Personuppgiftsbehandling vid antalsberäkning inför klinisk forskning

Integritetsskyddsmyndigheten (IMY), tidigare Datainspektionen, har granskat förslaget huvudsakligen utifrån myndighetens uppgift att arbeta för att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter.

IMY anser att det finns behov av personuppgiftsbehandling för antalsberäkning inför klinisk forskning. Betänkandet innehåller dock inte de analyser som krävs för att kunna ta ställning till om lagförslaget uppfyller kraven i dataskyddsförordningen. IMY kan därför inte tillstyrka förslaget utifrån det nuvarande underlaget.

IMY lämnar följande synpunkter.

IMY delar utredningens bedömning om att antalsberäkning för offentliga vårdgivare kan utgöra en uppgift av allmänt intresse enligt artikel 6.1 e dataskyddsförordningen. IMY delar även bedömningen att artikel 9.2 j dataskyddsförordningen kan vara tillämplig för offentliga vårdgivares behandling av känsliga personuppgifter för antalsberäkning och att kompletterande nationella bestämmelser för antalsberäkning lämpligen regleras i patientdatalagen (2008:355).

IMY vill dock framhålla att när kompletterande nationella bestämmelser för behandling av personuppgifter tas fram måste det säkerställas att de krav som ställs i dataskyddsförordningen är uppfyllda. Dessa krav framgår bland annat av artikel 6.3 och artikel 9.2 j dataskyddsförordningen.

Enligt artikel 6.3 andra stycket dataskyddsförordningen måste behandlingen vara proportionerlig i förhållande till det legitima mål som eftersträvas. Vid bedömningen av om dessa krav är uppfyllda måste det ske en kartläggning av de risker och konsekvenser som förslaget kan innebära för den personliga integriteten. Kartläggningen ska sedan ligga till grund för en proportionalitetsbedömning där behovet av kompletterande skyddsåtgärder också vägs in. Sammantaget ska analysen säkerställa att integritetsintrånget inte blir större än nödvändigt utifrån vad man vill uppnå med förslaget.

Även i artikel 9.2 j dataskyddsförordningen anges att behandlingen ska stå i proportion till det eftersträvande syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen.

I betänkandet läggs stor vikt vid att redovisa behovet och fördelarna med antalsberäkning och varför det är viktigt. Det anges endast kortfattat att integritetsintrånget som behandlingen medför får anses stå i rimlig proportion till den nytta som den avsedda behandlingen innebär, utan att det redogörs för vilka integritetsintrång och integritetsrisker som har identifierats för den registrerade.

IMY konstaterar således att betänkandet inte innehåller någon kartläggning av de risker och konsekvenser som behandlingen medför för den registrerade. Det går därför inte att bedöma om den föreslagna behandlingen är proportionerlig mot målet. Inom ramen för en proportionalitetsbedömning ska även behovet av lämpliga skyddsåtgärder vägas in.

IMY anser att det inte räcker att bara konstatera att det finns etablerade strukturer inom hälso- och sjukvården för personuppgiftsbehandling och att det därför inte finns anledning att i patientdatalagen fastställa ytterligare skyddsåtgärder för att behandla personuppgifter för antalsberäkning. För att uppfylla kraven på proportionalitet i artiklarna 6.3 och 9.2 j dataskyddsförordningen krävs enligt IMY:s mening en tydlig reglering av lämpliga skyddsåtgärder. Vilka skyddsåtgärder som bedöms lämpliga kan dock variera beroende på om personuppgifterna hämtas direkt från patientjournaler eller från de nationella och regionala kvalitetsregistren. I det fortsatta lagstiftningsarbetet krävs således en analys av vilka skyddsåtgärder som är nödvändiga vid behandling av personuppgifter för antalsberäkning.

Lämpliga skyddsåtgärder kan exempelvis vara en bestämmelse som ger den enskilde möjlighet att motsätta sig personuppgiftsbehandling för antalsberäkning genom så kallad ”opt-out”. En sådan skyddsåtgärd kan regleras direkt i lag, såsom det exempelvis har gjorts för de nationella och regionala kvalitetsregistren i 7 kap. 2 – 2 a §§ patientdatalagen. Andra exempel kan vara att införa särskilda bestämmelser om informationsskyldighet för den personuppgiftsansvariga offentliga vårdgivaren gällande antalsberäkning såsom det exempelvis är reglerat i 7 kap. 3 § patientdatalagen.

I betänkandet anges att det inte går att hitta rättsligt stöd för privata vårdgivare att behandla personuppgifter för antalsberäkning. Förslagen ska därför endast gälla offentliga vårdgivare. IMY kan dock konstatera att det inte framgår av författningsförslaget. Det kan utifrån hur författningsförslaget är utformat uppfattas som att även privata vårdgivare har stöd för att behandla personuppgifter för antalsberäkning.

Detta yttrande har beslutats av enhetschefen Malin Blixt efter föredragning av juristen Linn Sandmark. Vid den slutliga handläggningen har även rättschefen David Törngren och juristen Ulrika Harnesk medverkat.

Malin Blixt, 2021-02-12 (Det här är en elektronisk signatur)