Hur står det till med den personliga integriteten? En kartläggning av Integritetskommittén

Myndigheten för vård- och omsorgsanalys remissyttrande över delbetänkandet Hur står det till med den personliga integriteten? En kartläggning av Integritetskommittén (SOU 2016:41, Ju2016/04398/L6)

Inledande sammanfattning

Myndigheten för vård- och omsorgsanalys (Vårdanalys) har enligt sin instruktion till uppgift att ur ett patient-, brukar- och medborgarperspektiv följa upp och analysera verksamheter och förhållanden inom hälso- och sjukvård, tandvård och omsorg. Det är utifrån dessa utgångspunkter som Vårdanalys lämnar synpunkter. Det innebär att vi i vårt yttrande har fokuserat på kartläggningen av just hälso- och sjukvården, elevhälsan, företagshälsan, socialtjänsten samt forskning och statistik och att vi utgått ifrån utredningens konsekvenser för patienter, brukare och medborgare.

Sammanfattningsvis ser Vårdanalys ett mycket stort värde i utredningens kartläggning och lämnar endast ett antal kompletterande kommentarer i de delarna. När det gäller det förslag utredningen lägger fram - att ge Datainspektionen ett utökat uppdrag i stället för att inrätta en särskild funktion - avstyrker vi emellertid förslaget.

Övergripande kommentarer angående kommitténs angreppssätt

Vårdanalys anser att kommittén lyckats väl med sitt arbete trots ett svårt och mycket omfattande uppdrag. På ett övergripande plan kan sägas att kartläggningen är bra och de resonemang som förs är relevanta och klargörande. Vårdanalys välkomnar att kommittén beaktat inte bara risker utan också nyttan med digitala uppgifter. Det är givetvis viktigt att båda dessa aspekter tas i beaktande när kommittén i nästa steg ska presentera förslag till åtgärder.

Vårdanalys ser att det finns ett behov av att gradera de risker som förekommer och uppskattar ambitionen att åstadkomma en systematik och transparens kring detta (2.4). Samtidigt framgår det inte helt tydligt hur viktningen av de olika aspekterna har gått till. I vissa delar är det därför svårt att se vad som föranlett att riskerna klassats som ”viss”, ”påtaglig” eller ”allvarlig risk” även om vi på ett övergripande plan också skulle landa i samma bedömning givet de kriterier kommittén anger. Om dessa risknivåer ska användas i det kommande arbetet är det därför önskvärt att tydligheten kring bedömningen ökar eftersom den då kan förväntas få stor betydelse. Det är också relevant att fundera på särskilt ett av de kriterier kommittén anger som grund för sina riskbedömningar: förekomsten av ett skyddande regelverk som efterlevs och fungerar som det var avsett. En faktor att ta i beaktande är möjligheten att efterlevnaden och sättet regelverken tolkas på kan komma att förändras. Om ledningen för i sammanhanget centrala institutioner byts ut, lagstiftningen tolkas på andra sätt och den praktiska tillämpningen förskjuts skulle dagens, vad det verkar, betryggande hantering på vissa områden till exempel kunna rubbas. Detta är en generell problematik som är viktig att ha i åtanke när kommittén i sitt slutbetänkande föreslår åtgärder.

Utrednings uppdrag är att utifrån ett individperspektiv kartlägga och analysera integritetsrisker. En viktig aspekt när ett individperspektiv anläggs är att fånga och utgå från vilken uppfattning individer har i den aktuella frågan. Det är emellertid en utmaning att fånga individers syn på personlig integritet och risker över lag. Uppfattningarna är ofta situationsberoende och dessutom kan inställningen förändras över tid. Inte desto mindre är det viktigt att undersöka preferenser och attityder hos medborgare, patienter, brukare, kunder osv. Det är angeläget att det finns underlag för påståenden om vad som uppfattas tillhöra den privata sfären, vad som är integritetskränkande men också vilka integritetskränkningar som anses vara acceptabla och under vilka förutsättningar. På samma sätt är det viktigt att veta vilka behov och förväntningar medborgarna har i förhållande till utnyttjandet av digitala uppgifter. För att kunna bedöma hur olika konsekvenser för individer bör värderas krävs kunskap av det här slaget. Vi hade därför gärna sett att utredningen empiriskt undersökt detta på något sätt redan i delbetänkandet. Värdet av en undersökning kvarstår dock, varför vi ser det som önskvärt att det ges utrymme för en sådan undersökning inom ramen för arbetet med slutbetänkandet.

