Ny dataskyddslag

Myndigheten för vård- och omsorgsanalys remissyttrande över betänkandet Ny dataskyddslag (SOU 2017:39, Ju2017/04264/L6).

Inledande sammanfattning

Myndigheten för vård- och omsorgsanalys (Vårdanalys) har enligt förordningen (2010:1385) med instruktion för Myndigheten för vård- och omsorgsanalys till uppgift att ur ett patient-, brukar- och medborgarperspektiv följa upp och analysera verksamheter och förhållanden inom hälso- och sjukvården, tandvården och omsorgen. Det är utifrån dessa utgångspunkter vi lämnar våra synpunkter.

Myndigheten tillstyrker utredningens förslag med undantag för förslaget att införa sanktionsavgifter för statliga och kommunala myndigheter. Även om vi i huvudsak tillstyrker utredningens förslag menar vi att det finns ett antal oklarheter och att det sammantaget blir en mycket svårtillgänglig reglering som kommer att vara svår att tillämpa i praktiken. Detta är mycket olyckligt och vi menar att det är väsentligt att dessa oklarheter avhjälps i det fortsatta arbetet. Nedan lämnar vi därför ett antal synpunkter att ta med i det fortsatta arbetet.

Utredningen har gjort ett förtjänstfullt arbete med att försöka utforma en lag som kompletterar dataskyddsförordningen (nedan förordningen) på ett ändamålsenligt sätt med tanke på de begränsningar utredningen haft som följer av såväl förordningen i sig som den begränsade utredningstiden. När vi nu kan se förordningen och den kompletterande lagen och den helhet de bildar konstaterar vi dock att det sammantaget blir en svårtillgänglig reglering. Det är till exempel inte användarvänligt att definitionerna av de begrepp som hela lagen bygger på inte anges i lagen utan står att söka i förordningen. Detta särskilt eftersom begreppen inte faller av vardagligt språkbruk och är lätta att missförstå. Vi har till exempel sett att motsvarande begrepp i personuppgiftslagen ofta feltolkats och att många därför trott sig genomföra behandlingar som faller utanför regleringen. Detta trots att definitionerna fanns med i den lagen. Ett exempel är att det fortfarande finns många som tolkar personuppgiftsbegreppet väldigt snävt.

Vi ser också att några av bestämmelserna inte beskrivs på ett sätt som hade varit önskvärt för att åstadkomma tydlighet kring dess tillämpningsområde. Motsvarande otydlighet fanns redan i personuppgiftslagen och vi har sett att den inneburit en osäkerhet i rättstillämpningen vilket delvis varit en hämsko för utvecklingen.

Sammantaget menar vi att det finns en risk att regelverket blir så svårt att tillämpa och att det, även för de mest ambitiösa organisationer som vill göra rätt, kommer att vila en osäkerhet kring om man landat i en tolkning som bär eller inte. Delvis är detta en konsekvens av att det är fråga om en lag som kompletterar en EU-förordning, men inte desto mindre är det angeläget att i dessa centrala frågor försöka hjälpa tillämparna så långt det går att göra rätt. Vi ser därför att skrivningarna kring vissa bestämmelser kan utvecklas närmare för att skapa sådan vägledning. (Vi utvecklar vilka nedan) Vi vill också lyfta fram behovet av andra typer av handledningar kring hur bestämmelserna kan förstås och omsättas i praktiken så att alla får så goda förutsättningar som möjligt att göra rätt. Vid sidan av vägledningar finns också behov av rådgivning, stöd och hjälp till personuppgiftsansvariga. Det är också viktigt att det kan byggas upp en förtroendefull dialog och skapas möjlighet till möten där de personuppgiftsansvariga och aktuella myndigheter kan hjälpas åt att lösa frågor på bästa sätt utifrån de krav som gäller. Dessa behov ska ses i ljuset av hur svårt det varit inom många sektorer, till exempel hälso- och sjukvården, att säkerställa en efterlevnad av den redan nu gällande lagstiftningen. Den är inte bara enklare att ta till sig än den föreslagna. Den har också gällt i många år, men trots det kvarstår brister. Mot bakgrund av detta ser vi därför att det är angeläget att regeringen ger lämplig myndighet i uppdrag att ta fram sådana vägledningar och att erbjuda sådant stöd till verksamheterna. Det behöver vara lätt att göra rätt och det behöver finnas ett förtroendefullt stöd i att göra det, som inte präglas av ett tillsynsaktigt förhållningssynsätt. Risken är annars att utvecklingen och innovationskraften hämmas eller att verksamheter hittar andra mindre lämpliga sätt att verka på.

