Hoppa till innehåll på sidan

Vidareanvändning av hälsodata för vård och klinisk forskning 

SOU 2023:76

Integritetsskyddsmyndigheten (IMY) har granskat förslaget huvudsakligen utifrån myndighetens uppgift att arbeta för att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter.

Inledningsvis vill IMY betona att det är angeläget att maximera nyttan av den data som generas inom hälso- och sjukvården. Att förbättra effektiviteten i hälso- och sjukvårdens och forskningens informationshantering är nödvändigt för att säkerställa tillgång till jämlik och god vård i hela landet. Samtidigt behöver behandling av personuppgifter om individers hälsa uppnå högt ställda krav på integritetsskydd och informationssäkerhet. En ändamålsenlig användning av ny teknik och en ökad interoperabilitet mellan digitala system är faktorer som redan idag är avgörande för vårdens kvalitet och som kommer att få allt större betydelse i framtiden, både i Sverige och Europa.

IMY lämnar följande synpunkter.

Gedigna integritetsanalyser

IMY anser att utredningen på ett förtjänstfullt sätt redogjort för gällande regelverk på dataskyddsområdet och även noggrant analyserat den personuppgiftsbehandling som kan aktualiseras till följd av författningsförslagen. Utredningen har genomgående gjort gedigna integritetsanalyser. Författningsförslagen innehåller också flera adekvata integritetshöjande åtgärder. De aktuella författningsförslagen, som rör behandling av mycket känsliga personuppgifter inom klinisk forskning och hälso- och sjukvård, balanseras av integritetshöjande skyddsåtgärder. Enligt IMY är detta en förutsättning för att personuppgiftsbehandlingen ska vara proportionerlig och därmed förenlig med dataskyddsförordningen.

Vidareanvändning av personuppgifter för klinisk forskning

Direktåtkomst

Utredningens förslag till lag om viss vidareanvändning av personuppgifter för klinisk forskning innebär att personuppgifter inom hälso- och sjukvården tillgängliggörs för ändamålet klinisk forskning genom ett nytt förfarande. Tillgängliggörandet enligt lagen föreslås få ske genom bland annat så kallad ”begränsad direktåtkomst”. IMY anser att det ur integritetssynpunkt är positivt att direktåtkomsten begränsas på olika sätt. Det är dock, såvitt IMY känner till, ett i författning nytt begrepp som föreslås genom användningen av ”begränsad direktåtkomst”. Det kan i och för sig finnas goda skäl att införa ny terminologi, men det väcker frågan om begreppet har en annan innebörd än direktåtkomst i annan lagstiftning såsom patientdatalagen (2008:355), PDL, och socialförsäkringsbalken. Innebörden av begreppet har också behandlats i rättspraxis, se HFD 2020 not. 16 och HFD 2015 ref. 61. IMY anser att användningen av begreppet ”begränsad direktåtkomst” kan ge intrycket att ”direktåtkomst” i andra regelverk inte behöver vara begränsad. Detta trots att direktåtkomst alltid är föremål för begränsningar och villkor. IMY anser därför att innebörden av begreppet ”begränsad direktåtkomst” och hur det förhåller sig till befintlig terminologi behöver tydliggöras i det fortsatta lagstiftningsarbetet.

IMY delar utredningens bedömning att den nuvarande ordningen genom vilken personuppgifter lämnas ut från hälso- och sjukvården på exempelvis papper eller flyttbar lagringsmedia innebär risker för den enskildes integritet. IMY har i ett tillsynsbeslut uttalat att det när personuppgifter behandlas på flyttbar lagringsmedia, till exempel usb, finns betydande risker att personuppgifter sprids på ett oavsiktligt sätt.(1) IMY ser därför positivt på att den föreslagna lagen syftar till att möjliggöra informationsöverföring utan användning av exempelvis flyttbar lagringsmedia. Det är också positivt om förfarandet medför att färre personer hos vårdgivaren tar del av uppgifter om patienten jämfört med nuvarande hantering vid begäran om utlämnande av allmän handling.