Kommittén har även till uppdrag att belysa eventuella skillnader mellan könen. Vårdanalys ser gärna en mer fördjupad diskussion kring detta i slutbetänkandet.

1.1   Förslag till förordning om ändring av förordningen (2007:975) med instruktion för Datainspektionen 

Vårdanalys avstyrker utredningens förslag till förordning om ändring av förordningen (2007:975) med instruktion för Datainspektionen.

Vårdanalys anser visserligen att det är angeläget att Datainspektionen får i uppdrag att sammanfatta vad som framkommer i sitt tillsynsarbete i större utsträckning än vad som sker idag. Det finns till exempel intresse av sammanställningar av principiellt viktiga resultat och av återkommande problem som identifieras. En ökad sammanfattning av resultaten av tillsynsarbetet skulle vidare möjliggöra ett sådant helhetsperspektiv som är nödvändigt för att kunna dra väl underbyggda slutsatser av tillsynsarbetet. Vårdanalys ser också att det kan leda till svårigheter när Datainspektionen publicerar enskilda beslut och det vid sidan av beslutet inte finns någon kommentar som beskriver vilka slutsatser som kan dras utifrån ett generellt och principiellt perspektiv (till skillnad från vad som beror av de specifika omständigheterna i det enskilda fallet). Inte sällan saknas det förmåga ute i verksamheterna att tolka vilka generella slutsatser som kan dras av enskilda beslut och det finns exempel när utvecklingen stannat av till följd av att tillsynsbeslutens allmänna tillämplighet missförståtts. Vårdanalys förutser att sådana problem kan undvikas genom att tillsynsmyndigheten i ökad utsträckning och på olika sätt sammanfattar resultatet av sitt arbete. Vårdanalys välkomnar därför utredningens förslag kring en höjd ambition i den frågan.

När det däremot gäller utredningens bedömning att det inte bör inrättas något integritets­skyddsorgan eller någon liknande funktion, menar Vårdanalys att utredningen inte pekat på övervägande skäl för att dra den slutsatsen. Den funktion eller organ som utredningen har haft i uppgift att överväga behovet av var visserligen något diffust och väldigt brett beskriven från början. Inte desto mindre finns det ett behov av att ställa sig utanför dagens system och rollfördelning, och överväga vilka behov som finns i olika avseenden och hur de på bästa sätt kan tillgodoses. Nedan beskriver vi tre typer av behov som vi i olika sammanhang kunnat se: 1) helhetsperspektiv, 2) stöd till verksamheter och 3) stöd till enskilda. Vi tar inte ställning till hur behoven bör tillgodoses rent organisatoriskt utan pekar enbart på behoven av de olika funktionerna.