Lagens komplexitet och otydlighet underlättar inte heller för dem den ytterst är till för skydda – enskilda individer. Förordningen och lagen ska ytterst värna enskildas intressen och skapa en trygg och säker personuppgiftshantering. I förordningen och betänkandet betonas på många ställen vikten av att den enskilde individen ska vara väl informerad och att det ska finnas en transparens kring den personuppgiftsbehandling som sker för att skapa insyn, kontroll osv. för enskilda. Med den nuvarande utformningen av lagen finns en risk att det blir svårt för enskilda personer att förstå vad som gäller, vad de kran kräva osv. I den dimensionen bidrar inte det samlade regelverket till att göra enskilda mer upplysta. Det är därför viktigt att berörda aktörer tar fram mer lättförståelig information som sammanfattar vad som gäller och vad individer kan förvänta sig och var de kan vända sig med frågor och synpunkter.

8.3.4 & 10.6 Allmänt intresse

Begreppet "allmänt intresse" är på flera sätt centralt i den föreslagna lagen. Bland annat föreslås att personuppgifter får behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna utföra en uppgift av allmänt intresse som följer av lag eller annan författning, kollektivavtal eller av beslut som meddelats med stöd av lag eller annan författning. Enligt utredningen framgår myndigheters uppdrag och åligganden av författningar och regeringsbeslut antagna i enlighet med grundlagens bestämmelser om normgivningskompetens. De åtgärder som myndigheterna vidtar i syfte att utföra dessa uppdrag eller uppfylla dessa åligganden har enligt utredningen därmed legal grund som har offentliggjorts genom "tydliga, precisa och förutsebara regler". Nödvändig behandling anses därmed kunna ske med stöd av 6.1e förordningen.

Vårdanalys instämmer i utredningens bedömning. Vi vill också lyfta fram att många myndigheter har mycket breda uppgifter enligt sina instruktioner, uppgifter som är väsentligt mycket bredare än de exempel som ges i betänkandet. Det är angeläget att det inte råder någon tvekan om att en myndighets uppgift enligt sin instruktion eller särskilt regeringsbeslut är att betrakta som ett allmänt intresse och att en behandling inom de ramarna är tillåten om den är nödvändig för att utföra uppgiften.

9.3.1 Samtycke

Redan i förordningen ställs det krav på ett klart och tydligt språk i samband med att samtycke inhämtas. Detta lyfts även fram av utredningen.

Vårdanalys vill understryka betydelsen av ett klart och tydligt språk i en begriplig och lätt tillgänglig form. Det kan tyckas självklart att den som ska informeras inför ett samtycke ska kunna förstå informationen för att kunna ta ställning till ett samtycke. I praktiken ser vi dock exempel på hur svårt det är att utforma en information som är korrekt i juridisk mening och som samtidigt är begriplig. Tillsynsmyndigheten har tidigare krävt att informationen måste innehålla personuppgiftslagens begrepp och ligga nära dess formuleringar snarare än att informationen formuleras på sätt som kan förstås av målgruppen för samtycket. Den motsättningen har varit mycket olycklig och många gånger snarare skapat frågor hos målgrupperna och osäkerhet än en känsla av trygghet och kontroll. Vi välkomnar därför ett annat sätt att se värna om att de enskilda faktiskt ska förstå.

10.7 Hälso- och sjukvårdsändamål

Vårdanalys välkomnar de utvidgningar som görs av bestämmelsen om behandling för hälso- och sjukvårdsändamål jämfört med vad som gällt i personuppgiftslagen. Vi vill samtidigt lyfta ett antal otydligheter som funnits i den tidigare lagen och som nu kvarstår i de nya formuleringarna, vilket vi menar är mycket olyckligt och bör avhjälpas i det fortsatta arbetet.

Av förordningen framgår att begreppet förvaltning av hälso- och sjukvårdstjänster ska tolkas vitt och bland annat inbegripa behandling som utförs av centrala nationella hälso- och sjukvårdsmyndigheter samt vid tillsyn över hälso- och sjukvård och social omsorg. Som vi förstår det omfattar detta allt från planering och drift till uppföljning, utvärdering, kvalitetssäkring och tillsyn m.m. De nationella myndigheter som omfattas av regleringen får då anses vara bland annat Socialstyrelsen, Inspektionen för vård- och omsorg, Folkhälsomyndigheten och Myndigheten för vård- och omsorg. Detta beskrivs dock bara kortfattat i betänkandet och bör förtydligas för att skapa trygghet i tillämpningen.