Som utredningen anför är direktåtkomst typiskt sett mer integritetskänsligt än annat elektroniskt utlämnande och kräver därför särskilda överväganden. IMY anser att de skyddsåtgärder som föreslås i den nya lagen väger upp dessa integritetsrisker och att den föreslagna behandlingen därmed är proportionerlig i relation till dessa risker.(2)

Vidareanvändning av personuppgifter för ändamålet vård av annan

Uppgifts- och lagringsminimering

Utredningens förslag om ett nytt regelverk för vidareanvändning av personuppgifter inom hälso- och sjukvården för ändamålet vård av en annan patient än den som uppgifterna avser innebär konsekvenser för den personliga integriteten. Detta eftersom behandling av personuppgifter i så kallade precisionsmedicinska databaser kan komma att utgöra en ny omfattande behandling av mycket känsliga personuppgifter.
Enligt förslaget i 6 kap. 8 § PDL får endast sådana uppgifter som är av medicinskt intresse att söka på, tillgängliggöras i en precisionsmedicinsk databas. IMY instämmer i vad utredningen uppger om att urvalet till databaserna måste ske med största noggrannhet. IMY ser även skäl att framhålla att behandlingen annars riskerar att strida mot principen om uppgiftsminimering enligt artikel 5.1 c i dataskyddsförordningen.

Vidare föreslår utredningen en ny bestämmelse i 6 kap. 27 § PDL som anger att personuppgifter i en precisionsmedicinsk databas inte får behandlas under längre tid än vad som behövs för ändamålen med databasen. IMY ser en risk för att bestämmelsen kommer att tillämpas på ett sätt som i praktiken innebär att majoriteten av de personuppgifter som förs in i databasen kommer att lagras där under den tid databasen består, det vill säga under mycket lång tid. Det i sig kan vara svårt att förena med principen om lagringsminimering enligt artikel 5.1 e i dataskyddsförordningen. IMY har förståelse för att det är svårt att införa en bestämmelse som anger en preciserad längsta bevarandetid. Ett alternativ är att i författning införa ett krav på att den personuppgiftsansvarige med viss regelbundenhet ska göra en behovsprövning av uppgifterna i databaserna. Det bör annars i vart fall framgå av författningskommentaren att den personuppgiftsansvarige bör göra en sådan prövning.

Integritetshöjande bestämmelser

IMY ser positivt på utredningens förslag till integritetshöjande bestämmelser till förmån för de registrerade vid behandling av personuppgifter för ändamålet vård av annan patient än den som uppgifterna avser. Detta gäller särskilt utredningens förslag till 6 kap. 2–3 §§ PDL där den enskildes inställning till personuppgiftsbehandlingen tillmäts betydelse, det vill säga att den enskilde kan välja att inte finnas med i en precisionsmedicinsk databas.

Fotnoter

(1) Beslut efter tillsyn enligt dataskyddsförordningen – Regionstyrelsen i Region Skåne, IMY-2022-1290.
(2) Jämför steg 7 i IMY:s Vägledning för integritetsanalys i lagstiftningsarbete (pdf, 532 kB)

Detta yttrande har beslutats av den vikarierande generaldirektören David Törngren efter föredragning av juristen Isabelle Hepsever. Vid den slutliga handläggningen har även tillförordnande rättschefen Cecilia Agnehall och enhetschefen Linn Sandmark medverkat.

David Törngren, 2024-03-26 (Det här är en elektronisk signatur) 

Remissyttrande Vidareanvändning av hälsodata för vård och klinisk forskning (SOU 2023:76)

26 mars 2024

Remissyttrande Vidareanvändning av hälsodata för vård och klinisk forskning (SOU 2023:76

Pdf, 121 kB

Läs dokumentet (pdf, 121 kB)

Remissvar

Mottagare

Regeringskansliet, Socialdepartementet

Diarienummer

IMY-2023-17290

Ert diarienummer

S2023/03288

Datum

2024-03-26

Senast uppdaterad: 28 mars 2024
Sidans etiketter Dataskydd