroll och styrning (för att
åstadkomma bästa möjliga hälsoutfall med lägsta möjliga resursförbrukning) så
att de politiska initiativen kring ökad mångfald, större valfrihet för invånarna och
tydligare fokus på folkhälsa och prevention ska kunna slå igenom.
IVBAR Juridik 2013-03-28
M. Nymark
142
6.7.4 En sekretessbrytande bestämmelse behövs för att landstinget och andra
vårdgivare ska kunna ta del av samtliga vårdgivares registeruppgifter
kring en och samma patient i ett kvalitetsregister
Landstingets beställarorganisation, normalt tillhörande landstingsstyrelsen, får
enbart ha direktåtkomst till de uppgifter som egna förvaltningar/nämnder har
rapporterat till ett regionalt eller nationellt kvalitetsregister. Däremot får
landstinget enligt patientdatalagen inte ha direktåtkomst till andra landstings eller
privata vårdgivares inrapporterade patientuppgifter i registret. Samma
begränsning gäller för alla vårdgivare som rapporterar uppgifter till ett
kvalitetsregister. För ett landsting där vårdcentralen eller något av sjukhusen drivs
i privat regi med offentlig finansiering saknar alltså landstinget möjligheter till en
effektiv och ändamålsenlig kvalitetssäkring, t.ex. i form av en vårdepisodbaserade
ersättning. OSL reser tillsammans med patientdatalagen hinder för t.ex. det
finansierande landstinget att hantera patientuppgifter över vårdgivargränser för
detta ändamål. Motsvarande problem gör sig även gällande i exempelvis
rikssjukvården och i äldreomsorgen. Det finns således ett identifierat behov av en
sekretessbrytande bestämmelse som tillåter ett regionalt eller nationellt
kvalitetsregister att lämna ut relevanta patientuppgifter om en och samma patient
som registrerats av de privata vårdproducenterna inom ett län till ett landsting så
att de politiska initiativen kring ökad mångfald, större valfrihet för invånarna och
tydligare fokus på folkhälsa och prevention ska kunna slå igenom.
Denna och andra författningsbehov omhändertas lämpligen av Utredningen
om rätt information i vård och omsorg (dir. 2011:111). Utredningen ser för
närvarande över regelverket för informationsutbyte och personuppgiftsbehandling
inom och mellan hälso- och sjukvård och socialtjänst. Utredningen har ett brett
mandat och är lämplig mottagare av författningsanalysens förslag till
författningsändringar. Utredningen ska slutföra sitt uppdrag senast den 1
december 2013.
6.7.5 Vilka uppgifter får ett landsting ta del av och använda idag för att beräkna en vårdepisodersättning?
I övrigt ger författningsanalysen vid handen att sjukvårdshuvudmännen äger en
rätt enligt patientdatalagen att på central nivå disponera redan registrerade
personuppgifter som finns t.ex. i journalsystem inom de olika nämnderna och
förvaltningarna som bedriver hälso- och sjukvård för att kunna dels beräkna
(prediktera) en individuell och diagnosbaserad vårdepisodersättning åt en privat
vårdgivare som bedriver offentligt finansierad hälso- och sjukvård på uppdrag av
landstinget (vårdproducent), dels följa upp hälsoutfallet och vårdkostnaden för
varje patient hos vårdproducenten för att justera vårdepisodersättningen, förutsatt
att de grundläggande kraven i 9 § personuppgiftslagen är uppfyllda vid
personuppgiftsbehandlingen. Personuppgiftsbehandlingen kräver inte patientens
IVBAR Juridik 2013-03-28
M. Nymark
143
samtycke. Inte heller krävs patientens samtycke enligt OSL. Landstinget behöver
vidare inte vid behandlingen beakta att vissa uppgifter i journalsystemet kan vara
spärrade av patienten. Landstinget kan också sambearbeta personuppgifter
vårdbolag där landstinget har ett väsentligt inflytande. Det råder ingen sekretess
mellan det kommunala vårdbolaget och landstinget, och uppgifterna kan lämnas ut
utan föregående menprövning. Landstinget kan vidare sambearbeta nyss nämnda
uppgifter med de läkemedelsrelaterade individuppgifter som Apotekens Service
AB lämnar ut regelbundet till sjukvårdshuvudmännen från receptregistret. De
enda begränsningarna som måste beaktas i detta fall är att landstinget enbart får
behandla de läkemedelsrelaterade uppgifterna krypterat samt att de får bevaras i
receptregistret högst 15 månader och ska därefter utplånas.