I förordningen och dataskyddslagen anges även att känsliga personuppgifter får behandlas om behandlingen är nödvändig av skäl som hör samman med medicinska diagnoser. Formuleringen är svår att förstå såväl språkligt som innehållsmässigt. Den avviker också från hur punkterna i artikeln och paragrafen är uppbyggda i övrigt. Vad är nödvändig behandling som "hör samman med medicinska diagnoser"? Det kan antas att det är behandling vid fastställande av medicinska diagnoser och andra kliniska bedömningar samt dokumentation av dessa men var går gränsen? Inbegrips även ett användande som t.ex. har uppföljande eller kvalitetssäkrande karaktär? Även här behövs ökad tydlighet.

14.5 Statistikändamål

Den bestämmelse om statistikändamål som utredningen föreslår har många likheter med den nu gällande bestämmelsen i 19 § personuppgiftslagen. Framför allt är en likhet att begreppet statistik och statistikändamål beskrivs i förarbetena på ett sätt som är svårt att förstå och avgränsa. Historiskt sett har bestämmelsen ansetts svår att tillämpa av många myndigheter med anledning av att det varit osäkert vad som kvalificerar sig som statistikändamål. Förordningens formulering att "varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat" ger inte närmare vägledning utan blir snarare ett cirkelresonemang. Inte heller formuleringen "ett statistiskt ändamål innebär att resultaten av behandlingen inte består av personuppgifter utan av aggregerade personuppgifter och resultatet eller uppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild privatperson" ger vägledning. Utredningens beskrivning av begreppet ger inte heller den vägledning som behövs. För frågan blir vilka personuppgiftssammanställningar som inte omfattas av deras beskrivning av statistik: "metoder för att samla in, bearbeta, utvärdera och analysera data eller information. Resultatet av ett sådant arbeta, ofta redovisat i numerisk form, benämns också statistik".

Vi menar att det behöver förtydligas vad bestämmelsen avser omfatta för att den ska kunna tillämpas på ett tryggt sätt och med respekt för enskildas integritet.

18.5.3 Sanktionsavgifter

Vi avstyrker utredningens förslag att införa sanktionsavgifter även för statliga och kommunala myndigheter vid överträdelser.

Att förordningen innebär att sanktionsavgifter ska få tas ut av privata subjekt är inget vi kan göra något åt i Sverige. Däremot måste det noggrant övervägas om och varför Sverige skulle gå längre än förordningen och införa sådana sanktionsavgifter även för statliga och kommunala myndigheter. Likaså måste rimligheten i avgifter på nivåer om 10 000 000 kronor respektive 20 000 000 kronor stå klar.

En viktig förutsättning för att införa sanktioner överlag är att regelverket är tydligt och att tillämparen ska ha en chans att förstå vad som gäller och hur regelverket ska efterlevas. Så är inte fallet, vilket vi beskrivit i några få utvalda delar ovan. Regelverket är alltför diffust och i kombination med så höga avgiftsnivåer finns stora risker att utvecklingen hämmas inom centrala utvecklingsområden i samhället av rädsla att göra fel. Det är till exempel väsentligt att reflektera över de problem i hälso- och sjukvården som förekommit under många år kopplat till lagefterlevnaden på personuppgiftsområdet. Det finns absolut utrymme för att höja ambitionsnivån och takten på det arbete som bedrivs för att komma till bukt med dessa problem, men det förefaller inte rimligt att inom den korta tid som kvarstår fram till ikraftträdandet ha haft chans att vidta de åtgärder som krävs. Ytterst drabbar också svidande sanktionsavgifter den vård patienterna kan erbjudas.

Sammanfattningsvis menar vi att det absolut är angeläget att påskynda utvecklingen kring dessa viktiga frågor, men att det företrädesvis bör ske på andra sätt än genom hårda sanktioner. Steg ett bör vara att göra det lätt att göra rätt, steg två bör vara att se över hur staten på andra sätt kan bidra till att verksamheterna uppnår en lagenlig hantering.

---------------------------------------------------------------
Beslut om detta yttrande har fattats av generaldirektören Fredrik Lennartsson. Chefsjuristen Karin Nylén har varit föredragande.

Fredrik Lennartsson
Karin Nylén