1) Helhetsperspektiv - Integritetsskyddsorganet var i någon form tänkt att vaka över integritetsskyddet inom hela samhället och skulle inrättas mot bakgrund av en brist på systemtänkande och helhetssyn i integritetslagstiftningen och en brist på överblick kring den tekniska utvecklingen. Syftet med organet var bland annat att det skulle stå för en säkrare avvägning av motstående intressen. Vårdanalys menar att det finns ett behov av en funktion av något slag med ett övergripande ansvar att följa och analysera utvecklingen på integritetskyddsområdet i dess olika dimensioner samt att värna en helhetssyn, systematik och proportionalitetstänkande i lagstiftningen. Genom en sådan funktion skulle behovet av att följa upp och analysera utvecklingen utifrån bland annat ett juridiskt och tekniskt perspektiv kunna tillgodoses samtidigt som utvecklingsbehov skulle kunna lyftas på ett samlat sätt. Vårdanalys ser inte att ett sådant uppdrag i alla delar är förenligt med en tillsynsmyndighets uppdrag och befarar att tillsynsuppdraget i praktiken skulle innebära en hämsko när det gäller att bidra till utvecklingen av vissa frågor. Möjligen är det så att vi ser ett behov av att ta frågorna längre än vad utredningen tänkt sig att Datainspektionen ska göra. Oaktat detta anser vi att det saknas en närmare analys kring hur behoven i dessa delar hanteras på mest ändamålsenliga sätt bland annat mot bakgrund av gränsdragningsproblematiken mellan tillsyn, avvägning av motstående intressen och utvecklingsförslag.

2) Stöd till verksamheter - Vårdanalys vill även peka på det tydliga behov som finns av ytterligare stöd och vägledning till offentliga och privata verksamheter som behandlar personuppgifter. Vi delar utredningens redovisning av att det i många verksamheter finns bristande kunskaper om integritetskyddslagstiftningens krav och möjligheter samt om de praktiska möjligheterna på området. Dessutom sker såväl en snabb teknikutveckling som förändringar av de juridiska förutsättningarna, vilket gör att det finns ett behov av ytterligare stöd för verksamheter, åtminstone på de områden som vi kommenterar i det här yttrandet.

3) Stöd till enskilda - Vårdanalys menar vidare att det behövs ytterligare, stöd, hjälp och olika sorters information på integritetsskyddsområdet till privatpersoner. Området är så pass komplext, känsligt och tekniskt att det kan vara svårt för enskilda att orientera sig. Som utredningen pekar på ökar dessutom antalet aktörer, användningsområden, lagringstider, spridningen, utbytet m.m. Utredningen beskriver hur mängden system inom hälso- och sjukvårdsområdet är ”helt oöverskådlig”. Om det är svårt för en statlig utredning att skapa sig en heltäckande bild över informationshanteringen står det klart att det är ännu svårare för enskilda personer att få den överblicken. I slutändan blir det omöjligt att överblicka den totala användningen av uppgifter i samhället. Ytterligare en aspekt att beakta i sammanhanget är att enskilda i praktiken ofta har en relativt svag ställning gentemot de verksamheter som behandlar personuppgifter, såväl i offentlig som privat regi. På det hela taget skulle det därför vara av värde att utreda behovet av ett ökat stöd till enskilda individer.

Sammanfattningsvis kan det sägas att Vårdanalys ser fler behov än de som utredningen ringat in och lämnat förslag kring. Det är också viktigt att det finns en tydlig och ändamålsenlig rollfördelning kring frågorna. Det är till exempel viktigt att värna tillsynsfunktionens legitimitet och oberoende samtidigt som det är viktigt att det kan ges vägledning och stöd, och att det kan pekas på utvecklingsbehov ur såväl nytto- som integritetsperspektiv. Vårdanalys ser därför ett behov av att frågan bereds vidare och att det i det fortsatta beredningsarbetet tas ett större grepp kring behoven och möjligheterna för att åstadkomma en ändamålsenlig rollfördelning.

7.4 Elevhälsan

Vårdanalys har inget att erinra utöver det som nämns nedan.

8.9 Företagshälsan

Vårdanalys har inget att erinra utöver det som nämns nedan.