6.7.6 Juridiska ”fallgropar” och lösningar
I det följande uppmärksammas juridiska ”fallgropar” och lösningar för att undvika
att ett personuppgiftsbiträde, t.ex. IVBAR, gör sig skyldig till otillåtna
personuppgiftsbehandlingar alternativt sekretessbrott. Lösningarna är i första hand
avsedda för att främja småskalig försöksverksamhet med diagnosbaserade
ersättningssystem.
Det är inte ovanligt att ett landsting i samband med att viss vårdverksamhet
läggs ut på entreprenad även tecknar ett personuppgiftsbiträdesavtal med
vårdproducenten. Avtalskonstruktionen utgår från att landstinget agerar
personuppgiftsbiträde åt vårdproducenten, t.ex. en privat vårdgivare. Om
landstinget tecknar flera sådana personuppgiftsbiträdesavtal med olika vårdgivare,
vilka innebär t.ex. att vårdproducenterna journalför i landstingets centrala
journalsystem, så ska vårdproducenternas journaluppgifter hållas logiskt avskilda
från varandra samt landstingets ”egna” patientuppgifter. Anledningen är att
personuppgifterna hos varje enskild vårdproducent inte är utlämnade i juridisk
mening till landstinget, utan alltjämt i producentens förvar.
Ett personuppgiftsbiträde åt landstinget som får i uppdrag av landstinget att
beräkna vårdepisodersättningen åt de privata vårdproducenterna får således inte
använda vårdproducenternas personuppgifter utan kan endast använda uppgifter
från landstingets egna förvaltningar och nämnder, liksom personuppgifter som
finns bevarade hos kommunala vårdbolag där landstinget har ett väsentligt
inflytande, och då först sedan det kommunala vårdbolaget har lämnat ut begärda
uppgifter till landstinget. Vårdproducenterna å sin sida är i princip förhindrade att
lämna ut sina uppgifter till landstinget/personuppgiftsbiträdet utan ett uttryckligt
samtycke från patienten. Ett sätt att lösa problematiken är att landstinget eller
vårdproducenterna vid den första vårdkontakten med patienten inhämtar ett
samtycke från patienten som medger landstinget att ta del av de enskilda
vårdproducenternas personuppgifter om patienten och sambearbeta dessa för att
bestämma en vårdepisodbaserad ersättning till vårdproducenten. Samtycket ska
föregås av information om syftet med samtycket och dess räckvidd samt helst
IVBAR Juridik 2013-03-28
M. Nymark
144
under vilken period samtycket är giltigt. Lösningen motsvarar de
generalfullmakter som försäkringsbolag använder sig av för att ta del av
patientjournaler vid t.ex. vid en utredning av försäkringsfall.
Samtyckeshanteringen är lämplig för begränsade försöksverksamheter och
rekommenderas inte som en allmän modell för informationsutbyte för att fastställa
en vårdepisodbaserad ersättning.
En motsvarande samtyckeslösning skulle kunna användas när landstinget
önskar få ta del av patientuppgifter som registrerats av en annan vårdgivare i ett
kvalitetsregister. Här skulle huvudmannen på uppdrag av landstinget kunna
inhämta vederbörligt samtycke från patienten som bör innefatta ett medgivande
för huvudmannen för registret att lämna ut uppgifterna till landstinget och
sambearbetas med andra vårdgivares samt landstingets ”egna” patientuppgifter för
att bestämma en vårdepisodersättning.
6.8 Integritetsskyddet i personuppgiftsbehandlingen
I föregående avsnitt beskrivs det identifierade behovet av nya
författningsbestämmelser för att säkerställa sjukvårdshuvudmännens försörjning
av nödvändiga personuppgifter för att kunna beräkna en vårdepisodbaserad
ersättning till vårdutförare som bedriver offentligt finansierad hälso- och sjukvård
på uppdrag av huvudmännen. Eftersom uppgifter om hälsa utgör känsliga
personuppgifter måste efterfrågade författningslösningar kompletteras med
bestämmelser om informationssäkerhet samt kontrollmekanismer och en
besvärsgång som kan åberopas av den enskilde. Detta kommer i stora delar till
uttryck i patientdatalagen.