9.2-9.4 Hälso- och sjukvård

Den kartläggning som kommittén presenterar av integritetsrisker inom hälso- och sjukvårdens område stämmer i huvudsak med den bild Vårdanalys genom sitt arbete har erhållit. De system som används är många, ofta gamla, och med bristande ändamålsenlighet. Därtill brister kunskapen många gånger kring hur personuppgifter ska hanteras. Rättstillämpningen behöver förbättras generellt.  I den inventering av e-hälsan i landstingen som den så kallade SLIT-gruppen gjorde i maj 2016 uppgav sju landsting att de inte kommer att vara klara med införandet av och kunna tillämpa patientdatalagen förrän efter 2018 (Jerlvall och Pehrsson, 2016. eHälsa i landstingen. Inventering på uppdrag av SLIT-gruppen. S. 17). Ur ett patient-, brukar- och medborgarperspektiv är det naturligtvis oacceptabelt med en sådan fördröjning av införandet av funktioner som syftar till att skydda den enskildes integritet, såsom exempelvi spärrmöjligheter och loggranskning. Givet dagens situation med den mångfald av system, register och uppgiftssamlingar som förekommer är det därtill i nuläget inte ens möjligt att göra adekvata uppföljningar. Vi kan vidare konstatera att det finns ett utrymme att redan idag såväl förbättra informationssäkerheten som underlätta och öka informationsöverföringen mellan hälso- och sjukvårdens aktörer.

9.5 Kvalitetsregister

När det gäller specifikt kvalitetsregister vill Vårdanalys utifrån sin delutvärdering av satsningen på de nationella kvalitetsregistren nämna att även om det stämmer som kommittén skriver att vissa register tillför ett stort värde för förbättringsarbete och forskning så kunde vi i delutvärderingen se att detta gällde långt ifrån alla kvalitetsregister (Vårdanalys, 2014. Registrera flera eller analysera mera? Delutvärdering av satsningen på nationella kvalitetsregister. Rapport 2014:9.). Många register befann sig i en uppbyggnadsfas och användes inte fullt ut (ibid). Den potentiella nyttan med kvalitetsregister är emellertid att beteckna som väsentlig. Ytterligare åtgärder av olika slag krävs dock för att realisera nyttan. 

9.6 Välfärdsteknik inom socialtjänsten

Socialtjänstens område berörs i kommitténs kartläggning enbart vad gäller användningen av viss välfärdsteknik. Vårdanalys anser inte att den avgränsning som gjorts till enbart den frågan är motiverad. Den gör bland annat att helhetsbilden saknas. Inom socialtjänsten hanteras stora mängder uppgifter som kan vara mycket känsliga, om exempelvis familjeförhållanden och missbruk. Detta hade behövt problematiseras ytterligare.

På socialtjänstens område utgör samtidigt avsaknad av systematisk dokumentation och sammanställd information en riskfaktor, som försvårar patient- och brukarcentrerade vård- och omsorgsprocesser. Uppföljning och utvärdering försvåras också.

10 Forskning och statistik

Vårdanalys finner kommitténs beskrivning av integritetsrisker inom forskningen som mindre nyanserad än kartläggningen i övrigt. Stor vikt läggs vid att presentera framför allt Datainspektionens kritik. Samtidigt är det uppenbart att forskarsamhället har behov av lösningar, stöd och hjälp kring dessa frågor. Detta hade förtjänat viss uppmärksamhet vid sidan av nödvändigheten av ett bihållet förtroende från allmänheten för registrens fortsatta legitimitet.

När det gäller beskrivning av integritetsrisker i samband med statliga aktörers hantering av uppgifter för statistiska ändamål har Vårdanalys inga anmärkningar att göra i sak, men vill ändå påpeka att det faktum att situationen idag är gynnsam inte är ett skäl att avfärda möjligheten att situationen kan se annorlunda ut i framtiden, som vi nämnt ovan.

____________________________________

Beslut om detta yttrande har fattats av myndighetschefen Fredrik Lennartsson. I den slutliga handläggningen har chefsjuristen Karin Nylén och juristen Nadja Zandpour deltagit. Utredaren Sara Belfrage har varit föredragande.