Sjukvårdshuvudmannens hantering av personuppgifterna bör utgå från
grundläggande etiska principer för patientmötet. En undersökning av en patient i
syfte att ställa en diagnos kan ofta kräva att patienten måste klä av sig. Men för
det första ska patienten aldrig behöva klä av sig inför andra patienter. För det
andra ska han eller hon inte behöva ta av fler plagg än nödvändigt för att man ska
kunna ställa diagnos. I bildligt tal ska registrerades personuppgifter i
Infektionsverktyget behandlas på samma sätt – hälso- och sjukvården ska så långt
som möjligt låta patienten ”behålla kläderna på”. I informatisk mening skulle det i
landstingets fall innebära krav på bl.a. pseudonymiserade personuppgifter samt
reglerad åtkomst på olika nivåer.
I det följande diskuteras dessa säkerhetsmekanismer.
6.8.1 Pseudonymisering
Pseudonymisering av personuppgifter innebär att en identifierande (”öppen”)
personuppgift (namn och personnummer) ersätts med en pseudonym, som inte
IVBAR Juridik 2013-03-28
M. Nymark
145
kan hänföras till personen utan tillgång till översättningsmekanismen mellan
personuppgift och pseudonym. Pseudonymisering ska inte förväxlas med
avidentifiering, som innebär alla uppgifter som direkt eller indirekt kan härledas
till person utplånas och aldrig kan återskapas. Avidentifiering är inte aktuellt för
de uppgifter som behandlas i ett informationssystem för vårdepisodersättning
eftersom det omöjliggör sambearbetning av data från flera vårdgivare.
Pseudonymisering kan innebära en sådan enkel åtgärd som att ersätta namn
och personnummer med en annan sifferserie. Ett mer avancerat särfall av
pseudonymisering är kryptering, som innebär att omvandlingen från ”öppna” data
till pseudonymiserade data görs via en algoritm. Kryptering kan också vara
avidentifierande, om man använder sig av icke-reversibla krypteringsmetoder (se
prop. 2009/10:138 om ökad kvalitet vid läkemedelsförskrivning). Ett exempel på
lagreglerad kryptering är att Apotekens Service AB enligt 14 § lagen om
receptregister vid utlämnande av uppgifter från receptregistret till landstingen för
ändamålet medicinsk uppföljning av läkemedelsanvändning ska kryptera
patientens uppgifter på ett sådant sätt att dennes identitet skyddas.
Som en tumregel bör personnummer och namn bara behandlas i ”öppen” form
om det är klart motiverat med hänsyn till vikten av en säker identifiering, jämför
22 § b personuppgiftslagen. Om identiteten inte är av betydelse för mottagaren av
en uppgift eller om en identitet kan hanteras säkert med andra medel än
personnummer och namn, bör pseudonymisering eller annan metod för att dölja
personuppgifterna övervägas.
En lösning är att bevara personuppgifter både i ”öppen” och pseudonymiserad
form i en databas. De pseudonymiserade uppgifterna exporteras till en annan
databas, som används för sambearbetningen av data, och det är den databasen som
används för sambearbetning av olika uppgifter. Databasen är också lämplig för
uttag av olika rapporter och statistik eftersom data presenteras i aggregerad (och
därmed för användaren avidentifierad) form.
Denna författningsanalys fördjupar sig inte vidare i de tekniska lösningarna
för pseudonymisering eller andra metoder för att dölja personuppgifter, utan nöjer
sig med att konstatera att de bör diskuteras vidare.
6.8.2 Användare på olika nivåer
Användare på olika nivåer ska få åtkomst till personuppgifterna i olika form, och
deras åtkomst ska regleras på olika sätt. Behörighetstilldelning till det system som
används för att bestämma vårdepisodersättning ska utgå från en behovs- och
riskanalys. Viss ”superanvändare” behöver generösare behörigheter, bl.a. få
tillgång till ”öppna” personuppgifter. För att en superanvändare ska få ta del av
individdata förutsätts förutom tvåfaktorsautentisering även logiska spärrar.
Forcering av sådana spärrar ska alltid leda till loggranskning. Andra tänkbara
säkerhetsmekanismer kan vara tvåanvändarautentisering (två personers matchande
IVBAR Juridik 2013-03-28
M. Nymark
146
användaruppgifter) eller att ett SMS automatiskt skickas till patienten när någon
inom vården tagit del av dennes uppgifter.
6.8.2.1 Logguppföljning
Loggning anses som en väsentlig del av styrningen av användares åtkomst till
personuppgifter. Bestämmelser om loggning finns patientdatalagen och
Socialstyrelsens föreskrifter till lagen (SOSFS 2008:14). Systematisk och
återkommande logguppföljning är en viktig del av integritetsskyddet för
patientuppgifter i hälso- och sjukvården.
På uppdrag av IVBAR
Manólis Nymark
IVBAR Juridik 2013-03-28
M. Nymark
147
Bilaga 1